本文来自微信公众号:中欧商业评论 (ID:ceibs-cbr),作者:胡泳(北京大学新闻与传播学院教授、 “信息社会50人论坛”成员),责编:齐卿,原文标题:《什么是好的科技公司隐私政策?》,头图来自:视觉中国
以盈利为目的的科技公司希望尽可能多地赚钱,这本身无可厚非;它们毕竟是企业。但赚钱不能以牺牲用户的隐私为代价。
比如,依赖广告的公司创造出破坏隐私的算法,以实现利润最大化。这些算法收集你的个人信息,用它们来预测购买行为,然后向你展示尽可能诱人的广告。还有,作为互联网用户,你可以预期,在网上总是存在一个关于你的个人信息的数字仓库,每当你使用一个流行的社交媒体或其他不可或缺的应用程序时,该仓库的库存就会扩大。这些仓库储存并提供关于你的各种细节,无论大小。
所有这些数据都可以转化为商品。有些商家使用数据是为了让你尝试他们的新系列运动鞋,有些商家则是为了让你粘在它们的应用上从不离开。无论商家的转换目标是什么,它们都没有对从哪里收集你的信息以及如何使用这些信息的过程保持特别透明。
让科技公司违背自己的利益将是反直觉的。所以,我们往往需要靠管理机构施加规则。虽说最初的政府法规未必尽善尽美,但它们至少会提供普遍和透明的方向。与此同时,随着公众越来越了解政府和私营实体如何使用个人信息,对科技公司的压力会越来越大。无论从哪方面来说,我们都需要一个更安全、更公正的技术架构来保障我们的数字化生活。这也是为什么一个负责任的技术公司,应该拿出好的隐私政策,并使其适配业务模式。如果还怀着“一切照旧”的自满情绪,隐私的礁石完全有可能颠覆顺流而下的公司航船。
平心而论,科技公司的隐私政策还是取得了不小的进步,比如给了用户更多的机会来选择退出数据收集和共享,而且也开始使用更容易理解的语言来书写这样的政策。但是,在为基本的数据处理需求而有意识地投资于隐私保障措施、同时消除多余的和有风险的数据做法方面,科技公司还需要拿出更大的努力。
一、承诺并实施强有力的数字权利治理
公司通过发布强有力的数字权利政策来证明自身对保护和尊重表达自由和隐私的承诺。必须通过建立董事会监督和全面的尽职调查机制来支持这些承诺,以识别公司全线运营给隐私可能带来的影响,并确保公司最大限度地努力保护用户的数字权利。为此,公司应该:
进行数字权利方面的尽职调查。公司应该对其业务中可能影响用户数字权利的所有方面进行全面的尽职调查。应扩大数字权利影响评估的范围,包括政府的法规和要求;自身政策的执行(包括对内容加以限定的决定的准确性和影响);算法系统和定向广告的开发和部署。在每个领域,公司必须明确规定,需要评估对信息自由、隐私和非歧视(承诺在不损害任何人的情况下给予任何个人平等的机会)的影响。公司应大力加强现有的尽职调查,包括将其反馈到高级领导层的决策中,并与能够保证质量的独立第三方签约。
加强数字权利监督。公司的董事会应直接监督与用户安全、隐私以及言论和信息自由有关的风险。为此,董事会成员应包括在与数字权利相关的问题上具有专业知识和经验的人。董事会还应该确保尽职调查、补救程序和利益相关者的参与足够有效,以解决和减轻数字权利的影响和风险。
加强对隐私管理的承诺。公司应实施有效的管理和监督,以应对可能获得用户信息(无论是合法还是非法)的行为者对用户隐私造成的风险。应致力于保护和推进强大的加密标准,并在发生数据泄露时通知用户。最后,应提供可获得的、可预测的和透明的申诉和补救机制,确保对侵犯隐私的行为进行有效的补救。
与受影响的利益相关者接触。公司应与数字权利遭受侵犯风险最大的个人和社区接触。他们应该积极纳入那些最容易受到伤害的人的声音。他们应与这些个人和团体合作,建立新的程序来识别风险、减轻伤害、表达不满和提供有意义的补救措施,并制定服务条款和执行机制,最大限度地保护和尊重所有用户的权利。最后,公司应加入或鼓励建立独立的多利益攸关方组织,这些组织具有一定的问责机制,其范围涵盖了公司活动可能造成或促成数字权利伤害的所有领域。
提供有效的申诉和补救机制。当用户隐私或其他权利在使用公司的平台、服务或设备时受到侵犯的时候,他们需要能够报告伤害并寻求补救。公司必须提供清楚的通知,以及一个可信的上诉和解决途径。
二、最大限度地提高透明度
公司应披露全面系统的数据和其他信息,使用户以及研究人员、政策制定者、投资者、公民社会和其他第三方能够清楚地了解平台和服务如何限制或塑造行为,如何评估和减轻风险,又怎样提供了对用户的补救措施。需要做到:
发布关于其规则执行情况的透明度报告。这类报告应定期发布,报告公司实施了哪些类型的限制,以及为什么这样做。对它们收集的关于用户的数据保持透明。对数据的受益者保持透明。对公司如何开发和使用算法保持透明。对公司在打击错误信息方面所做的工作保持透明。
表现出对安全的可靠承诺。公司应在其经营的所有市场中实施隐私政策,提供尽可能高的保护,平等地尊重所有用户的数字权利。应该尽可能多地披露是否以及在多大程度上遵循了加密和安全的行业标准,进行安全审计,承诺主动向公众通报数据泄露情况,监督员工对信息的访问,并教育用户如何防范威胁。
三、让用户对他们的数据和有关他们的推断数据进行有意义的控制
透明度是提高用户自主权的第一步,但公司还可以采取其他具体措施,给予用户有意义的控制权,包括为用户提供明确的选择,不仅决定是否以及如何使用他们的数据,而且决定是否首先收集这些数据以及出于何种目的。公司应该:
承诺数据最小化,并明确披露收集的数据。公司应向用户明确披露其信息的整个生命周期——从收集、使用、共享到保留和删除,并说明收集和共享信息的目的。公司应只收集为实现明确规定的目的所需的数据。公司应明确披露从第三方收集或与第三方共享的任何数据,以及这些数据是如何获得的。
对第三方数据的收集要完全透明。公司应明确解释他们从第三方来源收集了哪些关于用户的数据。使用cookies、网络信标或其他方式在网络上跟踪用户的公司应向用户明确披露这些做法。应尊重用户发出的从被追踪的情况中“退出”的信号。
让用户能够选择同意;不要强迫他们选择退出。公司应向用户提供他们所需的信息,以便对其数据的管理方式给予有意义的同意。每当公司旨在使用个人数据来发展其算法系统、定向广告或业务的其他组成部分时,他们应该让用户选择加入,而不是让他们承担选择退出的责任,并明确说明他们如何能够这样做。
四、对算法和定向广告所带来的伤害承担责任
公司应最大限度地提高其在开发和部署算法系统和定向广告方面的透明度,公布并持续更新其政策,以明确在何处使用这些系统和哪些规则,并发布与这两个领域的数字权利保护有关的数据。
展示算法的问责制。公司应承诺在开发和使用算法时遵循国际人权标准。他们还应该公布全面的政策,描述如何在其服务中使用和开发算法。这些政策应通过明确披露算法在公司运营的关键领域所发挥的作用而得到加强。如果自动化以任何方式被用于执行公司的政策,这些情况应被纳入公司的透明度报告。如果算法被用于具有广泛认可的突出风险的领域,例如在排名或推荐系统中,公司应明确影响算法的变量,并为用户提供可获得的方法来控制算法的使用。
坦承公司的定向广告行为。公司应公布广告内容和目标政策,不仅规定哪些广告是允许的,哪些是禁止的,而且规定公司如何检测违反规则的行为,并执行这些规则。定向广告系统的使用应该得到强有力的数字权利尽职调查程序的支持,此外,还应评估其偏见和潜在的歧视性影响。在平台上为用户提供广告服务的公司应公布在其上的通用的、可公开访问的付费广告库,包括相关定向参数。他们还应报告因违反政策而删除的广告。
在今天,可以认为,如果你使用上网设备,那么你就会产生数据,而这些数据并不只是在网络空间中漂浮。相反,它被硬件、软件和服务系统精心利用。过往,通过默认的选择设置和没有商量余地的隐私政策,用户数据的获取对科技公司来说几乎没有成本,但却作为一种商品被广泛资本化。
我们知道,少数巨头控制着数字经济中如此大的一块蛋糕,存在许多原因,但毫无疑问,利用用户数据是一个重要原因。然而,这种现状正在迅速改变。近段时间以来对大科技公司的指控来自两个方向:隐私实施和反垄断调查。所以,切不可对隐私问题掉以轻心。
围绕大型科技公司垄断和滥用用户数据的担忧每天都在增强。如果科技巨头不能够做到有效地自我监管,总会有公共压力和现实世界的事件迫使它们这样做。
本文来自微信公众号:中欧商业评论 (ID:ceibs-cbr),作者:胡泳(北京大学新闻与传播学院教授、 “信息社会50人论坛”成员)