歐盟的隱私保護法《通用數據保護條例》(GDPR)今年迎來六周年。然而多年來,美國全面的數據隱私立法一直停留在國會的待辦事項清單上。最近,美國國會推出的《美國數據隱私和保護法案》(ADPPA),仍舊存在許多分歧。
美國信息技術與創新基金會(Information Technology and Innovation Foundation,以下簡稱ITIF)從經濟成本的角度,對美國隱私立法提供一個角度:數據隱私法對必須遵守法律規定的組織施加成本,而如何立法應當考慮這其中的成本。
一些隱私權倡導者呼籲美國通過類似於 GDPR 的法律,認為這樣做將更好地保護美國消費者的隱私,簡化當前的聯邦和州法規拼湊,並協調美國和歐盟的法律,可以為那些發現自己受到多重、重復規則約束的企業節省數十億美元。
然而,另外一些反對上述觀點的人卻認為,類似GDPR 的法律將帶來巨大的成本,也可能無法產生預期的結果。在 GDPR 實施第一年之後, ITIF 的研究發現,GDPR 對歐盟經濟和企業產生負面影響,同時未能增加用戶的信任,造成緊張的監管資源。
一、合規成本
立法者在制定新的隱私法時更有可能考慮合規成本,因為這些成本是法律直接強加給組織的成本。
這類成本包括因組織改變其運營方式以遵守隱私法規定而產生的任何成本,還包括以法律費用和私人訴訟權的潛在民事處罰形式出現的重復或瑣碎的執法機制的成本。
這些合規成本每年總計約為 167 億美元。
1. 數據保護官成本
隱私法可能要求組織指定一名負責合規的數據保護官。這給組織帶來成本壓力,雇傭額外的人員來處理消費者隱私請求、系統維護和法規遵從性,或者將這些任務委派給現有人員,從而將他們的工作時間從其他活動中轉移出來。
ITIF 估計,為所有處理個人數據的美國組織要求數據保護官員的年度成本將達到 64 億美元。
2. 合規審計成本
隱私法可能要求組織提交由組織自己或第三方進行的合規審計,甚至是直接檢查。
ITIF 估計,要求所有處理個人數據的美國組織進行這些審計的年度成本將達到 4.4 億美元。
3. 保護隱私權裡的組織成本
許多隱私法賦予用戶的權利伴隨著處理這些用戶個人數據的機構的成本。這些權利可包括訪問其由組織存儲的個人數據(數據訪問)、將該數據移植到其他服務(數據便攜性)、刪除該數據(數據刪除)或更正該數據(數據更正)的權利。
4. 執法的成本
有效的隱私立法需要某種執法機制,每種途徑都有自己的成本和權衡取舍。
如果立法允許重復或輕率的執法,特別是在擁有廣泛私人訴訟權的情況下,執法的經濟成本將會高得多。這將為針對處理個人數據的組織提起不必要的、毫無根據的訴訟打開閘門,這將抑制組織提供可能使他們承擔責任的創新產品或服務。
二、隱性成本
與新隱私立法相關的第二組成本是“隱形成本”,即立法者在制定隱私法時不太可能考慮的成本。這些不是法律直接強加給組織的成本,而是與生產力和創新降低相關的總體經濟成本。
根據ITIF 的研究,美國這些隱性成本每年總計約 1058 億美元。
盡管隱形成本不如合規成本那麼明顯,但它們可能要高得多,因為它們影響整個經濟,而不僅僅是隱私法范圍內的組織。
如果新的美國聯邦隱私立法過於嚴格,限制有利於公共利益且隱私風險最小的數據使用形式,而不是專註於特定的隱私危害,並鼓勵有利於消費者和經濟的數據創新,情況尤其如此。
1. 降低消費者效率
隱私立法的第一個隱性成本是降低消費者效率。這源於透明度要求,旨在幫助用戶更好地解他們的權利以及如何收集和使用他們的信息,以便他們可以就如何共享個人數據做出更明智的決定。當這些要求導致用戶必須單擊才能訪問內容的彈出通知時,他們可能需要時間來查看和響應。
ITIF 估計,美國彈出式同意通知政策的生產力成本每年將達到 19 億美元。
2. 生產力和機會成本降低
隱私立法的第二個隱藏成本是由於與選擇同意、數據最小化和減少數據訪問、限制數據共享和限制其使用的目的規范要求等規則相關的生產力和機會成本降低。
選擇同意要求導致更少的用戶共享他們的數據,因為大多數用戶選擇不同意的默認選項,通常是出於非理性的原因。此外,獲得選擇加入同意的成本遠高於選擇退出系統,其中用戶可以撤銷同意以收集他們的數據。鑒於定向廣告等數據相關交易的利潤微薄,公司最終可能會將這些成本轉嫁給消費者。
數據最小化要求組織收集的數據不超過滿足特定需求所需的數據,這對在最初決定收集哪些數據時不知道哪些數據最有價值的組織產生負面影響,並限制組織分析數據的能力、開發新產品和服務。
3. 廣告效果降低
隱私立法結果的第三個也是最後一個隱藏成本是廣告效果降低。定向廣告是互聯網經濟的關鍵支柱之一,限制定向廣告有效性的數據隱私規則將損害依賴廣告推廣其商品和服務的企業、利用定向廣告收入提供服務的應用程序和服務他們以低成本或免費的服務,以及使用這些免費或低成本在線服務並在網上進行大部分購物的消費者。
三、如何降低隱私立法的隱性成本——有針對性的隱私保護法
根據ITIF的研究,GDPR帶來巨大的隱性成本,包括由於合規問題導致的並購減少、數據保護要求成為新技術發展的障礙、歐盟科技公司的風險投資減少和風險交易減少,以及廣告供應商的市場覆蓋范圍減少。
隱藏成本的存在進一步削弱以下觀點:即在美國聯邦數據隱私法中復制GDPR的方法,隻需要讓組織遵守一套連貫的規則,而不是兩套相互沖突的規則,就可以降低成本。據估計,美國與GDPR立法相關的隱性成本每年總計1.06億美元,或占GDPR隱私立法每年總成本的86%。
通過對上述兩種成本分析,ITIF認為,美國應該尋求通過一套有針對性的、保護消費者的規則,將合規成本和隱性成本降至最低。這種方法將大大減輕處理個人數據的組織和整個美國經濟的負擔,而不是像GDPR那樣過於寬泛的立法。
1. 不強行要求“數據保護官”
為確保合規,有針對性的聯邦隱私法仍可能要求進行隱私審計,而不對“數據保護管”進行強制性要求,這將使組織每年花費大約 4.4 億美元。
2. 對私人訴訟進行限制
為執行有針對性的聯邦隱私法,國會可以依靠聯邦和州監管機構——特別是聯邦貿易委員會和州檢察長——而不是允許私人訴訟權,這會大大增加重復執法的成本。通過允許聯邦和州監管機構對違反聯邦隱私法的行為采取行動,將會出現一些重復執法,每年給組織造成大約 2100 億美元的損失,這隻是與私人訴訟權相關的預計成本的一小部分。
3. 限制消費者控制權的適用場景
國會仍然可以通過在有針對性的隱私法中為消費者提供訪問、移植、刪除和糾正其數據的權利,從而賦予消費者更多對其數據的控制權。為降低成本,國會可以限制這些要求的適用場景,例如隻要求在某些行業處理敏感數據的組織提供這些類型的用戶控制,而不是將其全面應用於所有處理用戶數據的組織。
這將使組織花費大約 59 億美元,其中包括 54 億美元用於數據基礎設施、9000 萬美元用於訪問要求、1.3 億美元用於可移植性、2 億美元用於刪除以及 5000 萬美元用於整改。
總體而言,一項廣泛的(類似於 GDPR)美國隱私法每年將花費 1220 億美元,而更具針對性的法律將節約成本大約 95%,即成本在 65 億美元左右。
作為最終的成本節約措施,全面、有針對性的美國聯邦統一的數據隱私立法可以優先於任何現有或未來的州和地方隱私法。州隱私法不僅為州內組織,而且為發現自己受多個重復規則約束的州外組織,都產生巨大的合規成本。
ITIF 研究發現,這些州外成本每年可能從 980 億美元到 1120 億美元不等,在 10 年內超過 1 萬億美元。通過制定一套適用於全國的統一規則並取代這些相互沖突的州規則,聯邦立法將大大降低成本和混亂。
表 1:GDPR 式法律與有針對性的隱私立法相關的年度成本對比(單位:百萬美元)
