【對於類似Facebook“近5000萬用戶的賬戶可能遭遇入侵甚至盜用”問題,更應該引起各大平臺的警惕,更應該主動翻查自身的個人數據保護機制是否健全,有無漏洞或不足。簡單說,如果不能從其他平臺遭遇的數據意外事件中吸取經驗、總結教訓和提高防範,不排除下一個遭殃的就是國內互聯網平臺】
【Facebook出現的“近5000萬用戶的賬戶可能遭遇入侵甚至盜用”問題,是否可以適用歐盟《一般數據保護條例》,首要判定條件是,平臺內的用戶賬戶遭遇入侵甚至盜用是否滿足關於個人數據洩露的界定或定義。】
“近5000萬用戶的賬戶可能遭遇入侵甚至盜用”,這到底意味著什麼?
近日,美國社交媒體巨頭Facebook又一次遭遇了大規模用戶數據洩露,近5000萬用戶的賬戶可能遭遇入侵、甚至盜用。這已經是這家公司今年第二次遭遇用戶數據洩露。
當地時間10月3日,位於愛爾蘭的Facebook歐洲總部也開始對本次事件展開調查,愛爾蘭數據保護委員會正在考慮對Facebook進行處罰。
試想,如果被入侵的賬戶所有者都是英國用戶的話,相當於英國全體國民的個人賬戶被入侵或盜用了,這對一個國家的傷害是致命的,相當於一國全民互聯網“裸奔”;而如果被入侵的賬戶是隨機分佈的話,那麼實施入侵或盜用的不法分子,基本可以據此“抽樣”統計和分析,進而獲得某一平臺全球範圍內的用戶特徵和趨勢。
當然,更致命的是,這些被入侵或盜用的賬戶所有者,雖然賬戶已經被非法入侵或盜用,但是,用戶可能依舊渾然不知,這不僅意味著用戶賬戶內的虛擬或數字資產安全性受到威脅,更重要的是,一旦某天不法分子操控此類賬戶發佈一些不當信息,不僅可能會引發資本市場的股價波動,甚至不排除可能會引發社會騷亂。
而這恐怕也是歐洲嚴格個人數據立法保護的初衷所在。
考慮到歐盟地區立法和執法標準歷來較為嚴格,再加上歐盟《一般數據保護條例》已經生效,該事件會否適用該條例的處罰,也成為各方關注的焦點。
適用前提:平臺有違反安全政策的行為
從立法角度來看,2018年5月25日起生效施行的《一般數據保護條例》對個人數據的蒐集、存儲、傳輸、處理以及洩露等各個環節可能出現的意外,以及相應平臺公司需要擔負的責任或義務,均作了較為明確的規定。
而對於Facebook出現的“近5000萬用戶的賬戶可能遭遇入侵甚至盜用”問題,是否可以適用歐盟《一般數據保護條例》,首要判定條件是,平臺內的用戶賬戶遭遇入侵甚至盜用是否滿足《一般數據保護條例》關於個人數據洩露的界定或定義。
按照《一般數據保護條例》規定,“個人數據洩露”是指由於違反安全政策而導致傳輸、儲存、處理中的個人數據被意外或非法損毀、丟失、更改或未經同意而被公開或訪問。
簡單說,構成《一般數據保護條例》意義上的“個人數據洩露”需要滿足三個條件:其一,平臺有違反安全政策的行為;其二,有出現個人數據“損毀、丟失、更改或未經同意而被公開或訪問”的不當後果;其三,出現這種不當後果具有意外性或非法性。
因此,如果Facebook能證明其平臺上出現的“近5000萬用戶的賬戶可能遭遇入侵甚至盜用”問題,其採取了必要的安全防範措施或手段,本身並無違反安全政策的不當行為,也就沒有過錯,那麼,這種客觀上發生的“用戶個人數據洩露”問題,並不能直接要求平臺承擔相應的責任。
其他義務:報告不及時需承擔相應責任
按照《一般數據保護條例》規定,在個人數據洩露的情形中,如果可行,平臺在知悉後及時(至遲在72小時內)將個人數據洩露告知有權監管機構,除非個人數據洩露對於自然人的權利與自由不太可能帶來風險。對於不能在72小時以內告知監管機構的情形,應當提供延遲告知的原因。
簡單說,對於各類平臺可能發生的用戶個人數據洩露問題,平臺均負有及時報告義務。
以Facebook遭遇的用戶個人數據洩露問題為例,如果Facebook在知悉或發現用戶個人數據洩露問題後72小時內,未及時向有關監管機構報告或告知,那麼,Facebook也需要承擔一定的管理不善責任的。
按照《一般數據保護條例》規定,如果Facebook未能及時向有權監管機構及時報告或告知個人數據洩露事件,可能被處以“最高1000萬歐元”或“其上一年全球總營業額2%的金額”的行政罰款,其中,最終罰款金額取兩者較高的一個。
而回到Facebook平臺上發生的“近5000萬用戶的賬戶可能遭遇入侵甚至盜用”問題,雖然目前尚無法確認在“賬戶被入侵或盜用”過程中,Facebook本身是否存在過錯,其是否應當就其給用戶造成的損失承擔賠償責任還有待進一步查明。
但是,如果該事件發生後,Facebook報告不及時的話,也就是報告義務履行不及時的話,也可能難逃被處以鉅額行政罰款的可能。
罰款高低:需綜合考量危害、影響等
對於任何立法來說,罰款本身不是目的,而是希望通過設定“警戒線”,讓義務主體能夠提高警惕,加強技術投入,避免不當事件的發生。
以《一般數據保護條例》為例,其本質是為了加強個人數據安全保護,而不是為了利用數據洩露實現罰款創收或變現。
因此,一旦包括類似谷歌、Facebook等平臺發生了類似個人數據洩露問題時,相關平臺是否需要承擔責任以及需要承擔多大的責任,也是受多種因素影響的。
簡單說,相關平臺可能被處以罰款額的高低,取決於多方面的因素,比如,數據洩露的規模、持續的時間、給用戶造成的損失等,甚至報告的準確性、全面性及及時性,都是需要相關監管機構綜合考量的。
國內的微信、阿里、京東等眾多全球性平臺公司,其用戶來源是多元的,其服務範圍也是廣泛的,很多平臺都可能因屬於《一般數據保護條例》所界定的“控制者”或“使用者”,而可能需要受到該法律的束縛。
因此,類似Facebook“近5000萬用戶的賬戶可能遭遇入侵甚至盜用”問題,更應該引起各大平臺的警惕,更應該主動翻查自身的個人數據保護機制是否健全,有無漏洞或不足。
簡單說,如果不能從其他平臺遭遇的數據意外事件中吸取經驗、總結教訓和提高防範,不排除下一個遭殃的就是國內互聯網平臺。
(作者系中國政法大學知識產權研究中心特約研究員)
閱讀更多 找機房 的文章
