文|黄潇怡 中国信通院互联网法律研究中心工程师
2026年3月4日,欧洲数据保护委员会(EDPB)发布《数据经纪人市场研究》(Data brokers market study)报告。比利时数据保护监管机构(BE SA)为深入掌握比利时境内数据经纪人与数据提供商的运营现状,识别其业务模式及对个人数据保护的潜在风险,委托EDPB专家库开展专项研究并形成研究报告。报告系统梳理了数据经纪人的定义、类型、识别方法及比利时数据经纪市场概况,旨在为监管机构提供决策参考,并为欧盟其他成员国开展类似调查提供可借鉴的方法论支持。
一、定义构建与研究方法
本次调研采用结构化、多步骤的研究方法,围绕数据经纪人界定、检索策略设计、主体筛选分类三大核心环节展开,形成了完整的调研方法论体系,具体如下:
(一)明确数据经纪商定义与筛选标准
研究报告通过对Web of Science数据库文献综述,以及EDPB、比利时监管机构相关文件的分析,梳理“数据经纪人”的现有定义,并提炼出其五大核心运营特征,即大规模收集个人数据、处理的信息包含敏感个人数据、数据收集缺乏用户控制、开展数据处理与画像分析,以及将数据画像商业化变现。
基于上述特征,研究报告进一步对数据经纪人的定义进行了明确。数据经纪人是指从各类公共和私人来源收集个人数据,对数据进行处理、分析、推断和聚合,以形成详细消费者画像,并将其开发为信息产品或服务,出售或提供给第三方的商业实体。此类商业实体的相关活动通常在数据主体不知情或无法控制的情况下进行。
基于上述定义,研究报告进一步设定了五项筛选标准,一是数据来源具有多样性,从多个渠道收集信息;二是处理数据能力强,对数据进行加工、聚合和画像;三是采用商业化模式,将数据变现是其商业模式核心;四是用户控制缺失,数据主体缺乏知情或控制权;五是涉及个人数据,相关数据符合《通用数据保护条例》(GDPR)对“个人数据”的定义。
(二)设计多轮次检索策略
研究初期采用比利时经济活动分类代码(NACEBEL)检索,通过选取信息服务、数据处理等相关代码,从比利时官方商业数据库筛选出7864家企业。但因代码由企业自行申报、分类模糊且存在错配,导致样本覆盖面过宽且遗漏实际数据经纪商,该方法最终被弃用。
后续采用关键词分析+线上检索的优化策略,通过对18家已知数据经纪人网站进行文本挖掘,提取高频关键词(如“数据平台”“数据丰富”“消费者洞察”“身份智能”等),结合多语言搜索,成功识别出一批潜在数据经纪人与提供商的初步名单。
(三)完成主体筛选与类型划分
根据筛选标准对初步名单进行评估发现,比利时仅有少数企业完全符合数据经纪人定义,因此研究报告采用理想类型分析方法,结合企业商业模式特征与隐私风险水平,构建了数据经纪人与数据提供商分类体系。
研究团队最终识别出超过40家在比利时活跃的数据经纪人与数据提供商,并基于企业商业模式、数据处理方式、用户控制程度、隐私风险水平等维度将其分为八类:一是个人数据经纪人,如InfoBelPro、GeoPostcodes等企业,提供姓名、地址、收入等个体级别数据,主要用于营销与地理定位等;二是数据池与洁净室,如DPG Media Datalab、Ads&Data等企业,企业间在隐私保护环境下共享数据,进行联合分析与受众建模;三是整合个人数据的AI平台,如Sentiance、MoodMe等企业,利用传感器数据或面部识别技术进行用户画像,提供行为分析与情感检测服务等;四是用户可控数据经纪人,如Profila、Geens等企业,用户主动分享数据并获得收益,平台负责数据管理与交易;五是自生成数据提供商,企业自身生成个体级别数据,用户通常知情并同意;六是商业数据经纪人,如Trends Business Information、OpenTheBox等企业,提供企业联系人、管理层信息等,用于销售与市场拓展;七是数据市场,如Mobito、Shipnext等企业,提供平台交易流动性或车辆数据,数据以API或订阅形式提供;八是聚合数据提供商,如Cegeka、GIM等企业,提供交通、人口、地理等聚合数据,支持城市规划和商业选址。
二、数据经纪人与数据提供商的风险等级
研究报告从个人数据暴露风险、数据聚合与重识别可能性等维度开展风险评估,将上述数据经纪相关主体进行风险等级划分,其中4类为高风险类型,4类为中风险类型,不同类型主体的运营特征与风险点各有差异,核心特征如下:
类型 | 风险等级 | 简要描述 |
1. 个人数据经纪人 | 高 | 从多来源收集个人数据,进行画像并出售,用户无控制权 |
2. 数据池与洁净室 | 高 | 通过协作模式实现企业间数据共享,虽采用加密、聚合等隐私保护技术,但多源数据融合存在重识别风险 |
3. 整合个人数据的AI平台 | 高 | 将个人数据用于算法训练与产品开发,虽不直接售卖数据,但 AI 驱动的画像分析存在个人数据泄露风险 |
4. 用户可控的数据经纪人 | 高 | 用户主动提供数据并获回报,但可能存在信息不对称,用户对隐私风险认知不足 |
5. 自生成数据提供商 | 中 | 企业自身生成个体级别数据,用户通常知情并同意 |
6. 商业数据经纪人 | 中 | 主要提供企业相关信息,但包含个人联系方式等 |
7. 数据市场 | 中 | 提供平台供数据供需方交易,数据可能被再识别 |
8. 聚合数据提供商 | 中 | 提供高粒度聚合数据,存在再识别风险 |
三、比利时数据经纪人市场调研结果
研究团队最终识别出40余家在比利时开展业务的数据经纪商与数据提供商,并按8大类型完成分类梳理,明确了各类型代表企业的基本信息、运营模式、数据处理特征与隐私政策等细节,核心调研结果如下:
一是市场主体分布多元。8大类型均有对应的代表企业,覆盖个人数据交易、商业数据服务、数据协作平台、AI数据应用、数据交易市场等多个细分领域,其中商业数据经纪人、整合个人数据的AI平台、存在重识别风险的聚合数据提供商三类主体的代表企业数量相对较多,反映出比利时数据经纪市场的业务重心偏向商业数据服务与数据技术应用。
二是企业信息披露存在短板。多数企业的营业额、具体数据来源等核心信息未公开披露,部分企业甚至未提供完整的隐私政策,仅有员工数量可作为规模衡量的参考指标,反映出比利时数据经纪行业的信息透明度不足,给监管工作带来一定阻碍。
三是本土企业与跨国主体并存。调研样本中既有本土初创企业,也有跨国企业的比利时分支机构,部分企业的业务范围覆盖欧洲多国,数据处理的跨境特征明显,对数据跨境流动的监管提出了更高要求。
四是隐私保护实践参差不齐。部分企业采用了数据加密、匿名化、隐私设计等技术手段,如数据洁净室运营商通过技术实现隐私保护下的数据协作;但仍有大量企业未明确数据收集的用户授权机制,也未采取有效的风险防控措施,数据主体的知情权、控制权难以得到保障。
四、研究结论
本次调研首次系统性梳理了比利时数据经纪商市场的整体格局,构建了兼具实操性与可迁移性的行业识别与分类方法,为欧盟数据经纪行业的监管提供了重要的实证参考。同时,调研揭示的行业多元化特征与隐私风险痛点,也为后续欧盟层面完善数据经纪商监管规则、细化隐私保护要求提供了重要的现实依据。研究结论如下:
一是行业界定标准与实际市场存在偏差。基于经典定义制定的筛选标准,在比利时市场的适配性较低,仅有少数企业完全符合数据经纪商核心定义,多数相关主体因商业模式差异仅部分满足筛选条件,反映出欧洲数据经纪行业的商业模式日趋多元化,传统定义已难以全面覆盖行业实际情况,需结合市场特征细化分类标准。
二是检索策略需适配行业特征。基于官方行业分类代码的检索方法因数据申报的主观性与模糊性,无法有效识别数据经纪商,而关键词分析 + 线上定向检索的方法,更贴合数据经纪行业的线上运营特征,检索有效性更高,可为欧盟其他成员国开展行业调研提供实操参考。
三是市场格局多元且风险水平差异化显著。比利时数据经纪与数据提供商市场主体类型丰富,业务模式涵盖数据收集、处理、交易、技术应用等全链条,不同类型主体的隐私风险水平差异显著,风险核心取决于数据处理的粒度、多源数据融合程度与数据主体的控制权限,高风险类型主要集中在个人数据的直接处理与多源融合领域。
四是行业监管存在多重挑战。比利时数据经纪行业存在信息透明度不足、企业隐私保护实践参差不齐、数据跨境流动特征明显等问题,且部分聚合数据存在重识别风险,给 GDPR 的落地实施带来挑战,监管机构需针对不同类型主体的风险特征制定差异化的监管策略,同时强化企业信息披露与数据安全保护的要求。
参考资料:
https://www.edpb.europa.eu/our-work-tools/our-documents/support-pool-experts-projects/data-brokers-market-study_en
声明:本文来自CAICT互联网法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
