译者介绍:
这是一篇对个人信息保护和竞争法之间交叉的最新演讲。很有参考意义。其中还有一个问题特别值得指出:菲利普斯专员认为美国对隐私保护的最大特色在于风险为路径,进而指出GDPR非常僵化,不利于创新和中小企业。但恰恰欧洲人也认为自己的GDPR是基于风险路径的。具体见【解锁GDPR的正确姿势:风险路径】
且不说是不是这位FTC专员对欧盟法理解偏差,或者谁对谁错,至少从欧美两国官方表态来看,都非常认同采取风险为基础的(risk-basd)路径来开展个人信息保护,能够兼容创新和竞争。无非是在制度设计上谁优谁劣的问题而已。非常值得我国未来立法的借鉴。
以下是演讲全文翻译:
“保留下去:在隐私辩论中关注竞争水平的维护”
“Keep It: Maintaining Competition in the Privacy Debate”
美国联邦贸易委员会专员 诺亚·约书亚·菲利普斯
(2018年7月27日 互联网治理论坛美国 华盛顿特区)
谢谢你的介绍,史蒂夫。我要感谢互联网美国治理论坛今天邀请我,并召集;了决策者、思想领袖,以及其他人共同讨论隐私和其他重要的互联网政策的问题。我很高兴和你们在一起。
首先我要说的是,我今天发表的言论是我自己的,不必然反映了联邦贸易委员会或我的任何专员同事的观点。
美国联邦贸易委员会执行竞争和消费者隐私法,所以不可避免地,我们在思考一个事项时,会同时考虑另一个。更加不可避免的是,同时思考这两个议题是至关重要的。当我们评估国际层面隐私法的变化时,或在考虑美国的隐私法律如何变化及实施时,竞争必须是讨论的一部分。至于与隐私相关的价值是否应该与反托拉斯分析相关,这是一个截然不同的问题,留待他日。
我今天想要表达我的担忧:意图促进隐私保护的法律和法规,可能会在大公司周围建立保护性的护城河(其中一些公司已经拥有大量的用户数据);原因在于这些法律法规有可能让小公司难以成长、新公司难以进入市场,以及拖慢创新发生。因此我坚持认为竞争是我们关于隐私谈话的一部分。
我并不孤单。我的好朋友Caroline Holland,现在他是我一位专员同事的顾问,最近写道:“在一个方面取得了进展[隐私],可能导致其他[竞争]的减损。“Joe Simons,美国联邦贸易委员会主席在上周国会听证中这样说:“如果你以错误的方式保护隐私......你最终会减少竞争。你可能会创造一种局面:大的科技平台得以巩固......使得新进入者和小公司吸引消费者的注意变得非常困难。”
如果我们的担忧是站得住脚的,那么对新隐私规则的支持者应当考虑这个问题:我们是否愿意减少竞争或创新?我们愿意为更高的隐私保护付出多大的竞争代价?我们是否愿意,例如,让最大的科技公司——最近它们成为焦点关于隐私和竞争的讨论点——进一步巩固?
我想现场观众已经熟悉各种隐私和适用于美国的数据安全规则,但对于未来可能阅读本演讲的人们,我想为这个问题定下一个基调。
联邦贸易委员会长期以来一直是主要负责隐私政策和执法方面的联邦机构,具有丰富的经验。距离第一次重大隐私案件——针对一家名为GeoCities的公司,已经有20年了。
在场各位,如果你还记得GeoCities,请举手。当时我还在上大学,GeoCities是一个受欢迎的网络托管服务和用户访问万维网的最常见站点之一。在1999年—— 也就是联邦贸易委员会对其起诉后的一年——GeoCities出售给雅虎,当时,雅虎是在线搜索市场中占据主导地位的玩家。无论如何,20年前,联邦贸易委员会起诉GeoCities从事了“与收集和使用个人识别有关的信息【PII】的欺骗性做法”,其中包括虚假陈述,即告诉用户他们的PII只会用于向他们提供广告、优惠,或者他们要求的产品和服务,实际上,GeoCities向第三方出售了这些信息。
实际上,FTC是在美国第一个也是最重要的数据隐私法之一——公平信用报告法通过近30年后,第一次提起了这样的隐私诉讼。公平信用报告法,除其他事项外,主要规定了信用机构如何共享消费者的信息。正如最高法院解释的那样,FCRA“提升了国家银行系统的效率和保护消费者隐私的双重目标。“从那以后,国会通过了一系列的隐私和数据安全法律,同时指示FTC(和其他机构)制定一系列新规则,覆盖个人信息的使用,共享和安全,其中包括对FCRA的更新。
我不复述我们执行的每一条隐私法律和法规,这会让你们感到厌烦,但重点是FTC在各个商业领域中具有重大的执法权限。当然,其他联邦机构也执行其他隐私法律,如HIPAA,HIPAA是让你在自己医生办公室中除看病外还需要呆很长时间的原因。
这一切都不是历史的意外。如果你退后一步看,很明显在美国,我们拥有一个在国会认定为最急需的领域,基于原则的、以风险为基础的解决隐私和安全事项的路径。甚至在这些领域中,这个路径强调所有实体各有不同,而且,在许多情况下,法律明确允许基于实体的大小、受保护的数据等因素的不同等级的保护。
基于风险的方法在我们的民主进程确定最需要严格保护隐私的企业,应当承担最大的成本,而在此需求较少的情况下,则降低此类成本。所以,尽管我们可能争论风险是否得到适当评估,可能争论为使用不同类型数据开展不同业务的的公司创造公平竞争的环境是否明智,或者可能争论今时公司收集数据的数量和质量是否应该让我们重新思考执法路径,我们都不应该认为美国的隐私保护路径不是明智的和有意为之的。
美国现有的做法与欧洲现有的隐私制度和2020年将在加利福尼亚生效的隐私保护法律,形成鲜明对比。从根本上说,这些制度要求每个人都遵守同一套标准(即同一套成本),这套标准同时适用于所有在线实体——无论大小、无论服务如何、无论风险如何。
这样一种隐私保护路径带来的成本可能是多少?就其性质而言,监管制度会产生持久且可能随着时间的推移变得更加繁重的合规成本。这些是经济学家所说的“规模经济”。这些成本,大公司比小的竞争对手或新公司更容易承受。这句话不是我说的。正如马克扎克伯格告诉国会的那样,“我想,在很多时候,监管制定的规则,对像我们这样,公司规模较大,有丰富的资源的公司,遵守起来相对容易,但对于规模较小的初创公司来说,则难以遵守。”但我还应该强调,在证词中,他表示对额外监管持开放的态度。虽然我们可能想要以新的方式来保护隐私,我们不希望监管负担如此繁琐以致于排除了潜在的市场进入者或抑制了创新。至少,我们需要对成本和收益进行诚实的讨论。
以新的欧洲《通用数据保护条例》(“GDPR”)为例。对于欧洲人来说,它代表了他们的观点在法律上的表达——保护个人数据是一项基本权利。对美国而言,它可能会提供一个测试案例,说明不同于我们自己的隐私制度可能如何运作。我关注的是,早期迹象恰恰指出了我所担心的隐私保护法律对竞争的影响。据《华尔街日报》报道,欧盟司法专员在GDPR实施前,会见了大型科技公司,这些公司都告诉她它们将努力合规,而不是听到预期的抱怨。她解释说:“他们有钱、一队律师、大量的技术人员等。”例如,Facebook“调动了有史以来最大的数百人的跨部门合规团队。Jedidiah Yueh在《福布斯》写道:”具有讽刺意味的是,大型科技公司比如Facebook、亚马逊、苹果和谷歌都从监管和合规中受益匪浅——对他们的竞争对手更多的伤害,只会让他们变得更强。“这实际上不具讽刺意味——反映了基本经济规律,这正是规模经济如何运作的。致力于合规的资源可以扩展,但实际上也可以用于创新、支付工资等等。
除了标准的规模经济之外,隐私规则尤其可能会使大型企业受益更多。考虑要求肯定性的用户同意,并且假设消费者正在考虑这个问题,并准备对与谁共享自己信息进行选择。消费者更有可能信任他们知晓的公司。这是经济学家所谓的“品牌效应”。并且,对大型现有企业提供的流行服务——例如由于
某些技术市场特有的网络效应——大家伙再次获胜。
5月25日——GDPR上线的日期——《华尔街日报》报道一些数字广告公司(它们与占领在线广告市场的大型公司相比,规模更小)决定由于获得同意的要求,而停止在欧洲经营。 “广告主”,据说《华尔街日报》称,正在计划从较小的供应商转移资金到谷歌、Facebook.......“Bill Simmons,总部位于波士顿的广告科技公司Dataxu的联合创始人兼首席技术官,指出了这个悖论:“GDPR是
实际上是将消费者数据的控制权整合到这些科技巨头身上。”Snap's首席执行官也已经认识到GDPR导致的这一问题,他说:“历史上也曾经有过这样的时刻,监管实际上已经巩固了了大公司的地位,因为他们最有能力遵守。我认为这是一个巨大的错误,因为我认为那样会抑制创新。“
任何监管制度都可能产生另一种更为危险的影响:大公司比小竞争对手或新进入者,可以更容易地操纵法律要求以满足自己的利益。公共选择理论告诉我们
立法和监管而形成的准入障碍的持久性,是为什么大公司认为将资源用于确保立法是有吸引力的选项的原因之一,这样能让他们免受竞争。对这些大公司来说,这样做的好处不仅是能够游说有利于他们的法律,还是导致看似中立的法律或法规在实施时,能让潜在竞争者付出代价,进而使其受益 。我不认为GDPR、加州法律或其他任何国会立法希望这样。但它确实发生了,而且令人担忧。
我也担心扼杀创新。几篇论文进行了分析州一级的隐私法对采用电子病历的影响(“EMR”)。EMR不仅可以使信息交换更有效,而且还可以提高护理质量。这些作者发现这些州一级的法律“显著降低了[EMRs]的采用率”。证据表明隐私法规抑制了有利于消费者的创新技术的扩散。如果医疗保健类比成立的话,联邦层面的隐私制度如果设计不佳,可能会在整个经济体内导致更高的合规成本、阻碍创新和增加进入壁垒。
最后,我们可能会面临更多意想不到的后果。正如扎克伯格先生最近指出,“我认为[对美国大型科技公司]的替代者,坦率地说,将是中国公司。“这样的说法背后也许有其他动机,但是,中国的科技竞争是真实的——事实上,它是中国的国家产业政策——而且可能不仅仅是竞争方面的威胁,这一点参议院情报特别委员会的民主党人马克华纳也有类似的观点。
总之,我们考虑新隐私的潜在好处保护,我们也必须考虑成本:竞争和创新。GDPR为我们提供了一个了解大规模隐私制度如何运作的绝佳机会,让我们能学习欧洲的实践经验。我们还不知道答案。然而,关于美国基于风险的方法,我们可以肯定地说一件事:它在最需要隐私保护的地方提供了保护,但同时也仍然允许大量的创新。
即将举行的FTC主办的听证会,也将提供一个好的机会来讨论隐私与竞争相关的重要话题和创新。我邀请这里的每个人加入并评论评论和评论这些听证会的提案。非常感谢各位。