数据信托：一种数据治理新模式

□ 文 / 潘 扬 杭州市科技信息研究院

数字化时代，数据已成为经济发展的核心生产要素。2021 年全球47 个国家数字经济增加值规模达到38.1 万亿美元，占GDP 比重为45%。其中我国数字经济规模接近7.1 万亿美元，位居世界第二。在此背景下，数据安全已成为事关国家安全与经济社会发展的重大问题。数据信托作为一种新兴的数据治理模式应运而生。2021 年，《麻省理工科技评论》发布“全球十大突破性技术”榜单，数据信托位列其中。

数据安全的痛点和难点

数据安全是指对数据在收集、处理、存储、检索、传输、交换、显示、扩散等过程中的保护，保障数据在各环节中依法授权使用，不被非法冒充、窃取、篡改、删除、抵赖，确保数据信息的机密性、真实性、完整性与不可否认性。

数据安全的核心是保障数据在其全生命周期的各个阶段均可实现高度可控与高度可审计，通过技术保护与高效管理尽可能隔绝各类威胁因素。

根据Tenable 公司发布的数据泄露报告显示，2021年全球数据泄露超过400 亿条，其中勒索软件造成了大约38%的泄漏。IBM 在《2022 年数据泄漏成本报告》中指出，2021 年3 月至2022 年3 月期间受数据泄漏影响的企业超550 家，涵盖17 个国家/地区。每单个数据泄露事件令受访公司所承担的平均成本高达424 万美元，创该报告发布17年以来的最高纪录。

海量数据引发的公众隐私保护、数据产权争议、数据定价模糊等问题逐渐凸显，成为数据安全的痛点难点问题。

一是个人信息的过度收集、滥用。大数据时代，利用被过度收集的个人信息加上数据分析技术，技术人员能够还原匿名化处理的数据，导致数据脱敏技术“失灵”，直接威胁用户的隐私安全。近年来，全球范围内的数据安全执法案例基本围绕个人信息的过度收集、滥用等主题。2019 年，Facebook 因违规向剑桥分析公司提供8700 万条用户个人信息，被美国联邦贸易委员会（FTC）处以50亿美元的罚金，这也是历史上金额最大的隐私违规罚款。2021 年底，中国网络空间安全协会发布《APP 违法违规收集使用个人信息监测分析报告》，通报了12 类351 款APP 中，有257 款由于存在“违反必要原则，收集与其提供的服务无关的个人信息”问题，被责令限期整改。

二是账号泄漏、权限滥用和应用程序编程接口（API）防护缺失。账号作为主体访问客体的重要凭证，在通过安全验证后可以直接访问数据库、数据仓库等载体的数据资源，因此一旦账号凭证泄漏，将导致数据的直接泄漏。IBM Security发布的《2021年数据泄露成本报告》指出，数据泄漏事件中最常见的初始化攻击路径就是直接窃取凭证。而数据的合作共享导致数据资源的访问量和访问人员大幅增加，多样化的访问接入，容易引发数据权限管理不清、使用情况不明等安全问题，最终造成业务和数据资源违规访问，酿成数据安全事件。API作为最重要的数据传输方式之一，也成为攻击者窃取数据的重点攻击对象。

三是数据安全状态难以持续保障。随着数据处理技术的不断成熟，业务的持续扩大与数据应用的不断裂变，数据量呈PB 级迅速增长，海量、多元和非结构化成为数据发展新常态。一方面，大量低质量、关系模糊的数据存储在分散的数据载体中，导致数据资产难以梳理，建立在数据资产梳理基础之上的持续安全保障难以实施。另一方面，数据的快速流转增加了数据安全持续保障的难度。数据在多个应用场景下流动交互、数据载体和主体不断变化，导致难以清晰地梳理数据与访问主体、传输链路、承载环境、安全策略等的关系，增加安全防护难度。

数据信托的诞生

数据交易与一般商品交易的不同之处在于数据控制人所获取的数据包含大量的他人信息，这些信息大多属于数据主体的“生命密码”，与数据主体的身份、隐私、情感乃至社会评价等紧密联系在一起。因此，数据控制人所面临的法律义务要求会显著高于一般合同标准。此外，数据作为资产的特殊性还表现在个体数据的所有者与“大数据”的控制者以及“大数据”利益的享有者可能存在相互分离的现象。

因此，数据资产的拥有、使用、收益等权能的分离与信托财产权属的复合式安排具有充分的契合性。也就是说，数据资产成为信托财产在权利内容与制度安排上具有合理性和可操作性，数据资产的各项权能安排可以通过信托财产制度得以有效设计和落实。

数据信托的实质是在数据主体与数据控制人之间创设出信托法律关系，数据控制人基于数据主体的信任对数据享有更大的管理运用权限，同时也承担更严格的法律信义义务。在这一法律关系中，数据主体既是数据信托的委托人也是受益人，数据控制人则是数据信托的受托人。数据控制人的数据管理运用权限包括但不限于访问控制、访问审核以及数据的匿名化处置等重要内容，以平衡数据主体的隐私保护与数据可交易价值之间的紧张与冲突。与此同时，数据控制人还应履行对数据主体的信义义务，这主要表现为信托法上的谨慎义务、忠实义务、保密义务等，不得损害数据主体的根本利益。相较于数据委托合同而言，数据信托的建立显示出更多的灵活性和优越性，因而成为数据权利义务关系结构化安排的理想工具。

数据信托立足于财产权的移转与分离设计，有助于克服委托合同机制下“知情-同意”隐私保护模式的种种弊端，有效对抗数据控制人“钻合同空子”的“机会主义”倾向，通过重置数据主体与数据控制人之间的权益结构，把数据控制人的数据权限与数据义务有效链接起来，进而为数据主体提供更为可靠的信息权利乃至信息安全保障。

国外数据信托发展情况

数据信托的政府层面认可

2016 年，美国耶鲁大学教授杰克·巴金（Jack M.Balkin）在隐私数据保护领域首次提出采用信托工具解释数据主体与数据控制人之间关系的主张，该主张迅速得到学界关注并被逐渐接受。2018 年，美国出台《2018 年数据保护法》，在线服务提供商收集和使用最终用户数据确立了明确的信托义务，明确要求在线服务提供商对用户及其相关数据承担谨慎、忠实和保密义务。

2017 年《英国人工智能产业发展报告》建议：利用数据信托制度建立数据投资治理架构，以确保数据交换安全互利。英国开放数据研究所（Open Data Institute，简称ODI）《2020 数据信托报告》指出，其在2018 年10月即采用了对数据信托的有效定义，把数据信托定义为“提供独立数据管理权的法律结构”。该定义旨在描述一种数据管理方法，在形式上完全类似于土地信托等。

2019年，印度在《2019年个人数据保护法案》中定义“数据受托者（Data Fiduciary）”相关概念，要求无论单独还是与他人共同决定，任何涉及到处理个人数据的人员都需向政府登记成为数据受托者，受政府监管。

数据信托在社会层面的应用

2016 年，微软将其云产品 Azure、Office 365 以及Dynamics CRM Online等托管在德国境内的多座数据中心。微软公司对德国客户数据的访问行为将受到严格控制，相关工作由德国数据信托厂商T-Systems 公司（德国电信公司旗下的独立子公司）负责。如果得不到德国电信或者客户自身的许可，微软公司将无法接触到这部分数据。而且即使获得了相关权限，该信托方仍将继续对微软的实际访问流程进行监督与控制。

2018 年，谷歌母公司Alphabet 旗下的人行道实验室（Sidewalks Labs）提议使用独立的数据信托，来管理其在加拿大多伦多码头区（Quayside）智能城市项目开发中收集的数据。2019 年，该实验室确认把数据信托作为其智慧城市发展的一部分。

2020 年，国际知名保险机构韦莱韬悦（Willis Towers Watson）成为早期在金融业试验数据信托的公司之一。韦莱韬悦联合其多家客户，结成“最简可行联盟”（Minimal Viable Consortia，简称MVC），旨在测试数据信托概念并尝试应用于真实商业场景中。

此外，斯坦福数字民间社会实验室、剑桥大学计算机系、Facebook、Johns Hopkins University、Open Corporates 和Truata 等机构及企业也积极尝试应用数据信托方案。虽然目前已有关于数据信托的不少实践项目，但相关实践基本只在机构内部小范围进行或因社会公众抗议而中止，实施效果仍待进一步验证。

我国数据信托发展情况

我国正在逐渐以政策和法规方法完善数据产权制度，部分企业开始不断创新探索数据资产商业模式，公众的个人信息意识也明显增强，不断呼吁数据普惠的落实。

政策支持

2020 年3 月，《中共中央、国务院关于构建更加完善的要素市场化配置体制机制的意见》指出，要加快培育数据要素市场，加强数据资源整合和安全保护，制定数据隐私保护制度和安全审查制度。

2021 年，我国数据要素市场建设进入法治化新时代。《网络安全法》《数据安全法》《个人信息保护法》以及地方数据条例等法律法规相继颁布，数据要素市场的基础法律架构已经初步建立，为数据要素合规运行奠定了有法可依的规范性基础。

社会应用

当前，国内一些数据交易平台越来越带有一定程度的数据信托色彩。

2014 年以来，由贵阳、上海等数据生态活跃地区政府主导的数据交易所模式纷纷涌现，通过建立数据供应方与需求方共享的交易平台连接数据供需，以第三方专业技术和政府资质完成监管与加密支持，最终实现数据的交易流通。如果这些数据交易所更加突出其第三方专业监督角色，从技术手段、商誉积淀和现实需求来看，也有可能成为行业内外都认可的数据信托机构。

2016年11月，中航信托发行了首单基于数据资产的信托产品，总规模为3000 万元，这对我国信托业界来说是数据信托的首创产品。在该产品设计中，委托人数据堂将自己所持有的数据资产作为信托财产设立信托，并通过信托受益权转让获得现金收入，受托人中航信托委托数据服务商对特定数据资产进行运用增值并产生收益，向社会投资者进行信托利益分配。此过程既完成了资金的循环，同时也完成了数据资产信托财产的闭环。

2021 年，北京国际大数据交易所正式成立，作为打造“国家服务业扩大开放综合示范区”和“中国（北京）自由贸易试验区”的重要组成部分，其发展能为日后数据信托在国内的广泛实践打好平台基础。

2021 年8 月，清华X-Lab 数据经济实验室联合北京互联网法院、中航信托等多方主体共同研究设计的“数据信托”中国版方案——“数据资产信托合作计划”对外公布，该方案集成了法律、技术、政策与资本等多维度内容，同时计划在数字版权、“双碳”绿色能源、医疗医保、船舶国际航运4个行业开展试点和立项。

符合我国发展方向的中国版数据资产信托已开始了初步的探索与实践。

结语

现在，大数据产业已进入蓬勃发展、应用普及的新阶段。信息技术快速迭代以及全球性疫情的持续，促使人们更快地适应互联网时代的新场景。在这一环境下，商业模式发展往往会比政策更超前、更主动地尝试大数据产业中的新方式。在数据的经济属性被日益确认和强调的今天，对个人数据财产权益的分配不应是零和博弈，而应当努力实现社会各方主体的共赢。数据信托为有效平衡数据主体与数据控制人的数据权益结构，维护数据安全，促进和保障数据市场健康发展等方面提供了新视角和新思路，成为一种值得尝试的数据治理新模式。