在数字经济时代的浪潮中,随着移动互联技术的深度融合,消费者数据呈现出前所未有的爆炸性增长,其速度日益加快。根据《世界经济论坛》:“个人数据正在成为一种新的经济资产类别,这是 21 世纪的宝贵资源,将触及社会的各个方面”。
数据具有权利复杂、无形性、非消耗性、非竞争性等特点,可以接近零成本无限复制,对传统产权、流通、分配、治理等制度提出新挑战。世界各国在完善数据治理、加强数据保护的同时,也在积极探索数据流通利用的新模式。2016 年欧盟《通用数据保护条例》首次明确“个人数据可携带权”,自此世界各国纷纷开始将数据可携带权纳入立法。可携带权是一种新兴数据权利,有助于增强数据主体对其本人数据的控制和转移,实现数据流通、打破数据壁垒、促进商业创新。
当前,我国数据管理体制不断完善,数据要素市场化配置改革正在加快推进。消费者数据标准化程度高、应用场景丰富、商业变现能力强,是最有活力最具价值的数据类型。消费者数据流通利用是我国数据产业和数字经济发展的重要突破口,我国应当积极借鉴各国成功经验,积极探索基于可携带权的消费者数据要素流通利用新模式。
一、消费者数据流通价值链
图 1 消费者数据价值链模型
消费者数据价值链包括三个环节:数据采集、聚合加工和数据应用。每个环节涉及广泛的利益相关者,包括个人、企业、公共机构等。有些利益相关者只参与价值链的某些部分,如,数据经纪人(Data brokers)通常不使用消费者数据,而是对其进行处理和出售。有些利益相关者参与价值链的所有环节。
1. 数据采集
价值链的第一步是在法律框架下合规地收集数据。采集后的数据被整理并存储,用于进一步处理和分析。大量的消费者数据,如身份信息、联系方式、银行卡详细信息、账户信息,以及用户的社交网络、博客、email、照片和视频被众多服务提供商存储(如互联网服务提供商、通信运营商、零售商以及公共机构等)。
2. 聚合加工
价值链的第二步是将采集的数据与其他数据结合。数据采集者通过商业合作或者信息转卖等方式,将采集数据流通至专业数据公司,通过进一步加工分析形成数据产品。公开数据、企业数据以及研究机构数据等多源数据汇聚,为创新产品和服务创造了巨大商机。
聚合加工是消费者数据发挥要素价值的关键,特别是围绕垂直场景的专业数据公司,在对消费者数据进行增值开发利用方面发挥巨大作用,创造巨大价值。比如在征信领域,美国三大个人征信公司Experian(益博睿)、Equifax(艾可菲)、Trans Union(环联),三家公司2023年市值合计超过一千亿美元,年收入155 亿美元。在市场营销领域,美国Zoominfo公司收集1400万家公司和1.2亿名专业人士的数据,2023年公司市值110亿美元,年收入12亿美元。在医疗领域,美国IQVIA公司在个人医药数据市场占据主导地位,它收集并分析大量与健康相关的信息,包括数百种药品的销售情况、数百万美国病人的诊断和索赔数据,以及病人的特征和治疗等相关数据。公司2022年年度报告显示,匿名患者和医疗服务提供者数据销售收入达到28亿美元。
3. 数据应用
数据收集、存储和分析完成后,通常会提供给市场上的最终用户,即价值链的末端。消费者数据被用于提高业务运营效率,以及预测分析宏观行业趋势。企业利用消费者数据更好地了解客户,为客户提供定制化的广告或服务。政府和公共部门机构维护个人全生命周期事件记录,包括个人出生、教育、婚姻、就业、税务、社保、收养和死亡,利用消费者数据来提升公共服务效率和水平。
二、数据可携带:消费者数据流通的制度工具
数据可携带(Data Portability)是指自然人或法人请求数据持有者将有关该人的数据以结构化、通用和可机器读取的格式随机或持续地转移给该人或特定第三方的能力(有时被描述为一种权利)。数据可携带权由 2016 年欧盟《通用数据保护条例》第 20 条首次创建,作为一种新型数据权利,其目的是赋予数据主体对其个人数据的更多控制权,同时也是支持欧盟个人数据自由流动并促进控制者之间竞争的重要工具。
欧盟《数据可携带权指南》进一步将可携带权分成两部分:个人数据接收权(a right to receive personal data)和个人数据转移权(a right to transmit personal data from one data controller to another data controller)。前者指数据主体有权请求数据持有者将数据主体本人提供的个人数据传输给自己。后者指数据主体可要求数据处理者直接将其个人数据传输给另一数据处理者。两种个人数据传递路径可简约为:①数据持有者 A→个人→数据持有者B;②数据持有者 A→数据持有者B。
此外,数据可携带可能涉及如下制度规定,例如,数据持有者是否可以收费;用户多久可以请求并接收其数据副本;验证用户或安全传输信息的技术规定;数据接收方(第三方)需要遵循的安全标准或使用数据的限制,数据泄露或数据滥用的责任;哪些数据受到此要求的约束,哪些数据(例如专有数据)被豁免等。
数据可携带的潜在价值取决于涉及的行业和数据,通常具有三个方面好处。
1. 增加市场竞争和消费者选择
用户能够将其数据从一个服务提供商迁移到另一个服务提供商,降低转换成本和避免供应商锁定,从而促进竞争。数据可携带鼓励企业通过提供更好的服务来留住客户,使新进入者更好地与现有市场参与者竞争。没有数据可携带和对数据二次使用的许可,数据保护规则可能会导致数据垄断,从而损害消费者福利并限制创新。
2. 促进数据流通和市场创新
为了开展数据驱动的创新,组织通常需要访问外部数据。当数据限定在单一服务中时,其价值受限于该服务如何使用数据。数据可携带允许用户将其数据分享给其他服务,打破数据垄断,使得数据用于二次目的,为创新提供更多机会。例如,消费者可以利用数据可携带将信用卡消费的数据副本快速转移到在线预算应用中,消费者实现个人财务的深入洞察,同时利用这些数据开展全新金融规划应用。
数据可携带性还可以刺激新业务模式的创立,如个人信息管理系统(PIMS)和个人数据存储(PDS)赋予数据主体等。
3. 保障消费者信息自决权
数据可携带使用户对其信息拥有更大掌控。消费者可以获取完整的数据副本,无需依赖第三方。当数据持有者终止服务、将免费服务更改为付费服务、修改服务条款或破产时,消费者不会失去其数据。个人信息能够在转移过程中,不断地补充和完善,使其准确性得到提高,避免因为个人信息的错误而对个人产生不利影响。
三、消费者数据流通利用的实现逻辑
消费者数据流通基本模型中包含四个最基本的参与方:数据持有者(数据提供方)、数据接受者(数据使用方)、消费者、基础设施运营者,如下图 4-1 所示。
图 2 消费者数据流通基本模型
数据持有者(Data Holder)。消费者数据的实际控制者,可以是政府部门、金融机构、公用事业单位、互联网企业等主体。经过数据主体本人同意后,数据持有者有义务按照个人的请求向本人或指定的数据接受者提供个人相关数据。
数据接受者(Data Recipent)。数据应用的创新主体,通过接收和运营消费者数据,创新提供面向用户的各种服务和应用场景,为用户提供个性化服务。在消费者提出应用服务需求的情况下,数据接受者根据消费者授权向数据持有者提出数据请求。
消费者(Consumer)。数据的权利主体,是数据服务的需求方和受益方。通常指的自然人、个体工商户和中小微企业。
基础设施运营者(Infrastructure Operator)。消费者数据流通生态体系的可信第三方,帮助消费者安全地访问、管理和使用他们的数据,并控制消费者数据在数据持有者和数据接受者之间的流动。基础设施并不访问、存储和处理消费者数据,而是为生态系统中的其他角色之间提供连接和可信流通的能力。
1. 法律逻辑:让数据供出来
可携带权作为一项制度工具,成为消费者数据流通利用的法律基础。其核心理念是个人应该控制自己的数据,以消费者为中心,而不是传统意义上的以组织为中心。
1.1 强调数据权利而不是数据所有权
正如联合国贸易与发展会议 2021 年发布的《数字经济报告》所述,应更强调数据权利(Data rights)而非数据所有权(Data ownership)。消费者数据在创建过程中,有些数据是消费者参与提供的,比如注册信息、交易信息等;有些数据是平台生成的,比如浏览行为、轨迹信息、用户标签等。消费者和平台都是数据的贡献者,很难将数据的所有权归于其中一方。但这并不意味着数据无法流通利用,数据可携带权赋予消费者对其本人数据一定的访问控制权,目的是更好的促进数据流通利用,让消费者获得更多更优质的数字服务。可携带权一旦确定为消费者数据权利,也就意味着数字平台企业需要履行相应法定义务。这为确保“数据供出来”提供了法理依据。
消费者在数字平台上主动或被动提供数据,尤其是如果不提供个人数据,一些功能则无法使用。从市场发展的角度,可以要求平台打破数据孤岛,确保平台具有数据的互操作性。但更为有效的举措是,提高对消费者权益的保障力度,赋予消费者更大的议价权利,特别是更好地保障其可携带数据的权利。这样一来, 消费者的自发努力更能为市场注入各种创新的活力,并有效地规范平台的行为。
1.2 可携带权的适用范围
(1) 可携带权的义务主体
数据可携带权的义务主体通常限定于具有市场支配地位的大型公司。对于未达到特定规模和技术标准的企业,尤其是中小型企业,则免除其数据可携带之义务。
(2) 可携带权的客体范围
何种数据属于数据可携带权的客体范围,即消费者有权要求 数据处理者转移哪些数据,这将关系到可携带权的价值能否实现, 亦关系到可携带权与商业秘密、知识产权之间的平衡。
对于直接数据,无论可识别数据或去标识化数据,均应属可携带权的客体范围。
对于观测数据,通常认为,将这些不含或仅含有少量数据处理者智力成果的数据纳入转移的范围,有利于促进个人数据的流通;从打破数据垄断的角度,当观测数据成为新进数据处理者的必要设施,而其无法以合理的价格或条件获得这些数据时,亦有必要将其纳入权利客体的范围,以打破优势数据处理者的数据封锁和垄断。而考虑到数据处理者在收集观测数据时所投入的成本,数据处理者可以要求转移观测数据的消费者支付一定的对价。
对于派生和推断数据,由于数据处理者在其中投入了较多的财力,且此类数据还可能蕴含了数据处理者的数据分析模型、处理方法等商业秘密,将其纳入可携带权的客体范围将与数据处理者的权益产生难以调和的冲突,不利于激励数据技术的创新,因此,通常认为不应该将派生和推断数据纳入可携带权范围。
2. 商业逻辑:让数据活起来
2.1 消费者为中心的商业闭环
基于可携带权的消费者数据流通利用模式实现了一种以消费者为中心的商业闭环模型。在这个模型中,消费者是数据流通的发起者,也是最终服务的受益者,用户需求是起点,服务交付是终点,形成商业逻辑闭环。数据接受者利用流通生态中的可用数据源,可以优化企业已有产品,或者创新提供新的产品和服务,从而创造新的收入渠道,实现数据驱动的商业模式。消费者数据不再是静态的,而是成为了推动个性化服务和产品创新的动力。比如韩国,用户为了享受更为优惠的贷款利率,授权 MyData 运营商获得其本人在各大金融机构的账户数据,从而提高个人信用分,获得更低的贷款利率。
2.2 激励相容的生态体系
“激励相容”是指在市场经济中,每个理性经济人都会有自利的一面,其个人行为会按自利的规则行动;如果能有一种制度安排,使行为人追求个人利益的行为,正好与集体价值最大化的目标相吻合,这一制度安排,就是“激励相容”。消费者数据流通生态体系构建,离不开激励相容的机制设计,即让每个利益相关者都能在数据流通中获益。
对于数据持有者而言,提供数据需要实实在在的投入,包括 API 开发、目录注册、软硬件和数据维护等成本。数据持有者可以收取一定费用,以弥补相关投入成本。同时,数据持有者依然保有对持有数据资产进行加工利用和产品经营的权利。换言之,履行提供数据义务,并不妨碍持有者的加工使用权和产品经营权。政府还可以使用其他方式,对持有者进行激励,比如,对于履行义务较好的企业,官方应对其给予一定优惠政策或进行荣誉表彰。
对于数据接受者而言,降低获得数据的成本,通过创新产品设计和数据服务形成收益,增加用户粘性,获得发展动力。
对于消费者而言,实现对个人数据的自决权,享受更加便捷的数字服务,分享数字红利。在金融服务场景中,消费者有可能获得更高的信用评分,更低的贷款利率;在消费场景中,享受更大的折扣,减免押金,先用后付等,从而通过个人数据获得真实的收益。
对于基础设施运营者而言,通过提供认证、模型构建、沙箱测试、咨询评估等专业服务,在繁荣生态的同时,也可以获得一定收益。
对于政府而言,消费者数据流通可以刺激经济增长,降低社会运行成本,解决社会挑战,创造就业机会。
2.3 产业扶持弥补市场失灵
在消费者数据流通生态体系中,最终买单者是数据接受者,而数据接受者创新产品和服务形成的市场收入,并不一定能马上覆盖各方投入成本,这就需要政府的产业扶持,以弥补市场失灵。比如,韩国政府为 MyData 相关的初创企业和公司提供技术开发、商业化支援、金融支持等多样的计划,促进产业成长。再如,印度国家卫生局(NHA)2023 年 1 月 1 日推出总额 5 亿卢比(约4250 万人民币)激励计划,支持诊所、诊断中心、医院、实验室和药房等,以及数字解决方案公司接入 ABDM 数字健康生态系统。
3. 技术逻辑:让数据动起来
消费者数据流通的最终落地,需要定义一套技术框架,保障消费者行使数据权利的同时,为数据流通提供安全可信的流通环境。
3.1 统一API 实现数据交互
消费者数据流通采用API 方式实现数据交互,即数据接受者通过API 接口调取数据持有者的数据,这种模式允许不同的应用程序或系统之间进行数据交换和集成。不同于“数据交易”,API 本质上是一种数据服务交付方式,数据持有者可以通过 API 实施多种限制,包括用户身份、数据项、数据范围、时间段等,以更好地控制数据访问。API 是提升消费者数据流通基础设施运营服务质量、实现数据价值、保障数据安全的基础,也是数据能够“流的动”的有力支撑。
图 3 数据 API 流通示意图
API 模式下,数据持有者对确权、估值、数据保护等第三方服务需求不居于突出地位。隐私保护、数据安全等成为企业自身责任,企业不断完善加密、匿名化和安全协议等技术来确保用户数据的安全和隐私。以韩国金融领域 MyData 为例,分别定义了数据传输API、认证API 和监管 API,规定了数据传输格式、身份认证流程,以及存证统计等接口。
3.2 数字身份认证建立信任基础
对数据提供方、数据使用方、数据主体等进行严格的准入许可和身份认证,是保证消费者数据流通安全可信的基础。
在韩国 MyData 实现中,身份认证方式分为个人认证和统一认证,同时认证方法采用多重认证、多要素公钥认证、非面对面实名认证等,严格保障个人身份验证程序,为个人数据的有效流通建立信任基础。
3.3 消费者同意为前提的三方电子合约
可携带权赋予消费者的控制权,核心在于同意(Consent) 机制的设计。同意是消费者对数据流转的关键控制工具,本质是实现消费者、数据持有者和数据接受者三方之间的电子合约。电子合约将同意条款表单化,转换成可编程和机器交互的技术标准。同意管理是消费者数据流通基础设施的核心功能。
图 4 消费者同意示意图
同意管理遵循ORGANS 框架:
- 开放标准(Open Standards):同意架构必须遵循开放标准的原则。
- 可撤销(Revocable):用户可以在任何阶段撤销给出的同意。
- 细粒度(Granular):给出的同意必须以细粒度呈现,其中数据按其特征进行拆分,每个特征都有自己的时间和共享权限。
- 可审计(Auditable):同意流和数据流中的所有事件必须进行数字签名和记录。不可更改的日志记录将产生更高的信任。
- 通知(Notice):在创建或撤销同意以及请求、发送或拒绝数据时,用户必须通过电子邮件、短信、应用内通知和其他通知机制得到通知。
- 设计安全(Security By Design):内外部软件和系统必须以安全设计为基础。数据流通必须具备端到端的安全性(PKI、DSC、篡改检测)。
3.4 加密传输和访问控制保障数据安全
加密传输确保消费者数据传输过程中的安全。将数据转换成密文进行传输,只有拥有相应密钥的人才能解密和读取数据,有效地防止数据在传输过程中被窃取或篡改的风险。
访问控制机制确保只有授权的人员能够访问。通过定义不同的角色或属性,并分配相应的权限,可以精确地控制哪些人员能够访问哪些数据,以及他们能够执行的相应操作。
4. 治理逻辑:让生态兴起来
构建消费者数据流通生态离不开有效治理。治理依据来源于法律法规和共同遵守的协定或契约,侧重于各种机制相互作用, 责任权力对等与平衡的制度安排,协调相关方的利益冲突。
4.1 法律和监管要求:治理的基础
政府部门制定数据保护法律和监管政策,明确规定参与方权利、责任和义务,这是建立成功的数据流通生态的先决条件。综合性的个人数据保护法律和针对行业领域的监管政策相互衔接配合,构成完整的制度安排。
比如,韩国制定个人信息保护法(PIPA),旨在保护所有公民的个人信息权益,以防信息收集、泄露、不当使用与滥用。韩国金融委员会和个人信息保护委员会负责对申请运营MyData 业务的企业实施许可或认证,韩国金融监督院(FSS)负责监督金融机构的运作,韩国通信委员会(KCC)负责监督通信服务提供商的数据处理实践。这些机构通过合作和协调,共同构成了韩国MyData 生态圈的监管框架,旨在确保数据的安全、合规使用, 以及消费者权利的保护。
4.2 基础设施运营者:治理的依托
基础设施运营者是连接消费者和生态系统中所有其他角色的枢纽,处于多边市场的中心位置。基础设施促进数据安全合规流通、保障用户利益,并在生态系统中建立信任基础。
面向消费者:基础设施提供共享或使用本人数据的透明度、可理解性和便利性,支持和保障消费者行使数据权利。
面向数据持有者和数据接受者:基础设施提供便捷、合规的连接服务,促进数据处理活动(包括获取和再利用)的透明度。此外,还提供争议解决、投诉处理等渠道。
面向监管者:基础设施提供日志记录和权限审计追踪,实现对监管的支撑。
4.3 市场准入认证:建立信任和鼓励竞争
鉴于所处理的数据性质和隐私风险,对数据接受者进行准入认证,是建立流通信任的关键。认证是“正式承认某人具有特定地位或有资格执行特定活动的行为或过程”。认证体系将赋予参与者权利、提升参与者透明度、传递信任,并提供监督手段。
准入认证赋予参与者平等进入生态系统的权利,确保参与者的角色和责任是已知的并且可以验证的,这为所有参与方提供保护。准入认证为监管机构提供了更轻松的监督手段,确保第三方使用数据的方式是透明的,不滥用用户的信任,并且不会对消费者或数据持有者产生负面或有害的影响。
准入认证有利于建立消费者信心。在数据接受者经过认证的情况下,发生个人数据泄露、滥用问题时,能更轻松地进行追溯。消费者信心对于接受新服务至关重要,一个充满活力的生态系统最终将由消费者推动。
比如,韩国对MyData 运营商(即数据接受者)采用牌照监管,MyData 运营商需具有一定数据产业的技术能力(数据安全存储、传输和处理)和运营能力(数据产品和服务),并经韩国金融委员会审核后发放许可。
4.4 消费者隐私保护:遵从场景完备性
消费者数据流通遵从场景完备性(CI:Contextual Integrity),作为隐私安全保护的理论基础。CI 理论由美国康奈尔大学Nissenbaum 教授于 1998 年提出。CI 理论指出,引发人们对个人数据开发利用日益担忧的根源并非数据是否可控、是否保密,而是技术、系统和实践中那些违反特定场景所应遵循规范的不合理个人信息流通(non-appropriate flow)。CI 理论构建了一个评估框架,由四部分构成:1)场景;2)参与者,包括信息发送方, 信息接收方和信息主体;3)信息类型;4)传输原则。模型的示意图如下:
图 5 CI 理论框架模型
信息从发送方传输给接收方是否为合理信息流通(appropriate flow),可以依据这三个要件作出判断。例如,银行申请按揭贷款的场景,假设这一特定场景形成规范如下表。
表 1 银行申请按揭贷款场景下的个人信息传输规范
当某人向 X 银行申请按揭贷款,并签署了同意 X 银行从信用报告机构获取其信用报告的授权书。但 X 银行在这个场景下,将个人信用信息提供给第三方数据机构。基于 CI 理论,X 银行并未遵守场景一致性原则。CI 理论认为,信息流通中任何对场景一致性的破坏,都会导致需要对新形成的规范进行重新分析和评估。规范的改变可能印发利益主体权利的变化,并导致隐私、安全等一系列问题。
消费者数据流通遵循 CI 理论,在实践中需要针对不同垂直行业和应用场景,制定相应数据政策和规范,以实现隐私保护、持有者权益和数据产业发展的平衡,并不存在一劳永逸(one-size fit all)的统一方案。
本文摘编自国家信息中心公共技术服务部发布的《基于可携带权的消费者数据流通模式研究报告》。
在此声明以上观点和内容,仅代表原作者和出处,与数治网DTZed 无关,如有出错或侵害到相关合法权益,请通过电邮与我们联系:cs@dtzed.com。
在文末扫码关注官方微信公众号“idtzed”,发送“入”直通相关数治x行业共建群、AIGC+X 成长营,@老邪 每周免费领取法规、标准、图谱等工具包。
欢迎先注册,登录后即可下载检索公共数据等相关标准、白皮书及报告。更多高质量纯净资料下载,在文末扫码关注官方微信公众号“idtzed”,进入公众号菜单“治库”。
2 评论