2018年6月15日

4分鐘閱讀

新的歐洲法規或將首次為美國網際網路使用者提供真正的隱私選擇

GDPR 或許能提供前進的方向,讓消費者重新掌控自己的資訊

作者:John Rothchild& The Conversation US

Getty Images

以下文章經The Conversation許可轉載,The Conversation是一家報道最新研究的線上出版物。

歐洲新的資料隱私規則,通用資料保護條例,已經生效,但其實際意義仍有待發掘。 而 GDPR(通用資料保護條例的簡稱)是否真能幫助保護您的個人資料,可能取決於奧地利隱私權活動家 Max Schrems 在該條例生效當天對 Google、Facebook、Instagram 和 WhatsApp 提出的投訴

關於支援科學新聞

如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞報道 訂閱。 透過購買訂閱,您將幫助確保未來能夠繼續看到關於塑造我們當今世界的發現和想法的具有影響力的報道。

GDPR 不是美國法律,但它適用於全球任何地方的所有公司,只要這些公司向歐盟居民提供商品或服務,或監控歐盟境內人員的線上活動。 因此,許多大型跨國公司選擇在全球範圍內遵守 GDPR,而不是試圖區分位於歐盟境內外的客戶和使用者。

儘管 GDPR 在許多方面與歐盟先前的隱私規則相似,但它提供了一種誘人的可能性,即首次賦予人們對其資料的真正控制權——儘管這可能需要數年時間才能理清。

發出通知

與許多隱私規則一樣,GDPR 基於通知和選擇原則。 想要收集您個人資訊的公司必須首先向您發出通知,說明計劃收集哪些資料以及計劃如何使用這些資料。 然後,您可以選擇是否允許該公司收集資料。 這一概念是公平資訊實踐原則的一部分,這是一套隱私準則,最初在1973 年的聯邦報告中制定,現在構成了美國和國外許多隱私法規的基礎。

在 20 世紀 90 年代中期,美國聯邦貿易委員會開始敦促網站運營者釋出提供此類通知的隱私政策。 2003 年,加利福尼亞州開始要求所有收集加州居民資訊的網站都必須釋出隱私政策。 在這種推動下,現在大多數商業網站都會在網站主頁底部的標有“隱私”的超連結上向任何好奇的人顯示隱私政策。

人們並沒有因此更知情

這些無處不在的隱私宣告實際上並沒有幫助人們做出明智的隱私選擇。 隱私政策冗長而複雜,很少有人會費力去閱讀它們,而能夠理解它們的人就更少了。

2008 年的一項研究發現,在智慧手機革命的曙光時期,一個人每年必須花費超過 240 小時才能閱讀他們訪問的網站的隱私政策。 十年後,隨著裝滿應用程式的平板電腦和智慧手機在世界各地普及,這種時間投入只會增加。

即使您能夠閱讀並理解所有這些法律術語,您仍然不會知道您的個人資訊將如何被使用,原因很簡單:網站運營者自己也不知道其收集的資訊將如何被使用。

當人們從一個網頁點選到另一個網頁,使用移動地圖應用程式獲取路線,點選 Facebook 上的“贊”按鈕,並參與無數其他商業和非商業活動時,他們會生成資料。 這些資料進入到一個複雜的生態系統,其中充斥著資料經紀商、資料分析公司和廣告網路。

所有這些資料都會被買賣,與其他資料結合,並使用複雜的分析技術進行處理。 其結果是關於人們行為和偏好的大量資訊和推論,這些資訊和推論可能被一些無名的實體以各種方式使用,從而影響從信用價格到保險可用性的一切

沒有真正的選擇

也許更重要的是一個尚未引起注意的額外要點:即使您知道網站收集的資料將如何被使用,您也沒有有效的選擇去使用一個更注重隱私的網站。

我最近分析了 25 個訪問量最大的商業網站的隱私政策,發現它們的隱私政策實質上幾乎相同。 幾乎所有網站都使用 Cookie 和其他技術來跟蹤訪問者的線上活動。 幾乎所有網站都收集能夠唯一識別人們用於瀏覽網路的裝置的標記。 幾乎所有網站都允許第三方廣告網路收集使用者的個人資訊並向他們傳送定向廣告。 移動應用程式也是如此。

當面對不利的隱私政策時,沒有其他選擇——也無法限制網站對其收集的資訊所做的事情。 您唯一的“選擇”是不上網,並將您的智慧手機換成對講機。

一線希望

GDPR 或許能提供前進的方向,讓消費者重新掌控自己的資訊。 它規定,如果使用者被要求同意收集對於提供其請求的服務並非必要的資料,則使用者對收集個人資訊的同意可能無效。

例如,根據此條款,地圖應用程式可以要求您同意訪問您的位置,然後才能為您提供駕駛路線。 但它不能要求您允許其訪問您的聯絡人列表,因為這對於提供您請求的地圖服務來說是不必要的。

這就是隱私權倡導者 Max Schrems 提出投訴的原因。 他認為,Facebook 和 Google 違反了 GDPR 的這一方面,因為它們要求的同意範圍比嚴格必要的範圍要廣泛得多。 例如,如果您想使用 Facebook 與朋友分享帖子並檢視他們的帖子,您必須同意 Facebook 收集和使用其隱私政策中提及的任何個人資訊。

這些公司自然堅持認為,他們的隱私政策完全符合 GDPR。 它們是否正確還有待觀察。 歐盟隱私工作組在2017 年的解釋中支援了 Schrems 的主張,但 GDPR 本身在這一點上並沒有那麼明確。 真正的決定將在未來幾年內做出——雖然這些決定將在歐洲法院做出,但它們也可能對美國的網站和移動應用程式使用者產生深遠的影響。

本文最初發表於The Conversation。 閱讀原文

© .