王麗穎，王花蕾

（國家工業(yè)信息安全發(fā)展研究中心，北京 100040）

0 引 言

隨著大數(shù)據(jù)的廣泛普及和應(yīng)用，數(shù)據(jù)資源的價(jià)值逐步得到重視和認(rèn)可，數(shù)據(jù)交易流通機(jī)制不斷完善。近年來，全國涌現(xiàn)不少數(shù)據(jù)交易所和數(shù)據(jù)交易中心（以下統(tǒng)稱為數(shù)據(jù)交易平臺(tái)），據(jù)無錫數(shù)字經(jīng)濟(jì)研究院的一份數(shù)據(jù)顯示，截至2021年7月，全國已設(shè)立17家數(shù)據(jù)交易平臺(tái)。然而，我國數(shù)據(jù)交易平臺(tái)當(dāng)前尚未形成成熟的商業(yè)模式，也沒有出臺(tái)專門的法律法規(guī)以規(guī)范數(shù)據(jù)服務(wù)商，一旦企業(yè)間出現(xiàn)數(shù)據(jù)紛爭且無法通過主管部門協(xié)調(diào)解決時(shí)，判決的依據(jù)一般都是個(gè)人信息保護(hù)相關(guān)法規(guī)。

近兩年，國內(nèi)學(xué)者對(duì)國內(nèi)外數(shù)據(jù)服務(wù)商相關(guān)內(nèi)容進(jìn)行了很多研究。如劉耀華[1]（2017）對(duì)美國數(shù)據(jù)經(jīng)紀(jì)商監(jiān)管情況進(jìn)行了簡單介紹；彭星和萬雨嬌[2]（2019）對(duì)美國佛蒙特州的數(shù)據(jù)經(jīng)紀(jì)商制度進(jìn)行了介紹；桂祥[3]（2021）基于對(duì)國內(nèi)相關(guān)文獻(xiàn)的梳理，建議從中間商資格準(zhǔn)入、交易標(biāo)準(zhǔn)、交易方式、政府監(jiān)管等方面入手完善信息中間商制度。在此基礎(chǔ)上，本文進(jìn)一步梳理了美國政府在規(guī)范相關(guān)行為上的立法和行政措施，以及美國企業(yè)的自律行為，以便為完善我國相關(guān)制度提供借鑒。

1 美國數(shù)據(jù)經(jīng)紀(jì)商的主要類別和業(yè)務(wù)特點(diǎn)

美國聯(lián)邦貿(mào)易委員會(huì)（Federal Trade Commission，F(xiàn)TC）將“數(shù)據(jù)經(jīng)紀(jì)商”（或代理商、中間商，data broker）定義為“從各種來源收集有關(guān)消費(fèi)者信息的公司，匯總、分析和共享原始信息或衍生信息，并向與消費(fèi)者沒有直接關(guān)系的企業(yè)出售、許可、交易或提供該信息，用于產(chǎn)品營銷、驗(yàn)證個(gè)人身份或檢測欺詐行為等”。顯然，美國政府所說的數(shù)據(jù)經(jīng)紀(jì)商與桂祥依據(jù)國內(nèi)法規(guī)提出的信息中間商基本相同，都是重要的第三方數(shù)據(jù)服務(wù)者。本文統(tǒng)一將美國相關(guān)企業(yè)稱為“數(shù)據(jù)經(jīng)紀(jì)商”。

1.1 美國數(shù)據(jù)經(jīng)紀(jì)商的3種主要業(yè)務(wù)模式

第一種是數(shù)據(jù)平臺(tái)消費(fèi)者對(duì)企業(yè)（Customer to Business，C2B）分銷模式。用戶將個(gè)人數(shù)據(jù)提供給數(shù)據(jù)平臺(tái)，數(shù)據(jù)平臺(tái)向用戶支付一定的商品、貨幣、服務(wù)等價(jià)物或者優(yōu)惠、打折、積分等對(duì)價(jià)利益，并將匯總的個(gè)人信息出售給數(shù)據(jù)經(jīng)紀(jì)商。例如，美國學(xué)生營銷公司Edvisors運(yùn)營多個(gè)面向大學(xué)生的網(wǎng)站，其中包括PrivateStudentLoans.com、HowToGetIn.com和GradLoans.com等。訪問這些站點(diǎn)的學(xué)生只要輸入個(gè)人信息，就有機(jī)會(huì)贏得最高1萬美元的獎(jiǎng)金。但是，在該公司的隱私政策中提出“會(huì)向我們認(rèn)為您可能感興趣的第三方出售數(shù)據(jù)”，隨后將這些數(shù)據(jù)打包出售給數(shù)據(jù)經(jīng)紀(jì)商等相關(guān)交易方。

第二種是數(shù)據(jù)平臺(tái)企業(yè)對(duì)企業(yè)（Business to Business，B2B）集中銷售模式。數(shù)據(jù)平臺(tái)支持查詢相關(guān)數(shù)據(jù)集，以中間人身份為數(shù)據(jù)提供方和數(shù)據(jù)購買方提供數(shù)據(jù)交易撮合服務(wù)，其中，數(shù)據(jù)提供方和購買方都是經(jīng)交易平臺(tái)審核認(rèn)證、自愿從事數(shù)據(jù)買賣的實(shí)體公司。例如，美國微軟Azure、DataMarket、Factual、Infochimps等 數(shù)據(jù)平臺(tái)可供研發(fā)企業(yè)等機(jī)構(gòu)對(duì)目標(biāo)客戶進(jìn)行查找、預(yù)覽、購買和管理數(shù)據(jù)訂閱，并代理數(shù)據(jù)提供方、購買方進(jìn)行數(shù)據(jù)買賣活動(dòng)。

第三種是數(shù)據(jù)平臺(tái)B2B2C分銷集銷混合模式。數(shù)據(jù)平臺(tái)以數(shù)據(jù)經(jīng)紀(jì)商身份，收集用戶個(gè)人數(shù)據(jù)并將其轉(zhuǎn)讓、共享于他人，主要包括安客誠（Acxiom）、Corelogic、Datalogix、eBureau、ID Analytics、Intelius、PeekYou、Rapleaf、Recorded Future等公司。

鑒于數(shù)據(jù)天然的數(shù)字化特點(diǎn)，以上3種交易模式的重要主體都是平臺(tái)類數(shù)據(jù)處理機(jī)構(gòu)，他們通過平臺(tái)可以方便地為數(shù)據(jù)供需雙方提供對(duì)接服務(wù)。但是，并非所有銷售數(shù)據(jù)的機(jī)構(gòu)都是數(shù)據(jù)經(jīng)紀(jì)商。其中，在第一種數(shù)據(jù)平臺(tái)C2B分銷模式中，數(shù)據(jù)平臺(tái)為“產(chǎn)生”消費(fèi)者數(shù)據(jù)的“第一方”數(shù)據(jù)處理機(jī)構(gòu)，不屬于數(shù)據(jù)經(jīng)紀(jì)商。在第二種數(shù)據(jù)平臺(tái)B2B集中銷售模式中，數(shù)據(jù)平臺(tái)大多為購買和銷售未經(jīng)加工的原始數(shù)據(jù)的數(shù)據(jù)處理機(jī)構(gòu)，也不屬于數(shù)據(jù)經(jīng)紀(jì)商。第三種數(shù)據(jù)平臺(tái)B2B2C分銷集銷混合模式屬于數(shù)據(jù)經(jīng)紀(jì)商的監(jiān)管范疇，在美國交易市場中扮演著越來越重要的角色[4]。

1.2 美國數(shù)據(jù)經(jīng)紀(jì)商的3類主要產(chǎn)品

數(shù)據(jù)經(jīng)紀(jì)商基于掌握的數(shù)據(jù)創(chuàng)造了3類主要的數(shù)據(jù)產(chǎn)品，即市場營銷產(chǎn)品、風(fēng)險(xiǎn)識(shí)別產(chǎn)品和人員搜索產(chǎn)品。

市場營銷產(chǎn)品是指數(shù)據(jù)經(jīng)紀(jì)商向其客戶直接出售消費(fèi)者的相關(guān)信息，包括直銷產(chǎn)品、在線營銷產(chǎn)品和營銷分析產(chǎn)品。其中，直銷產(chǎn)品是指通過消費(fèi)者的郵箱、電話等渠道推銷產(chǎn)品；在線營銷產(chǎn)品是指通過互聯(lián)網(wǎng)、移動(dòng)設(shè)備、有線電視等渠道向消費(fèi)者推銷產(chǎn)品；營銷分析產(chǎn)品是指通過分析消費(fèi)者的線下活動(dòng)而推銷特定產(chǎn)品等。提供市場營銷產(chǎn)品的代表性企業(yè)包括安客誠（Acxiom）、甲骨文（Oracle）、Innovis、KBM等。

風(fēng)險(xiǎn)識(shí)別產(chǎn)品包括身份認(rèn)證產(chǎn)品和欺詐偵測產(chǎn)品兩類，幫助確認(rèn)消費(fèi)者的身份或識(shí)別欺詐行為，如客戶通過數(shù)據(jù)經(jīng)紀(jì)商的身份認(rèn)證產(chǎn)品確認(rèn)某消費(fèi)者提供的身份登記信息是準(zhǔn)確的，或識(shí)別出消費(fèi)者在進(jìn)行某項(xiàng)申請(qǐng)時(shí)提供的地址是錯(cuò)誤的，涉嫌存在欺詐行為。消費(fèi)者一般無法訪問風(fēng)險(xiǎn)識(shí)別產(chǎn)品中與自身相關(guān)的數(shù)據(jù)，更無法更正其中的錯(cuò)誤數(shù)據(jù)。提供這類產(chǎn)品的代表性企業(yè)包括Equifax、Experian、TransUnion等。

人員搜索產(chǎn)品可以幫助用戶調(diào)查競爭對(duì)手、找到老朋友、查閱潛在的愛人或鄰居、獲取消費(fèi)者的法庭記錄及其他信息。消費(fèi)者一般可以訪問人員搜索產(chǎn)品中與自身相關(guān)的數(shù)據(jù)，數(shù)據(jù)經(jīng)紀(jì)商也允許其不同程度地修改個(gè)人數(shù)據(jù)或?qū)€(gè)人數(shù)據(jù)從相關(guān)產(chǎn)品中撤出。提供這類產(chǎn)品的代表性企業(yè)包括Spokeo、ZoomInfo、White Pages、PeopleSmart、Intelius、PeopleFinders等[5]。

1.3 美國數(shù)據(jù)經(jīng)紀(jì)商的數(shù)據(jù)來源和使用特點(diǎn)

數(shù)據(jù)經(jīng)紀(jì)商上通數(shù)據(jù)源頭下達(dá)數(shù)據(jù)買家，是數(shù)據(jù)要素市場中非常重要的一個(gè)角色。他們一般不直接接觸數(shù)據(jù)源頭，而是通過政府、公開、商業(yè)等正規(guī)渠道獲取數(shù)據(jù)，并出售給最終用戶。

如圖1所示，數(shù)據(jù)經(jīng)紀(jì)商的主要數(shù)據(jù)源包括聯(lián)邦政府?dāng)?shù)據(jù)源、地方政府?dāng)?shù)據(jù)源、商業(yè)數(shù)據(jù)源和互為數(shù)據(jù)源[6]。其中，聯(lián)邦政府?dāng)?shù)據(jù)源是直接從聯(lián)邦政府獲取的開放數(shù)據(jù)，如駕駛執(zhí)照、機(jī)動(dòng)車記錄、人口普查數(shù)據(jù)、出生證、結(jié)婚證、選民登記信息等；地方政府?dāng)?shù)據(jù)源是通過與地方政府之間的業(yè)務(wù)往來等活動(dòng)，自動(dòng)收集或獲取地方政府?dāng)?shù)據(jù)；公共數(shù)據(jù)源包括社交媒體、博客、互聯(lián)網(wǎng)瀏覽歷史、在線購物記錄、新聞報(bào)道等；商業(yè)數(shù)據(jù)源包括消費(fèi)者的保修信息、信用卡資料，從零售商等渠道購買的商品交易信息，從期刊發(fā)行商購買的用戶訂閱信息等；互為數(shù)據(jù)源是不同的數(shù)據(jù)經(jīng)紀(jì)商共享相同或類似的數(shù)據(jù)源[5]。

總結(jié)來看，數(shù)據(jù)經(jīng)紀(jì)商的數(shù)據(jù)使用特點(diǎn)如下文所述。

（1）不為消費(fèi)者所熟知。經(jīng)紀(jì)商一般不直接從消費(fèi)者手中獲取數(shù)據(jù)，消費(fèi)者在很大程度上不知道經(jīng)紀(jì)商正在收集和使用這些個(gè)人信息?？梢哉f，經(jīng)紀(jì)商的活動(dòng)往往“不為人知”，只要消費(fèi)者在網(wǎng)絡(luò)上從事相關(guān)活動(dòng)，信息就可能被收集。

（2）收集并使用原始數(shù)據(jù)。經(jīng)紀(jì)商主要從商業(yè)、政府和其他可公開獲得的資料中收集個(gè)人可識(shí)別信息以繪制個(gè)人資料，包括姓名、住址、年齡、手機(jī)號(hào)碼、性別、收入、投票信息、購物信息、網(wǎng)頁瀏覽記錄、保修登記等詳細(xì)信息?？梢哉f，經(jīng)紀(jì)商的活動(dòng)“無孔不入”，幾乎每位公民的數(shù)據(jù)都會(huì)被收集。

（3）獲取衍生數(shù)據(jù)。經(jīng)紀(jì)商基于收集的原始數(shù)據(jù)，不斷獲取更多的衍生數(shù)據(jù)，包括個(gè)人習(xí)慣、偏好、人際關(guān)系、運(yùn)動(dòng)路徑等。例如，將消費(fèi)者歸類為準(zhǔn)父母、汽車狂熱者、糖尿病潛在患者、追求折扣的購物者、涉嫌欺詐的人員等。但衍生數(shù)據(jù)的真實(shí)性和可用性往往難以評(píng)估，取決于原始數(shù)據(jù)的質(zhì)量。

（4）數(shù)據(jù)一般被出售給提供某些特定服務(wù)的第三方。經(jīng)紀(jì)商將個(gè)人信息許可或出售給其他第三方公司后，后者往往會(huì)給消費(fèi)者提供更具針對(duì)性的產(chǎn)品折扣等廣告及人員搜索、風(fēng)險(xiǎn)識(shí)別等數(shù)據(jù)分析類服務(wù)。其目標(biāo)客戶非常廣泛，包括政府部門及法律、汽車、教育、保險(xiǎn)、科技、電信、零售、制藥、房產(chǎn)、娛樂、能源等各個(gè)行業(yè)。

2 美國政府對(duì)數(shù)據(jù)經(jīng)紀(jì)商行為的監(jiān)管措施

美國分別從聯(lián)邦和州兩個(gè)層面對(duì)數(shù)據(jù)經(jīng)紀(jì)商采取監(jiān)管手段。其中，聯(lián)邦層面更多是通過FTC等現(xiàn)有機(jī)構(gòu)進(jìn)行監(jiān)管，并針對(duì)數(shù)據(jù)經(jīng)紀(jì)商行業(yè)新出現(xiàn)的問題進(jìn)行調(diào)研。州層面則更具操作性，針對(duì)具體問題，在所屬范圍內(nèi)出臺(tái)專門立法標(biāo)準(zhǔn)，為行業(yè)健康發(fā)展提供“參考答案”。

早在20世紀(jì)90年代，美國政府部門就開始進(jìn)行實(shí)地調(diào)研，深入探究數(shù)據(jù)經(jīng)紀(jì)商存在的問題。在這一階段，F(xiàn)TC的主要監(jiān)管依據(jù)是1970年頒布的《公平信用報(bào)告法》（Fair Credit Reporting Act，F(xiàn)CRA）。該法主要監(jiān)管經(jīng)紀(jì)商收集消費(fèi)者信息，并將其提供給信貸、就業(yè)、保險(xiǎn)、住房等行業(yè)消費(fèi)者征信機(jī)構(gòu)（Consumer Reporting Agencies，CRA）的行為，要求CRA為消費(fèi)者提供瀏覽及修改信息的渠道，確保消費(fèi)者信息的準(zhǔn)確性。FTC還多次組織研討會(huì)，討論數(shù)據(jù)經(jīng)紀(jì)商對(duì)個(gè)人隱私的保護(hù)情況，并組織成員單位成立了個(gè)人參考服務(wù)組織（Individual References Services Group，IRSG），對(duì)行業(yè)透明度進(jìn)行自我監(jiān)管，該組織直到2001年9月才終止。總的來看，在這一時(shí)期，F(xiàn)TC積極展開調(diào)研工作，并進(jìn)行了一定的自我監(jiān)管嘗試，但FCRA總體上無法滿足對(duì)數(shù)據(jù)經(jīng)紀(jì)商監(jiān)管的需要，總體監(jiān)管效果不佳[7]。

進(jìn)入21世紀(jì)，美國政府大力推動(dòng)數(shù)據(jù)開放運(yùn)動(dòng)，先后發(fā)布了《透明和開放的政府備忘錄》《開放政府指令》《實(shí)現(xiàn)政府信息公開化和機(jī)器可讀取化總統(tǒng)行政命令》。自2009年起，美國公眾可免費(fèi)獲取政府?dāng)?shù)據(jù)，隨之涌現(xiàn)出一大批數(shù)據(jù)服務(wù)企業(yè)，例如，房地產(chǎn)公司Zillow利用政府開放的房屋數(shù)據(jù)，可提供在線房產(chǎn)估值和交易服務(wù)。數(shù)據(jù)經(jīng)紀(jì)商收集、整理、出售的數(shù)據(jù)規(guī)模也相應(yīng)增多，F(xiàn)TC、政府問責(zé)局等政府部門再次認(rèn)識(shí)到其中的數(shù)據(jù)安全風(fēng)險(xiǎn)，并著手進(jìn)行規(guī)范。

2012年，F(xiàn)TC對(duì)數(shù)據(jù)經(jīng)紀(jì)商展開調(diào)查，要求9大經(jīng)紀(jì)商①九大數(shù)據(jù)經(jīng)紀(jì)商包括Acxiom、Corelogic、Datalogix、eBureau、ID Analytics、Intelius、PeekYou、Rapleaf、Recorded Future。提交有關(guān)數(shù)據(jù)收集和使用的詳細(xì)信息，包括數(shù)據(jù)來源和類型，使用、保存和分發(fā)數(shù)據(jù)的方式，允許消費(fèi)者訪問和修改數(shù)據(jù)的范圍，消費(fèi)者退出數(shù)據(jù)銷售或共享的方式等。基于這些調(diào)查結(jié)果，F(xiàn)TC在2014年發(fā)布了《數(shù)據(jù)經(jīng)紀(jì)商：呼吁透明度與問責(zé)制》（Data Brokers:A Call for Transparency and Accountability）報(bào)告，指出缺乏透明性會(huì)給個(gè)人隱私及信息安全帶來很大風(fēng)險(xiǎn)。此后，美國加快立法進(jìn)度。2014年2月，參議員杰伊·洛克菲勒（Jay Rockefeller）和埃德·馬基（Ed Markey）提交《數(shù)據(jù)經(jīng)紀(jì)商問責(zé)制和透明度法案》（Data Broker Accountability and Transparency Act）[8]；同年4月，眾議員博比·拉什（Bobby L. Rush）和喬·巴頓（Joe Barton）提交《2014年數(shù)據(jù)透明度和信任法案》（The Data Accountability and Trust Act of 2014）[9]。2019年7月，參議員加里·彼得斯（Gary Peters）提交《2019年數(shù)據(jù)經(jīng)紀(jì)商法案》（Data Broker List Act of 2019）[10]，為FTC等部門的監(jiān)管設(shè)立了明確的法律依據(jù)。相關(guān)法案主要側(cè)重解決3大問題，包括賦予個(gè)人數(shù)據(jù)知情權(quán)和決定權(quán)、提高數(shù)據(jù)經(jīng)紀(jì)業(yè)的行業(yè)透明度、確保數(shù)據(jù)經(jīng)紀(jì)業(yè)的交易安全性。

2.1 賦予個(gè)人數(shù)據(jù)知情權(quán)和決定權(quán)

《數(shù)據(jù)經(jīng)紀(jì)商問責(zé)制和透明度法案》要求經(jīng)紀(jì)商確保個(gè)人信息的準(zhǔn)確性，賦予個(gè)人對(duì)自身信息的免費(fèi)訪問和更正權(quán)，并希望打造一個(gè)專門網(wǎng)站指導(dǎo)個(gè)人如何訪問其信息、表達(dá)是否愿意將個(gè)人信息用于營銷的意愿、允許按流程要求修改個(gè)人信息，充分體現(xiàn)了對(duì)個(gè)人隱私的尊重和保護(hù)。不過，該法案當(dāng)時(shí)并沒有通過。

隨后，美國州層面率先通過了專門立法。2018年5月，美國首個(gè)針對(duì)數(shù)據(jù)經(jīng)紀(jì)商的行業(yè)立法佛蒙特州《數(shù)據(jù)經(jīng)紀(jì)法》正式發(fā)布，規(guī)定經(jīng)紀(jì)商應(yīng)允許消費(fèi)者自主選擇是否同意經(jīng)紀(jì)商采集、儲(chǔ)存及銷售個(gè)人數(shù)據(jù)，是否同意委托第三方行使相關(guān)權(quán)利，在“知情同意”的基本原則的基礎(chǔ)上，該法更重要的是賦予“選擇退出”（opt-out）權(quán)，即消費(fèi)者對(duì)出售其個(gè)人信息擁有選擇退出權(quán)，并提供退出行為的相關(guān)方法、適用范圍[11]。該法還設(shè)計(jì)了“消費(fèi)者披露”章節(jié)，規(guī)定征信機(jī)構(gòu)必須在《公平信用報(bào)告法》的規(guī)定下，向消費(fèi)者準(zhǔn)確提供信用分?jǐn)?shù)、過去一年內(nèi)用戶查詢情況、信息解釋以及征信機(jī)構(gòu)最新聯(lián)系方式等信息，使消費(fèi)者能夠及時(shí)從征信機(jī)構(gòu)處了解到被獲取的信息和權(quán)利。

在州層面劃定監(jiān)管“紅線”的基礎(chǔ)上，聯(lián)邦層面，美國國會(huì)參議院商務(wù)、科學(xué)和運(yùn)輸委員會(huì)于2019年7月審議《2019年數(shù)據(jù)經(jīng)紀(jì)商法案》，從聯(lián)邦法律層面為保障消費(fèi)者權(quán)利提出了基本“紅線”，禁止數(shù)據(jù)經(jīng)紀(jì)商使用欺詐手段或通過糾纏、騷擾等方式獲取個(gè)人信息，禁止在就業(yè)、住房、信貸等方面對(duì)個(gè)人存在歧視行為，禁止將個(gè)人信息出售或轉(zhuǎn)讓給從事非法或禁止活動(dòng)的第三方。

2.2 提高數(shù)據(jù)經(jīng)紀(jì)業(yè)的行業(yè)透明度

政府監(jiān)管部門一直希望數(shù)據(jù)經(jīng)紀(jì)商披露其數(shù)據(jù)運(yùn)營情況，而數(shù)據(jù)經(jīng)紀(jì)商往往以保持競爭力、保護(hù)商業(yè)秘密或知識(shí)產(chǎn)權(quán)為由，拒絕向外部公布其業(yè)務(wù)細(xì)節(jié)。美國的年度登記注冊(cè)制度在一定程度上解決了這一問題，提高了數(shù)據(jù)經(jīng)紀(jì)業(yè)務(wù)的透明度。

佛蒙特州《數(shù)據(jù)經(jīng)紀(jì)法》首次明確提出年度登記注冊(cè)制度，要求本州數(shù)據(jù)經(jīng)紀(jì)商在每年1月31日之前向州務(wù)卿注冊(cè)。注冊(cè)時(shí)，除需提交允許消費(fèi)者禁止數(shù)據(jù)被商用的權(quán)利外，還需要提交經(jīng)紀(jì)商的公司名稱、實(shí)際地址、郵件地址、網(wǎng)站等基本信息，以及是否對(duì)購買者資格進(jìn)行認(rèn)證，上一年數(shù)據(jù)泄露事件的數(shù)量和受影響人數(shù)，個(gè)人信息被訪問、下載或泄露的數(shù)量等信息。未按規(guī)定注冊(cè)的，需繳納每日50美元、每年不超過1萬美元的民事罰款。

在佛蒙特州立法后，《2019年數(shù)據(jù)經(jīng)紀(jì)商法案》對(duì)所有數(shù)據(jù)經(jīng)紀(jì)商也提出了相同要求，規(guī)定相關(guān)信息由FTC審查、公開，并對(duì)相應(yīng)的違規(guī)行為進(jìn)行懲罰。FTC每年還要向國會(huì)提交年度審查報(bào)告，以及立法和行動(dòng)建議。2019年10月，美國加利福尼亞州也發(fā)布數(shù)據(jù)經(jīng)紀(jì)商注冊(cè)法規(guī)AB 1202，要求所有向加利福尼亞州居民提供服務(wù)的數(shù)據(jù)經(jīng)紀(jì)商每年應(yīng)向州總檢察長注冊(cè)并申報(bào)信息。

2.3 確保數(shù)據(jù)經(jīng)紀(jì)業(yè)的交易安全性

法律對(duì)數(shù)據(jù)經(jīng)紀(jì)商的資質(zhì)和安全規(guī)范也提出了相應(yīng)的要求。聯(lián)邦層面，未獲通過的《2014年數(shù)據(jù)透明度和信任法案》提議數(shù)據(jù)經(jīng)紀(jì)商應(yīng)向FTC提交有關(guān)收集和銷售個(gè)人數(shù)據(jù)的安全計(jì)劃，包括指定專人負(fù)責(zé)數(shù)據(jù)安全管理、定期監(jiān)測并識(shí)別系統(tǒng)中可預(yù)見的漏洞、通過技術(shù)手段降低漏洞威脅、通過數(shù)據(jù)清洗確保個(gè)人隱私安全、采用標(biāo)準(zhǔn)程序銷毀存儲(chǔ)個(gè)人數(shù)據(jù)的介質(zhì)等。由FTC或獨(dú)立的第三方負(fù)責(zé)審計(jì)數(shù)據(jù)經(jīng)紀(jì)商的數(shù)據(jù)安全策略。

隨后，《2019年數(shù)據(jù)經(jīng)紀(jì)商法案》對(duì)經(jīng)紀(jì)商的數(shù)據(jù)安全計(jì)劃提出了更為具體的規(guī)范，要求數(shù)據(jù)經(jīng)紀(jì)商制定、實(shí)施和維護(hù)全面的數(shù)據(jù)安全流程，并根據(jù)業(yè)務(wù)規(guī)模、范圍和業(yè)務(wù)類型、數(shù)據(jù)存儲(chǔ)量等信息確定適宜的管理、技術(shù)和物理保障措施。該法案規(guī)定，應(yīng)至少指派一名專職人員維護(hù)安全流程，評(píng)估和識(shí)別內(nèi)外部威脅及在必要時(shí)改進(jìn)相關(guān)威脅的舉措。

安全防護(hù)措施做得再多，也無法完全避免數(shù)據(jù)泄露的發(fā)生。2020年1月，總部位于舊金山的數(shù)據(jù)經(jīng)紀(jì)商LimeLeads發(fā)生數(shù)據(jù)泄露，4900萬條用戶記錄在黑客論壇上被公開出售。針對(duì)此類事件，美國證券交易委員會(huì)于2021年要求上市公司必須上報(bào)數(shù)據(jù)泄露等網(wǎng)絡(luò)安全事故，否則將面臨調(diào)查傳訊。目前，全美50個(gè)州已頒布相關(guān)法令，要求機(jī)構(gòu)在發(fā)生個(gè)人數(shù)據(jù)泄露事件時(shí)，應(yīng)及時(shí)通知用戶。另外，美國還推出網(wǎng)絡(luò)安全保險(xiǎn)制度，以降低數(shù)據(jù)泄露造成的損害。2016年，國會(huì)眾議院籌款委員會(huì)（The House Committee on Ways and Means）審議的《數(shù)據(jù)泄露保險(xiǎn)法》提出對(duì)購買數(shù)據(jù)泄露保險(xiǎn)并采用美國國家標(biāo)準(zhǔn)與技術(shù)研究院網(wǎng)絡(luò)安全框架或財(cái)政部批準(zhǔn)的其他網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的公司，將給予15%的稅收減免優(yōu)惠[12]。

3 經(jīng)紀(jì)商規(guī)范數(shù)據(jù)經(jīng)紀(jì)行為的自律舉措

除政府立法和行政監(jiān)管外，數(shù)據(jù)經(jīng)紀(jì)商自身也積極規(guī)范數(shù)據(jù)來源和交易用途，加強(qiáng)數(shù)據(jù)隱私保護(hù)和安全防護(hù)，確保數(shù)據(jù)利用合法合規(guī)。

3.1 確保數(shù)據(jù)準(zhǔn)確可靠

為避免數(shù)據(jù)來源渠道不明，美國大多數(shù)數(shù)據(jù)經(jīng)紀(jì)商通過與數(shù)據(jù)來源企業(yè)簽署書面合同的方式，以確保數(shù)據(jù)來源于各級(jí)政府、公開網(wǎng)絡(luò)、商業(yè)交易和同行共享等正規(guī)合法渠道。數(shù)據(jù)來源合法能最大限度地保障數(shù)據(jù)質(zhì)量，這是數(shù)據(jù)經(jīng)紀(jì)業(yè)務(wù)的立身之本。例如，數(shù)據(jù)經(jīng)紀(jì)商安客誠（Acxiom）針對(duì)數(shù)據(jù)質(zhì)量明確提出準(zhǔn)確性原則，要求嚴(yán)格控制數(shù)據(jù)質(zhì)量，確保數(shù)據(jù)盡可能準(zhǔn)確。

從不同來源收集大量數(shù)據(jù)后，數(shù)據(jù)經(jīng)紀(jì)商會(huì)進(jìn)一步強(qiáng)化數(shù)據(jù)驗(yàn)證流程，篩選值得信任的數(shù)據(jù)。首先，大多經(jīng)紀(jì)商通常會(huì)根據(jù)相關(guān)企業(yè)在行業(yè)中的聲譽(yù)大致判斷數(shù)據(jù)的可靠性；其次，經(jīng)紀(jì)商通過查看數(shù)據(jù)源網(wǎng)站上的使用條款、收集方法、隱私政策、隱私慣例等信息，評(píng)估數(shù)據(jù)源的合法性和質(zhì)量；最后，經(jīng)紀(jì)商依靠自動(dòng)化系統(tǒng)，將新的數(shù)據(jù)與已知事實(shí)或已有的高質(zhì)量數(shù)據(jù)源進(jìn)行驗(yàn)證和比較，以檢測數(shù)據(jù)中的重大偏差，識(shí)別導(dǎo)致此類偏差的原因，篩選出值得信任的數(shù)據(jù)源。

3.2 強(qiáng)化數(shù)據(jù)安全性

數(shù)據(jù)經(jīng)紀(jì)行為面臨嚴(yán)峻的隱私問題，由于經(jīng)紀(jì)商自身存儲(chǔ)了大量數(shù)據(jù)，可能成為黑客的攻擊目標(biāo)，而且數(shù)據(jù)在不斷復(fù)制、交易的過程中也可能出現(xiàn)隱私泄露事件。據(jù)網(wǎng)絡(luò)安全公司Privacy Bee報(bào)道，在2019年美國約3.26億人口中，個(gè)人信息被竊取或泄露的數(shù)量就達(dá)60億條，即每人被泄露的信息約19條[13]。

為了避免數(shù)據(jù)泄露，除法律要求的安全措施外，經(jīng)紀(jì)商大多也會(huì)運(yùn)用制度、技術(shù)等手段強(qiáng)化數(shù)據(jù)安全。例如，經(jīng)紀(jì)商往往通過與數(shù)據(jù)使用方簽訂書面合同或許可協(xié)議，闡明數(shù)據(jù)使用權(quán)限，要求將數(shù)據(jù)用于指定目的，不得違反個(gè)人隱私和數(shù)據(jù)保護(hù)法，禁止非法或重復(fù)使用、轉(zhuǎn)售數(shù)據(jù)，禁止解碼或逆向分析數(shù)據(jù)等。

在日常系統(tǒng)維護(hù)中，很多經(jīng)紀(jì)商也會(huì)注重安全管理和安全技術(shù)運(yùn)用。很多經(jīng)紀(jì)商通過加強(qiáng)身份驗(yàn)證、加密等措施，努力減少數(shù)據(jù)泄露事件發(fā)生，甚至在必要條件下應(yīng)用人工智能、區(qū)塊鏈等技術(shù)，對(duì)數(shù)據(jù)資產(chǎn)采取額外的保護(hù)舉措。例如，安客誠規(guī)定：使用多層安全系統(tǒng)，控制訪問權(quán)限及安全性，未經(jīng)授權(quán)的個(gè)人或企業(yè)不得訪問相關(guān)信息；實(shí)時(shí)監(jiān)控系統(tǒng)漏洞和未經(jīng)授權(quán)的訪問情況，定期對(duì)內(nèi)部和外部信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估和審計(jì)，不斷評(píng)估維護(hù)數(shù)據(jù)安全的能力。

3.3 保護(hù)消費(fèi)者隱私

為更好地保護(hù)消費(fèi)者隱私，數(shù)據(jù)經(jīng)紀(jì)商除遵照法律要求外，往往還會(huì)對(duì)自身工作規(guī)范提出更多要求。例如，安客誠提出以下原則：一是守法原則，即掌握各地法律，并遵守各國隱私保護(hù)法規(guī)和監(jiān)管準(zhǔn)則；二是倫理原則，以道德和專業(yè)的方式與客戶和其數(shù)據(jù)提供者建立關(guān)系；三是提高群體意識(shí)原則，為客戶、合作伙伴及全行業(yè)提供有關(guān)個(gè)人隱私的準(zhǔn)則和法律培訓(xùn)[14]。此外，為最大限度保護(hù)消費(fèi)者權(quán)益，安客誠除告知消費(fèi)者數(shù)據(jù)使用情況外，還允許其選擇數(shù)據(jù)傳播方式。

4 結(jié) 語

美國數(shù)據(jù)經(jīng)紀(jì)商制度在強(qiáng)調(diào)聯(lián)邦和州政府利用立法和行政手段不斷規(guī)范數(shù)據(jù)經(jīng)紀(jì)商業(yè)務(wù)的基礎(chǔ)上，十分注重?cái)?shù)據(jù)經(jīng)紀(jì)商加強(qiáng)行業(yè)自律，不斷強(qiáng)化數(shù)據(jù)安全保護(hù)，這種制度為完善我國數(shù)據(jù)交易平臺(tái)等相關(guān)交易機(jī)制提供了有益借鑒。

4.1 同時(shí)發(fā)揮政府監(jiān)管與行業(yè)自律的作用

政府監(jiān)管包括法律手段和行政手段。在立法條件不成熟的情況下，以行政手段為主，并對(duì)行業(yè)進(jìn)行調(diào)研，摸清行業(yè)發(fā)展現(xiàn)狀、存在的問題，為不斷完善行政法規(guī)并逐步出臺(tái)法律奠定基礎(chǔ)。政府監(jiān)管應(yīng)為行業(yè)發(fā)展明確基本要求，并在政府規(guī)范的基礎(chǔ)上指引行業(yè)不斷強(qiáng)化自我監(jiān)管，提高服務(wù)質(zhì)量。

4.2 尊重個(gè)人對(duì)數(shù)據(jù)的知情權(quán)和決定權(quán)

數(shù)據(jù)來源雖不同，但就數(shù)據(jù)本身而言，很多數(shù)據(jù)屬于個(gè)人數(shù)據(jù)，因此，個(gè)人才是數(shù)據(jù)的真正所有人。所以，政府和數(shù)據(jù)服務(wù)商都應(yīng)保障個(gè)人知情權(quán)，向其披露個(gè)人數(shù)據(jù)收集和使用等情況，允許其更正個(gè)人數(shù)據(jù)。尊重個(gè)人對(duì)其數(shù)據(jù)使用的決定權(quán)，允許個(gè)人拒絕經(jīng)紀(jì)商跟蹤或收集、營銷其數(shù)據(jù)，并提供相應(yīng)的流程指南，指導(dǎo)個(gè)人如何表達(dá)意愿或提交申請(qǐng)。發(fā)生網(wǎng)絡(luò)安全事件時(shí)，應(yīng)及時(shí)告知相關(guān)個(gè)人。

4.3 強(qiáng)化個(gè)人隱私保護(hù)和數(shù)據(jù)安全

保護(hù)個(gè)人隱私和數(shù)據(jù)安全是數(shù)據(jù)要素市場健康發(fā)展的基礎(chǔ)。政府需健全數(shù)據(jù)安全防護(hù)措施，完善個(gè)人信息保護(hù)立法，加大對(duì)信息泄露、信息侵權(quán)等違法行為的懲處力度。不斷擴(kuò)大政府?dāng)?shù)據(jù)開放共享范圍，向數(shù)據(jù)市場提供大量優(yōu)質(zhì)數(shù)據(jù)。要求數(shù)據(jù)交易平臺(tái)制定數(shù)據(jù)保護(hù)規(guī)范，包括設(shè)置專職人員、實(shí)施合作伙伴安全資格認(rèn)證、監(jiān)督經(jīng)紀(jì)商數(shù)據(jù)保護(hù)工作實(shí)施情況等。審查數(shù)據(jù)服務(wù)商的數(shù)據(jù)安全策略并對(duì)其安全能力進(jìn)行評(píng)估，對(duì)安全能力不達(dá)標(biāo)者予以警告或懲罰。

4.4 提高數(shù)據(jù)行業(yè)的監(jiān)管透明度

明確數(shù)據(jù)服務(wù)商的責(zé)任邊界，例如，禁止使用欺詐手段獲取數(shù)據(jù)，禁止非法出售或轉(zhuǎn)讓數(shù)據(jù)。研究制定數(shù)據(jù)服務(wù)商透明度指南，試行年度注冊(cè)制度，要求其按規(guī)定提交機(jī)構(gòu)自身信息和數(shù)據(jù)業(yè)務(wù)信息，并及時(shí)向社會(huì)披露數(shù)據(jù)使用情況，包括數(shù)據(jù)訪問、收集及交易等情況，同時(shí)接受來自政府和民眾的監(jiān)督。