在过去的二十多年中,技术政策界的传统观念认为:更严格的隐私法规将会提高消费者信任度,进而,更高的消费者信任度将提高技术使用频率。不少人对此深信不疑,甚至包括不少能够影响政策制定者的人。
简言之,关于监管与信任之间联系的传统观念是错误的。如果不想以牺牲创新和消费者福利为代价,政策制定者应该拒绝通过加强对数字经济的监管来增加信任的提案。
本文核心观点
监管与消费者信任及新技术使用率之间的关系并不是线性的——更多的监管不会导致更高的信任度和使用率。事实上,除了合理的监管基准之外,大多数提高隐私规则的建议几乎没有增加信任度和使用率。
更多的监管并不总能带来更多的创新。相反,这种关系似乎最好用钟型(倒U型)来建模:其中太少的监管限制了使用,但过多的监管会增加成本或降低数字技术的相对质量,从而对新技术的使用率产生负面影响。
监管机构面临的挑战是找到信任与成本之间的最佳水平。通过改善信任,政策可能在某些条件下刺激对技术的更多需求,但增加信任的法规几乎总是需要付出代价。
报告英文版原文点击“”即可下载
增加信任的政策可以有很多形式,从教育公众新技术的安全性到旨在防止不安全产品进入市场的法规。通过改善信任,政策可能在某些条件下刺激对技术的更多需求。例如,严格的航空安全法规与强大的整体记录相结合,创造了一个让更多人对航空旅行感到满意的环境。但增加信任的法规几乎总是需要付出代价。例如,法规可以使车辆更安全,但却使它们更昂贵——从而导致可能更少的使用。监管机构面临的挑战是找到信任与成本之间的最佳水平。
然而,正如我们所发现的那样,监管与消费者信任及新技术使用率之间的关系并不是线性的——更多的监管不会导致更高的信任度和使用率。事实上,除了合理的监管基准之外,大多数提高隐私规则的建议几乎没有增加信任度和使用率。
更多的监管并不总能带来更多的创新。相反,这种关系似乎最好被建模为钟型(倒U型):其中太少的监管限制了使用,但过多的监管会增加成本或降低数字技术的相对质量,从而对新技术的使用率产生负面影响。
这种关系表明存在一个最佳的监管水平——既不太弱也不太强。积极的监管政策,例如部署在GDPR中的政策,可能几乎没有增加信任,反而会限制数字创新和提高新技术成本。因此,现在是时候结束“更多的隐私监管是支持创新和保护消费者”的虚假观点了。
增加隐私保护并不必然提升信任度
倡导更强的数据监管的人通常引用一些表明信任程度越来越低、隐私和安全问题越来越严峻的数据。这些学术研究和公共调查通常无法揭示消费者的实际偏好,因为他们不会要求受访者面对他们选择的成本后果。
信任和隐私之间的关系是复杂的主题,证据并不表明增加隐私保护必然会增加信任度。问题仍然存在:数据保护法规与增加信任之间的关系是什么?
监管如何影响消费者对新技术的接纳和使用率
隐私研究员HelenNissenbaum写道,消费者关心网上信任,因为它“带来了有价值的目标。”在这个框架中,信任和监管以及监管和技术接纳和使用率之间的关系是线性的:更多的监管导致更多的信任,更多的信任意味着更高的接纳和使用率。因此,更严格的隐私法规将促进接纳和使用率——无论已经存在的基础监管水平如何。
然而,如下所述,几乎没有证据表明这些因素之间的关系是线性的。
监管在多大程度上影响消费者对互联网的信任?
如果监管程度和消费者信任的关系是线性的,那么拥有最严格保护制度的国家也将在其民众中拥有最高程度的信任。
不幸的是,由于CIGI只在两次调查中询问了信任情况,我们无法跟踪不同国家的信任情况-特别是在一个国家增强其数字法规强度前后的情况。但是,我们可以看一下欧盟的信任情况,因为欧盟拥有最强大的数据保护法规——特别是在实施GDPR之后。一年两次的欧洲民意调查针对各个主题在每个欧盟国家选取了100人进行了访谈,并且自2009年以来一直在追踪欧洲人民对互联网的信任(见图4)。有趣的是,尽管欧盟在2009年加强了其电子隐私法规(在接下来的几年内实施)并且显着改变了其隐私规则,例如法院在2014年的判决中确立了被遗忘的权利(therighttobeforgotten),但是欧洲人民对互联网的信任从2009年到2017年一直是持平的。同样,在2014年开始的欧洲民意调查也发现,欧洲人民对社交网络的信任度尽管很低,但是一直保持平稳。回顾2018年和2019年的这些结果来观察GDPR的实施是否会影响信任水平,这将会很有趣。
证据表明,与具有中等或有限数字监管水平的其他国家相比,强有力的数据保护法规几乎没有对信任情况产生积极影响。这可能是因为人们将严格的法规解释为政府告诉他们技术是不可信任的。这显然是欧盟委员会和欧盟国家隐私监管机构向欧盟公民发送的信息:网络充满风险和危险,只有极其严格的监管才能提供保护,免受严重损害。与那些隐私保护程度更宽松的国家相比,欧洲消费者对互联网的信任程度似乎更低,这也不足为奇了。
虽然我们估计数字监管与信任之间的关系是逐步发展的,但目前还没有足够的数据或证据可以最终作出结论。
监管在多大程度上影响了消费者采用互联网的意愿?
监管在多大程度上影响互联网应用的实际使用率?
鉴于每个国家以不同的方式实施法律,没有证据表明法律影响了使用率。当我们使用国际电联的数据将美国与法国、英国进行比较时,我们发现美国2011年至2012年使用互联网的个人比例有所增加。事实上,美国增长了4%,法国和英国分别增加4%和2%。欧盟统计局和皮尤研究中心的数据显示出同样的趋势:2011年至2012年,与整个欧盟相比,美国的类似群体的互联网用户增长率更高,与法国和英国相比,美国的类似群体的互联网用户增长率也更高。
我们还分析了在采用Cookie法后,与美国相比,欧洲的社交媒体使用情况。只有欧盟统计局才有该数据,期间为2011年至2017年,因此我们只能在法律生效后才能观察到这种关系。
没有证据表明法律影响了使用率。与美国相比,“Cookie法”的通过似乎并没有影响欧盟及其成员国的使用率。法律在欧洲生效后,法国和整个欧盟的使用率仍然落后于美国。实际上,在2011年至2016年间,法国的使用量增加了4个百分点,欧盟的使用量增加了14个百分点,而美国则增加了19个百分点(表2)。只有英国在2017年超过了美国的社交媒体使用率。如果与强大的欧盟数据保护相比,美国的隐私法规应该是缺乏硬度的,而信任是提高使用率的关键,那么为什么使用社交媒体的美国人比欧洲人更多?
没有证据表明法律的实施对电子商务的使用率产生了积极影响。与美国相比,“cookie”法的通过似乎并未影响欧盟及其成员国的采用率。实际上,我们再次发现欧盟和法国的使用率落后于美国,美国落后于英国。2011年至2017年间,法国电子商务使用量增长了14个百分点,欧盟使用量增加了15个百分点,而美国则增长了17个百分点(见表3)。在此期间,英国的电子商务使用量仅增加了11个百分点然而这一比率在82%的成年人中高得多。
但是,这些结果有几点需要注意。首先,欧盟统计局的数据不包括74岁或以上的个人(虽然美国的调查也如此),即使他们对互联网的使用率较低。这可能会人为地提高欧盟的使用率。此外,随着使用率的提高,使用率往往会随着增长而放缓,而美国大多数这些技术的使用率都会提高。例如,如表1所示,2009年美国76%的成年人使用互联网,而欧盟则为67%。
简而言之,数据显示,没有证据表明法规和使用之间存在线性关系。过度严格的法规不必要地限制了公司将资源用于创新的道德等等等等,这更可能对互联网使用产生负面影响,从而妨碍向个人提供可使用的技术。
数据保护法规对创新的影响
即使加强数据隐私规则超出某些基准水平也不会增加信任,在许多隐私倡导者主张隐私是一项基本人权的情况下,制定额外规则看起来不成问题。换句话说,回到先前对自行车头盔安全性的类比,如果一个三米的跌落标准甚至比现在的两米标准提供更小的安全性,为什么不简单地要求更高的标准呢?所有监管决策的答案都是一样的:平衡成本和收益。一个三米的标准会增加头盔的成本,从而通过剥夺他们可能花在其他东西上的钱来减少消费者的福利。
严格的数据保护法规等同于是三米头盔标准。
增加更多规则会提高合规成本并降低提供在线服务公司的收入。更高的成本意味着更低的收益,这会减少公司在改善在线服务上的投资。此外,公司可能会试图通过提高消费者的成本来弥补,例如从提供免费服务转向为他们收费。简而言之,额外监管会损害消费者福利,使网络公司(包括初创企业)更难以从用户参与中赚钱,并阻碍数字化采用和使用的增长。
许多研究都研究了数据保护法规对创新的影响。在本报告中,我们强调了数据保护法规在五个方面可能会对创新产生负面影响:高合规成本、高额法律费用、免费业务模式的可行性降低、不确定性增加以及获取创新数据的机会减少。重要的是,这些因素不仅会影响公司,还会损害消费者的利益。
提高合规成本
增加法律风险
公司面临的法律风险的增加以及巨额罚款的威胁,可能使消费者的境况更加恶化。如果监管机构对无意或无害的行为征收巨额罚款,公司会将更少的资源用于保障消费者的安全,用于有用的产品和提供服务,将更多的资源用于法律费用和内部审计,最终这会减缓创新步伐。结果是,律师将胜过计算机科学家和工程师。例如,2017年数据创新中心报告认为,通过间接限制公司使用个人数据的方式以及提高公司开发和使用人工智能(AI)的法律风险,GDPR将对发展产生负面影响,这些规则不仅会给欧洲AI公司带来竞争劣势,而且无疑会限制为欧洲公民提供可用的AI产品和服务。
增加市场不确定性
米尔伯格等人研究表明数据保护的最大驱动因素之一是政策制定者希望通过减少公民对隐私侵犯的恐惧(或感知风险)来解决公民的“不确定性规避”的问题。事实上,正如我们上面所说,决策者制定像GDPR这样的规则是为了增加消费者的信任。然而,富勒认为数据保护立法虽然可能减少互联网用户的这种不确定性,但却大大增加了企业的不确定性。数据保护法通常含糊不清,一般也不会给隐私执法机构和法官提供解释,从而使企业家处于一种并不确切地知道法律要如何适用于商业活动的环境中。这种模糊不清会对围绕新技术的创新产生抑制作用,并阻碍市场进入。
减少对数据的访问
同样,限制公司使用信息可能会阻止他们采用新的有益技术。例如,Miller和Tucker在2009年审查了旨在促进医院医疗信息隐私保护的州法律,发现这些法律的制定导致电子健康档案(EHRs)的采用减少,因为这些法律使医院容易受到交换患者信息的影响。事实上,EHR可以帮助大幅降低医疗成本。
政策制定者应该争取数据监管达到“温和水平”
政策制定者需要一种机制来测试这种最佳的温和监管水平。例如,用自行车类比:如果现有的两米头盔未能保护许多骑自行车的人,但三米坠头盔可以,并且三米头盔的生产成本合理,那么政策制定者应该将标准改为三米,以避免不必要的伤害。然而,如果相对较少的人受到3米跌落的伤害,新头盔的价格会促使人们完全停止购买,或者这种变化在某种程度上超过了更便宜的头盔的反补贴利益,那么更强的限制性标准就没用了。