【人工智能】深析WhatsApp隐私政策更新事件: 数据保护、法律鸿沟、平台与反垄断
刊物介绍
《人工智能资讯周报》探讨人工智能对公共政策、治理和政策建议的影响,探索人工智能对商业、政治和社会的影响,以确定潜在的研究领域,探讨可能的合作研究和机构伙伴关系。本刊着重提供中国人工智能发展动态和对人工智能的思考,同时关注全球范围内人工智能相关研究动态。本刊旨在通过可靠的研究,来帮助企业、研究机构和公民预测和适应技术引领的变化。
(欲获取本刊,请点击阅读原文)
本文作者:曾晨
点击蓝字
关注我们
摘要
数字经济正当时,用户隐私掌于平台间。在互联网企业野蛮生长的环境下,用户的选择权和隐私权在产品垄断化和资本化的过程中被逐渐吞噬。WhatsApp最新版隐私政策所透露出强制数据共享的意图对刚性和灵活的数据保护法均构成公然挑战,可谓跨越了用户隐私保护的最后一道红线。为了在互联网巨头疾速扩张的环境下为用户提供更完善的隐私保护,反垄断法已利刃出鞘,但这真的能如期填补当前隐私保护的空缺吗?在笔者看来,WhatsApp此次事件背后,不仅仅是20亿用户隐私安全,更是就数据保护前路对立法者、企业和用户提出的一次全新挑战,他们需要各尽其能、协同施力,为未来数字经济的发展共绘隐私蓝图。
图源:
https://www.fastcompany.com/90591623/whatsapp-users-will-be-required-to-share-data-with-facebook-in-a-new-policy-twist
2021年1月4日,WhatsApp更新了隐私政策和服务条款,初步声称将于2月8日生效。新政策将要求用户授权其与母公司Facebook共享数据,哪怕用户没有Facebook账户,也从未使用过Facebook的服务,Facebook与其旗下公司也可获得WhatsApp用户数据访问权。而且,WhatsApp在此次政策更新中删除了用户选择退出(Opt-out)的权利——除非用户接受条款,否则用户将无法继续使用该应用软件。此外值得一提的是,此次政策更新不适用于欧盟或英国的用户。
通知一出,随即引来全球各地监管机构的强烈反响,土耳其竞争管理局(Turkish CompetitionAuthority, TCA)针对WhatsApp新隐私政策展开了调查,并表示在调查完成前希望叫停WhatsApp新政策;巴基斯坦科学技术部(Ministry of Science& Technology,MoST)宣布将引入新的数据保护法,以在WhatsApp的隐私政策变更后保护公民的隐私;印度也展开调查WhatsApp最新的隐私政策,印度电子和信息技术部对“对印度公民的选择和自治权的影响”深表担忧,并呼吁WhatsApp撤回拟议中的修改。除此之外,此次政策更新的区别对待也引起了非欧盟地区国家的强烈质疑,印度要求该公司澄清为什么欧盟用户不受这些变化的影响。“这种差别对待损害了印度用户的利益,政府对此表示严重关切。”基于强制数据共享和双重标准两个争议焦点,本文结合立法、司法实践和商业逻辑展开分析,沿隐私保护和市场规制两条主线铺陈全文,最后触及此次事件揭露当前隐私保护乏力的理念根源,主张通过提升企业在数据合规中的参与度来鼓励数据处理和使用者的积极合规。
一、删除Opt-out选项:强制共享意图明显,违反欧盟法律
WhatsApp在此次政策更新中删除了用户选择退出(Opt-out)的权利,引发广泛的批判。要分析Opt-out带来的负面影响,须从Opt-in和Opt-out的渊源和差异谈起。
告知-同意(Opt-in)和退出(Opt-out)是美国和欧洲个人数据保护法之间的最大差异,也体现了两地区在数据保护立法的理念上各有侧重。Opt-in即告知-同意,是GDPR规定下收集、处理个人数据最主要的合法性基础,更强调数据处理者为保障用户知情权应履行的法定义务。这一制度设计来源于医疗领域,最初作为对医师“独裁专断”的纠偏,期望将涉及个人生命健康重大决策对主动权从医生处交还到病患手中。而立法者当前将这一赋权模式移植到数字经济领域,足以体现数据权利相当或贴近于生命权等基本人权的重大价值,受到人权法渊源的高度影响。
作为对比,美国对个人数据则更多被置于消费者保护法等市场规制的框架之下。在《加州消费者隐私保护法》(CCPA)之下,opt-out实际为企业提供了一种“同意为原则,退出为例外”的数据利用机制,也即,对于16岁以上的消费者而言,除非退出或拒绝,公司都可以继续处理用户的个人数据,这极大程度上促进了数据的快速流动和高效商用,但同时也为用户守住了数据滥用的最后一道防线,体现了CCPA作为一部市场规制法所应当在企业利益和消费者权益之间达致的平衡。作为一项默认同意机制,opt-out因其实用、高效曾受到来自企业和部分用户的高度赞誉。但根据CCPA实施以来的案件记录,仍有许多企业试图通过削减界面设计等手段阻碍用户行使opt-out的权利或根本不提供该选项,例如Ring Litigation及Sweeney v. Life on Air, Inc. & Epic Games,Inc案。
因此,WhatsApp删除了用户选择退出(Opt-out)的权利,相当于变相强制用户同意与Facebook共享包括个人数据和业务数据在内的广泛内容。
根据欧盟2018年发布的《欧洲企业间数据共享研究报告》(下称“《报告》”),企业间数据的共享及再利用应当以企业对数据内容所享有的的生产者/加工者财产性权利为法律基础,这些数据往往是由企业的业务系统、物理设备直接生成或由企业参与多方协作共同产生。对于这些数据,企业可以通过建立行业数据平台或出售数据包等方式对其依法享有的数据进行变现。虽然“数据所有权”立法缺位为企业确定可共享的数据类型带来一定不确定性,但“哪些数据不可共享”却是明确清晰的。GDPR虽然未直接采用财产权相关的表述,但数据可携权的权利内容侧面反应处用户对于其交付给数据控制者的结构化、通用化和可机读的个人数据仍具有占有、转移的财产性权能。《报告》也强调,企业数据资产变现的活动应当以获得数据主体的同意为前提。可见,因企业不具有对个人数据直接处分的权利,企业间涉及个人数据对共享也必须以数据主体的同意为前提。
根据WhatsApp公布的最新版隐私政策,其与Facebook公布的数据同时包括个人数据和业务数据两类。“服务相关信息、运行日志和cookie记录”等业务数据为用户在使用平台服务过程中所产生,WhatsApp可就技术和知识性投入主张知识产权下的财产性权益,因此当其被Facebook收购时,这些业务数据也可以作为公司资产的一部分被合理转让。但个人数据并非如此,包括“位置信息,交易数据”在内(高度敏感的)个人数据处分离不开(明示)同意的授权,为了不触发GDPR下的惩罚机制,Twitter在其隐私政策3.5节中明确表示公司共享和披露的信息仅限于“非个人信息”,Apple也在隐私政策中明确表示,公司重组、并购或销售过程中的信息共享不会脱离合法性基础的约束,且会是“合理、必要”的,包括账户信息在内的个人数据共享需经用户本人的指导和同意。
相比之下,WhatsApp对opt-out机制的删除使得用户在数据共享上的话语权被高度挤压,无异于强制共享。
二、不断弱化隐私政策的WhatsApp与不断开出罚单的欧盟
2014年WhatsApp被收购后,创始人Jan Koum发文公开承诺不会改变公司处理用户数据的方式,WhatsApp将维持独立、自主运作。但短短两年之后,WhatsApp就做出了让步。自此在Facebook的持续施压下,WhatsApp最初的反广告立场不断弱化。2016年,WhatsApp的隐私政策迎来重大更新,称会与Facebook及其旗下公司共享用户数据,包括用于登陆的电话号码以及最后使用时间。2017年4月,Facebook迫使WhatsApp用户与Facebook分享包括设备识别号以及操作系统在内的数据节点以便投放广告,否则将停止同步使用WhatsApp。在此之前,受到Jan Koum“用户隐私和体验至上”的理念指引,WhatsApp一直是“反广告”的坚定支持者,并以用户支付订阅费、促成C2B沟通等不侵害隐私的方式变现,这与Facebook以广告营收为主的变现模式存在根本分歧。在WhatsApp公开拥抱广告后,两位联合创始人相继离职。
WhatsApp和Facebook之间的数据共享引起了欧盟各国用户与监管机构的强烈质疑。2017年5月4日,意大利竞争与市场管理局(AGCM)宣布将对Whatsapp处以300万欧元的罚款,原因是它迫使用户同意与其母公司Facebook共享其个人数据;同年5月18日,欧盟委员会对Facebook处以1.22亿的罚款,理由是此次数据共享通道的开启违背了3年前欧盟批准Facebook收购决定的前提“两款产品必须彼此独立运行”。据统计,欧盟28个数据保护机构都在2017年要求WhatsApp停止与母公司Facebook共享用户数据。
2019年9月,WhatsApp Status功能的上线让两公司之间的数据共享进一步扩张到内容方面,几乎实现了跨平台即时联动,象征Facebook向WhatsApp迈出了数据融合的最后一公里。不过,在上述三次政策更新中(2016年8月25日;2019年12月19日;2020年7月20日),用户仍具有退出(opt-out)共享的选择权,相比之下,此次(2021年1月4日)对opt-out机制的删除无疑是跨过了数据共享合规的最后一道红线。此外,笔者注意到,伴随此次隐私政策更新,WhatsApp删除了其自2016年来长期保留的“隐私宣言”:对您隐私的尊重已深深刻入我们的DNA。自从我们创建WhatsApp以来,我们就一直牢记要以强有力的隐私原则引导服务的创建。
三、Facebook逐渐失控的隐私管理
(一)Facebook广泛业务群:平台比你更了解自己
跳出数据共享的行为本身来看,公众对于此次隐私政策更新的的强烈反对很大程度上来自于对Facebook隐私保护态度的反感。以2018年剑桥分析事件的爆发为起点,各国监管机构对Facebook的隐私指控层出不穷,用户对于Facebook掌管自身数据的信赖感逐渐走低。而随着Facebook扩张商业版图的脚步逐渐加快,用户的隐私焦虑只增不减。
2014对WhatsApp的收购是Facebook在社交网络细分市场站稳脚跟的关键一步。Google+的退出更是奠定了Facebook在社交领域首屈一指的地位。据统计,Facebook在2021年的日活已经达到18.4亿。通过结合Facebook Payments Inc和Masquerade所收集到的后台数据,Facebook足以精准描绘用户画像实现高效的定点广告投放,数据显示,从2019到2020年,Facebook展示广告的针对性和有效性已经增加了33%,点击广告的用户中有26%完成了购买。
(二)强化数据关联对弈反垄断监管热潮
除了隐私保护方面的指控之外,Facebook的疾速扩张也招来了各国反垄断的密集打击。连连发起收购的Facebook多次强制要求子公司修改用户协议与相应隐私条款,被认为是不正当竞争行为。Mlex的评论员Matthew Newman认为,在此节点上,WhatsApp隐私政策的突然更新很可能是Facebook对于联邦贸易委员会(FTC)及美国48个州所发起反垄断诉讼中“剥离资产”要求的回应,即试图通过增强后台数据的粘连性提升拆分难度。
当Facebook计划将其全部子公司的数据处理活动聚集于统一框架下后,德国卡特尔办公室下达了减少数据结合的命令。这一命令揭示了数据隐私和反垄断法之间的交集。随着世界越来越数字化,这两个监管领域的重叠在未来可能会更加普遍。在2019年于布鲁塞尔举办的“数字时代的数据保护和竞争”研讨会上,时任欧盟委员会总秘书长的Martin Selmayr更是:“这两个概念的融合将是未来五年中不变的主题”,反垄断利刃的介入也将为数字经济活动中的隐私保护提供新的进路。
四、对WhatsApp双重标准的反思与展望
本次WhatsApp隐私政策更新“不适用于”欧盟用户的双重标准,将欧盟数据保护法与其他地区的相应法规区别对待,损害了数据保护后发国家和地区的用户权益。
自GDPR生效以来,欧盟地区严苛的法律条款和不断收紧的执法活动让不少互联网平台承受极大的监管压力,迫于合规大幅重修自身的隐私政策和服务条款。但在GDPR难以触及的地区,跨国企业的隐私保护实践并未得到实质性改善。但其实至今为止,印度、巴西、南非等发展中国家也已在借鉴GDPR范式的基础上制定了本国的数据保护专项法律,但由于执行不力等实践层面的原因,仍未对跨国企业产生较大的威慑力。以印度为例,《2019个人数据保护法草案》仍未生效,当前适用的2000《信息技术法》处罚条款不明确、执行难度大,成为跨国企业的监管空白区。
此外,这一区别对待的背后更暴露出了目前互联网企业数据合规仍停留形式层面,尚未主动将隐私保护理念融入产品前期的研发和设计。基于隐私系统保护理念,隐私保护并非只是条文合乎规范,而应当是一个需要组织、技术和法律三方机制协调的系统性工程。规避隐私风险需要从源头上做好防范,而不是仅仅依赖于端到端加密、匿名化等技术手段兜底,在造成隐私泄漏后以金钱补偿更是无济于事。为了让用户在数字经济时代拥有更好的隐私体验、更高的市场信赖,立法者需要在付诸数据保护义务的同时增加激励机制,在加监管的同时重视平台自律的作用,提升企业在隐私治理中的参与度和获得感,从而将强监管环境催生的“数字投机主义”转向企业自主尽职的“数字忠实”。
参考文献
[1].It’s 2019, so why are we still talking about opt-in consent?,https://iapp.org/news/a/its-2019-so-why-are-we-still-talking-about-opt-in-consent/
[2].Ring Litigation, No. 2:19-cv-10899 (C.D. Cal.),Sweeney v. Life on Air, Inc. & Epic Games,Inc., Case No. 3:20-cv-00742 (S.D. Cal.),https://www.omm.com/resources/alerts-and-publications/alerts/ccpa-case-tracker/
[3].Study on data sharing between companies in Europe,https://op.europa.eu/en/publication-detail/-/publication/8b8776ff-4834-11e8-be1d-01aa75ed71a1/language-en
[4].Twitter Privacy Policy, Updated June 18, 2020, https://twitter.com/en/privacy
[5].Apple Privacy Policy, Updated December 14, 2020, https://www.apple.com/legal/privacy/en-ww/
[6].理想与现实:15亿用户的WhatsApp的变现之旅,http://www.woshipm.com/it/2043097.html
[7]. WhatsApp新功能:Status可以直接共享到FB Story,https://www.winrayland.com/2019/09/whatsappstatusfb-story.html
[8]. 35 + FACEBOOK统计与事实2021,https://www.websitehostingrating.com/zh-CN/facebook-statistics/
[9].DataProtection and Competition in the Digital Age, European Data ProtectionSupervisor (July 9 2019),
文章推送方式:
微信:关注“海国图智研究院”公众号
网站:收藏我们的网站 www.intellisia.org
邮件:扫描下方二维码登记邮箱信息,每日接收新鲜、深度的时政洞察
往期回顾:
海国图智研究院(Intellisia Institute)是中国第一批独立的新型社会智库之一。海国图智专注于国际问题研究,并主要聚焦中美关系、中国外交、风险预测、新科技与国际关系等议题,致力于通过书目与报告的出版、学术与社会活动的组织、研究项目的承接和开展等形式为政府、企业、媒体、学界、社会公众提供知识资源,以帮助其更好地“开眼看世界”,了解中国与世界的关系,为其对外事务提供战略见解和政策解决方案。