全立 中南财经政法大学法学院硕士研究生
内容摘要:“数据信托”一词具有双重含义:“信息受托人理论”和“信任框架下的数据管理模式”。前者根植于信义法,并试图为当前“个人数据换取服务”模式下的个人数据保护提供方案;后者则致力于引入值得信任的第三方并构建全新的数据利用框架。然而前述两种理论均不适合直接引入我国。信息受托人理论的内在缺陷在于与信义义务内核的不符,且信义义务本身与我国法律体系难以兼容;而在信任的框架下管理数据,首要难题是如何选取适格的第三方,其次则是难以选定合适的法律结构。作不过为借鉴,在我国法律体系下可以诚实信用原则对数据处理者进行限制,或者尝试在传统信托的框架下设置数据信托。
引言
大数据时代个人数据的经济价值已经毋庸置疑,妥善的利用个人数据,不仅有助于商业的发展,还可促进社会的进步。伴随数据经济而来的是数据利用者的不当行为给数据主体带来的侵害。一方面,数据利用者可根据数据描绘出数据主体的个人画像,对其定向投放信息,在影响数据人行为的同时还有可能侵扰其个人生活;另一方面,数据利用者对所收集到数据的不当披露还可能对个人的隐私、名誉造成损害,甚至为原本安宁的私人生活增添潜在的危险。
为了在发掘个人数据的经济价值的同时保护数据主体的个人信息权益不受侵害,英美法上发展出了数据信托理论。我国学界也正在探索前行的道路,其间有学者试图借鉴西方的先进经验,主张引入数据信托。然而学者们在引入这一概念时却存在一些疏忽。首先,数据信托本身具有多重含义:在美国,指巴尔金的数据受托人理论;在英国,则是一种全新的数据利用模式。但是以上两种都并非大陆法系信托法上所指的信托。其次,数据信托以英美法系为原生背景,能否移植到大陆法系国家,尚存疑问。此外,即便在英美法系国家,数据信托也还处于试错阶段,盲目的引入并不可取。但这也并不代表数据信托对于我国的个人数据保护和利用没有任何意义,其中依然有部分先进理念值得学习。
本文欲先厘清数据信托的两重含义,消除用语差异所带来的歧义。并分析数据信托的本土化过程中存在的主要障碍,论证我国目前不宜全面的引入数据信托。在此基础上,指明数据信托对我国个人数据利用和保护的启示作用,为推进数据法学在个人数据领域的发展尽绵薄之力。
一、概念澄清:数据信托的双重语义
在大陆法系背景下,数据信托很容易被理解为“以数据权益作为信托财产设立的信托”。但是在数据信托起源地的英美国家,数据的财产性质还未得到广泛的承认,数据信托并非“以数据作为信托财产设立的信托”。反观我国学者在倡议引入数据信托时,却并未进行必要的区分,例如有论者在介绍数据受托人理论的同时却强调“以数据作为信托财产设立的信托”在我国的可能性与必要性。因此在讨论数据信托的相关议题时,有必要厘清数据信托这一概念可能具备的多重含义。
(一)“信息受托人”理论
“信息受托人”理论由耶鲁大学的巴尔金教授提出并进行系统论述,有时也被称为“数据信托”。巴尔金以律师、医生等专业人士对其从客户处所获得的个人信息负有信义义务为类比,主张收集、处理、利用个人数据的数字服务提供者也应对提供个人数据的数据主体承担信义义务,并将他们称为“信息受托人”。以此为契机,各界人士围绕数字服务提供者是否应承担信义义务展开了争论。因此在美国,所谓数据信托指的其实是服务提供者的信义义务,属于信义法而并非信托法的范畴。
“Fiduciary”源自拉丁语中的“fiducia”一词,有“信托的、信任的”和“受托人”两个意思。虽然“fiduciary”和“trust”渊源颇深,不过很明确的一点是,“Fiduciary Law”通常指信义法,而“Trust Law”一般指信托法。信义法脱胎自信托法,但内容更加丰富,内涵更加广阔。信托则被定义为“以财产设置的信义关系,是为了使财产受让人为慈善或他人利益而管理财产而以设立信托关系的明确意思表示而设立”,是信义关系的子种类。因数据及其相关权利的财产属性尚未获得英美法的认可,除非修改现行法,否则以数据权益作为财产设置信托可能将面临法律上的障碍,所以巴尔金所提出的“信息受托人理论”其实是以信义法而并非信托法为依托。
(二)作为数据管理利用模式的数据信托
英国的理论和实践走上了完全相异的道路。巴尔金的“信息受托人理论”中只存在双方关系——作为委托人的数据提供者和作为受托人的服务提供者的信义关系。而英国的数据信托理论则引入了一个中立、可靠的第三方来平衡数据提供者与数据控制者的权利义务关系。这个第三方机构应该足够专业,且值得信赖。目前来看,英国数据信托的理论和实践都在致力于探索一种可行的数据处理模式,在这种模式下,数据可以被妥善利用,数据提供者的利益也不会受到侵害。此种数据信托强调的是各方在信任的框架之下合理的利用数据,而并不强调以数据获益,这也与确定受益人以及利益分配困难有关,因此英国的数据信托也并非传统意义上的信托。
二、数据信托本土化的主要障碍
(一)引入信息受托人理论的困境
1.信息受托人理论的固有缺陷
巴尔金的信息受托人理论本身即存在着显著的内在缺陷。有论者指出,巴尔金的理论存在主体、客体、内容三个方面的缺陷:在主体方面,前述观点认为生活中存在众多的数据授权行为,而数据在被授权后可能发生进一步流转,因此数据受托人理论的主体过于泛化,难以确定;在客体方面,则主张数据不能作为信托财产;在内容方面,指出“受托人”的义务并非信义义务。
不过事实上,前两项都并非该理论的缺陷。就义务主体而言,只有与数据人有过直接接触并得到授权的第一手的数据服务提供者才能成为信义义务的主体,如果受托人的不当行为引起第三人的侵害行为,则并不属于信义法能够调整的范围。例如在传统的信义关系中,若作为数据受托人的律师将客户的数据披露给了第三人,第三人的不当行为又导致委托人的生活安宁遭受严重的侵扰,显然只有律师违背了信义义务,而第三人的行为只涉及侵权的问题,与信义义务无关。至于数据权利人的广泛授权导致受托人范围难以确定,则是现行数据流转模式下的固有缺陷,可能并非通过理论构建就可以解决的问题。只要有复数的个人数据处理者得到授权,这一情况就难以根绝。对客体的批评在某种程度上是对数据受托人理论的误解,因为数据受托人理论以信义法而并非以信托法为依托。在信义关系中,被委托的既可以是财产,也可以是权力。在信义关系中,委托人将自己的事务委托给受托人,受托人对自己在这一过程中获取的客户信息承担信义义务,个人信息究竟是否可作为信托财产财产对此并无影响。巴尔金主张数据主体和数字服务提供者之间也存在着类似的事务委托关系,因此数字服务提供者对个人数据的利用也要受到信义法的约束。因此在数据受托人理论中,要点并非是“数据是否为一种财产”,而是个人数据主体与收集数据的服务提供者之间是否存在信义关系,以及数字服务提供者应该承担怎样的信义义务。
数据受托人理论真正的问题在于受托人义务的内容与信义法存在难以协调之处。巴尔金时常以客户与律师、病人与医生的关系来类比数据委托人和数据受托人间的关系,试图在传统的信义关系模型中为数据受托人理论寻找立足之地。但必须承认的是,在以“个人数据换取数字服务”的现行商业模式下,数据主体与数据利用者之间的关系同传统的信义关系间存在某些决定性的差异。最直观的差异体现在义务的内容上。信义义务的主要内容是忠诚义务和勤勉义务,这意味着受托人不仅不能损害委托人的利益,还应积极采取措施使委托人的利益最大化,甚至在委托人因知识经验的匮乏而可能采取损害自己利益的行为时,受托人应该进行适度干预。然而对数字服务提供者施加如此沉重的义务显然并不妥当。对于脸书、推特等数字服务提供者,我们既不会期待他们完全为了用户的利益而收集、利用数据,也不会奢求他们为客户的自我损害行为提供积极的保护。
虽然早期的信义义务充满了道德属性,但如今的信义关系并不完全由“信任”这一极具道德属性的元素维持。实际上即便在民事信义关系中,受托人也可能会收取一定的报酬而不仅仅是因为对方的信任而受托。如今的信义服务越发的具有商业属性,在商事活动中若受托人无利可图,则无受托的动力。因此必须采取合理的激励机制,具体而言,一方面对受托人的尽职行为予以奖励,另一方面对受托人违反义务的行为予以惩罚,前者主要是赋予受托人获取报酬的权利。
然而在数据经济的商业模式中,数字服务提供者通常并不要求用户支付报酬,但相应的却要求用户授权收集个人数据,并以此作为提供服务的前提。一方面,个人数据授权未必是提供服务所必须的,也很可能对提高服务质量没有什么帮助;另一方面,服务提供者们通常会从中牟利以维持平台运转。若既没有报酬又不允许其从中用户的个人数据中获益,则数字服务提供者将不再有动力继续提供数字服务,更勿论承担信义义务。巴尔金也承认,服务提供者的信义义务也只能止步于不损害数据提供者的利益,而不能扩张至禁止服务提供者盈利。
需要注意的是,如果数字服务要求用户支付费用,则结果可能会有所不同。在现实中,向用户收取费用主要有三种情况:其一,以付费为前提提供服务;其二,以免费为原则,但是对更高水平、质量的增值服务进行收费。在第一种情况中,用户通过向对方支付费用以获得数字服务,实际上已经成为了客户,而网络服务提供者也从自己提供的服务中收取了报酬。此时完全有理由期望服务提供者对用户的个人数据进行更高水平的保护。在这种情形中,巴尔金的数据受托人理论尚有发挥作用的余地。
2.法律体系上的不兼容
即便承认数据受托人理论确实还有进一步完善的可能,但也无法断言这一理论必然能很好的融入在我国现行的法律体系。在我国现行的法律制度下,引入数据受托人理论的主要问题有二:其一,引入这一理论的必要性不足;其二,作为法官造物的信义法与大陆法系难以兼容。
首先,巴尔金用信义法来调整数据主体和数字服务提供者之间的关系实属无奈之举。美国联邦宪法第一修正案认为数据利用者收集、处理、使用个人数据的行为是一种言论自由,应该受到宪法的保护。第一修正案限制了联邦针对个人数据保护进行立法的能力,因此亟需在立法之外寻找一种平衡双方利益的方案。于是巴尔金转向了信义义务,指出在传统的信义关系中,受托人处理、利用委托人信息的行为并不会落入第一修正案的保护范围,通过类比指出在数据信托中,数字服务提供者处理数据的行为也应由信义法约束,而并不总是能受到第一修正案的庇护。相较而言,我国并不存在第一修正案这样的法案,立法机关针对个人数据保护进行立法的能力并没有被削弱,通过立法加强对个人数据的保护本身就是一种可行的手段。在我国,个人数据保护的难题在于数据提供者维权困难。由于数字服务提供者常常不会披露数据处理和利用的细节,且双方的实力存在巨大的悬殊,在实践中,受害人常常因为举证困难而无法维权。而信义关系中,双方的举证责任分配显然有利于数据提供者:委托人(数据提供者)只要主张受托人(数据处理者)违反了信义义务即可,之后应由受托人证明自己没有违反信义义务,并且委托人也无须证明自己受有损失,这正是我国学者主张引入数据受托人理论的重要理由。但是必须注意的是,信义关系中的委托人负有较轻的举证责任并不是在任何方面都成立的。委托人主张对方违反信义义务时必须证明两者间存在信义关系。相比传统的信义关系所能覆盖的情形,在与传统信义关系相似的情形中适用信义关系通常要负担更为严格的证明责任。数据主体和数字服务提供者之间的关系显然会落入后者的范畴,这意味着数据主体在向阻信义法寻求救济时可能会被阻拦在信义关系的大门之外。
此外,在我国,网络安全法、个人信息保护法、数据安全法都对数据利用者收集和处理个人数据的行为进行了限制,这三部单行法均确立了行政责任、与民事责任并行的双重责任制,数据处理者不仅可能面临公法上的处罚,还需要承担私法上的责任。更重要的是,个人信息保护法第69条采用了过错推定原则,实现了举证责任倒置,个人数据的处理者必须证明自己对损失的发生没有过错。第70条缓解了个人数据权利受侵害时损失难以确定的尴尬境地。可以说依据我国现行的法律制度,数据提供人维权的难度已经被大幅度降低,刻意引入信息受托人理论的必要性或许还需要进一步论证。
其次,作为数据受托人理论基础的信义法能否平滑的与大陆法系传统衔接也是个疑问。围绕信义法是否可以成为一个独立的法律部门的争议历来有之。信义法本身较为散乱,辨别和发觉信义关系的标准至今依然存在争议。但信义法也是开放的、发展的,因此信义法律关系内部可能会不断的迎来新的成员。英美法系的法官具有造法的权能,并常以先前认定存在信义关系的情形作为基准,通过类推的方式去发掘新的信义关系。此外,信义法脱胎于信托法,而与信托法同样源自衡平法,天然的带有“良心”与“救济”的色彩,在某些具体的情形下法官为了提供救济甚至可能临时创设一种闻所未闻的信义关系。而这对于受到成文法约束的大陆法系法官来说是难以接受的。目前而言,英美法系上已经得到广泛承认的传统信义关系主要包括:医生和律师等专业人士、信托受托人、基金经理、公司董事和高管等。在这些社会关系中,英美的信义法已经积累了较为成熟的经验,可供我国法学理论借鉴。此外还有一些具有典型性但存在一定争议的新型信义关系,如配偶、调节人、朋友等。对于此类新型信义关系,更有必要持较为谨慎的态度。数据受托人理论中所构建的新型信义关系,即便在新型信义关系中也属于较为前沿且极具争议的一类,在引入和借鉴时必须更加的审慎。
(二)英国数据信托理论的移植困境
国内有学者主张可以数据权益为信托财产设立信托,这一思路无疑受到了英国数据信托理论的启发。诚然,数据信托理论开辟了一种全新的数据利用模式,有助于提高个人数据利用的效率和安全性。但在现行的商业模式下,这一设想对于个人数据的保护和利用难以发挥预期的作用。限制性的因素如下:
1.第三方数据管理者的选择
英国数据信托理论中最亮眼的设想在于突破现有的个人数据利用模式,引入第三方机构进行数据管理。数字服务提供者在提供免费的数字服务时通常会要求用户授权收集和处理个人数据,并通过处理后的个人数据牟利,这也正是我国目前个人数据利用最为常见的模式。而在前述情形中,若要借鉴数据信托理论则必须引入一个能够获得数据提供者以及数据利用者双方信任的第三方数据管理者。英国的数据信托实践已经证明,并非任何的第三方都能够取得充足的信任。虽然在英国,有英国皇家学会、英国皇家工程学院或开放数据研究所这样的研究机构可以胜任;在中国,也有高校的数据实验室,中国科学院的研究所可以扮演这一角色。但是需要注意的是,人口密度和数量上的差距导致个人数据的体量相差甚远,处理如此海量的个人数据对于这些机构来说也是相当沉重的负担。虽然Dame Wendy Hall指出,在数据信托已经成为较为成熟的法律结构时,其他主体在经过初始的数据管理者的认证后也可以加入数据信托成为新的管理者,但是哪些主体可加入,又因符合怎样的准入标准,报告中并未提及。实际上,即便有完善的法律结构以及操作指南,人们对于私营的公司总是不太放心,而更青睐于非盈利性的中立机构或者政府等公主体。然而现实却是人们对私营公司提供的数字服务有极大的需求,光是微信、支付宝等app就有数以亿计的用户。私营公司不仅能够收集到海量的个人数据,还拥有可观的数据处理能力,因此将希望完全寄托于非盈利机构或者政府,不仅闲置数据处理资源,还会使得管理数据的负担过分集中。
2.获利分配
数据管理者为谁的利益而管理数据?获得的利益又应该如何分配?英国学者们在讨论数据信托时总是对此避而不谈,甚至强调数据信托的主要目的并不是获益。事实却是若不解决前述问题,则各方通常缺乏设立数据信托的动力,并且也难以构建数据信托的法律结构。从英国数据信托理论的发展脉络来看,这一理论初期是为了帮助个人数据提供者对抗数据处理者而生。如此一来,首要的问题是,数据管理者究竟为了谁的利益而工作?若为了个人数据提供者的利益而工作,那么数据处理者提供数字服务并收集个人数据的动力就会大打折扣,并且还要面对如何妥当的分配获利这一问题;若为了数据处理者的利益工作,则数据管理者通常难以真正的取得个人数据提供者的信任。当然,也可以跳出这一框架而直接为了公共利益设置数据信托。例如在GDPR框架下运营的英国生物银行,已经成为了成功的先例,但是对于我国“个人数据换取便利”的模式下的个人数据利用和保护,借鉴作用确实有限。
三、数据信托对我国法上个人数据利用和保护的启发
英美两国的数据信托理论分别从两个方向展开,美国的数据信托理论立足于调整现有的个人数据利用模式,而英国的数据信托理论则显然在寻找新的出路,企图构建全新的个人数据利用模式。两者均各有缺陷,也各擅胜场,虽然不能为解决我国个人数据保护问题提供现成方案,但依然有着积极的借鉴意义。
(一)现有商业模式下的改良
1.对数字服务提供者约束的强化
巴尔金的数据受托人理论立足于调整个人数据提供者和数据处理者的内部关系。然而若根据巴尔金的理论而在两者间分配权利义务,形成的显然并非信义关系。如果立足于现实,则根本无法要求处理者承担信义义务,因此巴尔金企图在义务的严苛程度上做减免。但是从巴尔金的描述来看,此种“信义义务”的作用其实更接近于大陆法系上的诚实信用原则。盖因真正的信义义务要将他人利益置于己身之上,而诚实信用原则要求主体在谋求自己利益的同时兼顾他人的利益。事实上相比信义法,诚实信用原则显然更加适配。
个人数据中潜藏着巨大的经济价值,数据利用者对个人数据的处理行为不应被全面禁止。至于在数据处理中获取的利益,实际上是提供数字服务的对价,应由处理者享有。现实中也并不会禁止数字服务提供者处理和利用个人数据,而允许其在处理个人数据时在不害及数据主体利益的情况下为自己牟利。与其对个人数据处理者施加一种不纯粹的、被“阉割”过的信义义务,反而不如以诚实信用原则进行调整。有论者即主张大陆法系中与英美法上的信义关系对应的就是诚实信用原则。此种说法确有一定道理,但并不准确。不过巴尔金的理论所描述的“信义义务”恰好与诚实信用原则更加接近,因此或者可以为诚实信用原则发挥作用提供思路。我国个人信息保护法第5条恰好也规定了处理个人信息应遵守诚信信用原则。
诚实信用原则发挥作用的重要前提是存在合理信任的关系。而在用户接受数字服务之前,数字服务提供者通常会事先公布隐私政策,并竭力宣传自己将依照隐私政策收集和处理数据,那么用户自然有理由相信他们会遵守隐私政策。这正与巴尔金在论述数据受托人义务时强调的“既然劝诱他人相信自己,就不能辜负他人的信任”的原理不谋而合。即便认为隐私政策并非合同,也不具有可执行性,但如果数据主体有理由相信其会依据隐私政策行事,那么数字服务提供者就有必要依据隐私政策进行自我规制。
不过由于数据利用者和个人数据提供者之间的地位严重失衡,诚实信用原则的作用终究有限。数据利用者可能凭借自己的优势地位在隐私政策中加入某些不利于用户的内容,例如要求收集某些明显与其所提供的服务不相干的数据。此时外部力量特别是公法的干涉是必要的。例如对服务协议和隐私政策的内容进行审查或监督隐私政策的执行都需要公权力介入,而不能完全依靠数据收集人的自觉。不可否认的是,在数字服务提供者面前,用户们要么留下,要么选择离开,而根本没有商讨的余地。因此完全以“尊重平等主体之间的意思自由”这样的理念去处理两者的关系终究有所局限。允许服务提供者处理数据的重要原因是个人数据中待发掘的巨大经济价值对社会的发展有着重大意义。既然在此过程中可能对个人信息的权益造成侵害,那么公权力适度介入也并非不可理解。此外,在个人信息保护法第5条中,正当目的原则和必要原则与诚实信用原则并列。已经有学者指出,个人信息的处理不仅需要知情同意,还受到正当目的和必要性的限制。如果隐私政策的内容突破了正当目的和必要性原则,那么数字服务提供者以“数据收集处理行为满足隐私政策”为由而认为应当免责的主张或许无法得到支持。
(二)个人数据利用新模式的构建
英国的数据信托理论致力于构建一种全新的数据利用模式。但是究竟以何种法律结构作为支撑,则并无统一的答案。考虑到个人数据利用的具体场景千变万化,或许无法以某种单一的法律结构去应对所有需求,故而数据信托所采用的法律结构也可能具有多元性。目前而言,英国数据信托理论提出的可行的法律结构主要包括信托模式、合同模式、公司模式、公共机构监管模式、团体利益模式。囿于文章篇幅限制,且国内学者主要关注的是传统信托模式,故本部分仅对以个人数据权利设立信托的可能性进行分析。
1.个人数据权益与信托财产
信托财产是设立信托必不可少的要素,因此若想以个人数据权益设立信托,必须厘清个人对个人数据享有怎样的权益。首先需要明确的是,个人数据之所以会受到广泛的关注,是因为其中包含个人信息。数据中存储的信息和作为二进制的比特形式的数据是不同的,两者是内容与形式的关系。因此,在个人数据上可能存在两个层次的权益:针对内容——个人信息的权益或针对载体——包含了个人信息的数据文件的权益。
就第一个层次来看,问题实际上转化为了个人对个人信息享有何种权益,以及此种权益是否可作为信托财产。民法典第111条仅规定个人信息受法律保护,并且从本条内容上来看,主要涉及个人信息权益的消极保护。个人信息保护法第1条则直言自然人对个人信息享有权益,且第14条规定个人可以同意他人处理自己的个人信息。从前述两部法律的规定来看,个人信息权益的内容应该包含消极保护和积极利用两部分,其中涉及财产属性的主要是积极利用的权能,而人格属性则主要体现在消极保护的部分中。那么,以数据形式呈现的个人信息是否可视为财产?反对者认为,零散的个人数据不具有经济价值,个人数据只有在被汇总和处理之后才具有经济价值,因此个人对原始的个人数据只享有人格利益,而个人信息的财产利益应属于信息处理者。更有甚者进一步主张,在经过充分的脱敏处理后,个人数据的人格属性因丧失可识别性而磨灭,从而成为纯粹的财产。经过处理而得到的衍生数据具有财产属性,自然无需多言,而脱敏处理后丧失可识别性的个人数据则在成为信托财产的路上更进了一步。真正值得推敲的是未经过处理的原生个人数据是否可视为财产。以原生的、零散的个人数据经济价值较低为理由否认其财产属性的观点或许并不充分,特别是在数字服务合同中,授权服务提供者收集、处理个人数据这一行为明显具有对价属性,且这一属性足以使得表面上无偿、单务的网络服务合同在实质上成为双务、有偿合同。
在确认了原生个人信息的财产属性后,问题则在于可以何种权益设立信托。对此,或许可借鉴人格权的商品化理论,认为原生个人信息的财产属性其实是其商品化的结果。如同可以许可他人使用肖像、姓名一样,个人也可以同意他人收集处理个人信息。同意他人收集处理个人信息和许可他人使用姓名、肖像的本质均是个人自决权益的体现,而收集处理信息本质上是在使用个人信息,这也与使用姓名、肖像没有什么本质区别。故而较为可行的解释方案是,可以数据的使用权益作为信托财产,而这种使用权益在性质上应该接近于因个人的同意而衍生出的人格权使用权:个人并不因此丧失权益,个人信息的权属因权益而拓展,获得同意的信息处理者因此而享有对个人信息的使用权。
而从第二个层次来看,则是数据文件之上承载着的权益及其归属的问题。在这一问题上则存在着一定的分歧。有观点认为数据文件属于因人类的劳动创造而生,数据文件上的权益自然应由数据文件的创造者享有。而至于数据文件中所储存的内容是否影响数据文件的权属,则以书本所有权人和著作权人的关系类比,认为著作权人并不当然的享有书本的所有权。然而这种类比或许并不准确,盖因数据的价值完全体现于其中储存的内容,数据本身只是一种用于储存信息的技术手段,脱离了信息的数据只不过是一串乱码,没有任何的实际意义。相反,书本作为有实体物,本身既具有价值。人们在评价书本时并不会完全局限于书本内容,印刷清晰度、纸张质量,以及包装精美程度也都会成为重要的标准。事实上即便内容完全一致,精装版书籍的价格就是要比平装版书籍更高昂。因此本文并不认可将个人数据文件与其中所储存的个人信息割裂开来的做法,个人数据上的权益及其归属应完全取决于其中所存储的个人信息,个人数据文件本身不具有成为独立客体的资质。
2.信托的设立方式
英美法上的信托根据设立方式可分为明示信托、默示信托和法定信托。前者为意定信托、后两者统称为非意定信托。根据信托法第8条的规定,我国的信托以意定信托为原则。在非意定信托中,法定信托由法律规定,目前而言只有信托法第55条有所涉及,其余种类尚留待其他特别法予以规定;默示信托则依法院的推定和拟制而设立,信托法第26、72条可认为对应英美法上的默示信托。
默示信托主要依对委托人的意思推定而设立,或者根据公平正义原则通过判决设立信托。然而若依据当事人的意思设置信托,则意思必须明确,且若依据我国信托法第8条的规定,仅从当事人之行为推知有设立信托的意思而不满足要式要求,尚不能设立信托。在当事人缺乏设立信托意思时,法院是否可通过判决设立信托?这涉及法官权限的问题。英美法系的法官有造法的职能,相比之下,大陆法系的法官受到成文法的约束,在信托法上缺乏明文规定时通过判决拟制一项信托其实较为困难。从我国的司法实践来看,也只有最高人民法院在1998年的“广东省轻工业品进出口(集团)公司与TMT贸易有限公司商标侵权纠纷案”中,使用了这种解释方法。应该说,默示信托的普及还有赖于我国信托理论实务的进一步发展,目前而言,尚无法将之作为一种常规的信托的设立方式。除此之外,若从功能来看,默示信托中的回归信托主要解决信托不成立、无效以及其他的不成功的财产处分发生时信托财产返还的问题;拟制信托则被一项衡平法上的救济手段,通常在普通法救济用尽时用于补救错误行为或者防止不当得利,而这两者均与个人数据权益的保护没有直接关联。因此在我国信托法的背景下,无法以默示信托的方式设置数据信托。因数据信托只能以明示的方式设定。
目前来看,我国法上只能以明示信托的方式设立数据信托。不过就目前的商业模式来看,最有可能被认定为信托合同的文件是隐私政策,而隐私政策又因欠缺委托人的姓名或者名称、住所等必要记载事项而难以构成信托合同。不过若跳出固有思维,在数据信托得到发展和认可之后而成为一种较为成熟的数据利用模式后,数据信托合同或许会完全取代隐私政策的地位。具体而言,可能会存在两种模式。第一种模式即直接跳出数字服务的框架,由个人将数据权利交给专业的信托机构以换取信托产品,再由信托机构将零散的数据汇总后形成数据池并盈利,此后将获利分配给信托产品的持有人;在第二种模式中,由数字服务提供者直接充当受托人并为了数据提供者利益管理数据。
3.信托主体
传统信托关系中通常存在委托人、受托人和受益人三方主体,其中受益人有时也是委托人。在不同情景中,各主体可能由不同的角色扮演。在前文所提及的两种模式中,委托人无疑都是数据主体,但受益人和受托人却有所不同。
在第一种模式中,受托人是从事信托业的信托公司,但信托公司并不能满足对数据的结构化处理的专业需求,故需要由专门的数据公司协助运营,信托公司和数据运营商一同构成数据信托产品的受托人。受益人则自然是购买信托产品的委托人。在第二种模式中,委托人是数据提供者这一点自然并无疑问,但委托人和受托人的身份却并不明朗。首先,数字服务提供者是否具有受托人主体资格尚存有疑问。因为此种信托行为显然是重复性、盈利性的营业行为,构成营业信托而并非偶发性的民事信托。而根据《信托公司管理办法》第7条,设立信托公司应经过批准并取得金融许可证。可以预见的是在目前的商业模式中,作为数字提供者几乎不可能拥有此种资质。不过在实践中,律师、会计师等专业人士从事实质上的信托业务,并通过重复性的经营取得相关费用的情况也并不少见。而在解释上,这些行为是不受《信托公司管理办法》约束的。实际上,非金融机构若从事非金融性的信托业务,则未必要适用《信托公司管理办法》中的规定。因此数字服务提供者作为受托人的可能性并非不存在。其次,在这一模式中,由谁作为受益人也颇存疑问。作为委托人的个人数据提供者已经获得了免费的数字服务,如果由其作为受益人而不允许作为受托人的数字服务提供者获益,未免太过严苛。然而我国信托法第43条明确禁止受托人作为同一信托的受益人。不过根据反面解释,若在某一信托中多个受益人,则受托人可为其中之一;或同一信托中有多个受托人,其中之一的受托人也可以作为受益人。由此可衍生出两种解决思路:其一,由数字服务运营商和专门的信托公司作为共同受托人;其二,由数字服务提供者和委托人作为共同受益人。两种方案中,第二种需要在数字服务提供者个用户之间分配利益,不仅没有必要,还容易滋生纠纷。相较而言第一种不仅可以妥善解决受托人不能作为受益人的问题,还可引入专门的信托公司制衡数字服务提供者,并在一定程度上缓解数字服务提供者受托人资格的问题。
结语
英国和美国的数据信托虽走上了不同的发展道路,但都根植于英美法的土壤中且具有浓厚的衡平法色彩。不过在大数据时代中,因信息技术发展而滋生的个人数据保护保护问题在各法域都具有一定的共性,且表现为某些具有共同特征的现象,因此数据信托对我国的个人数据保护依然有着重要的借鉴意义。在两种既有的数据信托理论中,巴尔金的数据受托人理论以衡平法上的信义关系为依托,试图对个人数据的控制者施加严格的信义义务;英国的数据信托理论则致力于引入一个可靠的第三方而在信任的框架下管理、适用数据。前者对于在现行的“以数据换取服务”的商业模式下规制数字服务提供者的数据处理行为更具意义;后者则可以为新型的个人数据利用模式提供支撑。但是不可忽视的是,两者都出于发展阶段且存在一定的内在缺陷,法系的差异也在制度移植的过程中竖起了高墙。在学习和借鉴的过程中,务必要结合本土理论和实践的发展情况,在其中寻找灵感与启示,而并非盲目的全盘接收。