【编者按】我们对数字服务的依赖性正呈指数级增长,人机交互的方式也在不断发展,无论什么场景下的个人数据采集和处理都需要用户授权同意。但是当前的“通知&同意”机制仍存在很多问题。2020年7月,世界经济论坛发布白皮书《重新设计数据隐私:重新构想用于人机交互的通知和同意》(Redesigning Data Privacy: Reimagining Notice &Consent for human technology interaction),详细探讨了此机制运行的各种挑战,并从两个互补的角度展开研究:1)“通知&同意”如何改进?2)“通知&同意”的替代方案。报告认为,用于人机交互的“通知&同意”机制必须遵从以人为本的原则。
Part A 人机交互应用在数据收集和处理方面获取同意所面临的挑战
1 通知的问题
“通知&同意”机制应用广泛,相关学术研究表明当公众收到隐私条款时,大部分会选择“同意”,但不会去阅读,甚至会误解其目的。当人们拒绝隐私政策时通常也意味着拒绝获取相关服务。
(1)通知内容的篇幅:隐私政策的篇幅过长往往影响阅读,而且导致公众不愿花过多时间去阅读。
(2)通知的可读性:由于隐私政策主要由法务人员撰写,对于大多数公众而言难以理解。并且它使用了许多法律专业用语或混淆性语言,使得公司遵循的行为准则难以向大众准确传达。
(3)通知频率和流程的可扩展性/同意疲劳:一项核心挑战在于同意模型无法扩展,也就是说即便通知的篇幅更短,可读性更高,也无法解决过多关于个人信息的决策问题,这些决策通常具有约束力、持久、且有时不可撤销。
(4)通知的呈现和时间:另一项挑战是与同意相关的决策时间问题,基于当前同意模型,当公众面对“接受或拒绝”选项时,他们可能没有充足的精力去做理性的决定。研究表明,通知显示的时间、视觉效果以及语言会影响公众在其隐私问题上的决策。
2 同意的重要性
同意意味着人们同意交付相关个人数据、相关行为数据甚至是所使用的设备信息,它是基于以下三个条件得到的结论:(1)有意:以传达同意意图为目的通过言语或行动向对方表示;(2)知情:同意方必须了解同意的内容;(3)自愿:没有不正当的压力胁迫同意方。即数据提供者最好提前知悉同意内容,然后自由地、清楚明确地传达同意意愿。
3 “通知&同意”的历史
“通知&同意”是公平信息处理条例(FIPs)的关键组成部分,它是20世纪末根据信息数字化发展而制定的一套原则。尽管这些年来,FIPs有多种版本,但它们倾向于重述同一套核心原则(通知、选择、可访问、安全),重点是个人对数据的控制和数据处理的程序性保护,而不是对实践的实质性禁止。
美国由于缺乏联邦级数据保护法或隐私法,FIPs已成为管理在线数据收集方式的主要方式。美国州级法律推动了通知要求的变更,尽管FIPs在美国无法执行,但合同法具有坚实的法律基础。为了确保企业在获取和处理个人数据方面的法律确定性,特别是随着免费在线数字服务的爆炸式增长,规范“通知&同意”流程日益迫切。
欧洲数据保护的发展轨迹不同。1981年通过的《关于自动处理个人数据的保护公约》(The Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data)仍然是欧洲委员会成员国数据保护法的主要来源。欧盟法律将数据保护和隐私权的分开,分别反映在《一般数据保护条例》(GDPR)和《电子隐私指令》(ePrivacy Directive)中。相较于数据保护框架,同意原则在电信框架中发挥着更大的作用。
尽管发展轨迹不同,但“通知&同意”已然成为美国和欧盟数据、隐私保护领域的一部分。在欧盟和美国以外,“通知&同意”在不同程度上已成为一贯的国际规范,部分原因在于GDPR建立了压倒性的影响力和贸易激励措施,促使非欧盟经济体与欧盟的做法保持一致。
4 “通知&同意”:评估
“同意”几乎可以使收集、使用和披露个人数据的任何形式合法化,但是个人无法充分管理其数据,并且“同意”在涉及隐私的许多情况下毫无意义。“通知&同意”从根本上将隐私保护的重担放在个人身上,与“权利”概念背道而驰。但是,通知对监管机构来说非常具有吸引力。立法者喜欢将强制性通知作为监管依据,因为它使公司承担较小的成本,并保留了他们创新和产品设计的自由度。
在许多在线环境中,“接受或放弃”是同意机制下的两种选择,而放弃则通常意味着“拒绝服务”。数据主体必须通过某种形式耗费一定的时间了解重要相关信息以及同意的后果。信息的呈现必须考虑到人们如何在特定的环境中做出决策,而不是假设理性的行为者在理想的情况下做出决策。
当同意的风险很高且威胁到自主权时(无论是个人还是集体),用户阅读隐私政策的外界环境必须处于最佳状态,否则隐私政策不应提供法律或道德依据,这将导致不公平竞争。
5 “通知&同意”的风险
(1)无法正确适应无屏技术的实践
GDPR、CCPA、加拿大的《个人信息保护和电子文档法》(PIPEDA)、巴西的《通用数据保护法》(LGPD)、南非的《个人信息保护法》(POPI)和日本的《个人信息保护法》(APPI)等我们熟知的法律实际上是为屏幕世界而建立的。日常生活中,数据也在通过触摸传感器、物联网(IoT)设备、相机和其他环境计算设备进行收集。由于GDPR适用于消费者物联网设备的数据采集,因此物联网设备很难在欧盟境内合法使用。相比之下CCPA很大程度上采用通知和选择退出模式,而不是同意。鉴于与此类技术无时无处不在收集数据,“通知&同意”机制并不适用于无屏技术。
(2)无法向公司做出明确承诺,并鼓励他们找到创新的解决方案来保护隐私
GDPR技术中立,但是由于许多组织依靠外部律所和内部律师共同编撰合规的通知,因此其实施通常会从用户体验角度出发,然后再进行调整。一些数字服务商试图通过鼓励并行设计流程进行改革,但是在监管没有明确指导方针的情况下,这项改革具有挑战性,并且没有足够的动机摆脱基于屏幕技术的通知制度。结果导致在数字世界中,我们不仅使人民及其权利、期望、福祉受损,而且也使创新者和公司失去信誉,而后者被建议必要时更多地采用“通知&同意”机制,因为在没有更好的替代方法时,它将为公众提供法律保护。
(3)无法说明二手数据的使用情况
数据收集通知规则的设计无法考虑到B2B分享个人数据、数据分析、未来交易以及不可预见的用例价值的实现。一旦数据进入价值链,数据重用规则就很难达成一致。
因此,为了适应未来的挑战,我们提供以下两种选择:
● 必须从根本上重新构建“通知&同意”机制,以解决用户需求。支持人们对数据的持续控制,包括重新协商或撤回同意的能力,允许个人对其数据进行细粒度的选择。
● 必须从根本上替换“通知&同意”机制。如果当前机制在现有的基于屏幕的约束下几乎无法满足要求,那么它将完全无法管理IoT设备的数据收集。
无论采取哪种选择,最终方案必须以人为本。
Part B 替代方案:为什么需要以人为本的设计
1 重新设计“通知&同意”:以人为本的设计方法
现有的“通知&同意”机制基于一个理性假设:公众可以阅读和理解隐私政策,在服务收益与信息收集之间能权衡利弊,并做出明智的选择。此过程忽视了人类心理学的作用,尤其是在个人决策过程中。在人机交互中,行为经济学和社会心理学领域的研究表明,人们的选择受到多种因素的影响,包括社会需求、经济需求和界面设计等等。要重新概念化隐私保护应该改变我们对用户的看法,现有的机制主要从消费者(受经济利益驱动的理性主体)角度出发,共享数据的风险计算基于经济损害,这种方法无法认识到用户活动的多样性。
现有的“通知&同意”机制并未映射到这样一个事实:我们的日常生活很大程度上由我们的在线行为定义。在构建“通知与同意”机制时,不仅要从消费者的角度考虑隐私保护,而且要将其视为一项人权,不仅需要了解消费者,还需要对隐私有更广泛的了解,并重新概念化服务于隐私保护的同意机制。
一个关键的挑战是要在以下两个极端之间找到折中方案:(1)提供广泛的同意,放弃对个人隐私的所有控制;(2)每使用一次个人数据时都需要“微观同意”,从而导致用户无法充分理解每项同意请求,产生同意疲劳。解决方案既应最大程度地访问数据,又应保护每个人控制隐私和数据使用的权利,同意不应是永久性的,理想情况下应该保留用户的撤销同意/访问权。
2 什么是以人为本的设计?
以人为本(HCD)的设计本质上是跨学科的交叉心理学,将认知科学、人类学和人机交互纳入研究实践和专业领域。HCD的核心目标是将人们的需求放在任何技术系统的中心,并通过直接与用户接触来评估和了解相关需求。
最显著的一个系统性问题在于许多公司可能会因改善通知和增加透明度而受到不利影响。尽管仅靠监管并不能完全解决问题,但是组织在数据收集方面越透明,对监管越有利。仅将“通知&同意”作为任何数据实践的依据不能保证那些表示同意的人能真正理解它的含义。以设计为中心的“通知&同意”方法引发了有关模型局限性的讨论,即用户有义务阅读(并理解)隐私政策以及数据收集本身的基本道德问题。因此,提出一些关键问题非常重要,例如,这些机制对谁有利,对谁有弊,以及将阅读和理解的重担完全压在公众的肩膀上是否造成的弊大于利。
3 集体隐私
隐私不一定仅限于个人,本质上也可以是集体。人们共享与自己有关的数据还可以挖掘家人、朋友、同事、邻居等人群的信息。此外,提供有关同一种族、性别和年龄组人群的信息还可能造成政治或经济歧视与剥削。“通知&同意”的管理方式受应用场景以及集体隐私所影响。通过将人而非消费者合同的概念放在“通知&同意”范式的中心,可以解锁以人为中心的设计,以此作为更好的数据隐私解决方案。
4 替代模型:换一种思维思考
现有“通知&同意”的任何替代方案都必须全球适用,在技术上保持中立(超出屏幕范围),并尽可能以道德为基础。这意味着既要认识弱势群体的需求,同时又要尊重收集数据的目的。技术高速发展,但监管往往滞后。在定义技术解决方案之前,我们必须解决人为问题,协调数字化期望和隐私要求。
5 采取全球技术中立方法的必要性
GDPR改变了数据和隐私保护的国际规则,其数据保护原则已扩展到欧洲以外,成为实际上的新全球标准。GDPR明确规定除非将同意作为服务的条件,否则不应将两者捆绑在一起。美国CCPA对隐私政策的表述和内容有一些次要要求,但没有改变核心的“通知&同意”框架。将来对“通知&同意”机制的更改必须尽可能成为多方利益相关者全球监管方法的一部分,增加以人为本的设计对数据和隐私保护至关重要。
6 制定明确的道德框架
意识和控制是人机交互设计的两个核心原则,意识是自治的关键,但是复杂世界中,个人层面的绝对控制和自治似乎是不可能的。许多个人数据共享决策都会通过社会关系以及日益增长的网络群体影响到其他人。仅将隐私权放在个人选择上,就忽略了这些选择产生的广泛的社会影响,因此我们需要考虑其他道德价值观,并将其明确地纳入新方法中。
7 同意与社会公正
现有的技术和“通知&同意”机制很大程度上反映了这样一个世界:在这个世界中边缘化的人们被排除在设计过流程之外。重新设计以人为本的同意条款必须考虑所有人,并充分照顾弱势群体的需求和经验。
8 行业在决策中的重要性
由于行业规范通常先于决策制定,因此行业在提供解决方案中扮演着至关重要的角色。行业决定了设计和销售数据产品的方式。设计“通知&同意”机制的各个阶段必须将行业考虑在内,否则我们可能会为了合规而合规,无法保护人们的隐私以及整个社会的创新成果。
9 我们如何前进?
数字环境中“通知&同意”的视觉外观、语言选择、显示格式和演示时间对公众至关重要,不再严格地局限于法律领域,本质上是人机交互问题。它需要那些精通人机交互问题的专业人员的专业知识,理想情况下还需要公共政策和道德规范支持。如上所述,采取一种全球性的、技术中立的、符合道德规范的、公正的并涉及行业的方法是关键。至关重要的是,用户体验设计师需要运用设计思维来尝试解决这一棘手的问题。
Part C 探索性想法
1 替代方案的特点
(1)代理 vs 可用性
当前的机制不仅对用户不友好(因为它不允许谈判和撤销),而且也没有赋予消费者代理权(为自己的利益采取行动和选择的方式)。重新设计“通知&同意”机制不能确保更大程度的代理权。实际上,减少人机交互的摩擦可能会降低个人根据自身利益进行隐私决策的能力。同意机制必须允许各个机构参与协商。
(2)以设计为中心的协作和工具
专注于全球公众参与,鼓励设计师、技术人员、公共部门和其他利益相关者加强公共活动中的互动。例如:“设计难题”项目使不同的受众聚集在一起,以设计为重点进行公开协作和解决问题。
(3)真正的选择
这是一种可以撤销同意的设计方法,即遵循同意时间性原则的“通知&同意”设计。同意不是永久的,但是对于物联网和人工智能等新兴技术而言,撤销同意的实用性可能难以实现。替代方案需要制定一个全球框架,在保证透明度、理解、控制、问责制和解释性,并防止在剥削、任意操纵和歧视的基础上设计同意机制。
2 9个探索性想法
(1)决策者的数据可视化工具:数据可视化的目的是为政策制定者提供创建原型、图形和视觉工具,以展示监管成果如何直接影响个人,从而帮助政策制定者了解其拟议法规和用户体验。
(2)风险评估:尽管从企业角度来看,风险评估是一个颇具争议的概念,但是没有类似的概念可以用于评估整个数据生命周期中消费者已经经历或可能经历的隐私侵害。研讨会小组提出了一个结构化的流程,企业可以据此评估收集的数据,审核员可以评估数据收集和存储流程以及公司行为对消费者的潜在危害,并提出更改建议。建议可能包括删除数据、更改设计或撤销某些做法。根据报告的结果,公司将获得某种形式的认证或对其行为的保证。
(3)默认情况下的目的限制:目的限制是指个人数据的收集和使用仅限于最初的预期目的,并且不会发生任务蠕变。如果将默认情况下某些有潜在危害的二级个人数据收集和处理定为非法,那么该概念将进一步发展,个人将获得前所未有的自主权,掌握其数据收集和处理。
(4)积极监管和创新:监管当局可以激励企业采取负责任的和合乎道德的数据收集和使用方法,私营部门也可以采用行业主导的行为守则来采取积极的监管措施。监管机构可以使用最终经过产业化、不断更新后的标准模型。
(5)智慧城市的隐私设计:通过以正义设计为目的公众互动,智慧城市可以与隐私保护共存。其中,透明度是必需的,即智慧城市的居民有权知道个人信息在何时、何处以及由谁收集和处理。此外,应保证公民在某些情况下可以明确表示同意,例如“选择退出”方式。智慧城市还可以为居民提供有效无监视的选项,类似于移动设备上的“飞机模式”的无数据选择。最后,针对智慧城市隐私设计要求对居民进行有关数据收集和处理的教育,并注重边缘化人群的参与。
(6)在公共场所进行跟踪的自主权:公共场所的自由表达是开放社会的重要组成部分。但是公共和私人机构在公共场所中进行的广泛监视和数据收集会令人生畏。为了解决此问题,可以将个人关于收集和使用其数据的偏好设计到基于智能手机的代理或可穿戴设备中,或者采用数字身份。公共场所工作的数据收集将以符合个人隐私偏好的方式进行,在不禁止数据收集的公共场所中,这种方法可以使个人实时浏览环境数据的收集。从而对他们的言论自由破坏最小。此方法的缺点在于,出于公共或私人利益收集个人数据的合法需要,可能会忽视个人的隐私偏好。
(7)数据信任:数据信任提供了一种以公平的方式收集和处理个人数据的方法。数据信任将由权威机构进行监督,该机构可以充当个人数据权的仲裁者。数据信任也可以暗示特定的法律结构,信托是一种法律结构,可以使一方赋予另一方为第三方的利益而持有资产的权利。数据信托和第三方受托人出于最大利益承担决策的责任,也称为信托责任。数据信任也被称为“公民信任”,它由第三方数据共享的独立信托管理,可以查看、监视和强制执行数据收集机构共享数据的方式。
还可以开发其他数据信任模型,例如将数据信任作为企业数据管理服务作为提供给用户,这样一来盈利性的受托机构不需要自己保存数据,从技术上实现符合用户隐私偏好的数据存储和代理功能,还可以评估数据收集者的声誉。另一个潜在解决方案是数据资产管理方法。数据保管人必须设置隐私和安全机制,以获取信任并安全地保护数据。例如,创建一个安全的逻辑控制数据分析沙箱,该模型既可以避免共识疲劳,又可以实现广泛的隐私保护,还解决了国家间数据共享的问题。
(8)算法可解释性:当涉及到“黑匣子”机器学习算法时,数据处理机构也不一定能预见甚至审计该算法将如何精确地处理数据。为了帮助个人控制其数据,黑盒算法必须经过审核,以限制损害。如果不能解释机器学习算法如何做出决策,那么个人不能提供有价值的同意。因此,有必要确定不适合使用黑盒算法的情况或环境。
(9)个人用户代理:为了解决日常生活中无处不在的数据收集问题,可以创建一个基于软件受信任的虚拟代理,该代理充当中介将个人的隐私偏好传达给数据收集和处理机构。代理可以在用户的设备上运行,也可以由第三方信任的服务商远程托管或链接到用户的数字身份。使用用户隐私偏好进行编程的虚拟代理商可以处理隐私政策,然后代表用户同意或不同意。虚拟代理可以适当地咨询用户,以建议个人应使用哪些服务。
在技术和道德规范下,代理可以充当顾问,并开发一定的AI功能,可以动态地采取行动并代表用户做出实际决策。当然,以AI为动力的代理有安全隐患,应该进行审核。当前新兴技术格局具有复杂性,再加上智能手机和云服务的广泛采用,数字代理的概念已经成熟,或不久的将来进行开发和部署。
总结
目前,“通知&同意”机制对于数据保护目标实现是有价值的,但是在人机交互方面,执行方式过时,无法获取有意义的同意。鉴于技术的发展以及个人数据收集的相应增加,期望人们对所有个人数据收集表示有意义的同意已不再合理。我们需要重新审查和协调现有的体制模式。
编译 | 李顾元/上海社会科学院信息所研究生
本文由赛博研究院出品,转载请注明:本文来源于赛博研究院公众号。
更多精彩内容请关注“赛博研究院”公众号。
