原创 | 浅议个人数据开发利用新范式

在所有数据资产类型中，个人数据的开发利用潜在价值巨大。个人数据在过去几十年里，已经得到前所未有的开发和利用，推动了经济增长和社会发展。但与此同时，也逐渐引发越来越凸出的经济、社会和伦理道德问题。

App应用服务包罗万象，几乎涵盖了个人生活、工作和学习等方方面面。个人在由这些应用服务营造出来的数字空间中活动，自然而又轻松的产生了大量的个人数据，这些来自不同数据出生地（DBP）[i]、海量的、异构的数据，构成了个人数据空间（PersonalData Space）。

个人数据开发利用的旧范式是App应用服务商向个人提供服务，个人向App应用服务商提供或生产个人数据。App应用服务商通过处理、交易个人数据，从而获得直接或间接收益。

在过去几十年的互联网发展过程中，这种范式无疑处于主导地位。范式转换的核心驱动因素是对数据权利的认知提升，以及公众和政府对隐私保护[ii]和安全的关切[iii]。旧范式下，个人对其个人数据空间的治理、管控和感知等各个方面，都非常欠缺。

自2016年欧盟推出GDPR以来，各个国家都在加快围绕个人数据保护的立法议程。随着我国《个人信息保护法》、《数据安全法》等重要法律法规的出台，标志着个人数据的开发利用从旧的范式转换到一个新范式。

新范式正处于形成和发展中，尚未形成全球共识。欧盟提出了“以人为本的个人数据开发利用”的mydata范式[iv]。美国尚未出台类似GDPR的专门的个人数据保护的法律，目前大多数州都是基于消费者保护建立的法律体系，只有个别州出台了法律[v]。概括来讲，美国倡导的是“基于规则、协议和市场”的open data范式。其他国家基于各自的法律、文化以及数字基础设施的条件，也都在积极探索适合本国个人数据开发利用的新范式。

新范式所遵循的一个核心原则是：对个人数据的开发利用，需要始终兼顾开放、隐私和安全，并在这三者之间形成的“不可能三角”中，针对不同的场景（context）寻求最优解决方案。

本文首先对新范式演化做简要的回顾，然后从微观的视角，通过建立一个个人数据空间的分析模型，来初步研究新范式下的个人数据开发利用前景和展望。

一、演化中的个人数据开发利用新范式

过去很长一段时期里，个人数据空间中的原始数据分布在众多的App应用服务商手中。大多数情况下，个人对这些原始数据并没有控制权，App应用服务商是数据控制者。数据的流通完全由数据控制者决定。实证研究指出，不合理的、不审慎的个人数据开放是导致隐私泄露和安全担忧的根源[vi]。

旧范式的缺陷不仅是只考虑开发利用，忽略和忽视个人隐私保护，而且价值分配也不合理。旧范式下，个人数据的开发利用价值绝大部分都分配给了数据控制者和使用者，个人所得寥寥。而且，在旧范式下，网络效应形成的数据垄断，对个人、经济和社会的负面影响也日益显著。

因此，个人数据的开发利用新范式，需要在开放、安全和隐私这个不可能三角框架下寻求答案。

“mydata”[vii]提出了“以人为本的个人数据使用新范式”。这个新范式认为“个人应被賦予足够的权利和能力，以管理个人的私人生活。并尽可能的让个人拥有确实可行的工具、方法，来理解和有效地控制谁可以访问其个人数据，以及这些私有数据的如何使用和分享的方式。”

“mydata“将隐私、数据安全和数据最小化原则，作为个人数据开发利用的实践标准。强调了让个人理解隐私政策，鼓励应用服务商采取激励机制，激活个人数据价值的同时，“mydata”倡导数据开发利用的透明度、可解释性。即，只有个人能够明确的理解个人数据为什么、怎么、以及多久被使用，才有能力来授予、拒绝或撤销数据的开发利用。

“mydata”是基于「信任三角」[viii]模型构建的范式。示意图如下：

个人数据运营商（Operator）让个人可以安全地访问、管理和使用自己的个人数据，以及管控从数据源（DataSource）和数据使用服务（Data Using Service）之间的数据流动。个人