目前,您正在使用的许多大型网站、服务和应用程序都在争相更新其隐私政策和使用条款。您可能已经注意到手机和电子邮件中弹出的许多相关通知。本周,我们收到了来自 Etsy、Instagram、GoDaddy、Squarespace、Square、LinkedIn、Strava、SoundCloud 以及几乎所有需要注册账户的应用程序的通知。推动这一变化的主要力量是欧洲新的《通用数据保护条例》(GDPR),该条例自 2016 年批准,并于 2018 年 5 月 25 日生效。
GDPR 是对网络隐私的重大改革,这份长达 261 页的文档 如果您有心阅读,可以在此处查看。然而,近期这波隐私政策和使用条款通知主要源于该法规中关于同意的部分,以及采取措施阻止公司默认用户同意隐藏在大多数人甚至不阅读就点击“同意”的庞大法律文档中的条款。
2008 年的一项研究表明,普通人每年阅读他们使用的网站的所有隐私政策大约需要 244 小时,平均每天约 40 分钟。而那还是在 2008 年,当时人们平均每天使用互联网约 1 小时 12 分钟,而现在已增长到约 3 小时 10 分钟。当然,勾选“我同意”然后开始使用应用程序或服务要容易得多。
从技术上讲,当您同意网站或应用程序的条款时,您可能已经同意许多服务跟踪您并以各种方式使用您的信息。这种情况发生在像 Facebook 这样的应用程序向您呈现大段文字,然后是一个复选框,上面写着类似“我保证已阅读所有法律术语,我理解其含义,并且迫不及待地希望您开始从我的数据中获利”之类的话。当然,最后一句话是夸张的,但许多在线服务的基本运作方式就是如此。
乔治华盛顿大学的商业伦理副教授兼网络隐私专家 Kirsten Martin 表示:“隐私政策故意含糊不清。“它们使用了‘受信任的第三方供应商’之类的词语。它们使用模糊的词语来‘为您改善服务’,而不解释具体内容。” 根据 GDPR 法规,这种混淆视听的做法将不再被允许——或者至少不应该被允许。
官方 GDPR 常见问题解答中的一句话总结了隐私政策的最高级别改革。
“同意的条件已得到加强,公司将不再能够使用冗长且难以辨认的、充满法律术语的条款和条件,因为同意的请求必须以清晰易懂且易于访问的形式给出,并附带数据处理的目的。”
简而言之,GDPR 赋予欧盟公民明确且主动选择是否允许公司在网络上收集和使用其数据的权利。
Twitter 近期更新的隐私政策是公司如何进行变更的一个很好的例子。下面是我本周早些时候收到的隐私通知截图,其中包含各种提供个人信息的选项。
它比网站和服务期望您处理的典型法律文本更清晰,但仍然需要深入了解。例如,点击“个性化广告”选项卡上的“更多信息”会带您到另一个页面,其中概述了广告定位的一些实际工作示例。然而,在最底部,它还指出,选择退出个性化广告仍然允许该服务根据“您在 Twitter 上发布的内容、您关注的人、您使用的手机类型、您的位置以及您点击的链接”来定位您。这可以防止第三方通过您的电子邮件地址或通过其网站上的 Twitter 集成跟踪您,但无法完全免除 Twitter 的广告。
然而,该通知的一个好处是,所有您可以实际选择退出的内容都集中在一个地方,无需费心查找。由于它,我的账户从完全同意变为完全退出。Martin 说:“GDPR 规定,退出必须像选择加入一样容易。” 在您关闭初始通知后,要进入 Twitter 的设置菜单来更改这些设置需要点击四次菜单。
出于好奇,我注册了一个新的 Twitter 账户(这就是为什么我现在有一个名为“@babymanrampge”的账户),但没有收到选择跟踪的提示。默认情况下,我被设置为选择所有跟踪,除了跟踪我跨网络活动的跟踪部分,这允许它查看我访问的其他具有 Twitter 集成的网站。
语言障碍
隐私政策过于复杂的概念自早期互联网时代以来一直是常态,那时网上还充斥着飞来飞去的烤面包机 GIF 图案。不过,不必如此。“当企业被迫将复杂的事情变得易于理解时,它们会做得很好,”Martin 说。“它们每年都会这样做,发布年度报告给投资者和联邦贸易委员会。如果不这样做,它们就会被起诉。”
但是,仅仅因为一些网站提供了更清晰的控制和政策,我们也不必期望所有 GDPR 的保护都适用于美国和其他国家/地区的人们。
例如,Etsy 的更新包含以下文本:
“根据您的位置,我们可能会为您提供访问、下载和要求删除您的个人信息的选项。” 它根据用户居住国的管理法规区分了用户的具体权利。
当参议员和众议员问马克·扎克伯格 Facebook 的 GDPR 更新是否会全球适用时,他的回答大体上是“某种程度上”。
自那时以来,Facebook 已经发布了几项不同的隐私变更。您现在可以下载您的 Instagram 用户数据,包括您的照片和评论。这一变更直接呼应了 GDPR 关于“数据可携性”的要求,该要求允许用户将他们的内容带到另一个服务或保存以供后代参考。
Facebook 甚至发布了 其内部内容审核指南,这是对 GDPR 透明度要求的承认。这一发展尤其有趣,因为它与 Facebook 倾向于使用人工智能工具来评估内容的做法相互作用。Martin 说:“您必须能够询问有关数据决策的问题。“Facebook 倾向于在出现问题时试图自动化处理。GDPR 赋予人们对 AI 和算法普遍做出的决定进行人工审查的权利。” 通过发布其内容审核指南,Facebook 提供了对其审核决定的预emptive 解释。
例如,Facebook 的指南对有关裸露的政策提供了一些具体的说明,这些政策在哺乳和乳房切除照片被从服务中删除时受到了批评。尽管 语言中仍然存在一些歧义,但比以前更直接。
可能会有第二波变化
目前,我们看到的隐私政策变更浪潮源于欧洲的隐私法。美国政策最终会是什么样子仍然是个大大的问号。就目前而言,正如 Facebook 听证会所显示的,美国的监管仍然相对宽松。即使是新的监管秩序的尝试也有些分散和零星。
例如,《诚实广告法案》是一项两党法案,旨在减轻组织通过定向政治广告操纵用户的能力。Facebook 和 Twitter 都表示支持该法案,但拟议的法律只解决了庞大的隐私问题的一小部分。我们有可能在美国看到更广泛的改革,但如果发生的话,可能还需要很长时间。
尽管如此,我们正在收获欧洲即将实现的努力的附带好处。Martin 将其比作加州通过对每加仑英里数等实施更严格的要求来提高汽车排放标准,然后让其他州也效仿,以激励汽车公司提高其效率。这种方法最终会使“设计即隐私”成为可能,而这正是 GDPR 的最终目标之一。它将隐私作为设计过程的根本要求,这样就无需在以后才考虑。
这些修订对于公司来说成本高昂,对用户来说也常常令人困惑——即使是更新的隐私政策和使用条款也包含大量复杂的语言。如果公司想在扩展过程中避免这种麻烦,它们可以在生命周期开始时就考虑隐私。“我不会惊讶地看到欧洲公司出现,为北美消费者提供 Facebook 或 Instagram 的可行替代方案,”Martin 说。“选择不跟踪用户的模式可能成为真正的竞争优势。”
