个人信息如何估值?

阅读量156048

发布时间 : 2022-11-01 16:00:10

 

朱悦  对外经济贸易大学数字经济与法律创新中心研究员
 

个人对其信息估值几何,影响到对个人信息保护领域许多重要的问题的判断。一种情况是个人对其信息只估值几分几角,一种情况是估值成百上千。两种情况下,对于个人信息权益是否具有、具有多少财产性,个人信息损害权益赔偿的门槛应有多高,还有个人信息是否属于“琐屑”的权益,等等,对于这些问题的判断自然会有差异。因此,需要测准个人对其信息的估值。

传统的仅基于调查问卷的方法就此难堪实用,反而激起了盘桓许久的所谓“隐私悖论”。[1]两个方向的改进值得瞩目。一是直接研究个人在真实场景中对于信息和钱的选择,特别是通过实验方法来研究选择。二是将调查问卷与实验方法相结合,特别是组合使用激励相容的问卷设计与切实的物质激励——根据问卷的回答给钱。这些研究大多显示用户对其信息的估值不低。研究结果还为设想新制度提出了有趣的方向,比如通过披露个人信息的价值来增强保护。

 在真实场景中研究信息估值

在真实场景中研究个人对其信息的估值,核心是通过设法观察个人在其信息和一定量的钱之间如何选择。这可以通过两种方法实现。一是巧妙“求全”,寻觅并探析要求个人做出如此痛苦抉择的场景;二则更加“豪横”,通过与互联网平台合作开展实验,同样可以反映个人的真实选择。不过,由于成本和其他许多现实约束,真实场景通常只能研究类型和范围相当有限的个人信息。

“求全”的代表是Kummer和Schulte对安卓商店三十万款应用的经典研究。[2]简单来说,这些应用中很多都是既有免费版也有收费版。收费版通常会索要更多的敏感信息权限。通过探析个人在敏感信息权限不同、价格也不同的应用之间的下载选择,就可以大致估算其对信息的估值。结果是对于单个应用而言,用户选择所显示的、对于单个权限的估值约在0.2-0.3元[3]之间。这一估计结果有很多前提和局限,但也确实体现了单条信息的价值有限。

“豪横”的代表是唐嬛极具影响的、在国内某小额贷款平台上开展的实验研究。[4]因为是实验,可以更加精细地控制个人所面临的信息和价格的选择。通过向个人提供所要求信息不同、贷款手续费也不同的组合,便可观察个人面临“真金白银”时的选择和估值。结果是在这个场景下,个人QQ号和其雇主电话的价值合计价值约230元,约合国内人均日收入的60%。尽管这一目前而言信度最高的研究不易外推至其他场景,但足以证明个人信息并非总是只值毫厘。

综之,无论“求全”还是“豪横”,真实场景中的个人选择都提供了目前信度最高的估计结果,足以作为个人信息保护中不少讨论的基准。不过问题也很明显。寻找场景本已不易,开展实验更是需要天时人和。能够相应估值的信息类型和范围因此非常有限,很难为个人信息保护的讨论提供普遍适用的基准。因此,除非是业界针对大量用户不计成本地开展实验,基于调查问卷的研究仍然存在难以替代的优势。通过采取科学方法,其同样可以达到较高的信度。

 结合调查问卷和实验方法研究信息估值

结合调查问卷和实验方法研究个人对其信息的估值,核心是设计激励相容的设计和提供真实的物质激励。换句话说,就是面对问卷时,回答准确的估值会是个人的最佳策略;回答之后,也要相应地给参与者付钱。这种研究方法虽然终究难以达到真实场景的信度,但在灵活性方面有很大的优势。一方面是信息类型和范围的选择很灵活,另一方面是可以灵活探究众多影响个人估值的因素。

这类研究几乎总是围绕Becker-DeGroot-Marschak机制(常简称BDM机制)展开。[5]概言之,以个人信息的估值为例:在BDM机制下,个人报告其对信息交易的估值,同时与一个事先取定、个人也知情的随机变量的实现值比较。如果报告值大于实现值,则成交;小于,则不成交。如前,BDM机制是激励相容的——比起报告其他的价值,报告真实估值总是个人的最佳策略。[6]

基于BDM机制的个人信息估值研究已有丰富的成果。首先是对于比较广泛的信息类型和范围实现了估值。Prince和Wallsten即研究了六个国家的个人在十类信息估值上的差异。[7]其中很多具体结论有趣且实用。例如各类信息估值的高低顺序大致是银行账户、指纹和短信数据最高(约50元),联系人、浏览记录、联系人、声纹等居中(约36元),位置、广告等最低(几乎为0)。德国人对信息的估值最高,拉美地区个人则甚至愿意付费看广告。等等。对于不同的信息和主体类型,也有基于BDM机制的细分的发现。例如,女性、少数族裔、低收入群体等弱势群体成员对其信息的估值普遍偏低。[8]

其次是探究了若干对制度实践有意义的、影响个人信息估值的因素。Collins等四位学者的研究可称翘楚。[9]大概来说,首先用一次BDM机制,可以发现个人对其所有脸书信息(包括基本信息、帖子、点赞等)的估值中位数约在5300元。然后随机分组,对于两个实验组分别告知两类信息:一是根据年报,脸书平均而言可以从每个用户身上赚到约2880元;二是根据之前脸书所涉集体诉讼的和解协议,对于每个用户信息泄露的赔偿也是约2880元。然后再用一次BDM机制。结果,无论是告知个人企业通过其信息赚到的钱,还是告知对其信息的赔偿,都会引起个人对其信息估值的显著上升。估值上升在弱势群体中会更加凸显。

综之,结合激励相容的问卷和真实的物质激励以后,更加显示个人对其信息的估值远非“毫厘之间”,而是数十元、数百元或者上千元。这一领域正在或即将诞生的更多研究或将不断巩固这一结论。在此基础上对估值影响因素的进一步研究,既有利形成更深刻的理解,又有利于设计更切实的个人信息保护制度。

 结语和余论
 

 以上从两个角度回顾了个人对其信息估值的研究进展。这当然不是全部的进展。无论是对于个人信息估值的组成,[10]还是更加复杂的选择场景中的个人信息估值,[11]抑或是从处理者角度出发的信息估值,[12],都有值得关注的进展。总而言之,在面临更加真实选择的场景中,尽管个人对零散信息的估值并不高,对于敏感信息、敏感场景或者大量的个人信息,个人对其估值更多是成百上千,而非几分几角。如此既回答了开头的设问,也部分消除了所谓的“悖论”。

这也为个人信息保护的制度改进提供了两个层面的建议。首先是作为回答若干基础争议的基础。既然成百上千才是更适合作为基准的估值,那么,理应承认个人信息权益具有一定的(甚至可能是相当强的)财产性,对于侵害个人信息权益损害不应设置太高的门槛,法定赔偿金额在数十到数百(千)间都有合理性,个人信息自然也不会是什么“琐屑”的权益。其次是改进具体的制度。比如对于争论已久、但至今效果成疑的个人信息保护中的告知。与其告知越发形式化、且越发繁琐的林林总总项目,同时告知个人信息相应的预期收益或者预期赔偿——或者说告诉个人他们的选择值大几百、大几千,或许有更直接的效果。这种方式确实有些“粗粝”,但对于如此长久的“沉疴”,下一剂“猛药”也很合理。

【参考文献】:
[1] 相关研究早已汗牛充栋。新近讨论之一,可参见Solove, Daniel J. “The myth of the privacy paradox.” Geo. Wash. L. Rev. 89 (2021): 1.
[2] 参见Kummer, Michael, and Patrick Schulte. “When private information settles the bill: Money and privacy in Google’s market for smartphone applications.” Management Science 65.8 (2019): 3470-3494.
[3] 已按近期汇率折算为人民币,下同。
[4] 参见Tang, Huan. “The Value of Privacy: Evidence from Online Borrowers.” (2021).
[5] 参见Becker, Gordon M., Morris H. DeGroot, and Jacob Marschak. “Measuring utility by a single‐response sequential method.” Behavioral Science 9.3 (1964): 226-232.当然,只有在满足相应的前提(尽管可以认为是相对宽松的前提)时,BDM机制的激励相容性才会成立。
[6] 注意到这实际是模拟了一个两人参与的二价拍卖,这一性质是直观的。
[7] 参见Prince, Jeffrey T., and Scott Wallsten. “How much is privacy worth around the world and across platforms?” Journal of Economics & Management Strategy (2020).
[8] 参见Collis, Avinash, et al. “Information Frictions and Heterogeneity in Valuations of Personal Data.” (2022).
[9] 参见Collis, Avinash, et al. “Information Frictions and Heterogeneity in Valuations of Personal Data.” (2022).
[10] 例如,参见Lin, Tesary. “Valuing intrinsic and instrumental preferences for privacy.” Marketing Science (2022).
[11] 例如,参见Ichihashi, Shota. “Dynamic privacy choices.” Proceedings of the 21st ACM Conference on Economics and Computation. 2020.
[12] 例如,参见Abis, Simona, et al. “Privacy Laws and Value of Personal Data. ” (2022).

本文转载自: 数字经济与社会

如若转载,请注明出处: https://mp.weixin.qq.com/s/17Kk0X1W8ZBKd8cIx8KdPQ

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66