扎克伯格国会听证的法律观察 ——《智识文集》新系列“行者说法”

事情的由起

Facebook公司市值一周蒸发750亿美元；同时，网络上发起一项名为“删除Facebook （#DeleteFacebook）”的运动；美国联邦贸易委员会（Federal Trade Commission，FTC）针对Facebook启动调查；多名政府议员要求CEO马克·扎克伯格亲自出席相关听证会。

那么，Facebook到底“做错”了什么？该承担什么样的法律责任？马克·扎克伯格参加国会听证是什么性质的程序行为？

2004年，扎克伯格创办了Facebook。2007年，Facebook率先开放平台，把网站用户和关系数据开放给第三方软件开发者，使第三方可以开发在Facebook网站运行的应用程序。

这一措施调动了各类合作商和软件开发者参与共同开发利用Facebook的热情，丰富了基于Facebook的各种应用和产品，从而吸引了更多的用户，使Facebook迅速发展，至今也成为全球社交媒体公司的领先者。

但这种合作开发的模式也为之后接连发生的用户信息泄露问题留下了隐患。

2011年，美国联邦贸易委员会FTC，一家监督管理公平竞争的政府机构，对Facebook提出了八项指控，认定Facebook违反了用户信息保护的规定。其中包括：

• 2009年12月，Facebook修改了其网站设置，把用户原先设定为私密（private）的信息——比如朋友通讯录——转为公开，但是公司没有告知用户这项改变，也没有取得用户的许可；

• Facebook声称用户安装的第三方APP只会使用用户运用该APP所需要的信息，但事实上这些APP可以获得几乎用户的所有信息，包括APP自身不需要的信息；

• Facebook告诉用户他们可以限定信息分享的范围，比如只给好友，但事实上点击只给好友并不能阻止好友正在使用的第三方应用程序APP获得自己的信息等。

后来Facebook与FTC达成了和解协议，承诺了一系列保护用户信息的措施，包括：

• 不再对用户个人信息的保密做误导性的称述；

• 要改变用户的隐私设定前必须征得用户明确的同意；

• 用户删除账号30天内必须清除所有该个人账户的信息等。

2013年，英国剑桥大学一位叫做亚历山大·科根（Aleksandr Kogan）的心理学教授在Facebook上开发了一款性格测试应用软件APP——this is your digital life。

这款心理测验App和其他同类型的App一样，在用户使用前会让用户同意使用条款，用户在同意后系统就会自动提取个人资料、平台发布内容和社交关系链等等资料。科根以每用户5美元的奖赏鼓励用户下载推广。

结果，有27万的Facebook用户下载了该APP。由于用户授权该应用获取社交关系以及好友信息，科根最后获得了近5000万人的数据（注：后来引用的数据为8700万人），后来又将其分享给剑桥分析公司。

当时，在得知科肯违规出售用户数据后，Facebook曾要求科肯和剑桥分析公司删掉数据、出具书面保证。Facebook随后也更新了隐私条款，即使用户允许，第三方机构的权限也受到限制。

社交媒体公司与第三方合作分享用户数据，并不是Facebook一家的独有模式——这几乎是社交媒体公司商业模式的必须组成部分。

据Facebook公司财报显示，公司2017年广告收入达到399亿美元，占其全部营收的98%。由此计算，Facebook上每个用户每年能为公司带来2.76美元的收入。而这些收入的实现，正是依靠收集并分析用户特征，实现有效的广告投放。

这里所说的用户特征，包括用户个人的年龄、性别、种族、住址、电话号码、电邮信箱、个人喜好、家庭状况、习惯、倾向等静态数据；还包括个人登录网站记录、聊天记录、购买记录等动态信息；甚至用户已经删掉的信息也会一直保留在公司用户数据库。

而且，这种信息的用户范围不仅包括Facebook的注册用户和APP的下载用户，更为重要的是，Facebook通过用户的朋友通讯录，使Facebook和APP延伸拥有了这些朋友的信息，甚至包括那些不是Facebook注册用户的个人信息。

这也是为什么通过这款27万人下载的APP，能够获取5000万人（注：后来引用的数据为8700万人）的信息。这些用户的信息被剑桥分析获得后，被用于了后者的政治分析报告以及后续的竞选策略中。

根据英国《卫报》披露的信息和剑桥分析公司原创始人威利的爆料：剑桥分析公司是一家数据分析机构，其提供的分析报告不仅限于商业用途，也牵涉政党选举。

特朗普竞选的支持人、美国商人罗伯特墨瑟（Robert Mercer）曾投资1500万美元于剑桥分析公司。罗伯特墨瑟也曾资助由特朗普竞选团队负责人史蒂夫班农领导的一个网站。

在特朗普和希拉里竞选过程中，特朗普竞选团采用了剑桥分析公司提供的服务，并支付了超过620万美元作为报酬。

剑桥分析公司利用Facebook5000万用户信息（这个数字接近Facebook美国活跃用户的三分之一，美国选民总人数的四分之一），分析这些用户的政治倾向与选举倾向，然后分类制作和投放有针对性的新闻和评论帖子，以一种潜移默化、难以察觉的方式引导选民的投票。

甚至，剑桥分析公司制作了虚假的新闻和故事，以分化政治对手希拉里的忠实选民。

据悉，爆料人威利，其实是剑桥分析公司的创始人之一。他是在惊骇于剑桥分析公司对选举、包括英国脱欧选举的巨大影响力后，才决定要曝光这样的一种行为。

如果对这些用户信息的使用仅限于Facebook公司自己用于定点广告投放，那在目前的法律框架下，还是一个合法的利用。

在Facebook的公司网站上，有专门关于特定广告投放的解释，包括对用户信息采集的一些说明。

公司声称，广告主可以根据Facebook用户的兴趣、年龄、所在位置等因素定位目标受众，Facebook的广告产品可以帮助商家和组织与最可能对其产品和服务感兴趣的用户建立联系。

因此，用户可以在Facebook广告中（或者转发文章中）看到自己感兴趣的商品、以及自己近期在其他网站浏览过的商品。

但是疑问在于：Facebook与第三方APP公司之间的数据授权使用处于什么样的状态？是否涉嫌违法地“出售”了用户信息？

这不仅是个事实问题，也是目前难以厘清的法律纠结。

在剑桥公司案件中，因为在Facebook公司与剑桥分析公司之间还有关键中间人亚历山大·科根教授的存在，所以法律责任的界定更为复杂。

在剑桥分析公司事件曝光后，Facebook公司和负责人的多次表态中，都坚称公司不存在数据泄露（data breach），只承认用户的数据以一种未经授权的方式被利用（used in an unauthorized manner）。这两者的区分有非常重要的法律意义。

如果承认存在数据泄露，那说明Facebook公司对用户数据保护不力，未能履行相关数据安全保护法律，无疑将承担法律责任。联邦政府关于网络安全和数据保护的相关法律都将适用于这一事件，Facebook可能会面临罚款和被要求改正，为用户提供各种信息保护的补救措施。因此，承认数据泄露相当于承认Facebook存在过错。

如果不存在数据泄露，那剑桥公司对用户数据的利用就应该是经过允许的（数据安全的保护措施是有效地）。但是，Facebook公司辩称剑桥公司使用Facebook用户的信息是未经授权，将责任推到了剑桥分析公司。因为如果Facebook公司承认自己是允许剑桥分析使用用户信息，那Facebook公司同样要为后者的违法行为至少承担一部分责任。但剑桥分析公司公开反驳了Facebook的怪罪，声称自己获得了Facebook公司的授权。科根也回应称，当年他获得这些个人信息是得到Facebook同意，并且他得到同意可以将此用作商业用途。

Facebook公司这种既不承认自己泄露了用户数据，又不承认自己授权剑桥公司使用用户数据的表述，是一种意图规避法律责任的狡辩。

Facebook的核心抗辩在于，Facebook并没有直接将用户数据转交给剑桥分析，而是科根教授以学术研究的幌子，将从Facebook获取的用户信息转给了剑桥分析公司。

扎克伯格出席听证会

当然，即便如此，Facebook公司依然存在过错，在设计APP开发工具和许可的过程中，Facebook应该设置更完备的用户数据保护措施，预防第三方对数据的滥用。

另外，Facebook应该更主动地告知用户，关于第三方APP会对个人信息的利用，并且提供解决方案给用户。

在本次案件中，Facebook在明知剑桥公司在利用用户数据的时候，只是要求剑桥公司删除用户数据，但没有进一步确认数据是否真正删除，也并没有主动告知用户相关信息。

所以，Facebook自己也非常清楚，公司在这个事件中是逃脱不了干系的，至少有一些责任。这也是扎克伯格无论是在公开声明还是在听证会上，都含糊其辞地表达：我创立了公司，我承担责任。

扎克伯格出席听证会

但是，扎克伯格的这种表达，并不能缓解Facebook公司的法律责任。

目前，FTC已经确认正在对Facebook“进行非公开的调查”，以查核Facebook是否违反了2011年签订的和解协议。 

FTC的罚款是以受侵犯的用户数为个体计算的。如果一旦查实，考虑到泄露信息的用户数， Facebook将面临天文数字的罚款。

另外，也有一些用户也以自己的个人信息被侵犯为理由，零星地提出了以Facebook公司为被告的诉讼，这些诉讼是否会兴起为集体诉讼（class action），目前尚难预料。

那么，在这样的情况下，扎克伯格赴国会听证，又是属于何种性质的程序行为？

美国国会包括众议院和参议院，是美国的立法机构。

国会的听证是国会各个委员会在制定政策、监督实施时经常运用的广泛收集信息的手段。这些委员会是国会内设的专业委员会，比如国土安全和政府事务委员会，司法委员会，商业委员会，农业、商业和对外关系委员会，监督和政府改革委员会等，类同于中国人大机构内的各类委员会（比如人大财经委、人大环保委等）。

国会在没有特别立法动议的情况下，也可以举行听证，但更多的听证是基于某特定立法提案举行。

根据听证的主要目的，美国国会听证主要可以有三种不同类别：

• 立法听证：委员会基于法案和政策问题举行的立法听证，听证的内容极有可能成为法律。

• 监督听证：监督听证是审查某问题或某种行为，通常以联邦法律和规章制度的实施得力与否和政府官员的政绩为审查重点。

• 调查听证：调查听证具有立法听证和监督听证的某些共同特点，差异在于调查听证的明确目的是要针对某具体事务的调查，为立法服务，或者为监督实施法律服务，或者两种兼而有之。比如对政府官员执行公务过程中过错嫌疑的调查，或对公民在商业及其他活动中有犯罪嫌疑时进行的调查听证。美国历史上的许多里程碑事件，都有国会调查听证的参与：如1986-87年的伊朗门事件国会调查，1972年的水门事件国会调查，等等。

  
  

国会是立法机关，因此，国会组织的听证会，与作为司法机构的法院举行的法庭审理，虽然英文中是同一个词hearing，但两者有本质区别。前者总体上是为立法的目的，后者是为裁决诉讼进行审理。

美国国会大厦

国会调查之前或之后都可进入司法诉讼程序。国会的听证对象是证人，一般都是由委员会邀请出庭作证（有些委员会有强制证人参与调查听证的权力）。听证会的结果不会对证人产生直接定论。法庭审理程序中也有证人的参与，但法庭审理的对象是控辩双方或原告被告。

但以上区别的唯一例外，是对美国总统控罪的调查或审判。按照美国宪法规定，对总统的控罪在参议院进行审判。在这种情况下，国会调查就成为了司法审判的一部分。

历史上最为著名的事件就是克林顿总统的弹劾案。当时（1998-1999年）的弹劾案审理，由最高法院首席大法官威廉·蓝奎斯特担任法官，全部参议员作为陪审团，众议院则派出十五名众议员担任检察官。美国众议院司法委员会主持弹劾调查听证会。在1999年2月12日参议院对克林顿总统弹劾案的最终表决中，投赞成票的参议员没有达到定罪票数要求，对克林顿总统的控罪不成立。

显然，马克·扎克伯格这次参加国会的两天听证，属于国会的调查听证。

马克·扎克伯格是受美国参议院司法委员会和商业委员会（第一天）、和众议院能源及商务委员会（第二天）的邀请，就Facebook如何处理用户数据和隐私问题，作为证人接受国会调查。

据称，另一家社交媒体Twitter的 CEO多西（Jack Dorsey）也接受了相关邀请将于近期参加类似听证会。

因此，马克·扎克伯格这次参加的国会听证，既有了解事实真相的目的，也有为国会制定相关立法提供信息参考的愿望，但不是针对Facebook在剑桥分析公司事件中承担责任的审理。

当然，虽然这只是属于应邀出席的听证，但鉴于Facebook的影响力以及这次数据“泄露”事件产生的冲击波，扎克伯格的本次国会听证非同寻常。

不仅出席听证和提问的委员人数属于历史罕见，媒体和社会各界对听证会的全面关注和评论也使Facebook和创始人扎克伯格再次成为全球的焦点。

遗憾的是，由于国会听证规则和专业性的限制，这次听证会并没有展现更多关于Facebook公司信息“泄露”事件本身以及社交媒体该如何保护用户数据的更多信息，反而像是为Facebook提供了解脱剑桥分析公司负面影响的机会（Facebook市值在听证会后有所上升）。

这种结果产生的主要原因在于：

1)  每人限制5分钟发言的规定，使没有一个人能够有时间充分引申和探讨比较深入的问题。按照听证会规则，委员会委员每人询问证人的时间为 5 分钟，每位委员都享有此权利。这些提问的议员，几乎每个人在发言起始，都要为引出自己的问题做一番介绍性发言，再加上扎克伯格的回答时间，每个议员提问的问题数量平均2-3个，无法深入地挖掘一些问题。有些议员甚至长篇大论地论述自己的观点，都等不及听扎克伯格的回答，就因为时间关系打断扎克伯格而继续自己的提问，导致听证会某些时段感觉是在听议员发言，而不是听扎克伯格回答。笔者在整理这篇文章之前，曾在网络上重听了（部分）听证会录像，真的是让人昏昏欲睡（当然，也与我本来就是在深夜听有关）。

2)  专业的复杂性限制了问题的深入。提问的这些委员都是议员、政客，都不是网络科技精英，他们甚至对Facebook等互联网企业的商业模式、大数据、人工智能等领域知之甚少，无法有针对性地挖掘问题，而扎克伯格的回答像是给这些议员们科普基本知识。

3)  扎克伯格的有备而来和应答技巧。在听证会之前，扎克伯格聘请了律师团队专门进行了彩排，在听证会之前做了厚厚的笔记，应对各种问题。因此在面对各种问题时，都有相应的策略（套路），不慌不忙，既体现了谦卑诚恳的态度；又滴水不漏，不会因为自己的回答使Facebook公司遭至更多的麻烦。对于一些扎克伯格不想回答、或者不确定回答的问题，比如关于通过“影子账号” （shadow profiles）收集信息的问题，也就是为那些尚未创建Facebook账号或者已放弃Facebook账号的人创建账号从而收集他们的信息的问题，他都用“我不太了解这个问题”（I am not familiar with that）来敷衍应答。而对一些可能带有对Facebook责备性的问题（比如是否泄漏数据），他则会非常严肃地纠正问题：Facebook从来没有泄漏数据；用户永远掌控自己的数据。

4)  国会议员的非独立性。国会听证毕竟不是法庭审理，没有因为利害关系需要回避的要求。而在提问的这些议员中，据说有70%的人都或多或少接受过Facebook的政治献金，这也一定程度上影响了这些议员提问的攻击性。

关于社交媒体公司保护用户信息的法律规范，未必能因为这次剑桥分析公司事件或者听证会的举行而加速进程。

美国共和、民主两党都建议立法监管Facebook等互联网企业，但对监管的技术路线甚至监管对象都不清晰，这从两天的国会听证会提问乏善可陈也可看出一点端倪。

在这个方面，欧盟历经4年讨论形成的《通用数据保护条例》（GDPR）或许能有些参考。该条例将于2018年5月生效，将适用于所有处理和持有欧盟居民个人资料的公司，而不论公司地理位置设置在哪里。

这个条例是迄今为止覆盖面最广的全球性数据隐私保护法规，规定用户行为数据被采集后只能保存一年半，且不得将包括政治倾向、宗教信仰在内的敏感数据以及生物数据用于智能决策。

不合规的企业可能面临高达 2000 万欧元或4%年营业额的罚款。

扎克伯格在听证会前对此规定在美国的实施不置可否。但在听证会上，他明确表示要配合实施，同时表示会在全球范围内推出类似于GDPR的数据保护规定。

从公司的角度而言，大数据时代的用户隐私保护早已不是个新鲜话题，用户信息的保护和开发利用一直面临一个两难的境地。

一方面，公司对用户数据的分析和开发，可以为用户提供有针对性、个性化的产品推送服务，从某种程度而言，用户也希望有这种个性化的贴心服务。但同时，对用户数据的开发利用难免会遭遇用户信息被利用的问题。

扎克伯格在听证会上多次表示，要采取更多的措施（基本上都要依赖人工智能手段）来保护用户的数据，但他未能正面回答是否会继续利用用户数据的问题。

其实这是Facebook的盈利之本，公司是不可能就此放弃用户数据开发的。但不管怎么说，Facebook至少可以采取一些措施防止第三方对用户数据的滥用。

3月底，Facebook决定逐步终止与多家大数据企业合作，同时全面更新网站隐私设定选项。

在纯技术开发的角度，一种名为差分隐私(differential privacy)的技术能在一定程度上化解技术开发和用户保护的两难困境。

差分隐私技术由苹果公司率先于2016年提出，其原理是通过密码学算法对用户的数据首先进行“加密”，然后通过对这些“加密”过的数据进行计算，得出用户群体的行为模式，但是对每个用户个体的数据却无法解析。

这种差分隐私技术在不影响个人隐私的前提下帮助发现大批量用户的使用模式。

为了掩盖个人身份，差分隐私会向个人使用模式的小样本中注入数学噪音。随着更多的用户呈现出相同的模式，总体模式就会开始显现，从而加以分析和利用。

当然，这种技术只是提供了保护用户数据的一种可能，现实中的隐私保护仍然需要法律的监督和企业的自觉。

最后，从用户——我们每个人自己的角度而言，在社交网络日益成为日常生活必须的今天，删除Facebook运动并不能根本性解决个人数据和隐私被利用的问题。

当然，我们一方面寄希望于法律的保护；同时，在今后使用社交网络和下载各种APP时，也需要提高个人信息保护的警觉度，尽量减少对各类不知所然地应用程序的下载，减少对敏感信息的网络上传，尽量避免信息的共享，及时清理和卸载不适用的各类软件。

一言蔽之，我们正在或已经进入一个信息无缝交流的时代，在享受各种技术成就的同时，我们也要有相对应的警觉和心态应对随之发生的各种新问题。

相关阅读：

• 如何读懂美国税改减免政策?——《智识文集》新系列“行者说法”

• 自动驾驶时代，罚单该开给谁？–《智识文集》新系列“行者说法”

• 政坛、好莱坞、媒体性丑闻频出，如何举证和避免？——《智识文集》新系列“行者说法”

免责声明：本系列中所有文章，均不构成对具体事件的法律意见。如有需求，请咨询相关法律专业人士。