數據信托模式下受托人信義義務之規范

李 智，姚甜甜

(上海大學 法學院，上海 200444)

數據信托與mRNA疫苗、GPT-3、TikTok推薦算法等九項技術一起入選2021年“全球十大突破性技術”。數據信托目前有兩種不同的方案：一種是要求數據處理者承擔嚴格受托人義務的美國“信息受托人”方案，目前還未進行試點；另一種是建立獨立第三方機構提供數據信托服務的英國“數據信托”方案，2018年12月到2019年3月，英國數據研究機構——開放數據研究所聯合英國政府人工智能辦公室和“創新英國”進行了三個數據信托試點。

無論是歐盟的《通用數據保護條例》(General Data Protection Regulation,以下簡稱“GDPR”)，還是《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)，都試圖制造一種“從上而下”的監管模式，對個人信息處理者或數據控制者苛以嚴格的義務，希望其能保護個人的個人信息權利及數據權利。然而在這種法律關系中，個人與數據處理者完全處于不對等的地位，立法希望個人積極行使法律賦予的各種權利，但是面對擁有強大技術與法律團隊支撐的信息處理者，“人們越來越擔心，根據不斷發展的技術和數據實踐，這種模型無法為個人提供對其數據的有意義的控制”。這本質上是由于個人缺乏對個人信息處理者的信任，而這種信任缺位與能力缺乏問題，在現有法律保護體制下是難以解決的。數據信托目的在數據主體與數據處理者之間引入獨立的第三方主體，該主體具有專業能力，能夠管理、維護匯集的數據主體的權利。該主體的加入使得數據處理者與數據主體之間不平衡的權利關系達到一種新的平衡，以促進個人數據財產利益之實現，充分實現個人數據要素分享之社會價值。

工信部《“十四五”大數據產業發展規劃》提出大數據交易市場發展規劃，鼓勵多種大數據交易平臺建設探索。在國外如火如荼開展數據信托試點的同時，數據信托中國方案也積極開展探索。中國版數據信托方案在2021年8月發布，該方案由清華x-lab數權經濟實驗室與北京互聯網法院、中航信托等主體聯合設計，將在數字版權、“雙碳”綠色能源、醫療醫保、船舶國際航運四個行業進行數據信托試點和立項。

一、發展與憂慮：數據信托對傳統信義義務的沖擊

現在，各國都在積極開展數據信托探索與實踐，其內涵與外延在不斷豐富與完善。從我國的研究實踐來看，數據信托為“將數據的全部或部分權利與權益作為信托財產，以信托法律關系約束當事人之間權利和義務的制度安排”。之所以數據信托未能形成統一的法律模式，是因為數據信托在數據權屬與信托理論上的一些問題尚未解決。

(一)獨立性要求：數據權利能否成為信托財產

作為信托標的，需要具有獨立性與確定性兩個特征：確定性包括信托財產的確定性與受益人收益的確定性；獨立性要求信托財產與委托人的非信托財產、受托人的自有財產相區分。這決定了數據權利能否成為信托財產。

1.數據權利屬性界定不明

需要說明的是，數據主體信托的并不是數據本身，而是數據權利，因此要將數據納入信托機制，首先需要承認數據的“財產性”。美國并沒有像歐盟那樣，采用“個人數據保護權”的方式將個人數據賦權，而是采用實用主義處理問題的方式，著眼于“市場話語”，用侵權法或財產規則保護數據。目前，我國在學理上關于個人信息的財產屬性存在爭議：第一種觀點認為應當給予個人信息人格權保護；第二種觀點主張對個人信息進行財產權保護；第三種觀點承認個人信息同時具有人格與財產雙重利益屬性。

以彭誠信教授為代表的學者認可人格兼財產權觀點。信息處理者收集信息后，對之進行處理、加工，形成數據產品進行再流通利用，經過加工處理后的規模化個人信息成為社會稀缺資源，使之具有了稀缺的財產價值。正是對個人信息中的財產價值的承認，催生了法律對之保護的必要。當前抑制我國數據產業發展的核心原因之一在于我國對數據財產屬性的界定不清晰，由此個人數據權益收益無法得到保障。《中華人民共和國數據安全法》(以下簡稱《數據安全法》)對數據交易及數據交易機構作出了籠統的規定，現有法律對數據財產權屬性的界定稍顯模糊。

2.數據權利非《信托法》之財產

關于數據與個人信息概念的區別，現在并無定論，我國《數據安全法》第3條規定了“數據”的定義，《個人信息保護法》第4條對“個人信息”的概念作出了界定。可以得出，信息不同于數據，數據指在特定的限制、指導方針、參數、約束條件下收集或處理的信息。數據是結構化的或受控制的信息。換言之，信息產生于數據，數據信托的標的是表征于信息的數據權利。

《中華人民共和國信托法》(以下簡稱《信托法》)第11條規定了“信托財產不能確定”時信托無效。依信托法律模式，數據持有人將數據權利交給受托人管理，受托人持有數據并為受益人的利益管理數據權利及其收益，“就目前的目的而言，關鍵的結論是，信托法似乎很適合管理個人數據和其他有關自己的相關敏感信息”。但這種模式的缺點在于，《信托法》并不將數據權利視為傳統信托法中的財產。第一，信托財產必須是確定其財產價值的財產，如前文所述數據財產權屬并不明晰；第二，尚未有對數據權利進行信托的先例，“數據不是一種公認的由受托人可以合法擁有的財產，因此需要對信托法做出重大修改”，數據權利在設立數據信托后能否保持其作為信托財產的獨立性也是一個重要問題。數據權利何以能成為信托財產在理論中尚處于空白階段。

數據權利成為信托財產的爭議在于其財產價值難以確定，繼而導致受益人收益利益也難以確定，這是數據權利能否成為信托財產的核心問題。根據信托理論，信托財產需要具有價值性和可轉移性，權利也可作為信托財產，如普通法中的權利和衡平法中的權利在英美法上也可作為信托財產。因此數據權利成為信托財產可能具有其合理性。

(二)傳統信義義務主體不再適配

由于信托兩權分離(雙重所有權)的本質特征，信托關系的成立需要有明確的受益人，以實現信托目的。除了三個例外：公益信托、不完全信托與自由裁量信托。數據信托可能會為公益目的而設立，沒有明確的受益人。此外，傳統信托關系中，受托人與受益人是相互獨立的，但是在數據信托關系中，數據處理者人可能既是受托人又是受益人，這是現行《信托法》所不允許的。因此數據信托模式不同于普通法上的信托，但可以借鑒一些普通法上的觀念和做法。有觀點認為，數據處理者為受托人，數據主體在數據信托中既是委托人又是受益人。但這種二元模式的數據信托結構存在許多矛盾之處，也很難實現數據財產價值的共享，其不合理之處將在下文中詳細論述。

(三)傳統信義義務內容存在滯后

傳統信義義務框架分為忠實義務與謹慎義務。忠實義務要求受托人不得將受益人利益凌駕于自己利益之上，“在忠誠的信托責任下，數據受托人尤其應沒有利益或義務沖突”；謹慎義務要求受托人勤勉、盡職地完成委托人委托的事項。對于數據信托法律關系，受托人不但要在原有范圍內履行信托義務，“該實體還將承擔更嚴格的信托忠誠義務——促進最佳利益”。此外，還包括在促進數據充分流通以實現數據財產價值的同時保障委托人數據安全之義務。保障數據安全的措施諸如數據分類分級保護、數據泄露通知制度和采取補救措施成了數據信托理論下受托人新的信義義務內容。因此，傳統信義義務內容并不能滿足數據信托模式下數據安全與流通之需要，更新信義義務的內容成為促進數據信托模式發展的應有之義。

二、邏輯進路：數據受托人信義義務的適用與轉向

數據治理是一個綜合治理命題。從國際上來看，各國都在發展與探索數據信托理論與試點，如何客觀認識與理解英國的“數據信托”方案與美國的“信息受托人”方案，從而為構建我國的數據信托實踐提供理論基礎是需要考慮的問題。

(一)數據信托方案轉變的辨析

2016年，耶魯大學法學院杰克·M.巴爾金教授發表了《信息受托人與第一修正案》，提出了“信息受托人”概念，引發了學界與理論界、國會對此問題的廣泛關注。但是作為信托制度發源地的英國提出了完全不同的數據信托理論與實踐，嘗試一種自上而下的通過第三方來實現權力平衡的數據信托模式。

1.美國的“信息受托人”方案

2014年3月耶魯大學法學院巴爾金教授在網上發表短文《數字時代的信息受托人》，提出一種保護數據隱私的理論模式。在此理論發展延伸的基礎上，巴爾金教授發表了《信息受托人與第一修正案》，認為“收集、分析、使用、銷售和分發個人信息的在線服務提供商和云公司應該被視為消費者和信息用戶的信息受托人”。巴爾金認為，信息受托人需要對執行職務過程中獲得的信息承擔特殊的保密等義務，如醫生和律師最為典型。這種信息受托人理論有兩個特征：第一，需要自上而下的立法對數據處理者苛以嚴格的受托人義務；第二，是增加數據處理者的義務，以期在不平等的法律關系中達到平衡。司法層面，數據處理者忠實義務也得到了引證。相關的實踐也在如火如荼地開展，如人行道實驗室的“公民數字信托”在“智能城市”中的應用；斯坦福數據民間社會實驗室設立的數據信托框架項目。

2.英國的“數據信托”方案

英國在理論層面，最初由夏恩·麥克唐納在2015年4月提出通過“公民信托”來管理數據，2016年6月尼爾·勞倫斯在《數據信托可以減輕我們對隱私的擔憂》一文中提出通過數據信托對個人數據進行獨立管理的方案，從此英國開啟了對數據信托理論的實踐。戴姆·溫迪·豪(Dame Wendy Hall)和杰羅姆·佩森蒂(Jerome Pesenti)教授在2017年發布的《英國人工智能產業發展》報告中，號召成立“數據信托支持組織”，由英國皇家學會、英國皇家工程學院或開放數據研究所等專業機構的專家支撐數據信托的建立。2019年，伯明翰大學法學院西爾維·德拉克洛瓦教授與尼爾·勞倫斯教授聯合發表《“自下而上的”數據信托：擾亂“一刀切”的數據治理方法》一文，闡述了其“自下而上”的數據信托構想，成為當下英國數據信托中最重要的理論闡述和方案。此種方案在數據處理者與數據主體之間引入一個獨立的第三方主體，該主體匯集數據主體的權利，以自己的獨立知識和能力維護數據主體的數據權利。數據處理者需要通過該主體獲得數據主體的數據進行流通利用，并實現數據流通的收益分配方案。該主體的加入與數據處理者和數據主體建立了一種新的平衡。因此開放數據研究認為數據信托是一種提供獨立的數據管理的法律結構。

與此同時，英國開放數據研究所聯合英國政府人工智能辦公室和“創新英國”在2018年12月到2019年3月開展了三個數據信托試點項目，分別是：第一，“打擊非法野生動物貿易”，開放數據研究所與荒野實驗室技術中心合作，探索數據信托是否有助于在全球范圍內打擊非法野生動物貿易；第二，“探索成熟數據共享”,開放數據研究所與the Greater London Authority(GLA)和the Royal Borough of Greenwich (RBG)合作探索數據信托模式是否支持城市數據共享；第三，“跟蹤食物浪費情況”，開放數據研究所與Waste & Resources Action Programme合作,評估當前英國在供應鏈中用來跟蹤食物浪費的流程,識別各種利益相關方之間共享數據的激勵和障礙。2019年4月，開放數據研究所及相關研究機構發布了三份報告，開放數據研究所發布的報告《數據信托：來自三個試點的經驗教訓》；公眾參與慈善機構Involve和專門從事電信、媒體和技術的咨詢公司Communications Chambers撰寫的一份《為數據信托設計決策過程：三個試點的教訓》報告；外部合作機構倫敦瑪麗女王大學BPE Solicitors LLP和Pinsent Masons LLP專門就數據信托的法律與治理結構聯合發布的研究報告《數據信托：法律和治理思考》。

除了開放數據研究所推動的數據信托試點項目，英國生物銀行的成功案例也值得關注。英國生物銀行是一家注冊為有限公司的慈善機構，由其董事會擔任慈善受托人。英國生物銀行管理著由50萬人捐贈的用于科學研究的健康數據，這些數據將被匿名處理后保管在英國生物銀行，為研究各種疾病提供必要的數據。無論模式如何構建，英國在理論界和實踐中基本達成了數據信托非信托法意義上的信托這一共識。

3.受托人模式：數據處理者抑或第三方機構？

“信息受托人”理論提出的同時，也有不少學者對這一理論提出了批判。其中莉娜·M.汗和大衛·E.波認為：巴爾金的信息受托人理論會導致信息平臺公司的董事處于既需要為股東謀求最大利益的信義義務與為數據主體承擔受托人義務的尷尬境地中，因為信息平臺公司需要用戶的數據投放定向廣告謀取利益，這兩者的利益是存在本質上沖突的，因此信息受托人理論并沒有解決數據主體與數據控制者之間不平衡的權力關系的矛盾。除此外，因為“信息受托人”掩蓋了這樣的目的，反而可能帶來壞處，諸如facebook等公司如此推崇這一理論，是因為其掌管了數千萬數據與隱私之后反而成了一個不可能被政府解散的實體。

相反，英國“數據信托”模式中，“三元結構”在建立起新的平衡的同時，也能實現對數據信托中財產利益的充分流通，并通過規范數據信托受托人的信義義務實現對數據安全的維護。“作為一種促進數據治理愿望的建設性表達的工具，數據信托生態系統解決了監管范圍內的補充需求。”“數據信托”是當前數據產業最前沿的發展方向，數據信托以其自身的優勢有望發揮多方數據委托與數據資產融資收益的作用。對于中國的數據信托實踐，英國的數據信托構想或許更有借鑒意義。

(二)數據信息財產屬性的證立

在數據信托模式中，數據主體信托出去的不是數據本身，而是數據權利，所以數據信托需要明確的前提是個人可以對其擁有的數據享有相應的權利，但承認數據的財產性并不意味著承認“數據”是一種財產權，僅指數據所有人對其數據享有一定的財產權益。數據的價值，不僅是由個人，更是由信息處理者產生的。個人僅提供了信息價值產生的原材料，但信息價值的增值，是由于信息處理者付出了大量的勞動力、資本與技術對個人信息進行規模化收集、處理與分析。這是其產生商業價值的內因，它能滿足商業價值的稀缺性、可控性與流通性，使之具有成為法律上財產權客體的可能性。數據信息的財產屬性可以從數據信息的使用價值與交換價值兩個維度考察。

1.數據信息使用價值考量

數據信息使用價值體現為，“數據信息可以通過市場交易轉移給他人，原權利人可以獲得以貨幣形式表現出來的價值對價”。使用價值是指基于數據信息的不對等性，得到更多信息的一方能夠占有更多有限的利益。對于互聯網公司，其發展與運營也要基于對有限的數據的分析和運用。數據信息的使用價值是從數據中獲取知識的價值，是數據被分析后產生的價值。雖然信托的資產管理功能通常適用于貨幣、有形和知識產權利益，但信托的資產管理功能也可以證明對管理選定的數字財產利益很有用。

2.數據信息交換價值縷析

數據信息的交換價值具有稀缺性的特征。稀缺性體現為數據要素市場中的數據信息并不是取之不盡、用之不竭的，而是在一定時間條件下具有稀缺性的。隨著數字經濟時代的發展，數據產權的作用也越來越為人所重視，貴陽、北京、上海大數據交易所相繼揭牌成立。數據要素已經被視作為一項重要的資源受到了國家的重視，數據的價值已經不言而喻。

除此而外，信息具有的無體性、強傳播性、易復制性、非消耗性等特征也促進了數據信息的交換價值的發揮。無體性指數據信息只有被記錄后才能產生可支配的價值，并不具有獨占性，可以為多數人使用；數據信息還具有更強的傳播性與易復制性，數據信息交換的方式簡便、成本低，可無限次被復制而不出現損耗；信息也具有非消耗性，數據信息在流通傳遞的過程中，不僅不會減損數據信息的價值，反而會因為不斷演算分析而產生新的價值增長。因此，數據信息的價值并不產生于占有，而是通過收集、儲存、使用、加工、傳輸、提供等交換形式發揮數據信息交換價值。信息具有無體性基于數據信息復制成本低、信息彈性大、信息濃度不同等因素，導致數據信息的市場公允價值的計量變得較為困難。這也是數據信息交換價值難以批量化實現的重要阻礙之一。

(三)受托人信義義務：數據安全保障的實質性條件

數據進行流通利用的基礎是數據所蘊含的人格權益不會受到侵害，即數據安全保障的內涵。《數據安全法》規定，數據治理、開發利用的關鍵是數據安全。在數據記錄、使用、保存至刪除的整個生命階段，數據都可能遭受錯誤的用戶使用、丟失、共享或數據操縱。解決數據要素流動中的信任問題需要系統和技術之間的合作。在技術安全結構中，以云計算、區塊鏈、人工智能和數據保密等領域為基礎的信息技術提供了日益便捷的技術基礎。通過上述設計，數據處理者基于數據主體的信任對數據有更大的管理運用權限，因此也需要盡到數據安全保障的義務。作為數據信托受托人的數據處理者，需要承擔謹慎、忠實義務，因為不同數據信托受托人承擔的權利義務不同又相互關聯，這種相互制衡與信任為數據信托制度運行的穩定性提供了保障，構成了數據安全保障的實質性條件，并且數據信托的創新架構能夠在保證信托財產獨立性的同時實現數據資產利益的分配。

三、數據受托人主體范圍厘定

數據信托即將個人數據納入信托法律關系，在數據受托人、數據信托委托人、數據信托受益人三方之間建立相互信賴和責任的法律機制，其本質為管理數據權利的一種框架協議。自上而下地通過第三方來實現權力平衡的數據信托模式，受托人的主體范圍是最重要的問題。

(一)數據受托人主體資格之界定

如圖1所示，數據信托主要包括個人或企業數據生產者、信托公司、社會投資人、數據第三方利用者(又稱數據使用者、數據處理者)等幾大主體。數據受托人主體資格的界定通過對中國數據信托現有的范例中航信托“數據資產信托合作計劃”進行分析，明確數據信托模式中承擔數據受托責任的主體類別或范圍。在數據信托模式中，個人或企業數據生產者將其擁有的數據利益委托給信托公司，信托公司就該信托資產發行信托產品，可以吸納社會資金進入，具有融資功能；信托公司又將該數據資產授權給數據第三方利用者進行大數據分析，為數據要素的流通賦能；數據第三方利用者基于對大數據的適用會產生新的商業利益，社會投資者和委托數據資產的個人或企業數據生產者由此可以分享數據流通利用產生的利益，通過該數據信托模式實現數據資產的流通利用與利益共享。還可以引入公共受托人理念來對公共數據實現應用管理。

圖1 數據信托模式

1.一個范例：中航信托“數據資產信托合作計劃”

中國版數據信托方案正在開展實踐與探索。由清華x-lab數權經濟實驗室與北京互聯網法院、中航信托等主體聯合設計的中國版數據信托方案在2021年8月發布，將在數字版權、“雙碳”綠色能源、醫療醫保、船舶國際航運4個行業進行數據信托試點和立項。早在2016年11月，中航信托就已發行了總規模為3 000萬元的數據資產信托產品，是中國首單基于數據資產的信托產品。具體而言，數據持有者應首先將其持有的某一數據資產作為信托財產成立信托，然后轉移信托的受益權。委托人可以通過信托受益權的轉讓獲得現金收入。隨后,受托人將繼續委托數據服務提供商對特定的數據資產進行運用和增值。最后，向社會投資者分配收益。

2.數據信托公司的主體地位探析

在遵守數據信托這些公平原則的基礎上，形成一個值得信賴的中介實體的新職業，只是一個可能的選擇。信托公司作為我國重要的金融機構，是我國唯一能夠在貨幣市場、資本市場和產業投資領域開展業務的金融機構，發行面向社會投資者的數據信托投資產品，吸引社會資金的加入，為數據第三方利用者提供融資服務，進行數據資產管理與數據財富管理服務。從上述數據信托的模式可以看出，從信托機構的職能角度，信托公司可以利用綜合金融工具提供投融資服務來理解數據信托。因此，在數據信托模式下，信托公司作為受托人，承擔數據受托人的權利和義務是無可厚非的。

3.數據使用者的主體地位厘清

在雙重所有權體系下，數據資產的名義所有權由委托人享有，但數據的收集、處理、利用均是數據使用者在控制，即數據使用者掌握了數據資產的實質所有權，數據資產的雙重所有權由此構成。但僅憑信托公司的專業技術不能滿足對數據安全保障的需求，故數據第三方利用者也應承擔協助運營的受托人義務，因此，信托公司與數據第三方利用者共同為數據信托的受托人。

(二)數據信托公司是直接的信義義務承擔者

如圖1所示，在數據信托模式中，數據持有人應依據自己所有的數據資產設立信托，信托公司以受托人名義，為受益人的利益轉讓、處分、托管、運營數據資產。由于我國對信托行業監管的要求，只有信托公司才能設立與運行信托產品，整個數據信托的運行也是基于信托公司為中心展開，因此信托公司在數據信托的運行模式中起著關鍵性作用。無論是在數據安全的保護當中，還是在屬于要素資產的分配當中，數據資產信托產品的設計與數據信托運行的監管都需要信托公司起到中流砥柱的作用，因此，數據信托在這一過程中要承擔直接的信義義務是無可厚非的。在其他角色上，個人或企業數據生產者可作為數據信托的委托人與受益人。社會投資者的投資與獲得的收益為另一種信托，不屬于數據信托，兩種信托模式相嵌套形成圖1所示的數據信托結構。

(三)數據使用者是有限的信義義務承擔者

數據信托中，受益人即委托人。作為受托人的數據使用者對個人信息財產權利享有一定的控制權。個人雖然不是個人信息財產價值的主要貢獻者，但是為了激勵個人持續提供個人信息，個人應當在個人信息共享的范圍之列，個人信息往往存在于平臺之上，發揮價值的形式較為特殊，若沒有數據使用者的收集、處理的行為，個人信息的財產價值便難以發揮，因而決定了個人信息的財產價值不能由個人獨享而應有數據使用者、數據處理者共享。對于企業數據，也不能賦予企業絕對排他財產權，否則可能會抑制互聯網產業的發展。

因此數據使用者在數據信托模式中，承擔協助運營的受托人義務，在不同的數據信托產品中，同一數據使用者可能作為不同的委托人或受托人，承擔有限的信義義務，即為謹慎義務的要求。在數據信托中，受托人應當采取各種方式和手段維護信托數據的安全，以達致數據共享和利用符合信托的目的。在數據信托模式下，共同受托人之間應相互監督，共同維護數據信托模式的穩定運行。

四、數據受托人信義義務重塑

數據信托信義義務同樣包括謹慎義務與忠實義務，每種義務又有不同的要求。明確謹慎義務與忠實義務的具體要求與內涵，對保障數據信托的財產利益與安全性具有重要意義。在謹慎義務中，數據信托的整體設計應涵蓋規范的數據信托來源，包括如何儲存和訪問數據的相關方案，方案應當具有可實施性與可持續性，數據信托目標的實現不應該受到技術操作的阻礙，還應建立數據泄露通知制度。在忠實義務中，設計證券化路徑，針對信托數據的特性設計合理定價方案，確保數據信托保障數據信息價值的共享。

(一)更新謹慎要求的內涵

謹慎要求的目的在于保護數據中的人格利益不受侵害，為此，數據信托受托人需要承擔一系列的保護義務，確保數據處理具有正當性、合法性。在數據信托背景下，若不更新謹慎要求的內涵，則無法實現個人信息人格利益的周延保護。保障數據安全的措施諸如數據分類分級保護、數據泄露通知制度和采取補救措施成了數據信托理論下受托人新的信義義務內容。

1.信息披露：規范信托數據來源

正當、合法的信托數據的來源是數據信托合理運行的基礎，這涉及要求委托人獲取個人信息時盡到信息披露義務，向數據提供者說明數據信托的意圖與目的，取得個人的同意。“數據信托必須啟用并鼓勵數據者共享數據，向潛在用戶推廣其使用情況”。“數據提供者在性質上會有所不同，但可能只有在他們知道這些數據的情況下才會樂于提供數據：按照道德、合法使用、商定的規則或數據信托的既定目的。”避免數據信托中涉嫌危害數據托穩運行的風險發生。根據《個人信息保護法》的規定，由網信部門對數據信托的數據來源與是否盡到信息披露義務進行審查，對未盡到信息披露的相關受托人主體進行處罰。

2.完善數據分類分級保護制度

我國《數據安全法》明確要建立數據分類分級保護制度，明確規定國家建立數據分類分級保護制度，根據數據在經濟社會發展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益造成的危害程度，對數據實行分類分級保護。國家數據安全工作協調機制統籌協調有關部門制定重要數據目錄，加強對重要數據的保護。更新數據信托受托人謹慎義務也需要完善數據分類分級保護制度，如美國PII2.0分類標準，就將個人信息分為直接識別的個人信息、間接可識別的個人信息和非個人識別性信息。在數據信托中，“根據個人信息與數據主體和現實的‘關系’，以及企業獲取和處理此類數據的智力活動。在這方面可識別三類：強關系數據(由客戶直接提供的數據)、中間數據關系數據(觀察或推斷并與消費者當前生活相關的數據)和弱關系數據(預測數據)。”“所有這些類別都反映了歐盟數據保護法下不同程度的控制權：第一類保證了消費者對數據的完全控制權，包括數據權可移植性。第二類保證所有其他控制權(訪問權、遺忘權)。第三類企業的準所有權優先于個人的控制權，但消費者有其他形式的保護來重新平衡他們的不對稱性：關于處理信息的權利、處理的安全性和數據質量。”

3.建立數據泄露通知制度

在數據信托運行管理過程中，需要區分信托數據的直接使用人與間接使用人。信托數據的泄漏，極易發生在間接使用人使用信托數據的過程之中，且間接使用人在數據信托的模式中是不允許存在的，因為數據信托的結構和功能決定了凡是使用信托數據的數據處理者，都必須納入數據信托的框架之中。《數據安全法》規定建立數據安全應急處理機制，發現數據安全風險時，應當立即采取相應的補救措施。

(二)忠實義務內涵之厘革

忠實義務要求受托人必須忠實于受益人的利益。數據信托制度亦志在實現個人數據利用財產價值之共享，規范數據受托人的忠實義務。個人信息財產權益雖然主要由數據生產者產生，但作為個人信息財產權益來源的個人，也應當共享收益，保障受益人收益的充分實現。“為了實現數據對我們的社會和經濟的潛在好處，我們需要值得信賴的數據管理”。美國《2018加州消費者隱私法案》(CCPA)， 就嘗試了經濟激勵條款，這是實現信息權益共享的有益嘗試。

1.實現數據資產的收益安排——數據要素證券化路徑

個人數據權有成為新興權利的價值。個人數據主體有望從數據信托的設立中獲得數據資產收益的共享，通過數據信托模式，能提高個人依靠數據實際獲益的可能性。為了實現數據資產的收益安排，有學者提出可利用“數據資產投資信托基金(DAITs)架構”，使公眾資金能夠投資數據信托，使大眾分享數據資產增長的收益。此外，基金結構部分解決了一般證券化產品二級市場流動性不足的問題，可以顯著提高產品的信息交換和價格發現功能。

2.設立數據合理定價機制

如前文所述，信息具有無體性基于數據信息復制成本低、信息彈性大、信息濃度不同等因素，導致數據信息的市場公允價值的計量變得較為困難。根據前述數據分類分級保護標準：強關系數據(由客戶直接提供的數據)、中間數據關系數據(觀察或推斷并與消費者當前生活相關的數據)和弱關系數據(預測數據)，可依據不同分級標準設定不同的定價機制，與個人關系更緊密地設置更高的定價。除了前述分類，還可以依據特定場景實現動態定價，“各種補償機制都是可供探索的”。

(三)數據受托人問責機制之錨定

大數據時代下，個人信息侵權存在規模大、難以確定侵權人、侵權損失難以確定、舉證難等新特征，采取傳統法律救濟模式很難實現對公平正義的要求，需要為大數據時代個人信息保護構建新的法律救濟體系。在執行問題上，信息受托人違反了上述信義義務后，用戶如何來維護自己的權益并追究信息受托人的責任，信息受托人將為此承擔什么責任，這是需要考慮的問題。明確受托人問責機制，將有利于保障數據信托機制的平穩運行。

1.明確數據信托責任判定標準

《個人信息保護法》采用了過錯推定的歸責原則。根據上述數據信托受托人的信義義務，在認定數據受托人違反信義義務時，需要明確違反了何種信義義務、是否造成實際損害結果、主觀上是否存在過錯、是否采取補救措施、是否符合免責條件、如何賠償等，應成為明確數據信托受托人責任判定的標準。

2.采用舉證責任倒置規則

一般侵權時，是由被侵權人對侵權事實、損害后果、因果關系、主觀過錯承擔舉證責任，但是數據信托模式背景下, 因為已經給數據受托人建立了合理的法律地位，被侵權人個人往往無法收集證據來證明相關事實, 要求他們承擔舉證責任, 很大可能他們會因為舉證不能而承擔敗訴的后果。《個人信息保護法》“規定的過錯要件的舉證責任由個人信息處理者也就是侵害個人信息權益的行為人承擔，屬于舉證責任倒置”。在個人信息權遭受侵害時，采用舉證責任倒置規則，由數據受托人承擔主觀無過錯、已經對數據安全采取了保護措施等舉證責任，可以免除或減輕侵權責任。舉證責任倒置規則不僅可以平衡侵權人與被侵權人的訴訟地位，還可以通過這種方式使個人信息控制者采取更嚴格的措施保護個人數據信息，這對于公平正義的實現、彰顯良法之治，維護正常的數據交易共享市場具有重要的推動作用。

3.有限適用懲罰性賠償

懲罰性賠償制度一般是在主觀惡性較大或者造成嚴重后果的情景下適用, 在數據信托中, 該制度亦有可適用性。引入懲罰性賠償制度,在數據受托人故意、重大過失造成個人數據遭受大規模泄漏等嚴重后果時采取一定程度的懲罰性賠償與《個人信息保護法》規定的填補損失制度相結合是有必要的。如果數據受托人故意或重大過失造成個人數據大規模泄露，造成被侵權人較大數額財產損失或嚴重精神損害的嚴重情節下，可以要求懲罰性賠償。

五、結語

“數據的收集、處理及利用已不可避免地成為社會、經濟體系的一部分，成為一種重要的社會資源，具有顯著的社會價值。”近日，國務院發布《“十四五”數字經濟發展規劃》，明確推動數字經濟健康持續發展。數據信托是解決數據保護和利用矛盾的最好嘗試，能夠實現數據寡頭與個人之間權利不平等的問題，實現社會各方主體的共贏，實現對數據人格屬性的充分保護。引入信托公司與社會資金，能夠促使數據充分流通利用的同時，實現數據資產收益的共享，實現個人數據財產權益的分配，促進數字產業持續健康發展。