运营商数据挖矿背后：暗箱操作和“擦边”交易

在“谁监(jiān)控了我(wǒ)的手机”的隐私焦(jiāo)虑中，有一道身影较少出现在大众猜疑链里：运营商。

负(fù)责移动大数据产品的内部人士，早在五年前写道：“原先运营商还在探索变现商业模(mó)式，现(xiàn)在应该没有什么秘(mì)密可言了，基(jī)本上找到了大(dà)数据变现的方向。”更(gèng)直观的一组数(shù)据是，上海数据交易所中，三大运营商的数据产品占比(bǐ)超20%；贵阳大数据交易所里，中国移动的“梧(wú)桐风(fēng)控大数据”产(chǎn)品以超2800次的(de)访问(wèn)量遥遥领先。

不过，21记(jì)者(zhě)点进各大运营商的产品列表，发现了不(bù)少让人颇为意外的交易。

比如中国(guó)移(yí)动的孕期家庭识(shí)别(bié)分，输入电话号码、姓名、身份证，可输出(chū)对应0～150分(fēn)值的(de)孕期家庭分数。

多位业内(nèi)人士(shì)表示，识别分是典型的数据交易方式，目的是提供群体筛选结果，无法推测出精确到个人的信息。但运营商内部(bù)的业务人员也向21记(jì)者透露，他们会约定每个手机号对应的“序列(liè)号”，这样不需要明(míng)文传输手机号，也能精准交换个人信息。

在《个(gè)人信息保护法(fǎ)》的规定之上，“标签识别分”等数据产品(pǐn)表面(miàn)看起来(lái)无害健康，但是水面之下，有不少暗箱操作：场(chǎng)外交易不“擦边”很难拿到销售业务，“匿名数据”成为皇帝的新衣，个(gè)人授权亦(yì)无从说起。

水面下的“取巧(qiǎo)”交(jiāo)易

上述记者在数据交易(yì)所看到的运营商数(shù)据(jù)产品，名义上(shàng)都落(luò)于风控领域。从业务层面理(lǐ)解，一般(bān)是A公司(sī)对B公司要求返回的用户群体进行(xíng)筛选。

一位负责政企业务的移动内部人士向21记者解释，这类数据产品的本质是标签筛选，交易大(dà)致有三步(bù)：首先，客户要根据自身(shēn)的业务场景制定一个筛选需求，比如需要筛(shāi)出有(yǒu)办卡意愿的用户，并(bìng)提供用户资(zī)料；随(suí)后，由运营商挑选可靠的数据指标，进(jìn)行算法或(huò)建模(mó)分析；最后，通过API接口的(de)方式返回用户筛选结果。

在多位业内人士看来，这种“标签识别分”是一种(zhǒng)典(diǎn)型的(de)交易方式，标准(zhǔn)化程(chéng)度高，适合场内交易(yì)。

“标(biāo)签(qiān)产品会选择选择上架大数据(jù)交易中心进行交易(yì)，一般会涉及设备ID、手机号等个人信息。”TalkingData总法律顾问兼数据合规官葛梦莹(yíng)向21记者解释(shì)，出于安全合规(guī)的考虑，实践(jiàn)中很多企业会在隐私计算平台中进行数据交互(h运营商数据挖矿背后：暗箱操作和“擦边”交易ù)处理，即双方均上传自己(jǐ)的加密数据包，做(zuò)到原(yuán)始数据不出域(yù)、数据可用而不可(kě)见。

专门开发风控系统的芯盾时代副总裁杜旭解释，之所以用这种方(fāng)式，是因为“识别(bié)分”或(huò)者“标签”是平台挖掘预测(cè)的主观结果，不具备客观(guān)性。此外，如果只看返回的频率或者统计字(zì)段，无法推(tuī)测出精确到个人的信息。

不过，水面之下的操作方式有很多。

“实际(jì)上也有一种交(jiāo)换数据(jù)的方式，那就是双方事先制定一本(běn)数据字(zì)典(diǎn)。”以杜旭的观察(chá)举例，在电商公司的数据交换中，双方可以约定模(mó)糊数值对应哪些(xiē)具体数(shù)据，比如识别分为0.8，对(duì)应(yīng)信息为月收入8000～10000元，方便还原更精确(què)的数据。

前述中国移动内部人士还(hái)透露了一种常用的“取巧(qiǎo)”方法：序(xù)列号。由于运营(yíng)商不能直接提供有具体手机号码的数据，对待小商客，业(yè)务人员往往(wǎng)只会提供群体级别的筛选结果；但遇到大型(xíng)政企客户，业务人员会对其提供的用(yòng)户手机号码逐一编号，并用光盘、U盘的(de)形式传送对应手机号的序(xù)列号。此时(shí)的群(qún)体筛选，摇身一变成了精(jīng)准查询。

该移动内部人士(shì)还(hái)提到(dào)，拿(ná)“幼儿(ér)家庭(tíng)识别分”来说，如果教育行(xíng)业的客户希望筛选(xuǎn)一批可能是幼儿(ér)家庭的手机(jī)号，他们也会组合营销短信、外呼电话的配(pèi)套产品一同销售(shòu)，可以把筛选人群(qún)理解为精准营销获客的一环。

从(cóng)程序(xù)上看，客(kè)户的需求是否(fǒu)合规(guī)合法，中国移动又能否满足客(kè)户需(xū)求，主要由公司内部的信息(xī)安全部把(bǎ)关。不过(guò)现实中，运营(yíng)商的一条明确红线是不(bù)能明文提供手机号(hào)、不能提供精确的行动轨迹，至于其他数据交易的颗粒度能有多细(xì)——“其实主要还(hái)是取决于客户大小和(hé)客情关系。”他坦言。

去(qù)标识化(huà)数据，仍属于个人信息

为什么要用上述(shù)方法“包(bāo)装(zhuāng)”数据，逻辑很简单：如果数据能精(jīng)确识别到(dào)个人，就落入(rù)了个人(rén)信息的范畴，需(xū)要单独(dú)取得用(yòng)户同意，除(chú)非数据已经匿(nì)名。

但要达到法律(lǜ)意义上(shàng)的“匿名(míng)”没(méi)有那么容易。

一位不愿具(jù)名的数据法(fǎ)学者解释，序列号的这种方式实际上是一种“去标识化”的技术，在不借(jiè)助额外(wài)信息(xī)的情(qíng)况下无法识别到个人(rén)，因技术(shù)上实现难度低(dī)，在企业(yè)实践中(zhōng)更为常见，可以理解为一(yī)种弱化版本(běn)的“匿名”。

根据我国《个人信息保护》要求，需要满足无(wú)法识(shí)别、不能复原两(liǎng)重标准，才属于匿名数据。观韬中茂律师(shī)事务所合伙人(rén)吴丹君向21记者指出，如果能通(tōng)过序列号重(zhòng)新对应个(gè)人(rén)手机号，仍然属于交易个(gè)人信息(xī)。

按(àn)照《个(gè)人信息(xī)保护法》规定，交易个(gè)人信息运营商数据挖矿背后：暗箱操作和“擦边”交易前(qián)应当向个人进行充分告(gào)知，包括交易方的名称、姓名、联系(xì)方(fāng)式、处理目的(de)和(hé)个人(rén)信息的种类，并且需要取得用户的单独同意才行。

运营商可能跟(gēn)哪些第(dì)三(sān)方交易数据，又是如(rú)何取得用户同意的？21记者翻阅了(le)三大运营商(shāng)的个人信息保护政(zhèng)策，几乎都采用的是一揽子(zi)授(shòu)权。

对(duì)于风(fēng)控查询，电(diàn)信和(hé)联通表示，只要用户合法授权(quán)了第三方公司来(lái)核(hé)验信(xìn)息，运营商(shāng)便可返回个人信息。第三方公(gōng)司的范(fàn)围(wéi)可以很广泛，在中国电信的条款里，“金融机构、征(zhēng)信机(jī)构、数(shù)据服务机构、互联网企(qǐ)业”都囊括其中。

而对于个性(xìng)化广告，移动、联通承(chéng)诺除非获得(dé)同意，否则不会跟第三方共享个人信息，但不(bù)包括用户画像。中国电信使用的是“脱敏信息”一词：“在收(shōu)集您的个人信息后(hòu)，我们将通过技术手段对数据进行去标识化(huà)脱敏处理。请(qǐng)您了解并(bìng)同意(yì)，在此情况下(xià)我(wǒ)们有权使(shǐ)用(yòng)已经脱敏的信息。”

对外经贸大学法学院教(jiào)授张欣此前告诉21记者，个人(rén)事先和(hé)运营(yíng)商签订的授权文件中的个人信息，和运营商真(zhēn)正(zhèng)调取的个人信息(xī)，二者之间存在信息差。用户未必能够(gòu)明白自己的数据用(yòng)于何处，并真正愿(yuàn)意授权。

拉扯(chě)中的(de)隐私保护与数据交易(yì)

对于数据交易(yì)双(shuāng)方，并非不愿意(yì)匿名(míng)处理(lǐ)，或者没有意识到有合规风险，难题有二：一方面，实践中的绝对匿名化难以达到。随(suí)着(zhe)大数据(jù)技术的不断(duàn)发展，匿名数据被重新组(zǔ)合、重新定位到个人(rén)的风险不断提高。

另一方面，多位采访对象(xiàng)都(dōu)提到了数据产品“大而无用”的流(liú)通困境。

前述内部人士透露，在交易过程中，客户往往需(xū)要一些非常精确的个人数据(jù)，而(ér)一线业务人员(yuán)背负逐年增长的考核指标，不“擦边”很难拿到销售业(yè)务，在市县级存在更多私下数(shù)据交易。有些情况下，甚至是公司层面的主动让步。

“三(sān)大运营商越来越卷，只要有一家打破了（隐私）底线，剩下两家就必须要打破底线，要不然(rán)项目不好做。”他无奈地解释(shì)。

根据2023年(nián)的财报数据，“通信服务”作为三大运营商的基石，增(zēng)长(zhǎng)速度已经基本持平，几乎可以一眼望见市场空(kōng)间的天花板。数据(jù)变现，既是借国家数据要素政策的东风(fēng)，也是(shì)运营商营收增长的必选项。

而作(zuò)为数据下游的风控系(xì)统应用方，杜旭解释，在风控产品的场景中，没有办法通过某一单一的数据判断出风(fēng)险行为，几(jǐ)乎都要引进第三方数据综合判断(duàn)。而“原则上说，这种识(shí)别分数据产品的辅助权(quán)重太小，不足(zú)以(yǐ)提供一个决策依据，很难为这种数据产品花钱。”

不愿具名(míng)的行业(yè)人士表示，监管(guǎn)落地时，最关注的是数据泄露风险，也就是(shì)传输过程中(zhōng)加密工作有没有到位。不过多位(wèi)代理数(shù)据合规业(yè)务(wù)的律师指出，如果进入了司法程序，法院会严(yán)格按照无法识别、不能复原的双重标准，审核数据交易的所有环(huán)节。

吴丹君感受到(dào)了其中两种利益的拉扯(chě)：如果对个人隐私和信息安全(quán)的规定过于严格(gé)，可能会限制数据的自由流通和应用，从而(ér)阻碍数据市场(chǎng)的(de)发展活力；相反，如果数据(jù)市场的发展缺乏必要的监(jiān)管，可能会(huì)导致个人(rén)隐私被忽视。

“长久以来，数据(jù)相关行业与隐(yǐn)私安全(quán)问题高度绑定，数据隐私保护(hù)和数据市(shì)场发(fā)展之间通常存在此消(xiāo)彼长的关系，监管会根据发展(zhǎn)需(xū)要，对隐(yǐn)私性和流通性做出一定取舍。”张欣也说(shuō)。

张欣(xīn)表示(shì)，我(wǒ)国目前是通过(guò)“数(shù)据二十条”、《个(gè)人信息(xī)保护法》《网络(luò)安(ān)全法》和《数据(jù)安全法》等政策法规设定边界(jiè)，引导市场试水。但张欣也坦率指出，目前这些基础性法律文件，都缺少对数据权属的明确界定。数据到底(dǐ)属于(yú)谁、能够享有怎样的(de)权利，还等待(dài)更明确的法律(lǜ)回应。

个人数据是(shì)数字社会的富矿，它是互(hù)联网经(jīng)济的起点，也是当下数据要素市场建设(shè)的关键。但当个人信息、行为数据化，数据商品(pǐn)化，我们难免产(chǎn)生(shēng)疑惑：我(wǒ)们(men)的(de)信息安全吗？个人该如何保障自(zì)己的自主权？近年来，我国数(shù)据安全政策法规和制度(dù)标准体系不断健全，《网络安全法》《数据安全(quán)法》《个人信(xìn)息保护法》相继实施，《关(guān)键信息基础设施安全保护条例》《网络安全审查办法》《云计算服务(wù)安(ān)全评(píng)估办(bàn)法(fǎ)》等出台。9月(yuè)9日(rì)至15日，2024年国家网络(luò)安(ān)全宣传周将开(kāi)启，南财合规科技研究(jiū)院将推出系列报道，探讨在数据流通、数据交易过程中，如(rú)何在挖掘数据(jù)价值的同时，保障个人信息(xī)安(ān)全、维护(hù)个人信息权利。

在“谁监控了(le)我(wǒ)的手机”的隐私焦虑中，有一道身影较(jiào)少出(chū)现在大众猜疑(yí)链里：运营商。

负责移动大数据产品的内部人(rén)士，早在五年前写道：“原先运(yùn)营商还在探索变现商业模式，现在应该没有什么秘密可言了，基本上找到了大数据变现的(de)方向(xiàng)。”更直观的(de)一组数据是，上海数据交(jiāo)易所中，三大运营商的数据产品占(zhàn)比超(chāo)20%；贵阳大数据交易所里，中(zhōng)国移动的“梧桐风控大数据”产品以超2800次的访问量遥遥领先。

不过(guò)，21记者点进各大运营商的产品(pǐn)列表，发现了不少让人颇为意外的交易(yì)。

比如中国移动的孕期家庭识别分，输(shū)入电话号码、姓名、身份证，可(kě)输出对应0～150分值(zhí)的孕期家(jiā)庭分数。

多位业内人(rén)士表示，识别分是典型的数据交易方式，目的是提供(gōng)群(qún)体筛选结果，无法推测出精确到个人(rén)的信息。但运营商内部的业务人员也向21记者透露，他(tā)们会约定(dìng)每个(gè)手机号对应的“序列号”，这(zhè)样不需要明文传输手机(jī)号(hào)，也(yě)能精准交换个人信息。

在《个人信息保护法》的规定之上(shàng)，“标签识别分”等数(shù)据产品表面(miàn)看起来无害健康，但是水面之(zhī)下，有不少暗箱(xiāng)操作：场外交(jiāo)易不(bù)“擦(cā)边”很难拿到销售业务，“匿名数(shù)据”成为皇帝的新衣，个人授权亦无从说起。

水面下(xià)的“取巧”交(jiāo)易

上述记者在数据交(jiāo)易所看到的运(yùn)营商数据产品(pǐn)，名义上都落于风控领域。从业务层面理解，一般是A公司对(duì)B公司要求返回的用户群体进(jìn)行筛选。

一位负责政(zhèng)企业务的移动内部人士向21记者(zhě)解释，这类数据产品的本质是标签筛选，交易大致有三步(bù)：首先，客(kè)户要根据自身的业务场景制定一个筛(shāi)选(xuǎn)需求，比如需要筛出有办卡意愿的用户，并提供用(yòng)户资料；随后，由运营(yíng)商(shāng)挑选可靠的(de)数据指标，进行算(suàn)法或建模分析；最后(hòu)，通过API接口的方式返回(huí)用户筛选结果。

在多位业(yè)内人士看来，这(zhè)种(zhǒng)“标签识别分”是一种典型的交易方式(shì)，标准化程(chéng)度高(gāo)，适合场(chǎng)内交易。

“标签产品会选择选择上架大数据交易中心进行交易，一般会(huì)涉及设备ID、手机(jī)号等个人信息。”TalkingData总(zǒng)法(fǎ)律顾问兼数据合规官葛梦莹(yíng)向21记者解(jiě)释，出于安全合规的考(kǎo)虑(lǜ)，实践中很多企业会在隐(yǐn)私计算平台中进(jìn)行数据交互处理，即双(shuāng)方均上传自己的加(jiā)密(mì)数(shù)据包，做到原始数据不出(chū)域、数据可(kě)用而(ér)不可见。

专门开发(fā)风控系(xì)统的芯盾(dùn)时代副总裁杜旭(xù)解释，之所(suǒ)以用这种方式，是因为(wèi)“识别分”或者“标签”是平台挖掘预测(cè)的主观结果，不具备客观性。此外，如果只看返回的频率或者统计字段，无法推测出精确到个人的信息(xī)。

不过，水(shuǐ)面之下的操作方式有很多。

“实际上也有一种交换数(shù)据的(de)方式(shì)，那就是(shì)双方事先制定一本数(shù)据字典。”以杜旭的观察(chá)举例，在电商公司的数据交换(huàn)中，双方可以约(yuē)定模糊数值对应(yīng)哪些具体数据，比如识别分为0.8，对应信息为月收入8000～10000元，方便(biàn)还原更精确的数据。

前述中国(guó)移动内部人士还透露了一种常用(yòng)的“取巧”方法：序列号。由于(yú)运(yùn)营商(shāng)不能直(zhí)接提供有具体手机号码的数据，对(duì)待小商客，业务人员(yuán)往往只(zhǐ)会提供群体级别的筛(shāi)选结果；但遇到大型政企客户，业务人员会(huì)对其提供的用户手机号码逐一编号，并用光盘、U盘(pán)的形式传送对应手机号的序列号。此时(shí)的(de)群体筛选，摇身一变成了精准查询。

该移动内部人士还提到(dào)，拿“幼(yòu)儿家庭识别分”来说(shuō)，如果教育行业的客户希(xī)望(wàng)筛(shāi)选一批可能是幼儿家庭的手机号(hào)，他们也会组合营销(xiāo)短(duǎn)信(xìn)、外呼电话(huà)的配套产品一(yī)同销售，可(kě)以把筛选人群理解(jiě)为精(jīng)准营销获客的一环。

从程(chéng)序上看，客户的需求是否合(hé)规合法，中国移动又能否满足客户需求，主要由公司内部的信息安全部把关。不过现实中，运营商的一条明确红线是不能明文提供(gōng)手机号、不能提供精确的行动轨(guǐ)迹，至(zhì)于其他数据交易的(de)颗粒度能有(yǒu)多细——“其实主要还是取决(jué)于客户大小和(hé)客(kè)情关系(xì)。”他坦言。

去标识化数据(jù)，仍属(shǔ)于个人信息

为什(shén)么要用上述方(fāng)法“包装”数(shù)据，逻(luó)辑很简单：如果数据能精确识别到个人，就落入了个人信息的(de)范畴，需要单独取得(dé)用户同(tóng)意，除非数据已经匿(nì)名。

但要达到法律(lǜ)意义上的(de)“匿名”没有那么容易。

一位不(bù)愿具名的(de)数据法学者解释，序列号的这种(zhǒng)方式实际上是一种“去标识化”的(de)技术，在不借助额外信息的情况下无法识别到个人，因技术上实(shí)现(xiàn)难度(dù)低，在企(qǐ)业实践中更为常见，可以理解为一种弱化版本的“匿名”。

根据(jù)我国《个人信息(xī)保护》要求，需(xū)要满足无法(fǎ)识(shí)别、不能复原两重标准，才属于匿名数据。观韬中茂(mào)律师事务所合伙人吴丹君向21记者指出，如果能(néng)通过序(xù)列号重新对应个人手机号，仍然(rán)属于交易个人信息。

按照(zhào)《个人信息保护法》规定，交易个人信息前应当向个人进行充分告知，包括交易方的(de)名称、姓名、联系方式、处理目的和个人信息的种类，并且需(xū)要取得用户的单独同意才行。

运营商可能(néng)跟哪些第三方交易数据，又是如何取得用户(hù)同意的？21记者翻(fān)阅了三大运(yùn)营商的个人信息保护政策(cè)，几乎都采用的(de)是一揽子(zi)授权。

对于(yú)风控查询，电信(xìn)和联通表示，只要用户合法授权了第三方公(gōng)司来核验信息(xī)，运(yùn)营(yíng)商(shāng)便可返回个人(rén)信息。第三方公司的范围可以很广泛，在(zài)中(zhōng)国电信的条款里，“金融机构(gòu)、征信机构、数据服务机构、互联网(wǎng)企业”都囊括其中。

而对于个性化广告，移动、联通承(chéng)诺(nuò)除(chú)非获得同意，否则不会(huì)跟第(dì)三(sān)方共享个人信息，但不包括用户画像。中国电(diàn)信使用的是“脱敏信(xìn)息”一词：“在收集您的(de)个(gè)人信息后，我们将通过技(jì)术手段对数据进行去标识化脱敏处理。请您了解(jiě)并同意，在此情况(kuàng)下我们(men)有权使(shǐ)用已(yǐ)经脱敏的信(xìn)息。”

对外经贸大学法学(xué)院教授张欣(xīn)此前告诉(sù)21记者，个人事先和(hé)运(yùn)营商签订的授(shòu)权文件中(zhōng)的个人信息，和运营商真正调取的(de)个(gè)人信息(xī)，二(èr)者之间存在信息差。用户未必能够明白自己的数据用于何处，并(bìng)真正愿意授权。

拉扯中的隐私保护与数(shù)据交易

对于数据交易双方(fāng)，并(bìng)非不愿意匿(nì)名处理，或者没有(yǒu)意识到有合规风险，难题有二：一方面，实践中的绝(jué)对匿名化难以达到(dào)。随着(zhe)大数据技术的(de)不断发展，匿名数据(jù)被重新组合、重新定位到个人的风险不断提高。

另一(yī)方面，多位采访对象都提到了数据产品(pǐn)“大而无用”的流通困境。

前述内部人士透露，在(zài)交易过程中，客户往往(wǎng)需要一些非常精确的个人数据，而一线业务人(rén)员背负(fù)逐年增长的考核指标(biāo)，不“擦(cā)边”很(hěn)难拿到(dào)销售业务(wù)，在市县级存在更多私下数据交(jiāo)易。有些情况下，甚至是公司层面的(de)主动让(ràng)步。

“三大运运营商数据挖矿背后：暗箱操作和“擦边”交易营商越(yuè)来越卷，只(zhǐ)要有一家打破了（隐私）底线，剩下(xià)两家就必须要打(dǎ)破底线，要不然项目不好做(zuò)。”他无(wú)奈地解释。

根据(jù)2023年的财报数据，“通信服务”作为三大(dà)运营商的基石，增长速(sù)度已经基(jī)本(běn)持平，几乎可(kě)以一眼望见市场空间的天花板。数据变(biàn)现，既是借国家数据要素(sù)政策(cè)的东风，也是运营商营收增长的必选项(xiàng)。

而作为数据下游的风控系统应用(yòng)方(fāng)，杜旭解释，在风控产品(pǐn)的场(chǎng)景中，没有办法通(tōng)过(guò)某一单一(yī)的数据判断出风险行为，几乎都要引进第三方(fāng)数据综合判断。而“原则上说，这种识别分数(shù)据产品的辅助权(quán)重太小，不足以(yǐ)提供一个决(jué)策依据，很难为这(zhè)种数据产品花钱。”

不愿(yuàn)具名(míng)的行业人士表示，监管(guǎn)落地时，最关注的是数据泄露风险，也就是传输过程中加密工作有没有到位。不过多位代理数据(jù)合规(guī)业务的律师指出(chū)，如果(guǒ)进入(rù)了司法程序，法院会严(yán)格按照(zhào)无法识别、不能复原的(de)双重标(biāo)准，审核数据交易的所有环节。

吴丹君感受到(dào)了其中两种利益的拉扯：如果对个人(rén)隐私和信(xìn)息安全的规定(dìng)过于严格，可能会限制数据的自由流通和应用，从而阻碍数据市场的发展活(huó)力；相反，如果数据市场(chǎng)的发展缺乏必(bì)要的监管，可能会导致个人隐私被忽视。

“长久以来，数据相关(guān)行业与隐私(sī)安全问题(tí)高度绑定，数据隐私保护和数(shù)据市场发展之间通(tōng)常存在(zài)此消彼长的关系，监管会根据发展需要，对隐私性和流通性做出一定取舍。”张(zhāng)欣也说。

张欣表示，我国目前(qián)是通(tōng)过“数据二十条”、《个人信息保护法》《网络安全法》和《数据安全法》等政策法(fǎ)规设定边界，引导市场试水。但(dàn)张欣也坦率指出，目(mù)前这些基础性法律文件，都缺少(shǎo)对数据权属的明确界定。数据到底属于谁(shuí)、能够享有怎样的权(quán)利，还等待更明确的(de)法律回应。

未经允许不得转载：橘子百科-橘子都知道运营商数据挖矿背后：暗箱操作和“擦边”交易