欧盟《通用数据保护条例》的“眼镜蛇效应”及其他代价——别相信官僚会保护你的隐私

导读

从周末假期返回办公室时，是否发现你的电邮收件箱中充斥着你曾与之打过交道的每家公司的隐私政策更新邮件？如果是这样，你可以感谢来自欧盟的一系列新规则。可欧盟新《通用数据保护条例》（GDPR）带来的危害远远超出了恼人的电子邮件。这个最新的欧盟官僚主义干预在全球范围内都造成了大麻烦。

别相信政府官僚

会保护你的隐私

文/迦勒·富勒、比尔·沃茨

译/禅心云起(通天译)

在一个历史真实性存疑的故事里，英殖民政府在20世纪初的印度发现自己要面对一个可怖的有害物种：眼镜蛇。尽管当地人早已适应了与蛇不自在的共处，但占领当局并不乐于接受它们的无处不在。为消灭眼镜蛇，当局设计了一项赏金计划，用金钱奖励任何人上缴的眼镜蛇断尾。

 

这项计划起到了“效果”，也就是说，它促使切断的眼镜蛇尾巴显著地增加了（这是奖金真正唯一能够刺激的），同时也为有创业家精神的个人提供了一个有利可图的机会：蛇的繁殖。蛇无需靠尾巴也能生存和繁殖，这让单单一条蛇，就能凭无数后代产生一连串尾巴。这项计划竟把毒蛇变成了一项生财工具，只要蛇能繁殖，就会持续产生“报酬”。

 

毒蛇蜿蜒滑过街道（很多没有尾巴）的次数甚至比赏金计划之前更加频繁。面临这种可耻失败的当局只好放弃了计划。随着计划取消，蛇的饲养者再度受到激励，将他们现在毫无价值的“摇钱树”放回野外。它们很快就从那里找到了回城路线。这个声名狼藉的结果，现在被称为“眼镜蛇效应”，描绘了那些产生非同一般意外后果的政府干预。几乎所有政府干预措施都会产生一些意图以外的后果，甚而有一些措施收到南辕北辙之功。

 

政策制定者在许多其他场合下酿成“眼镜蛇效应”，其中包括殖民时期的越南企图对阴沟鼠的灭除，以及最近在乔治亚州本宁堡对野猪群的大批铲灭。在这两种情况下，赏金计划都会激励欺诈行为，迅速发展有害生物的种群。

 

注意到有人呼吁美国也去效仿欧洲管制数据隐私的复杂计划，令我感到不寒而栗，除了这项计划可能带来的合规成本，还有部分原因就是“眼镜蛇效应”。自1995年《数据保护指令》以来，欧盟的制度有了几番更新，特别是2002年的，还有就是2016年的更新：《通用数据保护条例》（GDPR，以下简称《条例》），于2018年年中生效。

借脸书“丑闻”之便

 

鉴于剑桥分析公司“丑闻”被大肆报道，欧盟希望你相信《条例》是对于公众在个人数据利用上焦虑之情的反应。然而，在这个丑闻爆发之前，《条例》（2016年第679号条例）早就制定好了。这两起事件的意外相遇，让欧盟立法者感到走运。他们正靠引用“脸书不负责任的违背信任”的现成例子来淡化任何批评。

 

《条例》更新了1995年发布的既有隐私规则：将个人数据定义扩展到“一个识别出的或可识别的自然人相关的任何信息”。此外，该条例适用于居住在欧盟的任何人，而不管与这个人交往的企业或组织位于哪里。这意味着《条例》的变化所牵涉到的，远远超出了欧盟（及其相关欧洲伙伴）的范围，甚至影响到了全球各地企业。如果你有欧盟客户（如果你在线运营就很可能会有），那么这些变化也会对你产生影响。

 

例如，《条例》规定，企业一经要求即须清除数据来“忘记”客户；在向第三方提交数据之前要获得用户同意；用户一旦想要数据，就要将其数据导入到一个文件中。此外，所有用户同意协议都需要包含“描述如何使用数据”的某种可理解的语言。

 

这听似合理，但实施起来却正在产生严重消极后果。《条例》的近百个条款在整个商业环境中诱发了大量混乱：没人知道这些规则将如何实施。不确定《条例》生效之前作出的同意是否仍然适用于《条例》生效之后，各家企业正向消费者发送电子邮件，要求他们重新同意接收电邮通讯，在人们的收件箱里产生一波政策更新的邮件浪潮：为防止垃圾邮件为名的垃圾邮件。

数据隐私对于不同人含义也不同。由于这项法律包含着许许多多不同指令，其管辖过于宽泛使得明智讨论变得困难。《条例》大部分目的是减少所谓非敏感信息的“滥用”（一家互联网公司跟踪浏览器活动），而不是网络安全（信用卡盗窃）。有些人认为网络隐私是项“基本权利”。私人企业正在靠秘密收集数据来践踏这些权利。颇具讽刺意味的是，同一群批评者往往对政府本身的隐私侵犯活动保持沉默。这种侵犯带给数据活动的，最乐观估计也不过是“寒蝉效应”。【注：“寒蝉效应”指底层因恐惧上层惩罚或无力承受预期损失成而放弃行使其正当权利或无法有效发表意见的情况。】

消费者及企业深受其害

 

除非你认为广告是邪恶的（现在有些古怪的人似乎相信这一点），否则很难说脸书上有定向投放广告或你有来自企业的电邮通讯是什么太大错误。广告能帮你找到自己实际正在寻找的东西，没人会强迫你购买这件产品。但是，如果数据访问变得完全不可预知（部分原因是缺少客户数据跟踪的同意），那么数据利用将会出现价值减损。这既会影响到YouTube内容创作者（他们可以从定向投放广告中受益），也会影响到想打出名气的地方初创企业。

 

根据《福布斯》杂志的报告，《条例》已让美国财富500强企业在《条例》实施前就花费了78亿美元合规成本。对中型企业来说，这两年平均花掉的合规成本为55万美元。因此，会有某一群人告诉你，这一项法规真是太棒了：法律顾问和咨询公司。

除了这种疑似的裙带利益之外，数据政策正在走向一场剧烈（甚至可能是相反效果）的转型：仅仅脸书和谷歌从《条例》生效的一天之内就迎来累计88亿美元的诉讼。这些诉讼将创设新的法律先例，这将再次改变数据政策的格局。《条例》可视为立法者为今后数十年数据政策的不断修正所设之局。

作为一家企业，如果你无法承受身陷这种法律挑战的麻烦，那么你可能会谢绝为欧盟用户提供服务，这就等于在许多市场中剔除了一大块客户基础。这发生在了许多美国网站上，他们简单将欧盟用户排除在网站之外。由于我位于欧洲，因此我尝试访问《芝加哥论坛报》网站时收到如下信息：

 

《芝加哥论坛报》暂停为欧盟客户服务的声明

 

看起来，欧盟立法者十分善于保护我们免于（…）获得信息。

“眼镜蛇效应”袭来

无论一个人对数据隐私持何种立场，都有理由质疑自上而下监管是否就是隐私问题的答案。虽然前述欧盟立法对商业效率的冲击早在预料之中，但这里要重点关注隐私法律“眼镜蛇效应”的潜在可能。

 

评论员吉奥夫雷·曼恩对奥巴马政府提出的《消费者隐私权法案》发出警告。与许多娓娓动听的立法一样（谁可能侵犯隐私权？），这项法律反而带来了恶化隐私风险的可能性。尽管许多企业并未将真实身份信息（姓名、信用卡号码）与更多匿名信息（IP地址）关联，但这项法案将迫使企业去这样做。理由何在？这样消费者就能要求知道收集了哪些信息并要求删除之。居于同样原因，法律也可能要求企业保留更详细的客户数据库。这就让企业成为潜在黑客更有吸引力的攻击目标。

眼镜蛇效应再次袭来。

 

2005年的一项研究利用了欧洲和美国在数据隐私法方面的鲜明差异。尽管欧洲拥有数据隐私的“全面制度”，美国没有任何可与之相提并论的东西。研究发现，美国是一个蓬勃发展行业的发源地：第三方企业隐私惯例认证服务。

 

与消费者报告有所不同，特别有隐私意识的企业可以获得数字“标签”，证明它们更胜一筹的隐私惯例。相比之下，英国只有少数几家企业提供类似服务。正如研究者所表明的那样，欧洲的隐私法律“挤出”了质量保证（本案中为“隐私保护”）市场的出现。

 

这项研究结果表明，市场可能更容易让隐私敏感型的美国消费者鉴别那些重视消费者隐私的网站。在英国，消费者没有什么手段去区分竞争企业的隐私惯例。大多数企业只是不由自主地倾向于欧盟法律规定的基准隐私(还有些企业甚至绕开它）。结果是：旨在给予隐私的管制令评估各家企业对隐私态度的差异性变得更加困难。

最后，根据新规，消费者有更大几率失去这样的好处：提供企业寻求的信息顶替“付费”以换取免费服务的回报。事实上，一项研究表明，2002年《数据保护指令》的更新，降低了数据公司收集信息从而将数据广告定位于感兴趣消费者的能力。

 

由于许多数据公司都依靠收集这些信息，再将其出售给广告商，因此这项规定对许多公司产生了财务压力。可供销售信息减少，意味着收入减少。企业开始寻求赚钱的次优方式。其中有一些企业，对以前凭交换信息就能提供的服务也开始收费。这反而会导致信用卡交易量增加。随着“敏感”交易的增加，数据盗窃的机会也会增加。

再一次，政府努力“推促”消费者与企业间以隐私为取向的互动，会导致更严重的隐私侵犯。

总结

政府官僚善于用鬼鬼祟祟的方式转移风险，但他们没办法用立法让风险消失。《条例》试图让消费者在处理数据时感到更安全。然而，监管并没有考虑到特定行业、合规成本问题的事实，还有用户本人不知道应该如何处理cookie和用户协议的事实，都充分说明了立法者的能力是何等差劲。

《条例》将进一步强化市场集中度，因为小企业将面监难以招架的昂贵合规成本，而消费者在市场上的选择实际变得更少，再加上“眼镜蛇之吻”的反效果，都给予人们以充分理由来怀疑“老大哥”试图强加给我们所有人的隐私。

◎

推荐