摘要：数据经纪解耦了垂直数据关系对水平数据关系的束缚，水平数据关系得以无序扩张并催生衍生损害。衍生损害既无法通过强化个人信息保护纾解，也难被传统侵权责任涵摄，具备单独规制必要。数据影响保护评估、公平数据经纪实践有望通过抽象风险损害化应对衍生损害，但须各自补全损害实质性判断标准。事前防范维度，应将兼顾匿名化水准、数据敏感度、数据集体量与推论数据占比的数据整合分析纳入数据影响保护评估，将兼顾主体重合度、属性重合度、处理目的重合度、时间重合度的数据整合分析纳入公平数据经纪实践，并综合潜在受害者数量、损害概率与损害程度酌定损害实质程度。事后归责维度，应根据数据经纪与主侵权行为的致害原因力大小科学划定责任分配。

关键词：数据经纪；衍生损害；数据关系；实质性损害；数据整合分析

引言

数据整合催生价值增量。“数据的数量、类型越多，所能挖掘的信息内容就越有价值”。正是出于对数据整合价值的追求，催生了数据经纪（Data Brokery）这一鲜为人知却无处不在的行业。自《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》提出培育数据经纪等第三方专业服务机构、提升数据流通和交易全流程服务能力以来，大批从事数据标注、治理、交易服务等业务的企业快速成长，2025年主要数据交易机构新增供需主体超过2600家。

各国法对于“数据经纪”尚无整齐划一的定义。美国联邦贸易委员会（FTC）将之定义为“从多种渠道收集消费者个人信息，通过聚合、分析后将该信息或其衍生信息用于营销产品、验证个人身份或欺诈检测等目的的业务”；美国加州《消费者隐私法案》（CCPA）将“数据经纪”定义为“与个人无直接业务往来但专门收集并向第三方出售其信息的行为”；欧盟《数据治理法》使用“数据中间服务提供者”指代“数据经纪人”，与我国上海数据交易所“数据服务商”的概念有类似之处，均指帮助数据需求方收集、聚合与交易合法数据的机构。虽在措辞上差别迥异，但数据经纪的根本目的在于促进数据整合以获取价值增量。由是，本文在广义且实质层面使用“数据经纪”的概念，用其指涉一切实现数据整合的交易行为。

数据经纪所助推的数据整合，会扰乱原有的数据生态，使个体在缺乏有效同意的情况下被“摆置”进不公平的数据关系中，既可能给不特定多数人的人身和财产安全造成无形损害，也可能给个人权益造成实质性损害。例如，2025年“3·15”晚会曾曝光，个人消费数据不加限制的交易流转，催生了庞大的“精准获客”灰色产业，消费者被“跟踪广告”骚扰成为新常态；根据广州互联网法院公布的一则典型案例，原告的姓名、联系方式、收货地址、平台账号等个人信息经过数据处理后，竟然在被告网站上被公然冠以“打假师、欺诈师、恶人、恶意欺诈”等标签，致使其在网购时经常被拒绝发货；在上述例子中，个体权益被有针对性地侵害，并非因其姓名、手机号码等能够识别至个人的信息被第三方非法窃取，而是在合规数据交易的掩映下，匿名化数据经整合与二次处理，显化出关于个体“不欲为人所知”的行为洞察。本文将此类衍生于正常数据经纪的危害称为“衍生损害”。

相较于已被《民法典》《个人信息保护法》约束的直接损害，数据经纪的衍生损害会随多源异构的数据整合产生无远弗届的影响，更应被法律钳制。遗憾的是，当前为数不多有关数据经纪的法学研究，重点关注数据泄露、非法使用等直接风险，一般从个人信息保护视角切入，主张对数据流通施以强监管；但数据经纪流转的数据既包含个人信息也包含非个人信息，非个人信息的整合同样可能创造价值增量并引发衍生损害。例如，常被数据经纪人交易的Cookie等技术标识符为精准营销所不可或缺，但在审判实践中却不作为个人信息对待。不惟如是，传统侵权责任体系不保护“大规模微型侵害”，且坚守损害须现实发生的底层逻辑，无法遏制衍生损害。例如，在“酷车易美案”中，原告主张二手车服务平台公布的车辆维修保养记录、行驶数据等在与其他信息整合时存在去匿名化隐患，法院以损害未实际发生为由驳回原告诉请。虑及数据经纪的泛在，有必要建立事前防范机制，将具有高度盖然性的衍生损害阻却于数据经纪之前；同时，对于数据经纪诱发或引发的实质性损害，应将数据经纪与主侵权行为均纳入《民法典》第1170条“共同危险行为”的评价范畴，根据致害原因力大小确定责任分配。对此，本文首先梳理衍生损害的发生机理，从数据关系视角阐发衍生损害的治理逻辑，并以此为基础构建权衡盖然性与原因力的数据整合分析框架，以期充分激活既有机制之于数据经纪衍生损害的规制效能。

一、衍生损害的发生机理与单独规制必要

学界用“数据关系”指涉技术系统通过持续收集、处理数据进而构建数字秩序的社会化过程。数据经纪会结构性改变数据处理活动的数据关系，而数据关系的失衡是产生衍生损害的根本原因。数据的“关系性”决定了衍生损害具有单独规制必要。

（一）数据经纪导致数据关系失衡

数据关系包含垂直数据关系和水平数据关系两种类型。其中，垂直数据关系（以下简称垂直关系）是数据主体与数据处理者间的直接交互关系，反映了通过用户协议与技术端口的连接，一方让渡其个人数据换取另一方服务的价值交换过程，例如，储户授权银行访问其消费数据以获得即时资信评价；水平数据关系（以下简称水平关系）是数据主体间通过共享群体特征形成的间接关联关系，描述了数据处理活动将个体数据转化为群体画像，从而对其他具有相似特征个体施加影响的社会评价过程，例如，储户可能因与其他储户共享在网购中“价格由低到高”的排序习惯，被银行标签化为低收入对象并承受更高贷款利率。在传统数据处理活动中，垂直关系与水平关系有如车之两轮、鸟之双翼，数据处理者在垂直关系中的服务提供完全依赖水平关系所催生的群体洞察，而水平关系的构建方式则完全取决于垂直关系的服务实质。问题在于，数据经纪会消解垂直关系与水平关系的耦合，使水平关系的扩展与构建从垂直关系的“刚性束缚”中脱嵌出来。以下结合数据经纪的业务特征，从数据收集与处理两方面分别说明。

数据收集方面，从数据经纪人处直接购买数据，较之于逐一建立垂直关系获取授权，具有明显成本效率优势，但由此扩展的水平关系便不再受制于垂直关系中“最小必要”的法定限制。数据收集的最小必要原则是个人信息保护的核心原则之一，该原则依托垂直关系中数据处理的“合理目的”，将数据收集范围限定于与处理目的“直接相关”且为实现处理目的所“不可或缺”。但是，如果数据处理者从数据经纪人处购买数据，便可绕开最小必要原则的范围限定，而数据经纪人的数据收集，本无需遵循最小必要原则。实践中，数据经纪人通常从两类渠道收集数据：（1）公开渠道。公开渠道指公众可无差别访问的数据源，数据经纪人从公开渠道收集个人信息不受任何限制。根据《民法典》第1036条，对于已公开个人信息的处理，只要自然人不明确拒绝或信息处理不侵害数据主体重大利益，则行为人不因处理个人信息承担民事责任。上文“数据经纪”的部分定义强调“与个人无直接业务往来”，从侧面印证了数据主体与数据经纪人间垂直关系的缺位。个人因此很难得知其公开信息被哪些数据经纪人捕获以及这些信息被如何处理，既无法明确拒绝信息收集，也无法将“重大利益侵害”与其个人信息“被处理”相关联。（2）非公开渠道。非公开渠道指不对外公开且需通过特定权限才能访问的数据来源，此类数据主要由“无处不在、无时不在”的“信息系统、网络运行、各种传感器等实时记录形成”。非公开渠道的数据产生于特定的垂直关系，透过模糊的知情同意框架，“用户通常在注册服务或账户时就已明确同意允许收集和共享其数据的条款和条件”，从而为后手数据经纪行为提供了合法性基础。例如，淘宝《隐私政策》要求用户在使用服务前同意其向关联方、合作方、开发方等共享匿名化处理后的个人信息；实践中还普遍存在“通过隐藏关键信息或使用特殊技术手段使用户出现认知偏差”的“暗黑模式”，用户在不了解风险情况下对后手数据传输与处理行为作出了非理性的单独同意。

数据处理方面，数据经纪人不仅是撮合多方数据交易的“中介”，更作为开发应用场景的“数据价值挖掘者”主动处理数据，以协助各方“发掘应用场景，产出更适配的数据产品”，但由此创设的全新水平关系，不再以垂直关系的存在为前提。构建水平关系以生成群体洞察，是“数据整合催生价值增量”的关键。在大数据、算法技术大规模应用之前，数据仅是传递信息的符号媒介，只能帮助数据收集者从字面上了解有关被收集者的特定信息；但通过水平关系的构建，数据对当代数字经济尤其有价值的地方在于，它能帮助数据处理者基于共同的人群特征，挖掘出关于数据主体及其相似群体的默会知识。例如，2025年12月26日，贵阳大数据交易所为某数据经纪人自主采集且实时更新的“资阳市卫生—家庭健康画像数据集”颁发数据要素登记凭证，该数据集旨在实现“对目标人群的精准筛选”，找到与购买方“需求高度匹配的服务内容”。通常而言，数据经纪人会刻意整合收集到的数据，并对其作两方面的价值挖掘：（1）构建数字孪生，即通过群体画像精准预测个体行为，这些画像常被其他商事主体用于提供个性化服务。（2）生成倾向评分，即根据个体的群体特征归属，对其信用、风险或行为倾向进行评估，这些评估常被金融机构或雇主用作决策依据。因无需用户协议“一对一”搜集数据，数据经纪人实际上是在无前置垂直关系的条件下，自行构建了全新的水平关系，并将水平关系产生的群体洞察商品化。此外，数据经纪行业还普遍存在数据经纪人之间相互买卖数据的“异花授粉（cross-pollination）”现象。专职数据经纪人外，从数据经纪人处购买数据的数据处理者，也可在脱离垂直关系的条件下通过新设全新水平关系获益。

综上，数据经纪解耦了传统数据处理活动中垂直关系与水平关系的关联，使水平关系的拓展与新设均不受垂直关系中数据收集范围和数据处理目的的限制。

（二）数据关系失衡引发衍生损害

作为首个在立法上明确个人信息收集与使用“一律须经信息主体同意从而将同意一般化的国家”，我国的个人信息保护体系长期遵循“以垂直关系调控水平关系”的底层逻辑。个人信息保护的终极目的，是维护“个人在各种社会关系中身份建构的自主性和完整性”，各类数据主体在垂直关系中可向数据处理者主张的前述权利，以及《个人信息保护法》要求以个人同意（第13条）、对个人权益影响最小（第6条）、公开透明（第7条）的方式处理数据并允许个人自主撤回其同意（第15条）等规定，均意在维持个人在不同水平关系中身份建构的自主参与。此间的规范逻辑是，个人可以通过在垂直关系中的有意识掌控，自主塑造其在水平关系中的社会交往，进而精确呈现自我与发展人格。

然而，一方面，数据主体无从得知其数据在何种水平关系中以何种方式被使用，另一方面，数据主体亦无法通过在垂直关系中行使权利等方式避免或缓解随水平关系扩张产生的不公正侵害。数据经纪的衍生损害主要包含以下两种类型。

其一是隐私侵蚀。强调个体对其个人信息的“自主控制”，盖因个人外化的“身份构建”通常都包含相当程度的“真意保留”。“拟剧理论”最早指出，社交互动是典型的表演行为，人们通过控制信息暴露维护社会形象。法律上，隐私被定义为“个人、团体或机构自行决定何时、如何以及在多大程度上将其信息传达给他人的权利”，当个人无法通过垂直关系决定其在水平关系中的信息传达时，“控制信息暴露”的隐私权将受到侵蚀，个人不仅失去维护其社会形象的能力，其私生活安宁权也被破坏。只不过，此种隐私侵蚀通常因程度未及至严重精神损害而不为侵权责任法所关注。“不平等的数据关系导致了不公正的积累，进而隐藏剥削的风险”。不受约束的水平关系构建，会将个人“不加修饰”地还原为其所属社会群体的共同特征，并基于此种特征被施以反作用，进而产生歧视性定价、群体污名化等具体损害后果。《民法典》第999、1036条将“维护公共利益”视作个人信息利用的重要基础，数据经纪的隐私侵蚀，侵害的正是公共利益层面的群体隐私。问题还在于，因对不公平水平关系的存在知之甚少，当负面作用显现时，个体很难将其遭遇同不公平的水平关系构建联系起来，也就很难就此类损害获得救济。

其二是下游损害。“下游损害”指因“第三人介入行为”导致的“个人遭受隐私权、生命权、社会歧视等人格权益损害和财产权损害”；还有学者用“数据信息损害”描述个人因不当数据处理所遭受的精神侵害、歧视与区别对待、福利与机会丧失、操纵与控制等。个体遭受的此类损害可能外溢为对社会公平、群体信任与市场竞争秩序的侵害。问题在于，下游损害的“第三人介入行为”与数据信息损害的“不当数据处理”，均可能作为主侵权行为吸收数据经纪行为，并使之脱离侵权责任的法律评价。例外是Remsburg v. Docusearch, Inc.案。加害人从数据经纪人处购买数据用以分析受害人行踪并将其杀害，法院迫于舆论压力裁定数据经纪人承担过失责任，但也同时声明，该案中的责任承担与“普通公民无保护他人免受第三方犯罪的一般性义务”的基本原则相冲突。诚然，对于重大恶性损害，数据经纪人必然难辞其咎，但从责任分担的角度来看，数据经纪与后续加害行为之间本不宜直接画上等号，而需严谨考察加害人的损害是否以及在多大程度上应当归咎于数据经纪。

（三）衍生损害应事前、单独规制

当前，各国针对数据经纪人的行为规制是在个人信息保护体系上的叠床架屋，无法阻却水平关系实现或放大基于群体特征的社会性压制。我国多地政策文件要求“规范数据经纪人执业行为”，如《广东省数据流通交易管理办法（试行）》建议基于数据安全能力等指标遴选适格数据经纪人主体并对其施以年度注册登记与定期信息披露制度。美国《福蒙特州数据经纪人法案》禁止数据经纪人以不正当目的获取或使用个人数据并赋予数据主体退出权，《数据经纪人注册法案》禁止数据经纪人将数据用于“跟踪骚扰”“非法歧视”或“转卖给用于非法目的的第三方”等，但这些冠于数据经纪人之上的主体义务，仅是对个人信息保护规则的同义反复，并未凸显出数据经纪人之于数据价值生产链条中其他主体的特殊性。作为将社会性风险纳入考量的前沿尝试，欧盟《数据治理法案》要求“数据中介服务提供商向数据主体履行信义义务”，但该规定错误地预设了数据经纪人与数据主体之间垂直关系的存在。即便是确保自动化决策的过程透明与结果公正的法律要求，如我国《个人信息保护法》第24条，其规范客体仍然局限于使用个人信息的自动化决策，对非个人信息的自动化处理不具约束力。

归根结底，现行法主要关注垂直关系的损害，不关注水平关系的衍生损害。基于以下两方面原因，衍生损害具有事前、单独规制的必要。

其一，个人信息保护体系在垂直关系和水平关系脱耦的情境中降效失能明显。强化个体在垂直关系中的控制力，仅能够保护个人在该垂直关系所辖制的水平关系中身份建构的自主性和完整性，但无助于修正数据经纪所新设或扩展的水平关系中的权力（利）失衡。正因如此，“算法问责制”“通过设计保护隐私”“扩大侵权责任链条”等传统规制方式失去了用武之地。值得关注的动向是删除权的扩张，如美国《删除法案》规定了基于销售记录的链式删除义务。不过，暂且不论以所需规模建立环环相扣的删除机制是否在经济上可行，删除个人数据并不能阻碍数据处理者从其他人数据中获取有关数据主体人群层面的洞察。

其二，匿名化无力实现衍生损害的负面效果阻断。理论上，只要无法识别至自然人，数据处理的潜在风险与隐私侵害的不利影响便不会“落点”至具体个体。但是，水平关系基于人群共同特征催生行为洞察，个人仅因其群体归属就可能被精准地施以反作用，无需大费周章地先行识别其身份。况且，数据聚合还会使匿名化失效，个人信息的“场景依附性”蕴含重新识别的可能。或许是考虑到了这一点，我国《网络安全法》第42条与《个人信息保护法》第73条在文义上为匿名化规定了“不可复原”的标准。有学者进一步将“不可复原”解释为“复原的技术难度和时间成本远超一般主体所能接受的范围”，但这其实是以“不值得复原”的主观标准替代“不能复原”的客观标准，其合理性有待商榷。     

二、数据关系视角下衍生损害的治理逻辑

上文分析表明，现行法律体系因缺乏对水平关系的关注，无法应对数据经纪的衍生损害。真正留待法律回应的问题，并非数据主体在垂直关系中的个人信息权益未得到充分尊重，而是其在数据经纪扩展或创设的水平关系中的自主性阙如。鉴于垂直关系与水平关系的分离，水平关系中的自主性阙如无法通过常规手段修复；衍生损害的应对重点在于对水平关系的把控，即通过必要的制度构建，确保并维持水平关系的公平构建——这将使法律的完善重心从构建追责机制、强化垂直关系以及新增主体义务，转变为对数据经纪所形塑的水平关系的治理。

（一）水平关系治理的核心是抽象风险损害化

虽无旗帜鲜明的昭示，但“抽象风险损害化”已经成为大数据时代侵权责任体系的重要演进趋势。传统侵权责任以主观过错为构成要件，但数据经纪原本是中立的，甚至还裨益数据流通复用，将衍生损害界定为特殊侵权以适用无过错责任有矫枉过正之嫌。但若不采用特殊侵权进路，具有延迟发生等特性的衍生损害又无法被数据主体先验地证明。我国《民法典》及相关法律法规至今未正面界定何为“损害”，在酌定损害时，差额说为通说，损害大小等于侵权行为未发生情况下理应享有利益状态与侵权行为发生情况下实际享有利益状态间的差额。差额说下，“确定性”是损害认定的核心标准，触发侵权责任的损害局限于财产上的不利益（损失）与人身上的不利益（伤害）。与之相对应的是，抽象风险损害化“主张将尚未构成危险和损害的抽象风险视为损害，允许遭受非法处理的个人基于抽象风险向处理者主张损害赔偿责任”，这就解决了传统侵权责任在应对衍生损害时损害范围过于僵化的问题。诚然，隐私权侵害并不必然要求受害人证明损害实际发生，如非法跟踪、非法窥探，只要有确凿证据表明行为人实施了前述行为，且无法定免责事由，行为人即应承担责任；但衍生损害的隐蔽性极强，且尚不存在已类型化的负面数据经纪行为。抽象风险损害化的本质是对损害认定范围的大幅扩张，即将“风险社会”意义上尚未发生的危险与无形风险均等质化为能被当下侵权责任覆盖的实质性损害。在数据行业，抽象风险损害化的法律实践已有迹可循。例如，欧盟《通用数据保护条例》“鉴于”部分第146段明确允许“损害根据欧盟法院的判例法作扩大解释”。我国学界已意识到大数据时代背景下对个人信息无形损害实行损害推定的必要性，主张对损害“确定性”标准作灵活解释，改良传统侵权责任规则以充分应对“下游损害”与“数据信息损害”的呼声也日益强烈。

通过将数据经纪引发的风险增量等质化为实质性损害，抽象风险损害化抓住了衍生损害治理的核心关切，即将水平关系扩张所引发的未来风险纳入当下的注意义务范畴，从而倒逼数据经纪各参与方归位尽责。相较于数据主体，数据经纪人理应承担更高风险规避义务。其一，数据经纪活动是产生衍生损害的根源，若无数据经纪活动，数据个体也不会身处衍生损害的威胁之中。其二，数据交易所以及各数据交易环节的主导方均从数据交易中获益，但此种利益并不与为此利益贡献边际价值的数据主体雨露均沾。其三，数据经纪人和数据交易所处于更具专业能力控制风险的地位，且可通过提升交易价格、购买保险等方式分散索赔风险。相较之下，数据主体因为垂直关系与水平关系的剥离处于绝对信息弱势地位，若不适度强化数据经纪人对于未来潜在风险的当前责任，无异于任凭数据经纪人在内化数据交易经济收益的同时，将潜在负外部性不合比例地转嫁给毫不知情的数据主体。

不过，抽象风险损害化方案毕竟突破了传统侵权责任所坚守的损害须现实发生的底线，且使侵权责任的损害填补功能居于违法威慑和风险预防功能之后，会模糊预防型侵权责任与损害赔偿责任的分工体系。有鉴于此，对数据经纪的衍生损害适用抽象风险损害化，需同时克制可等质化风险范围的过度扩张，仅允许将实质性的未来风险等质化为应事前阻却的实质性损害，并排除主观臆测、过于遥远的风险类型。至此，衍生损害应对的核心难点就又转化为，应依循何种标准，判断水平关系的扩张是否会带来实质性损害？判例法对此的教义是，拟“损害化”的风险要么是“确定迫近（certainly impending）”的，要么具有“特别针对性（particularly targeting）”。其中，“确定迫近”标准要求潜在风险必须是即将来临的且现实存在的，而非推测性或假设性的想象风险；“特别针对”标准强调损害必须具有个人特质与独特性，原告不能仅主张一项普遍适用于公众的法定权利被违反，而必须证明该违法行为以一种“具体且现实”的方式单独伤害了他本人，即损害在事实层面“特别地针对”原告个人，而非集体性地、无差别地影响所有人。折射至数据经纪，衍生风险的实定化也应将抽象风险锚定于可被司法识别的“潜在伤害”，核心在于论证该风险已超越推测性，表现为可验证的、针对原告个人的现实威胁，并证明数据经纪与此威胁之间存在可追溯的直接因果链条，而非仅停留在普遍性的隐私担忧层面。

当前，能够承载抽象风险损害化的事前制度设计有二，其一是起源于欧盟的数据保护影响评估，其二是美国的公平数据经纪实践，但两条路径共同面临数据整合分析的框架缺失问题，在客观上限制了规制效果的发挥。以下分述之。

（二）数据保护影响评估需映射水平数据关系

数据保护影响评估缘起于欧盟《通用数据保护条例》第35条，数据控制者应就“使用新技术”或“可能对自然人的权利和自由造成高风险”的数据处理活动在事前展开风险评估。根据欧盟《数据保护影响评估及高风险行为指南》，“匹配或组合数据集”属于“高风险行为”，数据经纪因此被纳入数据保护影响评估的范围。在欧盟《通用数据保护条例》影响下，我国学界也呼吁应对数据经纪“整体性系统安全、数据交易流转全流程安全等风险控制方面进行评估”。为此，《个人信息保护法》第55、56条详细规定了应进行“个人信息保护影响评估”的五种情形与三项内容。但是，《个人信息保护法》中的“个人信息保护影响评估”仅着眼于“个人信息”，无法将涉及非个人信息处理的“高风险数据处理活动”囊括在内。问题的根本症结在于，作为数据保护影响评估必经程序的“数据映射分析”未能给予水平关系风险足够的重视。

“数据映射”一词最早被作为解决异构数据互联问题的核心概念被提出，意指将不同数据源中的数据结构、字段或格式进行对应与转换，以实现系统间数据整合、交换或迁移的技术过程。然而，现行法中的“数据映射分析”被简单地理解为对数据流转的过程记录，完全忽略了对数据整合的后果分析。根据国标《信息安全技术 个人信息安全影响评估指南》（GB/T39335）第5.3节，数据映射分析被界定为调研“个人信息处理过程”之后“形成清晰的数据清单及数据映射图表”，与之对应的C.1表格仅要求记录数据处理流程中的经手主体。域外法中，数据映射同样被简化为对于数据处理的全周期记录，如欧盟《通用数据保护条例》第30条要求数据处理者创建并维护数据处理活动的记录，美国加州《消费者隐私法案》第1798条要求组织具备披露过去一年内收集、出售或共享的所有数据的能力。从这些规定可以看出，数据映射分析重点关注数据处理流程中的各主体是否采取了防范个人信息泄露的安全保护措施，其实是以信息安全替代隐私保护，采取的还是以垂直关系调控水平关系的个人信息保护逻辑。

在数据经纪语境中，通过数据保护影响评估补足隐私保护的关键在于将水平关系纳入数据映射分析。若非如此，数据映射分析只能作为洞悉数据处理流程的工具，狭隘地服务于垂直关系的保护。但是，正如上文所指出的那样，数据经纪解耦了垂直关系与水平关系的关联，强化垂直保护并不足以防范水平关系对个人隐私的过度挖掘。在数据经纪的作用下，隐私保护的机制性条件“只能存在于社会层面”，群体隐私反客为主成为个人隐私的前提条件。基于该认知，揭示群体特征的水平关系，恰恰应成为数据保护影响评估的关注重点。对此，数据映射分析在记录数据流转过程的同时，需同等关注作为映射结果的“数据整合”，并评估其可能“对自然人的权利和自由造成的高风险”。易言之，数据映射分析不应止步于梳理处理活动涉及的数据情况及其流转动线，而应在梳理之上就数据整合所导致的“风险增量”作出预判，如此，数据保护影响评估才能具备检视水平关系风险的抓手。为在该阶段尽可能阻绝衍生损害，有必要在数据映射分析环节补足针对数据整合的负面影响评估框架（以下称数据整合分析框架），科学研判数据经纪的连锁效应。

（三）公平数据经纪实践需完善损害量化指标

公平数据经纪实践可追溯至美国联邦贸易委员会在数据经纪领域的“公平与反欺诈执法”。美国《联邦贸易委员会法案》第5节授予联邦贸易委员会就“不公平或欺诈性商业实践”向法院申请禁止令的权利。自2024年1月以来，美国联邦贸易委员会已先后对多个数据经纪人提起行政诉讼，有效遏阻了多起可能侵害数据主体权益的数据经纪行为。不过，公平数据经纪实践能否有效应对数据经纪的衍生损害，尚有待观察。

根据条款表述，美国联邦贸易委员会能够禁止的数据经纪行为，主要是“不公平”与“欺诈性”的数据经纪行为。法条用语固然抽象，但法院对系争商事行为合法性的判断，并非基于自由裁量权，而是严格遵循实践确立的三级测试标准，现围绕既有标准与衍生损害的适配性展开分析：（1）商业行为应对个体造成实质性损害。根据美国联邦贸易委员会官方解释，仅“微不足道或推测性损害”才能被排除于实质性损害之外。以此为标准，情感困扰、精神痛苦、尊严受损等无形损害只要达到大多数理性人认为是伤害的程度，也可视为实质性损害。但是，衍生损害在形式上更为隐秘且效果上难言直接，无论是隐私侵蚀抑或下游损害，若非引发极端恶劣的社会影响，均很难被确凿无疑地归入实质性损害范畴。（2）个体无法合理避免实质性损害。对于该要件的判定，法院着重关注系争商事行为是否会“干扰消费者有效做出知情决定的能力”。数据经纪阻断了垂直关系对水平关系构建的束缚，个体甚至无从得知其数据被反复交易、流转的事实，遑论具备提前避免潜在损害的能力，故该要件自然证立。（3）个体所获利益无法抵消实质性损害。该测试重点关注实质性损害的负面影响能否被正向收益所弥补。通常而言，数据经纪人不与数据主体分享财产性收益。即便个体因数据集拓展获得更精确算法结果，但更精确结果往往意味着更强算法控制，而非赋予数据主体更多权利或自由。况且，个人还可能因数据流转被强行置入并非主动选择的水平关系之中，与日俱增的潜在风险无法被任何即时好处所抵消。

上述分析表明，数据经纪的衍生损害能够满足三级测试中“个体无法合理避免实质性损害”与“个体所获利益无法抵消实质性损害”两项要件，但“商业行为是否对个体造成实质性损害”并非不言自明。实质性损害的判定在三级测试中居于首要地位，如果潜在损害不满足实质性要件，个体能否合理避免损害以及收益能否抵消损失都无意义。对此，破题的关键，仍然在于建立数据整合分析框架，深入数据经纪导致的水平关系变迁，借此回推衍生损害的盖然性及其是否满足实质性损害标准。区别于数据处理的直接损害，数据经纪的衍生损害并不以在先违法行为为前提，对其评价本应超越行为本身的合法性评价。为将衍生损害纳入公平数据经纪实践的“射程”，同样应补足确定损害实质性的数据整合分析框架。     

三、数据整合分析框架的补全与本土适用

数据保护影响评估与公平数据经纪实践共同面临“数据整合分析框架”的缺失。数据整合分析框架聚焦数据经纪对水平关系的扰动，只有补全数据整合分析框架，才能分别激活二者对于衍生损害的规制效能。在衍生损害已事实发生的情景中，数据整合分析框架还有助于廓清数据经纪与主侵权行为间的原因力大小，进而科学划定责任分配。

（一）数据整合分析框架的制度基础

数据的“物理可特定性”为数据整合分析框架提供了“可描述”的法律基础。诚然，数据因变动不居难以成为边界清晰的权利客体，但这并不妨碍“企业通过数据的来源、数量、内容和类型等标准描述数据集合状态”实现数据的物理可特定性。即便是在开放API接口等数据实时增长变化的数据交易中，数据范围也可通过“地址+计量单位/内容类型”等方式精准划定。

为使数据整合分析框架能更好激活数据保护影响评估以及公平数据经纪实践对衍生损害的阻遏功能，数据整合分析框架的构建应遵循以下逻辑：（1）对象确定维度，数据整合分析框架应聚焦数据经纪对水平关系的扰动，亦即，将数据经纪还原至整体的市场条件下加以评估。具体而言，就数据经纪对既有水平关系的强化，应综合检视拟交易数据集与当前数据处理活动的化合效果；就数据经纪可能催生的全新水平关系，需从全局视角结合其他数据经纪行为进行潜在风险判断。（2）判断标准维度，数据整合分析框架需在潜在受害者数量、损害概率与损害程度中取得平衡。是否构成“实质性损害”，始终是衍生损害能否被纳入法治轨道的堵点、卡点。对此，可在学理上参照Lab-MD, Inc. v. FTC案。在该案中，美国十一巡回法院构建了兼顾“损害概率”与“损害程度”的判定框架，将“较低概率的重大损害”和“较高概率的轻微损害”均作为数据经纪可能产生“实质性损害”的判断标准。但就衍生损害而言，由于人群层面的共同特征是水平关系赖以发生作用的关键，有必要将潜在受害者数量也纳入“实质性损害”的判断公式，亦即，根据“潜在受害者数量×损害概率×损害程度”综合判断衍生损害的“实质性”程度。（3）实施理念维度，数据整合分析框架是敏捷治理思维下的产物，区别于“一刀切”式的刚性标准。敏捷治理是以灵活迭代和持续反馈为核心，通过多元主体协同共治进而平衡技术创新与风险管控的治理模式。“数据经纪作为一个新兴事物，具有创新的不确定性，对其监管也存在不确定性，非常适用具有弹性、灵活性、协调性的敏捷治理方式”。就衍生损害而言，不同水平关系构建会对个体产生差别迥异的效果，敏捷治理所强调的事前响应与逐案研判为此类风险的治理提供了具体指引。

（二）数据整合分析框架的具体规则

虽均围绕水平关系展开，但数据保护影响评估与公平数据经纪实践适用的数据整合分析框架具有截然不同的侧重点，应根据两类方案的不同特点分别构建具有可操作性的数据整合分析框架。

1.适配数据影响保护评估的分析框架

数据影响保护评估属于“受强制的自我规制”。数据经纪人本就是“以数据处理行家里手的身份”实现数据整合，数据经纪人比监管者或对手方都更了解拟交易的数据集。有鉴于此，数据整合分析框架应落点于数据集本身的各类属性，协助数据经纪人更好披露与数据集相关的风险信息，以便其更好履行风险规避义务。数据影响保护评估中的数据整合分析框架包括四方面内容：（1）匿名化水准。数据集被去匿名化，会使隐私侵蚀更加精准地降临于特定主体，产生具有“特别针对”效果的衍生损害。数据整合分析框架应重点围绕数据整合可能导致的去匿名化风险展开分析。对此，可参照2025年3月英国信息专员办公室发布的《匿名化指南》，着重关注数据“可关联性”导致的去匿名化风险，引入“有动机的闯入者测试”对匿名化进行影响评估。该测试要求数据控制者假设攻击者可能采用的所有非极端的合理手段，主动验证数据与其他数据的结合是否会导致匿名化失效，由此检验技术防护措施强度是否合理。该指南指出，在数据整合背景下，传统依赖删除或模糊化数据值的掩码方法，无法单独实现有效匿名化，必须结合泛化与随机化技术予以强化。其中，泛化指将具体信息转化为更广泛类别的模糊化手段，如将具体年龄45岁转化为年龄段（40-50岁）以增加共享数据特征的人群基数，在维持数据整体统计效用的同时降低个体可识别性。随机化指通过噪声注入、差分隐私、置换处理等方法削弱数据与个体的关联，如在体重数据中实施±5kg随机波动处理，既不破坏数据集的整体分布特征又能防止精准回推识别。（2）敏感度。对数据敏感度的数据整合分析框架意在判断数据集与哪些类型数据整合会导致不公平的算法结果。数据整合分析框架应重点审视数据集所承载的、与特定数据相结合可能影响的附属于特定主体的人格利益。（3）数据集体量。对数据集体量可作四方面观察：其一是所含数据主体的数量。数据主体数量越大，潜在受不公平水平关系波及的人群面就越广。其二是属性类别数量。数据集所包含的属性类别越多，数据集与其他数据整合后可用于去匿名化的标识符就越多，构造敏感水平关系的结点也越多。其三是数据集时间跨度。时间跨度越长，可揭示的特定人群洞察就越精确，所构建水平关系的追踪性、对个人可能产生的影响力均更强。其四是数据集可迁移作用于具有相似特征群体的数量。对于所含数据主体数量不多的数据集，如果其所揭示的共同特征的群体非小众群体，则同样可能产生较大的衍生损害。（4）推论数据占比。总体而言，推论数据可能负载当前水平关系的主观前见，比原始数据更有可能产生“确定迫近”的衍生损害。《中国人民银行业务领域数据安全管理办法》第18条专门对基于推论数据的自动化决策行为施加了更高的信息披露义务。将上述因素逐一对应至判断衍生损害实质性程度的“潜在受害者数量×损害概率×损害程度”公式，数据集所含数据主体的数量决定“潜在受害者数量”，匿名化水准、敏感度、推论数据占比决定“损害程度”，数据内嵌属性的数量与时间跨度既可能影响“损害概率”，也可能影响“损害程度”。

2.适配公平数据经纪实践的分析框架

公平数据经纪实践属于公法主体的事前或事中介入式监管，在我国可充当监管者的主体包括但不限于地方网信办、数据局与数据交易所等。监管者比数据经纪人更全面掌握数据交易的市场行情，因此，数据整合分析框架应落点于拟交易数据集与市面上流通的其他数据集以及买受人的自有数据集之间的水平关系，根据衍生损害的“实质性程度”对数据经纪合法性作出预判。公平数据经纪实践中的数据整合分析框架应关注可能合并的数据集之间的四方面内容：（1）数据主体重合度。主体重合度越高，去匿名化可能性越大，对特定主体默会知识的洞察也会越彻底，也就越可能产生“特别针对性”的衍生损害。鉴于数据集可能进行了匿名化处理，对于难以直接识别主体重叠度的数据集，可通过考证数据来源推断数据主体的重合程度。例如，当数据集来自同一地理区域或从同一数据收集源头获得时，可推断数据主体重叠的可能性较高。（2）数据集内嵌属性的重合度。当不同数据集出售涵盖相同类别属性的数据时，可用于交叉比对的标识符就越多，数据集被去匿名化的风险也就越“确定迫近”。此外，高属性重叠度还有助于精确化数据处理者对数据主体的用户侧写，将其固化至更精准的人群类别。（3）原初处理目的重合度。上文指出，个人信息保护规则通过数据处理的“目的限定”框定信息收集“范围”。就可能的数据整合而言，目的重合度高，意味着信息收集范围的趋同，相同或类似目的的数据集整合必然加剧去匿名化风险；目的重合度低，意味着在事实上扩大了针对特定主体的信息收集范围，增加了构建水平关系的连接结点，同样会加剧风险。（4）时间重合度。时间重合度也应作两方面考量，时间重合度高会使数据更容易识别至个人，因为人之内在属性始终不会变化，如肤色、种族、成年后的身高等；时间重合度低可能导致不准确的水平关系洞察，因为人之外在属性可能因时而变，如病状、习惯、理念等。有鉴于此，需在厘清时间重合度的基础上，结合数据集中内嵌的具体属性类别，判断时间重合度可能产生的切实影响。上述考量因素均主要对衍生损害的“损害概率”和“损害程度”产生影响，监管者同时还应结合数据经纪人有关“数据集体量”等相关信息的披露，合理判定潜在的受害者数量。

3.数据整合分析框架的风险评价方法

数据整合分析框架填补了数据经纪衍生损害实质性判断的标准缺失，能够激活数据保护影响评估与公平数据经纪实践对于衍生损害的规制效能。在数据保护影响评估中，数据经纪人应根据数据整合分析框架的结果，对受害者数量、损害概率、损害程度的“三高”数据集不予流通，对“双高”数据集进行适切性整改或在必要时征求上级主管部门或网信部门的同意，对“单高”数据集进行更严格目的限制或强化相关风险的信息披露。在公平数据经纪实践的语境下，监管者应结合数据接收方的性质与使用目的展开数据整合分析，暂缓或停止“三高”数据交易，要求“双高”数据交易通过隐私计算框架进行或在合规整改后进行，并保持对“单高”数据交易后续数据处理目的的密切关注。对于通过公平数据经纪审查的数据交易，监管者也应确保交易双方就数据权限控制、二次销售禁止等事项作出安排。

现就上述框架如何作用于具体的数据经纪行为作如下展示。以笔者兼任数据合规委员会成员的深圳数据交易所为例，2025年5月19日，该所上架了经匿名化处理的深圳市妇幼保健院2018年至2023年确诊的妊娠期高血压孕产妇数据集。深圳市妇幼保健院作为销售数据包的提供方，可将以下数据整合分析嵌入前置的数据影响保护评估：（1）匿名化水准方面，该数据集采用了数据概括或数据扰动等“泛化”方法进行匿名化处理，匿名化水准较高。（2）敏感度方面，虽然妊娠期高血压孕产妇的医疗就诊数据本身属于敏感数据，但在该数据集的上架时点，数据集中的数据主体身份显然已不再是孕妇，且妊娠期高血压病症通常在分娩后自动消失，故匿名化后此类数据的敏感度已大幅降低。不过，妊娠期高血压也可能造成其他并发症，若被置于商业保险测算的水平关系中，可能使具有相同特征的孕妇被拒保或提高保费，应认定为可造成特定衍生损害的高敏感数据。对此，深圳市妇幼保健院主动对数据集用途作出限制，禁止该数据集被用于开发和验证妊娠期高血压相关的任何人工智能算法，从源头阻绝了高度敏感性质的水平关系构造，此举将损害概率和损害程度都限制在较低水平。（3）数据集体量方面，该数据集时间跨度为5年，而深圳市妇幼保健院又是“集保健、预防、医疗、教学、科研为一体的国内知名三级甲等妇幼保健院”，可推知数据集体量较大。此外，该数据集可迁移作用的群体“中高风险产妇”基数本身也较大。（4）推论数据占比方面，该数据集不包含推论数据。综上，该数据集属于潜在受害者数量较多、但损害概率与损害程度双低的“两低一高”的低风险数据集，且卖方已就用途作出了明确限制，无需额外审查。深圳数据交易所作为自律监管者，可将以下数据整合分析嵌入公平数据经纪实践：（1）数据主体重合度方面，该数据集覆盖地域为深圳市全域，交易所需重点审核同地域相似数据集的合并交易。（2）数据集内嵌属性方面，该数据集属性聚焦病情本身，但虑及该类数据对相关群体及其他并发症的揭示可能，交易所需关注可能激活数据集商业属性的数据集交易，如禁止已购买智能商保数据集的数据处理者再行购买该数据集。（3）原初处理目的重合度方面，数据经纪人已将处理目的限定于教学、科研以及较窄商业目的，交易所仅需排查可能激发不合理商用目的的数据交易。（4）时间重合度方面，该数据集的覆盖周期为2018年1月1日至2023年12月31日，交易所需分别关注同时期交易的其他数据集是否存在主体重合度的情况，以及非同时期上架的数据集是否存在内在属性重合的情况。

（三）基于分析框架的共同责任划分

从侵权责任视角来看，无过错责任会使数据经纪人动辄得咎，而数据整合分析框架为过错推定责任（数据经纪人自证无过错）与过错责任（受害人证明相关主体有过错）的适用提供了锚点。衍生损害以人格权损害为主，既可能侵害名誉权、荣誉权、隐私权等具体人格权利，也可能侵害《民法典》第990条第2款所称“自然人享有基于人身自由、人格尊严产生的其他人格权益”。根据《民法典》第998条，对于生命权、身体权和健康权之外的人格权侵害，在判定行为人责任时应“考虑行为人和受害人的职业、影响范围、过错程度，以及行为的目的、方式、后果等因素”。实践中，我国法院主要通过“司法推定”践行该规定，如在庞某与北京趣拿信息技术有限公司等隐私权纠纷案中，原告通过“去哪儿”APP订购机票，却于两日后收到诈骗短信。一审法院以原告无法证明被告存在过错驳回起诉，二审法院则运用经验法则与逻辑推理，通过司法推定解决了多环节信息传递中因果关系的证明困境，避免了因原告客观举证不能所导致的权利保护落空。“司法推定”采用“高度盖然性”的因果关系标准，针对举证更加困难的衍生损害，数据整合分析框架为“司法推定”提供了更加科学的参照准据：（1）对数据经纪人的责任判定，可考察其是否将数据集的潜在受害者数量、损害概率、损害程度控制在不超过“单高”的水准，或未对“双高”“三高”数据集履行合理的风险规避义务；（2）对交易所或监管责任人的责任判定，可考察其是否因疏忽放行了潜在受害者数量、损害概率、损害程度超过“单高”的数据交易，或未对“双高”“三高”数据交易采取特别措施；（3）对场外交易买受人的责任判定，可考察其是否对于高风险数据交易“明知而决行”。通过上述逐级审查，法院得以细致界定衍生损害是否、以及在多大程度上可归咎于数据经纪链条上的各个主体，而非仅就超过一定程度的损害依“损害近因”追究责任。就此而论，数据整合分析框架对于“司法推定”的补强，也为《民法典》第1170条“共同危险行为”的适用提供了参照系。在数据经纪诱发实质性损害的场景中，“相关侵权后果的产生是多主体、多因素共同作用的结果”，如因“第三人介入行为”导致下游损害或因“不当数据处理”引发数据信息损害时，主侵权行为与经纪行为可透过数据整合分析框纳入“共同危险行为”予以评价：（1）对于“三高”数据经纪行为，无论后手行为人是否履行安全保障义务，衍生损害实际上均难以避免，数据经纪人应就侵权行为承担主要责任，后手行为人是否“承担连带责任”取决于是否存在侵权的主观故意；（2）对于“双高”或“单高”数据经纪行为，数据经纪人均应同后手行为人承担连带责任；（3）对于“三低”数据经纪行为，数据经纪人不就后续损害承担责任。

结语

《中共中央关于制定国民经济和社会发展第十五个五年规划的建议》要求继续“深化数据资源开发利用”“建设开放共享安全的全国一体化数据市场”，而规范、专业、活跃的数据经纪行业，无疑是激活数据要素潜能、链接数据资源与应用场景、支撑全国一体化数据要素市场建设的关键一环。通过数据整合分析框架的桥接，数据保护影响评估和公平数据经纪实践可有效防范衍生损害侵蚀数据流通复用的社会价值增益，使数据经纪活动回归“社会最佳活动水平”，进而为数字经济发展注入动能。

作者：唐林垚，中国社会科学院法学研究所副研究员、中国社会科学院大学副教授。

来源：《法学家》2026年第2期。