数据产业法律规制路径研究
——以美国数据经纪人制度为视角

金 耀

一、问题的提出

大数据正带来新一轮的信息革命,使人类社会从信息技术(IT)时代进入数据技术(DT)时代。数据已经渗透到每一个行业和业务职能领域,如今已成为与劳动力和资本同等重要的生产要素。①Manyika J,Chui M,Brown B,et al.Big data：The next frontier for innovation,competition,and productivity.2011.有学者前瞻性地指出,大数据带来的信息风暴正在变革我们的生活、工作和思维,大数据开启了一次重大的时代转型,带来思维变革、商业变革和管理变革。大数据思维表现在：第一,需要全部数据样本而不是抽样；第二,关注效率而不是精确度；第三,关注相关性而不是因果关系。②[英]维克托·迈尔-舍恩伯格：《大数据时代》,周涛译,浙江人民出版社2012年版。对于企业而言,数据已经成为将来最为核心的竞争力之一,数据流通和数据挖掘已经成为当前企业最为迫切的需求。我国数据产业正处于起步阶段,近几年来我国已经成立若干大数据交易平台或数据交易中心。③如贵阳大数据交易所、华中大数据交易所(武汉)、长江大数据交易所(武汉)、东湖大数据交易中心(武汉)、上海数据交易中心。

与此相对应的是,我国对该行业相关的立法较为滞后,尤其是当前我国立法明确规定个人信息不得交易,数据产业在其发展中存在着诸多不确定因素和法律风险。可以说,当前数据交易平台的运行及数据流通的规则仍处于摸着石头过河的阶段,我们不妨可以将视野投向数据产业较为发达的美国。美国在该领域已经就数据流通和利用建立了较为成熟的数据经纪人(data broker)制度。遗憾的是,当前我国学界对此制度并未有深入的研究,难以反映当前消费者隐私保护与数据利用规则的新动向。因而,笔者在此抛砖引玉,旨在通过研究美国数据经纪人制度的相关法律问题,以期为我国数据产业的发展和相关立法的展开贡献绵薄之力。

二、美国数据经纪人行业概述与问题

数据经纪人是指通过收集消费者信息,创建消费者个人记录文档的公司,这些公司随后向其他人出售或者分享个人信息。数据经纪人有些时候也被称为信息零售商、数据经销商、或者信息经纪人。联邦贸易委员会将数据经纪人定义为“收集信息的公司,包括从各种各样的来源收集消费者的个人信息,为了客户的各种目的将信息出售于客户,包括验证个人身份、区分记录、营销产品以及防止金融欺诈”。①Federal Trade Commission,Protecting Consumer Privacy in an Era of Rapid Change,March 2012,p.68.

一般而言,个人不会直接与数据经纪人接触或者有商业往来。数据经纪人打包出售这些信息给其他公司(包括其他数据经纪人)、机构、政府机关,或者其他个人。在一些情况下,他们会通过合作协议相互交换信息而不是出售信息。在其他情况下,他们可能会无偿提供信息,但会通过广告或者推荐的方式获得收益。

为了进一步了解数据经纪人行业的发展,美国联邦贸易委员会于2012年年底对数据经纪人行业进行了调研,选择了数据经纪人行业具有代表性的九家企业作 为调研 的 对象 (Acixion、Corelogic、Datalogix、eBureau、ID Analytics、Intelius、Peek You、Rapleaf、Recorded Future)。这些企业作为行业龙头公司,但其数据收集的种类、数据使用的方式、出售的产品和服务的范围并不相同。

美国联邦贸易委员会认为目前美国数据经纪人行业具有如下特征：首先,数据经纪人收集数据的来源多种多样,但大多都是在消费者未知情的情况下。其次,数据经纪人产业较为复杂,数据经纪人之间多层面相互提供数据。再次,数据经纪人收集和存储的数十亿的数据元可以覆盖到几乎每一个美国的消费者。另外,数据经纪人结合和分析消费者数据用作预测消费者行为,包括了对潜在敏感行为的预测。最后,数据经纪人通过组合线上和线下方式将数据投入消费者线上市场。①Federal Trade Commission,Date Broker：A Call for A Call for Transparency and Accountability,Mar.2014.pp.46～47.

相较于我国数据产业的方兴未艾,美国在数据产业领域一直处于世界领先水平。对比美国与欧盟在数据流通与利用上的立场,美国在保护个人隐私的同时更注重对于数据的利用,而欧盟在《统一数据保护指令》(GDPR)中更强调对数据的保护以及个人对数据的控制,过高的保护水平一定程度上导致了数据行业发展的滞后。

(一)消费者数据权利的缺位

消费者对于个人数据信息缺乏控制,目前联邦隐私保护法总体上并没有赋予个人以广泛的接触、控制、修改个人信息的权利。正当信息通则(Fair Information Practice)②正当信息通则也称为“隐私原则”(privacy principles),作为隐私保护的基本原则,构成目前世界绝大多数现代隐私保护法的框架。申明的“有限收集”和“公开收集”的原则,即个人应当可以知悉和同意其信息的收集,而“个人参与”原则表明他们有权访问其信息,要求修正错误的。然而,美国联邦并没有一部法规规定允许个人审查、控制、修正他们用于市场营销或信息检索的个人信息。③Government Accountability Office,Information Resellers：Consumer Privacy Framework Needs to Reflect Changes in Technology and the Marketplace,Sep 2013.p.16.

数据经纪人掌握了大量的具体而明确的关于消费者的数据,有些甚至被认为是敏感的数据,分析利用后对消费者产生影响,并且在企业之间广泛地分享。大部分的数据经纪人在出卖销售产品时很少让消费者接触从他们那边收集的原始数据以及派生数据。大多数消费者并不存在对数据更正、选择退出的权利。此外,数据经纪人为了各种目的广泛收集消费者信息,由于这些企业基本上不与消费者直接接触,消费者通常不会意识到他们的存在,更不知其参与了各种数据收集活动。

消费者的选择权并不透明。数据经纪人赋予消费者对其数据的选择权并不透明和完整：一些数据经纪人为消费者提供了一些选择权,但由于数据经纪人并不是消费者可以直接面对的相对人,消费者可能并不知道哪里可以实现可供的选择权。此外,数据经纪人的选择退出权也没有清楚传递给消费者,是否可以选择退出数据的所有使用,消费者对于选择退出的申明很困惑。即使消费者知道什么是数据经纪人,找到他们的网页,花时间找到退出数据利用的选项,可能仍然不知道其中的限制。

(二)数据行业透明性较低

数据经纪人往往不是直接通过消费者收集用户数据,大部分数据经纪人在消费者不知情的情况下收集信息,并限制消费者接触此类数据。并且,很少有数据经纪人在收集数据前会评估数据的合法性,即评估数据来源网站个人隐私条款。尽管数据经纪人会与数据来源商签订相关的合同,要求数据来源商保证其数据不侵犯他人隐私权,但事实上,很少有数据经纪人会去数据来源网站确认其条款的适用性,即是否会存在侵犯他人隐私权的可能。

当然,数据经纪人并不关心数据来源商是否对消费者赋予选择退出权,即不分享不使用个人隐私的自由。此外,由于数据往往由多个元素子数据构成,数据经纪人可能会从数据来源商得到所需数据之外的数据,对于这部分多余的数据的使用和保护并无规定。对于数据经纪人超出合同约定目的使用数据的行为也无问责机制。从这些方面看,数据经纪人从数据来源处获得的数据有侵犯他人隐私权的可能。

(三)消费者潜在的歧视风险

数据经纪人提供的产品和服务为消费者带来了极大的便利,但一些强调消费者权利保护的人员认为数据经纪人产品不当使用会造成消极的影响,其认为精准市场化产品意味着消费者接触有用信息、服务和获取利益的机会是不平等的,因为这样的精准定位是基于未经消费者允许的数据文档。例如,世界隐私论坛执行董事帕姆·迪克森(Pam Dixon)这样描述：“当两个人同时登录一个网页或者去同一个零售店可能基于他们的永久记录会被提供完全不同的机会、服务或者收益,而这一记录是由之前的人口、行为、交易和其他相关信息积累而成。”①U.S.Senate Commerce Committee,A Review of the Data Broker Industry：Collection,Use,and Sale of Consumer Data for Marketing Purposes,December 2013,p.6.另一个相关的问题就是,越来越详细的消费者数据是否会导致差别定价。事实上,目前美国网站零售商在客户特征分析的基础上存在以不同的价格为消费者提供相同的产品的问题。

这些产品的不当应用也会带来很多潜在风险。例如,如果消费者被排除参与某个交易是基于风险控制产品中的某个错误,消费者甚至都不知道其中的原因。这种情况下,消费者不但被拒绝参与某一具体的交易,而且不能防止此类问题的继续发生。同样的,市场产品中的打分程序并不对消费者透明。消费者不能对低分的消极影响采取应对措施,比如被限制投放信用贷款广告或者接受企业不同水平的服务。

三、美国数据经纪人行业的立法规制

面对数字时代的隐私危机,国际上诸多机构及学者开始反思当前数据保护立法,欧盟、日本等国家也纷纷对现有立法进行了重新修订。美国于2015年发布了《消费者隐私权利法案》(Consumer Privacy Bill of Rights Act)草案,采纳了美国联邦贸易委员会新的隐私框架,构建了大数据时代的新思路。①See Administration Discussion Draft：Consumer Privacy Bill of Rights Act of 2015.在数据经纪人行业领域,美国于2014年采取专门立法的方式提出了《数据经纪人责任制与透明法案》(Date Broker Accountability and Transparency Act)。下文将围绕这两部法案的进行立法评述。

(一)《消费者隐私权利法案》

美国于2015年提出了《消费者隐私权利法案》草案,将隐私视为个人自由与尊严的一部分。个人数据的生成、收集、存储和分析等行为在大数据时代日益增长,草案充分肯定了这一增长有益于人类知识、技术创新和经济增长,但也可能存在侵害个人隐私和自由的风险。法案所坚持的基本原则确保为消费者提供持续有效的隐私保护,同时为技术和商业模式的发展提供充分的灵活性。

法律的发展必须与技术和企业商业实践相适应。该法案对于大数据时代几个关键性的基础概念进行了明确定义,例如个人数据指的是规制主体控制且公众一般无法通过合法途径获取的所有数据。②See Administration Discussion Draft：Consumer Privacy Bill of Rights Act of 2015.企业通过个人数据能够联系或实际上能够联系至某一特定个人,或者能够联系到某个与个人相关或其经常使用的设备,也规定了去身份信息、雇员信息、网络安全数据作为个人数据的例外。该法案在一定程度上发展了美国原有隐私保护框架,主要表现在以下几点：

其一,法案中特别强调了数据产业的透明性。数据行业应当为消费者提供方便、合理的访问,及时地将数据的更新、修正、处理等情况通知消费者。

其二,为消费者提供个人控制。包括为消费者提供合理的方法以控制隐私风险。消费者可以撤销之前对于数据收集和使用的同意。

其三,强调数据收集和使用的场景。即企业应在合理的情境下处理个人数据,如果其处理个人数据的方式是不符合场景的,企业应当进行隐私风险分析,包括审查系统、信息流、合作主体和数据以及分析潜在的隐私风险。在场景使用不一致的情况下,企业应当为个人提供关于数据处理的通知,以使个人决定是否减少数据的披露来降低隐私风险。

其四,数据收集和有责任的使用。企业应当在场景一致的情形下收集、使用个人数据,将其中的隐私最小化。规制主体应当在合理期限内,在其实现目的或首次收集目的之后,删除、毁坏或去身份个人数据。

其五,数据安全、准确和可访问。这一规定要求企业采取可预见的内部和外部的个人隐私和安全风险评估,建立和保障合理的安全措施,进一步强化了消费者对于数据的控制,要求企业收集和使用的数据应当准确,消费者可以对数据进行访问,对于不准确的数据应当根据消费者的申请进行修正。

其六,法案规定了责任制,企业应当对其中的隐私风险采取措施,建立隐私风险评估,系统地保护消费者隐私,否则将承担相应的责任。

可以说,该法案将成为美国消费者隐私保护新的框架性规定,也将成为数据经纪人产业必须要遵守的法律之一,对于规范数据经纪人产业,强化消费者权利保护具有重要作用。值得注意的是,该法案在加强消费者对于个人数据控制的同时,并未赋予消费者对个人数据的绝对控制权,而更多的采取行为规范的方式,加重企业的义务和责任,要求企业遵守该法确立的数据收集和利用规则。

(二)《数据经纪人责任制与透明法案》

《数据经纪人责任制和透明法案》于2014年2月由议员洛克菲勒(John D.Rockefeller)和马基(Markey)提出,2015年由美国国会第114次会议进行审议形成草案。该法案旨在规范数据经纪人收集和出售消费者信息的行为,增加行业的透明性。根据该法,数据经纪人是指收集、处理、保留个人信息的商业主体,该信息不是主体客户或者雇员的信息,旨在出售信息或者为第三方提供信息访问。①See Data Broker Accountability and Transparency Act of 2015.

法案明确禁止以欺诈的方式获取或教唆获取个人信息,即获得消费者的信息必须合理、合法,而且在数据收集过程中数据经纪人要最大限度地保障数据的准确性。较为重要的是,法案为消费者提供了访问权,即消费者个人可以向数据经纪人申请访问其数据,并且对其中的数据进行质疑并要求修改数据。为了强化对数据经纪人行业的规制,法案还就具体执法作了规定。确立美国联邦贸易委员会的执法权,并赋予州首席检察官可以代表州公民就违反本方案的行为提起民事诉讼的权力。

四、我国数据产业法律规制路径与完善

美国数据经纪人制度可以说是在一片质疑声中发展,无论是在行业规范还是相关的法案中,消费者的隐私保护与数据产业的利益始终存在着矛盾,而真正能调和该矛盾的只有更为科学合理的立法规范。美国大数据行业所经历的冲击和挑战,也是目前我国数据产业者正在经历的过程。从完善我国对数据行业立法规范的角度看,结合目前美国在该领域的行业和立法规范,至少有以下几点尤其值得借鉴与参考：

(一)中立立法：隐私保护与产业发展平衡

不同于欧盟法对待大数据技术创新方面的保守立场,美国2015年《消费者隐私保护法案》草案更好地平衡了技术创新和权利保护这两种重要的价值。美国在该领域的立法坚持了技术中立的立场和原则,在规范行业发展、保护个人隐私的同时,为产业的技术创新保留了一定的灵活性。

具体而言,从草案的基本原则看,通过赋予消费者对于企业掌握其数据的访问、修正、选择披露公开的数据的权利,草案强化了个人对数据的控制。但这一强化过程中仍然体现了立法中立原则,注重平衡隐私保护与企业创新。例如,草案在赋予消费访问数据的权利的同时,企业可以在消费者请求访问是无理取闹的情形下决绝个人访问请求,并且访问的范围应当与数据的敏感程度和使用性质相一致。同样,企业在初始目的内使用数据或者认为其行为不会给个人造成不利影响,在这一情形下可以拒绝消费者要求修改数据的请求。

再如,草案中要求企业应当为消费者访问其数据提供途径,为了保证数据的准确性,还应当采取措施保证数据的准确性,但上述途径和措施并不是绝对的,需要与隐私风险相适应,并且还要考虑到企业的成本与收益。

可见,草案无论是在基本原则还是具体规定中,一以贯之地坚持了中立立场即在强化消费者对于数据控制的同时,也为企业设定义务时提供了灵活性。这一立法态度也有为我国立法者所接纳之趋势。2017年5月,最高人民法院、最高人民检察院出台的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》对公民个人信息、非法提供公民个人信息的认定等问题作了规定,充分兼顾个人信息保护与大数据发展的需要。

(二)隐私系统保护：提升数据行业透明性

美国数据产业最大的问题就在于行业缺乏透明性,消费者对数据产业的众多环节并不知情。大多数消费者甚至根本不知道数据经纪人的存在,也不知数据的是被如何收集和使用的,因为数据经纪人一般不直接与消费者接触联系。如何提升数据行业的透明性,成为立法和行业规则应当重点考虑的问题。而从美国的理论和立法来看,其试图通过建立隐私系统保护(privacy by design)以实现行业透明。

所谓的隐私系统保护,最早由加拿大隐私保护官员提出,其将隐私保护的理念融入企业产生、运营的产品和服务的全过程。①See Privacy by Design,Information&Privacy Commissioner of Ontario.美国联邦贸易委员在2012年报告中提出的隐私保护框架中就提出了隐私系统保护,这一基本原则为草案所吸收。②See Federal Trade Commission,Protecting Consumer Privacy in an Era of Rapid Change,March 2012.2015年美国白宫白皮书中指出,良好的透明性能够促进消费者参与,延伸消费者控制,是大数据时代隐私保护的核心手段。③See Executive Office of the President,Big Data：Seizing Opportunities,Preserving Values,May 2014.而从《消费者权隐私权利法案》草案对此也作了完善,即企业向消费者明确解释其收集何种信息,为何收集该信息；如何使用该信息以及是否与第三方分享该信息；如果分享,又是出于何种目的,为消费者提供简明易懂的选择。尤其是在场景不一致的情况下,即在初始收集数据用途之外使用数据,企业应当将数据的收集来源、使用用途的变更等情况通知消费者,并赋予消费者退出机制,即消费者可以撤销之前的同意。另外,《数据经纪人责任制和透明法案》也强调了消费者对数据经纪人存储的数据享有访问和修正的权利。美国联邦贸易会甚至要求数据经纪人要设立专门的网站门户,为消费者提供数据的方位,简化通知,为消费者能作出合理的选择。

因此,我国在将来个人信息保护立法以及数据行业规则的制定中,可充分吸收借鉴隐私系统保护理论,通过将个人信息的保护融入到企业运行的全过程,将事后被动的保护改变为事前预防保护,可有效提升数据行业的透明性。

(三)弱化同意尊重场景一致

当前我国现有立法中坚持了个人对个人信息的控制同意权,④同意规则可参见：《关于加强网络信息保护的决定》第7条：任何组织和个人未经电子信息接收者同意或者请求,或者电子信息接收者明确表示拒绝的,不得向其固定电话、移动电话或者个人电子邮箱发送商业性电子信息；2013年新修订的《消费者权益保护法》中确立了消费者对个人信息收集和利用的同意规则,即第29条规定：经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意；2016年颁布的《网络安全法》也遵循了该规则,其中第41条规定：网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。而且也为理论界所支持。①张新宝教授认为,个人隐私又称私人生活秘密或私生活秘密,是指私人生活安宁不受他人非法干扰,私人信息保密不受他人非法搜集、刺探和公开,参见张新宝：《从隐私到个人信息：利益再衡量的理论与制度安排》,载《中国法学》2015年第3期；王利明教授认为,隐私权的内容主要包括维护个人的私生活安宁、个人私密不被公开、个人私生活自主决定等,参见王利明：《论个人信息权的法律保护——以个人信息权与隐私权的界分为中心》,载《法律科学》2013年第4期。赋予个人对个人信息的绝对控制权,即未经个人同意,他人不得收集和利用个人数据成为立法和理论界通说。限于篇幅,笔者无意对此进行深入检讨,但美国相关立法并未全盘接受同意规则这一动向尤为值得研究。可以说,美国立法者为了数据产业的发展,一定程度上限缩了该规则的适用。

数据时代消费者的同意权和控制权的实现陷入困境。事实上,传统意义上的数据主体的同意权在大数据时代逐渐式微,草案中更为强调消费者的知情,即企业在场景一致的情形下可不经消费者同意即可收集和使用数据。场景一致理论最早由美国联邦贸易委员会在2012年的报告中提出：企业收集和使用消费者数据行为,与交易场景或企业与消费者的关系一致时,或者在法律明确规定或授权的情形下,企业不需要在收集和使用前为消费者提供选择机会。只有在两种情况下,需要得到消费者的明确同意：其一,以与该数据收集时声称的方式实质上不同的方式使用消费者数据；其二,为某些用途收集敏感数据。②See Federal Trade Commission,Protecting Consumer Privacy in an Era of Rapid change,March.2012.

为解决这一问题,美国《消费者隐私权利法案》草案作出重大革新,以数据收集和使用“场景一致”标准。而所谓的同意规则除了适用于敏感信息之外,只适用于企业在收集和使用数据后再向第三人披露数据,即数据向特定第三人的披露必须经数据权利人同意。草案这一变化极大地提高了消费者同意与控制的针对性,同时也减轻了企业在遵守隐私法规的遵从成本。可以说,场景一致标准的引入并非代替消费者同意规则,从另一层面看,实际上是间接增强了消费者同意权在大数据时代的落地之举,增强了消费者同意权的可操作性。因而,我国理论界应当充分研究美国的场景一致理论,论证我国适用该理论的正当性和合理性,以期实现保护个人信息安全的同时,促进数据产业的发展。

(四)合理预期与风险限定之转变

目的限定原则是个人信息保护的核心原则,即消费者数据收集和使用的目的和用途是限定的,不得在目的之外使用数据。而目的限定原则在大数据也存在着适用的困境,消费者无从得知企业是否遵守了目的限定原则。对此,如何判断企业对于数据的收集和使用行为符合初始目的就至关重要。美国《消费者隐私权利法案》草案中消费者合理预期,其构成了场景是否一致的重要标准,也构成了判断企业数据使用目的合理性的标准。进而言之,即企业在收集和使用数据形成的产品和服务的类型、范围是消费者预期范围内的,构成了消费者信息的合理使用,进而可以判断企业对数据的使用行为符合场景一致的。

仅仅依据消费者合理预期而减少数据收集和利用中的隐私风险和数据安全显然是不足的,尤其是在场景不一致的情形下更是如此。此外,若数据未经同意被披露给第三人使用,显然已经超出了消费者的合理期待。因而,草案中新增了以隐私风险评估为导向,增加了企业在场景不一致下进行隐私风险评估的义务。所谓的隐私风险评估包括了审查数据来源、系统、信息流、合作企业,以及数据分析使用中潜在的隐私的风险。在该情形下,企业采取相应措施控制风险,并将情况通知消费者,消费者以此决定是否减少披露以降低风险。通过消费者的合理预期解决了场景一致情形下数据的收集和利用效率问题,而通过风险限定规则有效地控制了场景不一致情形下的风险,因而,相较于目的限定原则,其更具有合理性和操作性。

目的限定原则最早可追溯至美国1973年的正当信息通则,并逐渐为世界各种公约和各国立法所采纳,当然我国的立法也不例外。可以说,该原则的诞生处在第二次浪潮中,适用于当时的社会环境和技术发展,但若在数据时代仍僵化地理解和适用该规则,其实际效果可谓不尽如人意。而美国立法中这一新动向,较好的体现了时代和技术的发展趋势,可为我国相关立法所借鉴。

结 语

数据的开放和流通之于数据产业而言就是源头活水,如何在保证个人信息安全和保护隐私的前提下,实现数据的开放和流通将成为数字时代任何一个国家和社会应考虑的重大战略问题。我国在“十三五”纲要中明确指出要实施国家大数据战略,把数据作为基础性战略资源。基于此,我国必须在法律和政策上为新兴数据产业的发展留出一点空间,而美国显然在这方面已经走在了世界的前列。可以说,美国数据经纪人行业的经验和立法得失为我国数据产业的发展提供了重要的参考。因此,本文从该制度的立法现状和趋势、存在的问题等方面描述了制度轮廓,并以此提出完善我国数据产业立法的建议。当然,本文只是该领域的抛砖迎玉之作,对于相关具体规则的检讨和论证有待进一步深入。