中国信息通信研究院 刘耀华
数据经纪商是美国数据交易服务的主要提供者。消费者在网络上从事各种活动的同时,数据经纪商即有可能在收集他的信息。美国的数据经纪商无孔不入,几乎收集了每一位美国公民的用户信息,这种情况引起了美国人民及政府对其行为透明性、限制性的关注。近年来,针对数据经纪商目前的发展现状和存在的问题,美国联邦贸易委员会(FTC)也开始致力于针对数据经纪商进行立法,提出了多方面的立法建议。
数据经纪是怎样的产业?
数据经纪商通过原始数据和派生数据创造了三种主要类型的数据产品,即市场营销产品、风险降低产品、人员搜索产品。
市场营销产品是指数据经纪商向其客户直接出售消费者的相关信息,包括邮箱、兴趣爱好等等,便于客户向其消费者投放广告。风险降低产品可以使得客户确认消费者的身份或发现欺诈行为,如客户通过数据经纪商的身份认证产品确认某消费者提供的身份登记信息是准确的,或发现消费者在进行某项申请时提供的地址是不正确的,涉嫌欺诈。人员搜索产品可以帮助用户调查竞争对手、找到老朋友、查阅潜在的爱人或邻居、获取消费者的法庭记录及其他信息。消费者一般可以访问这些数据,数据经纪商也允许其不同程度地进行修改或行使退出权。
FTC经过调查发现,美国的数据经纪商产业目前具有以下特征。
第一,从多个渠道获取消费者数据,消费者对大部分情况不知晓。数据经纪商的数据来源包括商业渠道、政府渠道及其他公开渠道,获取的数据包括破产信息、选举登记信息、消费者购买信息、网站浏览信息、担保登记信息、消费者日常交流信息等。数据经纪商并不直接从消费者处获得这些信息,所以消费者不知道他们获取并利用了这些信息。从目前的情况看,数据经纪商几乎可以综合所有的数据形成消费者完整的生活细节。
第二,产业复杂,层次众多。数据经纪商不仅向终端用户提供数据,也向其他数据经纪商提供,而且互相提供的数据远远多于通过其他渠道获得的数据。因此消费者要想知道数据经纪商是如何获取数据的更加困难。
第三,获取和存储的数据量极大,几乎涵盖了每一位美国消费者。数据经纪商收集的数据几乎涵盖每一位美国人的家庭和商业行为,更重要的是大量数据是有关个人消费者的。如一家数据经纪商的数据库存储了14亿项消费者交易记录的数据以及超过7000亿项的综合数据;另一家数据经纪商存储了几乎所有美国消费者的大量个人数据段。
第四,通过组合和分析数据对消费者进行推断,包括进行敏感推断。数据经纪商通过取得的数据分析消费者的兴趣爱好,又通过兴趣爱好和其他信息对消费者进行分类,有些分类无伤大雅,有些分类则具有敏感性,如“教育程度低”“婚姻状况复杂”“准父母”“糖尿病患者”“胆固醇患者”等。
第五,结合线上和线下数据向线上消费者推销商品。数据经纪商一般依靠有注册功能的网站和cookies在网上找到消费者,然后针对他们的线下活动推送网络广告。消费者无法意识到数据经纪商以他们的线下活动为基础向企业提供自身数据,以便企业可以在线上向消费者提供广告。
数据经纪商的行为是一把双刃剑,在给企业和消费者带来便利的同时,也存在一定的风险。一方面,数据经纪商提供的产品有助于帮助预防诈骗、提高产品供应、实现广告精准投放;另一方面,数据经纪商到处收集用户信息的行为也在一定程度上侵犯了个人隐私的权利,且其掌握的大量数据一旦泄露,将造成难以弥补的伤害和损失。
FTC的监管理念
综合上述问题,最近FTC开始考虑向国会提出议案,针对不同的数据经纪商产品开展立法。
针对出售市场营销产品的数据经纪商,FTC建议要求数据经纪商允许消费者对其数据在合理限度内进行访问,包括掌握的关于消费者的敏感数据,并要赋予消费者退出权,不再允许将其数据用于商业目的。对此,FTC提出了四项具体的立法建议:一是应当使消费者能够轻易识别哪个数据经纪商可能拥有关于他自身的数据,并赋予消费者对该信息进行访问的权利以及行使退出权。如建立一个门户网站,数据经纪商可以在网站上描述收集和使用信息的情况,并提供访问数据及行使退出权的链接;二是应当考虑要求数据经纪商向消费者明确披露他们不仅使用了未加工的数据(如消费者的姓名、地址、收入范围),而且他们会对特定数据进行分析;三是应当要求数据经纪商披露其数据来源的名称和类别,使消费者能够更好地决定是否需要对原始公开的数据记录进行修改;四是应当要求面向消费者的企业实体提供显著的通知,向消费者说明他们可能会向数据经纪商分享消费者数据,并向消费者提供选择权,如允许消费者拒绝将他们的数据分享给数据经纪商;五是应当考虑保护敏感信息,如健康数据,可以要求面向消费者的数据源提供者在收集敏感信息之前要征得消费者的明确同意。
对于出售降低风险产品的数据经纪商,FTC建议应当立法保障消费者的知情权。当一家公司通过降低风险产品限制消费者达成交易的能力时应当为消费者所知晓,且企业应当确保其所依赖的数据经纪商的可靠性。另外,数据经纪商应当允许消费者有权访问其使用的信息,并有权修改错误信息。知情权、访问权、修改权的程度应当与所涉及的交易或利益的重要性相关。同时,FTC认为应当允许数据经纪商在消费者行使访问权、更正权之前对其进行身份验证,以防止无权的人对信息进行篡改。
FTC同时建议应通过立法要求数据经纪商在以下情况下提供人员搜索产品:允许消费者访问他们自己的信息;允许消费者禁止对该信息进行使用;告知消费者数据经纪商的信息来源,使得消费者可以在该来源处修改其信息;披露任何限制选择退出的情况等。
美国经验对我国的启示
由于大数据蕴藏了巨大的经济价值和利益,近年来我国以及其他国家均出现了很多专门以通过挖掘数据价值为业务的企业,除此之外,许多成功的大型公司,如谷歌、脸谱、亚马逊等也对大数据展开了大规模利用。从产业发展的角度看,深度利用、共享、流通大数据至关重要,但如何平衡其与国家安全、社会安全、用户安全之间的关系也不能忽视。目前,很多国家都越来越重视这一问题,除美国考虑对数据经纪商立法外,2016年年底,韩国信息技术部也宣布将对数据交易进行立法。
当前,我国的数据交易产业发展如火如荼,根据《2016年中国大数据交易白皮书》,2015年中国大数据交易市场规模达到33.85亿元,同比增长63%。据预测,到2020年,中国大数据交易市场规模将达到545亿元;截至2016年10月份,政府支持、参与成立的数据交易平台已有13家,无政府参与的数据交易企业数量更多。但由于很多问题尚未解决,这些数据交易平台并未能充分激发出我国大数据的价值,今后,我国相关机构应重视从以下方面建立健全数据交易机制,不仅要确保数据安全,也要考虑促进产业发展,避免落后于其他国家:一是加快相关立法的制定,为数据交易划定底线,提供可靠数据源,创造良好环境;二是通过建立试点区域、试点行业进行数据交易的大胆探索,鼓励一些地方和行业形成引领;三是鼓励成立行业协会和自律组织,通过组织和协会的力量建立统一的交易规则,保障数据交易顺畅进行;四是制定数据交易的安全标准,包括匿名化技术和程度、交易形式与流程等。