数据信托理论下的个人信息保护机制研究

何 俊

（西南科技大学法学院，四川 绵阳 621000）

伴随着大数据技术和互联网平台经济的发展，个人信息的经济价值得到充分开发，但个人信息也因其自身利用形式的多元化而遭受更加严重的安全风险，信息的非法泄露及算法歧视等不当的信息利用方式正持续侵犯着信息主体的合法权益。我国在构建个人信息保护制度体系之初主要采纳的是个人本位理念指导、以“理性人”假设为基础、“赋权—维权”为路径的私法保护模式，其集中表现为以“告知同意”规则保障信息主体对于个人信息处理行为的知情、参与和决定权，并根据“告知同意”的发生与否判断信息处理行为的合法性。但是由于信息处理者与信息主体间的实质不对等关系、个人信息的社会性以及信息主体的有限理性等客观因素，这种模式在实际运行中逐渐暴露出对信息控制者的约束力不足和信息主体维权困难的弊端。因此，我国个人信息保护领域的法治理论与实践开始愈发重视国家干预的作用，尝试通过更严格的义务规范以强化对信息处理者的约束，或通过优化信息主体被侵权后的救济程序以降低其维权成本。数据信托理论或称信息信义义务理论正是在上述背景下出现在我国的相关研究中，成为我国个人信息保护模式转型的一种可供借鉴乃至选择的路径。

数据信托理论起源于英美两国，是受信托法理念启发而形成的，其本质是通过直接给信息控制者施加信托义务或引入独立第三方作为信托人，从而在信息主体和信息处理者之间建立起信赖关系，即信息主体信任信息处理者且信息处理者值得被信任的一种数据治理方案。近年来，数据信托理论受到我国学界关注，部分学者对数据信托的制度原理、历史渊源和应用现状进行了总结，从正反两面探讨了在我国建立个人信息保护的数据信托模式的必要性和可行性问题，并且对构建数据信托规则体系提出了初步的设想。虽然相关研究对于数据信托在国外的理论和实践已经有了一定的认识，但是在进行本土化尝试的过程中并未将数据信托关于数字信任的制度价值作为立足点，因而产生了对数据信托理论本身合理性的质疑以及信息信义义务与我国立法的兼容性等问题的争论。基于此，笔者将从现有个人信息保护模式的转型需求出发，通过分析数据信托的核心理念和义务设定特征，论证其对于我国个人信息保护的可借鉴意义。此外，尝试结合2021年11月正式施行的《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）探析数据信托理论在我国的具体应用问题，以期对我国的个人信息保护和数据要素市场化提供一些新的思路。

一、个人信息保护模式的转变：原因与方向

《个人信息保护法》第13条和第14条继承了此前的《网络安全法》和《民法典》的相关规定，进一步肯定和细化了知情同意原则。该原则是传统的个人信息保护模式即权利赋予型保护模式的核心，赋予了信息主体关于其个人信息处理事项的知情权和决定权。除此之外，再辅之以删除权、更正权、转移权等权利，构成一个完整的权利体系，使信息主体在信息处理中处于决策者地位。而信息处理者的义务主要是遵守知情同意原则以及提供必要的删除和变更等服务，信息处理者通常会采取公开隐私协议和提供授权选项的方式来履行上述义务。这种个人信息保护模式整体上属于私法进路，“适用私人主导的同意权事前预防和民事诉讼事后救济范式”[1]779。然而，实践证明传统保护模式难以有效地防范大数据时代的个人信息安全风险，故个人信息保护的制度构建开始向强调社会本位、公权干预和对信息处理者直接设定义务规范的行为规制型保护模式寻求突破。

（一）原因：权利赋予型保护模式陷入实践困境

个人信息保护模式转变的动因在于传统的权利赋予型保护模式难以应对大数据时代个人信息收集利用方式的复杂性和信息处理关系中主体地位失衡的局面，其实践困境主要包括以下三个方面。

第一，赋权制度失灵。以知情同意机制为例，信息主体虽然能够查看隐私协议和选择是否授权，但是冗长的协议内容、频繁的授权请求以及“重复效应”“认可偏见”等心理学效应，导致信息主体很难以一种个人信息保护制度所假设的理性状态对自己的个人信息作出处理决策[2]。对于信息处理者给出的“隐私保护指引”“隐私政策”等文件，信息主体通常在未阅读或是阅读了但未充分理解的情况下选择了“已阅读并接受”，因此信息主体往往处于“告而不知”的状态，这种茫然状态下的“同意”没有发挥信息主体的主观能动性，自然也就意义甚微[3]。

第二，责任分配失衡。信息处理者一般是集技术、资本和数据等生产要素于一体的互联网企业，或是其他具有专业信息处理技术和处理权力的主体，信息主体在技术、经济、诉讼等方面几乎全无优势，双方力量明显失衡。在这种悬殊的社会实力对比下，作为分散个体的信息主体对其自身个人信息的话语权旁落于信息处理者[4]。权利赋予型的个人信息保护模式将形式上的决策权赋予信息主体的同时也在无形中根据“决策者负责”的逻辑将信息风险责任结构性配置给了信息主体，而并未考虑这种决策权是否真正被信息主体所享有。实践中的结果是，信息处理者仅仅是在程序上作出了告知和获取同意的动作，在风险发生时就以此作为信息处理活动的免责事由，而缺乏实质决策权的信息主体负担了更重的法律责任，这显然与二者的风险控制和承受能力是不匹配的。

第三，维权效果较差。首先在权利赋予型的保护模式下，作为个体的信息主体遭到权益的侵害后主要依靠民事诉讼进行事后救济，但是信息主体与信息处理者的诉讼能力差距过大，平等对抗仅具有形式上的可能性。其次，个人信息侵权的特征是细微、分散、单次损害较轻但容易长期累积，于单个受害人而言侵权行为难以及时被察觉，且受损金额难以计量，维权付出成本与所获补偿不成正比，个体维权意愿低，诉讼程序根本不易启动。再次，民事救济仅局限于提出诉讼请求的信息主体，而无法弥补同一侵权行为给不特定社会公众造成的损害。公益诉讼虽能缓解民事责任个别化难题，但以司法机关为主导的公益诉讼被动性明显，并且滞后性更加显著，对敏感信息的泄露等问题很难及时地作出反应[5]。

（二）方向：强化行为规制型的保护手段

传统的权利赋予型保护模式在实践中暴露出的上述不足表明，仅仅通过赋权的方式无法实质性地将个人信息的控制权交予信息主体，难以有效地规范个人信息处理活动，达到个人信息权益保护的理想效果。因此，还需从信息处理者一侧入手，通过强有力的行为规制，方能促进个人信息在安全前提下的市场化利用。从功能性角度分析，行为规制模式通过强化个人信息收集、处理的法定条件和程序，额外施加给信息处理者法定义务，能够在一定程度上削弱信息处理关系双方主体在市场地位和诉讼能力上的不对等性。不仅如此，相对于权利赋予模式，行为规制模式关注个人信息处理的全部流程，强调由法的强制规定而非个体的权利对各个环节实行控制，同时细化规制手段以应对不同场景下的个人信息收集、利用行为，降低个人信息被非法收集或不当利用的风险。这样，信息处理者可从法律规范中获知明确的行为模式并以此进行合规建设，个人信息的保护标准也能得到统一，从而能够较好地实现个人信息保护和利用之间的协调与平衡[6]。

观察最近的法治实践可以发现，不管是以《个人信息保护法》为代表的立法成果，还是监管部门实施的执法活动都反映了行为规制型的个人信息保护模式在不断得到强化。从立法上来看，《个人信息保护法》共八章七十四条，除了继续以“告知同意”原则为核心构建个人在个人信息处理活动中的权利保障机制外，其重大突破体现在通过大量翔实的个人信息处理规则以及设专章明确和强化信息处理者在个人信息处理活动应遵循的义务。具体而言，在第二章“个人信息处理规则”中，《个人信息保护法》分别对告知同意程序、自动化决策的应用、敏感个人信息的处理以及公共场所的个人信息处理等行为作出了规定，列明了信息处理者在这些特定活动中应当遵守的具体义务。此外，《个人信息保护法》还在第五章专门从企业合规角度对个人信息处理者的义务作出了集中、详细的规定，构建了较为完整的义务体系。从执法上来看，工信部自2021年以来持续开展针对互联网应用软件的个人信息违法违规活动专项整治，依照《网络安全法》和《个人信息保护法》严厉打击了高频次索取信息权限、超出必需范围收集个人信息等行为，目前已有上百款App受到处理，形成了较好的威慑效果。对比权利赋予型的保护模式，行为规制模式的运行主要依靠公权力机关，在整体的专业性和效率性方面更具优势，因而个人信息保护模式的转变确有其合理性。

但行为规制模式也并非完美，在数字经济的迅猛发展下，个人信息保护制度及其运行所固有的迟滞性将会急剧放大。从立法上来看，立法者对经济和技术发展的预判能力有限，而个人信息利用方式大概率还会持续演变出各种未知形态，在对信息主体设定义务时基于已发生问题所进行的总结式立法能在多长时间及多大程度上应对未来问题是不得而知的。从执法上来看，监管机关与信息处理者之间存在无法消除的信息隔阂，同时受制于执法资源的有限性，执法者只能对个人信息处理活动进行事后评价，行政监管纠错功能的发挥也相对滞后。因此，如何建立一种更具长效性和普适性的行为规制机制，以克服立法滞后性和提高执法效率是完善个人信息保护制度需要进一步思考的问题。

二、数据信托理论：行为规制模式的再优化

《个人信息保护法》的规则设计回应了数字经济发展过程中个人信息保护面临的实践难题，其中大量的信息处理者行为规范有助于缓解信息主体与信息处理者之间实质不平衡的权利状态，的确能够在一定程度上克服以往权利赋予模式的弊端，是个人信息保护领域的一个重大进步。但是，如上文所述，《个人信息保护法》中看似广泛的义务体系恐难以追赶数字产业的变化，而其第五条规定的合法、正当、必要、诚信原则虽具备灵活性却又过于抽象，如不经规范化的解释容易造成适用上的混乱。数据信托理论重视信息处理关系中的“信任”因素，并以信任的获取和保持为目的设置信息处理者的义务规则，参考其中关于数字信任构建的基本原理及其在国外的一些应用经验可以为优化我国个人信息保护的行为规制模式提供帮助。

（一）数据信托理论的逻辑及其优越性

数据信托理论认为信息主体与信息处理者之间存在一种信任关系，即信息主体明知其信息分享时可能存在信息泄露和信息滥用等风险，仍然相信被分享者不会违背隐私期待而做出伤害信息主体利益的行为[7]。这种信任的重要性不言而喻：一方面，信息处理者作为数据的需求者每次要求信息主体提供个人信息时须借助这种信任；另一方面，一旦有信息处理者辜负此种信任，用户就会认为与信息处理者共享个人信息将有损自身利益，那么信息主体将共享更少的信息或者虚假、无用的信息，甚至不再共享任何信息，同时他们对其他信息业者，甚至整个行业的信心也会受到减损，最终将冲击数字经济的可持续发展[8]。因此，既然信息主体给予了信息处理者以信任，信息处理者就应当对这种信任作出对等的、满足信息主体期待的回馈，尽可能地成为一个值得信赖的角色。

数据信托理论因遵循上述逻辑，主张将信息主体与信息处理者的关系设计成信托法律关系，信息处理者应当接受法定的信义义务的约束，同时基于所获取的信赖内容对个人信息享有对应的权利。信义义务主要表现为信托法上的谨慎义务、忠实义务、保密义务等，要求信息处理者将信息主体的利益置于首要地位，所有处理活动不得与其根本利益相冲突[9]。信义义务的基本内涵是将信息主体作为“首要利益者”，它虽比目前相关法律规定中的各项义务更加抽象，但相比合理、诚信等原则又有明确的框架约束，在法律适用中能够根据个案的不同情况更灵活地处理个人信息利用中出现的新问题，更能契合大数据时代信息技术发展迅速和商业模式变化多端的特征。

数据信托理论将信义义务作为信息处理者之主要义务，其本质上仍属于行为规制模式，但是其优越性在于充分意识到数字信任的存在和重要性，并试图用信托的制度模型来维系和增强信息处理关系中的信任因素。此种设计赋予了信息处理者善待信息主体的道德和法律责任，也赋予了行政与司法部门考察信息处理者是否履行个人信息保护义务的充分且受约束的自由裁量权，能够适应信息处理活动处于不断创新之中的状态[10]，同时也提升了信息主体的信任感，能激励更多和更高质量个人信息的释放，从而促进数据产业的发展。

（二）数据信托理论的域外实践及其经验

英美两国发展出了两种不同的数据信托构想：美国的“信息受托人”构想主张通过自上而下的立法直接对数据控制者苛以信息受托人义务，以此来重新平衡信息主体与信息处理者之间的权力关系；英国的“数据信托”构想主张建立第三方机构提供独立的数据信托服务，自下而上的通过第三方来实现权力平衡。美国的“信息受托人”构想目前已经得到一部分的立法回应，其中最典型的是美国民主党在2018年提出的《数据安全法》草案和印度2019年《个人信息保护法》草案。前者明确规定了在线服务提供商的三大信义义务，即注意、忠实和保密义务；后者以“数据受托人”概念取代“数据控制者”概念，规定了告知义务，确保数据质量的义务，数据存储限制义务，自证合法的义务，依法保障数据主体核验和访问权、修正权、可携权、被遗忘权等权利的义务，设计隐私保护义务，透明度义务，安全保障义务，个人信息泄露时的通知义务等[11]。英国的“数据信托”构想主要是对作为信托产品的数据信托商业应用案例的总结，其组织形式在实践中表现多样，有自下而上的数据信托、数据信托门户、数据信托支持组织等。但是其运行模式存在以下共性特征：设立一个专门的数据信托组织，个人信息主体和信息处理者通过该组织协商个人信息的共享方案，然后信息主体将信息权利委托给该组织，信息主体可以凭借受托人的专业知识和能力来与信息处理者平等互动，而平台负责核验资质、订立道德规范、审计信托活动、分配信托运行产生的商业价值等[12]。

美国式数据信托的可借鉴之处在于，以数据“信义义务”总括信息处理者对信息主体的安全保障义务，能够将数字信任的精神内核嵌入各种具体的义务类型中，在更广泛的范围内要求数据控制者提高数据安全保障水平以契合用户的合理期待。而英国式数据信托虽然没有建立起一个统一的模式，但总体而言仍是以建设高水平的信息处理信任环境为核心目标，其关于个人信息保护的先进经验是注重信息处理者、信息主体和第三方主体对个人数据在信息处理各环节的协商共治，同时其各种数据信托产品在运行上的流程性事项也可吸纳为信息信义义务的具体内容。

三、数据信托制度的本土化构建

现行《个人信息保护法》中的各项制度规范没有直接体现数据信托理论的应用，但是其在立法目的和基本原则等制度安排上仍可挖掘出数据信托理论融入的空间。一方面，可以在总则部分完成数字信任理念的嵌入和信义义务原则的设定；另一方面，可以在信息处理者义务和个人信息保护部门两个部分借鉴英国数据信托构想的流程设计，完善两者之间以及两者与信息主体之间的协商共治规则。

（一）数字信任和信义义务的设立

数字信任的主要功能是推动数字经济的发展，其构建是数据要素市场化的重要前提，但数字信任的建立必须依赖个人信息处理活动的良好运行，保证个人信息主体的利益不遭受不合理的对待。由此可以看出，数字信任所追求的社会效果与《个人信息保护法》“保护个人信息权益”与“促进个人信息合理利用”的双重目的是不谋而合的。另外，“信任”所指向的信息主体的“合理期待”又能够更加具体地指导个人信息保护领域的立法、执法和司法，使得相关的法治活动有更明确的方向性和更强的可操作性。因此，可以在《个人信息保护法》的立法目的中嵌入数字信任理念，凸显信息处理关系中信息主体对于信息处理者和第三方监管机构信任的重要性，同时将信息主体的合理期待因素作为信息处理者进行个人信息处理活动的重要考量。

关于信义义务的设定，信义义务在我国确立于《信托法》，开始主要是对信托受托人的规制，后来又逐步发展到公司中的董事、高管以及证券投资过程中的相关主体等领域，在我国通常有忠实义务和勤勉义务两层含义[13]。为了保持法律体系的统一性和协调性，个人信息保护领域的信义义务也应设定为忠实和勤勉两重义务。当然，忠实和勤勉义务并非两种具体的义务，其贯穿于信息处理全过程中，具有高度的抽象性，因此适宜在个人信息处理原则部分加以规定。其中，忠实原则的核心在于以信息主体的合理期待为尺度来评价信息处理活动中的利益取舍，要求信息处理者对信息主体秉持忠心和诚实，严格遵从信息主体的事前声明或潜在的合理预期，不得以牺牲信息主体对其个人信息所享有的利益为代价获取纯粹满足自身发展需求的利益。如果说忠实义务是信义义务的核心和基础，那么勤勉义务就是实现信义义务的方式和途径[14]。勤勉义务是指义务人作为一个谨慎的人以自己合理的注意、技能来实现权利人利益的最大化。在个人信息保护的语境下，勤勉义务一方面要求信息处理者在个人信息安全保障的技术和内部规程等方面必须达到同行业普遍的水平；另一方面要求信息处理者谨慎地处理个人信息，确保个人信息下游使用的合法性，从而提高个人信息处理全产业链的安全性。

（二）协商共治的规则设计

《个人信息保护法》在信息处理者义务和监管部门职责方面缺乏对两者与信息主体的交流机制的规定，因此信息处理活动和监管活动的透明度均显不足，不利于数字信任的增强。英国学者在数据信托的试点工作中总结出一套完整的数据信托运转流程，从启动前的准备工作到最终结束，基本上每个环节都有信息主体的充分参与。在启动前，数据信托的目的、商业模式、组织结构等须由利益相关者共同设计；在数据信托开始运转后，应当按照启动前的协议，以方便获知的方式公布有关其运行程序的信息，使利益相关者了解数据信托如何存在；在进行事后评估时，需要重点从信息主体的视角考虑信托项目的影响，必须充分调查信息主体的体验并询问其完善意见；如果数据信托被决定终止，则需要确定其关闭期的时间表并告知利益相关者[15]。

我国《个人信息保护法》可以借鉴英国数据信托模式的上述流程设计，要求信息处理者在内部管理制度和操作规程的制定环节、处理行为影响评估环节分别建立“信息处理者—外部机构—信息主体”的交流机制，了解不同个体在不同场景中的信息隐私偏好，从而制定出符合信息主体合理预期的场景化保护方案。另外，监管部门可通过设定行为激励的方式，激励信息处理机构建立“机构—个人”的风险交流机制。例如，对信息处理企业的风险管控行为进行第三方认证，将信息处理企业内部风险管控的完备程度作为处罚减免的考虑因素。当然，监管机构自身也应尽可能实现个人信息保护工作的透明化，并在个人信息保护方案的制定中积极征求个人意见，以此增强个体对数据保护工作的了解与信心。