數據整合催生價值增量。“數據的數量、類型越多,所能挖掘的信息內容就越有價值”。正是出于對數據整合價值的追求,催生了數據經紀(Data Brokery)這一鮮為人知卻無處不在的行業。自《中共中央 國務院關于構建數據基礎制度更好發揮數據要素作用的意見》提出培育數據經紀等第三方專業服務機構、提升數據流通和交易全流程服務能力以來,大批從事數據標注、治理、交易服務等業務的企業快速成長,2025年主要數據交易機構新增供需主體超過2600家。
各國法對于“數據經紀”尚無整齊劃一的定義。美國聯邦貿易委員會(FTC)將之定義為“從多種渠道收集消費者個人信息,通過聚合、分析后將該信息或其衍生信息用于營銷產品、驗證個人身份或欺詐檢測等目的的業務”;美國加州《消費者隱私法案》(CCPA)將“數據經紀”定義為“與個人無直接業務往來但專門收集并向第三方出售其信息的行為”;歐盟《數據治理法》使用“數據中間服務提供者”指代“數據經紀人”,與我國上海數據交易所“數據服務商”的概念有類似之處,均指幫助數據需求方收集、聚合與交易合法數據的機構。雖在措辭上差別迥異,但數據經紀的根本目的在于促進數據整合以獲取價值增量。由是,本文在廣義且實質層面使用“數據經紀”的概念,用其指涉一切實現數據整合的交易行為。
數據經紀所助推的數據整合,會擾亂原有的數據生態,使個體在缺乏有效同意的情況下被“擺置”進不公平的數據關系中,既可能給不特定多數人的人身和財產安全造成無形損害,也可能給個人權益造成實質性損害。例如,2025年“3·15”晚會曾曝光,個人消費數據不加限制的交易流轉,催生了龐大的“精準獲客”灰色產業,消費者被“跟蹤廣告”騷擾成為新常態;根據廣州互聯網法院公布的一則典型案例,原告的姓名、聯系方式、收貨地址、平臺賬號等個人信息經過數據處理后,竟然在被告網站上被公然冠以“打假師、欺詐師、惡人、惡意欺詐”等標簽,致使其在網購時經常被拒絕發貨;在上述例子中,個體權益被有針對性地侵害,并非因其姓名、手機號碼等能夠識別至個人的信息被第三方非法竊取,而是在合規數據交易的掩映下,匿名化數據經整合與二次處理,顯化出關于個體“不欲為人所知”的行為洞察。本文將此類衍生于正常數據經紀的危害稱為“衍生損害”。
相較于已被《民法典》《個人信息保護法》約束的直接損害,數據經紀的衍生損害會隨多源異構的數據整合產生無遠弗屆的影響,更應被法律鉗制。遺憾的是,當前為數不多有關數據經紀的法學研究,重點關注數據泄露、非法使用等直接風險,一般從個人信息保護視角切入,主張對數據流通施以強監管;但數據經紀流轉的數據既包含個人信息也包含非個人信息,非個人信息的整合同樣可能創造價值增量并引發衍生損害。例如,常被數據經紀人交易的Cookie等技術標識符為精準營銷所不可或缺,但在審判實踐中卻不作為個人信息對待。不惟如是,傳統侵權責任體系不保護“大規模微型侵害”,且堅守損害須現實發生的底層邏輯,無法遏制衍生損害。例如,在“酷車易美案”中,原告主張二手車服務平臺公布的車輛維修保養記錄、行駛數據等在與其他信息整合時存在去匿名化隱患,法院以損害未實際發生為由駁回原告訴請。慮及數據經紀的泛在,有必要建立事前防范機制,將具有高度蓋然性的衍生損害阻卻于數據經紀之前;同時,對于數據經紀誘發或引發的實質性損害,應將數據經紀與主侵權行為均納入《民法典》第1170條“共同危險行為”的評價范疇,根據致害原因力大小確定責任分配。對此,本文首先梳理衍生損害的發生機理,從數據關系視角闡發衍生損害的治理邏輯,并以此為基礎構建權衡蓋然性與原因力的數據整合分析框架,以期充分激活既有機制之于數據經紀衍生損害的規制效能。
一、衍生損害的發生機理與單獨規制必要
學界用“數據關系”指涉技術系統通過持續收集、處理數據進而構建數字秩序的社會化過程。數據經紀會結構性改變數據處理活動的數據關系,而數據關系的失衡是產生衍生損害的根本原因。數據的“關系性”決定了衍生損害具有單獨規制必要。
(一)數據經紀導致數據關系失衡
數據關系包含垂直數據關系和水平數據關系兩種類型。其中,垂直數據關系(以下簡稱垂直關系)是數據主體與數據處理者間的直接交互關系,反映了通過用戶協議與技術端口的連接,一方讓渡其個人數據換取另一方服務的價值交換過程,例如,儲戶授權銀行訪問其消費數據以獲得即時資信評價;水平數據關系(以下簡稱水平關系)是數據主體間通過共享群體特征形成的間接關聯關系,描述了數據處理活動將個體數據轉化為群體畫像,從而對其他具有相似特征個體施加影響的社會評價過程,例如,儲戶可能因與其他儲戶共享在網購中“價格由低到高”的排序習慣,被銀行標簽化為低收入對象并承受更高貸款利率。在傳統數據處理活動中,垂直關系與水平關系有如車之兩輪、鳥之雙翼,數據處理者在垂直關系中的服務提供完全依賴水平關系所催生的群體洞察,而水平關系的構建方式則完全取決于垂直關系的服務實質。問題在于,數據經紀會消解垂直關系與水平關系的耦合,使水平關系的擴展與構建從垂直關系的“剛性束縛”中脫嵌出來。以下結合數據經紀的業務特征,從數據收集與處理兩方面分別說明。
數據收集方面,從數據經紀人處直接購買數據,較之于逐一建立垂直關系獲取授權,具有明顯成本效率優勢,但由此擴展的水平關系便不再受制于垂直關系中“最小必要”的法定限制。數據收集的最小必要原則是個人信息保護的核心原則之一,該原則依托垂直關系中數據處理的“合理目的”,將數據收集范圍限定于與處理目的“直接相關”且為實現處理目的所“不可或缺”。但是,如果數據處理者從數據經紀人處購買數據,便可繞開最小必要原則的范圍限定,而數據經紀人的數據收集,本無需遵循最小必要原則。實踐中,數據經紀人通常從兩類渠道收集數據:(1)公開渠道。公開渠道指公眾可無差別訪問的數據源,數據經紀人從公開渠道收集個人信息不受任何限制。根據《民法典》第1036條,對于已公開個人信息的處理,只要自然人不明確拒絕或信息處理不侵害數據主體重大利益,則行為人不因處理個人信息承擔民事責任。上文“數據經紀”的部分定義強調“與個人無直接業務往來”,從側面印證了數據主體與數據經紀人間垂直關系的缺位。個人因此很難得知其公開信息被哪些數據經紀人捕獲以及這些信息被如何處理,既無法明確拒絕信息收集,也無法將“重大利益侵害”與其個人信息“被處理”相關聯。(2)非公開渠道。非公開渠道指不對外公開且需通過特定權限才能訪問的數據來源,此類數據主要由“無處不在、無時不在”的“信息系統、網絡運行、各種傳感器等實時記錄形成”。非公開渠道的數據產生于特定的垂直關系,透過模糊的知情同意框架,“用戶通常在注冊服務或賬戶時就已明確同意允許收集和共享其數據的條款和條件”,從而為后手數據經紀行為提供了合法性基礎。例如,淘寶《隱私政策》要求用戶在使用服務前同意其向關聯方、合作方、開發方等共享匿名化處理后的個人信息;實踐中還普遍存在“通過隱藏關鍵信息或使用特殊技術手段使用戶出現認知偏差”的“暗黑模式”,用戶在不了解風險情況下對后手數據傳輸與處理行為作出了非理性的單獨同意。
數據處理方面,數據經紀人不僅是撮合多方數據交易的“中介”,更作為開發應用場景的“數據價值挖掘者”主動處理數據,以協助各方“發掘應用場景,產出更適配的數據產品”,但由此創設的全新水平關系,不再以垂直關系的存在為前提。構建水平關系以生成群體洞察,是“數據整合催生價值增量”的關鍵。在大數據、算法技術大規模應用之前,數據僅是傳遞信息的符號媒介,只能幫助數據收集者從字面上了解有關被收集者的特定信息;但通過水平關系的構建,數據對當代數字經濟尤其有價值的地方在于,它能幫助數據處理者基于共同的人群特征,挖掘出關于數據主體及其相似群體的默會知識。例如,2025年12月26日,貴陽大數據交易所為某數據經紀人自主采集且實時更新的“資陽市衛生—家庭健康畫像數據集”頒發數據要素登記憑證,該數據集旨在實現“對目標人群的精準篩選”,找到與購買方“需求高度匹配的服務內容”。通常而言,數據經紀人會刻意整合收集到的數據,并對其作兩方面的價值挖掘:(1)構建數字孿生,即通過群體畫像精準預測個體行為,這些畫像常被其他商事主體用于提供個性化服務。(2)生成傾向評分,即根據個體的群體特征歸屬,對其信用、風險或行為傾向進行評估,這些評估常被金融機構或雇主用作決策依據。因無需用戶協議“一對一”搜集數據,數據經紀人實際上是在無前置垂直關系的條件下,自行構建了全新的水平關系,并將水平關系產生的群體洞察商品化。此外,數據經紀行業還普遍存在數據經紀人之間相互買賣數據的“異花授粉(cross-pollination)”現象。專職數據經紀人外,從數據經紀人處購買數據的數據處理者,也可在脫離垂直關系的條件下通過新設全新水平關系獲益。
綜上,數據經紀解耦了傳統數據處理活動中垂直關系與水平關系的關聯,使水平關系的拓展與新設均不受垂直關系中數據收集范圍和數據處理目的的限制。
(二)數據關系失衡引發衍生損害
作為首個在立法上明確個人信息收集與使用“一律須經信息主體同意從而將同意一般化的國家”,我國的個人信息保護體系長期遵循“以垂直關系調控水平關系”的底層邏輯。個人信息保護的終極目的,是維護“個人在各種社會關系中身份建構的自主性和完整性”,各類數據主體在垂直關系中可向數據處理者主張的前述權利,以及《個人信息保護法》要求以個人同意(第13條)、對個人權益影響最小(第6條)、公開透明(第7條)的方式處理數據并允許個人自主撤回其同意(第15條)等規定,均意在維持個人在不同水平關系中身份建構的自主參與。此間的規范邏輯是,個人可以通過在垂直關系中的有意識掌控,自主塑造其在水平關系中的社會交往,進而精確呈現自我與發展人格。
然而,一方面,數據主體無從得知其數據在何種水平關系中以何種方式被使用,另一方面,數據主體亦無法通過在垂直關系中行使權利等方式避免或緩解隨水平關系擴張產生的不公正侵害。數據經紀的衍生損害主要包含以下兩種類型。
其一是隱私侵蝕。強調個體對其個人信息的“自主控制”,蓋因個人外化的“身份構建”通常都包含相當程度的“真意保留”。“擬劇理論”最早指出,社交互動是典型的表演行為,人們通過控制信息暴露維護社會形象。法律上,隱私被定義為“個人、團體或機構自行決定何時、如何以及在多大程度上將其信息傳達給他人的權利”,當個人無法通過垂直關系決定其在水平關系中的信息傳達時,“控制信息暴露”的隱私權將受到侵蝕,個人不僅失去維護其社會形象的能力,其私生活安寧權也被破壞。只不過,此種隱私侵蝕通常因程度未及至嚴重精神損害而不為侵權責任法所關注。“不平等的數據關系導致了不公正的積累,進而隱藏剝削的風險”。不受約束的水平關系構建,會將個人“不加修飾”地還原為其所屬社會群體的共同特征,并基于此種特征被施以反作用,進而產生歧視性定價、群體污名化等具體損害后果。《民法典》第999、1036條將“維護公共利益”視作個人信息利用的重要基礎,數據經紀的隱私侵蝕,侵害的正是公共利益層面的群體隱私。問題還在于,因對不公平水平關系的存在知之甚少,當負面作用顯現時,個體很難將其遭遇同不公平的水平關系構建聯系起來,也就很難就此類損害獲得救濟。
其二是下游損害。“下游損害”指因“第三人介入行為”導致的“個人遭受隱私權、生命權、社會歧視等人格權益損害和財產權損害”;還有學者用“數據信息損害”描述個人因不當數據處理所遭受的精神侵害、歧視與區別對待、福利與機會喪失、操縱與控制等。個體遭受的此類損害可能外溢為對社會公平、群體信任與市場競爭秩序的侵害。問題在于,下游損害的“第三人介入行為”與數據信息損害的“不當數據處理”,均可能作為主侵權行為吸收數據經紀行為,并使之脫離侵權責任的法律評價。例外是Remsburg v. Docusearch, Inc.案。加害人從數據經紀人處購買數據用以分析受害人行蹤并將其殺害,法院迫于輿論壓力裁定數據經紀人承擔過失責任,但也同時聲明,該案中的責任承擔與“普通公民無保護他人免受第三方犯罪的一般性義務”的基本原則相沖突。誠然,對于重大惡性損害,數據經紀人必然難辭其咎,但從責任分擔的角度來看,數據經紀與后續加害行為之間本不宜直接畫上等號,而需嚴謹考察加害人的損害是否以及在多大程度上應當歸咎于數據經紀。
(三)衍生損害應事前、單獨規制
當前,各國針對數據經紀人的行為規制是在個人信息保護體系上的疊床架屋,無法阻卻水平關系實現或放大基于群體特征的社會性壓制。我國多地政策文件要求“規范數據經紀人執業行為”,如《廣東省數據流通交易管理辦法(試行)》建議基于數據安全能力等指標遴選適格數據經紀人主體并對其施以年度注冊登記與定期信息披露制度。美國《福蒙特州數據經紀人法案》禁止數據經紀人以不正當目的獲取或使用個人數據并賦予數據主體退出權,《數據經紀人注冊法案》禁止數據經紀人將數據用于“跟蹤騷擾”“非法歧視”或“轉賣給用于非法目的的第三方”等,但這些冠于數據經紀人之上的主體義務,僅是對個人信息保護規則的同義反復,并未凸顯出數據經紀人之于數據價值生產鏈條中其他主體的特殊性。作為將社會性風險納入考量的前沿嘗試,歐盟《數據治理法案》要求“數據中介服務提供商向數據主體履行信義義務”,但該規定錯誤地預設了數據經紀人與數據主體之間垂直關系的存在。即便是確保自動化決策的過程透明與結果公正的法律要求,如我國《個人信息保護法》第24條,其規范客體仍然局限于使用個人信息的自動化決策,對非個人信息的自動化處理不具約束力。
歸根結底,現行法主要關注垂直關系的損害,不關注水平關系的衍生損害。基于以下兩方面原因,衍生損害具有事前、單獨規制的必要。
其一,個人信息保護體系在垂直關系和水平關系脫耦的情境中降效失能明顯。強化個體在垂直關系中的控制力,僅能夠保護個人在該垂直關系所轄制的水平關系中身份建構的自主性和完整性,但無助于修正數據經紀所新設或擴展的水平關系中的權力(利)失衡。正因如此,“算法問責制”“通過設計保護隱私”“擴大侵權責任鏈條”等傳統規制方式失去了用武之地。值得關注的動向是刪除權的擴張,如美國《刪除法案》規定了基于銷售記錄的鏈式刪除義務。不過,暫且不論以所需規模建立環環相扣的刪除機制是否在經濟上可行,刪除個人數據并不能阻礙數據處理者從其他人數據中獲取有關數據主體人群層面的洞察。
其二,匿名化無力實現衍生損害的負面效果阻斷。理論上,只要無法識別至自然人,數據處理的潛在風險與隱私侵害的不利影響便不會“落點”至具體個體。但是,水平關系基于人群共同特征催生行為洞察,個人僅因其群體歸屬就可能被精準地施以反作用,無需大費周章地先行識別其身份。況且,數據聚合還會使匿名化失效,個人信息的“場景依附性”蘊含重新識別的可能。或許是考慮到了這一點,我國《網絡安全法》第42條與《個人信息保護法》第73條在文義上為匿名化規定了“不可復原”的標準。有學者進一步將“不可復原”解釋為“復原的技術難度和時間成本遠超一般主體所能接受的范圍”,但這其實是以“不值得復原”的主觀標準替代“不能復原”的客觀標準,其合理性有待商榷。
二、數據關系視角下衍生損害的治理邏輯
上文分析表明,現行法律體系因缺乏對水平關系的關注,無法應對數據經紀的衍生損害。真正留待法律回應的問題,并非數據主體在垂直關系中的個人信息權益未得到充分尊重,而是其在數據經紀擴展或創設的水平關系中的自主性闕如。鑒于垂直關系與水平關系的分離,水平關系中的自主性闕如無法通過常規手段修復;衍生損害的應對重點在于對水平關系的把控,即通過必要的制度構建,確保并維持水平關系的公平構建——這將使法律的完善重心從構建追責機制、強化垂直關系以及新增主體義務,轉變為對數據經紀所形塑的水平關系的治理。
(一)水平關系治理的核心是抽象風險損害化
雖無旗幟鮮明的昭示,但“抽象風險損害化”已經成為大數據時代侵權責任體系的重要演進趨勢。傳統侵權責任以主觀過錯為構成要件,但數據經紀原本是中立的,甚至還裨益數據流通復用,將衍生損害界定為特殊侵權以適用無過錯責任有矯枉過正之嫌。但若不采用特殊侵權進路,具有延遲發生等特性的衍生損害又無法被數據主體先驗地證明。我國《民法典》及相關法律法規至今未正面界定何為“損害”,在酌定損害時,差額說為通說,損害大小等于侵權行為未發生情況下理應享有利益狀態與侵權行為發生情況下實際享有利益狀態間的差額。差額說下,“確定性”是損害認定的核心標準,觸發侵權責任的損害局限于財產上的不利益(損失)與人身上的不利益(傷害)。與之相對應的是,抽象風險損害化“主張將尚未構成危險和損害的抽象風險視為損害,允許遭受非法處理的個人基于抽象風險向處理者主張損害賠償責任”,這就解決了傳統侵權責任在應對衍生損害時損害范圍過于僵化的問題。誠然,隱私權侵害并不必然要求受害人證明損害實際發生,如非法跟蹤、非法窺探,只要有確鑿證據表明行為人實施了前述行為,且無法定免責事由,行為人即應承擔責任;但衍生損害的隱蔽性極強,且尚不存在已類型化的負面數據經紀行為。抽象風險損害化的本質是對損害認定范圍的大幅擴張,即將“風險社會”意義上尚未發生的危險與無形風險均等質化為能被當下侵權責任覆蓋的實質性損害。在數據行業,抽象風險損害化的法律實踐已有跡可循。例如,歐盟《通用數據保護條例》“鑒于”部分第146段明確允許“損害根據歐盟法院的判例法作擴大解釋”。我國學界已意識到大數據時代背景下對個人信息無形損害實行損害推定的必要性,主張對損害“確定性”標準作靈活解釋,改良傳統侵權責任規則以充分應對“下游損害”與“數據信息損害”的呼聲也日益強烈。
通過將數據經紀引發的風險增量等質化為實質性損害,抽象風險損害化抓住了衍生損害治理的核心關切,即將水平關系擴張所引發的未來風險納入當下的注意義務范疇,從而倒逼數據經紀各參與方歸位盡責。相較于數據主體,數據經紀人理應承擔更高風險規避義務。其一,數據經紀活動是產生衍生損害的根源,若無數據經紀活動,數據個體也不會身處衍生損害的威脅之中。其二,數據交易所以及各數據交易環節的主導方均從數據交易中獲益,但此種利益并不與為此利益貢獻邊際價值的數據主體雨露均沾。其三,數據經紀人和數據交易所處于更具專業能力控制風險的地位,且可通過提升交易價格、購買保險等方式分散索賠風險。相較之下,數據主體因為垂直關系與水平關系的剝離處于絕對信息弱勢地位,若不適度強化數據經紀人對于未來潛在風險的當前責任,無異于任憑數據經紀人在內化數據交易經濟收益的同時,將潛在負外部性不合比例地轉嫁給毫不知情的數據主體。
不過,抽象風險損害化方案畢竟突破了傳統侵權責任所堅守的損害須現實發生的底線,且使侵權責任的損害填補功能居于違法威懾和風險預防功能之后,會模糊預防型侵權責任與損害賠償責任的分工體系。有鑒于此,對數據經紀的衍生損害適用抽象風險損害化,需同時克制可等質化風險范圍的過度擴張,僅允許將實質性的未來風險等質化為應事前阻卻的實質性損害,并排除主觀臆測、過于遙遠的風險類型。至此,衍生損害應對的核心難點就又轉化為,應依循何種標準,判斷水平關系的擴張是否會帶來實質性損害?判例法對此的教義是,擬“損害化”的風險要么是“確定迫近(certainly impending)”的,要么具有“特別針對性(particularly targeting)”。其中,“確定迫近”標準要求潛在風險必須是即將來臨的且現實存在的,而非推測性或假設性的想象風險;“特別針對”標準強調損害必須具有個人特質與獨特性,原告不能僅主張一項普遍適用于公眾的法定權利被違反,而必須證明該違法行為以一種“具體且現實”的方式單獨傷害了他本人,即損害在事實層面“特別地針對”原告個人,而非集體性地、無差別地影響所有人。折射至數據經紀,衍生風險的實定化也應將抽象風險錨定于可被司法識別的“潛在傷害”,核心在于論證該風險已超越推測性,表現為可驗證的、針對原告個人的現實威脅,并證明數據經紀與此威脅之間存在可追溯的直接因果鏈條,而非僅停留在普遍性的隱私擔憂層面。
當前,能夠承載抽象風險損害化的事前制度設計有二,其一是起源于歐盟的數據保護影響評估,其二是美國的公平數據經紀實踐,但兩條路徑共同面臨數據整合分析的框架缺失問題,在客觀上限制了規制效果的發揮。以下分述之。
(二)數據保護影響評估需映射水平數據關系
數據保護影響評估緣起于歐盟《通用數據保護條例》第35條,數據控制者應就“使用新技術”或“可能對自然人的權利和自由造成高風險”的數據處理活動在事前展開風險評估。根據歐盟《數據保護影響評估及高風險行為指南》,“匹配或組合數據集”屬于“高風險行為”,數據經紀因此被納入數據保護影響評估的范圍。在歐盟《通用數據保護條例》影響下,我國學界也呼吁應對數據經紀“整體性系統安全、數據交易流轉全流程安全等風險控制方面進行評估”。為此,《個人信息保護法》第55、56條詳細規定了應進行“個人信息保護影響評估”的五種情形與三項內容。但是,《個人信息保護法》中的“個人信息保護影響評估”僅著眼于“個人信息”,無法將涉及非個人信息處理的“高風險數據處理活動”囊括在內。問題的根本癥結在于,作為數據保護影響評估必經程序的“數據映射分析”未能給予水平關系風險足夠的重視。
“數據映射”一詞最早被作為解決異構數據互聯問題的核心概念被提出,意指將不同數據源中的數據結構、字段或格式進行對應與轉換,以實現系統間數據整合、交換或遷移的技術過程。然而,現行法中的“數據映射分析”被簡單地理解為對數據流轉的過程記錄,完全忽略了對數據整合的后果分析。根據國標《信息安全技術 個人信息安全影響評估指南》(GB/T39335)第5.3節,數據映射分析被界定為調研“個人信息處理過程”之后“形成清晰的數據清單及數據映射圖表”,與之對應的C.1表格僅要求記錄數據處理流程中的經手主體。域外法中,數據映射同樣被簡化為對于數據處理的全周期記錄,如歐盟《通用數據保護條例》第30條要求數據處理者創建并維護數據處理活動的記錄,美國加州《消費者隱私法案》第1798條要求組織具備披露過去一年內收集、出售或共享的所有數據的能力。從這些規定可以看出,數據映射分析重點關注數據處理流程中的各主體是否采取了防范個人信息泄露的安全保護措施,其實是以信息安全替代隱私保護,采取的還是以垂直關系調控水平關系的個人信息保護邏輯。
在數據經紀語境中,通過數據保護影響評估補足隱私保護的關鍵在于將水平關系納入數據映射分析。若非如此,數據映射分析只能作為洞悉數據處理流程的工具,狹隘地服務于垂直關系的保護。但是,正如上文所指出的那樣,數據經紀解耦了垂直關系與水平關系的關聯,強化垂直保護并不足以防范水平關系對個人隱私的過度挖掘。在數據經紀的作用下,隱私保護的機制性條件“只能存在于社會層面”,群體隱私反客為主成為個人隱私的前提條件。基于該認知,揭示群體特征的水平關系,恰恰應成為數據保護影響評估的關注重點。對此,數據映射分析在記錄數據流轉過程的同時,需同等關注作為映射結果的“數據整合”,并評估其可能“對自然人的權利和自由造成的高風險”。易言之,數據映射分析不應止步于梳理處理活動涉及的數據情況及其流轉動線,而應在梳理之上就數據整合所導致的“風險增量”作出預判,如此,數據保護影響評估才能具備檢視水平關系風險的抓手。為在該階段盡可能阻絕衍生損害,有必要在數據映射分析環節補足針對數據整合的負面影響評估框架(以下稱數據整合分析框架),科學研判數據經紀的連鎖效應。
(三)公平數據經紀實踐需完善損害量化指標
公平數據經紀實踐可追溯至美國聯邦貿易委員會在數據經紀領域的“公平與反欺詐執法”。美國《聯邦貿易委員會法案》第5節授予聯邦貿易委員會就“不公平或欺詐性商業實踐”向法院申請禁止令的權利。自2024年1月以來,美國聯邦貿易委員會已先后對多個數據經紀人提起行政訴訟,有效遏阻了多起可能侵害數據主體權益的數據經紀行為。不過,公平數據經紀實踐能否有效應對數據經紀的衍生損害,尚有待觀察。
根據條款表述,美國聯邦貿易委員會能夠禁止的數據經紀行為,主要是“不公平”與“欺詐性”的數據經紀行為。法條用語固然抽象,但法院對系爭商事行為合法性的判斷,并非基于自由裁量權,而是嚴格遵循實踐確立的三級測試標準,現圍繞既有標準與衍生損害的適配性展開分析:(1)商業行為應對個體造成實質性損害。根據美國聯邦貿易委員會官方解釋,僅“微不足道或推測性損害”才能被排除于實質性損害之外。以此為標準,情感困擾、精神痛苦、尊嚴受損等無形損害只要達到大多數理性人認為是傷害的程度,也可視為實質性損害。但是,衍生損害在形式上更為隱秘且效果上難言直接,無論是隱私侵蝕抑或下游損害,若非引發極端惡劣的社會影響,均很難被確鑿無疑地歸入實質性損害范疇。(2)個體無法合理避免實質性損害。對于該要件的判定,法院著重關注系爭商事行為是否會“干擾消費者有效做出知情決定的能力”。數據經紀阻斷了垂直關系對水平關系構建的束縛,個體甚至無從得知其數據被反復交易、流轉的事實,遑論具備提前避免潛在損害的能力,故該要件自然證立。(3)個體所獲利益無法抵消實質性損害。該測試重點關注實質性損害的負面影響能否被正向收益所彌補。通常而言,數據經紀人不與數據主體分享財產性收益。即便個體因數據集拓展獲得更精確算法結果,但更精確結果往往意味著更強算法控制,而非賦予數據主體更多權利或自由。況且,個人還可能因數據流轉被強行置入并非主動選擇的水平關系之中,與日俱增的潛在風險無法被任何即時好處所抵消。
上述分析表明,數據經紀的衍生損害能夠滿足三級測試中“個體無法合理避免實質性損害”與“個體所獲利益無法抵消實質性損害”兩項要件,但“商業行為是否對個體造成實質性損害”并非不言自明。實質性損害的判定在三級測試中居于首要地位,如果潛在損害不滿足實質性要件,個體能否合理避免損害以及收益能否抵消損失都無意義。對此,破題的關鍵,仍然在于建立數據整合分析框架,深入數據經紀導致的水平關系變遷,借此回推衍生損害的蓋然性及其是否滿足實質性損害標準。區別于數據處理的直接損害,數據經紀的衍生損害并不以在先違法行為為前提,對其評價本應超越行為本身的合法性評價。為將衍生損害納入公平數據經紀實踐的“射程”,同樣應補足確定損害實質性的數據整合分析框架。
三、數據整合分析框架的補全與本土適用
數據保護影響評估與公平數據經紀實踐共同面臨“數據整合分析框架”的缺失。數據整合分析框架聚焦數據經紀對水平關系的擾動,只有補全數據整合分析框架,才能分別激活二者對于衍生損害的規制效能。在衍生損害已事實發生的情景中,數據整合分析框架還有助于廓清數據經紀與主侵權行為間的原因力大小,進而科學劃定責任分配。
(一)數據整合分析框架的制度基礎
數據的“物理可特定性”為數據整合分析框架提供了“可描述”的法律基礎。誠然,數據因變動不居難以成為邊界清晰的權利客體,但這并不妨礙“企業通過數據的來源、數量、內容和類型等標準描述數據集合狀態”實現數據的物理可特定性。即便是在開放API接口等數據實時增長變化的數據交易中,數據范圍也可通過“地址+計量單位/內容類型”等方式精準劃定。
為使數據整合分析框架能更好激活數據保護影響評估以及公平數據經紀實踐對衍生損害的阻遏功能,數據整合分析框架的構建應遵循以下邏輯:(1)對象確定維度,數據整合分析框架應聚焦數據經紀對水平關系的擾動,亦即,將數據經紀還原至整體的市場條件下加以評估。具體而言,就數據經紀對既有水平關系的強化,應綜合檢視擬交易數據集與當前數據處理活動的化合效果;就數據經紀可能催生的全新水平關系,需從全局視角結合其他數據經紀行為進行潛在風險判斷。(2)判斷標準維度,數據整合分析框架需在潛在受害者數量、損害概率與損害程度中取得平衡。是否構成“實質性損害”,始終是衍生損害能否被納入法治軌道的堵點、卡點。對此,可在學理上參照Lab-MD, Inc. v. FTC案。在該案中,美國十一巡回法院構建了兼顧“損害概率”與“損害程度”的判定框架,將“較低概率的重大損害”和“較高概率的輕微損害”均作為數據經紀可能產生“實質性損害”的判斷標準。但就衍生損害而言,由于人群層面的共同特征是水平關系賴以發生作用的關鍵,有必要將潛在受害者數量也納入“實質性損害”的判斷公式,亦即,根據“潛在受害者數量×損害概率×損害程度”綜合判斷衍生損害的“實質性”程度。(3)實施理念維度,數據整合分析框架是敏捷治理思維下的產物,區別于“一刀切”式的剛性標準。敏捷治理是以靈活迭代和持續反饋為核心,通過多元主體協同共治進而平衡技術創新與風險管控的治理模式。“數據經紀作為一個新興事物,具有創新的不確定性,對其監管也存在不確定性,非常適用具有彈性、靈活性、協調性的敏捷治理方式”。就衍生損害而言,不同水平關系構建會對個體產生差別迥異的效果,敏捷治理所強調的事前響應與逐案研判為此類風險的治理提供了具體指引。
(二)數據整合分析框架的具體規則
雖均圍繞水平關系展開,但數據保護影響評估與公平數據經紀實踐適用的數據整合分析框架具有截然不同的側重點,應根據兩類方案的不同特點分別構建具有可操作性的數據整合分析框架。
1.適配數據影響保護評估的分析框架
數據影響保護評估屬于“受強制的自我規制”。數據經紀人本就是“以數據處理行家里手的身份”實現數據整合,數據經紀人比監管者或對手方都更了解擬交易的數據集。有鑒于此,數據整合分析框架應落點于數據集本身的各類屬性,協助數據經紀人更好披露與數據集相關的風險信息,以便其更好履行風險規避義務。數據影響保護評估中的數據整合分析框架包括四方面內容:(1)匿名化水準。數據集被去匿名化,會使隱私侵蝕更加精準地降臨于特定主體,產生具有“特別針對”效果的衍生損害。數據整合分析框架應重點圍繞數據整合可能導致的去匿名化風險展開分析。對此,可參照2025年3月英國信息專員辦公室發布的《匿名化指南》,著重關注數據“可關聯性”導致的去匿名化風險,引入“有動機的闖入者測試”對匿名化進行影響評估。該測試要求數據控制者假設攻擊者可能采用的所有非極端的合理手段,主動驗證數據與其他數據的結合是否會導致匿名化失效,由此檢驗技術防護措施強度是否合理。該指南指出,在數據整合背景下,傳統依賴刪除或模糊化數據值的掩碼方法,無法單獨實現有效匿名化,必須結合泛化與隨機化技術予以強化。其中,泛化指將具體信息轉化為更廣泛類別的模糊化手段,如將具體年齡45歲轉化為年齡段(40-50歲)以增加共享數據特征的人群基數,在維持數據整體統計效用的同時降低個體可識別性。隨機化指通過噪聲注入、差分隱私、置換處理等方法削弱數據與個體的關聯,如在體重數據中實施±5kg隨機波動處理,既不破壞數據集的整體分布特征又能防止精準回推識別。(2)敏感度。對數據敏感度的數據整合分析框架意在判斷數據集與哪些類型數據整合會導致不公平的算法結果。數據整合分析框架應重點審視數據集所承載的、與特定數據相結合可能影響的附屬于特定主體的人格利益。(3)數據集體量。對數據集體量可作四方面觀察:其一是所含數據主體的數量。數據主體數量越大,潛在受不公平水平關系波及的人群面就越廣。其二是屬性類別數量。數據集所包含的屬性類別越多,數據集與其他數據整合后可用于去匿名化的標識符就越多,構造敏感水平關系的結點也越多。其三是數據集時間跨度。時間跨度越長,可揭示的特定人群洞察就越精確,所構建水平關系的追蹤性、對個人可能產生的影響力均更強。其四是數據集可遷移作用于具有相似特征群體的數量。對于所含數據主體數量不多的數據集,如果其所揭示的共同特征的群體非小眾群體,則同樣可能產生較大的衍生損害。(4)推論數據占比。總體而言,推論數據可能負載當前水平關系的主觀前見,比原始數據更有可能產生“確定迫近”的衍生損害。《中國人民銀行業務領域數據安全管理辦法》第18條專門對基于推論數據的自動化決策行為施加了更高的信息披露義務。將上述因素逐一對應至判斷衍生損害實質性程度的“潛在受害者數量×損害概率×損害程度”公式,數據集所含數據主體的數量決定“潛在受害者數量”,匿名化水準、敏感度、推論數據占比決定“損害程度”,數據內嵌屬性的數量與時間跨度既可能影響“損害概率”,也可能影響“損害程度”。
2.適配公平數據經紀實踐的分析框架
公平數據經紀實踐屬于公法主體的事前或事中介入式監管,在我國可充當監管者的主體包括但不限于地方網信辦、數據局與數據交易所等。監管者比數據經紀人更全面掌握數據交易的市場行情,因此,數據整合分析框架應落點于擬交易數據集與市面上流通的其他數據集以及買受人的自有數據集之間的水平關系,根據衍生損害的“實質性程度”對數據經紀合法性作出預判。公平數據經紀實踐中的數據整合分析框架應關注可能合并的數據集之間的四方面內容:(1)數據主體重合度。主體重合度越高,去匿名化可能性越大,對特定主體默會知識的洞察也會越徹底,也就越可能產生“特別針對性”的衍生損害。鑒于數據集可能進行了匿名化處理,對于難以直接識別主體重疊度的數據集,可通過考證數據來源推斷數據主體的重合程度。例如,當數據集來自同一地理區域或從同一數據收集源頭獲得時,可推斷數據主體重疊的可能性較高。(2)數據集內嵌屬性的重合度。當不同數據集出售涵蓋相同類別屬性的數據時,可用于交叉比對的標識符就越多,數據集被去匿名化的風險也就越“確定迫近”。此外,高屬性重疊度還有助于精確化數據處理者對數據主體的用戶側寫,將其固化至更精準的人群類別。(3)原初處理目的重合度。上文指出,個人信息保護規則通過數據處理的“目的限定”框定信息收集“范圍”。就可能的數據整合而言,目的重合度高,意味著信息收集范圍的趨同,相同或類似目的的數據集整合必然加劇去匿名化風險;目的重合度低,意味著在事實上擴大了針對特定主體的信息收集范圍,增加了構建水平關系的連接結點,同樣會加劇風險。(4)時間重合度。時間重合度也應作兩方面考量,時間重合度高會使數據更容易識別至個人,因為人之內在屬性始終不會變化,如膚色、種族、成年后的身高等;時間重合度低可能導致不準確的水平關系洞察,因為人之外在屬性可能因時而變,如病狀、習慣、理念等。有鑒于此,需在厘清時間重合度的基礎上,結合數據集中內嵌的具體屬性類別,判斷時間重合度可能產生的切實影響。上述考量因素均主要對衍生損害的“損害概率”和“損害程度”產生影響,監管者同時還應結合數據經紀人有關“數據集體量”等相關信息的披露,合理判定潛在的受害者數量。
3.數據整合分析框架的風險評價方法
數據整合分析框架填補了數據經紀衍生損害實質性判斷的標準缺失,能夠激活數據保護影響評估與公平數據經紀實踐對于衍生損害的規制效能。在數據保護影響評估中,數據經紀人應根據數據整合分析框架的結果,對受害者數量、損害概率、損害程度的“三高”數據集不予流通,對“雙高”數據集進行適切性整改或在必要時征求上級主管部門或網信部門的同意,對“單高”數據集進行更嚴格目的限制或強化相關風險的信息披露。在公平數據經紀實踐的語境下,監管者應結合數據接收方的性質與使用目的展開數據整合分析,暫緩或停止“三高”數據交易,要求“雙高”數據交易通過隱私計算框架進行或在合規整改后進行,并保持對“單高”數據交易后續數據處理目的的密切關注。對于通過公平數據經紀審查的數據交易,監管者也應確保交易雙方就數據權限控制、二次銷售禁止等事項作出安排。
現就上述框架如何作用于具體的數據經紀行為作如下展示。以筆者兼任數據合規委員會成員的深圳數據交易所為例,2025年5月19日,該所上架了經匿名化處理的深圳市婦幼保健院2018年至2023年確診的妊娠期高血壓孕產婦數據集。深圳市婦幼保健院作為銷售數據包的提供方,可將以下數據整合分析嵌入前置的數據影響保護評估:(1)匿名化水準方面,該數據集采用了數據概括或數據擾動等“泛化”方法進行匿名化處理,匿名化水準較高。(2)敏感度方面,雖然妊娠期高血壓孕產婦的醫療就診數據本身屬于敏感數據,但在該數據集的上架時點,數據集中的數據主體身份顯然已不再是孕婦,且妊娠期高血壓病癥通常在分娩后自動消失,故匿名化后此類數據的敏感度已大幅降低。不過,妊娠期高血壓也可能造成其他并發癥,若被置于商業保險測算的水平關系中,可能使具有相同特征的孕婦被拒保或提高保費,應認定為可造成特定衍生損害的高敏感數據。對此,深圳市婦幼保健院主動對數據集用途作出限制,禁止該數據集被用于開發和驗證妊娠期高血壓相關的任何人工智能算法,從源頭阻絕了高度敏感性質的水平關系構造,此舉將損害概率和損害程度都限制在較低水平。(3)數據集體量方面,該數據集時間跨度為5年,而深圳市婦幼保健院又是“集保健、預防、醫療、教學、科研為一體的國內知名三級甲等婦幼保健院”,可推知數據集體量較大。此外,該數據集可遷移作用的群體“中高風險產婦”基數本身也較大。(4)推論數據占比方面,該數據集不包含推論數據。綜上,該數據集屬于潛在受害者數量較多、但損害概率與損害程度雙低的“兩低一高”的低風險數據集,且賣方已就用途作出了明確限制,無需額外審查。深圳數據交易所作為自律監管者,可將以下數據整合分析嵌入公平數據經紀實踐:(1)數據主體重合度方面,該數據集覆蓋地域為深圳市全域,交易所需重點審核同地域相似數據集的合并交易。(2)數據集內嵌屬性方面,該數據集屬性聚焦病情本身,但慮及該類數據對相關群體及其他并發癥的揭示可能,交易所需關注可能激活數據集商業屬性的數據集交易,如禁止已購買智能商保數據集的數據處理者再行購買該數據集。(3)原初處理目的重合度方面,數據經紀人已將處理目的限定于教學、科研以及較窄商業目的,交易所僅需排查可能激發不合理商用目的的數據交易。(4)時間重合度方面,該數據集的覆蓋周期為2018年1月1日至2023年12月31日,交易所需分別關注同時期交易的其他數據集是否存在主體重合度的情況,以及非同時期上架的數據集是否存在內在屬性重合的情況。
(三)基于分析框架的共同責任劃分
從侵權責任視角來看,無過錯責任會使數據經紀人動輒得咎,而數據整合分析框架為過錯推定責任(數據經紀人自證無過錯)與過錯責任(受害人證明相關主體有過錯)的適用提供了錨點。衍生損害以人格權損害為主,既可能侵害名譽權、榮譽權、隱私權等具體人格權利,也可能侵害《民法典》第990條第2款所稱“自然人享有基于人身自由、人格尊嚴產生的其他人格權益”。根據《民法典》第998條,對于生命權、身體權和健康權之外的人格權侵害,在判定行為人責任時應“考慮行為人和受害人的職業、影響范圍、過錯程度,以及行為的目的、方式、后果等因素”。實踐中,我國法院主要通過“司法推定”踐行該規定,如在龐某與北京趣拿信息技術有限公司等隱私權糾紛案中,原告通過“去哪兒”APP訂購機票,卻于兩日后收到詐騙短信。一審法院以原告無法證明被告存在過錯駁回起訴,二審法院則運用經驗法則與邏輯推理,通過司法推定解決了多環節信息傳遞中因果關系的證明困境,避免了因原告客觀舉證不能所導致的權利保護落空。“司法推定”采用“高度蓋然性”的因果關系標準,針對舉證更加困難的衍生損害,數據整合分析框架為“司法推定”提供了更加科學的參照準據:(1)對數據經紀人的責任判定,可考察其是否將數據集的潛在受害者數量、損害概率、損害程度控制在不超過“單高”的水準,或未對“雙高”“三高”數據集履行合理的風險規避義務;(2)對交易所或監管責任人的責任判定,可考察其是否因疏忽放行了潛在受害者數量、損害概率、損害程度超過“單高”的數據交易,或未對“雙高”“三高”數據交易采取特別措施;(3)對場外交易買受人的責任判定,可考察其是否對于高風險數據交易“明知而決行”。通過上述逐級審查,法院得以細致界定衍生損害是否、以及在多大程度上可歸咎于數據經紀鏈條上的各個主體,而非僅就超過一定程度的損害依“損害近因”追究責任。就此而論,數據整合分析框架對于“司法推定”的補強,也為《民法典》第1170條“共同危險行為”的適用提供了參照系。在數據經紀誘發實質性損害的場景中,“相關侵權后果的產生是多主體、多因素共同作用的結果”,如因“第三人介入行為”導致下游損害或因“不當數據處理”引發數據信息損害時,主侵權行為與經紀行為可透過數據整合分析框納入“共同危險行為”予以評價:(1)對于“三高”數據經紀行為,無論后手行為人是否履行安全保障義務,衍生損害實際上均難以避免,數據經紀人應就侵權行為承擔主要責任,后手行為人是否“承擔連帶責任”取決于是否存在侵權的主觀故意;(2)對于“雙高”或“單高”數據經紀行為,數據經紀人均應同后手行為人承擔連帶責任;(3)對于“三低”數據經紀行為,數據經紀人不就后續損害承擔責任。
結語
《中共中央關于制定國民經濟和社會發展第十五個五年規劃的建議》要求繼續“深化數據資源開發利用”“建設開放共享安全的全國一體化數據市場”,而規范、專業、活躍的數據經紀行業,無疑是激活數據要素潛能、鏈接數據資源與應用場景、支撐全國一體化數據要素市場建設的關鍵一環。通過數據整合分析框架的橋接,數據保護影響評估和公平數據經紀實踐可有效防范衍生損害侵蝕數據流通復用的社會價值增益,使數據經紀活動回歸“社會最佳活動水平”,進而為數字經濟發展注入動能。
作者:唐林垚,中國社會科學院法學研究所副研究員、中國社會科學院大學副教授。
來源:《法學家》2026年第2期。