Redian新闻
>
朱悦|个人信息如何估值?

朱悦|个人信息如何估值?

公众号新闻
每天两块钱,实时获取全球数据合规风险预警
如需学习数据合规体系及DPIA、数据跨境等工具,加入小圈子免费下载!

👇

朱悦  对外经济贸易大学数字经济与法律创新中心研究员

个人对其信息估值几何,影响到对个人信息保护领域许多重要的问题的判断。一种情况是个人对其信息只估值几分几角,一种情况是估值成百上千。两种情况下,对于个人信息权益是否具有、具有多少财产性,个人信息损害权益赔偿的门槛应有多高,还有个人信息是否属于“琐屑”的权益,等等,对于这些问题的判断自然会有差异。因此,需要测准个人对其信息的估值。
传统的仅基于调查问卷的方法就此难堪实用,反而激起了盘桓许久的所谓“隐私悖论”。[1]两个方向的改进值得瞩目。一是直接研究个人在真实场景中对于信息和钱的选择,特别是通过实验方法来研究选择。二是将调查问卷与实验方法相结合,特别是组合使用激励相容的问卷设计与切实的物质激励——根据问卷的回答给钱。这些研究大多显示用户对其信息的估值不低。研究结果还为设想新制度提出了有趣的方向,比如通过披露个人信息的价值来增强保护。


 在真实场景中研究信息估值
在真实场景中研究个人对其信息的估值,核心是通过设法观察个人在其信息和一定量的钱之间如何选择。这可以通过两种方法实现。一是巧妙“求全”,寻觅并探析要求个人做出如此痛苦抉择的场景;二则更加“豪横”,通过与互联网平台合作开展实验,同样可以反映个人的真实选择。不过,由于成本和其他许多现实约束,真实场景通常只能研究类型和范围相当有限的个人信息。
“求全”的代表是Kummer和Schulte对安卓商店三十万款应用的经典研究。[2]简单来说,这些应用中很多都是既有免费版也有收费版。收费版通常会索要更多的敏感信息权限。通过探析个人在敏感信息权限不同、价格也不同的应用之间的下载选择,就可以大致估算其对信息的估值。结果是对于单个应用而言,用户选择所显示的、对于单个权限的估值约在0.2-0.3元[3]之间。这一估计结果有很多前提和局限,但也确实体现了单条信息的价值有限。
“豪横”的代表是唐嬛极具影响的、在国内某小额贷款平台上开展的实验研究。[4]因为是实验,可以更加精细地控制个人所面临的信息和价格的选择。通过向个人提供所要求信息不同、贷款手续费也不同的组合,便可观察个人面临“真金白银”时的选择和估值。结果是在这个场景下,个人QQ号和其雇主电话的价值合计价值约230元,约合国内人均日收入的60%。尽管这一目前而言信度最高的研究不易外推至其他场景,但足以证明个人信息并非总是只值毫厘。
综之,无论“求全”还是“豪横”,真实场景中的个人选择都提供了目前信度最高的估计结果,足以作为个人信息保护中不少讨论的基准。不过问题也很明显。寻找场景本已不易,开展实验更是需要天时人和。能够相应估值的信息类型和范围因此非常有限,很难为个人信息保护的讨论提供普遍适用的基准。因此,除非是业界针对大量用户不计成本地开展实验,基于调查问卷的研究仍然存在难以替代的优势。通过采取科学方法,其同样可以达到较高的信度。


 结合调查问卷和实验方法研究信息估值
结合调查问卷和实验方法研究个人对其信息的估值,核心是设计激励相容的设计和提供真实的物质激励。换句话说,就是面对问卷时,回答准确的估值会是个人的最佳策略;回答之后,也要相应地给参与者付钱。这种研究方法虽然终究难以达到真实场景的信度,但在灵活性方面有很大的优势。一方面是信息类型和范围的选择很灵活,另一方面是可以灵活探究众多影响个人估值的因素。
这类研究几乎总是围绕Becker-DeGroot-Marschak机制(常简称BDM机制)展开。[5]概言之,以个人信息的估值为例:在BDM机制下,个人报告其对信息交易的估值,同时与一个事先取定、个人也知情的随机变量的实现值比较。如果报告值大于实现值,则成交;小于,则不成交。如前,BDM机制是激励相容的——比起报告其他的价值,报告真实估值总是个人的最佳策略。[6]
基于BDM机制的个人信息估值研究已有丰富的成果。首先是对于比较广泛的信息类型和范围实现了估值。Prince和Wallsten即研究了六个国家的个人在十类信息估值上的差异。[7]其中很多具体结论有趣且实用。例如各类信息估值的高低顺序大致是银行账户、指纹和短信数据最高(约50元),联系人、浏览记录、联系人、声纹等居中(约36元),位置、广告等最低(几乎为0)。德国人对信息的估值最高,拉美地区个人则甚至愿意付费看广告。等等。对于不同的信息和主体类型,也有基于BDM机制的细分的发现。例如,女性、少数族裔、低收入群体等弱势群体成员对其信息的估值普遍偏低。[8]
其次是探究了若干对制度实践有意义的、影响个人信息估值的因素。Collins等四位学者的研究可称翘楚。[9]大概来说,首先用一次BDM机制,可以发现个人对其所有脸书信息(包括基本信息、帖子、点赞等)的估值中位数约在5300元。然后随机分组,对于两个实验组分别告知两类信息:一是根据年报,脸书平均而言可以从每个用户身上赚到约2880元;二是根据之前脸书所涉集体诉讼的和解协议,对于每个用户信息泄露的赔偿也是约2880元。然后再用一次BDM机制。结果,无论是告知个人企业通过其信息赚到的钱,还是告知对其信息的赔偿,都会引起个人对其信息估值的显著上升。估值上升在弱势群体中会更加凸显。
综之,结合激励相容的问卷和真实的物质激励以后,更加显示个人对其信息的估值远非“毫厘之间”,而是数十元、数百元或者上千元。这一领域正在或即将诞生的更多研究或将不断巩固这一结论。在此基础上对估值影响因素的进一步研究,既有利形成更深刻的理解,又有利于设计更切实的个人信息保护制度。


 结语和余论

 以上从两个角度回顾了个人对其信息估值的研究进展。这当然不是全部的进展。无论是对于个人信息估值的组成,[10]还是更加复杂的选择场景中的个人信息估值,[11]抑或是从处理者角度出发的信息估值,[12],都有值得关注的进展。总而言之,在面临更加真实选择的场景中,尽管个人对零散信息的估值并不高,对于敏感信息、敏感场景或者大量的个人信息,个人对其估值更多是成百上千,而非几分几角。如此既回答了开头的设问,也部分消除了所谓的“悖论”。

这也为个人信息保护的制度改进提供了两个层面的建议。首先是作为回答若干基础争议的基础。既然成百上千才是更适合作为基准的估值,那么,理应承认个人信息权益具有一定的(甚至可能是相当强的)财产性,对于侵害个人信息权益损害不应设置太高的门槛,法定赔偿金额在数十到数百(千)间都有合理性,个人信息自然也不会是什么“琐屑”的权益。其次是改进具体的制度。比如对于争论已久、但至今效果成疑的个人信息保护中的告知。与其告知越发形式化、且越发繁琐的林林总总项目,同时告知个人信息相应的预期收益或者预期赔偿——或者说告诉个人他们的选择值大几百、大几千,或许有更直接的效果。这种方式确实有些“粗粝”,但对于如此长久的“沉疴”,下一剂“猛药”也很合理。


【参考文献】:
[1] 相关研究早已汗牛充栋。新近讨论之一,可参见Solove, Daniel J. "The myth of the privacy paradox." Geo. Wash. L. Rev. 89 (2021): 1.
[2] 参见Kummer, Michael, and Patrick Schulte. "When private information settles the bill: Money and privacy in Google’s market for smartphone applications." Management Science 65.8 (2019): 3470-3494.
[3] 已按近期汇率折算为人民币,下同。
[4] 参见Tang, Huan. "The Value of Privacy: Evidence from Online Borrowers." (2021).
[5] 参见Becker, Gordon M., Morris H. DeGroot, and Jacob Marschak. "Measuring utility by a single‐response sequential method." Behavioral Science 9.3 (1964): 226-232.当然,只有在满足相应的前提(尽管可以认为是相对宽松的前提)时,BDM机制的激励相容性才会成立。
[6] 注意到这实际是模拟了一个两人参与的二价拍卖,这一性质是直观的。
[7] 参见Prince, Jeffrey T., and Scott Wallsten. "How much is privacy worth around the world and across platforms?" Journal of Economics & Management Strategy (2020).
[8] 参见Collis, Avinash, et al. "Information Frictions and Heterogeneity in Valuations of Personal Data." (2022).
[9] 参见Collis, Avinash, et al. "Information Frictions and Heterogeneity in Valuations of Personal Data." (2022).
[10] 例如,参见Lin, Tesary. "Valuing intrinsic and instrumental preferences for privacy." Marketing Science (2022).
[11] 例如,参见Ichihashi, Shota. "Dynamic privacy choices." Proceedings of the 21st ACM Conference on Economics and Computation. 2020.
[12] 例如,参见Abis, Simona, et al. "Privacy Laws and Value of Personal Data. " (2022).

DPOHUB年度会员,扫码加入!

招募讲师:欢迎加入DPOHUB课程平台


  • 平台介绍数据合规权威平台之一,数据法盟和数据保护官的专业粉丝超过10万,学员超过2万。
  • 讲师收益:权威平台的免费宣传,塑造讲师个人职业品牌及影响力;收益共享权。
  • 申请条件:只要在数据隐私、安全及治理等方面具有落地经验或理论积累,都可以申请加入。
  • 授课方式:既可以是性课程每讲20-30分钟),也可以是一次在线讲座(60-90分钟)。
  • 申请方式:请将“简历、程名称及大纲”发送到微信:heguilvshi 或邮箱:[email protected]


微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
相关阅读
突发!澳洲Telstra发生大规模信息泄漏!13万澳人个人信息遭曝光侵犯公民个人信息罪的罪刑样态——以166份刑事判决书为样本全文 | 信安标委《个人信息跨境处理活动安全认证规范V2.0》征求意见浙江高院发布个人信息保护典型案例「知道从哪里来,才能明白向哪里去」|个案概念化我的移民经历:看心理医生(上)(附上《爱在深秋》歌)投资人分享:游戏业投并购狂潮中,如何对手游公司估值?华人速查!Optus刚遭受史上最大规模黑客攻击,上千万人个人信息泄露!包括护照、姓名、生日、电话、电子邮件、家庭地址等案例 | 疫情期间,药店录入个人信息是否侵犯隐私权?《个保法》出台一年:企业如何实现员工个人信息的科学管理?送福利 |个人快速成长,打造个人ip的10大心法Telstra发生大规模信息泄露事件,超13万用户个人信息被公开初创新型完整工业要有企业规则香格里拉酒店集团个人信息被泄露【信息安全三分钟】2022.10.03最高法个人信息指导性案例:涉及人脸信息、身份证信息、社交媒体账号、手机验证码等刑法保护的公民个人信息个人信息被盗 纽约华人银行账户被转走3500美元8点1氪:国美停发员工工资;喜茶确认开放加盟;55款侵犯个人信息App被下架日本人的和栗情结个保法一周年|广东高院发布个人信息保护典型案例早鸟报|个人养老金业务欲出台;雷军:小米成为电动汽车前五;罗永浩宣布在天猫双11开播;台湾全岛个人信息被放在网上兜售,经调查至少20万条真实【信息安全三分钟】2022.10.31侵犯个人信息合法权益,这135款App被查处!索赔|如何获得在Robinhood个人信息被盗的赔偿?兰卡资讯|个人所得税拟大幅提高;IMF预计兰卡经济2023年收缩3%渡十娘|个人新冠经历与用药行程卡下线,据传不存储个人信息?又应当如何删除个人信息?广州互联网法院个人信息保护典型案例发布随地吐痰与老海归收藏版 | 一图读懂《个人信息保护法》一周年相关国家标准国家网信办集中查处一批侵犯个人信息权益的违法违规App你的车险信息如何成了别人的“买卖”?朱悦|AI如何理解AI治理:一名研究者与ChatGPT的问答最高检:2019年以来检察机关办理个人信息保护领域公益诉讼案件8361件【信息安全三分钟】2022.11.11如何给相亲对象估值?说走就走,坐老旧火车旅行(三十)
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。