作者:王璟瑜,题图来自:视觉中国
1991年,蒂姆·伯纳斯-李(Tim Berners-Lee)在位于瑞士日内瓦附近的欧洲核子研究中心(CERN)开发出全世界第一个WWW的网站时完全不会想到,互联网会变得如此庞大并且拥有改变社会的惊人力量。创造互联网世界的早期工程师们也没有想到匿名、不受限制的言论自由可能带来的危害:网络暴力、传播恐怖主义甚至左右民意影响美国大选。
互联网诞生以来,人们已经习惯于使用免费服务,然而天下没有免费的午餐,获得免费服务的代价是需要同意这些公司使用个人数据。大部分互联网公司的发展模式靠提供免费而有吸引力的服务促使用户数最大化增长,在达到一定规模后,依靠对海量用户的行为习惯分析和精准的数据营销,找到适合自己的商业模式,比如,广告或者其它付费的增值服务。在用户习惯于使用免费互联网服务的同时,互联网公司也已经习惯了获取用户的上网行为数据并且将数据价值变现。毫无疑问,广告是互联网公司的重要收入来源, Alphabet收入超过80%来自于广告,Facebook收入中超过95%来自于广告。而对于亚马逊、阿里巴巴、京东等电商巨头,用户上网行为数据对于定位潜在消费者和精准营销也具有重要价值。
有意思的是,就像上个世纪的电视、电影行业一样,在自由和开放的环境中诞生的互联网最终还是落入了垄断企业的控制之下。虽然互联网的用户数呈指数级增长,但前期几乎处于缺乏总体监管框架的“无许可创新”状态。互联网的发展更像是一个有机的生态系统,互联网企业之间的合作和共识被广泛视为决策的关键驱动因素。从某种意义上说,互联网企业的算法对用户的选择进行排序、评级和推荐,构成了一种市场治理。 但发展到现阶段,其中一些企业已经成为“数字社会的基础设施服务商”,并且所提供的部分服务具有公共属性。问题是,如果规则是由私营公司通过代码和算法制定的,这样的算法和代码,如何能够保证“可信赖”和“有道德”?
数据隐私的问题,成为数字社会治理中日益引人关注的问题之一,在这个过程中,科技公司面临着来自公共和个人领域的挑战。政府监管和消费者的态度正在共同塑造这场轰轰烈烈的权力规范运动。
随着全球范围内互联网企业规模和能力的惊人增长,各国政府都开始对掌握新技术、海量公民数据和在数字社会领域拥有巨大影响力的企业治理表达出担忧。各国政府正在积极寻求对其数字主权的掌控力——即他们控制新数字技术及这些技术对社会所产生影响的能力。
虽然在互联网时代没能成为市场的主要玩家,但欧盟在数据治理方面的确走在前面。对于欧盟来说,其目标是充当全球标准制定者,寻求利用其制定规则的能力将规则和标准出口到世界其他地区。在全球范围内,GDPR(General Data Protection Regulation,通用数据保护条例)立法将数据隐私问题推到了最前沿。欧盟通过试图通过颁布GDPR强化其数字主权。GDPR对任何处理或持有欧盟公民或欧盟境内任何人的数据的组织实施严格的数据管理和隐私保护要求。这意味着,所有的美国互联网巨头都需要根据GDPR的法规要求对自身做一遍完整的“体检”,换言之,世界上没有哪个互联网巨头可以绕过这一法律。
除了对高科技公司的影响,GDPR还在很大程度上激励了其他国家的数据隐私立法。颁布三年以来,GDPR激励了许多模仿者,其中包括日本、韩国、肯尼亚、阿根廷、巴西和智利等国家。GDPR颁布以后,加拿大在其个人信息处理和电子文件法(PIPEDA)中添加了一项数字宪章,用于解决 cookie 和退出选项。印度立法机构将对其个人数据保护法案进行投票。虽然美国目前尚未有全国性的数据隐私法,美国加利福尼亚洲紧随其后颁布了《加利福尼亚州消费者隐私保护法案》,包括内华达州、弗吉尼亚州、纽约州、德克萨斯州和华盛顿州在内的几个州正在考虑效仿加利福尼亚州通过自己的数据保护法。中国上月刚刚通过的《数据安全保护法》将于今年11月生效,有外媒认为这是全球最严格的数据隐私保护法之一。未来,《数据安全保护法》将成为遏制科技公司侵犯用户隐私和数据权力行为的强大工具。
据统计,目前GDPR的监管部门已经向包括谷歌和 Facebook 在内的公司发出超过750笔总额超过10.5亿欧元的罚款。2019年1月,法国国家互联网信息中心对谷歌处以创纪录的 5000 万欧元罚款,其时欧盟专家认为仍需开出更高的罚金以促使大型科技公司认真对待数据保护。2021年7月,卢森堡的数据保护局以个人数据处理不符合 GDPR为由对美国电子商务巨头 Amazon.com 处以创纪录的 8.86亿美元罚款。在美国,联邦贸易委员会曾经以侵犯消费者隐私为由,对Facebook在隐私和数据安全发面开出有史以来最高的罚单——50亿美元。
然而,在数据隐私保护方面,根据毕马威在2021年对美国公众的一份网络调查显示,消费者的期望和企业的行动之间仍然存在巨大的鸿沟。70%的公司高管认为他们在过去一年增加了对于消费者数据的搜集。更有29%的管理者承认他们有时会采取不道德的数据搜集方式。三分之一的高管认为消费者应该关注他们自己的公司如何使用这些数据。86%的人对于数据隐私表达出持续担忧,40%的人不相信公司在处理个人信息时会以合乎道德的方式行事。企业数据责任的缺失削弱了消费者的信任,用户对数据收集越来越不安并且不愿意分享他们的信息。如果不能加以规范,这个趋势将是一个恶性循环。
风起于青萍之末,情况正逐渐发生变化,尤其是当用户看到他们的数据如何被滥用以后,会选择用脚投票。也有一些科技公司开始尝试满足用户对于数据隐私安全的需求。比如,Apple 将推出每月付费4.99美元的Apple Private Relay,可防止网站(以及加载到其页面上的跟踪器)识别谁正在查看它们。拥有近 2 亿月活跃用户的 Firefox 将继续教育用户群了解其开发的两款注重隐私的消费产品。尽管这些趋势现阶段仍不算主流,但随着公众对于数据隐私所引发风险的重视,满足用户对数据隐私安全需求的产品将成为未来的发展方向。
由于人工智能技术的进一步发展和应用,无论对于个人还是国家,数据成为更加关键和敏感的资源。各国希望加强对个人隐私数据规范的立法由于人工智能技术越来越广泛的使用显得日益迫切。新华社等媒体曾报道过一些企业在未经授权的情况下部署了面部识别系统,提取消费者的面部和其他生物识别数据。在缺乏授权和监管的情况下,这种对于个人核心数据滥用的风险引发了数据贡献者安全问题的强烈担忧。未来随着人工智能技术的广泛应用,面部、声纹等生物识别数据有着广泛的应用场景,如果对数据没有严格的立法,一旦遭到泄露或者滥用,将对个人或国家安全造成严重威胁。
对于互联网公司而言,强调数据的透明性和安全性管理不仅为了合规,根据毕马威公司的调查,40% 的消费者表示,如果他们确切地知道谁会使用这些数据以及如何使用这些数据,将会更加愿意分享他们的个人数据。未来,如同所有的大型石油公司都极其重视“健康、安全和环境(HSE)”管理一样,注重“数据隐私保护”需要纳入互联网公司管理框架并成为基石理念,当然,现阶段重视这一点的企业也将强化这方面差异化的优势。
当用户需要将关于人身财产安全的最核心数据交予你时,“信任”是维持用户粘性的关键因素。数据本身是全体用户贡献的宝贵资产,在医疗健康、交通等诸多领域的大数据同时呈现出公共属性。因此,对于科技公司而言,仅做到合规远远不够,更多的应考虑道德、社会影响甚至社会福祉,这不仅对于塑造数据隐私治理形态具有重要意义,更奠定了面向未来人工智能时代的数据安全隐私问题的走向。毕竟,维护隐私和人类自治将是以大数据和人工智能技术为代表的第四次工业革命的重要挑战之一。