上周，美国佛蒙特州颁布了一项针对买卖个人信息的数据中间商的法律，该法律要求佛蒙特州的数据代理商必须登记注册，并且按照统一的标准对用户数据进行保护。这是全美首个通过法律对数据代理商进行监管的州。

根据这条法例，数据代理商（data broker）是指收集和销售与其没有直接关系的消费者的数据的企业，它们从浏览记录、订阅信息等各种渠道收集信息，然后对数据进行整理、分析，并将这些数据打包出售给第三方。譬如说，Cambridge Analytica、安客诚（Acxiom），以及信用评级机构 Equifax。

该法例规定，数据代理商必须每年向佛蒙特州支付 100 美元进行注册，并要求它们告知消费者，它们是如何收集信息的，消费者是否可以退出信息收集，如果可以的话，如何退出。

除了备受关注的 Facebook 泄密事件，近年来，数据泄露事件层出不穷。比如，去年 Equifax 的数据泄露事件，暴露了 1.45 亿美国人的数据，包括姓名、社会保障号码、出生日期、地址、驾照号码等。为防止类似的信息泄露事件，该法例要求数据代理商执行统一的安全标准，如对敏感数据进行加密，如违反这些安全标准，或者发生了信息泄露，需向主管部门进行通报。

过去，虽然血液测试等医疗数据受到保护，不能被看到，但是如果一家公司通过你买的药来猜测你的病情，这并不违法。你也许就因此被放入了疑似糖尿病的秘密名单里，而这些数据会被卖给像 Facebook 这样的公司，它们再结合自己收集的数据来给你推送广告。

之前 Facebook 就这样干过。世界隐私论坛的负责人帕姆·迪克森（Pam Dixon）说，Facebook 的种族、收入、住房状况等大约 90 类数据，都来自于数据公司 Acxiom。长期以来，类似这样的公司一直在悄悄地收集并买卖公众的个人信息，而这些数据会影响到信用评分，从而限制某些人能享受的服务。在这个过程中，很可能会产生歧视等问题。譬如，由于种族原因，个人的住房贷款率可能被悄悄提高了，或者由于个人的医疗状况遭泄露而丧失了某些工作机会。

但根据佛蒙特州的新法例，如果这些公司将数据用于种族歧视等非法目的，它们将面临诉讼。法律禁止企业以欺诈手段获取数据，为跟踪、骚扰、盗用身份证或歧视目的获取数据也被视为非法。

此外，根据美国法律规定，当用户的身份信息，特别是社会安全号码在网上遭泄露后，相关机构一般建议用户冻结账户。除身份盗窃案件外，佛蒙特州现行法律允许信贷报告机构向用户收取最高 10 美元的冻结费用，暂时解除或接触冻结时，机构也可以收取最高 5 美元的费用。根据新法例，佛蒙特州的信贷报告机构将不得再收取这些费用。

不同于与消费者有着直接关联的企业，消费者可能并不知道数据代理商的存在，也不知道它们收集了什么信息，对它们的监管也处于一个近乎真空的状态。迪克森说：“这是一个巨大的疏忽，”“在佛蒙特州通过这项法律之前，没有对数据代理商的监管。这十分严重。20 年来，我们一直在寻求这样的法律。”

世界隐私论坛对这一法律表示欢迎，迪克森称这是“一项具有历史意义的隐私法例”，他呼吁政府采取更多行动：“佛蒙特州为消费者保护设定了标准，我们呼吁向美国所有公民提供这种至关重要的保护。在 Facebook 数据丑闻之后，我们都看到，迫切需要加强对消费者数据的保护。”

由于该法案向数据代理商收取了新的费用，佛蒙特州州长 Phil Scott 认为这违反了他不收取新税或新费用的承诺，因此没有签字，但这项法律还是在 5 月 22 日获得了通过。

题图/Sai Kiran Anagani on Unsplash

我们做了一个壁纸应用，给你的手机加点好奇心。去 App 商店搜 好奇怪 下载吧。