MyData个人数据授权运营的模式创新
发布时间: 2022-09-23
一、数据流通的现状与问题
当前,数据正在成为重组全球要素资源、重塑全球经济结构、改变全球竞争格局的关键力量。2021年8月召开的G20数字经济部长会议以及9月召开的联合国大会上,数据治理和数据流通成为重点议题之一。欧美稳步推进各自的数据战略,聚焦数据价值释放。我国“十四五”规划也明确提出要激活数据要素潜能,加快培育数据要素市场。
2014-2017年间,国内先后成立了23家由地方政府发起、指导或批准成立的数据交易机构。但是,经过7年多时间的探索,各地数据交易机构运营发展始终未达到预期效果。一是从机构数量来看,绝大多数交易机构已停止运营或转变经营方向,持续运营的数据交易机构非常有限。二是从业务模式来看,落地业务基本局限于中介撮合,一系列增值服务设想并未能落地。三是从经营业绩来看,各交易机构整体上数据成交量低迷,市场能力不足。
(一)个人数据占价值数据较高比例
随着移动互联网和线上交易在社会生活中的日益深入,越来越多的个人数据产生并被收集。IDC白皮书显示,虽然数据产生的主体正在由消费者转变为企业,但消费及娱乐内容的增长仍然是过去十年产生数据的主要动力。根据深圳市金融区块链发展促进会估算,在全球产生的所有数据当中,政务数据占比不到1%,企业数据占比约32%,个人数据占比则可高达68%。这一估算比例也许偏高,但根据笔者多年政务及电商数据实践经验,以政务数据资源为例,采集自个人的数据或占到具有商业价值的政务数据的5成以上,而在电商领域,这一比例则更高。
(二)基于个人数据价值实现的两面性
从市场侧看,数据可分为政府开放数据、海量数据、企业数据和个人数据四类。其中开放数据旨在促进公开透明与公私协作,海量数据往往用于宏观分析及决策优化,企业和个人数据则多用于商业及服务创新。从政府侧看,数据可分为开放数据、有限共享数据和不予开放数据,其中,国家秘密、企业数据和个人数据均属于不予开放范围。由于全球消费互联网早于产业互联网发展,数据驱动型商业模式特别是中国数据密集型企业的商业价值实现主要基于个人数据。早在2011年,世界经济论坛的报告即指出,个人数据正在成为新的经济资产类别,这是21世纪能够触达社会各个角落的宝贵资源。但另一方面,随着各行各业的企业以及政府组织收集越来越多的个人数据,消费者面临着空前数据泄露和隐私侵害的威胁。
(三)数据交易机构的困境
总体而言,中国商业数据流通主要着眼于个人数据。从数据采集看,截至2020年底,我国一二三产业数字化渗透率分别为8.9%、21.0%和40.7%,服务业领先于工农业。从数据使用看,ToC企业数据管理能力成熟度总体优于ToB企业。从全球看,世界最大的数据经纪人(Databroker)博睿(Experian)2019年年报显示,在过去2年中其采集的个人相关数据占到了90%。由于个人数据存在着产权不清晰、权益不对等、匿名化与再识别等现实问题,数据经纪人(Databroker)在欧洲受到严格限制、在美国则受到广泛争议,这也是中国数据交易机构交易量低迷的根本原因,无力提升海量数据的投入产出比(ROI),难以获取真实、高质量的企业数据,无法在保障各方权益的基础上开展合法合规的个人数据增值运营。
二、MyData简介
MyData是一种以人为本的个人数据管理模式,也是一种增进个人、企业和社会互信的互惠机制,其基于一种法律确认的新型权利—个人信息可携带权。
(一)个人信息可携带权
个人信息可携带权最早由欧盟立法提出。2016年,欧盟表决通过了《通用数据保护条例》(GDPR),这是全球范围内首个提及可携带权的法案,其中第20条规定:“数据主体有权获取其提供给数据控制者的相关个人数据,其所获取的个人数据形态应当是结构化的(structured)、通用的(commonlyused)和机器可读的(machine-readable),且数据主体有权将此类数据无障碍地从该控制者处传输至其他控制者处。”GDPR颁布后,其它国家和地区也纷纷跟进。美国加州于2018年签署了《消费者隐私法案》(CCPA),提出“消费者有权要求经营者将其个人信息以易于使用或传输(即可携带)的方式向消费者提供,以便消费者可以无障碍地将信息传输给第三方”。印度2019年通过的《个人数据保护法》规定,“数据主体有权以结构化、通用化且机器可读的格式接收向数据受托者提供个人数据,以及以该格式将该数据转让给任何其他数据受托者”。韩国2020年修订的《信用信息法》中规定在 MyData等政府服务中可以应个人要求传输个人信息到服务运营商, 2021年又在《个人信息保护法(修正案草案)》中增加了个人信息可携带权的相关条款。新加坡2020年通 过的《个人数据保护法》(PDPA)修正案也规定,“个人可以要求负责数据转移的机构组织将个人资料传送至指定的数据接受方”。我国2021年通过的《个人信息保护法》第四十五条规定,“个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。”其中,2019年澳大利亚通过的《消费者数据权利法案》(CDR)不仅明确了个人信息可携带权,还进一步扩大消费者数据权,个人可要求服务提供商提供与本人相关的服务和产品的使用信息。个人信息可携带权体现了将个人权利还于个人的立法倾向,即个人不应该被动地成为被收集目标,无论是在管理“线上”或是“线下”个人生活的时候,他们都应该拥有权利和有效方法来管理自己数据和隐私。
(二)MyData数据产业
MyData基于个人数据存储系统(PDS),其核心思想为个人自主控制自己的数据及其使用。通过落实个人信息可携带权,MyData可以让个人从多个来源聚合关于自己的信息,并将信息授权使用到信用管理和资产管理的一系列流程中。对于支持这些过程的产业(如:把从互联网企业、金融机构、电信公司、其它公共事业单位等所收集到的个人信息,转移到其他企业和机构的业务),称为MyData产业。
图片来源:中国台湾省政府网站
三、国外个人数据授权运营实践
(一)美国MyData实践
美国存在两种个人信息携带模式,包括政府主导的以公共服务为导向的MyData倡议,以及企业主导的以合规为导向的DTP(Data Transfer Project)项目。2009年,美国总统奥巴马发起一系列MyData倡议,以确保所有美国人都能轻松安全地访问自己的个人数据,并增强他们为自己和家人做出知情选择的能力。2010年,美国政府针对退伍军人推出Blue Button。通过退伍军人事务部网站的蓝色按钮,退伍军人能下载个人的健康资料,提供给医生、医疗保险或护理者。随后,美国在能源领域也推出Green Button。今天,有超过16000家医疗保健组织和提供商参与Blue Button计划并提供相关信息,1.5亿美国人可以在线访问他们的健康记录。在能源领域,150多家公用事业和电力供应商承诺提供6000多万户家庭和企业的Green Button服务。与此同时,为落实个人信息可携带权,Google、Facebook、Microsoft、Twitter等美国互联网企业还发起了DTP(Data Transfer Project)项目,目的是为用户创造一个在不同服务商之间传输数据的平台。
(二)英国MIDATA实践
英国高度重视数据驱动的增长和服务创新,英国在开放数据(Open Data)、开放银行(Open Banking)、个人数据管理服务(PDMS)等领域的探索均处于世界领导地位。英国数字、文化和传媒部的研究报告显示,个人数据流通将为英国带来每年278亿英镑的GDP增长。2013年,英国商业、创新和技能部(BIS)牵头设立了MIDATA数据创新实验室(MIL),以帮助消费者归集被各服务机构采集的个人数据,并促进基于授权的创新数据服务。MIDATA是政府与行业合作的自愿计划,所有人都同意将数据回传给消费者的基本原则。所有数据集都是加密的,只有数据帐户持有人才能访问他们的个人数据,每次对数据的访问都会被记录下来,并通过有限主体范围控制企事业单位对数据的访问。目前,包括Telefonica、BBC、Npower、Grapple等在内的25家英国能源、金融和电信部门参与了这一计划,并推出了商业、个人福利、个人安全以及医疗健康等领域5个创新应用,BIS则在法规层面给予了MIDATA充分的支持。
图片来源:MIDATA网站
(三)日本PDB探索
日本政府一直在探索促进数据价值利用的方法,并前瞻性地在20国集团会议上提出了无数据流(DFFT)理念。该理念倡议,个人可以决定将信息存入受信任的实体,即个人信息银行(PDB),PDB将向第三方提供数据,并将部分经济收益返还给个人。2016年,日本政府决定测试和推广名为个人数据存储(PDS)的数字系统,即个人控制自己的数据,而不是目前拥有和垄断大量个人数据的企业数字基础设施。日本政府“My Number”门户是其在公共服务领域实践数据可携带性和版权管理的探索。2017年,日本经济产业省(METI)、总务省(MIC)在旅游业启动PDS示范项目(OMOTENASHI好客平台),外国游客可以基于他们的共享注册信息,享受平台参与企业/社区提供的无缝服务。2019年,日本经济产业省、总务省发布了《数据信托功能认定指南2.1版》,决定在个人数据存储(PDS)系统的基础上,试点开展个人信息银行(PDB),以实现个人数据流通并创造新服务型态。如下图所示,个人信息银行(PDB)的权益返还由银行吸储优惠补贴和场景应用价值返还两部分构成,从而形成具有竞争力的市场化MyData数据服务产业体系。
图片来源:METI网站
(四)韩国MyData实践
韩国MyData由政府主导,政府通过牌照准入的方式,审核、批准MyData运营商建立服务平台。当用户请求访问个人数据时,信息提供者需要将个人信 息传输给MyData平台,MyData平台整合各公司的个人数据后统一传输给个人。当个人需要执行数据可携带权时,只需授权信息接收者从MyData平台处获取即可。2020年,韩国完成《信用信息使用和保护法》(Credit Information Use and Protection Act)修订,以加强个人数据保护,并将MyData数据业务纳入法律监管范畴。2021年,韩国金融服务委员会(FSC)发布MyData服务筛选与许可计划,共有56家MyData服务提供商获得准入资质,推出45项MyData服务,这些机构大多为大型金融机构。韩国行政安全部计划到2023年,将个别行政信息扩大到180种。保健福利部以“医疗领域的MyData引入方案”为主题,提出准备医疗数据的采集体系,建设My Health Way平台。根据2021年韩国《东亚日报》报道,由于提供了MyData服务,对分散在韩国各信用卡公司的消费者信用卡积分,可进行一站式查询并且转换成现金后,韩国消费者一周之内有778亿韩元的信用卡积分转换成对应现金。
韩国政府各部门均认为MyData的成功,消费者信任尤其重要,必须加强个人信息保护和安全体系建设。为防止数据滥用或误用,FSC禁止MyData服务用于数据经纪或数据交易。原则上,极有可能从事数据经纪或数据交易的商业实体,以及极有可能滥用或误用数据商业实体,将被排除在许可程序之外。FSC还发布了相关安全措施,要求MyData服务必须通过API(应用程序编程接口)方式提供,MyData数据仅应用于提供用户自己要求的分析服务,禁止将相关数据用于指定目的以外的用途,禁止提供数据给不属于MyData行业的外部同行。
(五)中国台湾省MyData实践
中国台湾省政府数据共分为三类,包括开放数据、受限共享数据和不予开放数据。其中,不予开放数据包括国家秘密、个人数据和企业经营数据。为促进个人在线服务和个性化服务,中国台湾省地方行政当局金管会和国发会于2020年共同推动发起建设台湾省个人资料自主运用(MyData)平台。目前,中国台湾省MyData平台服务使用者仅限于政府机关、国营企事业单位,以及受到高度监管的部分银行。按照MyData平台对接规范,大专院校需经教育行政主管部门、国营企事业单位需经各自行业主管部门同意,才能向MyData平台提出服务对接申请。
图片来源:中国台湾省政府网站
四、MyData的创新意义
(一)保障个人数据权利
当前,个人拥有极少甚至没有任何能力控制企业、政府或数据经纪人如何创建或使用有关他们及其活动的数据。MyData为个人数据管理提供了易于使用且全面的工具,以及公开显示相关组织和部门如何使用其数据的透明机制。个人还可以享受更多自主选择和创新服务的好处。就倡导公平和鼓励发展的立法规则而言,各国立法仍然在不断探索个人和企业之间就个人数据的权益分配和主张的可能空间。国外MyData实践遵循“隐私优先、赋权民众、价值创新”的总体原则,首先赋予个人自主确定如何使用其个人数据的权力,其次才是有序推进个人数据的复用创新。例如,美国Blue Button和Green Button聚焦于个人数据的自主获取;英国遵循Open Data(开放数据共享)、Open Banking(金融场景个人数据授权共享)、MIDATA(个人数据创新共享)的稳妥演进路径;日本在个人数据存储(PDS)系统的基础上,试点开展个人信息银行(PDB);韩国、中国台湾省限制MyData使用主体及场景范围等。
(二)非排他性价值分配
部分专家认为,数据财产是控制人通过资本投入或者与信息源权利人达成协议后取得的,属于数据控制人的数据资产,不能将数据资产共同为数据主体和数据控制人享有。例如,用户使用网络服务商所产生的数据属于企业所有。然而,数据应用价值的来源归根到底基于人们对事物的准确描述,即无论是聚合信息、匿名化信息,还是算法生成标签信息,其价值的源起都来自于准确、真实的个人信息。我们显然无法基于错误的个人信息,通过算法推演得出正确的判断。如同作为石化产出的塑料制品不能否定石油的价值贡献。毫无疑问,数据权属已成为影响数据开发利用的核心问题之一。从全球范围看,包括欧盟《通用数据保护条例》(GDPR)等在内的各国个人数据立法均回避了数据权属,而寄希望于通过市场化机制探索出更加符合多方利益的补偿和激励机制。例如,日本《个人信息保护法》甚至都尚未明确个人信息可携带权,但日本政府却是个人信息银行先导理念的积极推动者,这体现了数据权益分配的价值源起和公平性原则。
平台化利用模式与MyData模式并行
图片来源:MyData Global网站
不同于土地、资本、劳动力等具有排他性的生产要素,数据要素具有非排他性,在一个主体用于生产的同时,并不排除其他主体在同一时刻将其用于生产的可能。MyData开创了相关主体数据权益保障“增量变革”的新模式,在数据权益向消费者的转移过程中,并不影响原有数据控制人的使用权益,且提升了个人自主控制下的其它企业获取数据的合规性和便利性、降低了其数据获得的成本,促进了数字权益、创新和业务增长的齐头并进。
(三)公私协作运营
MyData注重公共部门和私营部门的共同努力。例如,美国Blue Button有超过16000家医疗保健组织和提供商参与,Green Button有150多家公用事业和电力供应商参与;英国MIDATA包括Telefonica、BBC、Npower、Grapple等在内的25家英国能源、金融和电信部门参与;韩国现代证券将金融、房地产和虚拟资产查询服务连接至MyData等。
五、MyData的发展趋势
(一)控制流与数据流分离
MyData的核心理念是个人可以访问和自主控制个人数据,并基于可信MyData服务运营商建立价值流动及数据服务。可信MyData服务运营商的能力要素包括个人数据聚合能力、增值加工能力、数据安全管理能力、场景化最小数据对外提供能力、数据服务运维保障能力、市场拓展及价值返还能力等。控制流与数据分离的开放基础架构,使得个人数据可以安全地存储在中立权威的第三方数据空间(如公共部门的PDS数据平台),个人可以轻松选择和更改MyData服务运营商,从而最小化服务提供商的锁定风险。这是提升MyData数据服务运营质量、价值实现和数据安全,并构建用户信任体系的基础。
图片来源:MyData Global网站
(二)场景化受限使用
拥有个人数据不仅是一项权益,更是一种责任。英国MIDATA所有数据集都是加密的,每次对数据的访问都会被记录下来,并通过有限主体范围控制企事业单位对数据的访问。中国台湾省大专院校需经区域教育行政主管部门、国营企事业单位需经各自行业主管部门同意,才能向MyData平台提出服务对接申请。韩国FSC要求MyData服务必须通过API(应用程序编程接口)方式提供,禁止将相关数据用于指定目的以外的用途,禁止提供数据给不属于MyData行业的外部同行,并对MyData服务使用方实施许可制度。与数据批量调用相比,场景化、服务化使用,可以将数据服务API嵌入业务流程,实时记录、即席评估使用情况,并可通过数据反馈进行实时拦截和关停。
(三)从授权到信托
2021年《麻省理工科技评论》发布的年度“十大突破性技术”将数据信托技术选入其中。数据信托模式与数据授权模式的区别在于,数据授权模式下的数据流通需要数据使用者向提供者提出申请并获得许可,个人需要基于MyData服务运营商的建议自主对数据使用主体、场景及潜在的风险进行独立判断。数据信托模式下个人不必每次对是否提供数据进行判断,而是由个人信息银行(PDB)专业人士根据双方达成共识的数据安全使用控制策略代为决策,这将降低个人决策风险并提高用户体验。
图片来源:三井公司全球战略研究所网站
六、一种可行的MyData参考架构
从全球看,MyData实践大致可分为两种类型。一种是以“公民赋权”为核心的政府主导中心化模式,通过个人数据存储系统(PDS)新型基础设施建设,联动相关行业、融合政企数据,推动个人数据权益落实(美国),并在此基础上分阶段有序推进基于主体授权的数据应用创新(英国、日本、韩国、中国台湾等)。另一种是以“合规遵从”为导向的企业主导分布式传输模式,其目的是为用户创造一个在不同服务商之间传输数据的平台,并不涉及数据增值运营。考虑到目前我国数据法规尚在探索、民众信任有待建立,监管及应用规则仍需在实践中动态调整、优化和贯彻落地,以政府为主导、兼顾隐私与发展,以个人数据存储系统(PDS)为基础,基于主体授权实现数据流与控制流分离,透过若干认证实验室或运营商开展数据增值加工,按照“公共服务-可控共享场景服务(如开放银行、高校科研等)-创新场景服务”路径有序推动数据共享,是一种可行的参考架构。
七、结语
当前,以实现个人信息权利、改善数据规制现状以及打破平台的锁定效应为目标的MyData模式在全球的探索实践如火如荼。虽然MyData模式还面临着各方数据采集者数据格式与数据质量差异、个人数据类型丰富度、服务运营商公众信任、API数据服务缓存、加工及二次传播监管、个人数据新型基础设施(PDS)建设主体等一系列问题,但其为保障个人数据利益、减少隐私损失、促进产业发展带来了全新的发展模式和实现可能。特别是在今天中国地方政府纷纷出台公共数据授权运营政策及业务试点的大背景下,其以人为本、尊重数据主体权益的基本思想,为占公共部门价值数据最大比例的企业与个人敏感信息开发利用提供了可资借鉴的参考。
作者: 敏翀