微眾銀行正在努力讓更多人了解DDTP所倡導的個人數據攜帶方式
出品| 零壹智庫
作者| 溫泉
在推動個人數據流通方面,中國首家互聯網銀行微眾銀行再次成為破局者。
11月1日,《個人信息保護法》正式生效執行。其中,法案的第45條首次描述了“個人信息可攜帶權”的相關規定,提出“個人請求將其個人信息轉移至其指定的個人信息處理者,符合國家網信部門規定條件的,個人信息處理者應當提供轉移的途徑”。
與法案落地相呼應,此前10月21日,由微眾銀行發起成立的深圳市金融區塊鏈發展促進會(以下簡稱:金鍊盟)聯合觀韜中茂律師事務所、金融科技•微洞察等機構,聯合發布《DDTP——分佈式數據傳輸協議白皮書》(DDTP全稱:Distributed Data Transfer Protocol)。
該白皮書對全球現有主要個人信息可攜帶權的實踐模式進行了梳理,分析其優勢和局限性,在結合已有案例的基礎上,提出適合中國的個人信息可攜帶權實踐模式倡議。
這是中國首個推動數據主權回歸個人用戶的實踐探索。個人數據在所有數據當中佔比最大,達到68%。但是此前,個人數據價值的釋放卻受到很大的限制。個人數據雖然由個人創建,但很多情況下卻需要在企業之間流轉,責任主體和利益主體不一致,導致個人數據流轉困難,也造成數據孤島、數據壟斷難以打破。因此,為了讓個人數據價值充分釋放,讓數據主權回歸用戶,成為實踐中的必選項。
這一探索所取得的經驗與成果,將使得中國市場對數據主權回歸個人用戶的實踐路徑有更為深刻的認知。未來,這有可能引發產業界更多的探索,對數據產業格局的重塑、數字經濟的發展或將產生更為深遠的影響。
10月26日,微眾銀行副行長馬智濤、微眾銀行科技創新產品部負責人姚輝亞接受了媒體專訪,詳細介紹DDTP的理念及實踐。
讓個人主導個人信息攜帶
DDTP旨在讓用戶成為關鍵參與者,由用戶主動發起個人信息數據傳輸並自行上傳,從而實踐個人數據可攜帶權。
該協議分兩個主要步驟行使個人信息可攜帶權:
第一步是用戶從數據提供者處下載個人信息數據,並存儲在個人指定的位置。存儲位置可以是本地,也可以是雲或其它位置。為了確保個人真實意願、防止真實數據被篡改、保持傳輸給接收者的個人信息與提供者提供的個人信息一致,經用戶授權後,可進一步引入權威中立的第三方機構參與見證該個人數據文件的傳輸過程,並獲取相關文件的哈希值(而非源文件)作為“數據指紋”存儲於區塊鏈上。
第二步是用戶將已下載的個人信息數據傳輸給數據接收者,並對使用範圍和使用目的等進行授權。數據接收者在收到個人信息數據文件之後,可以將該文件與此前存儲於區塊鏈上的“數字指紋”進行比對,從而完成驗真的過程。與此同時,個人的所有授權記錄、數據接收者的具體使用情況也皆可在鏈上進行記錄,便於個人未來追溯相關文件的流轉。
該協議並非憑空想像,而是基於實踐探索的成果,其設計靈感來自於粵澳健康碼跨境互認的實踐。
進入2020年之後,突如其來的疫情造成了人員跨地跨境流動的不便,尤其是跨境健康碼如何實現互認互轉成為難題——首先,健康碼生成、使用的安全隱私標準必須符合兩地各自用戶隱私保護的相關法規要求;其次,按照法律法規規定,居民的個人隱私信息不能跨境傳輸,而居民的個人信息及核酸檢測信息等只有本地的權威機構才能驗證。那麼在數據不出境的情況下,如何驗證用戶提交信息的真實性?比如,以前從廣東去澳門,需要廣東居民在廣東進行核酸檢測,然後在線下攜帶紙質的檢測報告到澳門;疫情期間,為了減少人員流動,檢測報告使用電子版較多,這就帶來新的問題:如果廣東居民向澳門監管機構出示電子版檢測報告,對方如何判斷報告真假? (紙質文件判斷真假,主要依靠官方文件的印章,但是電子版文件容易被PS)
為了破解難題,微眾銀行提供開源技術支持,助力粵澳健康碼跨境互認應用創新了運作機制:讓用戶成為跨境數據傳輸的核心——比如廣東用戶去澳門,用戶在廣東下載健康數據文件之後,形成“數字指紋”(即個人健康數據文件的哈希值)存儲在區塊鏈上。此後,用戶將文件提交澳門監管方,澳門監管方將用戶提交的信息與此前的“數字指紋”進行對比,如果信息一致,即可通過審核,兩地健康碼可以互認。
這個過程的前後台運作是這樣的:經用戶同意授權之後,所在地區的政府部門開始啟動健康數據轉碼;在後端,個人健康數據文件的哈希值和用戶的數字簽名將記錄在區塊鏈上,數據原文信息則仍保存在健康碼發行機構的本地數據庫中;在前端,用戶無須在多個平台重複填寫複雜信息,只需簡單授權後,產品將自動為用戶轉為前往地區的健康碼,從而實現了合規前提下的個人健康信息的跨境攜帶。
截至2021年6月,項目已服務超9500萬人次在粵澳兩地跨境通行,對支持粵港澳大灣區人員的正常流動和經濟社會交流恢復發揮了重要作用,取得了良好的社會反響。
圖1 個人信息攜帶方案DDTP圖示
需要指出的是,DDTP不是一套文字版的協議內容,而是一套方法論。
要推動數據生產力的解放,在技術方面還面臨安全存儲、可信傳輸、協同生產三大難題。要解決這些問題,需要底層技術支撐。
圖2 解放數據生產力所需具備的條件
為了推動方法論的落地,微眾銀行提供一系列數據治理開源組件,包括底層區塊鏈平台、WeID開源組件等,都可以協助基於DDTP理念實現個人信息可攜帶權的落地。未來,DDTP可以根據實際應用需求不斷調整進化。馬智濤解釋,這些開源組件相當於“樂高”積木,微眾銀行提供的是通用的組件,應用方可以用這些組件任意拼接,以支持自己的應用。
解放數據的新機遇
DDTP的提出,是新的個人數據攜帶模式的嘗試,也是對此前個人數據攜帶模式的改進。
此前,在全球範圍內,個人信息攜帶模式出現過兩類:由企業主導的模式和由政府主導的模式。
由企業主導的個人數據攜帶模式中,最具代表性的是Google、Facebook、Microsoft、Twitter四大互聯網企業聯合發起的數據傳輸項目(Data Transfer Project,簡稱DTP)。其目的是創造一個服務對服務的開源數據遷移平台,DTP擴展了數據的便攜性,為用戶提供了在參與項目的服務供應商之間傳輸數據的平台。比如,如果一位Google用戶希望將他的一些照片轉移至微軟的OneDrive中,那麼用戶只需授予微軟公司讀寫照片的權限、然後打開Google的文件傳輸界面、選擇目的地然後點擊”發送”,所選照片就會自動從google複製並傳輸到微軟,而無需使用用戶的帶寬或硬件。
由政府主導的個人數據攜帶模式的嘗試,包括英國推出的“MiData”項目以及韓國推出的“MyData”項目。以Mydata為例,用戶可通過MyData運營商的App,要求金融機構將所需信息以API方式提供給MyData運營商,便於運營商為用戶提供一站式查詢、金融產品諮詢、資產管理等服務。當前,韓國率先實現了MyData在金融行業的落地,韓國監管機構已發放了28家MyData運營商牌照,持牌機構包括銀行、保險公司、金融科技公司等。
但是,馬智濤介紹,兩種模式的運行目前都遇到了一些問題:
由平台主導的模式,遇到兩個問題:其一,覆蓋範圍有限。這種模式的參與者一般都是大企業,特別是科技巨頭,比如DTP就是由幾個科技巨頭所組成的小圈子;其二,可持續性存在問題。因為在這樣的模式中,數據的主要提供方會考慮長遠來看自身經濟利益的得失,這是此模式是否可持續的非常重要的前提。
由政府主導的模式,也遇到兩方面的問題:其一,這些方案大多針對垂直行業,在跨行業的數據流通方面並沒有取得突破;其二,這些平台由政府主導,在發展更加適合市場需求的產品方面,激勵機制有所欠缺。
馬智濤認為,由個人來主導個人信息攜帶,是一個解放數據生產力的新的機遇。 DDTP的提出雖然源自微眾銀行的實踐,但是與美國的DTP有兩方面很重要的差別:
第一,DDTP是分佈式的,沒有任何中心機構進行運作。
第二,DDTP並不是單一的項目,不是Project,而是Protocol,是協議,希望它成為通用協議,讓數據源和數據使用方能通過用戶本身的授權進行數據傳輸。
基於這兩個重要差別,這種模式有機會可以做到完全由個人主導,而且遵循分佈式理念,不需要參與機構有事前約定,也不需要依賴單一中心機構的推動,有機會能夠實現跨機構、跨場景、跨業態的數據層面合作。
尋找應用場景
目前,微眾銀行正在努力讓更多人了解DDTP所倡導的個人數據攜帶方式,希望有更多的應用場景能夠發現DDTP的價值。
對個人用戶來講,要在日常生活中攜帶自己的個人信息,還需要一些時間。馬智濤告訴零壹財經,目前DDTP的倡議剛剛提出,市場需要經過一定的時間來理解和消化,需要有更多的機構加入DDTP的實踐,整個市場生態才能發展起來。在應用初期,對於需要應用個人信息來解決問題的個人來說,攜帶自己的個人信息是有足夠動力的。比如,小微企業主如果要向金融機構申請貸款,如果可以提供多方面的數據(比如稅務數據),將有利於獲得貸款,這將為企業經營帶來強有力的支持。
在應用場景方面,微眾銀行目前會首先在自身金融業務的風控、反欺詐等環節應用DDTP。與此同時,微眾銀行也初步發現了粵澳健康碼之外更多的場景,比如跨境應用、出行場景等。在場景的合作方面,微眾銀行科技創新產品部負責人姚輝亞向媒體表示,微眾銀行目前的想法是“多交朋友”,希望進行多方面嘗試。未來,在場景應用較為成熟之後,再考慮建立商業關係。
值得一提的是,DDTP 協議運作模式在前期可能是分散運作的,並非必須基於微眾銀行所提供的技術平台。姚輝亞解釋,微眾銀行之所以提供開源技術支持,是因為目前國內尚處於數字化轉型的初期,許多企業要自建底層技術平台,需要花費的成本較高,將技術開源能夠大大降低企業數字化發展的門檻,也能夠降低微眾銀行與更多合作夥伴的合作門檻,推動創新。
事實上,不同機構可以採用不同的區塊鏈生態網絡來構建細分行業或領域的個人信息攜帶應用。
未來,基於公眾聯盟鏈理念的區塊鏈跨鏈技術,可以將所有分散的細分領域應用平台鏈接起來,構建更廣泛的分佈式數據傳輸、核驗和協作的新生態。屆時,數據接收者只需要在任意應用平台中一點接入,就可以在接收個人自主上傳數據的同時驗證所有來源的個人信息數據。
變革即將啟動。
展開全文打開碳鏈價值APP 查看更多精彩資訊
