数据信托：敏感个人信息保护的第三方规制

2024-01-16杨应武

研究生法学 2023年4期

杨应武

引言

2021 年我国个人信息保护领域的专门法《个人信息保护法》出台，首次采用了“敏感个人信息”概念，对敏感个人信息的处理规则作了初步规定。鉴于敏感个人信息与个人人身、财产权益联系更加紧密，处理不当将会造成难以估量且无法挽回的损害，如人脸信息内蕴人格尊严价值，过度收集或滥用将可能有损个人隐私与个人信息权益，甚至损害到平等与自由等人权价值。[1]参见洪延青：《人脸识别技术的法律规制研究初探》，载《信息安全研究》2019 年第8 期，第86 页。故相较于一般个人信息，敏感个人信息需仰仗特殊制度予以保护，方能控制其高度敏感特性导致的风险。然而《个人信息保护法》中敏感个人信息保护的规制逻辑与一般个人信息保护并无实质区别，既没有体现与敏感个人信息“敏感性”相适应的风险管理理念，也没有对敏感个人信息保护设计特殊制度安排。[2]参见孙清白：《敏感个人信息保护的特殊制度逻辑及其规制策略》，载《行政法学研究》2022 年第1 期，第121 页。因此，在现行立法项下，还需引入一种行之有效的保护机制，作为敏感个人信息保护制度的有力补充。

在此背景下，作为第三方规制的数据信托方案受到广泛关注。数据信托机制旨在创设独立第三方受托人，可将个人生物特征、医疗健康数据等具有唯一性、不可再生的数据独立收储管理，并负担更高标准的忠实义务、谨慎义务以及增强的问责制。[3]See Sylvie Delacroix & Neil D.Lawrence, Bottom-up data Trusts: disturbing the ‘one size fits all’ approach to data governance, 9 International data privacy law 236, 236-252(2019).促进受托人积极行使敏感信息管理职责，为受益人即信息主体的最大隐私利益行事，形成与信息处理者的对抗或监督关系，进而破解信息主体与信息处理者之间的“权力不对称”关系问题。数据信托结构与敏感个人信息的“高度敏感性”、亟需特殊保护的制度逻辑高度耦合，同时可兼顾敏感信息的价值性，实为敏感个人信息保护的理想破局之策。

事实上，域外学者针对数据信托展开了激烈讨论，进一步明确数据信托内涵，拓展外延，初步形成了个人数据第三方规制理念。如有学者提出“公共卫生受托人”概念，其将有法律责任保护与流行病学暴发有关的敏感信息，严格保护公众的位置、轨迹、医疗行为等有关卫生信息，同时开放必要的访问，以实现个人私益与社会公益之利益平衡。[4]See Anne L.Washington and Lauren Rhue, Tracing the Invisible: Information Fiduciaries and the Pandemic, 70 American University Law Review 1765, 1765-1797(2021).我国学者更为关注个人信息保护领域的信息处理者的信息信义义务，[5]参见鲁斯齐：《后设监管理论下平台组织内信息信义义务的适用》，载《电子知识产权》2022 年第5 期，第10-27 页；吴伟光：《平台组织内网络企业对个人信息保护的信义义务》，载《中国法学》2021 年第6 期，第45-60页。而对独立第三方受托人的关注相对不足。故下文将以敏感个人信息的特别保护需求为出发点，分析第三方数据信托契合敏感个人信息保护的理由与嵌入敏感个人信息保护的法律机制，期冀为敏感个人信息的特别保护贡献新的思路。

一、现实之困：敏感个人信息保护缺憾检视

敏感个人信息直接与个人网络行为偏好、消费习惯等相关，可用于精准用户画像，极具商业营销价值。一方面，敏感个人信息具有高度敏感特性，致使其保护与利用产生强烈冲突，极易损害人格尊严、威胁财产安全；另一方面，我国现行立法“赋权”模式下的法律规制存在知情同意规则失灵、行权维权困难等缺憾，“自上而下”的强制性规范极易在敏感个人信息保护场景中出现功能失范的现象。

（一）敏感个人信息特别保护的现实必要

敏感个人信息的界定没有唯一确定的标准，核心在于对“敏感性”的考量。敏感个人信息的“敏感”一词，表现的是法律规制的高反应度，“容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害”，在风险内容、风险程度及风险发生方式上均与一般个人信息存在较大差异。[6]参见宁园：《敏感个人信息的法律基准与范畴界定——以<个人信息保护法>第28 条第1 款为中心》，载《比较法研究》2021 年第5 期，第33-49 页。在主观标准层面，信息主体对“敏感性”的认识具有较大主观评价空间，极易将与个人相关的私密信息、特定生活资料等认定为敏感信息，因而不具有科学性。[7]参见王鹏鹏：《论敏感个人信息的侵权保护》，载《华东政法大学学报》2023 年第2 期，第42 页。在客观标准层面，《个人信息保护法》着眼于敏感个人信息的高风险性与极易造成信息主体的人格、财产权益损害，通过列举方式进行界定。事实上，“敏感性”的认定往往以损害结果为导向，“敏感性”越高，其导致的人格、财产损害越严重。如医疗健康信息泄露，可能导致就业歧视、人格贬损；金融账户信息泄露则可能造成重大财产损失，而一般个人信息泄露，往往不会造成个人权益特别损害。鉴于“敏感性”缺乏具体确定标准，敏感个人信息的范围也并非静态不变，故有的学者倡导引入尼森鲍姆教授（Helen Nisenbaum)）的隐私场景理论，即对敏感信息的认定采取“具体情形具体分析”模式，形成动态化的、类型化及精细化的多元要素考量。[8]参见王苑：《敏感个人信息的概念界定与要素判断——以<个人信息保护法>第 28 条为中心》，载《环球法律评论》2022 年第2 期，第93 页。故敏感个人信息保护问题更为复杂与繁琐，需予更强规制力度，其特别保护逻辑可从以下三个方面理解：

其一，敏感个人信息的保护与利用呈现出强烈冲突。近年来如雨后春笋般涌现的可穿戴设备、互联网应用程序等，均依托于敏感个人信息，其分析、利用与流通的需求日益膨胀。与人身权益高度关联的敏感个人信息在商业上具有高度稀缺性，数据企业为实现精准、定向营销，竞相挖掘数据价值，预测用户偏好、习惯、购买力等以打造用户的个性化服务方案。例如医院、医疗专业人员和研究人员已充分认识到健康数据在优化服务交付、促进早期诊断、提高护理质量以及推进科学研究等方面的巨大潜力，为获取相关信息可能加强与健康数据控制者合作。[9]See Data Trusts: A new tool for data governance, https://futurecitiescanada.ca/portal/resources/data-trusts-a-n ew-tool-for-data-governance/.为实现经济效益，数据企业在信息处理过程中可能铤而走险，不惜侵犯用户个人隐私或损害人格尊严，进行算法决策时可能产生算法歧视或数据偏见及“信息茧房”等。

其二，敏感个人信息滥用更易侵入私人生活边界，损害人格尊严。当前，数据平台不断采集用户的消费观念、性格特征、行为习惯以及价值观等信息用于自动化决策，高度精准地预测自然人的未来行为及偏好，干扰作为主体的人的自主决策。《卫报》相关报道显示，Facebook 通过分析用户网络行为数据，解读用户政治倾向，实现新闻精准推送以达到干预个人决策的效果，最终左右民意从而影响大选结果。“剑桥分析丑闻”是近年来发生的最严重个体操控事件，让公众意识到利用信息可以驱使和控制他人的自主决策，消解人的主体性地位。互联网更是具有长期记忆，还可能造成被侵害人精神性损害，使个人陷入隐私被非法收集、使用的恐慌之中，由此加剧信息主体与信息处理者的对立。

其三，数据泄露等信息侵权行为频发，极易造成财产损害。一方面，敏感信息泄露容易引发财产损失。据威胁猎人发布的《2023 年Q1 数据资产泄露分析报告》显示，第一季度已经发生近1000起数据泄露事件，涉及个人金融信息、交易信息等敏感信息。被泄露的数据往往会流入数据黑市，被转卖至销售企业、诈骗集团，不法分子进行精准电信诈骗或勒索，为个人生活安宁及财产安全带来了威胁。[10]参见李昊：《个人信息侵权责任的规范构造》，载《广东社会科学》2022 年第1 期，第255-257 页。另一方面，信息泄露等侵权行为本身侵害了信息财产权。个人信息具有人格与财产双重法律属性，[11]参见彭诚信：《论个人信息的双重法律属性》，载《清华法学》2021 年第6 期，第78-97 页。个人信息财产权是一种独立的新型产权，指自然人对其个人信息商业利用中享有的财产利益的支配权，[12]参见项定宜：《论个人信息财产权的独立性》，载《重庆大学学报（社会科学版）》2018 年第6 期，第1 73 页。非法使用敏感个人信息显然剥夺了个人对信息的支配权。

（二）敏感个人信息特别保护的法律缺憾

在我国现行立法下，对于敏感个人信息的规制呈现出以《个人信息保护法》为统领、专项法律规制为辅助的立法保护设计。如最高人民法院于2021 年7 月发布的《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》，成为我国首部有关人脸信息保护的司法解释。但敏感个人信息类型众多，且在特定场景下一般个人信息也可能呈现出高敏感性，难以实现一一立法。稠密的法律监管，更加重了信息利用的法律合规成本，也不利于信息的共享与流通。综合来看，对敏感个人信息保护的逻辑基本沿袭了一般个人信息保护规则，以知情同意规则作为法律规制的基石，没有体现出敏感个人信息特殊的保护需求，存在以下两点法律缺憾：

其一，敏感个人信息保护虽然构建了单独同意规则，但依然面临着规则失灵困境。一方面，单独同意规则的有效性尚需检验。“知情-同意”规制假定个体均为“理性人”，可通过“通知-选择”模型充分实现“自我隐私控制”，即企业通过取得个人的单独同意获得使用敏感个人信息的合法性基础。事实上，个体显然无法作为“理性人”实现自我隐私管理，美国著名的隐私学者丹尼尔·索洛夫（Solove）中肯地总结了个体无法作为“理性人”保护数据隐私的原因：人们不会阅读隐私协议；即便阅读，人们也不会理解；即便人们可以理解，往往也缺乏足够的知识背景作出明智的决策；即便作出决策，也可能因各种困难而产生偏差。[13]See Daniel J.Solove Introduction: Privacy Self-management and the Consent Dilemma, 126 Harvard La w Review 1880, 1888(2013).知情同意规则更无法防范信息收集者以侵犯隐私和不道德的方式收集、使用敏感个人信息。如具有远程识别特性的人脸识别信息，仅仅只是提示用户已经进入人脸识别区域，便收集用户信息并据此对用户分类，并未告知收集、使用人脸识别信息的范围，该告知并非征求同意的过程。[14]参见浙江省宁波市市场监督管理局甬市监处〔2021〕18 号行政处罚决定书。另一方面，单独同意的意思表示真实性缺失。一般信息主体难以准确预测敏感个人信息收集处理的风险，甚至不知晓敏感个人信息的范畴，在此情形下作出的同意缺乏真实性。信息主体缺乏与信息收集者协商如何收集、使用信息的地位与能力，双方具有“权力不对称”关系，拒绝同意则意味着放弃整个数字社会的福利。面对“take it or leave it”的“被迫式”同意规则，信息主体的同意丧失了自主性和真实性。

其二，现行法律框架没有为敏感个人信息保护行权、维权提供便捷的机制。一方面，个人信息权利的行使与信息自由之间存在冲突。尽管《个人信息保护法》赋予了个人在个人信息处理活动中享有知情权、决定权、查阅复制权、更正补充、删除权等权利，却没有赋予个人相应的议价能力。在个人信息收集、处理活动中，个人处于被动、弱势地位，并囿于知识限制，不能与信息处理者协商调整个人信息收集、使用的条款。另一方面，《个人信息保护法》没有为敏感个人信息保护提供特殊的救济机制。在个人信息侵权的归责原则、损害赔偿数额等方面与一般个人信息保护无异。《个人信息保护法》第69 条第1 款确定了个人信息侵权采用过错推定原则，规则的先进性在于实现了证明责任的倒置，但信息主体依旧承担过错的主张责任，并提供初步证据支持其主张，信息处理者仍可通过提供证据证明其尽到了合理的注意和提示义务对信息主体的主张进行抗辩。[15]参见蒋丽华：《无过错归责原则：个人信息侵权损害赔偿的应然走向》，载《财经法学》2022 年第1 期，第41 页。由于信息处理存在不透明性，个人难以获得信息处理者侵权的证据。因此，过错推定原则没有彻底改变诉讼中信息主体的弱势地位。此外，《个人信息保护法》第69 条第2 款规定则明确以“受到的损失”和“获得的利益”作为计算损害赔偿的依据。事实上，认定实际损害赔偿与侵权人获利赔偿数额的可操作性并不强。[16]参见彭诚信、许素敏：《侵害个人信息权益精神损害赔偿的制度建构》，载《南京社会科学》2022 年第3期，第92 页。实践中，单条敏感个人信息的价值极低，而侵权却极易导致精神性损害，往往难以量化为具体的、合理的赔偿数额。且个人参与诉讼的成本投入是巨大的，立法没有为信息主体参与个人信息侵权诉讼提供法律激励。尽管《个人信息保护法》第70 条规定的个人信息保护公益诉讼能够改变了诉讼双方的力量对比，节约了司法成本。但其属于新的法定领域，仍有一些理论与实践问题亟待厘清，如“侵害众多个人的权益”是提起个人信息保护公益诉讼的诉讼事由，“众多”仍需要进一步解释与细化[17]参见薛天涵：《个人信息保护公益诉讼制度的法理展开》，载《法律适用》2021 年第8 期，第161 页。。即便最后通过公益诉讼胜诉，信息处理者承担了相应的赔偿责任，赔偿金额也难以充分有效补偿遭受侵权损害的“众多”个人。

二、破局之策：第三方数据信托适配性阐释

个人信息或个人数据规制模式分为权利规范模式与行为规范模式。当前权利规范模式包括物权说[18]参见蒋林君：《欧盟数据生产者权及其对我国的启示》，载《湖南科技大学学报（社会科学版）》2021年第2 期，第120-127 页。、后期物权说[19]参见申卫星：《论数据用益权》，载《中国社会科学》2020 年第11 期，第130-131 页。以及新型财产权说[20]参见龙卫球：《数据新型财产权构建及其体系研究》，载《政法论坛》2017 年第4 期，第63-77 页。等不同学说，行为规范模式包括竞争法、侵权法及合同法规制以及信托说[21]参见张丽英、史沐慧：《电商平台对用户隐私数据承担的法律责任界定——以合同说、信托说为视角》，载《国际经济法学刊》2019 年第4 期，第24-37 页。等。“行为规范模式是通过对他人行为予以必要的法律规制确保相关法益免受特定之侵害。”[22]参见郑晓剑：《个人信息的民法定位及保护模式》，载《法学》2021 年第3 期，第119 页。数据信托理论是顺应数字经济时代而生的新兴法律制度，以受托人的数据行为规范为核心，课以信息信义义务，既可通过特殊信托结构矫正“权力不对称”关系，还具有便捷的权利行使机制、充分维系隐私信任、构建公众参与敏感信息治理平台等功能价值。

（一）数据信托方案：第三方规制

数据信托理论有两种方案：一种是美国的“信息受托人”方案，即对数据处理者施加信义义务；另一种是英国的“数据信托”方案，由独立第三方机构提供专业的数据管理服务。[23]参见翟志勇：《论数据信托：一种数据治理的新方案》，载《东方法学》2021 年第4 期，第61 页。我国学者大多关注的是杰克·巴尔金（Balkin）教授提出的“信息受托人”理论，为信息处理者施加信息信义义务。将信义义务引入到新型数据关系中，“要求信息处理者以受托人身份参与数据实践，从而使其负担更高的义务标准并据此增强它们的问责制”。[24]参见解正山：《数据驱动时代的数据隐私保护——从个人控制到信息处理者信义义务》，载《法商研究》，2020 年第2 期，第82 页。信息信义义务根植于“个人-企业”的不平衡权力关系，“网络企业的强势地位决定了网络用户对其具有信义利益，网络企业应该承担保护网络用户个人信息的信义义务”。[25]参见吴伟光：《平台组织内网络企业对个人信息保护的信义义务》，载《中国法学》2021 年第6 期，第45 页。然而，“信息受托人”方案并未改变当前的信息权力结构，仅是信息信义义务对信息关系的重新诠释。尼尔·劳伦斯（Lawrence）教授提出的“数据信托”方案重新构造出“信息主体-受托人-信息处理者”三方主体关系，之于敏感信息保护具有显著优越性。换言之，通过引入一个独立的“自下而上”的第三方受托人机构，代表信托受益人行使《通用数据保护条例》（GDPR）等自上而下的法律法规授予个人的数据权利，作为“赋权”状态下法律对数据必要但不充分监管的补充。[26]See Sylvie Delacroix & Neil D.Lawrence, Bottom-up data Trusts: disturbing the ‘one size fits all’ approach to data governance, 9 International data privacy law 236, 236-252(2019).“数据信托”结构中的数据受托人作为第三方中介机构，可以为高敏感性、强人格侵害性及财产损害性的敏感个人信息提供专业的、独立的数据管理服务，与信息处理者形成权力制衡关系，实现“权力关系对等化”。数据信托一方面弥合了信息主体与信息处理者之间的信任赤字，强化敏感信息保护；另一方面还提供公众参与机制，实现公众监督。由此可见，数据信托在敏感信息保护逻辑上，与其敏感性、需求性呈现出高度适配性。

目前，数据信托现处于理论研究阶段，并未形成权威定义，一般认为其是一种全新的数据治理模式。数据信托虽冠以“信托”之名，实为一种数据治理的法律结构，英国开放数据研究所（Open Data Institute）将其定义为 “一种提供独立数据管理的法律结构”[27]参见翟志勇：《论数据信托：一种数据治理的新方案》，载《东方法学》2021 年第4 期，第62 页。。将数据信托引入敏感个人信息保护架构后，由第三方机构提供专业数据管理服务，以满足个人的隐私保护需求、信息处理者的合规需求以及数据使用者的信息需求。第三方数据信托的显著特征是将信息控制权转移至受托人，由受托人实际享有信息支配权，可以依据自己的意愿处理敏感个人信息并采取相应的隐私保护措施。由此，依据剑桥大学与伯明翰大学联合发起的“数据信托计划”的“工作文件2”，即《数据信托：数据机构发展的国际视角》，数据信托的特征可以详述为以下三点：一是独立管理，在行使受托持有的数据权利时，受托人负有信义义务，要求受托人为了受益人的最大利益行事，并制定保障措施确保受托人在管理信托财产时独立于其他利益；二是制度保障，信托法为委托人追究受托人的责任提供了完善的程序，法院也为违反信义义务的受托人采取补救措施提供了途径。发生索赔时，受托人可以证明其履行了公正、审慎、透明和忠诚义务以促进受益人的利益，从而免责；三是集体行动，正如19 世纪的“土地社会”赋予人们选举权，通过汇集资源获得一块永久持有的土地，受托人可以帮助信息主体获得其自身难以实现的数据权力。数据信托通过信托机制聚合信息中的议价能力，受托人将比任何个人更有能力协商数据使用条款，并有能力应对数据的不合理使用行为。[28]See Data trusts: international perspectives on the development of data institutions, Data Trusts Initiative, January 28, 2021, para 7.

第三方规制是相对于企业的自我规制和政府的行政规制，可以有效克服市场与政府的“双重失灵”。[29]参见刘权：《数据安全认证：个人信息保护的第三方规制》，载《法学评论》2022 年第1 期，第119 页。一方面，受托人是法律上构建的介入敏感个人信息保护的独立第三方主体。《个人信息保护法》第21 条规定了个人信息委托处理规则，委托处理本质上是以第三方的技术条件支持个人信息处理者的信息管理与隐私保护需求，表明立法并不排斥第三方参与个人信息保护。独立第三方受托人具备专业的、高质的敏感个人信息管理服务能力，以“理性人”身份参与敏感个人信息治理，缓解因“权力不对称”所导致的敏感信息治理失灵的紧张关系。同时受托人在市场中充当了“中介”角色，可有效增强信息主体的隐私信任、数据购买方的交易信任，进而克服信息不对称导致的“数据锁定”效应。另一方面，数据信托也不同于《数据安全法》第24 条所规定的数据安全审查以及网络安全审查等公权力行为。两者的共同点是形成了第三方主体对当前个人信息处理者的监督，不同点在于前者是市场主体之间的自由合意，后者属于公权力机关自上而下的监管。政府监管往往是一种特定条件行为或事后行为，前者如数据安全审查评估已成为特定数据跨境的前置程序，后者一般则是针对数据处理行为的执法性审查。受托人不仅可以直接管理敏感数据，而且可以第三方身份参与数据安全评估、认证等，例如对数据跨境、数据交易等事先进行审查认证，确认敏感信息安全、合规。受托人独立控制、管理敏感信息，进而对信息处理者的信息访问、处理及利用形成监督与制约，可作为政府不完全监管的补充。

（二）第三方数据信托的理论祛魅

信托是英国衡平法下的制度性产物，故我国引入的信托制度存在一定“水土不服”的问题，信托法的部分规范语言表达亦存有隔阂。例如，我国《信托法》第2 条“将其财产权委托给受托人”表明信托财产并非发生英美信托法上的“财产转移”，事实上已经与英美信托理论与实践脱节。在此背景下，“数据信托”概念亦存有疑义，部分学者对信义法引入至信息隐私保护领域展开了激烈批判，认为数据信托与我国现行法律体系不兼容。事实上，中国法上的“一物一权”原则并非信托法介入数据隐私保护的掣肘，数据性质与信托结构高度耦合，契合敏感信息的保护与利用逻辑。

一方面，信托财产主体的复合性契合数据主体多元性。数据信托理论源起于英美国家，沿袭了英美法系中信托制度中的“双层所有权”，与大陆法系所秉持的“一物一权”以及物权绝对主义无法匹配。然而依据用益物权说或财产权说的主张，数据的主体至少是二元的，即作为数据原发者的个人与作为数据控制者的企业，分别享有数据的“所有权”与“用益权”。换言之，敏感个人信息理应归属于个人所有，但信息处理者经过归集、匿名化处理、特定分析及加工等，付出了劳动，也理应相应数据集合的权利。数据主体多元的论断根植于数据的生产逻辑，故有学者认为，数据“双层所有权”架构是信息处理者与信息主体权利结构发展的必然结果。[30]参见冯果、薛亦飒：《从“权利规范模式”走向“行为控制模式”的数据信托——数据主体权利保护机制构建的另一种思路》，载《法学评论》2020 年第3 期，第75 页。在信托结构上，由委托人享有信托财产的名义所有权，受托人享有实质所有权；在数据结构上，信息主体在“名义”上享有“所有权”，实质上由享有“用益权”的信息处理者经营、管理数据，在信托结构中“用益权”将过渡给受托人。数据“所有权”与“用益权”的分离，信托财产的“名义所有权”与“实质所有权”分离，均呈现“二分”特性，权利结构具有一致性。[31]参见孙宏臣：《数据信托的困境与出路——权宜之计抑或制度创新》，载《经贸法律评论》2022 年第3期，第125 页。在数据信托结构中，由受托人控制、管理、经营敏感数据，行使数据权利，既符合信托结构逻辑，也符合数据多元主体逻辑。

另一方面，数据信托机制的受托人具有“数据中介”地位，可实现数据“三权分离”。基于数据的基本特性，单一的权利结构理论无法解决数据权属问题，故学者提倡在数据确权中实现数据所有权、数据经营权与数据使用权的“三权分置”[32]参见宋涛、张丹阳、王雨：《数据要素市场化亟需解决五大难点》，载《中国发展观察》2022 年第7 期，第34-39 页。。数据“三权分置”的产权运行机制为《关于构建数据基础制度更好发挥数据要素作用的意见》所创制，是增强敏感信息数据市场供给的有效手段。数据信托为一种较为合理、有效的“三权分置”机制。“数据三权”以数据所有权为前提，以数据经营权为核心，将数据经营权配置给独立、专业的第三方受托人，形成事实上的信息权利、数据权利与实际控制权的分离。受托人不享有数据利益，信息主体更信任受托人会以符合其隐私利益方式分享信息数据。受托人控制、储存、经营与利用敏感信息，隔离了信息处理者处理敏感信息的法律合规及道德风险，形成特殊的责任隔离机制，为其获取纯粹数据利益。

（三）第三方数据信托的弥憾功能

数据信托模型之所以可以作为敏感信息保护的补充机制，是因为其在功能上与敏感信息保护需求呈现出高度耦合特性。

其一，数据信托结构改变了信息主体行权、维权模式。数据信托机制是一种汇集数据权力于受托人，由受托人代表信息主体维护其信息权益的机制。受托人汇集数据权力，形成与信息处理者对等的权力关系，进而通过信义义务的制约将数据权力归还于个人。在行权层面，受托人按照委托人的意愿管理或处分信托财产，从而形成对信息处理者的权力制衡，监督其“算法控制”“信息茧房”“数据操纵”等行为。故数据信托机制可以将处于权力弱势地位的信息主体解救出来，代为行使个人信息权利，信息关系由信息主体到信息处理者的授权、对抗，转变为由受托人到信息处理者的授权、对抗。在维权层面，相对于《个人信息保护法》第69 条确定的信息处理者的过错推定责任，信托机制天然嵌入了举证责任倒置规则，更加契合处于弱势地位的信息主体的维权需求。我国《全国法院民商事审判工作会议纪要》第94 条规定受托人应当对信托财产遭受的损失承担履行勤勉、忠实、谨慎义务的举证证明责任，可以理解为我国司法层面已经在信托领域适用举证倒置规制。[33]参见冯果、薛亦飒：《从“权利规范模式”走向“行为控制模式”的数据信托——信息主体权利保护机制构建的另一种思路》，载《法学评论》2020 年第3 期，第77 页。概言之，信息主体行权、维权能力可通过数据信托结构过渡给独立的第三方受托人，其可以为敏感个人信息保护作出更专业、更有效更符合受益人利益的决策与行动。

其二，第三方数据信托结构有助于维系信任。“信任生产的主要机制在于减少不确定性，共同的文化规范与认同、运行良好的法律法规等是信任的最有力保障。”[34]参见郑丹丹：《互联网企业社会信任生产的动力机制研究》，载《社会学研究》2019 年第6 期，第69 页。当双方主体之间出现不信任，引入第三方中介重塑信任是理想的出路。在信息关系中，信息处理不透明、知情同意规则失灵等透支了信息主体的信任，通过第三方受托人，一方面充当权利中介，即信息主体可信赖的权利受托人；另一方面充当执行中介，对信息处理者的侵权行为予以追索、请求赔偿以及对外部信息访问行为进行裁决，构建起全新的三方主体信息信任关系。同时数据信托结构基于委托人的信任而建立，受托人需要一直维系这种信任关系进而维持信托关系，由此不断激励受托人采取积极措施保护敏感信息，最终又反向激励信任。

其三，数据信托提供了敏感个人信息保护与使用的公众参与机制。当前敏感信息治理困局在于，数据处理高度不透明，个体作为信息的原始产生者，却对数据处理不知情、对数据管理无参与能力。而数据信托基于“委托人-受托人”的特殊权力结构，作为受益人的信息主体既可以直接向受托人表达信息保护诉求，也可以受托人为媒介向数据使用者表达数据保护的要求，这也是受托人“为受益人利益行事”的题中应有之义。英国生物银行管理50 万人捐赠的健康数据模式为数据信托介入敏感个人信息保护提供了可借鉴经验。学者塔顿（Tutton）曾主张在生物样本库成立之前，将参与者代表纳入管理机构，以专家主导的数据访问委员会或公众及参与者小组等均可确保公众持续性参与。实践中，英国生物银行采取了公众咨询的形式促进公众对生物银行的信任，包括同意程序、道德和治理框架等。[35]See Dixon-Woods M, Milne R, Sorbie A., 48 What can Data Trusts for Health Research Learn from Participatory Governance in Biobanks? 323, 325(2022).公众参与还体现在敏感数据的社会化利用：一方面，受托人将敏感个人信息匿名化之后，将可以基于公共利益提供给科研机构；另一方面，可将匿名化数据提供给商业主体，或者提供算法训练、数据服务等商业服务，挖掘数据价值。同时在金融层面，受托人可以开发数据信托产品，向社会公众募集资金开发数据产品，将数据产品进行社会化利用获取收益，最后将社会收益支付给受益人与社会公众，实现数据资产的资本化运作。[36]参见冉从敬、唐心宇、何梦婷：《数据信托：个人数据交易与管理新机制》，载《图书馆论坛》2022 年第3 期，第61 页。

三、机制之述：第三方数据信托的具体展开

（一）基本架构：主体资格及运行机理

1.数据信托主体资格

数据信托产品主要包括了委托人、受益人、受托人以及受托人面向的数据服务商、数据使用者。信息主体、信息处理者与信托公司建立信托关系，信托公司经过数据清洗、加工等行为，向数据需求方提供“数据本体”“数据产品”“数据服务”，双方形成数据服务合同关系。

“数据信托”方案以信息主体作为委托人，通过数据信托法律关系引入独立受托人，进而缓解信息主体与信息处理者之间的权力不对称矛盾。但鉴于信息主体是缺乏统一意识的独立个体，难以形成设立数据信托的意思联络，也就难以形成具有信托管理价值的数据集合。换言之，单条个人信息经济价值显著低微，少量个人信息不符合信托管理的效益原则。因此以信息主体为委托人可能难以成立有效的数据信托。事实上，信息处理者作为信息权利主体之一，亦可作为委托人设立数据信托。理由在于信息处理者对个人信息进行收集、加工，进而形成了极具价值挖掘的数据集合，以数据集合设立数据信托更符合信托管理的市场规律。当然，信息处理者作为委托人并不影响信息主体的权利，信息主体作为权利主体在数据信托结构中仍然享有信托受益人地位。故委托人为信息处理者或达到一定数量的信息主体，可基于经济利益、权利保护、科学研究等多样化目的设立数据信托，并将数据控制权转移至受托人。受托人由符合《信托法》《中国银保监会信托公司行政许可事项实施办法》等法律法规规定的信托公司担任，应严格依照《个人信息保护法》《数据安全法》等法律规定处理数据、保护数据隐私。受益人是委托人指定的主体或享有数据财产权益的主体，新型物权说或新型数据财产权说均认可信息处理者的数据财产权或数据经营权，也承认信息主体的有限财产权，故二者均应作为信托受益人。当然，受益人可以是依据委托人的意愿而自主设定，因为信托的本质是财产权的转移，即某物被委托给（commissum）某个受信（fides）的人，使其他人得利。[37]参见[英]大卫·约翰斯顿著：《罗马法中的信托法》，张淞纶译，法律出版社2017 年版，第9 页。由此，通过引入信托制度，将原本的数据处理关系拓展为数据处理关系与数据信托关系并存，从而彻底改变赋权规范模式下的“权力不对称”关系，并依据信托法规则重新分配救济责任，信息主体通过受托人的“数据中介”机制，重新掌握数据权力。

受托人作为数据信托机制的核心主体，还应具备敏感个人信息的隐私利益保护能力。一方面，应具备隐私保护的技术能力。由于我国对信托公司实行严格管理，信托产品的设立与运行必须经由信托公司进行，但信托公司并不能满足敏感个人信息处理的专业需求，故信托公司可通过技术积累、股权交换或技术合作使之成为合格的“受托人”。如隐私计算、匿名化技术等隐私保护基础技术，也可以通过委托处理的形式使其具备隐私保护的技术条件，此时则落入《个人信息保护法》第21 条“委托处理规则”的规制范畴。另一方面，受托人应具备开发数据价值的能力。受托人不仅是“信息主体-信息处理者”之间的权力媒介，更是“信息处理者-数据使用者”之间的桥梁。受托人作为数据交易中的卖方，向数据使用者提供算法训练、数据产品及数据分析结果等；为公益目的向科研机构提供匿名化的医疗数据、生物特征数据等。故受托人应具有基础的数据价值挖掘能力，才能充当“桥梁”角色，实现敏感信息的价值性。

2.数据信托运行机理

通过明确数据信托参与主体及资格要求后，总结分析出数据信托的运行机理。在信托层面，信息处理者将收集的敏感信息经加工整理形成的数据集合信托给信托公司，或信息主体直接以个人信息财产权设立数据信托，受托人负担信息信义义务，通过挖掘数据集合价值，促进数据价值共享并获得收益，继而向信托受益人支付信托收益。信息主体的信托收益表现为两个方面，一是受托人忠诚、谨慎、勤勉及尽责地维护其信息隐私权利，超越了当前立法“自上而下”的信息处理义务；二是数据集合经价值挖掘并交易所产生经济收益，此处对信息主体的信托收益应当在数字经济语境下进行解读，即“不指向金钱收益，而是数字生活便利或平台整体优惠”，或称之为“数字便益”。[38]参见商希雪：《政府数据开放中数据收益权制度的建构》，载《华东政法大学学报》2021 年第4 期，第71 页。因数据主体本身为信息处理者的平台用户，故具体执行方式可通过信息处理者向信息主体发放。信息主体作为委托人，信托收益则由受托人联合信息处理者支付或直接支付。在交易层面，受托人作为数据出卖方，与数据购买方形成数据交易，具体表现为数据分析服务、大数据服务等，前者包括行业发展报告、舆情分析等，后者如信息认证、算法训练、以及特征推荐等。受托人还可以面向技术服务商与社会投资者，分别引入数据技术与社会资金，形成数据信托产品的资金、技术循环。数据信托运行机理详情如下图一所示，具体又可以敏感信息收集、数据信托设立及受托人责任三个方面展开。

图一数据信托产品运行机理

首先，在敏感信息收集阶段，要以“知情同意”为基础合法合规获取受托信息。敏感信息作为可直接识别特定个人的数据，包括个人信用数据、个人金融数据、个人健康数据以及生物特征数据等。敏感信息经由个人流向信息处理者，经设立数据信托后再流转至受托人，或由个人处直接流向受托人，由受托人进行信息管理。故敏感信息收集作为信托敏感信息的最初阶段，遵循“知情同意”规则是其合法性基础。一方面，数据处理者经过用户授权或网络服务收集海量敏感信息，依据不同内容划分、处理不同类型数据形成数据信托的对象数据。要求不得使用非法手段收集，如不得以欺诈、诱骗、强迫等方式或者从非法渠道收集敏感个人信息，不得收集法律明确禁止收集的信息，亦不得隐瞒提供的产品或服务所具有的收集个人信息的功能。另一方面，就以敏感信息设立数据信托、对外共享等事宜单独获得信息主体同意与授权。严格依照《个人信息保护法》所规定的单独同意规则，在特定目的和充分必要的前提下，确保进入“信托”的数据来源合法合规。敏感个人信息经过脱敏处理后，最后转化为可供社会应用的数据。仿照著作权集体管理制度对获取的数据进行管理及运营，便于提高数据产品的整体价值度以及对个人数据主体的收益分配。

其次，设立数据信托应采用法定信托形式。数据信托领域存在意定信托与法定信托两种设立形式，意定信托是基于委托人与受托人之间自愿订立的数据信托合同而设立；法定信托是直接在数据分级分类保护的立法中确认相关主体之间的数据信托关系。[39]参见席月民：《数据安全：数据信托目的及其实现机制》，载《法学杂志》2021 年第9 期，第41 页。正如前文所述，敏感个人信息是极具人格侵害性、商业及科学研究价值的类型化数据，需要法律予以特别保护。依据特定场景，将医疗健康数据、面部识别数据、金融隐私数据等敏感信息以法定形式设立数据信托，直接以第三方的专门管理作为立法的特别保护，符合敏感个人信息的规制逻辑。同时，数据信托必须有足够多的成员、汇聚足够多的数据权利，才能拥有与数据使用者谈判的市场影响力及议价能力，即设立数据信托在成员数量上具有特殊要求，例如一千万条个人信息。[40]See Raab, Susan, The Data Trust Model Proposes Individuals can Control their Data for Profit, 4 Journal of Data Protection & Privacy 114, 116(2021).单条个人信息难以成立有效数据信托，而法定信托将在立法层面强制信息处理者将收集、加工形成的人脸信息数据、医疗健康数据等类型化、规模化的数据集合设立数据信托，进而满足数据信托设立的数据临界值要求。

最后，受托人违反信义义务损害信托财产应当赔偿信托财产损失。受托人违反信托条款处分信托财产，将会启动内置于信托机制中的举证责任倒置规则，比之合同框架与个人信息保护法提供的救济机制更加强大。在个人的人格权受到侵害时，由受托人承担主观无过错、已经采取了敏感信息保护措施等的举证责任，不仅平衡了侵权人与被侵权人的诉讼地位，还可以督促受托人采取更严格的手段保护数据。[41]参见李智、姚甜甜：《数据信托模式下受托人信义义务之规范》，载《学术交流》2022 年第2 期，第40-41页。换言之，受托人没有尽职尽责地履行数据管理、选任合理的数据使用者等信义义务，甚至与数据使用者的数据侵权行为存在意思联络，造成了信托财产损失，“损失”包括“人格权益损害”，则应当赔偿信托财产的损失。至于“赔偿责任”的对象是信托财产，而非信托当事人的委托人或受益人，是因为信托财产具有独立性，独立于委托人、受益人、受托人三方的固有财产。信托财产为受托人占有、管理、支配之对象，信托财产本身不可能要求受托人向其承担赔偿责任，因此《信托法》第22 条将损害赔偿请求权授予了委托人或受益人。[42]参见张淳：《试论受托人违反信托的赔偿责任——来自信托法适用角度的审视》，载《华东政法大学学报》2005 年第5 期，第18 页。若是第三人侵害信托财产，受托人应采取积极行动要求侵权人承担相应责任，向侵权人索赔也是受托人履行信义义务的核心内涵。因此，数据信托机制受托人代表信息主体追诉侵权人，权力结构是对称的，可以有效化解敏感信息侵权中行权、维权难问题。

（二）行权范畴：数据信托财产的厘定

明确受托人的权利范畴，首先要界定数据信托财产。数据信托是委托人将信托财产转移至受托人，并由受托人享有信托财产之权利，为委托人指定的人的利益而行事的机制。故受托人的权利来源于委托人设立数据信托的数据信托财产。

经典数据信托理论将“数据权利”作为信托财产。劳伦斯教授认为，数据信托应以数据权利作为信托标的，理由是英国法上的产权可以是任何类型的可交易资产，即便是数据这样的无形资产也可以成为信托法律意义上的财产，且数据信托的范围被GDPR 等立法在多大程度上、对什么类型的数据、授予了多大的权利所决定。[43]See Sylvie Delacroix & Neil D.Lawrence, Bottom-up data Trusts: disturbing the ‘one size fits all’ approach to data governance, 9 International data privacy law 236, 236-252(2019).基于此，受托人不仅可以为受益人的经济利益行事，更可行使数据上的人格性权利，充分维护委托人、受益人的隐私利益。而事实上，英美法系的数据信托理论均基于广义的信义法而非基于财产信托，信义义务的行为要求脱离了可能作为信托财产的个人数据，鉴于我国仅允许设立财产信托，基于广义信义法的数据信托理论在我国无法适用。[44]参见叶嘉敏：《个人信息收集视域下数据信托解释论研究》，载《内蒙古社会科学》2022 年第2 期，第97 页。故我国有的学者认为应以信息处理者的数据财产权作为信托标的，权利基础来源于“数据生产理论”，即信息处理者对敏感个人信息集合、归类及整理，以及在此基础上对原始数据的分析和加工，付出了“劳动”。[45]参见孙宏臣：《数据信托的困境与出路-权宜之计抑或制度创新》，载《经贸法律评论》2022 年第3 期，第118 页。但是该观点依据信托法规则设计，仅考虑了信息处理者的经济利益，缺乏对个人人格性权利的考量，也忽略了个体设立数据信托的潜在可能性。

以个人信息财产权为信托标的设立数据信托具备可行性。个人信息财产权与人格权具有显著区别，具有可继承性、可处分性、可转让性，具有独立确认价值。[46]参见项定宜：《论个人信息财产权的独立性》，载《重庆大学学报（社会科学版）》2018 年第6 期，第172页。同时“个人信息能够满足商业性且有可控性和稀缺性，具有成为法律上的财产权益客体的可能性”。[47]参见彭诚信：《论个人信息的双重法律属性》，载《清华法学》2021 年第6 期，第82 页。一方面，可以通过单独访问权限的技术设置让信息财产在性质上满足独立性要求，另一方面，可以通过设置除外条件让信息财产权益在范围上满足确定性和同一性要求，[48]参见鲁斯齐：《后设监管理论下平台组织内信息信义义务的适用》，载《电子知识产权》2022 年第5 期，第21 页。从而达致数据信托设立要求。而信息处理者经敏感信息收集、归集与加工处理，付出劳动，自应在数据信托中享有权利。

另外，基于个人信息的双重法律属性，保护敏感个人信息上的人格权益作为重要信托目的，则可以从受托人义务视角加以解释。一方面，现实中个人让渡部分删除权、更正权已成为数字网络的新常态，受托人是对信息处理者法律地位的承接，如其一般对个人信息部分人格性权利进行管理并未改变现状；另一方面，信息信义义务要求受托人应当“为受益人的最佳利益行事”，而信息主体作为信托受益人，代为行使信息主体部分人格性权利是充分维护隐私利益核心要义，这并非人格权的信托或转移，而是数据信托结构对受托人的基本要求。[49]参见杨应武：《数据信托：数据交易法律规制的新路径》，载《东南大学学报（哲学社会科学版）》2023年第S1 期，第123 页。

因此，受托人一方面可基于个人信息财产权，整理、分析、加工敏感个人信息，开发数据产品与数据服务，享有以自己的名义对敏感信息进行管理和处分的权利。另一方面，受托人基于数据信托结构可以行使部分人格性权利，包括控制信息访问权、删除权、更正权等权利。但信息主体依然享有撤回同意的权利，若受托人未能履行受信义务或侵害信息主体权益，可以随时基于撤回同意权解除数据信托关系。此外，就信息处理者设立数据信托而言，受托人有权要求信息处理者说明数据来源，提供敏感信息收集的合法性证明，确保信托数据来源合规。

（三）义务配置：信息信义义务的制约

数据信托机制为受托人课以信息信义义务。一是数据忠诚义务，受托人应积极地为客户最大利益行事；二是谨慎义务，受托人提供谨慎、专业和熟练的高质量数据管理服务。将信义义务引入至数据关系中，敦促数据实质控制人以“善良管理人”身份管理敏感信息，降低信息处理者侵害个人信息隐私风险，确保被信息隐私侵害后得到充分救济。[50]参见顾敏康、白银：《“大信用”背景下的信息隐私保护——以信义义务的引入为视》，载《中南大学学报（社会科学版）》2022 年第1 期，第51-52 页。信息信义义务并不因数据信托方案的不同而存在差异，“数据信托”与“信息受托人”均将受托人假定为具备数据管理知识与能力的专业机构，均将信托法上的受信义务引入至数据法上的“信息处理者”，构建三方主体结构，由受托人负担忠诚、谨慎的信息信义义务。

受信者具有忠诚和守信的特殊义务。信托法是一种普通法结构，侧重于建立在信任和信心基础上的一些特殊关系。客户将信任放在信托中，受托人有义务不背离该信托。其必须为客户的利益行事，房地产经纪人、投资顾问、律师和医生是受托人的典型例子，他们在忠实义务下处理客户的金钱、秘密以及尽责的服务。个人在信息关系中显然是脆弱的，忠实义务可以修复“信息主体与信息处理者”之间的“权力不对称”关系，通过信托结构的信任关系，促使处于脆弱状态的个人将敏感信息交由受托人掌握，赋予受托人“家长式”权力具有必要性，使其具有独立的自由裁量权，并据此作出受益人可能不同意但却是最符合受益人利益的选择。数据忠诚义务表现为受益人最佳利益途径，如果委托人是脆弱的，或者委托人的指示难以辨别，那么忠诚就意味着受托人要将客户福祉放在首位，一切行动以促进委托人或受益人的最佳利益为目的。[51]See Neil M.Richards & Woodrow Hartzog, A Duty of Loyalty for Privacy Law, 99 Washington Univers ity Law Review 961, 990-992(2021).例如，受托人应主动监督外部信息访问、数据使用行为，对不符合委托人或受益人利益的隐私协议提出异议并监督修改，抗议不符合受益人利益的“定向广告”“信息茧房”“算法控制”等。并且受托人不能巧借信托制度的“权利转移”机制规避个人同意以滥用数据。此外，忠诚义务还包括以下规则：一是无冲突规则，受托人不得将受益人利益置于与自己利益相冲突的位置；二是无利润规则，受托人仅有收取信托费用之权利，不得从信托财产中获利；[52]参见迪莉娅：《个人数据信托的治理功能、模式与发展策略》，载《情报理论与实践》2023 年第5 期，第9 2 页。三是保密义务，受托人对履职过程获取的商业机密、商业模式等信息负有保密义务。

谨慎义务要求受托人对敏感个人信息的管理应尽到“善良管理人”之注意。谨慎义务是指受托人应尽到合理谨慎人处置他人财产时一样的注意、技能和谨慎的义务，“谨慎人”一词还涵盖了受托人采取按照处置自有财产的谨慎标准。[53]参见［美］爱德华·C·哈尔巴赫著：《吉尔伯特信托法》，张雪楳译，法律出版社2017 年版，第210页。事实上，“受托人因委托人信赖而管理信托财产，在管理上仅付出‘对自有财产之同一注意’尚且不足，而是要求必须尽到‘善良管理人的注意’。”[54]参见［日］三菱日联信托银行编著：《信托法务与实务》，张军建译，中国财政经济出版社2010 年版，第67 页。其一，数据信托语境下，对委托人基于信任托付的个人信息财产权，受托人负有积极行动之义务。如为保护敏感信息权益，受托人负有采取合理的技术手段防止隐私泄露。针对侵犯信息隐私、财产利益的行为，有提起诉讼并要求侵权人赔偿信托财产损失的义务。其二，受托人应充分发挥其专业的信息管理知识与经验。一方面要对外部数据访问人的身份信息、访问目的、范围与隐私保护条件进行审核，对可能发生的数据安全风险进行评估，符合数据安全标准后才予以开放数据访问；另一方面，受托人应基于“善良管理人的注意”对数据产品开发或数据服务开放作出综合判断，合理引入数字技术与社会资金挖掘数据价值，确保信托财产增值，为受益人带来信托收益。

四、结语

敏感个人信息的特别保护与利用是数字经济时代重大课题，治理结构事关人格尊严与数字经济发展成效。“自上而下”的权利规范模式难以修复信息主体与信息处理者之间“权力不对称”关系，还衍生出知情同意规则失灵、行权维权不便等缺憾。数据信托本质上是一种第三方数据集体保护模式，构建了“回应型”敏感个人信息治理方案，以受托人的中介地位重新平衡信息主体与信息处理者之间的权力关系，可弥补“自上而下”法律规范的缺憾。

当然，数据信托也并非完美无缺，信托法作为“舶来品”在中国已经呈现出水土不服之状，如何构建中国法上的数据信托制度尚需长远考量。如隐私损害发生时，受托人应具有支付损害赔偿的能力。一种可能的解决方案是要求受托人持有责任保险，资金来自数据许可使用费或由国家承保。[55]See Data Trusts：A new tool for data governance，https://futurecitiescanada.ca/portal/resources/data-trustsa-new-tool-for-data-governance/.对于新事物应始终保持包容与开放，还应认识到数据信托在数据交易共享、公共数据授权运营以及数据跨境流通等方面的制度价值，可为数字经济发展提供数据要素流通的工具支持。