2、数据共享核心概念:数据提供方、数据使用方、数据中介、数据主体

好,咱们直接进入正题。数据共享这事儿,说白了就是几方角色之间怎么把数据「借」出去、「用」起来。我这些年做合规项目,见过太多因为角色没分清就翻车的案例。你想想看,连谁该干什么都没搞清楚,合规从何谈起?

这一节,咱们把四个核心角色掰开揉碎讲清楚。分别是:数据提供方数据使用方数据中介,还有数据主体

核心观点:数据共享不是「数据搬家」,而是「权利流转」。每个角色都有自己的权利边界和合规义务。搞混了,轻则整改,重则罚款。

数据主体 数据提供方 数据中介 数据使用方 授权/同意 知情/同意 数据流转 分发/共享 数据共享四角色关系图 数据主体授权 → 提供方收集 → 中介流转 → 使用方应用 数据主体 数据提供方 数据中介 数据使用方

2.1 数据提供方:数据的「房东」

数据提供方,就是那个手里握着数据的人。他可能是收集了用户信息的平台,也可能是自己产生了业务数据的公司。嗯,这里要注意:提供方不一定是数据的「主人」,但一定是数据的「合法控制者」。

我遇到过一家做智能硬件的公司,他们收集了大量用户的健康数据。老板觉得「数据是我收集的,我想卖给谁就卖给谁」。结果呢?被监管部门约谈了好几次。为什么?因为数据提供方有三大义务:

  • 合法性义务:你得证明数据来源是合法的。不是你说「我收集了」就完事了,得有用户授权记录。
  • 安全性义务:数据在你这儿的时候,不能泄露。我见过一个案子,提供方把数据打包发给中介,结果压缩包没加密,半路被截了。惨。
  • 可追溯义务:数据给了谁、什么时候给的、给了多少,都得有日志。别到时候出了事,一问三不知。

我的经验:做数据提供方,最怕的就是「我以为」。我以为用户同意了,我以为数据脱敏了,我以为对方靠谱了。别「以为」,白纸黑字写清楚。

2.2 数据使用方:数据的「租客」

数据使用方,就是那个需要数据来干活的人。可能是做分析的、做推荐的、做风控的。说白了,他们不生产数据,只是数据的「搬运工」——不对,是「使用者」。

使用方最容易踩的坑是什么?我告诉你,是「超范围使用」。你申请数据的时候说「用于用户画像」,结果拿去做精准营销。这就不行。数据提供方给你的授权,是有「使用目的」限制的。

我记得有个电商平台的案例。他们从第三方拿到了用户的浏览数据,合同里写的是「用于商品推荐」。结果他们拿去做用户信用评分,直接违反了数据共享协议。最后被罚了上千万。

使用方必须做到:

  1. 按约定使用:合同怎么写,你就怎么用。别自作主张。
  2. 最小化原则:够用就行,别贪多。你申请100个字段,实际只用10个,那90个就是风险。
  3. 及时销毁:用完了就删。别留着过年。

警告:数据使用方如果转授权给第三方,必须经过提供方和主体的双重同意。别想着「我朋友也想用,我顺手给他一份」。这是大忌。

2.3 数据中介:数据的「中间人」

数据中介这个角色,很多人容易忽略。但说实话,在《数据法案》里,中介的责任一点都不比提供方轻。

中介是干嘛的?就是帮提供方找使用方,或者帮使用方找数据源。他们自己不拥有数据,也不使用数据,就是「牵线搭桥」。但问题来了——数据经过他们的手,安全怎么保障?

我参与过一个数据交易平台的项目。平台方觉得自己只是「技术提供方」,数据出了问题跟自己没关系。但监管一查,平台没有做数据来源审核,没有做使用方资质验证,直接罚了。为什么?因为中介有「审核义务」。

中介的核心职责:

  • 审核义务:你得确认提供方有合法来源,使用方有合法用途。不能谁来了都接。
  • 记录义务:每一次数据流转,谁给的、谁拿的、什么时候、什么目的,全部记录在案。至少保存3年。
  • 安全保障:数据在中介手里的时候,必须加密存储、加密传输。别图省事用明文。

关键点:中介不是「甩手掌柜」。你收了服务费,就得担起责任。我见过最离谱的案例,中介连数据提供方的营业执照都没看,就把数据挂上平台了。这不是合规漏洞,这是合规黑洞。

2.4 数据主体:数据的「主人」

最后,也是最重要的——数据主体。说白了,就是那个被收集数据的人。你、我、他,都是数据主体。

很多人觉得数据主体就是「被动接受者」,其实不是。数据主体有很强的权利。我经常跟客户说:数据主体不是「数据原料」,而是「数据股东」。他们有知情权、同意权、撤回权、删除权。

举个例子。你注册了一个APP,它收集了你的位置信息。后来你不想让它收集了,你可以撤回同意。这时候,APP必须停止收集,并且通知所有数据共享方删除你的数据。这就是数据主体的「撤回权」。

数据主体的核心权利:

权利 说明 常见场景
知情权 知道谁收集了我的数据、用来干什么 隐私政策弹窗
同意权 明确同意后才能收集和使用 勾选「我已阅读并同意」
撤回权 随时可以撤回之前的同意 设置里关闭权限
删除权 要求彻底删除自己的数据 注销账号
可携带权 把自己的数据从一个平台转到另一个平台 导出数据再导入

我的建议:做数据共享方案的时候,一定要把数据主体的权利响应机制设计好。别等到用户投诉了才想起来「哦,我们还没做撤回功能」。我见过一家公司,被用户投诉到监管部门,就是因为用户想撤回同意,但APP里根本没有这个选项。

2.5 四个角色的关系:不是线性的,是网状的

很多人以为数据共享就是「提供方→中介→使用方→主体」这样一条线。其实不是。四个角色之间是互相影响的。

举个例子。数据主体可以绕过中介,直接找提供方要数据。使用方也可以直接跟主体沟通,获取授权。中介只是「可选角色」,不是「必经之路」。

但不管怎么绕,有一条红线不能碰:数据主体的权利不能被架空。你不能说「我把数据给了中介,主体找中介去,别找我」。提供方和中介都有义务响应主体的请求。

我做过一个跨境数据共享的项目。提供方在中国,使用方在欧洲,中介在新加坡。主体是中国人。你想想看,主体要撤回同意,该找谁?答案是:找提供方。提供方再通知中介,中介再通知使用方。链条不能断。

总结一下:数据提供方是「守门人」,数据使用方是「受益者」,数据中介是「桥梁」,数据主体是「源头」。谁都不能缺位,谁都不能越位。

好了,这一节的核心概念就讲到这里。记住这四个角色,后面的规则解析都离不开它们。下一节咱们聊具体的共享规则,到时候会反复用到这些概念。


公众号:蓝海资料掘金营,微信deep3321