莉蓮·阿布?。↙illian Ablon）　保羅·希頓（Paul Heaton）等

滕智紅/譯

消費(fèi)者對(duì)數(shù)據(jù)泄露通知和個(gè)人信息損失的態(tài)度

莉蓮·阿布?。↙illian Ablon）保羅·希頓（Paul Heaton）等

滕智紅/譯

節(jié)選自美國(guó)蘭德公司報(bào)告 2016年

概 述

數(shù)據(jù)泄露繼續(xù)困擾著私營(yíng)公司、非盈利組織和政府部門(mén)。塔吉特公司（Target）、家得寶公司（Home Depot）、美國(guó)聯(lián)邦人事管理局(the Office of Personnel and Management)、保險(xiǎn)與醫(yī)保業(yè)Anthem公司、摩根大通集團(tuán)（JPMorgan Chase）和其他上萬(wàn)個(gè)組織都遭到過(guò)個(gè)人、金融和醫(yī)療類(lèi)敏感信息的泄露，成千上萬(wàn)人受到影響。

2016年3月，美國(guó)47個(gè)州通過(guò)立法要求公司在泄露發(fā)生時(shí)通知個(gè)人。這一要求目的是給消費(fèi)者提供快速反應(yīng)的機(jī)會(huì)來(lái)保護(hù)自己免受更多損失，同時(shí)曝光那些泄露信息的公司。路易斯·D. 布蘭迪斯法官（Justice Louis D. Brandeis）曾說(shuō)過(guò)這樣的名言：“公開(kāi)被恰如其分地稱贊為醫(yī)治社會(huì)和工業(yè)疾病的療法。據(jù)說(shuō)陽(yáng)光是最佳的消毒劑。”因此公開(kāi)信息泄露強(qiáng)調(diào)了公司數(shù)據(jù)安全行為方面存在漏洞，敦促公司采取措施避免未來(lái)發(fā)生類(lèi)似的風(fēng)險(xiǎn)。

盡管安全漏洞比率在增加，消費(fèi)者和公司的損失在繼續(xù)，而且信息泄露通知法律已經(jīng)頒布了十幾年，但是現(xiàn)有研究幾乎很少考察消費(fèi)者對(duì)這些發(fā)展趨勢(shì)的反饋。為彌補(bǔ)這一不足，本研究進(jìn)行了開(kāi)創(chuàng)性的消費(fèi)者調(diào)查，旨在為公司、決策者和有數(shù)據(jù)損失經(jīng)歷的消費(fèi)者大眾提供有用信息。

盡管消費(fèi)者對(duì)數(shù)據(jù)泄露和通知的態(tài)度有幾個(gè)值得研究的話題，但是本研究的目的是考察以下幾點(diǎn)：泄露通知的頻率和數(shù)據(jù)損失類(lèi)型；泄露發(fā)生后消費(fèi)者對(duì)通知、公司和公司后續(xù)行為的反應(yīng)；由信息泄露導(dǎo)致的潛在個(gè)人損失。

本研究利用一家全國(guó)性的代表小組——美國(guó)生活小組（the American Life Panel）開(kāi)展調(diào)查，該小組由6000多名成人組成，參與基于網(wǎng)絡(luò)的調(diào)查，內(nèi)容覆蓋各類(lèi)調(diào)查事務(wù)。調(diào)查在2015年5月15日—6月1日之間進(jìn)行，目的是抓拍泄露通知的頻率和數(shù)據(jù)損失類(lèi)型以及消費(fèi)者對(duì)泄露、通知過(guò)程和受影響公司的反應(yīng)。調(diào)查還審查了由泄露造成的個(gè)人損失評(píng)估，以及對(duì)未來(lái)通知和信息保護(hù)措施方面的建議。本研究所收集和分析的數(shù)據(jù)來(lái)自于參與者的自我匯報(bào)和回憶。為此，這些數(shù)據(jù)可能由于記憶局限造成信息不完全、因遺忘而漏報(bào)了過(guò)去的通知或者因媒體報(bào)道過(guò)多而多匯報(bào)了（比如，聽(tīng)說(shuō)了某個(gè)數(shù)據(jù)泄露事件就錯(cuò)誤地記成是自己的經(jīng)歷）。

調(diào)查結(jié)果

1.美國(guó)有26%的受訪者，或者說(shuō)約6400萬(wàn)成年人記得在調(diào)查前12個(gè)月內(nèi)接到過(guò)泄露通知。

被調(diào)查者中有44%的人曾經(jīng)收到過(guò)自己信息被泄露的通知，有26%的受訪者記得在本調(diào)查之前一年（2014年6月至2015年6月）中收到過(guò)一個(gè)或多個(gè)通知。我們由此估計(jì)在美國(guó)所有成年人中超過(guò)1/4的人，或者說(shuō)有6400萬(wàn)人，在那一年中接到過(guò)個(gè)人信息損失通知。高收入和受過(guò)良好教育的受訪者更加記得泄露經(jīng)歷，而年紀(jì)較輕的成人（18～34歲之間）和年齡較大的人（65歲以上）則記得不多。而且，在這些受訪者中，超過(guò)一半（51%）或者說(shuō)約3600萬(wàn)人在調(diào)查前一年中接到過(guò)兩次或多次通知。

2.在那些曾經(jīng)接到過(guò)通知的人中，有44% 的人已經(jīng)知道了信息泄露。

在那些記得自己曾經(jīng)接到過(guò)數(shù)據(jù)泄露通知的受訪者中，多數(shù)人（56%）是從公司的通知中才第一次聽(tīng)說(shuō)了泄露這回事。但是有44%的人最初是從公司以外的渠道、通常從媒體的報(bào)道或者從銀行之類(lèi)的第三方了解到的。只有10%的人通過(guò)識(shí)別可疑行為發(fā)現(xiàn)了泄露。

3. 62%的受訪者接受了免費(fèi)信用審查的提議。

盡管證據(jù)表明情況并非如此，但還是有超過(guò)62%的受訪者報(bào)告說(shuō)已經(jīng)接受了免費(fèi)信用審查。根據(jù)受訪者的說(shuō)法，影響他們決策的有三個(gè)主要因素：（1）所需的時(shí)間和行動(dòng)；（2）（對(duì)受影響公司和泄露通知服務(wù)的）品質(zhì)觀察和信任；（3） 這個(gè)提議是否重復(fù)了受害人享有的其他服務(wù)。

4.只有11%的受訪者在泄露之后不再與該公司打交道。

多數(shù)受訪者（89%）繼續(xù)與泄露信息的公司做生意，只有11%的人不再這么做。而有1%的人報(bào)告說(shuō)增加了與該公司的業(yè)務(wù)量。

5.在那些對(duì)信息泄露和由此造成的不便估價(jià)為1美元的人中，平均損失500美元。

32%的受訪者覺(jué)得泄露沒(méi)有對(duì)自己造成經(jīng)濟(jì)損失。剩下68%的人估計(jì)泄露造成某些經(jīng)濟(jì)損失，平均損失500美元。如果是醫(yī)療信息（損失1000美元）、社保號(hào)碼（損失1000美元）或其他金融信息（損失864美元）泄露，平均經(jīng)濟(jì)損失值還會(huì)更高。而不到6%的人說(shuō)泄露造成的不便讓他們損失了1萬(wàn)美元甚至更多。在那些經(jīng)歷過(guò)極度不便的人中，泄露通常涉及到信用卡或醫(yī)療信息。

6. 77%的受訪者對(duì)公司信息泄露之后的反應(yīng)高度滿意。

調(diào)查發(fā)現(xiàn)人們對(duì)泄露信息的公司態(tài)度是相當(dāng)好的。多數(shù)受訪者（77%）對(duì)公司在泄露后的反應(yīng)高度滿意。少數(shù)族裔人群的態(tài)度最不一樣，他們對(duì)公司泄露后的反應(yīng)不太滿意，而且會(huì)更關(guān)注泄露造成不便的經(jīng)濟(jì)價(jià)值，甚至不再與該公司做生意。

8.受訪者向公司提出了更好保護(hù)數(shù)據(jù)的幾個(gè)做法。

調(diào)查要求參與者在數(shù)據(jù)泄露后確定自己愿意或不愿意向公司建議的行動(dòng)。多數(shù)受訪者高度滿意的做法有：（1）采取措施確保將來(lái)不再發(fā)生類(lèi)似的泄露事件（占68%）；（2）提供免費(fèi)信用審查或類(lèi)似服務(wù)，確保損失的數(shù)據(jù)不被濫用（占64%）；（3）馬上通知消費(fèi)者（占63%）。上述三個(gè)行動(dòng)比因泄露造成不便而接受經(jīng)濟(jì)補(bǔ)償評(píng)價(jià)更好。受訪者最不滿意的做法是捐錢(qián)給那些維護(hù)網(wǎng)絡(luò)安全的組織或者公司只是向受泄露影響的人們道歉。

影 響

我們期待這些結(jié)果能幫助建立一道基線來(lái)理解消費(fèi)者對(duì)數(shù)據(jù)損失和公司事后反應(yīng)的態(tài)度。它們也對(duì)商業(yè)行為、法律政策和公眾有影響。例如：公司要關(guān)注反饋消費(fèi)者的更佳途徑，并調(diào)整其他商業(yè)行為；政策制定者和法律部門(mén)要審查通知方式和數(shù)據(jù)泄露法律來(lái)加快通知速度，防止因數(shù)據(jù)被竊而造成更多損失。

超過(guò)1/4的被調(diào)查者記得在本調(diào)查前12個(gè)月內(nèi)接到過(guò)數(shù)據(jù)泄露通知，這些受訪者中超過(guò)一半的人記得接到了兩次或多次通知。這對(duì)越來(lái)越依賴數(shù)字元素的世界來(lái)說(shuō)具有暗示意味。44%的消費(fèi)者在接到公司發(fā)來(lái)的通知之前已經(jīng)知道了信息泄露，這可能是媒體報(bào)道、銀行、信用監(jiān)督和其他第三方服務(wù)起了作用。知道很多消費(fèi)者具備這一意識(shí)也許能幫助公司調(diào)整向消費(fèi)者和公眾披露泄露事件的時(shí)間和策略。與過(guò)去的統(tǒng)計(jì)和研究相反，有62%的受訪者報(bào)告說(shuō)接受了免費(fèi)信用監(jiān)督的提議，高于公開(kāi)報(bào)道的10%～29%這一比率。這表明了消費(fèi)者可能覺(jué)得最近的泄露或數(shù)據(jù)損失讓公司加強(qiáng)保護(hù)——不管他們是否遭受“泄露疲勞”。多數(shù)受訪者（77%）對(duì)公司泄露后的反應(yīng)高度滿意，只有一些人（11%）不再與該公司做生意，似乎表明消費(fèi)者認(rèn)同公司能恰當(dāng)處理數(shù)據(jù)泄露的后果。但卻無(wú)法確定能否促使公司改變或改善數(shù)據(jù)泄露通知行為。

原文標(biāo)題： Consumer attitudes toward Data Breach Notifications and Loss of Personal Information