美国数据经纪人发展模式及其启示

2023-10-11 02:02李立雪中国电子信息产业发展研究院
科技中国 2023年9期
关键词:经纪人数据安全个人信息

■文/李立雪(中国电子信息产业发展研究院)

自《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》提出要加快培育数据要素市场以来,以数据经纪人为代表的新型市场主体不断涌现,积极推动了数据的交易流通和开发利用。2023年4月,广州市海珠区正式启动第二批数据经纪人遴选工作,福建省大数据交易所颁发了首批《数据经纪人授权证书》。赛迪研究院网络安全研究所认为,数据经纪人概念起源于美国,且在美国的发展已较为成熟,其制度设计和商业模式对我国当前数据要素市场化配置有一定的借鉴意义。

一、美国数据经纪人发展较为成熟

据On Audience统计,2021年美国数据交易规模已达到306亿美元,位居世界第一。数据经纪人(Data Broker)是美国数据交易服务的主要参与方和支持方。数据经纪人(根据美国联邦贸易委员会的定义)通过各种渠道采集消费者个人信息,并对采集的原始信息及衍生信息进行整理、分析和分享,向与消费者没有直接关系的企业出售、许可和交易或提供该信息。数据经纪人有效解决了供需双方之间信任缺失的问题,可促进数据有序流通和市场化运用。美国数据经纪人在制度设计和商业模式方面发展较为成熟,可资借鉴。

美国通过提高透明度和实行注册制对数据经纪人进行监管,在很大程度上规避了行业乱象。在联邦政府层面,2014年起,美国国会针对数据经纪业务提出了多项立法提案,包括《2015年数据经纪商责任与透明度法案》《2019年数据经纪商法案》《2020年数据经纪商问责和透明法案》等,这些法案重点在于提升行业透明度和安全性。在州政府层面,加利福尼亚州民法典规定,数据经纪人每年应在加州总检察长处注册,支付一定的注册费用,并提供指定信息;未按照规定要求注册的数据经纪人应承担民事处罚,并将费用存入消费者隐私基金。佛蒙特州《数据经纪法》规定,数据经纪人应每年向州务卿注册,注册时需提供基本信息、数据收集做法、个人选择退出政策,以及购买者资格审查情况和安全漏洞信息等,便于相关机构及时掌握州内数据经纪人基本情况,提高行业透明度。

美国数据经纪人发展多年,已形成三种稳定的商业模式。在美国,数据经纪人现已成为数据流通交易市场的主力军,它既可以是数据产品和服务提供商,也可以是撮合买卖双方交易的数据交易平台,还可以是提供数据共享功能的数据管理系统。经过多年的积累和发展,数据经纪人已形成三种稳定的商业模式:一是B2B集中销售模式。数据经纪人以中间人身份为数据提供方和数据购买方提供数据交易撮合服务,例如美国微软Azure、Datamarket等。二是B2B2C分销集销混合模式。数据经纪人收集用户个人数据并将其转让、共享给他人,例如Acxiom、Corelogic等。三是C2B分销模式。用户将自己的个人数据提供给数据经纪人,数据经纪人向用户支付一定数额的商品、货币和服务等价物或者优惠、打折和积分等对价利益,例如Edvisors等。

美国不断细化数据经纪人对消费者隐私保护的相关条款,可有效规避信息泄露风险。数据经纪人掌握和经手大量个人数据,若不注重数据安全和隐私保护,容易发生大规模的信息泄露事件。美国联邦贸易委员会(FTC)曾着重强调,未来数据经纪人不得从其他方出于不法行为目的获取个人信息,还需保障消费者自主选择退出的权利以及数据隐私权。2023年5月,美国加州参议院对数据经纪人相关条款进行了修订:一是将数据经纪人注册机构更改为加州隐私保护局(CPPA),并细化了数据经纪人注册信息,要求提供收到隐私请求等内容的情况记录、是否收集未成年人个人信息、是否收集精确地理位置信息,以及是否收集生殖与健康信息、合规审计情况和网站的消费者行权途径页面等信息。二是要求CPPA建立个人信息可访问删除机制,允许消费者通过单次身份验证,要求数据经纪人及相关服务提供商删除其个人信息。三是数据经纪人应至少每31天接入一次该删除机制,处理消费者的相关申请。而且自2028年起,数据经纪人每三年需要向CPPA提交由独立第三方机构完成的审计报告,以证明其履行了删除相关义务,重点保障消费者的删除权。

二、我国数据经纪人发展尚处于初步探索阶段

数据经纪人在我国仍属于新兴行业,虽已开展初步探索,但在数据要素市场化配置过程中,仍存在一些尚未解决的问题。

我国数据经纪人行业处于初起步阶段,有待于进一步细化相关法律制度。2022年12月底,《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》(“数据二十条”)中提到,要有序培育数据集成、数据经纪等第三方专业服务机构,提升数据流通和交易全流程服务能力。一些地方政府在相关政策文件中也引入数据经纪人概念,并开始小范围试点。例如,广东省在2021年7月发布的《数据要素市场化配置改革行动方案》中就明确提出,要探索建立数据经纪人资格认证和管理制度,并于2022年8月在广州市海珠区认定了首批3家数据经纪人。上海市2021年11月发布的《上海市数据条例》中也提到,要支持提供数据经纪等专业服务,上海数据交易所和福建大数据交易所也在积极探索培育数据经纪人。整体来看,数据经纪人概念在我国还比较新,谁来颁发牌照、谁来监管等问题缺少相关法律依据。

我国数据经纪人多为小范围的尝试和探索,规模难以满足数据交易需求。不同于美国发展成熟的三种商业模式,从广州市海珠区数据经纪人试点工作来看,国内数据经纪人主要有三方面职责:一是受托行权,即数据拥有者可以授权数据经纪人行使权利;二是风险控制,在数据流通交易过程中起到中介担保作用;三是价值挖掘,挖掘数据要素价值,充当数据价值发现者、数据交易组织者、交易公平保障者、交易主体权益维护者等多重角色。目前,广东、上海和福建等地的数据经纪人多为小范围的尝试和探索,辐射范围有限,且多数服务于中小企业数字化转型。相比于庞大的数据要素市场规模,其体量与日益旺盛的数据交易需求不相匹配。

我国数据经纪人管理刚刚起步,交易安全有待进一步保障。国外数据经纪人均以严格的内控制度规避操作上的安全风险,同时还采用多重身份认证、高科技加密措施和区块链等技术手段,加强对数字资产的保护。虽然我国数据经纪人试点企业也在逐步推进企业内部数据安全管理制度规范建设,不断完善自身数据安全管理体系,但数据交易过程仍存在“监管难”的困境,相关部门对交易行为、数据来源、数据存储以及个人信息保护等方面难以进行监控。数据经纪人作为海量数据的采集者和存储方,很可能成为黑客攻击的首要目标。国际上大型数据经纪人都有被黑客入侵的案例,其中仅有少部分为公众知悉。同时,数据交易过程中也极易发生数据窃取和泄露问题,为数据经纪人的数据安全和个人信息保护带来了一定的风险挑战。

三、几点思考

一是完善与数据经纪人相关的法律制度体系,明确注册制与管理要求。持续开展数据要素市场理论研究,界定数据经纪人范围,明确数据经纪人的业务特征。研究制定数据经纪人管理规则和实施细则等配套制度,明确数据经纪人的主管部门、准入条件、行为规范、责任义务和监督管理等相关要求。探索实施数据经纪人注册制,规定从事数据经纪业务的主体必须向主管部门提供基本情况、数据安全技术措施、个人信息处理措施和内部控制制度等方面的信息,经主管部门审核通过后方可执业。同时,进一步健全数据产权、流通交易、收益分配和安全治理等数据基础制度规范,推动数据要素市场健康有序发展。

二是培育以数据经纪人为主体的数据交易生态,带动数据产业链规模化发展。出台支持培育数据要素市场主体的综合性政策,从资金、技术、项目和人才等方面,对数据经纪人等新型市场主体予以扶持。探索优先授权数据经纪人开展公共数据产品运营工作,支持数据经纪人面对社会各界的数据应用需求,形成创新性定制化的数据产品和服务,打造政企融合应用链条。探索以现有数据经纪人为抓手,引荐合规认证、安全审计、数据公证、数据托管、资产评估、争议仲裁和人才培训等其他第三方数据服务机构入圈,带动整个数据产业链规模化发展。

三是强化数据经纪人的数据安全保护要求,保障消费者依法享有个人信息权益。督促数据经纪人落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》等法律法规,落实数据分类分级、数据全生命周期安全保护、数据安全风险管理和数据安全事件应急响应等要求,建立数据安全防护手段,健全数据安全保障体系。督促数据经纪人落实《中华人民共和国个人信息保护法》等法律制度规定的个人信息保护责任,在内部制定相应的保护措施,尤其注重保障消费者个人信息删除权和可携带权,防止个人信息被滥采滥用。适时对数据经纪人等新型数据要素市场主体的个人信息保护合规情况予以监督检查,督促其及时整改不合规现象,履行个人信息保护的法定义务。

猜你喜欢
经纪人数据安全个人信息
如何保护劳动者的个人信息?
个人信息保护进入“法时代”
薛贵生:产业振兴经纪人
警惕个人信息泄露
云计算中基于用户隐私的数据安全保护方法
帮助种粮农民和粮食经纪人防范风险
建立激励相容机制保护数据安全
大数据云计算环境下的数据安全
在德州,电力经纪人帮你选电!
大数据安全搜索与共享