"近5000万用户的账户可能遭遇入侵甚至盗用",这到底意味着什么?
日前,美国社交媒体巨头“脸书”(Facebook)又一次遭遇大规模用户数据泄露引发各界的广泛关注。
媒体报道显示,当地时间10月3日,位于爱尔兰的Facebook欧洲总部也开始对本次事件展开调查,爱尔兰数据保护委员会正在考虑对Facebook进行处罚。
试想,如果被入侵的账户所有者都是英国用户的话,相当于英国全体国民的个人账户被入侵或盗用了,这对一个国家的伤害是“致命性”,相当于一国全民互联网“裸奔”。
而如果被入侵的账户是随机分布的话,那么实施入侵或盗用的不法分子,基本可以据此“抽样”统计和分析,进而获得某一平台全球范围内的用户特征和趋势。
当然,更致命的是,这些被入侵或盗用的账户所有者,虽然账户已经被非法入侵或盗用,但是,用户可能依旧浑然不知,这不仅意味着用户账户内的虚拟或数字资产安全性受到威胁。
更重要的是,一旦某天不法分子操控此类发布一些不当信息,不仅可能会引发资本市场的股价波动,甚至不排除可能会引发一个国家的骚乱。
而这恐怕也是欧洲严格个人数据立法保护的初衷所在。
考虑到欧盟地区立法和执法标准历来较为严格,再加上欧盟《一般数据保护条例》已经生效,该事件会否处罚该条例的适用也成为各方关注的焦点。
适用前提:平台有违反安全政策的行为
从立法角度来看,2018年5月25日起生效施行的《一般数据保护条例》对个人数据的搜集、存储、传输、处理以及泄露等各个环节可能出现的意外,以及相应平台公司需要担负的责任或义务,均作了较为明确的规定。
而对于Facebook出现的“近5000万用户的账户可能遭遇入侵甚至盗用”问题,是否可以适用欧盟《一般数据保护条例》,首要判定条件是,平台内的用户账户遭遇入侵甚至盗用是否满足《一般数据保护条例》关于个人数据泄露的界定或定义。
按照《一般数据保护条例》规定,“个人数据泄露”是指由于违反安全政策而导致传输、储存、处理中的个人数据被意外或非法损毁、丢失、更改或未经同意而被公开或访问。
简单说,构成《一般数据保护条例》意义上的“个人数据泄露”需要满足三个条件,其一,平台有违反安全政策的行为,其二,有出现个人数据“损毁、丢失、更改或未经同意而被公开或访问”的不当后果,其三,出现这种不当后果具有意外性或非法性。
因此,如果Facebook能证明其平台上出现的“近5000万用户的账户可能遭遇入侵甚至盗用”问题,其采取了必要的安全防范措施或手段,本身并无违反安全政策的不当行为,也就是没有过错,那么,这种客观上发生的“用户个人数据泄露”问题,并不能直接要求平台承担相应的责任。
其他义务:报告不及时需承担相应责任
按照《一般数据保护条例》规定,在个人数据泄露的情形中,如果可行,平台应在知悉后应当及时(至迟在72小时内)将个人数据泄露告知有权监管机构,除非个人数据泄露对于自然人的权利与自由不太可能会带来风险。对于不能在72小时以内告知监管机构的情形,应当提供延迟告知的原因。
简单说,对于各类平台可能发生的用户个人数据泄露问题,平台均负有及时报告义务。
以Facebook遭遇的用户个人数据泄露问题为例,如果Facebook在知悉或发现用户个人数据泄露问题后72小时内,未及时向有关监管机构报告或告知,那么,Facebook也是需要承担一定的管理不善责任。
按照《一般数据保护条例》规定,如果Facebook未能及时向有权监管机构及时报告或告知个人数据泄露事件,可能被处以“最高1000万欧元”或“其上一年全球总营业额2%的金额”的行政罚款,其中,最终罚款金额取两者较高的一个。
而回到Facebook平台上发生的“近5000万用户的账户可能遭遇入侵甚至盗用”问题,虽然目前尚无法确认在“账户被入侵或盗用”过程中,Facebook本身是否存在过错,其是否应当就其给用户造成的损失承担赔偿责任还有待进一步查明。
但是,如果该事件发生后,Facebook报告不及时的话,也就是报告义务履行不及时的话,也是可能难逃被处以巨额行政罚款的可能。
罚款高低:需综合考量危害、影响等
对于任何立法来说,罚款本身不是目的,而是希望通过设定“警戒线”,让义务主体能够提高警惕,加强技术投入,避免不当事件的发生。
以《一般数据保护条例》为例,其本质是为了加强个人数据安全保护,而不是为了利用数据泄露实现罚款创收或变现。
因此,一旦包括类似谷歌、Facebook等平台发生了类似个人数据泄露问题时,相关平台是否需要承担责任以及需要承担多大的责任,也是受多种因素影响。
事实上,相关平台可能被处以罚款额的高低,取决于多方面的因素,比如,数据泄露的规模、持续的时间、给用户造成的损失等等,甚至报告的准确性、全面性及及时性,都是需要相关监管机构综合考量的。
除了谷歌、Facebook等平台,对于国内的微信、阿里、京东等众多全球性平台公司,其用户来源是多元的,其服务范围也是广泛的,很多平台都可能因属于《一般数据保护条例》说界定的“控制者”或“使用者”,而可能需要受到该法律的束缚。
因此,对于类似Facebook遭遇"近5000万用户的账户可能遭遇入侵甚至盗用"问题,更多的是应该引起各大平台的警惕,更多应该是主动翻查自身的个人数据保护机制是否健全,有无漏洞或不足,而不是幸灾乐祸。
简单说,如果不能从其他平台遭遇的数据意外事件中吸取经验、总结教训和提高防范,不排除下一个遭殃的就是国内互联网平台,到时候可能面临重罚的就不是美国网络巨头了。
