數據信托：敏感個人信息保護的第三方規制

2024-01-16 06:57:44楊應武

研究生法學 2023年4期

楊應武

引言

2021 年我國個人信息保護領域的專門法《個人信息保護法》出臺，首次采用了“敏感個人信息”概念，對敏感個人信息的處理規則作了初步規定。鑒于敏感個人信息與個人人身、財產權益聯系更加緊密，處理不當將會造成難以估量且無法挽回的損害，如人臉信息內蘊人格尊嚴價值，過度收集或濫用將可能有損個人隱私與個人信息權益，甚至損害到平等與自由等人權價值。[1]參見洪延青：《人臉識別技術的法律規制研究初探》，載《信息安全研究》2019 年第8 期，第86 頁。故相較于一般個人信息，敏感個人信息需仰仗特殊制度予以保護，方能控制其高度敏感特性導致的風險。然而《個人信息保護法》中敏感個人信息保護的規制邏輯與一般個人信息保護并無實質區別，既沒有體現與敏感個人信息“敏感性”相適應的風險管理理念，也沒有對敏感個人信息保護設計特殊制度安排。[2]參見孫清白：《敏感個人信息保護的特殊制度邏輯及其規制策略》，載《行政法學研究》2022 年第1 期，第121 頁。因此，在現行立法項下，還需引入一種行之有效的保護機制，作為敏感個人信息保護制度的有力補充。

在此背景下，作為第三方規制的數據信托方案受到廣泛關注。數據信托機制旨在創設獨立第三方受托人，可將個人生物特征、醫療健康數據等具有唯一性、不可再生的數據獨立收儲管理，并負擔更高標準的忠實義務、謹慎義務以及增強的問責制。[3]See Sylvie Delacroix & Neil D.Lawrence, Bottom-up data Trusts: disturbing the ‘one size fits all’ approach to data governance, 9 International data privacy law 236, 236-252(2019).促進受托人積極行使敏感信息管理職責，為受益人即信息主體的最大隱私利益行事，形成與信息處理者的對抗或監督關系，進而破解信息主體與信息處理者之間的“權力不對稱”關系問題。數據信托結構與敏感個人信息的“高度敏感性”、亟需特殊保護的制度邏輯高度耦合，同時可兼顧敏感信息的價值性，實為敏感個人信息保護的理想破局之策。

事實上，域外學者針對數據信托展開了激烈討論，進一步明確數據信托內涵，拓展外延，初步形成了個人數據第三方規制理念。如有學者提出“公共衛生受托人”概念，其將有法律責任保護與流行病學暴發有關的敏感信息，嚴格保護公眾的位置、軌跡、醫療行為等有關衛生信息，同時開放必要的訪問，以實現個人私益與社會公益之利益平衡。[4]See Anne L.Washington and Lauren Rhue, Tracing the Invisible: Information Fiduciaries and the Pandemic, 70 American University Law Review 1765, 1765-1797(2021).我國學者更為關注個人信息保護領域的信息處理者的信息信義義務，[5]參見魯斯齊：《后設監管理論下平臺組織內信息信義義務的適用》，載《電子知識產權》2022 年第5 期，第10-27 頁；吳偉光：《平臺組織內網絡企業對個人信息保護的信義義務》，載《中國法學》2021 年第6 期，第45-60頁。而對獨立第三方受托人的關注相對不足。故下文將以敏感個人信息的特別保護需求為出發點，分析第三方數據信托契合敏感個人信息保護的理由與嵌入敏感個人信息保護的法律機制，期冀為敏感個人信息的特別保護貢獻新的思路。

一、現實之困：敏感個人信息保護缺憾檢視

敏感個人信息直接與個人網絡行為偏好、消費習慣等相關，可用于精準用戶畫像，極具商業營銷價值。一方面，敏感個人信息具有高度敏感特性，致使其保護與利用產生強烈沖突，極易損害人格尊嚴、威脅財產安全；另一方面，我國現行立法“賦權”模式下的法律規制存在知情同意規則失靈、行權維權困難等缺憾，“自上而下”的強制性規范極易在敏感個人信息保護場景中出現功能失范的現象。

（一）敏感個人信息特別保護的現實必要

敏感個人信息的界定沒有唯一確定的標準，核心在于對“敏感性”的考量。敏感個人信息的“敏感”一詞，表現的是法律規制的高反應度，“容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害”，在風險內容、風險程度及風險發生方式上均與一般個人信息存在較大差異。[6]參見寧園：《敏感個人信息的法律基準與范疇界定——以<個人信息保護法>第28 條第1 款為中心》，載《比較法研究》2021 年第5 期，第33-49 頁。在主觀標準層面，信息主體對“敏感性”的認識具有較大主觀評價空間，極易將與個人相關的私密信息、特定生活資料等認定為敏感信息，因而不具有科學性。[7]參見王鵬鵬：《論敏感個人信息的侵權保護》，載《華東政法大學學報》2023 年第2 期，第42 頁。在客觀標準層面，《個人信息保護法》著眼于敏感個人信息的高風險性與極易造成信息主體的人格、財產權益損害，通過列舉方式進行界定。事實上，“敏感性”的認定往往以損害結果為導向，“敏感性”越高，其導致的人格、財產損害越嚴重。如醫療健康信息泄露，可能導致就業歧視、人格貶損；金融賬戶信息泄露則可能造成重大財產損失，而一般個人信息泄露，往往不會造成個人權益特別損害。鑒于“敏感性”缺乏具體確定標準，敏感個人信息的范圍也并非靜態不變，故有的學者倡導引入尼森鮑姆教授（Helen Nisenbaum)）的隱私場景理論，即對敏感信息的認定采取“具體情形具體分析”模式，形成動態化的、類型化及精細化的多元要素考量。[8]參見王苑：《敏感個人信息的概念界定與要素判斷——以<個人信息保護法>第 28 條為中心》，載《環球法律評論》2022 年第2 期，第93 頁。故敏感個人信息保護問題更為復雜與繁瑣，需予更強規制力度，其特別保護邏輯可從以下三個方面理解：

其一，敏感個人信息的保護與利用呈現出強烈沖突。近年來如雨后春筍般涌現的可穿戴設備、互聯網應用程序等，均依托于敏感個人信息，其分析、利用與流通的需求日益膨脹。與人身權益高度關聯的敏感個人信息在商業上具有高度稀缺性，數據企業為實現精準、定向營銷，競相挖掘數據價值，預測用戶偏好、習慣、購買力等以打造用戶的個性化服務方案。例如醫院、醫療專業人員和研究人員已充分認識到健康數據在優化服務交付、促進早期診斷、提高護理質量以及推進科學研究等方面的巨大潛力，為獲取相關信息可能加強與健康數據控制者合作。[9]See Data Trusts: A new tool for data governance, https://futurecitiescanada.ca/portal/resources/data-trusts-a-n ew-tool-for-data-governance/.為實現經濟效益，數據企業在信息處理過程中可能鋌而走險，不惜侵犯用戶個人隱私或損害人格尊嚴，進行算法決策時可能產生算法歧視或數據偏見及“信息繭房”等。

其二，敏感個人信息濫用更易侵入私人生活邊界，損害人格尊嚴。當前，數據平臺不斷采集用戶的消費觀念、性格特征、行為習慣以及價值觀等信息用于自動化決策，高度精準地預測自然人的未來行為及偏好，干擾作為主體的人的自主決策。《衛報》相關報道顯示，Facebook 通過分析用戶網絡行為數據，解讀用戶政治傾向，實現新聞精準推送以達到干預個人決策的效果，最終左右民意從而影響大選結果。“劍橋分析丑聞”是近年來發生的最嚴重個體操控事件，讓公眾意識到利用信息可以驅使和控制他人的自主決策，消解人的主體性地位。互聯網更是具有長期記憶，還可能造成被侵害人精神性損害，使個人陷入隱私被非法收集、使用的恐慌之中，由此加劇信息主體與信息處理者的對立。

其三，數據泄露等信息侵權行為頻發，極易造成財產損害。一方面，敏感信息泄露容易引發財產損失。據威脅獵人發布的《2023 年Q1 數據資產泄露分析報告》顯示，第一季度已經發生近1000起數據泄露事件，涉及個人金融信息、交易信息等敏感信息。被泄露的數據往往會流入數據黑市，被轉賣至銷售企業、詐騙集團，不法分子進行精準電信詐騙或勒索，為個人生活安寧及財產安全帶來了威脅。[10]參見李昊：《個人信息侵權責任的規范構造》，載《廣東社會科學》2022 年第1 期，第255-257 頁。另一方面，信息泄露等侵權行為本身侵害了信息財產權。個人信息具有人格與財產雙重法律屬性，[11]參見彭誠信：《論個人信息的雙重法律屬性》，載《清華法學》2021 年第6 期，第78-97 頁。個人信息財產權是一種獨立的新型產權，指自然人對其個人信息商業利用中享有的財產利益的支配權，[12]參見項定宜：《論個人信息財產權的獨立性》，載《重慶大學學報（社會科學版）》2018 年第6 期，第1 73 頁。非法使用敏感個人信息顯然剝奪了個人對信息的支配權。

（二）敏感個人信息特別保護的法律缺憾

在我國現行立法下，對于敏感個人信息的規制呈現出以《個人信息保護法》為統領、專項法律規制為輔助的立法保護設計。如最高人民法院于2021 年7 月發布的《最高人民法院關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》，成為我國首部有關人臉信息保護的司法解釋。但敏感個人信息類型眾多，且在特定場景下一般個人信息也可能呈現出高敏感性，難以實現一一立法。稠密的法律監管，更加重了信息利用的法律合規成本，也不利于信息的共享與流通。綜合來看，對敏感個人信息保護的邏輯基本沿襲了一般個人信息保護規則，以知情同意規則作為法律規制的基石，沒有體現出敏感個人信息特殊的保護需求，存在以下兩點法律缺憾：

其一，敏感個人信息保護雖然構建了單獨同意規則，但依然面臨著規則失靈困境。一方面，單獨同意規則的有效性尚需檢驗。“知情-同意”規制假定個體均為“理性人”，可通過“通知-選擇”模型充分實現“自我隱私控制”，即企業通過取得個人的單獨同意獲得使用敏感個人信息的合法性基礎。事實上，個體顯然無法作為“理性人”實現自我隱私管理，美國著名的隱私學者丹尼爾·索洛夫（Solove）中肯地總結了個體無法作為“理性人”保護數據隱私的原因：人們不會閱讀隱私協議；即便閱讀，人們也不會理解；即便人們可以理解，往往也缺乏足夠的知識背景作出明智的決策；即便作出決策，也可能因各種困難而產生偏差。[13]See Daniel J.Solove Introduction: Privacy Self-management and the Consent Dilemma, 126 Harvard La w Review 1880, 1888(2013).知情同意規則更無法防范信息收集者以侵犯隱私和不道德的方式收集、使用敏感個人信息。如具有遠程識別特性的人臉識別信息，僅僅只是提示用戶已經進入人臉識別區域，便收集用戶信息并據此對用戶分類，并未告知收集、使用人臉識別信息的范圍，該告知并非征求同意的過程。[14]參見浙江省寧波市市場監督管理局甬市監處〔2021〕18 號行政處罰決定書。另一方面，單獨同意的意思表示真實性缺失。一般信息主體難以準確預測敏感個人信息收集處理的風險，甚至不知曉敏感個人信息的范疇，在此情形下作出的同意缺乏真實性。信息主體缺乏與信息收集者協商如何收集、使用信息的地位與能力，雙方具有“權力不對稱”關系，拒絕同意則意味著放棄整個數字社會的福利。面對“take it or leave it”的“被迫式”同意規則，信息主體的同意喪失了自主性和真實性。

其二，現行法律框架沒有為敏感個人信息保護行權、維權提供便捷的機制。一方面，個人信息權利的行使與信息自由之間存在沖突。盡管《個人信息保護法》賦予了個人在個人信息處理活動中享有知情權、決定權、查閱復制權、更正補充、刪除權等權利，卻沒有賦予個人相應的議價能力。在個人信息收集、處理活動中，個人處于被動、弱勢地位，并囿于知識限制，不能與信息處理者協商調整個人信息收集、使用的條款。另一方面，《個人信息保護法》沒有為敏感個人信息保護提供特殊的救濟機制。在個人信息侵權的歸責原則、損害賠償數額等方面與一般個人信息保護無異。《個人信息保護法》第69 條第1 款確定了個人信息侵權采用過錯推定原則，規則的先進性在于實現了證明責任的倒置，但信息主體依舊承擔過錯的主張責任，并提供初步證據支持其主張，信息處理者仍可通過提供證據證明其盡到了合理的注意和提示義務對信息主體的主張進行抗辯。[15]參見蔣麗華：《無過錯歸責原則：個人信息侵權損害賠償的應然走向》，載《財經法學》2022 年第1 期，第41 頁。由于信息處理存在不透明性，個人難以獲得信息處理者侵權的證據。因此，過錯推定原則沒有徹底改變訴訟中信息主體的弱勢地位。此外，《個人信息保護法》第69 條第2 款規定則明確以“受到的損失”和“獲得的利益”作為計算損害賠償的依據。事實上，認定實際損害賠償與侵權人獲利賠償數額的可操作性并不強。[16]參見彭誠信、許素敏：《侵害個人信息權益精神損害賠償的制度建構》，載《南京社會科學》2022 年第3期，第92 頁。實踐中，單條敏感個人信息的價值極低，而侵權卻極易導致精神性損害，往往難以量化為具體的、合理的賠償數額。且個人參與訴訟的成本投入是巨大的，立法沒有為信息主體參與個人信息侵權訴訟提供法律激勵。盡管《個人信息保護法》第70 條規定的個人信息保護公益訴訟能夠改變了訴訟雙方的力量對比，節約了司法成本。但其屬于新的法定領域，仍有一些理論與實踐問題亟待厘清，如“侵害眾多個人的權益”是提起個人信息保護公益訴訟的訴訟事由，“眾多”仍需要進一步解釋與細化[17]參見薛天涵：《個人信息保護公益訴訟制度的法理展開》，載《法律適用》2021 年第8 期，第161 頁。。即便最后通過公益訴訟勝訴，信息處理者承擔了相應的賠償責任，賠償金額也難以充分有效補償遭受侵權損害的“眾多”個人。

二、破局之策：第三方數據信托適配性闡釋

個人信息或個人數據規制模式分為權利規范模式與行為規范模式。當前權利規范模式包括物權說[18]參見蔣林君：《歐盟數據生產者權及其對我國的啟示》，載《湖南科技大學學報（社會科學版）》2021年第2 期，第120-127 頁。、后期物權說[19]參見申衛星：《論數據用益權》，載《中國社會科學》2020 年第11 期，第130-131 頁。以及新型財產權說[20]參見龍衛球：《數據新型財產權構建及其體系研究》，載《政法論壇》2017 年第4 期，第63-77 頁。等不同學說，行為規范模式包括競爭法、侵權法及合同法規制以及信托說[21]參見張麗英、史沐慧：《電商平臺對用戶隱私數據承擔的法律責任界定——以合同說、信托說為視角》，載《國際經濟法學刊》2019 年第4 期，第24-37 頁。等。“行為規范模式是通過對他人行為予以必要的法律規制確保相關法益免受特定之侵害。”[22]參見鄭曉劍：《個人信息的民法定位及保護模式》，載《法學》2021 年第3 期，第119 頁。數據信托理論是順應數字經濟時代而生的新興法律制度，以受托人的數據行為規范為核心，課以信息信義義務，既可通過特殊信托結構矯正“權力不對稱”關系，還具有便捷的權利行使機制、充分維系隱私信任、構建公眾參與敏感信息治理平臺等功能價值。

（一）數據信托方案：第三方規制

數據信托理論有兩種方案：一種是美國的“信息受托人”方案，即對數據處理者施加信義義務；另一種是英國的“數據信托”方案，由獨立第三方機構提供專業的數據管理服務。[23]參見翟志勇：《論數據信托：一種數據治理的新方案》，載《東方法學》2021 年第4 期，第61 頁。我國學者大多關注的是杰克·巴爾金（Balkin）教授提出的“信息受托人”理論，為信息處理者施加信息信義義務。將信義義務引入到新型數據關系中，“要求信息處理者以受托人身份參與數據實踐，從而使其負擔更高的義務標準并據此增強它們的問責制”。[24]參見解正山：《數據驅動時代的數據隱私保護——從個人控制到信息處理者信義義務》，載《法商研究》，2020 年第2 期，第82 頁。信息信義義務根植于“個人-企業”的不平衡權力關系，“網絡企業的強勢地位決定了網絡用戶對其具有信義利益，網絡企業應該承擔保護網絡用戶個人信息的信義義務”。[25]參見吳偉光：《平臺組織內網絡企業對個人信息保護的信義義務》，載《中國法學》2021 年第6 期，第45 頁。然而，“信息受托人”方案并未改變當前的信息權力結構，僅是信息信義義務對信息關系的重新詮釋。尼爾·勞倫斯（Lawrence）教授提出的“數據信托”方案重新構造出“信息主體-受托人-信息處理者”三方主體關系，之于敏感信息保護具有顯著優越性。換言之，通過引入一個獨立的“自下而上”的第三方受托人機構，代表信托受益人行使《通用數據保護條例》（GDPR）等自上而下的法律法規授予個人的數據權利，作為“賦權”狀態下法律對數據必要但不充分監管的補充。[26]See Sylvie Delacroix & Neil D.Lawrence, Bottom-up data Trusts: disturbing the ‘one size fits all’ approach to data governance, 9 International data privacy law 236, 236-252(2019).“數據信托”結構中的數據受托人作為第三方中介機構，可以為高敏感性、強人格侵害性及財產損害性的敏感個人信息提供專業的、獨立的數據管理服務，與信息處理者形成權力制衡關系，實現“權力關系對等化”。數據信托一方面彌合了信息主體與信息處理者之間的信任赤字，強化敏感信息保護；另一方面還提供公眾參與機制，實現公眾監督。由此可見，數據信托在敏感信息保護邏輯上，與其敏感性、需求性呈現出高度適配性。

目前，數據信托現處于理論研究階段，并未形成權威定義，一般認為其是一種全新的數據治理模式。數據信托雖冠以“信托”之名，實為一種數據治理的法律結構，英國開放數據研究所（Open Data Institute）將其定義為 “一種提供獨立數據管理的法律結構”[27]參見翟志勇：《論數據信托：一種數據治理的新方案》，載《東方法學》2021 年第4 期，第62 頁。。將數據信托引入敏感個人信息保護架構后，由第三方機構提供專業數據管理服務，以滿足個人的隱私保護需求、信息處理者的合規需求以及數據使用者的信息需求。第三方數據信托的顯著特征是將信息控制權轉移至受托人，由受托人實際享有信息支配權，可以依據自己的意愿處理敏感個人信息并采取相應的隱私保護措施。由此，依據劍橋大學與伯明翰大學聯合發起的“數據信托計劃”的“工作文件2”，即《數據信托：數據機構發展的國際視角》，數據信托的特征可以詳述為以下三點：一是獨立管理，在行使受托持有的數據權利時，受托人負有信義義務，要求受托人為了受益人的最大利益行事，并制定保障措施確保受托人在管理信托財產時獨立于其他利益；二是制度保障，信托法為委托人追究受托人的責任提供了完善的程序，法院也為違反信義義務的受托人采取補救措施提供了途徑。發生索賠時，受托人可以證明其履行了公正、審慎、透明和忠誠義務以促進受益人的利益，從而免責；三是集體行動，正如19 世紀的“土地社會”賦予人們選舉權，通過匯集資源獲得一塊永久持有的土地，受托人可以幫助信息主體獲得其自身難以實現的數據權力。數據信托通過信托機制聚合信息中的議價能力，受托人將比任何個人更有能力協商數據使用條款，并有能力應對數據的不合理使用行為。[28]See Data trusts: international perspectives on the development of data institutions, Data Trusts Initiative, January 28, 2021, para 7.

第三方規制是相對于企業的自我規制和政府的行政規制，可以有效克服市場與政府的“雙重失靈”。[29]參見劉權：《數據安全認證：個人信息保護的第三方規制》，載《法學評論》2022 年第1 期，第119 頁。一方面，受托人是法律上構建的介入敏感個人信息保護的獨立第三方主體。《個人信息保護法》第21 條規定了個人信息委托處理規則，委托處理本質上是以第三方的技術條件支持個人信息處理者的信息管理與隱私保護需求，表明立法并不排斥第三方參與個人信息保護。獨立第三方受托人具備專業的、高質的敏感個人信息管理服務能力，以“理性人”身份參與敏感個人信息治理，緩解因“權力不對稱”所導致的敏感信息治理失靈的緊張關系。同時受托人在市場中充當了“中介”角色，可有效增強信息主體的隱私信任、數據購買方的交易信任，進而克服信息不對稱導致的“數據鎖定”效應。另一方面，數據信托也不同于《數據安全法》第24 條所規定的數據安全審查以及網絡安全審查等公權力行為。兩者的共同點是形成了第三方主體對當前個人信息處理者的監督，不同點在于前者是市場主體之間的自由合意，后者屬于公權力機關自上而下的監管。政府監管往往是一種特定條件行為或事后行為，前者如數據安全審查評估已成為特定數據跨境的前置程序，后者一般則是針對數據處理行為的執法性審查。受托人不僅可以直接管理敏感數據，而且可以第三方身份參與數據安全評估、認證等，例如對數據跨境、數據交易等事先進行審查認證，確認敏感信息安全、合規。受托人獨立控制、管理敏感信息，進而對信息處理者的信息訪問、處理及利用形成監督與制約，可作為政府不完全監管的補充。

（二）第三方數據信托的理論祛魅

信托是英國衡平法下的制度性產物，故我國引入的信托制度存在一定“水土不服”的問題，信托法的部分規范語言表達亦存有隔閡。例如，我國《信托法》第2 條“將其財產權委托給受托人”表明信托財產并非發生英美信托法上的“財產轉移”，事實上已經與英美信托理論與實踐脫節。在此背景下，“數據信托”概念亦存有疑義，部分學者對信義法引入至信息隱私保護領域展開了激烈批判，認為數據信托與我國現行法律體系不兼容。事實上，中國法上的“一物一權”原則并非信托法介入數據隱私保護的掣肘，數據性質與信托結構高度耦合，契合敏感信息的保護與利用邏輯。

一方面，信托財產主體的復合性契合數據主體多元性。數據信托理論源起于英美國家，沿襲了英美法系中信托制度中的“雙層所有權”，與大陸法系所秉持的“一物一權”以及物權絕對主義無法匹配。然而依據用益物權說或財產權說的主張，數據的主體至少是二元的，即作為數據原發者的個人與作為數據控制者的企業，分別享有數據的“所有權”與“用益權”。換言之，敏感個人信息理應歸屬于個人所有，但信息處理者經過歸集、匿名化處理、特定分析及加工等，付出了勞動，也理應相應數據集合的權利。數據主體多元的論斷根植于數據的生產邏輯，故有學者認為，數據“雙層所有權”架構是信息處理者與信息主體權利結構發展的必然結果。[30]參見馮果、薛亦颯：《從“權利規范模式”走向“行為控制模式”的數據信托——數據主體權利保護機制構建的另一種思路》，載《法學評論》2020 年第3 期，第75 頁。在信托結構上，由委托人享有信托財產的名義所有權，受托人享有實質所有權；在數據結構上，信息主體在“名義”上享有“所有權”，實質上由享有“用益權”的信息處理者經營、管理數據，在信托結構中“用益權”將過渡給受托人。數據“所有權”與“用益權”的分離，信托財產的“名義所有權”與“實質所有權”分離，均呈現“二分”特性，權利結構具有一致性。[31]參見孫宏臣：《數據信托的困境與出路——權宜之計抑或制度創新》，載《經貿法律評論》2022 年第3期，第125 頁。在數據信托結構中，由受托人控制、管理、經營敏感數據，行使數據權利，既符合信托結構邏輯，也符合數據多元主體邏輯。

另一方面，數據信托機制的受托人具有“數據中介”地位，可實現數據“三權分離”。基于數據的基本特性，單一的權利結構理論無法解決數據權屬問題，故學者提倡在數據確權中實現數據所有權、數據經營權與數據使用權的“三權分置”[32]參見宋濤、張丹陽、王雨：《數據要素市場化亟需解決五大難點》，載《中國發展觀察》2022 年第7 期，第34-39 頁。。數據“三權分置”的產權運行機制為《關于構建數據基礎制度更好發揮數據要素作用的意見》所創制，是增強敏感信息數據市場供給的有效手段。數據信托為一種較為合理、有效的“三權分置”機制。“數據三權”以數據所有權為前提，以數據經營權為核心，將數據經營權配置給獨立、專業的第三方受托人，形成事實上的信息權利、數據權利與實際控制權的分離。受托人不享有數據利益，信息主體更信任受托人會以符合其隱私利益方式分享信息數據。受托人控制、儲存、經營與利用敏感信息，隔離了信息處理者處理敏感信息的法律合規及道德風險，形成特殊的責任隔離機制，為其獲取純粹數據利益。

（三）第三方數據信托的彌憾功能

數據信托模型之所以可以作為敏感信息保護的補充機制，是因為其在功能上與敏感信息保護需求呈現出高度耦合特性。

其一，數據信托結構改變了信息主體行權、維權模式。數據信托機制是一種匯集數據權力于受托人，由受托人代表信息主體維護其信息權益的機制。受托人匯集數據權力，形成與信息處理者對等的權力關系，進而通過信義義務的制約將數據權力歸還于個人。在行權層面，受托人按照委托人的意愿管理或處分信托財產，從而形成對信息處理者的權力制衡，監督其“算法控制”“信息繭房”“數據操縱”等行為。故數據信托機制可以將處于權力弱勢地位的信息主體解救出來，代為行使個人信息權利，信息關系由信息主體到信息處理者的授權、對抗，轉變為由受托人到信息處理者的授權、對抗。在維權層面，相對于《個人信息保護法》第69 條確定的信息處理者的過錯推定責任，信托機制天然嵌入了舉證責任倒置規則，更加契合處于弱勢地位的信息主體的維權需求。我國《全國法院民商事審判工作會議紀要》第94 條規定受托人應當對信托財產遭受的損失承擔履行勤勉、忠實、謹慎義務的舉證證明責任，可以理解為我國司法層面已經在信托領域適用舉證倒置規制。[33]參見馮果、薛亦颯：《從“權利規范模式”走向“行為控制模式”的數據信托——信息主體權利保護機制構建的另一種思路》，載《法學評論》2020 年第3 期，第77 頁。概言之，信息主體行權、維權能力可通過數據信托結構過渡給獨立的第三方受托人，其可以為敏感個人信息保護作出更專業、更有效更符合受益人利益的決策與行動。

其二，第三方數據信托結構有助于維系信任。“信任生產的主要機制在于減少不確定性，共同的文化規范與認同、運行良好的法律法規等是信任的最有力保障。”[34]參見鄭丹丹：《互聯網企業社會信任生產的動力機制研究》，載《社會學研究》2019 年第6 期，第69 頁。當雙方主體之間出現不信任，引入第三方中介重塑信任是理想的出路。在信息關系中，信息處理不透明、知情同意規則失靈等透支了信息主體的信任，通過第三方受托人，一方面充當權利中介，即信息主體可信賴的權利受托人；另一方面充當執行中介，對信息處理者的侵權行為予以追索、請求賠償以及對外部信息訪問行為進行裁決，構建起全新的三方主體信息信任關系。同時數據信托結構基于委托人的信任而建立，受托人需要一直維系這種信任關系進而維持信托關系，由此不斷激勵受托人采取積極措施保護敏感信息，最終又反向激勵信任。

其三，數據信托提供了敏感個人信息保護與使用的公眾參與機制。當前敏感信息治理困局在于，數據處理高度不透明，個體作為信息的原始產生者，卻對數據處理不知情、對數據管理無參與能力。而數據信托基于“委托人-受托人”的特殊權力結構，作為受益人的信息主體既可以直接向受托人表達信息保護訴求，也可以受托人為媒介向數據使用者表達數據保護的要求，這也是受托人“為受益人利益行事”的題中應有之義。英國生物銀行管理50 萬人捐贈的健康數據模式為數據信托介入敏感個人信息保護提供了可借鑒經驗。學者塔頓（Tutton）曾主張在生物樣本庫成立之前，將參與者代表納入管理機構，以專家主導的數據訪問委員會或公眾及參與者小組等均可確保公眾持續性參與。實踐中，英國生物銀行采取了公眾咨詢的形式促進公眾對生物銀行的信任，包括同意程序、道德和治理框架等。[35]See Dixon-Woods M, Milne R, Sorbie A., 48 What can Data Trusts for Health Research Learn from Participatory Governance in Biobanks? 323, 325(2022).公眾參與還體現在敏感數據的社會化利用：一方面，受托人將敏感個人信息匿名化之后，將可以基于公共利益提供給科研機構；另一方面，可將匿名化數據提供給商業主體，或者提供算法訓練、數據服務等商業服務，挖掘數據價值。同時在金融層面，受托人可以開發數據信托產品，向社會公眾募集資金開發數據產品，將數據產品進行社會化利用獲取收益，最后將社會收益支付給受益人與社會公眾，實現數據資產的資本化運作。[36]參見冉從敬、唐心宇、何夢婷：《數據信托：個人數據交易與管理新機制》，載《圖書館論壇》2022 年第3 期，第61 頁。

三、機制之述：第三方數據信托的具體展開

（一）基本架構：主體資格及運行機理

1.數據信托主體資格

數據信托產品主要包括了委托人、受益人、受托人以及受托人面向的數據服務商、數據使用者。信息主體、信息處理者與信托公司建立信托關系，信托公司經過數據清洗、加工等行為，向數據需求方提供“數據本體”“數據產品”“數據服務”，雙方形成數據服務合同關系。

“數據信托”方案以信息主體作為委托人，通過數據信托法律關系引入獨立受托人，進而緩解信息主體與信息處理者之間的權力不對稱矛盾。但鑒于信息主體是缺乏統一意識的獨立個體，難以形成設立數據信托的意思聯絡，也就難以形成具有信托管理價值的數據集合。換言之，單條個人信息經濟價值顯著低微，少量個人信息不符合信托管理的效益原則。因此以信息主體為委托人可能難以成立有效的數據信托。事實上，信息處理者作為信息權利主體之一，亦可作為委托人設立數據信托。理由在于信息處理者對個人信息進行收集、加工，進而形成了極具價值挖掘的數據集合，以數據集合設立數據信托更符合信托管理的市場規律。當然，信息處理者作為委托人并不影響信息主體的權利，信息主體作為權利主體在數據信托結構中仍然享有信托受益人地位。故委托人為信息處理者或達到一定數量的信息主體，可基于經濟利益、權利保護、科學研究等多樣化目的設立數據信托，并將數據控制權轉移至受托人。受托人由符合《信托法》《中國銀保監會信托公司行政許可事項實施辦法》等法律法規規定的信托公司擔任，應嚴格依照《個人信息保護法》《數據安全法》等法律規定處理數據、保護數據隱私。受益人是委托人指定的主體或享有數據財產權益的主體，新型物權說或新型數據財產權說均認可信息處理者的數據財產權或數據經營權，也承認信息主體的有限財產權，故二者均應作為信托受益人。當然，受益人可以是依據委托人的意愿而自主設定，因為信托的本質是財產權的轉移，即某物被委托給（commissum）某個受信（fides）的人，使其他人得利。[37]參見[英]大衛·約翰斯頓著：《羅馬法中的信托法》，張淞綸譯，法律出版社2017 年版，第9 頁。由此，通過引入信托制度，將原本的數據處理關系拓展為數據處理關系與數據信托關系并存，從而徹底改變賦權規范模式下的“權力不對稱”關系，并依據信托法規則重新分配救濟責任，信息主體通過受托人的“數據中介”機制，重新掌握數據權力。

受托人作為數據信托機制的核心主體，還應具備敏感個人信息的隱私利益保護能力。一方面，應具備隱私保護的技術能力。由于我國對信托公司實行嚴格管理，信托產品的設立與運行必須經由信托公司進行，但信托公司并不能滿足敏感個人信息處理的專業需求，故信托公司可通過技術積累、股權交換或技術合作使之成為合格的“受托人”。如隱私計算、匿名化技術等隱私保護基礎技術，也可以通過委托處理的形式使其具備隱私保護的技術條件，此時則落入《個人信息保護法》第21 條“委托處理規則”的規制范疇。另一方面，受托人應具備開發數據價值的能力。受托人不僅是“信息主體-信息處理者”之間的權力媒介，更是“信息處理者-數據使用者”之間的橋梁。受托人作為數據交易中的賣方，向數據使用者提供算法訓練、數據產品及數據分析結果等；為公益目的向科研機構提供匿名化的醫療數據、生物特征數據等。故受托人應具有基礎的數據價值挖掘能力，才能充當“橋梁”角色，實現敏感信息的價值性。

2.數據信托運行機理

通過明確數據信托參與主體及資格要求后，總結分析出數據信托的運行機理。在信托層面，信息處理者將收集的敏感信息經加工整理形成的數據集合信托給信托公司，或信息主體直接以個人信息財產權設立數據信托，受托人負擔信息信義義務，通過挖掘數據集合價值，促進數據價值共享并獲得收益，繼而向信托受益人支付信托收益。信息主體的信托收益表現為兩個方面，一是受托人忠誠、謹慎、勤勉及盡責地維護其信息隱私權利，超越了當前立法“自上而下”的信息處理義務；二是數據集合經價值挖掘并交易所產生經濟收益，此處對信息主體的信托收益應當在數字經濟語境下進行解讀，即“不指向金錢收益，而是數字生活便利或平臺整體優惠”，或稱之為“數字便益”。[38]參見商希雪：《政府數據開放中數據收益權制度的建構》，載《華東政法大學學報》2021 年第4 期，第71 頁。因數據主體本身為信息處理者的平臺用戶，故具體執行方式可通過信息處理者向信息主體發放。信息主體作為委托人，信托收益則由受托人聯合信息處理者支付或直接支付。在交易層面，受托人作為數據出賣方，與數據購買方形成數據交易，具體表現為數據分析服務、大數據服務等，前者包括行業發展報告、輿情分析等，后者如信息認證、算法訓練、以及特征推薦等。受托人還可以面向技術服務商與社會投資者，分別引入數據技術與社會資金，形成數據信托產品的資金、技術循環。數據信托運行機理詳情如下圖一所示，具體又可以敏感信息收集、數據信托設立及受托人責任三個方面展開。

圖一數據信托產品運行機理

首先，在敏感信息收集階段，要以“知情同意”為基礎合法合規獲取受托信息。敏感信息作為可直接識別特定個人的數據，包括個人信用數據、個人金融數據、個人健康數據以及生物特征數據等。敏感信息經由個人流向信息處理者，經設立數據信托后再流轉至受托人，或由個人處直接流向受托人，由受托人進行信息管理。故敏感信息收集作為信托敏感信息的最初階段，遵循“知情同意”規則是其合法性基礎。一方面，數據處理者經過用戶授權或網絡服務收集海量敏感信息，依據不同內容劃分、處理不同類型數據形成數據信托的對象數據。要求不得使用非法手段收集，如不得以欺詐、誘騙、強迫等方式或者從非法渠道收集敏感個人信息，不得收集法律明確禁止收集的信息，亦不得隱瞞提供的產品或服務所具有的收集個人信息的功能。另一方面，就以敏感信息設立數據信托、對外共享等事宜單獨獲得信息主體同意與授權。嚴格依照《個人信息保護法》所規定的單獨同意規則，在特定目的和充分必要的前提下，確保進入“信托”的數據來源合法合規。敏感個人信息經過脫敏處理后，最后轉化為可供社會應用的數據。仿照著作權集體管理制度對獲取的數據進行管理及運營，便于提高數據產品的整體價值度以及對個人數據主體的收益分配。

其次，設立數據信托應采用法定信托形式。數據信托領域存在意定信托與法定信托兩種設立形式，意定信托是基于委托人與受托人之間自愿訂立的數據信托合同而設立；法定信托是直接在數據分級分類保護的立法中確認相關主體之間的數據信托關系。[39]參見席月民：《數據安全：數據信托目的及其實現機制》，載《法學雜志》2021 年第9 期，第41 頁。正如前文所述，敏感個人信息是極具人格侵害性、商業及科學研究價值的類型化數據，需要法律予以特別保護。依據特定場景，將醫療健康數據、面部識別數據、金融隱私數據等敏感信息以法定形式設立數據信托，直接以第三方的專門管理作為立法的特別保護，符合敏感個人信息的規制邏輯。同時，數據信托必須有足夠多的成員、匯聚足夠多的數據權利，才能擁有與數據使用者談判的市場影響力及議價能力，即設立數據信托在成員數量上具有特殊要求，例如一千萬條個人信息。[40]See Raab, Susan, The Data Trust Model Proposes Individuals can Control their Data for Profit, 4 Journal of Data Protection & Privacy 114, 116(2021).單條個人信息難以成立有效數據信托，而法定信托將在立法層面強制信息處理者將收集、加工形成的人臉信息數據、醫療健康數據等類型化、規模化的數據集合設立數據信托，進而滿足數據信托設立的數據臨界值要求。

最后，受托人違反信義義務損害信托財產應當賠償信托財產損失。受托人違反信托條款處分信托財產，將會啟動內置于信托機制中的舉證責任倒置規則，比之合同框架與個人信息保護法提供的救濟機制更加強大。在個人的人格權受到侵害時，由受托人承擔主觀無過錯、已經采取了敏感信息保護措施等的舉證責任，不僅平衡了侵權人與被侵權人的訴訟地位，還可以督促受托人采取更嚴格的手段保護數據。[41]參見李智、姚甜甜：《數據信托模式下受托人信義義務之規范》，載《學術交流》2022 年第2 期，第40-41頁。換言之，受托人沒有盡職盡責地履行數據管理、選任合理的數據使用者等信義義務，甚至與數據使用者的數據侵權行為存在意思聯絡，造成了信托財產損失，“損失”包括“人格權益損害”，則應當賠償信托財產的損失。至于“賠償責任”的對象是信托財產，而非信托當事人的委托人或受益人，是因為信托財產具有獨立性，獨立于委托人、受益人、受托人三方的固有財產。信托財產為受托人占有、管理、支配之對象，信托財產本身不可能要求受托人向其承擔賠償責任，因此《信托法》第22 條將損害賠償請求權授予了委托人或受益人。[42]參見張淳：《試論受托人違反信托的賠償責任——來自信托法適用角度的審視》，載《華東政法大學學報》2005 年第5 期，第18 頁。若是第三人侵害信托財產，受托人應采取積極行動要求侵權人承擔相應責任，向侵權人索賠也是受托人履行信義義務的核心內涵。因此，數據信托機制受托人代表信息主體追訴侵權人，權力結構是對稱的，可以有效化解敏感信息侵權中行權、維權難問題。

（二）行權范疇：數據信托財產的厘定

明確受托人的權利范疇，首先要界定數據信托財產。數據信托是委托人將信托財產轉移至受托人，并由受托人享有信托財產之權利，為委托人指定的人的利益而行事的機制。故受托人的權利來源于委托人設立數據信托的數據信托財產。

經典數據信托理論將“數據權利”作為信托財產。勞倫斯教授認為，數據信托應以數據權利作為信托標的，理由是英國法上的產權可以是任何類型的可交易資產，即便是數據這樣的無形資產也可以成為信托法律意義上的財產，且數據信托的范圍被GDPR 等立法在多大程度上、對什么類型的數據、授予了多大的權利所決定。[43]See Sylvie Delacroix & Neil D.Lawrence, Bottom-up data Trusts: disturbing the ‘one size fits all’ approach to data governance, 9 International data privacy law 236, 236-252(2019).基于此，受托人不僅可以為受益人的經濟利益行事，更可行使數據上的人格性權利，充分維護委托人、受益人的隱私利益。而事實上，英美法系的數據信托理論均基于廣義的信義法而非基于財產信托，信義義務的行為要求脫離了可能作為信托財產的個人數據，鑒于我國僅允許設立財產信托，基于廣義信義法的數據信托理論在我國無法適用。[44]參見葉嘉敏：《個人信息收集視域下數據信托解釋論研究》，載《內蒙古社會科學》2022 年第2 期，第97 頁。故我國有的學者認為應以信息處理者的數據財產權作為信托標的，權利基礎來源于“數據生產理論”，即信息處理者對敏感個人信息集合、歸類及整理，以及在此基礎上對原始數據的分析和加工，付出了“勞動”。[45]參見孫宏臣：《數據信托的困境與出路-權宜之計抑或制度創新》，載《經貿法律評論》2022 年第3 期，第118 頁。但是該觀點依據信托法規則設計，僅考慮了信息處理者的經濟利益，缺乏對個人人格性權利的考量，也忽略了個體設立數據信托的潛在可能性。

以個人信息財產權為信托標的設立數據信托具備可行性。個人信息財產權與人格權具有顯著區別，具有可繼承性、可處分性、可轉讓性，具有獨立確認價值。[46]參見項定宜：《論個人信息財產權的獨立性》，載《重慶大學學報（社會科學版）》2018 年第6 期，第172頁。同時“個人信息能夠滿足商業性且有可控性和稀缺性，具有成為法律上的財產權益客體的可能性”。[47]參見彭誠信：《論個人信息的雙重法律屬性》，載《清華法學》2021 年第6 期，第82 頁。一方面，可以通過單獨訪問權限的技術設置讓信息財產在性質上滿足獨立性要求，另一方面，可以通過設置除外條件讓信息財產權益在范圍上滿足確定性和同一性要求，[48]參見魯斯齊：《后設監管理論下平臺組織內信息信義義務的適用》，載《電子知識產權》2022 年第5 期，第21 頁。從而達致數據信托設立要求。而信息處理者經敏感信息收集、歸集與加工處理，付出勞動，自應在數據信托中享有權利。

另外，基于個人信息的雙重法律屬性，保護敏感個人信息上的人格權益作為重要信托目的，則可以從受托人義務視角加以解釋。一方面，現實中個人讓渡部分刪除權、更正權已成為數字網絡的新常態，受托人是對信息處理者法律地位的承接，如其一般對個人信息部分人格性權利進行管理并未改變現狀；另一方面，信息信義義務要求受托人應當“為受益人的最佳利益行事”，而信息主體作為信托受益人，代為行使信息主體部分人格性權利是充分維護隱私利益核心要義，這并非人格權的信托或轉移，而是數據信托結構對受托人的基本要求。[49]參見楊應武：《數據信托：數據交易法律規制的新路徑》，載《東南大學學報（哲學社會科學版）》2023年第S1 期，第123 頁。

因此，受托人一方面可基于個人信息財產權，整理、分析、加工敏感個人信息，開發數據產品與數據服務，享有以自己的名義對敏感信息進行管理和處分的權利。另一方面，受托人基于數據信托結構可以行使部分人格性權利，包括控制信息訪問權、刪除權、更正權等權利。但信息主體依然享有撤回同意的權利，若受托人未能履行受信義務或侵害信息主體權益，可以隨時基于撤回同意權解除數據信托關系。此外，就信息處理者設立數據信托而言，受托人有權要求信息處理者說明數據來源，提供敏感信息收集的合法性證明，確保信托數據來源合規。

（三）義務配置：信息信義義務的制約

數據信托機制為受托人課以信息信義義務。一是數據忠誠義務，受托人應積極地為客戶最大利益行事；二是謹慎義務，受托人提供謹慎、專業和熟練的高質量數據管理服務。將信義義務引入至數據關系中，敦促數據實質控制人以“善良管理人”身份管理敏感信息，降低信息處理者侵害個人信息隱私風險，確保被信息隱私侵害后得到充分救濟。[50]參見顧敏康、白銀：《“大信用”背景下的信息隱私保護——以信義義務的引入為視》，載《中南大學學報（社會科學版）》2022 年第1 期，第51-52 頁。信息信義義務并不因數據信托方案的不同而存在差異，“數據信托”與“信息受托人”均將受托人假定為具備數據管理知識與能力的專業機構，均將信托法上的受信義務引入至數據法上的“信息處理者”，構建三方主體結構，由受托人負擔忠誠、謹慎的信息信義義務。

受信者具有忠誠和守信的特殊義務。信托法是一種普通法結構，側重于建立在信任和信心基礎上的一些特殊關系。客戶將信任放在信托中，受托人有義務不背離該信托。其必須為客戶的利益行事，房地產經紀人、投資顧問、律師和醫生是受托人的典型例子，他們在忠實義務下處理客戶的金錢、秘密以及盡責的服務。個人在信息關系中顯然是脆弱的，忠實義務可以修復“信息主體與信息處理者”之間的“權力不對稱”關系，通過信托結構的信任關系，促使處于脆弱狀態的個人將敏感信息交由受托人掌握，賦予受托人“家長式”權力具有必要性，使其具有獨立的自由裁量權，并據此作出受益人可能不同意但卻是最符合受益人利益的選擇。數據忠誠義務表現為受益人最佳利益途徑，如果委托人是脆弱的，或者委托人的指示難以辨別，那么忠誠就意味著受托人要將客戶福祉放在首位，一切行動以促進委托人或受益人的最佳利益為目的。[51]See Neil M.Richards & Woodrow Hartzog, A Duty of Loyalty for Privacy Law, 99 Washington Univers ity Law Review 961, 990-992(2021).例如，受托人應主動監督外部信息訪問、數據使用行為，對不符合委托人或受益人利益的隱私協議提出異議并監督修改，抗議不符合受益人利益的“定向廣告”“信息繭房”“算法控制”等。并且受托人不能巧借信托制度的“權利轉移”機制規避個人同意以濫用數據。此外，忠誠義務還包括以下規則：一是無沖突規則，受托人不得將受益人利益置于與自己利益相沖突的位置；二是無利潤規則，受托人僅有收取信托費用之權利，不得從信托財產中獲利；[52]參見迪莉婭：《個人數據信托的治理功能、模式與發展策略》，載《情報理論與實踐》2023 年第5 期，第9 2 頁。三是保密義務，受托人對履職過程獲取的商業機密、商業模式等信息負有保密義務。

謹慎義務要求受托人對敏感個人信息的管理應盡到“善良管理人”之注意。謹慎義務是指受托人應盡到合理謹慎人處置他人財產時一樣的注意、技能和謹慎的義務，“謹慎人”一詞還涵蓋了受托人采取按照處置自有財產的謹慎標準。[53]參見［美］愛德華·C·哈爾巴赫著：《吉爾伯特信托法》，張雪楳譯，法律出版社2017 年版，第210頁。事實上，“受托人因委托人信賴而管理信托財產，在管理上僅付出‘對自有財產之同一注意’尚且不足，而是要求必須盡到‘善良管理人的注意’。”[54]參見［日］三菱日聯信托銀行編著：《信托法務與實務》，張軍建譯，中國財政經濟出版社2010 年版，第67 頁。其一，數據信托語境下，對委托人基于信任托付的個人信息財產權，受托人負有積極行動之義務。如為保護敏感信息權益，受托人負有采取合理的技術手段防止隱私泄露。針對侵犯信息隱私、財產利益的行為，有提起訴訟并要求侵權人賠償信托財產損失的義務。其二，受托人應充分發揮其專業的信息管理知識與經驗。一方面要對外部數據訪問人的身份信息、訪問目的、范圍與隱私保護條件進行審核，對可能發生的數據安全風險進行評估，符合數據安全標準后才予以開放數據訪問；另一方面，受托人應基于“善良管理人的注意”對數據產品開發或數據服務開放作出綜合判斷，合理引入數字技術與社會資金挖掘數據價值，確保信托財產增值，為受益人帶來信托收益。

四、結語

敏感個人信息的特別保護與利用是數字經濟時代重大課題，治理結構事關人格尊嚴與數字經濟發展成效。“自上而下”的權利規范模式難以修復信息主體與信息處理者之間“權力不對稱”關系，還衍生出知情同意規則失靈、行權維權不便等缺憾。數據信托本質上是一種第三方數據集體保護模式，構建了“回應型”敏感個人信息治理方案，以受托人的中介地位重新平衡信息主體與信息處理者之間的權力關系，可彌補“自上而下”法律規范的缺憾。

當然，數據信托也并非完美無缺，信托法作為“舶來品”在中國已經呈現出水土不服之狀，如何構建中國法上的數據信托制度尚需長遠考量。如隱私損害發生時，受托人應具有支付損害賠償的能力。一種可能的解決方案是要求受托人持有責任保險，資金來自數據許可使用費或由國家承保。[55]See Data Trusts：A new tool for data governance，https://futurecitiescanada.ca/portal/resources/data-trustsa-new-tool-for-data-governance/.對于新事物應始終保持包容與開放，還應認識到數據信托在數據交易共享、公共數據授權運營以及數據跨境流通等方面的制度價值，可為數字經濟發展提供數據要素流通的工具支持。