上周,美国佛蒙特州颁布了一项针对买卖个人信息的数据中间商的法律,该法律要求佛蒙特州的数据代理商必须登记注册,并且按照统一的标准对用户数据进行保护。这是全美首个通过法律对数据代理商进行监管的州。

根据这条法例,数据代理商(data broker)是指收集和销售与其没有直接关系的消费者的数据的企业,它们从浏览记录、订阅信息等各种渠道收集信息,然后对数据进行整理、分析,并将这些数据打包出售给第三方。譬如说,Cambridge Analytica、安客诚(Acxiom),以及信用评级机构 Equifax。

该法例规定,数据代理商必须每年向佛蒙特州支付 100 美元进行注册,并要求它们告知消费者,它们是如何收集信息的,消费者是否可以退出信息收集,如果可以的话,如何退出。

除了备受关注的 Facebook 泄密事件,近年来,数据泄露事件层出不穷。比如,去年 Equifax 的数据泄露事件,暴露了 1.45 亿美国人的数据,包括姓名、社会保障号码、出生日期、地址、驾照号码等。为防止类似的信息泄露事件,该法例要求数据代理商执行统一的安全标准,如对敏感数据进行加密,如违反这些安全标准,或者发生了信息泄露,需向主管部门进行通报。

过去,虽然血液测试等医疗数据受到保护,不能被看到,但是如果一家公司通过你买的药来猜测你的病情,这并不违法。你也许就因此被放入了疑似糖尿病的秘密名单里,而这些数据会被卖给像 Facebook 这样的公司,它们再结合自己收集的数据来给你推送广告。

之前 Facebook 就这样干过。世界隐私论坛的负责人帕姆·迪克森(Pam Dixon)说,Facebook 的种族、收入、住房状况等大约 90 类数据,都来自于数据公司 Acxiom。长期以来,类似这样的公司一直在悄悄地收集并买卖公众的个人信息,而这些数据会影响到信用评分,从而限制某些人能享受的服务。在这个过程中,很可能会产生歧视等问题。譬如,由于种族原因,个人的住房贷款率可能被悄悄提高了,或者由于个人的医疗状况遭泄露而丧失了某些工作机会。

但根据佛蒙特州的新法例,如果这些公司将数据用于种族歧视等非法目的,它们将面临诉讼。法律禁止企业以欺诈手段获取数据,为跟踪、骚扰、盗用身份证或歧视目的获取数据也被视为非法。

此外,根据美国法律规定,当用户的身份信息,特别是社会安全号码在网上遭泄露后,相关机构一般建议用户冻结账户。除身份盗窃案件外,佛蒙特州现行法律允许信贷报告机构向用户收取最高 10 美元的冻结费用,暂时解除或接触冻结时,机构也可以收取最高 5 美元的费用。根据新法例,佛蒙特州的信贷报告机构将不得再收取这些费用。

不同于与消费者有着直接关联的企业,消费者可能并不知道数据代理商的存在,也不知道它们收集了什么信息,对它们的监管也处于一个近乎真空的状态。迪克森说:“这是一个巨大的疏忽,”“在佛蒙特州通过这项法律之前,没有对数据代理商的监管。这十分严重。20 年来,我们一直在寻求这样的法律。”

世界隐私论坛对这一法律表示欢迎,迪克森称这是“一项具有历史意义的隐私法例”,他呼吁政府采取更多行动:“佛蒙特州为消费者保护设定了标准,我们呼吁向美国所有公民提供这种至关重要的保护。在 Facebook 数据丑闻之后,我们都看到,迫切需要加强对消费者数据的保护。”

由于该法案向数据代理商收取了新的费用,佛蒙特州州长 Phil Scott 认为这违反了他不收取新税或新费用的承诺,因此没有签字,但这项法律还是在 5 月 22 日获得了通过。

题图/Sai Kiran Anagani on Unsplash

我们做了一个壁纸应用,给你的手机加点好奇心。去 App 商店搜 好奇怪 下载吧。