整合｜杨晓雯
当地时间3月17日，美国纽约时报和英国卫报共同发布报道，曝光了facebook数据泄漏事件。据该公司前员工克里斯托弗·威利（christopher wylie）的爆料，剑桥分析公司在未经用戶本人同意的情况下收集了facebook超5000万用户的资料数据，用于在2016年美国总统大选中针对目标受众推送广告，从而影响大选结果。
// 事件持续发酵，facebook危机重重
（一）facebook股价大跌，市值严重缩水
在多家媒体报道此事后，当地时间3月19日，美股市场情况可以用“惨烈”来形容，科技股普跌。跌得最厉害的当属facebook，周一收盘大跌6.77%，报172.56美元，市值缩水至5004亿美元。到了3月20日，facebook市值跌破了5000亿美元，被阿里巴巴超越。
（二）facebook将面临多项指控和调查
当地时间3月20日，报道称，一位投资者代表facebook股东向公司提起集体诉讼，指控facebook未能保护用户隐私，进而令投资者蒙受损失。原告方认为，由于facebook在过去的两年内都知道这个问题，并且没有公开发表任何言论，没有向投资者提供足够的信息，因此，facebook要承担损害赔偿责任。
投资者对facebook的诉状
第二天，美国马里兰州用户劳伦·普莱斯(lauren price)代表其他被剑桥分析获取数据的美国facebook用户，在加州圣何塞联邦法院对上述两家公司提起诉讼，指控两家公司不正当披露5000万facebook用户信息的行为侵犯其隐私。
另外，据彭博新闻社报道，有知情人士称，美国联邦贸易委员会(ftc)正在对此展开调查，主要针对facebook是否违反了2011年的和解令（consent decree）。2011年，由于facebook更改了一些用户设置却没有通知用户，美国联邦贸易委员会指控facebook欺骗用户。facebook最终与联邦贸易委员会就该案达成和解协议。和解令的要求之一是，facebook在隐私设置变化时要事先征得用户同意。乔治城法学院（georgetown law）vladeck教授介绍称，和解令每违反一次，可判处40000美元罚款。这意味着，如果报道属实， facebook可能因泄露5000万用户信息被判处2万亿美元的罚款。
（三）迟来的高层声明
当地时间3月21日， facebook创始人兼首席执行官马克扎克伯格（mark zuckerberg）首次就该事件发声。
扎克伯格承认该公司没能保护好用户数据，还承诺将对开发者们采取更严格的数据访问限制。他表示facebook正在积极采取措施确保不会再发生类似数据滥用事件，并将调查所有能获取大量facebook用户数据的应用程序，严格限制开发者们获取facebook用户数据。
在扎克伯格之后，facebook首席运营官雪莉桑德伯格(sheryl sandberg)也就数据泄露发表声明。桑德伯格称，facebook这一次确实严重辜负了用户的信任，对此感到非常遗憾。如今，facebook正在采取相关措施，防止此类事件的再次发生。
但是，事件曝光后将近5天，facebook的ceo和coo才发表声明，大众对这姗姗来迟的危机公关显然不怎么买帐。
//庞大的数据是如何泄露的？
据悉，本次数据泄露的源头是一款名为“这是你的数字化生活”（this is your digital life）的应用软件。据卫报披露，这款软件先在facebook上发布广告，以“有偿心理学研究”为名，用少量金钱为奖励，诱导facebook用户下载。其后，该软件要求用户在亚马逊旗下网站“mechanical turk”和“qualtrics”上参加问卷调查，在问卷调查末尾，再请求用户同意该软件查看其facebook资料。一旦用户点击“同意”，该软件便会搜集用户以及其好友的facebook资料，包括个人基本信息以及在facebook上发布、阅读、点赞的内容等等。参与这项有偿调查的用户被要求在facebook上拥有185名以上的好友。当时，共27万名facebook用户下载这一应用。27万×185=4995万，如此庞大的信息量引起了广泛的关注。
在这一过程中，facebook信息安全方面存在着巨大的漏洞：与我有关的信息，未经我本人的同意，在我完全不知情的状况下，同样可能被第三方获取（只要这个第三方经过我好友的同意即可）。
facebook在声明中称，当公司在2015年得知研究数据被移交给了剑桥分析公司，违反了facebook的使用条款后，就已将该应用软件从facebook平台上移除。facebook曾经要求剑桥分析销毁数据，并发送销毁数据的证据，但几日前公司才得知不是所有的数据都被删除。有媒体谴责，facebook虽然在察觉此事之后有所动作，但并没有确保被不当获取的资料已被销毁，也没有及时向用戶发出警告。
//信息安全问题频发，绝非个案
仅仅3月，就还有另一起知名企业的信息泄露风波：苹果icloud信息泄露事件。今年3月5日晚间，一名叫做“美国往事1999”的微博用户发文称，2月28日下午，他在致电苹果客服热线咨询过程中与技术人员发生口角。结果收到对方私人来电，对方表示自己已经掌握了“美国往事1999”存储在icloud中的信息。该人还向“美国往事1999”的三个邮箱发送了信息，以个人信息和苹果设备的使用威胁“美国往事1999”。在之后几天“美国往事1999”多次向苹果公司反映此事但未得到满意答复，选择了报警。
用户“美国往事1999”的微博文章
3月7日下午，“美国往事1999”在微博上透露，收到了来自苹果公司的回复，称涉事人员已被开除，但拒绝提供该员工的相关信息。对于用户最关心的个人信息是否被泄露，苹果公司未做明确回复。3月8日，苹果公司对此事作出回应称，“捍卫用户的隐私是我们系统设计的出发点，任何一个applecare技术顾问均无法访问顾客的密码、电子邮件内容和照片等。”但尚未对该用户的信息被盗一事给出明确的原因。
除了近一个月来处于风口浪尖的facebook和苹果公司，在过去的一年中，国内外多家大型公司、平台都被爆出信息泄露事件。
在2017年4月，就有因个人信息未经许可被供给第三方而向法院提出诉讼的案例。美国耳机厂商bose被指控利用一款连接app收集用户收听的音乐、播客和其他音频内容，并在未经用户许可的情况下将这些信息发送给了一家叫做segment.io.的数据分析公司。
5月，国际范围内发生了大规模的网络病毒袭击。勒索病毒wannacry利用windows操作系统漏洞，攻击主机并加密主机上存储的文件，至少波及了150个国家、30万名用户，造成损失达80亿美元。
国内也有类似情况发生。2017年3月初，有报道称，京东等多家公司的网络服务器被犯罪团伙入侵。该犯罪团伙窃取出售公民个人信息，涉及交通、物流、医疗、社交、银行等，各类被窃公民个人信息达50多亿条。
除此之外，还有由于企业自身的操作失误导致的信息泄露。9 月，国际知名退税公司 moneyback 被外媒报道运行了一台不安全数据库，导致逾 400gb 墨西哥游客敏感信息在线泄露，其中包括用户姓名、地址、电话号码、信用卡数据等。
“粗心大意”的不止企业，还有政府。11月，美国五角大楼意外暴露了美国国防部的分类数据库，其中包含美国当局在全球社交媒体平台中收集到的 18 亿用户的个人信息。此次泄露的数据为架在亚马逊 s3 云存储上的数据库。由于配置错误导致三台 s3 服务器 “可公开下载”。
除了这些大型的信息安全事件，各种小规模的信息泄露更是层出不穷。信息安全确实成为了备受关注的问题。
//大数据时代的信息安全问题与每个人息息相关
大到知名企业信息泄露事件的爆发，小到日常收到的推销电话、垃圾邮件，信息泄露无处不在。可以说，几乎每个人都在享受着大数据带来的便利与高效的同时，也成为信息大量运用、高速传播的受害者。而信息窃取的猖獗，其动因主要在于信息背后巨大的利益链。由于信息数量庞大，即使是0.1元/条的最基本的个人信息，也可以轻易演变成价值数十万的“商品”。从信息窃取，到转手买卖，每一个环节都有利可图。
更令人震惊的是，信息售卖的渠道十分多样，甚至存在着明码标价公开售卖的现象。2015年8月，中国最大的网上票务营销平台大麦网被发现存在安全漏洞，600余万用户账户密码遭到泄露，在互联网社区上被公开售卖。
数据信息泄露的原因虽各有差异，却还是集中在数据未得到保护、内部管理疏漏、系统安全性差等方面，导致大量信息数据被他人轻易获取。通过这些漏洞，黑客可以入侵数据库，攫取大量用户信息，并进行倒卖；第三方软件和平台等，可以越过用户本人授权而获取大量用户数据并加以利用，以此得利；还有居心不良者可以以此大做文章，小到对用户本人进行窥探、欺诈、勒索，大到甚至挖掘出国家安全领域的机密。
对此，作为数据信息保管方的企业，在技术和监管方面负有不可推卸的责任。就拿这次facebook的数据泄露事件来说，一名facebook前员工透露，该公司对于第三方开发者使用数据缺乏有效的管理机制，第三方开发者秘密收集用户信息的事件时有发生。facebook前运营经理珊迪·帕拉吉拉斯(sandy parakilas)表示，该平台的数据保护手段不够严谨，有可能导致大规模数据入侵事件的发生。facebook并没有对数据使用进行强制执行机制，包括对外部开发人员的审计，以确保数据没有被滥用。在任职期间，他曾将这个问题报告给管理层，但公司并没有采取相应的手段。
近年来频繁爆发的数据泄露事件至少说明了大量企业，甚至不少业界巨头，在用户数据的管理保护方面没有做到位。如果帕拉吉拉斯所言属实，那么，还有多少企业对用户数据暴露的危险没有足够重视，甚至熟视无睹？
在信息时代，企业不仅扮演着数据保管者的角色，还是数据的索取者。而在获取用户授权时，常常存在着诱导倾向的问题。企业与用户在对协议条款的理解程度的不对等，很可能成为个人信息保护的重大隐患。以摩拜单车app为例，在注册时便又一行小字：点击开始，即表示已阅读并同意《用车服务条款》。而在其《用车服务条款》第5条中就有关于“摩拜公司有权将用户资料提供给第三方”的内容。
摩拜单车app的注册界面和《用车服务条款》
如果说，在注册时没有看完冗长的用户协议便选择同意，是用户自己的疏忽。那么，开发该产品的企业是不是也应该对有时被默认选择的“同意”，对其中一些晦涩难懂、模棱两可、甚至存在“侵权”倾向的条款进行改善呢？ 与此同时，用户授权的时效性问题方面也存在着大量空白。一次授权，在多长时间内有效最为合理？短期授权，频繁要求授权，是否会增加用户不便？企业在这些方面都应该投入更多思考与尝试。
其实针对信息安全问题，相关的法律法规也在陆续颁布。《民法总则》第111条指出，自然人的个人信息受法律保护。
《中华人民共和国网络安全法》明确指出，收集适用信息应经用户明示同意，不得收集无关信息，不得向他人提供个人信息，经过处理无法识别特定个人且不能复原的除外，不得非法出售个人信息。
可以看出，国家在信息保护方面已经越来越重视，相关规定也在逐步细化。不过，各种法律法规都还有可优化的地方。比如，中国政法大学传播法研究中心副主任朱巍就指出，我国目前没有把个人信息和大数据进行区分。可识别的信息属于个人信息，属于隐私权范畴；不可识别的信息属于大数据，属于知识产权范畴，商家可以随便拿来用没有问题。全国人大代表、衡水市中级人民法院院长郑喜兰也认为，大数据作为新的领域，涉及面广、专业性强，有序发展还需进一步完善立法，明确数据归属、管理，界定数据交易的合法范围等。
北京大学法学院教授、互联网法律中心主任张平此前在谈到大数据时代的个人信息安全时表示，“当前是人工智能和大数据时代，我们无法拒绝个人信息被收集，但我们必须关注个人信息是如何被收集的，以及收集过程和程度是否符合法律的规定。个人信息的收集应以人身权利或敏感信息不受伤害为基本原则。”
除了国家层面的政策与法规，个人信息的保护也需要自己的关注。在数据量巨大的时代，部分用户个人对自身的信息安全意识有些单薄，很多人并不清楚自己向注册使用的app提供了多少隐私权限。还有随意添加的微信号，填写的表格，留下的手机号码，甚至在社交软件上发送的动态，都可能导致个人信息的泄露。这些举动在日常生活中常见到难以避免，但我们的确应该意识到背后的风险，在交出信息前更加慎重一些。
部分图片来源于网络
版面编辑｜杨晓雯
责任编辑｜朱露