莉蓮·阿布?。↙illian Ablon）　保羅·希頓（Paul Heaton）等

滕智紅/譯

消費者對數據泄露通知和個人信息損失的態(tài)度

莉蓮·阿布?。↙illian Ablon）保羅·希頓（Paul Heaton）等

滕智紅/譯

節(jié)選自美國蘭德公司報告 2016年

概 述

數據泄露繼續(xù)困擾著私營公司、非盈利組織和政府部門。塔吉特公司（Target）、家得寶公司（Home Depot）、美國聯(lián)邦人事管理局(the Office of Personnel and Management)、保險與醫(yī)保業(yè)Anthem公司、摩根大通集團（JPMorgan Chase）和其他上萬個組織都遭到過個人、金融和醫(yī)療類敏感信息的泄露，成千上萬人受到影響。

2016年3月，美國47個州通過立法要求公司在泄露發(fā)生時通知個人。這一要求目的是給消費者提供快速反應的機會來保護自己免受更多損失，同時曝光那些泄露信息的公司。路易斯·D. 布蘭迪斯法官（Justice Louis D. Brandeis）曾說過這樣的名言：“公開被恰如其分地稱贊為醫(yī)治社會和工業(yè)疾病的療法。據說陽光是最佳的消毒劑?！币虼斯_信息泄露強調了公司數據安全行為方面存在漏洞，敦促公司采取措施避免未來發(fā)生類似的風險。

盡管安全漏洞比率在增加，消費者和公司的損失在繼續(xù)，而且信息泄露通知法律已經頒布了十幾年，但是現有研究幾乎很少考察消費者對這些發(fā)展趨勢的反饋。為彌補這一不足，本研究進行了開創(chuàng)性的消費者調查，旨在為公司、決策者和有數據損失經歷的消費者大眾提供有用信息。

盡管消費者對數據泄露和通知的態(tài)度有幾個值得研究的話題，但是本研究的目的是考察以下幾點：泄露通知的頻率和數據損失類型；泄露發(fā)生后消費者對通知、公司和公司后續(xù)行為的反應；由信息泄露導致的潛在個人損失。

本研究利用一家全國性的代表小組——美國生活小組（the American Life Panel）開展調查，該小組由6000多名成人組成，參與基于網絡的調查，內容覆蓋各類調查事務。調查在2015年5月15日—6月1日之間進行，目的是抓拍泄露通知的頻率和數據損失類型以及消費者對泄露、通知過程和受影響公司的反應。調查還審查了由泄露造成的個人損失評估，以及對未來通知和信息保護措施方面的建議。本研究所收集和分析的數據來自于參與者的自我匯報和回憶。為此，這些數據可能由于記憶局限造成信息不完全、因遺忘而漏報了過去的通知或者因媒體報道過多而多匯報了（比如，聽說了某個數據泄露事件就錯誤地記成是自己的經歷）。

調查結果

1.美國有26%的受訪者，或者說約6400萬成年人記得在調查前12個月內接到過泄露通知。

被調查者中有44%的人曾經收到過自己信息被泄露的通知，有26%的受訪者記得在本調查之前一年（2014年6月至2015年6月）中收到過一個或多個通知。我們由此估計在美國所有成年人中超過1/4的人，或者說有6400萬人，在那一年中接到過個人信息損失通知。高收入和受過良好教育的受訪者更加記得泄露經歷，而年紀較輕的成人（18～34歲之間）和年齡較大的人（65歲以上）則記得不多。而且，在這些受訪者中，超過一半（51%）或者說約3600萬人在調查前一年中接到過兩次或多次通知。

2.在那些曾經接到過通知的人中，有44% 的人已經知道了信息泄露。

在那些記得自己曾經接到過數據泄露通知的受訪者中，多數人（56%）是從公司的通知中才第一次聽說了泄露這回事。但是有44%的人最初是從公司以外的渠道、通常從媒體的報道或者從銀行之類的第三方了解到的。只有10%的人通過識別可疑行為發(fā)現了泄露。

3. 62%的受訪者接受了免費信用審查的提議。

盡管證據表明情況并非如此，但還是有超過62%的受訪者報告說已經接受了免費信用審查。根據受訪者的說法，影響他們決策的有三個主要因素：（1）所需的時間和行動；（2）（對受影響公司和泄露通知服務的）品質觀察和信任；（3） 這個提議是否重復了受害人享有的其他服務。

4.只有11%的受訪者在泄露之后不再與該公司打交道。

多數受訪者（89%）繼續(xù)與泄露信息的公司做生意，只有11%的人不再這么做。而有1%的人報告說增加了與該公司的業(yè)務量。

5.在那些對信息泄露和由此造成的不便估價為1美元的人中，平均損失500美元。

32%的受訪者覺得泄露沒有對自己造成經濟損失。剩下68%的人估計泄露造成某些經濟損失，平均損失500美元。如果是醫(yī)療信息（損失1000美元）、社保號碼（損失1000美元）或其他金融信息（損失864美元）泄露，平均經濟損失值還會更高。而不到6%的人說泄露造成的不便讓他們損失了1萬美元甚至更多。在那些經歷過極度不便的人中，泄露通常涉及到信用卡或醫(yī)療信息。

6. 77%的受訪者對公司信息泄露之后的反應高度滿意。

調查發(fā)現人們對泄露信息的公司態(tài)度是相當好的。多數受訪者（77%）對公司在泄露后的反應高度滿意。少數族裔人群的態(tài)度最不一樣，他們對公司泄露后的反應不太滿意，而且會更關注泄露造成不便的經濟價值，甚至不再與該公司做生意。

8.受訪者向公司提出了更好保護數據的幾個做法。

調查要求參與者在數據泄露后確定自己愿意或不愿意向公司建議的行動。多數受訪者高度滿意的做法有：（1）采取措施確保將來不再發(fā)生類似的泄露事件（占68%）；（2）提供免費信用審查或類似服務，確保損失的數據不被濫用（占64%）；（3）馬上通知消費者（占63%）。上述三個行動比因泄露造成不便而接受經濟補償評價更好。受訪者最不滿意的做法是捐錢給那些維護網絡安全的組織或者公司只是向受泄露影響的人們道歉。

影 響

我們期待這些結果能幫助建立一道基線來理解消費者對數據損失和公司事后反應的態(tài)度。它們也對商業(yè)行為、法律政策和公眾有影響。例如：公司要關注反饋消費者的更佳途徑，并調整其他商業(yè)行為；政策制定者和法律部門要審查通知方式和數據泄露法律來加快通知速度，防止因數據被竊而造成更多損失。

超過1/4的被調查者記得在本調查前12個月內接到過數據泄露通知，這些受訪者中超過一半的人記得接到了兩次或多次通知。這對越來越依賴數字元素的世界來說具有暗示意味。44%的消費者在接到公司發(fā)來的通知之前已經知道了信息泄露，這可能是媒體報道、銀行、信用監(jiān)督和其他第三方服務起了作用。知道很多消費者具備這一意識也許能幫助公司調整向消費者和公眾披露泄露事件的時間和策略。與過去的統(tǒng)計和研究相反，有62%的受訪者報告說接受了免費信用監(jiān)督的提議，高于公開報道的10%～29%這一比率。這表明了消費者可能覺得最近的泄露或數據損失讓公司加強保護——不管他們是否遭受“泄露疲勞”。多數受訪者（77%）對公司泄露后的反應高度滿意，只有一些人（11%）不再與該公司做生意，似乎表明消費者認同公司能恰當處理數據泄露的后果。但卻無法確定能否促使公司改變或改善數據泄露通知行為。

原文標題： Consumer attitudes toward Data Breach Notifications and Loss of Personal Information