一、表面合规难掩现实:商业利益架空用户同意
在大多数网站上,用户的个人数据会流经一个复杂的系统,该系统涉及出版商、第三方供应商、分析提供商和广告技术,使得大规模数据共享成为在线商业模式的常规组成部分。例如,电商平台会与许多不同的第三方供应商共享用户的个人数据,包括社交媒体、广告商、短视频平台等。
欧盟法规,特别是《通用数据保护条例》(GDPR)和《电子隐私指令》,旨在赋予用户对其个人数据的有效控制权。对于许多类型的数据处理,这些法规要求在线实体在处理个人数据或在设备上存储Cookie和其他跟踪技术之前,必须获得用户的同意。这一要求通常通过用户经常遇到的在线同意横幅来实现。
但目前的主流观点是,这种管理用户同意的方式往往无法满足监管要求,也无法真正维护用户的利益。在欧洲排名前 10,000 的网站中,只有不到 15% 的网站部署了完全符合 GDPR 要求的同意横幅。由在线广告行业发起的“透明度和同意框架”的内部审计也显示,许多符合这一广泛使用的行业标准的同意管理解决方案未能达到合规要求。
导致这种参差不齐的合规情况的原因是,持续的监管不力和各国执法不同意——确保同意横幅符合欧盟法律的责任在于各国数据保护机构,但其中许多机构长期资源不足,并且对规则的解释也各不相同。
然而,这些模式背后更深层次的原因在于企业的商业利益。行业在实施GDPR和ePrivacy指令时,受到强烈的盈利动机驱使,会以提高用户接受率的方式来设计同意选项。这通常以“暗黑模式”的形式出现——误导性和操纵性的网站设计和配置,旨在引导用户披露更多个人数据。
即使完全合规,这套同意系统也会给用户带来诸多实际问题。用户每次访问网站都要面对大量的同意选项,这会导致用户疲劳。因此,人们往往做出的选择未能体现他们权衡隐私成本与数据共享收益后所做的选择。
近期的一些研究表明,许多用户拥有细致入微的偏好,但非此即彼的选项却迫使他们分享超出理想范围的信息。他们发现,如果用户能够设置一揽子偏好,就能减轻同意负担,并帮助他们做出真正符合自身数据处理意愿的选择,从而更好地满足消费者的需求。全局设置偏好允许用户一次性配置所有设置,而且可以在方便的时候进行,而不是在忙于其他任务时进行配置。这使得他们更有可能花时间做出更明智的选择,从而更好地满足自身偏好。
二、简化同意规则:豁免条款恐成用户控制权缺口
在此背景下,欧盟委员会于2025年11月19日提出了一项《数字综合法案》——一项旨在简化欧盟数字法律、增强欧盟竞争力的法案草案。根据该提案附带的工作人员文件,预计消费者和企业行政负担的大幅减轻将主要源于对GDPR和《电子隐私指令》的修订,以简化在线同意管理。这些修订涵盖了从用户同意的适用场景到浏览器层面的控制以及同意横幅的设计等方方面面。
欧盟委员会的提案将大幅减少发布商必须征求用户同意的情况。委员会提议将《电子隐私指令》中关于处理存储在用户设备上的信息的相关条款纳入GDPR。同时,明确一系列低风险的数据使用目的,这些目的不再需要征得用户同意。此外,委员会还提议缩小“个人数据”的定义范围,从而减少GDPR的适用范围。委员会声称,通过这些拟议的适用范围缩减,50%的私人网站和80%的公共网站将不再需要依赖用户同意和使用Cookie横幅。
原则上,将低风险活动排除在GDPR的适用范围之外,并减少不必要的同意提示,是解决用户同意横幅疲劳的正常举措。然而,企业在实践中是否会过度解读这些例外情况,从而削弱用户控制权,仍然存在疑问。虽然这些减少措施可能减轻合规负担,但欧盟委员会必须确保由此产生的重新平衡不会过度削弱个人保护。
三、技术解决方案的困境:缺乏激励的浏览器与AI难担重任
在出版商和供应商仍需征得用户同意的情况下,欧盟委员会的提案旨在将同意管理从网站横幅广告转移到集中式、用户可控的设置。用户将能够通过网络浏览器设置各种数据处理的隐私偏好,浏览器将自动响应同意提示。
这将为用户提供一种集中便捷的方式来接受或拒绝数据处理,从而显著减少用户与同意横幅的重复交互。然而,将实现工作委托给浏览器提供商引发了一些担忧。许多浏览器从个人数据共享中获利,因此它们缺乏促进此类用户友好机制的商业动力。例如,它们可能会设计复杂且难以操作的界面,以阻止用户拒绝个人数据共享。
欧盟委员会还明确鼓励采用替代技术方案,包括潜在地使用智能体人工智能系统。这类系统能够处理用户偏好信息以及公司对个人数据的既定用途,从而代表用户管理同意决定。然而,由于缺乏更明确的预期或切实的支持,该提案中对智能体人工智能系统的简要提及不太可能推动此类解决方案的出现。业界缺乏开发赋能用户的同意工具的动力,而少数有前景的解决方案往往难以获得广泛应用。欧盟委员会应发挥更积极的作用,例如资助对创新型同意工具的研究,或为可信的同意工具设立欧盟认证。
最后,一项重要的豁免条款削弱了该综合法案“以用户为中心”作为同意框架目标的效果:媒体服务提供商无需遵守自动同意信号,可以继续依赖传统的同意横幅。欧盟委员会辩称,这项豁免对于保护独立新闻业的经济基础是必要的。但将这项豁免仅限于媒体机构似乎有些武断:尽管支持独立新闻业是一个合理的目标,但同样的逻辑也完全可以扩展到其他依赖数据驱动收入的行业。通过强制要求全球同意信号包含行业特定的偏好设置,用户可以根据自身意愿为新闻媒体等行业选择不同的隐私设置,也可以达到类似的效果。
四、应对黑暗模式:治标难治本,核心在激励错位
欧盟委员会直接针对几种常见的收集用户同意的“黑暗模式”进行了说明。
首先,委员会规定用户必须能够通过一键式机制给予或拒绝同意,从而简化同意选项。此外,委员会禁止网站在用户拒绝同意后反复提示用户,试图最终获得用户的同意。根据拟议规则,发布商在六个月内不得再次请求用户同意。
这些措施或许有助于应对一些“暗黑模式”,但它们只是被动应对,主要针对的是表面症状而非根本原因。只要同意横幅的设计主要受网站和供应商自身偏好的驱动,新的“暗黑模式”就会不断涌现,而实际操作也始终无法达到监管预期。如果设计同意界面的公司能够将设计选择与用户利益相契合,那么“暗黑模式”自然就会消失。
结论:改革成败关键在重构市场激励,而非规则修补
总体而言,《数字综合法案》中提出的改革旨在简化用户同意流程,并包含一些颇具前景的提议。然而,这些变革的有效性最终取决于它们如何在根本激励机制不变的环境下得到有效实施。那些从大量数据收集中获益的机构将继续对模糊的规则进行宽泛的解读,策略性地设计界面,并在任何可能的情况下寻求鼓励用户接受同意的新方法。
为了使改革切实有效,欧盟委员会应直接关注迄今为止限制用户同意规则有效性的市场动态,使激励机制与用户利益保持一致。这可能包括对那些围绕用户偏好而非广告目标设计的同意工具进行补贴或认证。另一种方法是让用户选择同意管理系统,并允许公司与系统提供商就用户访问权限进行谈判。这样,同意管理平台就有了经济动力来使其系统对用户更具吸引力。
除了调整企业激励机制外,欧盟委员会还应采取进一步措施。例如,必须就全球同意信号的实施提供更清晰的指导。尽管该提案提及了标准化信号,但其描述仍然过于简略,无法确保部署的一致性和以用户为中心的原则。如果缺乏关于技术格式和用户表达偏好的界面的更详细规范,信号的设计很可能受到那些依赖大量数据收集的商业模式的公司的影响。明确且具有指导意义的要求将有助于确保信号反映的是用户选择,而非商业利益。
要使改革取得预期效果,必须加强执法力度和持续的监督,这有助于发现组织机构何时以损害用户自主权的方式曲解或操纵规则,并确保此类行为得到及时纠正,而不是任凭这些危害性行为在市场中根深蒂固。
归根结底,欧盟在线同意规则的任何改革能否成功,取决于监管和市场环境是否能够确保改革得到一致、可靠和公正的实施。如果没有更明确的激励机制、更有力的指导和可信的执法,精心设计的调整措施可能会被不均衡地应用,甚至损害监管初衷。
【原文:https://www.bruegel.org/analysis/eu-data-processing-consent-reform-must-account-market-incentives】
作者:保罗·里希特、 蒂尔曼·申克
布鲁盖尔研究所的附属研究员。
【免责声明】本文撰写所需的信息采集自合法公开的渠道,我们无法对信息的真实性、完整性和准确性提供任何形式的保证。本文仅为分享、交流信息之目的,不构成对任何企业、组织和个人的决策依据。
声明:本文来自Internet Law Review,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
