英国数据信托法律体系建构对中国的启示

2023-05-30 10:36吴雨泽王艳梅
对外经贸实务 2023年2期

吴雨泽 王艳梅

摘要:数字经济的发展以数据治理为基础,数据信托理论模式为数据治理提供了一条切实可行的路径而备受青睐。在消除理论张力方面,英国数据信托法律体系的构建以明晰数据信托财产为数据权利并开放数据权利让渡、分类分层确权的方式提供了制度经验。此外,衡平法系信托天然地蕴含举证责任倒置规制也与数据信托理论权利救济实现的需求相契合。基于英国数据信托法律体系构建的理论经验,建议我国数据立法进一步完善数据二元权利结构,在实现对数据安全提供保障的基础上促进数据流通与共享,建立类型化授权机制,实现数据流通与安全价值平衡,在权利救济上由受托人承担证明已经履行勤勉尽责的谨慎义务的举证责任,消除数据信托理论张力和制度实践效果差异。

关键词:数据信托财产;数据权利授权机制;数据信托权利救济

信息技术的发展使数字经济如潮水般向人们涌来,极大程度上改变了我们的生活方式和生活样态。随着数字经济的发展,个人信息/数据①作为重要生产要素具有天然内涵的财产利益。个人数据经汇集形成的数据资产愈发凸显其在生产中的重要性,各国政府与企业也将数据视为发展的核心资产。②但是,当下信息主体正面临着来自各方的多重侵害,个人信息处于被泄露、滥用的风险中,原因在于信息主体对个人信息管理的力不从心与数据控制者对个人信息的绝对控制的悬殊差距导致其在数据共享中处于弱势地位,深层原因是数据治理面临一个现实矛盾,即数据流通与信息保护之间的矛盾。数据信托为缓解二者悬殊的地位差异与平衡数据安全和数据流通价值之间的矛盾提供了一条可行路径,因此在域外引起了广泛的讨论与实践试点,并取得初步成果,可供我国借鉴。

一、中国数据信托的兴起及理论探索

目前国内对数据信托的研究尚在起步阶段,纵观我国有关数据信托的试点实践可知,我国数据信托的引入路径采用“数据信托理论”模式,故本文的探讨范围以起源于英国的“数据信托理论”为限。

(一)中国数据信托的源起及试点现状

尽管我国引入数据信托制度采纳了源自英国的“数据信托理论”体系的构想,由第三方主体即信托公司担任受托人,但是从我国的试点来看,我国数据信托体系的构建是由数据资产化的视角出发,而非数据治理视角。

我国关于数据信托的首次实践是2016年,中航信托与数据堂公司合作发行首单基于数据资产的信托产品,具体而言,是通过搭建数据信托产品回应企业的客观需求和问题。其具体应用流程是:受托人以数据资产包作为信托财产设立信托并通过信托受益权转让获得现金收入,通过委托数据服务商对特定数据资产进行运用和增值而产生收益,最终向社会投资者进行信托利益分配。在这个过程中,既完成了资金的循环,同时也完成了数据资产信托财产的一个闭环。不同于英国数据信托实践试点,我国建构数据信托体系初期实践以数据资产化视角将数据资产作为信托标的,传统信托法中信托财产的独立性要求受托人实现对信托财产的支配,由于数据的无形性、倍增性等特征,以数据为信托财产未根本消除数据信托理论模式与传统信托之间存在的理论张力。

而后在2021年清华x-lab数据经济实验室联合北京互联网法院、中航信托等多方主体共同研究设计的“数据资产信托合作计划”,旨在构建一套有别于欧美的数据信托实践,更符合中国发展模式的数据要素市场多元治理与高效配置的一整套创新机制。从此次试点体现的理念来看,随着数据信托体系的不断成熟与发展,构建兼顾数据要素流转与数据要素確权的信托体系是不可避免的问题。

2022年,中航产融提出的“航数空间”项目旨在基于信托财产独立性的原则,构建可信数据管理制度基础设施。主要内容是基于区块链、隐私计算等新一代信息技术建立可信任的数据技术基础设施,同时通过市场化手段贯通优化数据要素的流通环节,促进产业数字化转型和建设。由此可见,“航数空间”以“金融+产业”发展模式为主,在数据治理应用过程中兼顾考量了数据安全与数据流通效率。不过,此项目尚处于初级探索阶段,具体实践效果有待于进一步考察。

从实践角度分析,我国数据信托实践试点在视角选择上有别于英国数据信托理论,我国数据信托制度的发展侧重于实现数据要素流通价值,更注重能够从数据信托中促进数据开放与共享,获取收益并向受益人分配。但是,完善有效的数据治理是数据资产化的前提和保障,把数据治理放在首位是数据治理与资产化视角的共同之处。以此视角推动数据信托试点虽有助于激发数据要素潜能,发挥数据流通共享带来的价值,但数字经济的发展以建立在数据治理保证数据安全的基础上实现数据共享与流通为驱动,未从根本上解决数据权利保障问题,对数据治理帮助有限,难免有偏离数据信托本源之嫌,因为“确保数据安全是受托人信义义务的题中应有之义”。

(二)中国数据信托理论研究现状

尽管我国数据信托理论研究起步较晚,我国数据信托理论构造己初具雏形。数据信托从理论体系的选择到信托目的与机制再到数据信托的体系完善己存在较多的讨论,并取得了初步的成果。

1.理论模式的选择。在我国数据信托体系引入与架构过程中,首先面临的问题是数据信托理论模式的选择。在数据信托理论模式的选择上,“信息受托人理论”与“数据信托理论”在国内也各有拥趸。源自英国的“数据信托理论”收获了众多学者的支持。翟志勇老师通过系统阐述美国“信息受托人理论”与英国“数据信托理论”学术层面和实践层面的成果,基于商业模式与信义关系等内容提出“信息受托人”理论更为依赖衡平法系信托法传统,这在大陆法系中是非常匮乏的,得出英国“数据信托”理论更适合我国国情的结论,并建议从数据流通与交易、公共数据治理两个方向探索数据信托的可行性。基于数据复合权利结构与信托制度的双重所有权结构在形式上具有相当的契合性,席月民老师在数据信托框架设计方面表达了对数据信托理论支持的立场,并建议不能满足对数据的结构化处理专业需求的信托公司由专门的数据公司协助运营,信托公司和数据运营商一同构成数据信托产品的受托人。因此,数据信托理论在解决信息主体与数据企业之间地位差距过于悬殊的问题、化解数据流通与个人信息保护的矛盾方面,相较于信息受托人模式在体系架构、制度契合性上更能融入我国信托法律体系。

2.数据信托财产的厘定。在确立了数据信托理论模式的选择后,英国数据信托探索路径表明,数据信托在数字经济背景下与传统信托模式之间存在理论张力,主要体现在数字经济带来的全新商业模式下数据信托财产的厘定及数据信托财产要素的交易与共享相较于传统信托模式发生了改变。因此,众多学者就数据信托财产的厘定展开了积极的探索。

基于传统信托法理,信托标的应当为可交付的具有排他性、可支配性的法律意义上的财产,数据信托的标的究竟是数据还是数据之上的权利是进一步需要明确的问题。冯果老师从所有权的排他性与专属性特征出发,对比数据的倍增性且非消耗性的特点与所有权背道而驰,且数据的无形性不同于传统物权法上的物否定数据是物的论断;相较而言,权利的排他性与支配性弥补了数据难以成为信托财产的缺陷,数据的财产性体现为数据主体的数据权利和控制人的控制权而非数据本身,因此,信托的标的应当是数据之上的权利而非数据本身。申言之,数据权利作为信托财产应具备财产属性,在财产属性的价值要素厘定中,冉从敬老师从论证数据权利的财产属性出发进一步阐述数据权利作为数据信托财产的正当性,尽管数据是我国规定的生产要素,但是数据本身并不产生价值,真正產生财产价值的是对数据的组织、挖掘与利用等行为,因此数据的财产属性表现为对数据的控制处理,本质上是对数据的控制权利。财产属性包括使用价值与交换价值,李智老师对此作出进一步阐释,数据权利的使用价值源自数据信息的不对等性,得到更多信息的一方能够占有更多有限的利益,而数据权利的交换价值体现在一定时间条件下的数据信息具有稀缺性,其交换价值通过收集、储存、处理、共享等形式得以实现。由此可见,数据权利的排他性、可支配性等物权特征与使用价值、交换价值等财产性要素满足传统信托模式财产要素的需求得到了完整的证成。

综上所述,数据权利作为数据信托财产已经成为了学界的共识并得到了严密的论证,但是当前数据信息立法并未就个人数据权利作出进一步细化,一体化的个人数据权利兼具人身与财产的双重属性,使数据权利财产性利益仍然难以脱离人格权单独转让,财产利益范围如何界定仍有待于进一步的讨论。

3.数据权利移转的探索。信托的设立始于信托财产的交付。由于我国现行数据与信息法律体系对个人数据权利的规定仍采用一体化的方式,并未对个人数据权利内容作出明确区分,基于个人数据双重属性的特点,如果将个人数据权利转让则与人格利益不可让渡的理论相抵牾,而数据权利的财产价值单独转让又缺乏现行法律规范的支撑。为扫清数据权利财产利益单独转让的难题,申卫星老师主张构建数据所有权与数据用益权的二元权利结构,数据用益权的取得来源于所有人的授权与对数据处理的事实行为,在保证数据安全的前提下实现数据权利的移转,平衡数据财产权保护与数据充分利用的价值。张新宝老师在《个人信息保护法(专家意见稿)》中认为个人信息权应当进一步被细化为信息主体查询权、信息主体更正权、信息主体删除权,这些权利隶属于人格权而不可让渡。冯果老师基于此认为,实践中为实现数据处理等目的信息主体让渡一部分的数据更正权与删除权己成为常态,倘若禁止转让则将阻碍数据共享与流通价值的实现,无法发挥大数据优化资源配置与社会服务的作用,因此,立法应当与时俱进,对个人数据权利的让与持开放态度,以适应数据经济共享与开放的特点。

综上所述,我国数据信托理论体系的架构己初具雏形,数据信托理论模式的选择己形成较为统一的观点,在数据信托财产的厘定中己就数据权利作为信托标的正当性与可行性予以论证,并就让渡数据权利以实现信托财产的交付展开了积极的探索。不过,前述讨论仍然停留在理论层面,对数据信托体系的架构还需要理论与实践的共同努力。

二、英国数据信托法律体系建立的脉络及要点

飞速发展的数字经济在引领经济新形态发展的同时加速了产业要素的裂变聚合,生产要素趋于平台化、智能化、共享化,数字平台展现了开放、共享、协同和去中心化等特征,为优化产业资源配置提供了基础。因此,在数字社会高速发展的背景下,数据与信息作为新型生产要素在数字社会中扮演了极为重要的角色。不可避免的是,在推动数据共享、实现数据流通价值的过程中也带来了数据泄露、滥用等风险,大数据基于数据主体享受网络服务时遗留的个人数据与信息进行相关性分析可能导致歧视与“寒蝉效应”的产生,数据主体享有的隐私、信息安全、言论自由等人格利益面临受损的风险,因此,数据要素的治理成为各国在发展数字经济过程中不可回避的难题。

(一)英国数据信托理念的提出

2015年肖恩·麦克唐纳发表文章《公民信托》提出以“公民信托”实现数据治理,次年,尼尔·劳伦斯教授发表《数据信托可以减轻我们对隐私的担忧》,文中提出有关数据信托理念的构想。自此,英国理论界与实务界相继开展大量的学术研究与理论实践试点并取得了可观的理论成果。

此后,德拉克洛瓦教授与劳伦斯教授联合发表论文《“自下而上”的数据信托:扰乱“一刀切”的数据治理方法》,详细阐述了“自下而上”的数据信托理论体系构想,在德拉克洛瓦与尼尔·劳伦斯的构想中,数据主体往往既是数据信托的设立人,也是数据信托的受益人:受托人必须根据信托条款的规定管理数据主体的数据,他们对数据主体(信托的受益人)负有受托责任。这一理论体系一经提出便得到了广泛的认可与高度的肯定,在Element AI和Nesta联合举办的数据信托国际研讨会中发布的白皮书指出:“自下而上的数据信托可以是一个有用的工具,可以部分解决公司、政府和公民消费者之间存在的权力不平衡的问题,促进更公平的资源分配和进一步保护权利”。可见,这一理论体系为英国数据信托理论研究奠定了理论基础。

综合来看,英国“数据信托理论”在数据治理视角下并非一种以实现资产升值、取得收益为目的的金融产品,而是实现数据管理、数据共享与安全保障的服务机制。数据信托通过引入第三方主体以其专业能力代为管理信息主体的个人数据,缓解信息主体与数据企业之间地位上的显著差异,以保障个人信息安全为数据共享的底线,促进数据要素流通。

(二)英国数据信托体系的形成脉络

在数据信托理论提出后,英国开放数据研究所(ODI)联合多方主体开展了三个领域的数据信托项目试点③,并根据试点情况发布了总结报告:《数据信托:来自三个试点的经验教训》。报告指出,数据信托的应用模式因情景而不同,每个数据信托都有其不同特点,因此,不存在一个万能的数据信托模式,每个数据信托都有其独特的法律结构。这份报告全面、详细地总结了数据信托从问题的提出到信托的设立、实施到最后终止的整个周期,以及每个阶段需要完成的具体工作,可供我国引入数据信托制度借鉴学习。但是,正如前文所述,数据信托并非具有统一的形式与样态,不同情境下问题的解决需要不同种类的信托模式,每个具体的信托应当采取何种信托结构或信托模式是需要进一步讨论的问题。

对此,伦敦玛丽女王大学、BPE Solicitors与Pinsent Masons就数据信托的法律与治理框架联合发布了《数据信托:法律和治理思考》,阐释了五种可适用的数据信托模型的法律结构,其中,传统的法律信托模型与我国数据信托理论实践路径大体相似。这种模型作为将数据提供给法律信托,并由受托人为受益人的利益进行管理的一种模式,比较契合信托的原始概念。其优势在于,它是一种为受益人利益而建立的数据管理的既定法律结构,并且部分受众可能具有传统法律信托经验,从而在信托条款的设立上有助于确保数据信托的运营符合其预期构想,且信托法律体系较为完善、成熟,易于操作。但是,这种模式也存在一大缺陷,即法律并不认可个人数据/信息是一种能够作为法律信托下持有的财产。由此引发数据信托体系构建过程中因与传统信托理论体系存在理论张力而面临第一个问题,即信托财产的确定问题。

厘定数据信托财产存在制度阻碍是数据信托与传统信托之间存在理论张力的外在表现,深层原因是数字经济下全新商业模式与生产要素的确立与传统经济体系框架下财产要素的不兼容。不同于传统经济要素可视可支配的特点,数据本身具有的无体性与倍增性导致一般权利主体如网络用户对权利对象的掌控力所不及,数据无限复制而不受损耗的特点导致信息主体难以真正实现对个人数据的排他性支配,权利归属与价值亦难以确定。而在传统经济体系下的信托模式中,信托财产無论是有形财产还是无形财产,均可在信托成立时实现排他性支配,其法律性质也十分明确,因此产生的不兼容、不适配同样是我国数字经济发展过程中不可避免的问题。

(三)英国数据信托体系的亮点

数字经济下的生产要素是以数据为核心的无形财产,正如前文所述,数据因其无体性与倍增性加大了支配的难度。消除数据信托与传统信托模式之间的理论张力,本质上是实现对信托财产法律意义上的支配,包括设立数据信托时信托标的归属的确权、移转以及运行数据信托时信托财产实质所有人对信托财产管理、处分的支配等。

1.明确数据权利为信托财产消除理论张力、在信托财产范围的厘定方面,英国数据信托理论明确数据信托的标的不是数据本身而是附着于其上的权利。德拉克洛瓦与劳伦斯教授在证成这一结论时面临的第一个挑战就是当人们假设信托标的为“财产”时,数据能否产生财产权利的质疑阻碍了数据权利成为信托标的的论证。基于此,两位教授认为,数据多大程度上产生财产权利并不重要,重要的是GDPR等监管工具多大程度上赋予了权利以及赋予了什么权利。此外,权利并非不可作为信托标的。

信托标的范围涵盖了权利则将面临另一个问题:在GDPR的规则下,数据的可移植权、删除权、访问权并不强制第三方享有或禁止转让,要使这种权利具有强制性或可移转性,则需要监管加以干预。而成员国立法强制规定数据受托人享有可移植权、删除权、访问权也并不意味着违反了欧盟法律,因为这种干预不一定会扩大(或缩小)控制者的义务范围且对干预有迫切的、合理的理由。基于此,传统信托理论与数据治理的结合存在张力是不可避免的问题,在信托财产的厘定方面以数据权利为信托标的更符合数据信托理论的底层架构。在立法没有授予个人数据权利或禁止权利转让时,应修改立法消除数据治理与传统信托之间的张力,使二者相互契合,实现数据信托的设立目的,保障数据安全,促进数据共享与流通。

2.类型化处理数据授权。在厘定数据信托财产为数据权利的基础上,数据信托的设立始于权利的移转,如何在数据确权过程中为实现数据权利保护与数据流通共享价值的平衡是需要进一步讨论的问题。为获取处理个人数据的合法性依据,数据企业通常在提供服务前采用诸如隐私条款等方式取得信息主体的同意,信息主体在面对冗长复杂的隐私政策条款时是否能达到理性人标准作出符合其内心真意的意思表示仍有待商榷。马里吉尔提出对数据分类,明晰数据权利的归属,为后续的授权行为奠定了基础。在马里吉尔的构想中,所有数据被分为三个层次,分别是可直接反映个人信息的由数据主体直接提供的数据、数据控制者收集到的数据以及经处理的数据,三个层次的数据依敏感程度、可识别性从高到低进行排列,最能反映个人隐私的敏感数据权利由信息主体享有,第三层经处理的数据敏感程度最低,因此对数据主体权利的划分与保护随着层级的逐步提高而降低。在我国立法中,《个人信息保护法》对敏感个人信息、个人信息的内涵界定亦体现了类型化导向的趋势,进一步厘清个人原始数据、粗加工后仍具有可识别性的数据以及脱敏数据的边界有助于溯源权利归属,从而建立对应注意程度的授权机制,降低授权成本,更能反映信息主体的真实意思表示。

3.衡平法系信义关系与数据治理需求相契合。相比较而言,数据信托模式在数字经济背景下实现数据治理的过程中将传统的信托模式与信义关系引入新时代的数字经济共享关系中,以更为严苛的责任为数据控制者设置了更高标准的义务。信义关系要求数据控制者在作为数据信托受托人时应当忠实于委托人,谨慎地行事,不仅不能使自己以及他人的利益置于委托人利益之前,还应当保证自己的利益与委托人的利益不存在利益冲突,一切以委托人最大利益的实现为核心。因此,信义关系可有效平衡个人对个人信息控制的脆弱性与数据企业对其掌握的个人信息的绝对控制力之间的差距,弥补个人与数据企业之间的“信任赤字”,化解数据共享和自由流通的需求与个人信息安全与隐私保密之间的矛盾。

此外,数据信托的权利救济需求与衡平法系信托的特有救济机制相契合,使信息权利成为现实。在救济方面,衡平法系下信托制度天然地包含了举证责任倒置的规定,受托人对信托财产的管理尽到了谨慎义务,负举证责任;大陆法系传统赋权模式对个人信息侵权行为举证责任的分配仍旧以信息主体承担大部分的举证责任为主,数据处理者只需承担较少的举证责任。而现实是,对大多数侵权行为事实的实际知情者正是承担轻微举证责任的数据处理者,承担主要证明责任的信息主体对侵权事实的证明颇有难度。由此不平衡的举证分配使得信息主体难以实现被赋予的各项权利。而衡平法系下的信托法将违信行为的举证责任分配给受托人承担,若受托人无法证明其已经尽到合理的注意与保护个人信息的义务,应当由受托人对信息主体的损害承担责任。基于此,无论是个人信息的管理情况还是发生侵权行为后追责溯源的情形,均可有效减轻信息主体的举证负担,使信息主体享有的权利不再流于形式、成为一纸空谈。

综上所述,英国数据信托制度在实现数据治理方面有其独特的制度优势,与衡平法系信托体系相契合的同时又存在理论张力。作为产生于数字经济时代背景下的成果,数据信托模式与传统信托模式不兼容之处主要体现在信托财产的变化导致信托运行模式进行了全面的革新,以数据权利为数据信托财产可满足数据信托底层架构的需要,细化数据权利内容将具有财产属性、非依附性的可移转权利予以规定,满足数据信托运行过程中信托财产交付转让的需求。同时,衡平法传统信托制度中对受益人倾斜的举证责任能够显著平衡信息主体与数据企业之间悬殊的地位差异,与数字经济的数据流通与共享的需求相契合。相比较而言,我国信托制度作为“舶来品”扎根发展于大陆法系的土壤中,因此在我国数据信托体系构建过程中既面临着数字经济与传统经济模式下的理论张力亟待消除,还面临着不同法系之间的制度差异问题有待进一步的解决。

三、中国数据信托法律体系建构需要解决的问题

我国信托制度在扎根发展的过程中为市场经济促进资金流动融通起到了积极作用,随着数字经济时代的到来,诸多新型商业模式与资源要素如雨后春笋般破土而出,数据的流通与共享带来巨大经济收益的同时也迫切需要新型资管模式予以规制。将理论与实践相结合,我国数据信托中国化进程中仍存在一些问题。在法律层面仍主要体现为财产范围不清、信义义务缺乏具体规制等不完善之处。

(一)数据信托理论张力亟待消除

信托制度的核心在于财产管理,故信托财产是信托赖以存在的根本,没有信托财产,信托便无从设立,同时,信托财产也是受益人所享受益权的来源,并关乎信托的运营程序,因此在设立信托时信托财产必须明确。但是正如前文所述,数据信托财产的范围厘定尚缺乏法律依据。究其原因,尽管我国《个人信息保护法》《数据安全法》均己颁布实施,但是对个人信息(个人数据)的法律属性并未作出明确规定。如果说数据或个人数据是信托标的,那么数据/个人数据能否被称为财产仍有待商榷,其极易复制的倍增性特征与财产的专属性、排他性特征不符。倘若以个人数据权利为信托标的,则会出现另一个矛盾:将个人信息上的权利作为信托标的意味着信息主体需要以授权的方式将信托标的交付受托人,而由于个人信息具有双重属性,其本质是包含财产利益的人格权,其上的人格权益应当专属于信息主体不得转让,如此又应当如何实现信托标的的交付移转?

信托财产是信托法律体系中必不可少的组成部分,将数据治理与传统信托模式相结合建构数据信托法律体系不可避免地要面对数据信托财产厘定的问题。尽管当下学界己形成较为统一的观点,但我国数据立法就个人数据权利的一体化规制使数据权利的财产价值难以与人格利益分离,理论张力在规范层面仍未消除。

(二)授权机制适用困境

数据信托的财产交付以个人数据共享为主要路径,个人数据的共享以授权为主要路径。在信托關系中,数据共享主要涉及三方主体:信息主体、受托人与数据企业,其中争议往往发生于受托人与数据企业数据共享之中。在实践中,“一揽子授权”方式得到了广泛的适用。

但是,上述授权方式在适用效果上并非无瑕疵,一方面,如此授权对个人信息安全的保护并不周延。另一方面,一刀切的授权并未将信息主体的真实意思表示体现于数据共享之中。主要体现为,信息授权的合法性来源建立在假定信息主体为“理性人”的基础之上,但是,现实中信息主体在面临信息处理的决策时往往并非“理性人”,其决定大多并非基于对隐私政策各条款内容的全部理解并谨慎思考后作出。由于假定的理性人在大数据背景下其实并不具备自决能力,此时的同意并非真正的同意,以自决作为个人信息保护的基础是理念定位的错误。

因此,数据获取来源不合法直接威胁着信息主体的数据安全,现有授权机制并未良好地平衡数据流通与信息安全之间的矛盾,以“一刀切”的方式授权既不利于获取数据共享的合法性基础,也对数据安全造成了威胁。

(三)权利保护流于形式

数字经济下海量个人数据在聚集下方可实现经济价值,大数据技术的发展在无形之中造成信息主体机会利益的丧失,个人数据权利保护难度骤增。在面临来自数据处理者与算法的双重侵害风险时,信息主体对个人信息的管理、应用与保护的能力与专业的数据处理者相比相差甚远,因此,个人数据的泄露无时无刻不在发生。由于个人对个人数据的掌控能力较弱且不具备数据领域相关的能力,在个人信息遭受侵害时存在加害人不明与因果关系难以证明的问题,英美法系中的信托制度天然地包含了受托人举证责任倒置的规则,受托人对信托财产的正当应用负证明责任,数据侵权损害发生后信息主体负担的举证责任压力因此得到缓解。而我国的信托制度并未借鉴英美法系将举证责任倒置纳入证明责任分配规则之中,由此导致信息主体在设立数据信托后面对侵权损害仍应当自行承担举证责任,实质上并未降低信息主体的救济难度,难免使得数据信托权利保护效果大打折扣,最终流于形式。

四、英国数据信托法律体系建立理念对中国的启示

当下我国数据信托的引入同样面临着理论张力等问题,对此我国数据信托体系的构建可借鉴域外数据信托制度经验,以求对数据治理与数字经济发展有所裨益。

(一)构建二元权利结构消除理论张力

信托财产是信托赖以存在的根本,没有信托财产,信托便无从设立,同时,信托财产也是受益人所享受益权的来源,并关乎信托的运营程序,因此在设立信托时信托财产必须明确。个人数据的双重法律属性使得数据权利的移转受到了阻碍,现行法律制度下尚未对个人数据所有权、用益权作出明确规定,数据权利的人格利益与财产利益难以分离与掌控。因此,有必要完善数据权利立法,尝试建立数据所有权与用益权的二元权力结构,明晰数据信托财产内涵以消除理论张力。

此外,德拉克洛瓦与劳伦斯教授提出以数据权利为信托标的,对于不能转让的可移植权、删除权、访问权通过修法为实现信托财产的转让扫清阻碍,可供我国参考,在个人信息权的让渡方面适当放宽标准。将视野聚焦于我国个人信息保护法体系下,信息主体的更正、查询、删除的权利被赋予个体而隶属于人格权的一部分,因此与权利主体不可分割、不得转让,但是在实践中,数据的流通与共享必然导致部分人格属性权利的移转,立法对个人数据权的转让应持更开放的态度,以适应数据经济的发展。要明确的是,数据信息权利具有重大的使用价值和交换价值,个人信息权本质上是包含财产利益的人格权,建议立法对个人数据权的转让持开放态度旨在实现个人信息财产属性利益的让渡,并不意味着数据信托以个人信息人格权为标的,数据信托标的仍然是个人信息权双重属性中的财产利益。依据信托法理,无形财产上的利益,若能转让即可作为信托财产,具体到数据治理实践中,个人信息的人格属性不妨碍其内含的财产价值可以与主体分离,外化为财产并可为商业利用,在商业利用中个人信息财产价值外化产生的财产价值当然可以通过授权使用实现流通。因此,完善数据权利的二元权利结构可在保障数据权利人格利益的前提下驱动数据权利财产价值的外化实现。

(二)类型化授权实现数据流通与安全价值平衡

在数据权利移转方面可借鉴马里吉尔教授关于类型化处理的思路,这也符合我国当下数据授权制度的发展导向与趋势。数据信托机制的运行以不侵害信息主体的人格利益为红线,故从个人信息双重属性的价值判断出发,信息主体交付的原始数据与经粗加工处理仍能反映个人敏感信息的非原始数据密切关乎着信息主体的个人隐私与数字人格尊严,因此对此类个人数据应设立严格的访问标准。在此类数据获取程序上增加难度无疑提高了数据企业获取的成本,使数据企业在获取、处理、应用此类数据时更加严格地遵循谨慎管理的注意义务,有利于保障信息主体的人格利益免受侵害,防止个人敏感数据被泄露、滥用。

对于经过受托人脱敏处理、深度加工的个人数据,其价值增值多由受托人贡献,从归属上分析,此时该数据财产权归属信息主体与受托人即数据生产、处理者共有,并由受托人控制,并与数据生产者共享个人信息财产收益权。数据企业获取此类个人数据无需取得信息主体的授权,取得受托人的授权即可。原因在于,对于此类深加工的个人数据,受托人对此类个人数据进行了增值处理,其理应对增值贡献部分享有授权第三人使用的权利。同时,对受托人授权权限的保护有利于维护受托人竞争机制与优势,促进产品投入与经营创新,有助于在兼顾个人信息保护的基础上充分发挥数据流通价值。

(三)完善数据保护法律体系

在数字社会背景下,个人信息侵权存在信息主体难以知晓侵权行为的发生、实际侵权人难以确定、举证困难、损失确定困难等特征,我国《个人信息保护法》对举证责任采取“过错推定责任规则”的规定④尽管在一定程度上缓解了信息主体的举证压力与困境,但信息主体囿于其對个人信息微弱的掌控能力,在个人信息遭受侵害时仍展现出力不从心的一面,并未从根本上解决个人信息保护不周延的问题,信息主体在数据信托关系中仍处于被支配的地位,难以满足个人信息保护的需求。

英国数据信托与衡平法系传统信托模式相契合的优势由此得以展现,在英国信托法天然的举证责任倒置规制下,信息主体举证负担得到进一步减轻,有助于缓解信息主体面对侵权行为束手无策的窘境。因此,为充分实现数据信托对个人信息保护的功能,还应当在数据信托追责制度中设以由受托人承担证明已经履行勤勉尽责的谨慎义务的举证责任,当信息主体遭受来自信托关系外第三方侵害或不明确的损害时,信息主体作为委托人、受益人可就受托人是否履行谨慎义务要求受托人承担举证责任,若受托人无法证明其履行勤勉尽责的义务时,由受托人承担赔偿损失的违信责任。

信托业务中适用举证责任倒置规则并非无迹可寻。尽管我国信托法规并未完全借鉴英美法系信托制度明确规定举证责任倒置规则,但在2019年发布的《全国法院民商事审判工作会议纪要》(以下简称《九民纪要》)中就资管行业信托受托人举证责任倒置规则作出了规定,当委托人认为受托人在经营资产管理产品时未履行勤勉尽责、公平对待客户等义务时应由受托人对己履行前述义务承担举证责任,否则应承担不利后果。此规则初步适用于资管行业系我国信托法律规范在适用举证责任倒置规则的先行试点。究其原因,在资管行业信托受托人的金融领域知识储备远超一般投资者,受托人对信托财产的经营管理超越了委托人的理解能力范围,受托人与委托人存在极不平衡的地位差异,若发生信托财产受损的情形仍由委托人承担受托人经营操作不当、市场机会判断有误等违反谨慎义务的证明责任既不现实也有失公允,因此《九民纪要》第94条将受托人未违反谨慎义务的举证责任交由受托人承担。反观数据治理领域,数据信托的受托人往往是提供网络服务的数据企业或具备专业技能的信托公司,而委托人大多是信息主体,受托人有关数据获取、分析、处理、应用的专业能力同样远超信息主体,其数据处理行为、授权许可访问行为以及数据加密保护的行为均在信息主体的理解能力之外,因此.在数据信托领域也可借鉴资管领域的举证责任倒置规则,当信息主体交由数据信托受托人管理的个人信息遭受侵害时,由受托人就其善管、勤勉、审慎等义务的履行承担举证责任,以司法推动立法发展。

因此,數据信托使用举证责任倒置规则能够激励受托人严格恪守谨慎义务,当侵权行为发生时,有助于找出真正的侵权行为人,优化我国数据治理环境。以举证责任倒置规则分配受托人是否履行谨慎义务的证明责任,在受托人实施管理行为时,自然会时刻以留存相关操作记录为必要,一方面有利于受托人始终恪守谨慎义务,另一方面可依据相关操作记录还原信息侵权发生的客观情况,实现对信息主体的救济。

五、结语

数据要素的治理是发展数字经济的基础,数据信托制度在数据治理方面为平衡数据流通与信息保护之间的矛盾提供了一条切实可行的路径。作为数字经济背景下的数据治理工具,数据信托不可避免地与传统信托模式存在理论张力,此外,信托制度作为“舶来品”扎根于我国大陆法系的环境下,在适用效果上相较于衡平法系上亦有所差距。我国数据信托理论模式的探索与架构仍处在初级阶段,在制度体系建构方面英国数据信托理论为我国提供了宝贵的制度经验。为此,我国数据信托体系的架构仍需要理论的不断完善与实践的不懈探索,在汲取域外相对成熟的制度经验的同时不断革新与完善我国数据治理规范体系,充分发挥数据信托在数据治理方面的制度优势,实现数据共享与流通价值的同时兼顾数据安全价值,激活数据要素潜能,推动数字经济发展。

注释:

①关于数据、信息等概念存在多种观点。本文认为,在个人层面,就法律规范意义来说个人信息与个人数据的概念同一,故本文所述个人信息即个人数据

②早在2015年,国务院印发《促进大数据发展行动纲要》,指出数据已成为国家基础性战略资源,大数据对全球生产、流通、分配、消费活动以及经济运行机制、社会生活方式和国家治理能力产生重要影响在《国民经济和社会发展第十四个五年规划和2035年远景目标纲要》中亦强调了迎接数字时代,激活数据要素潜能,推进网络强国建设,加快建设数字经济、数字社会、数字政府,以数字化转型整体驱动生产方式、生活方式和治理方式变革。

③三个项目试点包括:第一,探究数据信托在打击非法野生动物贸易的应用;第二,探索数据信托模式在城市数据共享中的应用;第三,利用数据信托模式共享数据衡量食物浪费情况。

④《个人信息保护法》第六十九条第一款规定:处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。

参考文献:

[1]彭诚信,向秦.“信息”与“数据”的私法界定[J]河南社会科学,2019,27(11):25-37.

[2]彭诚信.论个人信息的双重法律属性[J].清华法学,2021,15(6):78-97.

[3]翟志勇.论数据信托:一种数据治理的新方案[J]东方法学,2021(4):61-76.

[4]席月民.数据安全:数据信托目的及其实现机制[J]法学杂志,2021(9):29-41+52

[5]冯果,薛亦飒.从“权利规范模式”走向“行为控制模式”的数据信托——数据主体权利保护机制构建的另一种思路[J].法学评论,2020(3):70-82.

[6]冉从敬,唐心宇,何梦婷.数据信托:个人数据交易与管理新机制[J].图书馆论坛,2022(3):56-68

[7]李智,姚甜甜.数据信托模式下受托人信义义务之规范[J].学术交流,2022(2):27-43+191

[8]申卫星.论数据用益权[J]中国社会科学,2020( 11):110-131+207

[9]凌超.“数据信托”探析:基于数据治理与数据资产化的双重视角[J].信息通信技术与政策,2022(2):22-28

[10]张小松.数据信托[J].中国科学基金,2021,35(03):406-407.

[11]吴泓.信赖理念下的个人信息使用与保护[J]华东政法大学学报,2018(1):22-36

[12]Sean McDonald.The Civic Trust.[EB/OL]

[13]Neil Lawrence.Data Trusts Could Allay Our Privacy fears,at https://inverseprobability.com/2016/06/03/data- trusts[EB/OL]

[14]Element AI and Nesta. Data Trusts:A new tool for datagovernance[R] .Montreal:Elcment AI and Nesta.2019.

[15]Sylvie Delacroix&Neil D. Lawrence.Bottom- up dataTrusts: disturbing the' one size fits all' approach to datagovemance[J],lnternational Data Privacy Law,2019,9(4):236-252

[16]ODI.Defining a "data trust".[EB/OL].

[17]ODI. Data trusts: lessons from three pilots.[EB/OL]

[18lWendy Hall& Jerome Pesenti.Growing the artificial intel-ligence industry in the UK.[EB/OL]

[19]Bianca Wylie&Sean McDonald. What is a data trust?athttps://www.cigionline.org/articles/what- data- trust.[EB/OL].

[20]jonathan Zittrain.Engineering an election[Jl,Harvard lawreview.2013,127(1):335-352

[21]Kieron O Hara. Data Trusts: Ethics. Architecture and Gov- ernance for Trustworthy Data Stewardship.[EB/OL]

[22]MalgieriG,Property and (IntellectuaD Ownership of Con-sumers' Information:A New Taxonomy for Personal Data[J],Privacy in Germany-PinG,2016(4):1 33-150.