如果针对每个互联网页面,计算“点击率”与“完整阅读率”的差值,再从高到低排序,隐私协议页面必然是第一名的有力竞争者:每一天,几乎每位网民都会点开一个或多个隐私协议页面。接下来,他们通常会视这份凝聚许多专业人士心血的文本为无物,直奔底下的“同意”按钮。连美国联邦最高法院的大法官,都坦言自己不会阅读平常遇到的隐私协议。
这一点为隐私保护带来了很大的挑战。在隐私保护这一话题上,学者与从业者常强调 “知情同意”原则:用户读过隐私协议,了解自己将分享哪些数据、对数据享有何种权利,并同意以上安排。如果企业未能充分履行告知的义务,用户给出的“同意”可能不具备法律效力;用户给出“知情同意”,常常是处理或利用个人数据的前提之一。
如果实践中几乎没有人会阅读隐私协议,或者,即使读过隐私协议,大部分人也弄不清楚隐私协议的含义究竟为何,“知情同意”原则将难以得到有效贯彻。用户在“同意”企业协议时难言“知情”,这一点将同时损害用户和企业双方的利益:其一,企业可能借机攫夺用户对个人数据享有的权益;其二,企业将因此始终面临数据合规层面的监管风险。
无论是个人隐私保护的缺失,还是数据经济因前述不确定性而面临的风险,所牵涉的社会福利都不是小数字:前者事关每一个体,后者可能会对身处新经济的企业产生负面激励,甚至阻碍“第四次工业革命”引擎的发动。因此,如何改进隐私协议的文本书写及展现形式,以提升用户阅读隐私协议的比例,这成为了当下亟待解决的问题。
然而,在提高阅读比率方面,目前的进展并不乐观:无论是相对基础的缩短篇幅、简化表达,还是高亮、弹窗等更加灵活的改进方式,实验呈现的效果都不明显。有的“改进”,甚至可能进而分散消费者的注意力,恶化要解决的问题。从理论出发得到的答案,可能更加“残酷”:所有这些边际上“零敲碎打”的改进,长期来看可能都注定徒劳无功。
这一点自然衍生出以下两点问题:首先,在“无人阅读隐私协议”这一问题上,我们是否还有出路?其次,对如此重要的问题,我们或许应该对最坏的情况也做好准备:如果确实不存在行之有效的办法,隐私协议应当如何设计?接下来,自己将首先解释一系列相关的研究成果;之后,文章将尝试探究以上两点问题。末尾部分是总结与展望。
失败之后,仍是失败
不好读,但又很重要的文件有很多。其它领域,学人及业界也在做相应探索。近年来的实证证据表明:在金融业等高度依赖信息披露的行业中,提升文本可读性的举措已取得了不少正面的成果。例如,根据Kwang和Kim二位学者的估算:企业向投资者提交的报告的可读性每上升一个标准差,企业市值将因此提升2.5%。和这部分研究结论相呼应,多国金融监管机构均要求上市企业以浅易近人的方式披露信息。
当下,隐私协议的书写尚未跟上这一脚步:从法学到经济学再到计算机,各领域学者在“隐私协议既不好读,也不好写”这一结论上达成了高度一致。首先是“不好读”。具体而言,基于对 50000余个隐私政策页面的分析结果,Fabian、Ermakova和Lentz等三位学者发现:首先,隐私协议平均包含1700余个单词,或70个句子。单个句子的平均长度“较长”;其次,平均而言,隐私协议的易读程度是“困难”;最后,和前一点相关,为理解大部分网站的隐私协议的内容,用户至少需要具备一定程度的本科教育。
其次是“不好写”。研究者在提升阅读率方面遭遇的一系列挫折,是阐明这一点最好的实例。在这一题目上,近年来的研究多采取随机对照实验方法:以平时我们常见的隐私协议作为对照组,以经过实验者改写的隐私协议作为实验者;接下来,将实验参与者随机分组,不同组的参与者分别阅读不同版本的隐私协议;阅读完成后,对比两组参与者的阅读用时及对隐私协议内容的掌握情况等指标,即可据此推断相应改进的效果。
具体到改进协议书写的办法,可大致概括为以下两个方面:第一,努力以更加浅易近人的方式展示隐私协议,以降低用户的阅读成本。基于这一类思路的常见做法是缩减隐私协议的篇幅,或简化其中所用的词汇;第二,以各种方式提醒用户,如果不仔细阅读隐私协议,他们可能因此蒙受损失。相应的做法是添加明确的词汇,或加上警示符号。从常识角度看,无论是“降低成本”还是“避免损失(或带来收益)”,都应该会增加用户阅读协议的比例。
第一类做法的效果并不好。Ben-Sharhar和Chilton将实验者分组,然后分别散发未经简化及经过简化的隐私协议,再考察他们对协议的了解程度及对敏感个人信息的披露程度。结果,在回答有关隐私协议的内容的题目方面,两个组之间不存在任何显著差别。信息披露方面的研究也得到了类似的结果。更加有趣的是,在同年发表的另一篇研究中,Gluck等研究者甚至发现:在一定范围内,随隐私协议篇幅缩短而来的,是用户投入于协议的注意力的减少,以及答题时更差的表现。也就是说,简化起的可能是“反效果”。
第二类做法能否“建得奇功”呢?法学学者们一度对加入警示标志寄予厚望。不过,他们恐怕要因此失望了。在荷兰超市实地进行的实验表明:在材料中加入颇为醒目的警示注记及标语,并不能阻止消费者披露邮件账号、购物记录等敏感的信息——有无警示标记,对披露比例并无显著影响[。与此相似,调整披露协议中关键条款的用语,对用户的最终决策也没有任何显著的影响:实际上,用户根本察觉不到“我们将分析您的数据”及“我们保留对您的数据进行[具体列举可能进行的各项操作]以下操作的权利”之间的区别。
有一点值得特别指出:以上实验,很可能仍是高估了用户加之与隐私协议的注意力。首先,与实际不同,在实验场景中,参与者面临的“分心”因素有限,加诸实验材料的心力一般会较平时为高;其次,除少数实地实验外,许多研究招募的参与者是较好学校的本科生。他们的阅读能力本身就更强,对隐私可能也更为注重;最后,即使假定前述改进在一开始可能提高阅读率,我们也很难保证相应改进投入实践后,用户不会逐渐对此变得“麻木”。
提醒用户要珍重他们的权利很难。相比之下,设法欺瞒用户、借助认知方面的固有特点降低用户的提防程度,却并不是那么难。这一点让解决“低阅读率”问题的前景显得更加暗淡。在今年发表的实验研究中,Waldman就发现:相比更加尊重用户隐私、但仅以普通文本形式展现的隐私协议,用户反而可能更信任那些较为侵犯隐私、但展现形式更漂亮的协议。在字号、留白、对比度等变量上下功夫,都能起到在内容方面“瞒天过海”的效果。
不堪重负的用户
精卫填沧海,猛志固常在:不停翻新设计、遭遇“泼冷水”的同时,研究者也一直在尝试总结现有努力收效甚微的原因。在2017年发表的研究中,来自卡内基梅隆大学及兰德公司的研究者总结了如下四点失败的理由:一是需求的不匹配,公司撰写协议的目的及方针,更多地是达到自身的合规,而非照顾用户对信息透明及隐私保护的需求。用户自然难以从中感受到“温度”;二是用户缺乏真正的选择;三是用户的负担太重——有太多协议要读;最后,隐私协议常常以孤立的页面形式出现,与软件之间的整合工作做得不够好。
研究者据此提出了许多改进现有的隐私协议的建议:将隐私协议写得更简短、进一步标注其中重要的部分、让隐私协议更加通俗易懂、将相关通知嵌入恰当的场景,等等。从直观角度出发,这些都是很好的建议;不过,阅罢前面提到的各项实验,我们不禁要怀疑在边际上改进现行协议的意义。尊重用户的“知情同意”,确实很重要;可是,用户需要的,究竟是什么类型的 “知情同意”呢?
笔者曾在专栏撰文介绍对隐私协议的前沿研究,并有幸收获许多令人印象深刻的评论。以下是其中之一:“(我)从一个业余的同时还是关心隐私的用户来说,阅读隐私协定最大的困扰不是想不想看,而是意志力被生活工作学习家庭消耗殆尽,完全没精力看一个漫长的协定,更不用考虑国内匪夷所思的维权难度;为什么不把用户对每一个细项的决策权简化成用户不需要决策的界面?”也就是说,有时候,“知情同意”可能确实很重要;然而,有时候,用户可能根本不想要学者、从业者及监管者努力争来的这份“知情同意”。
从互联网产品整体,而非孤立的角度看待“隐私协议”,用户的以上决策中,蕴含了相当丰富的经济理性。实际场景中,影响用户决策的有许多维度:购买价格、社交网络中也在使用同一产品的成员数量,等等。隐私保护的程度,以及隐私协议的书写水平,仅仅是其中之一。商品在不同维度上的差异大小,对消费者决策造成的影响程度大小未必相同。有的维度影响可能特别大:一点点变动,便有可能驱使用户投奔他家;有的维度影响可能那么大:即使不同软件在这一点上差异甚大,消费者的反应可能也相当“迟钝”。
以下两点,都有可能导致“意志力耗尽”的用户对隐私维度赋予更低的权重。首先,很多用户可能确实就认为隐私不重要;其次,企业之间的差异很重要。Bordalo、Gennaioli和Shleifer 2013年发表的研究指出:如果不同企业彼此之间,在某一维度上相似程度甚高,用户给予这个维度的关注也会相应相应缩减。与这一结论相呼应,前半部分所引的实验证据已经发现:消费者很难察觉到隐私协议的差别。
当学者、从业者与监管者呼唤“知情同意”时,他们期待用户仔细观察产品的这一维度,并在此基础上做出深思熟虑的决定。然而,实践中,用户扔给这个维度的权重可能相当之效,甚至是接近于0。如此结论下,诸如加警示、实时通知、缩短篇幅、改用弹窗等边际意义上的改进,能起到多少效果就相当可疑了:一个专业人士看来颇为激进的改变,乘上一个小之又小的权重,结果可能就是“翻不起什么浪花”;此外,如果行业内不同平台在同一时间引入了相似的改进,根据上一段中的结论,这同样不会提升用户的阅读率。
结语与展望:我们有其它出路吗?
一言以蔽之,许多提升隐私协议阅读率的努力尚未取得成效;将来,类似努力可能也不会取得明显的成效。当然,随着个体隐私意识的逐渐提升与“唤醒”,隐私协议的重要程度可能随之“水涨船高”。然而,如此变化能否转变成实打实的阅读率,进而推动目前占据主导的“知情同意”原则落实到用户层面,仍有待进一步观察。
除用户意识变化以外,以下两点,亦是可能的探索方向。首先,从根子上降低用户的决策成本,不去“挑战他们的意志力”。参考自己的喜好、性格、生活方式及日程安排,用户个人同样可以借助各色统计工具来为自己的决策提供参考:企业按一定方式展示隐私协议,接下来,以用户个人数据训练好的工具便可自动帮助用户决策。用户既不需要拖动疲惫的手指以下拉菜单,也不需要努力分辨那些或微言大义、或佶屈聱牙的文字。当然,企业展示协议的方式也可以类似工具得到优化,确保“只把有限的空间留给最紧要的内容”。
如果是第一类探索方向的精神是维护“知情同意”原则,第二类的方向可能恰好相反:鼓励监管者统一监管隐私协议的书写,将企业间协议的差异压缩到很小的程度——如果仍允许差别存在的话。按照前面的推理,这一安排将导致用户进一步削减在隐私协议维度上投诸的注意力。然而,现有研究说明,这样的措施完全有可能改进整体福利:消费者得以把更多注意力留给其它维度,比如价格;相应地,企业也会加强在这些维度上的竞争,最终对社会福利带来净效应。如此看法略显“离经叛道”,但也不失为未来可能的研究方向。
(作者:朱悦,华盛顿大学法律博士(J.D.)候选人)【来源:《互联网前沿》第一期】