数据保护相关热点事件解析

三、数据保护相关热点事件解析

随着数据保护领域相关法律法规的出台及执法行动的开展，社会公众层面对数据保护的关注度也逐渐提高，在这一过程中，出现了一系列受到社会公众广泛关注的热点事件，督促企业在数据合规方面下更多功夫。

（一）工信部约谈“ZAO”App

当前，随着生物识别技术的发展，包括人脸识别在内的相关技术已经被广泛应用于身份认证、监控安防、流量统计等不同场景。由于面部、虹膜、指纹等生物识别信息具备相当的敏感性，个人信息主体对其应用往往也高度敏感。

1.事件回顾

作为陌陌推出的一款换脸产品，“ZAO”因其涉嫌过度收集用户生物识别信息，用户协议中存在不合理条款被媒体曝光并引发用户的广泛质疑。ZAO系一款换脸软件，用户通过上传自拍照片，就可以把多部经典影视剧主角的脸替换成用户自己的脸。该等App一经推出迅速“爆红”，但“爆红”的背后，其用户协议中的部分不合理条款和霸王条款也引起了用户的大量不满。

就其协议文本而言，ZAO的《用户协议》中主要包含以下不合理条款：

（1）在您上传及/或发布用户内容之前，您同意或者确保实际权利人同意授予“ZAO”及其关联公司以及“ZAO”用户全球范围内完全免费、不可撤销、永久、可转授权和可再许可的权利；

（2）如果您把用户内容中的人脸换成您或其他人的脸，您同意或确保肖像权利人同意授予“ZAO”及其关联公司全球范围内完全免费、不可撤销、永久、可转授权和可再许可的权利；

（3）“ZAO”及其关联公司可自行选择是否使用以及使用方式，包括但不限于将前述信息在“ZAO”及其关联公司旗下的服务平台上使用与传播，将上述信息再次编辑后使用，以及由“ZAO”及其关联公司授权给合作方使用、编辑与传播等。

此外，据报道，ZAO还存在用户账户无法实现注销的情况。用户尝试点击“开始注销账户”后，弹出了“注销账号须知”，提示用户“注销账号30天后才可重新注册”，等等。随后ZAO提醒用户需要先“手动解除好友关系”（删除好友即解除面孔授权），然后需要进行“账号安全验证”。用户按照提示，立即输入刚收到的手机验证码，但却被提示“验证码错误或已过期”。用户多次尝试，都是出现同样的提示语，无法跳转到注销成功的界面。^[3]

2019年9月4日，工信部针对媒体公开报道和用户曝光的“ZAO”App用户隐私协议不规范、存在数据泄露风险等网络数据安全问题，对陌陌相关负责人进行问询约谈，要求其严格按照国家法律法规以及相关主管部门要求，组织开展自查整改，依法依规收集使用用户个人信息，规范协议条款，强化网络数据和用户个人信息安全保护。此外，工信部还要求公司进一步加强新技术新业务安全评估，切实采取有效措施，积极防范自有业务平台被利用实施电信网络诈骗等风险隐患。^[4]

2.事件分析

结合事件背景及相关报道，就个人信息保护方面，ZAO主要存在以下侵犯用户合法权益的行为：

（1）用户无法删除其上传的面部信息^[5]

《网络安全法》第43条明确保障用户对个人信息的删除权，^[6]《个人信息安全规范》第4条规定的主体参与原则中亦包含对网络运营者向个人信息主体提供删除其个人信息方法的要求，并在第8.3条对个人信息删除作出了详细的规定。《App违法违规认定方法》第6条第1款规定，“未提供有效的更正、删除个人信息及注销用户账号功能”可以被认定为“未按法律规定提供删除或更正个人信息功能”。ZAO在《用户协议》中明确用户同意授予“ZAO”及其关联公司以及“ZAO”用户全球范围内不可撤销使用其面部信息的权利，实质上意味着在ZAO违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的情形下，ZAO用户也可能无法删除其面部信息，未能充分保障用户个人信息权利，不符合相关法律法规及国家标准的要求。

（2）用户协议存在免除自身责任、加重用户责任、排除用户主要权利的不合理条款

《App自评估指南》评估项4评估点19明确要求App不得在隐私政策等文件中设置免除自身责任、加重用户责任、排除用户主要权利的不合理条款。ZAO在《用户协议》中要求用户在“换脸”的场景下，同意或确保肖像权利人授予ZAO及其关联公司全球范围内完全免费、不可撤销、永久、可转授权和可再许可的权利，明显加重了用户责任，免除了自身获取肖像权人授权的责任。若依照该条款的思路，一旦用户实施了将大话西游片段中周星驰的脸换成自己的脸，即意味着用户不仅不可撤销地永久授权ZAO使用自己的面部信息，还需要保证周星驰不可撤销地永久授权ZAO使用其面部信息。该等条款为用户赋予了过重的责任要求，却将ZAO自身从面部信息的授权链条中“择”了出来，在实践中并不具备相应的合理性和可操作性。

（3）未保障用户注销账户的权利

《App违法违规认定方法》第6条第1款明确要求App应提供注销账号的途径，并在用户注销账号后，及时删除其个人信息或进行匿名化处理。《个人信息安全规范》第8.5a）条项亦要求通过注册账户提供产品或服务的个人信息控制者，应向个人信息主体提供注销账户的方法，且方法简便易操作。ZAO尽管在App中设置了相应的注销路径，但该等路径最终并无法实现账户的注销。ZAO事实上并未为用户提供合理的注销账户的方式，未能保障用户注销账户的权利。

3.合规启示

ZAO引起的轩然大波，不仅是社会公众个人信息保护意识觉醒的体现，也意味着对于个人敏感信息，尤其是面部信息等生物识别信息，公众的关注度相对更高，对违法违规行为的容忍度相对更低。对于企业而言，在涉及个人敏感信息收集、使用的场景下布置隐私保护策略时，切不可抱侥幸心理，而应当更加审慎地按照《网络安全法》《个人信息安全规范》及相关规范性文件的要求进行配置，充分保障用户的各项权利。

（二）墨迹科技IPO被否

当前，数据已成为现代企业商业运作中的重要环节。随着网络安全和数据保护领域风险事件的增加和监管活动的日常化，对于拟上市的科技类企业和互联网企业来说，只要业务运作过程中涉及数据处理活动，其数据活动全周期的合规性便也成为上市审核中绕不开的重要话题，这已然受到证券监管机构的重视。若企业在数据合规方面存在瑕疵，可能会对其能否成功上市产生一定影响。

1.事件回顾

2019年10月11日，证监会第十八届发行审核委员会第142次发审委会议召开，审核包括墨迹科技、天迈科技、斯迪克、电声营销4家公司的发行事宜。根据发审委审核结果公告显示，墨迹科技的首发未获得通过。公告中发审委会议针对墨迹科技提出的五点质询问题中的第二点涉及了墨迹科技的数据安全问题，将上市审核中的数据合规问题再度推到了台面。

根据公告，发审委要求，墨迹科技的发行人代表说明的数据相关问题主要包括：^[7]

（1）发行人获取用户数据及标签的过程及方法，是否对用户有明示提示，用户授权在法律上是否完备，是否明确告知收集信息的范围及使用用途，发行人获取用户数据的手段及方式是否合法合规；

（2）发行人使用用户数据是否合法合规，尤其是商业化变现的合规性，结合相关媒体报道的墨迹天气上传用户隐私等情况，对照《网络安全法》《侵犯公民个人信息刑事案件解释》等法规和司法解释，说明报告期发行人是否存在侵犯用户隐私或数据的情况，是否存在法律风险或潜在法律风险；

（3）数据获取、使用、处理等过程的内部控制制度及执行情况，对数据安全和个人隐私的保护措施与手段，是否出现过个人信息、隐私泄露事件，是否存在纠纷或潜在纠纷；

（4）日益加强的数据行业监管及个人隐私保护政策对发行人业务的影响及相关应对措施；

（5）发行人针对App专项治理工作组通知指出问题的整改情况及整改效果，是否获得主管部门的认可，是否面临被处罚的风险。

2.事件分析

根据墨迹天气招股书中披露的信息，其已经收集并建立的用户档案包含了大量的用户行为和偏好信息，细化维度达到上百个，可以用于指导指向性更强的市场推广活动，以及提供垂直合作的平台，例如基于气象灾害和定位信息的保险行业应用，基于精细化预报的农业行业应用，基于用户群体、定位信息的物流仓储行业应用，基于天气和用户行为的行程推荐应用等。用户画像作为数据团队的战略项目发展，将成为支持公司实现“天气+”战略的有力基石。^[8]换言之，公司在为用户提供天气服务的过程中，涉及了大量的数据收集、处理和应用，因而其数据合规问题自然也成为绕不开的话题。证监会发审委的上述提问涉及了墨迹科技数据活动中的多个环节和问题，具体如下：

（1）数据收集

作为数据活动全生命周期的起点，数据收集是执法部门在数据执法活动中关注的重点问题，也自然成为证券监管部门在监管中关注的重点。《网络安全法》第41条明确了数据收集必须遵循合法、正当、必要原则，并经被收集者同意。《个人信息安全规范》第5.4a）条要求收集个人信息，应向个人信息主体告知收集、使用个人信息的目的、方式和范围等规则，并获得个人信息主体的授权同意。应该说，对于收集行为，无论是法律法规，还是相应的国家标准，都已经建立了相对较为明确的实践规则。在墨迹科技IPO过程中，证监会关注的重点是其用户数据及标签获取的合法合规性问题。事实上，证券监管机构和交易所在监管过程中始终关注数据收集的合规性问题，例如在慧辰资道公司首次公开发行股票并于科创板上市第二轮审核中，上交所亦关注了拟上市企业的数据来源问题^[9]；在浙每日互动公司首次公开发行股票并在科创板上市过程中，证监会亦要求拟上市企业说明其取得终端用户数据信息的来源。^[10]

（2）数据使用

数据使用是数据活动全生命周期的核心环节，企业数据使用行为是否合法合规也是监管部门关注的重点。《网络安全法》第41条对数据使用提出了必须遵循合法、正当、必要原则，并经被收集者同意的要求，《个人信息安全规范》除要求企业在使用用户个人信息时获得用户同意外，亦要求企业在使用个人信息时，不应超出与收集个人信息时所声称的目的具有直接或合理关联的范围。在墨迹科技IPO过程中，就数据使用问题，证监会关注的重点在于其商业化变现的合规性。数据使用一直亦是证监会在IPO审核中关注的重要问题，例如在拉卡拉公司上市审核中，证监会亦要求拉卡拉说明其是否存在利用相关商户或个人信息进行牟利等违法违规行为。^[11]

（3）数据内控制度及相应措施的完善程度与执行情况

如前所述，墨迹科技收集了大量的用户个人信息，并在其招股书中明确其存在大量的数据使用行为，故而其公司的数据内控制度及相应措施的完善程度与执行情况将很大程度上影响其控制的个人信息的安全程度。《个人信息安全规范》第5.5a）7）条要求个人信息控制者应在个人信息保护政策中明确遵循的个人信息安全基本原则，具备的数据安全能力，以及采取的个人信息安全保护措施，必要时可公开数据安全和个人信息保护相关的合规证明，第7.1条要求个人信息控制者应采取相应的个人信息访问控制措施，均是针对企业数据内控制度提出的相关要求。证监会监管实践中亦曾要求企业说明其数据内控相关制度的建立和实施情况，例如在值得买公司首次公开发行并于创业板上市的过程中，证监会便要求值得买说明对用户个人信息采取的保护措施，并就对用户个人信息保护不到位可能引致的风险作风险提示。^[12]

（4）监管趋严对业务的影响(https://www.daowen.com)

数据相关领域的监管近年来有趋严的倾向，不断出台的监管法规和不断收紧的监管口径无疑会对数据的收集和使用产生相应的影响，影响企业的业务开展，导致企业盈利能力的变化。因此，新监管趋势对企业的业务影响也是证券监管机构在上市审核中关注的重要问题之一。例如，在浙每日互动公司首次公开发行股票并在科创板上市过程中，证监会亦要求每日互动说明主管部门对数据隐私保护的标准是否会持续升级，未来的趋势对业务的影响及相关应对措施。^[13]

（5）通报整改情况

自四部委专项整治行动开展以来，App专项治理工作组通过其微信公众号多次通报了App收集、使用个人信息的违法违规情况。实践中，App专项治理工作组会通过向企业下发通知的方式指出App的相关问题并要求其根据通知进行整改。这是证券监管部门首次在监管过程中关注对App专项治理工作组的整改要求的回应，App专项治理工作的影响力进一步提升，未及时完成整改将对企业产生不利影响。

3.合规启示

网络安全和数据合规问题始终是证券监管部门在企业上市审核中关注的重要问题之一。尽管墨迹科技IPO被否不能仅仅归因于数据合规问题，其在运营资质、商业变现、关联交易等方面都存在一定的瑕疵，但该问题无疑是导致墨迹科技未能过会的重要原因之一。考虑到数据合规工作是一项长久的系统性工程，结合监管趋势，对于拟上市企业而言，一旦涉及数据活动，务必应对其数据活动开展全生命周期的相关治理。一方面，应建立完善内部的数据治理体系，严格按照《网络安全法》相关法律法规、规范性文件并参照《个人信息安全规范》等国家标准的要求进行数据处理活动；另一方面，要密切关注网络安全和数据安全领域的监管趋势，紧跟监管步伐。对于监管工作中发现的企业相关问题，应及时整改，保障合规安全运营。

（三）中国人脸识别第一案

当前，人脸识别技术应用于身份认证的场景已越发广泛，除传统的银行身份认证，刷脸支付等金融场景外，其也更多被推向一般的身份认证场景之中。但越来越多需要提供面部识别信息用于身份认证的场景也引发了公众的反感和担忧，在某些场景下，强制以人脸识别的方式进行身份认证是否符合《网络安全法》最小必要原则的要求亦值得商榷。为此，我们选取了“中国人脸识别第一案”进行探讨，具体如下：

1.案情回顾

2019年4月27日，浙江理工大学特聘副教授郭某购买了杭州野生动物世界年卡，支付了年卡卡费1360元。办理该年卡时，杭州野生动物世界明确承诺在该卡有效期一年内（自2019年4月27日至2020年4月26日）可通过同时验证年卡及指纹入园，并在该年度不限次数畅游。2019年7月，动物园方面将人脸识别检票系统引入，拆除了原来的指纹检票闸门。10月17日，动物园方面在未经协商的情形下向年卡用户发送了一条信息，称：园区年卡系统已经升级为人脸识别入园，原指纹识别已取消；即日起，未注册人脸识别的用户将无法正常入园。

为了确认该短信的内容是否属实，郭某于2019年10月26日专门驱车前往杭州野生动物世界进行核实。工作人员明确告知他，短信所提及的内容属实，并向他明确表示如果不进行人脸识别注册将无法入园。他想要退卡，但动物园方面表示，只能把他已经进园次数的相应费用扣除，将剩下的钱退还。郭某认为，园区升级后的年卡系统进行人脸识别将收集他的面部特征等个人生物识别信息，该类信息属于个人敏感信息，一旦泄露、非法提供或者滥用，将极易危害包括原告在内的消费者人身和财产安全。杭州野生动物世界在未经其同意的情况下，通过升级年卡系统强制收集原告个人生物识别信息，违反了《消费者权益保护法》的相关规定，损害了其合法权益。基于此，郭某于2019年10月28日向杭州市富阳区人民法院提起了诉讼，杭州市富阳区人民法院正式受理了该案。^[14]

2.案件分析

据报道，该案系已知的国内首例人脸识别之诉。^[15]就目前公开的事实来看，该案涉及两方面的争议焦点，其一在于杭州野生动物世界可否未经协商变更其年卡的入园方式，其二在于杭州野生动物世界收集年卡用户面部识别信息是否违反了信息收集的最小必要原则。

就第一个争议焦点而言，双方在缔结年卡相关合同时已经明确对入园方式进行了约定，杭州野生动物世界在未同郭某协商的情况下擅自变更入园方式，存在被认定为违约的可能。

就第二个争议焦点而言，则涉及是否符合信息收集的最小必要原则要求。《消费者权益保护法》第29条规定，经营者收集、使用消费者个人信息，应当遵循合法、正当、必要的原则。依据该规定，杭州野生动物世界作为经营者，其信息收集应当遵循最小必要原则，其收集年卡用户面部识别信息用于身份认证是否符合最小必要原则存在一定讨论的空间。事实上，在郭某同杭州野生动物世界协商的过程中，杭州野生动物世界曾同意允许郭某凭借年卡和身份证双重验证入园。换言之，在本案中，人脸识别并非进行身份认证的唯一途径，杭州野生动物世界完全可以通过其他方式实现年卡用户的身份认证，年卡用户的面部识别信息可能并非其所能收集的必要信息。若面部识别信息并非该等场景下的必要信息，则年卡用户有权拒绝野生动物世界采集其面部识别信息，野生动物世界不应因此拒绝为年卡用户提供服务。

3.合规启示

毋庸置疑的是，生物识别技术的发展确实能够便利生活，提高效率，这也是商业实体在实践中大力推广生物识别技术的重要原因。但实践中，社会公众容易对其过度运用起排斥态度。究其原因，对于用户/消费者而言，其忧虑并非主要源于对生物识别技术的不信任，而更多源于对使用生物识别技术的商业实体的不信任。在当前许多生物识别技术的应用场景下，是否符合信息收集的最小必要要求均有待商榷。故而，对于企业而言，在配置生物识别技术的应用场景时，应当保持审慎的态度，并考虑为用户/消费者提供相应的替代方案。

（四）腾讯诉抖音、多闪数据不正当纠纷案

Facebook隐私泄露事件除了引发公众对个人信息安全的担忧外，也使得开放平台场景下的数据安全问题被摆上台面。开放平台场景下，开放平台和其接入的第三方应用对用户个人信息享有何等权利，负有何等责任均引发了行业内的广泛思考。国内司法层面，2017年的“微博诉脉脉”案中，^[16]法院曾针对开放平台场景下用户个人信息的共享问题作出判决，而在2019年初腾讯同抖音、多闪的不正当竞争纠纷案中，开放平台场景下用户数据的归属和共享问题再度引发了对该等问题的新一轮思考。

1.案情回顾

2016年9月9日、12月11日，抖音平台先后与QQ开放平台、微信开放平台通过Open API进行合作，2019年1月22日，腾讯停止对未使用微信/QQ方式登录过抖音的新增用户提供登录授权，至此，已经使用微信账号登录过抖音的微信用户有2.8亿，使用QQ账号登录过抖音的用户有5250万。

2019年3月，腾讯向天津市滨海新区人民法院起诉抖音、多闪违反开放平台协议共享微信/QQ用户头像，涉嫌不正当竞争。腾讯诉称抖音、多闪存在以下不正当竞争行为：

（1）将腾讯用户数据用于拓展自身用户关系链条，即在抖音中向抖音用户推荐好友时使用来源于微信/QQ开放平台的用户头像和昵称等微信/QQ数据并在多闪中设置了邀请QQ好友、邀请微信好友、一键邀请群好友功能，诱导用户邀请微信/QQ好友使用多闪、注册抖音以及迁移微信/QQ群关系及好友关系；

（2）未经同意对外提供用户数据，即将微信/QQ开放平台为抖音提供的已授权微信/QQ账号的登录服务提供给多闪使用；

（3）未经同意使用数据，即在多闪产品中使用来源于微信/QQ开放平台的用户头像、昵称等用户信息。

就抖音同多闪之间的共享行为，天津市滨海新区人民法院于2019年3月18日通过裁定要求抖音立即停止将微信/QQ开放平台授权登录服务提供给多闪使用的行为，同时多闪此前通过抖音擅自获得的微信/QQ用户头像、昵称也被勒令停用。^[17]截至2020年3月27日，该案实体部分尚在审理之中。

2.案件分析

本案中，双方争议的主要内容实质上在于，抖音是否以违反《微信开放平台开发者服务协议》的方式向多闪提供用户个人信息，且是否以违反《微信开放平台开发者服务协议》的方式获取微信用户的头像、昵称用于补充用户关系链条，复制微信用户好友关系。

本案中，腾讯与抖音主要通过开放平台的开发者服务协议对双方在开放平台合作过程中的权利义务进行约定。其中，《微信开放平台开发者服务协议》第2.6.4条约定，第三方应用开发者不得在未经过用户同意的情况下，向任何其他用户及他方显示或以其他任何方式提供该用户的任何信息。第2.7.2条约定，未经腾讯同意，第三方应用开发者不得通过本服务收集、存储、抓取、获得或要求用户提供包括但不限于微信或其服务平台的信息内容、用户数据等腾讯认为属于敏感信息范畴的数据（包括但不限于微信账号、微信密码、QQ号码、QQ密码、用户关系链、好友列表数据、银行账号和密码等），也不得将所合法获得的前述数据自行或提供给其用户、客户用于创建、补充或维护自身关系链。第2.7.6条约定，微信开放平台运营数据、用户数据等数据的全部权利，均归属腾讯，且是腾讯的商业秘密，依法属于用户享有的相关权利除外。未经腾讯事先书面同意，不得为本协议约定之外的目的使用前述数据，亦不得以任何形式将前述数据提供给他人。

新浪微博诉脉脉案中，北京知识产权法院确立了Open API模式下获取用户个人信息时应遵循的“三重授权规则”，即“用户授权”+“平台授权”+“用户授权”。Open API模式下，第三方应用开发者通过开放平台获取用户个人信息的前提是开放平台取得用户授权，第三方应用开发者取得平台授权，同时第三方平台在使用用户信息时还应当明确告知用户其使用的目的、方式和范围，再次取得用户的授权。仅取得用户或平台中任何一方的授权即获取用户个人信息的行为均不符合上述判决确立的精神。若抖音未经同意向多闪提供用户头像、昵称等个人信息的行为，其可能涉嫌违反《微信开放平台开发者服务协议》第2.6.4条的约定，一定程度上也不符合司法实践中对于Open API模式下获取用户个人信息合法性的认定标准。

而针对抖音获取微信用户的头像、昵称用于补充用户关系链条，复制微信用户好友关系的行为，若一旦坐实，则其可能涉嫌违反《微信开放平台开发者服务协议》第2.7.2条中“不得将所合法获得的前述数据自行或提供给其用户、客户用于创建、补充或维护自身关系链”的约定。而判断该等行为是否坐实，则取决于抖音复制微信好友关系的方式。

微信好友关系由用户头像、昵称和用户之间关系链条共同构成。在开放平台模式下，抖音可以通过Open API模式获取微信用户头像、昵称，但无法直接获取用户之间的关系链条。鉴于该案件尚在审理中，目前尚无法得知抖音通过何种方式获取微信用户之间的关系链条。若抖音获取微信用户之间的关系链条的方式依赖于开放平台，则无法排除抖音获取微信用户关系链条的行为被认定为违反《微信开放平台开发者服务协议》的可能性。同时，即使抖音并非依赖于开放平台获取微信用户关系链条，但一旦其将获取的用户关系链条同其通过开放平台获取的用户头像、昵称相关联，其行为仍然可能被认定为将获取的数据用于补充自身用户关系链条，无法排除被法院认为违反《微信开放平台开发者服务协议》的可能性。

3.合规启示

当前，开放平台作为一种经营模式已经成为越来越多互联网公司发展战略中的重要一部分。对于开放平台运营者而言，吸引更多第三方应用的入驻可以获取更多垂直资源，为用户提供更为丰富多样的服务，提高用户体验；对于第三方应用开发者而言，其可以依托开放平台的流量优势不断壮大自身。区别于封闭式平台，开放平台向应用开发者提供开放接口和相关技术服务。接口的开放往往意味着平台上用户个人信息的开放，平台上的第三方应用开发者可以通过OAuth2.0等技术协议标准获得授权登录服务，接触到包括头像、昵称等开放平台自有的用户数据。^[18]一方面，开放平台需要通过共享用户个人信息的方式来吸引更多第三方应用开发者的入驻，进一步扩大平台规模；另一方面，第三方应用开发者亦需要开放平台所拥有的丰富的用户资源。可以说，在开放平台模式下，用户个人信息的开放与共享是平台运转的核心，但这也意味着用户提供给开放平台的信息相较于提供给其他个人信息控制者的信息面临着更高风险。

对于接入的第三方应用开发者而言，严格遵守开发者服务协议等文本，按照三重授权规则的要求获取用户授权收集、使用用户个人信息，是减少或避免相关诉争的重要保障。

而对于开放平台的运营者而言，若用户提供给开放平台的信息被泄露、被窃取等，未尽到妥当保护义务的开放平台应当承担相应的责任亦是实践中达成的普遍共识。作为第三方开放平台领域的先驱，Facebook自2018年3月曝出用户个人数据泄露事件之后便一直处于舆论漩涡之中。其数据泄露亦源于第三方应用将获得授权的用户信息出售给了剑桥分析，被后者用于商业和政治定向广告。在事件中，Facebook由于对第三方应用程序的监管力度不足和未及时披露数据泄露事件遭受了大量批评。据报道，其将支付创纪录的50亿美元与美国联邦贸易委员会达成和解。^[19]在新浪微博诉脉脉案中，尽管新浪微博胜诉，但判决书中法院认定作为开放平台的新浪微博亦在用户信息安全监控等方面存在过错，应承担相应的责任，故没有全额支持其关于损害赔偿金的诉讼请求。这实质上是司法层面对开放平台责任的重申。^[20]作为开放平台的运营者，不仅应该通过开放平台服务协议等文本对第三方应用开发者进行约束，并对接入的第三方应用进行适当的管理，还应当在发现相关应用开发者存在违法违规行为时及时采取有效措施，保护用户的合法权益。

---

[1] 《徐汇区院“庭审直击”本市首例公民个人信息保护领域刑事附带民事公益诉讼》，http：//www.sh.jcy.gov.cn/xwdt/jcdt/56040.jhtml，最后访问时间：2020年3月25日。

[2] 《江苏省首例多人参与侵犯个人信息刑事附带民事公益诉讼案》，https：//xw.qq.com/cmsid/20200109A0CS6600，最后访问时间：2020年3月25日；《亳州首例！侵犯公民个人信息，利辛县检察院提起刑事附带民事公益诉讼》，http：//www.ahlixin.jcy.gov.cn/jcyw/202003/t20200313_2791495.shtml，最后访问时间：2020年3月25日。

[3] 《注销入口隐蔽，验证码频出错！ZAO注销难被指侵犯用户合法权益》，https：//xw.qq.com/cmsid/20190901A00J3D00/20190901A00J3D00，最后访问时间：2020年3月24日。

[4] 《网络安全管理局就“ZAO”App网络数据安全问题开展问询约谈》，http：//www.miit.gov.cn/n1146290/n1146402/n1146440/c7392862/content.html，最后访问时间：2020年3月24日。

[5] 亦有部分报道指出，用户不仅不能删除其面部信息，且仅能根据平台要求上传新的脸部照片用于替代。参见《陌陌旗下“ZAO”刷屏朋友圈 用户协议被指侵犯隐私》，http：//finance.sina.com.cn/roll/2019-09-03/doc-iicezzrq3023805.shtml？cre=tianyi&mod=pcpager_news&loc=24&r=9&rfunc=76&tj=none&tr=9，最后访问时间：2020年3月24日。

[6] 《网络安全法》第43条规定：“个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，有权要求网络运营者删除其个人信息；发现网络运营者收集、存储的其个人信息有错误的，有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。”

[7] 中国证券监督管理委员会《第十八届发审委2019年第142次会议审核结果公告》。

[8] 《墨迹科技创业板首次公开发行股票招股说明书（申报稿2016年12月16日报送）》。

[9] 《关于慧辰资道公司首次公开发行股票并在科创板上市申请文件的第二轮审核问询函》。

[10] 中国证券监督管理委员会第171886号《中国证监会行政许可项目审查一次反馈意见通知书》。

[11] 中国证券监督管理委员会第170261号《中国证监会行政许可项目审查一次反馈意见通知书》。

[12] 中国证券监督管理委员会第170577号《中国证监会行政许可项目审查反馈意见书》。

[13] 中国证监会第171886号《中国证监会行政许可项目审查二次反馈意见通知书》。

[14] 参见杭州市富阳区人民法院（2019）浙0111民初6971号民事判决书。

[15] 《“中国人脸识别第一案”，用法律为技术运用厘定边界》，http：//www.bjnews.com.cn/opinion/2019/11/02/644854.html，最后访问时间：2020年3月27日。

[16] 参见北京知识产权法院（2016）京73民终588号民事判决书。

[17] 参见天津市滨海新区人民法院（2019）津0116民初2091号民事裁定书。

[18] 牟萍：《开放平台的竞争利益与用户个人信息利益之耦合性分析》，https：//mp.weixin.qq.com/ s/hYGBI4VsVDu0eaF8J4GLdQ，最后访问时间：2020年3月25日。

[19] See“FTC’s $5 billion Facebook settlement： Record-breaking and history-making”， available at https：//www.ftc.gov/news-events/blogs/business-blog/2019/07/ftcs-5-billion-facebook-settlement-record-breaking-history， last visit on March 27th， 2020.

[20] 参见北京知识产权法院（2016）京73民终588号民事判决书。