作者:Ashley Johnson���、Daniel Castro����,譯者:張穎�����,原文標題:《美國隱私立法的年度成本分析: 1227億美元還是65億�����,選哪個��?》�,題圖來自:視覺中國
(資料圖)
歐盟的隱私保護法《通用數(shù)據(jù)保護條例》(GDPR)今年迎來了六周年。然而多年來�,美國全面的數(shù)據(jù)隱私立法一直停留在國會的待辦事項清單上。
最近�,美國國會推出的《美國數(shù)據(jù)隱私和保護法案》(ADPPA),仍舊存在許多分歧��。美國信息技術(shù)與創(chuàng)新基金會(Information Technology and Innovation Foundation��,以下簡稱ITIF)從經(jīng)濟成本的角度�,對美國隱私立法提供了一個角度:數(shù)據(jù)隱私法對必須遵守法律規(guī)定的組織施加了成本�,而如何立法應當考慮這其中的成本��。
一些隱私權(quán)倡導者呼吁美國通過類似于 GDPR 的法律�,認為這樣做將更好地保護美國消費者的隱私,簡化當前的聯(lián)邦和州法規(guī)拼湊�,并協(xié)調(diào)美國和歐盟的法律,可以為那些發(fā)現(xiàn)自己受到多重����、重復規(guī)則約束的企業(yè)節(jié)省數(shù)十億美元。
然而����,另外一些反對上述觀點的人卻認為����,類似GDPR 的法律將帶來巨大的成本,也可能無法產(chǎn)生預期的結(jié)果���。在 GDPR 實施第一年之后�����, ITIF 的研究發(fā)現(xiàn)�����,GDPR 對歐盟經(jīng)濟和企業(yè)產(chǎn)生了負面影響��,同時未能增加用戶的信任�,造成了緊張的監(jiān)管資源。
一��、合規(guī)成本
立法者在制定新的隱私法時更有可能考慮合規(guī)成本�,因為這些成本是法律直接強加給組織的成本。
這類成本包括因組織改變其運營方式以遵守隱私法規(guī)定而產(chǎn)生的任何成本���,還包括以法律費用和私人訴訟權(quán)的潛在民事處罰形式出現(xiàn)的重復或瑣碎的執(zhí)法機制的成本��。
這些合規(guī)成本每年總計約為 167 億美元���。
1. 數(shù)據(jù)保護官成本
隱私法可能要求組織指定一名負責合規(guī)的數(shù)據(jù)保護官。這給組織帶來了成本壓力�,雇傭額外的人員來處理消費者隱私請求、系統(tǒng)維護和法規(guī)遵從性�,或者將這些任務委派給現(xiàn)有人員,從而將他們的工作時間從其他活動中轉(zhuǎn)移出來����。
ITIF 估計����,為所有處理個人數(shù)據(jù)的美國組織要求數(shù)據(jù)保護官員的年度成本將達到 64 億美元����。
2. 合規(guī)審計成本
隱私法可能要求組織提交由組織自己或第三方進行的合規(guī)審計,甚至是直接檢查��。
ITIF 估計���,要求所有處理個人數(shù)據(jù)的美國組織進行這些審計的年度成本將達到 4.4 億美元�����。
3. 保護隱私權(quán)里的組織成本
許多隱私法賦予用戶的權(quán)利伴隨著處理這些用戶個人數(shù)據(jù)的機構(gòu)的成本。這些權(quán)利可包括訪問其由組織存儲的個人數(shù)據(jù)(數(shù)據(jù)訪問)����、將該數(shù)據(jù)移植到其他服務(數(shù)據(jù)便攜性)、刪除該數(shù)據(jù)(數(shù)據(jù)刪除)或更正該數(shù)據(jù)(數(shù)據(jù)更正)的權(quán)利��。
4. 執(zhí)法的成本
有效的隱私立法需要某種執(zhí)法機制����,每種途徑都有自己的成本和權(quán)衡取舍����。
如果立法允許重復或輕率的執(zhí)法�����,特別是在擁有廣泛私人訴訟權(quán)的情況下���,執(zhí)法的經(jīng)濟成本將會高得多����。這將為針對處理個人數(shù)據(jù)的組織提起不必要的��、毫無根據(jù)的訴訟打開閘門����,這將抑制組織提供可能使他們承擔責任的創(chuàng)新產(chǎn)品或服務。
二���、隱性成本
與新隱私立法相關(guān)的第二組成本是“隱形成本”�����,即立法者在制定隱私法時不太可能考慮的成本�����。這些不是法律直接強加給組織的成本���,而是與生產(chǎn)力和創(chuàng)新降低相關(guān)的總體經(jīng)濟成本���。
根據(jù)ITIF 的研究,美國這些隱性成本每年總計約 1058 億美元�。
盡管隱形成本不如合規(guī)成本那么明顯,但它們可能要高得多��,因為它們影響整個經(jīng)濟����,而不僅僅是隱私法范圍內(nèi)的組織。
如果新的美國聯(lián)邦隱私立法過于嚴格����,限制有利于公共利益且隱私風險最小的數(shù)據(jù)使用形式�,而不是專注于特定的隱私危害,并鼓勵有利于消費者和經(jīng)濟的數(shù)據(jù)創(chuàng)新���,情況尤其如此����。
1. 降低消費者效率
隱私立法的第一個隱性成本是降低消費者效率。這源于透明度要求�,旨在幫助用戶更好地了解他們的權(quán)利以及如何收集和使用他們的信息,以便他們可以就如何共享個人數(shù)據(jù)做出更明智的決定�。當這些要求導致用戶必須單擊才能訪問內(nèi)容的彈出通知時,他們可能需要時間來查看和響應��。
ITIF 估計���,美國彈出式同意通知政策的生產(chǎn)力成本每年將達到 19 億美元����。
2. 生產(chǎn)力和機會成本降低
隱私立法的第二個隱藏成本是由于與選擇同意���、數(shù)據(jù)最小化和減少數(shù)據(jù)訪問����、限制數(shù)據(jù)共享和限制其使用的目的規(guī)范要求等規(guī)則相關(guān)的生產(chǎn)力和機會成本降低��。
選擇同意要求導致更少的用戶共享他們的數(shù)據(jù)��,因為大多數(shù)用戶選擇不同意的默認選項,通常是出于非理性的原因����。此外,獲得選擇加入同意的成本遠高于選擇退出系統(tǒng)�����,其中用戶可以撤銷同意以收集他們的數(shù)據(jù)��。鑒于定向廣告等數(shù)據(jù)相關(guān)交易的利潤微薄��,公司最終可能會將這些成本轉(zhuǎn)嫁給消費者����。
數(shù)據(jù)最小化要求組織收集的數(shù)據(jù)不超過滿足特定需求所需的數(shù)據(jù),這對在最初決定收集哪些數(shù)據(jù)時不知道哪些數(shù)據(jù)最有價值的組織產(chǎn)生負面影響��,并限制組織分析數(shù)據(jù)的能力�����、開發(fā)新產(chǎn)品和服務�����。
3. 廣告效果降低
隱私立法結(jié)果的第三個也是最后一個隱藏成本是廣告效果降低����。定向廣告是互聯(lián)網(wǎng)經(jīng)濟的關(guān)鍵支柱之一,限制定向廣告有效性的數(shù)據(jù)隱私規(guī)則將損害依賴廣告推廣其商品和服務的企業(yè)�����、利用定向廣告收入提供服務的應用程序和服務他們以低成本或免費的服務��,以及使用這些免費或低成本在線服務并在網(wǎng)上進行大部分購物的消費者�。
三、如何降低隱私立法的隱性成本——有針對性的隱私保護法
根據(jù)ITIF的研究�,GDPR帶來了巨大的隱性成本,包括由于合規(guī)問題導致的并購減少�、數(shù)據(jù)保護要求成為新技術(shù)發(fā)展的障礙、歐盟科技公司的風險投資減少和風險交易減少�,以及廣告供應商的市場覆蓋范圍減少。
隱藏成本的存在進一步削弱了以下觀點:即在美國聯(lián)邦數(shù)據(jù)隱私法中復制GDPR的方法��,只需要讓組織遵守一套連貫的規(guī)則�����,而不是兩套相互沖突的規(guī)則���,就可以降低成本����。據(jù)估計,美國與GDPR立法相關(guān)的隱性成本每年總計1.06億美元�,或占GDPR隱私立法每年總成本的86%。
通過對上述兩種成本分析�,ITIF認為,美國應該尋求通過一套有針對性的����、保護消費者的規(guī)則,將合規(guī)成本和隱性成本降至最低�����。這種方法將大大減輕處理個人數(shù)據(jù)的組織和整個美國經(jīng)濟的負擔���,而不是像GDPR那樣過于寬泛的立法��。
1. 不強行要求“數(shù)據(jù)保護官”
為了確保合規(guī)���,有針對性的聯(lián)邦隱私法仍可能要求進行隱私審計,而不對“數(shù)據(jù)保護管”進行強制性要求�����,這將使組織每年花費大約 4.4 億美元。
2. 對私人訴訟進行限制
為了執(zhí)行有針對性的聯(lián)邦隱私法�����,國會可以依靠聯(lián)邦和州監(jiān)管機構(gòu)——特別是聯(lián)邦貿(mào)易委員會和州檢察長——而不是允許私人訴訟權(quán)�,這會大大增加重復執(zhí)法的成本��。通過允許聯(lián)邦和州監(jiān)管機構(gòu)對違反聯(lián)邦隱私法的行為采取行動����,將會出現(xiàn)一些重復執(zhí)法,每年給組織造成大約 2100 億美元的損失����,這只是與私人訴訟權(quán)相關(guān)的預計成本的一小部分。
3. 限制消費者控制權(quán)的適用場景
國會仍然可以通過在有針對性的隱私法中為消費者提供訪問�����、移植�、刪除和糾正其數(shù)據(jù)的權(quán)利,從而賦予消費者更多對其數(shù)據(jù)的控制權(quán)�。為了降低成本����,國會可以限制這些要求的適用場景���,例如只要求在某些行業(yè)處理敏感數(shù)據(jù)的組織提供這些類型的用戶控制�����,而不是將其全面應用于所有處理用戶數(shù)據(jù)的組織����。
這將使組織花費大約 59 億美元��,其中包括 54 億美元用于數(shù)據(jù)基礎設施���、9000 萬美元用于訪問要求����、1.3 億美元用于可移植性����、2 億美元用于刪除以及 5000 萬美元用于整改。
總體而言��,一項廣泛的(類似于 GDPR)美國隱私法每年將花費 1220 億美元,而更具針對性的法律將節(jié)約成本大約 95%��,即成本在 65 億美元左右����。
作為最終的成本節(jié)約措施,全面��、有針對性的美國聯(lián)邦統(tǒng)一的數(shù)據(jù)隱私立法可以優(yōu)先于任何現(xiàn)有或未來的州和地方隱私法�����。州隱私法不僅為州內(nèi)組織��,而且為發(fā)現(xiàn)自己受多個重復規(guī)則約束的州外組織���,都產(chǎn)生了巨大的合規(guī)成本。
ITIF 研究發(fā)現(xiàn)����,這些州外成本每年可能從 980 億美元到 1120 億美元不等,在 10 年內(nèi)超過 1 萬億美元�。通過制定一套適用于全國的統(tǒng)一規(guī)則并取代這些相互沖突的州規(guī)則,聯(lián)邦立法將大大降低成本和混亂��。
表 1:GDPR 式法律與有針對性的隱私立法相關(guān)的年度成本對比(單位:百萬美元)
本文來自微信公眾號:Internet Law Review(ID:Internet-law-review),作者:Ashley Johnson
關(guān)鍵詞:
gdpr
itif
營業(yè)執(zhí)照公示信息