11月1日,“数字时代基本法”——《个人信息保护法》正式实施,成为继《网络安全法》和《数据安全法》之后,数据保护领域的重要法律。其中首次规定“个人信息可携带权”相关内容,不仅增强了个人对个人信息转移与再利用行为的控制,体现了将个人信息权利还归个人的立法思路,为个人信息流转提供了新的方向,也将为行业带来新的机遇。
数据主权回归带来新机遇
随着互联网和大数据技术的不断发展,数据资源成为企业新的生产要素。在《个人信息保护法》第四十五条中,首次规定了数据可携带权,不仅增强了个人对个人信息转移与再利用行为的控制,也将对国内企业数据合规提出新的要求。
“个人数据流转难的关键在于个人数据虽然由个人创建,但大多数情况下却需要通过企业流转,责任主体和利益主体不一致。”观韬中茂律师事务所合伙人王渝伟表示,个人信息可携带权赋予了个人主动在企业间流转个人信息的权利,充分体现将个人权利还于个人的立法初衷,有望解决个人数据流转难题。
从场景上来看,例如一家小微企业要申请小微贷款,企业的税务数据在金融机构授信过程中具有重要参考意义,但税务数据并不是每一家金融机构都可以直接介入的,而小微企业通过定期缴纳税款,自身是可以接触到这些数据的。在个人信息可携带权落地后,小微企业或许能够将自己数据提供给银行申请授信,这对于其经营是非常有价值的服务。
当下,全球有不少国家已经对“个人信息可携带权”的落地迈出一些实质性步伐。微众银行金融科技首席研究员李斌分析,个人信息可携带权在境外主要分为平台主导和政府主导两类实践模式,其中,美国企业发起的DTP(Data Transfer Project)项目是平台主导的应用代表,已在韩国落地的MyData可以被看做是由政府主导的典型。“但这两种模式缺乏可信的验证机制和激励机制,在安全存储、可信传输、协同生产方面都存在不同程度的局限性”。
微众银行副行长兼首席信息官马智涛表示,在数据价值的体现方面,业界已经有很多尝试,在政务以及企业数据方面的价值已经得到了相应的释放。但在市场数据比例中,个人数据占比超过了68%,如何能真正实现它的价值?个人信息可携带权的出现为应对这一挑战提供了思路。“通过区块链等数据新基建相关技术,可确保个人用户能成为数据携带全流程的核心,让数据主权真正回归用户。”
数据新基建技术探索新路径
不同领域数据资源放在一起,价值才能得到最大发挥。微众银行认为,归根结底,个人信息可携带权本质上与数据要素所遇到的三大挑战息息相关,即安全存储、可信传输、协同生产。若要解决这三大核心挑战,则需完善数据新基建,有效发挥数据生产力。
马智涛认为,在个人信息可携带权被确立的情况下,随着国内数字新基建技术的发展,运用创新技术探索个人信息可携带权的新模式,是关键的下一步。中国新模式应当给用户选择存储方式的权利。同时,还需要解决个人信息验真、个人权利保障和信任机制的问题,以及个人信息在跨行业多场景下的协作问题。
在区块链等新技术领域深耕多年的微众银行,通过在粤澳健康码跨境互认项目中提供开源技术,探索出了个人信息可携带权的新模式。突如其来的疫情,造成了人员跨地跨境流动的不便,尤其是跨境健康码如何实现互认互转存在着较多的难题,比如健康码生成、使用的安全隐私标准必须符合两地各自用户隐私保护的相关法规要求?在数据不出境的情况下,如何验证用户提交信息的真实性?
对此,微众银行提供基于区块链的实体身份标识及可验证数字凭证技术,让用户成为跨境数据传输的核心,自主携带申报个人健康信息,通过可验证数字凭证上链,用户无须在多个平台重复填写复杂信息,只需简单授权后,产品将自动为用户转为前往地区的健康码,从而实现了合规前提下的个人健康信息的跨境携带。截至2021年6月,项目已服务超9500万人次在粤澳两地跨境通行。
微众银行数据新基建版图远不止于此。从成立之初,微众银行一直重视探索ABCD领域(AI, Blockchain, Cloud Computing and Big Data)的金融科技技术和应用,包括牵头金链盟开源工作组打造的最大的国产联盟链开源平台FISCO BCOS、全球首个工业级人工智能联邦学习开源框架FATE等,并且基于这些探索提供了一系列的开源框架、底层技术套件或整体解决方案,包括了如数据托管、数据存证、数据传输、数据溯源、数据验证、数据授权、联合建模、隐私计算等服务,逐渐构建起“数据新基建”的完整版图。而通过一系列的数据新基建解决方案,将有望让数据在产业实体之间进行便捷、可信的价值传输和分布式协作,实现更深层次、更广领域的信任传递。
开辟DDTP模式构建新生态
受粤澳健康码互认项目的启迪,微众银行牵头成立的金链盟联合观韬中茂律师事务所、金融科技·微洞察等机构发布的《DDTP——分布式数据传输协议白皮书》(DDTP全称:Distributed Data Transfer Protocol),这一模式有望成为个人信息可携带权的中国路径。
据了解,DDTP是一种新型的分布式数据传输协议,建立用户主动行使个人信息可携带权的模式,该协议基于区块链技术进行设计,通过区块链的全流程追溯、防篡改、传递信任等特性,叠加引进权威机构的参与,助力更安全、可信、易协作的个人信息携带应用。
“中国新模式应该是真正可以为协同提供有效的支持,另辟出一条路径让数据的流转可以变得更加畅顺应。”马智涛指出,DDTP模式是有别于之前所看到的平台主导和政府主导的模式,可以做到完全由个人主导,而且遵循分布式理念,不需要参与机构有事前约定,并且也不需要依赖单一中心机构的推动,能够实现跨机构、跨场景、跨业态的数据层面合作,。
值得一提的是,DDTP遵循分布式理念,不依赖于数据提供者和接收者双方合作,也不依赖中心化机构推动,可支持跨机构、跨行业、跨场景协同。未来,在技术不断完善的情况下,该协议运作模式有望推动各细分领域应用平台的互联互通,构建更广泛的分布式数据传输、核验和协作的新生态。
马智涛表示,个人信息保护法的立法,加上前沿技术的持续发展,有机会推动更多类似于DDTP的标准协议的诞生,构建更多符合公众联盟链形态的应用,为数据时代构建非常需要、必不可缺的数字新基建。
(原标题《<个人信息保护法>正式落地实施了,个人数据可以“带着走”!》)
