随着 2021 年 11 月《个人信息保护法》的正式实施及我们系统用户体量达到 2000 万,公司业务的特殊性今年我被各地 GA 约谈的次数又有增多,除了常规的第三方测评,我们在数据安全的探索也没有止步。在技术层面上我们上线了边缘特征值提取系统解决人脸照片的传输与存储问题,利用证书锁定解决 APP 抓包问题,利用数据库审计对数据库操作进行细粒度审计的合规性管理,也在探索 Appshark 做自动的安全漏洞和合规检测。
前几天了解到粤澳健康码互认项目实践个人数据可携带权的方案,收到了不少的启发。调研了全球个人信息可携带权的实践方案,分别就国外的平台主导、政府主导和深圳市金融区块链发展促进会(简称:金链盟)联提出个人主导方案做一个对比,为探索公司业务如何在合规的方式下数据流通变现做准备。
在 2021 年通过的《个人信息保护法》中明确了数据可携带权,清晰的界定了个人用户与诸多数据持有者的权利边界与范围,为未来个人数据的自由、有序流动提供了法律层面的支撑。而从全球实践来看,这项权利得到了较为初步的应用。其在境外具体可归纳成由平台主导和政府主导的两类实践模式。
平台主导的个人信息携带模式
这类模式的典型应用代表是 Google 等美国企业发起的 DTP(Data Transfer Project)项目。在 CCPA 立法后不到一个月,总部位处加州的 Google、Facebook、Microsoft、Twitter 四大互联网企业联合发起了该项目,目的是为用户创造一个在不同服务商之间传输数据的平台。
DTP 的参与公司通过 API 技术共同建立一类数据传输标准,当用户需要执行可携带权时,只需要进行授权操作,信息提供者就可以直接通过 API 接口把个人信息传输给接收者,这就解决了个人执行可携带权时授权复杂、操作不便等问题。
DTP 模式核心构成
在技术上,DTP 的参与者需要部署 DTP 系统,该系统由三个组件构成:数据模型(Data Model)、适配器(Adapter)和 任务管理库(Task Management Library)。
数据模型构建了传输文件类型和元数据的标准,适用于少量类型已经被充分定义的且被广泛采用的标准数据,如图片、音乐、邮件、联系人数据。所有参与 DTP 的公司都必须采用 DTP 系统的数据模型,以方便个人信息传输。
适配器分为数据适配器和身份认证适配器,前者用于 API 和数据模型之间的格式转换,后者则用于用户身份认证。
任务管理库用于处理后台任务,包括数据存储、任务调用、故障处理等。任务管理库通过一个通用的云接口进行部署,因而可以部署在本地、云端或生产环境中。DTP 系统所传输的数据也是先通过任务管理库加密后再进行传输,即 DTP 系统使用了加密 API 传输技术。
DTP 模式示意图
DTP 模式的优缺点比较
政府主导的个人信息携带模式
与 DTP 模式不同,以韩国为典型代表的 MyData 模式由政府主导,思路是政府通过牌照准入的方式,审核、批准 MyData 运营商建立服务平台。当用户请求访问个人信息数据时,信息提供者需要将个人信息传输给 MyData 平台,再统一由 MyData 平台传输给个人,相当于 MyData 平台整合了各公司的个人信息数据,方便个人访问和携带个人信息。而当个人需要执行可携带权时,只要授权信息接收者从 MyData 平台处获取即可。
MyData 模式示意图
MyData 模式的优缺点比较
个人主导的个人信息携带模式
受粤澳健康码互认项目的启迪,深圳市金融区块链发展促进会(简称:金链盟)联提出一种新型的分布式数据传输协议(Distributed Data Transfer Protocol,DDTP)。该协议旨在让用户成为关键参与者,由用户主动发起个人信息数据传输并自行上传,从而实践个人数据可携带权。协议方案基于区块链技术,通过区块链的全流程追溯、防篡改、传递信任等特性,
叠加引进权威机构的参与,助力更安全、可信、易协作的个人信息携带应用。与其他模式不同的是,该协议强调以用户个人为主导,遵循分布式理念,不依赖于数据提供者和接收者双方合作,也不依赖中心化机构推动,可支持跨机构、跨行业、跨场景协同。
DDTP 分布式数据传输协议示意图
行使个人信息可携带权步骤解析
如上图所示,主要分两个主要步骤行使个人信息可携带权。
第一步是用户从数据提供者处下载个人信息数据,并存储在个人指定的位置。存储位置可以是本地,也可以是云或其它位置。为了确保个人真实意愿、防止真实数据被篡改、保持传输给接收者的个人信息与提供者提供的个人信息一致,经用户授权后,可进一步引入权威中立的第三方机构参与见证该个人数据文件的存储过程,并获取相关文件的哈希值(而非源文件)作为“数据指纹”存储于区块链上。
第二步是用户将已下载的个人信息数据传输给数据接收者,并对使用范围和使用目的等进行授权。数据接收者在收到个人信息数据文件之后,可以通过区块链进行基于哈希值的可验证数字凭证⸺ “数据指纹”的核验,从而完成验真的过程。与此同时,个人的所有授权记录、数据接收者的具体使用情况也皆可在链上进行记录,便于个人未来追溯相关文件的流转。
DDTP 协议的优点
该协议可以满足相关各方关于个人信息可携带权的基本需求。在安全存储、可信传输、协同生产三方面,具有明显的优点:
从应用效果来看,通过引入用户作为核心参与者,DDTP 建立了用户主动行使个人信息可携带权的模式,由于是用户直接向接收者传输数据,按照《个人信息保护法》相关条款,接收者不能索取不必要的数据,因此也不会出现过度授权和信息滥用,成功保障了用户行使个人信息可携带权;
通过使用区块链技术,DDTP 将个人信息存储、传输和验证分离,成功解决了验真、溯源、审计、信任机制传递等方面的
问题;而用户自主发起并结合基于哈希值的可验证数字凭证⸺ “数据指纹”上链验证的方式,既符合政策的合规要求,又能解决跨机构、
跨行业、跨场景数据协同生产的问题,可以用于个人信息可携带权的中国实践。
DDTP 案例:粤澳健康码互认项目
2020 年 5 月,广东和澳门两地政府部门运用基于区块链技术,推出的粤澳健康码跨境互认项目,为构建个人信息可携带权模式提供了参考。众所周知,新冠疫情造成了人员流动不便问题,如何实现健康码跨地互认互转存在较多的困难。尤其是,在跨境场景下居民的个人隐私信息限于当前法律难以实现跨境传输,如何进行用户健康信息的真实互认就变得十分困难。在 FISCO BCOS 区块链开源底层平台的技术支持下,广东和澳门两地政府部门运用基于区块链的实体身份标识及可验证数字凭证技该项目的思路是让用户成为个人信息传输的核心角色,自主携带申报个人健康信息,通过数据指纹上链,实现数据验证及健康码互认互换。在经过用户同意授权之后,所在地区的政府部门开始启动健康数据转码;在后端,个人健康数据文件的哈希值和用户的数字签名将记录在区块链上,数据原文信息则仍保存在健康码发行机构的本地数据库中;在前端,用户无需在多个平台重复填写复杂信息,只需简单授权后,产品将自动为用户转为前往地区的健康码,从而实现了合规前提下的个人健康信息的跨境携带。截至 2021 年 6 月,项目已服务超 9500 万人次在粤澳两地跨境通行。