文 / 微众银行金融科技高级研究员 高玉翔
2021年8月20日正式通过的《个人信息保护法》的第四十五条规定了“个人信息可携带权”的相关内容,赋予了个人主动流转个人信息的权利,也带来了新的机遇。对此,全球已出现了一些个人信息可携带权的创新尝试,大致可以归纳为“平台主导”和“政府主导”两种典型模式。不过这两种模式各自存在一些局限性,难以实现跨场景跨行业的个人信息携带。
个人信息可携带权:解放数据生产力的新机遇
个人信息作为一种数据要素,虽然由个人创建,但很多情况下却需要在企业之间流转,责任主体和利益主体不一致,导致个人数据流转困难。现有个人信息流转模式由企业发起,是一种B2B模式,忽视了个人在其中的作用,不具可持续性。
个人信息可携带权的出现为应对这一挑战提供了新的思路和机遇。个人信息可携带权赋予了个人主动在企业间流转个人信息的权利,因而有望解决个人数据流转困难的问题,从而解放数据生产力。
立法导向:将个人信息权利还于个人
“个人信息可携带权”这一法律概念最早由欧盟立法提出。2016年7月,欧盟理事会和欧洲议会表决通过了《通用数据保护条例》(GDPR),并于2018年5月正式实施。这是全球范围内首个提及可携带权的法案。
GDPR颁布后,其他国家和地区也纷纷跟进。美国加州2018年6月签署的《消费者隐私法案》(CCPA)、印度2019年12月通过的《个人数据保护法》(PDPB)、新加坡2020年11月通过的《个人数据保护法》(PDPA)都设置了个人信息可携带权条款。韩国则先是在2020年1月修订的《信用信息法》中规定了在MyData等政府服务中可以应个人要求传输个人信息到服务运营商,后又在2021年1月公开征求意见的《个人信息保护法(修正案草案)》中添加了个人信息可携带权的相关条款。
在我国,《个人信息保护法》(以下简称《个保法》)首次规定了“个人信息可携带权”的相关内容:“个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。”这体现了我国立法导向中,将个人信息权利还于个人的思路(见图1所示)。
图1 全球个人信息可携带权立法进程
平台主导的个人信息携带模式:美国企业DTP项目
个人信息可携带权的立法为个人信息的主动流转提供了法律支持。而从全球实践来看,这项权利得到了较为初步的应用。其在境外具体可归纳成由平台主导和政府主导两类实践模式。
平台主导模式的典型应用代表是Google等美国企业发起的DTP(Data Transfer Project)项目(见图2所示)。
图2 DTP模式示意图
DTP的参与公司通过API技术共同建立一类数据传输标准,当用户需要执行可携带权时,只需要进行授权操作,信息提供者就可以直接通过API接口把个人信息传输给接收者,这就解决了个人执行可携带权时授权复杂、操作不便等问题。
目前,DTP的参与者主要有Google、Microsoft、Apple、Twitter和Facebook等大型互联网平台企业,涵盖了美国用户存储图片、视频和音乐的主要领域。
DTP模式主要的优点是简化了相关操作,个人信息流转快速,便于进行数据协作,此外,个人信息数据存储在参与公司的服务器上,技术安全性较高。
DTP模式也存在不少局限性。在DTP模式中,用户无法选择个人信息的存储位置,一旦个人信息携带过程出现问题也难以追责。DTP模式的个人信息携带需要基于平台已整合完成的互联网基础服务进行,因此参与方主要为几大互联网平台,难以覆盖更多中小参与者,也无法实现跨场景、跨行业应用。为了可携带权而建立的DTP,如果最终仅有少量公司参与,那么实际上阻止了DTP内外之间的数据流通,有违设立可携带权的初衷,还可能会造成新的垄断。DTP模式的具体优点和局限性见表1。
表 1 DTP 模式的优缺点比较
政府主导的个人信息携带模式:MyData
与DTP模式不同,以韩国为典型代表的MyData模式由政府主导,思路是政府通过牌照准入的方式,审核、批准MyData运营商建立服务平台。当用户请求访问个人信息数据时,信息提供者需要将个人信息传输给MyData平台,再统一由MyData平台传输给个人,相当于MyData平台整合了各公司的个人信息数据,方便个人访问和携带个人信息。而当个人需要执行可携带权时,只要授权信息接收者从MyData平台处获取即可。
目前MyData模式已经在韩国落地应用(见图3所示)。2021年1月韩国在金融领域开展MyData服务试点,医疗、能源等8个领域将陆续跟进。不过由于种种原因,原计划于2021年8月全面推行的MyData服务,现已被延迟到12月。
图3 韩国MyData模式示意图
目前来看,MyData服务覆盖的个人信息类型暂不如规划中丰富,韩国用户在MyData平台上暂时只能查看个人信息,还不能执行个人信息携带的操作,可查看的个人信息类型也远没有达到规划中的上百项,服务用户数量也不多,相关工作进展并不尽如人意。
和韩国Mydata服务思路类似,新加坡政府在2020年12月推出了“新加坡财务数据交换平台”(简称SGFinDex),印度政府也在2021年9月上线了财务账户聚合网络(AAN)。这两个平台同样允许用户通过平台整合查看个人信息,但依然无法实现大范围的个人信息携带。
与DTP模式相比,MyData模式加入了政府的作用,通过牌照准入的方式,以政府信用代替企业信用,提高了用户的信任度,增加了企业的参与度,整合了更多类型的数据,如表2所示。
表 2 MyData 模式的优缺点比较
但是MyData模式作为一种中心化的模式,受限于垂直行业,无法有效激励数据提供者的积极参与,依然存在跨场景、跨行业协作困难等问题。同时一些MyData运营商并不中立,既是服务平台又是个人信息处理者,存在潜在利益冲突,也会带来新的垄断问题。
个人信息可携带权的中国路径探索
近期,金链盟联合观韬中茂律师事务所、微众银行金融科技微洞察等机构提出了一种新型的分布式数据传输协议(Distributed Data Transfer Protocol,DDTP),以解决现有个人信息携带模式中存在的问题(见图4所示)。
图4 分布式数据传输协议(DDTP)示意图
DDTP模式主要分两个步骤。第一步是用户从数据提供者处下载个人信息数据,并存储在个人指定的位置。存储位置可以是本地,也可以是云或其他位置。为确保个人真实意愿、防止真实数据被篡改、保持传输给接收者的个人信息与提供者提供的个人信息一致,经用户授权后,可进一步引入权威中立的第三方机构参与见证该个人数据文件的存储和传输过程,并获取相关文件的哈希值(而非源文件)作为“数据指纹”存储于区块链上。
第二步是用户将已下载的个人信息数据传输给数据接收者,并对使用范围和使用目的等进行授权。数据接收者在收到个人信息数据文件之后,可以通过区块链进行基于哈希值的可验证数字凭证——“数据指纹”的核验,从而完成验“真”的过程,确保文件没有被篡改。与此同时,个人的所有授权记录、数据接收者的具体使用情况也皆可在链上进行记录,便于个人未来追溯相关文件的流转。
该协议可以满足相关各方关于个人信息可携带权的基本需求。在安全存储、可信传输、协同生产三方面,具有明显的优点,如表3所示。
表 3 DDTP 协议的优点
未来随着DDTP在各行业陆续落地,还可基于公众联盟链和跨链技术,构建更广泛的分布式数据传输、核验和协作的新生态。届时,数据接收者只需要在任意应用平台中一点接入,就可以在接受个人自主上传数据的同时验证所有来源的个人信息数据。
DDTP既符合政策的合规要求,又能解决跨机构、跨行业、跨场景数据协同生产的问题,有望在个人信息可携带权的中国实践中发挥重要作用。
声明:本文来自金融电子化,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
