Facebook“泄露门”事件的起因可以追溯至2014 年。当时一位剑桥大学学者Aleksandr Kogan与剑桥分析（Cambridge Analytica）公司合作，开发了一款名为“this is your digital life”的性格测试应用，并发布在Facebook上。这一应用通过有偿征集的方式很快吸引大约27万用户参加测试，录入了自己的姓名、兴趣爱好等信息。最关键的是，在测试问卷的最后，有一个小小的授权——授权这一应用不仅可以获得用户自己的信息，还可以获得用户好友的资料。就是通过这个授权，第三方应用“this is your digital life”实际上抓取了5000万用户的数据。剑桥分析公司通过对掌握的大量用户数据进行分析，进而选择最合适的政治广告进行精准投放，促使其在2016年美国大选中支持特朗普。在本次事件中，Facebook确系合法收集用户个人信息，第三方应用“this is your digital life”也是合法地通过Facebook平台的第三方应用规则从Facebook平台以“共享”的模式收集用户个人信息。然而，“this is your digital life”并没有按照Facebook的平台规则合法地使用用户个人信息，而是擅自将用户个人数据提供给剑桥分析公司。剑桥分析公司无疑是在未获得用户同意及转让授权的前提下，非法获取了这些数据。显然，第三方应用“this is your digital life”及其背后的剑桥分析公司是这次事件的主要责任者，但Facebook对此也有不可推卸的责任。Facebook要求第三方应用在抓取已授权用户社交关系上的好友公开信息时，同时必须得到被抓取信息的好友的授权，但从上述事件中看，这一步骤可能并没有得到实施，或者存在漏洞。此外，在第三方应用入驻时，Facebook已通过签署协议的形式禁止第三方应用向其他平台提供其从Facebook平台合法获取的用户数据，并针对第三方应用部署了在出现大规模收集用户个人信息数据时的监控机制且对其目的进行追查。然而，后来Facebook发现向剑桥分析公司提供数据的第三方应用存在大规模收集用户个人信息数据的行为时，仅得到一个“用于研究”的答复，却没有继续追查，也没有监督应用开发者是否真正删除数据。

Facebook“泄露门”事件发生后，有一项提案引起了广泛注意，即要求Facebook、谷歌等公司在使用、销售或分享用户数据之前需获得用户同意。拟出台的立法也将规定，如发生用户数据泄漏，公司需通知用户，作为对州级法律下通知要求的补充救济；美国联邦贸易委员会将被赋予相关法律的执法权。某些国会议员甚至呼吁制定新的法律，加强美国数据隐私保护体系，并可能借鉴欧盟的GDPR。另外，截至2018年7月，美国各州都将制定数据泄露的上报规定，明确在发生数据泄露事件后公司必须采取的行动。如果数据被第三方窃取，或可能被用于服务条款（或类似条款）规定以外的用途，州级的数据违规法律规定了企业必须遵守的通知类型以及补救方式。受影响的个人通常获得身份盗窃保护以及其他监控服务。美国各州还通过了用户隐私数据保护法律，禁止不公正及欺骗性商业行为，包括对用户进行虚假或具误导性信息披露，适用于用户数据隐私及安全相关的声明。依据这些州级法律，各州监管部门有权采取打击公司发生数据泄漏及具欺骗性或误导性网络安全行为及程序的应对措施。例如，若干州的州检察官就优步近期发生的用户数据泄漏事件对优步提起了诉讼。上述最近的动向似乎已经提示，美国政府在硅谷初创时期形成的互联网领域的“不干预”政策（即更多地依靠互联网企业的自律规范以及有关企业与客户体间的合同作为治理手段的政策）可能正在逐渐淡出，对个人数据或者说隐私的保护开始更多地成为制定法所规定的内容；同时，美国政府和美国互联网企业可能正在开始谋求更加积极意义上的“合作”，以期更好地发挥它们各自在数字经济的国家治理中能够起到的作用。假如数据保护领域的美国国内法确实出现向相关欧盟法靠拢的走向，则欧盟在数字经济下的国家治理方面遭遇的问题，也将为未来的美国所面对。

【注释】
(www.daowen.com)

[1]中国信息通信研究院：《G20 国家数字经济发展研究报告（2017 年）》，第6 页，http：//www．caict.ac.cn/kxyj/qwfb/bps/201712/P020171213443445335367.pdf。