江苏龙网

  1. 首页 > 资讯 > 科技 > >

行业互联网|「报告」世界经济论坛:重新设计数据隐私——重新构想用于人机交互的通知和同意( 二 )


欧洲数据保护的发展轨迹不同 。1981年通过的《关于自动处理个人数据的保护公约》(The Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data)仍然是欧洲委员会成员国数据保护法的主要来源 。欧盟法律将数据保护和隐私权的分开 , 分别反映在《一般数据保护条例》(GDPR)和《电子隐私指令》(ePrivacy Directive)中 。相较于数据保护框架 , 同意原则在电信框架中发挥着更大的作用 。
尽管发展轨迹不同 , 但“通知&同意”已然成为美国和欧盟数据、隐私保护领域的一部分 。在欧盟和美国以外 , “通知&同意”在不同程度上已成为一贯的国际规范 , 部分原因在于GDPR建立了压倒性的影响力和贸易激励措施 , 促使非欧盟经济体与欧盟的做法保持一致 。
4 “通知&同意”:评估
“同意”几乎可以使收集、使用和披露个人数据的任何形式合法化 , 但是个人无法充分管理其数据 , 并且“同意”在涉及隐私的许多情况下毫无意义 。“通知&同意”从根本上将隐私保护的重担放在个人身上 , 与“权利”概念背道而驰 。但是 , 通知对监管机构来说非常具有吸引力 。立法者喜欢将强制性通知作为监管依据 , 因为它使公司承担较小的成本 , 并保留了他们创新和产品设计的自由度 。
在许多在线环境中 , “接受或放弃”是同意机制下的两种选择 , 而放弃则通常意味着“拒绝服务” 。数据主体必须通过某种形式耗费一定的时间了解重要相关信息以及同意的后果 。信息的呈现必须考虑到人们如何在特定的环境中做出决策 , 而不是假设理性的行为者在理想的情况下做出决策 。
当同意的风险很高且威胁到自主权时(无论是个人还是集体) , 用户阅读隐私政策的外界环境必须处于最佳状态 , 否则隐私政策不应提供法律或道德依据 , 这将导致不公平竞争 。
5 “通知&同意”的风险
(1)无法正确适应无屏技术的实践
GDPR、CCPA、加拿大的《个人信息保护和电子文档法》(PIPEDA)、巴西的《通用数据保护法》(LGPD)、南非的《个人信息保护法》(POPI)和日本的《个人信息保护法》(APPI)等我们熟知的法律实际上是为屏幕世界而建立的 。日常生活中 , 数据也在通过触摸传感器、物联网(IoT)设备、相机和其他环境计算设备进行收集 。由于GDPR适用于消费者物联网设备的数据采集 , 因此物联网设备很难在欧盟境内合法使用 。相比之下CCPA很大程度上采用通知和选择退出模式 , 而不是同意 。鉴于与此类技术无时无处不在收集数据 , “通知&同意”机制并不适用于无屏技术 。
(2)无法向公司做出明确承诺 , 并鼓励他们找到创新的解决方案来保护隐私
GDPR技术中立 , 但是由于许多组织依靠外部律所和内部律师共同编撰合规的通知 , 因此其实施通常会从用户体验角度出发 , 然后再进行调整 。一些数字服务商试图通过鼓励并行设计流程进行改革 , 但是在监管没有明确指导方针的情况下 , 这项改革具有挑战性 , 并且没有足够的动机摆脱基于屏幕技术的通知制度 。结果导致在数字世界中 , 我们不仅使人民及其权利、期望、福祉受损 , 而且也使创新者和公司失去信誉 , 而后者被建议必要时更多地采用“通知&同意”机制 , 因为在没有更好的替代方法时 , 它将为公众提供法律保护 。
(3)无法说明二手数据的使用情况
数据收集通知规则的设计无法考虑到B2B分享个人数据、数据分析、未来交易以及不可预见的用例价值的实现 。一旦数据进入价值链 , 数据重用规则就很难达成一致 。
因此 , 为了适应未来的挑战 , 我们提供以下两种选择:
● 必须从根本上重新构建“通知&同意”机制 , 以解决用户需求 。支持人们对数据的持续控制 , 包括重新协商或撤回同意的能力 , 允许个人对其数据进行细粒度的选择 。
● 必须从根本上替换“通知&同意”机制 。如果当前机制在现有的基于屏幕的约束下几乎无法满足要求 , 那么它将完全无法管理IoT设备的数据收集 。


推荐阅读


上一篇:聚果分析|现在买荣耀30还划算吗,称得上是3K档的性价比之选吗

下一篇:行业互联网|INFINITE超级生态风暴,开启多元生态布局