缺乏竞争的互联网市场隐私条款
本文讨论了消费者在互联网市场消费过程中发生的收集、使用和披露消费者数据的问题。本文围绕对澳大利亚主要互联网市场提供的隐私条款进行分析,并对条款的质量与竞争程度进行了一些评估:包括向网站用户提供的隐私条款的质量;以及公司之间在隐私条款方面的竞争程度。
该分析基于截至2021年8月16日相关互联网市场发布的包含隐私条款的各种通知,仅涉及与使用相关网站有关的条款,例如,该分析不包括亚马逊Fire TV或Kindle设备的相关条款。文中结合现有的关于消费者数据实践的研究,得出了以下重要建议和结论:
1. 未经消费者明确同意,互联网零售商和市场从第三方收集消费者个人数据应是违法的。合法的例外情况是,数据的收集和使用仅用于必要目的,例如用于发现非法活动、地址验证和信用检查等。
2. 在向网站用户和市场客户提供隐私条款方面,澳大利亚主要互联网市场之间的竞争几乎可以忽略不计。
3. 大部分澳大利亚互联网市场的隐私条款具有以下特征:
(1)包括许多模糊、开放和令人困惑的条款,这些条款限制了消费者的信息和决策。
(2)对于互联网零售商过度的数据收集和使用(即超出互联网市场浏览和购买所需的数据需求),相关隐私条款没有给用户提供拒绝的选项。
(3)普遍要求消费者"同意"互联网市场从第三方(包括数据经纪人或广告公司)获取有关消费者的进一步数据,作为使用网站或市场的条件,然而这对于网站或市场的运营是没有必要的。
(4)向消费者承诺,他们可以选择不看或不接受目标广告或营销,而不强调这不会阻止市场继续收集和使用有关消费者的多余数据。应突出显示有关这一点的警告。
(5)要求消费者参与Sisyphean任务,调整隐私设置,拒绝或删除Cookie和类似技术,以避免通过这些手段进行跟踪,而这可能是徒劳的。应该有一个“无cookie”/“无跟踪”的默认设置。
4. 在欧盟和澳大利亚都有运营的互联网市场,在隐私保护方面,市场向欧盟市场消费者提供的隐私条款更加健全,这可能是欧盟加强隐私监管的结果。
5. 本文围绕三个方面提出了建议,包括关于第三方数据收集规则,无cookie/无跟踪默认值,个性化广告选择退出的警告。这是提高隐私条款透明度和保护消费者隐私选择的简单、可实现的步骤。同时,我们仍在考虑对隐私法进行较大修改。
6. 可对一些主要互联网市场的隐私条款进行以下观察:
(1)只有仔细阅读全文22000字的隐私条款,才能详细了解eBay的隐私规则,eBay隐私条款才能提供最详细、最透明的条款。然而,eBay并没有强调消费者最关心的条款,也没有提供比其他市场更广的隐私选项。
(2)亚马逊的隐私条款对加强隐私保护做出了一些调整,包括对第三方的数据请求采取假名化技术,并承诺不会通过单方面修改而大幅减少对消费者的隐私保护。然而,亚马逊并没有为消费者提供比其他市场更广泛的隐私选择,使用假名化技术并不能解决亚马逊要求消费者同意第三方数据收集要求的问题。
(3)很难明确说明Kogan隐私条款的数据收集范围,因为Kogan隐私条款是本文分析的所有隐私条款中最模糊且最不完整的条款之一。
(4)似乎很少有消费者会意识到Catch.com.au是Wesfarmers集团的一部分,而Wesfarmers集团中的公司(包括Kmart、Officeworks、Target和Bunnings)自动共享和合并集团中任何一方所收集到的消费者数据,以创建更详细的消费者个人资料,从而用于营销目的。
壹
缺乏竞争的互联网市场隐私条款
这些隐私条款之间的形式差异很大,从eBay的22000字到Kogan的1500字不等。Amazon Australia在三个文档中发布了4200字的市场隐私条款,而eBay选择以标题的方式呈现其隐私条款,标题可以扩展以显示更多信息。然而,当这些隐私条款的实质内容被提炼出来时,它们之间在隐私产品的质量上几乎没有区别。有些人可能会说,这是因为消费者“不关心隐私”,这些论点显然误解消费者的态度。这种缺乏竞争的更可能的解释是:
第一,网上零售商和市场的真实隐私条款被含糊、复杂的措辞所掩盖,并且没有突出消费者最关心的条款;第二,没有一个市场希望为消费者提供大量的隐私选择,而其竞争对手可能会在未被察觉的情况下继续破坏消费者的隐私,从而使目前的情况成为一场数据保护的“逐低之争”。
这些问题可以通过构建相关监管规则来缓解,例如构建程序规则,强制市场必须提供给消费者相关选择和信息。监管环境对不同地域市场隐私条款质量的影响显而易见,互联网市场向欧盟消费者提供了不同且更多的隐私保护条款,并默认向澳大利亚消费者提供了较低保护标准的隐私条款,如亚马逊和eBay的隐私条款,这反映了欧盟一般数据保护条例要求更高的隐私标准。
贰
第三方数据收集规则
(一)关注第三方数据收集规则的理由
本文重点评价了关于全面禁止从第三方收集消费者数据的建议,理由有四:第一,与目前在澳大利亚市场盛行的许多混乱和不透明的消费者数据处理方式不同,从第三方收集消费者数据,大多数消费者很容易察觉并反感。第二,要求消费者"同意"从第三方获得消费者数据的规定在澳大利亚许多公司的隐私政策中普遍存在,但条款具体内容措辞含糊,其结果是消费者无法知道条款同意什么。第三,从第三方收集和使用有关消费者的数据对消费者来说通常没有必要的,这反映的是公司的机会主义行为。第四,禁止此类数据收集的明确规则将阻止该数据的最终使用,从而可能对消费者数据流产生不利影响。
虽然隐私监管还有很多方面必须加以改进,但基于以上因素,本文还是建议提出一个消费者容易理解和支持的方案,以缓解数据隐私的问题。
(二)普遍但不必要的第三方数据收集条款
第三方数据收集不限于消费者浏览网站、购买或接收商品或服务的交付所需的数据,不限于网站或市场运作所需的数据。市场利用这些第三方数据来创建一个更详细的消费者档案,从而用于其他目的,如市场营销、分析、广告或产品开发等目的。由于第三方数据收集条款在隐私条款中没有突出显示,大多数消费者不会察觉。
(三)第三方数据收集的消费者选择
希望在网上市场上浏览或购买商品的消费者不应被迫“同意”第三方不必要地分享有关它们的数据。然而目前消费者别无选择。
假设一些消费者可能会乐于为互联网零售商提供关于他们自己的进一步信息,这些消费者可以根据要求直接向零售商提供这些信息,或要求零售商从第三方那里收集有关他们的数据。然而前提是消费者首先要知情并同意。
(四)明确的第三方数据收集规则
一般规则应是,互联网零售商和市场不得从另一家公司收集与消费者个人有关的数据,除非该个人有明确要求。如果消费者勾选一个选项,例如,“允许数据经纪人、广告公司或其他第三方供应商获取有关我的兴趣、需求、行为或特征的信息”,则收集将是合法的,并且第三方应可以被指定。在消费者没有明确要求下,默认情况应该是不收集多余的数据。消费者调查显示,大多数澳大利亚消费者不喜欢公司分享他们的个人信息。
另外,本规则将有合理的例外情况,如获取对市场运作有必要的消费者信息,或发现非法活动,地址验证或信用检查。但为这些目的而获得的数据不应重新用于市场营销、广告、业务发展或一般的“研究”。
(五)假名化和去标识化技术不应是规则的例外
假名化技术是指,取代原来直接的标识符,使得在不借助额外信息情况下无法识别出个人信息主体的技术。去标识化技术是指,一种对标识符进行处理,使其处理后的信息无法识别到特定个人信息主体的数据处理方式。第三方数据收集不能因为采用了数据假名化或去标识化技术而免受上述规则的约束。
(六)去除条款中隐含的同意选项
许多公司试图争辩从第三方收集数据是合理的,理由是消费者之前已经同意公司与数据经纪人、数据平台、公司集团成员或其他公司分享其数据。然而,这些条款是隐藏在措辞含糊的隐私条款中的,是在消费者不知情时获取的“虚假”的同意。这些隐藏的隐私条款应该通过隐私监管规则来去除。
叁
关于用Cookie和其他跟踪技术的选择
隐私条款通常规定,消费者必须采取行动,避免使用Cookie和类似的技术来跟踪他们的互联网行为,这些条款令人反感,原因有二。
第一,默认立场应该是市场不会在消费者的浏览器或设备上设置Cookie,或者允许第三方这样做,除非是严格必要的Cookie或者消费者积极选择这些Cookie的设置。第二,市场事实上要求的恰恰相反,消费者必须尝试退出默认营销cookie,这让消费者处于相当荒谬的境地。他们必须使用设备或浏览器设置来阻止或删除cookie,但是,阻止cookie会阻止网站正常运行,删除cookie同时也会删除表明消费者不愿意接受定向广告的cookie。例如亚马逊隐私声明声明:由于Cookie和标识符允许您利用Amazon服务的一些基本功能,因此我们建议您将其保持打开状态。如果您阻止或以其他方式拒绝我们的Cookie,您将无法将项目添加到您的购物车、继续结帐或使用任何需要您登录的服务。
这种将Cookie用于营销和广告目的的做法显然是损害消费者权益的。公司不应将消费者数据的此类用途与市场运作所必需的用途捆绑在一起。监管规则应当规定,除了用于严格必要的cookie和技术外,未经消费者明确同意,不得使用cookie和类似跟踪技术。
肆
拒绝个性化广告选项的警告
大多数主要市场强调,消费者可以选择不看到“个性化广告”,但它可能会给许多消费者留下一个错误的印象。因为,许多消费者不会注意到,隐私条款只承诺消费者可以选择不观看个性化广告,但这些条款并不表明消费者可以选择退出第三方数据的收集和使用。
很少有市场在其隐私条款中强调了这种区别。例如,以下条款可以在eBay的Cookie通知中一个模糊的段落里找到:
“如果您选择不让我们使用cookie(和类似技术)处理您的个人数据,……不会通过cookie、网络信标或类似技术为您提供个性化广告。因此,您将来将不再收到个性化的广告,但您的数据仍可能会按照我们的用户隐私通知中的描述进行收集。”
如果市场提供选择让消费者不看个性化广告,但仍会收集消费者数据,这至少需要让消费者知情,因此相关条款应该重点突出。例如,公司应给出以下警告:
“你可以通过改变下面的隐私设置来选择不观看个性化广告。关于选择的重要注意事项:即使您选择不看个性化广告,我们也将继续收集和使用您的个人数据,用于我们自己的市场营销、产品开发和其他广告目的,并向第三方披露其营销或广告目的。”
伍
结论
当对主要市场平台的隐私条款进行比较时,互联网市场之间的隐私条款缺乏竞争是很明显的。几乎所有平台的隐私条款都使用了一些模糊的、开放式的术语来描述使用数据的目的或与第三方交换数据的方法。消费者无法猜测谁可能是“附属机构”,他们的数据将如何用于“内部管理需求”,或者平台如何确定消费者已经同意其他各方分享他们的个人数据。
新冠疫情期间,使用互联网零售商和市场服务越来越普遍。由于疫情防控需要,对隐私相关的立法进行审查和调整的方案也被推迟。本文中提出的适度建议将在一定程度上避免互联网零售商和市场利用目前的情况对消费者实施不必要、不公平和有损隐私的数据处理。
整理:陈欢
文献来源:
Kemp, Katharine, The Absence of Competition in the Privacy Terms of Online Marketplaces (August 16, 2021).
https://ssrn.com/abstract=3905693