焦俊章 张勇

关键词：数据采集，标准，认证机制，演化博弈

0 引言

随着数字技术的不断发展和日趋精进，我国已将数字经济视为驱动我国现代化的重要力量。习近平总书记在党的二十大报告中指出：“加快发展数字经济，促进数字经济和实体经济深度融合，打造具有国际竞争力的数字产业集群”。目前，数字经济在我国是拉动内需的重要抓手；是提升GDP的重要引擎；是经济发展的重要增长点。中国信息通信研究院发布的《中国数字经济发展研究报告（2023年）》显示，2022年中国数字经济规模已达50.2万亿元，其占GDP的比重高达41.5%，增长速度已连续11年显著高于GDP增速。

但是，数字经济能够一直保持高速发展吗？数据隐私保护已经向数字经济的发展提出了挑战。Verizon发布的《2022数据泄露调查报告》（DBIR）显示，2 0 22年共统计了23， 89 6个安全事件，其中5212个已确定是数据泄露事件，其中82%的违规行为涉及人为因素，勒索软件泄露时间增加13%，超过去5年总和。ISO 2022《展望报告》表示，消费者的信任将成为一个有关数字经济发展的越来越重要的问题。对个人数据隐私的担忧使消费者质疑数字经济是否会继续高速增长。个人数据，指的是可以对本人进行识别的全部数据[1]，该信息包含消费者的姓名、位置数据、IP地址和cookie等诸多内容，其中有些数据是应用软件运行所必须要获取的，可称为必要采集数据；其中可能又存在敏感性数据，是需要被平台企业严格保护的，这些数据可称为必要采集敏感性数据。此外，有些数据不是平台企业必须要获取的，但平台企业可以利用这些数据优化自身运营或者形成数字产品，从而获得额外的收益，这些数据可称为非必要采集数据，其中用于优化运营的可称为非必要优化性数据；用于形成数字产品再出售的可称为非必要可转让数据。

本文以政府制定的个人数据采集流程标准并建立认证为背景，构建了平台企业和消费者双方演化博弈模型，探究其动态演化规律，分析了个人数据采集流程认证对数字经济健康持续发展的影响，验证了个人数据采集流程认证机制的可行性。通过模拟仿真，进一步探究了双方博弈的演化路径，完善了认证机制。并为平台企业个人数据采集流程认证的建立提供了理论依据，为政府制定相关政策提供了参考，对于数字经济的健康发展具有重要的理论意义和实践价值。

本文创新性提出了平台企业个人数据采集流程认证机制。该认证通过国家认可的机构制定数据采集流程标准，由国家认可并批准的第三方机构依据标准对平台企业完成认证，认证完成后向平台企业颁发证书和标识。标准和认证内容包括平台企业秉持最小化收集数据原则，简单清晰地向消费者展示必要采集数据和非必要采集数据的内容；接受消费者对必要采集敏感性数据保护的监督；允许消费者拒绝授权非必要采集数据且不影响正常使用。当消费者授权非必要采集数据后，平台企业要向消费者准确告知这些数据的用途，并保留消费者访问和删除的权利。平台企业完成认证后可展示标识，消费者看到标识后便可消除掉一定有关数据隐私保护的顾虑。

1 文献综述

随着数字化进程的不断深化，数字要素成为第五大生产要素，学界愈发关注个人数据与隐私保护之间的关系。首先，有学者经常会将个人数据等同于个人信息，这其实有悖于法学思想，实际上，两者在具体内涵、权利话语等方面存在较为明显的差别，不应等同视之[2]。个人数据更是个人信息的载体，承载着个人信息的内容。同一个人数据对于不同的主体来说始终是个人数据，但同一种个人数据是不是个人信息，不同的主体可能有不同的认识[3]。个人信息与个人隐私亦有区别。凡是能够唯一的确定某一个体属性信息的都叫做个人信息；“个人隐私”是指那些私密、保密、隐藏、不愿意公开的个人信息[4]。与此同时，大数据挖掘技术的主动分析特征改变了隐私权的具体结构[5]，实际中，消费者缺乏验证自己的隐私是否被平台侵犯的能力，平台企业对于消费者个人数据的收集就如同一个运行机制神秘的系统[6，21]，这使得消费者随时都有可能受到“无感伤害”[7]。简单来说，消费者缺乏了维护隐私权的前提，即缺乏知情权[8]。因此，“公共数据开放”与“个人隐私保护”之间存在悖论[9]，而笔者认为，解决悖论的关键在于消费者能有足够的知情权，使消费者能更加简单便捷地知道平台企业收集了哪些个人数据以及如何处理这些个人数据。此外，数据交易产生的数据商品化现象将对个人隐私带来极大伤害，并产生难以预计的信息安全问题，大范围失控的数据交易也将为违法活动提供温床[10]。个人数据采集流程认证机制可以在数据交易之前，即数据采集阶段解决掉数据流动与隐私保护的矛盾，极大地避免了数据交易的失控。

学者们在个人数据收集与保护方面做出了诸多有价值的研究成果，然而，大部分学者都是以法学视角针对个人数据收集与保护的问题展开研究，鲜有学者从标准、认证的视角来讨论对平台企业的规制。竞争会增加平台企业隐私保护投资水平，政府一定程度的监管也能加强竞争带来的效果[11]，个人数据采集流程标准是数字化浪潮下的产物[22]，必然会加剧不同平台企业之间的竞争，进而提高平台企业对于消费者个人数据的保护水平，这不失为一种解决数据治理问题，防范“隐私疲劳” [23]的新路径。

此外，还有学者围绕数据权属[12]、数据分配[13]、数据交易[14]、数据属性[15 ]等问题进行研究，但尚未关注到主要利益相关方之间的策略互动机理，忽视了博弈随时间的演化规律和博弈的动态均衡，难以呈现出该过程的内在逻辑[16 ]。当前我国对于数据治理问题还处于初期探索阶段，许多方法观点还都停留于理论层面。实际中，演化博弈基于平台企业和消费者的有限理性和获取不完全信息的条件，不仅能够得出双方的稳定策略，还能找出其演化路径，目前已被众多学者在知识共享[17 ]、奖惩机制[18]、问题治理[19]、舆情传播[2 0]等诸多方面所应用。

综上所述，本文以标准、认证的视角，讨论个人数据采集流程认证机制是否能够有效应对当下数据采集侵权的问题，希望探索出一条关于数据治理的新道路，从而为数字经济的蓬勃发展贡献一份力量。

2 基本模型构建

假设在政府已经出台个人数据采集流程标准，并实施个人数据采集流程认证的背景下，平台企业和消费者之间形成了一种博弈关系。因为信息不对称，平台企业出于成本和收益的考虑，消费者担心个人数据安全，从而在平台企业和消费者的博弈过程中，平台企业有两种选择策略：遵从个人数据采集流程标准，并完成个人数据采集流程认证；另一种是不遵从个人数据采集流程标准。此外，消费者也有两种选择策略：相信平台企业不会泄露消费者的个人数据，将全部数据授权给平台企业；另一种是不相信平台企业不会泄露消费者的个人数据，仅将部分数据授权给平台企业。

假设1：因为平台企业和消费者的能力和所获信息有限，因而在真实的决策过程中是有限理性的参与主体，需要通过学习和试错来实现效用最大化。

假设2：平台企业的策略空间为认证或不认证，选择认证的概率为x，选择不认证的概率为1-x，x∈[0，1]；消费者的策略空间为全部授权或部分授权，选择全部授权概率为y，选择部分授权的概率为1-y，y∈[0，1]。

假设3：平台企业完成个人数据采集流程认证，所需付出的额外成本是C1。

假设4：平台企业完成个人数据采集流程认证后，所采集的数据量的变化是ΔS，所采集数据为真实数据的概率是α1，α1∈[0，1]；平台企业不进行个人数据采集流程认证，所采集的数据量是S，所采集数据为真实数据的概率是α2，α2∈ [0，1]。

假设5：消费者选择部分授权平台企业个人数据时，所付出的成本是C2；消费者选择全部授权平台企业个人数据时，所付出的成本是C3；因为消费者无论选择部分授权个人数据还是全部授权个人数据，并不影响其对于应用软件的正常使用，故两种选择的收益均为P，其中C3﹥C2。

假设6：平台企业完成个人数据采集流程认证后，通过展示认证标识会提升消费者的信任度，进而提升平台企业形象I；平台企业不进行个人数据采集流程认证，无法展示认证标识时，消费者会怀疑其无法通过的真实原因，故而会对平台企业造成声誉损失L；平台企业完成个人数据采集流程认证后，消费者出于保护个人数据的考虑，更容易不授权全部的个人数据，而企业为激励消费者授权全部个人数据，所给予的奖励是J；平台企业不进行个人数据采集流程认证，消费者授权个人数据所需承担的数据泄露风险是R。

根据上述假设，建立平台企业和消费者之间的博弈收益矩阵，见表2。

3 演化博弈模型分析

3.1 均衡点分析

Ux，U1-x分别代表平台企业选择完成个人数据采集流程认证、未进行个人数据采集流程认证的期望收益， 代表平台企业平均期望收益；分别代表消费者选择全部授权个人数据、部分授权个人数据的期望收益， 代表消费者平均期望收益。根据以上定义，平台企业和消费者的各个状态下的期望收益和平均收益如下。

根据上述两参与主体的期望收益和平均收益，得到平台企业和消费者策略选择的复制动态方程（7）和（8）。

将均衡点带入矩阵，如果同时满足迹和矩阵行列式即说明该复制动态方程的均衡点是稳定的，是博弈的演化稳定策略。

将4个均衡点带入矩阵 J，矩阵的迹和行列式的结果见表3。

3.2 均衡点稳定性分析

由表3可知，在平台企业和消费者所组成的演化博弈模型复制动态系统中，双方的稳定演化策略是多种因素共同作用下的结果，针对表3中矩阵J的迹和行列式的结果展开如下分析。

此外，除上述3 种情况外，无论何种条件，（0，1）即（不认证，全部授权）都是一种不稳定的演化策略。企业不进行个人数据采集流程认证，逃避政府监督，希望采用冗长和模糊的协议形式，低成本且强制获取消费者全部个人数据，消费者如不授权，便不可使用平台的应用软件。消费者出于理性考虑，便会采取授权虚假个人数据等形式来应对平台企业，逃避平台企业的“大数据监控”，博弈结果最终向（0，0）演化；相反，如果在此时政府及时介入，鼓励平台企业完成个人数据采集流程认证，公开认证流程和所依据的标准，让消费者相信该项认证的效力，这将提升消费者所授权数据的准确性，从而提高企业效益，博弈结果将会向（1，0）和（1，1）方向演化。

4 仿真分析

为了验证模型的准确性并且更加直观地展现双方博弈的演化过程，本文将采用Matlab R2020b软件进行模拟仿真，探究平台企业与消费者之间演化博弈的深层逻辑与规律。此外，本文还会进一步探究（1，1）情况下，平台企业认证成本对双方博弈演化路径的影响。

4.1 不同初始策略选择对双方博弈演化路径的影响

令C1=5，C2 =3，C3= 6，S =5，ΔS =2，α1= 0.8，α2=0.7，I=5，L=6，J=4，该参数组合满足（1，1）为唯一稳定均衡点的条件分别取x，y的初始值分别为（0.2， 0.8）、（0.5，0.5）和（0.7，0.3），结果如图1所示。结果表明，若政府部门制定个人数据采集流程标准，并对认证采取合理定价，平台企业为了提升企业声誉同时获取更多更准确的数据，会积极选择完成个人数据采集流程认证，向消费者简单清晰地展示数据采集清单和用途，同时为消费者提供充分的激励；消费者会在平台企业的激励下，授权全部的个人数据，实现双方共赢。

此外，平台企业初始策略选择概率越倾向于“不认证”稳定策略，消费者越倾向于授权部分个人数据，原因在于平台企业完成认证后，平台企业向消费者简单清晰列出所需收集的个人数据的清单，同时为消费者提供了可以部分授权个人数据的选择，消费者出于之前的自我保护意识，则更倾向于授权部分数据。但是平台企业如果在这时给予消费者一定的激励，诱使消费者授权全部的个人数据，那么在群体效应的影响下，会有更多消费者同意授权全部个人数据，从而改变最终的演化稳定策略。

令C 1 = 5 ，C 2 = 3 ，C 3 = 6 ，S = 5 ，Δ S = 2 ，α1= 0 . 8 ， α2 = 0 . 7，I = 5，L = 6 ，J = 2 ，该参数组合满足（1 ， 0）为唯一稳定均衡点的条件（s + Δs） + I + L > s + c + J 1 2 1 α α ， 。分别取x，y的初始值分别为（0.2，0.8）、（0.5，0.5）和（0.7，0.3），结果如图2所示。若平台企业对于消费者的激励机制设置得不合理，对消费者的吸引力过低，达不到预期的效果，再加上消费者授权全部个人数据的成本远远高于授权部分个人数据，这时消费者会出于希望保护个人数据的心理仅仅向平台企业授权部分个人数据。

令C1=8，C2 =3，C3= 6，S =5，ΔS =2，α1= 0.8，α2=0.7，I=2，L=3，J=4，该参数组合满足（0，0）为唯一稳定均衡点的条件 。分别取x，y的初始值分别为（0.2，0.8）、（0.5，0.5）和（0.7，0.3），结果如图3所示。若平台企业完成个人数据采集认证的成本过高，同时社会对于个人数据采集侵权问题不够重视，平台企业则会继续以冗长条款，不公开所收集信息清单等形式收集大量个人数据；而消费者因为与平台企业信息不对等，社会不够关注和自己维权难等问题，只能选择关闭电子设备的部分权限或者被迫填报虚假的个人信息，以此来保护自身的隐私安全。

当时，所有的均衡点均不稳定，此时系统不存在稳定演化策略ESS。当外界社会对于个人数据采集侵权问题的关注度低，平台企业可以通过激励手段轻易诱导只拥有不充分信息的消费者授权全部的个人数据时，平台企业完成个人数据采集流程认证所获得的综合收益很低，而消费者却承担了高额的风险成本，因此整个博弈处于如图4所示的不稳定状态。

根据以上仿真结果，可以看出：双方初始策略选择概率的高低均不会影响博弈最终的稳定策略，但会影响其演化到稳定策略的时间。（1， 1）和（1，0）情况下，平台企业初始策略选择概率越倾向于“认证”稳定策略，演化达到稳定状态所需的时间越短；而（0，0）情况中，平台越倾向于“不认证”稳定策略，演化达到稳定状态所需的时间越短。对于消费者来说，（1，1）和（1，0）情况下，消费者的初始策略选择概率是影响演化到达稳定状态所需时间的关键因素，消费者越倾向于选择“全部授权”稳定策略，其（1，1）中所需的时间越短，在（1，0）中所需的时间越长，反之亦然。而（0，0）情况下，无论企业初始策略选择概率如何，消费者演化达到稳定状态所需的时间几乎相同。

4.2 进一步讨论：平台企业认证成本对双方博弈演化路径的影响

在C1=5，C2=3，C3= 6，S =5，ΔS=2，α1= 0. 8，α2= 0.7，I=5，L=6，J=4，该参数组合的基础上，令C1分别为5、7、9，仿真结果如图5所示。由此可以看出，平台企业认证成本的增加会降低其演化的速度，从而使达到稳定策略所需的时间变长。平台企业认证成本变高，挤压了企业为消费者提供的激励，导致消费者的演化速度也随着认证成本的增加而减慢，甚至当C1=9时，出现了U型曲线，表明此时企业为保证利润对于消费者的激励已经出现了一定困难。如果认证成本继续变大，平台企业无法给予消费者激励，消费者稳定策略则会变为部分授权。这揭示了平台企业和消费者双方博弈过程中，认证成本会影响系统最终的稳定均衡点。由此，合理地降低平台企业的认证成本，会更有利于平台企业选择认证策略，带动消费者向平台企业授权全部的个人数据，从而使得行业实现良性循环发展。

5 结论与建议

5.1 研究结论

在数字经济快速发展的进程中，文本以政府已经出台个人数据采集流程标准，并建立个人数据采集流程认证为背景，以参与双方是有限理性的为前提，采用演化博弈理论与方法建立了平台企业是否完成个人数据采集流程认证的博弈支付矩阵，系统分析了平台企业是否会完成个人数据采集流程认证和消费者会如何授权个人数据的决策过程和稳定策略。此外本文还利用Matlab仿真验证了所建模型的准确性，讨论了博弈双方不同初始策略选择概率和平台企业的认证成本对博弈系统演化的影响，发现认证成本会影响系统的最终稳定均衡点。研究得到的结论如下。

（1）该演化博弈模型具有3个稳定均衡点，即（1，1）、（1，0）和（0，0）。其中（1，1）是政府建立并推广个人数据采集流程认证，平台企业完成个人数据采集流程认证的最理想状态，即平台企业选择认证，消费者选择全部授权个人数据。演化策略的稳定性主要受到平台企业的认证成本、平台企业所获数据的量和准确性、平台企业完成认证后的形象提升和消费者的授权成本等因素的影响。

（2）理想稳定策略（1，1）的仿真结果表明，平台企业初始策略选择概率越倾向“不认证”稳定策略，消费者出于自我保护心理，越倾向于授权部分个人数据，但在平台企业的激励措施和群体效应的影响下，消费者最终会改变初始选择，转而选择授权全部个人数据，并趋于稳定，从而形成了U型曲线。

（3）在3个稳定均衡点之中，不同初始策略选择概率的选择不会影响系统最终的稳定演化策略，但是会影响系统演化到达稳定状态所需要的时间。大多数情况下，参与方的初始策略越倾向于该情况下的稳定策略，则演化达到稳定所需的时间越短。

（4）平台企业的认证成本会影响其演化的速度，从而影响其达到稳定策略所需的时间，尤其当认证成本过高时，平台企业为保证利润会降低对消费者的激励，进而使消费者仅授权部分个人数据，当平台企业意识到问题后，降低利润加大激励，促使消费者改变选择并趋于稳定。但如果当认证成本继续加大，平台企业不足以支撑激励时，授权部分个人数据便会是消费者的稳定均衡策略，由此揭示了平台企业的认证成本是影响系统最终稳定于（1，1）或（1，0）的关键因素。

5.2 政策建议

依据以上研究结果，文本从促使数字经济健康发展的角度出发，提出以下政策建议。

（1）政府部门应尽快制定个人数据采集流程标准，并建立个人数据采集流程认证，引导平台企业合理合法地采集消费者的个人数据。博弈结论显示，政府部门的及时介入，能够有效避免行业陷入恶性循环，防止“零和博弈”的产生。建议相关部门，在参考欧盟《通用数据保护条例》（GDPR）和《加州消费者隐私法案》（CCPA）的基础上取其精华去其糟粕，并结合我国的实际情况和当前国情加以改进，形成符合我国当前数字经济发展情况的个人数据采集流程标准和认证。未来，随着数字技术的发展，平台企业对于消费者个人数据的采集措施一定会更加先进，标准制定部门还要根据数字技术的新发展，及时更新个人数据采集流程标准，使其能够不断适应新环境、新需求，充分保护消费者的合法权益。

（2）社会层面上，一方面应当尽快让有关个人数据采集侵权的问题引起足够的重视；另一方面也要尽快培育出一批愿意以合理合法的形式采集消费者个人数据和乐于遵从个人数据采集流程标准的样板中小企业，以此来凸显完成个人数据采集流程认证的平台企业的企业形象和名誉。因为，较高的企业形象和名誉收益能够为平台企业带来充足的收益空间，弥补了平台企业在完成认证的前期可能会出现的数据收益损失，使得平台企业最终的综合收益大于其认证前的收益和认证成本之和。此外培育能起到示范作用的样板中小企业的成本远远小于培育大型企业的成本，中小企业反而会对大企业起到示范作用，让大企业看到完成认证后所带来的客观的综合收益，从而加大大型平台企业的认证意愿。

（3）在个人数据采集流程认证建立完成后，一方面平台企业要根据自身实际情况，优化企业内部的运营流程，尽可能以较少的调整来满足标准要求，完成认证；另一方面，政府相关部门也要提高自身的认证效率，降低平台企业完成认证所需要的费用，以此让平台企业能够针对消费者采取充分的激励措施，减少消费者演化到“全部授权”稳定策略的时间，快速实现个人数据采集新业态的目标。