你的个人数据被盗了真的会让你付出代价吗？——《华尔街日报》

衡量数据泄露对个体受害者造成的损害始终难以量化。插图：乔恩·克劳斯个人信息遭窃的数据泄露事件对个体造成的损失究竟有多大？

这是个难以回答的问题。若你的数据被盗，可能会带来焦虑与不便（如修改密码、注销信用卡等）。但这是否实际造成经济损失？如果有，金额又是多少？

尽管困难重重，这个问题却关乎核心——它直接决定受害者是否应获赔偿及赔偿额度。近年来数据泄露事件激增更凸显其重要性。据身份盗窃资源中心统计，2022年美国上报的数据泄露事件达1802起，仅次于2021年创纪录的1862起。

然而个体损害评估仍面临挑战。典型案例是，美国第四巡回上诉法院正审议针对万豪国际的集体诉讼——2018年该集团数据泄露事件导致数百万客户记录外泄。法院裁定的关键点在于：信息遭泄露的客户是否遭受了实际损害。

难以追踪数据泄露对个人造成的成本主要有两个原因。首先，第三方通常无法识别受影响的个人，因为目标公司不会公布受害者的姓名。其次，很难确定哪些成本是由特定泄露事件导致的，而不是由其他可能的原因引起的，例如其他数据泄露或网络犯罪、经济状况，甚至个人不良的财务习惯。

一个不寻常的案例

在最近的一项研究中，我们通过分析一个不寻常的数据泄露事件克服了这些问题。2012年，南卡罗来纳州税务局遭到入侵，泄露了几年内通过电子方式向该州提交纳税申报表的人们的记录。被盗数据包括社会安全号码和完整的纳税申报表——这些信息骗子可以用来以受害者的名义开设新的银行或信用卡账户或借款。

由于这次泄露事件的受害者很容易被识别——南卡罗来纳州相当大一部分人口——这提供了一个独特的机会，可以比较受影响的个人和未受影响的个人——其他州的居民。2011年南卡罗来纳州税务局收到的个人所得税申报表中，共有86%是通过电子或其他非纸质方式提交的，尽管其中一些申报人并非该州居民。

我们利用美国消费者金融保护局的数据，研究了南卡罗来纳州数据泄露事件对住房抵押贷款申请的影响。如果数据泄露导致的身份盗窃损害了个人的财务和信用记录，他们将更难获得抵押贷款。因此，我们比较了2012年数据泄露事件后，南卡罗来纳州居民与邻近的乔治亚州和北卡罗来纳州抵押贷款申请者，是否遭遇了更高的拒贷率。

抵押贷款拒批绝非数据泄露给个人带来的唯一损失。其他代价可能包括信用卡欺诈性消费、因身份窃贼破坏受害者信用评分导致的贷款利率上升或租房困难。然而这些及其他损失难以量化。但抵押贷款拒批数据是公开可查的，通过分析这些数据，我们得以证实数据泄露确实会给个人带来重大损失——这一影响常被低估或仅被视为理论风险。

为使对比组更具可比性，我们仅考察南卡罗来纳州与乔治亚州、北卡罗来纳州接壤的县，这些地区具有影响抵押贷款申请的相似人口和社会经济特征。此外，为排除受影响的南卡罗来纳州居民迁移至乔治亚州或北卡罗来纳州购房（反之亦然）的可能性，我们剔除了新房购买贷款申请，仅分析房主为现有主要住房进行再融资或房屋改善的贷款。总计我们研究了约160万份符合这些标准的贷款申请。

信贷申请被拒

我们发现，尽管在数据泄露事件前（2007年至2012年），南卡罗来纳州居民与佐治亚州和北卡罗来纳州居民的抵押贷款申请拒绝率并无差异，但在泄露事件后（2013年至2017年），南卡罗来纳州的拒绝率上升了4%，而其他两州的合计拒绝率仅上升约1.6%。

此外，南卡罗来纳州被拒贷款的平均金额在数据泄露后增加了1,095美元。造成这一增幅的原因可能是：信用受损对较小额贷款影响不大，但会影响较大额贷款的申请。在佐治亚州和北卡罗来纳州，被拒申请的平均金额增加了437美元。

这些结论已排除了性别、种族、人口数量、家庭规模、收入及其他经济与住房市场特征，以及各州抵押贷款法律变化的影响。

研究还表明，数据泄露对南卡罗来纳州的黑人和拉丁裔居民造成了不成比例的影响。泄露事件后，该州黑人居民的贷款拒绝率上升26%，拉丁裔上升18%。而非黑人及非拉丁裔居民的拒绝率仅上升约3.5%。在我们研究的南卡罗来纳州贷款申请人中，黑人和拉丁裔分别占5%和3%，因此他们较高的拒绝率并未使总体拒绝率与其他族裔群体产生显著差异。

欺诈数据的佐证

为确认抵押贷款拒绝率上升是否源于欺诈增加及南卡罗来纳州居民信用记录受损，我们分析了联邦调查局国家事件报告系统中的电信欺诈事件（包括身份盗用等利用个人信息的网络犯罪）。数据显示，南卡罗来纳州数据泄露后，该州电信欺诈事件报案量增长20%，而其他州平均仅增长7%。此外，在少数族裔人口较多、收入中位数较低且贫困线以下人口较多的南卡罗来纳州县，电信欺诈案件增幅更为显著。

根据美国消费者金融保护局的数据，我们还发现，在2011年至2019年期间，南卡罗来纳州消费者关于信用卡、信用报告以及信用记录信息错误的投诉数量比其他州增长得更多。

所有这些都支持我们的结论，即南卡罗来纳州的数据泄露事件损害了该州居民的信用状况，导致与往年及邻近州相比，抵押贷款拒绝率更高。房主通常会通过再融资抵押贷款来支付较低的利息，而由于数据泄露导致的再融资拒绝，在10到20年内损失的利息节省将是相当可观的。此外，抵押贷款申请被拒并不是数据泄露对个人受害者的唯一成本，因此他们的总成本必须比我们发现的还要高。

南卡罗来纳州税务局拒绝对这项研究发表评论。

从更广泛的角度来看，我们的研究结果传达了一个明确的信息，即在讨论如何——甚至是否——应该对人们进行补偿时，不应低估数据泄露对个人受害者的伤害。对个人的成本是真实且巨大的，并且可能在数据泄露发生后持续数年。

Min-Seok Pang是天普大学福克斯商学院管理信息系统副教授和Milton F. Stauffer研究员。Anthony Vance是弗吉尼亚理工大学潘普林商学院商业信息技术系的Ralph Medinger Lenz教授和Commonwealth Cyber Initiative研究员。他们可以通过[email protected]联系。