微众银行马智涛：“个人信息可携带权”是挑战，更是机遇

酝酿起草18年，历经三次审议，《中华人民共和国个人信息保护法》（以下简称“《个保法》”）于2021年8月20日正式颁布，并于2021年11月1日起实施。

其中，《个保法》第45条首次规定了“个人信息可携带权”，即“个人请求将个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径。”

“个人信息可携带权”被认为将给产业带来震荡。要知道，社会迈向往数字经济转型过程中，最重要的生产要素是数据，而回想互联网时代发展的这些年，从电话推销，到数据贩卖；从语音监听，到广告推送；从数据杀熟，到电话诈骗——我们在数据隐私上的痛点实在是太多。“个人信息可携带权”界定了个人与数据持有者的权利边界，为个人数据的有序、自由、健康流动提供了法律保障。

以具体场景举个例子。小周使用了健身App，App里记录了他超过两年的健身数据，从偏好到频率，从时长到心率，这些数据对于任何一家健身机构都是宝贵的财富。当小王想去健身房报私教课时，有权要求App将所有的个人数据，提供给健身房，以便私教为自己量身定制健身方案。

“个人信息可携带权”正式实施的前一周，正值第七届万向区块链全球峰会在上海举行，微众银行副行长兼首席信息官马智涛在会上指出，如何运用创新技术探索“个人信息可携带权”的新模式，是关键的下一步。

微众银行副行长兼首席信息官马智涛

马智涛分享了个人信息可携带权的国内外实践及现有痛点。近年来，国际上形成「平台主导」和「政府主导」两种不同的个人信息可携带权发展模式，两种模式分别的代表项目为美国科技巨头企业发起的DTP（Data Transfer Project）模式和韩国政府主导的“MyData”模式。但这两种模式缺乏可信的验证机制和激励机制，在“安全存储”、“可信传输”、“协同生产”方面都存在不同程度的局限性。

随着国内数字新基建技术的发展，个人数据可携带权的探索出现新机遇。

2020年9月23日起，内地全面恢复办理赴澳门旅游签注，澳门旅游全面恢复开放，持有效出入境证件的旅客持7天内有效核酸检测阴性结果证明，并申领“粤康码”，凭“粤康码”绿码即可自由通关。而澳门入境旅客申请“粤康码”的过程，其实就是一个极其典型的个人数据可携带权落地的案例。

由于粤澳两地都有自己的健康码系统，但是因为两地政府法规的限制，无法像内地那样各地区之间可以用直接授权的方式，实现诸如核酸报告、疫苗数据、行程轨迹等个人数据的直接交换。如果这些数据之间没法打通，粤澳之间的往返旅客就必须遵守传统的模式：14天医学观察期，十分不便。

从2020年5月起，“粤康码”与“澳门健康码”互认系统正式启用，从7月15日起，两地居民通关可免除14天医学观察期，持粤康码通关凭证以及有效核酸检测阴性结果正常通关。通关人员首次领码、转码到生成通关凭证，全过程平均时长约1分40秒，再次通关时获取通关凭证不超过3秒即可完成。系统启用以来至今年6月，持健康码通关凭证通关人员累计超9500万人次。

而这背后，微众银行的区块链开源技术发挥了关键作用，它的路径是：一个澳门居民持“澳门健康码”前往珠海，在系统申请转码，由用户自行操作提交至“粤康码”，系统将按照防疫工作的规则自动为其生成“粤康码”。“粤康码”收到用户自行提交的信息，结合区块链不可篡改的技术特性及密码学方法，可快速验证用户提交的信息是否真实有效、未经篡改。整个过程，“澳门健康码”与“粤康码”的后台不存在任何用户数据的直接传输，确保澳门健康码在生成、使用过程中的用户信息安全和隐私保护，符合两地法规的相关要求。

在利用区块链技术解决粤澳健康码互认的过程中，微众银行逐渐意识到，应该将这一模式进行提炼，让它有机会成为通用型平台，面向更多应用场景。他们开始完善该模式，提出“分布式数据传输协议DDTP（Distributed Data Transfer Protocol）”的倡议。

据悉，DDTP由微众银行牵头成立的金链盟、观韬中茂律师事务所、金融科技·微洞察等联合提出。与前文提及的美国DTP相比，DDTP有两项重要的差别：其一是分布式的，没有任何中心机构进行运作；其二，这并不是单一的项目，而是协议，“希望它成为通用协议，让具有大量数据的提供者，以及有很多应用场景的数据接收方，能通过用户本身的授权进行数据传输。”马智涛表示。同时，DDTP因为区块链、云计算、AI能力注入，可以非常有效地应对解决可信传输、安全存储、协同生产三大难题。

“DDTP模式有机会做到完全由个人主导，同时基于区块链技术进行设计，通过区块链的全流程追溯、防篡改、传递信任等特性，并引进权威机构的参与，助力更安全、可信、易协作的个人信息携带应用，有机会实现跨机构、跨场景、跨业态的数据层面合作。”马智涛说道。

更关键是，DDTP能够打破传统模式的一些局限性。比如，这种模式遵循分布式理念，不需要参与机构事先约定，也不需要依赖单一权威机构的推动，用户可以自己主导决定，灵活性非常强，数据传输也会更快。这一理念如果在业界普及，它的生命力会更强，甚至可以发挥民间智慧，而不需要行政机构推动。

在马智涛看来，基于个保法的立法，再加上前沿技术的持续发展，未来有机会推动更多类似于DDTP的标准协议的诞生，构建更多符合公众联盟链形态的应用，为数据时代构建非常需要、必不可缺的数字新基建。

图解微众银行个人信息携带方案DDTP：

• 首先，个人用户先按需向自身数据所在方的数据提供者发起请求，并将其个人信息下载转移到自己指定的任意存储机构；

• 其次，经用户授权，权威中立的第三方机构可以参与见证该个人数据文件的存储过程，并获取相关文件的哈希存储于区块链上；

• 最后，个人用户可以自行将个人数据文件发送给数据接收者并对使用范围和使用目的等进行授权，而数据接收者则可以通过区块链对个人数据文件的真实性进行校验；

• 与此同时，个人的所有授权记录、数据接收者的具体使用情况也皆可在链上进行记录，便于个人未来追溯相关文件的流转。