原标题:《个人信息保护法》今起正式实施个人信息可携带权何以加快落地?
来源:经济观察网
经济观察网记者老盈盈 11月1日,《个人信息保护法》正式实施,其中首次对“个人信息可携带权”作出规定,提出“个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径”。
“在政务和企业数据价值的体现方面,业界已经有很多尝试,我们看到非常多做法能够把数据价值释放出来。但在所有数据中占比最大的个人数据,要真正把它的价值体现出来,难度系数也是最高的。过去在传统的数据授权模式下,分别要求用户对于数据托管方、数据应用方进行授权,然后两个企业之间需要协议支撑着数据的授权使用。在三重授权模式中,用户还是处于相对比较被动的位置,因为企业的行为完全受他们自身的利益所驱动。对于个人用户来讲,模式并非完全透明。”微众银行副行长兼首席信息官马智涛对包括经济观察网记者在内的媒体表示。
“个人数据流转难的关键在于个人数据虽然由个人创建,但大多数情况下却需要通过企业流转,责任主体和利益主体不一致。”观韬中茂律师事务所合伙人王渝伟表示,个人信息可携带权赋予了个人主动在企业间流转个人信息的权利,充分体现将个人权利还于个人的立法初衷,让个人能携带数据在不同平台上使用,有望解决个人数据流转难题。
当下,全球有不少国家已经对“个人信息可携带权”的落地迈出一些实质性步伐。马智涛分析,个人信息可携带权在境外主要分为平台主导和政府主导两类实践模式,其中,美国企业发起的DTP(Data Transfer Project)项目是平台主导的应用代表,但平台主导的模式还是有它的局限性,其中非常明显的局限性就是这种模式都是大企业,特别是科技巨头所组成的小圈子,覆盖范围有限,可持续性上也存在疑问,因为主要提供数据的一方会考虑长远下来他的经济利益是否得到保护,这是此模式是否可持续非常重要的前提。
而政府主导的个人信息携带模式由政府授权或政府成立中心化机构,把数据提供方、数据应用方连接起来。对于用户来讲,他可能只需要一次授权,这种模式能够把数据提供方、托管方、使用方连起来。印度账户聚合的平台、新加坡和韩国的My Data都可归纳为由政府主导的个人信息携带模式。同样它有一定的局限性,这些方案都是针对垂直行业的,针对跨行业的支持有蛮多的限制,可持续性上也存在疑问。
在个人信息可携带权被确立的情况下,到底有没有其他路径突破、攻克“三大难题”:可信传输、安全存储、协同生产呢?
2020年疫情期间,粤澳健康码跨境互认项目上线,该项目让用户成为个人信息数据传输的核心,自主携带申报个人健康信息,通过可验证数字凭证上链,实现数据验证及健康码互认互换。截至今年6月,粤澳健康码跨境互认项目已支持超9500万人次顺利通关。
在此基础上,由微众银行牵头成立的金链盟、观韬中茂律师事务所、金融科技·微洞察等机构对粤澳健康码的形式进行提炼,并提出了倡议——分布式数据传输协议(DDTP)Distributed Data Transfer Protocol。
DDTP是一种新型的分布式数据传输协议,建立用户主动行使个人信息可携带权的模式,为实践个人信息可携带权、解放数据生产力提供中国可行落地路径建议。该协议基于区块链技术进行设计,通过区块链的全流程追溯、防篡改、传递信任等特性,叠加引进权威机构的参与,助力更安全、可信、易协作的个人信息携带应用。
据马智涛介绍,DDTP和美国的DTP有两方面很重要的差别:第一,是分布式的,没有中心机构主导。第二,并不是单一的项目,不是Project,是Protocol,是协议,希望它成为通用协议,让具有大量数据的提供者,以及有很多应用场景的数据接收方,能通过用户本身的授权进行数据传递。在过程中因为注入了区块链、云计算、AI能力,可以非常有效地应对解答之前所讲的可信传输、安全存储、协同生产三大难题。
“DDTP所提让用户成为关键参与者,有赖于个人信息处理者满足充分告知、合法授权两个重要前提。”深圳市前海公证处副主任谢京杰认为,作为国家法定证明机构,公证处可以发挥“传递信任、创造价值”作用,通过“技术赋能”与“司法增信”,为个人数据可携带权在中国的落地实施提供双重保护。
责任编辑:张玉