Facebook數據門的“禮物”

4月10日和11日， Facebook的CEO紮克伯格一改灰色T恤衫和牛仔褲的習慣裝束， 身著正裝現身美國國會， 以唯一證人的身份回答國會議員就8700萬使用者個人資訊洩露事件的質詢。

紮克伯格在這場“政治法律課”中的表現如何?資本市場給出了最好的答案——聽證會後， Facebook的股價逆勢上揚4.5%和0.78%。 然而， 這並不意味Facebook案就這樣結束了， 事實上， 美國聯邦貿易委員會(FTC)、英國個人資料保護機構資訊專員辦公室(ICO)的調查行動正在進行， 紮克伯格承諾的義務尚未履行， 國會議員的監管議案亦箭在弦上。 就此而言， 與其認為Facebook資料門已風平浪靜， 不如說現在恰是風暴眼中的寧靜， 它對Facebook和世界的影響將是深遠的和不可逆轉的。 對於在大洋彼岸作壁上觀的我們， 此時不妨將這一事件看做一件“禮物”， 因為誠如智慧的巴菲特所告誡的：“既然人必須從錯誤中學習， 那麼， 最好的事情就是從別人的錯誤中學習”。

給平臺運營者的禮物：從免費到付費

在Facebook資料門後不久， 蘋果公司的CEO庫克就當眾表態， 他不會陷入紮克伯格的處境， 因為“我們關心用戶體驗， 我們不會拿你的私人生活作交換。 ”對此， 紮克伯格直斥其“極其膚淺”， 他還援引亞馬遜公司CEO傑夫•貝索斯一句“名言”， 說道：“有些公司努力從你身上賺更多錢， 有些公司努力讓你花更少錢。 ”顯然， 這兩位世界級企業CEO的口水戰絕非源於他們個人的好惡， 也不關乎企業倫理， 而只是企業類型之別而已。

儘管蘋果公司和Facebook都是典型的高科技公司， 但兩者的收入結構卻截然不同：前者以手機、電腦、平板等有形產品的銷售為利潤來源;後者則以無形的網路廣告為盈利點。 在這一表像差異背後，

是兩大公司道路分歧。 借用派克(Geoffrey G. Parker)、埃爾斯泰恩(Marshall W. Van Alstyne)和邱達利(Sangeet Paul Choudary)的觀點， 蘋果公司更像“管道”， 各種資源在管道中流動並增加價值， 從矽谷到富士康再到消費者， 呈現出一條“線性價值鏈”;相反， Facebook是“平臺”的運營者， 利用資訊技術連接起生態系統中互動的人、機構和資源， 創造出意想不到的價值並進行價值交換。 不同於有形產品， 平臺運營者提供的資訊產品複製成本極低， 而正如凱文•凱利在《新經濟， 新規則》一書向我們展現的：“任何能被複製的東西， 價格都將趨近於零或者免費。 ”因此， 平臺運營者的最佳策略是先人一步推行低價， 而最明智的做法就是將免費作為定價的終極目標。 不僅如此， 在“網路效應”(network effective)作用下， “免費”進一步成為推動平臺爆發的重要力量。

然而， 平臺運營者不是在做慈善， 它們的目的仍然是營利。 在普遍免費的模式下， 它們不太可能向其用戶收費， 而只能採用“羊毛出在狗身上”的方法——向協力廠商收取費用， 互聯網廣告業務由此應運而生。 為了讓廣告投放精准高效， 平臺運營者就必須瞭解使用者， 利用個人資訊的使用者“畫像”(profiling)技術由此成為他們的殺手鐧。 斯坦福大學電腦科學教授米哈爾•科辛斯基(Michal Kosinski)指出：“瞭解一個人 10 個Facebook的點贊， 對這個人的瞭解足以超越這個人的普通同事;瞭解 70 個點贊， 則對這個人的瞭解足以超過這個人的朋友;如果瞭解超過 300 個點贊， 那麼恐怕會比這個人最親密的伴侶更瞭解這個人。 ”實際上， Facebook一直宣稱能夠通過“廣泛類別(如跑步)和精確興趣定位(如喜歡特定運動品牌)”，

幫助廣告主尋找最適合的用戶類型。 正因如此， “免費+廣告”成為Facebook等平臺的主流商業模式。

不過， 現在可能到了重新思考這一模式正當性的思考。 一方面， 隨著個人對其資訊關注度的提升， 他們日益發現：所謂“免費”的實質， 是用難以計價的個人資訊交換了可以計價的網路服務， 在某種意義上， 這種“免費”很“昂貴”。 另一方面， 像Facebook這樣的巨型平臺已經成功跨越了“引爆點”， 如何有效挖掘用戶的價值， 而非如何擴大流量， 才是它們角力的關鍵。 美國聚會網站Meetup的發展歷程表明：向用戶收費並不會扼殺平臺， 相反， 通過高品質的服務和互動， 最大化了積極的網路效應。 或許，因Facebook個人資訊洩露所激發的抵制活動以及“刪除Facebook運動”(#DeleteFacebook)，恰恰是重構商業模式的最佳契機。

基於使用者對個人資訊洩露和濫用的擔憂，平臺運營者完全可以在“普遍免費模型”外，引入“個別收費模式”。在“免費模式”下，使用者就其個人資訊享有統一的法定保障，平臺運營者可以在“合法、正當、必要”的範圍內收集和使用個人資訊，並可以在遵守法律的前提下對外分享。而在“付費模式”下，鑒於使用者支付了足以覆蓋平臺運營者成本和利潤的費用，他們應享有定制化和高標準的合同保障，其個人資訊一般不被收集，更不得用於廣告行銷、用戶畫像、自動化決策、二次利用或其他目的。

“普遍免費和個別付費”的並行是一個多方共贏的模式。一方面，它最大程度地滿足了不同用戶的需求。的確，如紮克伯格在回應庫克時所言，如果你想建立一個服務來説明連接世界上的每個人，那麼有很多人會無力付費，這就是為什麼基於廣告的商業模式是唯一“理性”的原因。但是，並非所有人都無力支付服務費用，也並非所有人都將網路服務的便捷性置於個人資訊的安全性之上。對於這些人，付費模式拓展了他們的選擇權。利益分野和價值分歧的不同用戶因此能各得其所。在另一方面，新的商業模式有助於平臺運營者的業績增長。不論是免費，還是付費，平臺運營者都可以獲得收入，只是來源不同而已，這化解了無法通過資訊複製來覆蓋資訊生產成本的矛盾。更重要的是，通過觀察使用者對模式的選擇，平臺運營者將“個人資訊遲鈍者”和“個人資訊敏感者”區分來開。這種分離均衡的設計，在維繫既有用戶之餘，還能吸引在單一免費模式下拒絕加入或打算退出的“個人資訊敏感者”。用戶數量的擴大和信任關係的鞏固，使得平臺運營者成為最後的受益者。正是看到了這一點， Facebook首席運營官謝樂爾•桑德伯格(Sheryl Sandberg)不久前表示考慮推出Facebook付費版，從而允許用戶選擇不把他們的個人資訊分享給廣告客戶。

給平臺監管者的禮物：從標準化管理到基於風險的管理

Facebook資料門所暴露出的監管失靈是另一件珍貴的禮物。長久以來，對個人資訊的保護建立在“保密資訊”和“公開信息”、“一般資訊”和“敏感資訊”等不同標準之上。前一種分類意味著，一旦個人將其資訊公之於眾，則放棄了隱私權，其資訊不再受到法律的保護。2017年，在由hiQ公司爬取領英網站上公開的使用者資訊而發生的訟爭中，美國法院重申了這一立場。後一種分類意味著，種族、民族、政治觀點、宗教信仰、個人基因資料、生物特徵資料、健康資料、性生活、性取向等資訊構成了“敏感資訊”，其收集和使用受到嚴格限制，而除此以外的資訊則屬於“一般資訊”，其監管相對寬鬆，這也是我國《個人資訊安全規範》採取的進路。然而，Facebook資料門一出，上述標準就全然失效了。對於Facebook使用者來說，他們確實把資訊公開了，但他們肯定不想將之運用於政治宣傳和洗腦，這種對個人資料的使用不論是否構成“洩露”(data breach)，肯定違背了信任(trust breach);對於劍橋分析公司和亞歷山大•科根(Aleksandr Kogan)而言，他們僅僅收集和處理了Facebook用戶的城市、興趣、工作經歷、點贊等“一般資訊”，就能夠不受限制地獲得用戶的“政治觀點”——這一敏感資訊。基於人工智慧和大資料等新技術的資料分析顯然已經超越了監管者對個人資訊的分類和想像。

為此，監管機構有必要從中吸取教訓，適時調整“關注安全底線的、靜態的、整齊劃一的監管”，轉向立足於具體場景和風險導向的監管。質言之，監管者不可固守於個人資訊公開與否或者是否屬於敏感資訊，而必須認識到：資訊處理的合法邊界取決於符合用戶的合理期待以及沒有造成不合理的風險，進而根據“個人資訊處理行為的性質、範圍、環境、目的和對個人、社會、政治風險帶來風險和損害的可能性與嚴重性”，進行有的放矢的差異化監管。

監管思路的轉變首先要求監管者能夠有效識別高風險的資料處理行為。參照即將於5月25日生效的歐盟《統一資料保護條例》(GDPR)，我們將高風險的處理行為初步分為三類。一是個人資訊的自動化決定，即通過自動化的資料處理方法，評估、分析及預測個人的工作表現、經濟狀況、位置、健康狀況、個人偏好、可信賴度或者行為表現，進而利用這種“畫像”，在不同的業務場景中作出影響用戶權利、義務的決定。由於電腦決策的“黑箱難題”，這種自動化決定應被嚴格監管。二是大量處理個人資訊。量變引起質變，倘若資料處理涉及的人數太眾、內容太多，相關風險就已經從個人權益侵害的可能性提升到公共空間或國家層面的系統風險。正因如此，我國《個人資訊和重要資料出境安全評估辦法(徵求意見稿)》將事關國家安全的資料標準設定在“累計50萬人以上”或“總量超過1000GB”。三是公共區域大規模的系統化監控。在商場、酒店、工廠、辦公場所等公共空間，使用閉路電視(CCTV)對民眾或雇員進行視頻監控，有助於預防違法犯罪行為或意外事件的發生，但同時也可能損害個人隱私。正如360水滴直播風波所顯示的，人們對此十分敏感。所以，在此情形下，通過店堂告示、工作紀律等方法進行單方宣示是不夠的，運營者還需要在明確告知被監控者的基礎上，證明監控的正當性、透明性以及手段和目的之間的適當性。

監管者還應識別出高風險的個人資訊控制者。從傳媒到出行，從健康醫療到金融產業，從電子商務到專業服務，網路平臺的崛起已顛覆了經濟與社會的各個方面。在林林總總的平臺中，就個人資訊的數量、豐富性和完整性而言，以Facebook為代表的社交平臺遠超同儕。這是因為，如果說功能導向的平臺是把現實空間的活動向網路空間延伸的話，那麼社交平臺早已徹底融入我們的真實生活，成為其中密不可分的一部分。我們的一舉一動、一言一行、喜怒哀樂都被它記錄和分析。就此而言，恰恰是社交平臺的存在，才令數位化生存變得可能。“能力越大，責任也越大”，蜘蛛俠叔叔本的這句話同樣適用於社交平臺。與其他平臺的任務主要集中於網路系統的穩定可靠，防範網路攻擊和破壞，進而維護個人資訊的完整性、保密性、可用性不同，社交平臺尤其需要關注因個人資訊處理對現實空間的安全造成損害，避免引發經濟風險、社會風險和政治風險。Facebook資料門的軒然大波，很大程度上源自公眾對其在美國總統大選中所作所為的不滿。正是由於社交平臺的高風險性質，2017年6月，德國專項出臺《改進社交網路中法律執行的法案》，明確社交平臺對內容管控的主體責任和報告義務，並規定違反義務的平臺將承擔5000萬歐元的重責。

在迅速發展和不斷開放的數位社會中，個人資訊的風險永遠不可能消除。故而，無論是平臺運營者，還是平臺監管者所做的並不是要杜絕風險，而是在賦予我們每個人應有權利的前提下，減少大規模風險發生的幾率、限制風險可能造成的損失。放寬視野看，Facebook資料門沒有改變平臺革命的歷史趨勢，但它一定改變了平臺未來的商業模式和監管方式，改變了我們的情感、利益和觀念，畢竟，在這個世界上，“真正不變的只有變化”。

(本文僅代表作者本人觀點，作者系法學博士、中國人民大學金融科技與互聯網安全研究中心副主任，責編：閆曼 [email protected])

或許，因Facebook個人資訊洩露所激發的抵制活動以及“刪除Facebook運動”(#DeleteFacebook)，恰恰是重構商業模式的最佳契機。

基於使用者對個人資訊洩露和濫用的擔憂，平臺運營者完全可以在“普遍免費模型”外，引入“個別收費模式”。在“免費模式”下，使用者就其個人資訊享有統一的法定保障，平臺運營者可以在“合法、正當、必要”的範圍內收集和使用個人資訊，並可以在遵守法律的前提下對外分享。而在“付費模式”下，鑒於使用者支付了足以覆蓋平臺運營者成本和利潤的費用，他們應享有定制化和高標準的合同保障，其個人資訊一般不被收集，更不得用於廣告行銷、用戶畫像、自動化決策、二次利用或其他目的。

“普遍免費和個別付費”的並行是一個多方共贏的模式。一方面，它最大程度地滿足了不同用戶的需求。的確，如紮克伯格在回應庫克時所言，如果你想建立一個服務來説明連接世界上的每個人，那麼有很多人會無力付費，這就是為什麼基於廣告的商業模式是唯一“理性”的原因。但是，並非所有人都無力支付服務費用，也並非所有人都將網路服務的便捷性置於個人資訊的安全性之上。對於這些人，付費模式拓展了他們的選擇權。利益分野和價值分歧的不同用戶因此能各得其所。在另一方面，新的商業模式有助於平臺運營者的業績增長。不論是免費，還是付費，平臺運營者都可以獲得收入，只是來源不同而已，這化解了無法通過資訊複製來覆蓋資訊生產成本的矛盾。更重要的是，通過觀察使用者對模式的選擇，平臺運營者將“個人資訊遲鈍者”和“個人資訊敏感者”區分來開。這種分離均衡的設計，在維繫既有用戶之餘，還能吸引在單一免費模式下拒絕加入或打算退出的“個人資訊敏感者”。用戶數量的擴大和信任關係的鞏固，使得平臺運營者成為最後的受益者。正是看到了這一點， Facebook首席運營官謝樂爾•桑德伯格(Sheryl Sandberg)不久前表示考慮推出Facebook付費版，從而允許用戶選擇不把他們的個人資訊分享給廣告客戶。

給平臺監管者的禮物：從標準化管理到基於風險的管理

Facebook資料門所暴露出的監管失靈是另一件珍貴的禮物。長久以來，對個人資訊的保護建立在“保密資訊”和“公開信息”、“一般資訊”和“敏感資訊”等不同標準之上。前一種分類意味著，一旦個人將其資訊公之於眾，則放棄了隱私權，其資訊不再受到法律的保護。2017年，在由hiQ公司爬取領英網站上公開的使用者資訊而發生的訟爭中，美國法院重申了這一立場。後一種分類意味著，種族、民族、政治觀點、宗教信仰、個人基因資料、生物特徵資料、健康資料、性生活、性取向等資訊構成了“敏感資訊”，其收集和使用受到嚴格限制，而除此以外的資訊則屬於“一般資訊”，其監管相對寬鬆，這也是我國《個人資訊安全規範》採取的進路。然而，Facebook資料門一出，上述標準就全然失效了。對於Facebook使用者來說，他們確實把資訊公開了，但他們肯定不想將之運用於政治宣傳和洗腦，這種對個人資料的使用不論是否構成“洩露”(data breach)，肯定違背了信任(trust breach);對於劍橋分析公司和亞歷山大•科根(Aleksandr Kogan)而言，他們僅僅收集和處理了Facebook用戶的城市、興趣、工作經歷、點贊等“一般資訊”，就能夠不受限制地獲得用戶的“政治觀點”——這一敏感資訊。基於人工智慧和大資料等新技術的資料分析顯然已經超越了監管者對個人資訊的分類和想像。

為此，監管機構有必要從中吸取教訓，適時調整“關注安全底線的、靜態的、整齊劃一的監管”，轉向立足於具體場景和風險導向的監管。質言之，監管者不可固守於個人資訊公開與否或者是否屬於敏感資訊，而必須認識到：資訊處理的合法邊界取決於符合用戶的合理期待以及沒有造成不合理的風險，進而根據“個人資訊處理行為的性質、範圍、環境、目的和對個人、社會、政治風險帶來風險和損害的可能性與嚴重性”，進行有的放矢的差異化監管。

監管思路的轉變首先要求監管者能夠有效識別高風險的資料處理行為。參照即將於5月25日生效的歐盟《統一資料保護條例》(GDPR)，我們將高風險的處理行為初步分為三類。一是個人資訊的自動化決定，即通過自動化的資料處理方法，評估、分析及預測個人的工作表現、經濟狀況、位置、健康狀況、個人偏好、可信賴度或者行為表現，進而利用這種“畫像”，在不同的業務場景中作出影響用戶權利、義務的決定。由於電腦決策的“黑箱難題”，這種自動化決定應被嚴格監管。二是大量處理個人資訊。量變引起質變，倘若資料處理涉及的人數太眾、內容太多，相關風險就已經從個人權益侵害的可能性提升到公共空間或國家層面的系統風險。正因如此，我國《個人資訊和重要資料出境安全評估辦法(徵求意見稿)》將事關國家安全的資料標準設定在“累計50萬人以上”或“總量超過1000GB”。三是公共區域大規模的系統化監控。在商場、酒店、工廠、辦公場所等公共空間，使用閉路電視(CCTV)對民眾或雇員進行視頻監控，有助於預防違法犯罪行為或意外事件的發生，但同時也可能損害個人隱私。正如360水滴直播風波所顯示的，人們對此十分敏感。所以，在此情形下，通過店堂告示、工作紀律等方法進行單方宣示是不夠的，運營者還需要在明確告知被監控者的基礎上，證明監控的正當性、透明性以及手段和目的之間的適當性。

監管者還應識別出高風險的個人資訊控制者。從傳媒到出行，從健康醫療到金融產業，從電子商務到專業服務，網路平臺的崛起已顛覆了經濟與社會的各個方面。在林林總總的平臺中，就個人資訊的數量、豐富性和完整性而言，以Facebook為代表的社交平臺遠超同儕。這是因為，如果說功能導向的平臺是把現實空間的活動向網路空間延伸的話，那麼社交平臺早已徹底融入我們的真實生活，成為其中密不可分的一部分。我們的一舉一動、一言一行、喜怒哀樂都被它記錄和分析。就此而言，恰恰是社交平臺的存在，才令數位化生存變得可能。“能力越大，責任也越大”，蜘蛛俠叔叔本的這句話同樣適用於社交平臺。與其他平臺的任務主要集中於網路系統的穩定可靠，防範網路攻擊和破壞，進而維護個人資訊的完整性、保密性、可用性不同，社交平臺尤其需要關注因個人資訊處理對現實空間的安全造成損害，避免引發經濟風險、社會風險和政治風險。Facebook資料門的軒然大波，很大程度上源自公眾對其在美國總統大選中所作所為的不滿。正是由於社交平臺的高風險性質，2017年6月，德國專項出臺《改進社交網路中法律執行的法案》，明確社交平臺對內容管控的主體責任和報告義務，並規定違反義務的平臺將承擔5000萬歐元的重責。

在迅速發展和不斷開放的數位社會中，個人資訊的風險永遠不可能消除。故而，無論是平臺運營者，還是平臺監管者所做的並不是要杜絕風險，而是在賦予我們每個人應有權利的前提下，減少大規模風險發生的幾率、限制風險可能造成的損失。放寬視野看，Facebook資料門沒有改變平臺革命的歷史趨勢，但它一定改變了平臺未來的商業模式和監管方式，改變了我們的情感、利益和觀念，畢竟，在這個世界上，“真正不變的只有變化”。

(本文僅代表作者本人觀點，作者系法學博士、中國人民大學金融科技與互聯網安全研究中心副主任，責編：閆曼 [email protected])