必要但不充分：隐私“通知-选择”框架的标准化机制

导言

应采取何种模式保护数据隐私向来是学界热议的话题。本文主要研究美国保护网络隐私的主导模式——基于自由市场的“通知-选择”框架。作者指出，该模式对于保护网络隐私“必要但不充分”，即因缺乏监管执行机制未能实现对隐私的良好保护，但能作为对隐私法规的补充。

Necessary But Not Sufficient: Standardized Mechanisms for Privacy Notice and Choice

必要但不充分：隐私“通知-选择”框架的标准化机制

Lorrie Faith Cranor

10 Journal on Telecommunications & High Technology，2012

作者信息

卡内基梅隆大学计算机科学、工程与公共政策教授，卡内基梅隆大学网络可用隐私和安全实验室主任，曾担任美国联邦贸易委员会首席技术专家。Cranor教授撰写了150多篇关于网络隐私和安全及其他主题的论文，被评为国际电子工程师协会会士（IEEE Fellow）。

文章结构

文章第一部分梳理了“通知-选择”框架的产生和发展；第二、三、四部分分别介绍了作为“通知-选择”框架技术工具的隐私偏好平台、隐私分类法、隐私营养标签和隐私图标；第五部分主要介绍隐私偏好平台规则在实践中未被普遍遵守的现状及其原因；第六部分展示了在在线行为广告行业中，“通知-选择”框架的作用并不理想的现状；第七部分，作者评价“通知-选择”框架“必要但不充分”并提出建议。

文章内容

I. “通知-选择”框架

i.Alan Westin有关个人控制的隐私定义

Alan Westin在其1967年出版的知名著作《隐私与自由》（Privacy and Freedom）中将隐私定义为“个人、团体或机构自行决定何时、如何以及在何种程度上向他人传达信息的权利”。Westin的定义侧重于个人控制，强调平衡保护隐私与对外交流，是大多数现代数据隐私原则和法律的基础。

ii.FIPs原则与类似原则

上述隐私即控制的概念在1973年美国公平信息实践原则（the Fair Information Practices，简称FIPs）中也有所体现。FIPs要求对数据的收集和使用进行通知，并保障用户能够控制超出收集时目的的数据使用行为。1980年OECD《关于保护隐私和个人数据跨境流动的准则》也包含类似FIPs的收集和使用限制的原则，欧洲隐私立法即以该原则为基础。

iii.“通知-选择”框架的产生

20世纪90年代，美国工业界大大简化了FIPs原则并将其提炼为“通知-选择（notice and choice）”概念：“只要公司提供了隐私政策的通知，并且人们对是否提供数据有选择权，那么隐私就得到了充分的保护。”美国联邦贸易委员会（“FTC”）对行业将FIPs进行简化的做法大体持认可态度，取消了OECD的收集和使用限制原则。

iv.“通知-选择”框架的反思

在接下来的十年里，FTC都鼓励基于市场的隐私保护方法，但也承认其存在不足。尤其到2010年，FTC更加强调隐私通知的缺点，抨击了实施“通知-选择”模式后隐私政策冗长、难懂、欠标准化的业界现状；并认为市场驱动下“通知-选择”的隐私保护模式实质上是行业的自我监管，因行业往往缺乏保护隐私的动力，目前还未能提供充分、有意义的保护。

v.“通知-选择”框架的演变

实践中，个人往往缺乏关于信息披露后果的信息，缺乏确保其信息仅以他们希望的方式被披露或使用的机制。更何况，处理个人信息作为一项日常生活任务本身就是一项负担。现实生活中，我们可以随时关闭百叶窗，降低交谈的声音，根据需要调整线下隐私。但线上隐私决策是更加困难且耗时的。因此，在过去的十五年中，“通知-选择”框架的支持者一直倡导使用“用户授权”（user empowerment）工具，来提供有实质意义的“通知-选择”机制。

II. 隐私偏好平台

隐私偏好平台（the Platform for Privacy Preferences，简称P3P）是一种用户授权工具，它的开发便是为了回应上述国会和FTC对在线隐私保护的关注。P3P早期支持者设想了可以读取隐私政策、与网站进行协商、代表用户采取行动，且不会干扰浏览体验的网络浏览器。P3P被期待能促进隐私市场的竞争，使个人能够货比三家，寻找符合其隐私偏好的网站，拒绝与其他网站进行交易。同时，不排除用户接受付款或折扣以交换数据。

经过近两年的非正式讨论，万维网联盟（World Wide Web Consortium，简称W3C）于1997年启动了一个为期五年的项目，并于2002年发布了P3P 1.0规范。随后的P3P 1.1项目制作了一份规范草案以更新P3P的词汇、语法与元素定义等。但由于行业参与积极性不高，P3P工作组在2006年被关闭，P3P 1.1规范最终也未能完成。

P3P 1.0为网站隐私政策提供了对P3P词汇表进行编码的XML格式，以及用于定位和检索这些政策并将其与在线资源相关联的协议。P3P协议相当简单，只要求网络服务器只需在其服务器的指定位置放置P3P文件，而无需使用其他任何软件。P3P 1.0规范还描述了一种P3P“压缩版政策（compact policy）”格式，用于提供可以在HTTP标头中传输的cookies隐私策略概要，旨在让网络浏览器快速评估网站与cookies相关政策。P3P要求使用压缩版政策的网站附带提供完整的政策。

P3P用户代理工具已经集成在微软Internet Explorer 6、7、8、9浏览器以及Netscape 7中。尽管已经开发了许多原型插件和扩展，但P3P从未在Firefox、Safari或Chrome上使用。此外，各种P3P创作工具以及P3P用户代理原型已经被开发出来。考虑到IE浏览器被普遍使用，IE P3P可能是被最广泛使用的P3P工具，尽管大多数IE用户似乎完全不知道P3P的存在。微软决定基于P3P压缩版政策机制在IE浏览器中阻止第三方cookie后，P3P被大量广告网络公司和其他使用第三方cookie的公司广泛采用，最受欢迎的网站中大约三分之一采用了P3P。但在上述两种类型之外的网站中，P3P从未被广泛采用。

P3P遭遇了隐私界人士的质疑。许多隐私保护倡导者就主张行业组织在利用P3P“作为一个借口，拖延真正可执行的隐私保护机制在美国的进展”。P3P支持者对此回应说，P3P是对隐私保护的其他监管和自我监管的补充，并不能代替可强制执行的隐私保护机制。

III. 隐私分类法

P3P词汇表提供了一种隐私政策的分类法。P3P政策主要包括以下机制：

（1）披露模式与争议解决机制：网站必须选择六种披露模式之一以向用户说明他们对数据的具体操作。此外，网站需选择一个或多个解决相关纠纷的机制并提供其URL和描述。

（2）描述数据操作的声明：每个声明应包含的元素包括数据类别（17个可能的数据类别供选择）、目的（12个可能的目的供选择）、接收者（6个可能的接收者类型供选择）和保留（5个可能的保留策略类型供选择）。声明还可以包含一个自然人可读的描述，并列举具体的数据元素。

（3）拓展机制：P3P还包括一个可以用来添加额外词汇表组件的扩展机制。

长期以来P3P词汇表都因过于复杂且缺乏语言表现力饱受批评，无法用于准确描述隐私政策。实际上，制定P3P词汇表时“内容简洁易懂”与“表意准确完整”这两个目标之间一定程度上存在矛盾，无法兼顾。原则上说，分类法应当包含更多信息以满足更多层次的需求。在详细研究了作为相对详细的隐私分类法代表的P3P 1.0词汇表后，作者认识到了这种方法存在以下三个主要问题：首先，P3P政策制定者很难区分P3P词汇中部分元素而经常误用、混用不同元素或未能充分利用所有功能；其次，不仅P3P词汇表相当复杂，组合各种元素的语法规则也颇有难度，增加了实现用户代理的复杂性；第三，由于每个用户代理开发者可能采取不同方式简化P3P词汇表，P3P政策的制定者必须在所有P3P用户代理上测试他们的政策。

P3P压缩版政策语法也存在类似问题。P3P紧凑政策以降低表达效果为代价简化了P3P，因此公司只能相对笼统地表达政策，很难准确地具体说明其在何种程度上使用数据。

尽管P3P词汇表是在十多年前开发的，但它一定程度上经受住了时间的考验，其包含的元素直到现在仍能基本满足描述数据操作的需要。例如在开发P3P当时及发开后一段时间内，“位置”元素并未被广泛应用，但现在网站普遍需要说明收集用户的精确位置信息。该元素的设置正是因为当时工作组部分成员预测网站请求精确位置信息在日后将变得很常见。P3P的批评者提出的“缺乏表现力”等问题，实践证明并不要紧。

IV. 隐私营养标签和隐私图标

开发P3P规范的目标包括使消费者不必全文阅读就能根据隐私政策做出决定。除了P3P项目，也有研究者试图通过标准化的隐私声明或图标来实现这一目标。

最早制定标准化隐私声明的努力之一是由Hunton and Williams律师事务所的信息政策领导中心组织的多层次隐私声明（the multilayer privacy notice）项目。多层次隐私声明的主要机制在于一个包括标准化章节标题和各章节内容梗概的标准化单页顶层，该顶层能链接到完整的隐私政策。多层次隐私声明为公司提供了很大的灵活性，但消费者难以有效地通过顶层获取有效信息。2009年，七个联邦机构联合发布了一份采取表格形式的隐私声明范本，供需要根据《格拉姆-里奇-布利雷法案》要求向其客户发送年度隐私声明的金融组织使用。

在隐私之外其他领域，面向消费者的信息披露机制往往已经标准化地使用摘要视图来提供最显著的信息，较有代表性的包括食品包装上的营养标签、电器上的能源标签等。受营养标签的启发，我们开发和测试了隐私营养标签（privacy nutrition label）。它比传统的文本隐私政策更短更易读；其格式标准化，能大大方便用户比较不同网站的隐私政策。此外，用户可以通过观察表格整体颜色强度直观地大致了解各网站政策对隐私的保护力度。

虽然消费者不会在每次购买时都阅读食品包装上现成的营养标签，但对于有特定饮食限制的消费者来说，营养标签仍然发挥着重要的作用；记者和学界也能随时通过标签获得现成的营养信息，他们可以使用这些信息来教育公众和政策决策者。隐私营养标签可能会发挥类似的作用。FTC也表示，“虽然隐私政策可能不是与大多数消费者沟通的好工具，但是在公司之间的隐私问题上，它们仍然可以在促进透明度、问责制和竞争方面发挥重要作用。”

在隐私营养标签的早期开发阶段，考虑到将所有P3P元素纳入表格中将过于复杂，且相信在绝大多数情况下，没有必要显示过多细节信息，最终将类似的数据类别、目的和接收者元素进行了合并。未来可能添加通过点击个别表格单元格来显示更多详细信息等功能。

即使折叠了部分行列，营养标签所提供的信息仍然可能超过许多用户在大多数时候的实际需求。且表格内容较多，需要单独放在一个页面上。我们发现由绿色和白色方框表示的5点隐私指示（5-point privacy meter）可以帮助用户更快找到具有最佳隐私政策的网站。且实验证明，在没有隐私图标的情况下，大多数实验对象选择从最便宜的网站上购物。然而，在有隐私指标的情况下，相当多的实验对象愿意选择在有隐私保护机制的网站上支付更多的费用来购买物品。

2009年，加州大学伯克利分校的三名研究生也开发了KnowPrivacy隐私图标（如下图所示）。KnowPrivacy图标包括五个关于数据收集的图标、五个关于数据操作的图标和三个关于数据共享的图标。

2010年，Aza Raskin在Mozilla领导开发了一套隐私图标，目前只有“alpha版本”，分别用绿色、红色代表在该类型数据操作上良好隐私保护或未保护隐私，虚线分隔代表没有发生该类型数据共享。Mozilla目前尚未在他们的网络浏览器中使用这些图标。

V. 采用与执行

可以说，采用P3P的最大障碍不是P3P词汇的问题或技术机制的困难，而是缺乏采用的动力。到2002年P3P规范发布时，政府的压力已经消退，行业也基本上对P3P失去了兴趣。

除了少数企业定位为隐私领导者而采用P3P外，大多数公司实施P3P并非真正为了保护隐私，而是为了规避IE浏览器阻止cookie的最低限度政策。主要体现为，大量网站只提供了P3P压缩版政策而没有相应的完整政策，甚至还有大量网站在其P3P政策中存在语法错误，或采用的P3P压缩版政策的网站与他们实际的隐私政策不符。我们还发现包括亚马逊、脸书等企业的网站发布的紧凑政策语法几乎完全错误，存在使用编造符号、缺乏有有效政策必备的元素等问题。然而，IE浏览器在分析压缩版政策是否合格时，只查找目前已知的不合格标记列表中的标记组合，显然没有测试压缩版政策是否在语法上有效。因此，上述完全由虚构标记组成的压缩版政策不会被标记为不合格。

脸书、亚马逊被指控通过设置虚假P3P压缩版政策规避网络浏览器的cookie拦截

如果脸书将他们的实际隐私政策转化为P3P压缩版政策，其cookies在第三方环境中使用时很有可能会被IE阻止，因为脸书没有提供“选择-退出”跟踪的方式。

因此，脸书的P3P压缩版政策中包含一个链接，点开后会转到一个解释如下的页面：“建立P3P的组织即万维网联盟几年前暂停了该标准的相关工作……因此，P3P标准现在已经过时，不能反映当前在网络上使用的技术，所以大多数网站目前没有P3P政策。”

2012年，有人对脸书提起诉讼，指控用户受到上述虚假的P3P政策的伤害。还有人对谷歌提起了诉讼，谷歌也有类似的P3P政策。

亚马逊则采取了一种不同的方法，将它的压缩版政策改成了一个在语法上看起来有效的政策。但是，相应的完整P3P政策是无效的，其中包含的文本包括说明其压缩版政策不能代表其真正隐私政策，并要求用户阅读其完整的隐私声明。

2011年3月，有人提起集体诉讼，指控亚马逊的P3P压缩版政策规避了网络浏览器的隐私设置，从而使得cookies不会被阻止。该案件于2011年12月被驳回，主要是因为原告没有在指控中说明其受到的伤害。原告修改他们的诉状后，法官于2012年6月裁定原告可以继续他们的索赔。

虽然采用P3P规避IE浏览器的cookie拦截功能的做法似乎是FTC和美国境内外的其他监管机构可以行使其执法权的领域，但截至2012年6月，尚未有基于P3P而采取的任何公开执法行动。

Sarah Spiekermann和我将“通知-选择”解释为数据保护的“以政策保护隐私”（“privacy-by-policy”）方法的一部分，与“以架构保护隐私”（“privacy-by-architecture”）方法相区分。所谓以政策保障隐私的方法依赖于公司能遵守相关政策；而以架构保障隐私的方法则直接通过技术使公司难以侵犯数据权益，包括匿名化技术或者使数据以最少或无传输的方式在本地处理。显然，只依赖企业的自觉性是不现实的，有效的执行机制对以政策保障隐私的方法至关重要。P3P即以政策保障隐私方法的实例，该机制旨在支持企业不滥用数据，但没有强制执行机制保证其准确性、普遍性。因而正如我们所见，P3P已成为一个无用的标准。

VI. “选择退出”在线行为广告

FTC将在线行为广告（online behavioral advertising，简称OBA）定义为“跟踪消费者在线活动以定向投放广告的做法”。为了应对FTC的压力，一些OBA公司在1999年发起了一个名为网络广告倡议（Network Advertising Initiative，简称NAI）的自律组织。NAI通过发布准则，在其网站上为消费者提供了 “选择-退出”其成员公司发布的OBA的路径。2009年，NAI与其他几个行业组织联合成立了数字广告联盟（Digital Advertising Alliance，简称DAA），并发布了自己的一套准则以证明行业可以充分自我监管。DAA准则要求，成员公司应提供“选择-退出”OBA数据收集的机制，并要求公司以清晰、有意义、显著的链接的形式提供加强版通知（enhanced notice），在每一处收集或使用OBA数据的地方披露OBA信息。DAA还引入了标准化的广告选项图标（Advertising Option Icon）放置在强化版通知链接旁，用户点击后可以选择退出单个公司或页面上列出的所有公司的OBA。

“请勿跟踪（Do Not Track）”标头是帮助用户控制OBA的最新机制之一。最初建议为在网络请求中添加一个额外的标头，向网站发出用户不希望被跟踪的信号，这促使了W3C工作组的成立，该工作组正在努力就跟踪或不跟踪的含义达成共识，并对不跟踪进行标准化。尽管没有一个标准，Mozilla在Firefox中实施了“不要追踪”，微软在IE浏览器2011版中也实施了这一功能，但目前很少有网站对“不要追踪”标头采取行动。

在2011年2至3月和7至8月，作者审查了NAI会员的网站，发现仍然有许多网站的广告未遵守DAA的“通知-选择”要求。此外，发现“选择-退出”网页本身存在若干问题。2011年8月，我们采访了来自匹兹堡地区的48名互联网用户，发现受访者对OBA了解甚少，甚至不少参与者以为点击广告选项图标可能会导致更多的广告。我们测试了三类九种工具：退出工具、浏览器内置设置和拦截工具，发现所有九个工具都存在严重的可用性问题，包括工具包含过多专业术语、用户无法快速找到所需配置选项、用户难以判断各个追踪器是否对其有益、在个案中用户最多需要对上百个追踪器分别做出决定等等。

上述研究结果表明，“通知-选择”方法在帮助用户控制OBA方面并不成功。目前OBA自我监管的势头比P3P更大，但仍然没有实现向用户提供有意义的控制，或者确保这种政策保障隐私方法将得到强有力执行的保障。且不论用户授权工具存在严重的可用性缺陷，即使这些缺陷得到了纠正，要求用户辨别数百个追踪器也不具实操性。

VII. 结论

过去15年的经验表明，用户授权工具以及背后的“通知-选择”机制不足以保护隐私。然而正如许多人所说，这些工具能作为对隐私法规的补充。作者基于过去的工作和观察，就“通知-选择”机制的完善提出以下建议和结论：

（1）在技术发挥作用之前，激励措施和执行机制至关重要；

（2）整体格式的标准化统一能大大方便消费者；

（3）应致力于研发机器可读的隐私政策；

（4）详略得当、有层次的隐私声明能同时服务于一般用户与专家用户；

（5）标准政策类型可以简化隐私决策；

（6）根据对隐私的保护力度建立一套政策评级标准可以简化用户的隐私决策并促使公司改善他们的隐私政策；

（7）重视P3P词汇表作为未来的隐私词汇表的基石作用。

推荐阅读：

Richards & Hartzog：数据保护应关注不平等关系

EDPB：如何获得用户的有效同意？

Sloan & Warner教授：个人信息保护应超越“告知-同意”

翻译：陈小琪 毕坤阳

审核：黄昊

编辑：毕坤阳

声明：本文来自网络西东，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。