在所有数据资产类型中,个人数据的开发利用潜在价值巨大。个人数据在过去几十年里,已经得到前所未有的开发和利用,推动了经济增长和社会发展。但与此同时,也逐渐引发越来越凸出的经济、社会和伦理道德问题。
App应用服务包罗万象,几乎涵盖了个人生活、工作和学习等方方面面。个人在由这些应用服务营造出来的数字空间中活动,自然而又轻松的产生了大量的个人数据,这些来自不同数据出生地(DBP)[i]、海量的、异构的数据,构成了个人数据空间(PersonalData Space)。
个人数据开发利用的旧范式是App应用服务商向个人提供服务,个人向App应用服务商提供或生产个人数据。App应用服务商通过处理、交易个人数据,从而获得直接或间接收益。
在过去几十年的互联网发展过程中,这种范式无疑处于主导地位。范式转换的核心驱动因素是对数据权利的认知提升,以及公众和政府对隐私保护[ii]和安全的关切[iii]。旧范式下,个人对其个人数据空间的治理、管控和感知等各个方面,都非常欠缺。
自2016年欧盟推出GDPR以来,各个国家都在加快围绕个人数据保护的立法议程。随着我国《个人信息保护法》、《数据安全法》等重要法律法规的出台,标志着个人数据的开发利用从旧的范式转换到一个新范式。
新范式正处于形成和发展中,尚未形成全球共识。欧盟提出了“以人为本的个人数据开发利用”的mydata范式[iv]。美国尚未出台类似GDPR的专门的个人数据保护的法律,目前大多数州都是基于消费者保护建立的法律体系,只有个别州出台了法律[v]。概括来讲,美国倡导的是“基于规则、协议和市场”的open data范式。其他国家基于各自的法律、文化以及数字基础设施的条件,也都在积极探索适合本国个人数据开发利用的新范式。
新范式所遵循的一个核心原则是:对个人数据的开发利用,需要始终兼顾开放、隐私和安全,并在这三者之间形成的“不可能三角”中,针对不同的场景(context)寻求最优解决方案。
本文首先对新范式演化做简要的回顾,然后从微观的视角,通过建立一个个人数据空间的分析模型,来初步研究新范式下的个人数据开发利用前景和展望。
一、演化中的个人数据开发利用新范式
过去很长一段时期里,个人数据空间中的原始数据分布在众多的App应用服务商手中。大多数情况下,个人对这些原始数据并没有控制权,App应用服务商是数据控制者。数据的流通完全由数据控制者决定。实证研究指出,不合理的、不审慎的个人数据开放是导致隐私泄露和安全担忧的根源[vi]。
旧范式的缺陷不仅是只考虑开发利用,忽略和忽视个人隐私保护,而且价值分配也不合理。旧范式下,个人数据的开发利用价值绝大部分都分配给了数据控制者和使用者,个人所得寥寥。而且,在旧范式下,网络效应形成的数据垄断,对个人、经济和社会的负面影响也日益显著。
因此,个人数据的开发利用新范式,需要在开放、安全和隐私这个不可能三角框架下寻求答案。
“mydata”[vii]提出了“以人为本的个人数据使用新范式”。这个新范式认为“个人应被賦予足够的权利和能力,以管理个人的私人生活。并尽可能的让个人拥有确实可行的工具、方法,来理解和有效地控制谁可以访问其个人数据,以及这些私有数据的如何使用和分享的方式。”
“mydata“将隐私、数据安全和数据最小化原则,作为个人数据开发利用的实践标准。强调了让个人理解隐私政策,鼓励应用服务商采取激励机制,激活个人数据价值的同时,“mydata”倡导数据开发利用的透明度、可解释性。即,只有个人能够明确的理解个人数据为什么、怎么、以及多久被使用,才有能力来授予、拒绝或撤销数据的开发利用。
“mydata”是基于「信任三角」[viii]模型构建的范式。示意图如下:
个人数据运营商(Operator)让个人可以安全地访问、管理和使用自己的个人数据,以及管控从数据源(DataSource)和数据使用服务(Data Using Service)之间的数据流动。个人