许多平台出于多种目的部署从用户那里收集的数据。虽然有些对用户有利，但另一些对用户的隐私来说代价高昂。这些隐私成本的存在意味着平台可能需要保证如何以及在多大程度上为定向广告、个性化定价和向第三方销售等活动收集用户数据。在本文中，我们建立了一个多阶段模型，在该模型中，用户根据隐私保证来决定是否共享他们的数据。我们首先引入了一种新的掩码混洗机制，并证明了它是Pareto最优的——这意味着对于任何给定的关于底层公共参数的泄漏，它对用户数据的泄漏最小。然后，我们证明，在任何口罩洗牌机制下，都存在一种独特的平衡，在这种平衡中，隐私保障平衡了隐私成本和用户数据池的效用收益，用于评估健康风险或产品开发等目的。矛盾的是，我们发现，随着用户对汇集数据的价值增加，游戏的均衡会导致用户福利降低。这是因为平台利用这一变化来减少隐私保障，以至于用户效用下降（而在给定的机制下，用户效用会增加）。更引人注目的是，我们发现平台有动机选择系统性地不同于从用户角度来看最优的数据架构。特别是，我们确定了一类枢轴机制，将个人隐私与他人的选择联系起来，平台更喜欢实现这些机制，这些机制会让用户的境况明显恶化。