哈佛商业评论

3年前，讽刺网站洋葱新闻（The Onion）发表了一篇文章，标题是《某女在八个网站上被其心仪的鞋子广告纠缠不休》。无论该虚构消费者上哪个网站，她都看到了同样的广告。“最令人毛骨悚然的是，”她在新闻中说，“广告甚至似乎知道我的鞋子尺寸。”这篇新闻引发了一种越来越常见，或者说笨拙的数字营销技巧。但今天人们可能已经对这篇新闻里的包袱习以为常了。技术已经超越了方便广告网上跟踪我们的浏览器cookies和重新定位。

智能手机在跟踪我们的物理位置和与他人的远近。正如研究人员最近发现的那样，当我们关闭位置服务时，手机的此类功能仍可继续。我们可以在网络浏览器上禁用跟踪功能，但我们的数字指纹仍然可以跨设备连接，从而暴露我们的身份。像Alexa这样的家庭助理能够聆听我们的谈话，并在激活后记录谈话内容。从芭比娃娃到医疗设备，这些日常物件接入互联网并传输我们的各种信息：运动、行为、偏好，甚至健康状况。

如今一大主流网络商业模式是尽可能多地收集个人数据，然后使用或出售——用于定位或说服，奖励或惩罚。互联网已然成为监视经济。更重要的是，数据科学的兴起使得收集的信息更加强大，让公司能建立非常详细的个人档案。机器学习和人工智能可以使用看似随机的数据对人们进行准确到可怕的预测。公司可以使用数据分析来推断某人的政治派别或性生活，甚至发现谁曾有过一夜情。随着面部识别软件和家庭DNA测试等新技术被添加到工具包中，公司进行的监控可能很快就会超过20世纪最不尊重隐私的监控型国家。

显而易见的问题是，消费者怎么能坐视不管？作为一名行为科学家，我研究有时人们如何做出违背自己利益的行为。一大问题是“知情同意”——公司在这种经济中经营必须遵循的原则——这纯属欲盖弥彰。大多数消费者要么没意识到他们在网上分享了个人信息，或者无法确定分享这些信息的成本（这非常容易理解）——如果不是两者兼有的话。

诚然，消费者确实从所有这些数据收集中获得了一些好处，例如更有用的广告和更好的客户服务、定价，甚至获得信贷的潜在可能。但公司迫切需要找到一种平衡利益与隐私保护的方法。消费者权益倡导者正在就侵入式数字实践发出警告。无论是否涉及Equifax丢失数千万人的敏感信息，还是俄罗斯特工利用社交媒体操纵美国人的选票，每当丑闻登上头条时，公众都会表示强烈抗议，互联网隐私专家不久前还被视为边缘怪胎，现在则在国会和头条会议上听证。欧洲已经通过了保护用户隐私的主要立法。我们开始看到普遍存在的“技术抵制”迹象，可能对使用消费者数据的公司产生深远影响。Facebook在公开表示可能缩减某些数据收集后，市值大幅下挫约20％，这可能不是巧合。

与此同时，消费者不会因更好的隐私保护奖励公司。隐私保护增强技术尚未被广泛采用。人们通常不愿意为加强隐私保护的技术付费，即使他们这样做，也只会支付适度的金额。虽然有些人可能会将此视为人们根本不关心隐私的证据，但我得出了不同结论：人们关心隐私，但我将在本文中解释，几大因素阻碍了他们做出明智选择的能力。

如果双方继续处于这些不同的轨道，监控经济可能会导致市场失灵。好消息是，政策制定者可以提供帮助。第一步是了解人们如何决定他们的个人信息隐私以及他们如何被诱导以至分享过度。

消费者如何越陷越深

坦率地说：人们不善于对私人数据进行决策。他们误解了成本和收益。而且，人类本能的偏见会干扰他们的判断。无论是有意还是无意，主流平台公司和数据聚合商都将其产品和服务结构化，从而在不知不觉间利用这些偏见。

不耐烦。人们倾向于高估即时成本和收益，并低估将来会发生的成本。他们宁可今天要9美元，也不愿等到明天获得10美元。在网上这种倾向表现为，愿展示个人信息换取蝇头小利。免费测验和调查就是主要例子。它们通常由第三方管理，是数据安全的噩梦，但许多人都无法抗拒。例如，在流行测“真实年龄”的网站上，人们透露大量敏感的健康信息，以换取即时好处，即他们的“生物年龄”是否比他们在日历上的年龄更大或更小。消费者披露此类信息，得不到经济奖励。他们可能模糊地意识到提供这样信息的潜在成本（极端情况包括，保险费上涨），但由于这些坏处很模糊且空间距离很远，他们选择忽视，换来几分钟的乐趣。

不耐烦还会阻碍我们采用隐私控制措施。一项实验中，设置数字钱包的人被提供了可以保护（即加密）他们购买交易数据的服务。添加服务需要一些额外步骤，但只有四分之一的人成功完成了这些步骤。绝大多数人不愿意操作一次性但令他们略感不便的简单流程，来保护他们的数据在以后免遭滥用。

数据“交易”通常被有意设计成这种形式：信息披露能产生直接、有形和诱人的好处，而其所带来的成本是延迟和更加不固定的。这些情况下，不耐烦使我们更容易选择披露。例如，移动信用卡站通过电子邮件发送收据，让交易便捷且无纸化。但是公司捕获电子邮件地址和其他个人信息的成本会在以后发生。敏感数据（例如姓名、人口统计信息和位置）会被收集、分享或出售，并且最终定向营销会激怒你。虽然其中一些广告可能会受欢迎，但其他可能令人厌烦或感觉受到了侵犯。有人担心，未来消费者数据甚至可能会用于更有影响力的地方，例如信用评分计算，可能导致歧视性的“数字红线”。

禀赋效应。理论上，人们在购买时愿意支付的金额，应该与出售时要求的商品金额相同。而实际上，通常人们在购买某商品的时刻，会认为其价值低于标价。当人们做出有关隐私的决定时，也具有类似的心理变化。

在一项研究中，阿历山德·阿奎斯蒂（Alessandro Acquisti）、乔治·鲁汶斯坦（George Loewenstein）和我让消费者从两种礼品卡中选一种：价值10美元的“私人”卡，不会跟踪他们的购买记录；或12美元的卡，会跟踪购买记录。参与者可以“购买”隐私，用12美元的跟踪卡换10美元未跟踪卡；也可以选择用10美元未跟踪卡来交换12美元的跟踪卡，来“出售”隐私。在这二种情况下，隐私价格均为2美元。显然，你放弃2美元来保护隐私的意愿不应该受到最初收到的卡的影响。但事实上，近50％的人愿意为了2美元放弃隐私，只有不到10％的人愿意花2美元来获取隐私。

这意味着当我们必须购买隐私时，我们会认为隐私更不值钱。因此无论我们的信息是默认公开的还是私密的，都会产生巨大影响。当默认公开时，我们更愿意共享它。从更广义上看，这种差异也可以解释，为什么侵犯隐私往往导致抗议，而保护隐私带来的益处却没有得到相应的认可。它也可能为隐私侵犯的恶性循环创造条件：隐私泄露会让信息越来越公开。我们的信息越公开，我们就越不重视隐私，进而更容易出售自己的隐私。

公司已经制定了松散的隐私默认设置，也就是技术行业的默认设置。以下是几个例子：2016年11月，优步改变了预设选项，允许app可以随时跟踪用户。（受到批评后，又于2017年9月恢复原状。）在社交支付应用Venmo上，交易是默认公开的。只要一打开地图应用，Google就会自动存储你的位置；选择退出的设置令人困惑，或者也可以说完全是种误导。

用户选择退出的权利也常令人摸不着头脑。在最近的一份白皮书中，参议员马克·华纳（D-VA）强调了Facebook的移动应用程序如何使用默认值“欺骗性地激励用户同意将手机联系人上传Facebook（跟踪用户的‘社交图表’可获得暴利）。”Facebook移动应用程序的第一个截屏给人的印象是，同意共享联系人是唯一的选择。只有当用户点击“了解更多”按钮时才会发现（向下滚动并仔细查看）他们可以选择退出。

控制错觉。人们误以为他们可以控制随机的过程。这就解释了，为什么测试者认为亲自挑选的彩票比随机发给他们的彩票更有价值。人们还将表面上的控制与实际控制混为一谈。在一项关于行为定向广告接受度的研究中，塔米·金（Tami Kim）、凯特·贝拉琪（Kate Barasz）和我发现，当给予他们控制感时，人们更能接受第三方数据共享（这是他们通常认为感到侵犯的做法——哪怕他们以为自己能控制的内容与看到的广告或共享的数据无关。）一些无关紧要的事情足以使人们安心，比如提醒他们可以选择自己的头像。相关研究表明，人们对自己在网络空间中控制自身安全的能力过于自信。在Experian最近进行的一项调查中，56％的受访者错误地认为，身份盗窃的风险会随着时间的推移而降低，而10％的人认为，因为自己财务状况不佳，所以没什么风险。

虽然让消费者更多掌控其数据的一些努力是有意义的，但从一些案例中我也看到，虚幻的控制感能安抚他们对隐私的焦虑，比如网络广告促进会的“消费者选择退出”网站。该网站告诉人们哪些公司为他们浏览器定制广告，并可以选择不接受哪些公司的广告。当我使用这项服务时，我选择屏蔽了72家公司的广告。我感觉自己有控制权。但当我检查细则时，了解到我的选择只会阻止特定公司提供有针对性的广告，并不一定能阻止我被跟踪。这一点很容易被遗忘，毕竟我看不到那些有针对性的广告了——正是这点提醒了我，我的数据正在被收集。

渴望披露。这一点并非决策偏见，但人类拥有与他人分享的本能愿望，甚至需求。毕竟这就是我们建立关系的方式，人类本身就是社交动物。在一项研究中，即使是那些非常关心自己隐私的人也会随时将个人信息泄露给聊天机器人。透露秘密益于身心。当陌生人在实验室实验中被配对并鼓励互相分享个人信息时，他们会建立更融洽的关系。坚持在日记中吐露焦虑，可以改善身体健康；而保守秘密对健康不利。一项神经科学研究发现，人们披露自己的信息，会激活他们大脑中的奖励区域；在同一个实验中，人们甚至放弃了金钱奖励，以换取机会回答个人问题。

如何看待那些弃权的人，也充分说明了我们对披露的态度：我们鄙视那些藏着掖着的人。例如，我与凯特·贝拉琪（Kate Barasz）和麦克·诺顿（Mike Norton）的研究所表明的那样，和透露关乎自己破坏性信息的人相比，我们更加不喜欢和不信任避免回答个人问题的人。在一项实验中，参与者表示，和拒绝回答有关吸毒问题的人相比，他们对雇用一名承认吸毒求职者的兴趣更高。

线上社交和商业交易之间的界限越来越模糊。例如，几乎所有社交媒体平台上的广告看起来都和非商业内容很相似。虽然这种做法可能还有其他原因（例如，让广告看起来不那么烦人），但这样做也让广告看起来像社交帖，我怀疑这有助于触发人们披露信息和克制隐私焦虑的愿望。

类似的，随意、不专业的界面也容易触发自我披露，哪怕这些界面往往露出隐私保护薄弱的迹象。事实上，披露信息的愿望似乎正是许多社交媒体网站的核心，比如Facebook发帖的提示文字永远是“你在想什么”。在线零售商也一直在销售流程中添加类似的社交元素，例如旨在与消费者建立融洽关系的聊天代理机器人。Venmo网站的结构反映了社交媒体网站的结构；用户通过添加联系人来构建社交图谱。联系人的交易突出显示在消息通知中，使得财务交易看起来像是社交交易，将人们通常会保密的东西转变为他们不仅愿意分享，而且可能想要分享的东西。虽然消费者可能从网站的社交方面获得一些价值，但这些方面也可能弱化披露带来的风险。

虚假的界限。在离线环境中，人们自然而然理解并遵守关于自由裁量权和人际交往的社会规范。虽然我们可能想要谈论某人，但是“不要背着别人议论他”的规范通常会抑制这种冲动。当其他人在场时，我们大多数人永远不会告诉值得信赖的知己我们的秘密。如果我们透露不合时宜的内容，那么人们当下的反应会提醒我们迅速收回话题。但在网络世界中，规则是不同的。例如，我们通常不会获得同样丰富的真诚反馈，让我们以为自己仅向选定的一群人披露信息，例如我们社交媒体信息流中的朋友。当人们只向特定朋友发牢骚时（例如，关于他们的雇主），也许会遇到麻烦，因为他们忘记了可以看到这些披露的受众更广泛（比如他们的老板和同事）。

我们很容易被看似短暂的数字互动所诱惑。我与雷托·霍弗斯特（Reto Hofstetter）和罗兰·鲁佩尔（Roland Rüppell）的研究发现：允许消息消失的暂时共享技术，例如Snapchat和Instagram Stories会引导人们进行不受限制的披露。然而，这对他们声誉的损害可能更持久。哪怕猥琐的举动稍纵即逝，我们大多数人也不会想在专业会议上这样做。但在线上，也许因为我们经常收到无足轻重的反馈，短暂的承诺促使我们过度分享。

复杂性和难题

我们已经从消费者和生产者两方面分解了监控经济，但其背后还有一个日益重要的因素：复杂性。你知道cookies是如何工作的吗？你是否了解你的浏览历史记录、搜索请求、Facebook点赞等信息是被如何变现，在中间商之间交换，并把定向广告发给你的？当你要求数字助理做某事时，你知道自己被记录和跟踪的内容吗？

答案可能是否定的，这就出问题了。任何正常运行的市场的一大关键原则都是“买家注意”。但在线上，权衡分享带来的风险与收益好像是一门玄学。当公司跟踪你的位置时，你失去了多少隐私，其价值几何？

为了让GPS导航工具更方便而失去这些隐私，值得吗？如果对消费者进行持续位置跟踪，应该怎么补偿他们？此外，监控经济的幕后“管道”十分错综复杂且不透明，所以消费者几乎不可能充分了解真相，也无从得知所有第三方对你的数据做了或将要做什么。尽管Facebook一直在加强对应用程序以及对用户数据访问的监督，但事实上许多应用程序一直在出售从Facebook上获得的用户信息，而且当消费者同意应用程序的条款后，他们无法知道自己的数据最终会被用来做什么。假设几年前你点击Facebook链接进行了一个诸如“哪部80年代电影最能代表你的生活”的测试，测试管理员可能已经收集了你的一些Facebook数据——生日、朋友、您点击的内容、点赞内容、位置、参加的团体、签到的地点，通过将其包装在JavaScript中供第三方使用，从而绕过大多数网络浏览器提供的隐私保护。数据中间商可能已经收集了打包信息并将其出售，用于定向广告活动。你根本无法弄清数据如何在广告生态系统中移动，也无法识别所涉及的中间商或代理商，也没有什么能阻止你的朋友和其他人分享你的信息。在经济学家苏珊·阿希（Susan Athey）、克里斯蒂安·卡特里尼（Christian Catalini）和凯瑟琳·塔克（Catherine Tucker）进行的研究中，人们随时可能为了免费比萨而透露朋友的电子邮箱。

即使消费者积极寻求发现有关他们的个人信息以及与哪些实体共享，但公司并不总是乐于提供信息。当用户点击Facebook的“为什么我看到这个广告”功能（很难找到）时，他们给出的解释有时太宽泛，所以毫无意义（例如，“你看到这则广告的一个原因是Rothy想要接触可能与他们的客户相似的人”）。

即使监控经济中的所有参与者和交易都被广而告之，消费者有时仍会发现，无从知晓自己实际披露的内容，因为分散的数据片段可以被合成新数据。例如，如果知道了某人四次信用卡的交易日期和位置，就能识别出他是谁。一个人的社会安全码有时可以通过他的生日和出生地来预测，这就意味着，如果消费者把生日提供给已经知道其出生地的某一方，就相当于无意中透露了自己的社会安全码。消费者披露的内容不仅受到他们决定披露内容的影响，还取决于接收者对该消费者的了解。

算法和处理能力现在已经能够在无需索取数据前提下，搭建用户行为画像。用户只需存在于某人的社交网络或给某人的社交信息流中，其行为模式和画像就唾手可得。

这种现象导致了一大全新难题：如果公司使用机器学习来构建消费者画像，那么该画像是否受个人身份信息监管规则的约束？消费者有权使用该画像吗？公司是否应该在未经目标同意的情况下，被允许使用这些技术，或者根本就不应该允许？没人知道答案。

出于所有这些原因，隐私决策复杂异常。当人们认为决策过于复杂时，他们很容易放弃。任何决定是否“接受”在线使用条款的人对这一点都有共鸣。这些条款往往极其冗长，因此情理之中的是，你不能指望任何人读一遍，更不用提理解其意思了。一项研究估计，如果把访问的每个新网站的隐私政策都读一遍，美国人每年需要花540亿个小时。

因此，面对此类条款，大多数消费者都会举手投降——如果他们想弄清这些条款，就不得不停下来。例如，手机游戏应用用户，可能会惊讶地发现，自己“同意”其中一些应用程序无论出于何种原因，都可以与第三方共享个人数据。有些第三方甚至可以访问人们的麦克风——即使应用程序未被使用，或者信息未被用于游戏，也能使用麦克风录下音频。诸如拥有10亿用户的微信等“超级应用”可以深入访问个人数据，包括社交媒体发帖，银行和信用卡详细信息，金融交易甚至语音数据。通过在技术上提供和信息分享成本及收益相关的信息，并让消费者“同意”，微信及其他类似数字平台保持一种似是而非的推诿。

因为复杂性的存在，在不完全破坏整个系统的情况下很难修复监控经济。虽然最终可能不得不这么做，但绝非上策。数据收集对于互联网用户来说不一定是坏事。消费者已经从监控经济和大型平台公司（如Alphabet和Facebook）获得了巨大利益。然而，大部分监控经济在秘密和默认情况下运作的事实表明，科技公司有理由担心，如果消费者真正理解“免费”技术中暗含的交易，就可能不会选择同意。

此外，当消费者在不知情下网上冲浪时，公司更清楚自身的成本和收益，能更准确地计算跟踪技术和数据中间商的开支，以及更精准定位广告带来销售增长。因此，公司比消费者更具信息优势。就像任何经济学家都会告诉你的那样，不对称本身意味着市场失灵，从而引发监管干预。

恢复平衡

在20世纪60年代，当消费者显然无法正确评估风险（例如，不配安全带的汽车风险以及汽水瓶可能爆炸），而且公司没有动力解决这些风险时，美国和其他政府开始系统地编写产品安全法规。学者们认为，在这种情况下，监管机构认为：将风险转移给能最好管理风险的人——产品的制造者，是合理的。鉴于消费者在评估隐私风险方面面临类似挑战，立法者应考虑采用此方法制定有关个人数据收集的规定。

当然，任何监管机构的回应都会使怀疑论者指出我们尚未开始理解的棘手问题。他们可能会提出的问题如下：

●人们在多大程度上拥有自己的个人数据？

●人们是否应该期望在公共场所具有隐私，或者说，他们在公共场所的活动是否应受到监控？

●在线领域是公共空间吗？

●隐私的价值是什么？能被计算吗？

●个人信息的价值是什么？能被计算吗？

●我可以控制哪些信息，其中是否包括人工智能对我的行为预测？

●实施隐私监管的成本是多少？该成本是否大于收益？

有人认为保护消费者个人数据可能为时已晚，因为它已经被输入机器学习工具中，哪怕不再收集更多数据也能准确推断关于我们的信息。尽管机器学习能力叹为观止，但还未成为现实。公司依旧对获取消费者数据有极大兴趣。但即使人工智能的预测能力确实降低了对消费者数据的需求，监管机构也可以对企业如何利用这些预测进行基本制约（例如，阻止医疗保险公司利用预测来歧视可能有疾患的申请人）。

虽然类似监管细节超出了本文的讨论范围，但我所描述的研究确实提供了一些可能有效的总体建议。首先，我们的目标不应仅仅是增加分享难度或单方面增加企业获得消费者数据的难度。这种方法过于简单化，因为公司和消费者都可以从共享信息中获益。监管机构还应了解限制信息流的成本，例如，这样做可能会阻碍创新。

欧洲最新的《通用数据保护条例》（GDPR）要求公司必须让消费者同意收集个人信息，这值得称道，因为它解决了默认带来的问题，但代价是给消费者带来不便和烦扰。当人们反复面临关于选择加入或退出的决定时，他们就会麻木，这个选择似乎不可取。一些类似因素也让干预数据收集的规则设计别具挑战性。

一种常见的方法是要求公司向消费者提供分享的相关成本和收益信息，并让他们对数据泄露知情。但正如我在上文中提到，研究指出了这种方法的局限。鉴于用户不会阅读隐私政策，哪怕媒体一片哗然，他们在得知信息泄露时也没有太多行动，因此不太可能解决问题。（事实上，在剑桥分析公司丑闻爆发后，大多数Facebook用户并没有弃用Facebook。）

一种相关的方法是利用有针对性的监管来直接降低对消费者的风险，例如，出台个人数据公司可收集的内容以及使用途径的具体细则，并对违规行为进行处罚。美国尚没有关于个人数据收集和使用的联邦级法规，但一些基本规则已经成形。例如，在马萨诸塞州，公司必须加密流入公共网络的个人数据。加州开创性的新《消费者隐私法》对企业出台了若干规则。例如，销售消费者数据的企业必须允许用户在不受处罚的前提下就能选择退出交易。

但这种方法的一个问题是，它可能导致“按下葫芦起了瓢”——公司在遵守规则同时，也能钻法律空子。例如，加州的新隐私法禁止对行使隐私权的消费者进行差别待遇，除非公司能将这种行为“合理地与消费者数据提供的价值联系起来”，这就是公司可能利用一个漏洞。而且在数字空间中公司十分灵活，因此十分容易找到变通方法；对隐私政策措辞的快速调整就能产生巨大后果。

因此，政府干预的真正前景可能在于：激励公司只能以合理方式使用消费者的个人数据。一种方法就是，采用产品安全制度中使用的工具：严格问责，即哪怕没有疏忽或恶意等原因，也要让公司对使用消费者数据可能产生的负面后果负责。相关的，正如法律学者杰克·巴尔金（Jack Balkin）和约翰森·契特兰（Jonathan Zittrain）提出的，将收集个人数据的公司视为“信息受托人”，即有法律义务以可信方式对待我们数据的实体。诸如此类的干预会使公司切实严肃考虑负责地使用数据，并采取积极措施防止数据收集和共享系统中的滥用和失职（否则他们将面临罚款）。

可以肯定的是，首先我们需要找到很多难题的答案。例如，如何确定产生了损失？虽然信息披露造成的损失很难准确计算，但至少可估。胡克·霍根（Hulk Hogan，本名特瑞·博莱亚Terry Bollea）获得了1.15亿美元赔偿。因为八卦网站Gawker发布他的性爱录像，侵犯了他的隐私，观众可能达到数百万人。（充分披露：我在这个案子中担任博莱亚团队顾问。）

另一大挑战是证明伤害，因为这在隐私领域很难做到。有些人认为，法院可能会接受概率损害的办法。那么，“合理”与“不合理”的数据该如何定义？这很难说清楚，往往只有事发之后才能裁断。监管的关键目的是震慑，对滥用数据防患于未然。

还有一大共同疑虑是：监管能减少竞争。对小公司而言，合规成本不堪重负，因此监管的净效应可能会让大企业具有了更大市场势力。但我们有理由相信，如果企业有动力以更可信的方式行事，那么这种弊端就不太可能出现。首先，那些财力雄厚的公司将成为大多要求损害赔偿者的目标。其次，因为不需要对合规进行传统的巨大前期投入，这种方法对新进企业的限制可能较少。

监管不是监视经济的灵丹妙药，肯定会导致新问题。除了遵守法律外，还有更多方法来赢得消费者信任。但是如果我们能利用行为学的观点，接受消费者是不完美的决策者，而不是完全理性的经济参与者，就能设计出更好的监管，有助于实现数据收集的好处，同时尽可能减轻其弊端——对于公司和消费者而言都是如此。