英语原文共 25 页,剩余内容已隐藏,支付完成后下载完整资料
个人信息自我管理与同意困境
摘 要:
在过去十年中,涉及信息个人信息的问题——大数据和融合中心的崛起、数据安全漏洞的海啸、Web 2.0的兴起、行为营销的增长以及跟踪技术的扩散变得更加棘手。政策制定者已经在美国和国外提出并通过了重要的新法规,但自20世纪70年代以来,保护个人信息的基本方法基本上没有改变。在目前的方法下,法律为人们提供了一套权利,使他们能够决定如何管理自己的数据。这些权利主要包括关于收集、使用和披露个人数据的通知、访问和同意的权利。这一系列权利的目的是为人们提供对他们的个人数据的控制,通过这种控制,人们可以自行决定如何权衡收集、使用或披露他们的信息的成本和收益。我将把这种个人信息管理方法称为“个人信息自我管理”。
个人信息自我管理在同意中寻求庇护,它试图对物质(某些收集、使用或披露个人数据的形式是好是坏)保持中立,而是关注人们是否同意各种个人信息做法。同意几乎使任何收集、使用或披露个人资料的形式合法化。
尽管个人信息自我管理无疑是任何监管制度中值得称赞和必要的组成部分,但是它的任务是完成超出其能力范围的工作。个人信息自我管理不能让人们对自己的数据进行有意义的控制。首先,实证和社会科学研究表明,存在严重的认知问题,破坏个人信息自我管理。这些认知问题削弱了个人对同意收集、使用和披露个人数据的成本和收益做出明智、理性选择的能力。
其次,更麻烦的是,由于一些结构性问题,即使消息灵通、理性的个人也无法适当地自我管理他们的个人信息。有太多的实体收集和使用个人数据,使得人们可以与每个实体单独管理他们的个人信息。此外,许多个人信息损害是由不同实体在一段时间内聚合的数据片段造成的。在不了解潜在的下游用途的情况下,人们几乎不可能权衡披露信息或允许其使用或转移的成本和收益,这进一步限制了个人信息自我管理框架的有效性。
此外,个人信息自我管理在一系列由特定个人引导的孤立事务中解决个人信息问题。然而,对个人信息成本和利益的评估更应该是累积性和整体性的,而不仅仅是个人层面的评估。正如本次研讨会上的几篇文章所表明的那样,个人信息具有巨大的社会影响。尼尔·理查兹教授认为,个人信息保护了知识分子的追求,而确保健康、不受约束地阅读、说话和探索思想具有更大的社会价值。朱莉bull;科恩教授认为,创新取决于个人信息。随着大数据挖掘出个人信息,以及媒体内容提供商通过技术跟踪人们的创意消费,个人信息正日益受到威胁。此外,正如Lior Strahilevitz教授所主张的,在一些情况下,个人信息保护具有分配效应;它对一些人有益,对另一些人有害。因此,个人信息不仅仅是保护个人。它培养了一种特定的社会,因为人们关于自己个人信息的决定影响着社会,而不仅仅是他们自己。由于个人同意数据收集、使用或披露的决定可能不会共同产生最理想的社会结果,个人信息自我管理往往不能解决这些更大的社会价值。
然而,随着个人信息自我管理的每一个失败的迹象,决策者、学者和其他人的典型反应是呼吁更多和改善个人信息自我管理。在这篇文章中,我认为个人信息权法律和政策要想向前发展,就必须正视个人信息权自我管理的问题,并开始形成一个新的方向。
任何解决方案都必须以一致同意的方式面对一个复杂的困境。同意收集、使用和披露个人数据通常没有意义,但最明显的解决方案——家长式的措施——甚至更直接地剥夺了人们对自己的数据做出一致选择的自由。如果数据的许多使用几乎没有什么好处,或者主要对个人或社会有害,那么家长式管理就很容易被证明是合理的。但是,数据的许多用途除了成本之外还有收益,而且个人可以理性地就收益是否大于成本得出相反的结论。为个人做选择限制了他们同意的能力。因此,在某种程度上,法律解决方案遵循的是一条远离个人信息自我管理和走向家长作风的道路,它们可能会限制同意。摆脱这一困境的方法仍然难以捉摸。
除非个人信息法认识到个人信息自我管理的真正深度,并面对同意困境,否则个人信息法将无法取得更大的进展。在这篇文章中,我将提出几种方法来解决个人信息法所面临的“同意困境”,从而摆脱过度依赖个人信息自我管理的局面。
个人信息自我管理起源于公平信息实践,也通常被称为公平信息实践原则(FIPPs)。FIPPs于1973年正式出现在美国卫生、教育和福利部门(HEW)的一份报告中,以解决人们对数据日益数字化的担忧。记录系统的原则包括透明度的个人数据,注意到这样的记录系统,对防止个人数据被用于新的目的没有同意,有权纠正或修改的记录,和责任的持有者数据以防止其滥用。这些原则有选择地体现在美国的各种法律中,并帮助形成了1980年的经合组织个人信息准则和2004年的APEC个人信息框架。所有实例化都没有指定要收集什么数据或如何使用数据。相反,大多数形式的数据收集、使用和披露都是FIPPs允许的,前提是个人能够自我管理他们的个人信息——也就是说,如果他们得到通知并提供了同意。
个人信息自我管理已被广泛接受,即使是关于个人信息保护的深刻争论也会对其产生不同的解释和应用。例如,2012年,联邦贸易委员会(FTC)和白宫都对目前的监管方式不满,发布了保护个人信息的主要新框架。然而,两者的基础都是相同的个人信息自我管理模式。FTC框架的目标是使信息收集和使用实践透明”,并向人们提供“在相关时间和背景下对其数据作出决策的能力”。“白宫提出的核心消费者权利法案是消费者的权利运动”适当控制”在他们的个人资料和“简单明了的选择,在时间和方式,使消费者做出有意义的决定关于个人数据收集、使用和披露。”
然而,正如我将在本部分中讨论的那样,个人信息自我管理面临着几个问题,这些问题共同表明,仅凭这一范式无法成为可行的个人信息监管制度的核心。我将讨论两大类问题:认知问题和结构问题,前者涉及人类决策方式带来的挑战,后者涉及如何设计个人信息决策带来的挑战。
许多认知问题困扰着个人信息自我管理。个人信息自我管理的设想是一个知情和理性的人作出适当的决定,是否同意各种形式的收集,使用和披露的个人数据。但经验证据和社会科学文献表明,人们做出这种知情的、理性的决定的实际能力,甚至还没有达到个人信息自我管理的预期。
1. 无知的人的问题。-私隐自我管理的两个最重要的组成部分是告知个人收集和使用有关他们的资料(通知),并让他们决定是否接受这种收集和使用(选择)。这些fipp的组成部分被广泛接受。美国,一种被称为“通知和选择”的方法。“各实体已通过提供个人信息通知和选择,以及选择不采用通知中所述的某些形式的数据收集和使用,使提供通知和选择的做法规范化。联邦贸易委员会已经介入,作为个人信息通知的执行者。自1998年以来,联邦贸易委员会一直坚称,违反个人信息通知中的承诺构成了“不公平或欺骗性的行为或做法,或影响商业”,违反了《联邦贸易委员会法》(Federal Trade Commission Act)。当联邦贸易委员会发现这种违法行为时,它可以提起民事诉讼并寻求禁令救济。通知和选择方法也一直是个人信息立法的核心。例如,Gramm-Leach-Bliley法案(GLBA)要求金融机构向客户提供个人信息通知,并允许客户选择不与第三方共享数据。
尽管有了通知和选择,人们似乎并没有太多的个人信息自我管理。大多数人不会定期阅读个人信息通知。至于其他类型的通知,如最终用户许可协议和合同样本条款,研究表明只有极低比例的人阅读它们。此外,很少有人选择不收集、使用或公开自己的数据。大多数人甚至懒得去更改网站的默认个人信息设置。正如FTC主席乔恩bull;莱博维茨(Jon Leibowitz)总结的那样:“最初,个人信息政策似乎是个好主意。但在实践中,它们往往有很多不足之处。在很多情况下,消费者并不需要。
为什么从事个人信息自我管理的人这么少?一种可能的解释是,个人信息通知很长,很难理解。已经有很多建议来缩短和简化个人信息政策,尽管这些类型的措施并没有显示出能显著提高理解能力。例如,M. Ryan Calo教授认为,“发自内心的关注”可以通过尝试让人们更直接、更感性地体验“关注”,从而复兴“关注”方法。例如,Calo引用了FDA要求在香烟上印上包括死亡图片在内的图形警告。虽然吸烟警告可能是有效的,因为癌症和死亡是如此具体和可怕的后果,但个人信息警告更难以转化为发自内心的术语,因为后果要抽象得多。
关于改进通知的提议还有一个更困难的问题,不管是简化的还是更发自内心的。这样的建议忽略了一个基本的通知困境:使其简单和容易理解与充分告知人们放弃数据的后果相冲突,如果有足够详细的解释使其有意义,这是相当复杂的。人们需要更深刻的理解和背景知识才能做出明智的选择。然而,许多个人信息通知对未来数据的使用含糊其辞。
此外,正如Strahilevitz在本次研讨会上指出的那样,个人信息选择通常是二元的,例如不打电话注册表允许人们选择是否退出电话营销解决方案。许多人可能希望在他们的选择中有更多的粒度,但是额外的粒度会增加复杂性,并产生更大的混淆风险。提供通知和选择的困难在于,人们在有关如何保护自己个人信息的问题上,都是基于极其错误的假设。一项研究发现,在有关在线交易个人信息的问题中,人们只答对了30%。另一项研究发现“64%(受访者)不知道超市可以卖其他公司的信息他们买些什么”,75%错误地相信,当“一个网站的个人信息政策,这意味着该网站不会分享我的信息与其它网站和公司”。
到目前为止,在大多数情况下,人们不参与个人信息的自我管理。证据表明,人们对个人信息的了解并不充分。改善教育的努力当然值得称赞,让个人信息通知更容易理解的尝试也同样值得称赞。但是这样的努力并没有解决更深层次的问题——个人信息是相当复杂的。这一事实导致在提供有意义的通知和提供简短而简单的通知之间进行权衡。
2. 不公正的决策问题。-即使大多数人照例阅读个人信息政策,人们通常缺乏足够的专业知识来充分评估同意当前使用或披露其数据的后果。人们经常为了很小的利益而交出他们的数据。一些人从这个事实得出结论,消费者不重视个人信息。一些人认为,在年轻人不关心个人信息的情况下,个人信息规范可能会发生代际变化。但在调查中,人们习惯性地宣称他们有多在乎个人信息,令人惊讶的是,年轻人和老年人对个人信息的态度非常相似。
人们表达的高个人信息价值和他们的行为之间存在明显的脱节,这表明个人信息价值非常低。这是否意味着人们实际上不关心个人信息?社会科学文献表明,这种脱节源于理性决策的某些障碍。
在社会科学领域工作——我将广义地定义为涵盖行为经济学、心理学和其他领域的实证研究——表明,我们所珍视的关于人们在个人信息问题上的决策方式的许多假设都是错误的。正如理查德bull;塞勒(Richard Thaler)和卡斯bull;桑斯坦(Cass Sunstein)教授指出的那样,“错误的假设是,几乎所有人,几乎所有时间,都会做出对自己最有利的选择,或者至少比其他人做出的选择要好。”丹尼尔·卡尼曼(Daniel Kahneman)教授、阿莫斯·特沃斯基(Amos Tversky)教授等人的研究表明,传统的人类决策理性主体模型是错误的。
人们在个人信息方面有“有限理性”——他们努力将自己的知识应用于复杂的情况。正如亚历山德罗·阿奎斯蒂(Alessandro Acquisti)和延斯·格罗斯卡莱德(Jens grossk)教授所观察到的那样,“我们与生俱来的有限理性限制了我们获取、记忆和处理所有相关信息的能力,使我们依赖于简化的心智模型、近似的策略和启发法。”风险评估也被“可用性启发”(availability heuristic)扭曲了,在“可用性启发”中,人们将熟悉的风险评估为比不熟悉的风险更高。
社会科学的揭示。
因此,上述认知问题给个人信息自我管理带来了诸多障碍:人们不阅读个人信息政策;如果人们阅读它们,他们就不会理解;如果人们阅读并理解它们,他们往往缺乏足够的背景知识来做出明智的选择;如果人们阅读、理解它们,并能在知情的情况下做出选择,他们的选择可能会受到各种决策困难的影响。这种情形几乎接近弗朗茨·卡夫卡(Franz Kafka)寓言故事中的主人公在法律面前所面临的情形,在法律面前,大门由无穷无尽的守门人守卫着,每一个都比下一个更强大。
结构性问题
即使假设人们是完全知情和理性的,有一种方法可以保护他们的决策不受扭曲,有一种方法可以准确地捕捉他们的偏好,个人信息自我管理也面临着严重的结构性问题。这些结构性问题涉及妨碍个人充分评估同意以各种形式收集、使用和披露个人资料的成本和收益的能力。构建有意义的个人信息决策被证明是一项极其困难的工作。
规模问题
个人可能能够管理她的个人信息与几个实体,但个人信息自我管理的规模不太好。即使每个实体都为人们提供了一种简单而清晰的方式来管理他们的个人信息,但是有太多的实体收集、使用和公开了人们的数据,以至于rational的人无法处理这些数据。特别是,美国人平均每月访问近100个网站,与无数公司(商家、公用事业、保险、技术、旅游、金融等)进行线上和线下业务。人们不仅要努力管理他们所了解的实体的个人信息,而且还有许多在人们不知情的情况下传输个人数据的实体。除非人们知道这些存储库的存在并能够识别出维护这些存储库的各种实体,否则他们就无法管理与这些庞大的数据“存储库”相关的个人信息。
这个问题让人想起了那位饱受批评的学生,他的教授们每晚都给他布置了太多的阅读任务。从每个教授的角度来看,一晚上的阅读量是合理的。但是,当五、六个人同时分配一晚上的阅读量时,整体的阅读量就会过多。因此,即使所有公司都提供了通知和足够的选择,这种数据管理问题也会持续存在;一般人没有足够的时间或资源来管理所有保存数据的实体。一项研究估计,如果每个人都阅读他们在一年内访问过的网站的个人信息政策,将会造成7810亿美元的生产力损失。而且许多实体经常修改他们的个人信息政策,所以仅仅阅读一次是不够的。选择退出策略和选择加入策略都存在问题。
许多实体希望做正确的事情,公开他们的个人信息做法和人们的数据将如何使用。然而,即使有简单、明显和可理解的个人信息政策,规模问题仍然存在。聚合问题
另一个问题是,
剩余内容已隐藏,支付完成后下载完整资料
资料编号:[413629],资料为PDF文档或Word文档,PDF文档可免费转换为Word
以上是毕业论文外文翻译,课题毕业论文、任务书、文献综述、开题报告、程序设计、图纸设计等资料可联系客服协助查找。
