编译:对外经济贸易大学金融科技实验室

编者按

时光荏苒,欧盟《一般数据保护条例》(GDPR)实施已满两年。

“试玉要烧三日满,辩才须待七年期”。从纸面的法到行动中的法,从高歌价值的法到嵌入社会的法,对GDPR的研究和评估远未穷尽。为此,我们特编译了美国企业研究所(American Enterprise Institute)访问研究员Roslyn Layton在参议院司法委员会发表的演讲,供各方参考。该演讲针对GDPR和《加利福利亚消费者隐私法》(CCPA),围绕选择同意、消费者控制以及对竞争和创新的影响等问题开展了评价,并提出了美国相关政策制定的建议。

——对外经济贸易大学数字经济与法律创新研究中心执行主任许可

以下是发言内容:

Graham主席、范斯坦高级成员和委员会成员,感谢你们给我这个机会讨论《通用数据保护条例》(GDPR)和《加利福尼亚消费者隐私法》(CCPA)。这是一种荣誉。你们在这个重要问题上的两党合作使我深感鼓舞。这一证词仅代表我自己的观点和研究成果。

我是作为丹麦奥尔堡大学媒体和信息技术中心的专业人员为各位提供以下证词。在奥尔堡大学,我们进行隐私和安全技术的研究。我的学术研究将在线隐私作为一个综合框架进行了探索,其中包括制度、商业实践、技术类型,以及最重要的,用户的知识水平。另外,作为三个丹麦裔美国孩子的母亲,我个人对欧洲规则是否有效也很感兴趣。

今天,我将汇报GDPR可能存在的10个关键问题。如果它们没有被解决的话,CCPA将会被困扰。我将讨论基于证据的在线隐私和数据保护解决方案。这些措施包括隐私增强技术、消费者教育和标准设置。最后,我将讨论一个什么样的联邦标准可以支持一个国家的数字经济、保护美国人的权利,并得到宪法的支持。

GDPR的10个问题

这是GDPR的10个关键问题,如果没有适当的修正,这些问题也会困扰CCPA。

1.GDPR强化了头部玩家。

2.GDPR削弱了中小型企业。

3.GDPR对于许多公司来说是成本高昂的。

4.GDPR使自由的言论和表达沉默。

5.GDPR威胁着创新和研究。

6.GDPR增加了网络安全风险。

7.GDPR和CCPA为身份盗窃和在线欺诈创造了风险。

8.GDPR并没有创造更多的网络信任。

9.GDPR和CCPA利用顾客控制的幌子来增加政府的权力。

10. GDPR和CCPA未能有意义地将隐私增强创新和消费者教育在数据保护中的作用结合起来。

要分析像GDPR这样的政策,我们必须撇开政治宣言,评估其对真实世界的影响。以下是这十个问题的主要内容。

GDPR强化了头部玩家自从GDPR实施以来,谷歌、脸谱网和亚马逊已经增加了其在欧盟的市场份额。有三个事实已经发生了:(1)GDPR合规成本高,这对于大公司来说是一个优势,因为有较大的预算来支付软件升级和隐私专业人员的费用。(2)各公司已停止使用与谷歌和Facebook竞争的追踪工具,将更大的市场份额拱手让给了老牌公司。(3)用户不太可能尝试新的平台和工具,而是坚持在现任公司中使用“他们知道的魔鬼”。

对于那些研究监管的实证结果的人来说,这并不奇怪。正如诺贝尔奖经济学家George Stigler在40多年前所观察到的,“监管是由工业掌控并为其利益而运作的。”确实,更大的公司可能更欢迎GDPR,因为它可以将它们与激烈的竞争隔离开来。

GDPR削弱了中小企业小型广告技术竞争对手失去了大约三分之一的市场份额。数据显示,欧盟并没有培育出中小型企业成长的环境。

尽管几年前,人们就注意到GDPR即将实施,但只有20%的欧盟公司,主要是大公司,实现了数字化。几乎没有数据显示,在欧盟,中小企业正因为这一规定而增长。欧盟委员会的报告显示,中小型企业在网站和海外市场的现代化方面一直滞后。一项研究表明,自从GDPR生效以来,中小型广告行业的技术竞争者已经失去了三分之一的市场地位。

许多美国零售商、游戏公司和服务提供商不再在欧盟运营。Williams-Sonoma和PotteryBarn的网站是黑暗的。总部位于旧金山的Klout是一个创新的在线服务提供商,它使用社交媒体分析来根据在线社交影响对用户进行评级,但现在已经完全关闭了。Drawbridge,一个来自加利福尼亚圣马特奥的身份管理公司,退出了欧盟,并因为GDPR出售了它的广告追踪业务。Verve是一家领先的移动营销平台,在美国六个城市设有办事处,但它也在GDPR实施之前关闭了其在欧洲的业务,影响了15名欧盟雇员。

位于华盛顿贝尔维尤(Bellevue)的获奖视频游戏公司Valve选择关闭了整个游戏社区,而不是在满足GDPR的合规性要求方面投资。总部同样位于华盛顿的优步娱乐(Uber Entertainment)同样在运营6年后完全关闭了其最受欢迎的游戏之一,原因是将该平台升级至符合GDPR要求的成本太高。总部位于加州的GravityInteractive不再在欧盟提供游戏,并向其欧洲客户退款。

总部位于拉斯维加斯的Brent-Ozar公司提供一系列信息技术和软件支持服务,现在已不再为欧盟服务。旧金山的Payver,仪表板摄像头应用程序,支付司机收集坑洼路上的道路信息,倒下的路标和其他信息,以建立地图来提高自驾汽车的安全性,也已不再支持欧盟。法律新闻网站Above the Law描述了“Ragnarok Online”、“Unroll.me”、“SMNC”、“Tunngle”和“SteelRoot”在欧盟的关闭,并指出GPDR正在瓦解互联网,而且GDPR的决策者在推出GDPR之前拒绝听取创业公司的意见、现在也拒绝解决这些问题。甚至,就连国家广告商协会的网站在欧盟也是不可用的。

这一规定损害了为初创企业提供资金的欧洲风险资本市场。已公布的国家经济研究局(National Bureau of Economic Research)的研究(由联邦贸易委员会(FTC)前首席经济学家合著)中,从2017年7月到2018年9月,每周每个国家的筹资量减少了338万美元,每周风险交易量减少了17.6%,每笔交易筹资额减少39.6%。这些数字关系到3000到30000个工作岗位的流失。

事实上,GDPR可以作为一个贸易壁垒来驱逐美国的小公司,这样一来欧洲的小公司就能站稳脚跟。尽管如此,GDPR也使欧洲的初创企业变得困难。考虑一下Momio,一个开始为脸谱网提供替代方案的儿童社交网络的情况,。

Momio是一个专门为5-15岁儿童设计和运营的在线社交网络,在北欧地区、荷兰、德国和波兰拥有100万用户。它于2013年推出,运行旗舰版和Momio Lite,后者不处理任何个人数据。Lite版本也不允许发布文本或图像。13岁以下的使用者须取得家长同意。孩子们通过移动设备访问平台,并与他们自己创造的虚拟化身互动。该平台是由对儿童友好的合作伙伴和媒体公司资助的。该平台以数字生活技能的概念为基础,重点关注数字使用、安全、保障、情商、沟通和读写能力。正如该公司首席执行官Mikael Jensen在一封电子邮件中所解释的那样,“……据我所知,GDPR的立法工作并没有让父母和孩子参与儿童保护法律的制定。GDPR并没有让孩子们更容易在数字平台上成长,相反,它让孩子们更难成长。”

GDPR对于许多公司来说是成本高昂的为了能在现在的欧盟做生意,拥有500个雇员的公司必须平均花费大约300万美元来满足GDPR的合规性要求。数以千计的美国公司已经决定这是不值得的并退出。当然,300万美元,甚至3亿美元,对谷歌、脸谱网和Amazon来说都算不了什么(据报道,财富500强的公司为GDPR升级拨出了80亿美元),但这笔钱的确将使美国的许多网络公司破产。事实上,只有不到一半的公司能完全符合GDPR的要求;五分之一的公司认为完全遵守是不可能的。估计每位欧洲公民的直接福利损失约为260欧元。如果在美国颁布类似的法规,仅美国公司的GDPR合规成本就可以达到1500亿美元,这是美国在宽带网络投资上花费的两倍,是美国每年电子商务收入的三分之一。

GDPR不仅影响了美国媒体,也影响了他们的广告商。考虑到谷歌的广告平台及其在联合网络上的附属公司的规模,其遵守GDPR的行为在市场上产生了连锁反应。独立广告交易所指出,广告价格暴跌了20%-40%。一些广告商报告他们被拒之门外。GDPR对于“控制器”和“处理器”复杂神秘的命名可能会使第三方芯片制造商、组件供应商和软件供应商陷入困境,因为欧洲法院已经裁定,互联网生态系统的任何部分都可能对数据泄露负责。

GDPR使自由言论和表达沉默自从GDPR生效以来,欧盟已有1000多个新闻网站陷入黑暗。欧盟居民无法访问TribuneMedia,其旗下的旗舰报纸包括《LosAngelesTimes》、《ChicagoTribune》、《NewYorkDailyNews》、《HartfordCourant》(美国自1764以来发行时间最长的报纸)、《OrlandoSentinel》,和《BaltimoreSun》,也不能访问拥有超过60家报纸、涵盖美国20个州新闻的Lee。封锁媒体不只是一个问题。除了一百万生活在欧盟的美国人不再阅读家乡的新闻和信息以外,一些欧洲人也会希望了解更多来自于美国的直接信息,而不是来自在大多数欧盟国家的新闻业占据了统治地位的国有媒体的信息,。

超过1000个美国新闻和媒体在欧盟不再可见,除此之外还有许多网站的电子商务、游戏、信息技术及其他服务。这是值得关注的,因为欧盟是美国大约三分之二的数字媒体、商品和服务的出口目的地。

遵守GDPR的代价是如此高昂和繁琐,以至于这些实体会自我审查,而不是冒险违反GDPR。如果GDPR在美国被采纳,它可能会违反《the First Amendment》,因为数据处理的要求是如此繁琐,以至于会被发现限制了表达。与GDPR相关的一个问题是“被遗忘权”(RTBF),即信息的生命是有限的,经过一段时间后,信息的生命就“耗尽”,可以从公共领域中删除。欧盟声称,如果数据控制器处理的是欧洲公民的数据,则GDPR适用于世界任何地方的数据控制器。类似地,RTBF的支持者,如法国数据保护局(DPA),试图以数据保护的名义强制全球删除公共信息。例如,法国的DPA已经命令谷歌删除法国的某些搜索结果,并认为该公司必须为所有国家的搜索引擎删除这些结果。谷歌已经向欧洲法院提出上诉。欧盟委员会、爱尔兰和希腊支持该公司的上诉,认为RTBF将数据保护的意义过度延伸了。

事实上,GDPR在欧盟之外宣称的管辖权本身可能是非法的,至少在美国方面是如此。在美国普通法下,GDPR很可能是不可执行的,因为在违反美国政策时是可以拒绝接受外国裁决的。2010年通过的《SPEECHAct》为在外国司法管辖区提起的诽谤诉讼提供了第一修正案的有力保护。

GDPR威胁着创新和研究许多GDPR的要求与大数据、人工智能、块链和机器学习基本上是不相容的,尤其是那些旨在要求数据处理器公开其数据处理,尽量减少数据使用和自动化决策的那些要求。对于技术开发人员、工程师和企业家来说,GDPR不仅在法律和裁决中产生了不确定性,而且GDPR的要求和原则在与机器学习和人工智能的冲突中产生了不确定性。

最近一些最重要的科学进展是用创造性的方法处理各种信息的结果——这些方法既不是主体也不是控制者所预期的,更不用说提出要求这一步骤了。想想关于使用手机是否会导致脑癌的权威研究吧。丹麦癌症协会通过处理社会安全号码、手机号码和国家癌症登记处的信息对358,403名丹麦移动电话用户进行了分析。国家癌症登记处通过社会安全号码记录每一个癌症发病。该研究是同类研究中最全面的一次,证明使用手机与脑癌无关。但是用户的信息并没有收集到明确的研究目的。因此,有可能发生的情况是,如果GDPR在研究进行时已经生效,那么就无法获得被分析数据的人群的同意,而GDPR的目的规范要求也因此使研究无法进行。展望未来,由于GDPR,有价值的研究即使不是很可能,也仍然可能不会进行。

事实上,社会化医学的一部分目的是利用公共卫生数据库中大量的数据来促进医学进步。然而,隐私恐慌正使一些项目脱轨,包括冰岛基因组仓库。作为世界上最古老、最完整的基因记录库,它致力于针对阿尔茨海默病和乳腺癌开创性的治疗方法。尽管许多监管倡导人士将注意力集中在硅谷公司身上,并呼吁加强监管,但其实结果却适得其反,因为这使得用户转而对政府不满,要求从国家医疗记录和其他政府服务中删除他们的数据,这可能会让强制性社会项目的运营模式受挫。大约50万澳大利亚人以“Ifindoubt,optout”为口号,拒绝了该国的全国电子健康记录,导致该计算机系统在2018年7月崩溃。

几个世纪以来,欧洲国家教会收集并公布了有关出生、死亡、婚礼、洗礼等的信息。在丹麦和瑞典,这些机构保留官方注册的信息。由于GDPR的实施,许多教堂已经停止在他们当地的集会发布公告,除非他们首先获得同意。GDPR的风险还包括:已被定罪的重罪犯成功地从搜索引擎中删除有关其罪行、交换名片、在公共场合拍照以及披露职业运动员的健康和受伤的信息。

GDPR增加了网络安全风险一个关键的、意想不到的后果是,GDPR破坏了国际互联网的系统和体系结构的透明度。WHOIS针对互联网域名、IP地址和自主系统的查询和响应协议被执法部门、网络安全专业人员和研究人员以及商标和知识产权持有者使用。互联网名称与数字地址分配机构(ICANN)最近宣布了一项临时规范,允许注册机构和注册人掩盖他们之前被要求公开的WHOIS信息。表面上这是为了遵守GDPR。这可能会阻碍打击网上违法活动,包括身份盗窃、网络攻击、网上间谍活动、盗窃知识产权、欺诈、非法销售毒品、贩卖人口和其他犯罪行为,而这甚至不是GDPR所要求的。

GDPR不适用于非个人信息,并规定即使个人信息的披露也可以保证消费者保护、公共安全、执法、权利行使、网络安全和打击欺诈等事项。此外,GDPR并不适用于由美国注册人和注册机构注册的域名。它也不适用于公司、企业或其他法律实体的域名注册人,而非“自然人”。尽管如此,包括互联网名称与数字地址分配机构(ICANN)在内的一些机构仍在实行自愿审查,因为GDPR的规定非常模糊,潜在的惩罚也非常高。支持GDPR的机构可能会给人留下这样的印象:GDPR敦促采取临时规范等措施。例如,在推动GDPR颁布的第29工作组中发挥作用的AndreaJelinek认为,根据GDPR,消除和掩盖WHOIS信息是合理的。

WHOIS问题可以说是个人隐私权与公众知情权的冲突。它也可以在“过度隐私”问题的情境中被理解,在此情况下保护隐私变得绝对,与其他权利缺乏平衡,并且无意中为隐私和数据保护带来更坏的结果。这种情况又回到了隐私保护主义者曾经的一个关键谬误,他们试图阻止来电显示服务的推出,因为它侵犯了侵入性呼叫者的隐私权。今天,接收方知道谁在通话的权利被优先于主叫方保持匿名的权利。同样可以理解,公共安全的需要将取代数据保护,特别是在危及人类生命的情况下。此外,人们应该期望知识产权与数据保护保持平衡,而不是像GDPR下那样的相互冲突。隐私权和数据保护法的发展速度明显快于其他类型的法律,导致有学者认为它威胁着与其他基本权利的平衡。理查德•爱泼斯坦(Richard Epstein)在批评沃伦法院确立的隐私权概念时,雄辩地强调了这一点。这一进步的理论认为,“扩大权利范围而不造成不利的社会后果,这即使不是必然的,也总是很容易的”,但它从未停止考虑,当权利扩大时,相关的义务就会强加于他人。

我注意了到GDPR的安全隐患,但是其实还有其他的安全问题。在急于向美国宣布道德优势时,欧洲的决策者忽视了网络硬件制造商华为、中兴和联想对隐私的严重威胁。欧洲当局希望廉价地获得网络,这就为中国可疑的供应商提供设备的通信网络提供了福音。数据保护标准什么也不是,如果中国政府和军方的附属机构可以通过云端、通过后门、黑客或其他非法手段访问我们的数据。

幸运的是,美国在没有同样的问题。美国一开始就认识到了风险,明白了安全是值得的,并且限制了对这些公司的敞口。我赞赏参议院在这方面的领导地位。我还支持网络保险在帮助企业评估和解决安全风险方面的作用。

GDPRCCPA为身份盗窃和在线欺诈创造了风险GDPR和CCPA据称能够使用户通过用户请求来控制他们自己的数据。然而,这也使黑客和身份窃贼有了窃取数据的能力,因为没有提供用户身份验证。公司现在必须开发数据池来响应用户的请求,这将为网络罪犯创造一个目标丰富的环境。这一结果反映了两个问题,一是政策制定者不考虑后果(更不用说咨询用户的偏好了)就急于进行监管,二是法律在短短一周内就草草拼凑在一起,像GDPR一样。

GDPR并没有创造更多的网络信任如果GDPR在数字生态系统中产生更大的信任,那它也许是合理的,但是并没有这样的证据。在长达十年的GDPR式监管之后——用户忍受着他们所访问的每一个数字财产的侵入性弹出和泄露——欧洲人报告说并没有更高的网络信任感。在英国,超过一半的受访者表示,自从GDPR生效以来,他们并没有感觉更好,这也并没有帮助他们了解数据是如何使用的。截至2017年,只有30%的欧洲人跨国购物(十年内仅增长了10%),这表明欧盟委员会的数字化单一市场目标仍然遥不可及。同样地,加州的隐私法比任何一个州都要多,然而加州的居民并没有感到更私密或更安全。

GDPRCCPA利用顾客控制的幌子来增加政府的权力控制被定义为影响行为的力量。欧洲和加利福尼亚的规则以控制消费者的名义攫取政府权力。这一点可以通过研究法律文本来证明:在这些法律文本中,关于消费者的讨论只是为了达到真正目标的伪装。真正的目标是赋予政府更多的权力。GDPR对商业行为和监管机构作出了45项具体规定,规定了35项义务。加州甚至更进一步,制定了77条有关商业行为的规定,并赋予司法部长广泛的权力。

事实上,如果欧盟和加利福尼亚的条款值得称赞,为什么我们不要求美国政府机构也支持这些标准?这些规定可能会在后勤和财政上削弱联邦政府的数百个个人数据收集机构以及州和地方政府的数千个机构。大约50万澳大利亚人以“Ifindoubt,optout”为口号,拒绝接受该国的全国电子健康记录,导致联邦计算机系统在2018年7月崩溃,并对该模型的基本经济基础提出质疑。

许多美国人被对gdp的高姿态描述所说服——与他们所认为的国内道德低下的自由放任政策形成鲜明对比——这既是因为他们混淆了数据隐私和保护,也是因为他们不熟悉美国自己的实质性保护。记者和评论人士信口开河地称美国为“蛮荒的西部”,似乎没有任何关于数据隐私和保护的法律或法规。事实上,在美国有数百条关于隐私和数据保护的法律,包括普通法侵权、刑法、证据特权、联邦法律和州法律。欧盟的法律相对较新,从本世纪开始正式生效,它们仍然缺乏美国法律特有的司法审查和判例法。

关于GDPR的一个普遍误解是它保护隐私,但它其实没有。事实上,“隐私”一词甚至没有出现在GDPR的最终文本中,除了一个脚注。更确切地说,GDPR是关于数据保护的,或者更确切地说,是数据治理。数据隐私是指允许被允许使用数据的人使用数据。另一方面,数据保护则是指将数据保存在不应该拥有的人手中的技术系统。名字上就可以看出,GDPR调节的是个人数据的处理,而不是隐私。

美国的隐私观念主要是基于政府干预的自由,是行政国家发展的平衡。《人权法案》的第三、第四和第五修正案回应了英国人滥用个人隐私的可怕行为,包括在私人住宅中的士兵的分居、殖民者财产的搜查和扣押,以及迫使殖民者泄露信息。新共和国的一些最早的法律是为了保护邮件隐私而制定的。这些法律限制了政府对普查手段的使用以及在法庭上强制获得信息的能力。1966年的《信息自由法》确保人们可以访问政府保存的记录。鉴于过去一直以来对政府入侵行为的抵制,我们有理由对以下说法进行怀疑:如今在美国政府权力的增强是保护隐私的关键。

正是当领导人感到选民信心下滑时,他们才会寻求一种增加权力的方式,因此GDPR是欧洲决策者试图在选民们深切怀疑的时期巩固布鲁塞尔合法性的尝试。我们可以在支持与反对欧盟的辩论升温的背景下审视GDPR。欧洲怀疑主义和民族主义政党的崛起助长了这场辩论,它们指责欧洲一体化削弱了国家主权。选民的不满和英国脱欧的重磅炸弹令他们感到痛苦,亲欧联盟成员支持泛欧洲监管机构,如GDPR,以使欧盟项目合法化。值得注意的是,欧洲怀疑论的政治参与者并不一定反对数据保护监管;他们只是更喜欢国家机构高于欧洲机构,主要是因为担心欧盟机构和政策正在颠覆民主。

就GDPR而言,要求制定更严格的数据保护法规的公众呼声并不高。GDPR是在与选民“脱节”的时期制定的。欧洲议会选举的参与率已经从1979年的62%下降到2014年的42%。选民的不参与有利于有组织的特殊利益集团的集体行动,以击败分散的、不满的和无组织的多数。相对而言,很少有欧洲人知道GDPR。例如,英国的一项调查发现,只有34%的受访者认可该法,而那些知道该法涵盖哪些内容的人就更少了。从本质上讲,一小部分GDPR倡导者成功地实施了大规模泛欧洲监管,却没有得到选民的大力支持。欧洲晴雨表民意调查(Eurobarometer poll)显示,多数人更愿意采取一种更细致入微的方式来保护数据,而不是像GDPR那样大刀阔斧,而且多数人更愿意加强国家层面的监管,而不是欧盟层面的监管。

消费者似乎并没有像诉讼人和非营利组织那样被国家公关部授权。国家公关部赋予这些诉讼人和非盈利组织集体诉讼、提起投诉和接受罚款的新权利,这些罚款对企业的年收入征收,最高可达年收入的4%。历史上,欧洲在很大程度上避开了“美国方式”。与消费者相比,他们给予律师和诉讼融资者的报酬不成比例。但政策制定者们设计了GDPR,使隐私权维权人士能够在不克服身份和管辖权等法律障碍的情况下提起诉讼。身份和管辖权是防止为了个人利益滥用法律体系的传统保障措施。在GDPR实施仅仅7个小时后,专业诉讼当事人就已经提出了超过80亿美元的赔偿要求。

GDPRCCPA未能有意义地将隐私增强创新和消费者教育在数据保护中的作用结合起来没有有意义的条款来促进教育或创新,GDPR和CCPA冻结了现状,奖励头部玩家;惩罚中小企业;让人们认为他们有更多的隐私。而事实上人们正面临更大的风险。

官僚化的数据保护并不能创造一种自然的隐私权。有更多的监管机构和规章来管理数据并不能使人更安全。管制冻结了现状,它不支持系统或用户知识的改进。此外,欧盟和加利福尼亚的规则消除了用户和在线供应商之间的重要联系,而该联系可以为平台的发展提供反馈。

我们已经讨论了这10个问题。现在让我们来讨论一些政策因素,这些因素已经被证明能够提供比我们在GDPR中所体验到的更好的结果:隐私增强技术、消费者教育和标准设置。

加利福尼亚和欧洲的政策忽略了创造网络信任的四个基本证据要素中的两个。这两项政策都没有考虑隐私增强技术在改善在线系统方面的作用,也没有考虑知识在帮助提升用户能力方面的作用。

隐私增强技术(PETs)在促进在线隐私方面的作用

隐私管制试图塑造市场以提供预定的结果,并要求政府干预以保证被遵守。另一方面,创新可以创造出更好的系统,而不会损害用户的隐私。大量证据表明,一种灵活的、基于创新的方法可以产生更好地设计来保护数据和隐私的软件和系统,并使企业能够将数据保护作为一种竞争参数进行操作。国际隐私专业人员协会对全世界800家企业的隐私惯例进行的调查发现,传统上监管较少的行业比高度监管的行业拥有更先进的隐私惯例,而后者只符合监管要求。甚至在2010年,数据保护和隐私专员国际会议(InternationalConference of Data protection - and Privacy commissioner)决定,通过设计来促进隐私保护的努力需要更深入地融入到政策中去。

规范软件技术的问题在于,它冻结了现状,而不是支持能够带来更好的、更以消费者为中心的系统的创新。事实上,单模式数据治理的GDPR命令在不知不觉中为网络犯罪分子创造了一个攻击面。因此,我们应该鼓励国家电信和信息管理局、国家标准与技术研究所和其他机构的多方利益相关者努力开发一个科学的、基于证据的框架,来作为21世纪隐私和数据保护最突出的范例。对科学方法的重视,保证了工程技术的可靠性。度量科学和系统工程原则可以支持保护隐私和公民自由的框架、风险模型、工具和标准的创建。

欧盟机构网络和信息安全的(ENISA)相关报告解释说“隐私增强技术不仅包括加密技术,还包括用于匿名通信的协议、基于属性的凭证、数据库的私有搜索,以及公司可以采用的多种策略。它描述了大量关于隐私设计的文献,但也指出其实施是薄弱和零散的。事实上,对于工程师、设计师和产品开发人员来说,隐私和数据保护特性是实现所需功能时相对较新的问题。为了解决这个问题,ENISA已经开始讨论如何开发这类技术的存储库。

相机、晶体管、射频识别芯片等新技术的出现让人们望而却步,但这些技术也给我们的社会带来了巨大的好处。一个多世纪以来,这种信任、恐慌、通缩和接受的隐私恐慌周期得到了充分的证明。当被问及在过去的50年里,谁对生活的改善最大时,美国人提到技术的次数是医药、民权和经济的4倍多。

如果有的话,该政策应该鼓励企业使用数据。事实上,当今经济的问题不是数据的使用太多,而是太少。“信息密集使用”的缺乏阻碍了其他70%的美国经济部门的发展,比如交通运输和医疗保健,后者消耗了近五分之一的国内生产总值。关键应用的缺失,让传统医疗保健行业的效率低得可怜;而数字产业的生产力和创新能力是其他产业的八倍。如果美国不在其他领域创新,其他国家就会抢在我们前面。中国已经走上了“互联网+”政策的轨道,这一政策支持包括医疗和政府在内的产业的数字化。

美国最大的资源之一是智力资本和创造性的创造力。我们应该建立我们的技术实力,创造世界级的、科学性优越的隐私设计。如今有数以百计的隐私增强技术。没有一种技术对所有公司都是最好的,在实践中,公司通常使用多种技术。国会应通过赠款和竞争来鼓励这类技术的发展,并为他们的研究、开发和实践提供安全港。

我赞扬国家标准和技术研究所为此所做的工作。此外,联邦贸易委员会的预算和权力应该扩大,以容纳所需的经济学家、技术人员和其他专业人员来加强隐私保护。目前,联邦贸易委员会只有80名经济学家和800名律师。联邦贸易委员会的消费者保护职能应得到加强,将目前分散在一系列联邦机构的消费者保护资源集中起来,集中在联邦贸易委员会的一个机构内。

消费者控制需要消费者教育

消费者教育是一个重要但分散的领域。它可以帮助人们安全、智能地购买产品和服务,比如健康教育和金融知识。我们的网络生活也需要同样的训练。。

考虑到消费者电子领域的信息和教育市场的强健和活力满满,详细介绍机器的最细微和技术方面,是很有意义的。几十年来,消费者利用杂志、在线讨论、排名、评论、操作视频和会议来讨论如何使用这些技术,但没有决策者指导讨论;它是由消费者需求推动增长的。

没有理由不提供类似的隐私教育资源。在这个领域,有一个公共政策角色来支持教育,包括与行业合作来揭示重要信息并挑战他们,可以确保他们的用户接受隐私培训和教程。请参阅我对联邦贸易委员会的证词第12页,我在其中描述了联邦贸易委员会现有的隐私教育资源可以被如何利用,比如课程,和教育分配模式等。

美国可以以技术为基础的数据保护标准跨越GDPR和CCPA

政策应支持新的、更好的隐私增强技术的创新。我们可以从FTC与COPPA的标准制定过程中学习。我赞赏世界隐私论坛的Pam Dixon的工作,他为标准设置的价值提供了广泛的分析和文件。在此大量引用:

“在过去25年里,我们在数据保护和数字身份生态系统方面了解了很多……然而,基准数字生态系统治理原则在其经常使用的特定情境(如环境、生产和执法情境)之外并没有得到很好的理解或了解。

诺贝尔奖得主、经济学家Elinor Ostrom的整个职业生涯都在观察和分析复杂生态系统的治理,尤其是公共资源。在几十年的时间里,她观察和提炼了最有效的管理复杂生态系统的方法,利益相关者共享资源(“公共池”资源)。身份,尤其是数字身份,就是这样一种公共资源。

在复杂的数字生态系统中,严格的自顶向下的所有权很难维持,对数据的完全个人控制的需求也是如此。然而,双方同意的资源共享治理是可行的,而且已经证明是可行的。如果我们把数据和标识数据看作是一个共享资源,其中有多个涉众参与并感兴趣,那么我们就有了一个将这些系统治理为共享资源系统的途径……

Ostrom提出了八项原则来管理使用共享资源的复杂系统……它们还可以应用于复杂的数据和身份生态系统,其中FIPs等框架提供了应用和实现的基本原则。Ostrom的一般原则如下:

1.规则由用户设计和管理。

2.合规性容易监控。

3.规则是可行的。

4.制裁是渐变的。

5.判决费用很低。

6.监督员和其他官员对用户负责。

7.管理公共资源的机构可能需要在多个层面进行设计。”

这些建议与GDPR和CCPA之间最显著的区别是,制定规则的是用户,而不是监管者。法规遵循很容易监控,而且不会给服务提供商带来财务压力。监视者对用户负责。CCPA并不要求加州司法部长负责。没有透明度方面的义务或其他有价值的措施来确保问责制。

共同标准如何确保所有美国人享有平等的隐私保护

GDPR的创立是为了给欧盟带来单一的数据保护标准。如果每个美国州都制定自己的规则,我们就会变成巴尔干化的欧洲,而这正是GDPR想要补救的。单一国家市场的理念是美国建国的核心,并得到了詹姆斯•麦迪逊(James Madison)和亚历山大•汉密尔顿(Alexander Hamilton)的拥护。这一框架对我国启动和商业化互联网经济至关重要。今天美国占世界互联网经济的三分之一。在对侵犯隐私行为的判决过程中,一些州的居民获得赔偿,而另一些州的居民则没有,这是不公平的。即使美国的互联网公司不是全球性的,也是全国性的,因此执行必须从联邦贸易委员会开始,以确保公平。重要的是,国会应该采取措施,防止自私自利的行为者滥用消费者保护法,通过诉讼谋取私利。

理想情况下,我们需要一个技术中立的国家框架,并在企业之间提供一致的应用程序。它应该支持消费者的期望,即对所有在线实体提供相同的保护。与GDPR不同,美国的政策不应提高经商成本、减少消费者自由或抑制创新。

我谦恭地建议国会审查欧洲人忽视的关于隐私和数据保护的实证研究,特别是加强隐私技术的创新过程,以及将用户知识作为在线信任组成部分的首要地位。在数据保护方面,美国不需要效仿欧盟。它可以通过制定一项切实有效的政策从根本上改进GDPR——在不破坏繁荣的前提下促进隐私,授权人们做出明智的决定,并确保创新者有自由进入和改进隐私增强技术。

声明:本文来自数字经济与社会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。