數據信托：一種數據治理新模式

□ 文 / 潘 揚 杭州市科技信息研究院

數字化時代，數據已成為經濟發展的核心生產要素。2021 年全球47 個國家數字經濟增加值規模達到38.1 萬億美元，占GDP 比重為45%。其中我國數字經濟規模接近7.1 萬億美元，位居世界第二。在此背景下，數據安全已成為事關國家安全與經濟社會發展的重大問題。數據信托作為一種新興的數據治理模式應運而生。2021 年，《麻省理工科技評論》發布“全球十大突破性技術”榜單，數據信托位列其中。

數據安全的痛點和難點

數據安全是指對數據在收集、處理、存儲、檢索、傳輸、交換、顯示、擴散等過程中的保護，保障數據在各環節中依法授權使用，不被非法冒充、竊取、篡改、刪除、抵賴，確保數據信息的機密性、真實性、完整性與不可否認性。

數據安全的核心是保障數據在其全生命周期的各個階段均可實現高度可控與高度可審計，通過技術保護與高效管理盡可能隔絕各類威脅因素。

根據Tenable 公司發布的數據泄露報告顯示，2021年全球數據泄露超過400 億條，其中勒索軟件造成了大約38%的泄漏。IBM 在《2022 年數據泄漏成本報告》中指出，2021 年3 月至2022 年3 月期間受數據泄漏影響的企業超550 家，涵蓋17 個國家/地區。每單個數據泄露事件令受訪公司所承擔的平均成本高達424 萬美元，創該報告發布17年以來的最高紀錄。

海量數據引發的公眾隱私保護、數據產權爭議、數據定價模糊等問題逐漸凸顯，成為數據安全的痛點難點問題。

一是個人信息的過度收集、濫用。大數據時代，利用被過度收集的個人信息加上數據分析技術，技術人員能夠還原匿名化處理的數據，導致數據脫敏技術“失靈”，直接威脅用戶的隱私安全。近年來，全球范圍內的數據安全執法案例基本圍繞個人信息的過度收集、濫用等主題。2019 年，Facebook 因違規向劍橋分析公司提供8700 萬條用戶個人信息，被美國聯邦貿易委員會（FTC）處以50億美元的罰金，這也是歷史上金額最大的隱私違規罰款。2021 年底，中國網絡空間安全協會發布《APP 違法違規收集使用個人信息監測分析報告》，通報了12 類351 款APP 中，有257 款由于存在“違反必要原則，收集與其提供的服務無關的個人信息”問題，被責令限期整改。

二是賬號泄漏、權限濫用和應用程序編程接口（API）防護缺失。賬號作為主體訪問客體的重要憑證，在通過安全驗證后可以直接訪問數據庫、數據倉庫等載體的數據資源，因此一旦賬號憑證泄漏，將導致數據的直接泄漏。IBM Security發布的《2021年數據泄露成本報告》指出，數據泄漏事件中最常見的初始化攻擊路徑就是直接竊取憑證。而數據的合作共享導致數據資源的訪問量和訪問人員大幅增加，多樣化的訪問接入，容易引發數據權限管理不清、使用情況不明等安全問題，最終造成業務和數據資源違規訪問，釀成數據安全事件。API作為最重要的數據傳輸方式之一，也成為攻擊者竊取數據的重點攻擊對象。

三是數據安全狀態難以持續保障。隨著數據處理技術的不斷成熟，業務的持續擴大與數據應用的不斷裂變，數據量呈PB 級迅速增長，海量、多元和非結構化成為數據發展新常態。一方面，大量低質量、關系模糊的數據存儲在分散的數據載體中，導致數據資產難以梳理，建立在數據資產梳理基礎之上的持續安全保障難以實施。另一方面，數據的快速流轉增加了數據安全持續保障的難度。數據在多個應用場景下流動交互、數據載體和主體不斷變化，導致難以清晰地梳理數據與訪問主體、傳輸鏈路、承載環境、安全策略等的關系，增加安全防護難度。

數據信托的誕生

數據交易與一般商品交易的不同之處在于數據控制人所獲取的數據包含大量的他人信息，這些信息大多屬于數據主體的“生命密碼”，與數據主體的身份、隱私、情感乃至社會評價等緊密聯系在一起。因此，數據控制人所面臨的法律義務要求會顯著高于一般合同標準。此外，數據作為資產的特殊性還表現在個體數據的所有者與“大數據”的控制者以及“大數據”利益的享有者可能存在相互分離的現象。

因此，數據資產的擁有、使用、收益等權能的分離與信托財產權屬的復合式安排具有充分的契合性。也就是說，數據資產成為信托財產在權利內容與制度安排上具有合理性和可操作性，數據資產的各項權能安排可以通過信托財產制度得以有效設計和落實。

數據信托的實質是在數據主體與數據控制人之間創設出信托法律關系，數據控制人基于數據主體的信任對數據享有更大的管理運用權限，同時也承擔更嚴格的法律信義義務。在這一法律關系中，數據主體既是數據信托的委托人也是受益人，數據控制人則是數據信托的受托人。數據控制人的數據管理運用權限包括但不限于訪問控制、訪問審核以及數據的匿名化處置等重要內容，以平衡數據主體的隱私保護與數據可交易價值之間的緊張與沖突。與此同時，數據控制人還應履行對數據主體的信義義務，這主要表現為信托法上的謹慎義務、忠實義務、保密義務等，不得損害數據主體的根本利益。相較于數據委托合同而言，數據信托的建立顯示出更多的靈活性和優越性，因而成為數據權利義務關系結構化安排的理想工具。

數據信托立足于財產權的移轉與分離設計，有助于克服委托合同機制下“知情-同意”隱私保護模式的種種弊端，有效對抗數據控制人“鉆合同空子”的“機會主義”傾向，通過重置數據主體與數據控制人之間的權益結構，把數據控制人的數據權限與數據義務有效鏈接起來，進而為數據主體提供更為可靠的信息權利乃至信息安全保障。

國外數據信托發展情況

數據信托的政府層面認可

2016 年，美國耶魯大學教授杰克·巴金（Jack M.Balkin）在隱私數據保護領域首次提出采用信托工具解釋數據主體與數據控制人之間關系的主張，該主張迅速得到學界關注并被逐漸接受。2018 年，美國出臺《2018 年數據保護法》，在線服務提供商收集和使用最終用戶數據確立了明確的信托義務，明確要求在線服務提供商對用戶及其相關數據承擔謹慎、忠實和保密義務。

2017 年《英國人工智能產業發展報告》建議：利用數據信托制度建立數據投資治理架構，以確保數據交換安全互利。英國開放數據研究所（Open Data Institute，簡稱ODI）《2020 數據信托報告》指出，其在2018 年10月即采用了對數據信托的有效定義，把數據信托定義為“提供獨立數據管理權的法律結構”。該定義旨在描述一種數據管理方法，在形式上完全類似于土地信托等。

2019年，印度在《2019年個人數據保護法案》中定義“數據受托者（Data Fiduciary）”相關概念，要求無論單獨還是與他人共同決定，任何涉及到處理個人數據的人員都需向政府登記成為數據受托者，受政府監管。

數據信托在社會層面的應用

2016 年，微軟將其云產品 Azure、Office 365 以及Dynamics CRM Online等托管在德國境內的多座數據中心。微軟公司對德國客戶數據的訪問行為將受到嚴格控制，相關工作由德國數據信托廠商T-Systems 公司（德國電信公司旗下的獨立子公司）負責。如果得不到德國電信或者客戶自身的許可，微軟公司將無法接觸到這部分數據。而且即使獲得了相關權限，該信托方仍將繼續對微軟的實際訪問流程進行監督與控制。

2018 年，谷歌母公司Alphabet 旗下的人行道實驗室（Sidewalks Labs）提議使用獨立的數據信托，來管理其在加拿大多倫多碼頭區（Quayside）智能城市項目開發中收集的數據。2019 年，該實驗室確認把數據信托作為其智慧城市發展的一部分。

2020 年，國際知名保險機構韋萊韜悅（Willis Towers Watson）成為早期在金融業試驗數據信托的公司之一。韋萊韜悅聯合其多家客戶，結成“最簡可行聯盟”（Minimal Viable Consortia，簡稱MVC），旨在測試數據信托概念并嘗試應用于真實商業場景中。

此外，斯坦福數字民間社會實驗室、劍橋大學計算機系、Facebook、Johns Hopkins University、Open Corporates 和Truata 等機構及企業也積極嘗試應用數據信托方案。雖然目前已有關于數據信托的不少實踐項目，但相關實踐基本只在機構內部小范圍進行或因社會公眾抗議而中止，實施效果仍待進一步驗證。

我國數據信托發展情況

我國正在逐漸以政策和法規方法完善數據產權制度，部分企業開始不斷創新探索數據資產商業模式，公眾的個人信息意識也明顯增強，不斷呼吁數據普惠的落實。

政策支持

2020 年3 月，《中共中央、國務院關于構建更加完善的要素市場化配置體制機制的意見》指出，要加快培育數據要素市場，加強數據資源整合和安全保護，制定數據隱私保護制度和安全審查制度。

2021 年，我國數據要素市場建設進入法治化新時代。《網絡安全法》《數據安全法》《個人信息保護法》以及地方數據條例等法律法規相繼頒布，數據要素市場的基礎法律架構已經初步建立，為數據要素合規運行奠定了有法可依的規范性基礎。

社會應用

當前，國內一些數據交易平臺越來越帶有一定程度的數據信托色彩。

2014 年以來，由貴陽、上海等數據生態活躍地區政府主導的數據交易所模式紛紛涌現，通過建立數據供應方與需求方共享的交易平臺連接數據供需，以第三方專業技術和政府資質完成監管與加密支持，最終實現數據的交易流通。如果這些數據交易所更加突出其第三方專業監督角色，從技術手段、商譽積淀和現實需求來看，也有可能成為行業內外都認可的數據信托機構。

2016年11月，中航信托發行了首單基于數據資產的信托產品，總規模為3000 萬元，這對我國信托業界來說是數據信托的首創產品。在該產品設計中，委托人數據堂將自己所持有的數據資產作為信托財產設立信托，并通過信托受益權轉讓獲得現金收入，受托人中航信托委托數據服務商對特定數據資產進行運用增值并產生收益，向社會投資者進行信托利益分配。此過程既完成了資金的循環，同時也完成了數據資產信托財產的閉環。

2021 年，北京國際大數據交易所正式成立，作為打造“國家服務業擴大開放綜合示范區”和“中國（北京）自由貿易試驗區”的重要組成部分，其發展能為日后數據信托在國內的廣泛實踐打好平臺基礎。

2021 年8 月，清華X-Lab 數據經濟實驗室聯合北京互聯網法院、中航信托等多方主體共同研究設計的“數據信托”中國版方案——“數據資產信托合作計劃”對外公布，該方案集成了法律、技術、政策與資本等多維度內容，同時計劃在數字版權、“雙碳”綠色能源、醫療醫保、船舶國際航運4個行業開展試點和立項。

符合我國發展方向的中國版數據資產信托已開始了初步的探索與實踐。

結語

現在，大數據產業已進入蓬勃發展、應用普及的新階段。信息技術快速迭代以及全球性疫情的持續，促使人們更快地適應互聯網時代的新場景。在這一環境下，商業模式發展往往會比政策更超前、更主動地嘗試大數據產業中的新方式。在數據的經濟屬性被日益確認和強調的今天，對個人數據財產權益的分配不應是零和博弈，而應當努力實現社會各方主體的共贏。數據信托為有效平衡數據主體與數據控制人的數據權益結構，維護數據安全，促進和保障數據市場健康發展等方面提供了新視角和新思路，成為一種值得嘗試的數據治理新模式。