大规模数据流通时代，个人数据利用模式探析

数字经济时代，数据要素已成为驱动经济社会发展的关键要素。据国际数据公司预测，全球数据总量将在未来五年内增长一倍以上，其中个人生成的数据占据重要比重。

然而，个人数据的开发利用长期面临深层困境：一方面，科技企业凭借平台优势大规模采集与分析个人数据，实现了可观的商业价值，而作为数据源头的个人却难以分享这一价值，甚至对自身数据的流向与用途缺乏知情与控制；另一方面，全球各国加强隐私保护法规制度建设，个人数据价值难以释放，无法充分发挥其在信用评估、精准服务、公共治理等领域的潜在贡献。

如何在保障个人隐私权益的前提下实现数据价值的公平分配与高效流通，已成为各国制度创新与产业实践的核心议题。本文选取国外典型案例，分析总结其创新机制与模式，为我国构建兼顾权益保护与价值释放的个人数据开发利用体系提供参考。

一、国外典型案例创新机制分析

爱沙尼亚X-Road架构

爱沙尼亚的X-Road系统架构是一个分布式数据交换层，是爱沙尼亚数字社会的核心基础设施，旨在实现不同信息系统之间的安全、高效数据共享。在医疗健康领域，基于X-Road构建的电子健康档案系统使爱沙尼亚成为全球医疗信息化的标杆。大规模的电子健康档案并非存储于某个中央数据库，而是分布在各个医疗机构。当医生需要查看患者完整病史时，系统通过X-Road从各机构实时调取数据，汇聚成统一视图。医生可以看到患者在任何医院的就诊记录、检验结果、影像资料。

另外，基于X-Road架构的电子处方系统极大提升了医疗效率。医生开具处方后，信息直接进入系统，患者可凭身份证明在任何一家药房取药。系统内置用药安全自动检查功能，可检测处方药物与患者正在服用的其他药物是否存在相互作用。此外，急救信息系统将X-Road的应用延伸至院前急救场景。救护车配备移动工作站，急救人员可在转运途中通过X-Road调取患者的关键医疗信息。当车辆抵达医院时，医院已提前获取患者基本信息并做好接诊准备。

该系统通过患者门户赋予了公民对自身数据的控制权。公民可通过统一门户查看自己的所有健康数据，包括病历摘要、检验结果、处方记录、就诊历史等。更重要的是，患者可以随时查看谁在何时访问过自己的健康数据。这种透明性极大地增强了公众对系统的信任。虽然默认情况下医生可以访问患者的健康档案，但患者有权选择隐藏某些敏感记录，或撤销特定医疗机构的访问权限。

X-Road的核心设计特点首先是分布式架构，这种设计带来的优势包括，任何一个节点被攻破都不会导致全局数据泄露，新机构接入只需部署一个X-Road节点，以及每个机构可对自己的数据拥有清晰的主体权利。

第二是透明监督与信任机制。每一次数据调阅都带有时间戳、数字签名并完整记录，形成不可篡改的审计日志。公民可随时查询自己的数据被谁、在何时、因何目的访问，发现未授权访问可直接投诉。爱沙尼亚的电子身份证系统与X-Road深度集成，无论是医生查询病历，还是患者查看档案，都需通过eID进行身份验证。这种技术架构设计，使透明成为隐私保护的前提。

第三是标准先行与技术治理。爱沙尼亚在系统建设前投入大量时间制定数据标准和交换协议，所有接入系统必须遵循统一接口规范。这种“标准先行”策略避免了后期大量的改造成本。目前X-Road已被超过25个国家和地区采纳，包括芬兰、日本、冰岛、巴西等。

2020年10月，爱沙尼亚与世界卫生组织签署谅解备忘录，合作开发基于区块链技术的数字疫苗证书系统，X-Road被用于跨境健康数据交换。此外，芬兰与爱沙尼亚已基于X-Road实现跨境数据互通，使两国机构之间能够建立可信数据通信。

韩国MyData模式

MyData是韩国政府推动的一项个人数据管理服务，旨在赋予个人对其数据的控制权，同时促进数据的安全共享和价值利用。用户可通过MyData平台集中管理分散在不同机构（如银行、医院、电信公司等）的个人数据，并决定数据的使用范围和对象。MyData运营商负责数据的整合、加密和安全传输，确保数据在用户授权范围内使用。

2018年7月，韩国金融委员会发布《金融领域MyData产业导入方案》，明确个人数据服务的业务范围及参与条件。2020年8月，《信用信息法》修订案正式实施，为MyData产业奠定法律基石。2021年1月，韩国一次性发放28家MyData运营商牌照，并于同年8月全面推行服务。截至2024年，获得许可的MyData运营商已达69家，累计订阅用户超过1.178亿，应用范围涵盖金融、医疗、汽车等多个领域，显示出市场的旺盛需求。

韩国MyData的制度创新核心在于建立了严格的牌照准入体系。运营商欲获得许可，须满足资本充足率、技术能力、数据保护体系等多重门槛。监管机构由个人信息保护委员会和金融委员会共同组成，负责监督数据流程的合规性与安全性。在具体的角色分工上，数据提供方（如银行、医院）负责将个人数据传输至MyData平台，MyData运营商负责整合来自不同机构的数据并统一呈现给用户，MyData支撑中心负责技术标准制定和监管。

在用户体验层面，MyData服务通过移动应用程序实现极简操作。用户运用电子签名完成授权后，便可在单一平台上集中查看和管理自己在各合作机构的金融信息，包括银行账户、投资记录、贷款状态、保险详情等，并可下载保存完整的历史数据。目前，服务范围已从最初的492项信息扩大至720项，覆盖银行、保险、信用卡、金融投资及公共机构等所有金融领域，未来还将进一步纳入消费记录、付款历史等数据，并向公共部门数据源延伸。

韩国MyData的商业价值已初步显现。2023年，韩国MyData服务商实现营收达2.5万亿韩元，约合人民币130亿元。

日本数据银行模式

日本数据银行模式，即“个人数据信托银行”模式，是一种以信托机制为核心的数据管理与运营模式，旨在实现个人数据的可控流通与价值释放。2018年，日本总务省与经济产业省启动数据信托专题研究，探索由持牌运营的信托公司作为独立第三方处理机构，接受个人委托管理数据，在个人同意和指示下将限定范围的数据提供给第三方使用。

这一模式的创新在于巧妙运用信托制度平衡数据主体与数据控制者之间的权力差距。信托公司作为受托人，承担信义义务，必须以维护受益人（即个人）利益最大化为目标，对数据的采集、存储、分析和流通进行全流程监督。这一设计在法律层面隔离了原始服务提供方对个人数据的绝对控制。

在实践中，日本数据银行模式首先在拥有大量健康和医疗信息的老年群体中试点，探索智慧养老场景下的数据应用。老年人通过授权健康数据用于医学研究，可兑换养老服务补贴或其他对价。这种“数据换服务”的模式，为数据价值释放提供了可操作的路径。

英国开放金融生态

2018年1月，英国正式实施全球首个“开放银行”计划，这一天恰逢欧盟《支付服务指令修正版》关于支付数据必须向客户授权的第三方服务商开放的规定生效。英国率先拥抱开放银行，是针对本国银行市场竞争不充分和金融创新滞后的结构性难题所采取的针对性举措。

开放银行的核心理念是允许消费者与受监管的第三方服务商分享其金融交易数据，从而改善消费者保护、创造更好的金融管理工具并增强银行业务竞争。为实现这一目标，英国监管机构强制要求银行业使用标准的API接口，通过这一安全连接，第三方服务商可以获取数据，用于构建创新的金融产品和服务。截至2025年底，英国开放银行活跃用户数达1650万，渗透率持续提升，2025年全年成功API调用达240亿次。

英国还成立了专门的开放银行实施实体（OBIE）负责制定统一的API标准。OBIE是英国竞争及市场管理局（CMA）于2016年9月推动成立的非营利性机构，由英国九大银行共同出资设立。其核心使命是推动开放银行标准的落地实施，通过制定统一的技术标准（如API规范）、数据安全协议和用户体验准则，促进银行与第三方服务提供商之间的数据共享与合作。

目前，英国正计划从“开放银行”拓展至“开放金融”，覆盖更广泛的数据源和账户类型。2023年，英国成立智能数据委员会和金融、创新和技术中心（CFIT）等相关机构，推动建立开放数据跨领域标准，帮助政府制定开放金融数据路线图。

巴西个人数据货币化项目

2025年，巴西国有企业Dataprev与美国数据资产技术公司DrumWave合作推出全球首个国家级个人数据货币化项目，引发国际社会广泛关注。该项目旨在赋予公民对其个人数据的所有权，将个人数据转化为经济资产，使用户能够通过自主管理数据并选择出售给企业，获得经济报酬。具体运行模式为，用户通过“数据钱包”（DWallet）平台收集和管理个人数据，包括医疗记录、消费行为、社交活动等。数据经认证后存入“数据储蓄账户”，在用户同意的情况下，企业可通过竞拍方式获取数据使用权，用户则获得相应报酬。报酬扣除平台抽成后，将转账至用户银行账户。初期该项目以薪资贷款用户为目标群体，覆盖巴西超6000万份贷款合同。参与者可授权出售贷款数据，预计每月获利约50美元。用户无需下载新应用，可通过现有政府平台参与，灵活性较高，可自主选择分享哪些数据，并随时退出。

在制度层面，巴西从法律上明确个人对数据的所有权地位，为数据货币化奠定产权基础。在技术层面，项目采用人工智能算法对数据进行动态定价，综合用户活跃度、数据稀缺性、商业应用场景等维度生成价格。

二、国外个人数据开发利用案例模式总结

以上案例在机制和模式方面不尽相同，爱沙尼亚、韩国和巴西的案例更多赋予个人对数据的管理权力，日本案例更多依托信托机制。这些案例可供借鉴的经验包括：

一是依托法规制度提供法律保障和依据

例如韩国通过《信用信息使用及保护法(修正案)》确立MyData业务许可制度，日本制定数据信托银行运营的指引文件《关于信息信托功能的认证指南》并多次迭代完善，英国2015年出台条例强制要求9家主要银行必须开放数据。

二是重视数据标准的先行统一

爱沙尼亚X-Road的成功首先得益于其“标准先行”策略——在系统建设前投入大量时间制定数据交换协议和接口规范，所有接入机构必须遵循统一的技术标准，这种强制性要求避免了后期碎片化改造成本，也为后续25个国家和地区的采纳奠定了互操作基础。韩国MyData、英国开放银行同样指定专门机构负责标准制定。

三是从运营模式看，第三方中介发挥关键作用

个人数据分散在多源平台，第三方中介作为独立受托人或运营方，对个人数据进行统一管理，以促进数据安全共享和价值利用为目标，赋予个人对其数据的控制权，对推动个人数据多场景利用具有必要性。同时，韩国、日本均建立信托机构或运营商的持牌准入制度，加强对此类机构的合规管理，旨在规范市场，有效保障个人隐私权益。

四是从商业模式来看，价值反哺个人成为趋势

巴西的收益分成机制让公民从数据出售中直接获利，日本的数据换服务模式以养老服务兑换健康数据授权，都在探索让个人从数据利用中直接获益的路径。这标志着数据利用模式正从“平台独占型”走向“价值共享型”。

我国个人数据开发利用探索现状及建议

我国《数据二十条》提出要建立健全个人信息数据确权授权机制，并探索由受托者代表个人利益，监督市场主体对个人信息数据进行采集、加工、使用的机制。此外，国家数据局发布的《可信数据空间发展行动计划（2024—2028年）》中，提到了“个人可信数据空间”的概念，提出在符合国家法律法规、充分尊重个人意愿、保护个人权益的前提下，稳慎探索个人可信数据空间建设试点，通过制度创新和技术创新，提供依场景授权许可的个人数据转移流动和开发利用服务。

基于国家政策导向，各地积极探索个人数据利用模式，例如温州市政府推出“个人数据管家”服务，允许市民查阅政务服务领域的57类个人数据，并可经授权生成“个人数据资产云凭证”，用于居民信用贷款等场景。浙江探索打造个人可信数据空间，基于用户自主授权，构建个人数字化信用档案。

基于上述国外案例的成功经验，对我国个人数据利用体系建设提出以下建议。

一是加快研究制定个人数据开发利用政策文件，在切实保护个人数据合法权益的基础上，建立健全个人数据确权授权和合规利用机制。研究建立个人数据运营管理、信托等机制的规则框架，为市场生态创新提供规范指引和法律依据。

二是将统一标准作为数据开发利用的制度性基础设施加以推进。国际经验表明，标准统一不是技术细节问题，而是决定数据流通效率与信任基础的核心制度要件。建议在国家层面加快制定个人数据采集、存储、传输、使用的基础性技术标准，明确应用程序接口规范、数据格式要求和安全协议等。

三是建立分类分级的数据中介机构准入与监管制度。可根据不同数据敏感程度和应用场景，建立分类分级的中介机构管理机制。对于金融、医疗等高敏感领域的个人数据中介，可设置高级别的准入门槛，要求具备相应等级的资本实力、技术能力和内控体系。对于一般个人数据，可设置低等级的准入标准。

四是建立数据收益的公平分配机制，让个人分享数据价值。当前我国数据要素市场建设中，“个人参与收益分配”仍是制度短板，亟需建立与个人贡献相匹配的价值回馈机制。建议加快研究收益分成规则，明确平台企业、数据中介、个人之间的分配比例基准。在技术层面，可依托隐私计算和智能合约，实现数据使用与收益分配的自动化执行，让每一次数据调阅都能准确计量贡献并完成价值清算。

文章作者：赛博研究院副院长 李宁