媒体报道

中企擅用人脸识别赔了9200万美元,背后是关乎每个人的大问题

2021-04-12 14:14:52 吉布斯科技 2
2021年2月26日,中国一家企业因为擅自利用手机人脸识别信息,在美国伊利诺伊州与用户达成9200万美元赔偿协议。不过美国本土企业,被用户“宰”得更狠,脸书2020年6月在伊利诺伊州,向用户支付赔偿金6.5亿美元。
然而,用户对巨头的零星“反击”并非长久之计。如何既保证个人信息的利用产生积极的社会意义,同时又让个人合理地获利,考验着各国的互联网治理能力。
【文/观察者网专栏作者 苏奎】
毋庸讳言,个人信息的弱保护是互联网与平台经济发展初期的重要动力之一。然而,在贪婪之下很容易就会出现平台滥用个人信息的情况。随着越来越多人意识到了个人信息滥用造成的困扰,甚至悲剧,个人信息保护的观念逐渐建立,个人信息保护的法律法规体系也在逐步完善。
作茧自缚、过度贪婪的代价就是失去了利用的自由。那么问题也就来了:个人信息在得到严格保护之后,个人有了隐身的自由,平台或者其他第三方数据公司利用个人信息需要个人的同意。假如所有网民,或大部分网民,都不愿意平台使用本人的个人信息,平台赖以获得超额利润的大数据又该从何而来呢?
毫无疑问,平台的大数据算法不会弃如敝履,那是平台的核心竞争力之一。平台自利的做法将会是设置激励性的政策,鼓励个人授权平台或者其他第三方数据企业合法利用其个人信息,在维持生产激励与保护隐私之间取得平衡。大数据毕竟能够增进社会的福祉,这并非是杞人忧天式的问题,事实上,这正是美国当前个人信息保护立法各方对立的问题,也是市场正在发生的事实。中国也正在开展个人信息立法,类似的问题也必将会出现在我们前进的路上。
然而,出卖个人信息赚钱听上去似乎有些难以启齿、欲遮还显,因为问题很容易演绎成为:隐私能成为商品卖钱吗?甚至是:我们需要为隐私付费吗?

分裂的投票
11月3日,是美国总统大选正式投票的日子。美国苦特朗普久矣,世界也苦特朗普久矣,媒体注意力大都聚焦在特朗普究竟能不能从疫情造成的支持率大坑中爬出来。
其实当天对于美国个人信息保护立法也是一个重要的日子。加州的消费者隐私保护法在这一天由公民投票决定(California Consumer Privacy Act, CCPA)。最终的投票结果显示,《消费者隐私保护法》获得了56.23%的支持。加州在个人信息保护方面取得了一个里程碑意义的成就。
然而蹊跷的是,作为对抗互联网资本保护广大人民的利益的法律,消费者隐私保护法本应该获得更多市民的支持,但实际却没有到达压倒性的胜利。此外,资金的投入也很有意思。支持方花了192万美元宣传法案,而反对方则只有区区17万美元。可以对比的是,当天加州同时表决的另一个有关网约工与平台关系的法案的总花费达到了惊人的2.24亿美元,仅网约车平台公司优步为推销该法案就贡献了5953万美元。
相比之下,消费者隐私保护法的投票关注度不高,财大气粗的互联网平台公司也没有站队。更重要的是,公众对此意见分歧。阿拉斯泰尔——此次公投立法的主要推手,在接受采访时颇有些委屈。他抱怨道:“这完全是一个保姆国家(nanny state)”,还真是有些“我本将心向明月,奈何明月照沟渠”的味道。
人脸识别
那么要问的是,为什么这部为了老百姓利益的《消费者隐私保护法》反而会引发公众意见分歧呢?
首先,很多老百姓不知道为什么要有这次公投立法,因为2018年立法通过的《消费者隐私保护法》在2020年1月1日才刚刚生效。2018年6月28日,加州在美国率先参考欧盟的《通用数据保护法》(GDPR)完成综合性的个人信息保护立法(在共和党的反对下,美国国会一直没有能够对类似国家立法达成一致),也被称为《消费者隐私保护法2018》。2020年7月1日,加州检察总长才有权开始执法。可是,由于疫情,企业还在要求检察长推迟启动执法。
然而,互联网大公司一直在游说两党州议员通过新的修正案以削弱该法案,仅2019年加州议会就提出了近10项修正案。当然,这些修正案大都打着保护个人信息的旗帜搞修正主义。房地产开发商阿拉斯泰尔( Alastair Mactaggart)有议会工作的经历,熟知美国地方政治。除了议会立法,还可以通过全民公投程序立法。对于公投完成的立法,只有公投才能修订,而不容旁人置喙,这样就再也无修正主义之虑了。
于是这位关心个人信息保护的房地产老板组织了一些专家(主要是美国联邦贸易委员会FTC的前首席技术官员Ashkan Soltani以及其他一些技术专家)在2018版本的基础上,推出了2020版《加州消费者隐私保护法》。2020年6月24日,尽管疫情肆虐,他还是设法获得了足够的签名支持使得法案提议最终能够进入大选日投票。
更重要的是,《消费者隐私保护法》长达50多页,老百姓几乎不可能去细读那些枯燥乏味的法律术语。法案的正反两方如何对法案贴标签在很大程度上将影响投票人的态度。“为隐私付费”(pay for privacy)是法案的反方给消费者隐私保护法贴的最具杀伤力的标签。消费者要想保护自己的隐私就需要向平台付费,而隐私是加州宪法确定的公民不可剥夺的权利,宪法赋予公民与生俱来的基本权利竟然要付费才能拥有,这哪里是为人民立法,资本家的贪婪真是莫甚于此了!这就是反方向市民传递的法案目的,有了这样的标签,社会的分裂就没有什么好奇怪的了。

我们都是互联网平台的产品
用户个人信息是有价的,这不是什么秘密。互联网巨头谷歌(google)2019年营收高达1620亿美元,其中84%来自于其广告平台。也就是说,它有1348亿美元的收入来自于定向广告。换言之,正是每一个用户的搜索记录信息喂养出了这个庞然大物。
而互联网另一个巨头脸书则更加典型,其收入几乎都来自于广告。2019年广告收入高达694亿美元,而同期公司营收是707亿美元。天下没有免费的午餐,这真如互联网行业广泛流传的名言那样:如果你没有(为服务)付费,你本身就是产品。( If you are not paying for it ,you are the product.)


人脸识别
事实上,脸书一直在探索有偿使用个人信息。2018年4月,脸书首席运营官雪莉(Sheryl Sandberg)在接受媒体采访时透露了脸书正在研究个人信息共享奖励计划。她还提到,脸书可能会提供用户是否同意利用个人信息的一键式授权和取消授权服务,但这是有偿的。那些不同意授权商业化利用个人信息的用户将为脸书服务付费。
2019年6月,脸书在美国、印度市场推出了受邀用户行为研究计划,同意脸书监控手机使用(如用户什么时间安装或使用了什么移动APP应用程序)的用户每月可获得20美元收入,用户的这些信息将用于脸书的市场研究,包括竞争产品、用户需求、用户行为习惯等。
电信运营商掌控着“信息高速公路”。对于用户所有的上网记录,如浏览的网站、网页、上网时间和搜索关键词等信息,电信运营商比互联网服务商掌握得更多。看到互联网公司靠这些信息赚了大钱,电信运营商当然也想分一杯羹。
美国老牌电信运营商——电话电报公司AT&T早在2013年12月就曾经在得州奥斯汀附近区域推行过个人信息有偿使用政策。对于愿意共享个人上网记录的用户,每月不超过1G流量的光纤月租费用为70美元,而同样的光纤接入服务,那些不愿意共享个人上网记录信息的用户的月租费用则为99美元。这个价格差异不是凭空而来,其目的不是为了窥探个人隐私,而是为了获利。看来个人用户的价值确实不小。

为隐私付费?
这实质上是一项隐私人头税,并将不成比例地影响经济上的弱势群体。他们将不会拥有隐私,因为他们的隐私会成为富人们的奢侈品。这是10月15日在加州首府萨克拉门托(Sacramento)媒体俱乐部的辩论会上反对者提出的最具有代表性的观点了。
2018版的隐私保护法规定了网民有平等消费权(right to equal service),也就是平台不能对那些不同意使用其个人信息的网民在商品或服务价格、质量等方面进行歧视。无论是否同意使用其个人信息,平台在商品价格、质量或其他交易条件方面都需要平等对待所有消费者。
隐私保护法希望通过这样的规定避免网民的个人信息自主权真正落到实处,防止平台利用交易上的强势地位威胁或者利诱网民放弃个人信息自主权,使得个人信息保护法事实上变成一纸空文。应该说,这样的规定确实是煞费苦心。需要注意的是,即使号称世界最严的欧盟《通用数据保护法》也没有类似的制度设计。
但加州2018年的隐私保护法同时也规定了例外情形,比如平台企业可以为了收集、出售个人信息而向消费者提供经济激励,包括向消费者直接提供经济补偿,而且平台企业也可以对消费者提供差异化的价格或者不同质量的产品或者服务,但前提是这样的差异是由于消费者同意或者不同意使用其个人信息而直接相关的。
显然,这样的条款在一定程度上确实削弱了消费者的平等服务权,但设置了一定的门槛,那就是产品或者服务的价值必须与消费者的个人信息直接相关。个人信息可以影响交易成本,可以以所谓“羊毛出在猪身上”的互联网逻辑增加平台的收入,也就是所谓的多边市场效应,但消费者的个人信息并不能直接影响绝大多数商品或者服务本身的价值,也就是说,消费者仍然大体享有平等服务权。


人脸识别
2020年版本修改了有关表述。新版本增加了一个消费者安宁间隔期条款。意思是如果消费者不同意使用其个人信息,消费者有12个月的安宁保护期,也就是平台企业至少在12个月以内不得打扰消费者以获得消费者的同意。这确实是一个保护消费者生活安宁的好条款。
此外,新版本增加了平台企业可以为了共享个人信息而向消费者提供经济激励。这是由于企业间有各种复杂的交易,不同企业间除了买卖个人信息,也存在没有直接货币对价的其他个人信息交易。应该说,这样的修改实际上是增加了例外的情形,更加符合企业对于个人信息的利用需求。
更重要的是,新版本将平台企业提供差异化价格或者不同质量商品或服务的门槛条件进行了修改,把“产品或者服务的价格或差异与消费者由个人信息而获得的价值直接相关”改成了“产品或者服务的价格或差异与平台企业由个人信息而获得的价值合理相关”。
显然,直接相关的标准更加严格,而合理相关则是一个宽松得多的标准。何为合理相关,则可能需要在以后的司法实践中进行解释,这也给未来的操作留下了空间。总之,这是非常重要的修改,是更有利于平台企业利用个人信息的修改。或者说这为互联网企业利用个人信息开了更大的方便之门。
经济激励的制度设计是如何演绎成“为隐私付费”的呢?逻辑是这样的:由于激励制度的存在,穷人由于经济窘迫,更有动力愿意企业使用或者出售其个人信息,而富人由于对价格不敏感,更有可能不会受到经济激励的诱惑。因此,尽管每个消费者都有理论上的自由决定权,但实际上的结果很可能就是,穷人失去了个人信息利用的自主权,大都愿意平台利用其信息以换取经济上的利益。富人则真实地享有个人信息或者隐私的自主权,即使有些富人同意平台企业利用其个人信息,那也是自由意志的表达,而非经济压力之下的无奈之举。再进一步发挥就变成了:隐私是有成本的,穷人要想拥有隐私,那就要付出更高的商品价格或者放弃平台开出的刺激价码。
简单对比可以发现,2020版确实降低了标准,但允许平台企业利用经济激励手段的制度设计并非2020版的首创,将之标签化为“为隐私付费”的立法确实有些言过其实。个人信息不等于隐私,隐私只是个人信息的一小部分内容。更重要的是,利用个人信息不等于失去隐私。个人隐私保护的对立面是违背个人意愿的泄露和滥用,而不是有偿利用。只有滥用或者违法利用(如被未授权人员查看、传播、公开个人信息或者违背个人意志的广告轰炸等)才会侵犯消费者的隐私,使消费者的安宁受到侵扰。
“为隐私付费”的演绎逻辑确实脑洞开得大了些。他人获得激励或者优惠并不能等于自己付费。把他人的得等同于自己的失,难免有心胸狭小之嫌。

数据红利
硅谷所在的加州是美国互联网企业的大本营,产生了众多超级富豪。但互联网的数字红利分配并不平衡,其实大大加剧了原本就存在的贫富不均。
根据2019年一份有关加州未来的研究报告显示,收入前10%的家庭收入是后10%的家庭收入的10倍,相比1980年已经扩大了一倍。“我认为大部分人已经认识到现在发生的这些事情是不可持续的,越来越多的财富和权力集中在少数几个公司,并且这不是普通的权力,这是我们的民主本性、我们的家庭、我们的个人身份之上的权力”,美国计算机科学家和作家——杰伦(Jaron Lanier)这样评论道。
加州2018年完成消费者隐私保护立法后,加州成为了美国个人信息保护的先锋。如何建立消费者和互联网平台双赢的机制呢?2019年2月12日,加州州长加文(Gavin Newsom)在州议会发表州情咨文时,在表扬了2018年的消费者隐私保护法立法成就后,话锋一转道:“加州的消费者应该能够分享由他们的数据而产生的财富”,并声称“数据有价而属于个人”,因此他已经要求其团队研究一个“数据红利”(data dividend)方案。


人脸识别
数据红利究竟如何实现?没有任何经验可以借鉴。两年过去了,州政府还没有公布方案。但2020版的消费者隐私法案却进一步强化了平台企业付费利用消费者个人信息的制度设计,这其实也是专家们研究的“数据红利”实现的路径一。这种思路的好处是由市场来对信息定价,解决了政府定价(如税率、分配)的难题。个人信息并没有独立的价值,只有与平台大数据算法相结合才能产生价值。也就是说,平台几乎垄断了个人信息的定价权,政府并没有定价所需要的信息。
当然,由于法律还赋予了个人的信息携带权(right to portability),也就是个人有权从产生信息的平台获得个人信息。在第三方个人信息市场有效的情况下,平台会面临竞争,个人有机会将个人信息出售给其他第三方机构。个人信息的价值会更加真实。
2020年民主党总统竞选的华裔候选人杨安泽是参与这场争议的一位主要政治人物。他旗帜鲜明地支持赋予个人信息财产权(data-as-property rights),赞同个人分享数据红利。对于“为隐私付费”的争议,他在《旧金山纪事报》上发表专栏文章中说:如果愿意的话,加州人民本应该从企业使用他们的个人数据那里获得收益。那些不愿意的则可以得到隐私。杨安泽确实很敏感地发现了个人信息保护与利用是一个可以操作的议题,并提出了正确的问题。但很遗憾,他将个人隐私与有偿利用对立起来,并且错误地以财产权作为解决之途。
产权界定是为了资源从对其估值较低的人手中转移到对其评价更高的人手中而实现配置效率。财产权本质上是一种生产激励制度,可以使得社会整体福祉最大化。
然而,如同空气这样的资源,信息具有非竞争性使用的特征。也就是说,甲的使用不影响乙的使用。使用者数量的增加不会相应增加资源的损耗,使用人之间不具有对信息使用本身的竞争性,但使用目的是有竞争的(如用于定向精准广告)会使得实际占有者倾向于减少使用者。这使得传统的产权界定的目的变得几乎没有意义,或者至少是难以实现。
此外,信息的复制成本非常低,排他占有和使用的成本则很高,特别是个人没有实际占有,也没有能力排除他人使用。或者说,个人信息具有个人弱控制与产业强需求的特征。也就是说,将个人信息界定为个人产权本身在操作上非常困难。因此,界定个人信息的产权本身并不会带来个人权利的本质提升,也对社会整体福祉的增加无益。正是因为如此,中美欧都没有对个人信息进行明确的产权界定,学界对此也是众说纷纭。

法律的力量在于牙齿
12月21日,全国人大常委会法工委发言人岳仲明介绍了2021年全国人大的重点立法工作,其中包括了数据安全法、个人信息保护法等涉及个人信息保护的法律,明年将安排常委会会议继续审议,争取早日出台。这两部法律是个人信息保护和利用最重要的法律制度,将使得中国个人信息保护进入一个新阶段。2020年全国人大已经就这两部法律的草案向社会公开征求意见,这也使得我们可以一窥中国个人信息利用的思路。
事实上,个人信息保护并非没有法律规定。现有法律法规或者司法解释对于如何保护个人信息已经有了不少的规定,但牙齿却不够锋利,刑法上的利剑则有些隔靴搔痒。这应该是国内个人信息保护不彰的重要原因。如根据《电信和互联网用户个人信息保护规定》,电信业务经营者、互联网信息服务提供者泄露、出售或者非法向他人提供用户个人信息的可以处一万元以上三万元以下的罚款。《网络安全法》对于网络运营者侵害个人信息的,罚款金额也是100万以下。对于财大气粗的电信或互联网平台经营者而言,这些处罚实在是太轻了,这几乎就是“没有牙齿的老虎”。
长期以来,国内主流观点认为欧盟有世界上最为严格的个人信息保护法律,美国对互联网企业则更为宽松,甚至认为这是美国互联网发展更好的动力。然而,数据却并不支持这样的观点。据统计,自欧盟通用数据保护法生效以来(2018年5月),至2020年1月,欧盟累计个人信息保护方面的罚款达到了3.3亿美元,但同期美国的处罚金额则高达60亿美元。这还不包括网民对互联网平台企业发起的集体诉讼所产生的巨额赔偿金,如脸书2020年6月在美国伊利诺伊州支付用户赔偿金6.5亿美元。
同样是在伊利诺伊州,中国的一家企业最近(2021年2月26日)刚刚因为擅自利用手机人脸识别信息与用户达成9200万美元的赔偿协议。
是不是因为企业在欧盟更守法使得欧盟的执法机构有更少的执法机会呢?以脸书为例,它因为剑桥分析信息泄露丑闻被美国监管机构重罚50亿美元,而欧盟(英国)对该案的罚款则是区区65万美元。显然,欧盟确实有更完善、更严格的个人信息保护法,但美国的执法更为严厉,法律的牙齿更加锋利,就保护效果而言,至少美国并不比欧盟差多少。
全国人大公布的《个人信息保护法(草案)》已经将最高处罚额拉升到5000万元或者营业额的5%,与欧盟规定的2000万欧元或全球营业额4%的处罚上限基本接轨。应该说,守护中国个人信息的老虎终于要装上厉齿了。可以期待,有了牙齿的个人信息保护法律将能够更好地维护网民的个人信息安全,中国的平台企业也将会更加尊重个人的信息自主权。

让子弹飞
那么,在中国的平台企业也能够严格遵守个人信息保护规定的时候,是否会影响大数据的利用呢?平台企业在中国能否也实施有偿利用个人信息呢?遗憾的是,中国目前的法律里确实找不到这些这些问题的明确答案。
《个人信息保护法(草案)》第十七条规定,个人信息处理者不得以个人不同意处理其个人信息或者撤回其对个人信息处理的同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。也就是说,中国的信息保护法赋予了个人自由意志表达的权力,个人有不受胁迫自由表达同意或者不同意他人利用个人信息的权利,平台企业不能以是否提供产品或服务胁迫个人同意。但其中没有加州类似的“平等服务条款”以及“个人信息有偿使用条款”,也就是没有明确规定平台企业是否可以通过差别化定价或者给予经济刺激以实施有偿利用个人信息。
事实上,欧盟也没有类似的规定。按照“法无禁止即可为”的原则,法律上的留白通常是故意把权力交给市场主体,或者说是让子弹先飞一飞。也就是说,没有规定可以认为是不反对平台企业这样的行为。
除了个人信息保护,反垄断也是平台治理的重要工具。2月7日,国务院反垄断委员会发布关于平台经济领域的反垄断指南。指南明确规定了差别定价可能导致的反垄断调查情形。第十七条规定:具有市场支配地位的平台经济领域经营者,可能滥用市场支配地位,无正当理由对交易条件相同的交易相对人实施差别待遇,排除、限制市场竞争。此外,指南在后面也设置了例外条款,包括行业惯例以及能够证明的其他正当性理由等。

人脸识别
显然,文本有很大的解释空间。对于同意或者不同意利用个人信息的不同消费者是否属于不同的交易条件?有偿使用是否属于行业惯例?以及是否属于正当理由呢?答案很可能是肯定的。这是因为平台并非针对特定个人,也并非是利用掌握的个人信息对消费者进行标签化(如富裕型或经济型消费者)而搞差别定价,本质上是一种交易对价而已,而不是垄断后的“割韭菜”。
数据安全法的有关条款也可以看出端倪。数据安全法草案第五条明确提出:国家保护公民、组织与数据有关的权益,鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展,增进人民福祉。第十七条进一步规定:国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场。显然,数据安全法立法的目的就是要大力支持数据经济,支持数据交易。
个人信息是互联网时代大数据的主体。网民的个人信息是平台获得巨额利润的来源之一,贡献了信息的网民没有理由不能获得相应的利益的机会。有理由相信,中国的网民或许在不久也能够分享个人信息的红利。
法律上,个人信息保护与利用采用了一种分权模式,对个人和平台企业分别配置不同的权利,既保障个人的信息不被滥用,也要保护平台企业的生产积极性,尽力平衡个人信息的生产激励与降低个人隐私被侵害的风险。平台企业有合理使用权,可以用于对产品和服务所必须的目的,而个人有对使用范围的决定权,包括使用主体的扩大、使用目的的增加等。
就像在一辆行驶的车辆上,平台企业掌握着方向盘,它知道哪里有美景,哪里有宝藏,必须承认平台具有个人信息的市场价值发现的独特能力,但是也可能会被贪婪带到大坑里,甚至是悬崖而翻车(滥用个人信息),而个人则是把控着油门(可以授权,也可以收回授权),这就是个人的信息自主权。如果个人不给车辆加油,车辆就只能在有限的范围行驶(必要目的使用)。
平台企业早已成为了巨兽,不能指望个人一直免费为这些庞然大物加油,平台企业也必须明白,免费的午餐不能一直持续下去,数字经济的红利该有更多人共享了,但这绝不是以失去个人隐私为代价。
首页
产品
新闻
联系