美国数据经纪商监管制度对我国数据服务业发展的启示*
2022-04-08王丽颖王花蕾
王丽颖,王花蕾
(国家工业信息安全发展研究中心,北京 100040)
0 引 言
随着大数据的广泛普及和应用,数据资源的价值逐步得到重视和认可,数据交易流通机制不断完善。近年来,全国涌现不少数据交易所和数据交易中心(以下统称为数据交易平台),据无锡数字经济研究院的一份数据显示,截至2021年7月,全国已设立17家数据交易平台。然而,我国数据交易平台当前尚未形成成熟的商业模式,也没有出台专门的法律法规以规范数据服务商,一旦企业间出现数据纷争且无法通过主管部门协调解决时,判决的依据一般都是个人信息保护相关法规。
近两年,国内学者对国内外数据服务商相关内容进行了很多研究。如刘耀华[1](2017)对美国数据经纪商监管情况进行了简单介绍;彭星和万雨娇[2](2019)对美国佛蒙特州的数据经纪商制度进行了介绍;桂祥[3](2021)基于对国内相关文献的梳理,建议从中间商资格准入、交易标准、交易方式、政府监管等方面入手完善信息中间商制度。在此基础上,本文进一步梳理了美国政府在规范相关行为上的立法和行政措施,以及美国企业的自律行为,以便为完善我国相关制度提供借鉴。
1 美国数据经纪商的主要类别和业务特点
美国联邦贸易委员会(Federal Trade Commission,FTC)将“数据经纪商”(或代理商、中间商,data broker)定义为“从各种来源收集有关消费者信息的公司,汇总、分析和共享原始信息或衍生信息,并向与消费者没有直接关系的企业出售、许可、交易或提供该信息,用于产品营销、验证个人身份或检测欺诈行为等”。显然,美国政府所说的数据经纪商与桂祥依据国内法规提出的信息中间商基本相同,都是重要的第三方数据服务者。本文统一将美国相关企业称为“数据经纪商”。
1.1 美国数据经纪商的3种主要业务模式
第一种是数据平台消费者对企业(Customer to Business,C2B)分销模式。用户将个人数据提供给数据平台,数据平台向用户支付一定的商品、货币、服务等价物或者优惠、打折、积分等对价利益,并将汇总的个人信息出售给数据经纪商。例如,美国学生营销公司Edvisors运营多个面向大学生的网站,其中包括PrivateStudentLoans.com、HowToGetIn.com和GradLoans.com等。访问这些站点的学生只要输入个人信息,就有机会赢得最高1万美元的奖金。但是,在该公司的隐私政策中提出“会向我们认为您可能感兴趣的第三方出售数据”,随后将这些数据打包出售给数据经纪商等相关交易方。
第二种是数据平台企业对企业(Business to Business,B2B)集中销售模式。数据平台支持查询相关数据集,以中间人身份为数据提供方和数据购买方提供数据交易撮合服务,其中,数据提供方和购买方都是经交易平台审核认证、自愿从事数据买卖的实体公司。例如,美国微软Azure、DataMarket、Factual、Infochimps等 数据平台可供研发企业等机构对目标客户进行查找、预览、购买和管理数据订阅,并代理数据提供方、购买方进行数据买卖活动。
第三种是数据平台B2B2C分销集销混合模式。数据平台以数据经纪商身份,收集用户个人数据并将其转让、共享于他人,主要包括安客诚(Acxiom)、Corelogic、Datalogix、eBureau、ID Analytics、Intelius、PeekYou、Rapleaf、Recorded Future等公司。
鉴于数据天然的数字化特点,以上3种交易模式的重要主体都是平台类数据处理机构,他们通过平台可以方便地为数据供需双方提供对接服务。但是,并非所有销售数据的机构都是数据经纪商。其中,在第一种数据平台C2B分销模式中,数据平台为“产生”消费者数据的“第一方”数据处理机构,不属于数据经纪商。在第二种数据平台B2B集中销售模式中,数据平台大多为购买和销售未经加工的原始数据的数据处理机构,也不属于数据经纪商。第三种数据平台B2B2C分销集销混合模式属于数据经纪商的监管范畴,在美国交易市场中扮演着越来越重要的角色[4]。
1.2 美国数据经纪商的3类主要产品
数据经纪商基于掌握的数据创造了3类主要的数据产品,即市场营销产品、风险识别产品和人员搜索产品。
市场营销产品是指数据经纪商向其客户直接出售消费者的相关信息,包括直销产品、在线营销产品和营销分析产品。其中,直销产品是指通过消费者的邮箱、电话等渠道推销产品;在线营销产品是指通过互联网、移动设备、有线电视等渠道向消费者推销产品;营销分析产品是指通过分析消费者的线下活动而推销特定产品等。提供市场营销产品的代表性企业包括安客诚(Acxiom)、甲骨文(Oracle)、Innovis、KBM等。
风险识别产品包括身份认证产品和欺诈侦测产品两类,帮助确认消费者的身份或识别欺诈行为,如客户通过数据经纪商的身份认证产品确认某消费者提供的身份登记信息是准确的,或识别出消费者在进行某项申请时提供的地址是错误的,涉嫌存在欺诈行为。消费者一般无法访问风险识别产品中与自身相关的数据,更无法更正其中的错误数据。提供这类产品的代表性企业包括Equifax、Experian、TransUnion等。
人员搜索产品可以帮助用户调查竞争对手、找到老朋友、查阅潜在的爱人或邻居、获取消费者的法庭记录及其他信息。消费者一般可以访问人员搜索产品中与自身相关的数据,数据经纪商也允许其不同程度地修改个人数据或将个人数据从相关产品中撤出。提供这类产品的代表性企业包括Spokeo、ZoomInfo、White Pages、PeopleSmart、Intelius、PeopleFinders等[5]。
1.3 美国数据经纪商的数据来源和使用特点
数据经纪商上通数据源头下达数据买家,是数据要素市场中非常重要的一个角色。他们一般不直接接触数据源头,而是通过政府、公开、商业等正规渠道获取数据,并出售给最终用户。
如图1所示,数据经纪商的主要数据源包括联邦政府数据源、地方政府数据源、商业数据源和互为数据源[6]。其中,联邦政府数据源是直接从联邦政府获取的开放数据,如驾驶执照、机动车记录、人口普查数据、出生证、结婚证、选民登记信息等;地方政府数据源是通过与地方政府之间的业务往来等活动,自动收集或获取地方政府数据;公共数据源包括社交媒体、博客、互联网浏览历史、在线购物记录、新闻报道等;商业数据源包括消费者的保修信息、信用卡资料,从零售商等渠道购买的商品交易信息,从期刊发行商购买的用户订阅信息等;互为数据源是不同的数据经纪商共享相同或类似的数据源[5]。
总结来看,数据经纪商的数据使用特点如下文所述。
(1)不为消费者所熟知。经纪商一般不直接从消费者手中获取数据,消费者在很大程度上不知道经纪商正在收集和使用这些个人信息。可以说,经纪商的活动往往“不为人知”,只要消费者在网络上从事相关活动,信息就可能被收集。
(2)收集并使用原始数据。经纪商主要从商业、政府和其他可公开获得的资料中收集个人可识别信息以绘制个人资料,包括姓名、住址、年龄、手机号码、性别、收入、投票信息、购物信息、网页浏览记录、保修登记等详细信息。可以说,经纪商的活动“无孔不入”,几乎每位公民的数据都会被收集。
(3)获取衍生数据。经纪商基于收集的原始数据,不断获取更多的衍生数据,包括个人习惯、偏好、人际关系、运动路径等。例如,将消费者归类为准父母、汽车狂热者、糖尿病潜在患者、追求折扣的购物者、涉嫌欺诈的人员等。但衍生数据的真实性和可用性往往难以评估,取决于原始数据的质量。
(4)数据一般被出售给提供某些特定服务的第三方。经纪商将个人信息许可或出售给其他第三方公司后,后者往往会给消费者提供更具针对性的产品折扣等广告及人员搜索、风险识别等数据分析类服务。其目标客户非常广泛,包括政府部门及法律、汽车、教育、保险、科技、电信、零售、制药、房产、娱乐、能源等各个行业。
2 美国政府对数据经纪商行为的监管措施
美国分别从联邦和州两个层面对数据经纪商采取监管手段。其中,联邦层面更多是通过FTC等现有机构进行监管,并针对数据经纪商行业新出现的问题进行调研。州层面则更具操作性,针对具体问题,在所属范围内出台专门立法标准,为行业健康发展提供“参考答案”。
早在20世纪90年代,美国政府部门就开始进行实地调研,深入探究数据经纪商存在的问题。在这一阶段,FTC的主要监管依据是1970年颁布的《公平信用报告法》(Fair Credit Reporting Act,FCRA)。该法主要监管经纪商收集消费者信息,并将其提供给信贷、就业、保险、住房等行业消费者征信机构(Consumer Reporting Agencies,CRA)的行为,要求CRA为消费者提供浏览及修改信息的渠道,确保消费者信息的准确性。FTC还多次组织研讨会,讨论数据经纪商对个人隐私的保护情况,并组织成员单位成立了个人参考服务组织(Individual References Services Group,IRSG),对行业透明度进行自我监管,该组织直到2001年9月才终止。总的来看,在这一时期,FTC积极展开调研工作,并进行了一定的自我监管尝试,但FCRA总体上无法满足对数据经纪商监管的需要,总体监管效果不佳[7]。
进入21世纪,美国政府大力推动数据开放运动,先后发布了《透明和开放的政府备忘录》《开放政府指令》《实现政府信息公开化和机器可读取化总统行政命令》。自2009年起,美国公众可免费获取政府数据,随之涌现出一大批数据服务企业,例如,房地产公司Zillow利用政府开放的房屋数据,可提供在线房产估值和交易服务。数据经纪商收集、整理、出售的数据规模也相应增多,FTC、政府问责局等政府部门再次认识到其中的数据安全风险,并着手进行规范。
2012年,FTC对数据经纪商展开调查,要求9大经纪商①九大数据经纪商包括Acxiom、Corelogic、Datalogix、eBureau、ID Analytics、Intelius、PeekYou、Rapleaf、Recorded Future。提交有关数据收集和使用的详细信息,包括数据来源和类型,使用、保存和分发数据的方式,允许消费者访问和修改数据的范围,消费者退出数据销售或共享的方式等。基于这些调查结果,FTC在2014年发布了《数据经纪商:呼吁透明度与问责制》(Data Brokers:A Call for Transparency and Accountability)报告,指出缺乏透明性会给个人隐私及信息安全带来很大风险。此后,美国加快立法进度。2014年2月,参议员杰伊·洛克菲勒(Jay Rockefeller)和埃德·马基(Ed Markey)提交《数据经纪商问责制和透明度法案》(Data Broker Accountability and Transparency Act)[8];同年4月,众议员博比·拉什(Bobby L. Rush)和乔·巴顿(Joe Barton)提交《2014年数据透明度和信任法案》(The Data Accountability and Trust Act of 2014)[9]。2019年7月,参议员加里·彼得斯(Gary Peters)提交《2019年数据经纪商法案》(Data Broker List Act of 2019)[10],为FTC等部门的监管设立了明确的法律依据。相关法案主要侧重解决3大问题,包括赋予个人数据知情权和决定权、提高数据经纪业的行业透明度、确保数据经纪业的交易安全性。
2.1 赋予个人数据知情权和决定权
《数据经纪商问责制和透明度法案》要求经纪商确保个人信息的准确性,赋予个人对自身信息的免费访问和更正权,并希望打造一个专门网站指导个人如何访问其信息、表达是否愿意将个人信息用于营销的意愿、允许按流程要求修改个人信息,充分体现了对个人隐私的尊重和保护。不过,该法案当时并没有通过。
随后,美国州层面率先通过了专门立法。2018年5月,美国首个针对数据经纪商的行业立法佛蒙特州《数据经纪法》正式发布,规定经纪商应允许消费者自主选择是否同意经纪商采集、储存及销售个人数据,是否同意委托第三方行使相关权利,在“知情同意”的基本原则的基础上,该法更重要的是赋予“选择退出”(opt-out)权,即消费者对出售其个人信息拥有选择退出权,并提供退出行为的相关方法、适用范围[11]。该法还设计了“消费者披露”章节,规定征信机构必须在《公平信用报告法》的规定下,向消费者准确提供信用分数、过去一年内用户查询情况、信息解释以及征信机构最新联系方式等信息,使消费者能够及时从征信机构处了解到被获取的信息和权利。
在州层面划定监管“红线”的基础上,联邦层面,美国国会参议院商务、科学和运输委员会于2019年7月审议《2019年数据经纪商法案》,从联邦法律层面为保障消费者权利提出了基本“红线”,禁止数据经纪商使用欺诈手段或通过纠缠、骚扰等方式获取个人信息,禁止在就业、住房、信贷等方面对个人存在歧视行为,禁止将个人信息出售或转让给从事非法或禁止活动的第三方。
2.2 提高数据经纪业的行业透明度
政府监管部门一直希望数据经纪商披露其数据运营情况,而数据经纪商往往以保持竞争力、保护商业秘密或知识产权为由,拒绝向外部公布其业务细节。美国的年度登记注册制度在一定程度上解决了这一问题,提高了数据经纪业务的透明度。
佛蒙特州《数据经纪法》首次明确提出年度登记注册制度,要求本州数据经纪商在每年1月31日之前向州务卿注册。注册时,除需提交允许消费者禁止数据被商用的权利外,还需要提交经纪商的公司名称、实际地址、邮件地址、网站等基本信息,以及是否对购买者资格进行认证,上一年数据泄露事件的数量和受影响人数,个人信息被访问、下载或泄露的数量等信息。未按规定注册的,需缴纳每日50美元、每年不超过1万美元的民事罚款。
在佛蒙特州立法后,《2019年数据经纪商法案》对所有数据经纪商也提出了相同要求,规定相关信息由FTC审查、公开,并对相应的违规行为进行惩罚。FTC每年还要向国会提交年度审查报告,以及立法和行动建议。2019年10月,美国加利福尼亚州也发布数据经纪商注册法规AB 1202,要求所有向加利福尼亚州居民提供服务的数据经纪商每年应向州总检察长注册并申报信息。
2.3 确保数据经纪业的交易安全性
法律对数据经纪商的资质和安全规范也提出了相应的要求。联邦层面,未获通过的《2014年数据透明度和信任法案》提议数据经纪商应向FTC提交有关收集和销售个人数据的安全计划,包括指定专人负责数据安全管理、定期监测并识别系统中可预见的漏洞、通过技术手段降低漏洞威胁、通过数据清洗确保个人隐私安全、采用标准程序销毁存储个人数据的介质等。由FTC或独立的第三方负责审计数据经纪商的数据安全策略。
随后,《2019年数据经纪商法案》对经纪商的数据安全计划提出了更为具体的规范,要求数据经纪商制定、实施和维护全面的数据安全流程,并根据业务规模、范围和业务类型、数据存储量等信息确定适宜的管理、技术和物理保障措施。该法案规定,应至少指派一名专职人员维护安全流程,评估和识别内外部威胁及在必要时改进相关威胁的举措。
安全防护措施做得再多,也无法完全避免数据泄露的发生。2020年1月,总部位于旧金山的数据经纪商LimeLeads发生数据泄露,4900万条用户记录在黑客论坛上被公开出售。针对此类事件,美国证券交易委员会于2021年要求上市公司必须上报数据泄露等网络安全事故,否则将面临调查传讯。目前,全美50个州已颁布相关法令,要求机构在发生个人数据泄露事件时,应及时通知用户。另外,美国还推出网络安全保险制度,以降低数据泄露造成的损害。2016年,国会众议院筹款委员会(The House Committee on Ways and Means)审议的《数据泄露保险法》提出对购买数据泄露保险并采用美国国家标准与技术研究院网络安全框架或财政部批准的其他网络安全标准的公司,将给予15%的税收减免优惠[12]。
3 经纪商规范数据经纪行为的自律举措
除政府立法和行政监管外,数据经纪商自身也积极规范数据来源和交易用途,加强数据隐私保护和安全防护,确保数据利用合法合规。
3.1 确保数据准确可靠
为避免数据来源渠道不明,美国大多数数据经纪商通过与数据来源企业签署书面合同的方式,以确保数据来源于各级政府、公开网络、商业交易和同行共享等正规合法渠道。数据来源合法能最大限度地保障数据质量,这是数据经纪业务的立身之本。例如,数据经纪商安客诚(Acxiom)针对数据质量明确提出准确性原则,要求严格控制数据质量,确保数据尽可能准确。
从不同来源收集大量数据后,数据经纪商会进一步强化数据验证流程,筛选值得信任的数据。首先,大多经纪商通常会根据相关企业在行业中的声誉大致判断数据的可靠性;其次,经纪商通过查看数据源网站上的使用条款、收集方法、隐私政策、隐私惯例等信息,评估数据源的合法性和质量;最后,经纪商依靠自动化系统,将新的数据与已知事实或已有的高质量数据源进行验证和比较,以检测数据中的重大偏差,识别导致此类偏差的原因,筛选出值得信任的数据源。
3.2 强化数据安全性
数据经纪行为面临严峻的隐私问题,由于经纪商自身存储了大量数据,可能成为黑客的攻击目标,而且数据在不断复制、交易的过程中也可能出现隐私泄露事件。据网络安全公司Privacy Bee报道,在2019年美国约3.26亿人口中,个人信息被窃取或泄露的数量就达60亿条,即每人被泄露的信息约19条[13]。
为了避免数据泄露,除法律要求的安全措施外,经纪商大多也会运用制度、技术等手段强化数据安全。例如,经纪商往往通过与数据使用方签订书面合同或许可协议,阐明数据使用权限,要求将数据用于指定目的,不得违反个人隐私和数据保护法,禁止非法或重复使用、转售数据,禁止解码或逆向分析数据等。
在日常系统维护中,很多经纪商也会注重安全管理和安全技术运用。很多经纪商通过加强身份验证、加密等措施,努力减少数据泄露事件发生,甚至在必要条件下应用人工智能、区块链等技术,对数据资产采取额外的保护举措。例如,安客诚规定:使用多层安全系统,控制访问权限及安全性,未经授权的个人或企业不得访问相关信息;实时监控系统漏洞和未经授权的访问情况,定期对内部和外部信息系统进行风险评估和审计,不断评估维护数据安全的能力。
3.3 保护消费者隐私
为更好地保护消费者隐私,数据经纪商除遵照法律要求外,往往还会对自身工作规范提出更多要求。例如,安客诚提出以下原则:一是守法原则,即掌握各地法律,并遵守各国隐私保护法规和监管准则;二是伦理原则,以道德和专业的方式与客户和其数据提供者建立关系;三是提高群体意识原则,为客户、合作伙伴及全行业提供有关个人隐私的准则和法律培训[14]。此外,为最大限度保护消费者权益,安客诚除告知消费者数据使用情况外,还允许其选择数据传播方式。
4 结 语
美国数据经纪商制度在强调联邦和州政府利用立法和行政手段不断规范数据经纪商业务的基础上,十分注重数据经纪商加强行业自律,不断强化数据安全保护,这种制度为完善我国数据交易平台等相关交易机制提供了有益借鉴。
4.1 同时发挥政府监管与行业自律的作用
政府监管包括法律手段和行政手段。在立法条件不成熟的情况下,以行政手段为主,并对行业进行调研,摸清行业发展现状、存在的问题,为不断完善行政法规并逐步出台法律奠定基础。政府监管应为行业发展明确基本要求,并在政府规范的基础上指引行业不断强化自我监管,提高服务质量。
4.2 尊重个人对数据的知情权和决定权
数据来源虽不同,但就数据本身而言,很多数据属于个人数据,因此,个人才是数据的真正所有人。所以,政府和数据服务商都应保障个人知情权,向其披露个人数据收集和使用等情况,允许其更正个人数据。尊重个人对其数据使用的决定权,允许个人拒绝经纪商跟踪或收集、营销其数据,并提供相应的流程指南,指导个人如何表达意愿或提交申请。发生网络安全事件时,应及时告知相关个人。
4.3 强化个人隐私保护和数据安全
保护个人隐私和数据安全是数据要素市场健康发展的基础。政府需健全数据安全防护措施,完善个人信息保护立法,加大对信息泄露、信息侵权等违法行为的惩处力度。不断扩大政府数据开放共享范围,向数据市场提供大量优质数据。要求数据交易平台制定数据保护规范,包括设置专职人员、实施合作伙伴安全资格认证、监督经纪商数据保护工作实施情况等。审查数据服务商的数据安全策略并对其安全能力进行评估,对安全能力不达标者予以警告或惩罚。
4.4 提高数据行业的监管透明度
明确数据服务商的责任边界,例如,禁止使用欺诈手段获取数据,禁止非法出售或转让数据。研究制定数据服务商透明度指南,试行年度注册制度,要求其按规定提交机构自身信息和数据业务信息,并及时向社会披露数据使用情况,包括数据访问、收集及交易等情况,同时接受来自政府和民众的监督。