如需学习数据合规体系及DPIA、数据跨境等工具,加入小圈子免费下载!👇
朱悦 对外经济贸易大学数字经济与法律创新中心研究员个人对其信息估值几何,影响到对个人信息保护领域许多重要的问题的判断。一种情况是个人对其信息只估值几分几角,一种情况是估值成百上千。两种情况下,对于个人信息权益是否具有、具有多少财产性,个人信息损害权益赔偿的门槛应有多高,还有个人信息是否属于“琐屑”的权益,等等,对于这些问题的判断自然会有差异。因此,需要测准个人对其信息的估值。传统的仅基于调查问卷的方法就此难堪实用,反而激起了盘桓许久的所谓“隐私悖论”。[1]两个方向的改进值得瞩目。一是直接研究个人在真实场景中对于信息和钱的选择,特别是通过实验方法来研究选择。二是将调查问卷与实验方法相结合,特别是组合使用激励相容的问卷设计与切实的物质激励——根据问卷的回答给钱。这些研究大多显示用户对其信息的估值不低。研究结果还为设想新制度提出了有趣的方向,比如通过披露个人信息的价值来增强保护。
在真实场景中研究个人对其信息的估值,核心是通过设法观察个人在其信息和一定量的钱之间如何选择。这可以通过两种方法实现。一是巧妙“求全”,寻觅并探析要求个人做出如此痛苦抉择的场景;二则更加“豪横”,通过与互联网平台合作开展实验,同样可以反映个人的真实选择。不过,由于成本和其他许多现实约束,真实场景通常只能研究类型和范围相当有限的个人信息。“求全”的代表是Kummer和Schulte对安卓商店三十万款应用的经典研究。[2]简单来说,这些应用中很多都是既有免费版也有收费版。收费版通常会索要更多的敏感信息权限。通过探析个人在敏感信息权限不同、价格也不同的应用之间的下载选择,就可以大致估算其对信息的估值。结果是对于单个应用而言,用户选择所显示的、对于单个权限的估值约在0.2-0.3元[3]之间。这一估计结果有很多前提和局限,但也确实体现了单条信息的价值有限。“豪横”的代表是唐嬛极具影响的、在国内某小额贷款平台上开展的实验研究。[4]因为是实验,可以更加精细地控制个人所面临的信息和价格的选择。通过向个人提供所要求信息不同、贷款手续费也不同的组合,便可观察个人面临“真金白银”时的选择和估值。结果是在这个场景下,个人QQ号和其雇主电话的价值合计价值约230元,约合国内人均日收入的60%。尽管这一目前而言信度最高的研究不易外推至其他场景,但足以证明个人信息并非总是只值毫厘。综之,无论“求全”还是“豪横”,真实场景中的个人选择都提供了目前信度最高的估计结果,足以作为个人信息保护中不少讨论的基准。不过问题也很明显。寻找场景本已不易,开展实验更是需要天时人和。能够相应估值的信息类型和范围因此非常有限,很难为个人信息保护的讨论提供普遍适用的基准。因此,除非是业界针对大量用户不计成本地开展实验,基于调查问卷的研究仍然存在难以替代的优势。通过采取科学方法,其同样可以达到较高的信度。
结合调查问卷和实验方法研究个人对其信息的估值,核心是设计激励相容的设计和提供真实的物质激励。换句话说,就是面对问卷时,回答准确的估值会是个人的最佳策略;回答之后,也要相应地给参与者付钱。这种研究方法虽然终究难以达到真实场景的信度,但在灵活性方面有很大的优势。一方面是信息类型和范围的选择很灵活,另一方面是可以灵活探究众多影响个人估值的因素。这类研究几乎总是围绕Becker-DeGroot-Marschak机制(常简称BDM机制)展开。[5]概言之,以个人信息的估值为例:在BDM机制下,个人报告其对信息交易的估值,同时与一个事先取定、个人也知情的随机变量的实现值比较。如果报告值大于实现值,则成交;小于,则不成交。如前,BDM机制是激励相容的——比起报告其他的价值,报告真实估值总是个人的最佳策略。[6]基于BDM机制的个人信息估值研究已有丰富的成果。首先是对于比较广泛的信息类型和范围实现了估值。Prince和Wallsten即研究了六个国家的个人在十类信息估值上的差异。[7]其中很多具体结论有趣且实用。例如各类信息估值的高低顺序大致是银行账户、指纹和短信数据最高(约50元),联系人、浏览记录、联系人、声纹等居中(约36元),位置、广告等最低(几乎为0)。德国人对信息的估值最高,拉美地区个人则甚至愿意付费看广告。等等。对于不同的信息和主体类型,也有基于BDM机制的细分的发现。例如,女性、少数族裔、低收入群体等弱势群体成员对其信息的估值普遍偏低。[8]其次是探究了若干对制度实践有意义的、影响个人信息估值的因素。Collins等四位学者的研究可称翘楚。[9]大概来说,首先用一次BDM机制,可以发现个人对其所有脸书信息(包括基本信息、帖子、点赞等)的估值中位数约在5300元。然后随机分组,对于两个实验组分别告知两类信息:一是根据年报,脸书平均而言可以从每个用户身上赚到约2880元;二是根据之前脸书所涉集体诉讼的和解协议,对于每个用户信息泄露的赔偿也是约2880元。然后再用一次BDM机制。结果,无论是告知个人企业通过其信息赚到的钱,还是告知对其信息的赔偿,都会引起个人对其信息估值的显著上升。估值上升在弱势群体中会更加凸显。综之,结合激励相容的问卷和真实的物质激励以后,更加显示个人对其信息的估值远非“毫厘之间”,而是数十元、数百元或者上千元。这一领域正在或即将诞生的更多研究或将不断巩固这一结论。在此基础上对估值影响因素的进一步研究,既有利形成更深刻的理解,又有利于设计更切实的个人信息保护制度。
以上从两个角度回顾了个人对其信息估值的研究进展。这当然不是全部的进展。无论是对于个人信息估值的组成,[10]还是更加复杂的选择场景中的个人信息估值,[11]抑或是从处理者角度出发的信息估值,[12],都有值得关注的进展。总而言之,在面临更加真实选择的场景中,尽管个人对零散信息的估值并不高,对于敏感信息、敏感场景或者大量的个人信息,个人对其估值更多是成百上千,而非几分几角。如此既回答了开头的设问,也部分消除了所谓的“悖论”。
这也为个人信息保护的制度改进提供了两个层面的建议。首先是作为回答若干基础争议的基础。既然成百上千才是更适合作为基准的估值,那么,理应承认个人信息权益具有一定的(甚至可能是相当强的)财产性,对于侵害个人信息权益损害不应设置太高的门槛,法定赔偿金额在数十到数百(千)间都有合理性,个人信息自然也不会是什么“琐屑”的权益。其次是改进具体的制度。比如对于争论已久、但至今效果成疑的个人信息保护中的告知。与其告知越发形式化、且越发繁琐的林林总总项目,同时告知个人信息相应的预期收益或者预期赔偿——或者说告诉个人他们的选择值大几百、大几千,或许有更直接的效果。这种方式确实有些“粗粝”,但对于如此长久的“沉疴”,下一剂“猛药”也很合理。
[1] 相关研究早已汗牛充栋。新近讨论之一,可参见Solove, Daniel J. "The myth of the privacy paradox." Geo. Wash. L. Rev. 89 (2021): 1.[2] 参见Kummer, Michael, and Patrick Schulte. "When private information settles the bill: Money and privacy in Google’s market for smartphone applications." Management Science 65.8 (2019): 3470-3494.[4] 参见Tang, Huan. "The Value of Privacy: Evidence from Online Borrowers." (2021).[5] 参见Becker, Gordon M., Morris H. DeGroot, and Jacob Marschak. "Measuring utility by a single‐response sequential method." Behavioral Science 9.3 (1964): 226-232.当然,只有在满足相应的前提(尽管可以认为是相对宽松的前提)时,BDM机制的激励相容性才会成立。[6] 注意到这实际是模拟了一个两人参与的二价拍卖,这一性质是直观的。[7] 参见Prince, Jeffrey T., and Scott Wallsten. "How much is privacy worth around the world and across platforms?" Journal of Economics & Management Strategy (2020).[8] 参见Collis, Avinash, et al. "Information Frictions and Heterogeneity in Valuations of Personal Data." (2022).[9] 参见Collis, Avinash, et al. "Information Frictions and Heterogeneity in Valuations of Personal Data." (2022).[10] 例如,参见Lin, Tesary. "Valuing intrinsic and instrumental preferences for privacy." Marketing Science (2022).[11] 例如,参见Ichihashi, Shota. "Dynamic privacy choices." Proceedings of the 21st ACM Conference on Economics and Computation. 2020.[12] 例如,参见Abis, Simona, et al. "Privacy Laws and Value of Personal Data. " (2022).DPOHUB年度会员,扫码加入!
招募讲师:欢迎加入DPOHUB课程平台
- 平台介绍:数据合规权威平台之一,数据法盟和数据保护官的专业粉丝超过10万,学员超过2万。
- 讲师收益:权威平台的免费宣传,塑造讲师个人职业品牌及影响力;收益共享权。
- 申请条件:只要在数据隐私、安全及治理等方面具有落地经验或理论积累,都可以申请加入。
- 授课方式:既可以是体系性课程(每讲20-30分钟),也可以是一次在线讲座(60-90分钟)。
