加入收藏 | 设为首页 |

隐私治理策略的国际比较

隐私 时间:2019-08-12 编辑:申博sunbet 浏览:
愿景再美,也须落地,隐私问题自不例外。如何为“不愿被偷窥”与“不作透明人”定出实操方案是个难题。目前,无论是法律法规的设计,还是具体的合规事宜,中外彼此交融都不鲜见。仅就“西风东渐”这一层次而言,国外经验数量很多,彼此却未必相洽。 解答上

愿景再美,也须落地,隐私问题自不例外。如何为“不愿被偷窥”与“不作透明人”定出实操方案是个难题。目前,无论是法律法规的设计,还是具体的合规事宜,中外彼此交融都不鲜见。仅就“西风东渐”这一层次而言,国外经验数量很多,彼此却未必相洽。

解答上述难题,无疑会由《隐私如何落地:影响欧美公司行为的因素》(PrivacyontheGround:DrivingCorporateBehaviorintheU-nitedStatesandEurope)一书得到启发。两位隐私领域知名学者Mulligan和Bamberger周历五国,访谈数百位隐私治理领域关键人物,监管者有之、企业数据官有之、隐私律师亦有之。回顾隐私领域研究,能获取大量切于肯綮而又近乎“一手”材料者,几乎是“独此一家”。

《隐私如何落地》的贡献可概括至两点:第一,整合五国材料基础上,系统探究了“柔性”与“刚性”隐私治理模式间的绩效差异。据作者所见,柔性模式中,法律及其执行较为灵活,政府、市场与行业的互动亦较为频繁。初看之下,柔性模式的威慑力并没有法条细密的“刚性”模式严厉,前者的隐私治理绩效,却又显著优于后者。第二,以上二分,未必与传统的欧美之分相重合。譬如,在治理模式上,和德国更接近的是美国,而非其他欧陆国家。

本文是对《隐私如何落地》的细致介绍与评论。第一节将详述柔性治理模式,并说明德美两国共归于此类的缘由;第二节谈论刚性模式,以及将法国西班牙纳入此类的理据;第三节简述“刚柔兼有”的英国治理模式;第四节则在概述近年欧美隐私治理比较研究的基础上,概论本书分析与结论,最末是对当下的启示。尤其值得注意的一点是,作者对柔性治理模式多有青睐,然而,如此倾倚的幅度,可能超出了现有证据所能支持的限度。此处似有矫校空间。

以美国、德国为代表的柔性治理模式

面临亟待解决的难题,“抓手”不止法律一种,规条之外,市场、自律乃至技术,各自适应于不同场景。法律,因而不是隐私治理的全部:一方面,如何设计法律,本身会影响“抓手”间的权重。譬如,若法律要求一旦隐私泄漏,企业即应就此通告全体用户,这一点无疑会放大市场的作用,企业将因不安全的负面名声失去份额;另一方面,法律所及自有范围。相比“事无巨细”的繁牍,仅“执之大端”的法律,将给其他手段留下更多空间。

就第一点而言,隐私领域中的美国法律,多倾向强化市场与自律的功效。要求通知泄漏事件的法律,几成各州标配。如上所述,此类法律,又将强化市场这一极的作用。据书中访谈,泄漏通知及常伴相应事件而来的汹涌舆论与声誉损失,颇为企业所忌惮。于是,来自企业的访谈者,频繁在访谈中如此发声:“(隐私)关系到企业与员工、客户、用户之间的信任……”“关于隐私的需求在销售中不停涌现……”“隐私关系到我们(企业)的生存”,等等。

另一强化其他“抓手”的特性是不确定。隐私方面,美国法律有如下两特点:一是“支离”,二是“含混”。仅以后者为例,联邦贸易委员会(下称“FTC”)常借《联邦贸易委员会法》惩戒侵害用户隐私的企业,细究其中根据则是1938年添入的Wheeler-Lea修正案“禁止商业中的不公平或欺诈行为”。然而,“不公平”或“欺诈”,实在难以定义。初期,FTC执法范围限于企业违背隐私协议中承诺的情形,不过相应范围正有显著的扩张趋势。

表述“含混”,何以强化其他“抓手”的效力?这一点又可作两方细化。居首,FTC等机构的执法策略,多与“消费者期待”的起伏关联,如Waldman等学者研究所示,“不公平”或“欺诈”,实质常常是“与个体预期相抵触”。访谈当中,“监管动向”与“用户观念”,亦时常成对出现。由此,企业面对的不是一五一十的准则,而是不断演化的趋势。变化跟前,企业多采取“向前看”态度,尽量了解、预测甚或塑造用户观念,并以此为基准约束自己。

恒常扰人的模糊性,促进了企业与监管层的互动。期待诚然重要,却难以持续准确把握,消费者预期之外,执法仍有许多其他因素。强渡惊涛骇浪,不如未雨绸缪,企业因此时常联系监管层。既求了解最新动向,以提前布置合规;又求展示已行自律,希冀监管认可。访谈如此概括企业考量:“我(企业)宁愿现在(和监管)谈,也不愿意等到监管执法时再谈”。对此,监管态度同样积极,为适应浩荡迅猛的科技潮流,监管也需要“弄潮儿”的一线见识。企业主动上门沟通,无疑为此提供了成本低廉,又足以把握最新动态的机会。

市场凌慑与监管阻遏之下,企业愈发严肃对待隐私,并将隐私看作足以影响经营存续的风险。用作者的话说,这是一种基于“战略风险管理”的隐私治理视角。有访谈者如此总结这一现象:“我们(从业者)都在讨论(隐私相关的)风险……保护信息的同时,我们也在缓解企业面对的风险。”也有更为直白的受访者提到,“实践层面中的隐私治理……通常发生在风险控制部门。”此类陈述符合许多企业的实践,将隐私合规纳入日常风控及审计流程中。

隐私治理的“战略风险管理”视角,亦催生了相适应的组织结构。《隐私如何落地》尤其关注以下两方面:其一,与近年来颇为风行、已写入多地监管的“基于设计之隐私”相合,为适应恒常更易的模糊性,企业隐私合规不再囿于法务等少数“对口”部门,而涉及法务、产品、运营、风控等多部门协调。风险遍及生产经营各环节,不在全流程上把好关,则风险管理不充分。之二,出于协调各部门需要,企业隐私官的级别通常较高,并有机会参与核心决策。

上述结论固然细腻,但没有超出研究者及从业者的通常印象。相比之下,“德国隐私治理现状近乎美国,而非欧洲其他国家”的结论,确实让人眼前一亮。简言之,尽管德美在法律体系上存有明显差异,两国在隐私方面共有以下特征:监管者与企业等合规主体的互动颇为频繁,后者由前者获知监管动向,前者向后者“取经”行业现实;隐私合规“渗入”企业决策,亦贯穿企业各部门;企业内负责隐私的职务级别高且影响决策,等等。

当然,德国有与美国泾渭迥然的特色。相比更多倚靠市场及行业施为的美国,德国社会倾向认可隐私权中人权的一面,且不吝以“刚性”法律手段回护隐私。纳粹时监视、统计、分割特定群体并予以迫害的惨剧,以及对东德时分无孔不入监控的暗色回忆,都是坚定隐私保护的思想基础。另外,与美国不同,德国工会直接参与企业运营,在重要事项上多有话语权。作为工会所倡社会价值之一的隐私保护,也会体现在企业的经营实践中。

理解美德两国的隐私治理实践,又是观察相关领域国际动态的“钥匙”。高悬头顶的市场之“剑”,不断演进的治理模式,以及监管与企业间的顺畅沟通,皆是两国形成蔚为可观的隐私保护社群的前置条件。如访谈所示,隐私侵害既损害个体企业名声,也危及行业的美誉与利益。因此,领头企业有激励组织从业者,再循此提升行业整体的保护水平。参与企业越多,相应建议越容易受到监管机构的重视。

以法国、西班牙为代表的刚性治理模式