论数据信托：一种数据治理的新方案.doc

论数据信托：一种数据治理的新方案内容摘要数据信托的提出是为了解决数据主体与数据控制者之间不平衡的权力关系，从而在数据流通和交易中确保数据隐私和安全数据信托存在两种不同的方案：一种是美国的“信息受托人”方案，对数据控制者苛以信托受托人义务，目前还停留在理论阐述阶段；另一种是英国的“数据信托”方案，建立第三方机构提供独立的数据信托服务英国已经推动了各种数据信托试点，提炼出数据信托生命周期的六个阶段和五种法律结构，为各国开展数据信托实践提供了重要参考我国正在制定的个人信息保护法和数据安全法，可以借鉴英美的数据信托理论和实践，在数据交易和公共数据管理方面探索中国的数据信托实践关键词：数据信托 信息安全 数字隐私 信息受托人 公共数据管理 个人信息保护一、引言2021年2月24日，《麻省理工科技评论》发布了2021年“全球十大突破性技术”榜单，数据信托位列其中数据信托之所以入选，该评论给出的理由是：“技术公司已经被证明是我们个人数据的糟糕管理者我们的信息被黑客攻击、被泄露、被出售和转售，次数比我们大多数人计算的还要多也许，问题不在于我们，而在于我们长期以来一直坚持的隐私模式——我们，作为个体，对管理和保护我们自己的隐私承担首要责任。

数据信托提供了一种替代方法，一些政府已经开始进行探索数据信托是一个法律实体，代表人们的利益，收集和管理人们的个人数据尽管这些信托的结构和功能仍在定义中，而且仍然存在许多问题，但数据信托以为隐私和安全方面的长期问题提供潜在的解决方案而闻名数据信托的提出，是为了解决一个现实矛盾和一个不平衡的权力结构这个现实矛盾在于：一方面，数字经济的发展要求数据共享和自由流通，特别是人工智能技术的发展对大数据的广泛运用提出的新需求；另一方面，现行的数据保护制度不足以解决数据共享和流通中的隐私和安全问题，这个现实矛盾需要一个新的解决方案这种不平衡的权力结构是：个人对数据保护的力不从心与数据控制者对数据的绝对控制，个人完全处于被支配的地位现行数据保护制度主要是对个体进行赋权，以GDPR为典型代表，这种个人权利模式假定了个人可以积极维护自己的数据权利，但事实上个人要么无意愿，要么无能力，其结果只能依赖于数据监管部门自上而下的各种监管审查，监管部门和数据控制者玩起猫捉老鼠的游戏，监管的效果并不明显通过政府的监管来打破上述不平衡权力结构的尝试被证明是失败的，或者说是效率不高的造成这个局面的一个重要原因是：个人权利模式和政府自上而下的监管都没法创造出“信任”。

数据主体和监管部门不信任数据控制者，数据控制者不信任数据处理者，数据控制者、数据处理者之间也相互不信任而如果在最基础的层面上无法建立起最基本的信任关系，再多的赋权和规制也都无济于事数据信托的提出，就是为了解决数据领域中的“信任赤字”问题，通过给数据控制者强加信托义务或引入独立第三方作为信托人，数据信托将信托法的理念和制度引入数据治理中，试图打破上述不平衡的权力结构至于什么是这里所说的数据信托，目前尚未形成统一的认知英国开放数据研究所总结出了5种代表性的阐释：1.一个可重复的术语和机制的框架；2.一个共同的组织；3.一种法律结构；4.数据的存储；5.对数据访问的公众监督为了能够最大程度地形成共识，并在此基础上推动数据信托实践，开放数据研究所结合目前数据信托的主流理论和主要实践，提出了一个相对狭义的界定：“数据信托是一种提供独立数据管理的法律结构”这个定义中有三个关键词：第一是“独立”，意味着数据信托独立于数据控制者和使用者，需要一个独立第三方作为数据受托人，“受托人承担着具有法律约束力的责任，确保数据的共享和使用有利于特定的人群和组织，以及受其使用影响的其他利益相关者”；第二是“数据管理”，意味着由受托人依据数据信托章程决定谁可以访问数据，在什么条件下访问数据，以及数据信托是为了谁的利益；第三是“法律结构”，这里要特别强调的是，虽然数据信托是从信托法意义上的信托中获得灵感并借鉴了诸多制度，但数据信托不是信托法意义上的信托，数据信托是一种独立于信托法的单独的法律结构。

至于具体的原因，下文将详细讨论基于这个定义，一个数据信托必备的要素包括：一个明确的目的、一个法律结构（包括委托人、负有信托责任的受托人和受益人）、对所管理的数据的（一些）权利和义务、一个明确的决策过程、对如何分享利益的描述、可持续的资金虽然不同的学者对数据信托仍有不同的表述比如，比安卡维利和肖恩麦克唐纳的定义：“数据信托可以维护和管理数据的使用和共享——从允许谁访问数据，在什么条件下访问，到谁可以定义条款，以及如何定义但开放数据研究所的定义基本上被视为最大的公约数，《麻省理工科技评论》所讲的数据信托，基本上也符合这个定义其实，作为一个法律问题而非技术问题，数据信托早就被学术界关注了2004年，利利安爱德华兹发表的《隐私问题：一个温和的建议》一文中主张，应从普通法信托的角度来理解消费者和数据控制者之间的关系，并基于数据信托提出了“隐私税”构想虽然爱德华兹关注的重点是“隐私税”，但却花了很大的篇幅来讨论通过数据信托管理数据的可行性和必要性，并以此作为“隐私税”的基础不过，爱德华兹的想法并未引起学界的共鸣直到2014年，这个问题才再次被学界提起，并自此产生持续影响2014年3月耶鲁大学法学院杰克M.巴尔金在网上发表短文《数字时代的信息受托人》认为：“信息受托人概念有助于我们理解如何在不违反第一修正案的情况下保护数字隐私。

在对这篇短文进行扩展的基础上，巴尔金教授在2016年发表了《信息受托人与第一修正案》，该文系统阐述如何将“许多收集、分析、使用、销售和分发个人信息的服务提供商和云公司视为面向其客户和最终用户的信息受托人”，以此来调和个人隐私保护和个人数据的收集、分析、使用、销售和分发之间的矛盾在巴尔金提出“信息受托人”这个概念后，美国学界、实务界和国会作出了积极的回应，并沿着这条路线作了大量探讨这里要特别注意的是，回到前面提到的不平衡的权力结构，巴尔金的“信息受托人”不是创设一个独立第三方，而是给数据控制者施加特殊的信托义务，以此来平衡个人数据主体和数据控制者之间不平衡的权力结构但是，信托制度发源地的英国并未接受这种构想，而是提出了完全不同的数据信托构想2015年4月，夏恩麦克唐纳发表《公民信托》，提出“创建一个受托人组织，该组织持有技术产生的基础代码和数据，并将其授权给将其商业化的营利性公司公民信托与普通信托的不同之处在于，公民信托和获得许可的商业化公司都将承担信托责任，制定参与性的治理程序，使彼此受到制约”2016年6月，剑桥大学机器学习研究专家尼尔劳伦斯教授发表《数据信托可以减轻我们对隐私的担忧》，以NHS-Google DeepMind涉及160万名患者的数据共享交易为例，提出了数据信托的构想：“一个代表其成员利益管理成员数据的共同组织。

也就是说，数据主体将他们的数据汇集起来，集中交给一个信托机构管理，通过信托章程规定数据共享的条件，信托机构代表数据主体与数据使用者进行谈判，维护数据主体的隐私、安全和利益法律机制将使每个信托机构能够在谈判中确定数据主体的优先利益通过整理数据，信托机构本身将成为权力掮客，即数据掮客受托人成为个人利益的守护者通过建立信托章程实现对受托人的监督自此，英国学术界和实务界不仅开始了针对数据信托的大量学术研究，而且作为信托制度的起源国，英国直接开始数据信托的实践，并取得了一定的成功这正是《麻省理工科技评论》将数据信托选入十大突破性技术的重要基础，并预言未来二到三年该项技术将逐步成熟简单总结一下，英美两国发展出了两种不同的数据信托构想，美国是“信息受托人”构想，英国是“数据信托”构想，两者都有非常深厚的普通法上的信托理论与实践背景数据信托的观念依赖于英国和美国等普通法法域的这种理念：任何对数据有权利的人，都必须承诺为受益人的利益，而不是为他们自己的利益来管理数据不过，英美学者并不认为数据信托只适用于普通法系，他们在构想数据信托时，均着眼于不同法系的普遍适用这里补充说一下，Fiduciary源于拉丁语，意思就是trust，这个词在受托人（trustee）的职责中起着重要作用。

现在Fiduciary和trustee基本上可以互换使用，通常描述受托人与受益人之间的法律关系的各个方面因此，“信息受托人”和“数据信托”的差别只能在具体的语境中区分，不能通过fiduciary和trustee两个词的含义来区分不过，它们之间也有根本性的差别，“信息受托人”中没有作为数据信托人的独立第三方，而“数据信托”特别强调这个独立第三方的作用我国正在制定个人信息保护法和数据安全法，如何兼顾数据利用、数据隐私与数据安全，如何打破数据主体和数据控制者之间不平衡的权力关系，是这两部法律要处理的核心问题，数据信托或是可选择的治理机制之一我国学术界和实务界已经意识到数据信托的潜在价值，并且开始了有益的探索但是，我国学术界主要关注的是巴尔金的“信息受托人”理论，而且缺乏批判性反思，对于英国的数据信托理论和实践基本没有深入探讨而对于中国的数据治理，特别是公共数据治理，英国的数据信托构想可能更有借鉴意义由于目前数据信托探索还存在诸多尚未解决的重大理论问题，数据信托实践也在试点之中因此，有必要先从基础理论出发，对数据信托可能涉及的理论与制度问题作综合性的梳理，并在此基础上结合中国的数据治理需求，提出有待进一步探讨的问题。

笔者先梳理巴尔金的“信息受托人”及其遭到的批判，检讨这个构想的意义及其不足，接下来梳理英国的数据信托构想，比较三种理论构想的差异，总结其共同之处然后，介绍英国的数据信托实践，总结这些实践的经验教训最后，提出需要进一步探索的问题，以及数据信托对中国数据治理的借鉴意义二、巴尔金的“信息受托人”理论及其批判者一提到数据信托，学术界就会提到巴尔金的上述文章，但对于巴尔金最初提出“信息受托人”理论所要解决的问题，很少有人认真讨论过因此，有必要先从巴尔金的理论讲起巴尔金是美国宪法第一修正案的研究专家，因此，最初他实际上是从言论自由的角度来讨论数据信托的，他发现对个人信息隐私的保护和美国宪法第一修正案之间存在着潜在冲突为什么这么说呢？一方面，信息平台公司大量收集、分析、使用、销售和分发个人信息，必然会侵犯个人隐私，甚至威胁西方民主政治；而另一方面，信息平台公司主张，平台公司收集、分析、使用、销售和分发个人信息属于美国宪法第一修正案所保护的言论自由如果国会立法禁止或限制这些行为，则属于对平台公司言论自由的侵犯，因此是违宪的我们理解这个潜在的冲突不是很容易，特别是将平台公司收集、分析、使用、销售和分发个人信息视为第一修正案意义上的言论自由。

此外，巴尔金是第一修正案坚定的捍卫者，因此这个潜在的冲突也与他个人的学术立场有关巴尔金举了Sorrell v. IMS Health Inc.案来说明这个问题佛蒙特州立法者发现，药店正在向数据挖掘者出售有关医生处方的信息，数据挖掘者通过对医生处方信息的挖掘，将有关医生处方开药倾向的报告卖给制药公司及其代理商该州立法者担心，如果允许制药公司依据这些信息向医生做广告，可能会导致医生开更昂贵的药物，因此佛蒙特州立法规定药剂师销售有关医生处方的信息是非法的但美国最高法院却认为佛蒙特州的该项立法违反了美国宪法第一修正案，因此是无效的肯尼迪大法官所撰写的法庭意见认为：“信息的创造和传播是第一修正案意义上的言论当然，如果信息是虚假的或恶意诽谤的除外不过，巴尔金所举出的这个例子毕竟不是针对信息平台公司的，平台公司对于用户个人信息的收集、存储、传输、售卖、使用是否受第一修正案的保护，可能是个理论争议问题巴尔金是通过一个类比提出信息受托人理论的，在普通法的信托理论和实践中，医生、律师和会计师与客户有着特殊的信任关系，这种信任关系就是一种信托。