《个人信息保护法》首次明确“个人信息可携带转移”微众银行倡议DDTP：基于区块链探索中国落地新模式
IT时报记者郝俊慧图东方IC
　　我生产的数据，属于谁？这个因“大数据杀熟”“特斯拉女车主维权”“戴头盔看房”等社会事件而被频频抛出的问题，将在不久后获得明确答案：属于你自己。
　　11月1日，《个人信息保护法》将正式实施。随着数据要素地位的确立，这项法律的实施具有强烈的时代指导意义，它不仅赋予个人信息所有权，也为新时期数据要素流转和再分配提供了多种可能的实践路径。
　　10月26日举行的第七届万向区块链全球峰会上，微众银行副行长兼首席信息官马智涛提出了一种基于区块链技术的个人信息流转模式——分布式数据传输协议（Distributed Data Transfer Protocol，简称DDTP），也即个人信息流转不再依赖于外部机构，而是由个人自行决定并移动。
　　DDTP是《个人信息保护法》明确“个人信息可携带权”后，国内首个基于此理念提出的实践方案，它试图回答三个灵魂拷问：如何实现数据安全存储？如何实现数据安全可信传输？如何真正做到数据协同生产？
你的数据，你可以带走
　　临近11月1日，打开各种App，几乎每个人都要做一个新动作——重新确认隐私协议。自今年8月《个人信息保护法》颁布以来，各家互联网公司都在根据新法调整协议。
　　作为我国首部全面完整规定个人信息权利的法律，《个人信息保护法》明确了个人信息的主体权利包括查阅、复制、转移、更正、删除等内容，以此赋予个人对于“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息”的所有权。其中第四十五条首次提出，个人拥有信息可携带权，“在个人请求将个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径”。
　　个人信息可携带权被认为是《个人信息保护法》的一大亮点，其实质内涵是，个人有权要求平台提供个人数据下载服务，并可以自行决定将这些信息转移给另一家平台。以往用户往往在注册的那一刻，便被动将数据“授权”给平台，允许不同平台之间“共享”数据，但到底这些数据给了谁？做了什么？自己并不清楚，而这项在最后时刻被确认的法条，是法律赋予个人对自身信息拥有的积极处分权利。
　　马智涛认为，个人信息可携带权的确立，体现了将个人信息权利还归个人的立法思路，赋予个人主动在企业间流转个人信息的权利。
　　这将打开一条全新的数据流转路径。简单举例，以往在A银行申请贷款时，需要用户提供在B银行的工资流水，这张B银行盖章的流水单就是典型的被携带信息，依此同理，今后在网络上，你在某宝的购买记录，可以自行下载，然后上传至某微，如果必要且你乐意。
不再必须“授权”数据共享
　　几天前，深圳市金融区块链发展促进会（以下简称：金链盟）联合观韬中茂律师事务所、金融科技·微洞察等机构联合发布了《DDTP白皮书》。
　　《白皮书》将DDTP定义为一种新型的、基于区块链、云计算、AI等技术实现的分布式数据传输协议，它将个人信息流转分为两步：首先，用户从数据提供者处下载个人信息数据，存储在个人指定位置——本地或者云端，在此过程中，引入第三方机构见证该个人数据文件的存储过程，并提取文件的哈希值（而非源文件）作为“数据指纹”存储于区块链上；然后，当用户将数据自行上传至另一个数据使用者时，由其通过“数据指纹”验真，与此同时，个人的所有授权记录、数据接收者的具体使用情况皆可在链上记录，便于个人未来追溯相关文件的流转。
　　这是一个有着鲜明“区块链”内核的协议，不仅仅因其采用了区块链技术，更在于其中自治的“分布式”、自主授权等去中心化模式：个人成为数据流转的主体，而不再是企业或交易所，它不需要参与机构事前约定，也不需要依赖单一中心机构的推动，用户也不需要事先签署允许“共享”的授权协议，只要参与者彼此认同DDTP协议即可。“它是Protocol（协议），而不是Proj⁃ect。”马智涛认为，这是DDTP最大的特点。
　　这并非第一种建立于“个人数据携带权”之上的信息流转模式。
　　欧盟《一般数据保护条例》（GDPR）是首个提出“个人数据携带权”的法律，Google、Facebook、Microsoft、Twitter四大美国互联网企业曾联合发起DTP（Data Transfer Project）项目，通过API技术共同建立一类数据传输标准，当用户需要执行可携带权时，只需要进行授权操作，信息提供者就可以直接通过API接口把个人信息传输给接收者，这解决了个人执行可携带权时授权复杂、操作不便等问题。
　　这显然是“熟悉”的配方，数据依然在几大互联网平台之间流动，区别只是将用户点击授权变成了技术同意。马智涛认为，DTP是由几个科技巨头所组成的小圈子，甚至有可能因此造成新的垄断。
　　韩国、新加坡、印度等国家则在试点政府主导的信息流转模式。比如，韩国的“MyDa⁃ta”类似“数据交易所”，将国家批准的持牌运营商作为数据集散地，把数据提供方、数据应用方连接起来，由用户统一授权。这种模式以政府信用为背书，提高了用户信任度，结构化的数据也利于整合，但从各国目前实践来看，更多应用在金融等垂直行业，跨行业协作较少。
　　DDTP试图提出一种解决个人信息携带的中国实践路径。
　　马智涛解释，根据DTTP协议，数据由用户自行下载，而且可按需下载，用户既不需要花费成本存储大量数据,也不存在故意泄露的可能；同时，由于用户直接向接收者传输数据，按照《个人信息保护法》相关条款，接收者不能索取不必要的数据，因此也不会出现过度授权和信息滥用；此外，通过个人自主行为，打通了行业壁垒，“由此实现了数据的可信传输、安全存储、协同生产。”
理想与现实的博弈
　　据了解，DDTP不仅仅是简单的方法论，目前已经形成一整套技术架构、组件和实践框架，且所有方案均已开源，如果有企业或平台愿意接受DDTP，便可以自行下载开源组件构建自己的网络。这同样是一种“分布式”理念，不需要由某一个中心机构推动，通过个人和企业的自主行为，搭建一套事实性标准协议。
　　但也正因这种鲜明的“区块链特性”，DDTP在推广普及时必须要面对“现实的骨感”。
　　《IT时报》记者查阅了多家互联网平台的隐私协议后发现，即便这些协议基本已在“大限”前修改，但对于“个人信息携带权”，却并不是每家平台都有提及。
　　比如京东、浦发银行都设置了“获取您个人信息副本”这一条款，但对于如何获得、哪些信息可获取却“语焉不详”，仅表示“可在符合法律要求和技术可行的前提下为您提供”。当记者向京东客服表示希望据此条款下载本人信息时，对方却“一头雾水”，最后表示只能查询，无法下载。
　　也有一些平台尚未涉及，比如饿了么的隐私协议在“如何管理您的个人信息”条款中，只明确用户对个人信息拥有查询、更正、补充、删除信息的权利，却无一字提及“转移”。
　　有业内人士向记者指出，目前，数据和信息的定义未必完全对等，而且个人原生数据和加工后的衍生数据产权未定，实践中数据可携带权适用的数据范围尚不明确，在《个人信息保护法》出台细则之前，很难形成相对统一的共识。
　　此外，数据产权归属直接决定着数据价值、义务和责任的分配。目前个人数据占社会总数据量的60%以上，是一个挖掘不尽的“数据金矿”，如果个人可以自主携带数据转移，某种程度上会减少数据交易的必要性和收益，也可能会降低企业参与的积极性。更可能面临的问题是，同业竞争对手之间的数据转移要遵守怎样的规则？
数据“石油”应精细分类
　　马智涛并不否认，基于现状，DDTP仍有漫长的路要走，但也正因此，需要更多成功案例为社会“打样”，让政府企业和个人等各界人士看到DDTP的优势。
　　粤澳健康码跨境互认项目是被反复提及的成功案例。疫情期间，为了尽快复工复产，广东省和澳门特区政府之间迫切需要打通健康码。为此，微众银行基于区块链底层技术，构建了一种创新的健康信息传递模式：旅客从澳门进入广东省时，在澳门健康部门下载核酸检测报告，同时生成“数据指纹”，存放在粤澳两地政府组成的区块链网络上，过关时，只要“指纹”一致，便可认为旅客提供的信息是可信的，并自动进入“粤康码”平台实现转码。
　　这种由用户自主提供信息，通过“数据指纹”在双方政府间实现的数据协同，截至目前，已成功支持超1亿人次顺利通关。马智涛透露，微众正在和很多行业头部企业沟通，希望能有更多成功跨行业的案例出现。
　　不久前复旦大学特聘教授、重庆市原市长黄奇帆在第三届外滩金融峰会上发表的演讲《完善数据产权与交易规则，促进数据产业发展》，或许是一剂药方。
　　黄奇帆指出，我国应该“建立数据价值分类体系”，并且区分数据的管辖权、交易权、所有权、使用权、财产分配权，政府、企业、个人等各类主体基于自身在数据交易环节中的位置，分门别类进行管理，并行使相应权利。只有这些关于“数据”的权利得到最终明确，数字经济时代的“石油”才能合法、有效地发挥它的作用。