- +1
个人信息保护难题的破解之道:建立个人数据银行
说到个人信息保护,你是不是有很多问号?
装修公司为什么知道你刚买了房子?电商平台为什么知道你在其他网站搜索的内容?听了节网课为什么培训机构的销售电话就开始狂轰乱炸?据统计,中国网民人均使用56款App,它们获取了多少关于你的信息?又用在了哪里?有没有偷偷拿去交易?当个人信息受到侵害,应该如何维权?个人信息到底放在哪里才足够安全?
10月13日,《个人信息保护法(草案)》(以下简称“草案”)首次提请全国人大常委会审议。有消息指出,草案规定侵害个人信息权益的违法行为,情节严重的,没收违法所得,并处5000万元以下或者上一年度营业额5%以下罚款,5%的额度甚至超过了号称“史上最严”的欧盟GDPR(《通用数据保护条例》)。但指望严刑峻法能够马上慑止关于个人信息的违法行为,恐怕过于乐观。
面对万物互联的数字经济时代,我们谈个人信息保护,很大程度就是在讲个人数据保护。
对此,先表明几个观点:
1)个人数据法最核心的问题只有一个,就是数据确权;
2)随着个人数据量的膨胀,指望公民自己管好自己的数据,几乎是不可能的事;
3)按照当前比较混乱的个人数据流通局面,要全面落实个人数据保护要求,政府需承担天量的监管任务,并且困难重重;
4)个人数据垄断、割据,最终会伤害企业利益;
5)建立以“个人数据银行”为核心的个人数据流通体系,可以成为个人、企业、政府三方得利的好事情。
一、数权法的关注点在哪里
公民对隐私保护的关切和数字化便利的向往,企业对数字经济红利的渴望,政府对善政善治的追求,三种力量分别从不同角度对个人数据提出了权利主张。但个人数据不同于一般性财产,权属关系比较复杂,除了所有权以外,还有使用权、监督权、管理权等一系列衍生权利。
如果一味强调保护,而牺牲个人数据的应用价值,则难免陷入卢德主义(对新技术和新事物的一种盲目冲动反抗),成为经济社会发展的阻碍。
欧盟GDPR虽然更多倾向于保护自然人,但也同时明确了“个人数据在欧盟境内的自由流通不得因为在个人数据处理过程中保护自然人而被限制或禁止”,给个人数据流通留下了余地。因此,个人数据确权关键是处理好隐私和便利的关系,也即数权保护与数据流通性的平衡。
而确权的前提,是对个人数据的范畴有非常明确的界定。从披露信息看,草案明确:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”相较《民法典》“识别特定自然人的各种信息”的表述,“自然人有关的各种信息”显然扩大了个人信息保护的范围。
但“不包括匿名化处理后的信息”这一限定,仍值得商榷。首先,不论是否匿名,都不能改变数据来源的事实。其次,“匿名化处理”属于比较宽泛的概念,比如:经过区块链技术处理实现匿名化的个人数据,仍应属于被保护的个人数据。不包括匿名化的限定显然有利于促进数据流通性,但在执行层面可能造成标准不一,难以落地。
因此,个人数据应该是来源于自然人的一切数据,自然人应该对自己全部的个人数据享有权利。在此基础上,建立统一、完备的个人数据结构化模型(数字孪生体),根据不同的数据形式和数据价值进行分级确权。由此引申出个人数据标准化的问题,似乎是难以回避,需要在制度和技术层面尽快突破并细化完善。
当然,有必要在履行个人数据保护义务的前提下,保证紧急状态下政府的数据动员权利,除了“突发公共卫生事件,或者紧急情况下保护自然人的生命健康”,还应包括其他比较严重的公共安全情形。
二、管好自己的数据到底有多难
作为一个自然人,你有多少数据?要搞清这个问题,可能需要查询公安、民政、卫健、医保、住建、交通、税务等几十个政府部门,水、电、气、网等市政服务单位,银行、保险、证券等各类金融机构,外加各大互联网平台的个人账户信息,即使这样也不能完整包括你实际拥有的数据量。
要凭个人的力量妥善管理好这些数据,几乎是不可能完成的任务。因为个人数据不能一直锁在抽屉或保险柜里,一旦拿出来使用,就会有泄露的风险,况且其中很大一部分早已经散落在大大小小的服务器里。我们如何确保这些原本属于个人的数据不被滥用?虽然草案明确了以“告知——同意”为核心的个人信息处理规则,面对巨大的技术和时间成本,具体执行落地却很可能面临各种各样的障碍。
试想,有多少用户会为了安装一款App,看上半个小时的说明文档?在纷繁众多的互联网应用中间,用户又能否清晰记住自己向哪些平台或机构提供了哪些数据?既然个人数据属于个人财产,我们能否从中取得自己应有的收益?即便意识到个人数据受到侵害,维权取证也会非常困难,而且成本高昂。面对手握资本和技术枪炮的“数据海盗”,个体的抗争显然十分无力,而法律制度也不能完全充当“防火墙”的角色,政府面对天量的维权和申诉,也将耗费巨大的行政资源。面对这样一场非对称攻防战,我们似乎难有胜算。
既然如此,你是否考虑过,干脆把个人数据封装打包,全权交给专门的“个人数据银行”托管,甚至在确保隐私和数据安全的前提下,为你创造额外的价值?你也可以通过手机银行查看个人数据资产报告,随时掌握个人数据资产及其使用、收益情况。当然,前提必须是“个人数据银行”具有足够强大的技术能力,能够确保数据安全,并恪守隐私保护的基本原则。
三、数据垄断、数据割据对企业并非好事
社会上普遍存在一种认识误区,使用个人数据的企业似乎是乱象丛生的数据市场唯一的获利方。
事实上,对需要直接使用个人数据的企业来说,当前的个人数据领域就像一片蛮荒之地,跑马圈地,先到先得,管他能不能用,好不好用,先拿过来再说。而由此造成的数据垄断、数据割据,可谓比比皆是。但这些数据大多都不能完全满足企业应用的需要,否则就不能解释,为什么平台推送的商品经常会令人啼笑皆非。
此外,企业还要付出巨大的数据治理成本,并承担难以估量的法律风险。对于企业来说,理想的状态应该是,高质量、结构化的个人数据,能够充分自由地流通,通过市场化的定价机制,以合理的费用,合法购买到自己需要的部分。尤其是初创企业,谁不渴望能够获得与行业大佬平等的数据使用权利?“个人数据银行”一半是为此而生,从C端(自然人用户)购买上载的标准化个人数据包,经过相应的封装处理——对批量数据进行匿名化打包,对单个数据进行零知识加密,再向B端(企业用户)供给数据产品,获取相应的收益,根据约定的利益分配机制,向C端支付数据使用费,并不断丰富和更新C端数据包内容。
四、政府监管及个人数据收回
有了“个人数据银行”,政府的监管难题几乎可以迎刃而解。
如果所有的个人数据交易都以“个人数据银行”为核心,监管要做的就是按照既定规则,实时监控“个人数据银行”的行为,确保百分之百合规。当然,与企业一样,政府也应享有从“个人数据银行”购买和使用数据产品的权利,以实现治理体系和治理能力现代化。
作为普通人,我们当然应该关心个人数据上载之后如何收回的问题。只要用加密技术为每个自然人提供一个可以装载个人数据的“数据黑盒”,在你决定从“个人数据银行”收回或部分收回数据的时候,将个人数据包下载到“数据黑盒”即可,“个人数据银行”将按照约定时限删除你要求收回的数据,并确保使用你数据的其他主体也这么做,同时停止向你支付相应的数据使用费。当然,“数据黑盒”可以是一个虚拟的云端保险箱,“个人数据银行”在你提交停止数据流通的需求后,把你指定的数据从产品中抽回,单独封存不再使用即可。
“个人数据银行”的概念多年前就已出现,随着区块链等加密技术不断进步和数据立法的加快,条件已日趋成熟,既然数据要素化、资产化渐成共识,建立以“个人数据银行”为核心的个人数据流通体系应该尽快提上日程,并在数据立法过程中充分给予考量,配套进行相应的制度设计。
(作者陶辉为无锡市大数据管理局公务员)
- 报料热线: 021-962866
- 报料邮箱: news@thepaper.cn
互联网新闻信息服务许可证:31120170006
增值电信业务经营许可证:沪B2-2017116
© 2014-2024 上海东方报业有限公司