因在個人信息保護方面違法作出不實隱私保護陳述，F(xiàn)acebook在2011年曾被美國聯(lián)邦貿易委員會(FTC)調查。雙方最終和解：Facebook承諾不再作出不實陳述，同時承諾不會在用戶同意前將其個人信息與第三方共享。

但是，F(xiàn)acebook并未徹底彌補個人信息保護漏洞。2016年，借助一款置于Facebook平臺上的應用，劍橋分析(Cambridge Analytica)收集了約8700萬Facebook用戶的個人信息?；谶@些海量數據，劍橋分析利用精準推送影響2016年美國大選，在美國引起軒然大波。Facebook因而再次引來FTC調查。

近日，F(xiàn)TC宣布與Facebook和解，并對后者作出三項處罰：第一，罰款50億美元，這相當于Facebook年收入的9%，遠高于歐洲《通用數據保護條例》規(guī)定的罰款金額不超過企業(yè)全球收入4%的上限;第二，多方面強化隱私合規(guī)，包括限制企業(yè)濫用手機號碼，限制收集、濫用人臉信息，強化對個人信息收集、使用行為的告知，保障用戶刪除個人信息的權利，加強對個人信息的防護，等等;第三，設立獨立的隱私委員會、隱私合規(guī)官和外部隱私監(jiān)察官，監(jiān)督并報告Facebook強化隱私合規(guī)的情況。

目前，F(xiàn)TC的處罰仍待美國司法部批準，但按照慣例，司法部通常不會反對FTC的決定，因此，這將是史上金額最大的個人信息罰單。

Facebook案反映的主要問題

首先，基于個人信息進行“新聞定制”會危及國家安全。Facebook一案受到美國國會、政府，以及社會各方面關注的最主要原因在于：個人信息被大量收集利用后，用戶接收的信息被“量身定制”，進而干擾了2016年美國大選。借助性別、所在地點、就讀學?；蛘咛膬热莸戎T多個人信息，劍橋分析等助選企業(yè)得以推斷用戶宗教信仰、政治傾向等敏感信息。在此基礎上，此類企業(yè)可以精確推送精心設計、具備引導政治傾向效用的信息，以誘導投票行為。由于兩黨在“搖擺州”支持率差距很小，此類誘導行為可能起到關鍵作用。這劇烈沖擊了美國標榜的選舉民主制度。

其次，僅依靠“柔性”監(jiān)管難以落實對個人信息的保障。2018年之前，美國個人信息保護主要依賴FTC，而FTC的監(jiān)管又很少施以嚴罰。大部分情況下，F(xiàn)TC只會要求侵犯個人信息的企業(yè)停止侵犯行為，承諾不再犯，并在企業(yè)內部采取措施實現(xiàn)上述承諾，或定期提交報告說明履行承諾的情況。

在2011年對Facebook的調查中，F(xiàn)TC即作出了類似處罰。然而，在Facebook這一案例中，F(xiàn)TC的“柔性”處理，反而釀成了更為深重的后果。因此，本案發(fā)生后，美國社會各界呼吁對Facebook采取嚴厲措施。

再次，“免費”商業(yè)模式下，僅依靠企業(yè)自律，無法保障個人信息安全。有FTC委員指出：Facebook商業(yè)模式的核心，就是記錄用戶各種特征和一舉一動，再針對性投放廣告。因此，這家企業(yè)始終渴求更多個人信息。

有美國媒體統(tǒng)計：因侵犯用戶個人信息，F(xiàn)acebook首席執(zhí)行官扎克伯格曾先后在2006年、2007年、2009年、2010年、2011年、2013年、2018年多次向用戶道歉。然而，F(xiàn)acebook至今對用戶個人信息的保護狀況仍令人難以滿意。此外，在很長一段時間內，對應用開發(fā)者過度獲取個人信息的行為，F(xiàn)acebook聽之任之。

值得注意的是，政商關系正影響美國互聯(lián)網行業(yè)個人信息保護。近年來，美國媒體與學術界時常詬病大型互聯(lián)網企業(yè)與聯(lián)邦政府間的密切聯(lián)系。有學者因此提出“美第奇循環(huán)”的概念：大型互聯(lián)網企業(yè)借助游說、選舉捐款等手段影響政治權力的運作，再循政治權力的偏向擴大自身的規(guī)模。企業(yè)規(guī)模與企業(yè)的政治影響彼此加強。

對此次FTC調查，F(xiàn)acebook早在2019年一季度季報中就說明：已撥出30億-50億美元，以應對將有的和解。最終罰款數目確實沒有超過這一范圍。和解頒布當天，F(xiàn)acebook股價不跌反升。這些現(xiàn)象說明：Facebook和華爾街都預見到了和解內容。對Facebook來說，這次懲罰可謂輕微：面對波及如此廣泛、各界輿論如此不利的調查，最終罰款數額僅為其季度利潤的三分之一。

最后，處罰是否能遏制濫用個人信息的行為，效果仍然成疑。除和解協(xié)議外，F(xiàn)TC還發(fā)布了參與決策委員的意見。有兩位委員對和解提出尖銳批評：相比Facebook濫用個人信息的獲利，本次罰款不能算重;知曉甚至參與濫用個人信息的Facebook的高層沒有受到處罰;和解幾乎“赦免”了Facebook先前一切相關違規(guī)行為;和解要求建立的隱私委員會、合規(guī)官和監(jiān)察官，有較大可能淪為“紙面功夫”。媒體方面，有報道將這次處罰形容為“輕輕敲打”。如果處罰不夠重，F(xiàn)acebook未必會徹底改正。

對美國個人信息保護的影響

目前，在聯(lián)邦層面，美國始終沒有一般性的個人信息保護立法。相關法律分散在醫(yī)療、征信等個別行業(yè)，或僅針對未成年人等特定群體。因此，對Facebook及劍橋分析的行為，只能依靠FTC施行有限度的處罰。

受本案觸動，對個人信息保護進行聯(lián)邦統(tǒng)一立法已是美國輿論共識，美國立法機構也采取多方面措施。

2017年以來，有多名議員提出聯(lián)邦信息隱私保護法草案，包括應用隱私安全法案(Application Privacy, Privacy and Security Act)、消費者數據保護法案(Consumer Data Protection Act)、數據掮客問責與透明法案(Data Broker Accountability and Transparency Act)、“我的數據”法案(My Data Act)等等。

另外，圍繞消費者數據安全及個人信息保護立法，從2017年底以來，參眾兩院先后六次召開聽證會，向互聯(lián)網企業(yè)代表、行業(yè)代表、知名學者等咨詢。FTC日前已對《兒童網絡隱私保護法》配套法規(guī)的修改公開征求公眾意見，并將于今年10月舉行聽證會，評估修改完善的必要性。此外，美國法學會今年4月公開發(fā)布了近200頁的《數據隱私法原則》草案。

但是，考慮到美國立法體制的低效、兩黨分歧以及科技企業(yè)的不懈游說，相關立法進程仍需耗費較長時日。

目前，F(xiàn)TC僅有約40名雇員負責處理個人信息相關事務，執(zhí)法人員不足的問題將更加突出。一方面，美國侵犯個人信息的現(xiàn)象仍十分普遍;另一方面，當侵犯個人信息的現(xiàn)象涉及大型互聯(lián)網企業(yè)，展開相應調查需要耗費大量人力及資源。FTC不得不尋求增加人員，以應對頻繁出現(xiàn)的個人信息類案件。但是，由于占據參議員多數的共和黨對監(jiān)管擴張持反感態(tài)度，F(xiàn)TC可能無法如愿擴張人力。面臨公眾要求加強個人信息保護的呼聲，這將限制FTC相應執(zhí)法調查的覆蓋面，也會導致“選擇性執(zhí)法”問題。

本案的另一個影響是，針對個案的處罰力度將增強。此前不久，F(xiàn)TC對TikTok(美國版抖音)同樣作出了史無前例的大額罰款，數額達570萬美元。至于Facebook，50億美元不算多，不過，這已是歷史上FTC針對個人信息保護開出的最大罰單。相比過去，這一金額顯著抬高了懲罰“天花板”。考慮美國輿論對隱私日益關注，可預期FTC未來很可能將對個案開出更重罰單。

本案后，F(xiàn)TC對企業(yè)內部組織結構的干預將加強。在這次處罰中，F(xiàn)TC要求Facebook設立獨立的隱私委員會、隱私合規(guī)官和外部隱私監(jiān)察官。三者具有以下共同特征：首先，具備一定程度的獨立性，企業(yè)控制者無法直接影響后兩者的任免;其次，新設職務都有很大權限，他們有權閱覽企業(yè)一切“與隱私決定相關的材料”，F(xiàn)TC也明確要求他們不要只依靠企業(yè)人員的說辭，而是要了解實際情況;最后，擔任這些職務的人員可以直接向FTC匯報。

對中國個人信息保護的啟示

Facebook案雖然發(fā)生在大洋彼岸，但同樣對中國具有啟示意義。

第一，進一步認識個人信息保護的重要性，加快推進相關立法。本案充分說明：大范圍個人信息的收集與利用，除了影響公民個人權益，也會影響國家安全和公共利益。此外，海量個人信息遭遇安全問題，還可能引來大規(guī)模的境內外輿論反彈。目前，中國《個人信息保護法》《數據安全法》等相關立法雖已列入十三屆全國人大常委會一類立法規(guī)劃，但至今尚未形成公開的正式法律草案?？紤]到還有三讀的立法過程，與實踐的急迫需求相比，立法節(jié)奏需要加快。

第二，進一步增強現(xiàn)行法律法規(guī)的落實，加強個人信息保護領域的執(zhí)法。Facebook案充分說明：如果執(zhí)法和處罰缺乏力度，僅僅依靠“柔性”監(jiān)管及企業(yè)自律，無法達到保護個人信息的目的。雖然《網絡安全法》《消費者權益保護法》等法律已經初步建立了個人信息保護的法律制度框架，但是中國還缺少像FTC這樣有影響力的行政執(zhí)法力量，對企業(yè)濫采濫用個人信息的威懾力不足。相關執(zhí)法機關應當在以下三方面予以強化：其一，保障執(zhí)法資源，建設有一定規(guī)模且具備專業(yè)性的個人信息執(zhí)法隊伍;其二，加強擔當意識、有法必執(zhí)、積極作為，以發(fā)揮震懾作用;其三，對影響范圍較大、造成較高風險、或有其他嚴重情節(jié)的個人信息濫用行為，在法律法規(guī)范圍內給予嚴厲處罰，以強化震懾作用。

第三，探索創(chuàng)新企業(yè)組織形式，引入外部力量監(jiān)督個人信息保護。個人信息的收集和使用不僅關乎企業(yè)利益，還關乎公共利益和個體權益。因此，對企業(yè)在個人信息方面的重大決策，其他主要利益相關方應有適當話語權。在美國，設立此類委員會，日益成為FTC常用的監(jiān)管手段;在德國等部分歐洲國家，也在引入員工代表等相關方監(jiān)督企業(yè)對個人信息的保護。中國亦可借鑒經驗：在“網絡安全責任人”等已有設計的基礎上，進一步探索創(chuàng)新組織形式，便于公共利益代表與個體權益代表監(jiān)督企業(yè)個人信息保護。

第四，進一步提高中國企業(yè)個人信息保護合規(guī)意識，防范美國以保護個人信息為名干預中國企業(yè)經營?，F(xiàn)實中，F(xiàn)TC“選擇性執(zhí)法”的風險日益增強，處罰措施對企業(yè)運營的干預程度日漸加深。此外，中國的今日頭條等企業(yè)的美國關聯(lián)實體(即上述TikTok案)，已有因個人信息保護不力遭受巨額處罰的先例。因此，一旦中國企業(yè)遭遇類似Facebook的處罰，將受到巨額損失。美國可能要求設立多種“獨立”且具備高權限的職務，這會干擾企業(yè)正常經營，甚至帶來國家安全風險。在中美貿易新形勢下，應進一步提高中國相關企業(yè)個人信息保護水平和自覺，避免成為美國執(zhí)法機構的目標，并做好應對預案。與上述第三點相呼應：相應組織制度的完善，有助應對美方將來可能提出的類似要求，將主動權保持在中方手中。

第五，進一步加強個人信息保護國際比較研究，抓住個人信息保護法律體系建設這一契機，提升中國在國際網絡空間治理中的話語權。個人信息保護是網絡空間國際治理的核心議題之一，相比西方國家，中國起步較晚。但反觀當下美國，由于自由主義思想傳統(tǒng)，以及實踐中各方利益彼此掣肘，立法進度已隱隱有滯后之勢，執(zhí)法孱弱也已招致各方不滿。此消彼長，中國有可能、也有條件在個人信息保護法治建設方面取得領先地位。因此，有必要進一步組織力量，系統(tǒng)開展國際個人信息保護狀況比較研究，在吸取美西方國家經驗教訓的同時，構建既有中國特色又有國際引領高度的個人信息保護制度體系。

(作者周輝為中國社科院文化法制研究中心研究員、朱悅為中國社科院文化法制研究中心助理研究員;編輯：朱弢，本文首刊于2019年8月5日出版的《財經》雜志)

關鍵詞： Facebook被罰50億美元