作者:温泉
来源:零壹财经(ID:Finance_01)
在推动个人数据流通方面,中国首家互联网银行微众银行再次成为破局者。
11月1日,《个人信息保护法》正式生效执行。其中,法案的第45条首次描述了“个人信息可携带权”的相关规定,提出“个人请求将其个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径”。
与法案落地相呼应,此前10月21日,由微众银行发起成立的深圳市金融区块链发展促进会(以下简称:金链盟)联合观韬中茂律师事务所、金融科技•微洞察等机构,联合发布《DDTP——分布式数据传输协议白皮书》(DDTP全称:Distributed Data Transfer Protocol)。
该白皮书对全球现有主要个人信息可携带权的实践模式进行了梳理,分析其优势和局限性,在结合已有案例的基础上,提出适合中国的个人信息可携带权实践模式倡议。这是中国首个推动数据主权回归个人用户的实践探索。个人数据在所有数据当中占比最大,达到68%。但是此前,个人数据价值的释放却受到很大的限制。个人数据虽然由个人创建,但很多情况下却需要在企业之间流转,责任主体和利益主体不一致,导致个人数据流转困难,也造成数据孤岛、数据垄断难以打破。因此,为了让个人数据价值充分释放,让数据主权回归用户,成为实践中的必选项。
这一探索所取得的经验与成果,将使得中国市场对数据主权回归个人用户的实践路径有更为深刻的认知。未来,这有可能引发产业界更多的探索,对数据产业格局的重塑、数字经济的发展或将产生更为深远的影响。10月26日,微众银行副行长马智涛、微众银行科技创新产品部负责人姚辉亚接受了媒体专访,详细介绍DDTP的理念及实践。
DDTP旨在让用户成为关键参与者,由用户主动发起个人信息数据传输并自行上传,从而实践个人数据可携带权。该协议分两个主要步骤行使个人信息可携带权:
第一步是用户从数据提供者处下载个人信息数据,并存储在个人指定的位置。存储位置可以是本地,也可以是云或其它位置。为了确保个人真实意愿、防止真实数据被篡改、保持传输给接收者的个人信息与提供者提供的个人信息一致,经用户授权后,可进一步引入权威中立的第三方机构参与见证该个人数据文件的传输过程,并获取相关文件的哈希值(而非源文件)作为“数据指纹”存储于区块链上。第二步是用户将已下载的个人信息数据传输给数据接收者,并对使用范围和使用目的等进行授权。数据接收者在收到个人信息数据文件之后,可以将该文件与此前存储于区块链上的“数字指纹”进行比对,从而完成验真的过程。与此同时,个人的所有授权记录、数据接收者的具体使用情况也皆可在链上进行记录,便于个人未来追溯相关文件的流转。
该协议并非凭空想象,而是基于实践探索的成果,其设计灵感来自于粤澳健康码跨境互认的实践。进入2020年之后,突如其来的疫情造成了人员跨地跨境流动的不便,尤其是跨境健康码如何实现互认互转成为难题——首先,健康码生成、使用的安全隐私标准必须符合两地各自用户隐私保护的相关法规要求;其次,按照法律法规规定,居民的个人隐私信息不能跨境传输,而居民的个人信息及核酸检测信息等只有本地的权威机构才能验证。那么在数据不出境的情况下,如何验证用户提交信息的真实性?比如,以前从广东去澳门,需要广东居民在广东进行核酸检测,然后在线下携带纸质的检测报告到澳门;疫情期间,为了减少人员流动,检测报告使用电子版较多,这就带来新的问题:如果广东居民向澳门监管机构出示电子版检测报告,对方如何判断报告真假?(纸质文件判断真假,主要依靠官方文件的印章,但是电子版文件容易被PS)
为了破解难题,微众银行提供开源技术支持,助力粤澳健康码跨境互认应用创新了运作机制:让用户成为跨境数据传输的核心——比如广东用户去澳门,用户在广东下载健康数据文件之后,形成“数字指纹”(即个人健康数据文件的哈希值)存储在区块链上。此后,用户将文件提交澳门监管方,澳门监管方将用户提交的信息与此前的“数字指纹”进行对比,如果信息一致,即可通过审核,两地健康码可以互认。这个过程的前后台运作是这样的:经用户同意授权之后,所在地区的政府部门开始启动健康数据转码;在后端,个人健康数据文件的哈希值和用户的数字签名将记录在区块链上,数据原文信息则仍保存在健康码发行机构的本地数据库中;在前端,用户无须在多个平台重复填写复杂信息,只需简单授权后,产品将自动为用户转为前往地区的健康码,从而实现了合规前提下的个人健康信息的跨境携带。截至2021年6月,项目已服务超9500万人次在粤澳两地跨境通行,对支持粤港澳大湾区人员的正常流动和经济社会交流恢复发挥了重要作用,取得了良好的社会反响。需要指出的是,DDTP不是一套文字版的协议内容,而是一套方法论。
要推动数据生产力的解放,在技术方面还面临安全存储、可信传输、协同生产三大难题。要解决这些问题,需要底层技术支撑。为了推动方法论的落地,微众银行提供一系列数据治理开源组件,包括底层区块链平台、WeID开源组件等,都可以协助基于DDTP理念实现个人信息可携带权的落地。未来,DDTP可以根据实际应用需求不断调整进化。马智涛解释,这些开源组件相当于“乐高”积木,微众银行提供的是通用的组件,应用方可以用这些组件任意拼接,以支持自己的应用。DDTP的提出,是新的个人数据携带模式的尝试,也是对此前个人数据携带模式的改进。此前,在全球范围内,个人信息携带模式出现过两类:由企业主导的模式和由政府主导的模式。由企业主导的个人数据携带模式中,最具代表性的是Google、Facebook、Microsoft、Twitter四大互联网企业联合发起的数据传输项目(Data Transfer Project,简称DTP)。其目的是创造一个服务对服务的开源数据迁移平台,DTP扩展了数据的便携性,为用户提供了在参与项目的服务供应商之间传输数据的平台。比如,如果一位Google用户希望将他的一些照片转移至微软的OneDrive中,那么用户只需授予微软公司读写照片的权限、然后打开Google的文件传输界面、选择目的地然后点击"发送",所选照片就会自动从google复制并传输到微软,而无需使用用户的带宽或硬件。由政府主导的个人数据携带模式的尝试,包括英国推出的“MiData”项目以及韩国推出的“MyData”项目。以Mydata为例,用户可通过MyData运营商的App,要求金融机构将所需信息以API方式提供给MyData运营商,便于运营商为用户提供一站式查询、金融产品咨询、资产管理等服务。当前,韩国率先实现了MyData在金融行业的落地,韩国监管机构已发放了28家MyData运营商牌照,持牌机构包括银行、保险公司、金融科技公司等。但是,马智涛介绍,两种模式的运行目前都遇到了一些问题:由平台主导的模式,遇到两个问题:其一,覆盖范围有限。这种模式的参与者一般都是大企业,特别是科技巨头,比如DTP就是由几个科技巨头所组成的小圈子;其二,可持续性存在问题。因为在这样的模式中,数据的主要提供方会考虑长远来看自身经济利益的得失,这是此模式是否可持续的非常重要的前提。由政府主导的模式,也遇到两方面的问题:其一,这些方案大多针对垂直行业,在跨行业的数据流通方面并没有取得突破;其二,这些平台由政府主导,在发展更加适合市场需求的产品方面,激励机制有所欠缺。马智涛认为,由个人来主导个人信息携带,是一个解放数据生产力的新的机遇。DDTP的提出虽然源自微众银行的实践,但是与美国的DTP有两方面很重要的差别:第一,DDTP是分布式的,没有任何中心机构进行运作。第二,DDTP并不是单一的项目,不是Project,而是Protocol,是协议,希望它成为通用协议,让数据源和数据使用方能通过用户本身的授权进行数据传输。基于这两个重要差别,这种模式有机会可以做到完全由个人主导,而且遵循分布式理念,不需要参与机构有事前约定,也不需要依赖单一中心机构的推动,有机会能够实现跨机构、跨场景、跨业态的数据层面合作。
目前,微众银行正在努力让更多人了解DDTP所倡导的个人数据携带方式,希望有更多的应用场景能够发现DDTP的价值。
对个人用户来讲,要在日常生活中携带自己的个人信息,还需要一些时间。马智涛告诉零壹财经,目前DDTP的倡议刚刚提出,市场需要经过一定的时间来理解和消化,需要有更多的机构加入DDTP的实践,整个市场生态才能发展起来。在应用初期,对于需要应用个人信息来解决问题的个人来说,携带自己的个人信息是有足够动力的。比如,小微企业主如果要向金融机构申请贷款,如果可以提供多方面的数据(比如税务数据),将有利于获得贷款,这将为企业经营带来强有力的支持。
在应用场景方面,微众银行目前会首先在自身金融业务的风控、反欺诈等环节应用DDTP。与此同时,微众银行也初步发现了粤澳健康码之外更多的场景,比如跨境应用、出行场景等。在场景的合作方面,微众银行科技创新产品部负责人姚辉亚向媒体表示,微众银行目前的想法是“多交朋友”,希望进行多方面尝试。未来,在场景应用较为成熟之后,再考虑建立商业关系。值得一提的是,DDTP 协议运作模式在前期可能是分散运作的,并非必须基于微众银行所提供的技术平台。姚辉亚解释,微众银行之所以提供开源技术支持,是因为目前国内尚处于数字化转型的初期,许多企业要自建底层技术平台,需要花费的成本较高,将技术开源能够大大降低企业数字化发展的门槛,也能够降低微众银行与更多合作伙伴的合作门槛,推动创新。事实上,不同机构可以采用不同的区块链生态网络来构建细分行业或领域的个人信息携带应用。未来,基于公众联盟链理念的区块链跨链技术,可以将所有分散的细分领域应用平台链接起来,构建更广泛的分布式数据传输、核验和协作的新生态。届时,数据接收者只需要在任意应用平台中一点接入,就可以在接收个人自主上传数据的同时验证所有来源的个人信息数据。