Facebook 5000万用户数据泄露 国内巨头需引以为戒

　　李俊慧

　　【对于类似Facebook“近5000万用户的账户可能遭遇入侵甚至盗用”问题，更应该引起各大平台的警惕，更应该主动翻查自身的个人数据保护机制是否健全，有无漏洞或不足。简单说，如果不能从其他平台遭遇的数据意外事件中吸取经验、总结教训和提高防范，不排除下一个遭殃的就是国内互联网平台】

　　【Facebook出现的“近5000万用户的账户可能遭遇入侵甚至盗用”问题，是否可以适用欧盟《一般数据保护条例》，首要判定条件是，平台内的用户账户遭遇入侵甚至盗用是否满足关于个人数据泄露的界定或定义。】

　　“近5000万用户的账户可能遭遇入侵甚至盗用”，这到底意味着什么？

　　近日，美国社交媒体巨头Facebook又一次遭遇了大规模用户数据泄露，近5000万用户的账户可能遭遇入侵、甚至盗用。这已经是这家公司今年第二次遭遇用户数据泄露。

　　当地时间10月3日，位于爱尔兰的Facebook欧洲总部也开始对本次事件展开调查，爱尔兰数据保护委员会正在考虑对Facebook进行处罚。

　　试想，如果被入侵的账户所有者都是英国用户的话，相当于英国全体国民的个人账户被入侵或盗用了，这对一个国家的伤害是致命的，相当于一国全民互联网“裸奔”；而如果被入侵的账户是随机分布的话，那么实施入侵或盗用的不法分子，基本可以据此“抽样”统计和分析，进而获得某一平台全球范围内的用户特征和趋势。

　　当然，更致命的是，这些被入侵或盗用的账户所有者，虽然账户已经被非法入侵或盗用，但是，用户可能依旧浑然不知，这不仅意味着用户账户内的虚拟或数字资产安全性受到威胁，更重要的是，一旦某天不法分子操控此类账户发布一些不当信息，不仅可能会引发资本市场的股价波动，甚至不排除可能会引发社会骚乱。

　　而这恐怕也是欧洲严格个人数据立法保护的初衷所在。

　　考虑到欧盟地区立法和执法标准历来较为严格，再加上欧盟《一般数据保护条例》已经生效，该事件会否适用该条例的处罚，也成为各方关注的焦点。

　　适用前提：平台有违反安全政策的行为

　　从立法角度来看，2018年5月25日起生效施行的《一般数据保护条例》对个人数据的搜集、存储、传输、处理以及泄露等各个环节可能出现的意外，以及相应平台公司需要担负的责任或义务，均作了较为明确的规定。

　　而对于Facebook出现的“近5000万用户的账户可能遭遇入侵甚至盗用”问题，是否可以适用欧盟《一般数据保护条例》，首要判定条件是，平台内的用户账户遭遇入侵甚至盗用是否满足《一般数据保护条例》关于个人数据泄露的界定或定义。

　　按照《一般数据保护条例》规定，“个人数据泄露”是指由于违反安全政策而导致传输、储存、处理中的个人数据被意外或非法损毁、丢失、更改或未经同意而被公开或访问。

　　简单说，构成《一般数据保护条例》意义上的“个人数据泄露”需要满足三个条件：其一，平台有违反安全政策的行为；其二，有出现个人数据“损毁、丢失、更改或未经同意而被公开或访问”的不当后果；其三，出现这种不当后果具有意外性或非法性。

　　因此，如果Facebook能证明其平台上出现的“近5000万用户的账户可能遭遇入侵甚至盗用”问题，其采取了必要的安全防范措施或手段，本身并无违反安全政策的不当行为，也就没有过错，那么，这种客观上发生的“用户个人数据泄露”问题，并不能直接要求平台承担相应的责任。

　　其他义务：报告不及时需承担相应责任

　　按照《一般数据保护条例》规定，在个人数据泄露的情形中，如果可行，平台在知悉后及时（至迟在72小时内）将个人数据泄露告知有权监管机构，除非个人数据泄露对于自然人的权利与自由不太可能带来风险。对于不能在72小时以内告知监管机构的情形，应当提供延迟告知的原因。

　　简单说，对于各类平台可能发生的用户个人数据泄露问题，平台均负有及时报告义务。

　　以Facebook遭遇的用户个人数据泄露问题为例，如果Facebook在知悉或发现用户个人数据泄露问题后72小时内，未及时向有关监管机构报告或告知，那么，Facebook也需要承担一定的管理不善责任的。

　　按照《一般数据保护条例》规定，如果Facebook未能及时向有权监管机构及时报告或告知个人数据泄露事件，可能被处以“最高1000万欧元”或“其上一年全球总营业额2%的金额”的行政罚款，其中，最终罚款金额取两者较高的一个。

　　而回到Facebook平台上发生的“近5000万用户的账户可能遭遇入侵甚至盗用”问题，虽然目前尚无法确认在“账户被入侵或盗用”过程中，Facebook本身是否存在过错，其是否应当就其给用户造成的损失承担赔偿责任还有待进一步查明。

　　但是，如果该事件发生后，Facebook报告不及时的话，也就是报告义务履行不及时的话，也可能难逃被处以巨额行政罚款的可能。

　　罚款高低：需综合考量危害、影响等

　　对于任何立法来说，罚款本身不是目的，而是希望通过设定“警戒线”，让义务主体能够提高警惕，加强技术投入，避免不当事件的发生。

　　以《一般数据保护条例》为例，其本质是为了加强个人数据安全保护，而不是为了利用数据泄露实现罚款创收或变现。

　　因此，一旦包括类似谷歌、Facebook等平台发生了类似个人数据泄露问题时，相关平台是否需要承担责任以及需要承担多大的责任，也是受多种因素影响的。

　　简单说，相关平台可能被处以罚款额的高低，取决于多方面的因素，比如，数据泄露的规模、持续的时间、给用户造成的损失等，甚至报告的准确性、全面性及及时性，都是需要相关监管机构综合考量的。

　　国内的微信、阿里、京东等众多全球性平台公司，其用户来源是多元的，其服务范围也是广泛的，很多平台都可能因属于《一般数据保护条例》所界定的“控制者”或“使用者”，而可能需要受到该法律的束缚。

　　因此，类似Facebook“近5000万用户的账户可能遭遇入侵甚至盗用”问题，更应该引起各大平台的警惕，更应该主动翻查自身的个人数据保护机制是否健全，有无漏洞或不足。

　　简单说，如果不能从其他平台遭遇的数据意外事件中吸取经验、总结教训和提高防范，不排除下一个遭殃的就是国内互联网平台。

　　（作者系中国政法大学知识产权研究中心特约研究员）