数据信托的深度求索:制度创新与应用蓝图
数据信托的深度求索:制度创新与应用蓝图
一、引言:泽西岛的LifeCycle数据信托
作为一项数据治理的创新实践,数据信托正在全球吸引越来越多的目光。举例来说,近期由泽西岛官方牵头、根据泽西岛信托法成立数据信托“LifeCycle”,就在业内引起了广泛关注。这个颇有新意的项目旨在与自行车手合作,通过在自行车上安装智能车灯,收集自行车的地理空间旅程数据,由一个泽西岛SPV作为受托人搭建Lifecycle数据信托;作为数据控制者的SPV受托人在泽西岛信息专员办公室注册,在《2018年泽西岛数据保护法》的约束下负责使用和维护这些数据,将其匿名化处理后交由当地数据分析公司Calligo进一步处理,提供给符合条件的第三方使用,用于交通规划、基础设施投资、实现低碳目标等用途。
作为知名的离岸地,泽西岛的实践颇具有先锋性和探索性,泽西岛官方也骄傲地宣称这是“首个使用合法、有效的(传统)信托结构来建立数据信托”,[1]而不是通过公司和合同架构搭建的。不过,也有批评者认为泽西岛的“创举”是为了追求信托架构形式,有舍本逐末之嫌,且在应用场景上可能缺乏实际意义。
若我们暂时抛开对于形式的争议,不难观察到数据信托这一新生事物已在包括中国在内的许多司法管辖区有形形色色的落地实例,且有着极大的应用潜能。本文旨在介绍数据信托的基本原理和全球实践,并对其在中国法规下的应用进行展望。
二、数据信托的基本法律问题
1、数据信托是什么,与传统信托有什么区别和联系?
从国际视角看,数据信托从信托法意义上的信托中获得灵感并借鉴了诸多制度,但数据信托不一定是信托法意义上的信托。在整体思路上,数据信托有两种方案:一种是美国式“信息受托人”方案,主张数据控制者应当对数据主体承担数据处理的信义义务;另一种则是英国式“数据信托”方案,由独立第三方机构担任受托人或者承担受托人职能,提供相应的数据信托服务。
从中国信托法的角度观察这两种方案,美国式“信息受托人”更多地是以信托法理论为工具,以信义义务丰富了数据处理者与数据主体之间关系的内涵,无需第三方作为受托人即可成立,重实质而轻形式;而英国式“数据信托”兼重实质与形式,与有较为严格形式要求的中国信托法更为兼容,如无特别说明,本文所指数据信托皆为英国式“数据信托”。
根据中国信托业协会的观点,数据资产信托是委托人基于对受托人的信任,为实现数据资产托管运营、交易流通、安全共享、价值实现、收益分配、投资融资等目的,将其拥有的数据、数据权利或资金委托给受托人,由受托人按委托人的意愿以自己的名义,为受益人的利益或者特定目的,进行管理或者处分的行为。从业务分类上来看,数据资产信托基于信托目的的不同,可以分为资产服务信托、资产管理信托或公益慈善信托。[2]
2、数据是否能够作为信托财产?
信托财产的确定性是信托法的基本原则之一,是法律对信托财产稳定的状态、可预见与高效率的司法裁判需求的产物。《信托法》第七条规定,设立信托,必须有确定的信托财产。在许多司法管辖区,数据是否能够成为信托资产在法律上是存在疑问的。在信托业界,信托公司协助委托人将股权、不动产、艺术品等非现金资金装入信托、成为信托财产并不鲜见,对于这些资产,一般要求由专业的测评机构出具估值报告以确定其货币价值。对于数据这样的新型资产,估值工作存在天然的困难。因此,数据是否有价值,以及其价值如何确定,成为“数据信托”这一构想必须回答的问题。
在我国,财政部会计司发布的《企业数据资源相关会计处理暂行规定》(“《暂行规定》”)在2024年1月1日正式施行,为数据资源的会计处理提供了明确的指导原则,其明确了数据的资产属性,解决了数据作为信托财产的重要前置问题。其中,《暂行规定》规定企业数据资源在满足无形资产会计准则规定的情况下,准许“数据资产入表”。同年9月,中国资产评估协会制定《数据资产评估指导意见》,进一步规范了实际操作中数据资产的评估行为。自此,数据的资产属性在法律和实践层面得以初步明确,为其成为合法信托财产奠定了基础。
3、装入信托的是数据所有权还是使用-收益权?
《民法典》和《个人信息保护法》在内的法律着重规定了数据“处理规则”和“安全义务”,但未直接定义数据“所有权”归属,导致数据权属问题突出。随之而来的问题便是,企业加工后的数据(如用户画像)属于用户还是企业?装入数据信托的是数据的所有权还是使用-收益权?
从数据法的角度,如果企业对其加工后的数据即享有所有权在内的完整权属,无疑将动摇现有的个人信息保护体制;如果数据仍然归于用户所有,那么数据信托的搭建将需要以数量庞大的用户为委托人,缺乏可落地性,且数据聚合带来的价值,也会在个人信息还原为原子化的过程中一定程度上消解。
从信托法的角度,这种模糊性导致信托架构中难以确定“委托人”的合法权利基础,即,若委托人并非法律认可的所有者,信托则可能无效。因此,在由用户还是企业作为委托人的问题上,法律陷入了两难的境地。
我们认为,这一困境并非没有法律解决方案:
在信托法领域,已存在将信托财产所有权与收益权相分离的实例,并已受到司法实践的认可。以股权信托为例,《最高人民法院第二巡回法庭2021年第19次法官会议纪要》中明确,股权内容包含人身属性和财产属性,股权中财产属性的收益权可以与股权进行分离而进行单独转让,只要能够预先设定公司未来的收益,股权中的收益权即可以作为信托财产。
在数据法领域,一个共识是数据所有权本身缺乏直接价值,需通过聚合、分析、流通实现价值;依据《关于构建数据基础制度更好发挥数据要素作用的意见》,数据产权采取“三权分置”机制,即数据资源持有权、数据加工使用权和数据产品经营权。在此基础上,数据信托能够通过法律架构实现所有(持有)权、使用-受益权的分离,实现信托使用权装入信托。
三、数据信托法律架构的模式
在具体的落地路径上,根据域外先进司法管辖区的经验,数据信托落地存在四种可行模式:传统信托、公司模式、公共模式、合同模式。[3]
1、传统信托模式
传统信托模式借鉴法律信托的结构,将数据直接看作一种财产。在此种模式下,委托人将数据交由受托人管理;受托人需遵守信托协议,以受益人利益为核心持有和管理数据,并承担法律责任。此种信托模式依靠传统信托,具有悠久的法律实践基础,公众较为熟悉且认可度较高。
2、公共监管模式
公共监管模式下通常由一个公共监管机构设立标准,负责信托数据的管理和合规监管;该公共管理机构可以是一个独立组织,也可以是一个现有监管机构通过拓展其职能实现。公共监管模式的优点是以公共监管机构的信用作为背书,其具有较强的公信力,并通过减少对于个别组织的依赖,从而提高数据治理的公平性。相比单纯地开发和利用数据的经济价值,公共监管模式的数据信托一般更注重受益方的隐私以及公共利益,在性质上更接近公益信托。
3、公司模式
公司模式的数据信托由独立的法人实体来管理数据并承担受托人责任,公司可将信托目的、受托人义务等关键内容载入公司章程;数据提供者或者其他与数据有直接利益相关的主体可成为公司的股东,参与公司章程的制定和公司治理。此种模式的优点是,公司作为一种成熟的法律工具,能够直接持有和管理数据资产,为数据的保护和流动提供了法律上的稳定性和便捷性。
4、合同架构模式
合同模式是较为典型的美国式“信息受托人”架构,这种模式以类似于委托合同的方式来完成数据信托,通常无需另行搭建法律实体或者引入第三方。合同架构模式优点是具有较高的灵活性和易用性,在实践中也可以根据提供数字服务性质、数据主题的特别需求等因素,在法律允许范围内较为自由地约定数据信托的权限。
四、数据信托的落地实践
1、中国的数据信托落地实践
2020年3月30日,《中共中央、国务院关于构建更加完善的要素市场化配置体制机制的意见》将数据列为土地、劳动力、资本、技术之后的第五大生产要素,明确提出“提升社会数据资源价值”。在我国,数据作为第五大生产要素的价值凸显,但在法律方面依然面临确权困难、流通不畅、隐私保护等矛盾。为了解决这一系列问题,数据信托作为一种新兴的数据治理机制方兴未艾,已有多个应用先例,且均以传统信托模式的形式落地。
表1 部分国内数据信托落地案例
2、全球视角下的数据信托前沿应用
(1)医疗健康领域
Health Data Research UK(HDR UK)是英国政府支持的非营利机构,旨在推动医疗数据的安全共享。其“可信研究环境”(Trusted Research Environments, TREs)被认为是数据信托的实践之一。[4]TREs通过第三方平台集中管理医疗数据(如患者医疗记录、基因组数据等),研究人员需申请访问权限并遵守严格的审查程序。
从TREs的案例中我们可以看到,数据信托在跨部门共享患者信息时具有独到的优势,通过第三方托管模式,可整合患者、医院、科研机构持有的分散的医疗数据,打破“数据孤岛”,提高了数据使用的效能;数据由独立受托方而非研究机构直接管理,确保履行充分的匿名化处理和数据最小化原则;对医院和科研机构来说,其通过向TREs平台而非患者直接收集也能有效减轻其合规压力。
(2)人工智能领域
人工智能发展过程中,数据安全与隐私是其面临的诸多法律问题中尤其突出的一个。模型无法完全识别训练数据中的敏感部分,导致隐私信息可能被无意整合到生成内容中。攻击者可以利用这一点,使用提示词注入攻击,诱导模型输出用户隐私信息。此外,包括Open AI在内许多人工智能巨头不仅已持有了海量的训练数据,还会将用户输入数据继续用于模型训练,使得用户隐私在人工智能前显得格外脆弱。这一困境也使得各国监管机构对于海外大模型态度尤其谨慎:2023年,意大利数据保护机构就曾经因隐私问题禁用过ChatGPT;2025年以来,来自中国开发者的人工智能在多个司法管辖区被停用。
从原理上来说,数据信托有望解决数据持有者与使用者之间的信任问题,使用户数据能够安全地用于人工智能开发。在合规性上,数据信托通过受托人管理模式,作为独立第三方制定数据收集、存储、共享和使用的统一规则,确保数据所有权与使用权分离,避免数据被单一主体垄断或滥用,使数据主体的隐私和利益得到更大程度地保护,能够成为飞速发展的人工智能风潮中的“隐私安全港”。
(3)数据跨境流动与本地化
2020年,Tik Tok与知名软件公司达成协议,在其数据服务器上存储 Tik Tok的美国用户数据,并商议成立一个不受Tik Tok控制或监督的数据管理团队作为美国用户数据的“看门人”,确保字节跳动无法访问美国用户数据。新加坡个人数据保护委员会(Personal Data Protection Commission)在一份报告中指出,[5]虽然该方案并未明确提出设立数据信托,但它与信托架构存在诸多类似之处,包括任命受信任的管理者和个人,根据授权提供控制或阻止未经授权的访问,以建立对数据的独立监管和管理为目的。
2021年9月,中共中央、国务院印发的《横琴粤澳深度合作区建设总体方案》指出,促进国际互联网数据跨境安全有序流动,在国家数据跨境传输安全管理制度框架下,开展数据跨境传输安全管理试点。试点工作将为包括数据信托在内的各种运行机制提供充分的应用场景,助力数据要素合法有效跨境流动。我们认为,相比各司法管辖区日趋割裂的数据跨境流动立法,信托的独立性在全球立法中有着更高的共识,是数据跨境传输可靠的合规性与安全性工具;利用数据信托作为数据跨境传输和本地化工作的法律媒介,亦能为直面数据跨境传输巨大合规压力的企业提供良好的缓冲。
五、展望:中国数据信托的蓝图
随着我国数字经济的兴起,尤其是人工智能技术的发展对于数据的磅礴需求,使得现行数据保护制度越发难以应对数据共享流通中产生的隐私和安全问题。我国数据保护制度的整体思路与欧盟等主流司法管辖区是类似的,即向数据主体赋权,然后将这些权利的保护映射为数据处理者的合规义务。仅以《个人信息保护法》为例,其赋予个人信息主体包括知情权与决定权、查阅权与复制权、更正权与补充权、被遗忘权在内的广泛权利,并就这些权利保护向数据处理者提出了较为全面的合规要求。
然而在实践中,这一机制在部分情况下遗憾地演化为繁琐的隐私政策和流于形式的知情-同意设计,给企业和个人都带来了不小的负担的同时,使得数据保护变成了一场成效存疑的“合规演出”。在信托法领域,数据信托剥离了数据的控制权与收益权并形成权利-义务的新平衡,能够为传统数据治理模式下的难题提供了新的解法。站在法律实践的视角,我们对中国数据信托有如下思考与展望:
1、传统信托的路径下的展望
在数据信托登记方面,我们期待依托《信托法》第十条规定和数据确权的实践,进一步完善数据信托登记制度,明确数据信托登记效力、登记模式、登记机构等问题。
在受托人方面,信托公司以金融资产管理为传统专长,是否是独任数据信托委托人的最优选择值得思索。无论是信托公司继续修炼“内功”,拓展数据资产管理能力;还是引入具备数据合规能力的律师事务所、能够挖掘数据价值的专业服务商,探索类似慈善信托的多受托人架构,都是值得期待的进路。
在委托人方面,我们发现数据信托正进入到更多企业、公共机构乃至非营利组织的视野:对企业委托人而言,数据信托可以为部分数据驱动型的业务提供一个高标准且合规负担可控的解决方案;对于公共机构委托人而言,数据信托能够为公共数据的开发和治理提供助力,是能够兼顾数据价值开发与社会效益的有效工具,亦是《数据安全法》第四十二条规定下“统一规范、互联互通、安全可控”政务数据开放平台的理想法律载体。
2、传统信托路径之外的思考
在传统信托的路径之外:我们也应当看到,信托财产权利与利益分离的特性,契合了数据权利分置的产权运行机制:即便不构建中国信托法意义下的数据信托实体,以“信息受托人”的信义义务重构数据处理者与数据主体之间失衡的利益结构,依然具有重大的正面意义。在人工智能的新时代,破解数据治理困境的钥匙,未必藏在晦涩冗长的隐私政策和设计精巧的SCC文本里——书写着金雀花王朝地契和信托协议的十三世纪英格兰羊皮纸上,“所有权与受益权分离”的古老信托法律智慧仍在闪光,正等待人们抖落积尘。
[注]
[1] Jersey Data Trusts: a closer look, Digital Jersey: https://www.digital.je/news-events/digital-news/jersey-data-trusts-a-closer-look/。
[2] 中国信托业协会:《2024年信托业专题研究报告》,中国财政经济出版社,第87页。
[3] Data trusts: legal and governance considerations, Queen Mary University of London: https://theodi.cdn.ngo/media/documents/General-legal-report-on-data-trust.pdf。
[4] Trusted Research Environments: https://ukhealthdata.org/developing-technology-services/trusted-research-environments/。
[5] PDPC PERSONAL DATA PROTECTION DIGEST: https://www.pdpc.gov.sg/-/media/Files/PDPC/PDF-Files/PDP-Digest-Files/2022-Personal-Data-Protection-Digest.pdf。