Facebook事件的中国解决方案

最近的Facebook数据泄露事件引起中国法学界的广泛讨论。该事件之所以受到关注，是因为我们感同身受，类似事情在我们身边不断发生：年初支付宝年度账单默认勾选《芝麻服务协议》被质疑侵犯隐私权，百度涉嫌侵害消费者个人信息安全被江苏省消保委提起公益民事诉讼……

先不妨回顾一下Facebook事件的经过：2013年，剑桥大学研究人员科根通过一款性格测试应用获得了包括Facebook的27万用户及好友在内的近5000万人的数据。随后，未经Facebook同意，科根将上述数据转移给“剑桥分析”公司。2015年，Facebook要求科根和剑桥分析公司删除所有数据，但事后并没有跟踪执行情况。2016年，这些数据通过算法被用于政治广告的精确投放，并最终影响美国总统大选进程。

由此看来，Facebook事件爆发的主要原因是平台企业和政府对数据监管的双重失位，所反映出的核心法律问题则是如何平衡数据安全与数据流通之间的关系，而最佳解决方案则是重构政府与平台企业的合作治理机制。在此，笔者结合欧盟《统一数据保护条例》，设计如下中国特色的解决方案。

所谓合作治理机制，其目标是实现数据权利保护和数据自由流通的平衡：既要保护自然人的数据权利和自由，但也不能因噎废食，不能仅仅因为个别自然人的权利保护而被违法地大面积限制或禁止数据的自由流通。

合作治理机制强调的是开放、分享式的多元治理。这种治理机制既包括政府规制，同时也包括非正式、非政府的平台企业自我规制机制，让社会各阶层和组织得以借助这些机制满足各自需要，并实现各自愿望。

就数据控制者及处理者的自我规制而言，其应当遵循合法、公平和透明等原则，确保数据主体的权利得到保护。作为数据控制者的平台企业和作为数据处理者的第三方企业，应当在数据主体明示同意(opt-in)的前提下，基于具体、明确、合法的目的及损害最小化的原则收集和处理数据。

数据处理者作出行为的法律依据，是合同或者数据控制者的书面授权。授权范围和形式必须要具体、明确，数据处理者不能在授权范围之外收集和处理任何数据。否则，数据控制者有权要求其停止一切处理行为，并删除所有相关数据。

具体而言，数据控制者及处理者首先要就数据处理履行安全义务。其应当实施适当的技术和组织措施，确保数据处理的安全水平与风险程度相一致，这些措施包括数据的假名化机制和加密措施，确保数据处理系统的保密性、完整性、有效性和自我修复的能力等。

其次，有向监管机构报告数据泄露的法律义务。在发现数据泄露后，数据控制者和处理者应当及时并如实向监管机构报告泄露情况，具体包括数据泄露涉及的数据主体，数据信息的种类、数量，数据泄露可能导致的危害结果，以及处理数据泄露的应急措施等内容。

再次，负有向数据主体报告数据泄露的法律义务。当数据泄露可能对自然人的权利和自由产生较高风险时，数据控制者应当立即将数据泄露的事实告知数据主体。在影响人数极大且通讯困难等情况下，数据控制者可以通过大众传媒来使数据主体获得同样有效的告知。(责任编辑：方向)