美國在大數(shù)據(jù)時代的隱私保護難題

 大數(shù)據(jù)技術的戰(zhàn)略意義不在于掌握龐大的數(shù)據(jù)信息，而在于對這些含有意義的數(shù)據(jù)進行專業(yè)化處理。換而言之，如果把大數(shù)據(jù)比作一種產業(yè)，那么這種產業(yè)實現(xiàn)盈利的關鍵，在于提高對數(shù)據(jù)的“加工能力”，通過“加工”實現(xiàn)數(shù)據(jù)的“增值”。幾十年來，美國將數(shù)據(jù)隱私視為一個老化的房屋，僅在新的暴風雨襲來時才去修補個人的數(shù)據(jù)安全漏洞和相關法案。比如，醫(yī)療數(shù)據(jù)泄露時，通過了一項保護醫(yī)療相關信息的法律，僅此而已。然后，又通過了一項保護視頻租賃信息的法律，僅此而已。它以這種狀況維持許久，一再通過特定行業(yè)的法律，卻未能解決過去兩年來一直無法忽視的問題。

人們沒有權利訪問自己的數(shù)據(jù)，修改自己的數(shù)據(jù)，輕松地將自己的數(shù)據(jù)從一家公司轉移到另一家公司，或以一己之力起訴一家公司侵犯了自己的網絡隱私。面對Equifax漏洞、Facebook泄密等事件，人們想要反擊具有入侵性的網絡追蹤者，難上加難。自2018年6月以來，幾位美國參議員試圖解決此類安全問題，推出了至少9項法案(僅在2019年就提出了6項法案)，來為人們提供全面的數(shù)據(jù)隱私保護。這么多的法案，讓它們通過的原因是什么?受法律保護的數(shù)據(jù)隱私早已受到破壞。

首先，提供全面的數(shù)據(jù)隱私保護是一項長期而復雜的工作。歐盟花了五年多的時間起草了自己的數(shù)據(jù)隱私法《通用數(shù)據(jù)保護條例》(GDPR)，甚至法律通過后又花了兩年時間才生效。其次，盡管每一項法案都可能將數(shù)據(jù)隱私作為最終目標，但對于如何實現(xiàn)這一目標，各個法案方式不一。

比如，一項數(shù)據(jù)隱私法案只是旨在消除涵蓋法律術語的的終端用戶協(xié)議。另一項數(shù)據(jù)隱私法案尋求給予與GDPR相似的保護，例如訪問、更正和刪除個人數(shù)據(jù)的權利。其他的法案又試圖阻止侵入性的網絡跟蹤和數(shù)據(jù)共享的做法。甚至，有法案認為不老實的技術首席執(zhí)行官應被判入獄。還有更多的法案提供諸如數(shù)據(jù)所有權、數(shù)據(jù)評估以及所謂的“互操作性”之類的想法，在理想情況下，這些法案條款可以使個人無需注冊Facebook帳戶即可在Facebook上與朋友交談。通過梳理今年出現(xiàn)的許多聯(lián)邦和州數(shù)據(jù)隱私法案，我們發(fā)現(xiàn)了一些相似之處。以下是2019年數(shù)據(jù)隱私的立法趨勢。

數(shù)據(jù)即財產

去年11月，一位民主黨總統(tǒng)候選人提出一個自己思索六年的數(shù)據(jù)隱私想法：為人們的數(shù)據(jù)付款。正如候選人所說，如果數(shù)據(jù)比石油更有價值，那么產生數(shù)據(jù)的人是否應該為此付出報酬?在當今數(shù)據(jù)驅動的經濟中，人們不應該為其最寶貴的資產獲得補償嗎?這就是“數(shù)據(jù)即財產”模型，它的支持者認為，如果賦予個人對其數(shù)據(jù)的所有權，他們可以控制如何收集、共享和出售其數(shù)據(jù)。一家公司與另一家公司之間的共享數(shù)據(jù)便不再令人驚訝。不再有GPS定位數(shù)據(jù)落入所謂的“賞金獵人”的手中。

支持者認為，在“數(shù)據(jù)即財產”模型下，消費者每天可以按自己的條件出售數(shù)據(jù)來獲得穩(wěn)定的被動收入。不僅如此，數(shù)據(jù)還可以重復出售，因為即使出售后它也可能保持其價值。今年早些時候，美國參議員弗吉尼亞州的Mark Warner和密蘇里州的Josh Hawley通過“DASHBOARD”法案(Designing Accounting Safeguards to Help Broaden Oversight And Regulations on Data)，暗示了未來數(shù)據(jù)可售趨勢。

“DASHBOARD”法案將要求某些公司評估和披露用戶數(shù)據(jù)的價值，同時還將數(shù)據(jù)隱私權擴展給消費者，他們可以刪除所有數(shù)據(jù)或基于關鍵字的收集數(shù)據(jù)。但是，隱私權倡導者認為，在數(shù)據(jù)上貼上價格標簽，這是一個不合理的行為，只能使人們認為購買我們的數(shù)據(jù)隱私的想法是正常的。ACLU高級倡導和政策顧問Chad Marlow表示，一旦將這種類型的關系編入法律，潛在的風險將嚴重損害貧困的低收入社區(qū)。“如果您的父母正在為生計而奔波，這時提出要他們出售數(shù)據(jù)，給他們錢，甚至不說多少，他們都會立即同意。” Marlow說， “因為他們無法承擔拒絕的后果。”這就是“為隱私付費”的問題。今年已然見諸報端。

為隱私付費

2018年11月，民主黨參議員Ron Wyden提出了《消費者數(shù)據(jù)保護法》，該草案讓美國消費者有權選擇不與多個第三方共享數(shù)據(jù)。然而，這個草案也有其負面作用。假設用戶Alice，不想讓公司收集、共享和出售她的個人信息，這些個人信息可以用于定向廣告和增加公司收入。首先，Alice將在聯(lián)邦貿易委員會的“請勿追蹤”網站上注冊，在該網站上，她將選擇退出在線追蹤。然后，與Alice進行交互的在線公司將需要檢查Alice的“不跟蹤”狀態(tài)。

“如果公司發(fā)現(xiàn)Alice選擇退出在線跟蹤，那么該公司不得與第三方共享她的信息，也不得跟蹤她的網站內容來建立和出售其互聯(lián)網活動的個人資料?；谟脩魯?shù)據(jù)運行的公司(包括Facebook，Amazon，Google，Uber，F(xiàn)itbit，Spotify和Tinder)將需要注意用戶的個人決定。但是，這些公司可能會給Alice帶來一個艱難的選擇：“不跟蹤”之后需要付錢才能繼續(xù)使用服務。“這代表了隱私的明面價格。”參議員Wyden提出該提案草案后將近一年，他在美國參議院正式提出了“自主經營法”(同樣包括“為隱私付費”)。付費隱私方案的問題與“數(shù)據(jù)即財產”問題一樣，最有能力主張其數(shù)據(jù)隱私權的人將是那些真正能為隱私付費的人。如果這種模式向前發(fā)展，我們就有可能創(chuàng)造一個“有隱私”和“沒有隱私”的世界，這是美國已經可見的社會經濟階層的鏡像。這些擔憂不是假想。

2015年，只要用戶同意跟蹤其網絡活動，AT&T就會提供寬帶服務套餐，并提供每月30美元的折扣。AT&T說，這種瀏覽活動包括“您訪問的網頁，您在每個網頁上花費的時間，看到和關注的鏈接或廣告以及您輸入的搜索字詞。”隱私是一項人權，網絡隱私也不例外。這意味著，不應該有商品定價，不應該將其出售給出價高者。值得慶幸的是，今年至少有一個州通過了一項法律，明確禁止“為隱私付費”。

今年夏天，緬因州州長簽署了一項法案，禁止互聯(lián)網服務提供商未經其明確批準就共享和出售緬因州居民的數(shù)據(jù)。該法律包括另一項保護措施，該規(guī)定不允許ISP“不管用戶是否同意，向其收取罰款或者給其打折”，以防止第三方出售、共享或訪問其數(shù)據(jù)。數(shù)據(jù)隱私安全至上。

互操作性

10月下旬，三名美國參議員提出了一項法案，他們認為增加技術型大公司的競爭力可以用來加強數(shù)據(jù)隱私保護。參議員認為，這個想法很簡單，讓消費者能夠離開網絡隱私入侵的平臺，而又不會失去其朋友、家人和熟人所在的社交網絡訪問權。根據(jù)該提案，美國人將享受數(shù)據(jù)可移植性的好處。消費者能夠打包數(shù)據(jù)并將其帶到另一個平臺，或者說是互操作性，此功能可能允許不同的聊天服務相互交互。就像是Facebook于今年早些時候宣布的其大規(guī)模聊天平臺整合計劃，涉及Messenger，WhatsApp和Instagram，這幾乎就涵蓋了整個互聯(lián)網了。

正如我們之前寫過的相關法案的《訪問法案》(ACCESS Act)：“這些規(guī)則可以這樣應用。比如，從Facebook下載所有個人數(shù)據(jù)，并將其移至以隱私為重點的社交網絡Ello?；蛟谑褂肕astodon直接與Twitter用戶交談，Mastodon公司總部位于舊金山，是Twitter較小的競爭對手。甚至甚至可以登錄Vimeo帳戶對YouTube視頻發(fā)表評論。”人們對該法案的反應好壞參半。民主與技術中心競爭、數(shù)據(jù)和權力高級研究員Avery Gardiner對技術型大公司缺乏競爭感到遺憾，美國人的數(shù)據(jù)隱私應列入數(shù)據(jù)隱私法案，而不是競爭法案。

麻省理工學院媒體實驗室的作家、活動家和研究附屬機構Cory Doctorow對這項法案表示期待，因為與國會的其他法案不同，該法案不只是關注針對像Facebook等科技巨頭的外部攻擊者。Doctorow說：“該法案旨在重整互聯(lián)網，從而使Facebook的行為不再是唯一標準。”

展望2020年

2020年1月1日，加利福尼亞州的隱私法，即《加利福尼亞消費者隱私法》生效。該法律于2018年通過，在經歷了多次修改后幸存下來，并引發(fā)了其他州的類似立法。該法律的適用范圍很廣，因此可能會成為其他聯(lián)邦數(shù)據(jù)隱私的試行法案。公司是否會受到重罰?執(zhí)法是否會松懈?初次的執(zhí)法行動是什么?處罰哪家公司?如果處罰嚴厲，公司將在什么時候聯(lián)合起來阻止類似的法案通過?很顯然，他們已經開始嘗試。

未來幾年數(shù)據(jù)泄露事件的增長率也許會達到100%，除非數(shù)據(jù)在其源頭就能夠得到安全保障?？梢哉f，在未來，每個財富500強企業(yè)都會面臨數(shù)據(jù)攻擊，無論他們是否已經做好安全防范。而所有企業(yè)，無論規(guī)模大小，都需要重新審視今天的安全定義。在財富500強企業(yè)中，超過50%將會設置首席信息安全官這一職位。企業(yè)需要從新的角度來確保自身以及客戶數(shù)據(jù)，所有數(shù)據(jù)在創(chuàng)建之初便需要獲得安全保障，而并非在數(shù)據(jù)保存的最后一個環(huán)節(jié)，僅僅加強后者的安全措施已被證明于事無補。