原标题:对话微众银行副行长马智涛::数据可携带权对金融意味着什么
2021年8月20日,全国人大第十三届常务委员会第三十次会议表决通过《中华人民共和国个人信息保护法》(以下简称“《个保法》”),并决定于2021年11月1日起实施。
正如《个保法》总则第一条的内容所述——为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用。《个保法》的实施一定会对数字经济时代的诸多市场行为产生极其深远的影响,过去流量为王时代对于个人数据为所欲为、予取予求的无序使用的混乱状态很快就将成为历史。不久前在钛媒体和ITValue在浙江上虞举办的第十三届数字价值峰会上,在一个千亿企业关于数据资产和数据战略的闭门会上,一个来自腾讯的高管就指出,过去很多成功的数字营销手段,在未来《个保法》实施后,都有可能变成违法行为,所有人都要引起重视,需要重新思考、梳理自己企业的数据战略。
其中尤其引起广泛关注的是,《个保法》第45条明确了数据可携带权(Right to data portability),即“个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。”这一个人数据权益起源于欧盟《通用数据保护条例》(General Data Protection Regulation,以下简称GDPR),美国、新加坡、韩国、印度等国家也都已经针对个人信息可携带权出台了相应的法律制度。
个人信息可携带权的提出,清晰地界定了个人用户与诸多数据持有者的权利边界与范围,为未来个人数据的自由、有序流动提供了法律层面的支撑。比如,未来如果个人用户用支付宝上的芝麻信用分去申请其他银行贷款,在法律上变得可行。但是如何在技术上让阿里和银行实现数据的有效对接,肯定不是用U盘导出一张PDF文件加盖公章那么简单,背后需要一整套复杂的基础设施来支撑。
2020年9月23日起,内地全面恢复办理赴澳门旅游签注,澳门旅游全面恢复开放,持有效出入境证件的旅客持7天内有效核酸检测阴性结果证明,并申领“粤康码”,凭“粤康码”绿码即可自由通关。而澳门入境旅客申请“粤康码”的过程,其实就是一个非常典型的个人数据可携带权落地的案例。
粤澳两地都有自己的健康码系统,澳门旅客使用的是“澳门健康码”,但是因为两地政府法规的限制,无法像内地各地区之间那样用直接授权的方式实现如核酸、疫苗数据、健康轨迹等敏感个人数据的直接交换。如果这些数据之间没法打通,粤澳之间的往返旅客就必须遵守14天医学观察期,造成极大的不便。
从2020年5月起,“粤康码”与“澳门健康码”互认系统正式启用,从7月15日起,两地居民通关可免除14天医学观察期,持粤康码通关凭证以及有效核酸检测阴性结果正常通关。通关人员首次领码、转码到生成通关凭证,全过程平均时长约1分40秒,再次通关时获取通关凭证不超过3秒即可完成,系统启用以来至今年6月,持健康码通关凭证通关人员累计超9500万人次。
在这背后,微众银行提供的开源区块链技术起到了至为关键的作用。微众银行副行长兼首席信息官马智涛介绍说:“粤澳两地都有自己的健康码系统,互认系统做到的效果就是,两地的健康码系统,不需要任何直接连接,只是通过区块链技术,搭建了跨境结点,把各自核酸检测的结果、健康轨迹等数据转变为哈希值(非源文件),我们叫数据指纹,放到区块链上。一个旅客从澳门入境广东,在系统申请转码,由用户自行操作提交至“粤康码”,系统将按照防疫工作的规则自动为其生成“粤康码”。“粤康码”收到用户自行提交的信息,结合区块链不可篡改的技术特性,通过数据指纹就可快速验证用户提交的信息是否真实有效、未经篡改。整个过程,“澳门健康码”与“粤康码”的后台不存在任何用户数据的直接传输,确保澳门健康码在生成、使用过程中的用户信息安全和隐私保护,符合两地法规的相关要求。”
在利用区块链思路解决粤澳健康码互认的过程中,微众银行也逐渐意识到这个思路应该会有更大的应用场景,在这个基础上他们逐渐完善思路,提出了分布式数据传输协议DDTP(Distributed Data Transfer Protocol)的思路。“未来数字经济,数据就是最有价值的资源,是最重要的生产要素。随着个保法推出以后,数据要素的流通,以及价值转换,还有很多壁垒。要应对壁垒,必须要有技术手段。这也是为什么触发了DDTP,以及我们认为它能够应用在新一代数字基建上的由来。”马智涛说。
在技术保障的基础上,实现个人数据的有序合法流转,有望在未来激活更多创新场景。对金融行业,这更是一个巨大的机会。个保法的实施,让银行越来越像《银行3.0》、《银行4.0》等畅销书的作者Brett King所做的预言——银行不再是个场所,而是一种行为。
在数字经济时代,未来大量的数据价值变现,需要依靠合法的金融手段。以前,由于没有明确的个人信息相关法条,金融企业对于数据的利用和保护缺乏参考标准,各自行事。《个保法》的实施,清晰了数据使用的边界,也从某种意义上打开了金融行业的枷锁,有了交易的规则,数据就有可能流动起来,释放更大的价值。例如,未来深度产融对接的场景,已经有了法律上和技术上的支撑。
而疫情的肆虐,某种意义上也造成了极大的压力差,就像高压锅一样,可以迅速催熟很多原来需要更多时间打通的模式。之前的健康码就是很好的例子——各个政府部门之间的数据壁垒几乎在一夜之间被推平,而粤澳健康码的互通也是同样的道理,在强大的市场压力下,粤澳政府之间的数据互通也成功做到了。这些先行的案例注定会给后人带来很多启发,触发更多的创新场景。例如马智涛就在畅想:“健康码互通的场景,也可以应用在金融领域,现在大湾区两地三地开户,还是很难的,还是很大量依赖于一些资质的文档,要盖章、要公证,很繁琐。DDTP真的能够成为大湾区的新基建。”
微众银行一直对于前沿技术有着近乎于痴迷的追求,他们在区块链、联邦学习等开源技术上投入了非常多的资源和关注,也由此衍生出很多对于未来模式的思考和沉淀。
微众银行副行长兼首席信息官 马智涛
最近,钛媒体联合创始人刘湘明就《个保法》实施、个人信息可携带权以及对于金融行业的影响等话题,与微众银行副行长兼首席信息官马智涛进行了深入的交流。以下为对话内容,有删节。
《个保法》对金融业的影响
钛媒体:个保法的执行,对金融业务的影响是什么?
马智涛:最重要的就是定义清晰了整个数据的权利和义务。其中重要的一条,特别提到可携带权——所谓数据的所属、数据的转移,应该被赋予该有的权利。随着整个经济模式走向数字化,《个保法》对于这方面的约定,变的越来越重要。而整个金融产品当中,确实也是越来越多依托于数据。所以怎么让个人数据的可携带权,跟我们的金融业务,发挥出来它该有的化学反应,非常关键,也是我们需要去思考的一个题目。
我们的业务模式,就依托于数据,不管面向个人,还是这几年重点发展的小微企业,都是基于数据来进行授信,不管是贷前、贷中、贷后的风险管理、欺诈管理等工作,还包括在营销方面的策略。所以怎么用好这些数据,并且结合《个保法》,让这些数据的使用变的更加合规,同时也能够开拓更多我们能够应用的数据源,是一个非常重要的课题。
钛媒体:未来可携带权的明确,会不会对未来的金融创新、业务创新,带来一些影响?毕竟原来数据就放在那儿,大家随取随用,未来随着个保法的出现,它会增加很多的限制条件。
马智涛:我反而觉得是好事。当然,可携带权最终要落地,还是需要配套很多基础设施。这些基础设施,目前是有缺失的。也正是因为有缺失,我们打算提出创新理念,看看市场是否消化、接受。
一旦可携带权以及配套的基础设施能够落地,金融机构能够获取的数据类别以及来源,反而会更加开阔。因为过去在权利和义务没有清晰约定的情况下,反而会有一些野蛮生长的情况。两个机构之间要开展合作,更多是企业间的商业利益交换。过程当中,有的会走善意的程序,获取个人客户的授权,但更多是形式上的。反过来,如果真正能够把这些数据的提取、应用权利,回到个人以及企业身上,相信能够让数据的使用变得更加开阔、可行。
钛媒体:其实《个保法》出现,让银行的原来越像Brett King所做的预言——银行不再是个场所,而是一种行为。
马智涛:是的,我认同银行就是一种行为。
钛媒体:因为银行的商业本质,还是信息差。但是可携带权的出现,可能让信息更便捷地流动,信息差越来越小。这个对整个金融的商业模式,会不会有些动摇?
马智涛:不见得是动摇,反而会促进金融机构的效率进一步提升。信息越透明,数据越发达,大家拼的是效率。
DDTP是什么?
钛媒体:未来数据交易的结构里面,你怎么定义微众银行的角色,看到一些什么样的机会?
马智涛:第一,数据基础建设的缺失,需要有一个市场参与者来弥补。我们现在提出一个全新的DDTP分布式数据传输协议,希望这个协议被大家所接受,能够延用同样的方法进行合法合规的数据交换,回到真正以数据、以用户为中心的形态。当中,我相信会有很多机会,给到数据基础设施的提供方。我们也会有机会提供一些创新技术,去做这种基础设施的服务。
另一方面,我们也能帮到一些拥有大量数据的平台。过去他们没法找到一些合法合规的途径,往往都是无偿提供服务,现在可以通过一些合规的方式来实现价值的转化。更重要的一点,是帮助有数据应用能力的企业开拓更多数据来源,为用户提供更多的服务,金融服务当然也是其中一种。
所以这个生态圈会随着数据基建、可携带权有效落地,发生一些比较大的变化。微众一直以来都是在数据应用、金融场景当中深化比较多。随着技术成熟,对我们也是很大的机遇。
钛媒体:这个思路和微众一直以来提出的开放银行思路,其实是一脉相承的,而且有了一个更加清晰的抓手,因为开放最重要的基础就是数据。
马智涛:对。
钛媒体:大家用什么样的方式去交换数据?
马智涛:在国外,英国最早提出开放银行(Open Banking)、API Banking这些标准,都是由监管去驱动的形态,最后效果不太明显。我们也对照了一下,在韩国、新加坡、印度,他们都做了很多尝试——通过监管也好,监管授权的一些权威机构也好,去做一些数据交换。但商业机构参与数据交换的模式,他们都还是有一些保留的,因为始终还是利益驱动的,收益和商业模式都不清晰,还是没有足够的驱动力让大家都深度参与。所以,哪怕是我们所提出来的DDTP的模式,托管大量用户数据的机构,他们在参与进这种生态的过程当中,到底该获取什么回报,这个问题也有待于进一步思考。
钛媒体:对,这其实又回到了当初的一个讨论——微众银行是一个未来的银行模式。银行原来就是做金融业务,但现在把技术服务的能力加进来了。将来这两条路,哪条路会是更主要的?将来金融行业会面临天翻地覆的变化,对技术能力的需求,其实也是一个非常大的机会。
马智涛:对,我们一直在钻研科技领域,认为科技最终能够产生巨大的价值,我们自主研发的分布式架构,它本身可能也是全行业所需要的。我们也一直在思考,到底怎么能够让这些技术能够被更广泛地应用。我们走出来的第一条路,就是开源,把包括区块链、联邦学习、大数据,这些层面很多的技术,通过开源方式先开放出来,让我们的同业,包括一些其他泛行业用户能够首先认同我们的技术走向,再部分应用起来。然后,我们再考虑未来商业化的形态。
我们自己提过,开放银行有三重定义,第一个是开放平台——我们作为一家开放型的企业,可以通过开放一些API给我们的合作伙伴,帮助他们用到我们提供的金融服务;第二叫开放创新,也就是把我们的科技能力通过开源方式开放给全社会,共同发展一些前沿的技术。第三重就是开放协作,包括刚才讲的数据基建,我们一旦真的能够通过DDTP协议,让大家建立起一个相对标准的合规交换数据的协作机制,就变得更加可行了。
钛媒体:你提了一个特别好的框架。我最近观察到一个现象,现在大部分的老板都能很清晰的把自己的问题描述出来,是一个特别大的进步,但另一方面,技术也在飞速的发展,企业的用户很难跟上技术的发展。一边需求不断清晰化,一边技术不断演化,中间鸿沟越来越大。很多企业已经放弃了对技术的追求,比如开源的概念,对他们就太复杂了,你刚才谈的平台、创新、协作,对他们来说,可能都是一个概念,反而DDTP是一个非常清晰的抓手——企业很清楚地知道,我将来要做数据交换。最近特别明显,大家问的问题,要的都是要结果,不关心你怎么去把它解决掉。
马智涛:我们之前参与的粤澳两地健康码跨境互认项目,其实就是DDTP的雏形。当时为什么出现这种需求,也是因为两地的政府机关很在意,作为政府机关到底能不能够直接把数据跨境传给另外一个机构,这是个很大的痛点和难题。而他们看到我们所提供的基于区块链的解决方案,觉得这个有可行性,最后也确实有效解决了这个问题。项目运行非常畅顺,截止今年6月份,粤澳健康码跨境互认项目已支持超9500万人次顺利通关。《个保法》实施以后,机构之间面临的挑战是类似的。
钛媒体:粤澳健康码前进了一步,解决了一些法制问题。我也很关心,整个这套体系里,难度最大的是什么?
马智涛:其实难度最大的还是分布式商业的概念需要多方参与进来。整个DDTP的落地,还是需要有一些权威机构在当中参与,不管是出现争议时,或者是在数据传输时。数据接收方需要确保用户提交过来的数据,确实没有被篡改,需要有一个第三方权威的机构,类似于公证处、司法机构来扮演这种角色。
钛媒体:粤澳健康码的事情,对算力要求高不高?
马智涛:最大算力就是哈希值对比,不复杂。
钛媒体:大概是什么样量级?
马智涛:6个节点。我们在提出公众联盟链时候提到过,一些可信的机构组成联盟链,是不需要很多节点的。不像公链,公链因为是匿名机制,没有一个参与方能够被充分相信,所以必须要靠大量节点参与进来形成共识,避免被个别参与者操控。公众联盟链由可信机构组成,共识机制和算法可以大大简化。
数据如何创造价值
钛媒体:这个案例引起很多思考——大家在谈数据应该怎么样创造价值,我认为数据放在那是没有价值的,只有流动起来,包括与其他的数据做校验、做比照才有价值。包括工业数据大家都谈的特别多,但这些数据不去做分析,也是没有价值的。
马智涛:以健康码来说,疫情前谁也没想到,健康信息可以有效应用在出行场景中。微众银行在金融业务当中,把一些过去在金融机构当中没有用上的数据,用在了一些风控、反欺诈场景当中,让它产生价值。
钛媒体:数据可携带权的落实,理论上讲,意味着我可以拿着一家银行的数据,去其他银行了办理业务了。
马智涛:到时候考验的是大家的数据应用能力了。比如我们在小微企业贷款当中,与权威机构合作运用了很多税务数据,但是税务数据全国的开放程度是很不一样的。如果数据可携带权真的通过创新技术,能够把数据交换做得更畅顺,我们的小微企业贷款产品也能做得更广。
钛媒体:是的,我们接触过很多传统企业,他们手上都有很多数据,但苦于不知道如何利用,我一直认为数据的变现最终还要靠金融手段。
马智涛:我个人认为机构间来进行所谓数据交易,是比较困难的。有了可携带权的保障,用户可以自己驱动数据在提供方和应用方之间的流动,从而产生价值。未来的数据交换模式,应该以用户为主导的、个人为主导的。
钛媒体:非常赞同,回到Brett King讲的,场所已经不重要,它是个行为。刚才你谈的分配机制,是在行为和场景中产生价值,然后分账,不是刻意的拿我的数据换你的数据,不是这个概念。
马智涛:对,所以我还是觉得未来的基础设施蛮关键的,因为它变成了整个交换的枢纽,当然它是分布式枢纽。还是要权衡托管大量数据的平台,以及有机会运用这个数据的使用方——不管金融机构,还是其他——到底他们利益如何划分。
钛媒体:未来数据经纪业务,是不是一个可能的商业机会?其实就是看到这两个数据,怎么叠加在一起,可以赚钱。
马智涛:对,我们的联邦学习技术,实际也在往这些方向探索,大家不直接交换数据的情况下,怎么能够把数据的聚合效益发挥起来。
钛媒体:数据交易应该是个可以赚钱的场景,然后在里面谈一个交易机制。就像G7的老翟和我讲过,因为他们记录了司机的驾驶行为习惯,现在有的司机要跳槽,就在问这个数据能不能拷走,因为这是一个特别好的职业记录。原来良好的驾驶习惯只是个简历上的说法——一个司机开了20年车没有出过事,你不知道驾驶习惯好,还是运气好,现在是可以证明的了。这其实都是一些场景,他就可能愿意为这个事付费。
马智涛:是。我们也做过很多跨业态交流,比如有一些交友、婚恋平台,他们平台上的用户的学历也需要去验证。他们也在思考,是否能用创新方式去做数据传输和交流。
钛媒体:所以DDTP这个事情,就真正把数据解放出来。
马智涛:是。而且我们觉得这种做法,会比韩国、印度、新加坡他们做的更有生命力。也包括我们看到美国的DTP模式,他们有一点小圈子,都是老大在玩,一些小玩家在外面。但往往有价值的数据,不见得只有大平台的数据。
钛媒体:Mydata、DTP和DDTP的模式,在我看来其实是代表着一个计划标准成为事实标准的不同思路。Mydata就是中心化,政府主导模式;美国的DTP是大企业主导模式,这个路径在电信行业也是成功过的。但是DDTP的思路,完全是一个由下往上,更像区块链和开源的思路。这个问题你怎么看?
马智涛:Mydata也好,包括印度的财务账户聚合网络、新加坡的FinDex,他们都还是政府发起,然后有一个授权的官方机构做operator(运营商),商业机构遵从行政命令要履行,但到最后都是走走形式接入进来,而没有太大的驱动力。包括我们看到英国推了这么多年开放银行Open Banking,要求那些持牌机构都必须要开放数据,但最后大家都是应付的心态——接是接进来了,但是很多时候,你调用他的API,要么报错,要么返回数据不完整。最后事情是做了,但效果没有出来,根本上还是缺少了商业利益上的考虑。像谷歌他们推的DTP,几个大平台之间也是有博弈的关系。最终可能用数据比较多的机构,会赚取更大的收益。那提供数据比较多的机构,就会觉得自己吃亏了。这种商业利益不平均的情况下,是否能够走的远,也是存在问号。
DDTP这种分布式协议,可以落到每个场景当中,由场景来决定,到底供数方、用数方他们之间的利益怎么去分割。因为并没有所谓中心方来限制大家的分成的方法,不同场景可以用不同方式来切分利益,我反而觉得这个具备了比较强的可行性。
钛媒体:DDTP其实更有点像开源的思路。下一步,准备怎么推动它的发展。
马智涛:DDTP遵循开源的思路,第一步先把这个协议,以及配套的创新技术通过开源方式让大家先使用起来。此外我们也会探索其在银行业务中的应用一些可以用到的场景,在我们自有银行业务当中先用起来。同时,我们也开放能力供一些合作比较多的合作伙伴进行尝试。
钛媒体:其实像刚刚谈的DDTP、数据交易,感觉我们才慢慢真正开始进入数字经济,开始讨论一些原来我们都其实没有想过、面对过的问题。比如刚才谈到健康码互认系统这个事情,这基本已经是一个形成闭环的案例。如果有人想借鉴这个思路做些创新的事情,你会给他们一些什么样建议,哪些地方要注意?
马智涛:门槛高的地方,还是在于怎么找到合适的合作方,一起来形成一个分布式商业的联盟。说实话,技术只能解决一部分的问题。我们把很多的技术能力通过开源方式开放出来,是因为并没有损害太多自身利益,还有机会促成生态合作。到最后,这个事情要成,除了技术还是需要很多商业布局。如果其他机构有兴趣把DDTP拿去落地,技术不是最难的。建立起与合作机构的互信,以及商业模式的摸索,反而是更大的挑战。
钛媒体:将来DDTP还有哪些比较大的应用场景?
马智涛:金融肯定是。因为对于金融机构来讲,在做授信、获客过程中,获取更多数据将会很有帮助。举个最简单例子,针对个人贷款如果可以打通个税数据,那银行对申请人的收入状况就不是完全凭空的估算。又比如出行平台,要求上岗的司机提供自己驾驶证,如果像你刚才提到的,还可以提供过去驾驶记录,而且是能够验证的,肯定是更准确、更安全的。
钛媒体:对,这么一说,有点像很多场合要求开的无犯罪记录,其实就是特别典型的验证。
马智涛:包括很多朋友办房贷,需要打印工资流水。说实话,这些都是可以改进的。以后,这种方式是不是能够变成在网银把流水信息下载下来,直接交给申请贷款的机构?只不过提交的不是PDF文件,而是已经通过权威机构留有数据指纹的文件,接收方可以马上验证文件真伪。
钛媒体:可携带权对企业的marketing和获客这个层面,可能会影响非常大。因为在这里面,个人用户对自己数据的把控权是最大的。你觉得将来在这方面,整个客户行为会不会有一个比较大的变化?
马智涛:大众对于《个保法》的意识已经是增强了很多。但可能很多办理数据托管的平台,不见得有很强的意识,清楚认识到需要让客户可以随时随地提取数据,然后拿去运用。所以我觉得,后面可能会有越来越多用户产生强烈的诉求,要求这些平台开放渠道,让自己能够提取数据。其实这些拥有较多数据的平台,跟银行是类似的,用户把数据存进来,应该有一条路径提出来。未来可能会形成一些趋势,可提取数据会变成很多互联网平台的标配。
钛媒体:《个保法》出来之后,我个人判断对金融机构是一个利好,数据营销是一个很大的利空。因为相对来说,金融机构还是非常注重监管合规,对数据调用相对谨慎得多,个保法出现,是把这层枷锁去掉了——原来你想用不知道怎么用,碰不到这个数据。而原来所谓数字营销,其实打很多擦边球,个保法明确了这些边界,很多事情反而不能做了。
马智涛:《个保法》确实是把拥有数据的企业的责任与义务定义得更清晰了,将促进建立安全健康的数据应用与保护模式。
区域性银行的机会
钛媒体:银行原来做信息差生意,现在信息差逐渐抹平了,如何应用好数据,在综合分析的情况下产生新的、可以进行数据交易的场景,银行在里面做撮合,然后大家按照一定规则分配收益,后面支撑的都是数字系统。你觉得未来这是不是会是一个趋势?
马智涛:这个模式肯定是不可逆转的趋势。以后,银行需要把数据应用的能力建立起来。原来,银行业在这个领域比较薄弱,因为以前面对的数据都比较单一。现在,我尤其觉得那些区域性银行是有很大机会的。在可携带权落地的情况下,他们有机会获取很多深入的数据。一些跟我们沟通比较多的合作银行,他们深入当地市场,以往都是传统方式,派人下去,勘探现场,没有将这些行为数字化。
银行数字化转型虽然讲了很多,但大家对于数字化转型的理解,还是不太一致。银行未来将会有很多跨业态合作、深入到产业的机会。银行金融科技不应该仅服务银行本身,还要服务于它服务的产业。这也符合整个国家大方针的要求——金融要服务实体经济。所以银行的数字化,应该是促进金融和产业之间的融合,而不是简单地升级系统。的确,很多银行核心系统都比较老旧了,需要更新换代。但更重要的问题是,如何数字化银行服务,从而与它所服务的产业更有效融合。
钛媒体:这个判断非常有启发性,按照现在银行的发展思路,好像不需要区域性银行了,区域性银行没钱没人没技术,大银行通过互联网、APP把他们都灭掉了。但是区域性银行还是有他们生存的基础,他们对当地的了解,他们掌握着场景。但这些场景,怎么跟更高的场景结合在一起,就是非常现实的一个出路,没有办法把这些数字化、数据化,产融结合,怎么结合?这就是一个可能进步的阶段。
马智涛:没错,我觉得未来机会还是很多的。很多银行也都成立了金融科技子公司,但方向上都是希望把金融科技服务于本行或者同业。其实,银行们更应该思考怎么用金融科技去跟产业结合。银行业的产业科技能力还有很大的提升空间。