重新设计数据隐私：重新构想用于人机交互的通知和同意（英文）

重新设计数据隐私：重新构想人机交互的通知和同意白纸七月是2 0 重新设计数据隐私：重新构想人类技术的通知和同意相互作用2内容3前言4执行摘要5A 部分：同意为人机交互收集和处理数据的挑战6介绍7通知的问题8同意的重要性9我们是怎么来到这里的？通知和同意的历史10通知和同意：评估11不改革有什么关系12B 部分：替代方法的机会：为什么我们需要以人为本的设计13重新设计通知和同意：一种以人为本的方法14什么是以人为本的设计？15集体隐私16替代模型：跳出框框思考16全球技术中立方法的必要性17制定明确的道德框架17同意和社会正义18产业在决策中的重要性18我们如何前进？19C 部分：探索的想法20更好的替代品的特点是什么？20九个想法探索：201. 决策者的数据可视化工具212. 危害评估过程213.默认用途限制224、积极监管，负责任创新225. 智慧城市中的隐私设计226. 公共空间自动追踪237. 数据信托248. 算法可解释性249. 个人用户代理25结论26现在去哪儿？27贡献者28致谢30尾注封面：世界经济论坛内部：Getty Images/Metamor Works； Unsplash/Raeng-r; Unsplash/Shane Rounce； Unsplash/弗兰基·查马基© 2020 世界经济论坛。版权所有。不得以任何形式或由任何人复制或传播本出版物的任何部分手段，包括影印和记录，或通过任何信息存储和检索系统。 重新设计数据隐私：重新构想人类技术的通知和同意相互作用3前言Anne Josephine Flanagan 世界经济论坛数据政策项目负责人詹金斯坦福法学院互联网与社会中心消费者隐私主任希拉·沃伦区块链、数字资产和数据政策负责人，世界经济论坛执行委员会成员世界经济论坛与斯坦福大学互联网与社会中心合作法学院和一个由政策制定者、研究人员、民间社会倡导者、法律学者以及工业和设计从业者组成的社区召集一系列关于将通知和同意作为数据收集和处理规范的挑战的对话，特别是在涉及第四次工业革命的技术时。目标是促进创造性思维，以对信息收集、使用、保留和披露的所有方面的框架进行潜在的重新设计。这个独特的参与者组合出现了几个主要主题：–通知和同意的核心是一个人机交互问题，需要来自设计和技术领域的跨学科专家组来解决这个问题。它不再是律师、政策制定者和工程师的专属领域；相反，设计师、人道主义专家和创意技术专家也必须坐在桌子旁。–现有方法不适用于传统数字用户界面或无屏幕物联网 (IoT) 设备、智能城市或其他互联环境的新兴世界。对通知和同意的任何重新思考都必须是可扩展的，并预测这些紧急情况。–同意的概念以及征求同意的机制涉及以下问题现有框架忽视的道德和规范价值。未经自由给予或告知，或被胁迫的同意，在事实上是有缺陷的。同意程序必须为同意方提供实质性的选择，包括在之后撤回同意的能力事实。 “接受或放弃”模式不提供有意义的同意。–动态的、不可预测的数据使用和重用需要基于积极强化的动态、主动的政策响应，而不是植根于惩罚性方法的静态、反应性监管。一般而言，激励被认为比禁令更有力。因此，影响激励的积极监管是影响这一领域变革的潜在手段。–虽然有大量研究为改进现有机制提供了具体的设计建议，但需要对框架进行根本性改变，以实现既可扩展又可纳入道德标准的机制。本白皮书代表了参加旧金山研讨会的参与者专家以及来自工业界、学术界和民间社会的多利益相关方项目社区的集体努力的精华。虽然该方法出于说明目的将美国作为代理进行检查，但从以设计为中心的角度更广泛地评估了作为规范的通知和同意，并在以下方面为决策社区和技术提供者提供了指导更新现有对通知和同意框架的依赖，以满足人类的需求和价值观。通过提供将人置于范式中心的替代方案，我们希望能够出现一个更具包容性的决策社区，以应对当今和未来在个人数据收集方面最紧迫的挑战和处理。在这样做时，赋予人民权力和创新机会应该建立在更坚实的基础上。 重新设计数据隐私：重新构想人类技术的通知和同意相互作用4执行摘要年复一年，我们的生活越来越依赖数字服务。超过 53.6% 的世界人口在线，而世界上 93% 的人口生活在 3G 范围内或更好的移动网络。1 从获得医生等重要服务，到在线订餐或简单地上网，我们对数字服务的使用和日益依赖的数字服务继续以指数速度增长。与此同时，我们与技术交互的方式也在不断发展：例如，一些基于屏幕的交互正在转变到基于语音的界面；永远在线的传感器越来越多地嵌入到我们的环境中。但无论界面是否有形，我们经常被要求同意收集和使用我们生成的和关于我们的数据。但我们中有多少人真正理解这到底意味着什么？当我们被问到，收集和使用的方式是否从根本上保护了我们的最大利益？此外，一旦我们授予所请求的访问权限，是否有任何方法可以改变我们的想法？如果没有真正的选择、无法撤销同意或由于提供的信息的复杂性来帮助做出更明智的决定而缺乏知情决定，那么是否真的可以给予同意？当给予我们同意的选择权时，我们有一种感觉，我们有权做出决定，我们可以控制哪些数据可以处理，可以由谁处理，可以在哪里处理以及用于什么目的。同意已经变得虚幻，并且通过其当前的设计和部署，并不总是以预期的方式运作，有时甚至是合乎逻辑的方式。随着我们越来越多地在线上生活，我们继续放弃更多的个人信息，点击更多的框，并越来越多地寻求限制我们与我们打算访问的服务或产品之间的任何障碍。当人们在某个时间点授予公司和组织的权限成为未来发生在该数据上的所有事情的网关，那一刻变得非常重要，可能远远超出想象。设置有关如何使用某人的数据的游戏规则的默认方法通常依赖于所谓的“通知和同意”。在数据保护和隐私，或更广泛的信息或在线数据隐私的背景下，通知和同意是向公众提供有关组织打算从某人那里收集哪些信息以及他们打算如何收集的通知的主要方式用它。同意是过程一个人承认并同意数据收集关系的条款。正如本文将详细探讨的那样，目前对该流程的运作方式存在各种担忧。其中包括怀疑当前的流程是否有效地教育人们如何收集和使用他们的个人数据，是否为他们提供了有意义的选择，以及现有机制是否满足公众的需求。欧盟通用数据保护条例 (GDPR) 和美国加州消费者隐私法 (CCPA) 的颁布增加了解决当前数据保护和隐私规范缺陷的紧迫性。特别是在严重依赖通知和同意框架的美国，有可能通过联邦级别的隐私立法较近的期限。如果没有对通知和同意机制进行早就应该进行的计算，这可能会发生，这将是一个错失的机会。在全球范围内，各国在考虑自己的数据保护措施时都同时关注 GDPR 和 CCPA，这增加了我们在这些新监管环境中选择如何处理通知和同意的风险。保持现有机制不变的新法律或政策有可能使它们无限期地延续下去。在本文中，我们从两个互补的角度研究该主题：如果我们接受通知和同意不适合目的，如何改进？超出条款和条件框的替代制度是什么样的？ 重新设计数据隐私：重新构想人类技术的通知和同意相互作用5A 部分：同意数据收集的挑战和人机交互处理 重新设计数据隐私：重新构想人类技术的通知和同意相互作用6介绍越来越多的司法管辖区正在通过立法的方式采用数据保护和隐私规则。此类规则旨在为个人提供一定程度的控制，以根据司法管辖区和法律，在数字服务、政府甚至同行收集和处理有关他们的数据方面进行控制。尽管制度存在差异，但我们看到在方法中出现了共同的主题。大多数有关数据保护和隐私的法律的核心是法律依据的原则，或收集和处理有关某人的个人数据或个人身份信息的合法依据。换句话说，这些法律中的大多数都为合法收集和处理个人数据设定了条件。实体确保其有权合法处理某人的个人数据的最古老和最直接的方法之一就是简单地寻求该人的许可。虽然这在理论上听起来值得称赞，但必须怀疑，随着我们作为个人收集的数据量大大增加，处理这些数据的复杂性急剧上升，这种方法是否仍然能够充分保护个人。虽然许多人都同意许多数据保护和全球隐私政策的基础，研究人员、政策制定者、公众和行业之间达成广泛共识，即当前对个人数据收集和处理的通知和同意的要求，如果不进行相当大的简化，人类实际上不可能合理地完成。此类机制通常涉及在屏幕上显示隐私政策通知——大多数人都熟悉的过程。通常一个人被要求通过勾选一个框来同意在处理时收集数据。然而，从规模上看，即使是简化也行不通。此外，随着人机交互超越屏幕，它们的模糊性也随之消失。个人应该如何同意物联网设备收集环境数据，例如，通过传感器在没有屏幕的情况下收集个人数据？人们应该如何理解通过人工智能算法处理数据？在本白皮书中，我们详细探讨了我们是如何到达这里的、我们要去哪里以及我们如何更好地鼓励消费者和企业改进收集和处理个人数据的隐私规范。 重新设计数据隐私：重新构想人类技术的通知和同意相互作用7通知的问题通知和同意机制的问题很普遍，而且有据可查。当出现点击同意、隐私政策或条款时使用陈述时，大多数人会条件反射地选择“我同意”。大量专门针对隐私和数据收集通知的学术研究表明，公众不会阅读这些通知3如果他们理解，可能不会理解他们4 许多人误解了他们的目的，5假设存在以通知方式显示的隐私政策意味着收集数据的实体提供了一定程度的数据保护，而实际上隐私通知并不能保证隐私。由于提供的条款通常是“接受或放弃”，因此拒绝通常会导致拒绝提供所寻求的产品或服务，从而阻碍消费者做任何事情而不是接受这些条款。通知长度首先，从根本上说，隐私政策、服务条款文件和类似类型的在线通知由于篇幅过长，几乎普遍不可读，公众不会花时间阅读。通知的可访问性由于通知和政策本身主要是由律师撰写的，对于律师而言，对于大多数公众来说，它们是高深莫测的，甚至是难以理解的。信息系统学者 Ewa Luger 及其同事的研究表明，在英国，一系列条款和条件文件中的阅读水平“远远超出了具有识字能力的成年人所能理解的水平”，这引发了有关可访问性和个人机构，6尤其是考虑到许多隐私政策和类似通知包含法律术语或混淆性语言，这使得很难准确理解公司遵循的做法。7 2019 年，《纽约时报》对隐私政策进行了一项研究，同样发现主要消费科技公司的隐私政策的编写水平远远超出了大多数美国公众的技能水平。8简而言之，仅时间承诺和可读性问题就给公众带来了巨大的挑战，他们要对要求其个人信息的私人和公共产品和服务做出明智的决定。通知的频率和流程的可扩展性，即同意疲劳一个核心挑战是，通知所基于的同意模型根本无法与通知的频率和普遍性相匹配——也就是说，即使我们使通知更短、更易读，因此更易于访问对于更广泛的受众，我们仍然没有解决太多情况下要求个人就其个人信息做出决定的问题，这些决定通常具有约束力、持久性，并且取决于司法管辖区，有时是不可撤销的。 M教授C。 schraefel 及其同事为系统（无处不在的或以其他方式）采用他们称为“外观”的概念：首先，使系统或设备实际在做什么（例如收集数据）变得明显（信号）；然后，使系统运作方式（例如通过书面政策）在描述上透明，并通过证明（例如审计）在务实上透明。9通知的呈现和时间安排 另一个相关问题是同意相关决定的时间安排。个人被要求做出决定，通常以“接受或放弃”的方式在他们可能无法充分参与当前通知框架要求的流程的地方（通常是在首次注册服务时）了解他们的个人数据。研究还表明，时机10 何时向个人展示通知，以及其视觉设计和框架语言，11 可能会影响他们与隐私相关的决定。例如，用户越熟悉12随着一项服务的深入，他们越倾向于以他们第一次注册该服务时并不明显的方式感受到他们与该技术交互的影响。此外，随着软件更新的推出，可能需要重新同意该服务的条款和条件。这就是为什么了解通知说，在当前模型下如此重要，是什么导致消费者不信任一些以不那么明显的方式收集和使用数据的企业，而不是用户通常预期的。 重新设计数据隐私：重新构想人类技术的通知和同意相互作用8同意的重要性在许多情况下，我们在日常活动中在网上遇到的隐私声明是常规且非特殊的经历，即使风险可能会有所不同。我们将这些体验与需要知情同意的特殊同意体验区分开来，例如医疗程序、研究参与、重要的法律交易等：简而言之，参与者可能会或可能不会在网上发生高风险的