【編者按】我們對數字服務的依賴性正呈指數級增長,人機交互的方式也在不斷發展,無論什麼場景下的個人數據采集和處理都需要用戶授權同意。但是當前的“通知&同意”機制仍存在很多問題。2020年7月,世界經濟論壇發佈白皮書《重新設計數據隱私:重新構想用於人機交互的通知和同意》(Redesigning
Data Privacy: Reimagining Notice &Consent for human technology
interaction),詳細探討瞭此機制運行的各種挑戰,並從兩個互補的角度展開研究:1)“通知&同意”如何改進?2)“通知&同意”的替代方案。報告認為,用於人機交互的“通知&同意”機制必須遵從以人為本的原則。本文字數:6468字閱讀時間:16分鐘Part A 人機交互應用在數據收集和處理方面獲取同意所面臨的挑戰1
通知的問題“通知&同意”機制應用廣泛,相關學術研究表明當公眾收到隱私條款時,大部分會選擇“同意”,但不會去閱讀,甚至會誤解其目的。當人們拒絕隱私政策時通常也意味著拒絕獲取相關服務。(1)通知內容的篇幅:隱私政策的篇幅過長往往影響閱讀,而且導致公眾不願花過多時間去閱讀。(2)通知的可讀性:由於隱私政策主要由法務人員撰寫,對於大多數公眾而言難以理解。並且它使用瞭許多法律專業用語或混淆性語言,使得公司遵循的行為準則難以向大眾準確傳達。(3)通知頻率和流程的可擴展性/同意疲勞:一項核心挑戰在於同意模型無法擴展,也就是說即便通知的篇幅更短,可讀性更高,也無法解決過多關於個人信息的決策問題,這些決策通常具有約束力、持久、且有時不可撤銷。(4)通知的呈現和時間:另一項挑戰是與同意相關的決策時間問題,基於當前同意模型,當公眾面對“接受或拒絕”選項時,他們可能沒有充足的精力去做理性的決定。研究表明,通知顯示的時間、視覺效果以及語言會影響公眾在其隱私問題上的決策。2
同意的重要性同意意味著人們同意交付相關個人數據、相關行為數據甚至是所使用的設備信息,它是基於以下三個條件得到的結論:(1)有意:以傳達同意意圖為目的通過言語或行動向對方表示;(2)知情:同意方必須瞭解同意的內容;(3)自願:沒有不正當的壓力脅迫同意方。即數據提供者最好提前知悉同意內容,然後自由地、清楚明確地傳達同意意願。3
“通知&同意”的歷史“通知&同意”是公平信息處理條例(FIPs)的關鍵組成部分,它是20世紀末根據信息數字化發展而制定的一套原則。盡管這些年來,FIPs有多種版本,但它們傾向於重述同一套核心原則(通知、選擇、可訪問、安全),重點是個人對數據的控制和數據處理的程序性保護,而不是對實踐的實質性禁止。美國由於缺乏聯邦級數據保護法或隱私法,FIPs已成為管理在線數據收集方式的主要方式。美國州級法律推動瞭通知要求的變更,盡管FIPs在美國無法執行,但合同法具有堅實的法律基礎。為瞭確保企業在獲取和處理個人數據方面的法律確定性,特別是隨著免費在線數字服務的爆炸式增長,規范“通知&同意”流程日益迫切。歐洲數據保護的發展軌跡不同。1981年通過的《關於自動處理個人數據的保護公約》(The
Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data)仍然是歐洲委員會成員國數據保護法的主要來源。歐盟法律將數據保護和隱私權的分開,分別反映在《一般數據保護條例》(GDPR)和《電子隱私指令》(ePrivacy
Directive)中。相較於數據保護框架,同意原則在電信框架中發揮著更大的作用。盡管發展軌跡不同,但“通知&同意”已然成為美國和歐盟數據、隱私保護領域的一部分。在歐盟和美國以外,“通知&同意”在不同程度上已成為一貫的國際規范,部分原因在於GDPR建立瞭壓倒性的影響力和貿易激勵措施,促使非歐盟經濟體與歐盟的做法保持一致。4
“通知&同意”:評估“同意”幾乎可以使收集、使用和披露個人數據的任何形式合法化,但是個人無法充分管理其數據,並且“同意”在涉及隱私的許多情況下毫無意義。“通知&同意”從根本上將隱私保護的重擔放在個人身上,與“權利”概念背道而馳。但是,通知對監管機構來說非常具有吸引力。立法者喜歡將強制性通知作為監管依據,因為它使公司承擔較小的成本,並保留瞭他們創新和產品設計的自由度。在許多在線環境中,“接受或放棄”是同意機制下的兩種選擇,而放棄則通常意味著“拒絕服務”。數據主體必須通過某種形式耗費一定的時間瞭解重要相關信息以及同意的後果。信息的呈現必須考慮到人們如何在特定的環境中做出決策,而不是假設理性的行為者在理想的情況下做出決策。當同意的風險很高且威脅到自主權時(無論是個人還是集體),用戶閱讀隱私政策的外界環境必須處於最佳狀態,否則隱私政策不應提供法律或道德依據,這將導致不公平競爭。5
“通知&同意”的風險(1)無法正確適應無屏技術的實踐GDPR、CCPA、加拿大的《個人信息保護和電子文檔法》(PIPEDA)、巴西的《通用數據保護法》(LGPD)、南非的《個人信息保護法》(POPI)和日本的《個人信息保護法》(APPI)等我們熟知的法律實際上是為屏幕世界而建立的。日常生活中,數據也在通過觸摸傳感器、物聯網(IoT)設備、相機和其他環境計算設備進行收集。由於GDPR適用於消費者物聯網設備的數據采集,因此物聯網設備很難在歐盟境內合法使用。相比之下CCPA很大程度上采用通知和選擇退出模式,而不是同意。鑒於與此類技術無時無處不在收集數據,“通知&同意”機制並不適用於無屏技術。(2)無法向公司做出明確承諾,並鼓勵他們找到創新的解決方案來保護隱私GDPR技術中立,但是由於許多組織依靠外部律所和內部律師共同編撰合規的通知,因此其實施通常會從用戶體驗角度出發,然後再進行調整。一些數字服務商試圖通過鼓勵並行設計流程進行改革,但是在監管沒有明確指導方針的情況下,這項改革具有挑戰性,並且沒有足夠的動機擺脫基於屏幕技術的通知制度。結果導致在數字世界中,我們不僅使人民及其權利、期望、福祉受損,而且也使創新者和公司失去信譽,而後者被建議必要時更多地采用“通知&同意”機制,因為在沒有更好的替代方法時,它將為公眾提供法律保護。(3)無法說明二手數據的使用情況數據收集通知規則的設計無法考慮到B2B分享個人數據、數據分析、未來交易以及不可預見的用例價值的實現。一旦數據進入價值鏈,數據重用規則就很難達成一致。因此,為瞭適應未來的挑戰,我們提供以下兩種選擇:●
必須從根本上重新構建“通知&同意”機制,以解決用戶需求。支持人們對數據的持續控制,包括重新協商或撤回同意的能力,允許個人對其數據進行細粒度的選擇。● 必須從根本上替換“通知&同意”機制。如果當前機制在現有的基於屏幕的約束下幾乎無法滿足要求,那麼它將完全無法管理IoT設備的數據收集。無論采取哪種選擇,最終方案必須以人為本。Part B
替代方案:為什麼需要以人為本的設計1
重新設計“通知&同意”:以人為本的設計方法現有的“通知&同意”機制基於一個理性假設:公眾可以閱讀和理解隱私政策,在服務收益與信息收集之間能權衡利弊,並做出明智的選擇。此過程忽視瞭人類心理學的作用,尤其是在個人決策過程中。在人機交互中,行為經濟學和社會心理學領域的研究表明,人們的選擇受到多種因素的影響,包括社會需求、經濟需求和界面設計等等。要重新概念化隱私保護應該改變我們對用戶的看法,現有的機制主要從消費者(受經濟利益驅動的理性主體)角度出發,共享數據的風險計算基於經濟損害,這種方法無法認識到用戶活動的多樣性。現有的“通知&同意”機制並未映射到這樣一個事實:我們的日常生活很大程度上由我們的在線行為定義。在構建“通知與同意”機制時,不僅要從消費者的角度考慮隱私保護,而且要將其視為一項人權,不僅需要瞭解消費者,還需要對隱私有更廣泛的瞭解,並重新概念化服務於隱私保護的同意機制。一個關鍵的挑戰是要在以下兩個極端之間找到折中方案:(1)提供廣泛的同意,放棄對個人隱私的所有控制;(2)每使用一次個人數據時都需要“微觀同意”,從而導致用戶無法充分理解每項同意請求,產生同意疲勞。解決方案既應最大程度地訪問數據,又應保護每個人控制隱私和數據使用的權利,同意不應是永久性的,理想情況下應該保留用戶的撤銷同意/訪問權。2
什麼是以人為本的設計?以人為本(HCD)的設計本質上是跨學科的交叉心理學,將認知科學、人類學和人機交互納入研究實踐和專業領域。HCD的核心目標是將人們的需求放在任何技術系統的中心,並通過直接與用戶接觸來評估和瞭解相關需求。最顯著的一個系統性問題在於許多公司可能會因改善通知和增加透明度而受到不利影響。盡管僅靠監管並不能完全解決問題,但是組織在數據收集方面越透明,對監管越有利。僅將“通知&同意”作為任何數據實踐的依據不能保證那些表示同意的人能真正理解它的含義。以設計為中心的“通知&同意”方法引發瞭有關模型局限性的討論,即用戶有義務閱讀(並理解)隱私政策以及數據收集本身的基本道德問題。因此,提出一些關鍵問題非常重要,例如,這些機制對誰有利,對誰有弊,以及將閱讀和理解的重擔完全壓在公眾的肩膀上是否造成的弊大於利。3
集體隱私隱私不一定僅限於個人,本質上也可以是集體。人們共享與自己有關的數據還可以挖掘傢人、朋友、同事、鄰居等人群的信息。此外,提供有關同一種族、性別和年齡組人群的信息還可能造成政治或經濟歧視與剝削。“通知&同意”的管理方式受應用場景以及集體隱私所影響。通過將人而非消費者合同的概念放在“通知&同意”范式的中心,可以解鎖以人為中心的設計,以此作為更好的數據隱私解決方案。4
替代模型:換一種思維思考現有“通知&同意”的任何替代方案都必須全球適用,在技術上保持中立(超出屏幕范圍),並盡可能以道德為基礎。這意味著既要認識弱勢群體的需求,同時又要尊重收集數據的目的。技術高速發展,但監管往往滯後。在定義技術解決方案之前,我們必須解決人為問題,協調數字化期望和隱私要求。5
采取全球技術中立方法的必要性GDPR改變瞭數據和隱私保護的國際規則,其數據保護原則已擴展到歐洲以外,成為實際上的新全球標準。GDPR明確規定除非將同意作為服務的條件,否則不應將兩者捆綁在一起。美國CCPA對隱私政策的表述和內容有一些次要要求,但沒有改變核心的“通知&同意”框架。將來對“通知&同意”機制的更改必須盡可能成為多方利益相關者全球監管方法的一部分,增加以人為本的設計對數據和隱私保護至關重要。6
制定明確的道德框架意識和控制是人機交互設計的兩個核心原則,意識是自治的關鍵,但是復雜世界中,個人層面的絕對控制和自治似乎是不可能的。許多個人數據共享決策都會通過社會關系以及日益增長的網絡群體影響到其他人。僅將隱私權放在個人選擇上,就忽略瞭這些選擇產生的廣泛的社會影響,因此我們需要考慮其他道德價值觀,並將其明確地納入新方法中。7
同意與社會公正現有的技術和“通知&同意”機制很大程度上反映瞭這樣一個世界:在這個世界中邊緣化的人們被排除在設計過流程之外。重新設計以人為本的同意條款必須考慮所有人,並充分照顧弱勢群體的需求和經驗。8
行業在決策中的重要性由於行業規范通常先於決策制定,因此行業在提供解決方案中扮演著至關重要的角色。行業決定瞭設計和銷售數據產品的方式。設計“通知&同意”機制的各個階段必須將行業考慮在內,否則我們可能會為瞭合規而合規,無法保護人們的隱私以及整個社會的創新成果。9
我們如何前進?數字環境中“通知&同意”的視覺外觀、語言選擇、顯示格式和演示時間對公眾至關重要,不再嚴格地局限於法律領域,本質上是人機交互問題。它需要那些精通人機交互問題的專業人員的專業知識,理想情況下還需要公共政策和道德規范支持。如上所述,采取一種全球性的、技術中立的、符合道德規范的、公正的並涉及行業的方法是關鍵。至關重要的是,用戶體驗設計師需要運用設計思維來嘗試解決這一棘手的問題。Part
C 探索性想法1 替代方案的特點(1)代理 vs
可用性當前的機制不僅對用戶不友好(因為它不允許談判和撤銷),而且也沒有賦予消費者代理權(為自己的利益采取行動和選擇的方式)。重新設計“通知&同意”機制不能確保更大程度的代理權。實際上,減少人機交互的摩擦可能會降低個人根據自身利益進行隱私決策的能力。同意機制必須允許各個機構參與協商。(2)以設計為中心的協作和工具專註於全球公眾參與,鼓勵設計師、技術人員、公共部門和其他利益相關者加強公共活動中的互動。例如:“設計難題”項目使不同的受眾聚集在一起,以設計為重點進行公開協作和解決問題。(3)真正的選擇這是一種可以撤銷同意的設計方法,即遵循同意時間性原則的“通知&同意”設計。同意不是永久的,但是對於物聯網和人工智能等新興技術而言,撤銷同意的實用性可能難以實現。替代方案需要制定一個全球框架,在保證透明度、理解、控制、問責制和解釋性,並防止在剝削、任意操縱和歧視的基礎上設計同意機制。2
9個探索性想法(1)決策者的數據可視化工具:數據可視化的目的是為政策制定者提供創建原型、圖形和視覺工具,以展示監管成果如何直接影響個人,從而幫助政策制定者瞭解其擬議法規和用戶體驗。(2)風險評估:盡管從企業角度來看,風險評估是一個頗具爭議的概念,但是沒有類似的概念可以用於評估整個數據生命周期中消費者已經經歷或可能經歷的隱私侵害。研討會小組提出瞭一個結構化的流程,企業可以據此評估收集的數據,審核員可以評估數據收集和存儲流程以及公司行為對消費者的潛在危害,並提出更改建議。建議可能包括刪除數據、更改設計或撤銷某些做法。根據報告的結果,公司將獲得某種形式的認證或對其行為的保證。(3)默認情況下的目的限制:目的限制是指個人數據的收集和使用僅限於最初的預期目的,並且不會發生任務蠕變。如果將默認情況下某些有潛在危害的二級個人數據收集和處理定為非法,那麼該概念將進一步發展,個人將獲得前所未有的自主權,掌握其數據收集和處理。(4)積極監管和創新:監管當局可以激勵企業采取負責任的和合乎道德的數據收集和使用方法,私營部門也可以采用行業主導的行為守則來采取積極的監管措施。監管機構可以使用最終經過產業化、不斷更新後的標準模型。(5)智慧城市的隱私設計:通過以正義設計為目的公眾互動,智慧城市可以與隱私保護共存。其中,透明度是必需的,即智慧城市的居民有權知道個人信息在何時、何處以及由誰收集和處理。此外,應保證公民在某些情況下可以明確表示同意,例如“選擇退出”方式。智慧城市還可以為居民提供有效無監視的選項,類似於移動設備上的“飛機模式”的無數據選擇。最後,針對智慧城市隱私設計要求對居民進行有關數據收集和處理的教育,並註重邊緣化人群的參與。(6)在公共場所進行跟蹤的自主權:公共場所的自由表達是開放社會的重要組成部分。但是公共和私人機構在公共場所中進行的廣泛監視和數據收集會令人生畏。為瞭解決此問題,可以將個人關於收集和使用其數據的偏好設計到基於智能手機的代理或可穿戴設備中,或者采用數字身份。公共場所工作的數據收集將以符合個人隱私偏好的方式進行,在不禁止數據收集的公共場所中,這種方法可以使個人實時瀏覽環境數據的收集。從而對他們的言論自由破壞最小。此方法的缺點在於,出於公共或私人利益收集個人數據的合法需要,可能會忽視個人的隱私偏好。(7)數據信任:數據信任提供瞭一種以公平的方式收集和處理個人數據的方法。數據信任將由權威機構進行監督,該機構可以充當個人數據權的仲裁者。數據信任也可以暗示特定的法律結構,信托是一種法律結構,可以使一方賦予另一方為第三方的利益而持有資產的權利。數據信托和第三方受托人出於最大利益承擔決策的責任,也稱為信托責任。數據信任也被稱為“公民信任”,它由第三方數據共享的獨立信托管理,可以查看、監視和強制執行數據收集機構共享數據的方式。還可以開發其他數據信任模型,例如將數據信任作為企業數據管理服務作為提供給用戶,這樣一來盈利性的受托機構不需要自己保存數據,從技術上實現符合用戶隱私偏好的數據存儲和代理功能,還可以評估數據收集者的聲譽。另一個潛在解決方案是數據資產管理方法。數據保管人必須設置隱私和安全機制,以獲取信任並安全地保護數據。例如,創建一個安全的邏輯控制數據分析沙箱,該模型既可以避免共識疲勞,又可以實現廣泛的隱私保護,還解決瞭國傢間數據共享的問題。(8)算法可解釋性:當涉及到“黑匣子”機器學習算法時,數據處理機構也不一定能預見甚至審計該算法將如何精確地處理數據。為瞭幫助個人控制其數據,黑盒算法必須經過審核,以限制損害。如果不能解釋機器學習算法如何做出決策,那麼個人不能提供有價值的同意。因此,有必要確定不適合使用黑盒算法的情況或環境。(9)個人用戶代理:為瞭解決日常生活中無處不在的數據收集問題,可以創建一個基於軟件受信任的虛擬代理,該代理充當中介將個人的隱私偏好傳達給數據收集和處理機構。代理可以在用戶的設備上運行,也可以由第三方信任的服務商遠程托管或鏈接到用戶的數字身份。使用用戶隱私偏好進行編程的虛擬代理商可以處理隱私政策,然後代表用戶同意或不同意。虛擬代理可以適當地咨詢用戶,以建議個人應使用哪些服務。在技術和道德規范下,代理可以充當顧問,並開發一定的AI功能,可以動態地采取行動並代表用戶做出實際決策。當然,以AI為動力的代理有安全隱患,應該進行審核。當前新興技術格局具有復雜性,再加上智能手機和雲服務的廣泛采用,數字代理的概念已經成熟,或不久的將來進行開發和部署。總結目前,“通知&同意”機制對於數據保護目標實現是有價值的,但是在人機交互方面,執行方式過時,無法獲取有意義的同意。鑒於技術的發展以及個人數據收集的相應增加,期望人們對所有個人數據收集表示有意義的同意已不再合理。我們需要重新審查和協調現有的體制模式。編譯
| 李顧元/上海社會科學院信息所研究生賽博聲明本報告為賽博研究院編譯出品,僅用於公益交流,非商業目的。文中觀點不代表本機構立場,內容和圖片如有知識產權問題,請及時聯系我們修改刪除,如需轉載請獲得授權。聯系方式:[email protected]
如若转载,请注明出处:https://www.ozabc.com/keji/689.html