个人信息如何估值？

个人对其信息估值几何，影响到对个人信息保护领域许多重要的问题的判断。一种情况是个人对其信息只估值几分几角，一种情况是估值成百上千。两种情况下，对于个人信息权益是否具有、具有多少财产性，个人信息损害权益赔偿的门槛应有多高，还有个人信息是否属于“琐屑”的权益，等等，对于这些问题的判断自然会有差异。因此，需要测准个人对其信息的估值。

传统的仅基于调查问卷的方法就此难堪实用，反而激起了盘桓许久的所谓“隐私悖论”。[1]两个方向的改进值得瞩目。一是直接研究个人在真实场景中对于信息和钱的选择，特别是通过实验方法来研究选择。二是将调查问卷与实验方法相结合，特别是组合使用激励相容的问卷设计与切实的物质激励——根据问卷的回答给钱。这些研究大多显示用户对其信息的估值不低。研究结果还为设想新制度提出了有趣的方向，比如通过披露个人信息的价值来增强保护。

在真实场景中研究个人对其信息的估值，核心是通过设法观察个人在其信息和一定量的钱之间如何选择。这可以通过两种方法实现。一是巧妙“求全”，寻觅并探析要求个人做出如此痛苦抉择的场景；二则更加“豪横”，通过与互联网平台合作开展实验，同样可以反映个人的真实选择。不过，由于成本和其他许多现实约束，真实场景通常只能研究类型和范围相当有限的个人信息。

“求全”的代表是Kummer和Schulte对安卓商店三十万款应用的经典研究。[2]简单来说，这些应用中很多都是既有免费版也有收费版。收费版通常会索要更多的敏感信息权限。通过探析个人在敏感信息权限不同、价格也不同的应用之间的下载选择，就可以大致估算其对信息的估值。结果是对于单个应用而言，用户选择所显示的、对于单个权限的估值约在0.2-0.3元[3]之间。这一估计结果有很多前提和局限，但也确实体现了单条信息的价值有限。

“豪横”的代表是唐嬛极具影响的、在国内某小额贷款平台上开展的实验研究。[4]因为是实验，可以更加精细地控制个人所面临的信息和价格的选择。通过向个人提供所要求信息不同、贷款手续费也不同的组合，便可观察个人面临“真金白银”时的选择和估值。结果是在这个场景下，个人QQ号和其雇主电话的价值合计价值约230元，约合国内人均日收入的60%。尽管这一目前而言信度最高的研究不易外推至其他场景，但足以证明个人信息并非总是只值毫厘。

综之，无论“求全”还是“豪横”，真实场景中的个人选择都提供了目前信度最高的估计结果，足以作为个人信息保护中不少讨论的基准。不过问题也很明显。寻找场景本已不易，开展实验更是需要天时人和。能够相应估值的信息类型和范围因此非常有限，很难为个人信息保护的讨论提供普遍适用的基准。因此，除非是业界针对大量用户不计成本地开展实验，基于调查问卷的研究仍然存在难以替代的优势。通过采取科学方法，其同样可以达到较高的信度。

结合调查问卷和实验方法研究个人对其信息的估值，核心是设计激励相容的设计和提供真实的物质激励。换句话说，就是面对问卷时，回答准确的估值会是个人的最佳策略；回答之后，也要相应地给参与者付钱。这种研究方法虽然终究难以达到真实场景的信度，但在灵活性方面有很大的优势。一方面是信息类型和范围的选择很灵活，另一方面是可以灵活探究众多影响个人估值的因素。

这类研究几乎总是围绕Becker-DeGroot-Marschak机制（常简称BDM机制）展开。[5]概言之，以个人信息的估值为例：在BDM机制下，个人报告其对信息交易的估值，同时与一个事先取定、个人也知情的随机变量的实现值比较。如果报告值大于实现值，则成交；小于，则不成交。如前，BDM机制是激励相容的——比起报告其他的价值，报告真实估值总是个人的最佳策略。[6]

基于BDM机制的个人信息估值研究已有丰富的成果。首先是对于比较广泛的信息类型和范围实现了估值。Prince和Wallsten即研究了六个国家的个人在十类信息估值上的差异。[7]其中很多具体结论有趣且实用。例如各类信息估值的高低顺序大致是银行账户、指纹和短信数据最高（约50元），联系人、浏览记录、联系人、声纹等居中（约36元），位置、广告等最低（几乎为0）。德国人对信息的估值最高，拉美地区个人则甚至愿意付费看广告。等等。对于不同的信息和主体类型，也有基于BDM机制的细分的发现。例如，女性、少数族裔、低收入群体等弱势群体成员对其信息的估值普遍偏低。[8]

其次是探究了若干对制度实践有意义的、影响个人信息估值的因素。Collins等四位学者的研究可称翘楚。[9]大概来说，首先用一次BDM机制，可以发现个人对其所有脸书信息（包括基本信息、帖子、点赞等）的估值中位数约在5300元。然后随机分组，对于两个实验组分别告知两类信息：一是根据年报，脸书平均而言可以从每个用户身上赚到约2880元；二是根据之前脸书所涉集体诉讼的和解协议，对于每个用户信息泄露的赔偿也是约2880元。然后再用一次BDM机制。结果，无论是告知个人企业通过其信息赚到的钱，还是告知对其信息的赔偿，都会引起个人对其信息估值的显著上升。估值上升在弱势群体中会更加凸显。

综之，结合激励相容的问卷和真实的物质激励以后，更加显示个人对其信息的估值远非“毫厘之间”，而是数十元、数百元或者上千元。这一领域正在或即将诞生的更多研究或将不断巩固这一结论。在此基础上对估值影响因素的进一步研究，既有利形成更深刻的理解，又有利于设计更切实的个人信息保护制度。

 以上从两个角度回顾了个人对其信息估值的研究进展。这当然不是全部的进展。无论是对于个人信息估值的组成，[10]还是更加复杂的选择场景中的个人信息估值，[11]抑或是从处理者角度出发的信息估值，[12]，都有值得关注的进展。总而言之，在面临更加真实选择的场景中，尽管个人对零散信息的估值并不高，对于敏感信息、敏感场景或者大量的个人信息，个人对其估值更多是成百上千，而非几分几角。如此既回答了开头的设问，也部分消除了所谓的“悖论”。

这也为个人信息保护的制度改进提供了两个层面的建议。首先是作为回答若干基础争议的基础。既然成百上千才是更适合作为基准的估值，那么，理应承认个人信息权益具有一定的（甚至可能是相当强的）财产性，对于侵害个人信息权益损害不应设置太高的门槛，法定赔偿金额在数十到数百（千）间都有合理性，个人信息自然也不会是什么“琐屑”的权益。其次是改进具体的制度。比如对于争论已久、但至今效果成疑的个人信息保护中的告知。与其告知越发形式化、且越发繁琐的林林总总项目，同时告知个人信息相应的预期收益或者预期赔偿——或者说告诉个人他们的选择值大几百、大几千，或许有更直接的效果。这种方式确实有些“粗粝”，但对于如此长久的“沉疴”，下一剂“猛药”也很合理。