数据流通利用系列：风险与机遇并存

数据经纪人（Data Brokers）作为数据中间商，一方面推动了数字经济的发展，另一方面也带来了隐私风险和数据其他方面的隐忧。2021年，杜克大学发布的报告指出，数据经纪人的数据库已经扩展至政治身份、倾向以及信仰等敏感信息维度，甚至可以通过数据聚合来精确定位个人，而机器学习等新技术的应用则可能将技术缺陷传导至消费者层面，从而进一步提高少数群体购买商品和接受服务的成本。1作为数字时代的新产物，对数据经纪人的规制也应当紧随其后。然而，数据经纪人的监管状况并不尽如人意。多份报告指出，法律层面对数据经纪人的监管仍然是一片空白2，亦缺乏权威的定义3。

为明确数据经纪人的现状，探究可行的数据流动模式，本文结合国内外的数据经纪人实践、相关政策、立法材料及调研报告，对数据经纪人的概念、类型、风险及政策现状进行综述，并阐述当前数据经纪人及其规制体系所存在的问题。

1

众说纷纭：数据经纪人的概念

直至今天，数据经纪人仍然不存在一个公认的官方定义。2018年，佛蒙特州颁布了《数据经纪人与消费者保护法》（An act relating to data brokers and consumer protection），该州成为美国最早对数据经纪人进行规制的州。《数据经纪人与消费者保护法》中将数据经纪人定义为“收集、出售或向第三方授权使用与该企业没有直接关联的消费者个人信息的公司” 4 2022年2月10日美国参议院公布的《删除法案》（DELETE Act），将数据经纪人定义为“有意收集或获取与其没有直接关联的个人信息的实体，该实体将这些信息用于：1）向第三方提供服务；2）出售、许可、交易、提供参考或其他向第三方提供个人信息并获取报酬”。类似的，在加州议会于2019年10月颁布的数据经纪人法案中，数据经纪人被定义为“业务是整合和出售与其业务并没有关联性的消费者数据”5。

但在一些研究报告中，部分机构曾对数据经纪人给出了较为全面的定义。例如，经合组织（Organization for Economic Co-operation and Development，OECD）在其2013年发布的数据市场研究报告中，将数据经纪人定义为“收集并整合个人信息，并将其进行出售以用于各类用途的公司”。类似的，在北约战略通讯中心发布的一份关于数据经纪人的安全调研报告中将其定义为“收集其他公司所收集的数据，并对此加以整合，最后以商业目的出售这些数据”。而在FTC于2014年针对数据经纪人发布的报告中，将其定义为“从各种来源收集用户的个人信息，并汇总、分析及共享这些信息或信息的派生产物，从而用于产品营销、身份验证或防范欺诈等用途，并以此类业务为主要收入来源的公司”6，这一定义也被挪威的数据保护机构（Data Protection Agency，DPA）所采纳。开放社会基金会（Open Society Foundations）则在其2016年发布的研究报告中综合各种定义以及特征，将其定义为“从数据主体以外的数据源获得数据，并以提供数据和行为预测为主要收入来源的公司或其他商业组织”。

此外，对于数据经纪人是否能够构成一个独立的概念，当前也存在一些不同的声音。例如，在美国人口普查局的登记信息中，数据经纪人并非一个单独的类别，而是根据公司的具体业务而归入“数据处理”、“信用报告服务”等具体领域。在欧盟，数据经纪人这一概念亦鲜被采用，取而代之的是信息转售商（information resellers）、数据供应商（data vendors）、信息经纪人（information brokers）、消费者数据分析机构（consumer data analytics）、“数据仓库”（data warehousing）等一系列代称。在欧洲议会于2022年4月通过的《数据治理法》（Data Governance Act，DGA）中亦未采纳数据经纪人这一概念，而是采用“数据中介服务提供者”（Data Intermediation Services Provider）、“数据合作社”（Data Cooperatives）、“数据利他主义组织”（Data Altruism Organisations）等相似概念。

对于数据经纪人的定义，笔者认为，虽然不同的主体对于数据经纪人的定义和理解有所不同，但纵览这些定义不难发现，数据经纪人具有三个公认的特性，而这些特性将有助于将数据经纪人与其他数据控制者区分开来，进而探寻其更为准确的内涵。其一，数据经纪人具有突出的中介属性。数据经纪人是作为连接多个数据处理者或数据主体与数据处理者之间的枢纽而存在，其市场价值及意义均需要通过数据的移转或流动才能够得到体现和增长，这能够与其他数据处理者主要是通过收集、分析数据并为己所用从而获得利益的运行模式区分开来。其二，数据经纪人的主要收入来源于数据流转及其衍生服务。无论是营利性的数据交易平台，抑或是非营利性的数据合作社，其维持运营的主要资金来源都是从数据的流转过程中收取一定的费用或赚取其中的差价，这是与当前亦在售卖自己所收集的数据的其他数据控制者区别开来的主要标志。其三，数据经纪人与其控制的数据之间具有非关联性。这一特点成为众多立法中界定规制主体范围的重要标志，其意味着数据经纪人所控制的数据本身不能对其经营和盈利带来直接的帮助，即便数据经纪人对数据进行了聚合或分析，其目的也是更好地向数据使用者提供服务，增强在数据市场中的竞争能力。

因此，综合数据经纪人的三个特点，笔者认为，数据经纪人可被定义为“收集、储存、处理与其自身无直接关联的数据，并向其他主体销售或授权使用这些数据或其派生数据或提供交易撮合等衍生服务的中介性数据控制者”。

2

数据经纪人的类型

参考上述定义，当下数据经纪人的类型主要包括数据交易平台、数据银行、数据合作社、数据信托、数据空间、数据开发商六种类型。

（一）数据交易平台

数据交易平台，包括居间型平台和自营型平台。前者指本身并不收集和存储数据，而是主要作为数据交易信息发布的平台，撮合供需双方达成并顺利履行交易，如上海数据交易所、京东万象、美国的BDEX以及日本富士通公司的“Data plaza”等。居间型平台是当前我国数据经纪人的发展形式。根据中国信通院统计，在2014-2017年间，各地便先后设立了23家数据交易所，而截止至2021年，国内已经成立了28家数据交易所；而随着数据要素市场化的政策支持力度不断增加，北京、广东等地区也掀起了新的数据交易所建设的热潮。此外，相较于政府主导建设的数据交易平台所具有高度的封闭性，京东万象等民间数据交易平台则更为开放，中小企业也能够参与到数据交易当中。

自营型数据交易平台，则是自行从互联网企业等各种数据源获取并聚合、处理数据，而后将其出售给其他主体的数据经纪商，例如美国的Acxiom、Corelogic等大型数据经纪人。随着数据经济的发展，两者之间也呈现出融合的趋势，许多居间型平台亦拓展其自营业务，直接向需求方出售自己获取的数据。

（二）数据银行

数据银行以个人授权或主动上传数据作为主要数据来源，其给予个人一定的利益或支付一定的报酬，并将所收集的个人数据提供给其他主体有偿使用。此种类型的数据经纪人与当下银行的运营模式十分类似，其既能够保证数据共享和流动的合法性，又能够实现数据的增值，并使个人能够分享其数据带来的收益。相较于缺乏透明度和正当性的B2B模式，此种模式更能体现出人在信息社会的中心性。

Mydata模式是当前数据银行模式的典型代表。Mydata模式是一类以个人为中心的数据管理模式的总称，其最早的实践可以追溯到英国的Midata项目，此后出现的Mydata Global等组织则扩大了此种模式的规模。Midata项目由英国政府和能源、金融等重要行业的头部企业共同发起，其主要致力于将企业所收集的数据归还给个人，并以此促进数据的可携带性，从而推动个人数据的再利用以及数据服务的不断创新。在其宪章中，Midata项目围绕提高数据的通用性以及保障个人对数据的控制权，提出了个人赋权、透明度、可获取性、数据安全、数据创新等多项原则。但Midata并没有达到英国政府的预期。而后出现的Mydata模式，以实现个人信息权利、改善数据规制现状以及打破平台的锁定效应为目标，目前已经扩展到欧盟、韩国。

从韩国在金融数据服务领域的实践来看，市场对此种模式的反应并不热烈，认为其所提供的数据服务与现有的并无区别。7此外，Mydata如何与Google、Apple等大型互联网企业所构建的自有数据生态进行竞争，如何使用户从免费的数据服务转向收费的Mydata账户，都是Mydata模式尚待解决的问题，也是未来数据银行这一数据经纪人模式发展所面临的困境。

（三）数据合作社（Data Cooperatives）

数据合作社，是将提供者自愿共享的数据进行结构化处理、聚合后，允许第三方在其数据上进行分析、研究的一种个人数据管理模式。此外，笔者注意到，大部分文献在介绍数据合作社这一概念时均会提及“数据使用者需要向数据提供者支付费用或提供更好的服务”。

但在实践中对于数据使用者是否需要向数据提供者支付费用，或为数据合作社的成员提供更好的服务以免除费用，有不同的意见。例如，成立于瑞士的MIDATA便在其章程当中明确规定，为避免数据伦理问题，其禁止个人通过MIDATA向第三方销售他们的个人数据或因提供个人数据而获得折扣、返利等利益的行为。8类似的，在欧洲议会通过的《数据治理法》中，也对“数据合作社”这一数据经纪人模式进行了规定，但其被称为 “数据利他主义组织”（Data Altruism Organisations）。DGA允许此类组织基于科学研究、医疗保健等公共利益的目的，将经过个人同意而提供的个人数据以及非个人数据用于机器学习、数据分析等用途。但与一般的数据合作社不同，此类组织的公益性质更强，其并不需要向提供数据的个人给予利益的回报。而Driver’s Seat、Fairbnb以及Data Worker’s Union等数据合作社则相反，其将个人数据提供给第三方的同时，需要向第三方收取费用，并将其收入分配给数据提供者或向数据提供者提供更好的服务。

不同的数据经纪人所采用的运营和管理模式并不统一。但其中较为主流的是由购买了数据经纪人组织所发行的股份的会员进行管理，例如瑞士的MIDATA在其章程中规定，每个会员都需要购买一份其发行的股票证书，而MIDATA的重大事项将由这些会员所组成的会员大会进行决定 ；类似的，要成为欧洲的健康数据合作社（Health Data Cooperative，HDC）的一员，个人必须一次性支付一笔会员费，而会员们有权以一人一票的方式对HDC的事项进行决定。而上述两种模式也并非完全相同，如MIDATA的账户所有者身份与会员身份相分离，这意味着拥有MIDATA账户并不需要支付费用；而HDC则是会员身份与用户身份一体化，要拥有HDC账户以存储健康数据，必须事先支付会员费。

（四）数据信托

数据信托，在不同国家的表现形式不同。美国的数据信托被成为“信息受托人”，该模式下，并没有独立的第三方机构，而是施加给数据处理者一个额外的信义义务。英国的数据信托是一个包含委托人、受托人、受益人的三方机构，是一种提供独立数据管理的法律结构9，受托人代表个人管理个人数据或数据权利，且其管理行为应以委托人的利益为优先。数据信托允许个人或机构将数据的控制权交给一个独立的机构，同时授权该机构对数据的使用和分享作出决定，而该机构对数据提供者承担信托责任，即其需要以公正、谨慎、透明和忠诚的原则来管理和分享数据。10

数据信托可以有效地平衡数据保护与数据共享之间的关系。在个人数据保护方面，数据信托被认为其能够通过普遍凝聚个人的力量，从而扭转当前个人与互联网巨头之间实力不平衡的局面，因而被认为是一种可行的数据治理方案，其更是被《麻省理工科技评论》列为2021年的“十大突破性技术”11。而在数据流动方面，数据信托能够拓展数据需求方获取数据的途径，从而最大程度地挖掘数据的社会和经济价值，并最大程度避免因数据流动而带来的风险和损害。12我国学者也对数据信托给予了高度的期待。例如，冯果教授认为数据信托模式有助于实现我国隐私保护的最大化，解决个人信息领域维权困难、维权成本高等突出问题。13类似的，翟志勇教授认为英国的数据信托理论和实践对于我国有着重要的借鉴意义，可以尝试分领域、分行业地进行数据信托的尝试。14

在当下，许多国家和地区正在对数据信托的试点与推广表现出极大的兴趣。在DGA中，其所提出的“数据中介”（personal data-sharing intermediary）概念与数据信托十分类似，该机构被要求具有独立性、中立性，且需要对个人承担信托责任；但其所受到的监管和限制较一般的数据信托要更为严格，包括严格限制对数据进行二次处理以及派生数据的分享。此外，发展数据信托也被纳入加拿大的《数据宪章》（Canada’s Digital Charter in Action）15当中。但与政策层面的如火如荼相比较，数据信托的实践亟待加强。虽然当前已经存在一些向提供数据的个人进行利润分配的数据经纪人，如Datacoup，但其并不向用户承担信托责任。

（五）数据空间（Data Space）

数据空间，指由个人、企业等数据提供者以及数据中介所组成的组织，组织中的成员遵循统一的数据保护规则以及数据标准，其致力于在成员之间构建互信的关系，从而使数据能够在数据空间内以较低的成本及阻力进行流通，使数据能够发挥最大的价值。

数据空间这一概念已经在工业、医疗健康等领域得到实践。以全球数据空间（International Data Spaces，IDS）为例，作为一个以工业数据共享为主要业务的非盈利组织，其致力于构造一个在可信的合作伙伴之间安全、自主地交换数据的体系；截至2022年，已经有包括华为、奥迪等公司在内的超过120个成员加入这一数据空间当中，并且其已经制定并出台了一系列的数据规则和标准以供组织成员遵守。16类似的，欧盟也正在积极构建欧洲范围内的健康数据空间。在2021年发布的一份评估成员国根据GDPR处理健康数据规则的研究报告中，欧盟委员会认为欧盟需要推动统一的立法，并且在基础设施、数据兼容性等方面采取更为统一的行动，从而构建一个欧洲健康数据的共享空间（European Health Data Space）。

数据空间往往较其他类型的数据经纪人更为开放、包容。以全球数据空间协会（International Data Spaces Association，IDSA）为例，其在发布的白皮书中便明确表示IDSA将致力于融入到当前已经存在的系统和标准当中，并与其他的系统保持兼容，而不是重新构建新的系统；且IDSA也并不局限于工业领域，而是同时兼顾横向的领域扩张和纵向的深入发展。此外，IDSA还以构建数据主权的开放性、全球性标准为其发展原则，任何人都能够自由使用和参与这一标准，从而满足中小企业对低成本、低门槛数据市场的需求。17

（六）数据开发商

数据开发商，是根据企业或个人的特定需求，对其所提供的军事、商业等领域的数据提供大数据分析服务，从而挖掘数据的价值，帮助客户从海量的数据中挖掘出对其有用的数据，并转换为通俗易懂的输出结果。与上述类型的数据经纪人不同，数据开发商主要提供的是数据挖掘、分析服务，其竞争优势更多取决于其所提供的数据分析技术能否契合客户的需求。此外，尽管数据开发商都宣称其数据来源于公开等合法渠道，但是如Palantir等数据开发商所从事的数据分析服务经常涉及国家安全、反恐、军事等敏感数据，因此其所分析的数据往往是满足敏感行业的个性化需求，此类数据不能够如其他数据经纪人一般对外提供。

随着大数据技术的发展和普及，数据开发商的数量也在不断增长，除了已经在美国上市的Palantir外，亚马逊的AWS也提供数据分析服务；在国内，专门提供数据分析服务的公司规模也在不断扩大，阿里云、华为云等也提供了数据分析服务。

3

风险遍布：数据经纪人的运营

根据数据的流动方向，可以将数据经纪人的运营划分为数据采集、数据存储、数据分析、数据共享四个环节，对于以数据交易平台为代表的传统型数据经纪人而言，其还涉及数据的售后监管。而随着数据经纪人规模的不断扩大以及数据监管力度的不断加强，各个环节的风险也正在不断显现。这些风险主要存在于传统型数据经纪人当中，但如数据收集合规、数据安全存储等风险也可能存在于数据银行、数据信托等新型数据经纪人当中。在下文中，笔者将对数据经纪人的运营以及各个环节可能存在的风险进行简要概述。

（一）数据采集

根据开放社会基金会的报告，数据经纪人的数据主要有以下三大来源：

其一，公开渠道获取。利用网络爬虫获取个人发布在社交网络平台、媒体、企业名录以及政府公开记录中的个人数据是数据经纪人的普遍做法。然而，由于各国法律对于搜集公开信息的监管力度并不相同，搜集公开数据亦存在合规风险，如我国《民法典》第一千零三十六条规定，如果个人明确拒绝其已经公开的个人信息或信息的处理侵害其重大利益，则信息处理者仍然需要承担民事责任，而GDPR第九条对公开信息的处理规则主要侧重于考察个人是否“明显地”公开其信息，而对于信息用途的限制则相对较弱18。此外，由于不同地区的法院对于此类行为的认定并不相同，这导致搜集、处理公开个人信息的行为可能触犯刑法中的侵犯公民个人信息罪19，因此数据经纪人搜集公开信息的刑事合规风险更是不容忽视。

其二，从其他数据控制者中获取。数据经纪人往往会从互联网企业等数据控制者手中获取他们在业务运营过程中所收集的个人数据，或向其他数据经纪人购买数据，以满足自己建立各类数据库的需求。此外，北约战略通讯中心在其调研过程中发现，部分数据经纪人与数据控制者已然建立了合作伙伴关系，从而使这些数据控制者允许他们在其平台上爬取个人数据。从其他数据控制着中获取个人数据已然成为数据经纪人获取数据的主要途径，但其中蕴含的数据合规风险亦不容忽视。以欧盟为例，任何数据控制者收集、处理或传输个人数据，都必须具有GDPR所规定的合法性事由，而由于数据经纪人与其所持有数据的非关联性，其对数据的处理往往需要有其合法性基础。然而，在实践中，数据经纪人未经个人同意违规收集信息的案例并不鲜见20，或将此种数据风险的同意隐藏在晦涩难懂的用户协议当中，用户难以清晰地知晓其数据被如何使用和流动。此外，数据经纪人也正在寻找规避严格的数据保护法规的途径，如挪威的DPA便指出，随着国际竞争的加剧，欧洲的数据经纪人也正在探寻从更为广泛的数据源收集并整合数据的可能性。21类似的，我国于2021年11月生效的《个人信息保护法》中亦对向第三方提供个人信息的行为进行了严格的限制，要求通过同意的合法性基础获取的个人信息在向第三方进行共享时必须取得个人的单独同意，然而从互联网公司的合规实践来看，用户在接受应用的隐私协议时必须同时接受其所公布的第三方共享清单，否则仍然不能使用服务，这并没有给数据经纪人从这些公司获取用户信息带来实质性障碍。

其三，获取个人授权后收集或通过个人主动上传而获取。此种数据获取方式主要应用在数据银行、数据信托以及数据合作社当中，个人对其数据往往拥有较强的控制权，且能够从其数据的流通和利用中分享收益，相较于前两周数据获取方式具有更高的正当性。但这种模式在合规上亦非天衣无缝。例如，在欧洲数据保护委员会（European Data Protection Board，EDPB）、欧洲数据保护监督机构（European Data Protection Supervisor，EDPS）就针对DGA草案提出的联合意见中便指出，其中关于允许数据中介在取得个人同意后收集其数据，并将这些数据与第三方进行共享的规定可能与GDPR所规定的透明性原则和目的限制原则相冲突，因为个人在作出同意时并不能明确地知晓哪些主体是数据分享的对象。

（二）数据储存

随着信息技术的迅速发展，科技企业对于数据的需求越来越大，这为数据经纪人的迅速扩张提供了良好的土壤。根据FTC在2014年发布的报告，在其调查的美国九大数据经纪人中，有的数据经纪人拥有14亿消费者超过7000亿条数据，而有的数据经纪人所拥有的数据在覆盖了近乎美国消费者的同时，更是覆盖了超过3000个数据维度。22在2021年，这些数据经纪人所拥有的数据更是从人口信息到财产信息、活动轨迹，覆盖了社会生活的方方面面。23

如此大规模的数据往往都储存在数据经纪人自己建设的系统当中，而这不可避免地带来数据安全的风险。北约战略通讯中心在其发布的报告中便指出，数据经纪人可能成为黑客的首要目标，因而存储在数据经纪人中的个人数据需要承担更高的风险。在现实中，各大型的数据经纪人都有被黑客入侵的案例，而其中仅有少部分的案例被公众所知悉。

对于数据银行、数据信托等新型数据经纪人，数据存储中的安全风险更需要得到重视。保障数据安全需要充足的资金进行支持，而数据银行、数据信托的收入情况较传统的数据经纪人存在较大的差距，因此如何通过有限的资源防范潜在的数据风险，将是这些新型数据经纪人需要首要解决的问题。

此外，数据的多次流转以及数据经纪人对数据的存储可能削弱被遗忘权的行使效果。在我国的《个人信息保护法》以及欧盟的GDPR中都规定了个人的被遗忘权，以及个人信息处理者（数据控制者）在保存期限届满、处理目的已经实现等情况下应当主动删除个人信息（数据），然而如Mydata在其白皮书中所述，随着数据应用场景的增加，数据传输路径的复杂度将不断增强，从而织起一张紧密的数据传输网，而个人将迷失在这张大网当中，无法完整地了解自己的数据将被如何共享和使用，更难以知晓自己应当向哪些主体主张行使被遗忘权。24且由于法律对于数据经纪人储存个人数据的时间并没有限制，导致这些数据往往因为潜在的交易用途而被无限期地保留，因而个人数据被自然遗忘的可能性也正因数据经纪人的扩张而不断降低。

（三）数据分析

作为历史比互联网更为悠久的行业，数据经纪人最初提供的往往不是纯粹的原始数据，而是经过分析后的派生数据。在欧洲，早在一个世纪以前便出现了最为原始的信用评分模式，而在20世纪下旬便已经存在出售顾客分类数据的数据经纪人以及至今仍被广泛运用的信用评分技术。在当下，为了满足各类顾客的需求，尤其是不具备强大数据分析技术和能力的中小型科技企业，数据经纪人往往会开发信用评分、身份验证等各类数据派生产品，甚至有的数据经纪人宣称其能够通过驾驶证记录以及其他信息聚合分析出个人的手机定位，这可能将本就脆弱的个人隐私陷于更危险的境地。

但这些派生数据可能存在错误且难以及时更正，从而对个人的正常生活产生不利影响。由于数据经纪人与个人往往不具有直接联系，因此个人难以快速地发现自己的数据存在错误，更有甚者需要付费向数据经纪商购买自己的数据后，才发现其所提供的数据有近一半都是错误的。25在2020年的一项调查中就发现，由于公司往往会从数据经纪人以及人口查询网站中获取个人犯罪记录，而由于数据经纪人所提供的错误数据，一大批人的住房申请被拒绝。26

同时，数据的大规模聚合分析可能进一步限制数据匿名化的作用。为了符合数据保护规定，部分数据经纪人或数据控制者会将个人数据经过匿名化处理后，再向第三方进行传输。然而，实践已经证明，在大规模的数据集合面前，揭开匿名化的面纱可谓轻而易举，从而导致个人的敏感信息被泄露或曝光。27

此外，算法在数据经纪人领域的介入可能导致少数群体的困境更加窘迫。由于机器学习模型构建所依赖的数据本身便会包含社会的歧视和偏见，而大数据和机器学习的本质都是一种基于历史数据的预测机制，因此不可避免地出现“偏见进，则偏见出”28的现象。此外，由于少数群体与多数群体在数据的规模上差距悬殊，出于成本和效率的考虑，少数群体的特性将被当作数据的“噪声”而被排除在标准的建构以外，由此进一步强化大数据对其的偏见。29而这种偏见将随着算法的介入而传导至数据经纪人的派生数据当中，使得少数群体受到更为普遍的歧视。30

因此，为避免数据经纪人自行对数据进行分析从而带来的数据失控风险，欧盟在DGA中对数据经纪人的数据分析活动进行了严格的限制。在DGA的第十一条中，明确规定了数据中介应当遵守的准则，包括不得将数据用于数据移转以外的目的，对数据的分析、转换、匿名化等处理必须经过数据主体的批准，在开展服务中获取的数据只能够用于服务本身的开发以及检测欺诈或网络安全目的。31

（四）数据共享与售后监管

数据经纪人的价值在于共享。具体而言，数据经纪人的共享包括销售、许可、授权等多种形式。但不同数据经纪人共享数据的对象并不相同。基于数据安全的考虑，国内的上海数据交易所、贵州大数据交易所以及国外的BDEX等数据交易平台并不允许个人参与到数据交易当中，而是仅面向经过其认证的合格交易对象进行开放；而如Factual、Infochimps及京东万象等数据交易平台则相对开放，允许一般的开发者接入其平台，甚至授权其免费使用少量的非公开数据。但是，亦有不少的数据经纪人对于交易对象缺乏有效的控制措施。北约战略通讯中心通过实践调研发现，从数据经纪人手中购买已经打包好的数据十分容易，只需要直接在数据经纪人的网页购买，这些数据便会很快地发送到邮箱当中，其仅在提供更为高级的数据服务时，如需要客制化的数据产品，才对客户进行验证、调查以及面谈，以验证客户的合法性以及确保其会合法地使用被交易的数据。然而，这也并非行业的一般标准，许多数据经纪人在进行数据交易时并不会对客户的身份进行审核或验证。32

数据的过度简单易得可能导致个人数据被用于非法用途。个人可能因数据经纪人所分享的信息而受到操纵，例如将偏好信息用于商业化营销，导致人们购买了其本并不愿意购买的商品，甚至在政治选举中利用精准化广告技术推送政治广告，从而影响选举的结果。此外，数据经纪人出售的个人数据也可能流入数据黑市，从而被用于身份盗窃、诈骗等非法用途。

此外，在数据交易活动中，数据经纪人往往会与客户在协议中约定数据交易的具体细节，包括数据的用途、使用范围等要素，且法律也要求买受方应当在已告知用户并取得同意的处理目的、方式和种类的范围内对数据进行处理33，而部分数据处理者对此亦负有监督义务34。然而，数据经纪人往往不能或不愿对数据的使用情况进行监管。例如，大型数据经纪人Oxydata就在采访中表示，其并没有合适的手段要求所有的客户遵循其数据保护的规定和指引。35此种售后监管的缺失可能导致数据被用于用户知晓或同意范围以外的用途，甚至导致用户的权益被侵害。

4

规制与推广：数据经纪人的现状与未来

（一）规制：立法与执法并进

针对数据经纪人所暴露出的各种问题，各个地区正在制定专门性法案，以保障对数据经纪人的风险防范有法可依。

在2018年，佛蒙特州议会通过了《数据经纪人法》（Data Broker Law），成为美国第一个要求数据经纪人进行专门注册登记的州。该法案要求数据经纪人向州检察长登记，并每年支付100美元的登记费。同时，该法案还要求数据经纪人在每年注册的同时向州检察长披露其是否允许消费者撤回对数据经纪人收集数据的授权以及撤回授权的方法、范围等隐私政策信息，亦需要披露上一年度数据安全漏洞数量以及受影响的消费者总数等数据安全信息，否则将会受到最高10000美元的罚款。此外，该法案还对数据经纪人的数据用途作出限制，禁止任何人通过欺诈的手段获取数据经纪人手中的个人数据，亦禁止将数据用于跟踪或骚扰他人、欺诈或对他人实施非法歧视活动。36该法案还对数据经纪人应当符合的数据安全标准以及具体措施作出了规定。

与佛蒙特州类似，加利福尼亚州在2019年亦通过了针对数据经纪人的注册法案。该法案的制定目的是要求数据经纪人向州检察长登记并披露其如何保障消费者能够选择自己的个人数据不被收集或出售。

美国在联邦层面也尝试通过立法的方式对数据经纪人进行规制。在2020年5月，一份名为《数据经纪人问责制与透明度法案》的立法草案被提交给众议院能源与商业委员会，该法案草案对个人获取、更正被数据经纪人收集的个人数据等事项作出了规定。首先，数据经纪人负有确保其所收集的个人信息的准确性之责任。其次，数据经纪人应当提供渠道，在对用户身份进行验证后，免费向个人提供其个人数据，且这种数据应当以可以被一般人理解的格式进行提供；对于在此过程中数据经纪人收集的个人的身份验证信息，亦不能够用于除身份验证以外的任何目的。此外，在验证个人身份后，个人对其数据提出更正请求的，除非存在有理由相信该数据不重要或更正后的数据显然是错误的等例外情况，否则数据经纪人应当对这些数据进行更正。而针对个人数据的更正，法案要求数据经纪人应当建立和维护一个网站，以公示个人获取他们的数据以及更正数据的途径。最后，该法案要求，数据经纪人应当提供渠道，使个人能够拒绝数据经纪人以商业的目的向第三方分享数据。但遗憾的是，截止至2022年3月，该法案并没有进一步的动态。37

此外，针对数据经纪人对数据的收集、储存可能增加个人行使被遗忘权的问题，美国也正计划在联邦层面制定《删除法》以便利个人统一行使其被遗忘权。2022年2月10日，美国参议会便公布了《删除法》的草案。该草案首先期望在美国联邦层面构建数据经纪人的登记制度，要求数据经纪人登记其基本信息以及个人撤回信息授权的方法。其次，便是期望建立一个中心化的数据删除系统，允许个人通过该系统提出删除与其相关的所有个人数据的要求，而每个数据经纪人都必须每月查询这一系统并处理相应的删除请求。此外，这些提出请求的个人还将被列入“拒绝追踪”的名单当中，并要求数据经纪人不得保留除识别该名单所列个人身份以外的个人数据。38

对于数据经纪人违反上述生效法案以及其他数据保护法规的行为，执法机关也正在采取相应的行动。在2020年，佛特蒙州总检察长T.J. Donovan便根据《数据经纪人法》对Clearview公司未根据要求法案要求在限期内进行注册、未经同意及违反网站使用条款获取照片以及未经父母同意，收集、储存、传播未成年人照片的违法行为开出1万美元的罚单，并要求没收该公司的违法所得。39此外，法国的国家信息与自由委员会（Commission Nationale Informatique & Libertés，CNIL）在2019年也对数据中介违反GDPR收集已公开个人信息的行为进行了调查，其认为这些公司从公开网站上抓取个人的联系方式，并将其用于电子邮件或电话营销的行为，并没有获得用户的同意，亦没有尊重已经明确表示不接受电话营销的用户的反对权，已经违反了GDPR的相关规定。40

（二）推广：行业发展与数据保护并重

数据经纪人是一把双刃剑。虽然数据经纪人仍然存在侵犯隐私、数据安全等各种风险，但这不能否认其在信息时代的发展中发挥了重要的作用。在佛蒙特州及加州通过的关于数据经纪人的法案中便充分肯定了数据经纪人的价值，称其能够为现代经济提供信用报告、背景调查、风险防范、欺诈侦察等信息，并为银行、保险的决策提供信息的参考。41

此外，数据在现代信息社会发展的地位越发关键。根据IDC所发布的指南，2021年全球在大数据及商业数据分析解决方案上的支出将达到2157亿美元，相较于2020年增长了10.1%，且其预测这一数字在未来五年仍会维持年均12.8%的增长趋势。42这意味着其对数据规模以及质量的需求也将不断增长，从而建立更为精准的数据模型以及拓展更多的应用领域，而单一的数据收集者往往难以满足如此庞大、多维的数据需求，此时便需要数据经纪人作为桥梁，打破“数据孤岛”。

我国正在大力推动数据经纪人的培育和发展。在国家层面，“培育规范的数据交易平台”被列入“十四五规划”以及《关于加快建设全国统一大市场的意见》当中43，且数据已然成为与土地、劳动力、资本、技术相并列的生产要素之一。在地方层面，各地均颁布了相应的政策或法规以保障及促进数据经纪人的发展，如上海市人大常委会于2021年11月25日颁布了《上海市数据条例》，其中便对数据要素市场进行了专章规定，提出要对数据的共享、开放、交易、合作进行鼓励和引导，并支持数据交易服务机构的有序发展；类似的，广东省政府于2021年7月11日发布了《广东省数据要素市场化配置改革行动方案》，其中专门对促进数据交易流通进行了任务部署，要求加快数据交易市场及配套机构的建设、完善数据流通制度并推动粤港澳大湾区数据的有序流动。在2021年末，广州市海珠区政府颁布了《广州市海珠区数据经纪人试点工作方案》，这是全国范围内第一份以“数据经纪人”命名的官方文件，其受到了官方媒体的高度评价，认为其较数据交易平台模式更具灵活性和针对性。44

欧盟作为对个人数据施加强力保护的标志性地区，亦在寻求兼顾数据经纪人发展与数据权利保护的可能性。由于GDPR对于数据收集、处理以及分享的严格限制，数据的流通利用在欧盟中长期处于低迷状态，导致欧盟逐渐落后于信息社会发展的潮流。为此，欧盟提出建设单一数据空间的战略规划，并在立法层面探索建立数据经济人的相关制度。为此，欧洲议会于2022年4月通过了《数据治理法》（DGA），构建了“数据中介”、“数据合作社”以及“数据利他主义组织”三种类型的数据经纪人。但于此同时，DGA也对数据经纪人的设立、活动加以严格的限制，如该法中规定，数据中介应当具有中立性、独立性，且其不能将数据用于共享以外的任何目的，也不能自行对数据进行处理，45这意味着DGA规制下的数据中介活动范围较其他国家或地区的数据经纪人更为狭窄，能够提供的数据种类也更少。此外，作为欧盟数据保护的领头羊，EDPB和EDPS也呼吁欧盟在推动数据共享的同时，通过设置更严格的数据经纪人审批及登记制度以加强对个人数据的保护，并且确保当前GDPR等一系列数据法规所赋予的数据权利不会因此而受到减损。46

但在推动数据经纪人发展的同时，对数据的保护亦要统筹规划，齐头并进。构建与维持作为数据主体的个人与数据经纪人之间的信任是行业可持续发展的关键。在“十四五规划”中，在培育数据交易平台和市场主体的同时，还需要健全数据产权交易和行业自律机制，统筹隐私保护和公共安全，加强涉及国家利益、商业秘密、个人隐私的数据保护。而在关于上海数据交易所的报道中，“合规”更是成为高频词；根据其所制定的交易配套制度，数据产品遵循“不合规不挂牌”的原则，而《上海市数据条例》中亦明确规定，对于危害国家安全、公共利益，侵害个人隐私、未经合法权利人授权同意的数据禁止交易。

相较于对传统数据经纪人施加更为严格的限制，数据银行、数据信托等以个人为中心的新型数据经纪人更能够体现“让个人成为信息社会的核心”这一数据保护理念。但纵观我国数据经纪人的发展现状，对于新型数据经纪人的推广仍然停留在学术讨论的层面，实践仍是一片蓝海。笔者认为，在《个人信息保护法》对数据处理和数据共享施加强监管的背景下，推广新型数据经纪人对平衡企业的数据需求与个人数据保护的关系具有重要的作用，也是可携带权、被遗忘权等新型个人信息权得到实现的可行方式。

5

结语

本文主要是对数据经纪人的概念、类型、运行、发展以及规制政策进行概括性论述。在数据经济逐渐成为信息社会主旋律的当下，数据经纪人对数据经济发展所发挥的巨大作用不容忽视。然而，数据经纪人带来红利的同时也伴随着不小的风险，数据安全、数据合规以及数据权利保障等问题亟待解决。此外，数据合作社、数据信托等新型数据经纪人对保障个人数据权利开拓了新的思路，为数据经纪人的可持续发展提供了新的路径。未来数据经纪人行业究竟会发生怎样的变化，我们仍抱有积极的期待。

1. Justin Sherman:Data Brokers and Sensitive Data on U.S. Individuals, The Sanford School of Public Policy(2021), https://sites.sanford.duke.edu/techpolicy/report-data-brokers-and-sensitive-data-on-u-s-individuals/ .

2. Justin Sherman:Data Brokers and Sensitive Data on U.S. Individuals, The Sanford School of Public Policy(2021), https://sites.sanford.duke.edu/techpolicy/report-data-brokers-and-sensitive-data-on-u-s-individuals/ .

3. 参见Aaron RIEKE et al: Data Brokers In An Open Society, Open Society Foundations(November 2016).

4.H.764 (Act 171), Vermont Legislature,  https://legislature.vermont.gov/bill/status/2018/h.764 .

5. AB-1202 Privacy: data brokers, California Legislative Information,

https://leginfo.legislature.ca.gov/faces/billNavClient.xhtml?bill_id=201920200AB1202 .

6. DATA BROKERS：A Call for Transparency and Accountability, Federal Trade Commission(May 2014).

7. Banks' MyData drives draw lukewarm response, The Korea Times(Feb 13,2022), http://www.koreatimes.co.kr/www/biz/2022/01/175_322192.html .

8. Articles of Association of MIDATA Cooperative, MIDATA.

9. 翟志勇：《论数据信托：一种数据治理的新方案》，载《东方法学》2021年第4期。

10. A data trust provides independent, fiduciary stewardship of data, open data institute(Jul 10 2018), https://theodi.org/article/what-is-a-data-trust/ .

11. How data trusts can protect privacy, MIT Technology Review(Feb 24,2021), https://www.technologyreview.com/2021/02/24/1017801/data-trust-cybersecurity-big-tech-privacy/.

12. Data trusts in 2020, open data institute(Mar 17 2020), https://theodi.org/article/data-trusts-in-2020/ .

13. 参见冯果、薛亦飒：《从“权利规范模式”走向“行为控制模式”的数据信托——数据主体权利保护机制构建的另一种思路》，载《法学评论》2020年第3期。

14. 翟志勇：《论数据信托：一种数据治理的新方案》，载《东方法学》2021年第4期；

15.Data trusts in 2020, open data institute(Mar 17 2020), https://theodi.org/article/data-trusts-in-2020/ .

16. International Data Spaces: Enabling Data Economy, International Data Spaces Association.

17. IDSA Rule Book, International Data Spaces Association(December 2020).

18. Guidelines 8/2020 on the targeting of social media users, European Data Protection Board(Sept 2 2020).

19. 参见周光权：《侵犯公民个人信息罪的行为对象》，载《清华法学》2021年第3期。

20. 1亿多条个人信息在“裸奔” 谁在泄露，又是谁在赚黑心钱？，载央视网，2019年11月21日，http://jingji.cctv.com/2019/11/21/ARTISZd2g84QRKUdIZ1TMXpX191121.shtml。

21. Aaron RIEKE et al: Data Brokers In An Open Society, Open Society Foundations(November 2016).

22. DATA BROKERS A Call for Transparency and Accountability, Federal Trade Commission(May 2014).

23. Justin Sherman:Data Brokers and Sensitive Data on U.S. Individuals, The Sanford School of Public Policy(2021), https://sites.sanford.duke.edu/techpolicy/report-data-brokers-and-sensitive-data-on-u-s-individuals/ .

24. MyData–A Nordic Model for human-centered personal data management and processing, MyData Global(Sept 2014).

25. Henrik Twetman& Gundars Bergmanis-Korast: DATA BROKERS AND SECURITY, NATO StratCom(Jan 20,2020), https://stratcomcoe.org/cuploads/pfiles/data_brokers_and_security_20-01-2020.pdf .

26. Justin Sherman:Data Brokers and Sensitive Data on U.S. Individuals, The Sanford School of Public Policy(2021), https://sites.sanford.duke.edu/techpolicy/report-data-brokers-and-sensitive-data-on-u-s-individuals/ .

27. Arind Narayanan & Edward W. Felten, No Silver Bullet: De-identification Still Doesn’t Work,2014.

28. Editorial: More accountability for big－data algorithms，转引自张玉宏、秦志光、肖乐：《大数据算法的歧视本质》，载《自然辩证法研究》2017年第5期。

29. 张玉宏、秦志光、肖乐：《大数据算法的歧视本质》，载《自然辩证法研究》2017年第5期。

30. Justin Sherman:Data Brokers and Sensitive Data on U.S. Individuals, The Sanford School of Public Policy(2021), https://sites.sanford.duke.edu/techpolicy/report-data-brokers-and-sensitive-data-on-u-s-individuals/ .

31.Data Governance Act, European Parliament(6 April 2022), https://www.europarl.europa.eu/doceo/document/TA-9-2022-0111_EN.html .

32. Henrik Twetman& Gundars Bergmanis-Korats: DATA BROKERS AND SECURITY, NATO StratCom(Jan 20,2020), https://stratcomcoe.org/cuploads/pfiles/data_brokers_and_security_20-01-2020.pdf .

33. 如《个人信息保护法》第二十三条：“个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的，应当依照本法规定重新取得个人同意。”

34. 如《个人信息保护法》第五十八条第三项：“对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者，停止提供服务。”

35. Henrik Twetman& Gundars Bergmanis-Korats: DATA BROKERS AND SECURITY, NATO StratCom(Jan 20,2020), https://stratcomcoe.org/cuploads/pfiles/data_brokers_and_security_20-01-2020.pdf .

36.H.764 (Act 171), Vermont Legislature, https://legislature.vermont.gov/bill/status/2018/h.764 .

37. H.R.6675 - Data Broker Accountability and Transparency Act of 2020, U.S.Congress, https://www.congress.gov/bill/116th-congress/house-bill/6675 .

38. H.R.6752 - DELETE Act, U.S.Congress, https://www.congress.gov/bill/117th-congress/house-bill/6752 .

39. Vermont Attorney General brings first data broker enforcement action, ReedSmith(17 March 2020) , https://www.technologylawdispatch.com/2020/03/privacy-data-protection/vermont-attorney-general-brings-first-data-broker-enforcement-action/ .

40. La réutilisation des données publiquement accessibles en ligne à des fins de démarchage commercial，CNIL(Apr 30,2020), https://www.cnil.fr/fr/la-reutilisation-des-donnees-publiquement-accessibles-en-ligne-des-fins-de-demarchage-commercial?dm_t=0,0,0,0,0 .

41.H.764 (Act 171), Vermont Legislature,   https://legislature.vermont.gov/bill/status/2018/h.764 .

42. Global Spending on Big Data and Analytics Solutions Will Reach $215.7 Billion in 2021, According to a New IDC Spending Guide, IDC(Aug 17,2021), https://www.idc.com/getdoc.jsp?containerId=prUS48165721.

43. 《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》》及《中共中央 国务院关于加快建设全国统一大市场的意见》。

44. 试点数据经纪人制度 探索数据要素市场改革新方案，载光明网，2021年12月10日

https://tech.gmw.cn/2021-12/10/content_35372981.htm。

45.Data Governance Act, European Parliament(6 April 2022), https://www.europarl.europa.eu/doceo/document/TA-9-2022-0111_EN.html .

46. EDPB-EDPS Joint Opinion 03/2021 on the Proposal for a regulation of the European Parliament and of the Council on European data governance, EDPB & EDP