# “符合道德规范的来源”对网络接入网络而言究竟意味着什么


所谓符合道德规范的来源的网络接入网络，是指其路由过程中经过的每个住宅IP均属于已同意共享其设备、理解了所同意的内容、获得了具体回报且可随时撤回同意的用户。 “道德来源”并非一句口号。它是对同意、信息披露、价值交换以及审计轨迹的具体承诺——该审计轨迹将客户的请求追溯至自愿参与的设备所有者。 并非所有家庭网络都建立在同意的基础上，这正是为何网络的来源方式值得一个切实的答案，也是为何该答案最终成为可靠且经得起推敲的网络的基础，而非其附带说明。

本指南是该主题的中心枢纽。 它涵盖了：何为符合伦理的住宅代理服务器；“符合伦理的来源”在具体层面的含义；“同意优先、主动加入”模式如何端到端运作；为何该模式能构建更可靠的网络；知情同意包含哪些内容；审计轨迹的具体形式；以及 SOC 2、 GDPR 和 AppEsteem 认证等第三方认证各自能证明什么。若某个子主题值得深入探讨，本页面会提供相关链接。

## 关键要点

- **道德来源是基石，而非口号。** 建立在自愿、有偿参与基础上的网络，不仅供应稳定，且来源可追溯。 正是这一基础，使网络能够长期保持可靠且经得起推敲。
- **同意是一种真正的价值交换。** 在来源规范的网络中，每个 IP 地址都属于某位用户——该用户因获得具体利益（如高级应用功能或无广告服务）而主动加入，且可随时退出。自愿的供应才是持久的供应。
- **该模式支持端到端审计。** 由于每台设备都是通过一次公开的自愿加入流程进入网络的，因此网络能够将请求追溯至同意的来源。[通过同意构建网络](https://www.joinmassive.com/blog/rendering-web-through-consent)正是实现这一溯源链的关键。
- **各项认证证明的内容各不相同且具体。** SOC 2、GDPR 合规状态以及应用注册认证，分别证明了链条中的不同环节：控制措施、合法依据和注册流程。了解每项认证所证明的内容，才是解读真实合规情况的关键。
- **透明度才是关键。** 一个能够让你提出问题并获得具体答复的网络，才是你可以在此基础上构建的网络。[值得向任何网络数据合作伙伴提出的问题](https://www.joinmassive.com/blog/proxy-vendor-compliance-soc2-gdpr)，以及 Massive 如何回答这些问题，就从这里开始。

## “道德来源”的真正含义

“道德来源”意味着，其设备承载流量的用户已在此前理解相关条款并同意参与，且有权随时撤销同意。这就是完整的定义，其中的每一个词都至关重要。

将其分解为以下几个部分：

- **同意。** 设备所有者做出了明确、积极的选择以加入该网络。 这是真正的主动选择加入，而非预先勾选的复选框，也不是隐藏在政策第 14 页深处的授权条款。
- **信息披露。** 他们被告知共享网络连接意味着什么：即他们的设备可能会在何时、出于何种原因转发网络请求。
- **价值交换。** 他们因此获得了切实的回报。 在大多数符合伦理的网络采用的模式中，用户用一部分闲置带宽或计算资源，换取了高级应用功能、无广告服务或应用内虚拟货币。正是这种交换，使得参与变得真实且自愿。
- **可撤销性。** 用户可以干净利落地退出，退出过程并不比加入更困难。

这几乎完全符合欧盟现行个人数据法规中对“同意”的法律定义，这一定义是一个有用的基准，因为它并非由供应商自行定义。 我们将在下文的“同意”部分再次探讨这一点。

一个常见的误解是，所谓“道德”只是对商品的营销修饰，认为所有住宅 IP 地址基本上都一样，而数据来源的表述不过是品牌宣传。事实恰恰相反。IP 地址本身才是商品。 它进入IP池的方式才是产品，因为这种方式决定了供应是否出于自愿、是否稳定、是否有据可查，以及供应商能否对此负责。这就是为什么值得深入了解来源，而不是仅凭信任。

## 基础为何重要

采购渠道之所以重要，是因为网络的可靠性取决于其立足的基础，而基于自愿、有偿参与的基础是坚实的。这不仅是一个道德问题，更是一个实际问题。

请考虑“主动加入”的基础能为您带来什么：

- **持久的供应。** 那些为了获得期望的利益而加入、且受到良好对待的人，往往会留下来。自愿参与比通过其他方式获取的供应更稳定，这意味着网络在长期内能保持一致的运行状态。
- **明确的法律依据。** 当参与基于同意时，网络对于“为何被允许路由此流量”这一问题便能给出明确的答案。正是这种清晰性，使企业买家能够采用该网络，而无需经历旷日持久的法律纠纷。
- **可追溯的来源。** 通过一个公开的“前门”获取的网络，能够说明其流量来源。 这种记录是“主张”与“可验证事实”之间的区别。
- **值得信赖的数据。** 源自真实位置、已获得用户同意的消费者设备的流量，会返回真实本地用户所看到的页面，这正是网络数据工作流所需要的。

简而言之，合规数据采集并非因做正确之事而需支付的“代价”，而是确保网络高效运行的关键。本指南的其余部分将探讨这一基础如何构建以及如何加以验证。

## 主动加入模式：以同意为先的数据采集如何运作

“同意优先”网络的 IP 地址来源于一个公开的软件开发工具包，用户会出于自身需求主动安装该工具包，以此换取他们想要的东西。正是这一机制，使得整个模型不仅停留在理想层面，而是能够被验证的。

以下将以我们自身网络运行的模型为例，具体说明其运作机制。Massive 的家庭网络最初是一款应用变现产品。应用不向用户收费，也不强迫用户观看广告，而是提议用户分享一部分闲置带宽或计算资源，以此换取高级功能或无广告体验。 用户主动选择这种交换。共享通过 Massive SDK 实现——应用开发者需集成并披露该 SDK，且其支持移动端、桌面端和智能电视应用。网络中的每个 IP 地址都是通过这种方式加入的：即由所有者主动选择加入的真实消费级设备。

构成这一坚实基础的关键要素包括：

1. **用户是价值交换中的自愿参与者。**他们想要高级功能。共享闲置带宽是为此付出的代价，且他们清楚这一代价。自愿参与者能确保供应的稳定性和规范性。
2. **开发者会披露 SDK。** 应用会告知用户，参与意味着其连接可能会承载其他流量。正是这种披露，才使“主动加入”成为可能。
3. **参与可撤销。** 用户可以随时退出，且退出操作非常简单。
4. **网络能够证明上述所有内容。** 由于接入均通过一个已公开的 SDK 进行，因此会留下记录。该记录即我们下文将探讨的审计轨迹。

关于同意如何在系统中流转，以及如何与具体标准相对应的更深层机制，将在配套文章[通过同意构建网络](https://www.joinmassive.com/blog/rendering-web-through-consent)中探讨。

## 知情同意的内涵

法律对“同意”有明确的定义，这是一个有用的衡量标准，因为它具体明确，且并非由供应商自行制定。 个人的 IP 地址和设备参与情况属于个人数据，因此，一般适用于同意的同一标准，很好地描述了一个来源可靠的网络所已采取的做法。

[《通用数据保护条例》（GDPR）第 4(11) 条](https://gdpr-info.eu/art-4-gdpr/) 将同意定义为“数据主体通过声明或明确的肯定性行为，表示同意对其个人数据进行处理的、任何自愿给予的、具体的、知情的且不ambiguous的意愿表示”。其中四个关键词至关重要：

- **自愿给予。** 选择是真实的。用户可以拒绝，同时仍可使用核心产品。
- **具体。** 同意针对明确界定的目的，且该目的描述清晰。
- **知情。** 用户清楚知晓涉及哪些主体以及处理目的。
- **明确无误。** 必须是明确的肯定性行为，而非沉默或预先勾选的复选框。

随后，第7条第3款补充了一项关键条款，确保该安排具有持久性和公平性：“数据主体有权随时撤回其同意”，且“撤回同意应与给予同意同样便捷。” 可撤销性确保了关系的诚信，也保障了供应方的自愿性。

第6条确立了更广泛的框架：当符合六项法律依据中的至少一项时，个人数据的处理即为合法，而同意便是其中之一。这就是为什么“住宅代理服务器是否合法”这一常见问题有明确答案的原因。 住宅代理是合法的，而通过知情同意获取的网络在第6条下拥有明确的合法依据。正是同意使该网络站上了坚实的法律基础，这也是为何这种获取模式是基础而非事后补救的又一原因。

## 审计追踪：从设备到请求

审计轨迹是将客户的出站请求与已同意的源设备联系起来的记录，它是透明度的实际体现。它将“我们以符合道德的方式获取数据”这一声明转化为服务商能够展示的实证。

具体而言，完整的审计轨迹意味着网络能够为自身记录回答以下问题：该 IP 地址是通过哪个 SDK 集成进入的？是在何种设备上？依据哪些已披露的条款？以及该同意是否仍然有效。由于“同意优先”的网络只有一个入口——即已披露的 SDK——因此这种溯源关系在设计上就已存在。

有必要精准界定这一主张的含义，因为精准性本身就是透明度的一部分。一个合乎道德的网络的诚信故事在于数据来源——即IP地址是主动选择加入的，而非承诺对用户活动视而不见。数据来源和溯源是服务提供商能够记录并予以担保的内容。 这才是该主张中诚实且经得起辩护的版本，也是值得我们追问的版本。

对于本文所述的网络而言，审计追踪记录是一项明确的特性：从源头到请求的全程可追溯性，这构成了下文将要探讨的 SOC 2 和 GDPR 合规基础。

## 第三方认证： SOC 2、GDPR 和 AppEsteem 各自证明的内容

认证之所以重要，是因为它们将声明从“请相信我们”转变为“已由独立第三方核查”。每项认证都证明了不同且具体的内容，了解每项认证的覆盖范围，才是解读真实合规情况的关键，而非仅仅关注一排排的徽标。

### SOC 2

SOC 2 是一种由独立审计师依据美国注册会计师协会（AICPA）《信任服务标准》进行的鉴证，旨在证明服务组织的控制措施的设计和运行方式与其声明一致。 该标准涵盖五个领域：安全性、可用性、处理完整性、保密性和隐私性。安全性（即《通用标准》）是每项审计任务的必备内容； 其余四个领域则根据该组织向客户作出的承诺，依据[AICPA 2017年《信任服务准则》](https://www.aicpa-cima.com/resources/download/2017-trust-services-criteria-with-revised-points-of-focus-2022) （2022年修订版）中，根据该组织对客户的承诺而追加。值得注意的区别在于：SOC 2 II类报告测试控制措施在一定时期内（通常为3至12个月）是否有效运行，而I类报告则描述其在某个特定时间点的状况。

### GDPR

在此背景下，GDPR合规性意味着网络能够为涉及数据采集的个人数据处理确定合法依据，遵守第4(11)条和第7条中的同意条件，并履行客户所需的数据处理承诺。这是您可能面临审计并被要求遵守的合规要求。 就代理网络而言，关键在于设备参与的同意须符合上述标准，且客户能够获得一份反映该标准的数据处理协议。

### AppEsteem

AppEsteem 是网络数据领域中大多数人从未听说过的机构，但它却悄然成为与数据采集最相关的认证机构。 AppEsteem 根据其 [应用认证要求](https://customer.appesteem.com/Home/AppCertReqs) 对应用程序进行认证，其中包括在用户注册前获得独立且知情的同意、在安装前披露捆绑的第三方组件，以及提供干净且可完全卸载的卸载程序。 对于通过应用 SDK 获取的网络，AppEsteem 认证是直接的第三方证据，证明在用户注册时，同意和披露环节已得到妥善处理。

本指南所述的网络已通过 SOC 2 I 类审计（安全控制，2025 年 12 月），符合 GDPR 要求，并获得 AppEsteem 认证，拥有从源头到请求的完整审计追踪记录，且可通过其信任中心在签署保密协议（NDA）后获取 SOC 2 报告。 之所以列举这些认证，是因为它们覆盖了链条中的不同环节：AppEsteem 涉及注册环节，GDPR 涉及合法依据和同意环节，SOC 2 则涉及整个运营过程的控制措施。一旦您了解哪个部分对应哪个环节，[代理供应商的合规说明](https://www.joinmassive.com/blog/proxy-vendor-compliance-soc2-gdpr) 便一目了然。

## 符合伦理规范的网络基础

与其比较各个网络，不如描述一个坚实的基础究竟是什么样子的，这样您就知道该关注什么。以下这些特性共同构成了一个基础扎实的住宅网络。

| 特性 | 含义 | 为何重要 |
|----------|---------------|----------------|
| 通过公开的 SDK 主动加入 | 每台设备都是用户主动加入，并通过用户自主选择的价值交换实现 | 自愿、稳定的供应；真正的合法依据 |
| 真实的价值交换 | 用户因参与而获得了高级功能、无广告访问权限或积分 | 持久的参与度和公平的待遇 |
| 可撤销的同意 | 退出与加入同样简单 | 保持关系的诚实性，确保参与来源的健康 |
| 完整的审计追踪 | 服务提供商可追溯请求至同意来源 | 经记录且可验证的溯源链 |
| SOC 2 认证 | 对运营控制措施的独立审计 | 对运营方式的信心 |
| 符合 GDPR 要求并附有数据处理协议 (DPA) | 明确的合法依据和可签署的数据处理条款 | 企业法务团队可采纳 |
| 应用注册认证 | 对注册时的同意与披露进行独立核查 | 证明“主动选择加入”流程本身符合规范 |
| 覆盖 195 多个国家的真实设备 | 真正的本地存在，获得用户同意的消费级设备 | 准确且位置信息无误的网络数据 |

监管趋势恰恰支持这种基础架构。欧盟的《数据法案》（https://digital-strategy.ec.europa.eu/en/policies/data-act）——其核心条款将于 2025 年 9 月开始生效——旨在赋予人们更多对设备生成数据的控制权。 一个已经建立在知情且可撤销同意基础上的网络，与法规的发展方向是一致的，这也是“主动选择加入”模式具有持久生命力的又一原因。

## 这对您选择网络意味着什么

如果您是负责选择网络数据合作伙伴的人，或者需要向安全或法律团队解释这一选择，好消息是：一个基础扎实的网络能让沟通变得轻松，因为它能给出明确的答复。实际的做法是将数据来源问题视为值得探讨的问题，并期待得到具体的答复。

以下是尽职调查的简要版本，详细内容请参见[合规问题指南](https://www.joinmassive.com/blog/proxy-vendor-compliance-soc2-gdpr)：

1. **询问 IP 地址如何进入该网络。** 具体的回答、公开的 SDK 以及明确的价值交换机制，都能证明其基础是真实的。
2. **询问相关认证及其覆盖范围。** 例如 SOC 2 Type II 认证的覆盖时间段、附带数据保护协议 (DPA) 的 GDPR 合规状况，以及 AppEsteem 的注册情况。
3. **询问他们能否将请求追溯到已同意的来源。** 审计轨迹是透明度的证明。
4. **询问当用户撤回同意时会发生什么。** 明确的回答反映出一个健康、基于同意的模式。

这些都是向任何网络数据合作伙伴（包括我们）提出的合理问题。我们的网络覆盖 195 多个国家/地区，基于真实的消费者设备构建，每个 IP 地址均通过 SDK 获得用户主动同意，正是为了回答这些问题而建立的。您可以在 [Massive](https://joinmassive.com) 上查看该底层网络的详细文档。

## 常见问题

### 住宅代理是否合法？

是的，住宅代理是合法的，且通过知情同意获取的网络具有明确的合法运营依据。 根据《通用数据保护条例》（GDPR）第 6 条，当存在同意等有效依据时，处理个人数据即为合法，而基于主动同意构建的网络正是以此为根基。关键在于关注特定网络的来源方式：基于同意且公开透明的主动加入机制，才是使住宅代理网络立足于坚实法律基础的关键。

### 什么才算“符合伦理规范”的住宅代理网络？

符合伦理规范的获取方式意味着，每个 IP 地址都属于设备所有者，且该所有者已给予自由、具体、知情且明确的同意，并因此获得了真实的价值交换，同时可以随时撤回同意。 在实践中，这是通过公开的 SDK 实现的，用户安装该 SDK 以获得高级应用功能。来源规范的网络还能将任何请求追溯到已同意的来源，这正是该声明背后的实际证明。

### 如何判断代理提供商是否采用符合伦理的来源方式？

请提出三个问题：IP 地址如何进入您的网络？哪些认证涵盖了您的获取流程？能否将请求追溯到已同意的设备？一家可信的提供商会明确说明其机制（即“主动加入”SDK），持有涵盖注册时刻（AppEsteem）、法律依据（GDPR）以及运营控制措施 （SOC 2 Type II），并能详细说明其审计轨迹。具体的回答是网络基础扎实的标志。

### GDPR是否适用于住宅代理的获取？

是的。个人的 IP 地址和设备参与情况属于个人数据，因此根据《GDPR》第 6 条，对其进行处理需具备合法依据，而对于“主动加入”网络而言，相关依据即为同意。该同意符合第 4(11) 条的标准，并根据第 7(3) 条可随时撤回。 对于来源可靠的网络而言，满足这一标准仅仅是对“主动加入”机制现有运作方式的描述。

### SOC 2 实际上能证明代理网络的哪些方面？

SOC 2 证明独立审计师已根据美国注册会计师协会（AICPA）《信任服务准则》中的“安全性”要求，并对组织控制措施进行了核查；此外还可选地涵盖“可用性”、“处理完整性”、“保密性”和“隐私性”。其中，II 类报告具有实质意义，因为它测试了这些控制措施在一定时期内是否有效运行。 SOC 2 涵盖运营层面；若将其与应用注册认证及 GDPR 合规状况（涵盖用户注册和合法依据）相结合，则能获得完整的全景视图。

### 为什么合乎道德的用户招募能提高网络的可靠性？

因为自愿且获得报酬的参与才是持久的参与。那些出于自身利益加入、且可以自由离开的人，构成了随时间推移表现一致的用户群体；而来自真实位置、经用户真正同意的设备所产生的流量，能返回准确且位置正确的数据。 道德数据采集与可靠性本质上是同一属性的两个侧面：一个值得您支持的网络，也是一个值得您信赖的网络。

## 核心要点

了解网络访问网络时最关键的一点，是弄清楚那些承载您流量的设备所有者是如何进入数据池的。 符合伦理的来源意味着：在真实价值交换的基础上获得知情且可撤销的同意，并有审计轨迹予以证明，同时辅以涵盖注册流程、法律依据及管控措施的认证。正是这一基础，使网络变得可靠、合法合规，并成为服务提供商能够全力支持的对象。

行业发展的方向正是如此：赋予用户更多控制权、提高透明度，并更加重视可验证的同意。一个已经按照这种方式构建的网络，不仅是在做正确的事情，更是在整个行业共同迈向的未来基石上立足。

### 继续学习

**运作机制：**
- [通过同意构建网络：选择加入式数据采集如何运作](https://www.joinmassive.com/blog/rendering-web-through-consent)

**面向采购方和合规团队：**
- [SOC 2 与 GDPR：向住宅代理供应商提出哪些问题](https://www.joinmassive.com/blog/proxy-vendor-compliance-soc2-gdpr)
