中篇——2018年数据保护政策焦点洞察
2018年数据保护焦点洞察分析
一、 Facebook数据事件的深度拷问
2018年3月,纽约时报和英国观察者报共同发布了深度报道,曝光曾服务特朗普竞选团队的数据分析公司(Cambridge Analytica)获得了Facebook数千万用户的数据,并进行违规滥用,干预包括美国大选在内的多国政治活动。此举将2016年年末已经开始发酵的通俄门事件推向为全球瞩目的焦点事件。
截止目前,美国国会参众两院各委员会分别或者联合启动数十场听证会[1],深度拷问平台数据治理能力,并卷入脸书,推特,谷歌等众多科技公司。
听证会是美国开展事件调查、立法政策讨论最主要和最正式的方式。过去一年来的听证会,不论是质询者,还是回应者,都在不断加深对相关问题的认识。与其说成是听证会,不妨看做是美国目前涉及范围最广、规格最高的大型系列政策研讨会,研讨会上的各类观点一定程度上决定了美国未来的数据监管政策:
我们可以将研讨议题大致分为两类
议题一 内容监管中的平台责任:涉及选举政治问题的,监管政策已趋明朗,但泛泛的平台责任议题仍在讨论中
在美国,对平台内容进行监管是极其复杂的。美国宪法第一修正案规定的言论自由原则适用于平台,平台需要被平等地保障言论自由权,这也是美国国会长期以来一直没有为平台赋予更多内容管理责任的主要原因。
但是随着时代的发展,要求平台对其上的内容承担责任的理由也渐渐出现,平台媒体通过信息传播这一重要渠道,获得了影响社会的力量,这一地位的转变使得平台也要承担起防止这一力量被滥用,危害社会的责任。
首先,关于平台被恶意利用,干预选举等政治问题,平台正积极承担责任,并支持在这一领域建立明确的立法。实际上,利用网络做政治宣传在美国早已有之,八年前奥巴马竞选团队在网络选战中的出色表现为人所称道,而此次特朗普当选超乎预期,并与通俄门话题关联,使得平台在选举中被恶意利用的问题变得紧迫,硅谷科技公司也意识到了网络上虚假账户、虚假新闻对民主政治的极大危害,积极支持国会制定《诚实广告法》,加强线上政治广告的透明性。
而在干预选举问题之外,对于网络上的仇恨言论、儿童色情等不良内容,尽管立法者们也开始讨论对1996 年《通信内容端正法》(Communications Decency Act)第230“避风港条款”——即互联网服务提供者不为第三方内容承担责任,进行适当的修改,但这种泛泛的平台内容责任政策还需深入讨论。一概而论评价美国加强平台对内容的监管责任,并不准确。相反,出于“言论自由”等美国基本价值原则,包括脸书、推特等大互联网公司的内容管理措施仍然是十分谨慎的。许多立法者,特别是原则上反对商业监管的共和党人,希望科技行业能够证明其能够自我调节。
议题二 隐私保护和数据安全政策(本报告重点关注的议题):联邦重启隐私立法议题,并得到了科技行业支持
美国在隐私与数据保护方面的立法长期保持着碎片化特征,即各行业、各领域,以及各州分别针对特定场景下的消费者隐私保护各自出台立法。这种分散式立法虽然具有更强的灵活性,但也因过于松散而饱受诟病。
而2018年一系列的听证会表明,关于联邦层面的统一隐私保护立法再一次成为讨论的焦点。这一次,美国两党,民众以及主要科技公司似乎已达成了新的共识:即现在的问题不再是是否需要制定联邦层面的隐私保护法,而是应该制定一部怎么样的联邦隐私保护法。
尽管目前联邦层面的隐私保护立法呼声极高,但因为美国各州差异巨大,能在联邦层面达成共识的隐私立法不会过于详实,具体的执法细则应根据各州的具体情况进行规定,制度规范也不会像GDPR那般严苛。因为即使是最为激进的加州消费者隐私保护法案,也比GDPR要宽松很多,也会更加注重消费者保护的实际效果和促进企业发展、技术创新之间的平衡。这最显著地体现在以下两点:
第一,受影响的实体范围。在欧盟GDPR下,所有任何规模的实体都受GDPR的约束,而加州消费者隐私法仅涵盖收入超过2500万美元的企业,以及销售大量个人信息的数据经纪人。
第二,加州隐私法仍然保持了美欧个人数据保护法的最大差异。具体而言,在GDPR下,公司收集、处理消费者个人数据之前必须要获得消费者的同意,即“opt-in”模式;而在加州消费者隐私法中,对于16岁以上的消费者的个人信息处理,采取美国一以贯之的“opt-out”模式,即除非用户拒绝或退出,则公司可以继续处理用户的个人信息。从实践效果而言,“opt-out”模式对消费者而言更为真实有用,同时对新进入市场的企业的发展阻碍也更小。
正如2018年10月10日,在以“消费者数据隐私:审视欧盟通用数据保护条例和加州消费者隐私法案”为主题的听证会上,欧洲数据保护委员会主席Dr. Andrea Jelinek,以及美国加州消费者隐私法的主要发起人:Alastair Mactaggart应邀展开政策讨论。后者表示:人们将加州隐私法CCPA与欧洲通用数据保护条例GDPR进行了比较。虽然存在概念上的相似之处,但CCPA却有很大的不同。一个重要的区别是,欧洲方法要求用户同意才能进行任何数据处理。我们担心此条款可能会伤害新进入市场的企业,因为消费者可能不太同意新参与者收集和销售他们的信息——那么下一个Google或Facebook如何成长起来呢?
在紧接着12.11的美国众议院司法委员会发起的听证会上,美国最重要的数据监管机构联邦贸易委员会主席Joseph J. Simons也陈述道:我们在考虑联邦的统一隐私立法时,也必需看到它可能带来的负面结果——扩展现有平台的市场份额,他们有更多资源投入合规,从而形成新的竞争优势。欧盟率先推出GDPR,这使得美国有机会把它看作是一次制度试验,看它是否减损了竞争、带来什么坏处,我们可以在制度设计中找到办法来避免它。
同步,最主要的数据监管机构——FTC也发起一系列数据主题听证会
除了国会层面发起的隐私立法讨论,担负隐私监管使命的FTC也陆续发起系列听证会,深度讨论数据政策。主题涵盖:隐私监管(消费者数据的监管);隐私、大数据和竞争;算法、人工智能和预测分析;数据安全等。
FTC听证会的重要特征是参与者的立场及专业背景的多元化。广泛卷入了监管机构、企业、消费者团体以及研究机构,参与讨论者的专业背景既有社会科学背景,包括经济学、法学、心理行为学等等,也涉足技术工程背景,包括计算机科学家、工程师等。这样多元的主体参与,为数据问题的探讨提供了丰富的多样性,使得我们有机会透视问题最真实样貌。
(一)经济学家的讨论视角
数据规制对于数字经济的短期、长期影响。包括以GDPR为具体案例来讨论其长短期影响。
消费者福利的增长与损耗。以在线行为广告为例,其向消费者反哺了海量的免费内容和免费服务,也一定程度上增加了服务供给端的竞争程度。
数据是如何存储、流动和进化的?技术是如何塑造了数据以及数据的使用?
比较两种数据使用机制对社会福利的影响。以借贷市场为例,在opt-in vs .opt-out 两种模式下的结果:opt-out模式下,有更多的数据被收集,借贷市场会更加有效地进行匹配,最终借贷产品的价格更低。
(二)竞争法专家在讨论,在特定的数据竞争案例中:
数据是最终产品还是竞争的投入要素?
数据是竞争的武器,还是竞争的目标?
数据的竞争属性,数据是唯一的、广泛获取的、易于复制的?
(三)心理行为学探讨
在市场运行中,消费者的隐私偏好扮演了重要角色。在市场调查问卷中,消费者总是反映出更强的隐私保护立场;然而在具体市场行为中,消费者的隐私偏好却始终变化。在短期内,用户更关注:分享披露信息、即时获得的效率提升、便利以及社交满足感,而对长期风险意识不足——披露信息可能导致丧失安宁、身份盗窃等安全隐患增加。因此,消费者教育在数据治理也将扮演重要角色。
这些多元化视角聚焦于一个特定问题时,也会有更多的碰撞,例如在“数据安全”议题听证会上,讨论围绕以下问题而展开:
投资于数据安全的动机是什么?它们是否足够?
消费者对数据安全的需求是什么样的?
消费者需求是否能够有意义地推动数据安全投资?
我们应该期望消费者参与保护他们自己的信息吗?
我们如何才能最好地评估特定公司的数据安全能力,以及如何将评估传达给有关的利益相关者、高管、董事会、网络保险公司、信用卡发行机构、消费者和监管机构?
针对数据安全,哪些监管和执法方法有效?他们为什么有效果?它们可以改进吗?
这些问题显示了美国在考量数据政策设计时,始终突出市场生态视角,希望通过政策设计实现更加完整、有效的市场自我运行机制,以最大化地实现政策目标。比如在数据安全问题上,除了法律上要求的合规内容,投资数据安全的持久动机应当是保护与消费者之间的信任关系,维护企业商誉,这是市场有序竞争发展的根本。
在听证会,专家们也对美国最早提出的“数据泄露通知制度”进行了反思。当前由于数据泄露的规模不断扩大,欺诈手段的不断演化升级,数据泄露通知制度对于预防减少欺诈的作用,关联度已越来越弱。而与此同时,数据泄露培育了网络与数据安全保险市场的发展,为解决数据安全问题提供了新的路径。
可见在数据保护领域,美国仍将与欧盟保持不同风格的法律特征。通过听证会这一对话平台,美国产业界、立法者、消费者团体对相关问题展开了深入讨论,探索相关解决方案。近期科技监管政策的走向一定程度上决定了美国科技行业能否走出危机阴影,从而继续保持美国科技行业在全球的竞争力。
二、 欧盟数据共享政策探索
而在欧盟,政策关注点则投向了另一端——数据共享议题。2017年1月,欧盟委员会发布《构建欧盟数据经济》公报,其预测:欧盟数据市场的价值在2020年将超过1060亿欧元,增长前景可期。公报呼吁构建完善机制,实现企业间非个人的、以及机器生成的数据的访问和共享。为了加深理解,欧盟委员会于2017年7月启动了《欧洲企业间数据共享指南》,对公司间数据共享和再利用的规模进行评估,识别阻碍欧洲企业间数据共享和再利用的障碍因素,并为促进数据共享提出可行建议。2018年4月,经过产业界、学界、欧盟官方机构的共同合作,《欧洲数据经济中的私营部门数据共享指南》报告正式发布(以下简称《数据共享指南)。
《数据共享指南》显示:欧洲企业间数据共享的模式多样,涉及行业范围广泛。不仅仅专属于互联网相关行业,而是深入到工业、农业、能源、物流等传统行业,与新兴行业一起,以数据的产生与利用作为重要驱动,实现产品、服务的创新和产业的整体升级。
在这份指南的基础性研究报告中总结了数据共享的五种不同模式:
(一)数据货币化:指通过向其他公司分享数据而取得额外收入的单边方法,也包括因提供数据服务而实现数据货币化。例如:荷兰的一家智慧农业公司Van den Borne Aardappelen将土壤信息和农作物数据出售给农药企业和种子企业。再比如:西班牙电信Telefonica于2016年创建了一种专门的访问单元LUCA,提供来自公司数据的匿名化分析服务,以帮助客户做出更好的决策。它的许可协议十分全面,在提供客户有价值的建议的同时,通过对使用权限的严格限制实现对数据隐私的保护。
(二)数据交易市场:数据供应企业和数据需求企业通过受信任的中介机构,在其设立或管理的安全在线平台上交易数据,中介机构对平台上的数据交易收取佣金。例如独立的第三方可信数据共享平台DAWEX,就是一个汇聚了数据提供者和数据使用者的全球性数据交易平台。
(三)产业数据平台:在特定的产业场景中,部分公司选择达成战略合作伙伴关系,自愿加入一个封闭、安全和专属的平台,从数据交换中获得互惠互利,数据可以在该平台上免费共享,也可以支付对价。这些来自不同公司的数据集合可以给相关各方带来明显收益,参与此类数据协作平台的公司可能因此开发出新的产品、服务,或是大幅提高原有产品、服务的性能和水平。例如:欧洲领先的飞机制造商Airbus创建了Skywise平台,为平台成员提供数据服务以提高生产效率。
(四)数据共享技术服务:与产业数据平台或数据交易市场不同,技术服务企业的收益并非来自于直接的数据分享,而是通过建立、实施或者维护促进企业间数据共享的技术方案而收取费用。例如:例:DKE、API-AGRO,Nallianand和Sensative建立了他们自己基于网络或基于云服务的技术方案,来促进一组数据使用者或商业伙伴间的数据分享。
(五)数据开放与数据策略:这些企业实行开放的数据政策,将数据合法提供给第三方,用于开发新产品/服务。采取此策略的公司大多在法律上负有开放数据的义务,尤其集中在能源领域。例如法国国家电网运营商 Enedis已有20年的数据共享经历。它最初是出于法律义务与第三方分享能源分布和消费数据,目前则是将数据共享作为自身数据转型策略的一部分。其数据已在能源市场、可再生能源、智能建筑和智能家居等领域被证明是极有价值的。
同时,报告也指出了阻碍欧洲企业间开展数据共享的限制性因素:
这些限制性因素来自于三个方面:
第一,文化组织因素。缺乏对技术解决方案的信任,对共享平台的安全性存在怀疑;评估数据资产价值存在困难。
第二,法律监管因素。包括数据权属问题不清,数据利用合规上的不确定性(GDPR),数据本地化限制等。
第三,技术运营因素。企业间的数据共享缺乏标准化模式,不同数据集和信息系统之间缺乏交互操作,缺乏(兼容)标准。
基于此,报告提出了相关建议:
《数据共享指南》指出:欧洲企业间数据共享在现实中是大量存在的,在未来还将继续增长,并对促进经济增长产生积极影响。因此促进数据共享发展应当是政策制定者的当务之急:
第一,加快对数据权属的研究,完善非个人数据访问和流动的法律保障;
第二,推广和促进企业间数据共享许可协议的使用;
第三,提高数据使用的持续审计的技术能力,防止数据滥用。
对于第一点,欧盟已经通过实质性的政策行动,迈出积极一步。2018年10月4日通过的《非个人数据在欧盟境内自由流动框架条例》在法规层面消除阻碍企业间数据共享面临的负面因素。一方面,提出对数据本地化措施予以最大程度的限制或禁止;另一方面,规定欧盟委员会应鼓励和促进制定联盟一级的自律行为守则(“行为守则”),以便在透明度、互通性原则和开放标准的基础上,助力发展基于数据共享的有竞争力的数据经济。
对于第二点,《数据共享指南》中也重申了许可协议在数据共享中的基础性作用。数据共享通常是在协议的基础上实现的。双方或多方通过数据使用许可协议就数据共享的内容、价值以及合同上规定的其他方式达成一致。全面的数据许可协议应该覆盖以下内容:对共享数据本身的描述,可以访问、使用数据的主体,以何种方式使用,包括数据(分析)的衍生品权利分配、责任分配等。
最后,为数据共享提供可信、安全的环境,《数据共享指南》也从技术视角,提供了相关技术解决方案建议。指南肯定了API接口作为数据共享方式的优点:简单快速访问数据;可监控数据的使用;核实违反合同的行为;迅速处理数据的滥用(终止或暂停数据访问)。
此外,《指南》还推荐了:将算法应用于数据(Algorithm-to-the-data)以及隐私保护计算(Privacy-preserving computation)等技术方式。这些技术应用将使得数据安全、数据保护以及隐私等难题迎刃而解。其中,算法将确保实现个人数据与隐私保护的关键因素——尽可能少地转移数据。而隐私保护计算在确保不泄露输入数据的前提下提取有用信息。因此,数据计算可以在不同领域(公共或者私人)中同时运行而不必将数据迁移出公司。这些模型意味着从“分享数据”到“分享计算”的基本范式转移[2]。
三、结语
数据共享最大的风险莫过于数据泄露和数据滥用。美欧的政策探索从两端入手,最终仍是在回答同一个核心问题:在促进数据共享、释放数据潜能的同时,如何最大化地减轻数据泄露和滥用带来的负面作用?而在这一核心问题面前实质上有一个统一的前提共识:数据是驱动创新发展的关键资源。欧盟更是进一步提出:要建立共同的欧洲数据空间,以促进数字领域的无缝衔接,通过规模效应实现基于数据的新产品和新服务的大发展。
因此,不论是美国通过Facebook事件来重新反思整理数据政策,还是欧盟在推出GDPR的同时,依旧对如何促进数据共享投入巨大精力,理想主义的欧盟和实用主义的美国,在这一方面共识大于分歧。都是在这个大前提其去探寻更科学的政策框架,去释放数据的无限潜能。
也因此,美欧的探索是相互可借鉴的。欧盟提出的促进数据共享的三大建议,明确数据权属、完善数据共享协议、增强数据共享的安全能力保障,可以为美国在治理数据滥用问题时所参考;同样,美国以市场生态的视角来看待数据安全问题,如何为数据安全提供更持久的市场动机,也或可对欧盟有所启发。
而对于全球数字经济的重要参与方——中国来说,也许我们也将在其中学到很多……
(作者:王融,腾讯研究院资深专家)【来源:《互联网前沿》第一期】