文 / 胡延平 DCCI互联网数据中心(中国)、未来智库(国际)、未来实验室(硅谷)创始人。互联网独立第三方研究专家
在前不久中国社科院举行的个人数据资产保护研讨会上,我第一次系统阐述了《MDPG(Multidimensional Data Protection Guideline):多维数据保护指引》,“一种新的数据思维、数据关系秩序和保护体系”,以及这个体系的两个前提、八个架构原则、一个核心提法、九个体系建构维度、两个落地路径和一个最终目标。
▌站在选择的十字路口,数据规则在中国需要6点初心
在我看来,从“数据规则”角度理解这件事的实质,比从“个人信息保护”角度理解显然要更深切一些。国际关系准则、贸易规则、数据规则、网络规则、知识产权规则、金融资本规则,是未来世界的6个基石,也是未来秩序6个最基本的准则。而各国开始出台的个人信息保护规则当中,对数据尤其个人数据的理解、立法,是在更大范围内建立“数据规则”的基石。
所以,第一步很重要。俗话说得好——头不能起歪了。
实际上,我个人讲了什么并不重要,MDPG暂且按下不表,MDPG能不能被大家理解和接受也并不重要。重要的是,作为未来世界核心秩序之一的数据规则,相关认知、选择和决策,中国不仅处在选择的十字路口,也处在历史的十字路口。在数据保护方面,向欧盟靠拢还是向美国靠拢,表面上是个技术问题,实质上是未来谁进入谁的规则和体系之中的一个问题。
中国无需特立独行,无需关起门来自成体系,但是中国至少需要逐步形成适合中国国情的、与数据生态网络业态匹配的、面向现在和未来的、兼顾规范和发展的、兼顾不同主体的、与世界开放对接的数据规则。
在我看来,这6点初心是相关思考、选择、决策的基本起点。
从目前进展来看,GDPR也就是欧盟的《通用数据保护条例》,其诞生虽然是历史性的,但是这个号称“史上最严格”的公民隐私数据保护条例,甫一颁布就问题多多,落后于这个时代,和数据业态不同频不说,落地执行都有困难。巴西、印度、俄罗斯等国相关立法与GDPR状况基本类似。
美国尽管FTC(美国联邦贸易委员会)多次听证,两院不断有议员在推动,但是到现在为止还没有形成全国性的专门法案;2012年拟定的《消费者隐私权利法案》不足以覆盖当前的领域和问题,而且要到2020年左右才可能生效。加州2018年出台的CCPA,也就是《加州消费者隐私法案》,被认为是其他各州在这方面立法的风向标。
但是CCPA除了美国式的对主导互联网世界的大企业、大平台及其技术体系的各种关怀和照顾,对不同规模的涉及个人信息的商业机构没有完整涵盖之外,在基本出发点、根本思路、立法框架上和GDPR存在同样的问题和局限。
美国学者Roslyn Layton认为,GDPR和CCPA仅仅着眼现状,在数据保护上未能有效考虑到增强隐私的创新和消费者教育,大的企业占了便宜,中小企业受到惩罚,让人们以为他们获得了更多隐私,而事实上置他们于更大的风险中。
GDPR的情况看起来比CCPA更为糟糕,虽然目前还没有到德国学者Dr. Winfried Veil所言的“为GDPR在实践中遭遇彻底失败做好准备”的地步,但是他所分析的GDPR无法自洽的种种结构性缺陷和乌托邦式的不切实际,的确是客观存在的。
▌GDPR与CCPA
从一开始,基本理解-起点-思维-原则就出了问题。
迄今为止,对于GDPR与CCPA的批评,往往没有抓住问题的根本。这些批评要么只是看到了相关条文内在矛盾,要么只是看到了它可能造成的不良后果。在我看来:
1、从一开始,GDPR与CCPA的基本理解、基本起点、基本思维、基本原则就出了问题。
也许是西方数百年来形而上科学思维传统根植于心所形成的机械切分的潜意识在作祟,在GDPR与CCPA里主要看到的是“个人”及其“同意”,与个人高度相关的其他主体及其与个人的关系涉及甚少。而个人及其信息并不是脱离对象场景,与周遭毫无关系的孤立存在。
2、严格有余,严谨不足。比如GDPR,条例连篇累牍,最基础的定义“个人数据”却普遍被外界认为非常模糊甚至模棱两可。
个人数据在GDPR的原文里是指:“任何已识别或可识别的自然人(数据主体)相关的信息;一个可识别的自然人是一个能够被直接或间接识别的个体,特别是通过诸如姓名、身份编号、地址数据、网上标识或者自然人所特有的一项或多项的身体性、生理性、遗传性、精神性、经济性、文化性或社会性身份而识别的个体。”什么叫相关的信息?这一点CCPA都比GDPR强很多,至少就11个方面进行了具体列举。
3、总体来说,GDPR与CCPA因为局限在基于“识别”的“个人”信息,相关立法的基础定义和治理范围比较传统。
局限于狭义的个人信息,因此就导致有些脱离实际甚至一开始就有点脱离时代,往往无法解释隐私以外的个人信息,甚至隐私本身的界定都比较困难。个人数据,基本被窄化为个人信息、个人信息数据,殊不知仅就信息社会的每个公民而言,需要保护的个人信息已经远不止基于“识别”的“个人”信息。GDPR与CCPA可以说把老问题守住了,但新问题并没有解决,甚至根本没有涉及。
4、GDPR与CCPA是一种基于“同意”的对“个人、识别”信息进行保护的立法思维,而不是重点对个人信息的使用进行规范的立法思维。
死死抓住“个人”及其“同意”,忽视了“使用”才是这些个人信息存在于个人之外的价值根本,因而忽视了使得“使用”成为可能的其他主体,尤其是为个人提供服务的其他主体在这些信息的产生、存储、流动等过程中的现实的角色、作用、价值和权利。简而言之,使用才是价值本身,使用才是真实场景,且场景是高度多样化、动态变化的。这也是下一点要分析的。
5、除了对各种状况的界定比较简单化,用国内的俗话说就是一刀切,非黑即白,GDPR与CCPA最大的缺陷在于缺乏开放性、流动性、变化性,缺乏与开放、流动、变化的数据业态真正的交互能力——尽管,比如GDPR处处声称不能妨碍个人信息的自由流动。另外,GDPR与CCPA没有看到的是,个人信息的自由流动,和个人与其他多个主体之间基于“使用个人信息”的服务价值流动是两回事。
6、从技术角度来说,个人信息、数据及其问题于立法而言无法“可察”“可见”“可追”,更是显而易见的问题,这也在客观上造成GDPR的落地难、执行难。
▌追随GDPR?迎合CCPA?根本思路决定个人信息保护的中国出路
尽管如此,在《金融时报》看来,中国是最直接接受GDPR的国家,而且可以清楚地看到,中国目前拟定的《信息安全技术个人信息安全规范》参考了GDPR,相关规范的起草人曾公开称,GDPR是起草时主要的灵感来源。
中国的互联网企业尤其是规模较大的有跨境业务的公司,第一时间依照GDPR调整了自己的用户服务协议。《信息安全技术个人信息安全规范》是全国信息安全标准化技术委员会2017年12月29日正式发布的规范,2018年5月1日起实施。
2019年4月,公安部网络安全保卫局、北京网络行业协会、公安部第三研究所在“全国互联网安全管理服务平台”官网联合发布了《互联网个人信息安全保护指南》。相关规范、指南的出台,积极意义在于填补了空白,解决了从无到有的问题。
从其对个人信息的定义来看,在于解决当前最基础、最紧迫的隐私意义上的个人基本信息保护问题。
受GDPR影响,在思路起点、深入业态、解决现实和未来潜在问题方面并没有走出太远。个人信息保护范围,甚至不及CCPA。比如相关规范和指南里面的个人信息包括:姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。看起来都很眼熟吧?
所以,未来其实还是要看个人信息保护法,也更多寄希望于这部传说中的、酝酿已久的、神龙见首不见尾的法律。
▌MDPG:个人信息保护新思维
MDPG(Multidimensional Data Protection Guideline),也就是《多维数据保护指引》,是一个关于个人数据保护的参考性框架。所谓指引,更像是相关思维路径的索引,而不是规则或者指南,更不是一种立法或者立法的努力。MDPG不具有任何约束力,不具有任何企业、商业、行政或者个人色彩,是一个完全独立第三方的、源自学术领域的讨论框架和议题草案。
MDPG的所有信息、内容、讨论、意见,都仅供各方参考。MDPG的出现,只是希望在越来越紧要的个人数据保护进程中,创造更为立体、多元、宽阔、前瞻的视野和更为开放的框架体系,对有关各方在选择的十字路口做出正确的历史抉择有所裨益,贡献微力。
MDPG的核心要义,在于建立对于数据规则的深度理解,回归到个人数据保护的6个初心;帮助有关各方对GDPR与CCPA的价值、实质和局限形成完整认识;在与有关各方一起形成恰当的基本理解、基本起点、基本思维、基本原则的基础上,以开放的讨论,形成基于现在面向未来的、贴合现实和数据业态规律的个人数据保护框架指引。从根本上避免个人数据保护脱离国情、方向跑偏或者自我封闭,尤其重点需要避免GDPR与CCPA那6个方面的典型问题。
因此,《MDPG:多维数据保护指引》有两个基本前提:
第一,明确数据权属关系是保护的基础。但只从权属关系角度去认知和界定相关问题远远不够,不仅以个人的识别和同意为基础,更以个人数据的使用需要、使用场景、使用特性、使用过程、围绕使用所形成的多方协作交互关系为基础;
第二,用相对多维的角度、相对立体的框架来认识和解决问题,不做一刀切,不妄图用一个定义、一个角度、一个方法来一劳永逸地解决问题,换而言之,以相对复杂的体系来让问题变得更简单,而不是用简单来切分本来的复杂。
▌MDPG体系建构的8个原则
1、多维度
MDPG认为个人数据本身的维度远不止于个人信息,个人数据本身相对区分为4个维度——个人基本信息、个人行为数据、个人应用数据、个人持有数据,其中个人基本信息的范畴基本相当于GDPR与CCPA当中所定义的个人信息,其他三个维度是GDPR与CCPA所没有的。
个人行为数据不仅仅是传统意义上的浏览访问使用行为,个人行为数据是网络交感、在线影像、人工智能等各种因素综合下的网络对于个体的立体乃至实时的全程感知,与GDPR与CCPA所述消费者画像不是一回事,在网络无隐私的当下,个人行为数据尤其具有现实和未来意义;
个人应用数据是个人在使用某种互联网应用或服务过程中必然会提交或产生的以内容或服务方式存在于云侧或者端侧的应用数据,个人应用数据远不仅仅是用户数据;个人持有数据是用户存储在端侧或者云侧的、过往由用户自身获得或者应用产生的、只和用户自身对这些数据再应用行为直接相关的数据。
2、多主体
尤其在个人应用数据这个维度,应用数据的产生是多主体基于协议的协同行为,应用数据的产生本身也是个人从服务商持续获得服务及其价值的过程,在一定程度上数据即服务,服务即数据,价值-服务-数据是三位一体的。这种情况下尤其不能将个人数据简单视同为个人单方面支配的权益,更不是个人基于识别的同意这么简单,所有数据及其权益是多主体协同共生过程的阶段性结果,也是服务及其价值在时间意义上能够持续不断由服务商交付给个人的关键。
3、开放
这里的开放有三种涵义,一是基于数据规则的个人数据的自由流动,二是规则本身要考虑到开放平台等方面在技术角度的特性、规律和需求,三是与外部世界数据规则的开放对接。
4、动态
数据规则需要充分考虑到,即使是最传统意义上的个人基本信息,个人或消费者基于“同意”的赋权范围和方式等也存在动态调整的需要,为每个用户和服务商在时间线意义上的变化和调整创造可能。
5、个性
每个个人、用户、企业的状况是不一样的,对于个人信息和数据的保护需求也不尽相同,愿意让渡的方式和对回报的要求更是不尽相同,数据规则要像数据系统一样,为用户和服务商等多个主体之间创造个性化协议乃至类似RTB意义上的可调节的可能。
6、标注
数据可标注是MDPG和GDPR、CCPA最显著的区别之一。数据标注源自对数据技术的理解和对数据规律的尊重,且数据规则因此而使得被保护者受益。在四个维度的个人数据当中,尤其个人基本信息,是可以通过采用“数据标签”“数据水印”等技术被管理起来的。
7、追溯
数据标注是数据追溯的基础,但需要更进一步建立隐去用户实名信息等关键个人信息的数据追溯机制,这种追溯机制可以是全过程的,有多种技术手段可以保障数据追溯机制的实现。数据追溯的好处在于个人在同意后、服务商在数据流动过程中、开放平台在各种数据合作过程中,及时有效地了解到这些个人基本信息是被哪些主体如何使用的。
8、统计
标注和追溯是统计的基础,但是统计的作用更在于信息反馈和价值回馈。统计不仅让过程量化、价值量化、获得收益成为可能,更让每个用户作为个体从自身的个人信息中获得回报成为可能。这是一个真正的公开透明、各方受益而不是个人用户被单方面利用甚至滥用的过程。
▌网络所有制:MDPG的一个核心提法
说到这里,想必懂行的业者已经大概猜得出来MDPG的探讨方向,未来可能有助于形成什么样的数据规则。但是在MDPG的讨论体系、指引框架进一步展开之前,我们有必要廓清一个最核心也最具实质性的问题,那就是——
数据保护为了谁?数据规则为什么?
尽管这似乎是一个不是问题的元问题,但是在GDPR、CCPA那里这是最大的问题,也是FTC去年秋季在Facebook数据丑闻爆发以后连续举行多场的“21世纪竞争与消费者保护”听证会的关键议题之一。
在MDPG的初步框架当中,数据规则与真实的数据业态保持着实质上的一致,不同主体之间是共生、共存、共有、共享的共同关系;关系并不对立,利益也并不冲突;同一数据可以有不同的主体,且可以不限于一个主体。
究其实质,这是产权、权属关系在数字经济下的嬗变,及其和传统经济的不同。在过往国内一些研讨会和社科院那场专题讨论会上,我讲过一个提法:网络所有制。这并非一个耸人听闻的提法,网络所有制其实是信息社会价值连接与数字经济资源要素的关系实质。
不同于工业经济阶段形成的以物权为重心的传统产权制度,网络所有制的产权、权属关系,很多时候是基于应用的多主体协同,基于服务的价值共创,不同主体之间是共生、共存、共有、共享,不单纯处处是个体对信息的“拥有”和“同意”,所有权和使用权可以是统一的,也可以是分离的。
使用不必拥有,拥有不必独有,使用才是价值关键,而价值可以流动、可以转移、可以变化、可以分享。当信息成为数据,数据变成服务,数据和服务可以复制,信息的产生者以及数据的使用者,呈现为分离、分布、流动的状态,新的产权制度呼之欲出。
▌MDPG的9个体系建构维度
1、协议、协商、选择、议价、调节机制
变堵为导,以“使用”而不是单纯的“同意”为重心,从多个维度为多类主体之间的数据授权、流动分享、价值回馈,建立开放灵活的协议通路和选择机制,并且给相关机制装上调节按钮。
2、让权属关系成为彼此可选择、可调整的多选项
除了所有权,还有共有权、共享权,所有权与使用权可以分离,数据的产生和使用、流动分离,数据共生、共存、共有、共享不仅在数据规则层面成为可能,在各个数据系统层面也成为可能,在各个环节的使用主体、利益主体层面成为可能。当然,个人基本信息,作为个人数据的最基础的维度,可以是“非卖品”,可以流通也可以不流通。
3、让可公开程度成为由用户自主掌握的隐私“边界”或者“个人数据保护红线”
传统意义上的个人信息保护,尤其个人基础信息保护,是由法律法规来约定、通过用户协议来保障的,MDPG是否可以创造这样一种可能——是不是隐私谁说了都不算,用户自己说了才算,用户自己通过上述两种协商选择和调节调整机制,确定自己可让渡的信息,确定自己个人信息的保护范围和公开方式,由此实现个性化的个人数据保护。以可公开程度,替代“隐私”——这会是一场冒险吗?
4、明确数据主体在数据流动过程中的收益权,并且通过机制在数据系统中获得保障
不是像过去那样,一味说可以怎么样、不可以怎么样,而是要通过机制来清晰地确保,在可以的情况下然后会怎么样,这样用户才真正不会成为那个贡献了信息却被完全剥夺了的人;个人主体、企业主体、机构主体,均有从数据的产生、存储、使用、转让中因为在不同环节创造价值而获得收益的权利。数据以及依托数据所创造的服务价值的贡献者,所获得的收益可以是货币化的,也可以是非货币化的。
5、以过程透明确保数据确权
不仅看结果,更要看过程,在数据过程的产生、存储、使用、转让等关键环节,建立公开透明的,以此保障不同程度、不同形式、不同主体的数据“确权”。
6、明确保障唯一或第一数据主体的基本使用权益
数据相关服务的应用权,应用背后用户相关数据的调看权、传播权、复制权、迁移权。
7、明确保障唯一或第一数据主体的基本变更权益
包括修改权、删除权、让渡权(转让或转售)、转用权(转作它用)。
8、明确保障唯一或第一数据主体的基本决定权益
包括选择权、知情权、否决权等。
9、数据规则的探讨,时刻把握是否有利于创新发展这一度量衡
比如FTC听证会所讨论的一个基本议题是,各州、联邦以及国际层面的隐私和数据保护法规如何影响美国和国外产品的竞争、创新和供应。这样的政策制定角度,我们也可以有,甚至必须有,为什么不呢?
▌MDPG付诸实施的局部技术路径
前面已经提及,数据标签、数据指纹技术,是以MDPG为思路的数据规则得以实现的基础。可以说,恰恰是各种各样的数据技术本身,才是数据保护这座大厦的坚实根基,离开数据技术构建数据规则,无异于纸上谈兵、空中楼阁,这恰恰是GDPR、CCPA的前车之鉴。
所以,MDPG对有关各方要产生实际价值,今后需要更多聚拢在数据库、数据管理系统、各种基于数据的业务系统、开放平台、中间件、数据指纹、数据加密、数据存储、云计算等方面最为专业的技术人才,充分吸取他们的意见,才能够真正落到实处。当然,政策、法律、产业方面专家的意见,也非常重要。
此外,区块链也将是未来数据规则的重要基石。目前知识产权多个领域,比如数字版权方面,已经引入区块链作为追溯统计与价值回馈的核心机制且运作良好。区块链在数据保护领域也有望大显身手。
以技术为基础,面向未来的数据规则,至少在局部将可能创造基于协议进行选择的过程、基于选项进行议价的可能、基于数据标注的追溯和统计,以此形成数据价值回流,形成对用户有回馈的“开放闭环”。
综上所述,个人信息保护到了必须从个人数据保护层面去认知的阶段,个人数据保护到了必须从数据规则高度去认知的阶段,而数据规则到了必须从未来世界秩序的重要机制之一去认知的阶段。
对数据规则的建构,到了必须走出GDPR和CCPA,以使用为重心、以兼顾规范与发展等为初心、以多维开放等为原则、以9个方面的体系建构为保障、以数据技术为基础的新阶段。新阶段需要新思维,相信个人数据保护领域内的中国智慧,能够做好时代给予我们的选择题,能够在历史的十字路口,向着未来的方向迈出正确的一步。
原标题:《MDPG:多维数据保护指引——中国智慧能否催生“中国方案”?》
本文摘自《腾云》70期「中国需要自己的数据保护方案」
声明:本文来自腾云,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。