「隱形」數據代理商利用私隱賺錢 全美首條規管法例勢逼「現形」

撰文:馮翠山
出版:更新:

當人人爭論Facebook或Google收集大量用戶私隱時,有沒有想過其實還有許多不知名公司擁有我們的資料?
與劍橋分析(Cambridge Analytica)一樣,它們以用戶資料獲利但不受法律規管,運作低調、難以追蹤,彷彿是隱形的。
美國佛蒙特(Vermont)最近通過全美首條法例,規管這類稱為數據代理商(Data broker)的公司,誓要令它們「現形」。

劍橋分析的爆料者懷利(Christopher Wylie)曾透露,劍橋分析從未得他人許可下從Facebook購買和使用用戶個人資料,建立心理測量學的模型,並透過此方法去瞄準用戶。(VCG)

如影子般的數據代理商世界

劍橋分析風波被爆出後,劍橋分析及Facebook成為眾矢之的。然而事件背後隱藏一個更重要的事實:全球有許多大大小小公司正如劍橋分析一樣,以用戶資料作為賺錢工具,用戶卻被蒙在鼓裡。

不少人這樣形容這類公司:神秘莫測的數據代理商世界(Shadowy world of data broker)。

佛蒙特州政府卻誓要令這些數據代理商「現形」。上周二(22日)佛蒙特州政府通過法例,規定數據代理商要向州政府繳交每年100美金(約780港元)作註冊登記。一旦登記後,它們要接受州政府的規管及審查。

根據新例,所有數據代理商要向用戶清楚列明會收集的資料範圍,另外它們要設立資料保障措施,防止外洩。

數據代理商(data broker):專門收集網上用戶資料再售出獲利。資料除了包括年齡、性別外,更包括用戶的所有網上習慣及模式。2014年美國聯邦貿易委員會的報告曾指出,有數據代理商收集到幾乎全美國所有國民的資料,而每位國民的資料更可細分3000類。

 

Google等科技公司收集大量用戶私隱資料,一旦外洩將引起軒然大波。(VCG)

行業低調隱秘 法律難規管

新例是全國第一條針對數據代理商業務的法例,與5月25日生效的歐盟新私隱法一樣,在保障用戶資料上具開創性。

這一直是一個很大漏洞。在佛蒙特通過法例之前,(全國)並沒有規管數據代理商的法例。
世界私隱論壇行政總裁狄克遜(Pam Dixon)

事實上,數據代理商早在20年前已經出現雛型,如今發展更具規模,可惜全球法例一直未追上行業發展,當中最根本的原因在於定義數據代理商的糾結。

狄克遜指,定義數據代理商是多年來最棘手的事。現在幾乎所有公司都會收集客戶資料,當中有多少公司會暗中借客戶資料獲利,根本難以追查。此外,數據代理商的運作一般非常低調,卻極有影響力。

Acixiom全球最大間數據代理商之一,專門收集、分析及售賣用戶及商業資料,以用作針對式廣告活動。(Acixiom網頁截圖)

行業龍頭年賺74億

要數規模及業務最大之一的數據代理商,非美國公司Acxiom莫屬。Acxiom是一間數據庫公司,專門收集、分析及售賣用戶及商業資料,以用作針對式廣告活動。

雖然Acxiom業務貼近市場趨勢,但原來它早在1969年已經成立,接近50年歷史。成立之初它是為政黨收集及提供選民資料,發展至今已經成為全球最大間數據代理商之一。市面上多間銀行及零售與Acxiom有合作關係,Facebook也不例外。

Facebook自2013年起推出「合作夥伴類別」,與Acxiom等數據代理商合作,收集澳、法、德、英、美等地的用戶資料,包括離線人口統計和行為資料。不過在劍橋分析風波曝光後,Facebook宣布中止與Acxiom及其他數據代理商合作。

據估計,Acxiom的2018年財政收入將達到9.45億美元(約74億港元)。

Facebook因為向劍橋分析洩漏用戶資料,成為眾矢之的。(VCG)

新法盼堵塞20年來漏洞

如今個人資料值千金,Acxiom這類數據代理商以用戶資料獲取利潤,但實際上又有幾多用戶知道它們的存在及運作模式。更重要的是,根本沒有法律能直接規管數據代理商,往往要待資料外洩事件發生後各界才醒覺。

狄克遜指,佛蒙特的法例內容經過全面且慎密的考慮而定下,當中會聚焦在數據代理商的營運活動,並不是它們的定義。

數據代理商是指一間公司、或一間公司的某部分(不論分開或合併),知情地收集及販賣或准許第三方使用用戶的個人資料。
佛蒙特的「數據代理商法例」

誠如狄克遜所言,數據代理商的規管漏洞「非常嚴重」:「20年來我們一直希望有這類東西(佛蒙特的數據代理商法例)。」佛蒙特的法例相信能成為全國參照對象,推動全國制定保障用戶資料的法例。