2021年2月24日,《麻省理工科技评论》发布了2021年“全球十大突破性技术”榜单,数据信托位列其中。数据信托之所以入选,该评论给出的理由是:“技术公司已经被证明是我们个人数据的糟糕管理者。我们的信息被黑客攻击、被泄露、被出售和转售,次数比我们大多数人计算的还要多。也许,问题不在于我们,而在于我们长期以来一直坚持的隐私模式——我们,作为个体,对管理和保护我们自己的隐私承担首要责任。数据信托提供了一种替代方法,一些政府已经开始进行探索。数据信托是一个法律实体,代表人们的利益,收集和管理人们的个人数据。尽管这些信托的结构和功能仍在定义中,而且仍然存在许多问题,但数据信托以为隐私和安全方面的长期问题提供潜在的解决方案而闻名。”
数据信托的提出,是为了解决一个现实矛盾和一个不平衡的权力结构。这个现实矛盾在于:一方面,数字经济的发展要求数据共享和自由流通,特别是人工智能技术的发展对大数据的广泛运用提出的新需求;另一方面,现行的数据保护制度不足以解决数据共享和流通中的隐私和安全问题,这个现实矛盾需要一个新的解决方案。这种不平衡的权力结构是:个人对数据保护的力不从心与数据控制者对数据的绝对控制,个人完全处于被支配的地位。现行数据保护制度主要是对个体进行赋权,以GDPR为典型代表,这种个人权利模式假定了个人可以积极维护自己的数据权利,但事实上个人要么无意愿,要么无能力,其结果只能依赖于数据监管部门自上而下的各种监管审查,监管部门和数据控制者玩起猫捉老鼠的游戏,监管的效果并不明显。通过政府的监管来打破上述不平衡权力结构的尝试被证明是失败的,或者说是效率不高的。
造成这个局面的一个重要原因是:个人权利模式和政府自上而下的监管都没法创造出“信任”。数据主体和监管部门不信任数据控制者,数据控制者不信任数据处理者,数据控制者、数据处理者之间也相互不信任。而如果在最基础的层面上无法建立起最基本的信任关系,再多的赋权和规制也都无济于事。数据信托的提出,就是为了解决数据领域中的“信任赤字”问题,通过给数据控制者强加信托义务或引入独立第三方作为信托人,数据信托将信托法的理念和制度引入
数据治理中,试图打破上述不平衡的权力结构。
至于什么是这里所说的数据信托,目前尚未形成统一的认知。英国开放数据研究所总结出了5种代表性的阐释:
1.一个可重复的术语和机制的框架;
2.一个共同的组织;
3.一种法律结构;
4.数据的存储;
5.对数据访问的公众监督。
为了能够最大程度地形成共识,并在此基础上推动数据信托实践,开放数据研究所结合目前数据信托的主流理论和主要实践,提出了一个相对狭义的界定:“数据信托是一种提供独立数据管理的法律结构”。
这个定义中有三个关键词:
第一是“独立”,意味着数据信托独立于数据控制者和使用者,需要一个独立第三方作为数据受托人,“受托人承担着具有法律约束力的责任,确保数据的共享和使用有利于特定的人群和组织,以及受其使用影响的其他利益相关者”。
第二是“数据管理”,意味着由受托人依据数据信托章程决定谁可以访问数据,在什么条件下访问数据,以及数据信托是为了谁的利益。
第三是“法律结构”,这里要特别强调的是,虽然数据信托是从信托法意义上的信托中获得灵感并借鉴了诸多制度,但数据信托不是信托法意义上的信托,数据信托是一种独立于信托法的单独的法律结构。至于具体的原因,下文将详细讨论。
基于这个定义,一个数据信托必备的要素包括:一个明确的目的、一个法律结构(包括委托人、负有信托责任的受托人和受益人)、对所管理的数据的(一些)权利和义务、一个明确的决策过程、对如何分享利益的描述、可持续的资金。虽然不同的学者对数据信托仍有不同的表述。比如,比安卡·维利和肖恩·麦克唐纳的定义:“数据信托可以维护和管理数据的使用和共享——从允许谁访问数据,在什么条件下访问,到谁可以定义条款,以及如何定义。”但开放数据研究所的定义基本上被视为最大的公约数,《麻省理工科技评论》所讲的数据信托,基本上也符合这个定义。
其实,作为一个法律问题而非技术问题,数据信托早就被学术界关注了。
2004年,利利安·爱德华兹发表的《隐私问题:一个温和的建议》一文中主张,应从普通法信托的角度来理解消费者和数据控制者之间的关系,并基于数据信托提出了“隐私税”构想。虽然爱德华兹关注的重点是“隐私税”,但却花了很大的篇幅来讨论通过数据信托管理数据的可行性和必要性,并以此作为“隐私税”的基础。不过,爱德华兹的想法并未引起学界的共鸣。
直到2014年,这个问题才再次被学界提起,并自此产生持续影响。2014年3月耶鲁大学法学院杰克·M.巴尔金在网上发表短文《数字时代的信息受托人》认为:“信息受托人概念有助于我们理解如何在不违反第一修正案的情况下保护数字隐私。”在对这篇短文进行扩展的基础上,巴尔金教授在2016年发表了《信息受托人与第一修正案》,该文系统阐述如何将“许多收集、分析、使用、销售和分发个人信息的在线服务提供商和云公司视为面向其客户和最终用户的信息受托人”,以此来调和个人隐私保护和个人数据的收集、分析、使用、销售和分发之间的矛盾。
在巴尔金提出“信息受托人”这个概念后,美国学界、实务界和国会作出了积极的回应,并沿着这条路线作了大量探讨。这里要特别注意的是,回到前面提到的不平衡的权力结构,巴尔金的“信息受托人”不是创设一个独立第三方,而是给数据控制者施加特殊的信托义务,以此来平衡个人数据主体和数据控制者之间不平衡的权力结构。但是,信托制度发源地的英国并未接受这种构想,而是提出了完全不同的数据信托构想。
2015年4月,夏恩·麦克唐纳发表《公民信托》,提出“创建一个受托人组织,该组织持有技术产生的基础代码和数据,并将其授权给将其商业化的营利性公司。公民信托与普通信托的不同之处在于,公民信托和获得许可的商业化公司都将承担信托责任,制定参与性的治理程序,使彼此受到制约”。
2016年6月,剑桥大学机器学习研究专家尼尔·劳伦斯教授发表《数据信托可以减轻我们对隐私的担忧》,以NHS-Google DeepMind涉及160万名患者的数据共享交易为例,提出了数据信托的构想:“一个代表其成员利益管理成员数据的共同组织。”也就是说,数据主体将他们的数据汇集起来,集中交给一个信托机构管理,通过信托章程规定数据共享的条件,信托机构代表数据主体与数据使用者进行谈判,维护数据主体的隐私、安全和利益。“法律机制将使每个信托机构能够在谈判中确定数据主体的优先利益。通过整理数据,信托机构本身将成为权力掮客,即数据掮客。受托人成为个人利益的守护者。通过建立信托章程实现对受托人的监督。”自此,英国学术界和实务界不仅开始了针对数据信托的大量学术研究,而且作为信托制度的起源国,英国直接开始数据信托的实践,并取得了一定的成功。这正是《麻省理工科技评论》将数据信托选入十大突破性技术的重要基础,并预言未来二到三年该项技术将逐步成熟。
简单总结一下,英美两国发展出了两种不同的数据信托构想,美国是“信息受托人”构想,英国是“数据信托”构想,两者都有非常深厚的普通法上的信托理论与实践背景。“数据信托的观念依赖于英国和美国等普通法法域的这种理念:任何对数据有权利的人,都必须承诺为受益人的利益,而不是为他们自己的利益来管理数据。”
不过,英美学者并不认为数据信托只适用于普通法系,他们在构想数据信托时,均着眼于不同法系的普遍适用。这里补充说一下,Fiduciary源于拉丁语,意思就是trust,这个词在受托人(trustee)的职责中起着重要作用。现在Fiduciary和trustee基本上可以互换使用,通常描述受托人与受益人之间的法律关系的各个方面。因此,“信息受托人”和“数据信托”的差别只能在具体的语境中区分,不能通过fiduciary和trustee两个词的含义来区分。不过,它们之间也有根本性的差别,“信息受托人”中没有作为数据信托人的独立第三方,而“数据信托”特别强调这个独立第三方的作用。
我国正在制定个人信息保护法和数据安全法,如何兼顾数据利用、数据隐私与数据安全,如何打破数据主体和数据控制者之间不平衡的权力关系,是这两部法律要处理的核心问题,数据信托或是可选择的治理机制之一。我国学术界和实务界已经意识到数据信托的潜在价值,并且开始了有益的探索。但是,我国学术界主要关注的是巴尔金的“信息受托人”理论,而且缺乏批判性反思,对于英国的数据信托理论和实践基本没有深入探讨。而对于中国的
数据治理,特别是公共数据治理,英国的数据信托构想可能更有借鉴意义。由于目前数据信托探索还存在诸多尚未解决的重大理论问题,数据信托实践也在试点之中。因此,有必要先从基础理论出发,对数据信托可能涉及的理论与制度问题作综合性的梳理,并在此基础上结合中国的数据治理需求,提出有待进一步探讨的问题。
(部分内容来源网络,如有侵权请联系删除)
