數據信托的功能與制度建構

席月民

當前，數據安全已成為事關國家主權、安全與發展利益的重大現實問題。習近平總書記多次強調指出，要推動大數據技術產業創新發展，構建以數據為關鍵要素的數字經濟，加快法規制度建設，切實保護國家數據安全。

我國正在制定“數據安全法”，借此機會引入數據信托（Data Trust）制度，有利于解決個人數據保護制度供給不足難題，有效應對境內外數據安全風險。

數據信托在國內外數據治理中已獲得實際應用

信托制度起源于英國，發達于美國，在我國屬于舶來品。數據信托是信托類型化研究和當代信托立法中典型的新生事物。

數據交易與一般商品交易的不同之處，在于數據控制人所獲取的數據包含大量的他人信息。這些信息大多屬于數據主體的“生命密碼”，其與數據主體的身份、隱私、情感乃至社會評價等，緊密聯系在一起。因而不同于一般商品，對數據控制人所提出的法律義務要求，會顯著高于一般合同標準。

2016年，美國耶魯大學教授杰克·巴金（Jack M. Balkin）在隱私數據保護領域，首次提出采用信托工具解釋數據主體與數據控制人之間關系的主張，該主張迅速得到學界關注并被逐漸接受。隨后，美國《2018年數據保護法》（Data Care Act of 2018）即為在線服務提供商收集和使用最終用戶數據確立了明顯的信托義務，即明確要求在線服務提供商對用戶及其相關數據承擔謹慎、忠實和保密義務。同年，美國特拉華州法院在審理埃弗里特訴州（Everett v. State）一案中，援引信托理論來保護數據主體所遭受的敏感信息侵害。

在英國，2017年《英國人工智能產業發展報告》（Growing the Artificial Intelligence Industry in the UK）宣布投資1億英鎊用于人工智能研究，并建議利用數據信托制度建立數據投資治理架構，以確保數據交換是安全和互利的。

這些年來，在國外的數據治理實踐中，已有越來越多的企業將信托制度引入其中，用于分析和論證數據控制人與數據主體的關系。例如，2018年，阿爾法貝塔公司（Alphabet）的子公司人行道實驗室（Sidewalks Labs）提議使用獨立的數據信托，來管理其在加拿大多倫多碼頭區（Quayside）智能城市項目開發中收集的數據。2019年，人行道多倫多實驗室（Sidewalk Toronto）確認把數據信托作為其智慧城市發展的一部分。另外，微軟公司(Microsoft)也已經嘗試過使用數據信托來監督對德國客戶數據的訪問，約翰霍普金斯醫療集團（John Hopkins Medicine）將自己描述為為了患者利益而運營數據信托，等等。這些情況表明，數據信托在國外近年來的數據安全治理中，已獲得相當程度的認可與實際應用。

在我國，2016年11月，中航信托發行了首單基于數據資產的信托產品，總規模為3000萬元，這對我國信托業界來說是數據信托的首創產品。在該產品設計中，委托人數據堂將自己所持有的數據資產作為信托財產設立信托，并通過信托受益權轉讓獲得現金收入，受托人中航信托委托數據服務商對特定數據資產進行運用增值并產生收益，向社會投資者進行信托利益分配。在此過程中，既完成了資金的循環，同時也完成了數據資產信托財產的一個閉環。

武漢大學教授馮果認為，相比于傳統賦權模式,信托機制以信義義務實現了數據控制人與數據主體之間權利義務的不均衡配置,通過凸顯隱私保護、降低舉證難度、提高數據泄露時公民獲得救濟的機率,保護了數字時代數據主體的脆弱性,進而發揮私法救濟的功效,間接促成信托機制在數據保護與責任規則相互作用下的一次完美嬗變。

數據信托是數據權義結構化安排的理想工具

英國開放數據研究所（Open Data Institute，簡稱ODI）近年來一直在持續研究數據信托并發表多份研究報告。該機構《2020數據信托報告》指出，其在2018年10月即采用了對數據信托的有效定義，把數據信托定義為“提供獨立數據管理權的法律結構”。該定義旨在描述一種數據管理方法，在形式上完全類似于土地信托等。

數據信托的實質是在數據主體與數據控制人之間創設出信托法律關系，數據控制人基于數據主體的信任對數據享有更大的管理運用權限，同時也承擔更嚴格的法律信義義務。在這一法律關系中，數據主體既是數據信托的委托人也是受益人，數據控制人則是數據信托的受托人。數據控制人的數據管理運用權限包括但不限于訪問控制、訪問審核以及數據的匿名化處置等重要內容，以此平衡數據主體的隱私保護與數據可交易價值之間的緊張與沖突。與此同時，數據控制人還應履行對數據主體的信義義務，這主要表現為信托法上的謹慎義務、忠實義務、保密義務等，不得損害數據主體的根本利益。相較于數據委托合同而言，數據信托的建立顯示出更多的靈活性和優越性，因而成為數據權義關系結構化安排的理想工具。

從數據信托的比較優勢看，數據信托立足于財產權的移轉與分離設計，有助于克服委托合同機制下“知情——同意”隱私保護模式的種種弊端，有效對抗數據控制人“鉆合同空子”的“機會主義”傾向，通過重置數據主體與數據控制人之間的權益結構，把數據控制人的數據權限與數據義務有效鏈接起來，促進數據的合理有效利用，進而為數據主體提供更為可靠的信息權利乃至信息安全保障。

我國數據安全立法應科學構建數據信托制度

2020年3月30日，《中共中央、國務院關于構建更加完善的要素市場化配置體制機制的意見》指出，要加快培育數據要素市場，加強數據資源整合和安全保護，制定數據隱私保護制度和安全審查制度。我國2001年頒行信托法以來，有關資金信托、房地產信托、證券投資信托、資產證券化信托、慈善信托、家族信托以及數據信托等各類信托產品創新活動一直持續不斷，這為正在制定中的“數據安全法”引入數據信托制度，提供了豐富的創新實踐經驗。

科學構建數據信托制度，需要重點解決以下法律問題：

首先，要依法明確數據信托的法定信托屬性，將信托目的緊緊鎖定為維護數據安全。

數據信托的設立必須有數據主體所意欲達到的信托目的，無論是私益目的還是公益目的，數據信托的信托目的都必須明確、具體且符合法律規定。

從實踐看，數據活動涵蓋數據的收集、存儲、加工、使用、提供、交易、公開等不同行為，對數據信托而言，其信托目的同樣需要覆蓋受托人的上述活動范圍，但其核心仍在于保護數據主體的個人信息不受非法侵犯，確保實現數據安全。

“數據安全法”需要將數據信托納入“法定信托”范疇，通過“信托”概念清晰表達數據主體與數據控制人之間的法律關系性質，這不僅可以從立法層面回避目前有關數據控制人的數據賦權與證成中的種種障礙，而且能有效保護數據主體的個人信息權。再有，法定信托可以有效避免意定信托中數據控制人所要簽署的海量信托文件，從而有利于提高數據市場交易效率和交易安全。維護數據安全是數據信托的信托目的，作為法定信托的一種類型，數據信托既不能危害國家安全和社會公共利益，也不能損害公民、組織的合法權益。

其次，要依法明確數據信托的信托財產范圍，并確保其獨立性。

按照我國信托法規定，信托財產不能確定的，信托無效。

數據信托的信托財產究竟是數據，還是數據權，抑或是個人信息權，理論界一直存在爭議。在我國當前的要素市場化改革中，數據作為一種新型生產要素，已經與土地、勞動力、資本、技術等傳統要素相提并論。數據中不但包含了大量的財富、隱私、商業秘密等重要信息，甚至還包含了國家安全、社會安全等重大信息。問題在于，數據價值并非取決于數據本身，數據控制人對數據的挖掘、整理和利用行為與數據主體對數據所享有的個人信息權之間存在著難以割舍的“天然”關系，這是因為數據本身只是信息傳播的一種媒介，因此數據價值實際體現為其所承載的信息價值，包括信息本身的使用價值以及信息流通所帶來的交換價值。

鑒于此，數據信托的信托財產并非數據本身，數據信托的信托財產其實是具有財產權屬性和權利束特點的個人信息權，依法明確數據信托的信托財產范圍及其獨立性至關重要。數據分類保護并不影響數據信托的設立和存續，信托管理的連續性和穩定性非常契合數據安全保護的嚴格要求。

其三，要依法明確數據信托中的信義義務，并切實保護信托受益權。

在信托法上，信托關系的宗旨決定了信托利益應當由受益人享有，信托文件應當載明受益人取得信托利益的形式和方法，以切實保障受益人的信托受益權。受托人對數據信托財產的實際控制和支配，是數據信托存在和功能發揮的必要前提。

“數據安全法”的核心是兼顧數據安全與數據利用，這為引入數據信托并對數據信托信義義務的設定提供了評價標準。為此，既需要考慮數據主體與數據控制人各自的具體權利，也需要依法界定各自的具體義務。其中的關鍵在于，如何依法確定數據控制人的謹慎義務、忠實義務和保密義務等信義義務，以此實現數據利用中對數據安全的有效維護。

為此，可以借鑒美國《2018年數據保護法》的相關規定，強調數據控制人有義務確保信托數據免受未經授權的非法訪問，一旦遇到涉及最終用戶敏感數據的違法行為應及時告知最終用戶；數據控制人不得以任何方式使用個人數據以及從這些數據中所獲得的新數據，包括不得為使自己受益而損害最終用戶，或者對最終用戶造成合理可預見的實質損害或財務危害以及對正常最終用戶而言構成認識上的重大意外和高度冒犯等；數據控制人不得向任何人、任何組織披露或出售個人數據，法律另有規定的除外，等等。

數據信托制度的引入，事關我國數據安全法律制度體系構建的科學化、現代化和國際化。數據信托在有效平衡數據主體與數據控制人的數據權益結構、維護數據安全、促進和保障數據市場健康發展等方面具有突出的工具性價值。我國“數據安全法”應通過數據信托制度，在新一輪信托創新實踐中，使信托的工具性價值與數據的分級分類保護形成有機聯動，依法促進數字經濟發展和數據要素的市場化改革。