趋势与观点 | 隐私的先决条件:受过良好训练和被赋权的数据主体

美国立法部门最近提出了一项旨在提高服务协议条款透明度的法案。美国服务条款标签、设计和可读性 (Terms-of-service Labeling, Design and Readability (TLDR) Act) 法案建议网站和应用程序(apps)提供易于阅读的服务条款摘要声明。该法案特别要求摘要声明必须包括:

  • 收集敏感信息的类别以及该信息是否为实现此功能所必须

  • 相关消费者是否可以和如何删除其数据的说明

  • 消费者的法律责任,包括对其内容的权利

  • 变更日志

  • 过去3年发生的数据泄露记录

如果通过,这个名副其实的 TLDR 法案可能是朝着透明度迈出的一大步。大多数隐私声明都非常长,并且充满了普通用户可能无法理解的行话。即使每个访问网站或下载应用程序的人都能理解这些网站和应用程序的条款和条件,通读它们也需要大量时间。

普通人的手机上平均安装了40个应用程序。仅阅读其中13个最受欢迎的应用程序的条款和要求就需要花费17个小时。

而且这还只适用于应用程序。如果在访问每个网站的时候都阅读其条款和要求,那么每年需要花费200到250个小时。(这个估算是从2012年开始的,随着连接设备数量的增加,现在这个数字可能会更高。)保守估计,用户阅读他们使用的每个应用程序和访问的每个网站的条款和条件需要超过11天的时间。

要让消费者了解其数据正在发生什么显然是不切实际,因此必要的改变是显而易见的。TLDR法案能否解决这个问题?

这对企业意味着什么?

透明度是许多消费者关注的头等大事,精明的组织应该优先考虑变得更加透明。企业比消费者拥有更多的权力;尽管消费者最终可以选择是否要与企业开展业务,但几乎没有太多空间来协商服务条款和隐私政策。鉴于这种不平衡,无论TLDR法案是否成为法律,世界各地的企业都应该重视透明度并理解为什么它对消费者很重要。尽管提供复杂的、充满术语的服务条款和隐私政策可以实现合规性,但这并不一定会增强消费者的信任。

客户可能在没有阅读或理解的情况下同意服务条款政策,但如果他们后来在不良的数据处理实践曝光时感到不安,即使消费者在技术上确实同意这些条款,也可能对企业的声誉造成不可挽回的损害。相比之下,对客户透明的企业(例如,用通俗易懂的语言清楚地解释隐私政策和数据处理活动)可以吸引新客户并与现有客户建立信任。

了解并解决消费者面临的以下隐私障碍的企业可以赋权他们的数据主体,改善他们的客户关系,并获得相对于透明度较低的竞争对手的竞争优势。

对抗消费者的漠不关心

隐私政策和服务条款的冗长可能会让人们不愿阅读它们。但用户的漠不关心也可能在起作用。91%的人会在未阅读的情况下接受法律条款和服务条件。

更短的服务协议条款和对关键条款的强调只有在最终用户阅读时才会提高透明度。鉴于美国互联网用户平均每天访问138.1个网页,即使是阅读一份高层次、清晰的书面声明的时间也可能过于耗时。

在诸如TLDR法案等立法可以改善消费者隐私之前,消费者需要更好地理解为什么在阅读隐私政策和服务条款之后再接受很重要。

TLDR: 类似于营养标签

TLDR法案被比作食品包装上的营养标签。营养标签帮助消费者对他们所吃的食物做出明智的决定;然而,这意味着他们必须已经知道他们需要什么来满足他们的饮食需求。在TLDR法案可以帮助消费者做出更好的决定之前,需要对消费者进行有关隐私的教育。

就营养标签而言,标签可能会注明食物的含糖量,但如果人们不清楚一天应该吃多少糖,那可能就没有多大帮助。而且糖尿病患者和非糖尿病患者的糖耐量会有所不同。隐私与此类似;大多数人声称关心隐私,但往往行事却与之相悖。这可能是因为人们没有意识到他们的行为如何影响隐私(即他们可能会说他们重视隐私,但没有意识到公共社交媒体资料会定期检查位置和地理标记会影响他们的隐私)。而且理想的糖消耗量因人而异,因此隐私阈值也是如此。那些一直以来被边缘化的群体,如果他们的隐私受到侵犯并且他们的敏感信息被共享,他们可能会面临更大的风险,所以他们可能不太愿意放弃自己的隐私。

企业的服务条款和跟踪政策并非凭空存在。再举一个营养标签的例子,如果吃零食的人知道他们余下的饭菜含糖量低,那么一种零食的高糖含量可能是可以接受的。隐私和在线跟踪也是如此;人们使用多个网站、软件程序和应用程序,并且彼此之间并非不受影响。如果有人购买了新房并在房前张贴了照片,照片上标注了房屋所在的城市并被发布在社交媒体上,那么不用花费太多精力就可通过查看房地产网站确定该人的新房地址。在新房前张贴一张显示房屋门牌号的照片似乎无害,但当该信息可以与其他信息源结合时,它可能会透露出关于新房主的太多信息。

这种细微差别无法用营养标签式的服务条款概述来解释。为了使TLDR 法案生效,普通人必须更多地了解隐私以及来自一个地方的信息与其他数据源会如何结合。

赋权数据主体

即便前面两个问题得到解决,并且数据主体突然非常关心他们的隐私并更好地了解网络跟踪的工作原理,然而TLDR法案仍然不足以赋予他们权力。这不是立法的过错;它与消费者和提供者之间的权力不平衡有关。大多数网站和服务不会为用户提供协商条款和条件的方式。如果用户想使用该服务,则必须接受这些条款。他们的唯一其他选择是不使用该网站或服务。

在数据主体对使用产品或服务的条款和条件有发言权之前,他们没有足够的力量保护他们的隐私。在解决消费者和供应商之间的权力差距之前,TLDR法案等措施不会对消费者及其隐私产生有意义的影响。

TLDR

TLDR法案具有潜力,但如果不解决数据主体的漠不关心、消费者教育和赋权数据主体的问题,它将不足以保护人们的隐私。

编者注:本文首次发表于2022年3月9日ISACA官网News and Trends /Industry News。尾注略。文章内容仅代表作者本人观点。
作者:Safia Kazi, 是ISACA的隐私专业实践主管,专注于开发 ISACA的隐私相关资源,包括书籍、白皮书和审查手册。
翻译:李京(Randy Li),CGEIT,ISACA微信公众号特邀通讯员,关注IT治理、信息安全。
校对:张锋,CISA,CIA、CISP、ISACA微信公众号特邀通讯员。