【编者按】2019年12月5日,美国布鲁金斯学会发布报告《隐私政策与市场竞争》(Privacy policy and competition)。报告分析了隐私保护与市场竞争的关系,并从美国隐私法、非美国隐私法以及政府监控三个角度分析了隐私政策对市场竞争的影响,提出政府在促进竞争和保护隐私之间可能存在平衡点。

介绍

长期以来,美国的商业隐私保护法和竞争法一直由联邦贸易委员会(FTC)统一监管,虽然这两类法案分开管理,但是它们的立法初衷都是为了保护消费者权利。其中,竞争法中的反垄断法致力于保护消费者自由选择的权利不受反竞争行为限制,消费者保护法致力于保护消费者行为不受误导性信息限制。总得来说,消费者保护和反垄断行动是并行展开的,其监管行动没有重叠,但是本报告认为,数据隐私是这两种法案的首个不可避免重叠领域,并且会使监管机构面临的选择日益复杂,因为监管当局必须维护有效竞争和隐私保护之间的平衡。

隐私保护和企业市场竞争力是否正相关?

从理论上讲,在消费者重视隐私保护的前提下,市场竞争的加剧会增加市场隐私保护力度。就好比微处理器市场竞争加剧会导致微处理器产品的处理速度提高并且价格降低。但是,到目前为止很少有例子能够说明隐私保护与企业市场竞争力正相关。

DuckDuckGo是一款不收集数据的搜索引擎,相比于主流搜索引擎,它拥有更严格的隐私保护措施。但是DuckDuckGo与主流搜索引擎的隐私竞争并没有给它带来明显的访问量增长率的变化。至于为什么使用更好的隐私政策或者进行更多的隐私控制的公司没有成功地发展壮大?一种可能的解释是“隐私悖论”。“隐私悖论”反映了这样一种现象,即尽管消费者经常表达他们对个人隐私的担忧,但是他们很少做出与其隐私偏好相符合的行为选择。

另一个原因源于商业产品的内生优势,提供高度隐私保护的技术产品往往是开源和非商业的。因此利润导向的商业产品有意将用户数据货币化,从而筹集更多资金用于广告,或者利用风险投资公司和股票市场来扩展市场资源。

即便在隐私保护的关键领域(例如云计算),企业也很少通过提高隐私保护等级来提高竞争力。2017年一项对500位IT决策者的调查显示,92%受访者表示担心GDPR合规性和云问题,但是在选择云计算软件时,他们最关注的是可扩展性(41%),其次是创新(34%),只有26%是合规性。

隐私保护理论上可以增强供应商之间的隐私竞争,如果公司务必披露其隐私政策详细信息,那么用户理应具备有效评估公司隐私保护力度的方法。电子前哨基金会(EFF)通过发布“谁支持你”(Who Has Your Back)年度报告为消费者开展了这项工作,但是这项工作并不能大规模使用。

美国隐私法对市场竞争的影响

3.1 隐私保护对国内市场竞争的影响

固定成本

从经济学的角度来看,在建模隐私监管对企业竞争的影响时,理论上应该观测到监管规则强加给企业的任何固定成本都会产生反竞争效应。如果合规是一项固定成本,那么小型企业对其反应会更强烈。许多隐私政策默认通过保留对大型企业最严格的隐私保护条款,给小型企业带来更高的合规成本。例如《健康信息隐私和责任法案》(HIPAA)不适用于少于50人且仅由雇主管理的健康计划。但是,欧盟《一般数据保护条例》(GDPR)并没有根据公司规模调整合规的潜在成本。早期证据表明,无论公司规模大小,总的GDPR合规成本近乎相似。

同意授权

在隐私保护方面,监管机构应该将同意授权纳入监管范围,因为许多隐私规定是基于用户同意的。但是,同意授权本身会通过捆绑服务增强吸引力,从而恶化劣势竞争者的隐私保护效应。英国信息专员办公室发布的一份最新报告强调,从大型垂直集成型平台购买捆绑服务具有相对优势,并指出在数字广告的“数据供应链”中,许多企业需要依靠合同来保护数据共享、删除等请求,鉴于个人数据类型和中介机构的数量,这种方式并不合适。如果报告可信,那么数字广告的实时竞价模式将很难符合GDPR合规性要求。GDPR将对数字广告行业的产业结构产生重大影响,终将给数字广告行业纵向整合的带来压力。

不同类型的国内隐私法对国内竞争的影响

美国隐私监管体系的一个特点是,它是一个聚焦于部门的体系,因此大量的实证工作都集中在医疗和金融等领域,这些领域的隐私监管最为严格。《公平信用报告法》(Fair Credit Reporting Act)是美国最早明确触及隐私监管的法案之一,在对FCRA的40年执法经验的反思中,FTC意外地没有审查该法案产生的竞争效应。值得注意的是,在过去几十年的数字革命中,尽管大型企业多次爆出隐私丑闻,但是四大信用报告机构(Equifax、Experian、Innovis 、TransUnion)却没有发现行业有新进入者。可能的解释是,在数字领域,规模较小的参与者很难达到现有信用报告机构的合规标准。

3.2 隐私保护对国际市场竞争的影响

数字经济时代,企业不必囿于本地标准向消费者销售服务和产品。这就意味着,专门针对国内经济的隐私法规或保护措施会对国内外公司的相对竞争力产生潜在影响。理论上,鉴于大多数隐私法规的限制条件,这本不应成为挑战,因为大多数隐私法规都是对本国公民的隐私权进行规范,而不是对境外公司的隐私义务进行规范。但是,如果国际执法尚不明确,那么相较于境外隐私监管法规,本土隐私法规将对这些境外公司产生更大的影响。

非美国隐私法对美国市场竞争的影响

4.1 安全港、隐私盾和国际贸易

欧洲早期的隐私监管规则总体上没有影响到美国公司的运营,美国已经连续出台了两项政策,旨在对欧盟隐私保护在美国企业运营中所扮演的角色进行微调。

第一种政策被称为“安全港”(Safe Harbor),合规成本相对较低,因为它依赖于自我认证。2000年美国和欧盟承认其合法性,2015年受“棱镜门”事件影响,一项名为“隐私盾”(Privacy Shield)的新政策取代了“安全港”。“隐私盾”最显著的变化在于“任何向第三方传输数据的行为,都必须提供与原公司相同水平的隐私保护”。然而, “隐私盾”未来可能不符合GDPR对欧盟用户的保护标准,这表明GDPR正在取代“隐私盾”成为最有效的全球隐私保护标准。

来自美国的一些数据支持这一观点,如图1所示,显示了从2018年8月开始对145名上市公司董事的调查结果,很大比例的美国公司已经采取措施遵守GDPR。此外,GDPR在国际范围内的处罚力度也不同寻常,其处罚金额占公司全球收入的4%,而不仅仅是针对欧洲的收入。这意味着,一家拥有少量欧盟客户的美国公司,其被处罚金额可能远高于来自的欧盟客户的收入。

图1:GDPR合规项调查

4.2 GDPR会限制国际竞争吗?

迄今为止,关于GDPR是否限制了欧盟以外公司的竞争力的研究还很少。大多数经验证据表明,美国企业的相关服务在GDPR影响下被迫终止。GDPR对美国企业影响最明显的领域或许是新闻媒体界。许多欧洲用户报告称,美国新闻网站无法在欧盟境内显示内容,其中包括许多知名报纸:《芝加哥论坛》、《洛杉矶时报》、《华盛顿邮报》,如图2所示,《今日美国》专门针对欧盟用户开发简约版网站,只显示部分内容。另一项对最初被GDPR屏蔽的1361个新闻媒体网站的分析数据显示,自GDPR颁布以来,有252个(18%)的网站被屏蔽。

图2:今日美国内容限制公告

政府监控对市场竞争的影响

政府监控对消费者的伤害往往被界定为“寒蝉效应”(chilling effects),已有证据表明,政府监视以及其他侵犯隐私行为的负面效应确实存在,但是目前尚不清楚政府是否倾向于与老牌数字公司建立深度的监控合作关系,以及这一行为是否对隐私保护和竞争政策具有实际的影响。

类似于隐私保护与市场竞争的关系,政府与潜在的数据供应商建立以监控为目的的数据共享机制也会产生固定成本。相较于降低电信和技术部门市场进入壁垒,政府通过与大型企业建立数据共享合作关系进行监控更为有效。反过来说,与大型合作方之间的数据共享关系在寒蝉效应方面增加了数亿消费者的成本。

企业对政府监视请求的反应取决于公司规模和请求的性质。较大的公司更愿意聘请复杂的数据请求法律团队,较小的公司可能会因时间紧张或过多的数据请求而承担更大的成本。

如何权衡隐私保护与市场竞争

隐私权与竞争法存在不可调和的冲突,目前很少有公认的方法来衡量隐私监管的潜在优势。现有的一些可测量的指标,例如身份盗窃事件和数据泄露事件的发生次数,但是其有效性还有待证实。尽管信息安全风险与隐私监管目标相关,但是隐私监管的一些目标(例如用户对数据的控制权)并不能被数据安全测算方法予以量化。有证据表明,GDPR使欧盟受访者接触到的cookie同意通知数量增加了16%。这表明消费者对数据的控制权增加,但它是否增加消费者福利取决于消费者在控制权和客户体验之间的取舍。2019年一项关于法国消费者对GDPR的认可程度的调查显示,大多数法国人认为GDPR并没有解决数据泄露问题,隐私问题需要政府采取进一步、更具惩罚性的行动。

总的来说,隐私悖论表明,简单的衡量标准不太可能揭示消费者真实的隐私偏好。除非我们对隐私监管的优势具备有效的度量方法,否则很难将它们应用于市场竞争。

编译 | 李顾元/上海社会科学院信息所研究生

声明:本文来自赛博研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。