编译/对外经济贸易大学金融科技实验室
作为全球数据的奠基性立法,GDPR对数字经济的影响深远。就到底影响几何?除了定性的推理外,定量研究才是关键。正如哈佛大学多伊奇所指出的:1900-1965年世界社会科学最重大的研究,定量研究站三分之二。故此,如欲评估GDPR,经验研究必不可少。
最近,Christian Peukert,Stefan Bechtold, Michail Batikas,Tobias Kretschmer等人对超过110,000个网站进行了18个月的跟踪调查,发现GDPR的影响已经超出了欧盟边界。质言之,GDPR生效后,被调查网站(既有欧盟网站,也有面向非欧盟居民的网站)均减少了与网络技术提供商的联系,尤其是在涉及个人数据的请求方面。
他们同时发现:随着GDPR的出台,许多网络技术市场上占主导地位的公司——如谷歌的市场份额增加了,而其他公司的份额要么维持原状,要么下降了。显然,GDPR已经成为欧盟向其他国家输出其监管框架的工具,但它并没有能够成为欧盟所想象地推动欧盟数字经济发展的利器。经验研究的好处是揭示出一些出人意料的结果。对于正在制定个人信息保护法的我国,GDPR不啻为他山之石。
——对外经济贸易大学数字经济与法律创新研究中心执行主任许可
一、导论
互联网给全球贸易和数据流动带来了革命性的变化。在我们日常生活的许多方面,它使我们的生活变得更加丰富多彩。它撕开国界,促进全球范围内的交流和贸易。监管这样的世界是具有挑战性的。国际协调机制往往被证明是无效的,于是个别国家和地区已经为数字世界颁布了法律制度,即使这些制度具有域外影响。这导致制度竞争,因为他们都想成为全球领先的数字规则制定者。
在隐私领域,这类制度的例子包括欧盟(EU)的2018年《通用数据保护条例》(GDPR)和2020年《加州消费者隐私法》(CCPA)。GDPR是欧洲隐私法的基石,通常被认为是最全面、全球领先的隐私制度。它通过各种机制对消费者、企业和欧盟以外的国家产生了影响。
出于历史、文化、政治和法律等方面的原因,欧洲的隐私保护传统上一直比较强势(Bradford, 2020, 136–141), (Schwartz andPeifer, 2017, 123–127)。欧盟在2018年5月25日通过GDPR后,将隐私保护提升到了一个新的高度(欧盟,2016年)。它规定了整个欧盟的数据处理的共同规则,对欧盟内外的企业和居民也直接具有约束力。随着GDPR的出台,欧洲立法者希望在整个欧盟范围内统一隐私法和执法,在维护数据处理的利益的同时,加强对个人隐私的保护,例如通过实施数据最小化原则(GDPR第5(1)(c)条、25(1)条和第78、156条的背书)。我们从经验上研究了欧盟内部和外部的网站、网络技术提供商和消费者之间的相互作用是否以及如何随着GDPR的实施而改变,并探讨了网络技术市场结构和竞争的变化。
从2017年5月到2018年11月,我们对超过11万家网站进行了跟踪,观察他们使用了哪些网络技术。网站可能使用技术来提高广告收入,观察用户行为,通过社交媒体分享信息,或主持视听内容。我们观察到,网站通过向外部服务器提出的HTTP请求来使用这些技术。并将这些请求映射到第三方公司。我们也拥有这些供应商有关于已声明的隐私政策的信息。此外,我们还使用不同类的消费者行为数据来调查 GDPR的有效性因不同类型的消费者而异。
我们强调了四个关键的发现。首先,GDPR之后,网站在短期内减少了对第三方请求的数量,但长期来看,增加的趋势并没有太大变化。然而,当研究到特定类型的请求----Cookie,我们发现,随着GDPR的实施,网站对与消费者隐私交互的第三方技术的使用发生了有效的变化。我们观察到第三方cookie持续减少,第一方cookie持续增加。第二,这些变化影响了全球范围内的网站和消费者,虽然他们并不直接受制于该法规。第三,我们发现,技术供应商的隐私政策变得更有信息量。第四,我们记录了市场力量的实质性转变。随着GDPR的出台,在许多网络技术市场上占主导地位的公司--谷歌公司的市场份额增加了,而所有其他提供网络技术的公司要么没有被观察到市场份额的变化,要么遭受了损失。我们发现,GDPR已经塑造了欧盟以外的全球隐私制度,因此成为欧盟向其他国家输出其监管框架的工具。我们的研究结果也说明,监管隐私会对市场结构和竞争产生意想不到的后果。
我们补充了越来越多关于GDPR的技术和商业影响的经验性文献,并将其对竞争政策的影响与理论工作联系起来。这些文献跨越各个学科,包括行业报告 (WhotracksMe, 2018),、计算机科学和通讯的学术论文(Dabrowskiet al., 2019; Solomos et al., 2019; Hu and Sastry, 2019; Degeling et al., 2018;Libert et al., 2018; Sørensen and Kosta, 2019; Urban et al., 2020),、市场营销 (Johnson and Shriver, 2020; Goldberg et al., 2019; Goddard, 2017),、信息系统和经济(Godinho de Matos and Adjerid, 2020; Zhuo et al., 2019; Sharma etal., 2019; Economides et al., 2019; Lefrere et al., 2019; Jia et al., 2019b,a),以及法律 (Gal and Aviv, 2019). 在现有文献之外,我们的贡献是多方面的。首先,我们对国际隐私监管和竞争政策的影响进行了法律分析。第二,独特的数据使我们能够控制重要的前期趋势,从而估计长期有效性。第三,我们调查了网站和第三方网络技术提供商的合规性,并揭示了消费者层面的异质性。第四,我们通过比较欧盟用户和非欧盟用户,展示了隐私法与其他政策层面的互动,并记录了对市场力量的影响。
二、制度背景
GDPR有五个方面与我们的论文特别相关:制度变化、属地适用、同意、共同责任和法律不确定性的增加。
2.1制度变迁
根据GDPR之前的欧洲隐私法,最高罚款额度通常在12,000至60万欧元之间,由欧盟成员国制定,其执法力度差异很大。GDPR提高了最高罚款额度,并加强了数据保护机构。罚款额度现在最高可达2000万欧元或全球年营业额的4%,以较高者为准(GDPR第83(5)和(6)条)。欧洲隐私法现在类似于欧洲反垄断法,在过去十年中,欧共体已经开出了几笔数十亿美元的罚款。在 1995 年的《一般数据保护指令》(GDPD)(欧盟,1995 年)下,由于历史、判例、文化、成员国的内部组织结构以及 GDPD 本身的差异,欧盟成员国的数据保护机构的地位存在着相当大的差异。GDPR对负责监督GDPR应用的国家数据保护当局的权限和合作带来了影响深远的变化。
2.2地域性应用
在国际公法中,各国传统上有权在其地理范围内制定法律和行使权力。互联网挑战了基于地理范围制定规则的概念。身处一国的人不能只访问该国以外的网站。他们可以在全球各地的任何网站上浏览、交流和购物。为了有效地保护位于欧盟境内的人的隐私,即使个人数据由位于欧盟以外的公司处理,也可以适用GDPR。只要该公司有意向位于欧盟境内的人提供商品或服务,或者在欧盟境内监控或预测他们的行为、个人偏好或态度就足够了(GDPR第3(1)、(2)条和Recital 24 GDPR,欧洲数据保护委员会,2019a,15-20)。GDPR保护位于欧盟境内的自然人,无论其公民身份、居住地或其他法律地位如何,均受到保护(欧洲数据保护委员会,2019a,14-16)。企业是否针对位于欧盟境内的人,只能根据具体情况来决定。这涉及到语言、货币、营销工作(Recital 23 GDPR)。
由于这种广泛的地域适用性,GDPR可以有效地适用于世界上任何地方的网站和网络技术提供商,无论其业务地点或合法注册地在哪里,只要这些网站和网络技术提供商是为欧盟境内的人访问和使用的,就可以有效地适用。不在欧盟境内但受GDPR约束的网站和网页技术供应商必须在欧盟指定一名代表(GDPR第27条)。他们必须接受GDPR的所有规则的约束,包括其损害赔偿和罚款制度。与之前的欧洲隐私法相比,这使欧洲隐私保护的全球范围的急剧扩大。根据前GDPD第4(1)(c)条,欧盟隐私法仅在数据控制者使用位于欧盟境内的设备时才适用,从而依靠属地原则。GDPR改用基于效果的理论,从而扩大了其地域范围。
2.3同意
如果网站使用网络技术----如cookies、脚本、图像、网络追踪器或指纹技术----来识别用户,处理其个人数据,则需要征得用户的同意(GDPR第6(1)(a)条)。GDPR并不是第一部欧洲的隐私法,它并不是第一部设立了有关网络分析技术的同意要求的法律。自 2009 年起,经修订的《电子隐私指令》(欧盟,2002 年)要求网站在用户的设备上放置cookies 时必须征得用户的同意(经修订的《电子隐私指令》第 5(3)条) 。由于其关于网络技术的广泛、技术中立的同意要求,GDPR为欧洲隐私当局提供了一个强大的武器,可以在欧盟内外执行同意要求。
2.4共同责任
网站经常使用第三方服务进行行为监测和消费者分析。GDPR区分数据控制者和数据处理者,前者决定处理个人数据的目的和手段,后者代表控制者处理个人数据(GDPR第4条第7、8款)。第三方网络技术服务既可以是依附的数据处理者,也可以是数据控制者,如果他们对数据处理的目的和手段有足够的控制权,他们本身也可以是数据控制者。根据GDPR的规定,网站不能通过将网络技术外包给第三方供应商来轻易地免除其隐私侵权责任。这不仅是因为网站必须告知用户任何将个人数据转移给第三方提供商的行为(GDPR第13(1)(e)条),还因为网站必须确保第三方提供商的数据处理也会遵守GDPR(GDPR第28(1)条)。网站还可能与网络技术提供商一起,对违反GDPR的行为承担连带责任。在最近的判例中,欧洲法院认为,即使网站无法控制个人数据被传输到或由网络技术提供商处理,网站和网络技术提供商也可以作为“共同控制者”承担责任(GDPR第26条)。
这种共同责任的法律框架会给网站带来严重后果。在数据保护机构面前,网站要对与网络技术提供者共同处理数据负责:例如,网站,不仅仅是谷歌或Facebook,必须征得用户同意才能处理个人数据。同时,用户还可以在共同责任框架内,对网络技术提供方违反GDPR的行为造成的损失起诉网站。虽然网站可以将分析等任务外包给第三方供应商,但在相当大的程度上,他们仍然要对与技术供应商合作时发生的侵犯隐私行为负责,并有可能承担赔偿责任。
此外,如果网站决定使用位于欧盟以外的网络技术提供商,网站必须确保数据转移到欧盟以外的国家是符合GDPR的规定的。如果个人数据被转移到欧盟委员会确定的提供适当保护水平的国家,则允许这种转移(GDPR第45条)。转移到其他国家也是可能的,但网站的合规成本和责任风险要高得多,因为它必须确保有足够的隐私保障和权利(GDPR第46条)。
2.5增加法律不确定性和合规风险
GDPR将遵守隐私法提上了企业管理高层的议事日程,这不仅是因为其更严格的执法制度和更广泛的地域范围,还因为GDPR导致了对GDPR文本的解释及其与欧盟或成员国隐私法其他机构的关系出现了新的问题。例如,在欧洲数据保护当局如何计算罚款或在个别案件中如何确定GDPR的地域范围,很难观察到一个标准模式(Tobin,2019)。这些解释新的法律文本的问题往往只能由法院在其司法体系中制定判例法来解决。由于这一过程通常至少需要数年时间,因此企业在这期间会面临更多的法律不确定性和相当大的合规风险。
2.6网络技术
互联网上的出版商可以获得大量的第三方服务,这些服务可以实现个性化的功能,帮助出版商了解受众的特征和行为,以及连接出版商和广告商的服务。出版商和第三方网络技术提供商之间的许多互动都是在用户访问出版商网站时实时发生的。这些互动可以通过网站在加载内容时发出的HTTP请求来观察。利用HTTP请求,网站可以显示出由其他方控制的内容,而这些内容对于每个请求和每个用户来说都可能是不同的。这类内容最好的例子当然是广告。但是,网站也可以嵌入来自第三方的内容,这些内容与广告无关,或者说与广告没有直接关系。例如,网站可以嵌入外部托管的视频内容,或者将某些互动功能,如评论或聊天系统等外包给专门的第三方提供商。图1展示了一个第三方请求的风格化示例:托管在techcrunch.com上的页面向第三方域名(如google-analytics.com和wordpress.com)提出请求,嵌入托管在第三方服务器上的内容,如脚本和图片等。
虽然有很多不同类型的第三方服务可以选择与发布者进行交互,但从技术原理上来说,所有在用户浏览网站时实时调用的第三方服务,都可以被认为是一种隐私侵犯跟踪技术。例如,服务总是可以追溯到HTTP请求的源头IP地址(即用户的IP地址),或者通过发送一个cookie存储在用户的机器上,对请求进行响应,这样即使IP地址发生了变化,服务也可以在未来识别出同一台机器。根据第三方服务的商业模式不同,这种用户级的浏览信息会被存储起来,并与包括第一方发布者在内的其他人共享。对于出版商来说,这很方便,因为它可以访问一个类似仪表板的界面,显示用户在其网站内的行程汇总信息。对于第三方服务来说,这种技术更有优势,因为它可以在其他使用相同服务的网站上追踪消费者。跨出版商跟踪服务的突出例子是Google Analytics,还有Facebook和Twitter的 “like”、“share”和“login”(Chaabane等人,2012;Roosendaal,2012)。这些数据经过处理后(直接或间接)提供给广告主或广告网络,广告主或广告网络利用这些数据来预测用户的 "价值",从而影响他们为用户的倾向付费意愿。
值得注意的是,企业往往是垂直整合的,并同时承担多种角色。例如,广告网络可以通过跟踪消费者来收集数据,利用这些数据来增强其预测模型,同时也可以将从这些数据中推断出的信息提供给出版商和广告商。这些互动往往是消费者无法直接看到的,收集和交易个人信息的相关方的身份也不完全透明。关于网站的第三方请求的历史信息是公开的。它可以与其他公开的第三方网络技术服务的元信息来源进行匹配。在过去的20年里,网络技术服务行业在市场上的特色服务数量增长了50倍,在每个网站使用的特色服务中位数增长了4倍(Lerner等,2016)。如今,约有88%的前100万的最受欢迎的网站至少有一个第三方网络技术服务,在这些网站中,平均有9个不同的第三方域名请求(Libert, 2015)。同时,该行业已经相当集中,前20名服务覆盖了约三分之一的市场(Gill等人,2013;Schelter和Kunegis,2018)。
三、数据和方法
3.1主数据集:HTTPArchive
我们遵循Batikas等人(2019)中的数据收集方法,获取网站向第三方提出的HTTP请求的历史信息。我们使用的数据来自HTTPArchive,该项目定期抓取约50万个主机的主页。除了少数例外,这些数据是每两周一次、在月初和月中的爬行,我们将主要使用2017年5月至2018年11月期间的数据,但我们也研究了2016年5月开始的数据作为稳健性检查。长期结构将有助于控制可能会混淆GDPR影响估计的预设趋势,并研究短期和长期动态。
观察的层次是 "网站主机",例如子域名(subdomain.domain.domain.com),在绝大多数情况下,子域名是www。我们定义了一个平衡的主机样本,在每个可用的数据快照中我们可以观察到的主机,结果是110,706个主机,我们在33个时间点上跟踪了110,706个主机--GDPR出台之前的21个数据点和之后的12个数据点。因此,我们的首选规范包括3,653,298个观测点。我们收集的信息包括主机向第三方发送HTTP请求的身份、第三方请求的总数、第三方cookie的数量以及第一方cookie的数量。在附录A中,我们报告了我们使用Google BigQuery中的公开数据库提取平衡面板上的网站主机及其HTTP请求的SQL代码。这个代码包括了"第一方"、"第三方 "和 "cookie "的精确定义。
3.2网站级别的元信息
我们首选的衡量一个网站主机是否迎合欧盟受众的标准是基于国家顶级域名(TLD)。判断一个网站主机是否迎合欧盟受众的第二种方法是从网站中提取元信息。其思路是,网站内容的语言应该是衡量目标受众的一个指标。除英语外,欧盟有23种官方语言。HTTP响应头中有时会包含内容编码的语言信息。我们使用HTTPArchive从我们分析的网站中提取这些信息。我们从另一个来源的HTTPArchive数据中观察到的网站的国家特定需求信息,我们将这些信息加入到网站中。如果有的话,我们会从Alexa中获得世界上每个国家的排名(基于页面浏览量,截至2019年10月)。Alexa没有我们样本中所有网站的这些信息,但我们可以为42,764个网站添加这些信息。如果一个网站至少在一个欧盟国家出现在Alexa的排名中,我们将其定义为迎合欧盟受众的网站。
3.3消费级元信息
我们的网站级别的信息,每个国家的网站的受欢迎程度补充了消费者级别的受欢迎程度指标。我们从Nielsen的互联网受众测量服务NETVIEW中获取专有点击流数据。该服务通过在用户设备(桌面PC或MAC)上安装并在后台操作的应用程序记录所有的URL访问来监视大量互联网用户的在线活动。消费者被鼓励参与并通过奖励计划留在小组中,他们可以交换零售和旅行券的信用积分。消费者每月赚取固定数额的信用积分,每季度参加一次彩票。注册后,Nielsen要求参与者填写一份关于基本人口统计的调查,如收入、年龄和性别。这些数据让我们跟踪了德国和美国的用户访问量最大的1000个领域,每个月从2017年5月到2018年11月。我们可以访问用户类型的精细化聚合。我们可以区分84个用户组,包括性别(2个类别)、年龄(6个类别)和收入(7个类别)。对于每个用户组、网站和月份,我们观察到唯一访问者和页面视图的数量。在这个组合数据集中,我们匹配了来自HTTPArchive的点击流数据和网站级信息,涵盖了18个时间点上的1,298个网站(我们每月使用HTTPArchive的第一个快照)。
3.4供应商级元信息
对于我们的实证分析,我们还关注第三方网络技术提供商的位置。自GDPR生效以来,域名注册数据已经不再公开。作为网络技术提供商位置的代理,我们使用其特定国家的顶级域名(Batikas等,2019)。例如,当第三方域名使用欧盟特定的顶级域名(如de或fr)时,我们将第三方域名定义为更有可能位于欧盟。
我们进一步从WHOTRAKS.ME获取关于HTTPARCHIVE中第三方Web技术提供者的域名的元信息。WHOTRAKS.ME背后的公司提供浏览器点击和浏览器插件,如GoHealthTM,因此能够记录由他们的浏览器或浏览器扩展的用户访问的网站所发出的HTTP请求。这些用户中有一些位于欧盟内部,一些在欧盟之外。公开可用的数据集是由网站、月份和区域组成的个人级别数据的集合(Karaj et al., 2019)。对我们最重要的是,WHORTRAK.M.还提供了第三方域关于服务类型的分类,例如广告、社交媒体、分析等,以及第三方域与操作它们的公司之间的匹配。WHOTRAKS.ME的数据库是广泛的,但不是所有我们在HTTPArchive观察的第三方域全都被包括在内。我们认为第三方域不会作为独立的公司出现在WHOTRAKS.ME。
Evidon的行业目录中的数据还为我们提供了一个子样本追踪者的隐私政策信息。Evidon是一家专门为网络行业提供服务的公司,为收集用户同意和在线广告的监测和审计提供技术和服务。对我们来说,最重要的是,他们提供了一个数据库,其中包括了活跃在网络技术行业的数千家公司的元信息。通过这个数据库,我们可以观察到一个网络技术提供商是否披露其是否收集和与第三方共享数据。我们可以区分匿名、伪匿名、聚合、可识别个人身份(PII)和敏感(涉及个人财务或健康信息)数据。我们可以访问Evidon的两个快照,分别于2017年9月和2019年7月获得的数据。
3.5计量经济模型
我们做了一组双重差分模型,如下:
其中Number3rdParties是网站i在时间t请求的第三方域名的数量,Post代表GDPR在2018年5月25日生效后的期限。μ包括特定群体的线性时间趋势和网站固定效应。假设误差项是标准分布,并且我们报告在网站级别上进行聚类。之后我们沿着不同的维度对这个模型进行了调整,主要是改变了因变量,但也考虑了时间的固定效应,使我们能够对长期变化进行预测。
四、调查结果
4.1与第三方和cookies的交互
4.1.1对第三方域的请求
图2的左侧面板显示了每个欧盟和非欧盟网站的第三方请求的平均日志数量。我们看到,在GDPR引入后,有欧盟受众的网站的第三方域名请求数量突然大幅下降,但有非欧盟受众的网站也是如此。在表1中,在控制网站-主机固定效应和线性时间趋势的情况下,我们估计,这种减少是8.1%(欧盟)和2.4%(非欧盟)。
稳健性检验和潜在的局限性
HtPARCHIVE已经介绍了他们用来收集HTTP请求信息的技术的一些变化,以及他们收集这些信息的网站主机列表。这就减少了我们能够在足够长的时间内持续观察的网站的数量。因为四个快照中有一个非典型分布的关键变量,很可能是由测量误差引起的,所以我们把它们排除在我们的样本外。这些快照是05-01-17、08-01-17、08-1517和09-01-17。然而,正如我们在表2中所示,即使包括这些样本,结果也是定性相似的。
当我们使用不同的方式来定义网站作为迎合欧盟与非欧盟的受众时,我们发现了类似的点估计值(大多数没有统计学意义上的差异),如表3中所示。具体而言,我们将(1)在至少一个欧盟国家中排名Alexa的网站与不排名的网站进行比较,(2)发送至少一个以欧盟国家的一种官方语言(不包括英语)编码的HTTP头的网站与不发送这种语言的网站进行比较,(3)根据我们的点击流数据,比较德国用户访问的网站与美国用户访问的网站。
有人可能担心未观察到的变量会给我们的点估计带来偏差。具体而言,值得关注的一个要点是,驱动网站选择向第三方域请求的其他因素与GDPR的引入正好吻合。在表4的列(1)-(3)中我们使用我们的基线规范观察期前一年的数据。然后,我们根据2017年5月25日之后请求的第三方域的数量变化进行估计。结果表明,迎合欧盟受众的网站将第三方域名的数量增加了0.7%,而满足非欧盟受众的网站将第三方域名的数量减少了0.2%。这些变化的方向相反,而且很小,这一事实表明,依赖时间的不可观测因素不太可能在经济上对我们的主要结果产生相当大的偏差。
在第(4)栏中的第二项对照组测试中,我们观察了一组特定的网站。我们观察了57个 "盗版 "网站,这些网站提供了未经许可的内容(音乐、电影、体育直播流),这些网站被IT安全和娱乐行业的报告和黑名单确认(Batikas等,2019年)。对于这些网站,其存在主要是由于其底层组织被隐藏起来,因此版权法的执行难度很大,我们预计GDPR的执行同样也很困难。因此,我们不应该看到反应。事实证明,我们不能拒绝这个假设。虽然点的估计值是2.8%,但标准误是很大的。
数据的一个潜在限制可能是HTTPARCHIVE从位于加利福尼亚的服务器中删除了一些网站。与相关研究不同(例如,Johnson and Shriver, 2020),HTTPARCHIVE不允许网站根据其访问的地理位置来发布不同的HTTP请求。因此,我们也从WHORTRAKS.ME的类似数据中运行我们的分析,这使我们能够观察到位于不同欧盟成员国和美国的用户访问网站时所请求的第三方。然而,也有一些警告。首先,数据集仅覆盖了GDPR引入前一个月。第二,它只覆盖whotracks.me可以跟踪的用户访问的网站。这限制了我们在2018年4月和2019年5月之间的14个月里只能研究775个网站的样本。表5中结果显示在欧盟(美国)用户访问的网站按要求改变第三方的数量(16.7%)(16.6%)。如Post×EU系数所示,这种差异没有统计学意义。因此,我们的结论是,在我们的分析层面上,地理目标网站应该不是问题。虽然网站可能会向世界不同地区的用户显示地理目标广告,但网站的结构应该不会受到地理目标的影响。此外,即使一个网站会触发的欧盟用户和非欧盟用户的HTTP请求数量不同,我们的研究结果也至少会是一个下界。这是因为,在GDPR出台后,针对欧盟用户的网站版本中的HTTP请求应该比非欧盟用户的网站版本中的HTTP请求变化更强烈,这一点我们是可以观察到的。
4.1.2第一方和第三方Cookie
图形2的右侧表格显示通过发送Cookie响应网站请求的第三方域的平均日志数量。GDPR引入后出现急剧下降。而对于第一方的cookie则正好相反,它通常不涉及与第三方共享信息。表6列(1)-(3)中报告的结果使用我们首选的基于TLD的欧盟用户定义,表明减少发送cookie的第三方域名的数量是12.8%(欧盟)和5.5%(非欧盟)。这明显低于我们所请求的第三方域的总数(置信水平90%)。看看第一方cookies的数量,我们发现网站增加了1.7%的欧盟用户,并增加了网站迎合非欧盟2.5%的用户。第一方Cookie的增加或许可以部分地解释为Web技术产业对苹果智能跟踪预防政策的战略响应。该政策在2017年6月宣布、11月推出,这有效地禁止了苹果设备的第三方跨站点跟踪cookies。例如,谷歌(2017年9月)、微软(2018年1月)和facebook(2018年10月)调整了他们的跟踪技术,使得他们在发布cookies时可以“隐藏”在第一方网站的域名后面。虽然这些反应的时间似乎与在GDPR引入前后的第一方cookies的稳定增长相一致,但这些战略变化可能与我们在数据中观察到的GDPR引入的不连续性相关。
4.2合规
4.3短期变化与长期趋势
图3的右侧表格描绘了一个模型的预测结果。该模型显示,在GDPR后仅4个月,拥有非欧盟受众的网站就反弹到了GDPR之前的水平。而拥有欧盟受众的网站在22个月后又恢复到了最初的水平。图3的中间和右侧表格表明,从结构上看,包括个人数据在内的cookies的变化可能更具有可持续性。我们既看到使用第三方cookie的请求数量出现了下降的转变,也看到了随后的回升趋势。第一方cookie的数量向上转移,并持续增长,坡度较陡。
4.3.1第三方供应商地理定位
我们现在感兴趣的是,网站减少向第三方域发送的请求是否因第三方运营的司法管辖区不同而不同。如果网站关心GDPR的合规性,考虑到2.4节中描述的数据控制者和处理者之间的共同责任风险,网站可能更倾向于使用基于欧盟的网络技术提供商。我们按国家指定的TLD来近似地计算第三方网络技术提供商的位置。表7的第(1)列显示,GDPR颁布后,不仅是针对欧盟受众的网站,而且是针对非欧盟受众的网站,对第三方域名的请求份额明显增加。分别增加了0.34个百分点(欧盟网站)和0.03个百分点(非欧盟网站)。在第(2)栏中,我们重复了这项工作,但考察欧盟认为提供足够的隐私保护的国家的TLD向第三方提出的请求份额随着GDPR的引入而变化。结果表明,网站与这些国家的TLDs的追踪者份额减少了0.02个百分点(欧盟和非欧盟网站之间没有明显的差异)。最后,在第(3)栏中,我们看一下来自所有其他国家的TLDs对第三方的请求份额。在这里,我们看到欧盟网站(0.33个百分点)比非欧盟网站(0.02个百分点)的下降幅度更大。因此,这些结果表明,特别是那些迎合欧盟受众的网站对欧盟境内的第三方服务的请求增加了,而对欧盟以外的第三方服务的请求减少了,但对那些在欧盟认为可以提供足够的隐私保护的国家运营的服务的请求减少了很多。
4.3.2第三方供应商的隐私政策
现在我们来分析,随着GDPR的引入,第三方网络技术提供商的行为和这些技术的市场作为一个整体的变化。
在GDPR生效之后,我们分析了Web技术市场中的公司是否改变了他们的隐私策略。我们通过Evidon提供的行业数据库,获取了GDPR生效前后3993家企业的数据收集和共享政策的详细信息。在广泛性方面,表8和表9的第(1)栏显示,GDPR生效后,网络技术提供商更倾向于公开披露其是否收集任何数据,以及是否与第三方共享数据。从密集度上看,我们在表8中显示,在GDPR之前已经披露了数据收集政策的网络技术提供商(第2列),在GDPR之后,声明他们收集个人数据的可能性较低。而在GDPR之后才披露数据收集政策的网络技术提供商(第3栏),则更有可能声明他们收集个人数据。在表9中,我们显示,网络技术提供商更有可能声明他们与第三方共享个人数据,这与他们是否在GDPR之前已经披露了数据共享政策(第2栏)或在GDPR之后开始披露数据共享政策(第4栏)无关。在第(3)和(5)栏中,我们还显示,声明收集个人数据的网络技术提供商也更有可能声明与第三方共享个人数据。在GDPR之前,我们没有发现收集和共享个人数据之间存在显著的关系。在表10的第(1)列中,我们发现在GDPR之后,网络技术提供商更有可能披露任何数据保留政策。在第(2)栏中,我们发现那些在GDPR之后才披露数据保留政策的网络技术提供商更有可能表示,只要是为了满足业务需要或法律规定的需要,都会存储数据。在第(3)栏中,我们发现,以月为单位的声明保留期没有明显增加,条件是披露任何数据保留政策。
下一步,我们感兴趣的是,收集或共享个人数据的网络技术提供商是否因为GDPR的引入而失去了市场份额。我们用
计算市场份额,其中ni是向第三方域名/公司i发送请求的欧盟 /非欧盟网站的数量,并按照收集/共享个人数据的第三方域名区分。图4的左侧表格显示了欧盟和非欧盟市场上收集(上半部分)和分享(下半部分)个人数据的第三方服务的市场份额的变化。有明显的趋势,但没有明显的不连续性,这些趋势与GDPR的引入相吻合。欧盟和非欧盟市场之间的差异似乎相对稳定,尽管在GDPR颁布后似乎有了变化,即欧盟市场份额的下降幅度大于非欧盟市场份额。图4的右侧表格显示了不收集(上半部分)和不分享(下半部分)个人数据的第三方服务在欧盟和非欧盟市场的份额是如何演变的。模式并不清晰,但就不收集个人数据的第三方服务而言,欧盟和非欧盟市场份额之间的差距似乎有所扩大。相比之下,那些不共享个人数据的第三方服务并没有看到实质性的变化。
表11显示的是控制了预先存在的趋势的回归模型的结果,表11证实,拥有包括收集或共享个人数据的隐私政策的第三方网络技术提供商与拥有不同隐私政策的第三方网络技术提供商之间的市场份额没有统计学上的显著差异。与图4的右上角的面板很像,我们发现收集个人数据的服务在欧盟市场上的份额显著增加。该点估计为0.0006个百分点,相对于样本平均数而言,增加了1.6%。
4.3.3网站知名度
到目前为止,我们已经表明网站在GDPR之后减少了与第三方Web技术提供商的连接。我们也感兴趣的是网站的反应是否取决于网站的流行程度。例如,请求的第三方域的数量的平均减少可以基于网站的流行性来隐藏异质性。如果不是所有网站都以相同的数量减少他们对第三方域名的请求的话,例如更频繁访问的网站在更大程度上减少他们对第三方域名的请求,这将意味着迄今为止我们低估了整体的变化。
为了阐明这个问题,我们转向了消费者层面的分析。图5 描述在浏览某个月前1000个访问量最高的网站时遇到至少一个第三方Cookie的平均可能性(使用尼尔森测量的受欢迎程度,通过使用HabPARCHIVE数据测量的第三方Cookies)。我们区分美国的消费者和德国的消费者。左侧表格显示未加权平均值,在这里我们再次观察到GDPR生效时的急剧下降。这对美国和德国的用户来说都是正确的,但美国和德国用户之间的差异似乎也变小了,或许这表明德国用户的变化更为明显。右边则显示了网站总观众的平均权重。在这里,我们没有观察到这种尖锐的不连续性和更普遍的下降趋势。美国和德国用户之间的差异似乎保持稳定。
我们在表12中更仔细地观察这些结果。控制每组特定的线性趋势并使用第(1)列中用户-组的固定效应,我们估计使用cookie向第三方发送请求的访问网站的份额减少了1.9%(德国用户)和0.9%(美国用户)。我们现在转向一个线性概率模型,额外控制了时不变的网站固定效应。在列(2)中,我们发现在给定的1.7%个月(德国用户)和0.8%(美国用户)中接收至少一个第三方cookie的可能性降低了。在栏目(3)和(4)中,我们添加互动术语,测量网站受众的大小。我们发现,消费者访问更受欢迎的网站有很低的可能性收到第三方cookies后GDPR生效。然而,这只适用于德国用户。点估计表明,当我们考虑样本中页面浏览量最少和最多的网站时德国用户的变化在0.4%和4.2%之间变化。
4.3.4隐私敏感与年轻消费者
除了网站的受欢迎程度之外,拥有特定人口目标受众的网站在GDPR生效后,其第三方请求也会有不同的变化。在GDPR的同意要求背景下,有两个群体似乎特别有趣:对隐私有较高偏好的消费者和不能给予具有法律约束力同意的年轻消费者。我们效仿了AviGoldfarb和CatherineTucker于2012年的研究,如果消费者在Nielsen的调查中选择了“倾向于不说”的选项,则将其分类为对隐私敏感的消费者。我们同样观察了年龄在2到17岁之间的用户,直接分类为成人与儿童/青少年。
在表13中,我们报告了与第三方服务连接的网站发送cookies的比例(第1-3栏),以及在特定月份内浏览前1000个访问量最大的网站时至少收到一个第三方cookies的可能性(第4-6栏)。我们发现有强有力的证据表明,德国的年轻用户在第三方请求的网站中,其份额上减少了三倍(18岁以上的德国用户从4.3%下降至1.5%),而接受第三方cookies的可能性降低了1.5倍。美国的年轻用户与美国的老用户相比,我们的结果并没有表明隐私偏好较强的用户受到不同的影响。我们只在第(3)栏中看到了关于发送第三方cookies的网站份额的差异。在美国,对隐私敏感的用户的份额下降了1.6%,比其他美国用户的下降幅度(-0.9%)大了近2倍。相比之下,德国的隐私敏感用户的网站发送第三方请求的份额比德国其他用户的份额减少了3倍(0.5%比1.5%)。
当然,这些结果反映了不同用户群体倾向于访问的网站类型。在图6中我们为年轻用户、隐私敏感用户和所有其他消费者绘制了集中度指数。这表明,年轻用户的需求更为集中,隐私敏感度更低,是所有消费者中需求集中度最低的。因此,年轻消费者访问最受欢迎的网站(例如,YouTube)比隐私敏感型消费者和其他消费者更频繁。连同表13中的结果显示出GDPR带来的变化对于热门网站来说影响更大,这可以佐证我们的研究成果。
4.4市场结构与竞争
4.4.1欧盟和非欧盟市场的集中度
接下来我们来考查网络技术市场的市场结构是否在GDPR之后发生了变化。利用WHOTRAKS.ME的元数据,我们观察了第三方域名的所有权结构。例如,谷歌运营着各种不同的域名,包括一些不太知名的域名,如doubleclick.net、invitemedia.com和2mdn.net等。在图7的左侧表格中,我们展示了Herfindahl-Hirschmann指数(所有公司的市场份额的平方之和)随着时间的推移是如何发展的。我们根据迎合欧盟受众的网站市场和迎合其他受众的网站市场来定义市场。非欧盟市场的HHI随着时间的推移呈上升趋势,随着GDPR的生效,没有明显的变化。相比之下,在GDPR之前,欧盟市场的HHI没有明显的趋势,但在GDPR出台之后,我们看到其有了很大的增长。这在短期内尤其明显,但似乎有增加的趋势。在我们观察期结束时,欧盟市场已经赶上了非欧盟市场。
在图7的右侧面板中,我们绘制了当排除市场份额最大的公司时的假设市场结构。在欧盟和非欧盟市场上,最大的公司都是谷歌。当比较左侧表格和右侧表格的比例时,谷歌在这个市场的主导地位就变得很明显。包括谷歌在内的HHI大致在900到1000之间变化,而不包括谷歌的假设HHI的变化大致只有60到80之间。我们看到这两个市场都有下降的趋势,非欧盟市场没有明显的变化,但在GDPR生效后,欧盟市场则出现了急剧下降。GDPR生效之后,我们发现网络技术市场变得更加集中,HHI指数上升了3%。表14显示,这一结果是由谷歌的市场份额变化(第1-2列)驱动的,而不是其他公司的市场份额变化(第3-4列)。由于样本量较小,自然会伴随着汇总到市场层面的小样本量,因此这些回归结果表明,欧盟市场的HHI指数在911.3(914.5)点的基数上显著提高了26.3(30.4)点,即2.9%(3.3%)。我们并没有发现非欧盟市场的集中度明显提高。Post的点估计也远小于Post×欧盟网站的点估计。第(3)和(4)列中的假设HHI,可以发现从74.1(74.2)点的基数来看,下降了5.5(5.3)点,即7.4%(7.1%)。这表明整体市场集中度的提高似乎完全是由优势企业市场份额的增加来解释的。
4.4.2市场份额
为了更详细地说明我们在总的市场层面上看到的结果,现在对市场份额进行分类分析。图8绘制了欧盟和非欧盟市场上增长幅度最大的十家企业("赢家")和下降幅度最大的十家企业("输家")在GDPR生效前两周和生效后两周的市场份额变化图。在图9中进行了同样的研究,但在这里,我们考察的是GDPR出台前6个月和后6个月的整个观察期。虽然在不同的时间范围和市场中,失去市场份额最多的企业各有不同,但无论是在欧盟市场还是非欧盟市场,谷歌都是短期和长期市场中的明显赢家。
这些研究在回归分析中得到了延续。表15的第(1)列显示,在GDPR生效后,欧盟和非欧盟的第三方域的市场份额平均没有变化。在第(2)-(4)列中,我们将数据进行汇总,在计算市场份额时,将所有的网络技术提供商的追踪者合并在一起。同样,可以发现在GDPR生效后,欧盟和非欧盟的网络技术提供商的市场份额平均没有变化。当我们专门将市场份额最高的两家网络技术提供商(Facebook和Google)与第(3)列中的所有其他企业进行比较时,发现点估计大幅增加。然而,估计的系数与零没有显著差异。在第(4)列中,将市场份额最大的公司(Google)与所有其他公司进行比较,可以看到Google的市场份额显著增加。在非欧盟市场方面,估计表明增加了0.1个百分点,而在欧盟市场方面,发现增加了0.5个百分点。相对于谷歌在GDPR前与非欧盟网站的市场份额,以及谷歌在GDPR前与欧盟网站的市场份额,分别增加了0.3%和2.2%。由于没有足够详细的收入数据公开,因此很难给这些市场份额的数字附加一个货币值。不过,为了进行一个说明性的反向计算,我们从谷歌母公司和Facebook向美国证券交易委员会提交的季度报告中收集了相关信息。Alphabet报告谷歌广告收入和按全球地区分列的总收入(其中2018年第三季度谷歌广告收入约占86%)。欧洲、中东和非洲被视为一个地区(EMEA)。假设EMEA在谷歌广告收入中的份额与EMEA在Alphabet整体收入中的份额相同,推断出谷歌在EMEA的广告收入随着时间而变化。Facebook分别报告了欧洲和全球其他地区的广告收入。在回归分析中,我们查看了广告收入的对数,并比较了前一时期的截距和后一时期的截距,控制了季度固定效应,由于样本量非常小,我们没有发现谷歌有显著变化(在欧洲、中东、非洲和欧洲以外地区的系数为-3%)。然而,Facebook则损失明显(在欧洲以外地区下降-12%,欧洲地区下降14%)。这个分析当然没有那么严谨,但模式至少与我们论文中的研究结果是一致的。
最后,我们进一步区分表16中谷歌活跃的子市场。这有助于了解GDPR生效后,谷歌在哪些服务类别中获得的市场份额最大。使用Whotracks.me分类的一个细微变化,我们在6栏区分了视频/音频播放器(第1栏)、广告(第2栏)、Tagmanager(第3栏)、分析(第4栏)、cdn/api(第5栏)和其他/未知服务。根据表15的结果,只能看到谷歌的市场份额发生了显著变化,而其他公司的市场份额没有变化。首先,从谷歌在非欧盟网站的市场份额变化来看,谷歌在分析方面的市场份额增幅最大,为1.9%,而其他/未知类网站的市场份额下降幅度最大,为-16.6%。然而,需要注意的是,在GDPR生效之前,谷歌在后一类产品中的市场份额已经不到0.25%。关于欧盟网站,我们发现音频/视频播放器市场(-7.5%)、标签管理器市场(-8.0%)和cdn/api市场(-1.4%)大幅下降。数据分析市场(7.2%)和广告市场(5.4%)增幅最大。因此,可以得出结论,谷歌与非欧盟网站的整体市场份额增长0.3%的平均效应和谷歌与欧盟网站的整体市场份额增长2.2%的平均效应隐藏了显著的异质性。至少在欧盟网站市场上,谷歌主要在其广告和分析业务最强的市场中发展壮大,市场份额分别为25.8%和38.4%。
五、讨论
5.1隐私权法律与动态合规风险
鉴于GDPR的联合责任机制所带来的风险,如果网站不能准确评估其网络技术供应商的隐私风险,减少其风险的最好方法是减少对网络技术供应商的使用,比方说通过内含行为监控和消费者分析。同样,从第三方向第一方cookie的转变会降低网站的合规风险,尤其是针对那些对隐私敏感的消费者群体的网站。
如果网站仍然需要使用外部供应商,它可以通过转向欧盟供应商商来降低其合规风险。平均而言,网站可能比非欧盟网络技术供应商具有更高的可信度,即基于欧盟的网络技术供商更符合GDPR标准。此外,网站可能会选择大的网络技术供应商,因为这些供应商可能有更多的资源来应对GDPR带来的法律挑战。通过选择一个大型的网络技术供应商,网站也可以降低其自身的合规风险。
我们发现,请求第三方的数量在4到24个月后反弹。这符合合规风险的解释:GDPR最初显著增加了法律风险,由于法律的不确定性,因此网站采取谨慎的方式解释GDPR。然而,随着时间的推移,这种不确定性随着新的政策方针(例如欧洲数据保护委员会)的发布而降低。网站可能已经学会通过解释这些准则,寻求法律顾问和观察竞争对手来适应。因此,关于GDPR的初始警告随着时间的推移而减少,并且网站在生成第三方请求时变得更加活跃。相比之下,我们发现使用cookies的第三方持续减少。鉴于第三方cookies通常至少通过识别浏览器和设备包含个人数据,这似乎符合数据最小化的目标。此外,我们估计使用cookies的第三方减少的百分比(绝对值是第一方cookies增加的4-15倍)大约是2-7倍。我们预测,从长远来看,使用cookies的第三方的下降速度会高于第一方cookies的上升速度,但这仅限于针对欧盟用户的网站。
5.2隐私权法与贸易政策
我们观察到,即使是面向非欧盟受众的网站,也会减少GDPR生效之后使用第三方网络技术供应商。非欧盟网站正在从第三方Cookies移动到第一方Cookies,并且它们越来越多地依赖于欧盟的网络技术提供商。
这些变化,虽然对于受GDPR约束的网站来说是合理的,但对于不受GDPR约束的网站来说,似乎是一种令人困惑的行为。然而,如果考虑到GDPR广泛的地域适用性,它们就变得可以理解了。根据国际公法的一般原则,欧盟不能对发生在欧盟之外且与欧盟无关的个人数据的处理进行管制。然而,欧盟已经将欧洲隐私法事实上的领土范围扩大到远远超出欧洲地理范围的边界。由于遵守GDPR的成本高昂,一些跨国科技公司决定在全球范围内对所有消费者应用GDPR规范,尽管GDPR并没有要求他们这样做。这些公司通过不必提供两种版本的产品和服务(面向欧盟内外的人员)和采用类似的隐私制度(Bradford,2020,143-144)来节省成本。
关于国际规制竞争的文献已经发展出一个普遍的理论,即欧盟通过市场机制和单边监管全球化的结合,实际上已将其严格的监管法律外部化。根据布拉德福德(2012,2020),欧洲隐私法是布鲁塞尔效应的一个例子,除了欧洲反垄断、卫生和环境法(参见Goldstein和Wu,2006年和Schwartz,2019年)。我们的研究为欧洲隐私权法中的这一争论提供了最早的实证探索之一。
欧盟不是唯一一个其隐私法可能具有域外效力的司法管辖区(Rustad和Koenig,2019年)。加州消费者隐私法(CCPA)于2020年1月1日生效,并纳入了一些GDPR的概念,如访问权、可移植性和数据删除权等,适用于所有在加州开展大量业务的营利性实体。它保护在加州的加州居民,这些人在加州不是为了暂时性的目的,而是为了在加州居住,虽然目前可能暂时在加州以外的地方(Cal.Civ.1798.140(c)、(g);Cal.CodeRegs.tit.18,§17014).因此,CCPA可以适用于加州以外甚至美国以外的网站和网络技术提供商,只要是为加州居民服务的网站和网络技术提供商。美国其他几个州也在考虑出台类似甚至比CCPA更严格的隐私法。如同GDPR中的布鲁塞尔效应一样,我们可能会在未来的美国隐私法中观察到加州效应(Vogel,1995),即各州隐私法向监管标准最严格的法域靠拢。
5.3隐私法与反垄断政策
欧洲立法机构在设计GDPR时,很可能不是为了提高集中度和增加占主导地位的公司的市场份额。事实上,欧盟委员会(EC)在2012年强调了未来GDPR的有利竞争效应将如何提高欧洲作为经商地点的吸引力(EuropeanCommission,2012,148-149)。
GDPR大规模地实施和执行了网站的许可要求,这使得提供更广泛服务的大型企业大幅度地受益(Campbell等,2015)。另外,网络技术市场的集中度可能还可以用规模经济来解释。为什么只有在GDPR实施前市场份额最大的公司才会增加其市场份额?在表17中,从广告网络子市场来看,我们发现谷歌和Facebook都增加了欧盟目标网站的市场份额,但谷歌的增幅是其四倍。这可能是由于网络效应,使得网站更愿意使用更大的广告网络。因为谷歌在广告技术市场上的市场份额已经是Facebook的3.5倍,因此,网络效应使得网站更愿意使用更大的广告网络。另外,在过去几年中,Facebook在隐私问题上的声誉也受到了影响。Facebook在GDPR实施前最强势的与迎合欧盟受众的市场(59.5%的市场份额)失去了9.8%的市场份额:因为“like/share/login”等功能,让Facebook可以在网站间追踪用户(Roosendaal,2012)。这与共同责任的问题以及最近的欧洲案例法中涉及网站及其对Facebook的“like”的使用情况是一致的。
网络技术市场集中度的提高,可能是GDPR的后果中一种意料之外但又不可避免的现象。这就提出了隐私法和反垄断政策的关系问题。根据欧洲法律,反垄断法和隐私法在传统上是截然不同的。欧洲反垄断法的执行是由欧盟和成员国层面的公共反垄断主管部门和成员国层面的反垄断主管部门共同完成的;而隐私法的执行在传统上是薄弱的,由成员国主管部门来完成,有时成员国主管部门会在其机构中进一步下放这一任务。就在2014年,欧盟委员会在批准Facebook和WhatsApp的合并案时就指出,"因交易导致Facebook控制范围内的数据更加集中而产生的任何与隐私相关的担忧不属于欧盟竞争法规则的范围,而是属于欧盟数据保护规则的范围。"
我们的研究结果表明,越来越难以将反垄断法和隐私法作为两个不同的法律领域来概念化,其目标、救济方式和执行机制都不尽相同(Economides和Lianos,2019)。一方面,网络效应、缺乏服务条款和隐私政策的竞争以及用户同意在隐私法中的有限效力(Acquisti和Grossklags,2005;Barth和de Jong,2017),可能会使企业通过违反隐私法来提高其主导地位。另一方面,我们发现,旨在加强隐私保护的法律可能同时会降低相关技术市场的竞争。处理个人数据、分析用户档案和预测消费者行为是高度集中的互联网市场的基石,设计不直接影响反垄断政策的隐私法(或反之亦然)几乎是不可能的。
六、结论
我们就GDPR对网站和网络技术提供商带来的变化提供了强有力的、大规模的证据。我们展示了企业在GDPR之后如何降低合规风险:网站减少了第三方跟踪器的数量,从第三方转向第一方cookies,从非欧盟的网站技术提供商转向欧盟的网络技术提供商,从小型提供商转向大型提供商。我们记录了短期内网站使用第三方网络技术的数量减少,但没有看到长期增加趋势的变化。然而,第一方和第三方cookies的减少似乎更具有持续性。我们提供了欧盟隐私法中的布鲁塞尔效应的经验证据:面向非欧盟受众的网站和网络技术提供商不受GDPR的约束,但仍在遵守GDPR。最后,GDPR颁布后,网络技术市场变得更加集中,占主导地位的公司--谷歌公司的市场份额不断增加。研究结果表明,GDPR的一些最重要的影响可能与隐私无关,而是与反垄断和贸易政策有关。这表明了这些领域的法律之间的联系是如此的紧密。我们将对隐私和反垄断法之间的理论关系的影响留给未来的研究。
声明:本文来自数字经济与社会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。