防止泄漏:Kevin Davis 和 Florencia Marotta-Wurgler '01 研究严格的欧盟隐私法的连锁反应
欧盟于 2018 年实施《通用数据保护条例》(GDPR),在保护消费者隐私和在线数据方面超过了美国。 GDPR 赋予欧盟消费者在网站收集其信息之前收到提醒的权利、了解其信息将如何使用以及要求删除个人信息的权利以及其他保护措施,其中包括对违规行为的严厉处罚。相比之下,美国联邦数据保护政策仍然薄弱。
一篇新论文凯文·戴维斯,贝勒家族商法教授,以及弗洛伦西亚·马洛塔-沃格勒’01,Boxer Family 法学教授探讨了欧盟法规如何保护美国公民。
“填补空白:欧盟隐私法如何影响到美国”,即将在法律与实证分析杂志,基于 Davis 和 Marotta-Wurgler 2019 年的文章“个人数据签约”,该报告审查了大量在线开展业务的公司的隐私政策,以检验合同法是否为涉及个人信息的交易提供了适当的框架。在为之前的论文进行研究时,Davis 和 Marotta-Wurgler 发现,许多公司以似乎暗示遵守 GDPR 的方式修改了面向美国的政策,例如,在用户的个人数据被泄露时通知用户 因安全漏洞而受到损害,并允许用户请求从他们那里收集的数据的副本。这一发现促使研究人员研究原因,并确定 GDPR 政策在多大程度上影响了美国公司的隐私实践。
Davis 和 Marotta-Wurgler 与研究助理和纽约大学法学院学生实习生合作,量化了欧盟和美国市场上 177 家公司在 GDPR 生效之前和之后的隐私合同语言,以跟踪 GDPR 的影响程度。在接受研究的公司中,75% 的公司对欧盟和美国居民使用完全相同的隐私政策语言,放弃了美国宽松政策的潜在好处。在欧盟设有实体办事处的公司更有可能制定针对美国居民的政策,其中包括受 GDPR 影响的保护措施——这一说法此前并未记录在案。
在本次问答中,纽约大学法学院与 Davis 和 Marotta-Wurgler 讨论了他们如何对研究 GDPR 感兴趣,以及他们的工作可能对美国隐私保护的未来产生什么影响。
您研究 GDPR 的初衷是什么?您是如何决定解决这篇新论文所需的大量定量工作的?
马洛塔-沃格勒:ylzz总站线路检测写了一篇文章……关于合同法是否为涉及信息或数据的交换提供了良好的框架。与自上而下的监管相比,合同法的理想特征之一是缔约方在确定其权利和义务时具有灵活性。有趣的是,在该研究期间,GDPR 生效,规定了特定的做法和披露。为了探索政策的契约方面,ylzz总站线路检测需要控制 GDPR 语言。在控制 GDPR 时,ylzz总站线路检测意识到 GDPR 对面向美国的做法产生了巨大影响。因此,在随后的文章中,ylzz总站线路检测进一步探讨了这方面。
戴维斯:ylzz总站线路检测基本上想到了阿努·布拉德福德(Anu Bradford)所说的适用于美国合同法的“布鲁塞尔效应”的一个版本。 [布拉德福德的研究追踪了欧盟的监管政策如何产生全球影响。]
这是一件大事,因为美国是一个大经济体,[并且]你会认为它在某种程度上不受这种[影响]的影响。ylzz总站线路检测意识到,从理论角度来看,关于跨境法律溢出效应的研究已经相当成熟,但似乎没有太多实证检验的方法,而在这里,ylzz总站线路检测拥有所有这些重要的数据,可以用来检验这些理论。
您的研究如何融入现有的理论框架?它符合你的假设吗?或者你的发现是否令人惊讶?
马洛塔-沃格勒:ylzz总站线路检测提供了一些很好的经验证据来阐明现有的理论。例如,ylzz总站线路检测确实发现,当遵守某件事的成本较低时,您更有可能遵守它,而当遵守某事的成本非常高时,您就不太可能提供它。
话虽如此,遵守成本较低的事情仍然代价高昂。 [在面向美国的市场]公司根本不需要遵守。所以[ylzz总站线路检测发现]正在发生一个非常有趣的动态。
ylzz总站线路检测还有新的理论和……新的令人惊讶的证据……关于规范和公司内部动态的模糊作用。ylzz总站线路检测发现,溢出效应是否会在美国发生的最有力预测因素是一家公司是否在欧盟有实体存在……现有文献中对此没有进行太多讨论。ylzz总站线路检测考虑规范的作用,也许还有内部律师相互交谈的作用,以及公司内专业知识的作用。当欧盟人民告诉您 GDPR 是一件大事时,作为一家跨国公司的美国分支机构,遵守 GDPR 就变得更重要了。
戴维斯:迄今为止,有关此类国际监管溢出效应的文献主要集中在合规成本上。但也有人对信号效应的想法感兴趣——公司可能希望通过声称自己遵守了更高的标准来提高自己的声誉。ylzz总站线路检测的研究结果表明这个因素值得进一步研究。
GDPR 的溢出效应如何有效地填补美国联邦隐私政策的空白?这可能会对美国隐私政策的改革产生什么影响?
戴维斯:有明显的溢出效应证据这一事实并不意味着溢出效应会在美国带来完美的合规性。
ylzz总站线路检测的研究表明,欧盟甚至没有完美的合规性。ylzz总站线路检测在本文中所做的部分工作是将美国的 GDPR 合规水平与欧盟(据ylzz总站线路检测所知)的水平进行比较。这就是ylzz总站线路检测识别溢出效应的方式。美国有很多隐私政策仍然没有体现对 GDPR 的遵守。因此,在美国立法方面[保护消费者隐私]仍有工作要做。
ylzz总站线路检测最终说,就美国政权改革的未来而言,ylzz总站线路检测不确定填补空白可能会产生什么后果。一方面,[这些溢出政策]可以为联邦隐私立法等的发展提供基础并铺平道路。另一方面,[溢出效应的存在]可能会减少改革的必要性,从而削弱改革者的风帆。
马洛塔-沃格勒:有一个有趣的现象,当出现监管真空时,企业需要寻找其他地方。 GDPR 似乎在某种程度上填补了这一空白。对于企业如何应对更具保护性的信息隐私规则,它确实有一些有趣的影响。人们担心监管会扼杀创新。似乎并没有达到这样的效果。
您的研究对未来的研究有何影响?缺乏数据保护会以哪些具体方式影响消费者?
戴维斯:对我来说,对于其他领域的溢出效应还有更多研究要做。我的很多研究都集中在发展中国家。最近,我一直在思考美国移民政策和美国枪支法对墨西哥或牙买加以及其他加勒比国家等国家的溢出效应。
马洛塔-沃格勒:我认为监管溢出效应的发现,特别是在信息隐私方面,[很重要]。 [美国]有许多法案试图引入联邦隐私法规,但均未能取得进展。我认为强调公司可能遵守 GDPR 是一件非常重要的事情。
消费者隐私一直是近期许多探索的前沿,尤其是在之后多布斯[2022 年美国最高法院终止妇女联邦堕胎权的案件],妇女担心她们的数据……有关她们的经期或购买历史和其他信息可能会被用于针对她们的刑事案件。这一领域的这一有趣的溢出效应目前尤其重要。
发布于 2024 年 4 月 5 日。本采访经过编辑和精简。照片:Adobe Stock/Christin Lola(喷泉)