面临亟待解决的难题,“抓手”不止法律一种
愿景再美,也须落地,隐私问题自不例外。如何为“不愿被偷窥”与“不作透明人”定出实操方案是个难题。目前,无论是法律法规的设计,还是具体的合规事宜,中外彼此交融都不鲜见。仅就“西风东渐”这一层次而言,国外经验数量很多,彼此却未必相洽。
解答上述难题,无疑会由《隐私如何落地:影响欧美公司行为的因素》(PrivacontheGround:DrivingCorporateBehaviorintheUnitedStatesandEurope)一书得到启发。
两位隐私领域知名学者Mulligan和Bamberger周历五国,访谈数百位隐私治理领域关键人物,监管者有之、企业数据官有之、隐私律师亦有之。回顾隐私领域研究,能获取大量切于肯綮而又近乎“一手”材料者,几乎是“独此一家”。
《隐私如何落地》的贡献可概括至两点:第一,整合五国材料基础上,系统探究了“柔性”与“刚性”隐私治理模式间的绩效差异。据作者所见,柔性模式中,法律及其执行较为灵活,政府、市场与行业的互动亦较为频繁。初看之下,柔性模式的威慑力并没有法条细密的“刚性”模式严厉,前者的隐私治理绩效,却又显著优于后者。第二,以上二分,未必与传统的欧美之分相重合。譬如,在治理模式上,和德国更接近的是美国,而非其他欧陆国家。
本文是对《隐私如何落地》的细致介绍与评论。第一节将详述柔性治理模式,并说明德美两国共归于此类的缘由;第二节谈论刚性模式,以及将法国西班牙纳入此类的理据;第三节简述“刚柔兼有”的英国治理模式;第四节则在概述近年欧美隐私治理比较研究的基础上,概论本书分析与结论,最末是对当下的启示。尤其值得注意的一点是,作者对柔性治理模式多有青睐,然而,如此倾倚的幅度,可能超出了现有证据所能支持的限度。此处似有矫校空间。
Autorzy :Kenneth A. Bamberger
Deirdre K. Mulligan
以美国、德国为代表的柔性治理模式
面临亟待解决的难题,“抓手”不止法律一种,规条之外,市场、自律乃至技术,各自适应于不同场景。法律,因而不是隐私治理的全部:一方面,如何设计法律,本身会影响“抓手”间的权重。譬如,若法律要求一旦隐私泄漏,企业即应就此通告全体用户,这一点无疑会放大市场的作用,企业将因不安全的负面名声失去份额;另一方面,法律所及自有范围。相比“事无巨细”的繁牍,仅“执之大端”的法律,将给其他手段留下更多空间。
就第一点而言,隐私领域中的美国法律,多倾向强化市场与自律的功效。要求通知泄漏事件的法律,几成各州标配。如上所述,此类法律,又将强化市场这一极的作用。据书中访谈,泄漏通知及常伴相应事件而来的汹涌舆论与声誉损失,颇为企业所忌惮。于是,来自企业的访谈者,频繁在访谈中如此发声:“(隐私)关系到企业与员工、客户、用户之间的信任……”“关于隐私的需求在销售中不停涌现……”“隐私关系到我们(企业)的生存”,等等。
另一强化其他“抓手”的特性是不确定。隐私方面,美国法律有如下两特点:一是“支离”,二是“含混”。仅以后者为例,联邦贸易委员会(下称“FTC”)常借《联邦贸易委员会法》惩戒侵害用户隐私的企业,细究其中根据则是1938年添入的Wheeler-Lea修正案“禁止商业中的不公平或欺诈行为”。然而,“不公平”或“欺诈”,实在难以定义。初期,FTC执法范围限于企业违背隐私协议中承诺的情形,不过相应范围正有显著的扩张趋势。
表述“含混”,何以强化其他“抓手”的效力?这一点又可作两方细化。居首,FTC等机构的执法策略,多与“消费者期待”的起伏关联,如Waldman等学者研究所示,“不公平”或“欺诈”,实质常常是“与个体预期相抵触”。访谈当中,“监管动向”与“用户观念”,亦时常成对出现。由此,企业面对的不是一五一十的准则,而是不断演化的趋势。变化跟前,企业多采取“向前看”态度,尽量了解、预测甚或塑造用户观念,并以此为基准约束自己。
恒常扰人的模糊性,促进了企业与监管层的互动。期待诚然重要,却难以持续准确把握,消费者预期之外,执法仍有许多其他因素。强渡惊涛骇浪,不如未雨绸缪,企业因此时常联系监管层。既求了解最新动向,以提前布置合规;又求展示已行自律,希冀监管认可。访谈如此概括企业考量:“我(企业)宁愿现在(和监管)谈,也不愿意等到监管执法时再谈”。
对此,监管态度同样积极,为适应浩荡迅猛的科技潮流,监管也需要“弄潮儿”的一线见识。企业主动上门沟通,无疑为此提供了成本低廉,又足以把握最新动态的机会。
市场凌慑与监管阻遏之下,企业愈发严肃对待隐私,并将隐私看作足以影响经营存续的风险。用作者的话说,这是一种基于“战略风险管理”的隐私治理视角。有访谈者如此总结这一现象:“我们(从业者)都在讨论(隐私相关的)风险……保护信息的同时,我们也在缓解企业面对的风险。”也有更为直白的受访者提到,“实践层面中的隐私治理……通常发生在风险控制部门。”此类陈述符合许多企业的实践,将隐私合规纳入日常风控及审计流程中。
隐私治理的“战略风险管理”视角,亦催生了相适应的组织结构。《隐私如何落地》尤其关注以下两方面:其一,与近年来颇为风行、已写入多地监管的“基于设计之隐私”相合,为适应恒常更易的模糊性,企业隐私合规不再囿于法务等少数“对口”部门,而涉及法务、产品、运营、风控等多部门协调。风险遍及生产经营各环节,不在全流程上把好关,则风险管理不充分。之二,出于协调各部门需要,企业隐私官的级别通常较高,并有机会参与核心决策。
上述结论固然细腻,但没有超出研究者及从业者的通常印象。相比之下,“德国隐私治理现状近乎美国,而非欧洲其他国家”的结论,确实让人眼前一亮。简言之,尽管德美在法律体系上存有明显差异,两国在隐私方面共有以下特征:监管者与企业等合规主体的互动颇为频繁,后者由前者获知监管动向,前者向后者“取经”行业现实;隐私合规“渗入”企业决策,亦贯穿企业各部门;企业内负责隐私的职务级别高且影响决策,等等。
当然,德国有与美国泾渭迥然的特色。相比更多倚靠市场及行业施为的美国,德国社会倾向认可隐私权中人权的一面,且不吝以“刚性”法律手段回护隐私。
纳粹时监视、统计、分割特定群体并予以迫害的惨剧,以及对东德时分无孔不入监控的暗色回忆,都是坚定隐私保护的思想基础。另外,与美国不同,德国工会直接参与企业运营,在重要事项上多有话语权。作为工会所倡社会价值之一的隐私保护,也会体现在企业的经营实践中。
理解美德两国的隐私治理实践,又是观察相关领域国际动态的“钥匙”。高悬头顶的市场之“剑”,不断演进的治理模式,以及监管与企业间的顺畅沟通,皆是两国形成蔚为可观的隐私保护社群的前置条件。如访谈所示,隐私侵害既损害个体企业名声,也危及行业的美誉与利益。因此,领头企业有激励组织从业者,再循此提升行业整体的保护水平。参与企业越多,相应建议越容易受到监管机构的重视。
以法国、西班牙为代表的刚性治理模式
与美德两国模式彼此分明,在法国与西班牙等欧陆国家,法律当仁不让居于四类“抓手”的核心:政府制定细致的法律,执法机构则不时施以核查惩罚。对企业来说,与上述着眼未来、注重沟通的角度不同,隐私保护真切蜕变为字面意义上的“合规”。对照当地法律,检查自己已尽义务及未补罅风险,效益允许则弥补并“打勾”,效益不允许则寄之于运气。访谈记录于此有以下表述:“我们有个反映我们已经合规了百分之多少的进度表……”
当法律太过繁缛,合规本身便是奢侈。有访谈者陈述,“监管的要求细致到了毫无必要的程度”,部分受访者直言,“百分百合规完全不可能”“做到最好,也仍然免不了被监管机构罚款”。企业认为执法机构不过例行公事,“(在数据保护机构工作的)家伙都是对数据保护不感兴趣的公务员,他们只做行政工作”。如此,企业面临两类困惑:之一,监管机构过分“喜怒无常”;第二,难以理解隐私保护究竟有何意义。
这一点在西班牙尤其显著。访谈者一致将隐私治理看作企业的负担,甚或“敌人”。检查与处罚难以预料,常随政治波动及一时舆论“飘荡”。消费者协会等组织的活跃,加剧了此处担忧,“人们(部分消费者,及消费者协会)把保护隐私的法律看作(从企业身上)攫取钱财的机会”“消费者协会提出诉求的动机很清楚,就是利用(企业的)错误,并因此获得赔偿”……相比其他国家,当地受访者更频繁地呼喊“隐私法在削弱企业竞争力”。
法国的情况略有不同。对企业而言,隐私一度不过是条条框框。“法律……很强势”“监管机构已经定下了非常细致而完整的合规事项列表,照着做就是了”。不过,近年来,情况正朝“盎格鲁-萨克逊人的办事方式”转变。
相应趋势,集中体现为以下两点:首先,四大“推手”中,市场的作用在上升。企业日渐重视隐私舆情的负面影响,声誉坍坏即是损害真金白银。于是,企业自然会相应调整合规思路。
其次,监管手法愈发“化刚为柔”。之前机构倚赖法律,检查时未能填满上述“合规事项列表”,则处罚之。近来,法国监管机构开始注重与企业的沟通、合作,出台不具硬性拘束的指引文件,并更有针对性地适用刚性的法律。按受访者的话来说:“各层面的隐私合规工作,都因此(近来变化)而更加灵活”。
欧陆各国的如此治理方式,塑造了本地的组织结构与社群生态。若隐私仅仅意味着“打勾”“填表”,与商业绩效缺乏直接干系,企业自然不会太重视隐私合规。自企业内部拔擢安全或信息职员专责合规,再辅之以少许低级别员工,是通行组织安排。部门间的高墙因此难以打消,贯穿全过程的隐私保护因而难以实现。对这些合规人员来说,类似德美那样从外界招聘专业人士、赋之以参与高层级决策及协调各部门权力的模式,很大程度上是种奢望。
遵循如此模式,隐私社群的发育亦显得相当困难。一方面,既然监管已经细密框定合规相关的内容,只待照办,同行间便没有必要开展太多交流。另一方面,与上一点相呼应,对与企业交流一事,醉心“文书行政”事务的监管机构,颇有几分“意兴阑珊”。不过,如上所述,在法国等地,这一缺乏交流的现状已然“破冰”。只是,相比德美,当地仍在探索监管与企业间的最适交流模式。
英国的混合治理模式
英国隐私治理模式,可由一句话而涵盖:“一只脚扎根欧陆,一只脚踏在美国”。不过,长期以来,与其说“左右逢源”,英国的治理模式更像是“两头不靠”。有观察者将英国监管机构称为“没有牙的老虎”——极少调查企业,鲜有发出训诫,遑论施加惩戒。于此,曾有批评称英国数据保护机构没有达到当时欧盟的要求。英国企业的隐私治理亦颇为“羸弱”,既没有高级别的独立隐私保护官,也没有跨部门协作。
不过,与前面提到的法国一样,英国正在改变。一方面,访谈者直言:英国监管机构正在逐渐成为隐私治理领域“变化的推手”。过去“没有人把监管机构当回事”,现在监管机构开始“增加曝光度”“挥舞施加巨额罚款的武器”。
与此相呼应,监管者频繁调研、咨询企业,力求实现更为全面、深入的治理。市场力量也“初露峥嵘”。“企业声誉是(企业面临)的最大风险……隐私安全是关键……对(企业的声誉来说)在数据隐私方面出问题,绝对会是一场灾难。”加强保护,可谓国际潮流。
英国的另一重变化更趋向于美国。出于适应活跃监管及凌冽市场的需要,在加强隐私合规力量的同时,英国企业改变了合规思路。之前,当地企业的宗旨更接近法国的“在清单上打勾,为企业‘擦屁股’”。现在,企业愈发将隐私看作整体所面临风险的一部分。尽管,业务与隐私合规部门难言和谐,前者仍时常视后者为“障碍”,企业内隐私保护负责任的权限在扩大,他们还积极与监管者与同行交流,建立互信,相通有无。
再看欧美间的“唇枪舌剑”
作为现阶段罕有的基于广泛、深度一手材料写就的作品,《隐私如何落地》对隐私保护及数据治理的意义,几近“无论如何夸张,都不显过分”的程度。在切实解决急迫问题方面,类似作品或将更有效力。唯有基于一线人员的吐露,监管者才能清晰刻画引入规制的将有后果,并循此评估规制能否达到预设目的。
作者对欧陆模式多有批评。确实,从企业角度看,来自后者的怨言数量多,描述也更加“纷繁多彩”。不过,保护数据隐私,回应的很大程度上是个体的诉求及权益。如此,在缺乏对实际隐私侵害及个体隐私感知的研究——这一点在法律中的权重当然不比企业更低,甚至可能更高——这一前提下,上述判断,未足“盖棺定论”。
这一点又可与以下两类结论相呼应。一是对隐私侵害的国际实证的缺乏。在这一问题上,如有确凿证据说明德美模式下保护状况更佳,则《隐私如何落地》结论成立。以美国为例,“剑桥分析”等个例已属轰动,近期以来的实证研究,则勾勒出更是“触目惊心”的一层。Hazel和Slobogin发现,哪怕对于最为敏感的基因检测数据,美国市场上九十家相关企业中,能达到基本合规要求的也不过九分之一。现状如此,未有更多证据,很难认为美国状况显著优于大洋对岸。
二是大西洋两岸间从未止息的彼此批评。考虑这一点,将《隐私如何落地》放到“批评欧洲隐私法”这一美国法学学术脉络中,相关内容将分明许多。早前,即有当地学者批评欧洲隐私法陷入“中年危机”,僵化难行,扼制发展。最近,亦有学者批判欧洲行“隐私殖民主义”,将不适合他地理念强加于人。
即使以上论述确有些许道理,相关论述,也要和近年来其他进展并置看待。实际上,无论是亘古的历史层面,还是抽象的隐私理念,又到近代的立法交融,再至相关政策的出炉,终于实际立法的松紧,欧美间的差异,恐怕都有“放大”或“夸张”之嫌。
最后,欧美与中国,物理距离固远,网络瞬间可达。监管是“刚”或“柔”,企业何以合规,监管企业互动,再到相应生态的搭建,都是“燃眉”难题。形势瞬息万变,他国先行已远的今天,借鉴相关经验势在必行。对此,五国一手资料弥足珍贵。再进一步,各地治理模式是否真有迥然差别,以及,如果真有差别,是否可能勘断彼此模式优劣,都是必须解决的关键。
(朱悦,作者系对外经济贸易大学数字经济与法律创新研究中心研究员、中国社科院文化法制中心助理研究员)
声明:本文来自经济观察报观察家,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。