数据信托的困境与出路——权宜之计抑或制度创新
发布日期:
2022-06-29

一、问题的提出

科技的发展对法律提出了很多挑战。信息时代,数据已经成为一种与土地、资本、科技、劳动力等具有同等地位的重要生产要素,数据的价值在社会生产生活中迅速凸显。[1]但囿于人们对数据法律属性的认识尚未形成一致,相关法律规定也未出台,数据权利的本质及其财产属性相关问题一直是网络法学或数字法学争论的焦点。数据信托的概念,早在2004年就被利利安·爱德华兹提出,但未引起足够重视。[2]2021年,数据信托被《麻省理工科技评论》选入“十大突破性技术”,数据信托的价值被人们所注意。随着一些数据信托实践探索的深入和近些年数据权利纠纷的增多,关于数据信托的相关理论探讨,成为法学领域关注的热点问题之一。

数据信托的基础问题主要有以下几个:(1)数据是否具有财产权,其权源来自哪里,归属于谁?(2)作为解决“数据提供者与数据控制者之间权利不平衡”而提出的数据信托,是否能够有效解决这个问题?这种数据信托将个人信息权利作为信托客体,有何问题?(3)在我国现有信托法律制度框架下,如何构建一种新型数据信托,使其既能解决上述“不平衡”问题,又能使数据蕴含的巨大价值得以发挥?现有数据信托设立的目的是为解决数据主体与数据控制者之间的权利义务失衡问题[3],并将数据信托之受托人设定为数据控制者或者第三方独立机构[4],试图以“信托法中的信义义务”作为解决个人数据泄露、个人信息权利维护等的基础依据。但这种数据信托法律结构或者不如直接施加法律规定更加直接有效,或者将个人信息权利等同于数据财产权,从而错把个人信息权作为财产信托对象。个人信息权的权利主体必然是公民个人(也就是数据主体或数据提供者),如果个人信息权作为信托客体,那么基于个人信息权的信托收益如何分配?实际上,在浩如烟海、瞬息万变的大量信息中确定个人信息的财产价值,不仅在技术上无法实现,而且个人信息权归根到底应属于人格权范畴,而非财产权。数据信托的客体是在数据达到一定规模时具有的财产价值,而不是单个数据提供者之个人信息权利的简单累加。可见,数据信托在将信托理念引入个人信息权利保护架构后,发现个人信息权利作为“数据信托”的客体,并不适宜。这种“张冠李戴”的信托结构存在诸多问题,不仅在保护个人信息权利上效果不佳,而且因其本质上并非真正的信托法意义上的信托产品,在实践中如用信托法来规范各方权利义务也存在诸多法律障碍。那么,是否可以在现有信托法基础理论支撑下,构建一种数据信托结构呢?这就需要回归信托法本源,在兼顾个人信息权保护与数据控制者正当合法财产权的双重目标下,构建真正的信托法律关系,最大限度释放数据蕴含的巨大财产价值,从而赋予数据信托现实生命力。

二、数据信托客体:数据财产权

信托法律关系的客体是财产权,委托人将其合法所有的财产委托给受托人管理,并由委托人指定的受益人享有信托利益。数据是否具有财产权,能否作为信托法律客体,需要在分析数据财产权及其权利来源的基础上确定其归属。

(一)关于数据财产权的研究

财产权,是民事法律制度中最为重要的法律概念之一。“无财产即无人格”“财产是‘人成其为人’所必须具备的最起码的物质生存条件”,均说明民事法律制度中财产权的重要性[5]。然我国民法中关于财产权,既无法定的规范表达,亦无明确统一的概念界定。一般认为,财产权是“以财产为标的,以经济利益为内容的权利”。[6]英美法系中的财产权,指的是有体物为客体的支配权;大陆法系中的财产权,泛指一切以经济利益为内容的权利,包括财产的支配权与请求权。[7]按照传统德国民法理论,财产权包括物权与债权两大类。此外,知识产权、商事财产权、继承权等权利中也存在财产权利。

数据是否是一种财产权?法学界对此进行了深入的探讨和研究。梅夏英教授认为,数据是基于网络资源控制下的数据技术派生的财产,“数据的财产权来源于对数据的控制权,信息持有者享有保密和公开的选择权,企业数据的利益形态即为企业对数据库的自我控制”。[8]申卫星教授认为,数据权利包括所有权和用益权两种形式,“通过数据所有权+数据用益权的‘两权分立’模式来协调多方利益诉求,其中的数据用益权属于一种新型的‘用益物权’”。[9]高富平教授认为,数据生产理论是数据财产权利产生的基础,“数据生产意味着数据是外在力量作用的结果,而不是数据源于自然的产物。在具有分析价值的数据应当被作为一种资源背景下,数据生产就成为构筑整个数据资源利用秩序的基础,以此可以构筑后续数据加工处理、流通交换和分析利用秩序”。[10]许可副教授认为,数据权错综复杂,应摒弃传统权利理论中的“权利束”和“权利球”的框架束缚,利用类似“积木”的“权利块”来分析和定义最为合理。[11]郑佳宁教授认为,数字财产权是一种尚需时日才能逐渐被认识的新型财产权,“新型权利从萌芽、成长到被现行法律体系所接纳,需要一个过程,目前也可以循序渐进,先将其停留在法益层面,通过支配效力和排他效力的赋予,达到类似绝对权保护的效果。这与普通法中承认宽泛的‘财产’观念,强调控制与保护,殊途同归”。从以上观点可知,大家均认同数据具有财产权。至于这种财产权归属于谁,个人信息提供者对数据财产权是否享有权利等问题,则尚须从数据财产权的权源角度进一步分析和探讨。

(二)数据财产权的权源及归属

数据权涉及两方主体,一方是数据的来源方,也就是数据提供者;另一方是数据的控制者,也就是收集数据的企业或组织。数据权的两个主体对数据均具有一定的权利,但权利的内容和性质不同。龙卫球教授认为:“按照数据阶段分别构建自然人的关于个人信息的权利和企业关于数据的权利,其中后者统称为企业新型数据财产权,具体包括数据资产权和数据经营权两种形态,两者之间形成一种过程平衡关系。”[12]邢会强教授根据自然权利理论和法律经济学理论,提出个人信息财产权全部或部分地赋予个人。[13]郑佳宁教授认为,数据来源者“对特定数据信息所享有的权利,应当根据所涉数据信息的类型(是否构成敏感数据)、数据来源者对于数字产品生产过程的参与程度和贡献值等因素进行讨论”。[14]数据财产的权利人是数据提供者还是数据控制者,抑或兼而有之,这对于数据信托法律关系中信托主体和结构设计具有重要意义。

1. 数据财产权来源于数据控制者的“劳动”

数据的财产价值是基于对网络大量数据的收集、存储、整理、归类、分析等一系列“劳动”而生成。数据控制者所掌握的数据包括个人原始数据,但并不等于个人信息的简单“堆积”,而是用户群体形成的个人信息集合的归类整理,以及在此基础上对原始数据的分析和加工。根据洛克的财产价值理论,数据的财产价值源于数据上的劳动,而非具体的个人数据。“既然劳动是劳动者的无可争议的所有物,那么对于这一有所增益的东西,除他之外就没有人能够享有权利,至少在还留有足够的同样好的东西给其他人所共有的情况下,事情就是如此。”“我的劳动使它们脱离原来所处的共同状态,确定了我对于它们的财产权。”[15]高富平教授认为:“数据生产理论旨在揭示数据时代作为资源意义的数据是被生产出来的,并经过汇集处理后才能实现其分析价值,并把汇集处理视为数据分析原料的生产。”[16]梅夏英教授认为:“数据挖掘、信息分析技术等大数据技术的逐渐成熟,使得个人信息生产和利用方式发生重大变革,随着蕴含其中的社会经济价值被不断发掘和释放,个人信息的用途也早已超越了信息主体的个人利益范畴。”[17]龙卫球教授认为:“应当赋予数据从业者数据经营权和数据资产权两种数据新型财产化权利。”[18]综上可知,数据控制者通过法定或协议约定合法占有数据,并将海量数据存储在其存储器中,基于个人信息提供者的授权,数据控制者可以对这些数据进行整理、清洗、分析后,可以对其控制下的数据进行复制、删除、分享或相关的处分行为。按照“数据生产理论”,数据的财产价值主要来源于数据的收集者(即数据的控制方)的收集、整理、加工、存储或向数据提供者提供对应的服务。[19]因此,数据的财产权利应为数据控制者享有。

2. 个人信息权之财产权的否定

个人信息保护出自于个人隐私权的保护,网络通讯发达后,个人信息方面的保护范围从个人隐私逐步扩展到与个人相关的大部分信息。网络信息时代,个人信息权的内容极大扩充,包括“对自己的个人信息的自决权、查询权(知情权)、选择权(反对权)、保密权、更正权、封锁权、删除权、收益权及获得救济权等”。[20]这里的“收益权”仅指具有特定经济价值的个人信息,并非本文讨论的一般意义上的海量数据中的普通个人信息。王利明教授认为:“只有明确了个人信息权的人格权属性,界定个人信息权的边界,才有可能为其在其他法律领域的保护确立必要的前提。”[21]数据提供者所具有的个人信息权,并不能成为财产交易的对象,数据提供者不能将其个人信息相关数据作为财产进行交易。作为数据提供者的个人信息权利人,对数据控制者所占有的数据仅有“人格权”方面的权利要求。

数据财产的生产过程,清楚表明数据控制者通过其“劳动”使得数据产生了财产价值。“在法律对个人信息的定位属于个人人格利益,且仅仅通过限权来维护公共利益的情形下,不承认数据使用者或社会主体的利益的情形下,数据治理的理论和机制就无从实施。”[22]一般情况下,数据提供者并不参与数据的采集、记录、整理、集成、清洗和分析过程,个人对这个生产过程并无生产投入和劳动付出。因此,“个人数据保护旨在保护数据上主体权利,目的在于防范个人数据使用行为对主体利益的侵害(即个人数据的滥用),而不是赋予个人对数据的支配权(个人对个人数据使用不享有控制权)”。[23]可见,个人信息权利人并不能享有数据财产权。

事实上,个人信息经过数据控制者的整理和加工,已经将个人信息中涉及个人主体的相关内容作了隐名处理。数据中并不能区分信息主体身份时,个人信息权也就无从主张。邢会强教授也认为:“对于匿名信息,尽管它是在伴生个人信息和预测个人信息的基础上加工产生的,但已经去除了个人的基本信息,无法识别到特定个人,只剩下‘加工物’了,因此,个人不享有匿名信息的财产权,其财产权完全归属于信息企业。”[24]

三、数据信托的结构:英美两种模式及其问题

信托是指委托人基于对受托人的信任,将其财产权委托给受托人,由受托人按委托人的意愿以自己的名义,为受益人的利益或特定目的,进行管理和处分的行为。《麻省理工科技评论》将数据信托定义为一个代表人们收集和管理他们个人数据的法律实体,而英国开放数据研究所(ODI)则认为数据信托是提供独立数据管理的法律结构。[25]信托法律关系中,委托人将其有权处分的财产委托给受托人管理,这必然要求数据信托法律关系中数据财产权归属于委托人,而现在所讨论的数据信托法律结构却并非如此。

(一)数据信托的类型及其内部结构

数据信托有两种类型,一种是设置独立第三方为受托人的“英国模式”,另一种是将数据控制者作为受托人的“美国模式”。英国模式来源于英国开放数据研究所,其构建的信托结构是个人数据权利人将数据作为信托财产委托给具有独立资格的第三方进行管理,由第三方独立机构对数据控制者的数据处理行为进行监督。简言之,“英国模式”数据信托是“三方主体模式的信托结构”,在个人数据权利人与数据控制者之间,设立一个信托结构,由第三方独立机构作为受托人,接受个人数据权利人的委托,管理个人数据,以保护个人数据合法权利不受数据控制者的侵犯。“美国模式”数据信托则是在2014年3月,由耶鲁大学法学院杰克·M. 巴尔金在其发表的《数字时代的信息受托人》一文中提出。“美国模式”数据信托是个人数据权利人将个人数据直接委托给数据控制者进行管理,数据控制者即个人数据的收集者和利用者,数据控制者对个人数据负有信托法上的“信托信义义务”,必须“像自己的财产一样”施以诚信、勤勉、高效、谨慎的管理。简言之,“美国模式”是“两方主体模式的信托结构”,个人数据权利人将数据直接信托给数据控制者,在个人数据权利人和数据控制者之间形成“信托关系”,从而可以对数据控制者的数据处理行为施以信托法上的约束,以避免对个人数据权利的侵害。

“英国模式”和“美国模式”数据信托(以下统称英美数据信托模式),其核心思想是将个人数据权利作为信托标的,在个人数据权利人和数据控制者之间建立一种信托法律关系,以保护处于弱势地位的个人数据权利人。两者不同之处是“英国模式”引入了第三方独立机构作为受托人,而“美国模式”将数据控制者作为受托人。实践中,“英国模式”数据信托在智慧城市公民个人信息和健康数据管理个人隐私信息中得到应用。比如2018年,Alphabet的子公司Sidewalk Labs提议使用公民数据信托来管理其在多伦多地区的智慧城市项目所收集的数据。2019年,Sidewalk Toronto将公民数据信托作为智慧城市发展的一部分。国内数据信托的实践始于2016年,某信托公司发行了一笔数据信托产品,以“特定数据回购权”作为标的物。这种具有“回购条款”的信托产品,名为数据信托,实为融资业务。当“回购条款”触发后,委托人需要以一定的条件(通常是本金及约定的利息)回购信托产品,此时,数据信托仅作为一个融资工具。信托公司以碳排放权和知识产权为标的物的“数据信托”,并非基于数据财产权的信托业务。[26]真正的数据信托是以数据本身的价值作为信托财产,根据可查案例资料,这种信托目前在国内实践中尚无先例。

(二)英美数据信托模式的问题

数据信托着眼于解决数据提供者(亦称数据主体,或数据原发者)[27]与数据控制者(一般是法人或其他非法人组织)之间对数据的权利冲突和失衡。“这种不平衡的权利结构是:个人对数据保护的力不从心与数据控制者对数据的绝对控制,个人完全处于被支配的地位。”[28]数据提供者在提供数据时往往是被动的,对所提供数据的存储、应用甚至具体内容均不知情,更没有控制和使用的权利。数据控制者通过提供网络服务将数据提供者的相关数据收集、存储,并进一步梳理和分析(“挖掘”)出一定商业价值的信息。

数据信托引入的目的是为了保护个人数据权利,信托的标的是个人数据信息。个人数据信息在民法上属于公民人格权的内容,其本身不具有财产属性,也不能作为信托标的。数据控制者所管理的数据是个人数据的集合,数据的财产属性并不能得出个人数据信息同样具有财产属性的结论,信息权利人仅有对附有其主体信息的数据享有人格方面的权利。《中华人民共和国个人信息保护法》(下称《个人信息保护法》)已经明确规定个人信息不包括匿名化处理后的信息。数据控制者将从个人主体那里采集的原始数据经过匿名和技术处理后形成的数据并不具有个人身份信息。信息权利人只能向数据控制者主张具有个人身份信息的数据权利,且仅限于人格权方面的内容。数据控制者根据协议或法律规定取得个人数据信息后,对这些海量个人数据的匿名化处理及后续的整理、统计、分析等数据“挖掘”工作产生的财产价值,个人信息提供者(数据主体)无权主张。除非个人信息提供者(数据主体)在数据控制者收集数据的时候,就声称不得对其数据进行分析与处理。事实上,匿名化后的个人信息不具有个人身份特征,且在数据收集过程中得到数据主体的明确或默示的只要不侵犯数据主体法定权利“即可对其进行处理”的许可。数据控制者的后续处理行为,尤其是对个人信息“匿名化”以后,也完全不是基于个人信息提供者的授权,而是数据控制者在合法占有海量个人数据后可以自主进行的“次生价值”生产。这种“次生价值”生产与单个主体的数据信息已经相距甚远了。可见,数据财产权不是基于个人数据价值的简单累加,而是基于对海量数据的采集、整理、统计、分析等“劳动”所产生的价值。个人数据权利性质和数据财产权的来源和归属明确后,很容易发现数据信托的问题和困境所在。

第一,个人信息权利不具财产属性,不能作为信托标的,英美两种数据信托模式中将个人信息权利作为信托客体显然不妥。数据信托的标的是财产权,个人信息提供者的个人信息权利属于人格权,不能作为信托客体。个人信息提供者对数据财产权不具有所有权,也不具有控制权,仅能要求数据控制者对与其人格相关的信息不作滥用和非法处分。那么,在数据信托中,个人就不可能将个人数据委托给数据控制者,也更不可能享有信托收益。数据虽然来源于数据主体(个人信息权利人),而数据财产价值的创造完全依赖数据控制者的管理和处分。数据控制者对数据的加工利用打造了“数据即资产”的新经济商业模式。[29]数据财产权来源于数据控制者的采集、梳理、清洗、分析等劳动,也归属于数据控制者所有。数据信托的委托人是个人数据主体,其不享有数据财产权,仅享有能够辨别主体信息的涉及人格方面的权利。英美数据信托模式将个人信息主体作为委托人,将个人信息权利作为信托标的,不符合信托的法律结构和信托的基本要求。“个人只是数据描述的对象和源头。个人有可能参与到原始数据的生产过程,但数据生产的主体是数据采集设施设备运营者。这样的理论真正将数据视为一种经济资源,来构思数据权利的配置。作为个人数据来源者在数据上享有主体利益,但这种主体利益仅仅建立在个人是数据的主体(数据与个人有关)基础上,而非个人数据归属于个人、是个人的财产。”[30]信托法上信托客体是财产权,而非人格权。因此,将个人信息权利作为数据信托标的显然是不妥的。

第二,英美数据信托模式中“信托信义义务”的落空。2016年,巴尔金教授发表了《信息受托人与第一修正案》,该文系统阐述如何将“许多收集、分析、使用、销售和分发个人信息的在线服务提供商和云公司视为面向其客户和最终用户的信息受托人”,以此来调和个人隐私保护和个人数据的收集、分析、使用、销售和分发之间的矛盾,其目的是在现有法律体系下保护个人数字隐私。[31]这种信息受托人的信托信义义务违反了基本的信托“利益冲突”禁止原则(即禁止受托人从事其个人利益与受益人的利益可能发生实际或潜在冲突的行为)。数据受托人往往是个人信息权利的滥用者和侵害者,在数据受托人与个人信息权利人之间具有利益冲突。信托信义义务的核心即忠实义务,信义义务的履行必然要求数据受托人对个人信息权利人的忠诚,并最大限度维护委托人的利益。如果受托人与委托人存在利益冲突,则难以保证信托信义义务的履行。同时,由于数据提供者的广泛性和普遍性,委托人之间也可能存在利益冲突。这种情况下,也违反了信托信义义务所要求的“义务冲突”禁止原则(即禁止受托人同时为两个利益相互冲突的主体服务)。当前互联网“双边市场”的环境下[32],无法避免委托人之间的“义务冲突”,从而使得受托人在同时面对“义务冲突”的多个委托人时,无法做到“信义义务”的真正履行,而只能对一方尽到“信义义务”。这种情况是信托法所不允许的。

关于数据信托第二种结构(即美国模式)中,作为受托人的数据控制者,对其施加“信托信义义务”,更有利于保护个人数据权利的说法,完全可以通过对数据控制者施加更为严苛的数据保护义务得以实现。相较于要求数据控制者承担信托义务的制度设想,直接由法律规定其应当承担的隐私保护与数据安全等义务更为有效。[33]实践中,舍近求远的信托权利救济方式,虽然相对于契约方式对个人信息权利的保护更为有力[34],但对于非专业的普通公民来讲需要付出高昂的维权成本,数据控制者要举证证明其对财产管理处分行为的合法合规,也不是一件困难的事情。况且,要约束数据控制者的信托管理行为,除了传统的信托法规定之外,还必须辅之以个人数据权利的保护规定,这似乎又回到了法律赋权和直接规定其义务的逻辑原点上。正如《麻省理工科技评论》在推荐数据信托这一新理念时所指出的,“事实证明科技公司是我们个人数据糟糕的管理者”。如果法律不能有效约束数据控制者对个人数据信息的侵犯,我们又何以信赖其作为数据受托人不违反“信托信义义务”而侵犯个人数据信息呢?换言之,数据控制者如不顾个人信息保护法律规定或契约义务而侵权或违约,再给其“嵌套”一层信托法上的“信义义务”恐怕也无济于事。

况且,海量数据中数据受托人往往不是一个主体,而是极具复杂和不确定性的。亦如邢会强教授所言:“在数字经济条件下,用户每天都和无数的数据控制者打交道,一般的消费者往往不知道一个行为后面有多少个‘数据受托人’。但用户频繁使用数字技术,个人信息被接二连三的‘数据受托人’收集时,用户都不知道将数字管理委托给了谁。”[35]在这种情况下,再谈数据信托的信义义务,确实没有实际意义。

关于由第三方独立机构作为受托人的“英国模式”,虽然不存在上述数据控制者信赖问题,但也只解决了数据的“入口”,对于数据产品的“出口”,同样没有把控。实际情况是,个人数据信息权利的侵犯,往往发生在数据产品的交易和共享等“输出”环节。在个人数据信息的“输入”环节,现有法律对个人信息权利的保护进行了较为细致和严密的权利布局,个人信息权利中的“知情权”“同意权”,辅之以“被遗忘权”“删除权”和“可携带权”等权利的约束,在数据控制者前端的法律布局已经较为完善。个人数据信息在交于数据控制者之时,第三方独立机构作为受托人对数据的收集、整理、清洗、分析具有监督权,这种监督权仅是管理上的权利。[36]由于个人数据信息主体不具有财产权,第三方独立机构就不可能像信托法中的受托人一样,通过授权得到归集后的数据财产的管理、控制和处分权。除非把第三方独立机构作为信息收集、整理和分析机构,个人数据信息才能在其控制之下。这需要建立一个庞大的第三方机构来收集各种网络数据信息,不但在实践中很难实现,而且归集后的信息完全脱离数据控制者之手,这与解决个人数据信息保护和数据控制者之间矛盾设立信托的基本出发点背道而驰。在不改变数据归集者即数据控制者的现有状态下,英国模式的数据信托仅能对数据控制者在收集数据信息时进行监督,而对其处理数据的行为和交易数据产品的行为没有制约。而且,严格来讲,囿于个人数据信息的非财产性质,其信托基础不存在,第三方独立机构难以根据个人数据主体的授权获得监督和管理权。数据控制者在收集信息后,对信息进行“脱敏”处理后,个人数据信息就无法与具体的自然人相联系。比如,某自然人信息收集到数据控制者后,对其进行归集、整理和清洗,数据信息不再标识某个具体的自然人,个人数据变为普通数据。此时,第三方独立机构基于个人数据主体的委托进行的监督,就失去了基础。众所周知,数据采集过程中,数据量非常大,提供数据的主体时刻在变化过程中,也就是说,数据信托的委托人即受益人随时发生变化,受益人并不能完全确定下来。根据信托主体应当确定的基本要求,如果受益人或受益人的范围无法确定,信托法律关系无效。故此,所谓“数据信托”的英美两种方式都存在信托结构上的重大缺陷。

第三,即使承认个人数据信息的财产权和数据信托在信托结构上的合理性,在技术和实践中,也无法分辨和分析出个人信息权利对数据财产权的贡献和价值,无法进行财产分配。

数据财产的交易是大数据分析的结果,分析样本中存在大量的、随机的、无序的个体信息,某个个体所提供的数据仅是“沧海一粟”,其对最终数据交易价值的贡献和影响有多大,价值如何衡量,均是实践中无法完成的难题。一般情况下,数据分析的数据标本数量需要达到PB级别,单个数据的价值微乎其微,可以忽略不计。况且,数据分析和处理过程中,个人数据要进行“脱敏”处理,其中标识具体个人信息的部分全部隐去,根本无法获知个人数据信息在最终数据分析结果中的作用和影响因子。“一个单独的数据主体其价值密度较低,难以具有独立的运用价值。一旦利用大数据技术对包括个人数据在内的数据进行聚合、挖掘,该个人数据便无法满足我国《信托法》的要求。”[37]那么,在这种情况下,如何对作为受益人的个人信息提供者享有的数据信托收益进行分配呢?显然,这是目前数据信托无法解决的问题。

四、数据信托的新架构:以数据使用和输出规制为重点

前述英美两种数据信托模式在理论和操作中的问题,实质上否定了数据信托存在的基础。那么,数据信托仅是个人数据信息治理的权宜之计,还是数据财产合法化的制度创新?我们如何在数据财产权利之上利用信托法律关系具有的渠道优势,构建真正信托法上的数据信托呢?

(一)构建新型数据信托的必要性和可行性

非法的数据滥用与合法数据的“寒蝉效应”同时存在,说明了数据法律制度的缺失和不足。[38]这一现象在客观上对数据使用的规范性提出迫切要求。“大数据杀熟”“垃圾广告信息推送”等数据滥用行为,不仅侵犯了数据主体的权利,而且对公民的正常生活和社会秩序造成了极大困扰。惮于法律制度的规定不明,很多企业掌握着大量具有极高价值的数据,却无法进行正常的合法交易。比如,移动通信提供商掌握大量的个人数据信息,但其宁可让这些数据在后台存储器中“沉睡”,也不对其进行开发利用,为各行各业提供数据产品服务。究其原因,就是在法律尚未立法或规定不够明确的情况下,企业与其承担数据违法风险的可能不利后果,不如封存起来更为安全可靠。数据财产权“法律缺位”的现状,为数据信托提供了应用空间,也是数据信托的优势所在。信托产品受信托法保护,可以进行交易和融资。只要承认数据具有财产权,且这种财产权不存在违法之处,则可以将其作为信托标的设计信托产品上市交易。在当前现有法律环境和条件下,法律虽尚未明确数据财产权,但数据控制者可通过信托渠道,将其控制的数据委托给信托公司管理,成为可交易的信托产品。[39]通常情况下,数据财产的直接上市交易需要以数据财产权的法律明确规定为基础,而数据信托则仅要求数据具有财产属性即可,不需要财产权相应立法规定及法律规范的确立。这是数据信托存在必要性之所在。即使数据财产权在法律上有了明确规定,数据信托仍可利用信托之金融属性,实现投资和融资功能,更好发挥数据的财产价值。可见,数据信托研究不仅具有理论意义,而且极具实践价值。

那么,数据信托存在上文所述的诸多根本性缺陷,是否还具有可行性呢?英美数据信托模式存在的关键问题是对数据财产的归属和个人信息权利的认识存在误区。信托财产要求具体明确,当数据财产权明确归属于数据控制者时,数据信托的构建就水到渠成了。数据权利的“二元结构”与信托财产权的“双重主体”有异曲同工之妙。数据之上既有个人数据提供者的人格权,又有数据控制者的财产权。“数据用益权与数据所有权二分的原理是权利分割思想,在确保数据原发者初始权利的前提下,满足了数据处理者利用数据并受保护的需求,同时也为数据共享、交易确立了正当的权利基础。”[40]这是数据“所有权”与“用益权”的分离。信托法上委托人对财产的名义主体和受托人对财产权利的实际控制恰好契合上述数据权利“二分”的特性。数据财产权的这种“双重权利结构”与信托法的“双重主体结构”类似,“名义所有权与实质所有权分离的双层架构是数据领域的核心内涵,与信托的权利结构具有一致性”。[41]可见,数据财产虽然较为复杂,但其与信托法律关系具有权利结构上的类似性,为数据信托提供了“耦合”嫁接的可能性。[42]数据信托应该摒弃英美数据信托模式中将个人数据权利作为信托标的的信托结构,在兼顾个人数据信息保护的前提下,着眼于数据财产价值的发现和数据要素作用的发挥,构建一种新的模式。

(二)新型数据信托结构及其优势

为了实现数据财产的交易,新型数据信托模式的构想是在规范信托结构的基础上,关注数据信息处理的规范性和专业性,并将信托信义义务由英美数据信托模式中的第三方独立机构或数据控制者转移到信托公司,以信托公司对数据产品合法合规的基本信托信义义务,来严格控制数据产品的输出和交易,避免在数据输出过程中对个人信息的侵犯。“信托义务理论的重点是将从对特定的终端用户的保密和忠诚的职责转移到公众对(数据处理之)可信赖和公平竞争的保护义务。”[43]新型数据信托的基本理念是数据收集者拥有其所控制数据的财产权,个人数据提供者拥有数据的人格权,数据信托仅将属于数据控制者的数据财产权作为信托标的进行信托。数据收集者只要将数据中涉及个人数据提供者个人隐私或个人信息的标识进行“匿名”或“脱敏”处理,数据就不再包含具体的个人信息内容。当然,某个信息主体的多个数据之间的组合分析也不能确定或识别出信息主体的个人身份。经过数据的整理、清洗等一系列处理后,数据控制者就可以将其控制的海量数据作为信托标的进行处分。

新型数据信托的结构是数据控制者收集和整理数据,数据控制者享有数据财产权利,并将其数据财产作为信托标的委托给信托公司进行管理、使用和处分。信托公司可以委托第三方独立专业机构对数据进行分析并形成可交易的数据产品。信托公司以自己的名义交易数据产品取得信托利益。数据控制者根据信托合同约定分享信托收益。这种以数据财产权利为信托客体,以数据控制者为委托人,数据控制者指定受益人,信托公司为受托人,第三方独立专业机构为数据产品处理者的信托结构,与我国现行《中华人民共和国信托法》对于信托标的的要求完全契合。

这种新型结构的数据信托对于保护个人数据权利亦更为有利。第一,新型数据信托相对于个人信息权利而言,在数据收集、信托成立、数据产品交易以及信托产品投融资等各个阶段都有明确的法律规定,且法律规定了相应主体在各个阶段的法律责任,相应的监管和操作规范已较为成熟和完善,更有利于个人信息权利的保护。数据控制者负责个人信息的收集,并将数据根据一定的规则和策略对敏感数据进行变换或修改,进行“脱敏”处理,删除或隐去其中涉及个人主体标识的信息。数据控制者将整理和脱敏数据作为信托产品标的转让给信托公司。信托公司再委托第三方独立专业机构对数据进行分析处理,得到数据产品。信托公司将数据产品进行交易,取得信托收益。在这个过程中,信托公司取得的数据已经过数据“脱敏”处理,个人信息一般不会保留在提供给第三方独立专业机构的数据库中。

第二,信托公司基于信托管理义务,必须实施对于第三方独立专业机构的监督,以防第三方独立专业机构可能损害个人数据信息或其他数据滥用行为。信托公司基于数据财产的受托人身份,其对第三方独立专业机构的分析处理行为及形成的数据产品负有诚实、信用、谨慎、有效管理的义务。信托公司在委托第三方独立专业机构分析处理数据时,对交付的数据和取得的数据产品,均有义务保证其合法合规,也包括个人数据信息权利的保护。在数据产品交易过程中,信托公司一方面保证数据产品交易的商业利益,同时,也要确保数据产品的合法性。数据产品的输出是保护数据权益的重要关口,也是最后一道关口。我国《个人信息保护法》《中华人民共和国数据安全法》等法律对数据收集、存储、整理等均有明确的规定。在数据控制者将数据脱敏交付信托公司时,信托公司在管理数据的过程中,包括委托第三方独立专业机构分析数据时,从其信托法定义务出发,也必然要遵循上述法律规定。

第三,数据控制者不再直接将数据产品进行交易,泄露个人数据信息或损害个人数据权利的机会降低。“受托人对数据信托履行忠实义务和谨慎义务,是利用信托工具服务数据共享利用实践的实质性要求,构成了受托人所应承担的数据安全责任的实质性条件。”[44]由于信托公司基于信托信义义务,必须谨慎、勤勉、有效地管理数据财产,否则不仅需要承担信托法上的责任,如果造成数据泄露等重大影响事件,还可能承担其他法律责任。因此,信托公司作为受托人在数据存储、保密、整理、分析以及数据产品的共享或交易等各个环节,必以最大的注意和最高的谨慎完成数据的分析和交易活动,以保证其信托活动的合法合规。同时,由第三方独立专业机构负责数据的分析和数据产品的完成,可以集中对其数据存储和处理过程进行监管,以期数据主权的维护和重要敏感数据的保密。如有必要,国家可以发放数据分析处理的业务牌照,则此等机构在处理数据时必然十分谨慎。大量国内个人敏感数据信息(如涉及个人生物信息、DNA信息等)和国家重要科研、军事、金融数据等其他重要信息泄露到境外,其后果是不堪设想的。

信托公司取得数据权利后,委托专业的第三方独立机构进行数据分析,可以将各数据控制者收集到的信息进行集中处理,一方面可以提高数据处理的专业化能力,从加强个人数据保护的角度考虑,将分散在各数据控制者的大量数据集中进行处理和管控也便于监督。同时,数据样本越多,数据分析得到的结果越具有价值。各数据控制者的数据集中在第三方独立专业机构进行处理,可能产生数据增值的实际效果。

第四,信托作为一种金融工具,可将数据信托作为金融产品进行融资。信托公司可以发行数据信托产品,募集市场资金,发挥数据资产的金融功能。信托公司以数据财产为标的,发行面向市场或特定合格投资者的数据信托产品,在市场上进行融资。“数据信托充当了融资类和项目运营类角色,既解决了数据资产应用过程中涉及的多运营主体问题,又完成了资金的循环和数据资产信托财产的闭环,在维护数据安全、促进和保障数据市场健康发展等方面具有突出的工具性价值。”[45]数据信托还可以通过投资信托基金进行资产证券化,将数据财产作为核心资产,成立数据资产投资信托基金(DAITS),面向战略投资者、公众投资者及其他投资人发行,实现数据信托的融资功能。

数据控制者可以指定受益人,也可以将自己指定为受益人(自益信托),不但可以获得数据财产收益,还节约数据信息管理和数据分析成本,优化社会资源配置,提高数据的收益率。数据财产权利在法律尚未规定的情况下,通过信托模式将数据转化为信托产品进行交易,可以提高数据信息的利用效率,发挥数据作为生产要素的经济价值。

五、结语

数据信托为解决个人数据提供者与数据控制者之间的权利失衡而设。数据控制者作为数据输出方为了商业利益,在法律规定尚不明确的情况下,存在过度商业化或者容易侵权等倾向。这一问题已经被层出不穷的个人信息泄露事件和爆发性增长的个人信息犯罪案件所证实。在普通的数据交易中,加入数据信托对数据财产进行管理,则可以有效避免数据控制者利用自身技术和数据占有上的优势地位过分追逐经济利益导致的上述问题。

英美两种数据信托模式对于个人数据信息保护的关注点是数据信息的“入口”,而个人数据信息的保护更应该关注数据的“出口”问题。正如托马斯·汉尼斯指出的:“如有可能,规制个人可识别信息的潜在滥用行为并给予救济,而不是规制其收集和正当的使用行为。”[46]重视对个人信息收集的控制变得越来越没有意义,除非个人信息一经使用即会给个人带来人身或财产上的危害,否则应当将规范重点放置于如何安全使用上,减少使用给个人带来不必要的风险。[47]个人数据信息的侵犯往往不是在收集过程中发生,更多的情况发生在数据控制者控制数据之后与第三方的共享或交易阶段。数据控制者在数据产品交易的过程中,是否尽到了个人数据的保护义务,共享或交易的基础数据信息是否恰当处理了个人敏感信息等,这些问题需要严格控制数据信息的输出。另如上文所述,我国对数据财产的归属以及数据权利中个人数据主体与数据控制者关系尚未有明确规定,数据交易的相关规则也不完善,数据控制者直接进行数据信息交易未免存在法律上的风险。因此,个人信息控制的重心应当从收集等输入环节转向信息的使用和输出环节。

数据具有财产性,其权利属于数据生产者。对于数据提供者,其拥有的仅是涉及其人格属性的权利,而对于数据归集、整理、清洗、分析所得的数据产品之财产并无权利主张。因此,作为数据信托基础的数据财产权归属落空的情况下,英美两种模式的数据信托不具有财产信托的实质,仅是一种数据权利管理方式。这种数据管理方式也存在诸多弊端,并不能起到有效的监督作用。加拿大多伦多“人行道实验室”智慧城市数据信托的失败案例及英国开放数据研究所联合英国政府人工智能办公室和“创新英国”从2018年12月到2019年3月进行的三个数据信托试点项目所暴露出的诸多问题[48],也证明了其在法律结构上存在的重大瑕疵和实践中的现实困境。

数据信托应当进行改造,回归信托法的本源,具体就是将数据财产权作为信托客体,以数据控制者为委托人,信托公司为受托人,建立一种真正的信托法律关系。信托公司享有对数据的管理、使用、收益、处分等权利,并将收益依照信托合同的约定分配给受益人。同时,鉴于数据分析处理的专业性、数据内容的重要性和敏感性,信托公司可以将数据处理分析等事务委托第三方独立专业机构进行。数据产品交易由信托公司进行,将数据产品的“出口”(分享、传输和交易)控制在作为受托人的信托公司。由信托公司负责数据“出口”,可以严格控制数据输出的质量和安全,作为信托财产的受托方,信托公司必须尽到诚信、勤勉、严谨的管理义务,如果数据输出的产品出现侵权或者信息泄露等事件,信托公司需要承担法律责任。同时,信托公司与数据控制者不同,信托公司更关注数据利用的合法合规及财产交易安全,在数据产品委托分析和交易方面更为谨慎。

以数据产品规范输出为重点的新型数据信托,不但符合信托法要求的法律结构和基本条件,而且这种数据信托模式一方面可以利用信托机制严格把控数据出口更有效地保护个人数据权利;另一方面可以提高数据产品交易效率,提高数据分析处理的专业化程度。新型数据信托法律架构,具有规范的法理基础和广阔的应用前景。信托是一种金融工具,可以利用数据信托产品本身所具有的金融属性进行融资,发挥数据作为生产要素的巨大经济和投资价值。

[1] 2015 年 8 月 31 日,国务院印发《促进大数据发展行动纲要》,指出数据已成为国家基础性战略资源,大数据对全球生产、流通、分配、消费活动以及经济运行机制、社会生活方式和国家治理能力产生重要影响。2020 年 3 月 30 日,中共中央、国务院印发《关于构建更加完善的要素市场化配置体制机制的意见》,强调建立统一规范的数据管理制度,提高数据质量和规范性,丰富数据产品,根据数据性质完善产权性质。提升社会数据资源价值,培育数字经济新产业、新业态和新模式,支持构建农业、工业、交通、教育、安防、城市管理、公共资源交易等领域规范化数据开发利用的场景。 

[2] 翟志勇:《论数据信托:一种数据治理的新方案》,载《东方法学》2021 年第 4 期,第 62 页。

[3] 席月民:《数据信托的功能与制度建构》,载《民主与法制》2021 年第 3 期,第 54 − 55 页。

[4] 2004 年,利利安·爱德华兹发表《隐私问题:一个温和的建议》,讨论数据信托的可行性和必要性。直到 10 年后,数据信托才再次被学界重视。2014 年 3 月,耶鲁大学法学院杰克·M. 巴尔金发表《数字时代的信息受托人》,提出“信息受托人”概念;2016年,巴尔金教授发表《信息受托人与第一修正案》,强调对数据控制人施加信托义务,以调和个人隐私保护和个人数据控制者之间的矛盾。这是典型的美国数据信托模式。2015 年 4 月,夏恩·麦克唐纳发表《公民信托》,提出建立一个持有数据的受托人组织,并将数据授权给商业化盈利公司。英国数据信托模式得以确立。2016 年6月,尼尔·劳伦斯教授和西尔维·德拉克鲁瓦教授发表《数据信托可以减轻我们对隐私的担忧》,提出在数据主体和数据控制者之间引入一个第三方作为数据受托人,凭借专业知识和能力来对抗数据控制者。

[5] 尹田:《再论“无财产即无人格”》,载《法学》2005年第2 期,第 39 − 40 页。

[6] 江平主编:《民法学》,中国政法大学出版社 1999 年版,第 82 页。

[7] 吴汉东:《论财产权体系——兼论民法典中的“财产权总则”》,载《中国法学》2005 年第 2 期,第 81 页。

[8] 梅夏英:《企业数据权益原论:从财产到控制》,载《中外法学》2021 年第 5 期,第 1200 页。

[9] 申卫星:《论数据用益权》,载《中国社会科学》2020 年第 11 期,第 120 页。

[10] 高富平:《数据生产理论——数据资源权利配置的基础理论》,载《交大法学》2019 年第 4 期,第 10 − 14 页。

[11] 许可:《数据权利:范式统合与规范分殊》,载《政法论坛》2021 年第 4 期,第 92 页。

[12] 龙卫球:《再论企业数据保护的财产权化路径》,载《东方法学》2018 年第 3 期,第 52 页。

[13] 邢会强:《大数据交易背景下个人信息财产权的分配与实现机制》,载《法学评论》2019 年第 6 期,第 102 页。 

[14] 郑佳宁:《数字财产权论纲》,载《东方法学》2022 年第 2 期,第 111 页。

[15] [英]洛克:《政府论》(下篇),叶启芳、翟菊农译,商务印书馆 1964 年版,第 18 − 77 页。转引自易继明:《评财产权劳动说》,载《法学研究》2000 年第 3 期,第 96 页。

[16] 高富平:《数据生产理论——数据资源权利配置的基础理论》,载《交大法学》2019 年第 4 期,第 18 页。

[17] 梅夏英、刘明:《大数据时代下的个人信息范围界定》,载《社会治理法治前沿年刊》2013 年,第 51 页。

[18] 龙卫球:《数据新型财产权构建及其体系研究》,载《政法论坛》2017 年第 4 期,第 74 − 75 页。

[19] 高富平:《数据生产理论——数据资源权利配置的基础理论》,载《交大法学》2019 年第 4 期,第 18 页。

[20] 高志明:《个人信息权的属性与构成》,载《青海师范大学学报(哲学社会科学版)》2015 年第 4 期,第 22 − 23 页。

[21] 王利明:《论个人信息权的法律保护——以个人信息权与隐私权的界分为中心》,载《现代法学》2013 年第 4 期,第 69 页。 

[22] 高富平、尹腊梅:《数据上个人信息权益——从保护到治理的范式转变》,载《浙江社会科学》2022 年第 1 期,第 65 页。

[23] 高富平:《数据生产理论——数据资源权利配置的基础理论》,载《交大法学》2019 年第 4 期,第 18 − 19 页。

[24] 邢会强:《大数据交易背景下个人信息财产权的分配与实现机制》,载《法学评论》2019 年第 6 期,第 104 页。

[25] 凌超:《“数据信托”探析:基于数据治理与数据资产化的双重视角》,载《信息通讯技术与政策》2022 年第 2 期,第 22 页。

[26] 钟宏、袁田:《数据信托的制度价值与创新》,载《中国金融》2021 年第 19 期,第 81 页。

[27] 冯果、薛亦飒:《从“权利规范模式”走向“行为控制模式”的数据信托——数据主体权利保护机制构建的另一种思路》,载《法学评论》2020 年第 3 期,第 70 页;申卫星:《论数据用益权》,载《中国社会科学》2020 年第 10 期,第 117 页。

[28] 翟志勇:《论数据信托:一种数据治理的新方案》,载《东方法学》2021 年第 4 期,第 62 页。

[29] 冯果、薛亦飒:《从“权利规范模式”走向“行为控制模式”的数据信托——数据主体权利保护机制构建的另一种思路》,载《法学评论》2020 年第 3 期,第 75 页。

[30] 高富平:《数据生产理论——数据资源权利配置的基础理论》,载《交大法学》2019 年第 4 期,第 18 页。

[31] 翟志勇:《论数据信托:一种数据治理的新方案》,载《东方法学》2021 年第 4 期,第 63 页。

[32] 邢会强:《数据控制者的信义义务理论质疑》,载《法制与社会发展》2021 年第 4 期,第 150 页。

[33] 凌超:《“数据信托”探析:基于数据治理与数据资产化的双重视角》,载《信息通讯技术与政策》2022 年第 2 期,第 23 页。 

[34] 叶嘉敏:《个人信息收集视域下数据信托解释论研究》,载《内蒙古社会科学》2022 年第 2 期,第 98 页。

[35] 邢会强:《数据控制者的信义义务理论质疑》,载《法制与社会发展》2021 年第 4 期,第 148 页。

[36] 凌超:《“数据信托”探析:基于数据治理与数据资产化的双重视角》,载《信息通信技术与政策》2022 年第 2 期,第 24 页。

[37] 邢会强:《数据控制者的信义义务理论质疑》,载《法制与社会发展》2021 年第 4 期,第 150 页。

[38] 钱子瑜:《论数据财产权的构建》,载《法学家》2021 年第 6 期,第 78 页。

[39] 理论上,信托法律关系中法人和具有完全民事行为能力的自然人均可以作为受托人。国外数据信托的受托人大多为第三方独立专业机构。如英国的《发展英国的人工智能》报告将“数据信托支持组织”(Data Trusts Support Organisation, DTSO)作为数据信托的受托人。DTSO 可以由英国皇家学会、皇家工程学院、数据化弹射器、开放数据研究院等具有相关知识和能力,能够对数据进行有效处理和利用的具体机构担任。但在我国现行法律制度中,信托作为金融机构业务,属于特许行业,必须持牌经营。因此,在实践中,只能由信托公司作为受托人开展数据信托业务。

[40] 申卫星:《论数据用益权》,载《中国社会科学》2020 年第 11 期,第 131 页。

[41] 张梦霞:《数据信托的渊源、价值与适用》,载《当代金融研究》2021 年第 6 期,第 43 页。

[42] 张殊铭:《数据信托模式下的个人数据保护与利用》,华东政法大学 2021 年硕士学位论文,第 43 − 44 页。

[43] 赵一明:《大数据时代的个人信息保护——从合同义务到信托义务》,载《山西省政法干部管理学院学报》2020 年第 2 期,第60 页。

[44] 席月民:《数据安全:数据信托目的及其实现机制》,载《法学杂志》2021 年第 9 期,第 40 页。

[45] 曹硕、廖倡、朱扬勇:《数据要素证券化路径研究——基于 DAITS 模式的探讨》,载《证券市场导报》2021 年第 10 期,第 47 页。

[46] Thomas Hemnes, The Ownership and Exploitation of Personal Identity in the New Media Age, 12 The John Marshall Review ofIntellectual Property Law 1, 35 (2012).[47] 高富平:《个人信息保护:从个人控制到社会控制》,载《法学研究》2018 年第 3 期,第 99 − 100 页。

[48] 翟志勇:《论数据信托:一种数据治理的新方案》,载《东方法学》2021 年第 4 期,第 70 − 74 页。


注:本文首发于经贸法律评论