隐私政策,可以算是最熟悉的陌生人之一:我们几乎每天都会遇到,但却很少细睹其”芳容“。根据McDonald和Cranor 2016年的估计:按照平均的阅读速度,如果一个美国人要把他/她一年中遇到的所有隐私政策读完,他/她平均得花掉244个小时。随着技术的进步、相关研究的进展以及法律和监管条例的加增,隐私政策还在无止境地变长、变复杂。因此,大部分时候,大家的态度都可以概括成”冷漠三连“:太长不看、一拉到底、一路走好。
图1 隐私警示标志(文中实例)。
有关这一措施的详细分析,可见Ayres和Schwartz 2014年的研究
面对这一问题,业界、学者和政府想了不少办法。最核心的措施,是把隐私政策搞得更用户友好:更短、更清楚、更简单。还有的学者则主张用更醒目的标示——比如大大的警告标语——来引导消费者阅读政策。那么,这些做法真的有效吗?一方面,是不是实施了这些要点,消费者对隐私的关注就会相应上升?另一方面,是不是实施了这些要点,消费者就会在披露信息的时候更加谨慎?Chilton和Ben-Shahar 2016年发表的研究,给出了否定的答案。
表1 研究涉及的部分问题,涉及相当程度的个人隐私
实验设计[1]如下:两位研究者通过市场调查公司抽取了767名参与者。研究者声称:为了预防某在线约会平台中可能出现的性侵问题,他们需要调查参与者的性经历。同时,他们还会收集一些个人身份信息。调查中的部分问题请见表1,深度涉及隐私。实验中,参与者对每一个问题,都可以选择是否回答。当然,研究者真正在意的,是这样一个问题:如果随机把参与者分成几组,每组都用不同的方式告知隐私政策,参与者在实验中的表现会有什么差别?
表2 文章设置的隐私声明的要点
根据联邦贸易委员会(以下简称FTC)颁布的《公平信息实践准则》,简化隐私政策的“最优实践”,主要包含以下六个方面:标题清晰、信息分类、字体合宜、表述简明、以例子代抽象描述、列出利益相关方名字,等等。这六点又可以进一步分成三个模块:第一点和第二点,侧重信息组织方面的简化;第三点和第四点,侧重信息展示方面的简化;第五点和第六点,侧重信息完整性的要求。文章据此设置了一份符合FTC要求的隐私声明,要点见表2。
图2 六个组别的参与者阅读隐私政策的时间,单位秒。
其中,黑点是均值,蓝色十字是中位数。黑色线段是结果的90%置信区间,下同
实验中设置了六个组别,看到的隐私政策各自不同:第一组,六点“最优实践”都得到遵守;第二组,除信息简化,其它得到遵守;第三组,除信息组织,其它得到遵守;第四组,除信息完整性,其它得到遵守;第五组,所有六点都没有遵守;第六组,没有隐私政策,参与者看到的是黑屏。文章考察了以下几个方面的结果:参与者用多长时间阅读隐私政策?参与者对政策内容了解多少?参与者披露多少隐私?参与者怎么看待实验对隐私的保护?
图3 实验者询问有关隐私政策内容的问题时,参与者正确回答的比例
结果怎么样呢?首先,如图1,无论是在隐私政策上停留时间的平均数,还是中位数,六个组之间都不存在显著的差别。考虑到受过大学教育的美国人,阅读速度平均是300词/分钟,而隐私政策的长度接近900词。文章推断:停留时间足以读完隐私政策的只有2.5%。其次,作者设计了一些问题,考察参与者对隐私政策细节的了解程度,每题有五个选项。结果,几乎所有的组答对的概率都在五分之一左右——也就是瞎蒙的概率,之间差别也不显著。
图4 参与者选择披露隐私的数量
那么,隐私政策声明会不会影响参与者披露的意愿呢?也不会。前面提到,参与者会面对10个有关性经历的问题,他们可以选择回答或不回答。结果显示:六个组的参与者,愿意回答问题的数量都接近3个,之间不存在显著差距。那么,参与者会不会对身份信息更谨慎呢?实验询问了五个信息:所在的县;所在地的邮编;电话号码;电邮地址;信箱地址。结果显示,六个组的参与者,披露的身份信息平均在2条左右。之间同样不存在显著差别。
图5 上部是参与者对隐私保护的满意程度;
下部是参与者对调查本身的满意程度
最后,研究者考察了参与者对隐私保护的满意度。结果如上:再一次,六个组之间不存在显著的差别。此外,文章还问了这两个问题:如果我们披露你的隐私,你觉得你可以通过法律手段提出异议吗?如果我们以偏离隐私政策的方式披露你的隐私,你觉得你可以通过法律手段提出异议吗?尽管对后一个问题给出肯定回答的比例要高不少,但两个问题中,六个组的答案仍然不存在显著差别。因此,有理由怀疑,现行的“最优实践”,实际效果并不大。
图6 给予告示时,两组参与者阅读隐私政策的时间(左部)
以及正确回答相关问题的比例(右部)
既然简化的方法未必靠谱,那加警示标志呢?毕竟,一个大大的“注意”或“危险”,更有可能挑动大家的神经。于是,研究者又加了一个组,看到的是类似图1的标志,包含了隐私政策的要点。结果:警示方法有用处,但用处有限。如上图:比起六条“最佳实践”都得到遵守的情况,参与者答对有关隐私政策问题的比例翻了近一倍,从0.81增加到了1.53,差异非常显著。不过,除此之外,无论是阅读时间、披露信息数,还是满意程度,差别都不显著。
图7 给予告示时,两组参与者披露性经历和身份信息的数量
总结一下:从隐私保护的各个维度看,现行的简化隐私政策措施在实验中效果不明显。相比之下,加上警示标志,反而可以增加对隐私政策内容的关注程度。不过,有一个问题:现行的隐私政策中,运用警示的并不多,警示标志对大家来说还很“新鲜”;如果这一措施得到广泛采用,大家可能因此习惯,最后其用处也会减小。这些发现也引导我们反思:有没有更好的、在个人选择基础上保护隐私的方法?也许,像欧盟一样,进一步强化保护会更好?
[1] 在进行这一实验之前,作者已经在多处散发了实验设计,据此改善了设计。如果对细节有兴趣,可见原文工作论文版本33-77页。
参考文献:Ayres, Ian, and Alan Schwartz. "The no-reading problem in consumer contract law." Stan. L. Rev. 66 (2014): 545.
Ben-Shahar, Omri, and Adam Chilton. "Simplification of privacy disclosures: An experimental test." The Journal of Legal Studies 45.S2 (2016): S41-S67.
McDonald, Aleecia M., and Lorrie Faith Cranor. "The cost of reading privacy policies."ISJLP 4 (2008): 543.
简化隐私政策,有没有用?——来自实验的证据
作者:朱悦来源:网络法实务圈

隐私政策,可以算是最熟悉的陌生人之一:我们几乎每天都会遇到,但却很少细睹其”芳容“。