文|朱悦 华盛顿大学法律博士(J.D.)候选人

编者按:

“中国用户愿意用隐私换便利”?这句话曾经引起巨大争议,然而本期腾研识者朱悦发现当学者奔走呼告要求“知情同意”时,国内外的用户其实真的就没认真看过隐私协议。从法学到经济学再到计算机,各领域学者甚至达成共识:“隐私协议既不好读,也不好写”。提醒用户要珍重他们的权利很难,甚至一系列让用户认真看完隐私协议的尝试,都有点徒劳无功。从用户决策角度看,用户忽视自己的隐私,未尝不是一种经济理性。不过,作者也给提高隐私协议的阅读率指出自己的解决方案。


如果针对每个互联网页面,计算“点击率”与“完整阅读率”的差值,再从高到低排序,隐私协议页面必然是第一名的有力竞争者:每一天,几乎每位网民都会点开一个或多个隐私协议页面。接下来,他们通常会视这份凝聚许多专业人士心血的文本为无物,直奔底下的“同意”按钮。连美国联邦最高法院的大法官,都坦言自己不会阅读平常遇到的隐私协议[1]。 

这一点为隐私保护带来了很大的挑战。在隐私保护这一话题上,学者与从业者常强调 “知情同意”原则:用户读过隐私协议,了解自己将分享哪些数据、对数据享有何种权利,并同意以上安排。如果企业未能充分履行告知的义务,用户给出的“同意”可能不具备法律效力;用户给出“知情同意”,常常是处理或利用个人数据的前提之一。

如果实践中几乎没有人会阅读隐私协议,或者,即使读过隐私协议,大部分人也弄不清楚隐私协议的含义究竟为何,“知情同意”原则将难以得到有效贯彻。用户在“同意”企业协议时难言“知情”,这一点将同时损害用户和企业双方的利益:其一,企业可能借机攫夺用户对个人数据享有的权益;其二,企业将因此始终面临数据合规层面的监管风险。

无论是个人隐私保护的缺失,还是数据经济因前述不确定性而面临的风险,所牵涉的社会福利都不是小数字:前者事关每一个体,后者可能会对身处新经济的企业产生负面激励,甚至阻碍“第四次工业革命”引擎的发动。因此,如何改进隐私协议的文本书写及展现形式,以提升用户阅读隐私协议的比例,这成为了当下亟待解决的问题。 

然而,在提高阅读比率方面,目前的进展并不乐观:无论是相对基础的缩短篇幅、简化表达,还是高亮、弹窗等更加灵活的改进方式,实验呈现的效果都不明显。有的“改进”,甚至可能进而分散消费者的注意力,恶化要解决的问题。从理论出发得到的答案,可能更加“残酷”:所有这些边际上“零敲碎打”的改进,长期来看可能都注定徒劳无功。

这一点自然衍生出以下两点问题:首先,在“无人阅读隐私协议”这一问题上,我们是否还有出路?其次,对如此重要的问题,我们或许应该对最坏的情况也做好准备:如果确实不存在行之有效的办法,隐私协议应当如何设计?接下来,自己将首先解释一系列相关的研究成果;之后,文章将尝试探究以上两点问题。末尾部分是总结与展望。

失败之后,仍是失败

不好读,但又很重要的文件有很多。其它领域,学人及业界也在做相应探索。近年来的实证证据表明:在金融业等高度依赖信息披露的行业中,提升文本可读性的举措已取得了不少正面的成果[2]。例如,根据Kwang和Kim二位学者的估算:企业向投资者提交的报告的可读性每上升一个标准差,企业市值将因此提升2.5%[3]。和这部分研究结论相呼应,多国金融监管机构均要求上市企业以浅易近人的方式披露信息[4]。

当下,隐私协议的书写尚未跟上这一脚步:从法学到经济学再到计算机,各领域学者在“隐私协议既不好读,也不好写”这一结论上达成了高度一致[5]。首先是“不好读”。具体而言,基于对 50000余个隐私政策页面的分析结果,Fabian、Ermakova和Lentz等三位学者发现:首先,隐私协议平均包含1700余个单词,或70个句子。单个句子的平均长度“较长”;其次,平均而言,隐私协议的易读程度是“困难”;最后,和前一点相关,为理解大部分网站的隐私协议的内容,用户至少需要具备一定程度的本科教育[6]。 

其次是“不好写”。研究者在提升阅读率方面遭遇的一系列挫折,是阐明这一点最好的实例。在这一题目上,近年来的研究多采取随机对照实验方法:以平时我们常见的隐私协议作为对照组,以经过实验者改写的隐私协议作为实验者;接下来,将实验参与者随机分组,不同组的参与者分别阅读不同版本的隐私协议;阅读完成后,对比两组参与者的阅读用时及对隐私协议内容的掌握情况等指标,即可据此推断相应改进的效果[7]。

具体到改进协议书写的办法,可大致概括为以下两个方面:第一,努力以更加浅易近人的方式展示隐私协议,以降低用户的阅读成本。基于这一类思路的常见做法是缩减隐私协议的篇幅,或简化其中所用的词汇;第二,以各种方式提醒用户,如果不仔细阅读隐私协议,他们可能因此蒙受损失。相应的做法是添加明确的词汇,或加上警示符号。从常识角度看,无论是“降低成本”还是“避免损失(或带来收益)”,都应该会增加用户阅读协议的比例。

第一类做法的效果并不好。Ben-Sharhar和Chilton将实验者分组,然后分别散发未经简化及经过简化的隐私协议,再考察他们对协议的了解程度及对敏感个人信息的披露程度。结果,在回答有关隐私协议的内容的题目方面,两个组之间不存在任何显著差别。信息披露方面的研究也得到了类似的结果[8]。更加有趣的是,在同年发表的另一篇研究中,Gluck等研究者甚至发现:在一定范围内,随隐私协议篇幅缩短而来的,是用户投入于协议的注意力的减少,以及答题时更差的表现[9]。也就是说,简化起的可能是“反效果”。 

第二类做法能否“建得奇功”呢?法学学者们一度对加入警示标志寄予厚望[10]。不过,他们恐怕要因此失望了。在荷兰超市实地进行的实验表明:在材料中加入颇为醒目的警示注记及标语,并不能阻止消费者披露邮件账号、购物记录等敏感的信息——有无警示标记,对披露比例并无显著影响[11]。与此相似,调整披露协议中关键条款的用语,对用户的最终决策也没有任何显著的影响:实际上,用户根本察觉不到“我们将分析您的数据”及“我们保留对您的数据进行[具体列举可能进行的各项操作]以下操作的权利”之间的区别[12]。

有一点值得特别指出:以上实验,很可能仍是高估了用户加之与隐私协议的注意力[13]。首先,与实际不同,在实验场景中,参与者面临的“分心”因素有限,加诸实验材料的心力一般会较平时为高;其次,除少数实地实验外,许多研究招募的参与者是较好学校的本科生。他们的阅读能力本身就更强,对隐私可能也更为注重[14];最后,即使假定前述改进在一开始可能提高阅读率,我们也很难保证相应改进投入实践后,用户不会逐渐对此变得“麻木”。

提醒用户要珍重他们的权利很难。相比之下,设法欺瞒用户、借助认知方面的固有特点降低用户的提防程度,却并不是那么难。这一点让解决“低阅读率”问题的前景显得更加暗淡。在今年发表的实验研究中,Waldman就发现:相比更加尊重用户隐私、但仅以普通文本形式展现的隐私协议,用户反而可能更信任那些较为侵犯隐私、但展现形式更漂亮的协议。在字号、留白、对比度等变量上下功夫,都能起到在内容方面“瞒天过海”的效果[15]。

不堪重负的用户

精卫填沧海,猛志固常在:不停翻新设计、遭遇“泼冷水”的同时,研究者也一直在尝试总结现有努力收效甚微的原因。在2017年发表的研究中,来自卡内基梅隆大学及兰德公司的研究者总结了如下四点失败的理由:一是需求的不匹配,公司撰写协议的目的及方针,更多地是达到自身的合规,而非照顾用户对信息透明及隐私保护的需求。用户自然难以从中感受到“温度”;二是用户缺乏真正的选择;三是用户的负担太重——有太多协议要读[16];最后,隐私协议常常以孤立的页面形式出现,与软件之间的整合工作做得不够好[17]。

研究者据此提出了许多改进现有的隐私协议的建议:将隐私协议写得更简短、进一步标注其中重要的部分、让隐私协议更加通俗易懂、将相关通知嵌入恰当的场景,等等[18]。从直观角度出发,这些都是很好的建议;不过,阅罢前面提到的各项实验,我们不禁要怀疑在边际上改进现行协议的意义。尊重用户的“知情同意”,确实很重要;可是,用户需要的,究竟是什么类型的 “知情同意”呢? 

笔者曾在专栏撰文介绍对隐私协议的前沿研究,并有幸收获许多令人印象深刻的评论。以下是其中之一:“(我)从一个业余的同时还是关心隐私的用户来说,阅读隐私协定最大的困扰不是想不想看,而是意志力被生活工作学习家庭消耗殆尽,完全没精力看一个漫长的协定,更不用考虑国内匪夷所思的维权难度;为什么不把用户对每一个细项的决策权简化成用户不需要决策的界面?[19]”也就是说,有时候,“知情同意”可能确实很重要;然而,有时候,用户可能根本不想要学者、从业者及监管者努力争来的这份“知情同意”。

从互联网产品整体,而非孤立的角度看待“隐私协议”,用户的以上决策中,蕴含了相当丰富的经济理性。实际场景中,影响用户决策的有许多维度:购买价格、社交网络中也在使用同一产品的成员数量,等等。隐私保护的程度,以及隐私协议的书写水平,仅仅是其中之一。商品在不同维度上的差异大小,对消费者决策造成的影响程度大小未必相同。有的维度影响可能特别大:一点点变动,便有可能驱使用户投奔他家;有的维度影响可能那么大:即使不同软件在这一点上差异甚大,消费者的反应可能也相当“迟钝”[20]。

以下两点,都有可能导致“意志力耗尽”的用户对隐私维度赋予更低的权重。首先,很多用户可能确实就认为隐私不重要;其次,企业之间的差异很重要。Bordalo、Gennaioli和Shleifer 2013年发表的研究指出:如果不同企业彼此之间,在某一维度上相似程度甚高,用户给予这个维度的关注也会相应相应缩减[21]。与这一结论相呼应,前半部分所引的实验证据已经发现:消费者很难察觉到隐私协议的差别[22]。 

当学者、从业者与监管者呼唤“知情同意”时,他们期待用户仔细观察产品的这一维度,并在此基础上做出深思熟虑的决定。然而,实践中,用户扔给这个维度的权重可能相当之效,甚至是接近于0[23]。如此结论下,诸如加警示、实时通知、缩短篇幅、改用弹窗等边际意义上的改进,能起到多少效果就相当可疑了:一个专业人士看来颇为激进的改变,乘上一个小之又小的权重,结果可能就是“翻不起什么浪花”;此外,如果行业内不同平台在同一时间引入了相似的改进,根据上一段中的结论,这同样不会提升用户的阅读率。 

结语与展望:我们有其它出路吗?

一言以蔽之,许多提升隐私协议阅读率的努力尚未取得成效;将来,类似努力可能也不会取得明显的成效。当然,随着个体隐私意识的逐渐提升与“唤醒”,隐私协议的重要程度可能随之“水涨船高”。然而,如此变化能否转变成实打实的阅读率,进而推动目前占据主导的“知情同意”原则落实到用户层面,仍有待进一步观察。

除用户意识变化以外,以下两点,亦是可能的探索方向。首先,从根子上降低用户的决策成本,不去“挑战他们的意志力”。参考自己的喜好、性格、生活方式及日程安排,用户个人同样可以借助各色统计工具来为自己的决策提供参考:企业按一定方式展示隐私协议,接下来,以用户个人数据训练好的工具便可自动帮助用户决策。用户既不需要拖动疲惫的手指以下拉菜单,也不需要努力分辨那些或微言大义、或佶屈聱牙的文字[24]。当然,企业展示协议的方式也可以类似工具得到优化,确保“只把有限的空间留给最紧要的内容”[25]。

如果是第一类探索方向的精神是维护“知情同意”原则,第二类的方向可能恰好相反:鼓励监管者统一监管隐私协议的书写,将企业间协议的差异压缩到很小的程度——如果仍允许差别存在的话。按照前面的推理,这一安排将导致用户进一步削减在隐私协议维度上投诸的注意力。然而,现有研究说明,这样的措施完全有可能改进整体福利:消费者得以把更多注意力留给其它维度,比如价格;相应地,企业也会加强在这些维度上的竞争,最终对社会福利带来净效应[26]。如此看法略显“离经叛道”,但也不失为未来可能的研究方向[27]。

【尾注与参考文献】

[1] 见于Fairfield, Joshua AT. Owned: Property, Privacy, and the New Digital Serfdom. Cambridge University Press, 2017.

[2] 以金融为例,领域内较为全面的综述当推Leuz, Christian, and Peter D. Wysocki. “The economics of disclosure and financial reporting regulation: Evidence and suggestions for future research.” Journal of Accounting Research 54.2 (2016): 525-622.

[3] 见Hwang, Byoung-Hyoun, and Hugh Hoikwang Kim. “It pays to write well.” Journal of Financial Economics 124.2 (2017): 373-394.

[4]目前,在衡量“浅易近人”方面,美国证券交易委员会(通常简称SEC)所提供的手册有较强的影响力,链接见https://www.sec.gov/pdf/handbook.pdf。有趣的是,这本界定何种文字可谓“浅易近人”的手册,篇幅足足有83页。

[5] 以下研究列举了许多相关文献:Fabian, Benjamin, Tatiana Ermakova, and Tino Lentz. “Large-scale readability analysis of privacy policies.” Proceedings of the International Conference on Web Intelligence. ACM, 2017.

[6]同上。值得注意的是,这一结果反映的是英语网络世界中隐私协议的易读程度。关于中文网络世界的情况,仍有待进一步研究。这应当是一个值得探索的题目。

[7]随机对照实验已成为部分主流法学期刊中常见的研究方法。有关如何于法学研究中应用试验方法,可参考Lawless, Robert M., Jennifer K. Robbennolt, and Thomas Ulen. Empirical Methods in Law. Alphen aan den Rijn: Aspen Publishers, 2010.

[8]见Ben-Shahar, Omri, and Adam Chilton. “Simplification of privacy disclosures: An experimental test.” The Journal of Legal Studies 45.S2 (2016): S41-S67.值得一提的是:利用成年人平均阅读速度、实验所用隐私协议长度及参与者的平均阅读耗时,原文估算了完整阅读相应协议的用户比例的上界,发现不会超过2.5%。这一点或许可以解释此处列举的绝大部分实验结果:横竖都是不读,怎么调整,意义恐怕都不大。

[9] 见Gluck, Joshua, et al. “How short is too short? Implications of length and framing on the effectiveness of privacy notices.” 12th Symposium on Usable Privacy and Security (SOUPS). 2016.

[10] 以下研究是其中代表作:Ayres, Ian, and Alan Schwartz. “The no-reading problem in consumer contract law.” Stan. L. Rev. 66 (2014): 545.

[11] 见Junger, Marianne, Lorena Montoya, and F-J. Overink. “Priming and warnings are not effective to prevent social engineering attacks.” Computers in Human Behavior 66 (2017): 75-87.

[12] 见Strahilevitz, Lior Jacob, and Matthew B. Kugler. “Is Privacy Policy Language Irrelevant to Consumers?.” The Journal of Legal Studies 45.S2 (2016): S69-S95.

[13] 见Waldman, Ari Ezra. “Privacy, Notice, and Design.” Stan. Tech. L. Rev. 21 (2018): 74.

[14]此处值得补充的一点是:即使是世界顶尖学府的本科生,对隐私的估值可能也不高——甚至不如一张披萨优惠券。有关这一点,请参见Athey, Susan, Christian Catalini, and Catherine Tucker. The digital privacy paradox: small money, small costs, small talk. No. w23488. National Bureau of Economic Research, 2017.

[15]对此类随机对照实验中可能存在的偏误的类型及方向的讨论,可参考Deaton, Angus, and Nancy Cartwright. “Understanding and misunderstanding randomized controlled trials.” Social Science & Medicine 210 (2018): 2-21.对以此类实验结果指导实际政策时应该注意的问题,请参见Muralidharan, Karthik, and Paul Niehaus. “Experimentation at Scale.” Journal of Economic Perspectives 31.4 (2017): 103-24.

[16]根据McDonald和Cranor 2008年时的估计:以成年人的平均阅读速度计,如果一个美国人要把他/她一年中遇到的所有隐私政策读完,他/她平均得花掉244个小时。相关研究见McDonald, Aleecia M., and Lorrie Faith Cranor. “The cost of reading privacy policies.” ISJLP 4 (2008): 543.如今,这个数字可能又上升了许多。

[17] 对以上四点理由的详尽叙述,见于Schaub, Florian, Rebecca Balebako, and Lorrie Faith Cranor. “Designing effective privacy notices and controls.” IEEE Internet Computing (2017).

[18] 同上。其中许多表述,亦是当下时兴的“(基于设计的隐私)Privacy by Design”中强调的内容。

[19] 此处所引的评论可在以下页面找到:https://zhuanlan.zhihu.com/p/50375885。

[20]在心理学及经济学中,这一差异也被称之为“可见性(salience)”层面的差异。最早界定这一概念的文献之一是Taylor, Shelley E., and Suzanne C. Thompson. “Stalking the elusive” vividness” effect.” Psychological Review 89.2 (1982): 155.

[21] 上述分析的严格形式,见于Bordalo, Pedro, Nicola Gennaioli, and Andrei Shleifer. “Salience and consumer choice.” Journal of Political Economy 121.5 (2013): 803-843.

[22] 见前引[12]。实际上,准确把握不同隐私协议间的细微差别,恐怕更多是法学领域内的专业训练,而非大部分普通人都能掌握的“生活小技巧”。

[23]实际上,用户完全有可能彻底“抛弃”商品的部分维度,而将有限的注意力全部倾注到其它少数维度。对相关理论的归纳,可参见Koszegi, Botond. “Behavioral contract theory.” Journal of Economic Literature 52.4 (2014): 1075-1118.

[24] 以下文章对此给出了极为精彩的分析:Porat, Ariel, and Lior Jacob Strahilevitz. “Personalizing default rules and disclosure with big data.” Mich. L. Rev. 112 (2013): 1417.

[25] 以下研究是相应努力的典例之一:Harkous, Hamza, et al. “Polisis: Automated Analysis and Presentation of Privacy Policies Using Deep Learning.” arXiv preprint arXiv:1802.02561 (2018).值得关注的是,卡内基梅隆大学已启动了名为”PrivacyAssistant”的项目

[26] 见Heidhues, Paul, Johannes Johnen, and Botond Koszegi. “Browsing versus studying: A pro-market case for regulation.” (2018).这一领域的部分研究已经阐明:当企业在太多维度上竞争时,企业可能刻意制造差别、抬高消费者的搜寻或决策成本,以攫取更多利润。如此行为通常会减损社会总福利。类似策略通常称之为“混淆(obfuscation)”。对这一脉研究的归纳,可参考Spiegler, Ran. “Choice complexity and market competition.” Annual Review of Economics 8 (2016): 1-25.

[27]对将此类理论应用于实践时应当注意的各方面事项,隐私领域知名学者Schwartz的以下分析可称这一议题上的“不刊之论”:Schwartz, Alan. “Regulating for rationality.” Stan. L. Rev. 67 (2015): 1373.