個人信息可攜帶權的全球實踐和中國路徑倡議
2021年8月20日正式通過的《個人信息保護法》的第四十五條規定了“個人信息可攜帶權”的相關內容,賦予了個人主動流轉個人信息的權利,也帶來了新的機遇。對此,全球已出現了一些個人信息可攜帶權的創新嘗試,大致可以歸納為“平臺主導”和“政府主導”兩種典型模式。不過這兩種模式各自存在一些局限性,難以實現跨場景跨行業的個人信息攜帶。
個人信息可攜帶權:解放數據生產力的新機遇
個人信息作為一種數據要素,雖然由個人創建,但很多情況下卻需要在企業之間流轉,責任主體和利益主體不一致,導致個人數據流轉困難。現有個人信息流轉模式由企業發起,是一種B2B模式,忽視了個人在其中的作用,不具可持續性。
個人信息可攜帶權的出現為應對這一挑戰提供了新的思路和機遇。個人信息可攜帶權賦予了個人主動在企業間流轉個人信息的權利,因而有望解決個人數據流轉困難的問題,從而解放數據生產力。
立法導向:將個人信息權利還于個人
“個人信息可攜帶權”這一法律概念最早由歐盟立法提出。2016年7月,歐盟理事會和歐洲議會表決通過了《通用數據保護條例》(GDPR),并于2018年5月正式實施。這是全球范圍內首個提及可攜帶權的法案。
GDPR頒布后,其他國家和地區也紛紛跟進。美國加州2018年6月簽署的《消費者隱私法案》(CCPA)、印度2019年12月通過的《個人數據保護法》(PDPB)、新加坡2020年11月通過的《個人數據保護法》(PDPA)都設置了個人信息可攜帶權條款。韓國則先是在2020年1月修訂的《信用信息法》中規定了在MyData等政府服務中可以應個人要求傳輸個人信息到服務運營商,后又在2021年1月公開征求意見的《個人信息保護法(修正案草案)》中添加了個人信息可攜帶權的相關條款。
在我國,《個人信息保護法》(以下簡稱《個保法》)首次規定了“個人信息可攜帶權”的相關內容:“個人請求將個人信息轉移至其指定的個人信息處理者,符合國家網信部門規定條件的,個人信息處理者應當提供轉移的途徑。”這體現了我國立法導向中,將個人信息權利還于個人的思路(見圖1所示)。
圖1 全球個人信息可攜帶權立法進程
平臺主導的個人信息攜帶模式:美國企業DTP項目
個人信息可攜帶權的立法為個人信息的主動流轉提供了法律支持。而從全球實踐來看,這項權利得到了較為初步的應用。其在境外具體可歸納成由平臺主導和政府主導兩類實踐模式。
平臺主導模式的典型應用代表是Google等美國企業發起的DTP(Data Transfer Project)項目(見圖2所示)。
圖2 DTP模式示意圖
DTP的參與公司通過API技術共同建立一類數據傳輸標準,當用戶需要執行可攜帶權時,只需要進行授權操作,信息提供者就可以直接通過API接口把個人信息傳輸給接收者,這就解決了個人執行可攜帶權時授權復雜、操作不便等問題。
目前,DTP的參與者主要有Google、Microsoft、Apple、Twitter和Facebook等大型互聯網平臺企業,涵蓋了美國用戶存儲圖片、視頻和音樂的主要領域。
DTP模式主要的優點是簡化了相關操作,個人信息流轉快速,便于進行數據協作,此外,個人信息數據存儲在參與公司的服務器上,技術安全性較高。
DTP模式也存在不少局限性。在DTP模式中,用戶無法選擇個人信息的存儲位置,一旦個人信息攜帶過程出現問題也難以追責。DTP模式的個人信息攜帶需要基于平臺已整合完成的互聯網基礎服務進行,因此參與方主要為幾大互聯網平臺,難以覆蓋更多中小參與者,也無法實現跨場景、跨行業應用。為了可攜帶權而建立的DTP,如果最終僅有少量公司參與,那么實際上阻止了DTP內外之間的數據流通,有違設立可攜帶權的初衷,還可能會造成新的壟斷。DTP模式的具體優點和局限性見表1。
表 1 DTP 模式的優缺點比較
政府主導的個人信息攜帶模式:MyData
與DTP模式不同,以韓國為典型代表的MyData模式由政府主導,思路是政府通過牌照準入的方式,審核、批準MyData運營商建立服務平臺。當用戶請求訪問個人信息數據時,信息提供者需要將個人信息傳輸給MyData平臺,再統一由MyData平臺傳輸給個人,相當于MyData平臺整合了各公司的個人信息數據,方便個人訪問和攜帶個人信息。而當個人需要執行可攜帶權時,只要授權信息接收者從MyData平臺處獲取即可。
目前MyData模式已經在韓國落地應用(見圖3所示)。2021年1月韓國在金融領域開展MyData服務試點,醫療、能源等8個領域將陸續跟進。不過由于種種原因,原計劃于2021年8月全面推行的MyData服務,現已被延遲到12月。
圖3 韓國MyData模式示意圖
目前來看,MyData服務覆蓋的個人信息類型暫不如規劃中豐富,韓國用戶在MyData平臺上暫時只能查看個人信息,還不能執行個人信息攜帶的操作,可查看的個人信息類型也遠沒有達到規劃中的上百項,服務用戶數量也不多,相關工作進展并不盡如人意。
和韓國Mydata服務思路類似,新加坡政府在2020年12月推出了“新加坡財務數據交換平臺”(簡稱SGFinDex),印度政府也在2021年9月上線了財務賬戶聚合網絡(AAN)。這兩個平臺同樣允許用戶通過平臺整合查看個人信息,但依然無法實現大范圍的個人信息攜帶。
與DTP模式相比,MyData模式加入了政府的作用,通過牌照準入的方式,以政府信用代替企業信用,提高了用戶的信任度,增加了企業的參與度,整合了更多類型的數據,如表2所示。
表 2 MyData 模式的優缺點比較
但是MyData模式作為一種中心化的模式,受限于垂直行業,無法有效激勵數據提供者的積極參與,依然存在跨場景、跨行業協作困難等問題。同時一些MyData運營商并不中立,既是服務平臺又是個人信息處理者,存在潛在利益沖突,也會帶來新的壟斷問題。
個人信息可攜帶權的中國路徑探索
近期,金鏈盟聯合觀韜中茂律師事務所、微眾銀行金融科技微洞察等機構提出了一種新型的分布式數據傳輸協議(Distributed Data Transfer Protocol,DDTP),以解決現有個人信息攜帶模式中存在的問題(見圖4所示)。
圖4 分布式數據傳輸協議(DDTP)示意圖
DDTP模式主要分兩個步驟。第一步是用戶從數據提供者處下載個人信息數據,并存儲在個人指定的位置。存儲位置可以是本地,也可以是云或其他位置。為確保個人真實意愿、防止真實數據被篡改、保持傳輸給接收者的個人信息與提供者提供的個人信息一致,經用戶授權后,可進一步引入權威中立的第三方機構參與見證該個人數據文件的存儲和傳輸過程,并獲取相關文件的哈希值(而非源文件)作為“數據指紋”存儲于區塊鏈上。
第二步是用戶將已下載的個人信息數據傳輸給數據接收者,并對使用范圍和使用目的等進行授權。數據接收者在收到個人信息數據文件之后,可以通過區塊鏈進行基于哈希值的可驗證數字憑證——“數據指紋”的核驗,從而完成驗“真”的過程,確保文件沒有被篡改。與此同時,個人的所有授權記錄、數據接收者的具體使用情況也皆可在鏈上進行記錄,便于個人未來追溯相關文件的流轉。
該協議可以滿足相關各方關于個人信息可攜帶權的基本需求。在安全存儲、可信傳輸、協同生產三方面,具有明顯的優點,如表3所示。
表 3 DDTP 協議的優點
未來隨著DDTP在各行業陸續落地,還可基于公眾聯盟鏈和跨鏈技術,構建更廣泛的分布式數據傳輸、核驗和協作的新生態。屆時,數據接收者只需要在任意應用平臺中一點接入,就可以在接受個人自主上傳數據的同時驗證所有來源的個人信息數據。
DDTP既符合政策的合規要求,又能解決跨機構、跨行業、跨場景數據協同生產的問題,有望在個人信息可攜帶權的中國實踐中發揮重要作用。
