文献信息
Consequences of Resorting to Fines and Investments to Regulate Data Portability
提高违规处罚与降低合规成本:如何更好保障用户数据可携带权
作者:Vaarun Vijairaghavan , Hooman Hidaji , Barrie R. Nault
来源:Management Science,2025年8月26日
01
摘要 /Abstract
在许多司法辖区,已经实施了数据可携带性监管(Data Portability Regulation, DPR),要求数据控制者(Data Controllers, DCs)必须使用户能够下载其个人数据,以便用户将数据转移至竞争性的数据控制者。DPR 的意图在于将部分数据控制权返还给用户、改善用户对数据控制者的选择、提升数据控制者的市场参与度,并降低行业集中度。为实现这一目标,如果用于确保可携带性合规的非货币性纠正措施(例如警告、遵守命令)无效,则 DPR 允许政策制定者对不合规的数据控制者施加固定罚款或与收入挂钩的浮动罚款。此外,政策制定者还可以通过投资来降低数据控制者的合规成本。我们将这一互动建模为一个两阶段博弈:在第一阶段,政策制定者设定罚款并进行投资;在第二阶段,数据控制者决定是否进入市场,以及进入市场后是否遵守 DPR。与当前的监管目标相反,我们发现,在部分合规的情况下,罚款和投资均会降低数据控制者的参与度,并提高行业集中度。在比较通过罚款与投资来实现预定合规水平的情境下,相较于浮动罚款或投资,固定罚款对行业集中度的附带影响较小,但对参与度的附带影响更大。当所有进入市场的数据控制者均遵守 DPR(即完全合规)时,额外投资会增加市场参与度。进一步而言,完全合规和完全参与仅在存在 DPR 所诱发的需求扩张(例如多归属现象)时才能实现,并且在这种情况下,投资是唯一能够实现这一结果的政策工具。
02
引言 /Introduction
数据控制者(Data Controllers, DCs),例如社交媒体领域的 Facebook 和健身应用领域的 Strava,能够利用用户的个人数据提供个性化的增值功能。这些个人数据为数据控制者带来了竞争优势。例如,Facebook 使用个人数据来提供定制化新闻推送、好友推荐以及好友自动标记功能。Facebook 的核心能力在于通过向用户投放定向广告,将这种对个人数据的使用货币化。在健身应用中,Strava 提供个人活动和进展报告,并利用这一能力将用户转化为付费订阅用户,同时收取更高的订阅费用。Facebook 的竞争对手(如 Flickr、X 和 Gettr),以及 Strava 的竞争对手(如 Komoot 和 Endomondo),在无法获取特定用户个人数据的情况下,难以提供同等水平的服务。
一些政策制定者将这种情况视为“用户锁定”(user lock-in),即数据控制者对个人数据的使用阻碍了用户转向其可能更偏好的其他数据控制者(European Political Strategy Centre 2017)。这种锁定被认为对数据控制者的市场参与、行业集中度、用户剩余和社会福利产生不利影响。部分为缓解这些问题,欧盟通过了《通用数据保护条例》(General Data Protection Regulation, GDPR,Council of European Union 2016),该条例要求数据控制者允许用户下载其个人数据,并能轻松地将其转移至竞争性的数据控制者。违反 DPR 的数据控制者可能面临最高 2000 万欧元的罚款,或最高达全球总收入 4% 的浮动罚款。加利福尼亚州的《消费者隐私法案》(Consumer Privacy Act, CCPA,California State Legislature 2018)也对数据控制者提出了类似的数据可携带性要求。我们将此类要求数据控制者实现数据可携带性的监管干预统称为数据可携带性监管(Data Portability Regulations, DPR)。
此外,政策制定者计划在数据迁移的流程与标准方面进行投资,以降低数据控制者的合规成本。例如,欧盟的《数字市场法案》(Digital Markets Act, Council of European Union 2022, 第 96 条)规定未来将投资于开发数据可携带工具和专用标准,由欧洲标准化机构制定。现有的降低 DPR 合规成本的投资案例包括政府开发的工具,用于从智能电表导出能耗数据(OECD 2021, 第 37 页),以及通过开放银行机制传输银行数据(Competition and Markets Authority 2021;Australian Banking Association 2025)。
美国 2021 年的《ACCESS 法案》(ACCESS Act of 2021)规定了类似的数据可携带性监管,其目标与 GDPR 和 CCPA 相似。该法案已被要求提交美国众议院(United States House Committee on the Judiciary 2021),这增加了迫切性,需对 DPR 的效果进行评估。除了通过解释罚款和投资如何影响参与度、集中度、合规性与福利,为政策制定者提供背景外,我们还通过回答以下研究问题,提出新的、可操作的见解:第一,在什么条件下,不同政策工具(如罚款、投资)会增加或减少参与度?第二,在执行 DPR 时,固定罚款、浮动罚款或降低合规成本的投资,哪一种对参与度和行业集中度的附带影响更大?
我们遵循 DPR 政策制定者的定义:若数据控制者允许用户下载其数据并能将其转移至其他数据控制者(Council of European Union 2016, 第 20 条),则其为合规。例如,Strava 允许用户通过 GPX 标准批量下载活动数据,该文件捕捉了包括路线图、速度、心率在内的完整活动信息(Strava 2024)。不合规的数据控制者则不允许用户下载其数据。通过要求数据控制者使数据能够轻松迁移至竞争性数据控制者,DPR 旨在削弱锁定效应,并通过赋予用户一定程度的个人数据控制权来恢复数字经济中的竞争。实施 DPR 并对违规的数据控制者施加罚款、同时通过投资降低合规成本,其理论依据在于:数据可携带性会削弱大型数据控制者的市场力量,增加市场参与度并降低集中度(Council of European Union 2016, 第 4 条;United States House of Representatives 2020, 第 20 页及第 40–44 页;Cyphers and O’Brien 2018;Seamans and Bytes 2018)。
我们采用一般模型来研究 DPR 的影响,其中数据控制者在能力水平上存在差异,并就产出与合规性做出决策。我们将“能力”定义为每单位产出能够产生更多收入的能力。尽管我们使用社交媒体和健身追踪行业进行示例说明,但我们的分析适用于任何依赖个人数据创造价值的一组竞争性数据控制者。政策制定者通过三种工具实施 DPR:对不合规数据控制者施加固定罚款和浮动罚款,以及投资以降低数据控制者的合规成本。每个数据控制者在追求利润最大化的同时,需决定产出水平,并选择是否参与市场,以及是合规还是不合规并缴纳罚款。随后,我们刻画了政策工具对行业结构的影响,包括参与度、集中度与合规性,以及对消费者剩余和社会福利的影响。
我们认为 DPR 对数据控制者产生四种影响,其中前两种适用于不合规数据控制者,后两种适用于合规数据控制者。第一种影响是不合规数据控制者需承担的固定罚款和与收入成比例的浮动罚款。第二种影响是不合规数据控制者因缺乏可携带性功能而导致吸引力下降,从而带来的收入损失,该影响受合规数据控制者比例的调节。第三种影响是合规数据控制者因用户能够迁移数据而带来的收入增减。第四种影响是合规数据控制者的合规成本,而该成本可以通过政策制定者的投资降低。
与法规初衷相反,我们发现这些监管及相关工具可能会降低市场参与度并提高行业集中度。我们首先描述罚款和投资对参与度与集中度的广泛影响,然后再阐述与前述研究问题相关的发现。
关于参与度:我们发现,在部分合规的情况下,固定罚款和浮动罚款都会降低数据控制者的参与度,同时投资也会降低参与度:能力最弱的数据控制者退出市场,中等能力的数据控制者参与但不合规并缴纳罚款,而能力最强的数据控制者则参与并遵守 DPR。这与政策目标中提高参与度的初衷形成鲜明对比。其机制并非如既有文献所述,源于弱势数据控制者承担不成比例的合规成本、数据收集范围或可迁移数据的类型,而是因为可携带性本身可能削弱了弱势数据控制者所能产生的需求。
关于集中度:我们还发现,每一种政策工具都会进一步减少市场份额较小的数据控制者的产出,同时增加市场份额较大的数据控制者的总产出,从而提高行业集中度。这同样与降低集中度的政策目标相悖。集中度的上升独立于参与度的下降,其根源在于某些数据控制者提供可携带性功能所引发的需求效应。
因此,诉诸罚款和投资以提高 DPR 合规水平,可能伴随降低参与度和提高集中度的附带效应。接下来我们将转向解答主要研究问题。
关于某一政策工具是否能提高参与度:首先,我们发现,一旦实现完全合规,投资对参与度的影响会发生逆转,即投资将增加参与度。因此,消除不合规是投资能够提升参与度的前提条件。其次,我们发现,政策制定者并不一定能仅凭现有工具实现完全合规和完全参与。相反,需要通过市场扩张来实现这一结果。市场扩张可能发生在用户多归属的情况下,即用户在将数据迁移至目标数据控制者的同时,仍继续使用原数据控制者的服务。市场扩张还可能发生在跨行业的情境下,即用户将另一行业的数据迁移至目标行业,从而同时消费两个行业的服务。换言之,多归属效应减弱了罚款和投资对参与度的附带影响。在市场扩张的前提下,唯一能够实现完全合规和完全参与的政策工具是投资。
关于工具之间的比较:不同工具对参与度和集中度的影响各不相同。为了实现任何预定的合规水平,固定罚款对参与度的附带影响大于浮动罚款和投资。另一方面,浮动罚款和投资对集中度的附带影响均大于固定罚款。因此,政策制定者在选择政策工具时需在“较低参与度”与“较高行业集中度”之间进行权衡。
我们的结果在不同的网络效应和数据迁移有效性程度下均成立,因此适用于广泛的行业环境。此外,无论用户是单归属还是多归属,我们的结果均具有稳健性。事实上,前述完全合规和完全参与只有在最弱数据控制者从可携带性中获得的收益非负时才能实现,而这种情况可能发生在市场扩张时,例如用户多归属的情况下。
03
结果 /Results
数据可携带性监管(Data Portability Regulation, DPR)的背后包含多样化的政策目标,包括合规性、行业集中度、市场参与度以及用户数据所有权。包括欧盟《通用数据保护条例》(GDPR)、加利福尼亚州《消费者隐私法案》(CCPA)以及美国《ACCESS 法案》在内的 DPR 立法,均允许以固定罚款和浮动罚款作为确保合规的政策工具。我们在一个情境下分析这些政策工具对上述政策目标的影响,在该情境中,政策制定者持续依赖此类罚款,并同时利用投资来降低合规成本。
我们建模一个政策制定者可选择使用固定罚款与浮动罚款来执行 DPR,并可通过投资降低合规成本的情境。不合规的数据控制者(DCs)不仅面临罚款,还因用户转向遵守 DPR 的数据控制者而导致收入损失,因为用户将可携带性视为额外功能。与此同时,合规的数据控制者除了承担合规成本外,还可能因用户从其他数据控制者迁移而获益,但也可能失去用户流向更具能力的数据控制者。
尽管 DPR 在施加罚款之前提供了补救措施,如警告、谴责和遵守命令,但罚款的可信威胁最终才是驱动数据控制者合规的动因。因此,罚款成为我们分析的重点之一,另一个重点是降低合规成本的投资。我们的模型使用受曲率条件约束的一般函数构建,通过一个两阶段博弈描述政策制定者的决策和数据控制者的激励。在第一阶段,政策制定者设定对不合规数据控制者的固定罚款与浮动罚款,并设定投资以降低合规成本;在第二阶段,数据控制者选择产出水平,决定是否进入市场,以及是否遵守 DPR。
如果对不合规数据控制者持续施加罚款,行业结构可能会产生意想不到的后果。首先,诉诸罚款或投资于可携带性标准可能会降低市场参与度。这是因为能力较强的数据控制者会遵守规定,能力较弱的数据控制者不遵守规定但仍继续参与,而能力最弱的数据控制者则退出市场。因此,对政策制定者而言,提高罚款水平既能激励不合规的数据控制者合规,同时也会迫使最弱的数据控制者退出,从而减少参与者数量。换言之,罚款从两侧“压缩”不合规数据控制者:能力较强的不合规者被激励合规,而能力最弱的不合规者则退出市场。实质上,罚款可能降低数据控制者的参与度,从而减少用户的选择。
另一个重要后果是行业集中度的提升,这源于能力较弱的数据控制者产出下降,而能力较强的数据控制者产出上升。导致这一结果的机制有多个:浮动罚款降低了不合规数据控制者的边际利润,从而减少其产出;投资则提高了合规数据控制者的边际利润,从而增加其产出。除此之外,每种工具提高合规率所带来的间接效应也会进一步强化这一结果。总体而言,大型数据控制者的总产出增加,而小型数据控制者的产出减少,最终导致行业集中度上升,这可能与 DPR 的政策目标相冲突。
对于政策制定者及我们研究的核心问题而言,最为重要的是:不同政策工具对参与度和集中度的不良后果具有不同程度。我们发现,固定罚款对参与度的附带影响最大。对于低收入、能力较弱的数据控制者,浮动罚款比例较小,而固定罚款可能造成显著影响。另一方面,与浮动罚款和投资相比,固定罚款对行业集中度的附带影响最小。这是因为浮动罚款和投资直接影响数据控制者的边际利润,而固定罚款则没有。浮动罚款降低了不合规者的边际收入,从而减少其产出;相反,投资降低了合规者的边际合规成本,从而增加其产出。换言之,如果政策工具仅限于固定罚款、浮动罚款或投资,政策制定者必须在降低参与度与提高集中度之间作出权衡。
当罚款水平足够高时,可实现完全合规,即所有数据控制者要么进入市场并遵守规定,要么选择不参与。一旦达到完全合规,进一步提高罚款不再有效,但投资对参与度的影响将发生逆转,即投资此时会增加参与度。换言之,完全合规是投资能够提升参与度的必要条件。然而,如果政策制定者的目标是实现完全参与和完全合规——即所有数据控制者都进入市场并合规,仅靠投资无法实现。实现这一目标的必要条件是市场扩张。市场扩张可以通过多归属(multihoming)发生,即用户在将数据迁移至其他数据控制者的同时,仍继续使用原有数据控制者的服务;也可能在用户携带数据跨行业迁移并同时消费两个行业服务时发生。
我们的通用模型的研究结果在多种数据控制者竞争和数据可携带性情境下均稳健成立,包括网络效应、多归属以及迁移有效性。因此,我们的分析普遍适用于从个人数据中获取价值的一系列行业。例如,在线旅行预订行业(如 Expedia)以及金融服务行业(如开放银行倡议)均体现了数据可携带性。这些例子补充了前文所述的社交媒体和健身应用的案例。
政策启示:我们表明,政策制定者追求提高合规率、降低集中度、增强竞争的目标,与其设计的货币化政策工具之间可能存在脱节。这种脱节不仅存在于已经实施的法规(如 GDPR 和 CCPA),也存在于正在讨论的法规(如 ACCESS 法案)。如我们所示,如果政策制定者持续依赖罚款并进行投资以降低合规成本,DPR 的结果可能与政策目标直接冲突。
对于依赖固定罚款、浮动罚款或投资来推动数据可携带性的政策制定者而言,不同工具对合规性、参与度、集中度和福利的附带影响程度不同。因此,工具选择取决于政策制定者对这些附带影响的容忍度。
各司法辖区的政策制定者普遍担心当今市场上少数大型数据控制者的主导地位,并表现出希望为竞争者创造更公平竞争环境的兴趣。我们发现,在用户可以自由选择服务提供者,且政策制定者诉诸投资、固定罚款和浮动罚款的情境下,执行 DPR 往往意味着用户从能力较弱的数据控制者转向能力更强的数据控制者,而后者通常规模更大、资源更为充足。这强化了大型数据控制者对小型、能力较弱者的支配地位。
我们的研究对政策制定者有以下几点启示。第一,在实现高水平合规之前单独使用投资会降低能力较弱数据控制者的利润并减少其参与;相反,在高合规水平下增加投资更为有利,因为此时投资能够提高参与度。第二,通过多归属等现象导致的 DPR 所诱发的市场扩张,可以缓解罚款和投资的负面影响。多归属的一种形式是用户在同一行业内同时使用多个数据控制者,另一种形式是用户跨行业迁移数据。例如,用户将其数据从 Facebook(社交媒体)迁移至 Expedia(旅行预订),以便获得更个性化的服务。由此直接带来的政策启示是标准的制定:允许跨行业广泛迁移数据的标准优于为特定行业设计的狭窄或针对性标准。第三,鉴于 DPR 可能促使用户从能力较弱的数据控制者转向能力更强者,一个直接的政策结果是,应在实施 DPR 之前优先提升小型和本地数据控制者的能力。此类干预措施包括资助区域技术中心、研发补助以及创新资金。
局限性与未来研究:尽管我们使用一般函数建模迁移效应,并且通用形式的研究结果为政策制定者提供了方向性指引,但这些效应的具体幅度取决于具体情境,因此需要基于参数化模型的估计。未来研究可针对特定市场的特征对模型进行参数化和实证估计。此外,我们假设罚款在不同产业中对不同数据控制者的情境下均被一致且公平地施加。但在实践中,违规数据控制者的具体情况以及违规性质可能对罚款水平产生重大影响。尽管 DPR 法规(如 GDPR 和 ACCESS 法案)不鼓励重大偏差,并规定了一致性机制,同时允许司法保护和正当程序以防止任意罚款,但在实际操作中仍可能存在轻微偏差。例如,监管机构可能对财务状况不稳定的数据控制者更为宽容。我们的模型与当前实施的 DPR 政策保持一致,但未能捕捉此类情境和特殊性。通过更细致的政策设计或灵活实施,政策制定者或许能够避免部分我们识别出的附带影响。最后,由于我们在分析中使用的参与度和行业集中度的定义与广泛应用的度量指标直接对应,我们的分析结果可作为可检验的假设,用于在不同司法辖区开展对 DPR 影响的实证研究。
来源:Management Science
时间:2025年8月26日
编辑:常虹(国科大经管学院博士)
声明:本文来自图灵财经,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
