我的数据我做主：韩国“个人信息可携带权”——MyData模式调研及参考

互联网时代，数据成为产业界争相抢夺的资源，这时便很容易出现过度收集个人数据和主动“造墙”的情况，而“个人信息可携带权”的发布让这种情况有所转变。本文作者对韩国的“个人信息可携带权”——MyData模式进行了调研分析，一起来看一下吧。

一、为什么要做 “个人信息可携带权”

工业时代的战略资源是煤炭和石油，到了互联网时代，数据是新的生产要素，是产业界争相抢夺的资源，这已经是行业共识。在商业利益的驱使下，产业界很容易出现两种动作：一是过度收集个人数据，二是主动“造墙”。两种风气叠加的后果便是企业封闭生态，把获取到的用户数据归为己用，进而形成一个个数据孤岛。

在相当长一段时间里，封闭生态成了主流竞争方式。逻辑也很好理解：公司积累的数据越多、质量越高，就能更精准地针对用户特点开展业务，也更容易在竞争中获得优势，马太效应由此而生。

但这是有问题的。在这套竞争逻辑里，海量的个人数据成了企业的“私产”，用户对此几乎没有话语权——明明是“我”的数据，但这些数据放在哪、怎么用、能否转移，“我”完全做不了主。

随着监管的推进，情况正在发生转变，2021年11月1日那天，《个人信息保护法》正式实施。它影响互联网时代的每个人，将它视为互联网行业乃至时代的“分水岭”也不为过。这部法律中不乏将震动产业界的规定，三审中引入的“个人信息可携带权”就是其中之一。伴随着监管互联网行业也开始“拆墙”，“我的数据我做主”也进入了探索阶段。

一方面，个人信息保护极重要，个人和产业都将受其影响，它关系到数字经济的发展，乃至一场生产力革命。另一方面，个人信息保护是个大工程，涉及多方利益，需要探索和博弈。而韩国MyData模式和经验，具有一定的参考意义。

二、MyData的定义及概念区分

1. MyData的概念定义

1）英国 2011.11-Midata

Midata是一个自发性的政府组织的项目，旨在为消费者提供更便捷的数字化服务。个人用户通过聚合这些数据，更直观全面地解析自己的消费行为，从而更有效地做出财务和生活上的决策。

2）韩国2018.07-MYData

MyData是信息主体的个人自己管控自己的信息，并把该信息积极能动的应用于信用管理、资产管理，健康管理等个人生活的一系列流程。支持这个流程的产业叫“MyData产业”。

3）韩国MyData（个人数据管理）的运行模式

旨在加强数字人权，同时为企业创造新的机会。

以金融行业应用为例:

1. 用户A通过MyData App行使“个人信用信息传送要求权利 ” 即通过MyData运营商的App，要求金融机构将所需信息提供给 MyData运营商
2. 金融机构将用户A的信息传递给MyData运营商 通过API方式提供信息
3. 用户A通过MyData运营商一站式查询个人信息

2. MyData和开放银行的概念区分（以韩国为例、英国类似）

开放银行和MyData服务同样使用API为信息使用机构提供服务，但在韩国 开放银行采用公共平台模式，即信息使用机构（银行、金融科技公司等） 只与金融清算所签署协议，无需与每家信息提供机构（信息源）单独签署协议，通过金融清算所运营的公共业务系统传送信息。

在信息量和范围方面，MyData服务比开放银行更多更广泛。

3. 政策推进过程：欧美国家起步较早

1）欧盟

2018年5月, 《通用数据保护条例》 （GDPR）欧盟内正式生效，扩大数 据主体的权利和法律适用范围的同时， 进一步细化了个人数据处理的基本原则。

2018年1月，《支付服务指令修订法 案》（PSD2）生效，核心支付数据 必须对客户授权的第三方服务商开放。

2）英国

2011年11月，启动“Midata”项目 Visa、Google、British Gas在内有26 家企业、消费者团体和监管机构参与， 数字化企业拥有数据转移到消费者自己的手中并掌控。

2013年8月，发布《企业和监管改革法 案（2013）》，明确指出需要开放/使 用数据的机构以及开放的数据范围。

2018年1月，开始实施开放银行计划。

3）美国

2009年，美国颁布《开放政府指令》 2011年，美国将Smart Disclosure 列入开放政府联盟国家行动计划中， 并由美国科学技术委员会成立Smart Disclosure工作小组

2010年，推出“蓝色按钮” 用户阅览 和下载诊疗记录 2012年，推出“绿色按钮”为用户提 供使用电量等能源数据

4. 政策推进过程：韩国起步较晚，推进速度却很快

2018年7月，韩国金融委员会发表《金融领域MyData产业导入方案》指出金融MyData业务范围、参与条件等内容，以2018年提出、2020年1 月国会通过、2020年8月正式生效的《信用信息法》为法律基础，2021年1月发放了28家MyData运营商牌照，计划2021年8月开始全面实施 MyData服务。

5. 政策推进过程: 《信用信息法》的相关细节

2018年11月提出的俗称数据三法，即对《个人信息保护法》、《信息通信网法》、《信用信息法》的修订意见，将分管在各个行政部门的个人信息相关法律统一规整到《个人信息保护法》，并由个人信息保护委员会监管。2020年1月，韩国国会通过了修订后的《信用信息法》于2020年8月生效，更是为金融领域大数据的分析、使用提供了法律基础。

三、MyData的各大参与角色

1. 主要参与角色

1）监管机构

①个人信息保护委员

直属国务院总理的韩国国家行政机构，2011年9月30日成立，2020年8月5日将分散在行政安全部、广播通信委员会，金融委员会的个人信息保护监管 机能统一，成为负责个人信息安全的中央行政机构。

②金融委员会

直属国务院总理的韩国金融监管机构，下设金融监督院。MyData金融领域负责机构，即负责发布 《金融领域MyData导入指南》、组建标准API工作组、审核MyData运营商资质并发放许可等。

2）实际业务操作相关机构

①信息源

在《金融领域MyData服务指南》中根据韩国《信用信息法》及相关规定了信息源的具体范围。指南中选取的部分信息如下:

②MyData运营商

是指基于信用传送要求权，收集分散的个人信用信息为用户提供一站式查询、金融产品咨询、资产管理等服务的机构。需满足以下资格条件，并经金融委员会审核后发放许可

③中介机构

部分金融机构（信息保有机构）可通过中介机构向MyData运营商传送信息，且非指定中介机构不得提供类似服务，同时使用中介机 构的金融公司也需满足以下条件

3）支援机构

① MyData支援中心

是由韩国信用信息院（韩国官方征信数据提供方，为征信机构提供信息）运营，支持个人信用信息稳定传送，包含管理可传送的个人信息信用的范围、个人信用信息的标准化、传送相关费用测定、金融消费者权益、个人信用信息主体的认证基准等业务。

四、应用案例

1. 从沙盒测试逐步过渡到全面应用

2019年5月，韩国科学技术通信部发布《医疗、金融、能源等MyData服务8个课题选定》表示将在医疗、金融、公共服务、交通、生 活消费等5个领域选定8个课题进行沙盒测试。

从2021年8月开始，韩国将全面提供MyData服务。

2. 金融领域：PAYCO MyData服务已通过沙盒测试并推出市场

3. PAYCO MyData服务：金融信息一站式查询

4. PAYCO MyData：数据下载、数据查询记录、综合金融超市

5. 未来场景延伸

金融委员会对金融业不同领域提出MyData服务可适用的方向：

其他领域沙盒测试也在陆续进行：

1）医疗领域

“慢性肾脏疾病全国MyHealth Data”将根据慢性肾脏疾病数据为个人提供量身定做的菜单及运动指导；新药开发时提供临床实验匹配服务;“MyHealth Link” 将为患者提供20所中/大型医院的患者诊疗标准化数据，并使用个人基因等信息预测癌症危险程度，预防慢性疾病的服务。

2）公共服务领域

与行政安全部的“公共MyData服务”链接，办理搬家迁入/迁出时可在线上使用一个文件夹一次性全部下载相关文件的公共MyData Set；使用陆军兵役信息及部队出入信息为军人提供专用身份证明及支付服务。

3）生活消费领域

KT与BC卡等合作，分析通信与信用卡支付数据为消费者提供“消费秘书服务”，即提供个性化商圈分析，商品价格变化趋势分析等信息。

4）金融领域

新韩卡为无法提供收入证明的工人开发收入综合整理及信用评价替代服务。

5）交通领域

综合管理代驾司机收入及驾驶记录的服务。

五、技术特点

1. API：主要有三种API组成

①认证API

认证API是指传送个人信用信息邀请以及用户本人认证时所需API。认证方式可分为个别认证和统一认证;认证方法有多重认证、多要素公钥认证、非面对面实名认证等。

②信息提供API

信息提供API是指根据用户个人信用信息（银行、保险、信用卡等）传送要求，信息提供机构向MyData运营商传送信息时所需 API。

③支援API

MyData综合网站为支援MyData提供的API。

韩国个人信用信息的使用方面较欧美国家相比起步较晚，但推进速度却很快，以自上而下的方式，完善了相关法规、监管沙 盒制度、参与机构准入机制，并统一技术接口，快速引进MyData产业。

韩国目前先以金融领域为MyData产业的testbed，并计划未来在能源、医疗、交通等生活不同领域逐步推进。作为率先推动 MyData商业落地的国家，MyData产业是否能强化个人数据携带权的同时，达到互惠竞争的效果值得我们持续关注。