莉莲·阿布隆（Lillian Ablon）　保罗·希顿（Paul Heaton）等

滕智红/译

消费者对数据泄露通知和个人信息损失的态度

莉莲·阿布隆（Lillian Ablon）保罗·希顿（Paul Heaton）等

滕智红/译

节选自美国兰德公司报告 2016年

概 述

数据泄露继续困扰着私营公司、非盈利组织和政府部门。塔吉特公司（Target）、家得宝公司（Home Depot）、美国联邦人事管理局(the Office of Personnel and Management)、保险与医保业Anthem公司、摩根大通集团（JPMorgan Chase）和其他上万个组织都遭到过个人、金融和医疗类敏感信息的泄露，成千上万人受到影响。

2016年3月，美国47个州通过立法要求公司在泄露发生时通知个人。这一要求目的是给消费者提供快速反应的机会来保护自己免受更多损失，同时曝光那些泄露信息的公司。路易斯·D. 布兰迪斯法官（Justice Louis D. Brandeis）曾说过这样的名言：“公开被恰如其分地称赞为医治社会和工业疾病的疗法。据说阳光是最佳的消毒剂。”因此公开信息泄露强调了公司数据安全行为方面存在漏洞，敦促公司采取措施避免未来发生类似的风险。

尽管安全漏洞比率在增加，消费者和公司的损失在继续，而且信息泄露通知法律已经颁布了十几年，但是现有研究几乎很少考察消费者对这些发展趋势的反馈。为弥补这一不足，本研究进行了开创性的消费者调查，旨在为公司、决策者和有数据损失经历的消费者大众提供有用信息。

尽管消费者对数据泄露和通知的态度有几个值得研究的话题，但是本研究的目的是考察以下几点：泄露通知的频率和数据损失类型；泄露发生后消费者对通知、公司和公司后续行为的反应；由信息泄露导致的潜在个人损失。

本研究利用一家全国性的代表小组——美国生活小组（the American Life Panel）开展调查，该小组由6000多名成人组成，参与基于网络的调查，内容覆盖各类调查事务。调查在2015年5月15日—6月1日之间进行，目的是抓拍泄露通知的频率和数据损失类型以及消费者对泄露、通知过程和受影响公司的反应。调查还审查了由泄露造成的个人损失评估，以及对未来通知和信息保护措施方面的建议。本研究所收集和分析的数据来自于参与者的自我汇报和回忆。为此，这些数据可能由于记忆局限造成信息不完全、因遗忘而漏报了过去的通知或者因媒体报道过多而多汇报了（比如，听说了某个数据泄露事件就错误地记成是自己的经历）。

调查结果

1.美国有26%的受访者，或者说约6400万成年人记得在调查前12个月内接到过泄露通知。

被调查者中有44%的人曾经收到过自己信息被泄露的通知，有26%的受访者记得在本调查之前一年（2014年6月至2015年6月）中收到过一个或多个通知。我们由此估计在美国所有成年人中超过1/4的人，或者说有6400万人，在那一年中接到过个人信息损失通知。高收入和受过良好教育的受访者更加记得泄露经历，而年纪较轻的成人（18～34岁之间）和年龄较大的人（65岁以上）则记得不多。而且，在这些受访者中，超过一半（51%）或者说约3600万人在调查前一年中接到过两次或多次通知。

2.在那些曾经接到过通知的人中，有44% 的人已经知道了信息泄露。

在那些记得自己曾经接到过数据泄露通知的受访者中，多数人（56%）是从公司的通知中才第一次听说了泄露这回事。但是有44%的人最初是从公司以外的渠道、通常从媒体的报道或者从银行之类的第三方了解到的。只有10%的人通过识别可疑行为发现了泄露。

3. 62%的受访者接受了免费信用审查的提议。

尽管证据表明情况并非如此，但还是有超过62%的受访者报告说已经接受了免费信用审查。根据受访者的说法，影响他们决策的有三个主要因素：（1）所需的时间和行动；（2）（对受影响公司和泄露通知服务的）品质观察和信任；（3） 这个提议是否重复了受害人享有的其他服务。

4.只有11%的受访者在泄露之后不再与该公司打交道。

多数受访者（89%）继续与泄露信息的公司做生意，只有11%的人不再这么做。而有1%的人报告说增加了与该公司的业务量。

5.在那些对信息泄露和由此造成的不便估价为1美元的人中，平均损失500美元。

32%的受访者觉得泄露没有对自己造成经济损失。剩下68%的人估计泄露造成某些经济损失，平均损失500美元。如果是医疗信息（损失1000美元）、社保号码（损失1000美元）或其他金融信息（损失864美元）泄露，平均经济损失值还会更高。而不到6%的人说泄露造成的不便让他们损失了1万美元甚至更多。在那些经历过极度不便的人中，泄露通常涉及到信用卡或医疗信息。

6. 77%的受访者对公司信息泄露之后的反应高度满意。

调查发现人们对泄露信息的公司态度是相当好的。多数受访者（77%）对公司在泄露后的反应高度满意。少数族裔人群的态度最不一样，他们对公司泄露后的反应不太满意，而且会更关注泄露造成不便的经济价值，甚至不再与该公司做生意。

8.受访者向公司提出了更好保护数据的几个做法。

调查要求参与者在数据泄露后确定自己愿意或不愿意向公司建议的行动。多数受访者高度满意的做法有：（1）采取措施确保将来不再发生类似的泄露事件（占68%）；（2）提供免费信用审查或类似服务，确保损失的数据不被滥用（占64%）；（3）马上通知消费者（占63%）。上述三个行动比因泄露造成不便而接受经济补偿评价更好。受访者最不满意的做法是捐钱给那些维护网络安全的组织或者公司只是向受泄露影响的人们道歉。

影 响

我们期待这些结果能帮助建立一道基线来理解消费者对数据损失和公司事后反应的态度。它们也对商业行为、法律政策和公众有影响。例如：公司要关注反馈消费者的更佳途径，并调整其他商业行为；政策制定者和法律部门要审查通知方式和数据泄露法律来加快通知速度，防止因数据被窃而造成更多损失。

超过1/4的被调查者记得在本调查前12个月内接到过数据泄露通知，这些受访者中超过一半的人记得接到了两次或多次通知。这对越来越依赖数字元素的世界来说具有暗示意味。44%的消费者在接到公司发来的通知之前已经知道了信息泄露，这可能是媒体报道、银行、信用监督和其他第三方服务起了作用。知道很多消费者具备这一意识也许能帮助公司调整向消费者和公众披露泄露事件的时间和策略。与过去的统计和研究相反，有62%的受访者报告说接受了免费信用监督的提议，高于公开报道的10%～29%这一比率。这表明了消费者可能觉得最近的泄露或数据损失让公司加强保护——不管他们是否遭受“泄露疲劳”。多数受访者（77%）对公司泄露后的反应高度满意，只有一些人（11%）不再与该公司做生意，似乎表明消费者认同公司能恰当处理数据泄露的后果。但却无法确定能否促使公司改变或改善数据泄露通知行为。

原文标题： Consumer attitudes toward Data Breach Notifications and Loss of Personal Information