如果以后有人要写部中国互联网发展史,2021年11月1日必定是绕不开的节点。

这一天,《个人信息保护法》正式实施。它影响互联网时代的每个人,将它视为互联网行业乃至时代的“分水岭”也不为过。

从2003年官方启动研究工作算起,《个人信息保护法》整整酝酿了18年。2020年10月,《个人信息保护法》草案首次公开亮相,相关规定从条款分散正式走向专门性立法。这部法律中不乏将震动产业界的规定,三审中引入的“个人信息可携带权”就是其中之一。

过程本身就透露了很多信息:一方面,个人信息保护是个大工程,涉及多方利益,需要探索和博弈;另一方面,个人信息保护极重要,个人和产业都将受其影响,它关系到数字经济的发展,乃至一场生产力革命。

也许有人会问,信息泄露有可能会被诈骗分子利用、或者被“大数据杀熟”,但这跟“生产力变革”又有什么关系?

撬动变革的“数据石油”

关系太大了。

工业时代的战略资源是煤炭和石油,到了互联网时代,数据是新的生产要素,是产业界争相抢夺的资源,这已经是行业共识。

在所有类型的数据中,个人信息(或称“个人数据”)占比近七成,涉及利益最广,处理和监管起来也最复杂,这也是为什么需要《个人信息保护法》这样的专门性立法。

回想一下,近几年APP里的广告推荐是不是越来越准了?以前上网购物要主动搜索,现在是不是只要刷推荐流就行了?还有,有些智能硬件卖得很便宜,毛利很低,厂商不打算赚钱吗?

这都要归功于数据的魔力。大量的商业创新和效率提升都建构于数据之上,比如互联网广告的精准营销、电商和资讯平台的“千人千面”。那家智能硬件厂商真正想要的并不是硬件收入,获取用户数据才是重点。

在商业利益的驱使下,产业界很容易出现两种动作:一是过度收集个人数据,二是主动“造墙”。两种风气叠加的后果便是企业封闭生态,把获取到的用户数据归为己用,进而形成一个个数据孤岛。

相当长一段时间里,封闭生态成了主流竞争方式。逻辑也很好理解:公司积累的数据越多、质量越高,就能更精准地针对用户特点开展业务,也更容易在竞争中获得优势,马太效应由此而生。

但这是有问题的。在这套竞争逻辑里,海量的个人数据成了企业的“私产”,用户对此几乎没有话语权——明明是“我”的数据,但这些数据放在哪、怎么用、能否转移,“我”完全做不了主。

情况正在发生转变。伴随着监管的推进,互联网行业开始“拆墙”,“我的数据我做主”也进入了探索阶段。

这里不得不提到《个人信息保护法》中的“个人信息可携带权”。根据《个人信息保护法》第四十五条第三款的规定,个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。

简单地说,这项权利将强化个人对其个人信息的控制权,个人可以将数据导入第三方,也可以在同类或相似服务的不同服务商之间轻松转换。

比方说,小李原先用着A公司的在线音乐APP,现在他想换用B公司的产品,但又不想重新整理一遍歌单。按照《个人信息保护法》的规定,小李可以完全按照意愿转移他的歌单数据,因为这是其“个人信息可携带权”的体现。

早些年的“携号转网”其实也是尝试“个人信息可携带权”的例子。但直到目前,这项权利离完全落地还有不小距离。国内的个人信息转移形式一般是让数据在企业之间的直接传输,在这个过程中,个人仅仅是进行笼统的授权,难以把控和监测自身数据的传输和流转,在业务链条中尚处于被动的位置。

各行各业都已经见识过数据的魔力,那么想象一下:假如个人数据可以在保护用户隐私的前提下,在产业链上下游,乃至跨领域、跨行业之间自由流转,将会带来多少商业创新,带来怎样的生产力变革?

这便是“个人信息可携带权”之于产业的深层意义,只是理想很美好,“个人信息可携带权”的落地并不好做。

难点、实践和天花板

难点俯拾皆是。个人数据体量庞大,重要且敏感,如何合法合规地存储、流通、使用这些数据?怎么规避数据运营商谋取私利的可能?又要如何在公众利益、企业发展和激活数字经济活力之间找到平衡?

再往深处看,就算有了安全便捷的存储和流通方案,但要鼓励产业各方参与其中也存在难度。个人信息可携带权的推进可能会增加企业成本,加上各种出于竞争的考虑,企业主动配合的热情未必会高。

这些问题充满了“既要又要”,没有现成的答案能参考,只能靠探索和博弈。

相比国内,海外对个人数据携带的探索要早一些。美国、欧洲、韩国等国家地区,都已经针对个人信息可携带权出台了相关制度,并形成了由企业主导和由政府主导两种发展路径,但从目前的情况来看,已有模式均有不足之处。

美国企业发起的DTP(Data Transfer Project)项目是典型的由企业主导的个人数据可携带模式。2018年6月,美国颁布《加州消费者隐私法》(California Consumer Privacy Act,简称“CCPA”),在CCPA立法后不到一个月,Google、Facebook、Microsoft、Twitter四家企业联合发起了数据迁移项目(即DTP项目),目的是创造一个服务对服务的开源数据迁移平台。

可以把DTP项目简单看作一个“数据联盟”,只要用户所用的服务来自“联盟”内的公司,那么他在转移照片、音乐、邮件等个人数据时就可以很方便。

DTP模式运作逻辑|引自《DDTP——分布式数据传输协议白皮书》

比方说,小李是Google用户,想把照片转移到微软的OneDrive中,那么他只需要授予微软读写照片的权限、打开Google的文件传输界面、选择目的地并点击"发送",所选照片就会从Google复制并传输到微软,期间无需使用用户的带宽或硬件。

目前,DTP项目参与者包含了各个美国互联网巨头和数十家图片音乐网站及云存储服务商,基本覆盖了美国用户存储图片、视频和音乐的主要渠道。

用户传输照片的需求解决了,但DTP项目也有局限性。个人数据是存储在企业服务器上的,用户无法选择数据存储位置,数据迁移过程中出了问题也难以追责。还有,DTP项目仅限于图片、视频和音乐等较为标准化的数据传输,这个“联盟”里也缺少中小参与者,缺少互联网行业之外的企业。

韩国的MyData模式则完全是另一种思路。相比DTP项目,MyData模式由政府主导,中心化特点明显,其目标是建立一个整合了各个公司的个人数据平台,当用户想要访问和携带个人数据时,只要授权接受者从MyData平台获取就行。