數據合規丨為了數據安全,Facebook將如何管理第三方?

點擊上方藍字關注【合規智行】→點擊右上角【…】

→點擊【設為星標★】

以複合型法律知識為企業合法經營護航

免費諮詢電話：400 151 0471

作者｜尹雲霞  張毅  黎輝輝  張文豪

原標題｜頭戴數據保護「緊箍咒」的Facebook將如何管理第三方？

來源｜微信號「方達律師事務所」

編輯｜陳宇  任視宇

排版｜白緒玲  宋婉琳

2020年4月23日，經聯邦法院批准，美國聯邦貿易委員會（US Federal Trade Commission, FTC）因「劍橋分析（Cambridge Analytica）事件」對Facebook在與第三方分享數據的違規行為發起調查後與其達成的和解協議正式生效，其中尤為引人矚目的和解金額是「史無前例」的50億美元。但無論是美國的監管機構內部、法院還是公眾也都有聲音稱這項大額罰金完全無傷Facebook核心的數據變現的模式，並公眾也希望以後執法力度可以朝向「沒收違法所得」和對數據主體進行賠償的角度發展。

本文將通過本次Facebook與FTC的和解來簡評FTC的執法流程以及趨勢、以及Facebook在FTC施加的「緊箍咒」下如何進行更嚴格的第三方管理。中國企業在發布海外版本的在線服務以及進行產品或服務推薦時大多數會選擇和流量大戶的Facebook和Google等合作，然而Facebook的第三方管理和審計手段，例如查看資料庫底層表結構或者錄頻、要求訪問日誌系統的權限、刪除數據都給中國企業帶來很多商業秘密保護以及競爭上的難題以及難以配合。本文最後會分享我們協助中國企業應對Facebook的第三方審計和管理上的經驗以及企業可以採取的合規措施。

「劍橋分析事件」始於2013年，劍橋大學的研究人員科根利用所研發的性格測試應用，通過Facebook的開放應用程式編程接口（Open API）獲取了Facebook上近5,000萬用戶的數據，並將數據共享至一家名叫「劍橋分析」的政治諮詢公司用於競選廣告的精準推送。2015年，Facebook在得知相關情況後對該應用進行了屏蔽，並敦促科根與劍橋分析刪除所有用戶數據，但Facebook並未對劍橋分析是否的確刪除數據作進一步跟進調查。直至2018年3月事件被媒體曝光，指稱Facebook上超過5,000萬用戶的數據遭到洩露，被劍橋分析用於2016年美國總統大選中對選民進行用戶畫像以及精準競選廣告投放。

該事件引發了全球範圍內數據保護機構對Facebook在隱私以及數據保護的關注。截至目前已有多個國家對Facebook作出了處罰，包括2018年英國信息專員辦公室（Information Commissioner’s Office, ICO）50萬歐元（約合64.5萬美元）的處罰[1]、2019年6月義大利數據保護機關Guarante 110萬美元的處罰[2]、2020年1月巴西司法部160萬美元的處罰[3]以及美國FTC本次50億美元的「天價」處罰，此外2020年2月哥倫比亞工商監督機關（Superintendency for Industry and Commerce, SIC）命令Facebook建立用戶數據保護措施。[4]

「劍橋分析事件」在部分國家的調查和訴訟程序也仍在進行當中，例如在加拿大，繼2019年4月Facebook拒絕實施聯邦隱私專員辦公室（Office of Privacy Commissioner, OPC）和卑詩省信息和隱私專員辦公室（Office of the Information and Privacy Commissioner）的建議後，2020年2月OPC向聯邦法院申請認定Facebook違反了聯邦隱私保護法[5]。不過，早在2018年9月，香港數據保護機關則因Facebook不構成數據控制者而終止了對其違反本地數據保護法的調查。

除巨額罰款50億美元外，聯邦法院本次批准的和解協議還督促和要求Facebook從多方面提升其對用戶數據和隱私的保護水平，例如：

在組織架構上，Facebook應在董事會層面成立獨立的隱私委員會，並由隱私委員會任命專門負責Facebook隱私計劃的合規官員。Facebook執行長與隱私計劃合規官員應向FTC提交證明Facebook遵守和解協議的合規季報和年報；

在外部監督上，獨立第三方專家應在每季度直接向Facebook隱私委員會進行定期工作匯報。同時，FTC也有權採用《聯邦民事訴訟規則》提供的發現工具來監督Facebook的合規遵從情況；

在對第三方管控上，Facebook應要求訪問和使用其數據的第三方網站和應用每年提交合規證明，並在其中說明使用每類數據的目的及其合規性；如第三方未能提供合規證明，則應及時終止第三方對數據的訪問權限；通過平臺規則監控第三方的遵從情況，包括但不限於至少每年開展人工篩查和自動掃描、定期評估與審計，以及其他技術和運營測試措施等；對違反平臺規則的第三方進行嚴懲等[6]。

如FTC主席Joe Simon此前所言，和解協議的救濟目的不僅是為了懲罰未來的違規行為，更重要的是改變Facebook的整體隱私文化，以降低後續違法違規的可能性。[7]即便如此，FTC的Rebecca委員在其反對意見中卻指出，和解協並未對Facebook是否可以向第三方或其他子公司轉讓數據施加任何限制，而僅要求相關第三方提供證明來讓Facebook進行自行判斷和管控——換言之，Facebook對其數據共享實踐仍然保持著高度的自決權[8]。FTC的Rohit委員也在其反對意見中表達了對50億美元的罰款未能有效震懾Facebook非法行為的憂慮，並指出FTC並沒有對Facebook的非法所得進行分析來證明50億美元罰款的合理性，而在2012年FTC卻對谷歌施加了違法所得5倍以上的處罰[9]。

類似地，在法院批准和解協議的過程中，非政府組織電子隱私信息中心（Electronic Privacy Information Center）及若干消費者組織也認為和解協議中的判罰仍不足以讓Facebook對其行為負責；對此，聯邦法院法官Timothy Kelly則認為這些反對意見涉及的是「公共政策的問題」，從程序上法院無法越過FTC、直接對涉嫌違法的數據保護實踐以及和解協議的內容進行裁判。[10]近年來美國對於數據保護的立法在州以及聯邦層面都有很多的草案以及討論，從這些反對意見來看，將來的美國的隱私以及數據保護法可能會越來越嚴格，即便是交過罰款和承擔更高的數據保護要求的Facebook可能還會繼續受到監管機構的全方位關注。

除了50億美元的罰金讓各界注意到數據合規的重要性和違規的代價之外，但是也要注意到根據此次和解協議，Facebook的CEO和首席合規官每一季度需要親自籤署一份合規證明，這也將可能意味著如果Facebook再次違反和解協議中的數據合規要求，CEO和首席合規官本人將可能面臨個人的民事甚至刑事方面的責任[11]。因此，此次整改要求是否確如質疑聲中指出的那樣「不給力」，我們認為還有待觀察。

作為美國聯邦層面主要的數據監管機關，FTC在數據保護領域的執法權限主要來源於《聯邦貿易委員會法案》（FTC Act）第5節禁止「不公平或欺詐行為」（unfair or deceptive acts or practices）的一般規定[12]。雖然該條文僅規定了非常原則化的要求，但FTC在其40多年來的執法實踐中將不公平以及欺詐行為擴展到隱私以及數據保護的許多方面。在執法程序上，FTC通常會在接到投訴、媒體報導、國會調查時啟動調查程序，調查活動由下屬的消費者保護局（Bureau of Consumer Protection）具體實施。

不過，FTC並不能在查實企業存在違法行為後就直接開出罰單，原因在於FTC Act並沒有授予FTC罰款的行政授權。FTC的主要執法手段是要求企業停止違法並採取補救措施，具體包括實施全面的隱私與安全項目、每兩年接受獨立專家的審計、給予消費者金錢補償、沒收違法所得、刪除違法收集的消費者數據，以及向消費者提供充分和透明的選擇機制。因此，FTC通常會與企業就前述措施達成和解令（即和解協議）；在雙方無法達成和解令時，FTC才會向行政法院提起行政申訴，由法院決定企業是否違法以及所需賠償的金額。而只有當企業違反與FTC的和解令即第二次違法時，FTC才會對其科處民事罰金[13]。此次對Facebook的處罰，也正是因為其違反了與FTC早在2012年達成的和解令，致使FTC重啟調查以探明其是否違反了2012和解令的相關要求。

FTC的執法趨勢：網際網路行業成重災區，大額罰金屢見不鮮

FTC作為美國的主要的隱私以及數據保護的執法機構，已經有多年的執法經驗以及方向。在FTC公布的2019年《數據與隱私安全》工作報告中，FTC已處理了130多起垃圾郵件和間諜軟體案件，以及80多起一般隱私訴訟。FTC的執法活動廣泛關注社交媒體、廣告技術、金融徵信、智能家居領域中數據收集和共享的透明度問題，例如僅在其公布的2019年執法案例中就涉及Facebook與劍橋分析公司、Google與旗下視頻平臺YouTube、短視頻平臺TikTok、廣告技術公司Effen Ads、郵件管理公司Unrollme、信用修復服務提供商Grand Teton Professionals、金融服務機構Global Asset Financial Services Group、智能家居產品製造商D-Link等多家業內企業[14]。

事實上，受到來自大洋彼岸的GDPR執法的壓力，以及迫於歐洲國家對美國網際網路企業數據保護實踐的顧慮，網際網路行業也已成為了FTC的數據方面的重點執法目標。這與網際網路商業模式以及大數據、雲計算、人工智慧等前沿技術突飛猛進的發展不無關係，在數據驅動型經濟背景下，網際網路企業也傾向於收集更多的用戶數據，並通過數據分析、精準營銷等手段對數據進行商業化利用，以挖掘用戶更多的潛在價值。考慮到「保護消費者」正是FTC的戰略目標之一，隨著消費者對個人信息的保護意識逐漸覺醒，網際網路行業則自然成為其重點關注領域，Facebook、Google（YouTube）、Snapchat、Uber、VIZIO、TikTok等網際網路巨頭在FTC的數據保護和隱私執法中無一倖免。

另外，從近幾年的大額罰單以及過往FTC的處罰金額來看，FTC仍然傾向於用大額罰款來對違規企業進行處罰和威懾。在Facebook被罰之前，著名的FTC高額罰單包括對Equifax數據洩露開出的5.75億美元罰款，以及對Google和YouTube侵犯兒童隱私開出罰款1.7億美元。而在數據安全相關的案件中，FTC通常還會要求涉案企業實施全面的安全方案，每兩年對安全方案進行一次詳盡的評估，並提交高級管理層關於企業遵守命令的年度證明。

值得注意的是，FTC的處罰並不排除受到影響的個人提出訴訟或者參與集體訴訟的可能。此次FTC與Facebook和解協議批准前，美國聯邦第九巡迴上訴法院則稱「即使在用戶退出社交媒體網站後，Facebook仍然會追蹤用戶的網絡活動，因而侵犯了用戶的隱私權」，「用戶可以根據聯邦和加州隱私和竊聽相關的法規進行起訴索賠」[15]；2020年1月，Facebook則同意支付5.5億美元，與原告就其在伊利諾州使用人臉識別技術而遭遇的用戶集體訴訟達成和解[16]。

Facebook和解協議中的第三方管控要求可能波及部分中國企業的業務

此次Facebook事件禍起第三方，要求整改的核心和重點也在第三方管控。此次和解協議要求Facebook建立的加強版「隱私項目」中第三方管控方面的措施，除了直接影響Facebook自身業務外，還可能波及很多中國企業作為第三方的業務。而且，此次Facebook事件也必然會給這種平臺類企業的商業模式及上下遊企業帶來一定影響。許多中國企業在開發海外版本的App或者網頁服務時，不可避免地會與國外的流量大戶例如Google和Facebook來合作，在帳號體系中增加Facebook帳號登錄選項方便用戶登錄，嵌入Facebook的分享插件，使用Facebook的廣告推送和導流等服務。這些業務模式都將可能落入到此次和解協議中Facebook需要重點整改的領域。

其實，早在與FTC達成和解協議之前，Facebook已經於2018年3月份開始展開了對使用其開發者平臺的App的盤查，以應對「劍橋分析事件」的影響。截止2019年9月，Facebook已經停用了幾萬個App的訪問權限，並對Rankwave（韓國）、LionMobi （香港）and JediMobi（新加坡）以及OneAudience（美國）等開發者提起了訴訟[17]。Facebook調查的手段也逐步精細和深入，例如對開發者進行背景調查、聘請專業電子取證公司對App進行技術測試和掃描、問詢、要求開發方提供證據自證、遠程登錄、審計開發方的系統和日誌記錄。此外，Facebook還更新了其平臺規則和政策來對第三方調取其數據的行為進行管控[18]。

我們將此次和解協議對Facebook第三方管控措施的要求摘錄如下：

（註：根據和解協議中的定義，第三方的範圍非常廣泛，包括除以下情形外，所有涉及使用或者從Facebook獲取Facebook用戶個人信息的主體：（1）基於用戶行使可攜帶權從Facebook獲取數據；（2）作為Facebook的服務提供商，僅按照Facebook的指示收集和使用數據；（3）基於法律要求、Facebook的條款或者為發現、阻止或彌補欺詐或安全漏洞等合理必要的理由使用數據。）

Facebook應當要求第三方每年就以下事項提供證明，以自證其（i）符合Facebook的平臺條款；（ii）其從Facebook獲取或者訪問數據的目的和用途，並且每一項目的和用途均符合Facebook平臺條款要求；

如果第三方未能就其獲取或者訪問數據的目的和用途進行證明，Facebook應拒絕或者停止向該第三方提供相應數據；或者如果第三方未按要求每年提供自我證明，且在合理時間內未能改正的，Facebook也應拒絕或停止向其提供數據；

通過人工審查、自動掃描、定期評估、審計或其他技術和運營測試措施，至少每十二個月對第三方是否遵守平臺協議進行監控；

僅根據違規的嚴重程度、性質和影響、以及第三方的行為、違規歷史以及適用的法律對第三方採取強制措施。

對向第三方提供數據的行為進行記錄，包括（i）授予訪問權限的欄位；（ii）提供數據或者開放訪問權限的方式；（iii）第三方的身份；（iv）第三方的自我證明；以及（v）訪問的時間。

實踐中，我們也已經協助許多中國企業應對來自Facebook、Google等美國企業的各類第三方接口審計、問詢和要求。結合我們的經驗，我們總結了如下的建議供讀者參考：

1. 盤查企業使用Facebook等第三方數據接口的情況。很多企業因為歷史原因，之前的數據合規措施不夠嚴格，沒有能夠對企業使用Facebook等平臺接口和插件的行為進行有效的管理，對於之前調取Facebook接口獲得的數據以及調取日誌沒有完整留存，導致後期在向Facebook提供材料的時候會被Facebook認為是「惡意不配合」。根據我們的經驗，Facebook的第三方的審計的諮詢公司以及律師一旦在前面幾輪的文件要求以及審計要求無法滿足的時候，就會開始升級到發律師函或者是向法院申請要求cease and desist order，要求企業配合，無論是提供資料庫的表結構的方式還是讓Facebook的調查人員以錄屏方式進行記錄。在Rankwave一案中，Rankwave之前一直對Facebook的要求一直不理不睬，於是2019年2月13日，Facebook向Rankwave發送cease and desist order，要求Rankwave: 

提供所有Rankwave佔有的Facebook數據；

列明Rankwave向其出售或以其他方式提供Facebook數據的第三方；

提供所有第三方訪問Facebook數據的訪問日誌和訪問權限；

在將Facebook數據歸還給Facebook後刪除並銷毀所有數據；

向Facebook提供訪問其數據存儲和相關設備的權限（full access to all storage and related devices），以便於Facebook可以通過審計確認Rankwave刪除了數據。

然而這些方式對於中國企業的商業秘密保護都是一種挑戰。建議企業應當儘快對其產品中使用第三方代碼、SDK、插件或者調取第三方接口的行為進行調查和評估，對於沒有合理業務目的的數據應當儘快停止。確需要繼續使用的，應當確保在隱私政策中已經向用戶告知。此外，還應注意留存相關的證明和記錄，以在應對平臺方可能的問詢時可以提供證據進行自我證明。

2. 對企業技術開發人員進行培訓。實踐中，我們看到部分企業的開發人員在進行產品開發時因為意識不高，尚不能認識到類似於Facebook開發者平臺上的平臺協議和規則對企業的法律影響。因此，企業法務和合規部門應對注意加強對開發人員的培訓和個人信息保護意識培養；注意關注平臺協議和規則的變更，並及時將平臺規則和協議中的限制要求及時地向開發人員告知。技術開發人員接到任何平臺方的問詢或其他調查要求時，技術開發人員應當能夠儘早向相關要求通知企業法務和合規部門，以便於確定應對方案。

3. 儘早建立應對平臺和其他第三方調查和審計的機制。除了涉及從Facebook獲取或者訪問數據而需要應對Facebook的管控和評估要求外，歐盟GDPR、美國加州CCPA以及我國《個人信息安全規範》中都規定了對第三方管理的要求，也規定了一些第三方數據接口的管理。對在各大平臺上進行數據和廣告合作的中國企業來說，將來不可避免地會接受到來自不同合作方的問詢和審計要求。隨著大家經驗的積累，此類調查和審計的深度和顆粒度都會不斷提高。企業儘早建立響應的機制和程序，才能儘量控制此類調查和審計對業務影響以及儘量降低企業風險。

[1] 參見https://ico.org.uk/action-weve-taken/enforcement/facebook-ireland-ltd/，最後訪問於2020年4月27日。

[2] 參見「Italy: Garante's fine against Facebook over Cambridge Analytica case」，https://platform.dataguidance.com/opinion/italy-garantes-fine-against-facebook-over-cambridge-analytica-case，最後訪問於2020年4月27日。

[3] 參見「Brazil fines Facebook $1.6 million for improper sharing of user data」，https://www.reuters.com/article/us-facebook-brazil-fine/brazil-fines-facebook-1-6-million-for-improper-sharing-of-user-data-idUSKBN1YY0VK，最後訪問於2020年4月27日。

[4] 參見「Colombia orders Facebook to step up data protection measures」，https://colombiareports.com/colombia-orders-facebook-to-step-up-data-protection-measures/，最後訪問於2020年4月27日。

[5] 參見「Canadian agency asks federal court to declare Facebook contravened privacy law」，https://www.reuters.com/article/us-facebook-canada/canadian-agency-asks-federal-court-to-declare-facebook-contravened-privacy-law-idUSKBN2002M9，最後訪問於2020年4月27日。

[6] 參見「FTC Imposes $5 Billion Penalty and Sweeping New Privacy Restrictions on Facebook」，https://www.ftc.gov/news-events/press-releases/2019/07/ftc-imposes-5-billion-penalty-sweeping-new-privacy-restrictions，最後訪問於2020年4月27日。

[7] 同上注。

[8] 參見「Dissenting Statement of Commissioner Rebecca Kelly Slaughter In the Matter of FTC vs. Facebook」， 最後訪問於2019年7月24日。

[9] 參見「Dissenting Statement of Commissioner Rohit Chopra In re Facebook, Inc. Commission」， 最後訪問於2019年7月24日。

[10] 參見「US judge: FTC’s 『stunning』 Facebook allegations call into question country’s privacy regime」，https://globaldatareview.com/data-privacy/us-judge-ftcs-stunning-facebook-allegations-call-question-countrys-privacy-regime?utm_source=Ju，最後訪問於2020年4月27日。

[11] 參見United States v. Facebook, Inc., Civil Action No. 2019-2184 (D.D.C. 2020)。

[12] 參見「Data Protection & Privacy in United States」，https://gettingthedealthrough.com/area/52/jurisdiction/23/data-protection-privacy-2020-united-states/，最後訪問於2020年4月27日。事實上，FTC除了依靠FTC Act第五節原則性條款開展執法外，也會依據行業性規範對具體行業中的企業違法行為進行執法，包括兒童隱私領域的《兒童在線隱私保護法》（Children Online Privacy Protection Act, COPPA），徵信金融領域的《公平信用報告法》（Fair Credit Reporting Act, FCRA）和《格雷姆-裡奇-比利雷法》（Gramm-Leach-Bliley Act, GLB Act），電信領域的《電話營銷規定》（Telemarketing Sales Rule, TSR）等。

[13] 參見「Privacy & Data Security Update: 2019」，https://www.ftc.gov/system/files/documents/reports/privacy-data-security-update-2019/2019-privacy-data-security-report-508.pdf，最後訪問日期：2020年4月27日。

[14] 同上注。

[15] 參見「Privacy lawsuit against Facebook revived」，https://www.straitstimes.com/world/united-states/privacy-lawsuit-against-facebook-revived，最後訪問日期：2020年4月27日。

[16] 參見「Facebook pays $550M to settle facial recognition privacy lawsuit」，https://www.cnet.com/news/facebook-pays-up-550m-for-facial-recognition-privacy-lawsuit/，最後訪問日期：2020年4月27日。

[17] 參見「An Update on Our App Developer Investigation」, https://about.fb.com/news/2019/09/an-update-on-our-app-developer-investigation/，最後訪問時間2020年4月27日。

[18] 參加 「API Updates and Important Changes」, https://developers.facebook.com/blog/post/2019/04/25/api-updates/，最後訪問時間2020年4月27日。