刘新海:全联并购公会信用管理专业委员会常务副主任
安光勇:全联并购公会信用管理专业委员会研究员
随着数字经济时代的到来,个人数据的价值也越来越被社会公众所关注。本人数据管理(MyData)模式作为有利于解决个人信息保护的全新个人数据管理和商业实现的理念,逐渐在全球兴起。本文对MyData理念兴起的背景、概念以及它在金融领域的应用进行介绍,希望对国内个人数据的相关问题有所启示和参考。
个人信息保护面临挑战
根据全球最大征信机构益博睿(Experian)在其2019年年报显示,在过去2年中采集的个人相关数据占了90% 。中国作为全球最大的消费者市场、第二大经济体,中国个人数据在近年来不仅颇具规模、增长很快,而且新的数据类型不断涌出(短视频、新型电商数据等)。
个人数据的价值也越来越被社会公众所关注。世界经济论坛在2011年的报告中也指出,个人数据正在成为新的经济资产类别,这是21世纪能够触达社会各个角落的宝贵资源。欧盟的消费专员梅格莱娜·库内娃(Meglena Kuneva)在2009年也认为,个人数据是互联网上的“新石油”,是数字世界的新型现金。从国外到国内,很多互联网公司最有价值的就是海量的消费者数据。关于国内互联网巨头的数据监管也是最近的社会讨论的热点。2021年1月11日,中国人民银行关于《征信业务管理办法(征求意见稿)》公开征求意见的通知,由于涉及个人征信数据的应用和监管,更是一石激起千层浪。
但是,消费者面临着空前的数据泄漏和隐私侵害的威胁。欧盟《通用数据保护条例》(General Data Protection Regulation)于2018年5月25日生效,作为史上最严的数据保护法规,拉开了全球个人信息保护趋严的序幕。新兴国家对个人数据保护立法有极大热情,发达国家也在补充和完善既有法律。全球范围内对互联网和大数据公司由于合规问题开具的天价罚单此起彼伏。
中国的个人信息保护工作也积极跟进。从2016年的《网络安全法》、2018年的《电子商务法》,到2020年5月发布的《民法典(人格权编)》,以及2020年公开征求意见的《中华人民共和国数据安全法(草案)》和《中华人民共和国个人信息保护法(草案)》,开始形成基本的个人信息保护框架。
即使如此,国内个人数据行业的各种根本问题仍不容忽视。例如,在数字经济快速发展、法制环境薄弱、消费者维权意识不足的情况下,国内个人数据垄断和个人数据滥用的现象并存;大量应该在数字经济中发挥作用的个人数据并没有得到有效应用;一些创新型的公司也无法得到合理的个人数据来源;个人数据应用和保护的界线和标准不统一,甚至出现了“保护有余,应用不足”的现象;对个人数据产业如何细分和监管没有清晰界定;一些大数据公司和金融科技公司在监管不断加码的情况下无所适从;大数据公司和监管、消费者之间如何建立互信机制等。诸如此类重要而基础的问题大量存在,亟待解决。
因此,对这样一个数字经济时代下影响国计民生的重要领域,需要加大研究和探索力度,而且需要探索多个未来方向。
而本人数据管理模式(MyData,可以理解为基于“我的数据我做主”的机制),提出了一种全新的个人数据管理和商业实现理念,有助于解决个人信息保护和应用之间矛盾的。十几年前,这个模式由欧美消费者维权人士发起、政府推动,逐渐在全球兴起。
2018年欧盟《通用数据保护条例》(General Data ProtectionRegulation,简称GDPR)提供数据可携权的立法支持。北欧的芬兰政府和民间网络社区对MyData的积极参与。2020年韩国为MyData行业立法,并为商业机构颁发运行许可牌照,MyData目前已开始商业落地。
MyData是啥?
关于个人数据权益和应用的新思考发端于欧美。随着美国奥巴马政府提出的“开放数据(Open Data)”计划启动,个人数据的开放和应用的潜力得到了社会各界的重视,逐渐出现了MyData的概念。MyData可以翻译为“本人数据管理”,是指个人不仅对自己的信息进行积极的管理和控制,同时还把该信息用到信用管理和资产管理的一系列流程中。
MyData不仅仅是一个具体的产品、服务、解决方案或平台,更像是一种理念,类似“大数据”概念,会涉及到很多行业,包括金融(银行、证券、保险等)、医疗、公共、政府机关、汽车等。MyData服务已经在美国、英国等先进的数据产业国家开展,韩国则是全球率先对MyData进行立法和推动商业落地的国家。
MyData基于个人的权力访问有关他们的数据,核心的思想在于个人应该控制自己的数据,在数字经济时代分享来自自身的数字红利。MyData方法旨在加强数字人权,同时为企业创造新的机会——开发建立在相互信任基础上、基于个人数据的创新服务。
通过MyData,个人可以一次性地确认分散在各机构和企业中自己的信息,并通过向企业提供自己的信息来获得商品或服务的推荐。
MyData行业把使用数据体系的主体,从之前以机构为中心,转变为信息主体为中心。即:MyData的目的是——个人可以自己管控、管理自己的信息,可让相关信息根据个人的意愿来使用,最终保障个人的信息主权。
对于支持这些过程的产业(如:把从金融各机构、电信公司等机构所收集到的个人信息,转移到其他企业和机构的业务),称之为“MyData产业”或“本人信用信息管理行业”。
对于国内来说,MyData是一种全新的理念,其核心思想是个人应该控制自己的数据,以人为中心(Human-Centered),而不是传统意义上的以组织或公司为中心。
MyData的概念并非是对个人信息的完全控制,而是最低要求个人有权访问和使用其个人数据,当然,个人数据如果不在自己的控制之下就不称为MyData。
MyData是一个互惠的机制,对于个人、公司和社会都带来不同程度的好处,增加彼此之间的信任。相比于“API(Application Program Interface,即应用程序接口)经济”和个人数据聚合,MyData更是一种基础架构层面的变革,有助于建立弹性和有机的商业生态环境。
MyData体系架构基于可交互和标准化的MyData账户。个人、MyData运营商、数据源和使用数据的服务等不同角色在MyData体系中发挥不同的作用。MyData商业体系不仅可以整合传统大数据公司,而且有完善的机制来管理个人的隐私。
MyData在韩国金融领域的探索
从商业价值和数据质量的角度看,个人金融数据是MyData模式最重要的应用场景。韩国是全球率先对MyData进行立法和推动商业落地的国家,其主要的监管部门就是韩国金融委员会。
韩国金融委员会于2020年12月22日举行了例行会议,在35家申请MyData初步许可的公司中,有29家公司通过初审。其中,有13家金融公司,包括国民银行、农大银行、新韩银行、友利银行等四家银行,以及六家信用卡公司(国民银行信用卡中心、友利卡、新韩卡、现代卡、BC卡、现代资本等)。
在金融投资行业,韩国未来资产大宇有限公司(Mirae Asset Daewoo)、金融行业的国家农业合作社联合会以及储蓄银行行业的WelcomeSavings Bank均获得了初步许可证。
在金融科技和大型科技行业,8家公司通过了审核(分别为Naver Financial、Rainist、Bomap、Pinda、Timwink、Korean Financial Solutions、Korea Credit Data和NHN PAYCO)。其中,金融科技公司NHN PAYCO,在颁发许可之前就联合KEB韩亚银行、韩化生命保险、韩化投资证券、韩化损害保险、新韩金融投资和Welcome开展储蓄银行MyData综合查询及按生命周期定制的金融商品推荐服务的沙盒测试,向消费者提供推荐基于金融、非金融大数据的定制型金融商品服务。
从韩国MyData许可要求来看,最低资本要求为5亿韩元或以上;物理设施要包括足以防止黑客入侵和执行网络分离的安全设施;要有服务竞争力和创新以及制定消费者保护系统的业务计划;投资能力和良好的财务状况;对申请人高管的资格审核,例如对申请人高管的罚款和制裁、申请人高管的能力、在数据处理方面的经验等。
此次还有一些公司未获得初步许可,其理由是这些公司需要根据信贷信息产业监管规定对许可申请进行补充。
除了许可程序外,在2021年2月将MyData业务制度化之前,韩国金融当局还准备建立一种体制机制来加强对消费者的保护。
金融服务委员会计划发布“MyData指南”,其中包括MyData服务订阅和同意方法、通过MyData提供的信息范围、安全数据传输方法,以及消费者保护计划等。
由于提供了MyData服务,个人对分散在韩国各信用卡公司的消费者信用卡积分,可进行一站式查询,并且转换成现金后,转到特定账户。于是,韩国的消费者发现,一周之内,规模为778亿韩元的信用卡积分,可以转换成消费者的现金。
国内的探索才刚刚开启
近10年来,发自欧美的MyData运动在全球范围内风起云涌,MyData逐步从简单的开放数据向消费者数据主权、数据创新、个人隐私等方向展开。在美国、英国的带动下, 澳大利亚、日本、韩国等国近两年密集出台大数据研发支持政策,加快技术创新,平衡数据开放与隐私保护,应对产业变革,以保持领先优势。
MyData行业落地的号角已经吹响,相比而言,中国对于MyData这种个人数据产业概念还很陌生。毕竟我国还在处于快速发展阶段,庞大的市场、复杂的国情让《数据安全法》和《个人信息保护法》的出台变得尤为谨慎。很多大数据公司和投资机构还沉浸在“大数据和互联网流量变现”的概念炒作,一些媒体和监管机构还停留在对大数据公司和金融科技公司利用“大数据杀熟”的口诛笔伐的阶段。
笔者曾在关于个人信息保护的相关课题中发现,产学研的割裂、监管和应用之间的鸿沟、需求和供给之间的巨大差距广泛存在。国内监管、媒体、公众和专家普遍关注个人信息保护,但同时还需要关注的是,个人数据的合规应用更是未来数字经济发展的重中之重。
从国家战略层面来看,“十四五”规划《建议》提出,保障国家数据安全,加强个人信息保护;提升全民数字技能,实现信息服务全覆盖;积极参与数字领域国际规则和标准制定。
个人数据产业将是未来数字经济的重要支撑,而且关于每一个消费者的利益,需要产学研以及监管加大合作和交流。例如可以共同推动类似于MyData但更适合国情的个人数据共享的机制,技术标准,法律政策监管等。
具体来说,首先,个人数据行业的机构需要加大合规力度,同时探索合规情况下数据应用创新之路,很多大公司目前都建立了数据法务团队(例如华为公司),但是需要建立进一步数据应用和保护研究专门团队以及相应的实验室。
其次,学术界对于个人数据所面临迫在眉睫的挑战,需要加大研究力度,针对具体的问题,不能一面倒地仅从消费者保护出发,吸收国外数据保护和利用的新理念,关注国外数字产业的新动向,跟踪和吸纳全球从欧美到新兴市场国家的个人信息保护立法、数据产业政策和制度层面设计等,也可以和大数据公司合作建立针对MyData的研究中心等。
再次,监管需要更开阔的视野,放眼数据经济的未来,进行多方面尝试,沙盒实验,平衡个人数据应用和保护之间的关系。
此外,个人数据的保护和应用的公益性研究和消费者教育在欧美逐渐成为主流,很多基金会、产业界和社会团体都给予不同的资助和支持。例如一些NGO机构世界隐私论坛(World Privacy Forum)、Privacy Right Clearinghouse等成功运营多年,其研究成果,在不同的国家、行业乃至全球都产生了重要影响。国内未来也在个人数据领域可以推进这种独立第三方的公益研究模式。
随着2021年的到来,疫情反弹,经济和生活的数字化转型加快,是时候各方携起手来探求合作、共赢、互惠、互信的个人数据行业发展的健康之路了。