Patrick Bolton:“同意”按钮真的能保护个人隐私吗?

2021年3月13日 10:45
來源:罗汉堂观点

如何保护个人信息?这是一个当下讨论非常热烈的问题,欧洲、美国、中国都纷纷推出相关的立法,体现了不同的思路。总的来说有两个层面的问题:第一,如何界定权利:是定义个人数据所有权,根据所有权规则保护,还是围绕个人隐私创设一系列新的权利?第二,当前实践中占主流的基于“知情-同意“原则的做法,能不能有效保护隐私?

对于第一个问题,目前各国都倾向于绕开所有权,围绕个人信息保护这一目的定义一系列权利。如GDPR(《通用数据保护条例》)赋予数据主体的七项权利:知情权、访问权、修正权、删除权(被遗忘权)、限制处理权(反对权)、可携带权、拒绝权;我国《民法典》规定“数据主体可提出查阅、复制、提出异议、要求删除等请求的权利”(1037条),同时也明确规定“自然人享有隐私权。任何组织或者个人不得以刺探、侵扰、泄露、 公开等方式侵害他人的隐私权。隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。”(1032条);CCPA(《加州消费者隐私案》)赋予消费者的个人信息权利有:知情权,选择权,删除权,公平交易权。

这些做法的背后,实际上体现了对数据特殊性的认识。根据罗汉堂《理解大数据:数字时代的数据与隐私》报告的分析框架,作为一种全新生产要素,数据和资本、劳动、甚至是知识产权都很不一样。资本和劳动都是有排他性(独占性的),即我用了你就不能用了,用到这里就不能用到那里,但数据不是这样。知识产权作为一种知识,没有排他性,谁知道了都可以用也不减少其他人的使用,但它和数据有不同,有明显的、相对容易判断的创意,数量也比较少,更容易管理。即便如此,也是经历了一百多年的发展才创设出一套专利体系和法律框架来保护它。

但数据一方面有非排他性,另一方面,又是碎片化的,数据很多是观察数据,本身没有价值,需要有结构地拼起来、把里面的信息提取出来,更重要的是用到“对”的场景里,才有价值。现在我们看似平常,认为天然存在的这套私有产权体系,其实是在工业革命后对资本、劳动这些财产权利的保护的基础上发展起来的,数据作为一种生产要素,可能无法适用于这套框架。

对于第二个问题,知情同意原则能不能很好的保护隐私呢?现行的法律框架,要求信息使用方在收集消费者信息之前,需要提醒消费者,展示数据使用范围和隐私条款,在消费者选择“同意”之后,才可以开始收集和使用。简单分析,这一做法的弊端大概有这两点:1) 隐私条款通常很长,大部分人都不会点开,及时读完也很难完全理解。2) 对消费者来说,要么同意,要么完全不能使用服务,二者之间没有任何弹性,导致了大多数人不得不同意,信息使用者却可以比较灵活地改变条款。

在罗汉堂前沿对话里,顶尖的契约理论学者Patrick Bolton(准诺奖级)从根本上回顾信息保护的框架,认为不应该采用权利规则(Property Rules)来保护隐私,而应该诉诸”责任规则”(Liability Rules),比照医生、律师和客户之间的保密协定,根据是否存在相应的补偿来判断使用是否合理,着眼于客户得到的价值和它共享的信息的关系是不是合理,而不一定需要经过同意。而现行的知情同意原则,从经济学上看是一个“要么留、要么走”的契约,但用户事实上并不能一走了之,成本太高,这个同意按钮常常流于形式,起不到真正保护个人隐私的目的。

以下是根据Bolton教授在罗汉堂第三期前沿对话“理解大数据:数字时代的数据与隐私”中的发言整理而成文字内容:

权利规则(Property Rules)和责任规则(Liability Rules)分别是什么?

什么程度的隐私保护是合适的?应该如何保护隐私?这仍是现代经济学界、法学界及其他各界一直争论的问题之一。如果能厘清我们讨论隐私保护时主要运用的两套规则框架财产规则和责任规则,会对我们理解这个问题有很大帮助。

我很感谢美国Guido Calabresi法官和斯坦福大学法学院的现任教授A. Douglas Melamed在1972年的研究。他们当年对于财产规则和责任规则的区分,以及提出的两种规则所需的不同程度的保护方法为如今隐私保护议题的规则框架奠定了理论基础。

简单来说,财产规则下,没有获得同意就不可以占有任何事物。具体应用在隐私保护中,即如果没有信息主体的同意,平台无权获得和占有任何信息和数据;但是,责任规则下,只要付出相应的补偿,即使没有信息主体的同意,平台也可以占有信息和数据。

财产规则的一个关键是物权法定原则。物权法定原则是指法律规定的财产权利不是无限的,而是在有限的条款中。这与今天的讨论有什么关系呢?现有的隐私保护法规,如《通用数据保护条例》(GDPR),对于隐私同意条款采取的是“要么接受,要么离开”原则。换句话说,如果用户希望获取服务,必须同意服务方获取自己的隐私数据。但是我们在这个过程中有一点没有想清楚,即GDPR对于用户登录网站必须同意的隐私政策本身并没有任何限制,这导致点击“同意”这个行为没有很大的意义,因为用户别无选择,而服务提供者并不被限制。这说明财产规则并不能有效地保护数据主体的权益,至少没有达到我们想象的程度。

同时,很多研究已经指出,基于责任规则进行数据隐私保护有时候可以实现更高的经济效率。于是,我们会很自然地问,隐私保护究竟应该基于财产规则还是责任规则?或者是否有更完善的方法呢?

受托人规则或可应用于隐私监管

我认为可以把平台定位为数据或者隐私的受托人(fiduciary)来实现隐私

保护。平台之于用户,就像内科医生之于病人、咨询之于客户一样,前者是服务者,也是后者的受托人。医疗、会计、咨询这些传统行业都发展出了成熟的隐私保护规范,来保证客户信息完整真实性和保密性,并严格受限于责任规则。这也许是隐私保护更加有效,更加有建设性的方式。

最后,我想强调罗汉堂的最新报告《理解大数据:数字时代的数据与隐私》中提出的三条数据原则中的第一条,“数据生产者(包括数据主体)的数据所有权应该建立在确保数据完整真实性和匿名性,以及保护个人和社会的隐私的基础之上”。这与我提出的建议异曲同工,也恰恰证明了受托人规则的可行性。

如有兴趣,请点击视频查看Patrick Bolton教授的完整发言。

帕特里克·波顿是哥伦比亚大学讲席教授、美国金融学会主席、经济学和金融学领域领军人物。他致力于研究在契约长期不完全的情况下,控制权和决策权在缔约方之间的分配理论。

(声明:如需转载请向[email protected]提出书面申请。奇点财经是全球首家提供多语种及专注于ESG投资与金融科技领域的媒体,是香港期刊协会创会会员。)

友情提示:请下载奇点财经APP(点击 IOS版 或 安卓版)或关注奇点财经公众号(奇点财经HK)以得更全面的资讯。