時間:2022-04-20來源:晚來天欲雪瀏覽數(shù):644次
數(shù)據(jù)經(jīng)紀(jì)人(Data Brokers)作為數(shù)據(jù)中間商,一方面推動了數(shù)字經(jīng)濟(jì)的發(fā)展,另一方面也帶來了隱私風(fēng)險和數(shù)據(jù)其他方面的隱憂。2021年,杜克大學(xué)發(fā)布的報告指出,數(shù)據(jù)經(jīng)紀(jì)人的數(shù)據(jù)庫已經(jīng)擴(kuò)展至政治身份、傾向以及信仰等敏感信息維度,甚至可以通過數(shù)據(jù)聚合來精確定位個人,而機(jī)器學(xué)習(xí)等新技術(shù)的應(yīng)用則可能將技術(shù)缺陷傳導(dǎo)至消費(fèi)者層面,從而進(jìn)一步提高少數(shù)群體購買商品和接受服務(wù)的成本。1作為數(shù)字時代的新產(chǎn)物,對數(shù)據(jù)經(jīng)紀(jì)人的規(guī)制也應(yīng)當(dāng)緊隨其后。然而,數(shù)據(jù)經(jīng)紀(jì)人的監(jiān)管狀況并不盡如人意。多份報告指出,法律層面對數(shù)據(jù)經(jīng)紀(jì)人的監(jiān)管仍然是一片空白2,亦缺乏權(quán)威的定義3。
為明確數(shù)據(jù)經(jīng)紀(jì)人的現(xiàn)狀,探究可行的數(shù)據(jù)流動模式,本文結(jié)合國內(nèi)外的數(shù)據(jù)經(jīng)紀(jì)人實踐、相關(guān)政策、立法材料及調(diào)研報告,對數(shù)據(jù)經(jīng)紀(jì)人的概念、類型、風(fēng)險及政策現(xiàn)狀進(jìn)行綜述,并闡述當(dāng)前數(shù)據(jù)經(jīng)紀(jì)人及其規(guī)制體系所存在的問題。
1
眾說紛紜:數(shù)據(jù)經(jīng)紀(jì)人的概念
直至今天,數(shù)據(jù)經(jīng)紀(jì)人仍然不存在一個公認(rèn)的官方定義。2018年,佛蒙特州頒布了《數(shù)據(jù)經(jīng)紀(jì)人與消費(fèi)者保護(hù)法》(An act relating to data brokers and consumer protection),該州成為美國最早對數(shù)據(jù)經(jīng)紀(jì)人進(jìn)行規(guī)制的州。《數(shù)據(jù)經(jīng)紀(jì)人與消費(fèi)者保護(hù)法》中將數(shù)據(jù)經(jīng)紀(jì)人定義為“收集、出售或向第三方授權(quán)使用與該企業(yè)沒有直接關(guān)聯(lián)的消費(fèi)者個人信息的公司” 4?2022年2月10日美國參議院公布的《刪除法案》(DELETE Act),將數(shù)據(jù)經(jīng)紀(jì)人定義為“有意收集或獲取與其沒有直接關(guān)聯(lián)的個人信息的實體,該實體將這些信息用于:1)向第三方提供服務(wù);2)出售、許可、交易、提供參考或其他向第三方提供個人信息并獲取報酬”。類似的,在加州議會于2019年10月頒布的數(shù)據(jù)經(jīng)紀(jì)人法案中,數(shù)據(jù)經(jīng)紀(jì)人被定義為“業(yè)務(wù)是整合和出售與其業(yè)務(wù)并沒有關(guān)聯(lián)性的消費(fèi)者數(shù)據(jù)”5。
但在一些研究報告中,部分機(jī)構(gòu)曾對數(shù)據(jù)經(jīng)紀(jì)人給出了較為全面的定義。例如,經(jīng)合組織(Organization for Economic Co-operation and Development,OECD)在其2013年發(fā)布的數(shù)據(jù)市場研究報告中,將數(shù)據(jù)經(jīng)紀(jì)人定義為“收集并整合個人信息,并將其進(jìn)行出售以用于各類用途的公司”。類似的,在北約戰(zhàn)略通訊中心發(fā)布的一份關(guān)于數(shù)據(jù)經(jīng)紀(jì)人的安全調(diào)研報告中將其定義為“收集其他公司所收集的數(shù)據(jù),并對此加以整合,最后以商業(yè)目的出售這些數(shù)據(jù)”。而在FTC于2014年針對數(shù)據(jù)經(jīng)紀(jì)人發(fā)布的報告中,將其定義為“從各種來源收集用戶的個人信息,并匯總、分析及共享這些信息或信息的派生產(chǎn)物,從而用于產(chǎn)品營銷、身份驗證或防范欺詐等用途,并以此類業(yè)務(wù)為主要收入來源的公司”6,這一定義也被挪威的數(shù)據(jù)保護(hù)機(jī)構(gòu)(Data Protection Agency,DPA)所采納。開放社會基金會(Open Society Foundations)則在其2016年發(fā)布的研究報告中綜合各種定義以及特征,將其定義為“從數(shù)據(jù)主體以外的數(shù)據(jù)源獲得數(shù)據(jù),并以提供數(shù)據(jù)和行為預(yù)測為主要收入來源的公司或其他商業(yè)組織”。
此外,對于數(shù)據(jù)經(jīng)紀(jì)人是否能夠構(gòu)成一個獨立的概念,當(dāng)前也存在一些不同的聲音。例如,在美國人口普查局的登記信息中,數(shù)據(jù)經(jīng)紀(jì)人并非一個單獨的類別,而是根據(jù)公司的具體業(yè)務(wù)而歸入“數(shù)據(jù)處理”、“信用報告服務(wù)”等具體領(lǐng)域。在歐盟,數(shù)據(jù)經(jīng)紀(jì)人這一概念亦鮮被采用,取而代之的是信息轉(zhuǎn)售商(information resellers)、數(shù)據(jù)供應(yīng)商(data vendors)、信息經(jīng)紀(jì)人(information brokers)、消費(fèi)者數(shù)據(jù)分析機(jī)構(gòu)(consumer data analytics)、“數(shù)據(jù)倉庫”(data warehousing)等一系列代稱。在歐洲議會于2022年4月通過的《數(shù)據(jù)治理法》(Data Governance Act,DGA)中亦未采納數(shù)據(jù)經(jīng)紀(jì)人這一概念,而是采用“數(shù)據(jù)中介服務(wù)提供者”(Data Intermediation Services Provider)、“數(shù)據(jù)合作社”(Data Cooperatives)、“數(shù)據(jù)利他主義組織”(Data Altruism Organisations)等相似概念。
對于數(shù)據(jù)經(jīng)紀(jì)人的定義,筆者認(rèn)為,雖然不同的主體對于數(shù)據(jù)經(jīng)紀(jì)人的定義和理解有所不同,但縱覽這些定義不難發(fā)現(xiàn),數(shù)據(jù)經(jīng)紀(jì)人具有三個公認(rèn)的特性,而這些特性將有助于將數(shù)據(jù)經(jīng)紀(jì)人與其他數(shù)據(jù)控制者區(qū)分開來,進(jìn)而探尋其更為準(zhǔn)確的內(nèi)涵。其一,數(shù)據(jù)經(jīng)紀(jì)人具有突出的中介屬性。數(shù)據(jù)經(jīng)紀(jì)人是作為連接多個數(shù)據(jù)處理者或數(shù)據(jù)主體與數(shù)據(jù)處理者之間的樞紐而存在,其市場價值及意義均需要通過數(shù)據(jù)的移轉(zhuǎn)或流動才能夠得到體現(xiàn)和增長,這能夠與其他數(shù)據(jù)處理者主要是通過收集、分析數(shù)據(jù)并為己所用從而獲得利益的運(yùn)行模式區(qū)分開來。其二,數(shù)據(jù)經(jīng)紀(jì)人的主要收入來源于數(shù)據(jù)流轉(zhuǎn)及其衍生服務(wù)。無論是營利性的數(shù)據(jù)交易平臺,抑或是非營利性的數(shù)據(jù)合作社,其維持運(yùn)營的主要資金來源都是從數(shù)據(jù)的流轉(zhuǎn)過程中收取一定的費(fèi)用或賺取其中的差價,這是與當(dāng)前亦在售賣自己所收集的數(shù)據(jù)的其他數(shù)據(jù)控制者區(qū)別開來的主要標(biāo)志。其三,數(shù)據(jù)經(jīng)紀(jì)人與其控制的數(shù)據(jù)之間具有非關(guān)聯(lián)性。這一特點成為眾多立法中界定規(guī)制主體范圍的重要標(biāo)志,其意味著數(shù)據(jù)經(jīng)紀(jì)人所控制的數(shù)據(jù)本身不能對其經(jīng)營和盈利帶來直接的幫助,即便數(shù)據(jù)經(jīng)紀(jì)人對數(shù)據(jù)進(jìn)行了聚合或分析,其目的也是更好地向數(shù)據(jù)使用者提供服務(wù),增強(qiáng)在數(shù)據(jù)市場中的競爭能力。
因此,綜合數(shù)據(jù)經(jīng)紀(jì)人的三個特點,筆者認(rèn)為,數(shù)據(jù)經(jīng)紀(jì)人可被定義為“收集、儲存、處理與其自身無直接關(guān)聯(lián)的數(shù)據(jù),并向其他主體銷售或授權(quán)使用這些數(shù)據(jù)或其派生數(shù)據(jù)或提供交易撮合等衍生服務(wù)的中介性數(shù)據(jù)控制者”。
2
數(shù)據(jù)經(jīng)紀(jì)人的類型
參考上述定義,當(dāng)下數(shù)據(jù)經(jīng)紀(jì)人的類型主要包括數(shù)據(jù)交易平臺、數(shù)據(jù)銀行、數(shù)據(jù)合作社、數(shù)據(jù)信托、數(shù)據(jù)空間、數(shù)據(jù)開發(fā)商六種類型。
(一)數(shù)據(jù)交易平臺
數(shù)據(jù)交易平臺,包括居間型平臺和自營型平臺。前者指本身并不收集和存儲數(shù)據(jù),而是主要作為數(shù)據(jù)交易信息發(fā)布的平臺,撮合供需雙方達(dá)成并順利履行交易,如上海數(shù)據(jù)交易所、京東萬象、美國的BDEX以及日本富士通公司的“Data plaza”等。居間型平臺是當(dāng)前我國數(shù)據(jù)經(jīng)紀(jì)人的發(fā)展形式。根據(jù)中國信通院統(tǒng)計,在2014-2017年間,各地便先后設(shè)立了23家數(shù)據(jù)交易所,而截止至2021年,國內(nèi)已經(jīng)成立了28家數(shù)據(jù)交易所;而隨著數(shù)據(jù)要素市場化的政策支持力度不斷增加,北京、廣東等地區(qū)也掀起了新的數(shù)據(jù)交易所建設(shè)的熱潮。此外,相較于政府主導(dǎo)建設(shè)的數(shù)據(jù)交易平臺所具有高度的封閉性,京東萬象等民間數(shù)據(jù)交易平臺則更為開放,中小企業(yè)也能夠參與到數(shù)據(jù)交易當(dāng)中。
自營型數(shù)據(jù)交易平臺,則是自行從互聯(lián)網(wǎng)企業(yè)等各種數(shù)據(jù)源獲取并聚合、處理數(shù)據(jù),而后將其出售給其他主體的數(shù)據(jù)經(jīng)紀(jì)商,例如美國的Acxiom、Corelogic等大型數(shù)據(jù)經(jīng)紀(jì)人。隨著數(shù)據(jù)經(jīng)濟(jì)的發(fā)展,兩者之間也呈現(xiàn)出融合的趨勢,許多居間型平臺亦拓展其自營業(yè)務(wù),直接向需求方出售自己獲取的數(shù)據(jù)。
(二)數(shù)據(jù)銀行
數(shù)據(jù)銀行以個人授權(quán)或主動上傳數(shù)據(jù)作為主要數(shù)據(jù)來源,其給予個人一定的利益或支付一定的報酬,并將所收集的個人數(shù)據(jù)提供給其他主體有償使用。此種類型的數(shù)據(jù)經(jīng)紀(jì)人與當(dāng)下銀行的運(yùn)營模式十分類似,其既能夠保證數(shù)據(jù)共享和流動的合法性,又能夠?qū)崿F(xiàn)數(shù)據(jù)的增值,并使個人能夠分享其數(shù)據(jù)帶來的收益。相較于缺乏透明度和正當(dāng)性的B2B模式,此種模式更能體現(xiàn)出人在信息社會的中心性。
Mydata模式是當(dāng)前數(shù)據(jù)銀行模式的典型代表。Mydata模式是一類以個人為中心的數(shù)據(jù)管理模式的總稱,其最早的實踐可以追溯到英國的Midata項目,此后出現(xiàn)的Mydata Global等組織則擴(kuò)大了此種模式的規(guī)模。Midata項目由英國政府和能源、金融等重要行業(yè)的頭部企業(yè)共同發(fā)起,其主要致力于將企業(yè)所收集的數(shù)據(jù)歸還給個人,并以此促進(jìn)數(shù)據(jù)的可攜帶性,從而推動個人數(shù)據(jù)的再利用以及數(shù)據(jù)服務(wù)的不斷創(chuàng)新。在其憲章中,Midata項目圍繞提高數(shù)據(jù)的通用性以及保障個人對數(shù)據(jù)的控制權(quán),提出了個人賦權(quán)、透明度、可獲取性、數(shù)據(jù)安全、數(shù)據(jù)創(chuàng)新等多項原則。但Midata并沒有達(dá)到英國政府的預(yù)期。而后出現(xiàn)的Mydata模式,以實現(xiàn)個人信息權(quán)利、改善數(shù)據(jù)規(guī)制現(xiàn)狀以及打破平臺的鎖定效應(yīng)為目標(biāo),目前已經(jīng)擴(kuò)展到歐盟、韓國。
從韓國在金融數(shù)據(jù)服務(wù)領(lǐng)域的實踐來看,市場對此種模式的反應(yīng)并不熱烈,認(rèn)為其所提供的數(shù)據(jù)服務(wù)與現(xiàn)有的并無區(qū)別。7此外,Mydata如何與Google、Apple等大型互聯(lián)網(wǎng)企業(yè)所構(gòu)建的自有數(shù)據(jù)生態(tài)進(jìn)行競爭,如何使用戶從免費(fèi)的數(shù)據(jù)服務(wù)轉(zhuǎn)向收費(fèi)的Mydata賬戶,都是Mydata模式尚待解決的問題,也是未來數(shù)據(jù)銀行這一數(shù)據(jù)經(jīng)紀(jì)人模式發(fā)展所面臨的困境。
(三)數(shù)據(jù)合作社(Data Cooperatives)
數(shù)據(jù)合作社,是將提供者自愿共享的數(shù)據(jù)進(jìn)行結(jié)構(gòu)化處理、聚合后,允許第三方在其數(shù)據(jù)上進(jìn)行分析、研究的一種個人數(shù)據(jù)管理模式。此外,筆者注意到,大部分文獻(xiàn)在介紹數(shù)據(jù)合作社這一概念時均會提及“數(shù)據(jù)使用者需要向數(shù)據(jù)提供者支付費(fèi)用或提供更好的服務(wù)”。
但在實踐中對于數(shù)據(jù)使用者是否需要向數(shù)據(jù)提供者支付費(fèi)用,或為數(shù)據(jù)合作社的成員提供更好的服務(wù)以免除費(fèi)用,有不同的意見。例如,成立于瑞士的MIDATA便在其章程當(dāng)中明確規(guī)定,為避免數(shù)據(jù)倫理問題,其禁止個人通過MIDATA向第三方銷售他們的個人數(shù)據(jù)或因提供個人數(shù)據(jù)而獲得折扣、返利等利益的行為。8類似的,在歐洲議會通過的《數(shù)據(jù)治理法》中,也對“數(shù)據(jù)合作社”這一數(shù)據(jù)經(jīng)紀(jì)人模式進(jìn)行了規(guī)定,但其被稱為 “數(shù)據(jù)利他主義組織”(Data Altruism Organisations)。DGA允許此類組織基于科學(xué)研究、醫(yī)療保健等公共利益的目的,將經(jīng)過個人同意而提供的個人數(shù)據(jù)以及非個人數(shù)據(jù)用于機(jī)器學(xué)習(xí)、數(shù)據(jù)分析等用途。但與一般的數(shù)據(jù)合作社不同,此類組織的公益性質(zhì)更強(qiáng),其并不需要向提供數(shù)據(jù)的個人給予利益的回報。而Driver’s Seat、Fairbnb以及Data Worker’s Union等數(shù)據(jù)合作社則相反,其將個人數(shù)據(jù)提供給第三方的同時,需要向第三方收取費(fèi)用,并將其收入分配給數(shù)據(jù)提供者或向數(shù)據(jù)提供者提供更好的服務(wù)。
不同的數(shù)據(jù)經(jīng)紀(jì)人所采用的運(yùn)營和管理模式并不統(tǒng)一。但其中較為主流的是由購買了數(shù)據(jù)經(jīng)紀(jì)人組織所發(fā)行的股份的會員進(jìn)行管理,例如瑞士的MIDATA在其章程中規(guī)定,每個會員都需要購買一份其發(fā)行的股票證書,而MIDATA的重大事項將由這些會員所組成的會員大會進(jìn)行決定 ;類似的,要成為歐洲的健康數(shù)據(jù)合作社(Health Data Cooperative,HDC)的一員,個人必須一次性支付一筆會員費(fèi),而會員們有權(quán)以一人一票的方式對HDC的事項進(jìn)行決定。而上述兩種模式也并非完全相同,如MIDATA的賬戶所有者身份與會員身份相分離,這意味著擁有MIDATA賬戶并不需要支付費(fèi)用;而HDC則是會員身份與用戶身份一體化,要擁有HDC賬戶以存儲健康數(shù)據(jù),必須事先支付會員費(fèi)。
(四)數(shù)據(jù)信托
數(shù)據(jù)信托,在不同國家的表現(xiàn)形式不同。美國的數(shù)據(jù)信托被成為“信息受托人”,該模式下,并沒有獨立的第三方機(jī)構(gòu),而是施加給數(shù)據(jù)處理者一個額外的信義義務(wù)。英國的數(shù)據(jù)信托是一個包含委托人、受托人、受益人的三方機(jī)構(gòu),是一種提供獨立數(shù)據(jù)管理的法律結(jié)構(gòu)9,受托人代表個人管理個人數(shù)據(jù)或數(shù)據(jù)權(quán)利,且其管理行為應(yīng)以委托人的利益為優(yōu)先。數(shù)據(jù)信托允許個人或機(jī)構(gòu)將數(shù)據(jù)的控制權(quán)交給一個獨立的機(jī)構(gòu),同時授權(quán)該機(jī)構(gòu)對數(shù)據(jù)的使用和分享作出決定,而該機(jī)構(gòu)對數(shù)據(jù)提供者承擔(dān)信托責(zé)任,即其需要以公正、謹(jǐn)慎、透明和忠誠的原則來管理和分享數(shù)據(jù)。10
數(shù)據(jù)信托可以有效地平衡數(shù)據(jù)保護(hù)與數(shù)據(jù)共享之間的關(guān)系。在個人數(shù)據(jù)保護(hù)方面,數(shù)據(jù)信托被認(rèn)為其能夠通過普遍凝聚個人的力量,從而扭轉(zhuǎn)當(dāng)前個人與互聯(lián)網(wǎng)巨頭之間實力不平衡的局面,因而被認(rèn)為是一種可行的數(shù)據(jù)治理方案,其更是被《麻省理工科技評論》列為2021年的“十大突破性技術(shù)”11。而在數(shù)據(jù)流動方面,數(shù)據(jù)信托能夠拓展數(shù)據(jù)需求方獲取數(shù)據(jù)的途徑,從而最大程度地挖掘數(shù)據(jù)的社會和經(jīng)濟(jì)價值,并最大程度避免因數(shù)據(jù)流動而帶來的風(fēng)險和損害。12我國學(xué)者也對數(shù)據(jù)信托給予了高度的期待。例如,馮果教授認(rèn)為數(shù)據(jù)信托模式有助于實現(xiàn)我國隱私保護(hù)的最大化,解決個人信息領(lǐng)域維權(quán)困難、維權(quán)成本高等突出問題。13類似的,翟志勇教授認(rèn)為英國的數(shù)據(jù)信托理論和實踐對于我國有著重要的借鑒意義,可以嘗試分領(lǐng)域、分行業(yè)地進(jìn)行數(shù)據(jù)信托的嘗試。14
在當(dāng)下,許多國家和地區(qū)正在對數(shù)據(jù)信托的試點與推廣表現(xiàn)出極大的興趣。在DGA中,其所提出的“數(shù)據(jù)中介”(personal data-sharing intermediary)概念與數(shù)據(jù)信托十分類似,該機(jī)構(gòu)被要求具有獨立性、中立性,且需要對個人承擔(dān)信托責(zé)任;但其所受到的監(jiān)管和限制較一般的數(shù)據(jù)信托要更為嚴(yán)格,包括嚴(yán)格限制對數(shù)據(jù)進(jìn)行二次處理以及派生數(shù)據(jù)的分享。此外,發(fā)展數(shù)據(jù)信托也被納入加拿大的《數(shù)據(jù)憲章》(Canada’s Digital Charter in Action)15當(dāng)中。但與政策層面的如火如荼相比較,數(shù)據(jù)信托的實踐亟待加強(qiáng)。雖然當(dāng)前已經(jīng)存在一些向提供數(shù)據(jù)的個人進(jìn)行利潤分配的數(shù)據(jù)經(jīng)紀(jì)人,如Datacoup,但其并不向用戶承擔(dān)信托責(zé)任。
(五)數(shù)據(jù)空間(Data Space)
數(shù)據(jù)空間,指由個人、企業(yè)等數(shù)據(jù)提供者以及數(shù)據(jù)中介所組成的組織,組織中的成員遵循統(tǒng)一的數(shù)據(jù)保護(hù)規(guī)則以及數(shù)據(jù)標(biāo)準(zhǔn),其致力于在成員之間構(gòu)建互信的關(guān)系,從而使數(shù)據(jù)能夠在數(shù)據(jù)空間內(nèi)以較低的成本及阻力進(jìn)行流通,使數(shù)據(jù)能夠發(fā)揮最大的價值。
數(shù)據(jù)空間這一概念已經(jīng)在工業(yè)、醫(yī)療健康等領(lǐng)域得到實踐。以全球數(shù)據(jù)空間(International Data Spaces,IDS)為例,作為一個以工業(yè)數(shù)據(jù)共享為主要業(yè)務(wù)的非盈利組織,其致力于構(gòu)造一個在可信的合作伙伴之間安全、自主地交換數(shù)據(jù)的體系;截至2022年,已經(jīng)有包括華為、奧迪等公司在內(nèi)的超過120個成員加入這一數(shù)據(jù)空間當(dāng)中,并且其已經(jīng)制定并出臺了一系列的數(shù)據(jù)規(guī)則和標(biāo)準(zhǔn)以供組織成員遵守。16類似的,歐盟也正在積極構(gòu)建歐洲范圍內(nèi)的健康數(shù)據(jù)空間。在2021年發(fā)布的一份評估成員國根據(jù)GDPR處理健康數(shù)據(jù)規(guī)則的研究報告中,歐盟委員會認(rèn)為歐盟需要推動統(tǒng)一的立法,并且在基礎(chǔ)設(shè)施、數(shù)據(jù)兼容性等方面采取更為統(tǒng)一的行動,從而構(gòu)建一個歐洲健康數(shù)據(jù)的共享空間(European Health Data Space)。
數(shù)據(jù)空間往往較其他類型的數(shù)據(jù)經(jīng)紀(jì)人更為開放、包容。以全球數(shù)據(jù)空間協(xié)會(International Data Spaces Association,IDSA)為例,其在發(fā)布的白皮書中便明確表示IDSA將致力于融入到當(dāng)前已經(jīng)存在的系統(tǒng)和標(biāo)準(zhǔn)當(dāng)中,并與其他的系統(tǒng)保持兼容,而不是重新構(gòu)建新的系統(tǒng);且IDSA也并不局限于工業(yè)領(lǐng)域,而是同時兼顧橫向的領(lǐng)域擴(kuò)張和縱向的深入發(fā)展。此外,IDSA還以構(gòu)建數(shù)據(jù)主權(quán)的開放性、全球性標(biāo)準(zhǔn)為其發(fā)展原則,任何人都能夠自由使用和參與這一標(biāo)準(zhǔn),從而滿足中小企業(yè)對低成本、低門檻數(shù)據(jù)市場的需求。17
(六)數(shù)據(jù)開發(fā)商
數(shù)據(jù)開發(fā)商,是根據(jù)企業(yè)或個人的特定需求,對其所提供的軍事、商業(yè)等領(lǐng)域的數(shù)據(jù)提供大數(shù)據(jù)分析服務(wù),從而挖掘數(shù)據(jù)的價值,幫助客戶從海量的數(shù)據(jù)中挖掘出對其有用的數(shù)據(jù),并轉(zhuǎn)換為通俗易懂的輸出結(jié)果。與上述類型的數(shù)據(jù)經(jīng)紀(jì)人不同,數(shù)據(jù)開發(fā)商主要提供的是數(shù)據(jù)挖掘、分析服務(wù),其競爭優(yōu)勢更多取決于其所提供的數(shù)據(jù)分析技術(shù)能否契合客戶的需求。此外,盡管數(shù)據(jù)開發(fā)商都宣稱其數(shù)據(jù)來源于公開等合法渠道,但是如Palantir等數(shù)據(jù)開發(fā)商所從事的數(shù)據(jù)分析服務(wù)經(jīng)常涉及國家安全、反恐、軍事等敏感數(shù)據(jù),因此其所分析的數(shù)據(jù)往往是滿足敏感行業(yè)的個性化需求,此類數(shù)據(jù)不能夠如其他數(shù)據(jù)經(jīng)紀(jì)人一般對外提供。
隨著大數(shù)據(jù)技術(shù)的發(fā)展和普及,數(shù)據(jù)開發(fā)商的數(shù)量也在不斷增長,除了已經(jīng)在美國上市的Palantir外,亞馬遜的AWS也提供數(shù)據(jù)分析服務(wù);在國內(nèi),專門提供數(shù)據(jù)分析服務(wù)的公司規(guī)模也在不斷擴(kuò)大,阿里云、華為云等也提供了數(shù)據(jù)分析服務(wù)。
3
風(fēng)險遍布:數(shù)據(jù)經(jīng)紀(jì)人的運(yùn)營
根據(jù)數(shù)據(jù)的流動方向,可以將數(shù)據(jù)經(jīng)紀(jì)人的運(yùn)營劃分為數(shù)據(jù)采集、數(shù)據(jù)存儲、數(shù)據(jù)分析、數(shù)據(jù)共享四個環(huán)節(jié),對于以數(shù)據(jù)交易平臺為代表的傳統(tǒng)型數(shù)據(jù)經(jīng)紀(jì)人而言,其還涉及數(shù)據(jù)的售后監(jiān)管。而隨著數(shù)據(jù)經(jīng)紀(jì)人規(guī)模的不斷擴(kuò)大以及數(shù)據(jù)監(jiān)管力度的不斷加強(qiáng),各個環(huán)節(jié)的風(fēng)險也正在不斷顯現(xiàn)。這些風(fēng)險主要存在于傳統(tǒng)型數(shù)據(jù)經(jīng)紀(jì)人當(dāng)中,但如數(shù)據(jù)收集合規(guī)、數(shù)據(jù)安全存儲等風(fēng)險也可能存在于數(shù)據(jù)銀行、數(shù)據(jù)信托等新型數(shù)據(jù)經(jīng)紀(jì)人當(dāng)中。在下文中,筆者將對數(shù)據(jù)經(jīng)紀(jì)人的運(yùn)營以及各個環(huán)節(jié)可能存在的風(fēng)險進(jìn)行簡要概述。
(一)數(shù)據(jù)采集
根據(jù)開放社會基金會的報告,數(shù)據(jù)經(jīng)紀(jì)人的數(shù)據(jù)主要有以下三大來源:
其一,公開渠道獲取。利用網(wǎng)絡(luò)爬蟲獲取個人發(fā)布在社交網(wǎng)絡(luò)平臺、媒體、企業(yè)名錄以及政府公開記錄中的個人數(shù)據(jù)是數(shù)據(jù)經(jīng)紀(jì)人的普遍做法。然而,由于各國法律對于搜集公開信息的監(jiān)管力度并不相同,搜集公開數(shù)據(jù)亦存在合規(guī)風(fēng)險,如我國《民法典》第一千零三十六條規(guī)定,如果個人明確拒絕其已經(jīng)公開的個人信息或信息的處理侵害其重大利益,則信息處理者仍然需要承擔(dān)民事責(zé)任,而GDPR第九條對公開信息的處理規(guī)則主要側(cè)重于考察個人是否“明顯地”公開其信息,而對于信息用途的限制則相對較弱18。此外,由于不同地區(qū)的法院對于此類行為的認(rèn)定并不相同,這導(dǎo)致搜集、處理公開個人信息的行為可能觸犯刑法中的侵犯公民個人信息罪19,因此數(shù)據(jù)經(jīng)紀(jì)人搜集公開信息的刑事合規(guī)風(fēng)險更是不容忽視。
其二,從其他數(shù)據(jù)控制者中獲取。數(shù)據(jù)經(jīng)紀(jì)人往往會從互聯(lián)網(wǎng)企業(yè)等數(shù)據(jù)控制者手中獲取他們在業(yè)務(wù)運(yùn)營過程中所收集的個人數(shù)據(jù),或向其他數(shù)據(jù)經(jīng)紀(jì)人購買數(shù)據(jù),以滿足自己建立各類數(shù)據(jù)庫的需求。此外,北約戰(zhàn)略通訊中心在其調(diào)研過程中發(fā)現(xiàn),部分?jǐn)?shù)據(jù)經(jīng)紀(jì)人與數(shù)據(jù)控制者已然建立了合作伙伴關(guān)系,從而使這些數(shù)據(jù)控制者允許他們在其平臺上爬取個人數(shù)據(jù)。從其他數(shù)據(jù)控制著中獲取個人數(shù)據(jù)已然成為數(shù)據(jù)經(jīng)紀(jì)人獲取數(shù)據(jù)的主要途徑,但其中蘊(yùn)含的數(shù)據(jù)合規(guī)風(fēng)險亦不容忽視。以歐盟為例,任何數(shù)據(jù)控制者收集、處理或傳輸個人數(shù)據(jù),都必須具有GDPR所規(guī)定的合法性事由,而由于數(shù)據(jù)經(jīng)紀(jì)人與其所持有數(shù)據(jù)的非關(guān)聯(lián)性,其對數(shù)據(jù)的處理往往需要有其合法性基礎(chǔ)。然而,在實踐中,數(shù)據(jù)經(jīng)紀(jì)人未經(jīng)個人同意違規(guī)收集信息的案例并不鮮見20,或?qū)⒋朔N數(shù)據(jù)風(fēng)險的同意隱藏在晦澀難懂的用戶協(xié)議當(dāng)中,用戶難以清晰地知曉其數(shù)據(jù)被如何使用和流動。此外,數(shù)據(jù)經(jīng)紀(jì)人也正在尋找規(guī)避嚴(yán)格的數(shù)據(jù)保護(hù)法規(guī)的途徑,如挪威的DPA便指出,隨著國際競爭的加劇,歐洲的數(shù)據(jù)經(jīng)紀(jì)人也正在探尋從更為廣泛的數(shù)據(jù)源收集并整合數(shù)據(jù)的可能性。21類似的,我國于2021年11月生效的《個人信息保護(hù)法》中亦對向第三方提供個人信息的行為進(jìn)行了嚴(yán)格的限制,要求通過同意的合法性基礎(chǔ)獲取的個人信息在向第三方進(jìn)行共享時必須取得個人的單獨同意,然而從互聯(lián)網(wǎng)公司的合規(guī)實踐來看,用戶在接受應(yīng)用的隱私協(xié)議時必須同時接受其所公布的第三方共享清單,否則仍然不能使用服務(wù),這并沒有給數(shù)據(jù)經(jīng)紀(jì)人從這些公司獲取用戶信息帶來實質(zhì)性障礙。
其三,獲取個人授權(quán)后收集或通過個人主動上傳而獲取。此種數(shù)據(jù)獲取方式主要應(yīng)用在數(shù)據(jù)銀行、數(shù)據(jù)信托以及數(shù)據(jù)合作社當(dāng)中,個人對其數(shù)據(jù)往往擁有較強(qiáng)的控制權(quán),且能夠從其數(shù)據(jù)的流通和利用中分享收益,相較于前兩周數(shù)據(jù)獲取方式具有更高的正當(dāng)性。但這種模式在合規(guī)上亦非天衣無縫。例如,在歐洲數(shù)據(jù)保護(hù)委員會(European Data Protection Board,EDPB)、歐洲數(shù)據(jù)保護(hù)監(jiān)督機(jī)構(gòu)(European Data Protection Supervisor,EDPS)就針對DGA草案提出的聯(lián)合意見中便指出,其中關(guān)于允許數(shù)據(jù)中介在取得個人同意后收集其數(shù)據(jù),并將這些數(shù)據(jù)與第三方進(jìn)行共享的規(guī)定可能與GDPR所規(guī)定的透明性原則和目的限制原則相沖突,因為個人在作出同意時并不能明確地知曉哪些主體是數(shù)據(jù)分享的對象。
(二)數(shù)據(jù)儲存
隨著信息技術(shù)的迅速發(fā)展,科技企業(yè)對于數(shù)據(jù)的需求越來越大,這為數(shù)據(jù)經(jīng)紀(jì)人的迅速擴(kuò)張?zhí)峁┝肆己玫耐寥馈8鶕?jù)FTC在2014年發(fā)布的報告,在其調(diào)查的美國九大數(shù)據(jù)經(jīng)紀(jì)人中,有的數(shù)據(jù)經(jīng)紀(jì)人擁有14億消費(fèi)者超過7000億條數(shù)據(jù),而有的數(shù)據(jù)經(jīng)紀(jì)人所擁有的數(shù)據(jù)在覆蓋了近乎美國消費(fèi)者的同時,更是覆蓋了超過3000個數(shù)據(jù)維度。22在2021年,這些數(shù)據(jù)經(jīng)紀(jì)人所擁有的數(shù)據(jù)更是從人口信息到財產(chǎn)信息、活動軌跡,覆蓋了社會生活的方方面面。23
如此大規(guī)模的數(shù)據(jù)往往都儲存在數(shù)據(jù)經(jīng)紀(jì)人自己建設(shè)的系統(tǒng)當(dāng)中,而這不可避免地帶來數(shù)據(jù)安全的風(fēng)險。北約戰(zhàn)略通訊中心在其發(fā)布的報告中便指出,數(shù)據(jù)經(jīng)紀(jì)人可能成為黑客的首要目標(biāo),因而存儲在數(shù)據(jù)經(jīng)紀(jì)人中的個人數(shù)據(jù)需要承擔(dān)更高的風(fēng)險。在現(xiàn)實中,各大型的數(shù)據(jù)經(jīng)紀(jì)人都有被黑客入侵的案例,而其中僅有少部分的案例被公眾所知悉。
對于數(shù)據(jù)銀行、數(shù)據(jù)信托等新型數(shù)據(jù)經(jīng)紀(jì)人,數(shù)據(jù)存儲中的安全風(fēng)險更需要得到重視。保障數(shù)據(jù)安全需要充足的資金進(jìn)行支持,而數(shù)據(jù)銀行、數(shù)據(jù)信托的收入情況較傳統(tǒng)的數(shù)據(jù)經(jīng)紀(jì)人存在較大的差距,因此如何通過有限的資源防范潛在的數(shù)據(jù)風(fēng)險,將是這些新型數(shù)據(jù)經(jīng)紀(jì)人需要首要解決的問題。
此外,數(shù)據(jù)的多次流轉(zhuǎn)以及數(shù)據(jù)經(jīng)紀(jì)人對數(shù)據(jù)的存儲可能削弱被遺忘權(quán)的行使效果。在我國的《個人信息保護(hù)法》以及歐盟的GDPR中都規(guī)定了個人的被遺忘權(quán),以及個人信息處理者(數(shù)據(jù)控制者)在保存期限屆滿、處理目的已經(jīng)實現(xiàn)等情況下應(yīng)當(dāng)主動刪除個人信息(數(shù)據(jù)),然而如Mydata在其白皮書中所述,隨著數(shù)據(jù)應(yīng)用場景的增加,數(shù)據(jù)傳輸路徑的復(fù)雜度將不斷增強(qiáng),從而織起一張緊密的數(shù)據(jù)傳輸網(wǎng),而個人將迷失在這張大網(wǎng)當(dāng)中,無法完整地了解自己的數(shù)據(jù)將被如何共享和使用,更難以知曉自己應(yīng)當(dāng)向哪些主體主張行使被遺忘權(quán)。24且由于法律對于數(shù)據(jù)經(jīng)紀(jì)人儲存?zhèn)€人數(shù)據(jù)的時間并沒有限制,導(dǎo)致這些數(shù)據(jù)往往因為潛在的交易用途而被無限期地保留,因而個人數(shù)據(jù)被自然遺忘的可能性也正因數(shù)據(jù)經(jīng)紀(jì)人的擴(kuò)張而不斷降低。
(三)數(shù)據(jù)分析
作為歷史比互聯(lián)網(wǎng)更為悠久的行業(yè),數(shù)據(jù)經(jīng)紀(jì)人最初提供的往往不是純粹的原始數(shù)據(jù),而是經(jīng)過分析后的派生數(shù)據(jù)。在歐洲,早在一個世紀(jì)以前便出現(xiàn)了最為原始的信用評分模式,而在20世紀(jì)下旬便已經(jīng)存在出售顧客分類數(shù)據(jù)的數(shù)據(jù)經(jīng)紀(jì)人以及至今仍被廣泛運(yùn)用的信用評分技術(shù)。在當(dāng)下,為了滿足各類顧客的需求,尤其是不具備強(qiáng)大數(shù)據(jù)分析技術(shù)和能力的中小型科技企業(yè),數(shù)據(jù)經(jīng)紀(jì)人往往會開發(fā)信用評分、身份驗證等各類數(shù)據(jù)派生產(chǎn)品,甚至有的數(shù)據(jù)經(jīng)紀(jì)人宣稱其能夠通過駕駛證記錄以及其他信息聚合分析出個人的手機(jī)定位,這可能將本就脆弱的個人隱私陷于更危險的境地。
但這些派生數(shù)據(jù)可能存在錯誤且難以及時更正,從而對個人的正常生活產(chǎn)生不利影響。由于數(shù)據(jù)經(jīng)紀(jì)人與個人往往不具有直接聯(lián)系,因此個人難以快速地發(fā)現(xiàn)自己的數(shù)據(jù)存在錯誤,更有甚者需要付費(fèi)向數(shù)據(jù)經(jīng)紀(jì)商購買自己的數(shù)據(jù)后,才發(fā)現(xiàn)其所提供的數(shù)據(jù)有近一半都是錯誤的。25在2020年的一項調(diào)查中就發(fā)現(xiàn),由于公司往往會從數(shù)據(jù)經(jīng)紀(jì)人以及人口查詢網(wǎng)站中獲取個人犯罪記錄,而由于數(shù)據(jù)經(jīng)紀(jì)人所提供的錯誤數(shù)據(jù),一大批人的住房申請被拒絕。26
同時,數(shù)據(jù)的大規(guī)模聚合分析可能進(jìn)一步限制數(shù)據(jù)匿名化的作用。為了符合數(shù)據(jù)保護(hù)規(guī)定,部分?jǐn)?shù)據(jù)經(jīng)紀(jì)人或數(shù)據(jù)控制者會將個人數(shù)據(jù)經(jīng)過匿名化處理后,再向第三方進(jìn)行傳輸。然而,實踐已經(jīng)證明,在大規(guī)模的數(shù)據(jù)集合面前,揭開匿名化的面紗可謂輕而易舉,從而導(dǎo)致個人的敏感信息被泄露或曝光。27
此外,算法在數(shù)據(jù)經(jīng)紀(jì)人領(lǐng)域的介入可能導(dǎo)致少數(shù)群體的困境更加窘迫。由于機(jī)器學(xué)習(xí)模型構(gòu)建所依賴的數(shù)據(jù)本身便會包含社會的歧視和偏見,而大數(shù)據(jù)和機(jī)器學(xué)習(xí)的本質(zhì)都是一種基于歷史數(shù)據(jù)的預(yù)測機(jī)制,因此不可避免地出現(xiàn)“偏見進(jìn),則偏見出”28的現(xiàn)象。此外,由于少數(shù)群體與多數(shù)群體在數(shù)據(jù)的規(guī)模上差距懸殊,出于成本和效率的考慮,少數(shù)群體的特性將被當(dāng)作數(shù)據(jù)的“噪聲”而被排除在標(biāo)準(zhǔn)的建構(gòu)以外,由此進(jìn)一步強(qiáng)化大數(shù)據(jù)對其的偏見。29而這種偏見將隨著算法的介入而傳導(dǎo)至數(shù)據(jù)經(jīng)紀(jì)人的派生數(shù)據(jù)當(dāng)中,使得少數(shù)群體受到更為普遍的歧視。30
因此,為避免數(shù)據(jù)經(jīng)紀(jì)人自行對數(shù)據(jù)進(jìn)行分析從而帶來的數(shù)據(jù)失控風(fēng)險,歐盟在DGA中對數(shù)據(jù)經(jīng)紀(jì)人的數(shù)據(jù)分析活動進(jìn)行了嚴(yán)格的限制。在DGA的第十一條中,明確規(guī)定了數(shù)據(jù)中介應(yīng)當(dāng)遵守的準(zhǔn)則,包括不得將數(shù)據(jù)用于數(shù)據(jù)移轉(zhuǎn)以外的目的,對數(shù)據(jù)的分析、轉(zhuǎn)換、匿名化等處理必須經(jīng)過數(shù)據(jù)主體的批準(zhǔn),在開展服務(wù)中獲取的數(shù)據(jù)只能夠用于服務(wù)本身的開發(fā)以及檢測欺詐或網(wǎng)絡(luò)安全目的。31
(四)數(shù)據(jù)共享與售后監(jiān)管
數(shù)據(jù)經(jīng)紀(jì)人的價值在于共享。具體而言,數(shù)據(jù)經(jīng)紀(jì)人的共享包括銷售、許可、授權(quán)等多種形式。但不同數(shù)據(jù)經(jīng)紀(jì)人共享數(shù)據(jù)的對象并不相同。基于數(shù)據(jù)安全的考慮,國內(nèi)的上海數(shù)據(jù)交易所、貴州大數(shù)據(jù)交易所以及國外的BDEX等數(shù)據(jù)交易平臺并不允許個人參與到數(shù)據(jù)交易當(dāng)中,而是僅面向經(jīng)過其認(rèn)證的合格交易對象進(jìn)行開放;而如Factual、Infochimps及京東萬象等數(shù)據(jù)交易平臺則相對開放,允許一般的開發(fā)者接入其平臺,甚至授權(quán)其免費(fèi)使用少量的非公開數(shù)據(jù)。但是,亦有不少的數(shù)據(jù)經(jīng)紀(jì)人對于交易對象缺乏有效的控制措施。北約戰(zhàn)略通訊中心通過實踐調(diào)研發(fā)現(xiàn),從數(shù)據(jù)經(jīng)紀(jì)人手中購買已經(jīng)打包好的數(shù)據(jù)十分容易,只需要直接在數(shù)據(jù)經(jīng)紀(jì)人的網(wǎng)頁購買,這些數(shù)據(jù)便會很快地發(fā)送到郵箱當(dāng)中,其僅在提供更為高級的數(shù)據(jù)服務(wù)時,如需要客制化的數(shù)據(jù)產(chǎn)品,才對客戶進(jìn)行驗證、調(diào)查以及面談,以驗證客戶的合法性以及確保其會合法地使用被交易的數(shù)據(jù)。然而,這也并非行業(yè)的一般標(biāo)準(zhǔn),許多數(shù)據(jù)經(jīng)紀(jì)人在進(jìn)行數(shù)據(jù)交易時并不會對客戶的身份進(jìn)行審核或驗證。32
數(shù)據(jù)的過度簡單易得可能導(dǎo)致個人數(shù)據(jù)被用于非法用途。個人可能因數(shù)據(jù)經(jīng)紀(jì)人所分享的信息而受到操縱,例如將偏好信息用于商業(yè)化營銷,導(dǎo)致人們購買了其本并不愿意購買的商品,甚至在政治選舉中利用精準(zhǔn)化廣告技術(shù)推送政治廣告,從而影響選舉的結(jié)果。此外,數(shù)據(jù)經(jīng)紀(jì)人出售的個人數(shù)據(jù)也可能流入數(shù)據(jù)黑市,從而被用于身份盜竊、詐騙等非法用途。
此外,在數(shù)據(jù)交易活動中,數(shù)據(jù)經(jīng)紀(jì)人往往會與客戶在協(xié)議中約定數(shù)據(jù)交易的具體細(xì)節(jié),包括數(shù)據(jù)的用途、使用范圍等要素,且法律也要求買受方應(yīng)當(dāng)在已告知用戶并取得同意的處理目的、方式和種類的范圍內(nèi)對數(shù)據(jù)進(jìn)行處理33,而部分?jǐn)?shù)據(jù)處理者對此亦負(fù)有監(jiān)督義務(wù)34。然而,數(shù)據(jù)經(jīng)紀(jì)人往往不能或不愿對數(shù)據(jù)的使用情況進(jìn)行監(jiān)管。例如,大型數(shù)據(jù)經(jīng)紀(jì)人Oxydata就在采訪中表示,其并沒有合適的手段要求所有的客戶遵循其數(shù)據(jù)保護(hù)的規(guī)定和指引。35此種售后監(jiān)管的缺失可能導(dǎo)致數(shù)據(jù)被用于用戶知曉或同意范圍以外的用途,甚至導(dǎo)致用戶的權(quán)益被侵害。
4
規(guī)制與推廣:數(shù)據(jù)經(jīng)紀(jì)人的現(xiàn)狀與未來
(一)規(guī)制:立法與執(zhí)法并進(jìn)
針對數(shù)據(jù)經(jīng)紀(jì)人所暴露出的各種問題,各個地區(qū)正在制定專門性法案,以保障對數(shù)據(jù)經(jīng)紀(jì)人的風(fēng)險防范有法可依。
在2018年,佛蒙特州議會通過了《數(shù)據(jù)經(jīng)紀(jì)人法》(Data Broker Law),成為美國第一個要求數(shù)據(jù)經(jīng)紀(jì)人進(jìn)行專門注冊登記的州。該法案要求數(shù)據(jù)經(jīng)紀(jì)人向州檢察長登記,并每年支付100美元的登記費(fèi)。同時,該法案還要求數(shù)據(jù)經(jīng)紀(jì)人在每年注冊的同時向州檢察長披露其是否允許消費(fèi)者撤回對數(shù)據(jù)經(jīng)紀(jì)人收集數(shù)據(jù)的授權(quán)以及撤回授權(quán)的方法、范圍等隱私政策信息,亦需要披露上一年度數(shù)據(jù)安全漏洞數(shù)量以及受影響的消費(fèi)者總數(shù)等數(shù)據(jù)安全信息,否則將會受到最高10000美元的罰款。此外,該法案還對數(shù)據(jù)經(jīng)紀(jì)人的數(shù)據(jù)用途作出限制,禁止任何人通過欺詐的手段獲取數(shù)據(jù)經(jīng)紀(jì)人手中的個人數(shù)據(jù),亦禁止將數(shù)據(jù)用于跟蹤或騷擾他人、欺詐或?qū)λ藢嵤┓欠ㄆ缫暬顒?/strong>。36該法案還對數(shù)據(jù)經(jīng)紀(jì)人應(yīng)當(dāng)符合的數(shù)據(jù)安全標(biāo)準(zhǔn)以及具體措施作出了規(guī)定。
與佛蒙特州類似,加利福尼亞州在2019年亦通過了針對數(shù)據(jù)經(jīng)紀(jì)人的注冊法案。該法案的制定目的是要求數(shù)據(jù)經(jīng)紀(jì)人向州檢察長登記并披露其如何保障消費(fèi)者能夠選擇自己的個人數(shù)據(jù)不被收集或出售。
美國在聯(lián)邦層面也嘗試通過立法的方式對數(shù)據(jù)經(jīng)紀(jì)人進(jìn)行規(guī)制。在2020年5月,一份名為《數(shù)據(jù)經(jīng)紀(jì)人問責(zé)制與透明度法案》的立法草案被提交給眾議院能源與商業(yè)委員會,該法案草案對個人獲取、更正被數(shù)據(jù)經(jīng)紀(jì)人收集的個人數(shù)據(jù)等事項作出了規(guī)定。首先,數(shù)據(jù)經(jīng)紀(jì)人負(fù)有確保其所收集的個人信息的準(zhǔn)確性之責(zé)任。其次,數(shù)據(jù)經(jīng)紀(jì)人應(yīng)當(dāng)提供渠道,在對用戶身份進(jìn)行驗證后,免費(fèi)向個人提供其個人數(shù)據(jù),且這種數(shù)據(jù)應(yīng)當(dāng)以可以被一般人理解的格式進(jìn)行提供;對于在此過程中數(shù)據(jù)經(jīng)紀(jì)人收集的個人的身份驗證信息,亦不能夠用于除身份驗證以外的任何目的。此外,在驗證個人身份后,個人對其數(shù)據(jù)提出更正請求的,除非存在有理由相信該數(shù)據(jù)不重要或更正后的數(shù)據(jù)顯然是錯誤的等例外情況,否則數(shù)據(jù)經(jīng)紀(jì)人應(yīng)當(dāng)對這些數(shù)據(jù)進(jìn)行更正。而針對個人數(shù)據(jù)的更正,法案要求數(shù)據(jù)經(jīng)紀(jì)人應(yīng)當(dāng)建立和維護(hù)一個網(wǎng)站,以公示個人獲取他們的數(shù)據(jù)以及更正數(shù)據(jù)的途徑。最后,該法案要求,數(shù)據(jù)經(jīng)紀(jì)人應(yīng)當(dāng)提供渠道,使個人能夠拒絕數(shù)據(jù)經(jīng)紀(jì)人以商業(yè)的目的向第三方分享數(shù)據(jù)。但遺憾的是,截止至2022年3月,該法案并沒有進(jìn)一步的動態(tài)。37
此外,針對數(shù)據(jù)經(jīng)紀(jì)人對數(shù)據(jù)的收集、儲存可能增加個人行使被遺忘權(quán)的問題,美國也正計劃在聯(lián)邦層面制定《刪除法》以便利個人統(tǒng)一行使其被遺忘權(quán)。2022年2月10日,美國參議會便公布了《刪除法》的草案。該草案首先期望在美國聯(lián)邦層面構(gòu)建數(shù)據(jù)經(jīng)紀(jì)人的登記制度,要求數(shù)據(jù)經(jīng)紀(jì)人登記其基本信息以及個人撤回信息授權(quán)的方法。其次,便是期望建立一個中心化的數(shù)據(jù)刪除系統(tǒng),允許個人通過該系統(tǒng)提出刪除與其相關(guān)的所有個人數(shù)據(jù)的要求,而每個數(shù)據(jù)經(jīng)紀(jì)人都必須每月查詢這一系統(tǒng)并處理相應(yīng)的刪除請求。此外,這些提出請求的個人還將被列入“拒絕追蹤”的名單當(dāng)中,并要求數(shù)據(jù)經(jīng)紀(jì)人不得保留除識別該名單所列個人身份以外的個人數(shù)據(jù)。38
對于數(shù)據(jù)經(jīng)紀(jì)人違反上述生效法案以及其他數(shù)據(jù)保護(hù)法規(guī)的行為,執(zhí)法機(jī)關(guān)也正在采取相應(yīng)的行動。在2020年,佛特蒙州總檢察長T.J. Donovan便根據(jù)《數(shù)據(jù)經(jīng)紀(jì)人法》對Clearview公司未根據(jù)要求法案要求在限期內(nèi)進(jìn)行注冊、未經(jīng)同意及違反網(wǎng)站使用條款獲取照片以及未經(jīng)父母同意,收集、儲存、傳播未成年人照片的違法行為開出1萬美元的罰單,并要求沒收該公司的違法所得。39此外,法國的國家信息與自由委員會(Commission?Nationale?Informatique &?Libertés,CNIL)在2019年也對數(shù)據(jù)中介違反GDPR收集已公開個人信息的行為進(jìn)行了調(diào)查,其認(rèn)為這些公司從公開網(wǎng)站上抓取個人的聯(lián)系方式,并將其用于電子郵件或電話營銷的行為,并沒有獲得用戶的同意,亦沒有尊重已經(jīng)明確表示不接受電話營銷的用戶的反對權(quán),已經(jīng)違反了GDPR的相關(guān)規(guī)定。40
(二)推廣:行業(yè)發(fā)展與數(shù)據(jù)保護(hù)并重
數(shù)據(jù)經(jīng)紀(jì)人是一把雙刃劍。雖然數(shù)據(jù)經(jīng)紀(jì)人仍然存在侵犯隱私、數(shù)據(jù)安全等各種風(fēng)險,但這不能否認(rèn)其在信息時代的發(fā)展中發(fā)揮了重要的作用。在佛蒙特州及加州通過的關(guān)于數(shù)據(jù)經(jīng)紀(jì)人的法案中便充分肯定了數(shù)據(jù)經(jīng)紀(jì)人的價值,稱其能夠為現(xiàn)代經(jīng)濟(jì)提供信用報告、背景調(diào)查、風(fēng)險防范、欺詐偵察等信息,并為銀行、保險的決策提供信息的參考。41
此外,數(shù)據(jù)在現(xiàn)代信息社會發(fā)展的地位越發(fā)關(guān)鍵。根據(jù)IDC所發(fā)布的指南,2021年全球在大數(shù)據(jù)及商業(yè)數(shù)據(jù)分析解決方案上的支出將達(dá)到2157億美元,相較于2020年增長了10.1%,且其預(yù)測這一數(shù)字在未來五年仍會維持年均12.8%的增長趨勢。42這意味著其對數(shù)據(jù)規(guī)模以及質(zhì)量的需求也將不斷增長,從而建立更為精準(zhǔn)的數(shù)據(jù)模型以及拓展更多的應(yīng)用領(lǐng)域,而單一的數(shù)據(jù)收集者往往難以滿足如此龐大、多維的數(shù)據(jù)需求,此時便需要數(shù)據(jù)經(jīng)紀(jì)人作為橋梁,打破“數(shù)據(jù)孤島”。
我國正在大力推動數(shù)據(jù)經(jīng)紀(jì)人的培育和發(fā)展。在國家層面,“培育規(guī)范的數(shù)據(jù)交易平臺”被列入“十四五規(guī)劃”以及《關(guān)于加快建設(shè)全國統(tǒng)一大市場的意見》當(dāng)中43,且數(shù)據(jù)已然成為與土地、勞動力、資本、技術(shù)相并列的生產(chǎn)要素之一。在地方層面,各地均頒布了相應(yīng)的政策或法規(guī)以保障及促進(jìn)數(shù)據(jù)經(jīng)紀(jì)人的發(fā)展,如上海市人大常委會于2021年11月25日頒布了《上海市數(shù)據(jù)條例》,其中便對數(shù)據(jù)要素市場進(jìn)行了專章規(guī)定,提出要對數(shù)據(jù)的共享、開放、交易、合作進(jìn)行鼓勵和引導(dǎo),并支持?jǐn)?shù)據(jù)交易服務(wù)機(jī)構(gòu)的有序發(fā)展;類似的,廣東省政府于2021年7月11日發(fā)布了《廣東省數(shù)據(jù)要素市場化配置改革行動方案》,其中專門對促進(jìn)數(shù)據(jù)交易流通進(jìn)行了任務(wù)部署,要求加快數(shù)據(jù)交易市場及配套機(jī)構(gòu)的建設(shè)、完善數(shù)據(jù)流通制度并推動粵港澳大灣區(qū)數(shù)據(jù)的有序流動。在2021年末,廣州市海珠區(qū)政府頒布了《廣州市海珠區(qū)數(shù)據(jù)經(jīng)紀(jì)人試點工作方案》,這是全國范圍內(nèi)第一份以“數(shù)據(jù)經(jīng)紀(jì)人”命名的官方文件,其受到了官方媒體的高度評價,認(rèn)為其較數(shù)據(jù)交易平臺模式更具靈活性和針對性。44
歐盟作為對個人數(shù)據(jù)施加強(qiáng)力保護(hù)的標(biāo)志性地區(qū),亦在尋求兼顧數(shù)據(jù)經(jīng)紀(jì)人發(fā)展與數(shù)據(jù)權(quán)利保護(hù)的可能性。由于GDPR對于數(shù)據(jù)收集、處理以及分享的嚴(yán)格限制,數(shù)據(jù)的流通利用在歐盟中長期處于低迷狀態(tài),導(dǎo)致歐盟逐漸落后于信息社會發(fā)展的潮流。為此,歐盟提出建設(shè)單一數(shù)據(jù)空間的戰(zhàn)略規(guī)劃,并在立法層面探索建立數(shù)據(jù)經(jīng)濟(jì)人的相關(guān)制度。為此,歐洲議會于2022年4月通過了《數(shù)據(jù)治理法》(DGA),構(gòu)建了“數(shù)據(jù)中介”、“數(shù)據(jù)合作社”以及“數(shù)據(jù)利他主義組織”三種類型的數(shù)據(jù)經(jīng)紀(jì)人。但于此同時,DGA也對數(shù)據(jù)經(jīng)紀(jì)人的設(shè)立、活動加以嚴(yán)格的限制,如該法中規(guī)定,數(shù)據(jù)中介應(yīng)當(dāng)具有中立性、獨立性,且其不能將數(shù)據(jù)用于共享以外的任何目的,也不能自行對數(shù)據(jù)進(jìn)行處理,45這意味著DGA規(guī)制下的數(shù)據(jù)中介活動范圍較其他國家或地區(qū)的數(shù)據(jù)經(jīng)紀(jì)人更為狹窄,能夠提供的數(shù)據(jù)種類也更少。此外,作為歐盟數(shù)據(jù)保護(hù)的領(lǐng)頭羊,EDPB和EDPS也呼吁歐盟在推動數(shù)據(jù)共享的同時,通過設(shè)置更嚴(yán)格的數(shù)據(jù)經(jīng)紀(jì)人審批及登記制度以加強(qiáng)對個人數(shù)據(jù)的保護(hù),并且確保當(dāng)前GDPR等一系列數(shù)據(jù)法規(guī)所賦予的數(shù)據(jù)權(quán)利不會因此而受到減損。46
但在推動數(shù)據(jù)經(jīng)紀(jì)人發(fā)展的同時,對數(shù)據(jù)的保護(hù)亦要統(tǒng)籌規(guī)劃,齊頭并進(jìn)。構(gòu)建與維持作為數(shù)據(jù)主體的個人與數(shù)據(jù)經(jīng)紀(jì)人之間的信任是行業(yè)可持續(xù)發(fā)展的關(guān)鍵。在“十四五規(guī)劃”中,在培育數(shù)據(jù)交易平臺和市場主體的同時,還需要健全數(shù)據(jù)產(chǎn)權(quán)交易和行業(yè)自律機(jī)制,統(tǒng)籌隱私保護(hù)和公共安全,加強(qiáng)涉及國家利益、商業(yè)秘密、個人隱私的數(shù)據(jù)保護(hù)。而在關(guān)于上海數(shù)據(jù)交易所的報道中,“合規(guī)”更是成為高頻詞;根據(jù)其所制定的交易配套制度,數(shù)據(jù)產(chǎn)品遵循“不合規(guī)不掛牌”的原則,而《上海市數(shù)據(jù)條例》中亦明確規(guī)定,對于危害國家安全、公共利益,侵害個人隱私、未經(jīng)合法權(quán)利人授權(quán)同意的數(shù)據(jù)禁止交易。
相較于對傳統(tǒng)數(shù)據(jù)經(jīng)紀(jì)人施加更為嚴(yán)格的限制,數(shù)據(jù)銀行、數(shù)據(jù)信托等以個人為中心的新型數(shù)據(jù)經(jīng)紀(jì)人更能夠體現(xiàn)“讓個人成為信息社會的核心”這一數(shù)據(jù)保護(hù)理念。但縱觀我國數(shù)據(jù)經(jīng)紀(jì)人的發(fā)展現(xiàn)狀,對于新型數(shù)據(jù)經(jīng)紀(jì)人的推廣仍然停留在學(xué)術(shù)討論的層面,實踐仍是一片藍(lán)海。筆者認(rèn)為,在《個人信息保護(hù)法》對數(shù)據(jù)處理和數(shù)據(jù)共享施加強(qiáng)監(jiān)管的背景下,推廣新型數(shù)據(jù)經(jīng)紀(jì)人對平衡企業(yè)的數(shù)據(jù)需求與個人數(shù)據(jù)保護(hù)的關(guān)系具有重要的作用,也是可攜帶權(quán)、被遺忘權(quán)等新型個人信息權(quán)得到實現(xiàn)的可行方式。
5
結(jié)語
本文主要是對數(shù)據(jù)經(jīng)紀(jì)人的概念、類型、運(yùn)行、發(fā)展以及規(guī)制政策進(jìn)行概括性論述。在數(shù)據(jù)經(jīng)濟(jì)逐漸成為信息社會主旋律的當(dāng)下,數(shù)據(jù)經(jīng)紀(jì)人對數(shù)據(jù)經(jīng)濟(jì)發(fā)展所發(fā)揮的巨大作用不容忽視。然而,數(shù)據(jù)經(jīng)紀(jì)人帶來紅利的同時也伴隨著不小的風(fēng)險,數(shù)據(jù)安全、數(shù)據(jù)合規(guī)以及數(shù)據(jù)權(quán)利保障等問題亟待解決。此外,數(shù)據(jù)合作社、數(shù)據(jù)信托等新型數(shù)據(jù)經(jīng)紀(jì)人對保障個人數(shù)據(jù)權(quán)利開拓了新的思路,為數(shù)據(jù)經(jīng)紀(jì)人的可持續(xù)發(fā)展提供了新的路徑。未來數(shù)據(jù)經(jīng)紀(jì)人行業(yè)究竟會發(fā)生怎樣的變化,我們?nèi)员в蟹e極的期待。
1. Justin Sherman:Data Brokers and Sensitive Data on U.S. Individuals, The Sanford School of Public Policy(2021),?https://sites.sanford.duke.edu/techpolicy/report-data-brokers-and-sensitive-data-on-u-s-individuals/?.
2. Justin Sherman:Data Brokers and Sensitive Data on U.S. Individuals, The Sanford School of Public Policy(2021),?https://sites.sanford.duke.edu/techpolicy/report-data-brokers-and-sensitive-data-on-u-s-individuals/?.
3. 參見Aaron RIEKE et al: Data Brokers In An Open Society,?Open Society Foundations(November 2016).
4.H.764 (Act 171),?Vermont Legislature,? https://legislature.vermont.gov/bill/status/2018/h.764?.
5. AB-1202 Privacy: data brokers,?California Legislative Information,
https://leginfo.legislature.ca.gov/faces/billNavClient.xhtml?bill_id=201920200AB1202?.
6. DATA BROKERS:A Call for Transparency and Accountability, Federal Trade Commission(May 2014).
7. Banks' MyData drives draw lukewarm response,?The?Korea Times(Feb 13,2022),?http://www.koreatimes.co.kr/www/biz/2022/01/175_322192.html?.
8. Articles?of?Association?of?MIDATA Cooperative,?MIDATA.
9. 翟志勇:《論數(shù)據(jù)信托:一種數(shù)據(jù)治理的新方案》,載《東方法學(xué)》2021年第4期。
10. A data trust provides independent, fiduciary stewardship of data,?open data institute(Jul 10 2018),?https://theodi.org/article/what-is-a-data-trust/?.
11. How data trusts can protect privacy,?MIT Technology Review(Feb 24,2021), https://www.technologyreview.com/2021/02/24/1017801/data-trust-cybersecurity-big-tech-privacy/.
12. Data trusts in 2020,?open data institute(Mar 17 2020),?https://theodi.org/article/data-trusts-in-2020/?.
13. 參見馮果、薛亦颯:《從“權(quán)利規(guī)范模式”走向“行為控制模式”的數(shù)據(jù)信托——數(shù)據(jù)主體權(quán)利保護(hù)機(jī)制構(gòu)建的另一種思路》,載《法學(xué)評論》2020年第3期。
14. 翟志勇:《論數(shù)據(jù)信托:一種數(shù)據(jù)治理的新方案》,載《東方法學(xué)》2021年第4期;
15.Data trusts in 2020,?open data institute(Mar 17 2020),?https://theodi.org/article/data-trusts-in-2020/?.
16. International Data Spaces:?Enabling Data Economy, International Data Spaces Association.
17.?IDSA Rule Book, International Data Spaces Association(December 2020).
18.?Guidelines 8/2020 on the targeting of social media users,?European Data Protection Board(Sept 2 2020).
19. 參見周光權(quán):《侵犯公民個人信息罪的行為對象》,載《清華法學(xué)》2021年第3期。
20. 1億多條個人信息在“裸奔”?誰在泄露,又是誰在賺黑心錢?,載央視網(wǎng),2019年11月21日,http://jingji.cctv.com/2019/11/21/ARTISZd2g84QRKUdIZ1TMXpX191121.shtml。
21. Aaron RIEKE et al: Data Brokers In An Open Society,?Open Society Foundations(November 2016).
22.?DATA BROKERS A Call for Transparency and Accountability, Federal Trade Commission(May 2014).
23. Justin Sherman:Data Brokers and Sensitive Data on U.S. Individuals, The Sanford School of Public Policy(2021),?https://sites.sanford.duke.edu/techpolicy/report-data-brokers-and-sensitive-data-on-u-s-individuals/?.
24. MyData–A Nordic Model for human-centered personal data management and processing, MyData Global(Sept 2014).
25. Henrik Twetman& Gundars Bergmanis-Korast: DATA BROKERS AND SECURITY, NATO StratCom(Jan 20,2020),?https://stratcomcoe.org/cuploads/pfiles/data_brokers_and_security_20-01-2020.pdf?.
26. Justin Sherman:Data Brokers and Sensitive Data on U.S. Individuals, The Sanford School of Public Policy(2021),?https://sites.sanford.duke.edu/techpolicy/report-data-brokers-and-sensitive-data-on-u-s-individuals/?.
27. Arind Narayanan & Edward W. Felten, No Silver Bullet: De-identification Still Doesn’t Work,2014.
28. Editorial: More accountability for big-data algorithms,轉(zhuǎn)引自張玉宏、秦志光、肖樂:《大數(shù)據(jù)算法的歧視本質(zhì)》,載《自然辯證法研究》2017年第5期。
29. 張玉宏、秦志光、肖樂:《大數(shù)據(jù)算法的歧視本質(zhì)》,載《自然辯證法研究》2017年第5期。
30. Justin Sherman:Data Brokers and Sensitive Data on U.S. Individuals, The Sanford School of Public Policy(2021),?https://sites.sanford.duke.edu/techpolicy/report-data-brokers-and-sensitive-data-on-u-s-individuals/?.
31.Data Governance Act,?European Parliament(6 April 2022),?https://www.europarl.europa.eu/doceo/document/TA-9-2022-0111_EN.html?.
32. Henrik Twetman& Gundars Bergmanis-Korats: DATA BROKERS AND SECURITY, NATO StratCom(Jan 20,2020),?https://stratcomcoe.org/cuploads/pfiles/data_brokers_and_security_20-01-2020.pdf?.
33. 如《個人信息保護(hù)法》第二十三條:“個人信息處理者向其他個人信息處理者提供其處理的個人信息的,應(yīng)當(dāng)向個人告知接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式和個人信息的種類,并取得個人的單獨同意。接收方應(yīng)當(dāng)在上述處理目的、處理方式和個人信息的種類等范圍內(nèi)處理個人信息。接收方變更原先的處理目的、處理方式的,應(yīng)當(dāng)依照本法規(guī)定重新取得個人同意。”
34. 如《個人信息保護(hù)法》第五十八條第三項:“對嚴(yán)重違反法律、行政法規(guī)處理個人信息的平臺內(nèi)的產(chǎn)品或者服務(wù)提供者,停止提供服務(wù)。”
35. Henrik Twetman& Gundars Bergmanis-Korats: DATA BROKERS AND SECURITY, NATO StratCom(Jan 20,2020),?https://stratcomcoe.org/cuploads/pfiles/data_brokers_and_security_20-01-2020.pdf?.
36.H.764 (Act 171),?Vermont Legislature,?https://legislature.vermont.gov/bill/status/2018/h.764?.
37. H.R.6675 - Data Broker Accountability and Transparency Act of 2020,?U.S.Congress,?https://www.congress.gov/bill/116th-congress/house-bill/6675?.
38. H.R.6752 - DELETE Act, U.S.Congress,?https://www.congress.gov/bill/117th-congress/house-bill/6752?.
39. Vermont Attorney General brings first data broker enforcement action,?ReedSmith(17 March 2020) ,?https://www.technologylawdispatch.com/2020/03/privacy-data-protection/vermont-attorney-general-brings-first-data-broker-enforcement-action/?.
40. La réutilisation des données publiquement accessibles en ligne à des fins de démarchage commercial,CNIL(Apr 30,2020),?https://www.cnil.fr/fr/la-reutilisation-des-donnees-publiquement-accessibles-en-ligne-des-fins-de-demarchage-commercial?dm_t=0,0,0,0,0?.
41.H.764 (Act 171), Vermont Legislature,?? https://legislature.vermont.gov/bill/status/2018/h.764?.
42. Global Spending on Big Data and Analytics Solutions Will Reach $215.7 Billion in 2021, According to a New IDC Spending Guide,?IDC(Aug 17,2021), https://www.idc.com/getdoc.jsp?containerId=prUS48165721.
43. 《中華人民共和國國民經(jīng)濟(jì)和社會發(fā)展第十四個五年規(guī)劃和2035年遠(yuǎn)景目標(biāo)綱要》》及《中共中央 國務(wù)院關(guān)于加快建設(shè)全國統(tǒng)一大市場的意見》。
44. 試點數(shù)據(jù)經(jīng)紀(jì)人制度?探索數(shù)據(jù)要素市場改革新方案,載光明網(wǎng),2021年12月10日
https://tech.gmw.cn/2021-12/10/content_35372981.htm。
45.Data Governance Act, European Parliament(6 April 2022),?https://www.europarl.europa.eu/doceo/document/TA-9-2022-0111_EN.html?.
46. EDPB-EDPS Joint Opinion 03/2021 on the Proposal for a regulation of the European Parliament and of the Council on European data governance, EDPB & EDP
在線咨詢
點擊進(jìn)入在線咨詢
