Lisa Röper
现今,大多数人都知道,当我们访问网站、下载应用、或在社交媒体发帖时,我们也正在将有关自己的数据与这些公司共享。我们也知道,随着我们在网上的活动更加频繁,这种共享的影响只会变得更深远。因此,为了保护我们的数字隐私,各公司正面临着新的压力,这也许并不令人感到意外。
而且也是时候了。根据詹妮弗·卡特勒(Jennifer Cutler)的看法,数据共享本身并不是坏事,但它本身确实有风险。
“收集并分析这些数据是有许多益处的。”凯洛格学院营销副教授卡特勒说道。“例如,研究人员可以试图用它来改善这个世界。然而它的风险也很大,因为同样的信息也能被恶意使用。”而即使是出于最大的善意研究这些数据,它们依然有可能产生预料之外的负面副作用。
卡特勒和凯洛格学院的博士生萨姆·戈德伯格指出,个人、监管机构以及公司都需要了解数据驱动程度日益加深的世界对于隐私的影响。
个人隐私面临的挑战
数据泄露和数据严重滥用通常会引发消费者强烈抗议。然而,我们实际上对数据滥用的容忍度也令人感到好奇。
我们为什么看不到有更多的消费者要求隐私保护,原因之一是消费者往往没有意识到自己在巨大数据集的正式与非正式研究中扮演“参加者”的角色。
在注册获得一项免费服务,或甚至在申请低利率信用卡时,“大多数人都不知道自己同意了哪些事项,也不知道他们的数据会被用来做什么。”卡特勒说。“他们或许会感到不安,但对于他们的数据会如何使用以及这些使用也许有可能对他们产生的伤害则无具体了解。”
过去曾经有过一些将消费者对隐私重视程度进行量化的有趣尝试,然而问题是,消费者往往缺乏所需要的信息,以至于无法用有意义的方式评估风险,因此也没有可靠的方式能给自己的隐私一个具体的数值。如果他们知道自己的信用评分、声誉、获得医疗或人寿保险的资格,或甚至人身安全有可能受到损害,他们对于自己个人数据的重视程度或许会有不同。
此外,大多数人除了接受伴随新技术的益处而来的弊端之外别无选择,因为选择全部拒绝的成本往往太高。“人们使用应用,因为工作需要而且不会与生活脱节--他们不会细读一份一百页的服务协议条款,来找出一项不可接受的条款。”卡特勒说。
消费者还严重低估可从网上行为中收集到的信息量,即使是最平常的网上行为也一样。卡特勒的研究领域之一是根据人们的公开推文和Facebook的帖子来进行预测。虽然我们或许预期这些看似无关紧要的发文本来就是公开的,但我们或许并未想到研究人员对这些帖子的深入挖掘程度。
“就连最普通的行为,例如在某家超市的网页上点‘赞’,最终都可能产生非常具有预测性的个人资料,包括此人的基本人口统计资料,以及政治倾向、信仰偏好和健康状况等更敏感信息。”卡特勒说道。“很难断定其成本。”
最后,数据收集是积累的,而且不总是能以容易解释、跟踪或预测的方式进行。
“消费者或许不在意某个小应用能访问她iPhone里的照片,然而当她发现公司之间正在合并,或正在合并彼此的数据时,一只知道有关你的一切的数据怪兽便突然产生了。此时,这位消费者也许就想对她的数据集采取更多的控制。”卡特勒说道。
监管机构在做什么
“个人控制”正是欧盟希望通过通用数据保护法规(General Data Protection Regulation,简称GDPR)来实现的目的,该法规已被认为是数据保护规定的黄金标准。
于2018年5月生效的GDPR,是建立关于公司如何处理数据相关规定最完整的政策尝试。”主要研究隐私问题的凯洛格学院博士生萨姆·戈德伯格说道。“同时它是在一个需要个人同意的框架下实施的。”
在GDPR针对用户和公司制定的几项新权利与责任中,包括“被遗忘权”、事故通报新规定以及数据安全要求等,都是从“选择退出”转变成“选择进入”的默认隐私设置。这项新设置意味着各公司的默认状态是不跟踪访问者。此外,GDPR还规定各公司不得拒绝为那些选择不允许收集自己的数据的用户提供服务。
“因此从法律上来说,新闻出版社不能说:‘你必须选择进入,才能阅读任何文章。’”戈德伯格表示。
虽然整体而言GDPR的变更在公司通报与结构方面取得了重大而明确的进展,但这项规定有潜在的漏洞。根据规定,公司可以出于“必要的处理”的理由来收集数据(例如如果运行网站必须使用Cookie,公司即可以使用Cookie),以及出于“合法利益”的理由收集数据。“合法利益”是一个被公认为模糊的规定,可能减损个人同意权。
因此,人们不禁怀疑GDPR对于遏止数据收集滥用的实际效果。
“‘合法利益’可能很广泛。”戈德伯格说道。“虽然GDPR写得很明确,但监管机构解释合规的方式不一定清楚,因此,各公司仍在对法律的界限进行实验与测试。”
美国的情况如何?
专家们说,像GDPR这样健全的法律框架在美国通过的可能性不大,但它们可能没有必要通过。像Google和Facebook这样的公司,在全球范围内运营时还要维持具体国家的隐私政策,不仅可能太繁琐而且风险大,更不用说成本昂贵以及是否合理了。遵守这些法规中最严格的部分可能会成为全球科技公司的标准做法,这与航空公司对于那些强加在它们身上的那些拼凑出来的国家安全标准所抱持的顺应态度类似。
隐私以及我们社会的结构
不过,向个人提供更多对自己数据的控制权,也只能有限度的减轻对我们所有人收集到的海量数据具有的更大规模、更长期的影响。
例如,大规模的数据收集与分析对我们的社会结构可能会有深远的影响,因为预测分析有可能加深先前存在的偏见。如果一家银行使用社交媒体来预测某人拖欠贷款的可能性,或是警方依赖预测模型来决定将哪类人列为嫌疑对象,那么从数据中发现的任何种族、性别或阶级偏见都可以反映出来,并且可能被这些模型放大,从而产生带有歧视性的结果。纠正这个问题并不总是直截了当,而且还需要模型创建者本身的反思。
另外,记住研究人员所说的“二级效应”也很重要,也就是由一个行动的后果引发的反响。例如,将社交网络数据做为信用评分的代替指标,其作用不仅仅是对借贷机构和贷款申请人有益或有害;它可能会改变信用取得的本质以及人们使用社交网站的方式。例如,这种转变诱因可能会改变个人在社交媒体上的联系和传播信息的方式。同样,使用现有数据来判定某个人犯罪的可能性可能会加剧我们刑事司法系统中的种族和阶级差异。
对卡特勒来说,这表明对数据进行额外保护可能有必要,这不只是询问个人是否选择要保护自己的数据。
鉴于这个生态系统的快速发展态势--考虑到人脸识别软件的兴起或是与社交媒体连结的支付选项--即使公司方面完全保持透明,也不可能化解人们对于未来数据收集和使用增多将如何演变所怀有的更深的不确定感。
“我们正处于未知的领域。”卡特勒说。“随着获取数据越来越容易,我们需要众多领域的研究人员进行跨领域合作,研究如何在创新与保护消费者和社会之间取得平衡。”