近日,“数据治理与隐私保护”高端研讨会暨“网络空间治理与数字经济法治(长三角)研究基地”启动仪式在北京国际会议中心举行,会上发布一份《理解大数据:数字时代的数据与隐私》研究报告。这份研究报告是由开放型独立研究机构罗汉堂与国内外一流经济学家共同撰写的,包括4名因开创信息经济学而获得诺贝尔经济学奖的学者参与该报告撰写的。研究报告对数据治理的热点问题“数据治理与隐私保护”做出最新研究和解析。报告认为,数据要素最好的治理办法,不是通过单一的所有权约束,而是通过在数据使用中的隐私保护去实现。我国11月1日生效的个人信息保护法,符合这一原则。
参与撰写该研究报告的4名诺贝尔经济学奖得主分别为:麻省理工学院经济学教授本特·霍斯特罗姆(Bengt Holmström)、哈佛大学经济学教授埃里克·马斯金(Eric Maskin)、伦敦政治经济学院经济学教授克里斯托弗·皮萨里德斯(Christopher Pissarides)、斯坦福大学经济学教授迈克尔·斯宾赛(Michael Spence)。
据罗汉堂总裁陈龙博士介绍,鉴于目前各界对数据隐私保护相关问题还有诸多不同意见,尚未建立完善的制度,罗汉堂希望提供一个全面平衡的经济学分析框架,来帮助各方更好地理解相关问题,为未来的研究和政策制定提供参考。这份研究报告主要通过经济学理论框架,具体是从信息经济脱胎的数据经济学角度,用一系列扎实且基于实践的研究来分析大数据时代数据使用和隐私保护问题。研究报告回应了数据的价值、数据分享的风险和解决方案、数据治理的原则等数字时代最基础也是最重要的问题,同时尝试建立一套理解数据的整体性框架,为数据隐私和数据竞争等公共政策讨论提供良好基础。
数据使用与隐私保护的五个核心问题
中外经济学家借助平台数据优势,对用户使用小程序和APP的数据进行了大规模实证分析,尝试用大数据更好地理解消费者的隐私行为模式。该研究报告对涉及数据使用与隐私保护的五个核心问题进行了研究,具体包括:
——数据要素在经济生产中要发挥价值,就必须得到分析、流动和使用。在大数据时代,数据创造的价值不断增长,然而隐私数据发生泄露和滥用的风险也在成倍增长。因此,单独强调隐私数据的保护或利用数据的价值,而忽略另一方面的问题都是片面的,容易造成对数据理解的“盲人摸象”。例如过度强调保护,将忽略数据在流通中创造价值的本质,导致企业创新和合规的成本过高,让数字经济失去活力。因此我们需要建立一个基于本质的、整体的理解数据保护与利用平衡的框架。
——通过消费者使用小程序和APP的数据实验发现,和其他国家一样,一方面中国消费者对隐私非常重视,另一方面他们愿意分享自己的信息数据,来获得现代化的移动数字服务。那些使用数字移动服务越多的用户,对隐私保护的顾虑也越多。因此保护消费者不是单纯地保护隐私数据,而是在提供服务的过程中,高效地保护个人隐私。概括起来,消费者有两项关于数据的基本权益:一个是保护好个人隐私的权益,一个是通过分享数据而获得产品和服务的权益。
——我国《数据安全法》的立法宗旨是规范数据处理活动,保障数据安全,促进数据开发利用。没有数据流动就没有经济活动,因为信息交互是人类协同的基础。以淘宝平台的大数据实验为例,当关闭以个人数据为基础的推荐引擎后,可供消费者选择的产品品类减少,市场参与度大大降低,导致点击率下降77%,同时成交量也大幅降低。由于推荐只能集中在销量最高的知名品牌上,中小企业受到的冲击最大。
——数据和其他生产要素不同,本质上是非竞争性的,可以被无限次生产、拥有和使用。所以数据要素最好的治理办法,不是通过单一的所有权约束,而是通过在数据使用中的隐私保护去实现。全球数据治理法规,包括欧洲的GDPR和我国最近出台的个人信息保护法,都符合这一原则。但目前在法律法规执行过程中会遇到一些重要的挑战,这些挑战源自数据要素的复杂性。例如数据的被遗忘权(删除权),目前全球还没有企业能很好地执行。
——数据是一种重要的生产要素,但是它只是生产要素的一部分,或者说商业模式的一部分。在企业竞争中,数据优势不一定会形成长期的绝对竞争优势,或产生限制竞争的结果。在中国市场,大量初创企业通过数字技术生态低廉的成本,获得了不菲的市场份额,让各个行业的竞争变得更加激烈,特别是在电商和移动支付领域。
如何缓解隐私风险?
尽管数据分享可创造巨大价值,但也存在风险。数据创造的价值越大,保护隐私和数据安全的紧迫性就越高。数据生命周期的每个阶段,从收集到集成、从分析到应用,都存在数据泄露和隐私风险。个人有知晓和拒绝数据收集的权利,这是广为接受的观念,然而在现实中,要防止个人信息过度泄露和信息泄露是一个艰巨的挑战。2017年全球数据外泄和遭窃取的记录达到16亿起,造成巨大的经济损失,引发了消费者对隐私问题的极度担忧。近年来,如Facebook和剑桥分析的数据滥用事件引发了社会的广泛关注。
报告指出,当下社会关注的热点是如何通过法规保护好隐私,而同样需要关注和理解的是行业和企业的隐私保护措施。因为数据分享和运用是经济活动不可分离的一部分,法规只能规定经济活动的边界,弥补市场失灵的部分。只有当行业和企业把个人隐私保护与数据安全作为商业的一个重要条件,并配置相当的机制和技术,才能真正实现目标。在这个维度上,全球很多行业和企业已经在做大量的探索。
报告总结了企业做好隐私保护的逻辑和实践。简而言之,有效保护隐私的逻辑,是将隐私工程化(Privacy Engineering)和隐私增强技术(Privacy-Enhancing Technologies,PETs)结合起来。隐私保护工程化,是指将个人隐私保护的法规和原则,融入产品设计中来开发和使用软件应用。例如在用户交互设计上,隐私工程可以加强用户对隐私条款的理解,增强对敏感信息的控制。
隐私工程化可以应用到大数据生命周期的各个阶段。在信息收集阶段,企业必须获得用户的许可,并且必须遵循收集数据的必要性原则。在集成和存储阶段,企业处理数据前要过滤敏感信息。这些信息还可以加密,这样即便出现数据泄露的情况,个人信息也不会被滥用。脱敏和加密后的数据,可以用于分析,了解消费者及其需求,并且在严密且持续的风险管理之下进行。还要可持续且高效地使用数据,企业要在隐私保护需求和用户数据许可最小化之间取得合理的平衡,这样才能既保护隐私,也不至于因为过分许可打扰用户。用户还应该保有个人信息的删除权。
可以看到,隐私工程化意味着需要很多隐私保护技术,从而防止不可信或潜在恶意的数据收集者侵害用户的隐私。例如多方计算技术(MPC)可以让数据分析者从数据中提取有用洞察,却不会泄露或回溯至原始数据。区块链技术也可以通过对个人数据进行加密,降低隐私风险。这些技术的目的,是让服务提供方进行大数据分析时,懂得客户特性和需求,然而“不知道客户是谁”“数据可用不可见”,从而更好地满足客户和数据相关的两个权益。此外,隐私工程和隐私技术成本不菲,给初创公司和中小企业带来更多挑战。在多大程度上做好,能够同时满足消费者和生产者的需求,从而发挥数据作为生产要素的价值,同样是值得整个社会讨论的问题。
报告认为,从长期来说,食品安全以及飞行服务等行业的历史经验表明,假以时日,合理的机制设计和不断完善的技术,可以在很大程度上缓解数据隐私和安全问题。就像吃很多东西不见得会中毒,频繁乘坐飞机不见得会出事,数据分享的体量和隐私及数据安全并不是必须的取舍。当技术足够强大、机制足够合理时,今天看起来严重的隐私风险即便无法杜绝,也可以得到有效控制。(韩永军)
