王麗穎，王花蕾

（國家工業(yè)信息安全發(fā)展研究中心，北京 100040）

0 引 言

隨著大數(shù)據(jù)的廣泛普及和應用，數(shù)據(jù)資源的價值逐步得到重視和認可，數(shù)據(jù)交易流通機制不斷完善。近年來，全國涌現(xiàn)不少數(shù)據(jù)交易所和數(shù)據(jù)交易中心（以下統(tǒng)稱為數(shù)據(jù)交易平臺），據(jù)無錫數(shù)字經(jīng)濟研究院的一份數(shù)據(jù)顯示，截至2021年7月，全國已設立17家數(shù)據(jù)交易平臺。然而，我國數(shù)據(jù)交易平臺當前尚未形成成熟的商業(yè)模式，也沒有出臺專門的法律法規(guī)以規(guī)范數(shù)據(jù)服務商，一旦企業(yè)間出現(xiàn)數(shù)據(jù)紛爭且無法通過主管部門協(xié)調(diào)解決時，判決的依據(jù)一般都是個人信息保護相關(guān)法規(guī)。

近兩年，國內(nèi)學者對國內(nèi)外數(shù)據(jù)服務商相關(guān)內(nèi)容進行了很多研究。如劉耀華[1]（2017）對美國數(shù)據(jù)經(jīng)紀商監(jiān)管情況進行了簡單介紹；彭星和萬雨嬌[2]（2019）對美國佛蒙特州的數(shù)據(jù)經(jīng)紀商制度進行了介紹；桂祥[3]（2021）基于對國內(nèi)相關(guān)文獻的梳理，建議從中間商資格準入、交易標準、交易方式、政府監(jiān)管等方面入手完善信息中間商制度。在此基礎上，本文進一步梳理了美國政府在規(guī)范相關(guān)行為上的立法和行政措施，以及美國企業(yè)的自律行為，以便為完善我國相關(guān)制度提供借鑒。

1 美國數(shù)據(jù)經(jīng)紀商的主要類別和業(yè)務特點

美國聯(lián)邦貿(mào)易委員會（Federal Trade Commission，F(xiàn)TC）將“數(shù)據(jù)經(jīng)紀商”（或代理商、中間商，data broker）定義為“從各種來源收集有關(guān)消費者信息的公司，匯總、分析和共享原始信息或衍生信息，并向與消費者沒有直接關(guān)系的企業(yè)出售、許可、交易或提供該信息，用于產(chǎn)品營銷、驗證個人身份或檢測欺詐行為等”。顯然，美國政府所說的數(shù)據(jù)經(jīng)紀商與桂祥依據(jù)國內(nèi)法規(guī)提出的信息中間商基本相同，都是重要的第三方數(shù)據(jù)服務者。本文統(tǒng)一將美國相關(guān)企業(yè)稱為“數(shù)據(jù)經(jīng)紀商”。

1.1 美國數(shù)據(jù)經(jīng)紀商的3種主要業(yè)務模式

第一種是數(shù)據(jù)平臺消費者對企業(yè)（Customer to Business，C2B）分銷模式。用戶將個人數(shù)據(jù)提供給數(shù)據(jù)平臺，數(shù)據(jù)平臺向用戶支付一定的商品、貨幣、服務等價物或者優(yōu)惠、打折、積分等對價利益，并將匯總的個人信息出售給數(shù)據(jù)經(jīng)紀商。例如，美國學生營銷公司Edvisors運營多個面向大學生的網(wǎng)站，其中包括PrivateStudentLoans.com、HowToGetIn.com和GradLoans.com等。訪問這些站點的學生只要輸入個人信息，就有機會贏得最高1萬美元的獎金。但是，在該公司的隱私政策中提出“會向我們認為您可能感興趣的第三方出售數(shù)據(jù)”，隨后將這些數(shù)據(jù)打包出售給數(shù)據(jù)經(jīng)紀商等相關(guān)交易方。

第二種是數(shù)據(jù)平臺企業(yè)對企業(yè)（Business to Business，B2B）集中銷售模式。數(shù)據(jù)平臺支持查詢相關(guān)數(shù)據(jù)集，以中間人身份為數(shù)據(jù)提供方和數(shù)據(jù)購買方提供數(shù)據(jù)交易撮合服務，其中，數(shù)據(jù)提供方和購買方都是經(jīng)交易平臺審核認證、自愿從事數(shù)據(jù)買賣的實體公司。例如，美國微軟Azure、DataMarket、Factual、Infochimps等 數(shù)據(jù)平臺可供研發(fā)企業(yè)等機構(gòu)對目標客戶進行查找、預覽、購買和管理數(shù)據(jù)訂閱，并代理數(shù)據(jù)提供方、購買方進行數(shù)據(jù)買賣活動。

第三種是數(shù)據(jù)平臺B2B2C分銷集銷混合模式。數(shù)據(jù)平臺以數(shù)據(jù)經(jīng)紀商身份，收集用戶個人數(shù)據(jù)并將其轉(zhuǎn)讓、共享于他人，主要包括安客誠（Acxiom）、Corelogic、Datalogix、eBureau、ID Analytics、Intelius、PeekYou、Rapleaf、Recorded Future等公司。

鑒于數(shù)據(jù)天然的數(shù)字化特點，以上3種交易模式的重要主體都是平臺類數(shù)據(jù)處理機構(gòu)，他們通過平臺可以方便地為數(shù)據(jù)供需雙方提供對接服務。但是，并非所有銷售數(shù)據(jù)的機構(gòu)都是數(shù)據(jù)經(jīng)紀商。其中，在第一種數(shù)據(jù)平臺C2B分銷模式中，數(shù)據(jù)平臺為“產(chǎn)生”消費者數(shù)據(jù)的“第一方”數(shù)據(jù)處理機構(gòu)，不屬于數(shù)據(jù)經(jīng)紀商。在第二種數(shù)據(jù)平臺B2B集中銷售模式中，數(shù)據(jù)平臺大多為購買和銷售未經(jīng)加工的原始數(shù)據(jù)的數(shù)據(jù)處理機構(gòu)，也不屬于數(shù)據(jù)經(jīng)紀商。第三種數(shù)據(jù)平臺B2B2C分銷集銷混合模式屬于數(shù)據(jù)經(jīng)紀商的監(jiān)管范疇，在美國交易市場中扮演著越來越重要的角色[4]。

1.2 美國數(shù)據(jù)經(jīng)紀商的3類主要產(chǎn)品

數(shù)據(jù)經(jīng)紀商基于掌握的數(shù)據(jù)創(chuàng)造了3類主要的數(shù)據(jù)產(chǎn)品，即市場營銷產(chǎn)品、風險識別產(chǎn)品和人員搜索產(chǎn)品。

市場營銷產(chǎn)品是指數(shù)據(jù)經(jīng)紀商向其客戶直接出售消費者的相關(guān)信息，包括直銷產(chǎn)品、在線營銷產(chǎn)品和營銷分析產(chǎn)品。其中，直銷產(chǎn)品是指通過消費者的郵箱、電話等渠道推銷產(chǎn)品；在線營銷產(chǎn)品是指通過互聯(lián)網(wǎng)、移動設備、有線電視等渠道向消費者推銷產(chǎn)品；營銷分析產(chǎn)品是指通過分析消費者的線下活動而推銷特定產(chǎn)品等。提供市場營銷產(chǎn)品的代表性企業(yè)包括安客誠（Acxiom）、甲骨文（Oracle）、Innovis、KBM等。

風險識別產(chǎn)品包括身份認證產(chǎn)品和欺詐偵測產(chǎn)品兩類，幫助確認消費者的身份或識別欺詐行為，如客戶通過數(shù)據(jù)經(jīng)紀商的身份認證產(chǎn)品確認某消費者提供的身份登記信息是準確的，或識別出消費者在進行某項申請時提供的地址是錯誤的，涉嫌存在欺詐行為。消費者一般無法訪問風險識別產(chǎn)品中與自身相關(guān)的數(shù)據(jù)，更無法更正其中的錯誤數(shù)據(jù)。提供這類產(chǎn)品的代表性企業(yè)包括Equifax、Experian、TransUnion等。

人員搜索產(chǎn)品可以幫助用戶調(diào)查競爭對手、找到老朋友、查閱潛在的愛人或鄰居、獲取消費者的法庭記錄及其他信息。消費者一般可以訪問人員搜索產(chǎn)品中與自身相關(guān)的數(shù)據(jù)，數(shù)據(jù)經(jīng)紀商也允許其不同程度地修改個人數(shù)據(jù)或?qū)€人數(shù)據(jù)從相關(guān)產(chǎn)品中撤出。提供這類產(chǎn)品的代表性企業(yè)包括Spokeo、ZoomInfo、White Pages、PeopleSmart、Intelius、PeopleFinders等[5]。

1.3 美國數(shù)據(jù)經(jīng)紀商的數(shù)據(jù)來源和使用特點

數(shù)據(jù)經(jīng)紀商上通數(shù)據(jù)源頭下達數(shù)據(jù)買家，是數(shù)據(jù)要素市場中非常重要的一個角色。他們一般不直接接觸數(shù)據(jù)源頭，而是通過政府、公開、商業(yè)等正規(guī)渠道獲取數(shù)據(jù)，并出售給最終用戶。

如圖1所示，數(shù)據(jù)經(jīng)紀商的主要數(shù)據(jù)源包括聯(lián)邦政府數(shù)據(jù)源、地方政府數(shù)據(jù)源、商業(yè)數(shù)據(jù)源和互為數(shù)據(jù)源[6]。其中，聯(lián)邦政府數(shù)據(jù)源是直接從聯(lián)邦政府獲取的開放數(shù)據(jù)，如駕駛執(zhí)照、機動車記錄、人口普查數(shù)據(jù)、出生證、結(jié)婚證、選民登記信息等；地方政府數(shù)據(jù)源是通過與地方政府之間的業(yè)務往來等活動，自動收集或獲取地方政府數(shù)據(jù)；公共數(shù)據(jù)源包括社交媒體、博客、互聯(lián)網(wǎng)瀏覽歷史、在線購物記錄、新聞報道等；商業(yè)數(shù)據(jù)源包括消費者的保修信息、信用卡資料，從零售商等渠道購買的商品交易信息，從期刊發(fā)行商購買的用戶訂閱信息等；互為數(shù)據(jù)源是不同的數(shù)據(jù)經(jīng)紀商共享相同或類似的數(shù)據(jù)源[5]。

總結(jié)來看，數(shù)據(jù)經(jīng)紀商的數(shù)據(jù)使用特點如下文所述。

（1）不為消費者所熟知。經(jīng)紀商一般不直接從消費者手中獲取數(shù)據(jù)，消費者在很大程度上不知道經(jīng)紀商正在收集和使用這些個人信息?？梢哉f，經(jīng)紀商的活動往往“不為人知”，只要消費者在網(wǎng)絡上從事相關(guān)活動，信息就可能被收集。

（2）收集并使用原始數(shù)據(jù)。經(jīng)紀商主要從商業(yè)、政府和其他可公開獲得的資料中收集個人可識別信息以繪制個人資料，包括姓名、住址、年齡、手機號碼、性別、收入、投票信息、購物信息、網(wǎng)頁瀏覽記錄、保修登記等詳細信息。可以說，經(jīng)紀商的活動“無孔不入”，幾乎每位公民的數(shù)據(jù)都會被收集。

（3）獲取衍生數(shù)據(jù)。經(jīng)紀商基于收集的原始數(shù)據(jù)，不斷獲取更多的衍生數(shù)據(jù)，包括個人習慣、偏好、人際關(guān)系、運動路徑等。例如，將消費者歸類為準父母、汽車狂熱者、糖尿病潛在患者、追求折扣的購物者、涉嫌欺詐的人員等。但衍生數(shù)據(jù)的真實性和可用性往往難以評估，取決于原始數(shù)據(jù)的質(zhì)量。

（4）數(shù)據(jù)一般被出售給提供某些特定服務的第三方。經(jīng)紀商將個人信息許可或出售給其他第三方公司后，后者往往會給消費者提供更具針對性的產(chǎn)品折扣等廣告及人員搜索、風險識別等數(shù)據(jù)分析類服務。其目標客戶非常廣泛，包括政府部門及法律、汽車、教育、保險、科技、電信、零售、制藥、房產(chǎn)、娛樂、能源等各個行業(yè)。

2 美國政府對數(shù)據(jù)經(jīng)紀商行為的監(jiān)管措施

美國分別從聯(lián)邦和州兩個層面對數(shù)據(jù)經(jīng)紀商采取監(jiān)管手段。其中，聯(lián)邦層面更多是通過FTC等現(xiàn)有機構(gòu)進行監(jiān)管，并針對數(shù)據(jù)經(jīng)紀商行業(yè)新出現(xiàn)的問題進行調(diào)研。州層面則更具操作性，針對具體問題，在所屬范圍內(nèi)出臺專門立法標準，為行業(yè)健康發(fā)展提供“參考答案”。

早在20世紀90年代，美國政府部門就開始進行實地調(diào)研，深入探究數(shù)據(jù)經(jīng)紀商存在的問題。在這一階段，F(xiàn)TC的主要監(jiān)管依據(jù)是1970年頒布的《公平信用報告法》（Fair Credit Reporting Act，F(xiàn)CRA）。該法主要監(jiān)管經(jīng)紀商收集消費者信息，并將其提供給信貸、就業(yè)、保險、住房等行業(yè)消費者征信機構(gòu)（Consumer Reporting Agencies，CRA）的行為，要求CRA為消費者提供瀏覽及修改信息的渠道，確保消費者信息的準確性。FTC還多次組織研討會，討論數(shù)據(jù)經(jīng)紀商對個人隱私的保護情況，并組織成員單位成立了個人參考服務組織（Individual References Services Group，IRSG），對行業(yè)透明度進行自我監(jiān)管，該組織直到2001年9月才終止?？偟膩砜?，在這一時期，F(xiàn)TC積極展開調(diào)研工作，并進行了一定的自我監(jiān)管嘗試，但FCRA總體上無法滿足對數(shù)據(jù)經(jīng)紀商監(jiān)管的需要，總體監(jiān)管效果不佳[7]。

進入21世紀，美國政府大力推動數(shù)據(jù)開放運動，先后發(fā)布了《透明和開放的政府備忘錄》《開放政府指令》《實現(xiàn)政府信息公開化和機器可讀取化總統(tǒng)行政命令》。自2009年起，美國公眾可免費獲取政府數(shù)據(jù)，隨之涌現(xiàn)出一大批數(shù)據(jù)服務企業(yè)，例如，房地產(chǎn)公司Zillow利用政府開放的房屋數(shù)據(jù)，可提供在線房產(chǎn)估值和交易服務。數(shù)據(jù)經(jīng)紀商收集、整理、出售的數(shù)據(jù)規(guī)模也相應增多，F(xiàn)TC、政府問責局等政府部門再次認識到其中的數(shù)據(jù)安全風險，并著手進行規(guī)范。

2012年，F(xiàn)TC對數(shù)據(jù)經(jīng)紀商展開調(diào)查，要求9大經(jīng)紀商①九大數(shù)據(jù)經(jīng)紀商包括Acxiom、Corelogic、Datalogix、eBureau、ID Analytics、Intelius、PeekYou、Rapleaf、Recorded Future。提交有關(guān)數(shù)據(jù)收集和使用的詳細信息，包括數(shù)據(jù)來源和類型，使用、保存和分發(fā)數(shù)據(jù)的方式，允許消費者訪問和修改數(shù)據(jù)的范圍，消費者退出數(shù)據(jù)銷售或共享的方式等。基于這些調(diào)查結(jié)果，F(xiàn)TC在2014年發(fā)布了《數(shù)據(jù)經(jīng)紀商：呼吁透明度與問責制》（Data Brokers:A Call for Transparency and Accountability）報告，指出缺乏透明性會給個人隱私及信息安全帶來很大風險。此后，美國加快立法進度。2014年2月，參議員杰伊·洛克菲勒（Jay Rockefeller）和埃德·馬基（Ed Markey）提交《數(shù)據(jù)經(jīng)紀商問責制和透明度法案》（Data Broker Accountability and Transparency Act）[8]；同年4月，眾議員博比·拉什（Bobby L. Rush）和喬·巴頓（Joe Barton）提交《2014年數(shù)據(jù)透明度和信任法案》（The Data Accountability and Trust Act of 2014）[9]。2019年7月，參議員加里·彼得斯（Gary Peters）提交《2019年數(shù)據(jù)經(jīng)紀商法案》（Data Broker List Act of 2019）[10]，為FTC等部門的監(jiān)管設立了明確的法律依據(jù)。相關(guān)法案主要側(cè)重解決3大問題，包括賦予個人數(shù)據(jù)知情權(quán)和決定權(quán)、提高數(shù)據(jù)經(jīng)紀業(yè)的行業(yè)透明度、確保數(shù)據(jù)經(jīng)紀業(yè)的交易安全性。

2.1 賦予個人數(shù)據(jù)知情權(quán)和決定權(quán)

《數(shù)據(jù)經(jīng)紀商問責制和透明度法案》要求經(jīng)紀商確保個人信息的準確性，賦予個人對自身信息的免費訪問和更正權(quán)，并希望打造一個專門網(wǎng)站指導個人如何訪問其信息、表達是否愿意將個人信息用于營銷的意愿、允許按流程要求修改個人信息，充分體現(xiàn)了對個人隱私的尊重和保護。不過，該法案當時并沒有通過。

隨后，美國州層面率先通過了專門立法。2018年5月，美國首個針對數(shù)據(jù)經(jīng)紀商的行業(yè)立法佛蒙特州《數(shù)據(jù)經(jīng)紀法》正式發(fā)布，規(guī)定經(jīng)紀商應允許消費者自主選擇是否同意經(jīng)紀商采集、儲存及銷售個人數(shù)據(jù)，是否同意委托第三方行使相關(guān)權(quán)利，在“知情同意”的基本原則的基礎上，該法更重要的是賦予“選擇退出”（opt-out）權(quán)，即消費者對出售其個人信息擁有選擇退出權(quán)，并提供退出行為的相關(guān)方法、適用范圍[11]。該法還設計了“消費者披露”章節(jié)，規(guī)定征信機構(gòu)必須在《公平信用報告法》的規(guī)定下，向消費者準確提供信用分數(shù)、過去一年內(nèi)用戶查詢情況、信息解釋以及征信機構(gòu)最新聯(lián)系方式等信息，使消費者能夠及時從征信機構(gòu)處了解到被獲取的信息和權(quán)利。

在州層面劃定監(jiān)管“紅線”的基礎上，聯(lián)邦層面，美國國會參議院商務、科學和運輸委員會于2019年7月審議《2019年數(shù)據(jù)經(jīng)紀商法案》，從聯(lián)邦法律層面為保障消費者權(quán)利提出了基本“紅線”，禁止數(shù)據(jù)經(jīng)紀商使用欺詐手段或通過糾纏、騷擾等方式獲取個人信息，禁止在就業(yè)、住房、信貸等方面對個人存在歧視行為，禁止將個人信息出售或轉(zhuǎn)讓給從事非法或禁止活動的第三方。

2.2 提高數(shù)據(jù)經(jīng)紀業(yè)的行業(yè)透明度

政府監(jiān)管部門一直希望數(shù)據(jù)經(jīng)紀商披露其數(shù)據(jù)運營情況，而數(shù)據(jù)經(jīng)紀商往往以保持競爭力、保護商業(yè)秘密或知識產(chǎn)權(quán)為由，拒絕向外部公布其業(yè)務細節(jié)。美國的年度登記注冊制度在一定程度上解決了這一問題，提高了數(shù)據(jù)經(jīng)紀業(yè)務的透明度。

佛蒙特州《數(shù)據(jù)經(jīng)紀法》首次明確提出年度登記注冊制度，要求本州數(shù)據(jù)經(jīng)紀商在每年1月31日之前向州務卿注冊。注冊時，除需提交允許消費者禁止數(shù)據(jù)被商用的權(quán)利外，還需要提交經(jīng)紀商的公司名稱、實際地址、郵件地址、網(wǎng)站等基本信息，以及是否對購買者資格進行認證，上一年數(shù)據(jù)泄露事件的數(shù)量和受影響人數(shù)，個人信息被訪問、下載或泄露的數(shù)量等信息。未按規(guī)定注冊的，需繳納每日50美元、每年不超過1萬美元的民事罰款。

在佛蒙特州立法后，《2019年數(shù)據(jù)經(jīng)紀商法案》對所有數(shù)據(jù)經(jīng)紀商也提出了相同要求，規(guī)定相關(guān)信息由FTC審查、公開，并對相應的違規(guī)行為進行懲罰。FTC每年還要向國會提交年度審查報告，以及立法和行動建議。2019年10月，美國加利福尼亞州也發(fā)布數(shù)據(jù)經(jīng)紀商注冊法規(guī)AB 1202，要求所有向加利福尼亞州居民提供服務的數(shù)據(jù)經(jīng)紀商每年應向州總檢察長注冊并申報信息。

2.3 確保數(shù)據(jù)經(jīng)紀業(yè)的交易安全性

法律對數(shù)據(jù)經(jīng)紀商的資質(zhì)和安全規(guī)范也提出了相應的要求。聯(lián)邦層面，未獲通過的《2014年數(shù)據(jù)透明度和信任法案》提議數(shù)據(jù)經(jīng)紀商應向FTC提交有關(guān)收集和銷售個人數(shù)據(jù)的安全計劃，包括指定專人負責數(shù)據(jù)安全管理、定期監(jiān)測并識別系統(tǒng)中可預見的漏洞、通過技術(shù)手段降低漏洞威脅、通過數(shù)據(jù)清洗確保個人隱私安全、采用標準程序銷毀存儲個人數(shù)據(jù)的介質(zhì)等。由FTC或獨立的第三方負責審計數(shù)據(jù)經(jīng)紀商的數(shù)據(jù)安全策略。

隨后，《2019年數(shù)據(jù)經(jīng)紀商法案》對經(jīng)紀商的數(shù)據(jù)安全計劃提出了更為具體的規(guī)范，要求數(shù)據(jù)經(jīng)紀商制定、實施和維護全面的數(shù)據(jù)安全流程，并根據(jù)業(yè)務規(guī)模、范圍和業(yè)務類型、數(shù)據(jù)存儲量等信息確定適宜的管理、技術(shù)和物理保障措施。該法案規(guī)定，應至少指派一名專職人員維護安全流程，評估和識別內(nèi)外部威脅及在必要時改進相關(guān)威脅的舉措。

安全防護措施做得再多，也無法完全避免數(shù)據(jù)泄露的發(fā)生。2020年1月，總部位于舊金山的數(shù)據(jù)經(jīng)紀商LimeLeads發(fā)生數(shù)據(jù)泄露，4900萬條用戶記錄在黑客論壇上被公開出售。針對此類事件，美國證券交易委員會于2021年要求上市公司必須上報數(shù)據(jù)泄露等網(wǎng)絡安全事故，否則將面臨調(diào)查傳訊。目前，全美50個州已頒布相關(guān)法令，要求機構(gòu)在發(fā)生個人數(shù)據(jù)泄露事件時，應及時通知用戶。另外，美國還推出網(wǎng)絡安全保險制度，以降低數(shù)據(jù)泄露造成的損害。2016年，國會眾議院籌款委員會（The House Committee on Ways and Means）審議的《數(shù)據(jù)泄露保險法》提出對購買數(shù)據(jù)泄露保險并采用美國國家標準與技術(shù)研究院網(wǎng)絡安全框架或財政部批準的其他網(wǎng)絡安全標準的公司，將給予15%的稅收減免優(yōu)惠[12]。

3 經(jīng)紀商規(guī)范數(shù)據(jù)經(jīng)紀行為的自律舉措

除政府立法和行政監(jiān)管外，數(shù)據(jù)經(jīng)紀商自身也積極規(guī)范數(shù)據(jù)來源和交易用途，加強數(shù)據(jù)隱私保護和安全防護，確保數(shù)據(jù)利用合法合規(guī)。

3.1 確保數(shù)據(jù)準確可靠

為避免數(shù)據(jù)來源渠道不明，美國大多數(shù)數(shù)據(jù)經(jīng)紀商通過與數(shù)據(jù)來源企業(yè)簽署書面合同的方式，以確保數(shù)據(jù)來源于各級政府、公開網(wǎng)絡、商業(yè)交易和同行共享等正規(guī)合法渠道。數(shù)據(jù)來源合法能最大限度地保障數(shù)據(jù)質(zhì)量，這是數(shù)據(jù)經(jīng)紀業(yè)務的立身之本。例如，數(shù)據(jù)經(jīng)紀商安客誠（Acxiom）針對數(shù)據(jù)質(zhì)量明確提出準確性原則，要求嚴格控制數(shù)據(jù)質(zhì)量，確保數(shù)據(jù)盡可能準確。

從不同來源收集大量數(shù)據(jù)后，數(shù)據(jù)經(jīng)紀商會進一步強化數(shù)據(jù)驗證流程，篩選值得信任的數(shù)據(jù)。首先，大多經(jīng)紀商通常會根據(jù)相關(guān)企業(yè)在行業(yè)中的聲譽大致判斷數(shù)據(jù)的可靠性；其次，經(jīng)紀商通過查看數(shù)據(jù)源網(wǎng)站上的使用條款、收集方法、隱私政策、隱私慣例等信息，評估數(shù)據(jù)源的合法性和質(zhì)量；最后，經(jīng)紀商依靠自動化系統(tǒng)，將新的數(shù)據(jù)與已知事實或已有的高質(zhì)量數(shù)據(jù)源進行驗證和比較，以檢測數(shù)據(jù)中的重大偏差，識別導致此類偏差的原因，篩選出值得信任的數(shù)據(jù)源。

3.2 強化數(shù)據(jù)安全性

數(shù)據(jù)經(jīng)紀行為面臨嚴峻的隱私問題，由于經(jīng)紀商自身存儲了大量數(shù)據(jù)，可能成為黑客的攻擊目標，而且數(shù)據(jù)在不斷復制、交易的過程中也可能出現(xiàn)隱私泄露事件。據(jù)網(wǎng)絡安全公司Privacy Bee報道，在2019年美國約3.26億人口中，個人信息被竊取或泄露的數(shù)量就達60億條，即每人被泄露的信息約19條[13]。

為了避免數(shù)據(jù)泄露，除法律要求的安全措施外，經(jīng)紀商大多也會運用制度、技術(shù)等手段強化數(shù)據(jù)安全。例如，經(jīng)紀商往往通過與數(shù)據(jù)使用方簽訂書面合同或許可協(xié)議，闡明數(shù)據(jù)使用權(quán)限，要求將數(shù)據(jù)用于指定目的，不得違反個人隱私和數(shù)據(jù)保護法，禁止非法或重復使用、轉(zhuǎn)售數(shù)據(jù)，禁止解碼或逆向分析數(shù)據(jù)等。

在日常系統(tǒng)維護中，很多經(jīng)紀商也會注重安全管理和安全技術(shù)運用。很多經(jīng)紀商通過加強身份驗證、加密等措施，努力減少數(shù)據(jù)泄露事件發(fā)生，甚至在必要條件下應用人工智能、區(qū)塊鏈等技術(shù)，對數(shù)據(jù)資產(chǎn)采取額外的保護舉措。例如，安客誠規(guī)定：使用多層安全系統(tǒng)，控制訪問權(quán)限及安全性，未經(jīng)授權(quán)的個人或企業(yè)不得訪問相關(guān)信息；實時監(jiān)控系統(tǒng)漏洞和未經(jīng)授權(quán)的訪問情況，定期對內(nèi)部和外部信息系統(tǒng)進行風險評估和審計，不斷評估維護數(shù)據(jù)安全的能力。

3.3 保護消費者隱私

為更好地保護消費者隱私，數(shù)據(jù)經(jīng)紀商除遵照法律要求外，往往還會對自身工作規(guī)范提出更多要求。例如，安客誠提出以下原則：一是守法原則，即掌握各地法律，并遵守各國隱私保護法規(guī)和監(jiān)管準則；二是倫理原則，以道德和專業(yè)的方式與客戶和其數(shù)據(jù)提供者建立關(guān)系；三是提高群體意識原則，為客戶、合作伙伴及全行業(yè)提供有關(guān)個人隱私的準則和法律培訓[14]。此外，為最大限度保護消費者權(quán)益，安客誠除告知消費者數(shù)據(jù)使用情況外，還允許其選擇數(shù)據(jù)傳播方式。

4 結(jié) 語

美國數(shù)據(jù)經(jīng)紀商制度在強調(diào)聯(lián)邦和州政府利用立法和行政手段不斷規(guī)范數(shù)據(jù)經(jīng)紀商業(yè)務的基礎上，十分注重數(shù)據(jù)經(jīng)紀商加強行業(yè)自律，不斷強化數(shù)據(jù)安全保護，這種制度為完善我國數(shù)據(jù)交易平臺等相關(guān)交易機制提供了有益借鑒。

4.1 同時發(fā)揮政府監(jiān)管與行業(yè)自律的作用

政府監(jiān)管包括法律手段和行政手段。在立法條件不成熟的情況下，以行政手段為主，并對行業(yè)進行調(diào)研，摸清行業(yè)發(fā)展現(xiàn)狀、存在的問題，為不斷完善行政法規(guī)并逐步出臺法律奠定基礎。政府監(jiān)管應為行業(yè)發(fā)展明確基本要求，并在政府規(guī)范的基礎上指引行業(yè)不斷強化自我監(jiān)管，提高服務質(zhì)量。

4.2 尊重個人對數(shù)據(jù)的知情權(quán)和決定權(quán)

數(shù)據(jù)來源雖不同，但就數(shù)據(jù)本身而言，很多數(shù)據(jù)屬于個人數(shù)據(jù)，因此，個人才是數(shù)據(jù)的真正所有人。所以，政府和數(shù)據(jù)服務商都應保障個人知情權(quán)，向其披露個人數(shù)據(jù)收集和使用等情況，允許其更正個人數(shù)據(jù)。尊重個人對其數(shù)據(jù)使用的決定權(quán)，允許個人拒絕經(jīng)紀商跟蹤或收集、營銷其數(shù)據(jù)，并提供相應的流程指南，指導個人如何表達意愿或提交申請。發(fā)生網(wǎng)絡安全事件時，應及時告知相關(guān)個人。

4.3 強化個人隱私保護和數(shù)據(jù)安全

保護個人隱私和數(shù)據(jù)安全是數(shù)據(jù)要素市場健康發(fā)展的基礎。政府需健全數(shù)據(jù)安全防護措施，完善個人信息保護立法，加大對信息泄露、信息侵權(quán)等違法行為的懲處力度。不斷擴大政府數(shù)據(jù)開放共享范圍，向數(shù)據(jù)市場提供大量優(yōu)質(zhì)數(shù)據(jù)。要求數(shù)據(jù)交易平臺制定數(shù)據(jù)保護規(guī)范，包括設置專職人員、實施合作伙伴安全資格認證、監(jiān)督經(jīng)紀商數(shù)據(jù)保護工作實施情況等。審查數(shù)據(jù)服務商的數(shù)據(jù)安全策略并對其安全能力進行評估，對安全能力不達標者予以警告或懲罰。

4.4 提高數(shù)據(jù)行業(yè)的監(jiān)管透明度

明確數(shù)據(jù)服務商的責任邊界，例如，禁止使用欺詐手段獲取數(shù)據(jù)，禁止非法出售或轉(zhuǎn)讓數(shù)據(jù)。研究制定數(shù)據(jù)服務商透明度指南，試行年度注冊制度，要求其按規(guī)定提交機構(gòu)自身信息和數(shù)據(jù)業(yè)務信息，并及時向社會披露數(shù)據(jù)使用情況，包括數(shù)據(jù)訪問、收集及交易等情況，同時接受來自政府和民眾的監(jiān)督。