APP下载

数据治理双重面向之协同路径

2023-05-30丁倍颖

海南金融 2023年4期
关键词:数据治理个人信息

丁倍颖

摘   要:大数据时代,数据要素的经济价值不断凸显,国内外已逐渐从个人信息保护转向数据的流通利用,以期促进数据价值的释放。然而,我国现行立法理念过于强调对个人信息的绝对赋权,而较忽略数据的流通价值,且实践中的事后救济效果尚不达预期,由此有必要重塑数据治理之双重理念,在确保数据安全的基础上最大限度释放数据活力,形成对个人信息有限保护与流通利用的良性闭环。在制度设计上,可参考域外数据信托实践,引入信义关系并采取中国法语境下解释进路,根据受托人的不同构建中国式数据信托模式以打破信赖赤字,平衡各方主体的利益需求并完善我国数据交易生态系统。

关键词:个人信息;数据治理;数据流转;数据信托

DOI:10.3969/j.issn.1003-9031.2023.04.005

中图分类号:D912.28            文献标识码:A     文章编号:1003-9031(2023)04-0052-13

一、引 言

随着互联网、云计算、AI等新技术的飞速发展,人类社会已经进入由海量数据构成的信息时代。在海量数据席卷的背景下,数据成为一种新型生产要素和战略性资产,受到了前所未有的关注。目前,域外正致力于推动以数据为基础的战略转型,积极布局大数据发展战略,我国近年也已将数据要素市场化配置上升至国家战略。

然而,海量数据下的各基本单元是一个个自然人主体的个人信息,其商业价值被不断凸显。在数据治理中,对数据主体个人信息权益保护与数据自由流动间如何平衡的问题,是各国热议不断的话题。从立法角度看,国内外普遍对具有人格权益的个人信息保护优位于数据财产权益。欧盟《统一数据保护条例》(General Data Protection Regulation,GDPR)专门确立了个人信息人格权的严格保护模式;我国《数据安全法》《个人信息保护法》与《网络安全法》,形成了数据合规领域的“三驾马车”,对个人信息保护采用“知情—同意”模式。近来,欧盟陆续出台《数据治理法案》(Data Governance Act, DGA),《数据法》(Law Act)提案等立法建议,试图修正GDPR潜在的制度缺陷,促进各部门和成员国间的数据分享;英国于2022年宣布《数据改革法案》(Data Reform Bill),寻求创建一种更灵活、以结果为中心的方法减轻企业的负担,以创建一个新的有利于增长和值得信赖的英国数据保护框架,数据的经济价值被愈发受到重视。

从司法实践来看,数据主体存在怠于行权或行权中由于举证责任较高导致其难以实现私力救济的现状,故即使立法上欲强调对于个人数据的保护,但实际并未达到预期救济效果,同时绝对赋权方式反而限制数据要素的资源化利用,不利于商业化数据活动开展与数据活力的释放。数据经济的本质结构应为数据经营者以数据资产化追求为中心,围绕数据收集、利用、开发甚至经营展开活动,由此而形成复杂且动态的数据活动和利益关系,故在当前数字经济背景下,我国现行对个人信息绝对赋权的理念亟待转变,除强调个人信息的私人利益属性外,还应看到社会公共利益属性。在数据治理中,应注重双重面向的协同运行,不仅应保证个人信息权益不外泄,还应确保数据的有序流通利用,盘活数据资产,释放数字红利。因现行赋权保护模式不足,学界尝试引入各种理论以探寻最优的个人数据治理路径,但鲜少有从协同数据安全与数据流通的双角度进行探讨,虽有学者尝试引入信托机制,通过对数据控制者施加信义义务以实现数据控制者与数据主体间权利义务的不均衡配置,但大多仅关注到个人信息安全的维度,而未充分注意数据流通利用的价值。

本文从现行法和司法实践出发,反思我国法律架构的不足,重塑数据治理双重理念以打破信赖赤字,促进数据流转交易。在制度设计上,为平衡个人权益保护与数据要素的流通交易,激励数据主体“出售”数据的意愿,将引入两种典型的域外数据信托模式,并在此基础上结合我国现有法律语境,试图构建可行的中国式数据信托运行逻辑,力图在确保数据安全的前提下最大限度发挥数据的流通价值,充分释放具有公共属性或商业属性的数据活力,实现对个人数据有限保护与商业化利用的良性闭环。

二、对我国数字经济有关法律的反思与重塑

(一)对现行法律架构的反思

1.立法理念上:对数据流通价值重视不足

目前,世界各国都将个人信息保护视为一项基本人权,对个人信息权益的保护采取了不同立法模式,如以美国为代表的分散立法保护模式和以欧盟为代表的统一立法保护模式。2012年,我国开始移植域外的个人信息保护制度,并于2021年初步建立了数据要素市场的基础法律框架。《数据安全法》《个人信息保护法》与《网络安全法》形成我国数据合规的“三驾马车”。鉴于《个人信息保护法》的规范思路与大体内容多移植于欧盟的GDPR,因此有必要先厘清该法的设计理念与基本定位。

GDPR被誉为“史上最严个人数据保护条例”,其从公民基本权利与自由出发,确立了严格的监督管理标准,是一部公民基本权利保护法,也是一部欧洲市场统一法。欧盟致力于建立“数据单一市场”,欲统一数据保护水平,强化个人信息保护权,促进个人信息在欧盟境内的自由流通,所以GDPR在本质上是一部地地道道的以经济为目的的法。然而GDPR的制度设计背离初衷,忽略了个人信息流通利用的目的。學者高富平(2022)指出,该法第六条以“合法利益”作为合法基础,看似给予数据控制者自主使用数据的权利,但实则宽泛了合法性基础,效果相当有限。同时,即使订立或履行合同可作为合法基础,但鉴于数据再利用或于初始目的外使用的最安全方式仍为设置同意,故最终仍导致同意泛化。此外,在GDPR框架下,数据控制者仅享有在特定目的范围内使用个人信息的权利,且个人可以随时撤回同意,行使删除、拒绝等权利,故对个人信息的利用仍受制于数据主体的个人意志,数据的流通利用仍十分有限。

由此观之,GDPR在设计理念上对个人信息权益的保护并非绝对赋权模式,欧盟委员会意识到此制度缺陷后,便着手制定促进数据流通利用的制度以试图弥补GDPR存在的制度缺陷。2022年,欧洲议会就欧盟DGA进行投票表决并最终获得议会批准,该法案旨在促进整个欧盟内部和跨部门之间的数据共享,增强公民和公司对其数据的控制和信任,并为主要技术平台的数据处理实践提供一种新的欧洲模式。通过立法,欧盟将建立关于数据市场中立性的新规则,促进公共数据的再利用,并在战略领域创建共同的欧洲数据空间。

我国《个人信息保护法》主要采用“知情—同意”模式,强调私人利益属性,赋予数据主体对个人信息使用的控制权,并将数据流通利用中的再使用权也配置给了个人,虽允许通过用户协议及其他管理规范进行适当变通,整体思路上与GDPR的规范模式大同小异,同样未避免GDPR掣肘数字经济的潜在缺陷,无法适应当前数据利益关系调整的复杂需求。考虑到现在域外立法已转变数据治理的理念,愈发强调数据分享与流通利用价值,且单纯的个人信息人格权规范模式已捉襟见肘,即使进行了种种变通,也仍然无法消除牵强性与不适应性。故我国在解释适用《个人信息保护法》时应尽量避免落入GDPR单向保护维度的制度缺陷,转为强调协同发展数据治理的双重面向。

综上,发挥数据流通交换价值是现今数据时代发展经济和提升政府治理能力的必经之路,现行的赋权保护模式过于强调绝对赋权,对个人信息所具有的公共属性认识不足,将妨碍个人信息的充分利用,影响数据要素价值的释放。在制度理念上,应尽力实现个人信息保护与数据开发利用的二元价值平衡,协同数据治理的双重面向。

2.司法实践中:事后救济效果不佳

实践中涉及数据主体个人信息权益被侵害的案件个数不多,且败诉案件的理由多为数据主体无法提供充分证据证明数据控制者存在故意泄露其个人信息的行为。在现行个人权利保护路径下,数据主体行权意愿不高,即便行权,数据主体也很难证明数据控制者明显违背“知情—同意”原则收集使用证据,私力救济较难实现。尽管2021年正式实施的《个人信息保护法》第69条①明确了个人信息侵权采取过错推定的归责原则,数据主体也仍需证明存在违法行为与损害事实,并且目前司法实践中仅有两例适用了该条文,由此可推知个人信息权益保护纠纷之司法适用仍存在较多困境①。法律规范行为主要有事前和事后两种机制,前者是预防型的,后者是反应型的。现代社会则越来越倾向于预防型规制,对于个人数据的保护,亦应侧重于事前预防而非事后救济。我国规定的“知情—同意”模式虽表面上看似要求数据控制者与数据主体事先进行协商与授权,但实际效果来看用户处于“拒绝即无法使用相关服务”的尴尬境地,故在合同成立阶段,数据控制者可能并未真正“告知”,数据主体也并未真正“同意”,真正的“平等自愿”难以实现,事前预防效果自然不达预期。在真正产生纠纷时,数据主体也面临举证责任等适用难题,故事后救济效果也差强人意。

归根结底,现行的赋权模式过于笼统与原则,立法上未充分考虑到公民行权的难度,无法通过数据主体行权实现规制数据控制人行为的制度效果,对于那些愿意花费较高成本,积极进行数据合规管理的数据控制者而言,也不能安心收集、处置数据,释放数据的红利价值。

(二)重塑数据治理理念:安全性与流通性的兼顾

信息本身具有中立性。需明確的是,我们并不禁止数据控制者使用个人信息,而是禁止其不当使用或滥用个人信息的行为,故现行立法上对个人信息的使用基本由个人决定的这一理念并不妥当。大数据的发展不仅是技术的变革,也是思维方式和治理模式的变革。我国在数据治理中应兼顾数据安全与数据流通的双重面向,协调个人权益保护与数据交易流通之间的关系,转向双维度数据治理框架,平衡数据主体、数据控制者、国家等不同主体的利益需求以实现良性互动。

随着数据对经济发展的巨大价值作用不断凸显,国内外或多或少开始转变数据治理的单向度思维。2021年,中国知识产权发展状况新闻发布会上介绍国家知识产权局已成立工作专班,形成了充分尊重数据处理者创造性劳动和资本投入、承认和保护数据处理者的合理收益等原则性思路。据介绍,目前国家知识产权局在浙江、上海、深圳等地开展数据知识产权保护试点,力争在立法、存证登记等方面取得可复制可推广的经验做法。立法方面,2022年5月,北京市经济和信息化局起草了《北京市数字经济促进条例(征求意见稿)》,以推动数据要素的流通利用,鼓励单位和个人通过市场化方式依法开放非公共数据,促进数据融合创新。2022年4月欧洲议会通过了欧盟DGA;5月七国集团(Group of Seven,G7)的数字部长签署发布部长宣言,通过了《促进可信数据自由流动计划》(Data Free Flow with Trust, DFFT),共同承诺促进数据自由流动和信任,监督和促进数字市场的竞争。由此可见,国内外都已逐渐意识到数据流通将带来的巨大价值,并愈发关注到个人数据所带有的公共利益属性。

简言之,欲真正协同数据治理的双重面向,平衡数据安全与数据流通的双价值理念,亟待解决的核心问题就是确保个人信息安全,建立信赖关系,打破信赖赤字,激发数据主体分享数据的意愿。正如DGA的主要制定人之一Dr.Malte Beyer-Katzenberger所言:“长期阻碍着数据共享或者重复利用的,从来都不是人们共享意愿的缺位,而是由于没有制度或机制在保护个人信息安全、消弭商业合作不信任、保障知识产权的前提下,真正能够实现数据的重复利用与共享”①。

由此有必要思索是否有一种可行的制度架构能确保在个人信息安全的基础上充分使数据控制者处理所获数据并进行增值利用;同时,在数据的流通过程中又能充分激励数据主体“分享”个人信息并形成信赖关系。“数据信托”制度或可完成数据治理的双重面向,有效解决数据主体与数据控制者间不平衡的权利义务关系,建立信赖基础。数据信托将给予数据主体一种选择权,不仅可满足不同用户的隐私需要,使得公民对其个人数据的不同“定价”得到实现,而且可使对数据市场的规制由事后变为事前,最大限度预防损害公民个人数据现象的发生,并充分发挥数据的流通价值。

三、数据信托:协同数据治理之双重面向

(一)信义关系的引入

2021年2月,《麻省理工科技评论》发布了“全球十大突破性技术”榜单,“数据信托”位列其中,并指出该技术在未来2~3年将逐步成熟。数据信托提供了一种替代方法,为隐私与安全方面的长期问题提供潜在解决方案,帮助发挥数据的最大价值。信托是指委托人基于对受托人的信任,将其财产权委托给受托人,由受托人按委托人的意愿以自己的名义,为受益人的利益或特定目的,进行管理或处分的行为。数据信托是指在数据主体与数据控制人之间创设出信托法律关系,数据控制人基于数据主体的信任对数据享有更大的管理运用权限,同时也需承担更严格的法律义务。该制度有利于解决数据领域中的“信任赤字”,打破数据主体与数据控制者之间不平衡的权利关系。

“数据信托”这一概念最先在英国和美国提出,随后在世界范围内广泛传播,发展出两种不同的数据信托构想。英国式数据信托的核心思路是自下而上地建立一个全新的第三方机构进行数据管理。2015年,肖恩·麦克唐纳(Sean McDonald)和基思·波卡罗(Keith Porcaro)构想出公民信托的私人组织,主张由受托人保护受益人的数据资产利益;2016 年,尼尔·劳伦斯(Neil Lawrence)提出数据信托是一个代表其成员管理数据的共同组织,并规定了数据共享条件和信托组织的注意义务;2017年,英国政府在《英国人工智能产业发展报告》中明确提出,应发展数据信托支持组织以定义数据的交易与共享;2019 年,英国开放数据研究所(Open Data Instititute,ODI)提出数据信托的定义为“提供独立数据管理的法律结构”,并在城市数据共享等三个领域展开试点。美国式数据信托则以巴尔金(Jack M.Balkin)“信息受托人”理论为核心,主张由数据控制人作为受托人进行管理,而非寻求独立第三方。2018年,美国《数据保护法》(Data Protection Act)便体现了巴尔金的理论,明确在线服务提供商应在收集、使用最终用户数据时承担注意、忠诚、保密义务。但也有批判者认为“信息受托人”理论并不能解决信息不对称和滥用问题,提出数据控制者对数据主体的受托义务与对股东的忠实勤勉义务天然存在利益冲突,故数据控制者的双重受托人身份是内在紧张的。

信赖关系是信义义务的基础,也是以数据为核心的互联网运营模式中必不可少的构成要件。目前在我国大社会环境下,个人信息泄露与滥用事件频发,信息茧房、定向广告投放现象导致一次次削弱数据主体对数据控制者的信任感。在缺乏信任感,甚至可能出现信任危机的境况下,数据要素市场的发展必将大为受阻,由此有必要引入信义制度进行补足,强化数据流通利用中的信义义务关系,激发数据主体“交换”“分享”数据的意愿,实现基于个人信息保护的数据流通交易并促进公共数据的再利用。我国“信息信义义务”的理念由吴泓最先引入,其主张个人信息保护法应构建一个在“信赖”理念指引下的信义义务制度,作为对现有制度的补充。后续也有一些学者明确提出对数据控制者施加信义义务,要求自动驾驶汽车制造商及其他商业场景中的数据控制者以数据受托人身份管理占有的个人信息,强化数据受托职责以弥补数据主体在隐私管理中的能力不足。

(二)域外数据信托實践研究

如前所述,英国式和美国式的数据信托方案中,在受托人的选择上有所不同。英国采用引入独立第三方作为数据信托受托人,美国则将受托人的信义义务赋予数据控制者。英国ODI在数据信托领域进行了多次试点,在报告中指出,数据信托可以被运用于诸多场景中,如市区可以利用数据信托决定如何使用和分享由建筑环境中的传感器收集的数据,使市民更方便浏览城市;企业则可利用数据信托满足消费者对共享和使用数据进行更多参与性决策的需求,或双方为一个共同的目标进行合作;非政府组织(Non-Governmental Organization,NGO)则可利用学界和商界创建的数据解决实际问题以更好地推动数据共享。ODI目前已在不同领域试点多个应用项目,包括与野生实验室科技中心(WILDLABS Tech Hub)合作,探索数据信托是否可用来协助共享图像数据以训练识别算法,帮助边境管制人员识别非法动物和动物产品,打击非法野生动物贸易;还与大伦敦地区管理局(The Greater London Authority,GLA)、格林威治皇家自治市(The Royal Borough of Greenwich,RBG)共同探索数据信托在城市和专项行动中的应用,包括为电动汽车识别实时停车位、检测和控制公共供暖系统运行等,帮助城市以更智能的方式运作。今年,ODI还将与大都会警察局(The Met)合作制定开放数据战略,旨在帮助其了解人们希望更轻松地访问数据和信息的规模和类型。该项目同时会和大都会博物馆合作,帮助他们了解和应对开放方面的挑战。可见英国试点项目中,运用数据信托的主要目的是希望促进数据共享,提升社会效益,满足城市发展需要。但RBG和GLA也认为,似乎需要对数据进行一些收费,以便为数据信托的持续管理和运行提供收入,并使向数据信托授权的数据提供者获得一些经济回报。美国数字信托实践大多在小范围内试行,谷歌的人行道实验室(Sidewalk Labs)欲使用“公民数据信托”来应对开发“智能城市”进程中对数据隐私的担忧,但最终因难以承受的巨额投入和社会公众的抗议而终止;一些美国互联网公司亦积极尝试应用数据信托模式管理用户数据。

就第三方数据信托理论,日本于2017年开始探索“信息银行”。与传统银行实施存贷款来融通资金一样,“信息银行”通过保存个人或公司所持有的数据,经其同意后提供给需求方,从而获得数据需求方的佣金,以此维持日常运营并支付给个人或公司作为对价。就该模式,近来我国一些企业也已着手创建类似平台,基于用户授权机制提供数据资产管理服务,为个人、家庭建立分布式账本,帮助用户搜集、存储、使用数据,提供模型、算法;根据个人需要智能购买商品和服务,实现用户数据资产价值最大化①。

域外数据信托理论与实践,对我国数据信托生态系统的构建具有重大借鉴意义。我国数据信托的构建可分两种情况进行讨论。第一种即数据主体需要使用数据控制者提供的网络服务而“被动”提供数据的情况下,通常会在使用前签署“用户协议”,在使用中产生用户使用习惯等其他衍生数据。该情况下,可直接对数据控制者施加信义义务,使其作为受托人忠实勤勉地管理用户数据,保证在不泄露个人隐私的情况下使用所获数据,一旦隐私泄露产生争议,由数据控制者承担举证责任。一是可节省双方成本,达到个人信息保护的目的;二是能赋予数据控制者利用用户在使用过程中所产生“衍生数据”或“伴生数据”的权利,充分释放数据价值。数据主体虽提供了个人信息,但也无偿使用了控制者所提供的网络服务,故没有资金往来的需要。第二种情况则需引入具有专业数据管理能力的第三方数据信托机构,以激励数据主体“主动”提供个人信息来交换价值。独立第三方机构可确保双方建立信赖关系,并更好运营数据要素,该模式下会产生双层信托关系,并进行资金流转以实现数据治理双重面向的协同。

四、中国法律语境下数据信托构建及规范路径

(一)数据信托引入我国法律环境的前置问题探讨

数据信托制度下,数据主体仅需与数据控制者达成保障个人信息安全的总括性合意即可,规避了现行“知情—同意”模式下数据主体需花费大量时间阅览冗长的格式条款并逐项表示同意的弊端,数据主体不会因知情缺陷而陷入非理性决策,采用数据信托模式能更好保障当事人的意思自治。此外,数据信托有助于解决举证难问题。信托机制天然包含举证责任倒置,我国《全国法院民商事审判工作会议纪要》(简称《九民纪要》)第94条明确过错举证责任倒置规则,规定在资产管理损害赔偿案件中由受托人举证证明自己尽到资管义务②。在个人数据信托中同样可适用该规则,要求具有专业能力的受托人对信托财产的交易公正性负举证责任,以降低实践中数据主体的举证不能和举证不足问题。

以上是从数据信托有助于强化个人信息保护为切入的制度优势,我们同样也应看到数据信托在促进数据资产流转,并激励数据主体“出卖”其数据方面的积极作用。鉴于现实中人们对隐私保护的态度不一,且在能确保数据安全的情况下,那些愿意拿信息换取资金的数据主体将产生较大的交换意愿,较为重视自身隐私的数据主体则可以选择少交换或者不交换,总之通过数据信托制度,各数据主体可根据自身意愿将个人信息进行不同程度的分享,促使数据要素发挥最大价值,某种程度上可实现互利共赢。

2016年11月,中航信托在我国发行了首例数据信托产品,委托人数据堂的数据资产作为信托财产,受托人中航信托委托数据服务商对特定数据资产进行运用增值并产生收益,向社会投资者进行信托利益分配。在该例中,委托人数据堂的数据资产权属清晰,类似数据资产在传统信托制度上的应用,一定程度体现了数据要素的流通利用价值。“主动式”个人数据信托,是由一个个独立的数据主体将个人信息“委托”给受托人管理的模式,这些单独的个人信息本身其实并无财产性价值,仅当受托人在集合有诸多主体信息的数据池中,运用大数据技术对数据进行分析与处理后所形成的数据产品方可产生经济收益。由此,需要通过资金的流动来激励数据主体提供个人信息,并吸引社会资金投入以更好运营数据信托。

数据信托制度在我国法律语境下构建前尚需探讨并明确两个前置问题。一是产权界定。数据信托的第一环节便是委托人将自己所拥有的财产或权利委托给受托人,由此必然无法绕开数据是否可以作为信托财产的疑惑。二是构建中国式数据信托,在ODI《数据的信托:法律和治理思考》中探讨了五种可能采用的数据信托模式及相应的法律架构,包括传统法律信托模式;合同架构模式;公司模式;团体利益公司模式;公共模式。报告分析了各模式的优劣,并最终认为数据信托没有统一范式,每个数据信托都应有自己的、单独设计的、最能平衡利益相关方的法律架构,报告优先推荐合同模式与辅之以合同模式的公司模式。本文认为我国数据信托制度可以直接适用《中华人民共和国信托法》(以下简称《信托法》),下面对上述两个问题进行阐述。

1.产权界定

明确数据权属是利用与交易数据的前提。在数据信托环节,信托财产必须具有确定性,且必须是委托人合法所有的财产或财产权利。数据本身并无财产性,只有经过组织、挖掘、利用等行为数据才具有价值,故数据信托的信托标的应确定为数据财产权,即具有财产权属性的个人数据权利。如萨利所言,数据因为其所蕴含的价值而被法律赋予权利,这种权利使其和其他财产在法律上平起平坐,受到法律保护。

我国现行法上尚未对数据要素的权属进行明确界定。本文认为应对数据进行分类分级,将數据类型划为三类,即原始数据、衍生数据与创生数据。若根据数据的人身依附性与劳动投入程度进行划分,存在争议的仅是处于中间状态的衍生数据。原始数据由个人提供,必然属于数据主体本身;创生数据则是平台企业进行深度加工处理,进行“去个人化”脱敏过程后所形成的新数据资产,平台投入巨大人力与资本,且无法识别到特定个人,故该类数据应属于平台企业自身。对于衍生数据,平台企业未进行过深度加工,且有一定的人身依附性,量化该类数据双方的投入程度较为困难,因此可以实行数据共有制度,由此产生的数据财产权益由数据控制者和数据主体所共享。如马尔吉里分类中的“中级关系信息”,是个人与数据企业的“共享准财产权”。由此在面对使用数据控制者而“被动”提供个人信息的情况下,数据主体可以将个人原始信息及使用过程中产生的衍生数据携带至其他第三方数据信托机构进行信托,我国《个人信息保护法》第45条①也首次规定了数据携带权。同时,数据控制者也享有在确保不泄露个人信息的情况下使用数据的权利,如此便可实现数据安全与数据流通的平衡。

2.《信托法》下中国式数据信托的解释进路

在我国法上,谈及数据信托这一概念必然会使我们首先联想到现行《信托法》制度。在探讨传统法律信托模式的缺陷时,ODI报告指出英国现行法上并不将数据视为传统信托法上的财产,且传统信托应有明确的受益人,而数据信托可能为公共利益而设立,故而并没有具体受益人。但在我国法上,数据信托制度不会遇到类似障碍。如前所述,我国法上的信托财产包括财产权利,故数据财产权可成为信托标的。此外,《信托法》第六章规定了公益信托情形,在《信托法》第11条第5项信托无效情形下,所用术语为“受益人或者受益人范围不能确定”,由此可解释出受益人仅需明确到一个范围即可,而非必须明确到具体的某一个受益人。故从解释论角度而言,我国数据信托的构建在现行《信托法》下亦有适用空间。

信托财产。《信托法》第14条第1款、第2款①规定了信托财产的范围,包括受托人因承诺信托而取得的财产以及因信托财产的管理运用、处分或者其他情形而取得的财产。由此产生疑问,数据控制者在对收集的个人信息进行深度处理与加工后的数据产品是否属于数据信托?本文认为数据信托财产范围应仅包括初始的个人数据而不包括处理后形成的数据。数据主体信托数据的目的是希望确保个人信息安全,并能在此基础上获得部分收益,其并非有获取处理后数据的想法。以往信托财产的再度取得是通过管理或处分行为而实现,但在数据信托中,数据控制者所处分的是由众多数据主体提供的信息合集,在集合到一定程度的基础上进行处理与挖掘所形成的新数据产品,故处理后的数据并非在每个数据主体信托财产的管理和处分中所取得。此外,学者叶嘉敏(2022)指出,数据控制者在处理数据前须进行复制,如此便可实现原始数据与处理后数据的隔离。

信托收益。有学者认为,鉴于信托财产仅包括数据控制者收集的初始个人数据,因此在个人数据信托中,信托产生的收益应仅限于作为信托财产的个人信息的信息安全,并不包含处理后形成的数据。虽然信托财产范围不包括处理后形成的数据,但处理后的数据集合是以许多的个人信息为基础单元形成的,信托收益中应给予各数据主体部分收益,这样方能激励各数据主体积极“出卖”数据,使得数据控制者获得更多元化的数据以促进数据的流通利用。而信息安全义务应是作为受托人的数据控制者所应尽到的信义义务而非作为信托收益看待。

受托人的信义义务。《信托法》第26条第1款规定受托人不得利用信托财产为自己谋取利益。根据前述对信托财产范围的了解,该条款也应解读为数据控制者不得利用收集的个人数据为己谋利,但可利用处理后的数据为己谋利。在处理后的数据管理层面,数据控制者可兼顾个人信息安全保障的信托目的与自身的利益诉求,且若禁止其利用处理后的数据进行谋利,则数据控制者设立数据信托的动机将大为下降。我国《信托法》第29条规定了“将不同委托人的信托财产分别管理、分别记账”的要求,同样基于数据信托财产应仅包括收集的初始个人数据的考量,在我国法上并不会产生冲突。

(二)中国式数据信托的构建路径

在明确前述两个前置问题后,就可开始构建我国的数据信托模式。根据受托人的选择不同,可分为由平台企业作为受托人的“被动式”数据信托,以及由独立第三方数据信托机构作为受托人的“主动式”数据信托。

1.“被动式”数据信托

“被动式”数据信托是由作为数据控制者的平台提供免费服务以交换数据主体个人信息的模式,该情形下直接赋予平台企业信义义务,使其承担保障个人信息安全的概括性义务,数据主体即可避免现行“知情—同意”模式下需逐一对合同条款内容表示同意的弊端,在更高效的同时也能确保更为周延的信息安全保障义务。一旦产生纠纷,平台企业需举证证明自身已尽到忠实勤勉义务,并未泄露数据主体的信息,此种过错举证责任倒置的规则将更利于数据主体维权以获得救济。此外,数据主体在使用服务过程中产生的衍生数据,将由双方共享,意味着数据主体可以将该部分数据再信托给其他第三方数据信托机构,而作为数据控制者的平台企业自身也可利用此类衍生数据进行深度挖掘和处理,但仍需确保数据主体的信息安全。

2.“主动式”数据信托

该模式下,委托人同样也是受益人,可以是作为数据主体的自然人,也可以是法人。就受托人而言,有观点认为信托产品的设立与运行必须经由信托公司处理,但由于信托公司不能满足对数据结构化处理的专业需求,故需由专门的数据公司协助,即信托公司和数据运营商同为受托人。数据交易生态的不断发展,未来必将出现数据经纪、合规审核、数据交付等一系列“数商体系”,由此或可期待未来第三方数据信托机构的建立,即将信托公司与数据运营商的职能合二为一,从而使数据信托更为高效。

此外,“主动式”数据信托离不开数据主体的“分享”意愿程度,为更大程度激励各数据主体将其个人信息进行信托,在制度设计中应给予其一定的收益,由此便可基于不同数据主体“出售”信息的意愿,获取不同程度的个体数据以充分实现数据的流通利用,释放数据要素价值。数据信托的信托财产范围虽仅限于原始提供的个人信息,但当受托人集合诸多個人信息到一定程度时,即可对该数据池进行深度分析处理,打造成具有经济价值的数据资产并提供给数据需求方进行访问以获取收益,此时作为组成单元的个体信息便可从中获取该新产品一定的单位收益。同时,鉴于单独的个人信息本身并无经济价值,分析处理后形成的数据产品才具有经济收益,故该信托模式下还可学习我国首例数据信托产品的经验,通过吸纳社会公众投资者的资金以维持数据信托的日常运营。如此,数据信托中便还包括一个含社会力量的传统信托产品,从而形成双重信托关系。

该模式路径下,各数据主体最终将获取两部分收益,即来自社会资金的部分收益以及新数据产品的单位收益;社会投资者则将获得相应的信托收益;第三方数据信托机构除可获取管理数据的相应报酬外,还将获得经过处理后的新数据产品所有权,最终可以实现数据治理的双重面向,在确保数据安全的前提下实现数据的最大化流通利用效果,释放数据要素价值,形成良性闭环。

就数据信托产品中的数据类型而言,主要可分为两类:一是具有公共性质的数据,可用于城市建设与社会公共服务,造福市民与社会;二是具有商业性质的数据,常用于金融行业与电商行业。在面对具有公共性质数据的信托时,为进一步推动此类数据的有序开放、共享与再利用,保障面向创新者的数据供给,对数据需求方应豁免或仅收取最小额度的数据使用费。如在新药研发领域,大数据、人工智能与生物医药的融合创新需运用大量临床科学数据,通过数据信托模式,共享利用数据可以大为缩短研发周期、降低研发成本,并完善人工智能的模型构建,训练精确算法以提高研发成功率。在公共数据信托领域,英国已在多个领域开展试点,我国就该领域的信托试点或也可分行业分领域进行,医药研发即可成为首个试点领域。

五、結语

在如今“数据即资产”的数字经济背景下,我们应协同发展数据治理的双重面向,在强调保障个人信息的同时,也不应忽略数据在流通利用中所能产生的巨大经济红利。需明确的是,我们并不禁止利用个人信息,而是禁止滥用个人信息、泄露他人隐私的行为。个人信息除去私人属性外,还具备公共利益属性。从商业视角看,数据是重要的生产要素,在流通交易中潜力巨大。在立法层面,今后应积极回应科技元素对社会发展的重塑作用,树立数据安全与数据流通的双重理念,对个人数据权益让渡持更加开放的态度。为促进我国数字经济蓬勃发展,实现数据安全与流通的良性闭环,构建中国式数据信托模式,有利于打破现存“信赖赤字”问题,平衡数据主体与数据控制者间不平衡的权利义务关系,完善数据交易生态系统,保障市场的充足数据供给以推动社会高效运转。

(责任编辑:张恩娟)

参考文献:

[1]Kang,Jerry.Information privacy in cyberspace transactions[J].Stanford Law Review,1998.

[2]Calabresi G,Melamed A D.Property Rules,Liability Rules,and Inalienability;One View of the Cathedral[M].Oxford,England:Blackwell Publishing Ltd,2007.

[3]Lessig L.Code - version 2.0.[M].New York:Basic Books,Inc.2006.

[4]Neil Lawrence.Data trusts could allay our privacy fears[EB/OL].[2021-12-23].https://www.theguardian.com/media-network/2016/jun/03/data-trusts-privacy-fears-feudalism-democracy.

[5]MIT.10 Breakthrough Technologies 2021[EB/OL].[2021-02-24].https://www.technologyreview.com/2021/02/24/1014369/10-breakthrough-technologies-2021.

[6]Sean McDonald,Keith Porcaro.The Civic Trust[EB/OL].[2021-12-25].https://medium.com/@digitalpublic/the-civic-trust-e674f9aeab43.

[7]Open Data Institute.Data trusts:legal and governance considerations[EB/OL].[2021-12-23].http://theodi.org/wp-content/uploads/2019/04/General-legal-report-on-data-trust.pdf.

[8]Jack M.Balkin.Information Fiduciaries and the first amendment[J].U. C. Davis L. Rev,2016,49,1205-1209.

[9]Lina M Khan,David E Pozen.A Skeptical View of Information Fiduciaries[J].Harvard Law Review,2019,133,502-507.

[10]ODI.Data Trusts summary report[EB/OL].[2022-04-26].http://theodi.org/wp-content/uploads/2019/04/ODI-Data-Trusts-A4-Report-web-version.pdf.

[11]ODI.Illegal wildlife trade pilot;What happened when we applied a data trust[EB/OL].[2019-04-15].https://theodi.org/article/data-trusts-wildlife/.

[12]ODI.Metropolitan Police Open Data Strategy[EB/OL].[2022-04-26].https://theodi.org/article/metr-opolitan-police-open-data-strategy/.

[13]Data ownership.rights and controls:Reaching a commonunderstanding[EB/OL].[2018-10-03]https://royalsociety.org/-/media/policy/projects/data-governance/data-ownership-rights-and-controls-Octorbe-2018-pdf.

[14]Gianclaudio Malgieri.Property and Intellectual Ownership of consumers Information:A New Taxonomy for Personal Data[EB/OL].[2017-02-16].https://papers.ssrn.com.

[15]高富平.GDPR的制度缺陷及其对我国《个人信息保护法》实施的警示[J].法治研究,2022(3):17-30.

[16]龙卫球.数据新型财产权构建及其体系研究[J]. 政法论坛,2017,35(4):63-7.

[17]高志宏.隐私、个人信息、数据三元分治的法理逻辑与优化路径[J].法制与社会发展,2022,28(2):207-224.

[18]吴泓.信赖理念下的个人信息使用与保护[J].华东政法大学学报,2018,21(1):22-36.

[19]解正山.数据驱动时代的数据隐私保护——从个人控制到数据控制者信义义务[J].法商研究,2020,37(2):71-84.

[20]冉从敬,唐心宇,何梦婷.数据信托:个人数据交易与管理新机制[J].图书馆论坛,2022,42(3):56-68.

[21]叶嘉敏.个人信息收集视域下数据信托解释论研究[J].内蒙古社会科学,2022,43(2):94-103.

[22]国家知识产权局.国家知识产权局已开展数据知识产权保护试点[EB/OL].[2022-04-25].https://www.cnipa.gov.cn/art/2022/4/25/art_55_175294.html.

[23]吴丹君律师团队.从首例数据合规不起诉案看数据合规价值及落实路径[EB/OL].[2022-05-19].https://mp.weixin.qq.com/s/7ksC6328d1-DONDVCNzwAg.

猜你喜欢

数据治理个人信息
如何保护劳动者的个人信息?
个人信息保护进入“法时代”
主题语境九:个人信息(1)
警惕个人信息泄露
大数据治理模型与治理成熟度评估研究
大数据时代城市治理:数据异化与数据治理
个人信息保护等6项通信行业标准征求意见
工信部:我国将出台保护个人信息行业标准