2021年8月20日,全国人大第十三届常务委员会第三十次会议表决通过《中华人民共和国个人信息保护法》,并决定于2021年11月1日起实施。
正如《个保法》总则第一条的内容所述为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用。《个保法》的实施一定会对数字经济时代的诸多市场行为产生极其深远的影响,过去流量为王时代对于个人数据为所欲为、予取予求的无序使用的混乱状态很快就将成为历史。
正好与法案落地相呼应,此前10月21日,中国路径”研讨会,来自深圳市前海公证处、观韬中茂律师事务所、万高信息科技有限公司、微众银行的专家汇聚一堂,就个人信息可携带权在全球范围的发展及在中国的可行落地路径深入研讨。会上,金链盟联合观韬中茂律师事务所、金融科技微洞察等机构重磅发布《DDTP分布式数据传输协议白皮书》(DDTP全称:Distributed Data Transfer Protocol)。
DDTP是一种新型的分布式数据传输协议,建立用户主动行使个人信息可携带权的模式,为实践个人信息可携带权、解放数据生产力提供中国可行落地路径建议。该协议基于区块链技术进行设计,通过区块链的全流程追溯、防篡改、传递信任等特性,叠加引进权威机构的参与,助力更安全、可信、易协作的个人信息携带应用。
这是中国首个推动数据主权回归个人用户的实践探索。个人数据占比达68%,是所有数据当中占比最大的。虽然个人数据是由个人创建,但是个人数据价值的释放却受到很大的限制,造成个人数据流转困难,导致出现数据孤岛、数据垄断难以打破。在多数的情况下个人数据流转需要在企业之间流转,责任主体和利益主体不一致。因此,为了让个人数据价值充分释放,让数据主权回归用户,成为实践的必选项。
这一探究所获得的经验与成果,将使得中国市场对数据主权回归个人用户的实践途径有更为深入的认知。未来,这或许引发工业界更多的探究,对数据工业格局的重塑、数字经济的发展或将发生更为深远的影响。
10月26日,微众银行副行长马智涛、微众银行科技创新产品部负责人姚辉亚接受了媒体专访,详细介绍DDTP的理念及实践。
强调个人主导,个人信息权利还于个人
DDTP旨在让用户成为关键参与者,由用户主动发起个人信息数据传输并自行上传,从而实践个人数据可携带权。
从用户的视角看,DDTP的运作模式可以简单概括为“两步走”:
第一步:用户从数据提供者处下载个人信息数据,并存储在个人指定的位置。存储位置可以是本地,也可以是云或其它位置。为了确保个人真实意愿、防止真实数据被篡改、保持传输给接收者的个人信息与提供者提供的个人信息一致,经用户授权后,可进一步引入权威中立的第三方机构见证数据存储过程,并获取相关文件的哈希值(而非源文件)作为“数据指纹”存储于区块链上。
第二步:用户将下载的个人信息数据传输给数据接收者,并对使用范围和使用目的等进行授权。数据接收者收到数据文件后,可以通过“数据指纹”的核验,完成验真过程。与此同时,个人所有授权记录、数据接收者的具体使用情况也皆可在链上进行记录,便于个人未来追溯相关文件的流转。
打个比方,这就好像是将个人信息发送了一次“数据快递”:在用户申请后,他的个人数据由数据提供者打包发出,用户接受“个人数据包裹”并存在自由选择的储存方。此时,权威中立机构见证寄“包裹”的过程,并将“包裹验证码”存在区块链上。由于区块链不可篡改的特性,当用户再把“包裹”寄给数据接收者时,数据接收者只需在区块链上查“包裹验证码”,就可以确认“包裹”是原始包裹,快递过程中没有被打开过,即数据未经篡改。
粤澳健康码互认,提供场景化验证参考
该协议并非凭空想象,而是基于实践探索的成果,其设计灵感来自于粤澳健康码跨境互认的实践。
粤澳两地都有自己的健康码系统,澳门旅客使用的是“澳门健康码”,但是因为两地政府法规的限制,无法像内地各地区之间那样用直接授权的方式实现如核酸、疫苗数据、健康轨迹等敏感个人数据的直接交换。如果这些数据之间没法打通,粤澳之间的往返旅客就必须遵守14天医学观察期,造成极大的不便。
从2020年5月起,“粤康码”与“澳门健康码”互认系统正式启用,从7月15日起,两地居民通关可免除14天医学观察期,持粤康码通关凭证以及有效核酸检测阴性结果正常通关。通关人员首次领码、转码到生成通关凭证,全过程平均时长约1分40秒,再次通关时获取通关凭证不超过3秒即可完成,系统启用以来至今年6月,持健康码通关凭证通关人员累计超9500万人次。
在这背后,微众银行提供的开源区块链技术起到了至为关键的作用。微众银行副行长兼首席信息官马智涛介绍说:“粤澳两地都有自己的健康码系统,互认系统做到的效果就是,两地的健康码系统,不需要任何直接连接,只是通过区块链技术,搭建了跨境结点,把各自核酸检测的结果、健康轨迹等数据转变为哈希值(非源文件),我们叫数据指纹,放到区块链上。一个旅客从澳门入境广东,在系统申请转码,由用户自行操作提交至“粤康码”,系统将按照防疫工作的规则自动为其生成“粤康码”。“粤康码”收到用户自行提交的信息,结合区块链不可篡改的技术特性,通过数据指纹就可快速验证用户提交的信息是否真实有效、未经篡改。整个过程,“澳门健康码”与“粤康码”的后台不存在任何用户数据的直接传输,确保澳门健康码在生成、使用过程中的用户信息安全和隐私保护,符合两地法规的相关要求。”
在利用区块链思路解决粤澳健康码互认的过程中,微众银行也逐渐意识到这个思路应该会有更大的应用场景,在这个基础上他们逐渐完善思路,提出了分布式数据传输协议DDTP(Distributed Data Transfer Protocol)的思路。“未来数字经济,数据就是最有价值的资源,是最重要的生产要素。随着个保法推出以后,数据要素的流通,以及价值转换,还有很多壁垒。要应对壁垒,必须要有技术手段。这也是为什么触发了DDTP,以及我们认为它能够应用在新一代数字基建上的由来。”马智涛说。
图1:个人信息携带方案
需要指出的是,DDTP不是一套文字版的协议内容,而是一套方法论。
要推动数据生产力的解放,在技术方面还面临安全存储、可信传输、协同生产三大难题。要解决这些问题,需要底层技术支撑。
图2 :解放数据生产力所需具备的条件
为了推动方法论的落地,微众银行提供一系列数据治理开源组件,包括底层区块链平台、WeID开源组件等,都可以协助基于DDTP理念实现个人信息可携带权的落地。未来,DDTP可以根据实际应用需求不断调整进化。马智涛解释,这些开源组件相当于“乐高”积木,微众银行提供的是通用的组件,应用方可以用这些组件任意拼接,以支持自己的应用。
个人数据携带模式,寻找数据新机遇
DDTP的提出,是新的个人数据携带模式的尝试,也是对此前个人数据携带模式的改进。
此前,在全球范围内,个人信息携带模式出现过两类:由企业主导的模式和由政府主导的模式。
由企业主导的个人数据携带模式中,最具代表性的是Google、Facebook、Microsoft、Twitter四大互联网企业联合发起的数据传输项目(Data Transfer Project,简称DTP)。其目的是创造一个服务对服务的开源数据迁移平台,DTP扩展了数据的便携性,为用户提供了在参与项目的服务供应商之间传输数据的平台。比如,如果一位Google用户希望将他的一些照片转移至微软的OneDrive中,那么用户只需授予微软公司读写照片的权限、然后打开Google的文件传输界面、选择目的地然后点击"发送",所选照片就会自动从google复制并传输到微软,而无需使用用户的带宽或硬件。
由政府主导的个人数据携带模式的尝试,包括英国推出的“MiData”项目以及韩国推出的“MyData”项目。以Mydata为例,用户可通过MyData运营商的App,要求金融机构将所需信息以API方式提供给MyData运营商,便于运营商为用户提供一站式查询、金融产品咨询、资产管理等服务。当前,韩国率先实现了MyData在金融行业的落地,韩国监管机构已发放了28家MyData运营商牌照,持牌机构包括银行、保险公司、金融科技公司等。
图3:MyData运营商模式
但是,马智涛介绍,两种模式的运行目前都遇到了一些问题:
由平台主导的模式,遇到两个问题:其一,覆盖范围有限。这种模式的参与者一般都是大企业,特别是科技巨头,比如DTP就是由几个科技巨头所组成的小圈子;其二,可持续性存在问题。因为在这样的模式中,数据的主要提供方会考虑长远来看自身经济利益的得失,这是此模式是否可持续的非常重要的前提。
由政府主导的模式,也遇到两方面的问题:其一,这些方案大多针对垂直行业,在跨行业的数据流通方面并没有取得突破;其二,这些平台由政府主导,在发展更加适合市场需求的产品方面,激励机制有所欠缺。
马智涛认为,由个人来主导个人信息携带,是一个解放数据生产力的新的机遇。DDTP的提出虽然源自微众银行的实践,但是与美国的DTP有两方面很重要的差别:
第一,DDTP是分布式的,没有任何中心机构进行运作。
第二,DDTP并不是单一的项目,不是Project,而是Protocol,是协议,希望它成为通用协议,让数据源和数据使用方能通过用户本身的授权进行数据传输。
基于这两个重要差别,这种模式有机会可以做到完全由个人主导,而且遵循分布式理念,不需要参与机构有事前约定,也不需要依赖单一中心机构的推动,有机会能够实现跨机构、跨场景、跨业态的数据层面合作。
寻找应用场景,数据合规新篇章
现在,微众银行正在努力让更多人了解DDTP所倡导的个人数据携带方式,希望有更多的应用场景能够发现的价值。
对个人用户来讲,要在日常生活中携带自己的个人信息,还需要一些时间。马智涛在采访时表示,目前DDTP的倡议刚刚提出,市场需要经过一定的时间来理解和消化,需要有更多的机构加入DDTP的实践,整个市场生态才能发展起来。在应用初期,对于需要应用个人信息来解决问题的个人来说,携带自己的个人信息是有足够动力的。比如,小微企业主如果要向金融机构申请贷款,如果可以提供多方面的数据(比如税务数据),将有利于获得贷款,这将为企业经营带来强有力的支持。
在应用场景方面,金融将会是DDTP比较大的应用场景,因为对于金融机构来讲,在做授信、获客过程中,获取更多数据将会很有帮助。举个最简单例子,针对个人贷款如果可以打通个税数据,那银行对申请人的收入状况就不是完全凭空的估算。又比如出行平台,要求上岗的司机提供自己驾驶证,如果还可以提供过去驾驶记录,而且是能够验证的,肯定是更准确、更安全的。
值得一提的是,DDTP 协议运作模式在前期可能是分散运作的,并非必须基于微众银行所提供的技术平台。姚辉亚解释,微众银行之所以提供开源技术支持,是因为目前国内尚处于数字化转型的初期,许多企业要自建底层技术平台,需要花费的成本较高,将技术开源能够大大降低企业数字化发展的门槛,也能够降低微众银行与更多合作伙伴的合作门槛,推动创新。事实上,不同机构可以采用不同的区块链生态网络来构建细分行业或领域的个人信息携带应用。
今日,数据合规也翻开了新的一页,同时被翻开的不至于新技术带来的全新未来,还基于在前沿技术领域耕耘多年的成果,微众银行的探索将给行业提供有益的参考。而当“个人信息可携带权”不断获得实现,产业离新的“生产力解放”也将更近一步。
END
