AD
作者:ALAN
MCQUINN
DANIEL CASTRO
编译:对外经贸大学金融科技实验室
编者按
在过去的二十多年中,技术政策界的传统观念认为:更严格的隐私法规将会提高消费者信任度,进而,更高的消费者信任度将提高技术使用频率。不少人对此深信不疑,甚至包括不少能够影响政策制定者的人。
然而,几乎没有证据表明,更严格的隐私法规会增加对互联网的信任、接纳或使用,除了一些保护消费者的最低基准原则之外。相反,额外的法规通过提高成本和减少公司用于投资新产品和服务的收入来限制数字技术的供应。
简言之,关于监管与信任之间联系的传统观念是错误的。如果不想以牺牲创新和消费者福利为代价,政策制定者应该拒绝通过加强对数字经济的监管来增加信任的提案。
本文核心观点
监管与消费者信任及新技术使用率之间的关系并不是线性的——更多的监管不会导致更高的信任度和使用率。事实上,除了合理的监管基准之外,大多数提高隐私规则的建议几乎没有增加信任度和使用率。
更多的监管并不总能带来更多的创新。相反,这种关系似乎最好用钟型(倒U型)来建模:其中太少的监管限制了使用,但过多的监管会增加成本或降低数字技术的相对质量,从而对新技术的使用率产生负面影响。
监管机构面临的挑战是找到信任与成本之间的最佳水平。通过改善信任,政策可能在某些条件下刺激对技术的更多需求,但增加信任的法规几乎总是需要付出代价。
报告英文版原文点击“”即可下载
大多数活动——从骑自行车到登山——都有一定程度的危险。通常,从事这些活动的个人无法控制所有风险。这就是信任的来源,例如,骑自行车的人可能相信他们的头盔正常工作,登山者可能相信他们的绳索不会破裂。在技术背景下,信任是指一个人在使用基于其经验和期望的特定技术时所面临的风险或缺乏风险的确定程度。个人使用特定技术的可能性取决于他们在使用该技术时所感知的价值及其信任程度。例如,大多数消费者通常信任互联网,因为他们认为互联网是安全的,他们从上网中获得了巨大的价值,因此他们选择使用该技术。
增加信任的政策可以有很多形式,从教育公众新技术的安全性到旨在防止不安全产品进入市场的法规。通过改善信任,政策可能在某些条件下刺激对技术的更多需求。例如,严格的航空安全法规与强大的整体记录相结合,创造了一个让更多人对航空旅行感到满意的环境。但增加信任的法规几乎总是需要付出代价。例如,法规可以使车辆更安全,但却使它们更昂贵——从而导致可能更少的使用。监管机构面临的挑战是找到信任与成本之间的最佳水平。
许多政策制定者呼吁制定相关法规,以增加消费者对数字技术和平台的信任,理由是它将促进数字化发展。例如,在美国,克林顿、布什和奥巴马政府各自都提到了建立信任在促进互联网、电子政务应用和物联网的接纳和使用方面的重要性。欧洲联盟还引用了越来越多的信任作为众多数据保护法规的理由,包括其新的通用数据保护法规(GDPR)。
大多数隐私权倡导者呼吁推行更严格的隐私法,他们的理由是:更严格的隐私法提高了信任度,进而提高了技术的使用率。但是,如果增加信任是大多数更严格隐私法规支持者的目标,那么他们就会提出其他可以改善信任并刺激数字技术使用率的政策,但大多数隐私倡导者的焦点在于创建规则而不考虑成本。
然而,正如我们所发现的那样,监管与消费者信任及新技术使用率之间的关系并不是线性的——更多的监管不会导致更高的信任度和使用率。事实上,除了合理的监管基准之外,大多数提高隐私规则的建议几乎没有增加信任度和使用率。
更多的监管并不总能带来更多的创新。相反,这种关系似乎最好被建模为钟型(倒U型):其中太少的监管限制了使用,但过多的监管会增加成本或降低数字技术的相对质量,从而对新技术的使用率产生负面影响。
这种关系表明存在一个最佳的监管水平——既不太弱也不太强。积极的监管政策,例如部署在GDPR中的政策,可能几乎没有增加信任,反而会限制数字创新和提高新技术成本。因此,现在是时候结束“更多的隐私监管是支持创新和保护消费者”的虚假观点了。
增加隐私保护并不必然提升信任度
在某种程度上,信任确实在数字技术的接纳和使用上发挥作用,虽然很难确定真正有多大影响,但许多研究表明,信任程度会影响消费者接纳各种新技术。然而,这项研究主要关注隐私与信任、信任与技术之间的实际关联程度。
许多倡导者和官员都将互联网应用程序的低接受率和使用率视为加强监管的理由。例如,2017年经合组织报告认为,较少的接受和使用各种数字技术是因为消费者不信任该技术。该报告将这些较低的使用率归因于对在线服务缺乏信任以及对与这些服务相关的风险的担忧,这些是“采用数字技术的严重障碍”。报告引用消费者调查中显示的用户越来越多担忧隐私和安全来支持这一论断,但它没有提供任何证据证明这些担忧是否真正影响了消费者信任或消费者接受和使用新技术的程度。显然,决定数字接受和使用的因素有很多,包括教育和收入水平、支付系统的获取、成熟度和技术的便捷性以及价值观等。该报告没有试图控制这些因素和其他潜在的因素,来充分证明新技术接受率较低是由于信任程度较低所致。
许多研究人员分析了信任与技术接受或使用之间的关系,发现了许多影响个人对技术的信任程度和使用意图的因素。的确,信任是多方面的。研究人员分析的其中一个因素是隐私和安全感,一些研究已经证实,服务的隐私和安全感会影响对该服务的信任度。这种影响在早期的网络服务使用研究中经常表现得很明显,这些研究表明,感知到的互联网隐私和安全问题会对网络信任产生负面影响。事实上,在电子商务的早期,个人经常避免使用它,因为他们不相信他们的信用卡信息是安全的。事实上,随着公众与技术的互动越来越多,以及技术开发人员逐步升级了系统的安全性,公众对技术的隐私担忧也会逐渐消失。
一些研究确实表明,实施隐私保护可以促进对收集数据服务的接受,尽管研究结果不尽一致。然而,最近的研究又表明情况并非总是如此。2016年,Ben-Shahar和Chilton根据约会应用软件的隐私政策分析了参与者的行为方式,其中一项政策说明该应用会收集高度敏感的信息,如性历史,并将该信息出售给第三方广告商。作者发现,无论隐私政策是什么以及参与者是否阅读过,消费者都愿意分享这些信息。
重要的是,信任研究机构有一些局限性,这使得很难评估哪些因素在增加信任方面发挥作用。首先,在数十项关于消费者信任和新技术采用率及使用率之间关系的研究中,有许多信任的定义往往是矛盾和混淆的。其次,没有普遍接受的对信任的衡量方式。在2011年对48年期间发表的171篇论文的分析中,有超过129种不同的方式衡量信任。第三,许多研究只关注关系中的一个因素,而不是考虑所有因素,如消费者、被信任的一方、技术和更广泛的环境。第四,很少有研究是实证性的,而且那些建立有限的模型的研究忽视了信任关系中的其他重要因素。
倡导更强的数据监管的人通常引用一些表明信任程度越来越低、隐私和安全问题越来越严峻的数据。这些学术研究和公共调查通常无法揭示消费者的实际偏好,因为他们不会要求受访者面对他们选择的成本后果。
因此,虽然人们说隐私是他们决策中的一个重要因素,但在实践中,情况基本上并非如此。许多研究表明,这种现象通常被称为“隐私悖论”,其中面临隐私问题的消费者在数据保护过于昂贵或无效时选择分享他们的数据。这种现象已在许多研究中得到证实。Acquisti和Grossklags通过调查证据表明,消费者拥有不同的隐私品味,即使有充分的证据可以做出隐私敏感的决定,也经常选择牺牲长期隐私权衡以获得短期利益。同样欧洲晴雨表调查发现,虽然只有一半以上的人关心隐私,但71%的人表示共享信息“越来越成为现代生活的一部分”,并且他们接受信息共享与免费或更高质量数字服务之间的权衡。
此外,个人之间的隐私偏好差异很大,并且取决于可能随时间变化的文化规范和标准。哥伦比亚大学公共法律和政府名誉教授艾伦·威斯汀(Alan Westin)进行了几项基础调查,他说,“隐私实用主义者赞成自立标准而不是立法和政府执法”,大多数消费者愿意交换他们的数据,以换取他们自己或整个社会的直接或间接利益。
信任和隐私之间的关系是复杂的主题,证据并不表明增加隐私保护必然会增加信任度。问题仍然存在:数据保护法规与增加信任之间的关系是什么?
监管如何影响消费者对新技术的接纳和使用率
隐私研究员Helen Nissenbaum写道,消费者关心网上信任,因为它“带来了有价值的目标。”在这个框架中,信任和监管以及监管和技术接纳和使用率之间的关系是线性的:更多的监管导致更多的信任,更多的信任意味着更高的接纳和使用率。因此,更严格的隐私法规将促进接纳和使用率——无论已经存在的基础监管水平如何。
然而,如下所述,几乎没有证据表明这些因素之间的关系是线性的。
继续从上面进行类比,目前自行陈头盔的安全标准是驾驶者从两米的地方掉下来不会受伤,如果强制要求自行车头盔能够承受三米落地而不会受伤,并不太可能增加对骑行的信任,因为现有标准已经可以防止大多数常见事故。事实上,可能存在一定程度的监管,超出此范围,进一步严格的隐私保护对信任几乎没有影响。因此,监管和信任之间的关系是一个逐步的功能:没有监管意味着很少的信任,一些合理的基线监管水平会增加信任,但信任不会明显超过基线水平(见图1)。
但监管如何影响实际技术的接纳和使用率?如果自行车头盔没有安全标准,个人可能不会选择骑自行车。然而,简单地将监管提高到最高水平会使技术的接纳和使用率减少。这是因为成本比许多倡导者和政策制定者可能意识到或想要承认的更重要。如果制造三米标准的头盔比两米标准要贵得多,许多骑手可能无法负担新头盔,因此有些人可能无法骑自行车。因此,不能将监管与数字技术采接纳和使用率之间的关系描述为线性,而是最好将其描述为钟型曲线(图2)。
为了分析这些关系,我们比较了消费者信任和技术采用率以及来自不同监管水平的国家的消费者调查的使用数据。我们的目标是回答三个问题:监管在多大程度上影响消费者对互联网的信任?监管在多大程度上影响了消费者采用互联网的意愿?监管在多大程度上影响互联网应用的实际使用率?
监管在多大程度上影响消费者对互联网的信任?
如果监管程度和消费者信任的关系是线性的,那么拥有最严格保护制度的国家也将在其民众中拥有最高程度的信任。
我们比较了来自21个国家的消费者调查的信任水平与不同级别的数据保护法规。对于信任水平,我们使用了来自国际治理创新中心(CIGI)的调查数据,这是一个无党派智囊团和独立的市场研究公司,代表联合国贸易及发展会议在2014年、2016年、2017年和2018年对来自24个不同国家的大约24,000名互联网用户进行了四次调查。他们问的调查问题年复一年,但重点关注隐私问题和信任。在2017年和2018年的调查中,CIGI询问受访者他们信任互联网的程度。
对于数据保护监管的水平,我们使用了DLA Piper的评级,DLA Piper是一家在隐私法规方面具有专业知识的全球律师事务所。该公司将每个国家的数据保护法规强度排列为强劲、沉重、中等或有限。DLA Piper发现像中国和日本等国家拥有强大的数据保护法规和执法;澳大利亚、欧洲大部分地区、美国和其他一些国家都有严格的数据保护法规和执法;墨西哥、尼日利亚和南非等国家都有适度的数据保护法规;而印度、印度尼西亚和巴基斯坦只有有限的数据保护法规。
我们发现,强大的隐私法规与互联网业务和数字服务的信任度没有正相关关系。在2018年的调查中,大多数国家对中等至重度监管的互联网信任程度相对平稳(图3)。事实上,在许多监管水平较高的国家中,个人群体或者说他们强烈同意或有些同意他们对互联网的信任是相似的。例如,像英国(71%的受访者),法国(68%)和美国(68%)等重度监管国家对尼日利亚和南非等中等受监管国家的信任程度相似(70%的受访者均为)。当然,即使在这些类别中,各个国家和地区的数据保护方法也各不相同,例如欧盟和美国。然而,令人惊讶的是,尽管欧盟委员会和欧盟各国已经为数据保护监管做出了各种努力,但信任水平与美国大致相同。
有趣的是,数字监管水平有限的国家的信任程度高于受监管的同类国家。例如,印度90%的受访者和巴基斯坦87%的受访者信任或信任互联网。此外,数据保护最强劲的国家表现不一,中国的信任度最高(91%的受访者),日本的受访者最低(57%)。鉴于这一奇怪的结果,我们决定通过在信任、监管和人均GDP之间进行相关性分析来进一步研究这种关系。我们发现贫穷国家和高度信任之间存在强烈的积极关系,而更富裕的国家往往有更多的法规和更低的信任度。例如,拥有强大数据保护水平的中国和日本国家的人均国内生产总值信任程度明显不同,较贫穷的中国对互联网的信任程度最高,而较富裕的日本则较低。因此,互联网信任问题可能主要是影响富裕国家的“富人病”。
不幸的是,由于CIGI只在两次调查中询问了信任情况,我们无法跟踪不同国家的信任情况-特别是在一个国家增强其数字法规强度前后的情况。但是,我们可以看一下欧盟的信任情况,因为欧盟拥有最强大的数据保护法规——特别是在实施GDPR之后。一年两次的欧洲民意调查针对各个主题在每个欧盟国家选取了100人进行了访谈,并且自2009年以来一直在追踪欧洲人民对互联网的信任(见图4)。有趣的是,尽管欧盟在2009年加强了其电子隐私法规(在接下来的几年内实施)并且显着改变了其隐私规则,例如法院在2014年的判决中确立了被遗忘的权利(the right to be forgotten),但是欧洲人民对互联网的信任从2009年到2017年一直是持平的。同样,在2014年开始的欧洲民意调查也发现,欧洲人民对社交网络的信任度尽管很低,但是一直保持平稳。回顾2018年和2019年的这些结果来观察GDPR的实施是否会影响信任水平,这将会很有趣。
证据表明,与具有中等或有限数字监管水平的其他国家相比,强有力的数据保护法规几乎没有对信任情况产生积极影响。这可能是因为人们将严格的法规解释为政府告诉他们技术是不可信任的。这显然是欧盟委员会和欧盟国家隐私监管机构向欧盟公民发送的信息:网络充满风险和危险,只有极其严格的监管才能提供保护,免受严重损害。与那些隐私保护程度更宽松的国家相比,欧洲消费者对互联网的信任程度似乎更低,这也不足为奇了。
虽然我们估计数字监管与信任之间的关系是逐步发展的,但目前还没有足够的数据或证据可以最终作出结论。
监管在多大程度上影响了消费者采用互联网的意愿?
在争论更严格的数字法规时,倡导者和政策制定者引用的大部分证据都是基于调查,这些调查侧重于各种不同互联网应用的隐私和安全问题,如电子商务、社交媒体和网上银行。但问题仍然存在:数字监管是否真正提高了个人接受(而不是简单地使用)互联网应用的意愿?实际上,很少有调查询问“非用户”他们为什么不接受互联网技术。缺乏相关证据,使我们难以确定信任或隐私问题是否实际上导致人们更不愿意接受互联网。
一些调查询问:缺乏信任是否阻碍了消费者加入互联网?从2008年到2017年,欧盟统计局询问没有联网的欧洲家庭为何不联网。调查发现,一部分家庭将隐私或安全问题作为他们拒绝联网的原因,这些家庭所占的比重从2008年的2%降至2017年的1%(见图5)。个别国家中,因为担忧隐私和安全问题而没有联网的家庭的比重也在下降。例如,法国和德国从2008年到2017年都下降了3%。没有加入互联网的人口减少了,正如随着时间的推移,这些对隐私和安全的担忧也在呈下降趋势。
制定更加严格的法规,例如通过GDPR,不可能导致这一小群体(可能是隐私原教旨主义者)改变主意并加入互联网。
在美国,由于担忧隐私或安全问题而未上网的家庭比例甚至更低。
美国国家电信和信息管理局(NTIA)调查发现,在过去十年中,隐私和安全问题是在国内采用互联网的主要障碍,这样的家庭比例不到0.5%,2009年为0.1%,2017年为0.4%。在此期间,家庭中的互联网使用率大约从60%增加到72%。事实上,美国消费者一直将隐私和安全问题作为他们在家不接入互联网的最重要原因之一(图6)。
总体而言,调查证据并未表明增强监管会使人们更愿意加入互联网,比如在德国和法国等监管力度较高的国家,由于隐私或安全问题而声称避免使用此类技术的人口比例也较高。如果数据保护法规与互联网使用呈线性关系,那么由于拥有更严格的隐私法,欧洲受访者的隐私或安全问题可能会低于美国受访者。但是,大多数没有互联网接入的欧洲和美国受访者没有表明其他原因,例如缺乏认知需求,技能不足或成本问题。
监管在多大程度上影响互联网应用的实际使用率?
为了更好地确定监管与互联网使用之间的关系,我们分析了美国和欧洲在引入新隐私法时的使用率,以确定严格的数据保护规则的实施是否促使更多人使用互联网技术。我们主要研究了三种不同互联网应用的使用率:使用互联网(通常),使用社交媒体和在线购物。我们使用了皮尤研究中心和NTIA提供的美国使用率数据,以及欧洲统计局和国际电信联盟(ITU)提供的欧洲使用率数据。因为早期实施的欧洲数据隐私立法(特别是在1995年和2002年建立的数据保护法规)中不涉及数据,所以我们选择关注对隐私和电子通信指令的修订,也称为ePrivacy指令,该指令于2009年修订。此法规通常称为“Cookie”法案,该法案要求所有28个欧盟成员国通过法律要求用户在互联网内容提供商使用浏览器cookie之前给予知情同意,该浏览器可以收集、存储或处理消费者数据。
我们将2009年至2012年欧洲的互联网使用率与美国的互联网使用率进行了比较,美国在此期间未采用任何新的互联网服务隐私规则。这些数据并未表明,制定更强大的欧盟隐私法律会影响与美国基线保护水平相关的互联网使用率。使用互联网的美国成年人比例从2009年的76%上升到2012年的83%,变化了7个百分点。在同一时期,欧盟在16至74岁之间个人使用互联网的比例仅增加了8个百分点,从67%到75%。此外,整个欧洲国家已经以不同的方式在不同时期实施了该法律。例如,爱沙尼亚和意大利各自使用同意制度(consent regimes)实施了该法律。由于该法律的实施在每个欧洲国家之间存在显着差异,我们选择了两个具有不同实施方式的欧洲大国进行更密切的分析:法国和英国。法国于2011年11月全面制定了“Cookie”法案,而英国于2011年5月部分颁布了该法律。
鉴于每个国家以不同的方式实施法律,没有证据表明法律影响了使用率。当我们使用国际电联的数据将美国与法国、英国进行比较时,我们发现美国2011年至2012年使用互联网的个人比例有所增加。事实上,美国增长了4%,法国和英国分别增加4%和2%。欧盟统计局和皮尤研究中心的数据显示出同样的趋势:2011年至2012年,与整个欧盟相比,美国的类似群体的互联网用户增长率更高,与法国和英国相比,美国的类似群体的互联网用户增长率也更高。
我们还分析了在采用Cookie法后,与美国相比,欧洲的社交媒体使用情况。只有欧盟统计局才有该数据,期间为2011年至2017年,因此我们只能在法律生效后才能观察到这种关系。
没有证据表明法律影响了使用率。与美国相比,“Cookie法”的通过似乎并没有影响欧盟及其成员国的使用率。法律在欧洲生效后,法国和整个欧盟的使用率仍然落后于美国。实际上,在2011年至2016年间,法国的使用量增加了4个百分点,欧盟的使用量增加了14个百分点,而美国则增加了19个百分点(表2)。只有英国在2017年超过了美国的社交媒体使用率。如果与强大的欧盟数据保护相比,美国的隐私法规应该是缺乏硬度的,而信任是提高使用率的关键,那么为什么使用社交媒体的美国人比欧洲人更多?
最后,我们分析了实施“Cookie”法案后进行在线购物的美国和欧盟受访者的百分比。在此分析中,我们收集了NTIA在2011年、2013年和2015年的美国使用数据,以及欧盟统计局从2009年至2017年的欧盟数据。
没有证据表明法律的实施对电子商务的使用率产生了积极影响。与美国相比,“cookie”法的通过似乎并未影响欧盟及其成员国的采用率。实际上,我们再次发现欧盟和法国的使用率落后于美国,美国落后于英国。2011年至2017年间,法国电子商务使用量增长了14个百分点,欧盟使用量增加了15个百分点,而美国则增长了17个百分点(见表3)。在此期间,英国的电子商务使用量仅增加了11个百分点然而这一比率在82%的成年人中高得多。
但是,这些结果有几点需要注意。首先,欧盟统计局的数据不包括74岁或以上的个人(虽然美国的调查也如此),即使他们对互联网的使用率较低。这可能会人为地提高欧盟的使用率。此外,随着使用率的提高,使用率往往会随着增长而放缓,而美国大多数这些技术的使用率都会提高。例如,如表1所示,2009年美国76%的成年人使用互联网,而欧盟则为67%。
简而言之,数据显示,没有证据表明法规和使用之间存在线性关系。过度严格的法规不必要地限制了公司将资源用于创新的道德等等等等,这更可能对互联网使用产生负面影响,从而妨碍向个人提供可使用的技术。
数据保护法规对创新的影响
即使加强数据隐私规则超出某些基准水平也不会增加信任,在许多隐私倡导者主张隐私是一项基本人权的情况下,制定额外规则看起来不成问题。换句话说,回到先前对自行车头盔安全性的类比,如果一个三米的跌落标准甚至比现在的两米标准提供更小的安全性,为什么不简单地要求更高的标准呢?所有监管决策的答案都是一样的:平衡成本和收益。一个三米的标准会增加头盔的成本,从而通过剥夺他们可能花在其他东西上的钱来减少消费者的福利。
严格的数据保护法规等同于是三米头盔标准。
增加更多规则会提高合规成本并降低提供在线服务公司的收入。更高的成本意味着更低的收益,这会减少公司在改善在线服务上的投资。此外,公司可能会试图通过提高消费者的成本来弥补,例如从提供免费服务转向为他们收费。简而言之,额外监管会损害消费者福利,使网络公司(包括初创企业)更难以从用户参与中赚钱,并阻碍数字化采用和使用的增长。
许多研究都研究了数据保护法规对创新的影响。在本报告中,我们强调了数据保护法规在五个方面可能会对创新产生负面影响:高合规成本、高额法律费用、免费业务模式的可行性降低、不确定性增加以及获取创新数据的机会减少。重要的是,这些因素不仅会影响公司,还会损害消费者的利益。
提高合规成本
严格的数据保护法规不是免费的。公司必须将资源投入到合规性中,从而减少可投资于创新的资金。例如,2016年的一项研究发现,GDPR要求公共机构和公司处理个人数据,这可能会为隐私专业人士增加75,000个工作岗位——他们都不是免费工作。这些雇员将资金从产品创新转向合规。同样,2013年欧洲的一份关于“被遗忘权”提议的报告估计,最终实施这些规则可能导致欧洲国内生产总值下降1.5%至3.9%,每户家庭福利损失4,566美元(3,812欧元)。“被遗忘权”指的是如果搜索引擎中与个人姓名相关的查询结果不相关、不适当或过时,个人有权要求删除链接。此外,ITIF
2014年的一份报告发现,用欧盟的电子隐私权指令规范浏览器cookie,每年会给欧洲企业造成约23亿美元的成本。许多隐私权倡导者只是假设他们都将从减少的利润中承担这些成本,就好像这样就可以使这些更高的成本更容易接受。但是,这些成本中的一部分还将转嫁给客户,并在较小程度上转嫁给供应商,具体取决于每个市场的弹性。如前所述,几乎没有证据表明消费者足够重视隐私并且为隐私支付费用。
此外,为了追求数据保护,一些国家已经考虑或制定了强制公司将数据本地化的规则,虽然这些法律通常旨在迫使外国公司在当地投资,或保护国内公司免受竞争,但它们会产生巨大的成本。LeviathanSecurity的一份报告估计,这样的限制会迫使当地公司为他们的计算需求支付的费用比他们在国外的边界以外多支付30%至60%。例如,该研究估计,如果巴西要将数据本地化作为其“互联网权利法案”的一部分,本地公司必须支付比使用云服务的全球最低价格平均高出54%的费用。
增加法律风险
公司面临的法律风险的增加以及巨额罚款的威胁,可能使消费者的境况更加恶化。如果监管机构对无意或无害的行为征收巨额罚款,公司会将更少的资源用于保障消费者的安全,用于有用的产品和提供服务,将更多的资源用于法律费用和内部审计,最终这会减缓创新步伐。结果是,律师将胜过计算机科学家和工程师。例如,2017年数据创新中心报告认为,通过间接限制公司使用个人数据的方式以及提高公司开发和使用人工智能(AI)的法律风险,GDPR将对发展产生负面影响,这些规则不仅会给欧洲AI公司带来竞争劣势,而且无疑会限制为欧洲公民提供可用的AI产品和服务。
降低在线广告的效力
有针对性的广告有利于消费者和企业,使企业在增加销售的同时能够更有效地利用其资源和时间,同时减少实现销售所需的广告数量。消费者通过从相关广告中获得更多效用受益,例如通过广告了解到与其过去购买相似但却是他们能够承受的价格的产品。随着公司变得更有效率,整体经济福利也会增加。因此,任何过度限制针对性广告的数据隐私规则都会降低生产者和生产者消费者福利。
数据保护法规可能会降低针对性广告的效率,从而减少网站的收入,特别是那些提供免费服务的网站。互联网上提供的大量在线服务 - 各种应用程序,社交网络,搜索引擎,百科全书,评级系统等等 - 都是免费的。2010年,麦肯锡研究所和IAB Europe估计,广告支持的互联网网站的消费者剩余(在扣除隐私和广告的“成本”之后)在美国每年为440亿美元,在欧洲每年为950亿美元。)(消费者剩余是消费者愿意为产品或服务支付的费用与实际支付的费用之间的差额)。2011年,Brynjolfsson和Oh的预估盈余甚至更大:5640亿美元。像GDPR这样的限制性隐私法将显著降低这种盈余的价值。
此外,严格的隐私法规减少了数字公司通过在线广告获得的收入,从而降低了数字生态系统的整体增长。如果数字广告收入在欧洲以与美国相同的速度增长,那么2012年至2017年之间将有额外的117亿欧元流入欧盟数字生态系统。例如,将在线服务从“选择退出“隐私制度,消费者可以选择不将其数据用于公司”,选择“选择加入”隐私制度,公司只有在获得用户的肯定同意后才能使用数据,基于商业模式,这将对广告产生不利影响 。或许对此进行的权威性研究来自学者Ari Goldfarb和Catherine Tucker,他们在2010年发现欧盟的电子隐私权指令限制了广告商如何收集和使用有关消费者的有针对性的广告信息,这对在线广告的效力产生了负面影响。作者发现,在肯定同意政策生效后,在线广告的效力大约平均减少了65%。之所以出现这种减少,是因为网站没有足够的信息能使广告与用户相关。因此,点击率下降,广告商愿意支付的金额也减少了。作者指出,如果广告商因效果降低而减少在线广告的支出,“在线展示广告的收入可能下降一半以上,从80亿美元到28亿美元。”因此,这项规定减少了在线公司的可用资金。限制现有公司投资创新的能力,并降低新公司进入市场的动力。两种情况下,消费者皆有损失。
降低广告的效力可能会导致一些公司,特别是那些利润微薄的公司转而选择按服务付费或订阅模式,这样的话,以前免费的服务,客户现在将不得不通过付费来获得。对于选择这种模式的人来说,这意味着生活水平略有下降,许多低收入和中等收入人群将无法再获得他们无法负担的有益服务。此外,由于订阅模型会导致收入减少,因此也可能会降低内容的质量,广度和多样性。许多在线服务(如搜索引擎和社交媒体网站)选择广告融资模式这一事实表明,这种形式的收入比订阅模式更有效,使他们能够获得足够的收入来继续创新。如果没有这种收入来源,许多公司将拥有更少的资源来支付高质量的内容和服务。
增加市场不确定性
米尔伯格等人研究表明数据保护的最大驱动因素之一是政策制定者希望通过减少公民对隐私侵犯的恐惧(或感知风险)来解决公民的“不确定性规避”的问题。事实上,正如我们上面所说,决策者制定像GDPR这样的规则是为了增加消费者的信任。然而,富勒认为数据保护立法虽然可能减少互联网用户的这种不确定性,但却大大增加了企业的不确定性。数据保护法通常含糊不清,一般也不会给隐私执法机构和法官提供解释,从而使企业家处于一种并不确切地知道法律要如何适用于商业活动的环境中。这种模糊不清会对围绕新技术的创新产生抑制作用,并阻碍市场进入。
由于不确定性程度不同,美国企业比欧洲企业更容易找到资金。例如,欧洲的ePrivacy指令于2002年生效,这导致欧洲在线广告公司的风险资本投资在随后的9年中减少了大约2.49亿美元。此外,Lambrecht发现欧洲的ePrivacy指令导致在线广告和云计算的风险资本投资减少58%至75%。这种投资不足是欧洲互联网初创企业相对少于美国的一个重要原因。
减少对数据的访问
最后,严格的数据保护法可以减少对数据的访问或限制其使用方式,这两者都限制了创新。对此进行规制的一种方式是通过“目的规范”规则,该规则禁止将数据再次用于与收集数据时不兼容的目的。例如,GDPR中的目的规范禁止公司通过现有数据试验新应用。同样,美国联邦贸易委员会发布了一份与促进物联网相关的目的规范的报告。此外,一些数据法规要求数据保留限制,是指公司要删除有价值的数据以避免因长期存储或使用数据而可能产生的未来危害。虽然数据保留策略是出于好意,但许多公司需要访问历史数据以用于新的有趣目的,这最终将有益于消费者。例如,Pinterest经常使用历史数据来了解其服务中的大规模趋势并开发新的产品创意。
同样,限制公司使用信息可能会阻止他们采用新的有益技术。例如,Miller和Tucker在2009年审查了旨在促进医院医疗信息隐私保护的州法律,发现这些法律的制定导致电子健康档案(EHRs)的采用减少,因为这些法律使医院容易受到交换患者信息的影响。事实上,EHR可以帮助大幅降低医疗成本。
政策制定者应该争取数据监管达到“温和水平”
鉴于这些负面影响,如果数据保护规则的目标之一是增加消费者对在线服务的使用,那么创建限制性且难以遵守的规则并不是最佳解决方案。虽然基线保护可能会对增加人们对数字技术的信任产生适度影响,但过强的数据保护会降低私营部分发布新产品和服务的能力,也将降低免费广告支持服务的广度。减少创新产品和服务的供应将使消费者失去快速发展的服务和技术,这些服务和技术是互联网时代的特征。
我们的分析表明,监管与在线服务使用之间的关系最好描述为钟型(倒U型)曲线(图7)。在此图中,监管可以是政府监管或行业自我监管。第一阶段,我们称之为不受控的增长“Unruly
Rise”,轻度监管可以增加用户对互联网应用的使用,尽管消费者可能因为法规没有足够的保护基准而不太信任互联网应用。第二个阶段,即“创新阶段”,合理的保护基线可以促进信任和创新,从而确保用户高度采用和使用互联网应用程序。但是,如果政策制定者制定过于严格的规则,那么在线服务的使用可能会下降或增长速度较慢,因为代价过高和限制收入的法规将导致供应减少。这表明了第三阶段的危险,我们将其称为“监管地狱”,过于严格的规则实际上会给数字创新造成过度负担而最终伤害消费者。
这种关系表明,数字经济有一个最佳的监管水平
,一个温和水平,规则既不太弱也不太强。监管太少(政府监管或行业自律)是有问题的,因为它没有提供鼓励消费者信任的基线保护。如果各国不能防止个人数据的有害滥用或使公司遵守其隐私承诺,一些“隐私实用主义者”可能会选择避免使用数字服务,而这些服务将不再拥有继续创新所需的客户群或数据。但过于严格的法规不仅不太可能增加消费者的信任,实际上会降低公司创新或提供免费或低成本服务的能力,从而导致技术供应减少,并限制了整个国家的整体互联网生态系统。过度激进的监管政策,例如欧盟的GDPR,不仅增加了很少或根本没有增加信任,而且减少了对新的和创新服务的获取,这对消费者来说更糟。
政策制定者需要一种机制来测试这种最佳的温和监管水平。例如,用自行车类比:如果现有的两米头盔未能保护许多骑自行车的人,但三米坠头盔可以,并且三米头盔的生产成本合理,那么政策制定者应该将标准改为三米,以避免不必要的伤害。然而,如果相对较少的人受到3米跌落的伤害,新头盔的价格会促使人们完全停止购买,或者这种变化在某种程度上超过了更便宜的头盔的反补贴利益,那么更强的限制性标准就没用了。
为了实现数字经济的最佳监管平衡,政策制定者应该使用三部分测试来确定特定监管是否是“正确的”。首先,应针对每项数据设计保护法规,以解决因技术滥用而产生的实质性和可量化的危害。这里的危害是指消费者无法合理避免这种滥用时,受到多大程度的这种滥用的实质性和负面影响。危害可以有多种形式。当他们认为敏感的,需要保密的信息通过非自愿手段变成公开信息时,自主违规会对消费者造成伤害。当个人信息被用来拒绝我们获得某些东西,如就业,住房,贷款和其他商品时,就会有歧视。最后,当消费者因滥用其个人信息而遭受经济损失或损害时,就会发生经济损害。例如,如果公司收集有关个人年龄和种族的个人身份信息,那么获取此信息本身并不会造成重大损害。然而,使用该数据使得该人被拒绝申领信用可能是一种物质损害,并且可能违反旨在将这种形式的歧视定为刑事犯罪的法律。基于伤害的标准很重要,因为文化规范和标准超过了个人认为侵犯隐私的内容以及他们愿意分享的内容随着时间的推移而变化,这种监管原则将根据不断变化的期望进行调整。
其次,数据保护法规应直接限制该种危害。通过严密地调整法规来解决具体的危害,监管机构可以向公司发出明确的信号,告知他们在进行实验和创新时哪些行为是禁止的。例如,2015年,联邦贸易委员会(FTC)就一家公司的一项小规模的对消费者造成很小或没有损害的技术违法,进行了处罚。针对该公司并无证据表明消费者受到影响,美国联邦贸易委员会促使它在律师身上花费更多资源,而不是改善产品本身。只有通过严密地调整针对危害消费者的法规和执法行动,监管机构才能创建一个最佳的激励机制,以促进理想的行为并阻止市场中的不良行为。
最后,社会监管的总成本应低于对社会的损害成本。例如,美国联邦贸易委员会考虑“等效获益或实践产生的竞争”是否比其各项法规重要。这很重要,因为随着各国成为更加数据化的经济体,强有力但隐私友好地使用数据将产生重大的社会效益,这远远超过分享数据的个人利益。从更清洁的环境、更安全的运输系统到医疗保健的显著改善,数据的使用对于实现社会进步至关重要。通过确保监管负担合理,政策制定者可以避免上一节中列明的政府制定的法规带来的诸多负面影响。
本文首发于微信公众号:数字经济与社会。文章内容属作者个人观点,不代表和讯网立场。投资者据此操作,风险请自担。
