您可以在百度里搜索“中信出版2020年度好书-经济管理（套装共12册） 艾草文学(www.321553.xyz)”查找最新章节！

　　第八章 消费者隐私：“枪口将会调转”

　　2013年12月，科技行业领袖齐聚白宫，敦促奥巴马总统改革政府的监听措施。这次对话一度改变了方向，总统停顿了片刻并做出了一个预言：“我怀疑，未来枪口将会调转。”他指出，许多参加此次对话的公司拥有的个人数据比地球上任何一个政府都要多，因此，科技行业很快会发现，我们现在对政府提出的要求，将会成为人们对科技行业的要求。

　　从许多方面来看，枪口依然没有调转，这本身就是一件令人惊讶的事。在欧洲，可以说，枪口早就转向了。欧盟在1995年即通过了一项严格的数据隐私指令。它为隐私保护建立了坚实的基础，远远超过美国的任何法规。在此指令的基础上，欧盟委员会在2012年提出了更为严格的隐私法规。审议这一法规花了4年时间，不过，欧盟终于在2016年4月通过了全面的数据保护条例。仅仅两个月后，英国在脱欧公投中投票决定退出欧盟，但该国的数据保护部门迅速确认它支持继续在英国实施这一新规。正如时任英国首相特蕾莎·梅在2017年初的一次会议上对科技业高管所说，英国政府认识到，英国经济将继续依赖与欧洲大陆的数据流动，而这需要统一的数据隐私法规。

　　反观美国，随着数据隐私法规在全世界普及，美国仍然置身事外。随着越来越多的数据跨越国界进入美国的数据中心，而美国未能在国家层面广泛地保护隐私，欧洲各地的官员越来越担心其公民的隐私如何得到保护。2005年，我在国会山发表了一次演讲，呼吁通过国家隐私立法。但除了惠普和其他几家公司外，行业内大多数人要么冷漠以对，要么干脆反对这个想法。同时国会也仍然对此丝毫不感兴趣。

　　[1] 我们在国会山面对美国国会互联网政策小组发言，呼吁联邦立法。我们呼吁联邦法律要包含四个要素：底线要统一，要与世界各地的隐私保护法规相一致，线上和线下均适用；提高个人信息收集、使用和披露的透明度；个人对于个人信息使用和披露的控制；以及个人信息存储和传输的最低安全要求。JeremyReimer, “Microsoft Advocates the Need for Comprehensive Federal Data Privacy Legislation,” Ars Technica, 2005年11月3日，https://arstechnica.com/uncategorized/2005/11/5523-2/。原始材料请参见Microsoft Corporation,Microsoft Advocates Comprehensive Federal Privacy Legislation，2005年11月3日，https://news.microsoft.com/2005/11/03/microsoft-advocatescomprehensive-federal-privacy-legislation/；Microsoft PressPass, Microsoft Addresses Need for Comprehensive Federal Data Privacy Legislation, 2005年11月3日，https://news.microsoft.com/2005/11/03/microsoft-addressesneed-for-comprehensive-federal-data-privacy-legislation/；Brad Smith在Congressional Internet Caucus发言的视频，2005年11月3日，https://www.youtube.com/watch?v=Sj10rKDpNHE。

　　在两个看似不可能的人的努力下，美国开始发生改变。第一个人是维也纳大学法律系一位为隐私保护而奋力拼搏的学生，名叫马克斯·施雷姆斯。2019年，我在欧洲短暂停留期间，他向我们推荐了奥地利美味的煮牛肉，并分享了他不寻常的经历。

　　“我因为一场隐私的官司而失去了我的隐私”

　　施雷姆斯在奥地利小有名气，如果你关注了那场横跨大西洋的隐私传奇，你会立刻认出他来。他笑言：“我因为一场隐私的官司而失去了我的隐私。”

　　隐私，以及美国人对隐私的看法，一直吸引着他。施雷姆斯在17岁时，曾作为高中交换生，被送到佛罗里达州一个“与世隔绝的地方”。那座名为塞布林的小镇对他而言确实是一个巨大的文化冲击，但并不是因为一般人认为的原因。让施雷姆斯迷惑不解的，不是以美国未来农民协会（Future Farmers of America）或南方浸礼会教堂为中心的社交聚会，而是学校追踪学生的方法。他说：“学校里有一整套控制体系，校园内有一个警察局，每个走廊都装有摄像头。从成绩、SAT（学术能力评估测试）分数、出勤率到学生证上允许我们使用互联网的小贴纸，一切都被追踪。”

　　施雷姆斯骄傲地回忆起他如何帮助美国同学绕过学校对谷歌搜索的屏蔽。他说：“我向他们展示了google.it，这个网站完全可以正常使用，因为学校只屏蔽了google.com。一个交换生向学校介绍了国际顶级域名！”

　　他告诉我们，回到维也纳真是让他大松一口气，“在这儿我们实在太自由了”。

　　2011年，24岁的施雷姆斯再次来到美国，在加州圣克拉拉大学的法学院学习了一个学期，他在那时仍然十分关注隐私问题。一位给施雷姆斯讲授隐私课程的客座讲师恰巧是脸书的律师，当施雷姆斯问起他脸书公司根据欧洲隐私法所承担的义务时，那位律师回答说，法律并没有得到执行。施雷姆斯说：“他告诉我们‘你可以做你想做的任何事情’，因为欧洲的惩罚如此微不足道，所以没人会真的执行。显然，他并不知道课堂上有一个欧洲人。”

　　这次交流促使施雷姆斯更深入地探索，并选择了他认为脸书在遵循欧洲法律义务方面存在的不足作为自己学期论文的主题。

　　对大多数学生来说，故事本该就此结束，但施莱姆斯并不是一位普通学生。不到一年，他拿着自己的研究成果向位于爱尔兰的数据保护局提出了投诉（脸书的欧洲数据中心位于爱尔兰）。他的投诉直截了当，但有可能颠覆全球经济。他提出，由于国际安全港隐私原则的实施而允许欧洲公民的数据被传输到美国的做法需要废止。他指出，其原因是美国没有足够的法律保障来恰当地保护欧洲的数据。

　　安全港原则是跨大西洋经济的一个基本支柱，但除了隐私专家外，它鲜为人知。这是欧盟1995年隐私指令的产物，该指令要求欧洲公民的个人信息只有在获得足够隐私保护的情况下才能转移到其他国家。鉴于美国缺乏国家隐私法，需要一些政治创造力来保持数据在大西洋两岸流动。该解决方案于2000年通过，这是一项自愿计划，允许公司自我证明自己遵守了美国商务部认可的7项隐私原则。这些原则反映了欧盟的规则，并使欧盟委员会能够得出结论，即美国按照1995年指令的要求提供了充分的隐私保护。国际安全港隐私原则就此诞生。

　　15年后，跨大西洋数据流动呈现爆发式增长。超过4000家公司利用安全港每年提供2400亿美元的数字服务。这些服务包罗万象，包括从保险和金融服务到图书、音乐和电影的一切。但财务数字只是信息冰山一角。美国公司在欧洲拥有380万名员工，它们需要依靠安全港原则传输包括从薪水到健康福利，以及个人绩效评估等方方面面的个人数据。美国公司在欧洲的总销售额高达2.9万亿美元，其中大部分业务需要数字数据的流动，以确保货物发送到目的地，销售收入得到准确记录。这其实已成为世界对数据极度依赖的晴雨表。

　　虽然政府官员和商界领袖认为安全港是现代社会的必需品，但马克斯·施雷姆斯却看到了完全不同的东西。就像安徒生童话中的那个孩子一样，他研究了安全港原则，然后宣称，实际上“这个皇帝没有穿衣服”。

　　施雷姆斯自2008年以来一直是脸书的用户，他以此为基础对爱尔兰数据保护专员提出了投诉。2012年，他已返回维也纳。在与脸书进行了“多达22封电子邮件往来”之后，施雷姆斯收到了一张CD，其中包含一份1200页的PDF（便携式文档格式）文件，全是他的个人数据。他说：“这只是脸书拥有的我的个人数据的1/2或1/3，其中300页还是我已经删除的内容。实际上，每一篇帖子上都标记着‘已删除’。”

　　如他所认为，一项允许脸书以这种方式收集和使用如此多数据的安全港协议，绝对不可能提供欧洲法律所要求的保护。

　　施雷姆斯公开了自己的投诉，辩称安全港原则应该被废除，并在整个欧洲酿成了一个小型媒体话题。脸书迅速派遣了两名欧洲高管前往维也纳，试图说服他重新考虑自己的观点。他们在机场旁边的酒店会议室里待了6个小时，敦促施雷姆斯缩小投诉范围。但他不肯放弃，坚持说他希望爱尔兰专员解决他的疑虑。

　　科技行业和隐私团体的其他人也密切关注着这一问题，但大多数人并不认为施雷姆斯的案件会有什么结果。毕竟，他因为花了太多时间起草投诉书，而不是在圣克拉拉完成他的学期论文，导致这篇论文一直没有完成，不过他得到了教授的延期允许。不久之后，爱尔兰数据保护专员裁决施雷姆斯败诉，并判定基于2000年欧盟委员会的决定，安全港满足了“充分保护水准”的要求。这个案件似乎画上了句号，施雷姆斯也应该回去写他的法学院论文了。不过，他并没有退缩。

　　他的案件最终打到了欧洲法院。2015年10月6日，地狱之门被打开了。

　　当天一大早，我正在佛罗里达州准备和来自拉丁美洲的客户一起参加一个活动，电话突然响起。欧洲法院已经废除了国际安全港隐私原则。法院判定，欧洲国家数据保护当局有权根据该协定对数据传输自行进行评估。实际上，法院赋予独立监管机构更多的权力，它知道这些机构在审查美国的隐私保护行为方面会更加严格。

　　人们立刻开始怀疑，这是否意味着我们将回到数字的黑暗时代。跨大西洋的数据流动现在是否会停止？为了应对这种突发事件，我们已采取其他法律措施，以确保我们的客户能够继续使用我们的服务将其数据进行国际转移。我们竭力安抚客户。在整个科技行业，每个人都尽可能表现得很淡定，但欧洲法院的裁决引发了巨大不安。用一位曾参与过安全港谈判的律师的话来说：“我们不能假设任何事情在目前是安全的。这项裁决非常广泛，任何用于从欧洲传输数据的机制都可能受到威胁。”

　　这一裁定导致了长达数月的激烈谈判。这有点像试图把摔得粉碎的蛋头先生（Humpty Dumpty）重新拼在一起。美国商务部长佩妮·普利茨克和欧洲专员韦拉·朱罗瓦正在努力制定一种更能够令欧洲法院和欧洲各国隐私监管机构满意的方法。2016年1月，我抵达欧盟委员会与朱罗瓦讨论谈判进展，当我在楼下等待出入证时，她突然向我打招呼，令我大吃一惊。她笑着说她刚才出去了一会儿。一位她从未见过的男士在外面认出了她，并走上前说：“我们应该彼此认识一下，我叫马克斯·施雷姆斯。”

　　在国际谈判紧锣密鼓进行的同时，科技行业也做好了最坏的准备。在微软内部，我们探讨了是否可以利用西雅图靠近加拿大的优势，将关键支持转移到我们在温哥华的设施中。这意味着要让雷德蒙德的一些员工来回奔波，但由于法院的裁定不影响加拿大和欧洲之间的数据传输，我们可以确保更无缝的操作。

　　所幸，最终我们免去了这些麻烦。2016年2月初，普利茨克和朱罗瓦宣布达成了一项新的协议。他们用隐私护盾（Privacy Shield）取代了安全港原则，新的协议包含了更高的隐私要求和年度双边审查。微软成为第一家承诺遵守新数据保护要求的科技公司。

　　没有隐私岛

　　一场数据灾难得以避免，但这段插曲揭示了形势已经发生了多么巨大的变化。

　　一方面，它表明没有隐私岛这样的东西——任何人都不能再假设他们所有的数据都在一个国家的边界内。即使是像欧洲这样的大陆，或者像美国这样巨大的经济体，情况也是如此。个人信息被从一个国家转移到另一个国家，用于所有类型的数字交易，而大多数时候人们并没有意识到这一点。

　　这创造了一个新的外部政治杠杆，可能对美国的隐私保护产生深远影响。欧洲法院的成员在事实上授权了欧洲大陆各国的数据保护监管者（他们以对隐私保护的热情承诺而闻名）就更严格的美国隐私保护标准展开谈判。

　　如果还有人怀疑这个目标，那么在欧洲法院2015年的裁决后不久，随着可靠的第一手报告在政府圈子内悄无声息地传阅，这些疑问随即烟消云散。一位曾参与判决过程的欧洲法院成员亲自与欧洲多个国家的隐私监管机构会面，向他们介绍裁决的细节，并就他们如何最大限度地利用这一裁决与白宫和美国商务部进行谈判提供建议。在美国司法和行政部门分立的情况下，这种做法似乎有悖常理。这在欧洲也是不常见的情况，但在世界上其他许多地方却并不奇怪。

　　尽管美国政治领袖们可以发表演讲，谴责欧洲隐私监管机构管得过宽，但有一件事他们不能改变。这就是，美国经济严重依赖于美国企业与其他国家之间进行数据转移的能力。在当今世界，人们可以争论是否要建造一道移民墙来阻止人口流动，但是没有一个国家能够容忍阻止国际数据流动的障碍。这意味着影响美国公司隐私保护做法的跨大西洋谈判已经成为一个经济现实。

　　其最终影响甚至对中国也颇为沉重。随着时间的推移，欧洲的做法可能会导致中国面临越来越大的压力，并将其推到一个重要的十字路口。它可以在不保护境内数据隐私的情况下前进，也可以通过加强与欧洲的经济联系实现发展，但后者不可避免地需要数据流动。同时做到这两者将越来越困难。

　　然而，正如许多人在幸免于难后的反应一样，科技行业对隐私保护谈判结果的第一反应主要是松了一口气。这是另一个唤醒闹铃，但人们再次按下了“止闹”按钮。数据可以继续流动，公司也可以继续做生意。大多数科技公司和政府官员也就乐得将对长期地缘政治影响的深入思考再推迟一天。

　　欧盟的数据保护条例

　　在某些关键方面，这也并非完全不可理解。在2016年剩下的时间里，英国举行了脱欧公投，美国也举行了总统选举，这些都吸引了人们的关注。在几个月内，所有人的关注点都集中在欧洲的另一项隐私保护政策，那就是欧盟实施通用数据保护条例（GDPR）的时间日益临近。

　　GDPR很快成为在科技行业工作的人耳熟能详的一个缩略词。虽然律师使用首字母缩写词来指代政府法规并不罕见，但GDPR开始成为工程师、营销人员和销售人员的日常用语。他们这么做有充分的理由。该法规要求重新设计全球许多科技平台，这不是一项小任务。虽然它不一定是欧盟推出这一法规的目的之一，但它已成为欧洲影响美国和全世界隐私标准的另一种方式。

　　GDPR与许多政府法规不同。大多数情况下，一项法规会告诉公司它不能做什么。例如，不能在广告中包含误导性陈述，或者不能在建筑物中使用石棉。自由市场经济的基本理念鼓励商业创新，并用法规将某些行为限制在一定范围内，在其他方面则让公司有充分的实验自由。

　　GDPR最大的特点之一是，它实际上是一项隐私权利法案。通过赋予消费者某些权利，它要求公司不仅要避免某些做法，还要创建新的业务流程。例如，掌握了个人信息的公司需要让消费者能够访问这些数据。客户有权知道公司都掌握了他们的哪些信息。如果信息不准确，他们有权更改这些信息。他们有权在各种情况下删除它。如果他们愿意，他们有权将信息转移给其他提供商。

　　在很多重要的方面，GDPR类似于数据的大宪章（Magna Carta）。它代表了欧洲隐私保护关键的第二次浪潮。第一次浪潮发生在1995年，其隐私指令要求网站在收集和使用数据之前通知消费者并征得他们的同意。但随着互联网的爆炸，人们被隐私通知淹没，几乎没有时间阅读它们。认识到这一点，欧洲的GDPR要求公司为消费者提供上网查看和控制从中收集的所有数据的实际能力。

　　它对科技的影响如此广泛并不令人奇怪。首先，该法规要求任何拥有数百万客户，或者只有数千名客户的公司，需要确立一个明确的业务流程来管理这些新的客户权利。否则，员工将会以低效率并且几乎肯定是不完整的方式来追踪客户数据，从而将公司带入困境。更重要的是，这一流程需要自动化。为了快速和低成本地遵循GDPR的要求，公司需要以统一的方式访问各种数据孤岛中的客户数据，而这需要技术变革。

　　GDPR面前的微软方案

　　对于像微软这样的多元化科技公司来说，GDPR的影响几乎不可能更强烈了。我们拥有200多项产品和服务，我们的许多工程团队都有权创建和管理自己的后端数据基础架构。尽管这些信息架构有一些相似之处，但在公司不同部门使用的信息架构存在重大差异。

　　我们很快意识到这些差异面对GDPR会有问题。欧盟的消费者将会期望以单一流程将他们在我们所有服务中的所有信息都提取出来，以便他们能够以简单和统一的方式加以检视。要想有效实现这一点，我们的唯一方法是创建一个全新的单一信息架构，涵盖我们的所有服务。换句话说，它要涵盖从office 365到Outlook，再到Xbox Live、Bing、Azure以及Dynamics等所有服务，以及这些服务之间的所有内容。

　　2016年初，我们挑选最优秀的一些软件架构师组成一个团队。在GDPR于2018年5月25日正式生效之前，他们有两年时间，但他们显然没时间可以浪费。

　　这些架构师首先需要得到律师的帮助，以确定GDPR的具体要求是什么。在律师的帮助下，他们制定了一个规范，列出我们的服务需要支持的所有技术功能。然后，架构师们制定了一个新的蓝图，用于处理和存储适用于我们所有服务的信息，并使所需的功能有效。

　　到了8月的最后一周，该计划已准备好提交给萨提亚和公司高层管理团队审查。每个人都知道这一蓝图需要大量的工程工作。我们需要让300多名工程师在该项目上全职工作至少18个月。在GDPR正式实施前的最后6个月，员工的数字将膨胀到数千人。它意味着数亿美元的财务投入。因此这是一个不容错过的会议，有些人为此缩短了他们的假期。

　　工程和法律团队全面讲述了蓝图、时间表和资源分配，并给每个人都留下了深刻印象。在某些方面，它让每个人感到惊讶。随着会议的进行，萨提亚突然大声笑着说：“这难道不是很棒的一件事吗？”他继续说道：“这么多年来，我们几乎从没有可能让公司所有工程师都同意某一个隐私架构。现在监管机构和律师告诉了我们应该怎么做，创建单一架构的工作也变得轻松了很多。”

　　这是一个有趣的观察。工程是一个创造性的过程，而工程师则充满了创意。当两个软件工程团队以不同的方式处理同一个问题时，说服他们调和差异并制定统一的方法可能非常困难。即使差异并不会严重影响具有根本重要性的技术特性，人们也倾向于坚持他们所创造的东西。

　　鉴于微软大型、多元化和授权型的工程结构，这种挑战有时比其他科技公司更大。它过去曾导致我们在多年内维持两个或更多的重叠服务，而这种方法几乎从未取得过太好的效果。相比之下，苹果公司有时依赖其较窄的产品重点和史蒂夫·乔布斯的一言堂式的决策来解决这个问题。略具讽刺意味的是，欧洲监管机构通过明确要求一种需要全面工程妥协的单一方法，反而帮我们解决了这个问题。

　　萨提亚批准了那个计划。然后，他转向大家，并提出了一项新要求。“考虑到我们花了这么多时间和金钱来做出这些改变，我希望不只是为我们自己来做这些，”他说道，“我希望我们作为第一方使用的每项新功能，都能提供给我们的客户作为第三方来使用。”

　　换句话说，我们创建的技术应该可供每个客户使用，从而帮助他们遵守GDPR。在数据主导的世界中，这无疑是一个完全合理的做法，但它也会使工作量增加。屋内的所有工程师都倒吸了一口冷气。他们在离开会议室时知道，他们需要投入更多人力参与这个项目。

　　这种巨大的技术要求有助于解释迅速出现的第二个情况，它具有重要的地缘政治影响。一旦工程工作按照GDPR的要求向前推进，工程师们很难愿意为其他地方创建不同的技术架构，因为维护不同系统的成本和工程的复杂性实在是太高了。

　　这种情况引发了我们与加拿大总理贾斯汀·特鲁多在2018年初进行的一次有趣的对话。当时，萨提亚和我拜见了他和他的一些高级顾问，我们谈到了隐私问题，这一直是加拿大公众关注的一个重要话题。由于特鲁多提到加拿大隐私法可能会发生变化，萨提亚鼓励他干脆采用GDPR中的条款。他们听到这个建议时非常惊讶，但萨提亚解释说，除非具有根本性的差异，否则为了某一个国家维持不同流程或架构的成本可能会超过潜在收益。

　　我们拥抱GDPR的巨大热情让我们与科技行业内其他一些公司的立场迥然不同，它们有时倾向于更强调抱怨监管过于烦琐。尽管我们也发现GDPR的部分内容令人困惑或者更糟，但我们认为，科技行业长期成功的关键之一是维持公众对隐私保护问题的信任。这种理念同样源于我们在20世纪90年代所经历的反垄断诉讼，以及我们为此付出的极高的声誉代价。对潜在有争议的监管问题采取更加平衡的方法可能会使我们的一些科技业同行，甚至一些我们自己的工程师认为我们过于圆滑，但长期经历告诉我，这是一条更明智的道路。

　　然而，科技行业中的一些人经常以美国公众对隐私保护的矛盾心理为理由忽视美国的监管压力。他们会说：“隐私已死。人们只需要忘掉它。”

　　我相信隐私保护问题可能会一直保持平静，直到某天突然爆发。在几乎不存在政治基础来制定更周全方法的情况下，风暴可能随时发生。公众对隐私保护的矛盾心理让我想起了几十年前核工业的经历。

　　整个20世纪70年代，核电工业未能就其技术进步所带来的风险进行有效的公众讨论，这使得公众和政治家们对1979年在宾夕法尼亚州北部三里岛核电站发生的泄漏事故毫无准备。与其他国家不同，由于这场灾难，三里岛事故政治余波不止，使美国的核电站建设陷入停滞。直到34年后，美国才开始兴建另一座核电站。

　　我认为，我们应该吸取这个历史教训，而不是重蹈覆辙。

　　保护我们的个人数据

　　2018年3月，剑桥分析公司的争议突然爆发，无异于隐私保护领域的三里岛事故。脸书用户了解到，他们的个人数据已被这家政治咨询公司获得，用来建立一个针对美国选民的数据库，定向发送旨在支持唐纳德·特朗普的总统竞选活动广告。虽然如此使用个人数据本身违反了脸书的政策，但该公司的合规系统未能发现问题。此类问题往往会引发大量批评，同时让公司无法辩驳。它所能做的就是道歉，正如马克·扎克伯格所做的那样。

　　几周之内，华盛顿特区的公众情绪发生了极大的转变。政界和科技界领袖终于不再对监管嗤之以鼻，而是开始谈论监管不可避免，但他们仍然未能说清他们认为监管法规到底应该做些什么。

　　问题的答案在美国另一端靠近硅谷的一个地方出现了，并引出了我所说的第二个不可能的人，他像马克斯·施雷姆斯一样在这个问题上发挥了主导作用。

　　他是一位美国人，名叫阿拉斯泰尔·麦塔加特，是旧金山湾区的一位房地产开发商。2015年，他在位于加州皮蒙特的家中举办了一个晚宴。皮蒙特是一个浓荫密布的郊区小城，与静悄悄处理大量私人信息的硅谷巨头们隔湾相望。当麦塔加特询问一位客人在谷歌工作的情况时，对方的回答不仅让他很不满意，而且让他觉得非常吓人。

　　科技公司收集了哪些私人数据？它们用它干了些什么？我该如何选择不提供这些数据？如果人们知道谷歌都知道什么，这位工程师回答说：“他们会发疯的。”

　　这场鸡尾酒桌旁的对话开启了一场为期两年、超过300万美元的“十字军东征”。事情过去差不多三年后，我们在旧金山见到了麦塔加特，他告诉我们：“我感觉这非常重要。我想，必须有人为此做点什么。既然这样，那么我可以成为那个做点什么的人。”

　　这位三个孩子的父亲的目的并不是打击科技行业。他是一位成功的商人，坚定地相信自由和开放的市场。毕竟，在科技行业的推动下，该地区飙升的房地产价格让他赚得盆满钵满。但他决心要推动改变，希望有一天能告诉孩子们，他帮助保护了一些珍贵的东西——我们的个人数据。

　　在被麦塔加特和其他一些人称为“商业监视”的时代，我们因为网络搜索、通信、数字定位、购物和社交媒体活动而暴露的个人信息远远多于我们希望分享的。他认为，这赋予十几家科技公司难以置信的权力。他在谈到那些我们无意中以个人信息为代价使用的免费网络工具时表示：“你必须接受它们的隐私条款，否则你就不能使用它们的服务。这些服务是我们得以生活在现代世界的基础，所以我们根本没有选择的余地。”

　　面对缺乏监督的现状，他招募了一些志同道合的支持者，并为加州起草了一项新的隐私法。“我生活在一个受到高度监管的世界，”他在谈论当前的房地产业管理法规和建筑规范时表示，“这是一种健康的环境。法律需要跟上科技的步伐，否则人们将不断突破底线。”

　　麦塔加特从他的房地产业经验中已熟知政府的运作方式。他拥有敏锐的政治触觉，认识到，来自硅谷的反对可能会使加州首府萨克拉门托难以通过一项法律。同理，华盛顿特区也难以通过一项联邦法律。但是加州和美国西部其他一些州一样，存在一个政治上的选择。这些成立于19世纪中后期的州根据宪法规定享有一项权利，如果收集到足够的签名，就可以将一项提案付诸投票，并由选民来做决定。

　　加州在过去曾经成功地借助表决提案进程改变了美国的历史进程。1978年，加州选民通过了第13号提案以限制税收。这一提案降低了加州的房产税，并带来更加广泛的影响。它带动了全国范围内的公众运动，为1980年罗纳德·里根的总统选举增添了动力，并更有力地促进美国缩小政府规模和减税。它创造了一个政治分水岭，这部分是因为每八个美国人中就有一个居住在加州。

　　如果说剑桥分析公司事件相当于三里岛核电站事故，那么阿拉斯泰尔·麦塔加特能完成隐私保护领域的第13号提案吗？

　　很快，似乎我们将得到肯定的答案。麦塔加特收集了两倍以上的签名，可以将提案付诸投票表决。他的民意调查显示，80%的选民从开始时就支持他的提议。他本来还对未能获得剩下20%选民的支持感到失望，直到民意调查人员向他解释，他们从未见过如此高的数字。虽然如果提案正反两方资金充足，最终几乎总是会导致势均力敌的结果，但很明显，如果麦塔加特愿意把他从房地产中挣到的几百万美元多花一些用于有效的宣传活动，那么他有很大的机会在11月的投票中获得成功。

　　在微软内部，我们怀着非常复杂的心情关注着麦塔加特的提案。一方面，我们长期支持美国的隐私立法，包括联邦层面的立法。在联邦贸易委员会前委员，公司隐私和监管事务主管朱莉·布里尔的领导下，我们决定在2018年5月GDPR生效时采取与其他科技公司不同的应对之道。同时我们将GDPR规定的消费者权利提供给全球的所有客户，而非仅限于欧盟成员国的消费者。这种做法让我们获得了一些惊喜的洞察。我们很快发现，美国消费者比欧洲消费者更愿意将这些权利付诸实践，从而证明了我们的看法，即美国将最终转向接受更强的隐私保护权利。

　　我们也发现，麦塔加特提案草案的文本过于复杂，在某些方面令人困惑。我们担心，它在某些地方会导致与GDPR不同的技术要求，并且这些不同的要求其实并没有多大必要。这些问题可以通过立法机构及其详细的起草程序加以解决，但不能通过一项“支持或反对”的全民投票来解决。问题是，应该如何说服所有人不执着于通过11月投票来对提案进行表决，而是转向寻求州议会的立法支持，同时又不会在这个过程中扼杀提案呢？

　　其他科技公司发起了一场筹款运动，以反对这项提案。硅谷认识到，要想取得成功，可能需要筹集超过5000万美元的款项。我们捐了15万美元。这样做既足以保持与同行业其他公司的关系，又不足以让反对提案的努力获得过多动力。

　　最终，这一加州提案宣传所需的巨大资金促使双方愿意坐下来进行谈判。麦塔加特愿意与主要民选官员坐下来讨论立法细节，其他一些科技公司则对该怎么做颇为犹豫。我们派出了两名隐私专家到萨克拉门托，他们几乎夜以继日地努力工作，与立法领袖和麦塔加特的团队共同推敲细节。

　　在最后一刻，立法机关通过了《2018年加利福尼亚消费者隐私法》，州长杰里·布朗很快签署了该法案。这是美国历史上最强有力的隐私法。与GDPR一样，它赋予加州居民权利，可以知道数据公司正在收集他们的哪些个人数据，对销售这些数据说不，并迫使未能保护个人数据的公司承担责任。

　　该法案对全国的影响几乎立刻显现。几周之内，即使华府内部长期抵制全面隐私立法的反对者，也开始找到类似于新信仰的东西。随着加州的水闸打开，很明显其他州也会效仿。商业团体开始游说国会通过一项国家隐私法，该法将优先于（或实际上否决）加州法律和其他州的法规，而不是面对五花八门的各州法规。尽管还有很多未竟之事，但麦塔加特确实已经成功地改变美国对隐私问题的考虑。这是一个重大的成就。

　　当我们在旧金山见到麦塔加特本人时，他给我们留下了深刻的印象。他本来很容易被视作一个威胁——一位想要控制一个已变得过于强大的行业的活动家。但与此相反，我们看到了一个对未来有着多方面思考、和蔼可亲的实用主义者。

　　“一切都尚未结束，”他说道，“在接下来的100年里，我们仍将持续讨论科技与隐私的关系，就像标准石油公司案件后一个多世纪以来，人们仍在持续讨论反垄断法那样。”

　　鉴于在美国司法部拆分标准石油公司80年后，我们公司也经历了一场反垄断风暴并幸存下来，我们能够轻而易举地理解这个比较。同时更重要的是，麦塔加特以历史做比较的做法引发了一些值得深思之处。

　　马克斯·施雷姆斯和阿拉斯泰尔·麦塔加特的共同努力为我们揭示了未来可以吸取的几个重要教训。

　　首先，很难相信像科技行业中某些人在10年或20年前预测的那样，隐私保护会悄无声息地死去。人们已经意识到，他们生活的每一个方面都会留下某种数字足迹。隐私需要得到保护，更强有力的隐私保护法已经不可或缺。美国加入欧盟和其他国家，实施与GDPR类似的隐私保护法律的一天终将到来。

　　我们还有可能在未来几年内看到第三次隐私保护浪潮的出现，特别是在欧洲。正如GDPR回应了人们没有时间阅读大量隐私声明的困境，我们已经听到，人们担心他们没有时间审查根据GDPR在网上调取的所有数据。这可能会促使政府出台新一轮法规，并规范数据的收集和使用。

　　这也意味着科技行业需要在通过技术创新使数据得到更好利用的同时，将更多创新应用于保护隐私。一些新的技术方法已经出现，比如利用加密的数据来推动人工智能技术进步，从而更好地保护隐私。这只是一个开始。

　　最后，施雷姆斯和麦塔加特的经历充分说明了全球民主国家的重要优势和机遇。一个独裁政府的领导人可能会警惕地看待一个法律系学生和一个房地产开发商所拥有的不可预测的能力，这种能力让他们得以颠覆统治我们这个时代的一些极其强大的技术规则。同时，我们还可以从另一个视角看待它，总体而言，这似乎是一个更好的视角。施雷姆斯和麦塔加特成功地借助既定司法和提案程序来纠正他们认为的错误情况。他们的成功体现了一个民主社会的能力，当运行良好时，它能够适应人民不断变化的需要，并以较少破坏而非更大破坏的方式，在需要时改变一个国家的法律。

　　全球经济一体化的性质以及欧洲隐私保护法规的广泛覆盖性会给包括中国在内的其他国家带来压力，迫使它们采取强有力的隐私保护措施。换句话说，欧洲不仅是民主的诞生地，也是隐私保护的摇篮，它很可能是全球隐私保护未来最大的希望。 中信出版2020年度好书-经济管理（套装共12册）