中國信息通信研究院 劉耀華
數據經紀商是美國數據交易服務的主要提供者。消費者在網絡上從事各種活動的同時,數據經紀商即有可能在收集他的信息。美國的數據經紀商無孔不入,幾乎收集了每一位美國公民的用戶信息,這種情況引起了美國人民及政府對其行為透明性、限制性的關注。近年來,針對數據經紀商目前的發展現狀和存在的問題,美國聯邦貿易委員會(FTC)也開始致力于針對數據經紀商進行立法,提出了多方面的立法建議。
數據經紀是怎樣的產業?
數據經紀商通過原始數據和派生數據創造了三種主要類型的數據產品,即市場營銷產品、風險降低產品、人員搜索產品。
市場營銷產品是指數據經紀商向其客戶直接出售消費者的相關信息,包括郵箱、興趣愛好等等,便于客戶向其消費者投放廣告。風險降低產品可以使得客戶確認消費者的身份或發現欺詐行為,如客戶通過數據經紀商的身份認證產品確認某消費者提供的身份登記信息是準確的,或發現消費者在進行某項申請時提供的地址是不正確的,涉嫌欺詐。人員搜索產品可以幫助用戶調查競爭對手、找到老朋友、查閱潛在的愛人或鄰居、獲取消費者的法庭記錄及其他信息。消費者一般可以訪問這些數據,數據經紀商也允許其不同程度地進行修改或行使退出權。
FTC經過調查發現,美國的數據經紀商產業目前具有以下特征。
第一,從多個渠道獲取消費者數據,消費者對大部分情況不知曉。數據經紀商的數據來源包括商業渠道、政府渠道及其他公開渠道,獲取的數據包括破產信息、選舉登記信息、消費者購買信息、網站瀏覽信息、擔保登記信息、消費者日常交流信息等。數據經紀商并不直接從消費者處獲得這些信息,所以消費者不知道他們獲取并利用了這些信息。從目前的情況看,數據經紀商幾乎可以綜合所有的數據形成消費者完整的生活細節。
第二,產業復雜,層次眾多。數據經紀商不僅向終端用戶提供數據,也向其他數據經紀商提供,而且互相提供的數據遠遠多于通過其他渠道獲得的數據。因此消費者要想知道數據經紀商是如何獲取數據的更加困難。
第三,獲取和存儲的數據量極大,幾乎涵蓋了每一位美國消費者。數據經紀商收集的數據幾乎涵蓋每一位美國人的家庭和商業行為,更重要的是大量數據是有關個人消費者的。如一家數據經紀商的數據庫存儲了14億項消費者交易記錄的數據以及超過7000億項的綜合數據;另一家數據經紀商存儲了幾乎所有美國消費者的大量個人數據段。
第四,通過組合和分析數據對消費者進行推斷,包括進行敏感推斷。數據經紀商通過取得的數據分析消費者的興趣愛好,又通過興趣愛好和其他信息對消費者進行分類,有些分類無傷大雅,有些分類則具有敏感性,如“教育程度低”“婚姻狀況復雜”“準父母”“糖尿病患者”“膽固醇患者”等。
第五,結合線上和線下數據向線上消費者推銷商品。數據經紀商一般依靠有注冊功能的網站和cookies在網上找到消費者,然后針對他們的線下活動推送網絡廣告。消費者無法意識到數據經紀商以他們的線下活動為基礎向企業提供自身數據,以便企業可以在線上向消費者提供廣告。
數據經紀商的行為是一把雙刃劍,在給企業和消費者帶來便利的同時,也存在一定的風險。一方面,數據經紀商提供的產品有助于幫助預防詐騙、提高產品供應、實現廣告精準投放;另一方面,數據經紀商到處收集用戶信息的行為也在一定程度上侵犯了個人隱私的權利,且其掌握的大量數據一旦泄露,將造成難以彌補的傷害和損失。
FTC的監管理念
綜合上述問題,最近FTC開始考慮向國會提出議案,針對不同的數據經紀商產品開展立法。
針對出售市場營銷產品的數據經紀商,FTC建議要求數據經紀商允許消費者對其數據在合理限度內進行訪問,包括掌握的關于消費者的敏感數據,并要賦予消費者退出權,不再允許將其數據用于商業目的。對此,FTC提出了四項具體的立法建議:一是應當使消費者能夠輕易識別哪個數據經紀商可能擁有關于他自身的數據,并賦予消費者對該信息進行訪問的權利以及行使退出權。如建立一個門戶網站,數據經紀商可以在網站上描述收集和使用信息的情況,并提供訪問數據及行使退出權的鏈接;二是應當考慮要求數據經紀商向消費者明確披露他們不僅使用了未加工的數據(如消費者的姓名、地址、收入范圍),而且他們會對特定數據進行分析;三是應當要求數據經紀商披露其數據來源的名稱和類別,使消費者能夠更好地決定是否需要對原始公開的數據記錄進行修改;四是應當要求面向消費者的企業實體提供顯著的通知,向消費者說明他們可能會向數據經紀商分享消費者數據,并向消費者提供選擇權,如允許消費者拒絕將他們的數據分享給數據經紀商;五是應當考慮保護敏感信息,如健康數據,可以要求面向消費者的數據源提供者在收集敏感信息之前要征得消費者的明確同意。
對于出售降低風險產品的數據經紀商,FTC建議應當立法保障消費者的知情權。當一家公司通過降低風險產品限制消費者達成交易的能力時應當為消費者所知曉,且企業應當確保其所依賴的數據經紀商的可靠性。另外,數據經紀商應當允許消費者有權訪問其使用的信息,并有權修改錯誤信息。知情權、訪問權、修改權的程度應當與所涉及的交易或利益的重要性相關。同時,FTC認為應當允許數據經紀商在消費者行使訪問權、更正權之前對其進行身份驗證,以防止無權的人對信息進行篡改。
FTC同時建議應通過立法要求數據經紀商在以下情況下提供人員搜索產品:允許消費者訪問他們自己的信息;允許消費者禁止對該信息進行使用;告知消費者數據經紀商的信息來源,使得消費者可以在該來源處修改其信息;披露任何限制選擇退出的情況等。
美國經驗對我國的啟示
由于大數據蘊藏了巨大的經濟價值和利益,近年來我國以及其他國家均出現了很多專門以通過挖掘數據價值為業務的企業,除此之外,許多成功的大型公司,如谷歌、臉譜、亞馬遜等也對大數據展開了大規模利用。從產業發展的角度看,深度利用、共享、流通大數據至關重要,但如何平衡其與國家安全、社會安全、用戶安全之間的關系也不能忽視。目前,很多國家都越來越重視這一問題,除美國考慮對數據經紀商立法外,2016年年底,韓國信息技術部也宣布將對數據交易進行立法。
當前,我國的數據交易產業發展如火如荼,根據《2016年中國大數據交易白皮書》,2015年中國大數據交易市場規模達到33.85億元,同比增長63%。據預測,到2020年,中國大數據交易市場規模將達到545億元;截至2016年10月份,政府支持、參與成立的數據交易平臺已有13家,無政府參與的數據交易企業數量更多。但由于很多問題尚未解決,這些數據交易平臺并未能充分激發出我國大數據的價值,今后,我國相關機構應重視從以下方面建立健全數據交易機制,不僅要確保數據安全,也要考慮促進產業發展,避免落后于其他國家:一是加快相關立法的制定,為數據交易劃定底線,提供可靠數據源,創造良好環境;二是通過建立試點區域、試點行業進行數據交易的大膽探索,鼓勵一些地方和行業形成引領;三是鼓勵成立行業協會和自律組織,通過組織和協會的力量建立統一的交易規則,保障數據交易順暢進行;四是制定數據交易的安全標準,包括匿名化技術和程度、交易形式與流程等。
京公網安備 11010502049343號