你的個人數據被盜了真的會讓你付出代價嗎？——《華爾街日報》

衡量數據泄露對個體受害者造成的損害始終難以量化。插圖：喬恩·克勞斯個人信息遭竊的數據泄露事件對個體造成的損失究竟有多大？

這是個難以回答的問題。若你的數據被盜，可能會帶來焦慮與不便（如修改密碼、註銷信用卡等）。但這是否實際造成經濟損失？如果有，金額又是多少？

儘管困難重重，這個問題卻關乎核心——它直接決定受害者是否應獲賠償及賠償額度。近年來數據泄露事件激增更凸顯其重要性。據身份盜竊資源中心統計，2022年美國上報的數據泄露事件達1802起，僅次於2021年創紀錄的1862起。

然而個體損害評估仍面臨挑戰。典型案例是，美國第四巡迴上訴法院正審議針對萬豪國際的集體訴訟——2018年該集團數據泄露事件導致數百萬客户記錄外泄。法院裁定的關鍵點在於：信息遭泄露的客户是否遭受了實際損害。

難以追蹤數據泄露對個人造成的成本主要有兩個原因。首先，第三方通常無法識別受影響的個人，因為目標公司不會公佈受害者的姓名。其次，很難確定哪些成本是由特定泄露事件導致的，而不是由其他可能的原因引起的，例如其他數據泄露或網絡犯罪、經濟狀況，甚至個人不良的財務習慣。

一個不尋常的案例

在最近的一項研究中，我們通過分析一個不尋常的數據泄露事件克服了這些問題。2012年，南卡羅來納州税務局遭到入侵，泄露了幾年內通過電子方式向該州提交納税申報表的人們的記錄。被盜數據包括社會安全號碼和完整的納税申報表——這些信息騙子可以用來以受害者的名義開設新的銀行或信用卡賬户或借款。

由於這次泄露事件的受害者很容易被識別——南卡羅來納州相當大一部分人口——這提供了一個獨特的機會，可以比較受影響的個人和未受影響的個人——其他州的居民。2011年南卡羅來納州税務局收到的個人所得税申報表中，共有86%是通過電子或其他非紙質方式提交的，儘管其中一些申報人並非該州居民。

我們利用美國消費者金融保護局的數據，研究了南卡羅來納州數據泄露事件對住房抵押貸款申請的影響。如果數據泄露導致的身份盜竊損害了個人的財務和信用記錄，他們將更難獲得抵押貸款。因此，我們比較了2012年數據泄露事件後，南卡羅來納州居民與鄰近的喬治亞州和北卡羅來納州抵押貸款申請者，是否遭遇了更高的拒貸率。

抵押貸款拒批絕非數據泄露給個人帶來的唯一損失。其他代價可能包括信用卡欺詐性消費、因身份竊賊破壞受害者信用評分導致的貸款利率上升或租房困難。然而這些及其他損失難以量化。但抵押貸款拒批數據是公開可查的，通過分析這些數據，我們得以證實數據泄露確實會給個人帶來重大損失——這一影響常被低估或僅被視為理論風險。

為使對比組更具可比性，我們僅考察南卡羅來納州與喬治亞州、北卡羅來納州接壤的縣，這些地區具有影響抵押貸款申請的相似人口和社會經濟特徵。此外，為排除受影響的南卡羅來納州居民遷移至喬治亞州或北卡羅來納州購房（反之亦然）的可能性，我們剔除了新房購買貸款申請，僅分析房主為現有主要住房進行再融資或房屋改善的貸款。總計我們研究了約160萬份符合這些標準的貸款申請。

信貸申請被拒

我們發現，儘管在數據泄露事件前（2007年至2012年），南卡羅來納州居民與佐治亞州和北卡羅來納州居民的抵押貸款申請拒絕率並無差異，但在泄露事件後（2013年至2017年），南卡羅來納州的拒絕率上升了4%，而其他兩州的合計拒絕率僅上升約1.6%。

此外，南卡羅來納州被拒貸款的平均金額在數據泄露後增加了1,095美元。造成這一增幅的原因可能是：信用受損對較小額貸款影響不大，但會影響較大額貸款的申請。在佐治亞州和北卡羅來納州，被拒申請的平均金額增加了437美元。

這些結論已排除了性別、種族、人口數量、家庭規模、收入及其他經濟與住房市場特徵，以及各州抵押貸款法律變化的影響。

研究還表明，數據泄露對南卡羅來納州的黑人和拉丁裔居民造成了不成比例的影響。泄露事件後，該州黑人居民的貸款拒絕率上升26%，拉丁裔上升18%。而非黑人及非拉丁裔居民的拒絕率僅上升約3.5%。在我們研究的南卡羅來納州貸款申請人中，黑人和拉丁裔分別佔5%和3%，因此他們較高的拒絕率並未使總體拒絕率與其他族裔羣體產生顯著差異。

欺詐數據的佐證

為確認抵押貸款拒絕率上升是否源於欺詐增加及南卡羅來納州居民信用記錄受損，我們分析了聯邦調查局國家事件報告系統中的電信欺詐事件（包括身份盜用等利用個人信息的網絡犯罪）。數據顯示，南卡羅來納州數據泄露後，該州電信欺詐事件報案量增長20%，而其他州平均僅增長7%。此外，在少數族裔人口較多、收入中位數較低且貧困線以下人口較多的南卡羅來納州縣，電信欺詐案件增幅更為顯著。

根據美國消費者金融保護局的數據，我們還發現，在2011年至2019年期間，南卡羅來納州消費者關於信用卡、信用報告以及信用記錄信息錯誤的投訴數量比其他州增長得更多。

所有這些都支持我們的結論，即南卡羅來納州的數據泄露事件損害了該州居民的信用狀況，導致與往年及鄰近州相比，抵押貸款拒絕率更高。房主通常會通過再融資抵押貸款來支付較低的利息，而由於數據泄露導致的再融資拒絕，在10到20年內損失的利息節省將是相當可觀的。此外，抵押貸款申請被拒並不是數據泄露對個人受害者的唯一成本，因此他們的總成本必須比我們發現的還要高。

南卡羅來納州税務局拒絕對這項研究發表評論。

從更廣泛的角度來看，我們的研究結果傳達了一個明確的信息，即在討論如何——甚至是否——應該對人們進行補償時，不應低估數據泄露對個人受害者的傷害。對個人的成本是真實且巨大的，並且可能在數據泄露發生後持續數年。

Min-Seok Pang是天普大學福克斯商學院管理信息系統副教授和Milton F. Stauffer研究員。Anthony Vance是弗吉尼亞理工大學潘普林商學院商業信息技術系的Ralph Medinger Lenz教授和Commonwealth Cyber Initiative研究員。他們可以通過[email protected]聯繫。