本文来自微信公众号:Internet Law Review(ID:Internet-law-review),作者:Ashley Johnson、Daniel Castro,译者:张颖,原文标题:《美国隐私立法的年度成本分析: 1227亿美元还是65亿,选哪个?》,题图来自:视觉中国


欧盟的隐私保护法《通用数据保护条例》(GDPR)今年迎来了六周年。然而多年来,美国全面的数据隐私立法一直停留在国会的待办事项清单上。


最近,美国国会推出的《美国数据隐私和保护法案》(ADPPA),仍旧存在许多分歧。美国信息技术与创新基金会(Information Technology and Innovation Foundation,以下简称ITIF)从经济成本的角度,对美国隐私立法提供了一个角度:数据隐私法对必须遵守法律规定的组织施加了成本,而如何立法应当考虑这其中的成本。


一些隐私权倡导者呼吁美国通过类似于 GDPR 的法律,认为这样做将更好地保护美国消费者的隐私,简化当前的联邦和州法规拼凑,并协调美国和欧盟的法律,可以为那些发现自己受到多重、重复规则约束的企业节省数十亿美元。


然而,另外一些反对上述观点的人却认为,类似GDPR 的法律将带来巨大的成本,也可能无法产生预期的结果。在 GDPR 实施第一年之后, ITIF 的研究发现,GDPR 对欧盟经济和企业产生了负面影响,同时未能增加用户的信任,造成了紧张的监管资源。


一、合规成本


立法者在制定新的隐私法时更有可能考虑合规成本,因为这些成本是法律直接强加给组织的成本。


这类成本包括因组织改变其运营方式以遵守隐私法规定而产生的任何成本,还包括以法律费用和私人诉讼权的潜在民事处罚形式出现的重复或琐碎的执法机制的成本。


这些合规成本每年总计约为 167 亿美元。


1. 数据保护官成本


隐私法可能要求组织指定一名负责合规的数据保护官。这给组织带来了成本压力,雇佣额外的人员来处理消费者隐私请求、系统维护和法规遵从性,或者将这些任务委派给现有人员,从而将他们的工作时间从其他活动中转移出来。


ITIF 估计,为所有处理个人数据的美国组织要求数据保护官员的年度成本将达到 64 亿美元。


2. 合规审计成本


隐私法可能要求组织提交由组织自己或第三方进行的合规审计,甚至是直接检查。


ITIF 估计,要求所有处理个人数据的美国组织进行这些审计的年度成本将达到 4.4 亿美元。


3. 保护隐私权里的组织成本


许多隐私法赋予用户的权利伴随着处理这些用户个人数据的机构的成本。这些权利可包括访问其由组织存储的个人数据(数据访问)、将该数据移植到其他服务(数据便携性)、删除该数据(数据删除)或更正该数据(数据更正)的权利。


4. 执法的成本


有效的隐私立法需要某种执法机制,每种途径都有自己的成本和权衡取舍。


如果立法允许重复或轻率的执法,特别是在拥有广泛私人诉讼权的情况下,执法的经济成本将会高得多。这将为针对处理个人数据的组织提起不必要的、毫无根据的诉讼打开闸门,这将抑制组织提供可能使他们承担责任的创新产品或服务。


二、隐性成本


与新隐私立法相关的第二组成本是“隐形成本”,即立法者在制定隐私法时不太可能考虑的成本。这些不是法律直接强加给组织的成本,而是与生产力和创新降低相关的总体经济成本。


根据ITIF 的研究,美国这些隐性成本每年总计约 1058 亿美元


尽管隐形成本不如合规成本那么明显,但它们可能要高得多,因为它们影响整个经济,而不仅仅是隐私法范围内的组织。


如果新的美国联邦隐私立法过于严格,限制有利于公共利益且隐私风险最小的数据使用形式,而不是专注于特定的隐私危害,并鼓励有利于消费者和经济的数据创新,情况尤其如此。


1. 降低消费者效率


隐私立法的第一个隐性成本是降低消费者效率。这源于透明度要求,旨在帮助用户更好地了解他们的权利以及如何收集和使用他们的信息,以便他们可以就如何共享个人数据做出更明智的决定。当这些要求导致用户必须单击才能访问内容的弹出通知时,他们可能需要时间来查看和响应。


ITIF 估计,美国弹出式同意通知政策的生产力成本每年将达到 19 亿美元。


2. 生产力和机会成本降低


隐私立法的第二个隐藏成本是由于与选择同意、数据最小化和减少数据访问、限制数据共享和限制其使用的目的规范要求等规则相关的生产力和机会成本降低。


选择同意要求导致更少的用户共享他们的数据,因为大多数用户选择不同意的默认选项,通常是出于非理性的原因。此外,获得选择加入同意的成本远高于选择退出系统,其中用户可以撤销同意以收集他们的数据。鉴于定向广告等数据相关交易的利润微薄,公司最终可能会将这些成本转嫁给消费者。


数据最小化要求组织收集的数据不超过满足特定需求所需的数据,这对在最初决定收集哪些数据时不知道哪些数据最有价值的组织产生负面影响,并限制组织分析数据的能力、开发新产品和服务。


3. 广告效果降低


隐私立法结果的第三个也是最后一个隐藏成本是广告效果降低。定向广告是互联网经济的关键支柱之一,限制定向广告有效性的数据隐私规则将损害依赖广告推广其商品和服务的企业、利用定向广告收入提供服务的应用程序和服务他们以低成本或免费的服务,以及使用这些免费或低成本在线服务并在网上进行大部分购物的消费者。 


三、如何降低隐私立法的隐性成本——有针对性的隐私保护法


根据ITIF的研究,GDPR带来了巨大的隐性成本,包括由于合规问题导致的并购减少、数据保护要求成为新技术发展的障碍、欧盟科技公司的风险投资减少和风险交易减少,以及广告供应商的市场覆盖范围减少。


隐藏成本的存在进一步削弱了以下观点:即在美国联邦数据隐私法中复制GDPR的方法,只需要让组织遵守一套连贯的规则,而不是两套相互冲突的规则,就可以降低成本。据估计,美国与GDPR立法相关的隐性成本每年总计1.06亿美元,或占GDPR隐私立法每年总成本的86%。


通过对上述两种成本分析,ITIF认为,美国应该寻求通过一套有针对性的、保护消费者的规则,将合规成本和隐性成本降至最低。这种方法将大大减轻处理个人数据的组织和整个美国经济的负担,而不是像GDPR那样过于宽泛的立法。


1. 不强行要求“数据保护官”


为了确保合规,有针对性的联邦隐私法仍可能要求进行隐私审计,而不对“数据保护管”进行强制性要求,这将使组织每年花费大约 4.4 亿美元。


2. 对私人诉讼进行限制


为了执行有针对性的联邦隐私法,国会可以依靠联邦和州监管机构——特别是联邦贸易委员会和州检察长——而不是允许私人诉讼权,这会大大增加重复执法的成本。通过允许联邦和州监管机构对违反联邦隐私法的行为采取行动,将会出现一些重复执法,每年给组织造成大约 2100 亿美元的损失,这只是与私人诉讼权相关的预计成本的一小部分。


3. 限制消费者控制权的适用场景


国会仍然可以通过在有针对性的隐私法中为消费者提供访问、移植、删除和纠正其数据的权利,从而赋予消费者更多对其数据的控制权。为了降低成本,国会可以限制这些要求的适用场景,例如只要求在某些行业处理敏感数据的组织提供这些类型的用户控制,而不是将其全面应用于所有处理用户数据的组织。


这将使组织花费大约 59 亿美元,其中包括 54 亿美元用于数据基础设施、9000 万美元用于访问要求、1.3 亿美元用于可移植性、2 亿美元用于删除以及 5000 万美元用于整改。


总体而言,一项广泛的(类似于 GDPR)美国隐私法每年将花费 1220 亿美元,而更具针对性的法律将节约成本大约 95%,即成本在 65 亿美元左右。


作为最终的成本节约措施,全面、有针对性的美国联邦统一的数据隐私立法可以优先于任何现有或未来的州和地方隐私法。州隐私法不仅为州内组织,而且为发现自己受多个重复规则约束的州外组织,都产生了巨大的合规成本。


ITIF 研究发现,这些州外成本每年可能从 980 亿美元到 1120 亿美元不等,在 10 年内超过 1 万亿美元。通过制定一套适用于全国的统一规则并取代这些相互冲突的州规则,联邦立法将大大降低成本和混乱。


表 1:GDPR 式法律与有针对性的隐私立法相关的年度成本对比(单位:百万美元)



报告链接:https://itif.org/publications/2022/08/08/maintaining-a-light-touch-approach-to-data-protection-in-the-united-states/


本文来自微信公众号:Internet Law Review(ID:Internet-law-review),作者:Ashley Johnson(ITIF高级政策分析师)、Daniel Castro(ITIF副主席兼数据创新中心主任),译者:张颖