隐私治理策略的国际比较

时间: 2019-08-12

  愿景再美,也须落地,隐私问题自不例外。如何为“不愿被偷窥”与“不作透明人”定出实操方案是个难题。目前,无论是法律法规的设计,还是具体的合规事宜,中外彼此交融都不鲜见。仅就“西风东渐”这一层次而言,国外经验数量很多,彼此却未必相洽。

  解答上述难题,无疑会由《隐私如何落地:影响欧美公司行为的因素》(PrivacyontheGround:DrivingCorporateBehaviorintheU-nitedStatesandEurope)一书得到启发。两位隐私领域知名学者Mulligan和Bamberger周历五国,访谈数百位隐私治理领域关键人物,监管者有之、企业数据官有之、隐私律师亦有之。回顾隐私领域研究,能获取大量切于肯綮而又近乎“一手”材料者,几乎是“独此一家”。

  《隐私如何落地》的贡献可概括至两点:第一,整合五国材料基础上,系统探究了“柔性”与“刚性”隐私治理模式间的绩效差异。据作者所见,柔性模式中,法律及其执行较为灵活,政府、市场与行业的互动亦较为频繁。初看之下,柔性模式的威慑力并没有法条细密的“刚性”模式严厉,前者的隐私治理绩效,却又显著优于后者。第二,以上二分,未必与传统的欧美之分相重合。譬如,在治理模式上,和德国更接近的是美国,而非其他欧陆国家。

  本文是对《隐私如何落地》的细致介绍与评论。第一节将详述柔性治理模式,并说明德美两国共归于此类的缘由;第二节谈论刚性模式,以及将法国西班牙纳入此类的理据;第三节简述“刚柔兼有”的英国治理模式;第四节则在概述近年欧美隐私治理比较研究的基础上,概论本书分析与结论,最末是对当下的启示。尤其值得注意的一点是,作者对柔性治理模式多有青睐,然而,如此倾倚的幅度,可能超出了现有证据所能支持的限度。此处似有矫校空间。

  面临亟待解决的难题,“抓手”不止法律一种,规条之外,市场、自律乃至技术,各自适应于不同场景。法律,因而不是隐私治理的全部:一方面,如何设计法律,本身会影响“抓手”间的权重。譬如,若法律要求一旦隐私泄漏,企业即应就此通告全体用户,这一点无疑会放大市场的作用,企业将因不安全的负面名声失去份额;另一方面,法律所及自有范围。相比“事无巨细”的繁牍,仅“执之大端”的法律,将给其他手段留下更多空间。

  就第一点而言,隐私领域中的美国法律,多倾向强化市场与自律的功效。要求通知泄漏事件的法律,几成各州标配。如上所述,此类法律,又将强化市场这一极的作用。据书中访谈,泄漏通知及常伴相应事件而来的汹涌舆论与声誉损失,颇为企业所忌惮。于是,来自企业的访谈者,频繁在访谈中如此发声:“(隐私)关系到企业与员工、客户、用户之间的信任”“关于隐私的需求在销售中不停涌现”“隐私关系到我们(企业)的生存”,等等。

  另一强化其他“抓手”的特性是不确定。隐私方面,美国法律有如下两特点:一是“支离”,二是“含混”。仅以后者为例,联邦贸易委员会(下称“FTC”)常借《联邦贸易委员会法》惩戒侵害用户隐私的企业,细究其中根据则是1938年添入的Wheeler-Lea修正案“禁止商业中的不公平或欺诈行为”。然而,“不公平”或“欺诈”,实在难以定义。初期,FTC执法范围限于企业违背隐私协议中承诺的情形,不过相应范围正有显著的扩张趋势。

  表述“含混”,何以强化其他“抓手”的效力?这一点又可作两方细化。居首,FTC等机构的执法策略,多与“消费者期待”的起伏关联,如Waldman等学者研究所示,“不公平”或“欺诈”,实质常常是“与个体预期相抵触”。访谈当中,“监管动向”与“用户观念”,亦时常成对出现。由此,企业面对的不是一五一十的准则,而是不断演化的趋势。变化跟前,企业多采取“向前看”态度,尽量了解、预测甚或塑造用户观念,并以此为基准约束自己。

  恒常扰人的模糊性,促进了企业与监管层的互动。期待诚然重要,却难以持续准确把握,消费者预期之外,执法仍有许多其他因素。强渡惊涛骇浪,不如未雨绸缪,企业因此时常联系监管层。既求了解最新动向,以提前布置合规;又求展示已行自律,希冀监管认可。访谈如此概括企业考量:“我(企业)宁愿现在(和监管)谈,也不愿意等到监管执法时再谈”。对此,监管态度同样积极,为适应浩荡迅猛的科技潮流,监管也需要“弄潮儿”的一线见识。企业主动上门沟通,无疑为此提供了成本低廉,又足以把握最新动态的机会。

  市场凌慑与监管阻遏之下,企业愈发严肃对待隐私,并将隐私看作足以影响经营存续的风险。用作者的话说,这是一种基于“战略风险管理”的隐私治理视角。有访谈者如此总结这一现象:“我们(从业者)都在讨论(隐私相关的)风险保护信息的同时,我们也在缓解企业面对的风险。”也有更为直白的受访者提到,“实践层面中的隐私治理通常发生在风险控制部门。”此类陈述符合许多企业的实践,将隐私合规纳入日常风控及审计流程中。

  隐私治理的“战略风险管理”视角,亦催生了相适应的组织结构。《隐私如何落地》尤其关注以下两方面:其一,与近年来颇为风行、已写入多地监管的“基于设计之隐私”相合,为适应恒常更易的模糊性,企业隐私合规不再囿于法务等少数“对口”部门,而涉及法务、产品、运营、风控等多部门协调。风险遍及生产经营各环节,不在全流程上把好关,则风险管理不充分。之二,出于协调各部门需要,企业隐私官的级别通常较高,并有机会参与核心决策。

  上述结论固然细腻,但没有超出研究者及从业者的通常印象。相比之下,“德国隐私治理现状近乎美国,而非欧洲其他国家”的结论,确实让人眼前一亮。简言之,尽管德美在法律体系上存有明显差异,两国在隐私方面共有以下特征:监管者与企业等合规主体的互动颇为频繁,后者由前者获知监管动向,前者向后者“取经”行业现实;隐私合规“渗入”企业决策,亦贯穿企业各部门;企业内负责隐私的职务级别高且影响决策,等等。

  当然,德国有与美国泾渭迥然的特色。相比更多倚靠市场及行业施为的美国,德国社会倾向认可隐私权中人权的一面,且不吝以“刚性”法律手段回护隐私。纳粹时监视、统计、分割特定群体并予以迫害的惨剧,以及对东德时分无孔不入监控的暗色回忆,都是坚定隐私保护的思想基础。另外,与美国不同,德国工会直接参与企业运营,在重要事项上多有话语权。作为工会所倡社会价值之一的隐私保护,也会体现在企业的经营实践中。

  理解美德两国的隐私治理实践,又是观察相关领域国际动态的“钥匙”。高悬头顶的市场之“剑”,不断演进的治理模式,以及监管与企业间的顺畅沟通,皆是两国形成蔚为可观的隐私保护社群的前置条件。如访谈所示,隐私侵害既损害个体企业名声,也危及行业的美誉与利益。因此,领头企业有激励组织从业者,再循此提升行业整体的保护水平。参与企业越多,相应建议越容易受到监管机构的重视。

  与美德两国模式彼此分明,在法国与西班牙等欧陆国家,法律当仁不让居于四类“抓手”的核心:政府制定细致的法律,执法机构则不时施以核查惩罚。对企业来说,与上述着眼未来、注重沟通的角度不同,隐私保护真切蜕变为字面意义上的“合规”。对照当地法律,检查自己已尽义务及未补罅风险,效益允许则弥补并“打勾”,效益不允许则寄之于运气。访谈记录于此有以下表述:“我们有个反映我们已经合规了百分之多少的进度表”

  当法律太过繁缛,合规本身便是奢侈。有访谈者陈述,“监管的要求细致到了毫无必要的程度”,部分受访者直言,“百分百合规完全不可能”“做到最好,也仍然免不了被监管机构罚款”。企业认为执法机构不过例行公事,“(在数据保护机构工作的)家伙都是对数据保护不感兴趣的公务员,他们只做行政工作”。如此,企业面临两类困惑:之一,监管机构过分“喜怒无常”;第二,难以理解隐私保护究竟有何意义。

  这一点在西班牙尤其显著。访谈者一致将隐私治理看作企业的负担,甚或“敌人”。检查与处罚难以预料,常随政治波动及一时舆论“飘荡”。消费者协会等组织的活跃,加剧了此处担忧,“人们(部分消费者,及消费者协会)把保护隐私的法律看作(从企业身上)攫取钱财的机会”“消费者协会提出诉求的动机很清楚,就是利用(企业的)错误,并因此获得赔偿”相比其他国家,当地受访者更频繁地呼喊“隐私法在削弱企业竞争力”。

  法国的情况略有不同。对企业而言,隐私一度不过是条条框框。“法律很强势”“监管机构已经定下了非常细致而完整的合规事项列表,照着做就是了”。不过,近年来,情况正朝“盎格鲁-萨克逊人的办事方式”转变。相应趋势,集中体现为以下两点:首先,四大“推手”中,市场的作用在上升。企业日渐重视隐私舆情的负面影响,声誉坍坏即是损害真金白银。于是,企业自然会相应调整合规思路。其次,监管手法愈发“化刚为柔”。之前机构倚赖法律,检查时未能填满上述“合规事项列表”,则处罚之。近来,法国监管机构开始注重与企业的沟通、合作,出台不具硬性拘束的指引文件,并更有针对性地适用刚性的法律。按受访者的话来说:“各层面的隐私合规工作,都因此(近来变化)而更加灵活”。

  欧陆各国的如此治理方式,塑造了本地的组织结构与社群生态。若隐私仅仅意味着“打勾”“填表”,与商业绩效缺乏直接干系,企业自然不会太重视隐私合规。自企业内部拔擢安全或信息职员专责合规,再辅之以少许低级别员工,是通行组织安排。部门间的高墙因此难以打消,贯穿全过程的隐私保护因而难以实现。对这些合规人员来说,类似德美那样从外界招聘专业人士、赋之以参与高层级决策及协调各部门权力的模式,很大程度上是种奢望。

  遵循如此模式,隐私社群的发育亦显得相当困难。一方面,既然监管已经细密框定合规相关的内容,只待照办,同行间便没有必要开展太多交流。另一方面,与上一点相呼应,对与企业交流一事,85556最快开奖!醉心“文书行政”事务的监管机构,颇有几分“意兴阑珊”。不过,如上所述,在法国等地,这一缺乏交流的现状已然“破冰”。只是,相比德美,当地仍在探索监管与企业间的最适交流模式。

  英国隐私治理模式,可由一句话而涵盖:“一只脚扎根欧陆,一只脚踏在美国”。不过,长期以来,与其说“左右逢源”,英国的治理模式更像是“两头不靠”。有观察者将英国监管机构称为“没有牙的老虎”极少调查企业,鲜有发出训诫,遑论施加惩戒。于此,曾有批评称英国数据保护机构没有达到当时欧盟的要求。英国企业的隐私治理亦颇为“羸弱”,既没有高级别的独立隐私保护官,也没有跨部门协作。

  不过,与前面提到的法国一样,英国正在改变。一方面,访谈者直言:英国监管机构正在逐渐成为隐私治理领域“变化的推手”。过去“没有人把监管机构当回事”,现在监管机构开始“增加曝光度”“挥舞施加巨额罚款的武器”。与此相呼应,监管者频繁调研、咨询企业,力求实现更为全面、深入的治理。市场力量也“初露峥嵘”。“企业声誉是(企业面临)的最大风险隐私安全是关键对(企业的声誉来说)在数据隐私方面出问题,绝对会是一场灾难。”加强保护,可谓国际潮流。

  英国的另一重变化更趋向于美国。出于适应活跃监管及凌冽市场的需要,在加强隐私合规力量的同时,英国企业改变了合规思路。之前,当地企业的宗旨更接近法国的“在清单上打勾,为企业擦屁股”。现在,企业愈发将隐私看作整体所面临风险的一部分。尽管,业务与隐私合规部门难言和谐,前者仍时常视后者为“障碍”,企业内隐私保护负责任的权限在扩大,他们还积极与监管者与同行交流,建立互信,相通有无。

  作为现阶段罕有的基于广泛、深度一手材料写就的作品,《隐私如何落地》对隐私保护及数据治理的意义,几近“无论如何夸张,都不显过分”的程度。在切实解决急迫问题方面,类似作品或将更有效力。唯有基于一线人员的吐露,监管者才能清晰刻画引入规制的将有后果,并循此评估规制能否达到预设目的。

  作者对欧陆模式多有批评。确实,从企业角度看,来自后者的怨言数量多,描述也更加“纷繁多彩”。不过,保护数据隐私,回应的很大程度上是个体的诉求及权益。如此,在缺乏对实际隐私侵害及个体隐私感知的研究这一点在法律中的权重当然不比企业更低,甚至可能更高这一前提下,上述判断,未足“盖棺定论”。

  这一点又可与以下两类结论相呼应。一是对隐私侵害的国际实证的缺乏。在这一问题上,如有确凿证据说明德美模式下保护状况更佳,则《隐私如何落地》结论成立。以美国为例,“剑桥分析”等个例已属轰动,近期以来的实证研究,则勾勒出更是“触目惊心”的一层。Hazel和Slobogin发现,哪怕对于最为敏感的基因检测数据,美国市场上九十家相关企业中,能达到基本合规要求的也不过九分之一。现状如此,未有更多证据,很难认为美国状况显著优于大洋对岸。

  二是大西洋两岸间从未止息的彼此批评。考虑这一点,将《隐私如何落地》放到“批评欧洲隐私法”这一美国法学学术脉络中,相关内容将分明许多。早前,即有当地学者批评欧洲隐私法陷入“中年危机”,僵化难行,扼制发展。最近,亦有学者批判欧洲行“隐私殖民主义”,将不适合他地理念强加于人。即使以上论述确有些许道理,相关论述,也要和近年来其他进展并置看待。实际上,无论是亘古的历史层面,还是抽象的隐私理念,又到近代的立法交融,再至相关政策的出炉,终于实际立法的松紧,欧美间的差异,恐怕都有“放大”或“夸张”之嫌。

  最后,欧美与中国,物理距离固远,网络瞬间可达。监管是“刚”或“柔”,企业何以合规,监管企业互动,再到相应生态的搭建,都是“燃眉”难题。形势瞬息万变,他国先行已远的今天,借鉴相关经验势在必行。对此,五国一手资料弥足珍贵。再进一步,各地治理模式是否真有迥然差别,以及,如果真有差别,是否可能勘断彼此模式优劣,都是必须解决的关键。

  (作者系对外经济贸易大学数字经济与法律创新研究中心研究员、中国社科院文化法制中心助理研究员)


      友情链接:
  • Copyright 2018-2021 彩票开奖大全 版权所有,未经授权,禁止转载。