Redian新闻
>
观点 | 简化隐私政策有用吗?来自实验的证据

观点 | 简化隐私政策有用吗?来自实验的证据

公众号新闻

联系微信:heguilvshi 领取优惠券,加入DPOHUB会员!

导言

一直以来,学界都呼吁企业为用户提供更简明、易懂、标准化的隐私政策,以改善作为“告知-同意”机制核心的隐私政策难以发挥作用的现状。然而本文作者通过实验证明,简化隐私政策效果甚微。


Simplification of Privacy Disclosures: An Experimental Test

简化隐私披露:一项实验测试

Omri Ben-Shahar & Adam Chilton

The Journal of Legal Studies 45.S2 (2016): S41-S67


译者:中国人民大学法学院硕士生 张燕兰 毕坤阳


作者信息


Omri Ben-Shahar(左图)是芝加哥大学法学院法学教授、Coase-Sandor法经济学研究所所长与创始人。Ben-Shahar是合同、销售、商标法、保险法、消费者法、电子商务、食品法、法律和经济学以及博弈论和法律方面的专家。作为大数据和法律的杰出先驱之一,目前研究主要涉及将大数据用于社会和法理问题的监管和市场解决方案。


Adam Chilton(右图)同为芝加哥大学法学院的法学教授。Chilton主要研究领域在于国际法、比较法和实证法律研究的交叉点,目前担任《法律和经济学杂志》的联合编辑。


1

文章结构

文章首先对隐私政策的简化技术进行简要的介绍,接着讲解了测试简化隐私政策效果的实验设计。此后,文章介绍了展示最优做法隐私政策效果及警告标志形式的隐私政策效果如何的实验结果。最后,文章简要讨论了本次实验结果对未来研究和政策的影响。


2

文章背景

根据学者McDonald与Cranor在2008年的一项实验,普通人每年需要花费76天才能读完所接触的隐私政策,每年阅读隐私政策占用的时间本能创造7810亿美元的财富。事实证明,隐私披露机制的目的很难实现。企业通常会依法提供详细的隐私政策,但是消费者在很大程度上对政策具体细节一无所知,并继续泄露大量的个人信息。

强制披露是隐私保护中最常用的监管手段。但显然,目前隐私政策未能实现有意义的披露,需要简化隐私政策的格式,并将专业术语替换为一般用户易读的表述。但具体如何实现还是个问题。在寻找呈现隐私政策的更好方式的过程中,几种简化隐私政策的策略脱颖而出。


第一种简化策略侧重于改进隐私政策的格式和组织形式。这种方法是最优做法(best practices)规约的一部分。最优做法是由立法者、倡导团体和隐私专家提出的致力于增强透明度的非正式行为准则,旨在帮助消费者在隐私保护方面货比三家而做出选择。尽管部分最优做法规约也针对隐私保护的实质问题,如希望公司不要收集不必要的信息,但大部分最优做法仅关注隐私披露的形式问题,如告诉公司如何清晰简明地展示信息。

第二种简化策略则更加激进:主张将食品营养素参考值表等已经获得成功的信息披露机制应用在隐私保护领域。该策略的要点是将信息披露精简化,只保留少数关键事实,并以标准化的、非技术性的、易于比较的格式呈现出来。

上述主张简化隐私政策的观点不在少数,那么简化隐私政策是否真的能改变消费者行为?本文提供了一份能解答该问题的实验结果。

本文实验不在于研究如何设置隐私政策的实质内容,而在于研究隐私披露的不同组织形式带来的影响。作者设计了几种在不同程度上采用最优做法方法的隐私政策,并随机提供给受访者,分别观察其效果以检验最优做法规约指导下的隐私政策的效果。实验结果显示,隐私政策的组织形式对受访者理解隐私政策、披露其信息的意愿或对其隐私权的预期基本上没有影响。

此外,作者还进行了一项单独的测试,以检验Ayres和Schwartz等学者提出的隐私警告框的效果,结果也并没有发现隐私警告框对受访者的行为产生显著影响。

作者的实验结果和先前得出更乐观的结论形成了鲜明的对比。例如,Kelley等学者2011年的一项实验,通过分别向受访者提供简化版和完整版的隐私政策,得出了标准化的短表格式明显优于全文格式的结论。以Kelly为代表的学者实验结论为,如果人们将理解隐私政策本身作为目标,专心地反复阅读、学习,那么人们对于隐私政策的理解程度就会随着隐私政策形式的简化而提高。相比之下,本文研究结果表明,当人们致力于一项现实任务而并非单纯为了理解隐私政策时,隐私政策的简化不会影响他们的行为。


3

文章内容

1. 研究设计


1.1.最优做法

隐私专家、立法者和学者有一个广泛的共识,即公司必须提供明确的隐私政策。这一共识亦反映在白宫发布的《消费者隐私权利法案》中:“消费者有权获得关于隐私和安全做法的容易理解和可获得的信息 ”。联邦贸易委员会认为可获得的透明度是一项“基本原则”,并指示公司“在显眼、相关和容易获得的地方向消费者提供选择,并开展消费者教育工作,以提高消费者对公司如何收集、使用和分享其数据的理解。”在公平信息实践原则中,联邦贸易委员会重新要求隐私政策必须“清晰和显眼”,且“披露内容应易于理解,有效地传达消费者所需的信息,以便对其信息的隐私做出明智的选择,包括是否与金融机构进行交易”。

为了准确指导这些目标的实现,一些最优做法协约产生了。其中一些协议由法律规定,另一些是由立法者起草的自愿行为准则,还有一些由私人团体汇编。我们审查了这些指南中的一些建议。虽然没有统一的最优做法清单,但有六项建议是最常见的,且属于对隐私披露的组织形式上的要求。因此,我们的实验重点也在这六项常见建议上:
(1)标题明确:对具体的规定使用明确的标题。
(2)信息分层:先为每项内容提供简短的摘要,再提供更全面的信息。长信息可以用更小的字体,甚至可以发布在其他地方,但须在短信息摘要中明确提及或提供链接。
(3)字体易读:使用容易阅读的字体,尺寸要清晰,颜色要鲜明,与背景有明显的对比。
(4)表述简明:减少复杂句式的使用,语言平实、直白。
(5)以举例代替抽象表述:当列出收集或共享的个人信息的类别时,应举出具体的例子,而不只提供抽象的表述,说明每个类别中的信息类型。
(6)披露利益相关方名称:如果通知中提到合作伙伴和附属公司,须提供其名称。


1.2.实验设计

为了测试的准确性,我们决定以危险性行为作为调查主题。我们告诉受访者,该调查由一家在线约会平台公司组织,为了防止该约会平台中可能出现的性侵问题,需要调查参与者的性经历。这个话题满足提高准确性的三个标准:第一,性行为是一个敏感话题,受访者不会对其个人信息安全满不在乎;第二,为什么公司会对他们的个人信息感兴趣,可以给受访者一个合理的解释;第三,避免性骚扰是一个社会共同追求的目标,受访者会认为研究结果的准确性有重大意义,从而更倾向于如实回答。

调查开始后的第一个界面上,所有受访者被告知,“调查是由一家芝加哥盈利公司进行,该公司正在开发一款约会App。调查结果将用于设计App的设计,以优化匹配结果并减少性骚扰的出现。请你诚实地回答所有问题。”读完这个提示后,受访者可以点击“下一步”开始调查。

我们出示该提示是为调查铺垫背景,同时也为了分散受访者的注意力,使他们不知道研究对象的实际是隐私政策的形式。此外,可以设定受访者点击“下一步”的时间为受访者阅读下一个界面的起始时间,从而在受访者未察觉的情况下测量他们在隐私政策界面停留的时间。

点击“下一步”后,受访者会被引导到隐私政策的界面。这是关键的实验步骤。受访者会随机看到五个组织形式不同的隐私政策中的一个,或者作为准控制条件看到一个空白屏幕。所有隐私政策都有相同的标题、介绍、主题,并采取相同的规定,仅在组织形式上不同。

我们的初步研究表明,有六种隐私政策的最优做法是最常被提倡的:标题明确、信息分层、字体清晰、表述简明、以举例代替抽象表述、披露利益相关方名称。为了测试它们的效果,我们设计的五版隐私政策对应五个实验组,此外还有一个空白对照组:
(1)最优做法组:六条最优做法建议均遵守;
(2)组织优化组:仅遵守标题清晰和信息分层两条建议;
(3)易读优化组:仅遵守字体清晰和表述简明两条建议;
(4)内容详述组:以距离代替抽象表述与披露利益相关方名称两条建议;
(5)最差做法组:六点建议均不遵守;
(6)空白对照组:本组仅在屏幕展示空白页

在接受了这六种处理方式中的一种后,受访者可以点击页面底部的“下一步”以继续调查。调查的后续步骤是为了测试隐私政策对受访者行为的影响。

在此需要额外说明,我们确实在实验目的上欺骗了受访者。然而分散受访者对我们正在研究隐私政策这一事实的注意力,是确保他们以平常方式对隐私披露作出反应的关键。为此我们采取了多种措施保护受访者的隐私,并在实验结束后告知了受访者我们真正的实验目的。


2. 实验结果

随机一种隐私政策给受访者后,受访者阅读界面上会有一些问题,这些问题可以衡量他们对隐私政策的理解、分享个人信息的意愿,以及对其隐私权的期望。


2.1.对隐私政策的理解

我们通过两种方式测试受访者对披露信息的理解程度。首先,我们测量受访者在阅读隐私政策上花费的时间。其次,我们通过提问考察他们对隐私条款的理解。


2.1.1.阅读隐私政策的时间
关于最优做法指导下的更简洁、清晰、易读的隐私政策对人们阅读隐私政策所用的时间影响,有多种可能。人们可能因其易于理解而花更少的阅读时间;也可能因其不再晦涩难懂令人生畏,而花更多的时间阅读;抑或与之前花费同样的时间,因为人们习惯了跳过这一环节。为了测试隐私政策具有哪些影响,我们测量了受访者在初始屏幕上单击“下一步”进入披露屏幕和受访者单击“下一步”离开披露屏幕之间的时间。

图1展示了每组受访者在隐私政策页面上停留的平均秒数:在隐私政策页面上花费的平均秒数从最优做法组的19.12秒到空白对照组的12.59秒不等。这两组的平均秒数差是六组两两组合中最大的,但在0.1的水平上并不具有统计学意义(P=0.43)。图1还报告了每组受访者在隐私政策页面上花费的时间的中位数几乎没有区别:都在4.5到6.0秒之间。


图1:受访者在隐私政策界面停留的时间

圆点为各组均值,十字为中位数,线段是90%结果的置信区间,下同


我们的隐私政策从499字到970字不等。而研究表明,美国受过大学教育的成年人平均每分钟可以阅读大约300字。这表明,即使忽略隐私政策包含不易理解的术语这一因素,阅读我们最短的隐私政策仍至少需要一分半。而受访者在信息披露屏幕上花费的时间中位数是5.47秒,即刚好够瞄准并点击“下一步”按钮的时间。只有2.4%的受访者在隐私政策界面上花费超过了一分半钟。也就是说,无论隐私政策的形式如何,几乎所有受访者都没有花时间阅读就点击了

当然,那些花时间阅读隐私政策的受访者在阅读后对我们的调查作出不同的回应也是有可能的。以下,我们分析了在隐私政策页面花费至少30、60或90秒的受访者(以下称为“已读者”)的回答。

2.1.2.对隐私政策正确理解
除了测量阅读时间,我们还直接向受访者提问,以评估他们对隐私政策内容的理解。


图2展示了受访者正确回答的题目数量的平均数与90%的结果置信区间。最值得注意的是,不管隐私政策的形式如何,五个实验组中的受访者都答对大约一个问题(平均值=0.82)。最优做法组平均答对了0.81个问题,而最差做法组则答对了0.77个,差值在统计学上很不明显的(P=0.60)。换句话说,除了空白对照组外,被调查者的答题正确率还不如随机选择的正确率。(由于空白组没有收到隐私政策,他们的正确率处理与实验组不同。)

在已读者中,只观察到了一个非常小的改进:花费超过30秒、60秒、90秒的受访者平均分别答对了1.56、1.48、1.25个问题,在最优做法组,分别平均答对了1.71、2.33、1.75个问题。虽然30秒几乎不足以读完隐私政策,但花费30秒的已读者的正确率也有了明显提升。此外,除空白对照组每组的正确率均有提升。这表明,理解力的提高可能只是出于一种选择效应。正确率的提高是因为花更多时间阅读隐私政策的受访者更有经验,而不是由于隐私政策的形式更佳。

图2:受访者答对的题目数量


以上结果表明,对绝大多数人来说,最优做法建议指导下的隐私政策组织形式的提升并不能提高对其内容的理解程度。


2.2.共享个人信息的情况

隐私披露的目的是指导对个人信息的共享。因此,衡量最佳做法隐私政策是否有效的最终标准应为是否改变了受访者分享个人信息的意愿。我们用两种方式对此进行了测试。首先,询问受访者一系列关于其危险性行为经历的敏感问题。第二,要求他们提供个人身份信息。

2.2.1.披露危险性行为
我们向受访者询问了10个相当敏感的关于个人危险性行为的问题,回答者被要求用“是”或“否”来回答。

图3显示了对10个问题回答 “是”的平均数。没有一个实验组的平均反应在0.1的统计显著性水平上不同于空白组,在已读者中,也没有观察到明显差异。这些结果表明,隐私政策披露的最佳形式不会影响泄露敏感信息的意愿。

图3:受访者透露的危险性行为数量


2.2.2.提供识别信息
受访者回答有关危险性行为的问题后,我们向受访者提问了一系列程序性问题以降低他们的警惕。接着进一步要求受访者提供五项个人识别信息:来源地、邮政编码、电话号码、电子邮件地址和邮寄地址。对于每个问题,受访者可以在填写答案或点击“不愿透露”之间做出选择。我们记录了受访者提供答案的次数。

图4显示,受访者回答的平均问题数约为2.5,从组织优化组的2.41到内容详述组的2.58不等。同样,没有哪一组的平均值在0.1的统计显著性水平上不同于空白组。结果表明,最优做法形式的隐私政策的不会影响共享识别信息的意愿

图4:受访者透露的个人信息数量


2.3.对隐私权的期望

即使没有被阅读或使用,隐私政策的存在本身也可能影响人们对披露者的看法,改变人们对其法律权利或其隐私被重视程度的认识。为了深入了解这一点,我们就对法律权利的期望向受访者询问了几个问题,并报告了他们对我们调查的满意度。

2.3.1.对法律权利的期望
我们问了受访者两个问题。第一,如果我们以符合隐私政策的方式向第三方披露他们的数据,他们是否会通过法律手段提出异议。第二,如果我们以不符合我们隐私政策的方式向第三方披露他们的数据,他们是否认为他们有权索赔。回答问题须选择三个选项之一:“非常不可能”(得分1)、“一般”(得分3)、“非常可能”(得分5)。

图5A 报告了受访者对第一个问题的回应。各组回答得分平均值都接近3,总平均值为2.98。在不同的实验组或空白组间没有任何统计学上的显著差异。

图5B报告了受访者对第二个问题的回应。五个实验组之间不存在有统计学意义的差异。但实验组与空白组的结果之间产生了差异。一定程度上说明,隐私政策的存在可能会使受访者误认为信息处理者没有违反法律。但实验结果并不支持进一步的结论,即最优做法的隐私政策不会与最差做法产生不同的期望。


图5:受访者对法律权利的期望


2.3.2.满意度
即使最优做法不会改变消费者对分享个人信息的理解或决定,更清晰的披露也可能提高消费者的满意度。我们通过向受访者提出两个问题来测试这一点:“您对我们对待您的隐私的态度满意度如何?”以及“您对本次调查的体验满意度如何?”受访者通过5分制打分来回答问题,从“非常不满意”(打分1)到“非常满意”(打分5)。

图6A显示,受访者对我们对待隐私的平均满意度为4.01。六个组的反应几乎相同,哪个实验组的反应在统计学显著水平上不同于空白组。实际上,我们的隐私政策不乏“放肆”的规定,按理说会降低人们的满意度。显然是因为隐私政策内容几乎完全被忽略,组织形式上的差别并没有影响人们对隐私政策的整体印象。

图6B报告了受访者对整个调查的满意度平均值为3.95。所有六组的满意度仍相同,并且没有实验组的平均反应在统计学显著水平上不同于空白组。也就是说,无论何种格式的隐私政策,都不影响受访者对调查他们性行为的态度。

图6:受访者对调研的满意度


3. 通过警告标志简化隐私政策


3.1.概述

目前为止,除了在法律预期上有非常微弱的差异,各组受访者的行为表现和对隐私政策的理解可以说没有任何统计学上的显著差异。

这或许揭示了,尽管最优做法得到了广泛的支持,但实际效果甚微。因此,我们认为有必要采取更激进的简化方式。隐私披露应做到在短时间内提供少数关键事实,把重点放在最易理解、处理和比较的政策上。隐私营养标签是这类设计的典范,其中Ayres和Schwartz提出的警告标志为典型的一款,即隐私披露只包含几个对消费者来说最惊讶和不利的事实。

以下,我们在实验中增加了一个步骤,以测试警告框式隐私政策的效果。


3.2.研究设计

Ayres和Schwatz建议,企业应当了解他们的隐私政策中哪些规定是最不受欢迎的。本着这种精神,我们进行了一个简要的调查,选出了我们隐私政策中最挑战用户接受能力的五个条款,并放入了一个警告框中。图7展示了我们设计Ayres-Schwartz模式的隐私政策警告标志。然后,我们进行了上述相同的实验,其中有组别用警告标志代替了标准隐私政策。

图7:警告标签式隐私披露


3.3.结果

由于先前实验中五个实验组的结果几乎是相同的,图8-10仅对比了最优做法组和警告框组的结果。图8显示了我们为衡量受访者对披露信息的理解程度而设计的两项测试的结果。图8A显示,最佳做法组处理的受访者(平均=19.12秒;中位数=5.61秒)和警告框组的受访者(平均=18.56秒;中位数=6.78秒)在隐私披露界面上花费的时间几乎相同。然而,图8B显示,两组在理解程度测试题的正确答案数量上存在差异,最优做法组平均为0.81,而警告框组平均为1.53,存在显著统计学差异(P<0.001)。

图8:受访者对警告框内容的理解


图9显示了两项信息分享意愿测试的结果。图9A显示,最优做法组平均报告了2.70次危险性行为,而警告框组平均报告了2.51次危险性行为,这一差异在统计学上并不显著。图9B显示了,最优做法组平均回答了2.44个上述关于个人信息的问题,而警告框组平均回答了2.72个上述关于个人信息的问题,在0.1的水平上产生了统计学差异(P=0.07)。结果表明,当我们用列出最容易超出用户预期的隐私政策规定的警告框代替隐私政策时,受访者更愿意提供身份信息了。


图9:受访者提供身份信息的意愿(警告框实验)


图10报告了受访者对调查的满意度。对于四个问题,最优做法组和警告框组之间的差异都很小,完全不存在统计学意义。


图10:受访者对调查的满意度(警告框实验)


4.4.分析

警告框组受访者对隐私政策的理解似乎确实有所提高。尽管如此,受访者的理解还远远不够:5个答案中只有1.53个是正确的。可能由于隐私政策而言,阅读仅包含5条事项的警告框更轻松。但这一改进几乎没有带来任何行为上的差异。

有可能警告标志令人失望的效果仅仅反映了当前主体的麻木,他们无意使用任何形式的隐私声明。也许在警告标志普遍适用的环境中,人们将开始利用警告标志保护自身权益。


4

文章结论

简化隐私政策是这个时代最广泛追求的监管技术之一。简化模式在理论上很有意义,但到目前为止,似乎没有简化模式在实践中获得成功的实例。本文实验结果有助于人们对主张简化隐私披露的观点持怀疑态度。当然,作者的方法也有局限性。例如,愿意接受网络调查的人不一定能代表一般公众。此外,作者只测试了两种简化格式,即最优做法方法和警告标志方法,但必然有更多方法可以用来测试。

总之,本文实验证明简化信息披露并没有改变人们对信息的理解,也没有改变他们随后的行为。这一结果可能并不稀奇。正如Ben-Shahar与Schneider所言:“简单性的失败源于强制披露的对象对一般公众复杂而陌生。本身就很复杂的事物,很难被表达到不熟悉它的人也能轻松理解的程度”。


■________________

审核:中国人民大学法学院硕士生 黄昊

编辑:中国人民大学法学院硕士生 毕坤阳

点击“阅读原文获取原文



每天两块钱,实时获取全球数据合规风险预警

如需《英国ICO数据跨境六步法评估工具》PDF版,请加入圈子免费下载

👇

招募讲师:欢迎加入DPOHUB课程平台


  • 平台介绍数据合规权威平台之一,数据法盟和数据保护官的专业粉丝超过10万,学员超过2万。
  • 讲师收益:权威平台的免费宣传,塑造讲师个人职业品牌及影响力;收益共享权。
  • 申请条件:只要在数据隐私、安全及治理等方面具有落地经验或理论积累,都可以申请加入。
  • 授课方式:既可以是体系性课程(每讲20-30分钟),也可以是一次在线讲座(60-90分钟)。
  • 申请方式:请将“简历、课程名称及大纲”发送到微信:heguilvshi 或邮箱:[email protected]


微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
相关阅读
观点 | 银行低估值之谜:来自银行自己的观点室内通风,有用吗?动不动就被逼到了墙角,俄国咋砌的墙?又变异,更具传染性!世卫组织对奥密克戎变异株BF.7发出警示,疫苗、药物还有用吗?读那么多书,有用吗?辉瑞特效药真的有用吗?提早吃药可以预防新冠吗?炖水果有用吗?每日原则:没经验的人也不乏好点子,有时远远胜过有经验的人困惑在两性之间GQ报道|不确定的环境,心理咨询有用吗?意识的本质真是量子计算?诺奖得主彭罗斯这个观点有了新证据,实验发现特殊脑电信号9点30分的核酸检测当下检验人必备的证书、iPS细胞培养技术及实验室生物安全和15189医学内审员认可、PCR基因扩增检验技术直播课Paxlovid对Omicron有用吗?当下供应可以靠仿制解决吗?“喉咙吞刀片”,网上流传的盐蒸橙子有用吗?“吞刀片”“宝鹃嗓”如何快速缓解?吃冷饮有用吗?关注!出口这些新兴市场国家政策有变化橘子番茄测出新冠阳性?华人亲自实验,结果令人震惊越来越多的证据表明一种常见的肠道病毒会引发1型糖尿病长黑头、痘痘,刷酸真的有用吗?澳洲第四波疫情爆发,新一代疫苗有用吗?病毒持续变异,疫情终结仍遥遥无期!方案只追求图纸好看,有用吗?这些你一定听说过的厨房小妙招,真的有用吗?我们替你试了一遍陈傻子:朋友圈有用吗?太狂妄了!学生AI写论文、代考!纽约、加州紧急按下暂停键,但真的有用吗?这药能减缓阿尔兹海默病的认知力下降减少前列腺癌过度治疗,新模式能有用吗?神了!妹子一下子就抓到了男友出轨的证据,竟是通过亚马逊Alexa上的这个秘密功能!实业创新,工读硅谷抗HPV生物蛋白敷料有用吗?哈佛76年实验的结论:繁盛的人生来自爱私处抑菌凝胶真的有用吗?职场丨港漂智商税?找不到工作时“求职辅导”有用吗?稻盛和夫:烦恼是活着的证据澳洲彻底躺平了,个人防疫还有用吗?专家:放假扎堆前,可先做这些防护
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。