国际清算银行:数据治理系统的设计
阳光互联网金融创新研究中心
阳光互联网金融创新研究中心
互联网金融如何“创新”——国际清算银行:数据治理系统的设计
如何在个人信息流动中实现其保护是世界数字化转型的核心议题之一。为此,各国均确立了个人信息(数据)处理的详尽规则。然而,用户通常不知道与他们相关的权利和成本,而且即使他们这样做了,也很难维护他们在收集、处理和共享个人信息方面的权利。有鉴于此,国际清算银行Siddharth Tiwari、Sharad Sharma、 Siddharth Shetty 和 Frank Packer近日发表了《数据治理系统的设计》一文,交叉运用技术和法律,创造性提出一种“数据治理系统”,将个人信息(数据)的实际控制权授予生成数据的用户和企业,并在服务提供商收集、共享和处理他们的数据之前征得他们的同意。这一基于同意的架构是用户友好和低交易成本的,促进用户和企业能够为自己的利益使用数据,从而实现各方的共赢。在实践上,印度数据授权保护架构 (DEPA)已经有了相关的成功经验。敬请阅读。
来源/国际清算银行
译/对外经济贸易大学金融科技实验室
1.1 数据存在的问题
纵观历史,消费者和企业都在他们的日常选择中生成数据。这些数据可能与就诊、购买和销售商品或金融交易等有关。传统上这些信息是纸质的,并储存在于从事这些交易的实体(医生、商人和金融服务提供商)之处。
过去二十年的技术进步使得数据获取及处理水平飞速发展(Feyen等,2021)。不断扩大的消费者足迹、增加的数据可用性和廉价存储相结合,为高性能计算奠定了基础。它还能够将大量消费者数据(通常称为“大数据”)转化为有价值的商品(Barocas和Nissenbaum,2014)。此时的关键问题在于谁可以控制这些数据;数据存储在哪里;能够与谁共享以及在什么条件下共享;以及由何人运行数据治理系统。
在全球范围内,大多数国家都有隐私数据法。隐私数据法使各国能够制定相应的立法,承认个人对其数据的权利。这些法律的核心是一套定义了如何收集、共享和处理个人数据的原则。然而,尽管这些法律存在,消费者和中小型企业 (SME) 等数据的生成者仍无法控制他们生成的数据,并且被剥夺了从数据使用中获得全部价值的机会 (Solove,2013)。无法访问的数据,包括被隔离在由大型科技公司拥有并运营的信息孤岛中的数据,对消费者和社会来说是一笔巨大的成本(经合组织图书馆,2019)。这些成本一方面是消费者感到无能为力,对他们所居住的系统的安全性失去信任;另一方面是没有获得数据所有权将给他们带来的好处。同时,大型科技公司汇总和利用个人数据,但未能将由此产生的利益完全传递给消费者(Solove,2013)。
最后,无论是国内还是跨境领域,在最佳数据治理系统方面都缺乏全球共识(Matthan,2022、Basu,2021、Carstens,2019)。
1.2 出现问题的原因
在大多数国家和地区,隐私数据法承认个人对与其相关的数据的权利。这些法律的核心是一套定义了如何收集、共享和处理个人数据的原则。这些法律为数据主体(在这种情况下为消费者和企业)提供了通过授予或拒绝同意使用和传输这些数据来控制其数据的机会。
然而,由于一些原因,消费者发现难以有效地行使这种同意。首先,服务提供商通常会在消费者同意参与服务提供商的活动时寻求同意使用和传输数据。由于这种同意是事前获取的,并且包含了广泛的利用可能性,在性质上它是相当宽泛的。
消费者没有耐心并且可能不知道他们生成的数据的价值,因此为了获得服务,他们很快便授予同意。
其次,新创建的数据通常被收集并保留在专有孤岛中,并以不兼容的格式存储在不同机构中。即使意识到数据的价值,消费者也会发现这些数据很难获取,因为它们格式不同并且位置各异,同时消费者在跨机构组合数据请求方面只有有限的选择。
本文提出了一种数据治理系统,通过将数据控制权归还给生成数据的消费者和商家(我们将其称为“数据主体”)来纠正上述市场失灵。该系统能够让数据主体有效地行使他们在收集、处理和共享其数据方面的权利,并要求社交媒体渠道或贷款机构等服务提供商(我们称为数据用户)在共享和处理数据之前,始终提供通知并征求同意。这样的同意制度将用“细致化”的同意取代“广泛而全面的”同意。为了使其在管辖范围内被广泛采用,这一制度应该降低交易成本,对数据主体和数据用户友好。这种基于同意的制度将使得数据主体能够为自己的利益使用数据。
拟议的数据治理系统以各个司法管辖区现行的国家隐私数据法为基础,这些法律规定了核心数据保护原则。治理系统规定了这些隐私原则是如何运作的。考虑到数据共享请求的细致程度、所涉及的大量数据、数据分布在多个数据用户和提供者(以下也称为“数据控制者”)的可能性,以及保持数据安全和成本效益的需要,具有上述特征的基于同意的系统必须是数字化的才能实现上述要求。数字系统要想有效运行,它应该包含将隐私框架转换为数字空间的协议。该系统将包括所谓ORGANS原则中关于通知和同意的要素、目的限制、数据最小化、保留限制和使用限制(NITI Aayog,2020)等。这一数字系统也需要是开放的,经由可撤销、细化的同意,接受审查,并在安全的环境中进行通知。
我们认为,任何解决方案都需要成为公私伙伴关系体系的一部分并且对市场友好。在数据主体面临重大障碍的当下,通过授权专门的数据受托人(作为数据主体的利益拥护者),对系统的信任以及基于同意的数据治理架构的广泛应用有可能得到显着增强。这些数据受托人的主要任务就在于确保以尊重上述有效数据治理原则的方式共享数据。
本文的其余部分安排如下。在第2部分中,我们定义了论文中使用的术语,因为它们与数据共享系统中的参与者以及可以共享的各种数据类别相关。第3部分描述了当前形势以及数据主体面临的挑战。它概述了当前系统的社会和个人成本,以及数据主体能否实现利用其数据为自己谋取利益的可能性。在第4部分中,我们提出了一个基于同意的数据治理系统,该系统可以纠正上述市场失灵,并在数据主体和数据控制者之间提供公平的竞争环境。我们还开发了一个细化的模板,可用于对各司法管辖区的数据治理系统进行基准测试。该模板提供了一个有用的路线图,使现有系统能够从数据控制者为自己的利益使用数据的系统过渡到数据保管人为了数据主体的利益而将这些数据传递给其他人的系统。本节将得出对特定设计特征的初步想法,这些特征将增强该治理系统在竞争市场中的市场采用率。在第5部分中,我们描述了印度的数据授权和保护架构 (DEPA) 以及支持将DEPA应用于金融业的数据流。接着我们将DEPA与第4部分中开发的模板进行对比。我们还描述了在2021年9月实施 DEPA 后获得的一些早期经验教训。在第6部分中,我们提供了一些结论性想法,包括政策制定者在跨境应用该系统时所面临的挑战。
数据主体:指通过线上或线下活动生成数据,并且个人数据与之相关的个人、消费者和企业。
数据提供者:存储数据的实体,通常也称为数据控制者。这些实体是服务提供商,例如金融机构、大型科技公司或医疗保健专业机构——它们收集和存储了个人、企业的数据,并对这些数据进行有效控制。
数据使用者:指接收并处理数据提供者共享的关于数据主体数据的实体,为数据主体或数据用户自身账户提供服务而输入数据。
特定实体并不局限于只做数据使用者或数据提供者,而是根据它们所参与的数据共享交易,可以是数据使用者或数据提供者。
同意管理者:授权受托人,是数据主体、数据提供者和数据使用者之间的中间人。作为数据主体的代言人,他是数据主体、数据提供者和数据使用者之间的中介。他确保数据共享和处理的商定规则得到遵守。
图1 数据治理系统的四个参与者
一般来说,有两类数据:个人数据和非个人数据。任何与数据主体身份相关的数据,即它们可识别到个人的,都属于个人数据类别。从数据保护的角度来看,数据控制者记录(并控制)的是数据主体的个人数据,这些数据受制于数据可移植权。这两类数据(个人数据和非个人数据)可以进一步分解为如下组成部分。
a. 不可共享的数据——例如密码和生物特征数据——是市场参与者独有的。顾名思义,这类数据不受共享的限制,尽管访问平台时需要这类数据,但要遵守相关的网络安全标准。在许多国家,生物识别身份、卡片的个人识别码 (PIN) 等都属于此类数据,应遵循该国普遍的技术标准。
b. 档案数据——例如姓名、出生日期、性别和地址,或健康相关数据(例如疫苗接种状态)等包含不经常变化的特征的数据。虽然服务提供商经常需要提供此类数据才能访问其平台,但共享此类数据需要用户同意(通常通过eKYC(electronic know-your-customer)或数字储物柜)。
c. 生成的数据:是消费者或中小企业的在线活动(例如支付或借贷)产生的数字轨迹。这些数据与数据主体(消费者或中小企业)的活动有关,共享此类信息需要征得同意。储存子类数据的服务提供商通常充当此类数据的保管人。
d. 衍生数据:是由服务提供商通过将生成的数据与其他属性(例如收入、教育状况等)在用户之间进行映射而形成的数据,例如信用评分。与生成的数据相比,派生数据包含从对许多数据主体的分析中提取的数据(在大型科技公司的情况下,有数百万个数据主体)。也就是说,由于没有原始生成的数据就无法派生此类数据,因此数据主体至少对其拥有部分权利,并且应该需要某种形式的同意才能共享以他们生成的数据作为输入的数据。
a. 匿名数据 指不会映射到数据主体的身份的数据,例如删除个人标识符后的交易数据。这些大型数据集对于科学创新(例如医学研究或普惠金融等等)至关重要。通常,共享这些数据不需要征得同意,但需要满足该国通行的匿名标准,以限制三角互证并确保数据匿名。一些匿名数据仅在集团层面汇总时可以被获取使用。
b. 公共数据,例如 GDP、Covid 感染率和死亡率、零售额或就业相关数据。这些数据为公共政策的实施提供了重要的数据输入。收集这些数据集不需要征得同意(基于调查的数据输入可能是匿名数据),这些数据集受法律监管并遵守开放性标准。
有关数据存储、共享和处理的公共政策问题以及本文提出的框架涉及到所有形式的个人数据,无论是允许访问平台的不可共享的数据、与数据主体(消费者或中小企业)有关的概况数据、数据主体有利害关系且服务提供者作为保管人的生成数据,还是数据主体和服务提供者共同拥有的衍生数据。
近来技术发展导致数据的可用性及其处理呈爆炸式增长。随着智能手机、数字技术、软件应用程序和网络连接的出现,消费者的数字足迹急剧扩大(McKinsey Digital ,2021)。用户还受益于云计算等创新,从根本上降低了永久存储的成本,同时提高实时全球可访问性(Waibel等,2017)。
不断扩大的消费者足迹、增加的数据可用性和廉价存储相结合,为高性能计算奠定了基础。人与机器之间、机器之间与智能人机界面相结合的实时计算和通信,为人工智能、机器学习和深度学习奠定了基础。
图2 技术和数字金融基础设施发展时间表
它还能够将消费者数据转化为有价值的商品。在这样的背景下,关键问题在于谁可以控制这些数据,数据应存储在何处,数据能够与谁共享以及在什么条件下共享,以及由谁来运行数据治理系统。
在数据治理方法的发展过程中有两个重要的里程碑。首先,在美国,早在 1970 年代,美国卫生、教育和福利部的一份报告(后称为公平信息实践原则 (FIPPs))就规定了数据控制者的义务,其中包括记录系统的透明度、确保数据质量、向数据主体提供收集通知、访问权、防止收集被用于其他目的的权利和更正错误的权利,以及数据安全保护(美国卫生、教育和福利部,1973)。2000 年,美国联邦贸易委员会的一份报告推荐了FIPP的简化版本,此时线上业务正在扩大,公司正在制定政策,在自愿的基础上有效地将FIPP纳入其互联网服务条款。
客户在获得使用服务之前将收到通知并需表示同意。此时,这被认为是一种赋予主体从客户处收集数据的权力的充分、恰当的方式(Schwartz 和 Solove(2009))。随着数据数量和价值的增加——伴随着更多的数据收集实践活动——数据主体迫切要求进行更多的改变。2018 年,加利福尼亚州颁布了一项隐私数据法案,赋予了个人六项隐私权,包括查看其个人信息的权利、了解正在收集关于他们的哪些信息以及如何使用和共享这些信息的权利、删除已收集的有关他们信息的权利(即被遗忘权),选择不出售其数据的权利,以及因行使数据权利而不受歧视的权利。
其次,在欧洲,主要受FIPPs启发的199年欧盟数据保护指令也侧重于数据的收集和处理。随后,于2016年通过并于2018年生效的《通用数据保护条例》(GDPR)提出了七项原则——公平、目的限制、数据最小化、准确性、存储限制、完整性和保密性以及问责制(欧盟(2018))。现在一般认为欧盟是数据监管的全球领导者,GDPR是欧洲的重要数据保护法规。
也就是说,GDPR 仍将同意作为处理个人数据的主要依据。此外,在目前的框架下,很难实现在收集、处理和共享数据之前进行通知和同意的要求。对于使用开放的可互操作标准进行数据共享的要求以及指定数据和保留时间的细粒度同意请求也是如此。虽然数据收集者必须遵守严格的合规义务,但科技公司仍然可以像以前一样自由地运行,只需事先获得同意即可。法律规定的范围和系统充分履行法律要求的能力之间仍然存在不平衡。
在全球范围内,大多数国家/地区的法律承认个人对与其相关的数据的权利。这些法律为数据主体(在这种情况下为消费者和企业)提供了通过同意或拒绝同意相关数据使用和传输的机会,使其能控制自己的数据。然而,出于三个原因,消费者发现这种同意难以有效地行使。首先,服务提供商通常会在消费者同意参与服务提供商的活动时寻求其使用和传输数据的同意。由于这种同意是事前寻求的,并且具有广泛的可能性,因此它在本质上往往是广泛又宽泛的(Solove (2013))。其次,在许多情况下,消费者可能并未完全认识到与他们相关的数据的价值(Barocas & Nissenbaum(2014 年))。第三,新创建的数据通常在专有数字平台(“数据孤岛”)中收集和保留,并以不兼容的格式存储在这些公司平台上(van der Vlist & Helmond (2021))。即使数据的价值被消费者认可,他们可能会发现很难访问和共享其数据,因为他们在跨机构合并数据请求方面的选择有限。(van Ooijen & Vrabec(2019 年))。
根据上述数据分类,数据主体因数据被锁定在数据孤岛中而遭受的价值损失如图3所示。在这个程式化的示例中,用户1和用户2注册了公司1和公司的服务2。在现行制度下,在提供服务之前,公司1和公司2提供服务的条件是事先获得广泛和全面的同意。当用户1和用户2(数据主体)使用该服务时,他们会在网络活动中留下数字痕迹(生成的数据),并且他们生成的数据处于公司1和公司2的控制之下。反过来,公司聚合数据主体生成的具有其他属性(例如收入和教育)的数据以得出见解和预测,从而创建跨用户的派生数据。如果没有大量的用户原始生成数据,就不可能生成派生数据,因此可以想象,数据主体至少对派生数据的价值有部分要求。但实际上,用户既不能访问他们的生成数据,也不能访问跨用户生成的派生数据。当用户注册更多服务时,这个循环会重复。在极端情况下——除了不可共享和个人资料数据——与用户有关的整套数据可能都在服务提供商的控制之下。
从总体上看,无法访问的数据(因为它们被隔离在孤岛之中)对社会和数据主来说意味着巨大的成本。社会成本的例子包括在竞争的商业和金融体系中降低信任,因为“价值”在没有创造者参与的情况下进行交易。(见Morey等人(2015)),并且失去了生成大量匿名数据集的能力,对研发至关重要从而推动创新(见世界经济论坛(2021))。
在个人层面,共享自己的数据所带来的好处也没有得到充分的认识和利用,这在消费贷款中尤其值得注意。例如,世界银行的Findex数据显示,正规系统中只有一小部分银行账户持有人从该系统借款(Demirgüç-Kunt 等人(2018 年)),这不仅仅是发展中国家或新兴市场经济的现象。即使在具有高收入、良好教育(包括金融知识)、金融机构中接近通用账户及移动渗透率高的司法管辖区也是如此(Demirgüç-Kunt等人(2018 年)、Croxson等人(2022 年))。这有两个原因。首先,有形抵押品历来是消费贷款的关键。年轻人需要时间来积累有形的抵押品,而穷人可能永远无法获得足够的抵押品。其次,在没有数据共享的传统系统中,接触这些低利润率和高风险的消费者是不经济的。可以肯定的是,金融公司越来越多地使用技术来利用个人和公司的数据足迹,从而产生信息资本,并在提供贷款和其他金融服务时减少对有形抵押品的依赖。在这种情况下,提高个人获取和共享信息资本的能力对于增强年轻人和穷人的财务获取至关重要。
值得注意的是,欧盟委员会认为有必要在GDPR之外采取措施来促进政府与企业之间的数据共享,并要求企业之间进行数据共享。与大数据相关的挑战——数据收集量大得多,过程更加复杂——需要一个更全面的数据收集框架。欧盟目前正在考虑增加立法——增加数据访问和使用的数据法案、创建数据交换平台的数据治理法案和确保数据监护人不妨碍创新的数字市场法案——以帮助解锁数据目前所处的孤岛状态,更有效地执行 GDPR 中包含的广泛数据保护框架。
技术进步也有可能帮助解决其中一些相互交织的挑战。强大的数据治理系统可以帮助消费者/中小企业从数据中获取价值,同时保持对数据的控制。这样的系统应该能够容纳大量数据、多个数据用户,并遵守数据隐私的基本原则。它应该对数据用户和数据提供者友好,并以低交易成本安全运行。
在本节中,我们提出了一个基于同意的数据治理系统,该系统可以纠正上述市场失灵,并授权消费者和企业使用他们生成的数据为自己谋取利益。这样的系统始于数据控制权在于生成数据的人的主张。让消费者控制他们的数据可以提高整体效率并增加福利(Jones & Tonetti (2020)、Carrière-Swallow和Haksar(2019))。有效的基于同意的数据共享系统有两个组成部分。数据保护政策框架。隐私(和数据权利)是通过承认隐私(和数据权利)的国内法来定义的,这是一种常见的做法。通过这种方式,可以确保跨部门保护途径的总体一致性,因为数据的跨部门可移植性对于有效的数据治理框架至关重要(OECD(2021年))。然后,这些权利会向下延伸到与国家总体目标一致的特定部门。
在提议的框架中,数据主体有权通过两种途径使用他们生成的数据为自己谋取利益。首先,当数据保护政策框架承认数据主体对其生成的数据的权利时——无论这些数据是否与他们一起存在。二是数据治理体系在数据处理和共享前征求数据主体同意时,与在数据收集、共享和处理前提供通知的规定是一致的。
一种技术基础设施,能够以用户友好的方式实施数据保护政策框架。技术基础设施应与部门无关,以允许跨部门应用。为了容纳金融和数据服务提供商以及公共和私营部门机构等众多参与者,基础设施运行的平台应该是开放的、可互操作的和非歧视性的。同时,它们的设计应确保数据安全。
考虑到同意粒度的需要,并且考虑到数据要在许多用户和提供者之间传播,需要在系统内管理的数据量是巨大的。为了节约成本,数据管理必须基于数字化,并且可以跨大量用户进行扩展。
鉴于复制电子数据的速度和便利性,确保数据由生成它们的人控制在某些方面比以前更加困难。也就是说,技术进步为基于同意的数据共享提供了多种解决方案的前景,例如机密的空间,可以在其中处理数据并获得结果,而无需提取个人身份数据本身。
在数据提供者和数据用户之间共享数据时,数据治理系统应明确要求共享哪些数据、数据用户将保留多长时间以及由谁来处理这些数据。在这些方面,系统应满足以下五个标准。
目的限制,即确保以明确和具体的方式描述共享数据的目的;
保留限制,即确保共享数据的时间不超过实现所述目的所需的时间;
操作弹性,即确保数据安全且整个系统对未经授权的访问具有弹性。
最先进的数字同意系统是围绕所谓的ORGANS原则(指开放、可撤销、细化、可审计、通知和安全)构建的,这些原则构成了拆分收集、处理和共享数据的单一同意行为的基础。为了避免需要提供广泛而全面的事前同意,就像现在的情况一样,同意的授予应该更加细化,具体说明向谁提供数据、提供多长时间和用于什么目的。由于数据共享涉及多个参与者——例如金融服务提供商、数据服务提供商和政府持有的数据——系统必须是开放的和可互操作的。数据主体应在数据共享之前提供同意,提供之后同意仍可撤销,并且数据主体应有权事后审核数据共享交易。
可撤销,一旦数据主体提供同意,即可撤销;这包括被遗忘的权利,即需要删除数据主体的数据。
细化,允许在共享数据之前以细化方式提供同意。详细的同意请求如指定请求哪些数据、保留多长时间以及谁将处理它们等,满足了目的限制原则、数据最小化原则、保留限制和使用限制。这样的精细可以在类似条件下反复授予同意。
可审计,赋予数据主体审计数据共享交易的权利。为了便利审计,需要以机器可读的形式记录数据主体提供的所有同意。
通知,承认同意是处理和共享数据的一项要求,并要求在收集、处理和共享数据之前发出同意通知。同意通知规定了在收集、处理和共享数据之前获得数据主体的知情同意以及上述详细信息的义务。
安全,对数据控制者施加数据安全义务。同意要件必须符合数据提供者和数据用户的最高标准。
由于电子数据可以被复制,几乎没有什么可以阻止数据用户将数据用于自己的目的。即使在设计最好的系统中,确保使用限制也是一个挑战,因为目前可用的技术很难执行使用限制。。然而,技术的进步提供了技术解决方案以确保使用限制的可能性。一种可能性是机密的洁净室环境,数据用户可以在其中处理数据并提取分析结果,但不能提取个人身份数据本身(Mehta (2021))。因为数据永远不会离开执行环境,所以这种架构在可实行时,将提供关于使用限制的高度保证。
在本小节中,我们开发了一个详细的模板,该模板描述了拟议的数据治理框架,该框架结合了数据保护原则和包含支持消费者接受服务条件的电子同意协议。表1假定隐私数据法规已载入了核心立法原则,并且个人数据越来越便携。如前所述,治理架构既包括一个数据保护政策框架,其中数据权利和隐私是通过在全国范围内承认权利和隐私的法律来定义的,也包括一个技术基础设施,允许用户友好的部门通过软件代码实施该框架。
规范数据处理和共享的数据保护政策框架(表1,左侧)是任何司法管辖区的起点。该框架侧重于授权数据主体(个人和企业),授予他们从基于其生成的数据体现的价值存储中获得利益的权利。它涵盖了上述所有具体方面,包括五项数据共享原则以及ORGANS原则。技术提供了实施上述数据保护原则的协议和工具。这将确保用户可以通过代码强制执行各种法规赋予其的数据权利。
前几节已经介绍了这些原则以及最能将这些原则与电子同意技术协议相结合的条件的详细模板。在本节中,我们描述了一个典型已用于其他数字公共基础设施的监管框架,该框架有可能在这里发挥同样的作用。
数字公共基础设施 (DPI) 的治理涉及两个不同的构建块。首先,确定架构的政策框架和实施政策指导方针的相应操作框架;其次,用于架构高效运行(包括维护)的技术组件,包括定期审核、更新技术协议以及技术标准。
它可能是政府的法定执行机构,应负责DPI法律范围的构建,并通过指导方针和执行政策确保国家为通过和实施这些政策提供规范和制度基础的技术架构。它阐明了基础设施运作的原则,应该是开放的和非排他性的(这一点尤为重要)并且不应该歧视任何市场参与者。
SRO 负责实施监管机构确定的框架。顾名思义,SRO是一个在系统中拥有利益的实体自治组织,它拥有自己的制度框架和业务规则。SRO 的主要职责有三种:(i) 自律组织是政策制定者、决策机构与 DPI 市场参与者互动的渠道;(ii) 自律组织是市场参与者之间的争议解决系统; (iii) 自律组织可以证明市场参与者在开发自己的面向用户的应用程序和服务时正确采用了DPI。正如监管机构所阐明的,SRO 在执行互操作性和非歧视性双重原则方面发挥着关键作用,这对于顺利有效地使用 DPI 至关重要。
TSO 负责维护数字公共基础设施的技术标准。它不仅负责监管机构或自律组织的的维护,还负责对公共标准的维护。
值得注意的是,多层次的监督模型并不一定导致国家在标准制定过程中发挥主导作用。相反,政府的协商是标准化的开始。
大规模公共政策举措的成功在于公共部门设置制度和监管框架,然后私营部门设计消费者界面以推动市场应用。就数据而言,三个方面市场应用至关重要。它们是:
这涉及到上面概述的一些原则,包括明确数据主体对其创建的数据拥有权利、将数据从一个提供者转移到另一个提供者的权利,以及用户友好、低成本、实时、高效和安全开放和互操作数据的权利。
由于市场参与者需要在任何市场体系中收回成本,因此收取的价格需要由市场决定。
虽然市场参与者必须能够收回成本,但对系统的监督应确保设定的价格不会阻止数据主体访问数据。
一旦建立了正确的框架,设计合理的同意制度就成为该框架能够成功的关键。有几个构建规模化技术的解决方案,例如印度就提供了身份和支付领域的最新例证。印度使用了一个金融技术堆栈,在这方面,印度利用了一个金融技术堆栈,其中一套统一的、多层次的公共部门数字平台相结合,从促进金融包容性和提高效率到增强金融稳定,为民众带来了实质性的好处。在这一框架中,官方部门确定监管框架,鼓励私营部门参与创新并管理消费者界面。换句话说,它寻求在保护消费者和支持市场创新之间建立一个平衡点。数据治理系统是一个国家金融技术堆栈的下一个关键层。
本节介绍基于同意的数据治理系统在印度不断发展的应用。在国家一级,数据治理系统DEPA反映了这样一种主张,即数据主体(消费者、中小企业和在某些情况下是服务提供商)应该在所创建的内容中占有一席之地。在DEPA中,数据主体通过粒度数据同意系统应该能够选择希望共享哪些数据,与谁共享数据以及共享多长时间。
如上文第4部分所述,有效的数据治理系统(包括通知和同意、目的限制、数据最小化、保留限制和使用限制)只能通过数字化方式实现。在印度,定义如何收集和处理个人数据的数据保护政策框架具有相应的技术框架:DEPA的原则在软件代码中实现。
虽然整体数据保护政策框架尚未在法律中颁布,但它已通过账户聚合器系统适应并在金融部门运行,该系统于 2021 年 9 月上线(图 4)。
在金融领域,数据治理系统的工作原理如下:在数据主体启动数据传输之前,该主体需要向许可管理器(CM)注册,并在此过程中向许可管理器(1)提供已批准的数据提供者/控制器的列表。当数据主体向数据用户(2)寻求服务时——例如,贷款人、保险公司和个人财务经理等数据用户发起数据传输请求(3),该请求将提交给数据处理器。数据用户从为此设计的一套模板中选择一个模板——指定数据传输的目的、满足该目的所需的特定数据以及它们将被保留的持续时间——并选择数据请求格式满足请求的要求。一方面,这些模板提供了数据可能的广泛用途,另一方面,他们确保只请求因完成目的所需的最少量数据,从而满足通知、同意、目的限制和数据最小化的原则。此外,该框架排除了数据转储(今天很流行)的应用,因为数据转储技术使提取有用信息的处理成本高得令人望而却步,从而使数据变得无用。
只有在数据主体同意共享数据(4)后,CM才会将此请求提交给数据提供者(5)。反过来,数据提供者可以包括财务信息提供者、税务平台和保险提供者等数据。验证请求后,数据提供者通过到同意管理器(6)的端到端加密流与数据用户共享数据。
在这一系列交易中,CM 知晓数据用户和数据提供者的身份,但不知道CM正在传输的数据内容。另一方面,数据用户知道数据的内容,但无法知晓数据提供者的身份。同样,数据提供者知道数据的内容,但无法知晓数据用户的身份。通过同意管理器,数据流与同意流分离,从而确保数据的高效传输,同时也尊重各方隐私。
这种结构虽然相比于大多数早期的同意系统有了很大的改进,但并不能确保数据用户仅将信息用于共享数据的目的或仅在最初约定的期限内保留这些信息。换言之,一旦数据与数据使用者共享,此架构中就没有任何可以确保数据主体满足使用限制原则的措施。因此,该架构优化的下一步是增加一个数据处理环境,数据用户可以在其中处理数据并提取分析结果,但不能提取个人身份信息数据本身(iSPIRT Foundation (2021))。由于数据永远不会离开处理环境,因此这种体系结构在使用数据时将提供有关使用限制的高度保证,并增加共享数据的激励。
与印度其他大型数字公共基础设施(例如数字身份系统 (Aadhaar)或快速支付系统 (UPI))不同,金融部门数据共享系统 (Account Aggregator) 的架构不需要大量的前期成本。在开放和竞争激烈的市场中,数据移动的数据轨道(上图4中的1、2、3、4、5、6 和 7)由技术服务提供商提供和管理,尤其是所有市场参与者——同意管理者、数据用户和数据提供者——都使用 TSP 的服务将自己加入金融部门的数据共享系统。
在成本方面,TSP 收取实施同意管理器/数据用户/数据提供者模块的预付费用,并为使用 TSP 的服务向数据用户收取每次数据提取的费用。在竞争激烈的市场中,价格因所提供的服务方案不同而有所差异。在最近的一项调查中,TSP 提供的三个套餐包括:
向访问TSP服务的数据用户收取100,000卢比(1,333美元)的费用,外加每次数据提取收取5卢比(相当于0.07美元)的费用。
为使用TSP公司提供的服务而收取的一次性费用1,400,000卢比(相当于18,667美元)加上正常的年度维护费用。在这种收取模式下,TSP 不会向数据用户收取与使用相关的费用。
收取1,300,000卢比(17,333美元)的年费,其中包括无限制访问TSP服务以及两名技术人员的全天候支持。
不管提供的服务套餐如何,很明显,在当前市场上有许多 TSP 运营的情况下,消费者使用数据的边际成本是适中的。
5.3 根据提议的数据治理系统对 DEPA 进行基准测试
在本节中,我们将印度的数据治理架构 (NITI Aayog (2020))与第 4 部分中概述的提案进行对比。虽然表 2 认为隐私数据法规已载入核心立法原则,但这些仍在印度议会的讨论中。
关于数据保护政策框架(表2,左侧),其仅为金融部门制定了管理数据共享的框架(印度储备银行(2016))。因此,数据保护策略框架只能说是部分到位了,以确保数据治理符合互操作性的特性。考虑到这一特性,印度数据治理框架的重点是通过授予数据主体拥有的数据的所有权以及从中获得的利益来赋予数据主体(个人和企业)权利。它涵盖了表1中定义的所有其他具体方面,包括前面概述的ORGANS原则。
在技术基础设施方面,印度为数据治理制定了必要的互操作技术基础设施标准(表2,右侧列)。然而,印度的框架适用于金融服务业的四个部门——银行、保险、养老金和证券。由于这个原因,与数据保护策略框架一样,技术基础设施可以说只是部分到位,以确保数据治理符合框架互操作性的属性。
DEPA于2021年9月在金融领域上线。截至2022年4月14日,有9家银行作为金融信息提供者(FIPs)全面运营。这九家银行总共有2.15亿个人储蓄、定期存款和个人所有人的活期存款。另一方面,有35个金融信息用户(FIUs),主要是非银行、银行和少数注册投资顾问,它们是完全运营的。
有 10 个被称为 Account Aggregators 的许可同意管理器,其中 50% 已全面运行。
从系统的实际使用情况来看,在最初的30周内处理了23万份来自金融信息委员会的同意请求,平均每天约有1000份同意请求。在约90% 95%的案例中,FIPs成功地处理了同意请求,平均响应时间为秒。对于剩余的5% - 10%,由于一系列问题,同意请求没有得到处理,包括FIPs在现阶段的操作限制只能包括单一所有者账户,一次性密码延迟导致账户与账户聚合器系统的链接失败,以及在某些情况下,用户在处理同意请求时犹豫不决。
目前,在Account Aggregator生态系统的某个层面上,有大量不同金融部门的实体参与其中(要么是实时的、测试的、技术开发阶段的,要么是评估的)。如果参与性被广泛定义,则有41家银行被纳入FIP和FIUs,而有56家非银行机构被纳入FIUs。共有56所院校被聘为FIP, 133所院校被聘为FIU。
这一体系是由市场驱动的,参与者所承担的成本被重新计算。它使数据主体受益于他们创造的数据,同时使金融信息提供者和用户受益于充分利用其信息资本的活动。
在过去的二十年里,技术的发展导致了数据及其处理的爆炸式增长。这也让大数据变成了一种有价值的商品。在全球范围内,大多数国家都有隐私数据法和相关立法,承认个人对其数据的权利。这些法律的核心是一套规定如何收集、共享和处理个人数据的原则。然而,尽管有这些法律,数据主体对其产生的数据没有控制权,并被剥夺了从使用数据中获得全部价值的机会。这是因为同意机制过于广泛和笼统,而新创建的数据往往被保存在数据竖井中,由一家公司控制。无法获取的数据给消费者和社会带来了巨大的成本。
在本文中,我们提出了一个数据治理系统,恢复数据主体对数据收集、处理和共享的控制。这一框架以在数字基础上提供的具体同意取代广泛和笼统的同意,受到许多司法管辖区普遍存在的隐私数据法的影响。考虑到分布在众多数据主体和数据控制器上的数据粒度和数量,只有数字系统才能确保安全,并以较低的交易成本运行。因此,关于通知和同意、目的限制、数据最小化、保留限制和使用限制的技术协议在数据治理框架的运作中发挥着关键作用。
商业用途的大型公共数字基础设施在设计为公私合作伙伴关系的一部分时是成功的,在这种伙伴关系中,公共部门为私营部门开发和维护消费者界面的(技术)基础创建基础(法律和政策基础)。我们提出的数据治理系统也不例外。考虑到这一点,我们还开发了一个模板,可用于对不同司法管辖区的数据治理系统进行基准测试。该模板可作为任何希望修改其数据治理框架的特定司法管辖区的有用指南,以授权数据主体为自己的利益使用自己的数据。它还提供了如何通过降低交易成本来鼓励更大的市场采用的指针。我们还提出了一个具有代表性的数字公共基础设施监督框架,包括监管机构、自律组织和技术标准组织。
这种框架的一个很好的例子可以在印度的数据授权和保护架构 (DEPA) 中找到,以及在将 DEPA 应用于金融部门时管理数据流的方式。该同意系统体现了将隐私原则转化为数字空间的协议,尤其是通过授权专门的数据受托人,其主要任务——作为数据主体的倡导者——是确保以尊重广泛认可的有效原则的方式共享数据数据治理。帐户聚合器框架的早期结果令人鼓舞。
尽管提议的基于同意的数据治理框架具有跨多个司法管辖区应用的灵活性,以提高国内效率,但BIS论文第124号这篇文章没有讨论在各国之间共享数据的共同、互操作协议的发展条件。在最优数据治理系统方面缺乏全球共识——无论是在国家内部还是跨境。如何使同意框架在不同司法管辖区之间互操作,以简化和保障数据流动,是一个越来越吸引人们兴趣的话题。一个可能的条件是,各司法管辖区就保护互联网用户和促进数字经济公平竞争的价值达成共识。
文章来源:微信公众号“数字经济与社会”
侵权必删
学说平台,学说网,金融学说,道口学说,学说经济,五道口学说,清华五道口学说,清华学说,学说平台直播,学说会议直播,学说直播回顾,学说直播预告,学说ABFER直播,学说学者库,学说研讨会直播,学说年会直播,学说论文库,学说学者库
