申 琦,邱 艺

(南京大学 新闻传播学院，南京 210008)

一、问题的提出

个人信息隐私的自由安全流动是关乎个人、网络企业和社会发展的重要问题，是网络经济发展的必要条件之一。近年来，国内外信息隐私保护立法多通过“知情同意”原则来尊重用户的信息隐私决策，保护用户对于个人信息的控制。(1)如欧盟《通用数据保护条例》中第 4 条第(11)款中将数据主体的“同意”定义为：“数据主体通过声明或明确肯定方式，依照其意愿自愿做出的任何具体的、知情的及明确的意思表示”。信息隐私决策(information privacy decision making)，是指个人关于何者、在何种情况下可以收集、传播与自己有关的哪些信息的决定。(2)Alan Westin, Privacy and Freedom, New York: Atheneum 1967；转引自Jennifer King, Privacy, Disclosure, and Social Exchange Theory, Berkeley :University of California 2018, p.5.然而，实际生活中常会出现人们感知到信息隐私风险的存在，却不会做出正确决策采取有效保护行为的“隐私悖论”(privacy paradox)现象。已有研究从隐私计算理论视角，指出个人做信息隐私决策时会进行风险和收益的理性计算。然而这并不能解释为何人们往往并不能很好地控制个人隐私。有研究表明，个人缺乏充分的信息权衡隐私披露后的风险和收益。也常常会因为金钱、服务、便捷等小利，放弃更高程度的隐私保护。(3)Alessandro Acquisti & Jens Grossklags, Privacy and rationality in individual decision making, 3 IEEE security & privacy 26, 33( 2005 ).进一步地，学者们从行为经济学视角出发，考察人们信息隐私决策的有限理性，尝试为我们打开隐私悖论现象背后的认知黑箱。研究认为，做信息隐私决策时个人存在知识和计算能力的局限性。这表现为，个人做信息隐私决策时因信息不完整和不对称、启发式认知、认知偏误等内外部因素，在权衡隐私披露带来的风险和收益时出现错误判断。这一方面，为我们更为细致深入地了解人们的信息隐私决策如何形成，对实际的隐私披露和隐私保护行为产生的影响等，提供了更为丰富的理论观察视角。另一方面，也为解决隐私悖论中“如何帮助人们更好地做信息隐私决策”这一问题，提供了更为切实、可操作的解决方法。然而，如果将隐私悖论问题泛化为个人信息隐私决策心理认知的理性和有限理性，又容易使相关问题的实际解决陷入“个人理性有差异”的无解之地，而规避了企业和管理部门的义务和责任。

有鉴于此，本研究将从如何应对人们信息隐私决策的有限理性入手，通过政府借助人的思维惯性“助推”隐私保护、提供更高程度的知情同意、给予有差别的隐私保护、搭建尊重个人信息隐私决策的社会规范等方面，探讨如何解决隐私悖论问题，实现更为有效的隐私保护。

二、隐私悖论

隐私悖论，是一种“网络用户虽然声称担忧自己的隐私问题，但在实际行动中，还是会更多地披露个人隐私”的现象。(4)李兵、展江：《英语学界社交媒体“隐私悖论”研究》，载《新闻与传播研究》2017年第4期，第98-112页。有关隐私悖论的讨论与研究，发端于20世纪90年代电子商务的大发展时期，(5)王平：《电子商务》，中国传媒大学出版社2018年版，第10页。并伴随着社交媒体发展受到愈来愈多地关注。

20世纪90年代，伴随着电子商务的发展，用户数据成为线上经济的中心和焦点。(6)Sarah Spiekermann, Jens Grossklags & Bettina Berendt, E-privacy in 2nd Generation E-Commerce: Privacy Preferences Versus Actual Behavior, In Proceedings of the 3rd ACM conference on Electronic Commerce 38, 47 (2001).用户数据可以帮助企业更加清晰地了解用户偏好，为其提供个性化服务，也为企业制定更为合适的价格提供参考。但这种对个人数据的收集和精准使用，也引起了人们对于隐私安全的担忧。大量的研究(7)Westin自1970年起围绕隐私偏好开展了一系列调研，并受到了广泛关注。可参考：Ponnurangam Kumaraguru & Lorrie Faith Cranor, Privacy indexes: a survey of Westin's studies, Tech. rep. Carnegie Mellon University School of Computer Science 368, 394 (2005)；也有研究者探讨了Westin的相关发现，并在其研究的基础上发展了对于隐私偏好的研究，比如，Jennifer King, Taken out of context: An empirical analysis of westin’s privacy scale，Workshop on Privacy Personas and Segmentation，2014 (2014).从用户隐私偏好(privacy preferences)(8)指用户对于隐私的关注程度，也有研究将其称为隐私态度(privacy attitudes)或隐私关注(privacy concern)。的视角出发，考察人们对信息隐私的关注和担心程度(privacy concerns)。比如，1999年阿克曼(Ackerman)等通过问卷调研，探究了用户对于隐私的看法以及在特定情境(比如，线上购物情境)下愿意披露隐私的程度，将用户分为隐私原教旨主义者(privacy fundamentalists)、实用主义者(pragmatic majority)和略微关注者(marginally concerned)。原教旨主义者、实用主义者和略微关注者的隐私关注程度依次递减，是否存在隐私保护措施与其隐私关注程度负相关。(9)Mark S. Ackerman, Lorrie Faith Cranor & Joseph Reagle, Privacy in e-commerce: examining user scenarios and privacy preferences, In Proceedings of the 1st ACM Conference on Electronic Commerce 1, 8 (1999).

阿克曼等学者的研究，观察到了实际生活中人们的隐私关注程度存在差异，为后续隐私悖论研究奠定了基础。更为重要的是，研究指出“人们声称的隐私偏好往往与行为不符。虽然39%的受访者声称自己非常关注网络隐私，但根据他们在特定情境下的隐私披露意愿，他们中只有一半可被归类为隐私原教旨主义者”。(10)Mark S. Ackerman, Lorrie Faith Cranor & Joseph Reagle, Privacy in e-commerce: examining user scenarios and privacy preferences, In Proceedings of the 1st ACM Conference on Electronic Commerce 1, 8 (1999).这直接启发了后续研究者对人们实际披露行为和隐私偏好之间差异的考察。

用户的隐私偏好与实际披露行为之间，到底是不是一致的？2001年，施皮克曼(Spiekermann)基于阿克曼的研究，模拟了线上购物产品咨询的情境，考察用户的实际披露行为。研究用拟人化的机器人向购物者提问，如 “您一般在什么样的场合拍照？”“冲洗相片的成本对您而言有多重要？”“促使您拍照的动力主要体现在哪里？”等，引导用户做出隐私披露行为。施皮克曼也将受试者通过问卷法分为了隐私原教旨主义者、实用主义者和略微关注者三类，(11)施皮克曼此研究中对于受试者的分类参照前文提及的阿克曼研究，即非常关注隐私的隐私原教旨主义者、对隐私的关注会因隐私保护措施的存在而降低的实用主义者和几乎不关注隐私的略微关注者。进行隐私偏好与实际披露行为的对比分析，发现24%-28%的隐私原教旨主义者在与机器人交互前就自愿提供了家庭地址，30-40%的实用主义者在没有任何隐私保护措施的情况下就提供了家庭地址。研究证实，用户实际披露的隐私要远远多于其声称的隐私偏好。(12)Sarah Spiekermann, Jens Grossklags & Bettina Berendt, E-privacy in 2nd Generation E-Commerce: Privacy Preferences Versus Actual Behavior, In Proceedings of the 3rd ACM conference on Electronic Commerce 38, 47 (2001).这成为隐私悖论研究的基础。

“隐私悖论”作为术语，首次提出是在社交媒体时代。(13)罗映宇、韦志颖、孙锐：《隐私悖论研究述评及未来展望》，载《信息资源管理学报》2020年第5期，第66-75页。随着社交媒体的普及，隐私披露为个人带来的社会资本、社会支持等利益增多，用户的隐私泄漏也更为严重，引发社会关注。2006年，苏珊·巴恩斯(Susan Barnes)在《首周一》(FirstMonday)发表《隐私悖论：社交网络在美国》(APrivacyParadox:SocialMediainUnitedStates)一文首次提出“隐私悖论”概念。在社交媒体上，即便用户声称担忧网络隐私披露的危险性，依然会在社交媒体上披露过多的信息。例如，有被访者表示她对于在线披露个人信息表示担忧，然而查看其脸书(Facebook)却发现，页面上有她的地址、电话号码和她的小儿子照片。(14)Susan B. Barnes, A privacy paradox: Social networking in the United States, 11 First Monday 4, 9 (2006).

人们担忧个人隐私安全，但还在大量披露个人信息，“隐私悖论”概念的提出引发了新一轮研究热潮，从描述隐私悖论现象，逐渐深入到对隐私悖论成因的探讨。相关研究主要集中在，探究隐私披露带来的信息和娱乐需求的满足、人际关系的维持、社会资本的报偿和在线印象的管理等收益对形成隐私悖论现象的影响。既有的隐私悖论研究关注隐私悖论成因，认为人们选择隐私披露源于对隐私披露收益的偏好，但还存在诸多亟待解答的问题，如，人们真的具有稳定的对于收益的偏好吗？人们在选择隐私披露前是如何衡量风险和收益的？等等。有鉴于此，大量的研究从人们做出信息隐私决策时认知心理过程入手，尝试打开形成隐私悖论现象背后的认知黑箱。

三、打开黑箱：信息隐私决策的理性与有限理性

人们做信息隐私决策时，通常在评估信息隐私披露带来的风险和收益，如果风险大于收益，人们更倾向于选择隐私保护；如果收益大于风险，则人们更倾向于隐私披露。这是一种基于理性判断的决策过程。然而，事实上，个人的信息隐私决策并非完全理性的结果，信息不完整和不对称、个人对于信息的不完全计算和认知偏误都会影响个人对于隐私披露带来的风险和收益的判断。这两种决策过程交织在一起，导致产生自相矛盾且复杂的隐私悖论现象。

(一)信息隐私决策的理性

信息隐私决策的理性学说源自新古典经济学中的“理性人”假设，认为“人是理性的追求自我利益的最大化者”。(15)理查德·A.波斯纳、常鹏：《论隐私权》，载《私法》2011年第2期，第189-215页。也就是说，个人作为决策者有着稳定的偏好、充分的信息和追求最大化利润的目标。20世纪70年代，法经济学者波斯纳(Posner)等将新古典经济学引入信息隐私决策研究。(16)Richard A. Posner, An Economic Theory of Privacy, 2 Regulation 19, 26 (1978).波斯纳将隐私视为一种具有经济价值的消费品，认为人们基于“自我利益之理性的推动”，选择窥探他人信息或者出售和保留个人信息，(17)Richard A. Posner, An Economic Theory of Privacy, 2 Regulation 19, 26 (1978)；理查德·A.波斯纳、常鹏：《论隐私权》，载《私法》2011年第2期，第189-215页。做出“趋利避害”的决定。这启发了新古典经济学在信息隐私决策研究中的进一步发展。

基于理性人假定，库尔兰(Culnan)和阿姆斯特朗(Armstrong)提出了隐私演算(Privacy Caculus)理论，(18)Mary J. Culnan & Pamela K. Armstrong, Information privacy concerns, procedural fairness, and impersonal trust: an empirical investigation, 10 Organization Science 104, 115 (1999).认为个人以理性为指导计算披露个人信息隐私后的风险与收益。(19)谢卫红、常青青、李忠顺：《国外网络隐私悖论研究进展——理论整合与述评》，载《现代情报》2018年第11期，第136-144页。风险与收益的权衡来源于1978年罗杰斯(Rogers)提出的保护动机理论，认为在面对风险或者威胁时，人们会权衡利弊，产生自我保护动机，进而采取应对行为。(20)Ronald W. Rogers, A Protection Motivation Theory of Fear Appeals and Attitude Change, 91 Journal of Psychology 93, 114 (1975), 转引自Donal L. Floyd, Steven Prentice Dunn & Ronald W. Rogers, A Meta-Analysis of Research on Protection Motivation Theory, 30 Journal of Applied Social Psychology, 429 (2000) .虽然隐私演算理论提出的风险与收益计算成为了信息隐私决策研究发展的基石，但是研究忽略了对于理性人假定的验证。事实上，并非所有的信息隐私决策都是对于风险和收益深思熟虑后的结果。例如，有研究通过2(收益是短期的或长期)*2(风险是短期的或者是长期的)实验，(21)此处的短期和长期在该研究者的研究中体现为获得风险和收益所需周期的长或短。在研究中，短期或长期的收益分别用“立刻获得或3-5个月后获得礼物”表示，短期或长期的风险分别用“位置信息和通话信息会在1-2年或未来两周内收集”表示。发现时间影响人们对风险和收益的感知，短期的收益和长期的风险会降低人们的风险感知。(22)David W. Wilson & Joseph S. Valacich, Unpacking the privacy paradox: Irrational decision-making within the privacy calculus, 5 International Conference on Information Systems 4152, 4162 (2012).也有研究通过对294位美国大学生的隐私关注和脸书使用行为开展问卷调研，发现信息不完整会影响个人对于风险和收益的判断，脸书用户会因不了解个人简介的可见范围和可见对象而过度披露信息隐私。(23)Alessandro Acquisti & Ralph Gross, Imagined Communities: Awareness, Information Sharing, and Privacy on the Facebook, Privacy Enhancing Technologies, from 6th International Workshop 36, 58 (2006).

此后，大量的研究发现个人做信息隐私决策时对于理性认知方式的偏离，使得理性人假定遭受批判。(24)可参考：Alessandro Acquisti & Hal R. Varian, Conditioning prices on purchase history, 24 Marketing Science 367, 381 (2004)；刘伟江、王广惠、张朝辉：《电子商务中的价格歧视现象》，载《经济与管理研究》2004年第2期，第57-59页。阿奎斯提(Aquisti)等学者引入行为经济学视角，提出信息隐私决策的有限理性(bounded rationality)，即个人认知和计算能力的局限性。通过挖掘更加接近个人客观实际的心理过程，信息隐私决策的有限理性成为试图揭开人们隐私悖论背后认知黑箱的重要研究路径。

(二)信息隐私决策的有限理性

信息隐私决策的有限理性研究者从人的理性程度、知识水平、计算能力、个人偏好等方面驳斥了信息隐私决策的理性研究。有限理性指个人作为决策者面临的认知局限性，主要指知识和计算能力的局限性。(25)谢卫红、常青青、李忠顺：《国外网络隐私悖论研究进展——理论整合与述评》，载《现代情报》2018年第11期，第136-144页。20世纪50年代起，行为经济学奠基人西蒙(Simon)开展了一项计算机模拟人认知的研究，提出“事实上，人类追求的理性充其量只是完全理性的粗糙和简化的近似值”，(26)Herbert A. Simon, A behavioral model of rational choice, 69 The quarterly journal of economics 99, 118 (1955).个人的分析能力、获取信息的能力、决策时长有限决定了很难有真正意义上的理性人。

在信息隐私决策研究中，2004年，阿奎斯提等学者基于线上问卷调研，否定了理性人假定，指出人们并不会为隐私保护付出过多的精力，反而会因为短期利益而披露隐私。(27)Alessandro Acquisti & Jens Grossklags, Privacy and rationality in individual decision making, 3 IEEE security & privacy 26, 33 (2005).比如，在电子商务价格歧视(28)价格歧视(Prise discrimination)，指卖家基于买家此前的购买记录，了解买家的偏好、需求或者购买习惯，动态调整商品的价格。中，用户对于优惠券、个性化服务等即时利益更加喜爱，对于风险选择性忽略，(29)Alessandro Acquisti & Hal R. Varian, Conditioning prices on purchase history, 24 Marketing Science 367, 381 (2004).表明用户对于风险的计算能力不足。(30)陈国富、李启航：《法律的认知基础、内生偏好与权利保护规则的选择》，载《南开学报(哲学社会科学版)》2013年第4期，第139-147页。也有研究发现，人们易于受到隐私声明表述方式的误导，从而误判隐私披露后的风险和收益。通过调整隐私声明表述的隐私安全程度，研究发现在客观风险一致的情况下，更侧重于表述隐私安全的声明推动了更高程度的隐私披露。(31)Idris Adjerid, Alessandro Acquisti, Laura Brandimarte & George Loewenstein, Sleights of privacy: Framing, disclosures, and the limits of transparency, In Proceedings of the ninth symposium on usable privacy and security 1, 11 (2013).还有研究以购物卡实验发现了个人偏好的不稳定性。(32)Alessandro Acquisti, Laura Brandimarte & George Loewenstein, Privacy and human behavior in the age of information, 347 Science 509, 514 (2015).研究设置两组被试分别持有无需个人信息的匿名卡和关联个人信息的实名卡，分别询问其是否愿意以绑定或解绑个人信息为前提，多得或少得2美元报酬，发现，匿名卡用户更加在意隐私，实名卡用户更加在意金钱。(33)Alessandro Acquisti, Leslie K. John & George Loewenstein, What is privacy worth, 42 The Journal of Legal Studies 249, 274 (2013).

2015年，阿奎斯提归纳了既有研究，指出外部信息环境的不完整和不对称、启发式认知和认知偏误是影响个人信息隐私决策的内外部因素。(34)Alessandro Acquisti, Laura Brandimarte & George Loewenstein, Privacy and human behavior in the age of information, 347 Science 509, 514 (2015).其中，不完整和不对称主要指个人信息不充分以及个人与企业之间信息拥有量的不对等。(35)丁玉海：《论波斯纳与新古典经济学理性的坚持与背离》，载《社会科学家》2010年第9期，第64-67页。比如，在企业与个人的信息交易中，个人对于企业二次销售个人信息并不知情，导致个人利益的受损。(36)Hal R. Varian, Economic aspects of personal privacy, In Cyber Policy and Economics in an Internet Age 127, 137 (2002).启发式认知和认知偏误描述了个人做信息隐私决策时的认知方式，即对于信息的简化处理和对理性决策程式的偏离。

1.信息不完整与不对称的外部环境

信息不对称，来源于阿克洛夫(Akerlof)在探究二手车市场时提出的“柠檬市场”(The Market for “Lemon”)理论。(37)George A. Akerlof, The Market for Lemons: Quality, Uncertainty and the Market Mechanism, 84 Quarterly Journal of Economics 488, 500 (1970).在二手车市场中，卖方比买方更了解旧车的质量信息和市场价值，带来了买卖双方信息的不对称，导致了市场交易的不畅。(38)George A. Akerlof, The Market for Lemons: Quality, Uncertainty and the Market Mechanism, 84 Quarterly Journal of Economics 488, 500 (1970)；转引自[美]乔治·阿克洛夫、[美]迈克尔·斯彭斯 、[美]约瑟夫·斯蒂格利茨：《阿克洛夫、斯彭斯和斯蒂格利茨论文精选》，商务印书馆2002年版，第3页。事实上，做信息隐私决策时，用户常常处于不完整和不对称的外部环境中，带来了用户高估信息隐私决策中的风险，不愿意与企业打交道，或用户未意识到个人信息可能被交换或者是滥用，隐私保护失灵等问题。(39)Janice Y. Tsai, Serge Egelman, Lorrie Cranor & Alessandro Acquisti, The effect of online privacy information on purchasing behavior: an experimental study, 22 Information Systems Research 254, 268 (2007).

在信息隐私决策研究中，信息不完整和不对称可以被理解为用户比企业更不了解数据收集和使用的程度及其带来的收益和风险。(40)Alessandro Acquisti & Jens Grossklags, What can behavioral economics teach us about privacy, Auerbach Publications 385, 400 (2007).很多时候，用户并不了解在签署隐私政策、使用APP时，个人披露的信息有哪些、这些信息被企业以何种手段使用。比如，在社交媒体使用中，用户将个人社交媒体账号视作私人空间，披露生活动态，却并不知晓在这期间用户的个人性别、年龄、位置、受教育程度等信息被企业收集。信息的不对称和不完整使得用户仅能依据不充分的信息做出信息隐私决策，带来了隐私风险和收益的计算偏差和用户隐私保护的不理想。

导致个人与企业之间信息不对称的主要原因，在于信息交换中个人与企业之间的权力不对等关系。个人的信息隐私决策本应当体现为平等的信息交换关系，但是个人与企业之间信息的不对等，引发了个人与企业信息交换的不公平。(41)[美]彼得·M.布劳：《社会生活中的权力与交换》，李国武译，商务印书馆2012年版，第192-200页。具体表现为企业隐私政策的可读性弱、提示信息不完整等问题。如，学者赵静(42)George R. Milne &Mary J. Culnan, Using the Content of Online Privacy Notices to Inform Public Policy: A Longitudinal Analysis of the 1998-2001 US Web Surveys, 18 The Information Society 345, 359 (2002)．、申琦(43)申琦：《我国网站隐私保护政策研究:基于49家网站的内容分析》，载《新闻大学》2015年第4期，第43-50、85页。、邵国松等(44)邵国松、薛凡伟、郑一媛、郑悦：《我国网站个人信息保护水平研究——基于<网络安全法>对我国500家网站的实证分析》，载《新闻记者》2018年第3期，第55-65页。分别对国内外电商、网站等的隐私政策展开分析，发现在文本格式、法律词语和行业术语解释、敏感信息收集是否明示等方面均存在较大问题。更为重要的是，企业发布的隐私政策往往对用户个人信息的二次转让等问题语焉不详，甚至完全回避。这导致用户没有能力预估个人信息提交后面临的风险，更谈不上做信息隐私决策时能够权衡利弊得失，做出理性判断。有研究指出，仅有13%的隐私政策声明，除非得到用户许可，否则原有隐私政策仍然有效，且不会扩散数据利用范围；仅有63%的隐私政策提示用户隐私可能会面对因合作关系或并购需要二次分享的情况。(45)赵静、袁勤俭、陈建辉：《基于内容分析的B2C网络商家隐私政策研究》，载《现代情报》2020年第4期，第101-110页。

信息隐私决策中的风险和不确定性主要指个人对于以下信息的不知情：一是，信息隐私决策会导致哪些信息得到披露，哪些信息得到保留；二是，信息隐私决策会带来怎样的收益或者是风险。(46)Alessandro Acquisti & Jens Grossklags, What can behavioral economics teach us about privacy, Auerbach Publications 385, 400 (2007).如果说，个人信息流动面临着由于权力不对等带来的外部信息不完整和不对称的现实困境。实际上，即便拥有较为完整的信息，个人也可能会采取启发式的认知捷径，难以做出理性的信息隐私决策。

2.启发式的信息隐私决策认知方式

启发式是卡尼曼(Kahneman)和特沃斯基(Tversky)探究个人决策心理认知时提出的，“启发这一术语是指协助寻找各种难题的恰当答案的简单过程，尽管找到的答案往往不完美”。(47)[美]丹尼尔·卡尼曼：《思维，快与慢》，胡晓姣、李爱民、何梦莹译，中信出版社2012年版，第82页。个人做决策时采用的以简单化思考处理复杂问题的认知方式都可以被归纳为启发式，已有研究发现的启发式认知包含代表性、易得性等多种。代表性使人们依据事物突出特点，归纳其所属类别，开展快速判断。易得性指，人们会依托想到相关事例或者是案例的容易程度来判断事件发生的概率。启发式使人们在做信息隐私决策时仅依赖有限的信息，简化测量概率以及预测价值的任务。

个人做信息隐私决策时是否采用启发式认知，受隐私披露的信息类型和收益等因素影响。做信息隐私决策时，人们会对个人信息的重要程度进行排序，进而启动不同的思考方式。比如，曾伏娥等通过问卷法评估了个人对于16类个人信息的关注程度，发现人们更加关注身份证号码、银行卡号码、所在地址、网络浏览记录等信息，而比较不关注性别、现在居住省份等。面对更加关注的信息，人们会谨慎做出隐私披露的决定，反之，则会启用启发式认知，更快决策。企业承诺的收益影响了个人启用何种思维方式。(48)曾伏娥、邹周、陶然：《个性化营销一定会引发隐私担忧吗:基于拟人化沟通的视角》，载《南开管理评论》2018年第5期，第83-92页。高山川等也通过“3* 3”的实验，对于经济收益、个性化服务、安全保障三种收益类型进行了比较，发现相较于经济和个性化服务，企业承诺的安全保障更易触发启发式认知。导致个人做出隐私披露的决定。(49)高山川、王心怡：《网络平台和收益的类型对信息隐私决策的影响》，载《应用心理学》2019年第4期，第364-371页。

收集信息的企业类型、描述风险和收益信息的显著程度等，影响了人们做信息隐私决策时采用怎样的启发式认知以推测风险和收益。比如，有研究通过焦点小组访谈发现，做信息隐私决策时，如果有信用卡公司、苹果公司等专业金融或科技公司作为隐私安全的背书，受访者更易于启用代表性启发式认知，将苹果、专业信用卡公司等视为更具信任的企业，做出隐私披露的决策，忽略了对于个案的理性分析。(50)Andrew Gambino, Jinyoung Kim & S. Shyam Sundar, et al., User disbelief in privacy paradox: Heuristics that determine disclosure, In Proceedings of the 2016 CHI Conference Extended Abstracts on Human Factors in Computing Systems 2837, 2843 (2016).易得性也是用户做信息隐私决策时常启用的启发式认知，如前文提到的更多描述隐私安全的隐私提示会推动更高程度的隐私披露，表明人们更多依赖印象深刻的或者是方便获取的信息推测隐私披露带来的风险和收益。当隐私声明大篇幅描述企业如何保护隐私时，个人会降低对于隐私披露风险的推测，选择更高程度的隐私披露。(51)Idris Adjerid, Alessandro Acquisti, Laura Brandimarte & George Loewenstein, Sleights of privacy: Framing, disclosures, and the limits of transparency, In Proceedings of the ninth symposium on usable privacy and security 1, 11(2013).

启发式认知虽然可以帮助用户做出快速判断，但也会引发认知偏误。比如，代表性启发式易于导致人们失去个案分析能力，产生对于隐私问题的过度轻视或者是过度紧张等不良情绪。布兰迪马特(Brandimarte)等通过操控用户的个人信息发布和访问的控制能力，发现增加用户的感知控制会提升用户的隐私安全假定，增强个人信息披露的意愿，加剧隐私泄露风险。(52)Laura Brandimarte Alessandro Acquisti & George Loewenstein, Misplaced confidences: Privacy and the control paradox, 4 Social psychological and personality science 340, 347 (2013).易得性启发式也导致个人更多接收熟悉且易于理解的信息，降低了个人接收和分析全部信息的可能。比如，谭(Tan)等研究了当企业在申请收集某类信息时，明确解释收集信息的目的对于用户同意的影响，发现比起含糊不清的许可申请，包含明确解释的申请更容易被批准。(53)Joshua Tan, Khanh Nguyen & Michael Theodorides, et al., The effect of developer-specified explanations for permission requests on smartphone user behavior, In Proceedings of the Conference on Human Factors in Computing Systems 91, 100 (2014).

3.导致信息隐私决策有限理性的认知偏误

引发人们产生认知偏误的主要原因在于决策者对于不完整信息的不完全思考。启发式认知为决策者提供了简单快速的认知捷径，但是个人接收和处理信息的不完整也导致其无法理性、客观地对全部信息进行评估和判断，这易于引发决策者对于风险和收益的误判。目前，研究者对于认知偏误展开了探究，提出了双曲贴现(Hyperbolic discounting)、框架效应(Framing)、锚定效应(Anchoring)等理论，用以描述在信息隐私决策时，影响个人推测隐私披露风险和收益的认知偏误。

双曲贴现可以解释为何人们会因即时收益而选择隐私披露。双曲贴现指人们以不一致的方式评估遥远和临近的事件对其造成的影响，(54)Alessandro Acquisti & Jens Grossklags, What can behavioral economics teach us about privacy, Auerbach Publications 385, 400 (2007).认为事件发生的时间越远，事情的获益或损失带给其影响就越小。比如，前文提到的威尔逊(Wilson)等在“2*2”的实验中操纵了获得利益和风险的时长，以“立刻获得或3-5个月后获得礼物”操纵收益，以“位置信息和通话信息会在1-2年或未来两周内收集”操纵风险，发现通过设置即时获得的收益和未来的风险可以有效地降低个人对于隐私披露风险的感知，提升个人对于收益的感知。(55)David W. Wilson & Joseph S. Valacich, Unpacking the privacy paradox: Irrational decision-making within the privacy calculus, 5 International Conference on Information Systems 4152, 4162 (2012).

框架是一种能够引导人们感知和重现现实的认知结构。(56)杜骏飞：《框架效应》，载《新闻与传播研究》2017年第7期，第113-126页。框架效应使人们的信息隐私决策因隐私政策对于风险和收益表达方式的变化而发生变化。(57)李晓明、谭谱：《框架效应的应用研究及其应用技巧》，载《心理科学进展》2018年第12期，第2230-2237页。即便是客观风险和收益一致，在隐私政策中以不同的方式描述隐私披露带来的风险和收益，也会给用户带来不同程度的风险和收益感知。有研究通过操纵APP安装界面表述隐私风险的方式，将一组的隐私风险提示表述为“隐私风险等级70%”，另一组表述为“隐私保护等级30%”，发现以隐私保护程度为依据告知风险更能减少人们下载高风险应用的概率。(58)Siok Wah Tay, Pin Shen Teh & Stephen J. Payne, Reasoning about privacy in mobile application install decisions: risk perception and framing, 145 International Journal of Human-Computer Studies 1, 5 (2020).盖茨(Gates)等的研究也发现，在企业开展风险沟通时，相较于以实心圆圈的个数或以红色、绿色提示用户风险程度，直接展示风险“高”或者“低”和应用的风险得分可以有效告知用户应用的隐私安全程度，引导用户做出符合其隐私期望的信息隐私决策。(59)Christopher S. Gates, Jing Chen, Ninghui Li & Robert W. Proctor, Effective risk communication for android apps, 11 IEEE Transactions on Dependable & Secure Computing 252, 265 (2014).

锚定效应指人们在对某一未知量的价值进行估测之前，总会对这个量有一个预期值，估测结果和人们预期值很相近，就好比沉入海底的锚一样。(60)[美]丹尼尔·卡尼曼：《思维，快与慢》，胡晓姣、李爱民、何梦莹译，中信出版社2012年版，第101-110页。有研究表明，当信息收集方一开始就提出了较高的隐私需求，人们更容易披露敏感的隐私信息。(61)Judee K. Burgoon, Roxanne Parrott & Beth A. Le Poire, et al., Maintaining and restoring privacy through communication in different types of relationships, 6 Journal of Social & Personal Relationships 131, 158 (1989).也就是说，如果企业一开始就要求用户提供更多的个人信息，将会使用户形成较高的隐私披露预期值，用户的隐私披露程度也会更高。有研究表明，在使用社交应用时，新用户也会依据社区用户的信息隐私披露类型和披露程度形成隐私披露的预期值，依据这一预期值调整个人的信息隐私披露程度。(62)高山川、王心怡：《网络平台和收益的类型对信息隐私决策的影响》，载《应用心理学》2019年第4期，第364-371页。

信息隐私决策的有限理性研究深入挖掘了个人做信息隐私决策时的心理过程，弥补了隐私演算研究的不足，为发现隐私悖论问题背后的认知黑箱做出了重要贡献。有限理性不仅从个人做信息隐私决策时的认知心理视角，引入启发式认知和认知偏误相关理论，为隐私悖论研究描摹了更加真实的个人做信息隐私决策时的认知心理状态；也指出了用户做信息隐私决策时存在的外部信息受限，个人的认知和计算能力不足等问题，说明用户无法真正做到理性的管理和保护个人信息隐私这一现实困境。

四、解决隐私悖论何以能

(一)政府 “助推”理性决策

“助推”是指，以结果可预测的方式，推动易于犯错的决策者做出更加有益的决策。(63)黄立君：《理查德·塞勒对行为法和经济学的贡献》，载《经济学动态》2017年第12期，第133-143页。已有慈善、公共行为的大量案例表明，通过微小改变，可以减少人们的风险行为，推动更多有益决策。将复杂的隐私政策化为简洁易懂的信息以应对启发式认知带来的不确定性，或借助公众的认知偏误因势利导，使其做出更加有益的决策，一定程度上能够“助推”公众做出更为积极、有效的隐私保护行为。比如，腾讯公司、苹果公司等都以加粗、分段、图解或弹出对话框等形式将隐私政策解读得更加清晰，以隐私政策简明易懂为手段，实现了帮助公众更加完整地理解风险和收益的目的，应对启发式认知引发的认知偏误。(64)腾讯：《腾讯隐私保护平台》， https://privacy.qq.com/，2020年6月21日访问；百度：《当 iPhone 关闭用户画像，腾讯升级隐私保护，我们变成“隐形人”》，https://baijiahao.baidu.com/s?id=1702814272208664232&wfr=spider&for=pc，2020年6月21日访问。

需要注意的是，政府主导的企业“助推”，应当着力于在用户开展信息隐私决策的多个环节上发力。学者阿奎斯提认为，“助推”可以体现六个环节：(1)信息：减少信息不对称，帮助用户获知更加真实的风险；(2)展示：在使用界面上呈现更多必要的情境提示，以减轻用户的认知负担；(3)默认选项：根据用户的期望配置系统，减少用户的工作量；(4)激励：鼓励用户依据自身的隐私偏好，做出信息隐私决策；(5)错误可纠正：减少决策偏误带来的影响；(6)时机：选择合适的“助推”时机。(65)Alessandro Acquisti, Idris Adjerid & Rebecca Balebako, et al., Nudges for privacy and security: understanding and assisting users’ choices online, 50 ACM Computing Surveys 25, 44 (2017).我国政府可以借鉴上述方案。比如，为帮助用户获得更加充分的信息，可在APP启动时针对不同类型的信息分别设计弹窗告知用户企业信息收集的目的和潜在风险，以应对用户易于启用启发式认知、对信息不完全接收和处理的现状。在APP使用界面的展示上，利用框架效应研究的发现，可在下载界面以评分或者是五星量表准确传达风险，以有效避免用户下载高隐私风险的应用。(66)Christopher S. Gates, Jing Chen, Ninghui Li & Robert W. Proctor, Effective risk communication for android apps, 11 IEEE Transactions on Dependable & Secure Computing 252, 265 (2014).在“助推”时机的选择上，将隐私提示后置到用户使用APP中可以有效提升用户对于信息收集的知情程度和管理个人信息的能力。(67)顾理平、俞立根：《手机应用模糊地带的公民隐私信息保护——基于五大互联网企业手机端的隐私政策分析》，载《当代传播》2019年第2期，第77-80页。比如，华为手机就在APP调用麦克风、位置信息、摄像头时给予用户提示并且征求用户的同意。

(二)立法全面落实知情同意

当前，我国隐私保护在立法上多遵循知情同意原则，然而知情同意原则在隐私保护实践中面临着困境。主要体现在，企业告知形式化，用户的知情难以实现。我国在2016年《网络安全法》、2019年《APP违法违规收集个人信息行为认定办法》等法律法规中要求企业在信息收集前应当告知用户个人信息的目的、方式、范围，但是绝大部分企业的“告知”依旧停留在形式化层面，不求完整准确的信息传达。最新的《个人信息保护法》第十七条也对于信息收集前企业应当告知的事项进行了规定，但不够细致，且评估、惩罚的标准不明。因而，从隐私政策的全面性入手，政府应当健全评估机制规，范企业隐私政策的内容。除了事后检查下架，还要将其列为事前准入标准。也就是说，通过立法要求，如果企业发布的信息隐私政策不能覆盖法规强调的明示内容，保证公众能够阅读和理解，将不能进入应用市场收集和使用用户个人信息。除此之外，从信息隐私政策的可读性入手，我国还应当制定相关细则规范隐私政策的文本长度、排版和结构层次、语义表述方式，减轻用户的阅读压力。从排版和结构层次来看，控制行距和字符大小，将重点字符加粗都会对于用户的文本阅读效果带来正面影响。从语义表述来看，为文章划分正确的层次结构，在文章中通过导语和小标题概括文章内容会带来更好的阅读体验。(68)朱侯、张明鑫、路永和：《社交媒体用户隐私政策阅读意愿实证研究》，载《情报学报》2018年第4期，第362-371页。

进一步，我国还要推动信息删除权、数据迁移权的落地，为用户的信息隐私决策提供预后措施。目前，我国《网络安全法》《个人信息保护法》等均对于企业履行个人信息删除权和数据迁移权的义务进行了规定。然而，这两项权益依然存在不足。如《个人信息保护法》等对将个人有权删除的信息仅限于存在侵权或非服务需要的信息。未来，可以考虑是否应当将个人有权删除的内容扩展到期望“被互联网遗忘”的信息和被他人复制、转载的信息。(69)徐航：《<个人信息保护法(草案)>视域下信息删除权的建构》，载《学习论坛》2021年第3期，第131-136页。

(三)平台实现差别的隐私保护

信息隐私决策的有限理性指出，隐私悖论是动态的、因人而异的现象，因人们的知识背景、计算能力和信息隐私决策情境的差异存在不同。然而，如果解决隐私悖论问题需要落到每个情境、每个个体身上去讨论，将使得隐私悖论问题落入繁琐复杂的无解境地。对此，面向不同的隐私保护主体，可根据不同人群心理认知差异，制定有差别的信息隐私保护方案。(70)需要注意的是，有研究提出对我国公民的隐私保护可以采取分级保护方案。这一提法不妥。我国隐私保护立法从人格权和公民自由权两个维度体现对于公民隐私权的保护，认为隐私权为一切人所享有，生而为人就具有的权利，在隐私政策的立法中体现出了对于全体公民的关照。分级一说，会让公众产生在隐私保护立法方面，不能体现人人平等之误解。可参见：王敏：《大数据时代如何有效保护个人隐私?——一种基于传播伦理的分级路径》，载《新闻与传播研究》2018年第11期，第69-92、127-128页；姚瑶、顾理平：《对隐私主体分级理论缺陷的修正——兼与王敏商榷》，载《新闻与传播研究》2019年第10期，第55-66、127页。具体的做法为：针对女性、儿童和老人做出隐私政策相关规定，鼓励网络企业平台推出有差别的隐私政策，以避免隐私风险。如2021年上海推出了《上海市互联网适老化和无障碍设计规范》，在安全性(如无诱导付款按键、最小化收集个人信息)、内容可理解性(如减少专业词汇和新词语)和无障碍设计(如段落行距、文本颜色、文本大小)等方面都进行了适老化规定。借鉴相关做法，面向老年人、儿童和女性的隐私政策不应当要求其提供照片、财产、身份信息、地理位置等敏感信息；通过减少专业词汇的应用，增加必要的专业词汇的解读，规定段落行距等方式，提升隐私政策文本的可读性，实现有差别的隐私保护。建议企业可以事先询问用户希望得到什么样的信息隐私保护，通过用户自我认定，决定其是否需要企业提供有差别的隐私保护。在保护方法上，企业对不同人群制定有差别隐私保护政策，实施有差别的隐私保护办法等更为可行。实际上，在隐私侵权行为的实际司法判决中，也会根据隐私权主张者的实际情况不同而采取有差别的删除、更正或者是承担侵权责任等措施。(71)李永军：《论<民法总则>中个人隐私与信息的“二元制”保护及请求权基础》，载《浙江工商大学学报》2017年第3期，第10-21页。因此，企业制定有差别的隐私保护政策，也有利于实际纠纷中“面向不同权利主体，如何定性其隐私侵权程度”这一问题的解决。

(四)社会形成尊重个人信息隐私决策的规范

人工智能技术环境下，个人信息隐私将迎来更彻底和更深层次的“裸奔”。人们通过各种智能设备披露个人信息以获得生活便利和更多利益的同时，也在面临隐私泄露的风险，引发新一轮的隐私悖论问题。(72)杜丹：《技术中介化系统:移动智能媒介实践的隐私悖论溯源》，载《现代传播(中国传媒大学学报)》2020年第9期，第68-72页。对此，应在整个社会层面上建立“隐私应当由个人自己控制”的社会共识，搭建尊重个人信息决策的社会规范。信息隐私决策的有限理性提出，人们做信息隐私决策时决策偏误难以避免。在新信息技术的发展下，决策偏误更会将个人拉入全景敞视的监狱中，面临个人信息安全全面崩塌的威胁。学者戴昕提出，需要以“看破不说破”搭建信息隐私保护的社会规范围墙。(73)戴昕：《“看破不说破”：一种基础隐私规范》，载《学术月刊》2021年第4期，第104-117页。也就是说，公众发生隐私披露行为，并不意味着公众乐意个人信息为企业大肆收集和转让，为他人广泛传播；也并不意味着公众的隐私保护仅能依赖品尝隐私泄露的痛楚后的法律武器，而应当要求国家、企业、个人积极地采取“看破不说破”的社会规范，依据实际情况面向信息主体或者第三者对其个人信息进行遮盖以满足公众信息隐私保护的基本期待。“看破不说破”既是一种积极的保护公众独处自由和人格尊严的体现，也以限制信息流通适应了网络空间不同情境下动态的、弹性的信息流通规范。在具体操作中，对于个人而言，“看破不说破”点明了公众难以做出信息隐私决策的窘境和在隐私保护中的被动处境。对此，个人需要着力于提升隐私安全素养，主动发现并提出隐私保护诉求。对于平台企业而言，不可利用公众易于产生决策偏误的问题，大肆收集和传播用户的个人信息，而是应当主动承担信息隐私保护的责任。

五、结语

打开隐私悖论背后的认知黑箱，可以看到，个人并没有充分的信息、知识和计算能力来全面、清晰地认识到隐私披露会带来哪些风险和收益，从而做出理性的信息隐私决策。这提醒我们，若想推动更高程度的信息隐私保护，仅仅依靠个人控制难以实现，还需要依靠政府和平台的共同推动。未来，在立法之外信息隐私保护还需要更多通过司法解释和判例灵活指导相关法律的落定运行。如，刚颁布的《个人信息保护法》尽管提出了公众享有信息删除权，却并未明确公众应当如何行使信息删除权，这使得信息删除权的认定和行使存在困难。同时，政府可以从推动更多的平台公开信息收集的规则入手，以更好地帮助个人明确在选择“接受”或“拒绝”后，个人接受的服务会产生哪些变化或个人的信息收集和使用方式会产生哪些变化，推动个人做出更符合其隐私期望的信息隐私决策。网络企业平台方面，应该承担更多帮助用户详细知情，做出合理科学同意的责任。近期，美团公布了算法运算的规则，给予用户了解到美团外卖的送达时间如何计算的途径。(74)美团：《让外卖配送算法更透明，让更多声音参与改变》， https://mp.weixin.qq.com/s/LgXP2IRbyidRSSH9U7q5RQ，2021年9月23日访问。尽管美团公开的仅仅是一些公众难以理解的抽象的代码，但也算是勇敢走出了第一步。在隐私悖论的研究方面，未来还应当进一步考虑，新技术带来的新场景是否会触发更多新形式的信息隐私决策，各因素之间又会如何相互作用等问题。