哈佛商业评论

作为一个思想家，海伦·尼森鲍姆积极参与到个人数据收集、使用和保护方式的改革中，这有些出人意料。尼森鲍姆获斯坦福博士学位，现任康奈尔大学纽约校区的信息科学教授，主攻政治学、伦理学以及技术和数字媒体价值观之间的交叉领域——这是学术深水区。她建立的数字隐私认知框架已经深刻影响到现实政策。

除了出版多部著作并发表无数论文外，她还为TrackMeNot、AdNauseum和Adnostic等网络浏览器合作创建了多个隐私插件。尼森鲍姆认为，当前市场中的不透明同意协议几乎剥夺了消费者的谈判权益，数据收集者可以毫无顾忌地收集信息并从中榨取价值，而她创建的隐私插件算是为推动市场合理化改革做出的微小努力。数据收集者的行为还向消费者提出不明确的价值主张，并损害了数字媒体、社会机构的诚信和个人的安全。

《哈佛商业评论》英文版高级编辑斯科特·贝瑞纳托在采访尼森鲍姆时，谈到了同意的概念、对隐私的恰当定义以及将隐私归类于道德问题的原因。出于对表述清晰度和篇幅的考虑，本次对话经过编辑，以下为节选内容。

糟糕的同意

HBR：每每谈到同意作为一种隐私机制的概念，你的语气里都透出沮丧。为什么？

尼森鲍姆：嗯，那只是（停顿半晌）——这么说吧，同意的操作方式很糟糕。举例来说，作为GDPR中的一分子，我们现在总会看到一些弹出框，显示“嘿，我们使用cookies——点击此处”。这根本没用。你不知道你在做什么，同意对方对你做出什么。有效的选项应该是，“我同意你使用cookies追踪我”“我不想被追踪，但还想享受服务”或“本次交易使用cookies没关系，但清除所有不必要数据并不再分享给他人”。但上述选项都没有提供。这算哪门子选择（对比单纯的挑选）呢？

现在闹出的“同意”笑话可能会造成更大伤害，因为我们会对自己放弃的有效管控有误解和内疚感——我们太无知了，不知道有其他管控方法，还渴望或者说需要对方提供的服务。有一点可以肯定，同意依然对尊重他人隐私有关键意义。有些情况下，的确，同意极其关键。但我们现在还没有真正意义上的同意。

对我来说很简单。我选择在方框里打对钩。

你这样想：如果我向你要邮政编码，你也同意给我，那么你同意的是什么？

我是出于某种目的，才同意让你使用我的邮政编码，比如为了营销吧。

也许。但你是同意将邮政编码分享给我，还是允许定向营销？我可以把你的邮政编码和其他与你相关的信息结合起来，进而推断你的名字、准确地址和电话号码。你同意这些吗？你会吗？我可以基于你所在社区给你创建财务档案。你同意牵涉其中吗？我还能根据你和我的对话，有针对性地给你的邻居投放政治广告。你同意吗？

算法越来越复杂了。

特别是将有意义的自然语言词汇翻译成对应的机器语言术语时。你会收到询问是否可以收集位置数据的弹出框。什么是位置数据？位置可能在你的设备中有特定的操作方式，比如GPS的经纬度。但我还可以用其他很多方式推断你的位置。位置数据可通过IP地址获取。或者当你在查询飞机到达时间时。假设飞机从巴黎起飞时你就开始讨论本次航班信息，你给朋友发短信，“我三点钟在A航站楼接你”。你的地理位置没有被追踪。你同意提交“这一”位置数据吗？你同意的是“位置”还是“GPS坐标”？

你可能会认为，消费者和机器（在上述案例中是设备或应用程序）对位置的定义是一样的，即精准的GPS坐标。但事实并非如此。我和同事在研究项目中发现，相比分享经纬度，人们分享“在医院”“在某商店”等有语义内容的位置数据时不安情绪要强烈得多。如果你告诉受试者你可以从位置数据中推断出什么信息，他们会受到更大惊吓。所以仅仅让消费者同意获取其位置，不等于为他们提供了做出知情选择所需的详细信息。

所以消费者不知道他们同意的是什么，数据收集者不能说明将如何使用信息，而双方可能无法就自己真正同意分享的信息达成一致。现在这些问题似乎都很棘手。

即便你想要达成完全透明的协议，也不可能做到。有些公司虽然意图良好，但并不了解收集到数据后会出现的所有状况，特别是消费者并未做出最佳判断，而是屈从于在线追踪和行为定向压力的情况。公司不知道数据的去向和用途。形势总在变化。一方面，要求所有用途都得到同意并不合理；这也许避免了负面事件，但也不会有积极效果。假如最新科学表明，某种药性或一组药性与特定的癌症治疗方案存在联系，怎么办呢？要求同意会造成难以克服的障碍。

但另一方面，不管将来数据用途如何都要获得同意，这究竟意味着什么？假设某外科医生向患者详细解释手术的实施过程，然后问：“你同意进行这个手术吗？”这时我们要是以为同意是妨碍手术和结果的唯一因素，那就是自欺欺人了。多数人都会同意，原因并非我们极其清楚手术的细节和后果，而是我们信任这些教育和培训外科医生的机构，相信医学；至少我们还相信，医院和外科医生为了自身利益，会争取获得美誉并避免被起诉。

我们并非不知道同意的意义；现在的情况是，我们根本不可能搞清楚“同意”的真正含义。

你的声音里透着激动。

别总想着同意了！不可能，而且不正确。我要礼貌地，同时也强烈地对同事的观点表示反对——他们认为，逐步改进同意机制才是解决方案。我觉得，在这个数字技术的年代，界定“真正的”同意很难，甚至是不可能的，而且到最后，这就不仅仅是个隐私问题了！以剑桥分析公司为例。过去有见地的人会抱怨：“Facebook在未经同意的情况下分享信息。”但这真是同意的问题吗？基于人们一直以来的全部行为，我向你保证，如果这些公司之前选择征求同意，就能获得同意。这并非令我们愤怒的一点。真正让我们义愤填膺的是剑桥分析现在和过去对民主机构做出的事，以及懦弱的Facebook毫无反应。同意本来并不重要，完全可以轻易达成。

我们必须关注依旧依赖同意，但又不完全依赖同意的措施，也就是“后同意”（postconsent）措施。一旦我们认同，同意是种不合理的保障措施，就会提出以下问题：“我们现在向哪个方向改进？社会该如何处理隐私和数据收集问题？”

背景和数据流

所以我的问题也是：我们现在向哪个方向改进？如果同意无效，那什么有效？

在我的书中，我赞同这样一种观点：隐私是种平衡的价值。隐私提升数据主体的利益——注意是利益，而不仅仅是“已知偏好”。但我们不能局限于数据主体的利益，必须考虑到对更多相关方的影响，而他们的利益可能相互冲突。有些经济学家称，只基于利益做分析就够了。但我要更进一步，不局限于个人和个体利益相关人，研究更大范围内的影响。和乔治梅森大学的教授普里斯·里根（Pris Regan）一样，我们也强调隐私的社会价值。正确的隐私概念明确隐私对提升社会价值（如教育、争议、自由和自主权等）的意义。最后，隐私强调情境或者说机构的重要性。个体同意也许是针对已知偏好的机制，甚至可能是提升利益的机制，但隐私对谨慎限制数据流、提高社会和情境（或特定行业）重要性的关键意义不容忽视。

你多次提到“数据流”这一术语。我一直认为隐私就是信息拥有者和想要获得信息者之间的交易。你有不同看法吗？

我对隐私的定义是“信息的正当流动”（如果你愿意，也可以说是“数据”）。一想到河流，你就能想出多种改变流向的方式。我们会为不同目的，用不同手段截流、修坝或改道。斯科特，你跟我要电话号码，然后我给你了。即便在这种简单交易中，我们之间也有数据流，而且这种流动受同意限制，因为你会礼貌地询问我的意愿。我知道，你可能已经通过其他合法或非法（比如侵犯隐私）途径得知我的号码，但数据流不会相同。此外，我会说，我期望你别把我的电话号码分享给其他人，不仅因为法律或我明确禁止你这样做，还因为我们对机密性的理解达成默契，或者说规范。你可以再进一步推断，在上述情况下以及在我们身处的职位上，这样的行为对增强信任和表达尊重有重要意义。

不同数据流的限制因素也不尽相同。如果法官要求获得信息，那就是种命令。或者你在填写纳税申报表时，必须依法提供多方面信息。你对这些交易没有决定权，这是法定义务。美国国家税务局（IRS）的行政范围也有限：我们都知道，除非在极端情况下，否则税务局不能泄漏报税信息。夏洛克·福尔摩斯（Sherlock Holmes）并非通过交易获得数据。他只是在推断数据。这是另一种信息流动；考虑到机器学习已经开始推断我们的个人数据了，这种流动对我们的评估会越来越重要。

在情境完整性理论中（我刚刚已经大致介绍了内容），信息流动还处在初级阶段，只是构成隐私的基本要素。确切地说，该理论用五种参数——发送者、接收者、主体、信息类型和传递原则，来界定数据流，可以有效评估数据流是否威胁到隐私。总而言之，根据情境完整性理论，正当的信息流动符合公认的信息规范。该理论更支持既有规范，或者说基本反映了多数人的期望，但考虑到数字技术带来的众多变革和挑战，本理论也允许规范有一定改变（有时缓慢，有时迅速），原因并非科技公司强迫我们做出改变，而是改变会提升利益和价值观。

合理限制基于情境吗？你有时修坝，有时改道，还有时顺其自然？

是的，就是这样。隐私要求对数据流有合理限制，通常是在数据主体和数据收集者之间。但这些限制也可以应用于第三方、数据收集者和其他与数据主体没有直接关联的人之间。因此，美国国家税务局可能不会将候选人的信息分享给政治对手，但教师有义务通知家长他们十岁孩子的学习成绩，不管这些学生愿意与否。正当流动是关键中的关键。

我一直以为，对隐私的恰当定义是有权在自认为恰当的时机有选择性地表露自我。重要的是，个体有权利这样做。

不！我认为，我们不能只基于个人偏好或利益，判断什么值得保护。我想要辩护的隐私意义不只关乎于我作为一个用户、消费者、公民和家庭成员想要的权利。的确，可能在特定类型的关系中，你的定义是合理的。比如在友情或与泛泛之交的关系中，你会选择分享哪些信息。在求职面试中，虽然求职者可以有选择性地透露特定信息，比如宗教信仰，但若是过往工作经历这样的信息，情况可能就不一样了。但在我看来，如果我们的基本认知是，隐私是个人有选择性透露信息的权利，那从一开始就会误入歧途。我可以想象到的案例是，你会认为，不论有没有经过同意和是否符合他人的利益，都可以建立对方的档案——我们不是为了获得其他价值而交易隐私，而是因为隐私权已经在交易中，或者说是平衡的。

隐私和大局利益

隐私对你来说是个道德问题吗？是否有一些数据收集措施即便创造了价值或者获得了我们的同意，但本身就是错的呢？

是的，隐私是种有道德比重的价值，但请允许我将你的问题一分为二。对第一个问题：是否有些数据收集措施即便得到数据主体的同意，但本身并不正当，答案是肯定的。你只要仔细查看我们每个人都会遇到，也没有明确表示知情的大量“隐私”政策，就明白了。监管者对此熟视无睹，因为虽然数据主体会受到小伤害和侮辱，但企业能得到的好处要大得多——这对他们的说服力更大。换句话说，利大于弊，虽然利益分配不平均。但这里还有更深层次、极其费解的原因。

环境保护的例子有助于了解这一问题。假设我拥有一片林地与一家购买和砍伐原木的造纸厂。单从商业角度看的话，我可能认为这是不错的生意。但如果考虑到未来成本、外部成本以及所有不只会影响到交易双方的因素，那么砍伐森林就是个问题。

我认为，即便是追求实际回报的经济学家也会认同上述观点；他们可以对未来和外部成本进行缜密的经济分析。就隐私而言，我们面对的棘手问题包括，个体同意在分享信息时，会在某种形式上损害到与他们有关系的人的利益，不管是社交网络、血缘关系还是共享档案中的人。

在哪些情况下，你认为隐私政策应关注大局利益，而不仅仅是保护个人？

有些经济学家会这样评价社交媒体平台，“有些人专门适合在这上面榨取价值”，然后就没有其他评语了。但一旦整个社会都知道，我们现在的政策导致系统性不平衡，甚至可能威胁到重要社会机构，那么情况就要有所转变了。目前我们认同，社交媒体平台只基于用户个人使用本平台的事实，就有权获得用户数据，但我们需要认真反思这一观点。虽然这些平台上仍有大量未开发的价值，但社会危害的可能性同样存在。我们必须重新调整社会政策，在将危害最小化的同时更均衡地分配利益。

你的意思是，让所有人，不仅仅是数据收集者，都能获得数据中的价值？比如分享医疗数据，从而改进公共医疗？

是的。实际上，这是我最喜欢的例子之一。保险公司能获得和患者相关的详尽且高度结构化的数据。美国法律规定，他们能够并有权使用这个有“巨大”价值的大型数据库。现在假设我们制定假政策，允许其他组织获取信息，只要他们能给社会攫取价值——换句话说，为公众的利益，实现更合理定价、更精准的疾病监测和对预后治疗有更深入的了解等。这种授权对保险公司可能不利，而且保险公司也不愿意提供资源，但这样做对社会有益。目前我们允许保险公司全权决定谁有权获得数据，对其他主导“数据圈”的组织也一样。其中机会成本非常惊人。

我不是说，这些社会利益唾手可得。这是我们此前从来未以这样方式遇到的挑战，但也是我们面对的艰巨挑战。现在不要再绞尽脑汁思考如何完善同意机制了；现在的有效方法已经说明合理限制数据流的因素，公平分摊成本和利益，并强化多个社会方面的目标和价值观，包括卫生、民主制度、教育、商务、朋友和亲人等。

斯科特·贝瑞纳托是《哈佛商业评论》英文版高级编辑，著有《好图表：让数据可视化更智能并有说服力的HBR指南》（Good Charts:The HBR Guide to Making Smarter,More Persuasive Data Visualizations，2016出版）。