为什么隐私保护法规并没能起到作用?

in #blog6 years ago

这篇文章提供了一个很好的思考:隐私保护法案看起来很好,却为什么无法起到真正作用。但是法律保障理论上是我们应该追求的依靠,于是问题就变成了如何才能让立法为公民服务,而不是帮助大企业钻空子和消弱竞争。中国目前还没有隐私保护法案,我们需要争取将来能有,于是上述问题对中国公民来说非常重要:关于如何在最大程度上避免被立法者欺骗

首先,加州于今年 6 月通过了主要的隐私法规;然后,在9月底,特朗普政府又公布了单一国家隐私标准的官方原则;众议院民主党本月早些时候预览了他们自己的互联网“权利法案”。 

简而言之,全面的隐私法规可能会进入美国。鉴于如今我们的隐私权所面对的悲惨现实,理论上这应该是值得欢迎的消息。但是,任何新的监管数据规范都存在严重漏洞。这些法规甚至有可能适得其反 —— 例如,它们巩固了已经占主导地位的大型技术公司的地位、或者未能帮助消费者实际控制我们自己产生的数据(这可是任何新法规原本应有的主要目标啊)。

看看 Brent Ozar 是怎么对付这些法案的。

Ozar 在加利福尼亚州经营一家小型技术咨询公司,为名为 Microsoft SQL Server 的数据库管理系统提供培训和故障排除服务。Ozar 的公司拥有一支由四人组成的团队,而且拥有一个小型的国际客户群。直到 5 月份欧洲监管机构开始执行名为“ 通用数据保护条例”  (GDPR)的隐私法,该法案可以对违规的公司收取高达全球收入4%的罚款。

在 GDPR 开始实施的几个月前,Ozar 宣布,用他的话说,迫使他的公司“停止向欧洲出售产品。” Ozar 写道,作为消费者,他喜欢这些规定; 但作为一个企业,他根本承担不起合规成本或错误风险。

这可不是 Ozar 一个人的做法。更大的国际组织,如 洛杉矶时报 和 芝加哥论坛报  - 以及超过 1,000 个其他新闻媒体 - 全部都是仅仅阻止了任何使用欧洲 IP 地址访问其网站的用户,而不是面对 GDPR 存在的主旨。

这便令试图保护公民的法规形同虚设了。公民所面对的危险并没有去除。

那么我们如何才能将这些危险降到最低?

首先,随着监管机构越来越认真地制定新的隐私法,他们将倾向于实施通用的、基础广泛的法规,而不是在法律中规定具体的处方。即使在快速发展的技术世界中,编写一般规则也总是比更明确的建议更容易,但这些立法者应尽可能避免这种诱惑。

无差别对待所有组织的过于宽泛的法规最终可能会鼓励“数据垄断” —— 只有少数公司可以利用我们的所有数据。有些组织将拥有充分的资源来遵守复杂且高度模糊的法律; 而其他人(如Ozar 和那些媒体平台等)则没有这样的资源。

这意味着数据的监管负担应该分层,以便有差异的组织的合规成本符合其自身条件。加利福尼亚州的“消费者隐私法”通过选择特定的业务部门(如 许多小型组织)直接面对这一问题。并且,任何新法规的合规成本都不应该给世界上已经占主导地位的科技公司带来额外的好处。

其次,相关地,一些组织越来越多地负责我们的绝大部分数据,这对我们的隐私和技术创新都构成了巨大的危险。所以,任何新的隐私法规都必须积极地激励较小的组织共享或汇集数据,以便他们能够与更大的数据驱动型组织相竞争。

解决此问题的一种可能方案是鼓励使用隐私增强技术或 PET,例如差异隐私、同态加密、联合学习(分布式机器学习)等。长期以来,私人倡导者所提倡的 PET 有助于平衡数据效用与其隐私和安全性之间的权衡。

最后,“用户同意”(用户主动同意在特定时间点收集数据的想法)不再能够在保护我们的隐私方面发挥核心作用。这一直是主要隐私框架的关键方面(想想你点击进入网站的所有“我接受”按钮)。但是在大数据和机器学习的时代,我们根本无法知道我们在点击“接受”时所放弃的个人权利的真正价值。

机器学习的全部价值在于它能够大规模地检测模式。在任何特定时间,放弃少量数据的隐私成本都很低;  然而,随着时间的推移,成本会变得巨大。一个著名的被反复引用的例子就是,一个青少年在她的家人知道她怀孕之前互联网就知道了,仅仅基于她的购物习惯,这只是很多这样的例子之一。

因此,我们无法假设我们完全了解在任何单一时间点放弃的隐私究竟意味着什么。消费者必须能够做到在数据收集后很长时间内对其数据行使权利,这些权利应包括限制数据的使用方式

除非我们的法律能够正确地适应新的数字技术 - 除非他们能够在合规负担的成本与他们寻求维护的隐私权价值之间取得平衡 - 否则,我们会冒一些非常现实的风险。我们都可以很容易地实施新的法律,而这些法律不能保护我们的隐私,同时也会阻碍新技术的使用。公民有权要求立法者规避上述问题。◾️