一、引言
2021年2月24日,《麻省理工科技评论》发布了2021年“全球十大突破性技术”榜单,
数据信托的提出,是为了解决一个现实矛盾和一个不平衡的权力结构。这个现实矛盾在于:一方面,数字经济的发展要求数据共享和自由流通,特别是人工智能技术的发展对大数据的广泛运用提出的新需求;另一方面,现行的数据保护制度不足以解决数据共享和流通中的隐私和安全问题,这个现实矛盾需要一个新的解决方案。这种不平衡的权力结构是:个人对数据保护的力不从心与数据控制者对数据的绝对控制,个人完全处于被支配的地位。现行数据保护制度主要是对个体进行赋权,以GDPR为典型代表,这种个人权利模式假定了个人可以积极维护自己的数据权利,但事实上个人要么无意愿,要么无能力,其结果只能依赖于数据监管部门自上而下的各种监管审查,监管部门和数据控制者玩起猫捉老鼠的游戏,监管的效果并不明显。通过政府的监管来打破上述不平衡权力结构的尝试被证明是失败的,或者说是效率不高的。
造成这个局面的一个重要原因是:个人权利模式和政府自上而下的监管都没法创造出“信任”。数据主体和监管部门不信任数据控制者,数据控制者不信任数据处理者,数据控制者、数据处理者之间也相互不信任。而如果在最基础的层面上无法建立起最基本的信任关系,再多的赋权和规制也都无济于事。
至于什么是这里所说的数据信托,目前尚未形成统一的认知。英国开放数据研究所总结出了5种代表性的阐释:1.一个可重复的术语和机制的框架;2.一个共同的组织;3.一种法律结构;4.数据的存储;5.对数据访问的公众监督。
这个定义中有三个关键词:第一是“独立”,意味着数据信托独立于数据控制者和使用者,需要一个独立第三方作为数据受托人,“受托人承担着具有法律约束力的责任,确保数据的共享和使用有利于特定的人群和组织,以及受其使用影响的其他利益相关者”;第二是“数据管理”,意味着由受托人依据数据信托章程决定谁可以访问数据,在什么条件下访问数据,以及数据信托是为了谁的利益;第三是“法律结构”,这里要特别强调的是,虽然数据信托是从信托法意义上的信托中获得灵感并借鉴了诸多制度,但数据信托不是信托法意义上的信托,数据信托是一种独立于信托法的单独的法律结构。至于具体的原因,下文将详细讨论。
基于这个定义,一个数据信托必备的要素包括:一个明确的目的、一个法律结构(包括委托人、负有信托责任的受托人和受益人)、对所管理的数据的(一些)权利和义务、一个明确的决策过程、对如何分享利益的描述、可持续的资金。
其实,作为一个法律问题而非技术问题,数据信托早就被学术界关注了。2004年,利利安·爱德华兹发表的《隐私问题:一个温和的建议》一文中主张,应从普通法信托的角度来理解消费者和数据控制者之间的关系,并基于数据信托提出了“隐私税”构想。虽然爱德华兹关注的重点是“隐私税”,但却花了很大的篇幅来讨论通过数据信托管理数据的可行性和必要性,并以此作为“隐私税”的基础。
不过,爱德华兹的想法并未引起学界的共鸣。直到2014年,这个问题才再次被学界提起,并自此产生持续影响。2014年3月耶鲁大学法学院杰克·M.巴尔金在网上发表短文《数字时代的信息受托人》认为:“信息受托人概念有助于我们理解如何在不违反第一修正案的情况下保护数字隐私。”
2015年4月,夏恩·麦克唐纳发表《公民信托》,提出“创建一个受托人组织,该组织持有技术产生的基础代码和数据,并将其授权给将其商业化的营利性公司。公民信托与普通信托的不同之处在于,公民信托和获得许可的商业化公司都将承担信托责任,制定参与性的治理程序,使彼此受到制约”。
简单总结一下,英美两国发展出了两种不同的数据信托构想,美国是“信息受托人”构想,英国是“数据信托”构想,两者都有非常深厚的普通法上的信托理论与实践背景。“数据信托的观念依赖于英国和美国等普通法法域的这种理念:任何对数据有权利的人,都必须承诺为受益人的利益,而不是为他们自己的利益来管理数据。”。
我国正在制定个人信息保护法和数据安全法,如何兼顾数据利用、数据隐私与数据安全,如何打破数据主体和数据控制者之间不平衡的权力关系,是这两部法律要处理的核心问题,数据信托或是可选择的治理机制之一。我国学术界和实务界已经意识到数据信托的潜在价值,并且开始了有益的探索。
笔者先梳理巴尔金的“信息受托人”及其遭到的批判,检讨这个构想的意义及其不足,接下来梳理英国的数据信托构想,比较三种理论构想的差异,总结其共同之处。然后,介绍英国的数据信托实践,总结这些实践的经验教训。最后,提出需要进一步探索的问题,以及数据信托对中国数据治理的借鉴意义。
二、巴尔金的“信息受托人”理论及其批判者
一提到数据信托,学术界就会提到巴尔金的上述文章,但对于巴尔金最初提出“信息受托人”理论所要解决的问题,很少有人认真讨论过。因此,有必要先从巴尔金的理论讲起。
巴尔金是美国宪法第一修正案的研究专家,因此,最初他实际上是从言论自由的角度来讨论数据信托的,他发现对个人信息隐私的保护和美国宪法第一修正案之间存在着潜在冲突。为什么这么说呢?一方面,信息平台公司大量收集、分析、使用、销售和分发个人信息,必然会侵犯个人隐私,甚至威胁西方民主政治;
巴尔金举了Sorrell v.IMS Health Inc.案来说明这个问题。佛蒙特州立法者发现,药店正在向数据挖掘者出售有关医生处方的信息,数据挖掘者通过对医生处方信息的挖掘,将有关医生处方开药倾向的报告卖给制药公司及其代理商。该州立法者担心,如果允许制药公司依据这些信息向医生做广告,可能会导致医生开更昂贵的药物,因此佛蒙特州立法规定药剂师销售有关医生处方的信息是非法的。但美国最高法院却认为佛蒙特州的该项立法违反了美国宪法第一修正案,因此是无效的。肯尼迪大法官所撰写的法庭意见认为:“信息的创造和传播是第一修正案意义上的言论。”
不过,巴尔金所举出的这个例子毕竟不是针对信息平台公司的,平台公司对于用户个人信息的收集、存储、传输、售卖、使用是否受第一修正案的保护,可能是个理论争议问题。巴尔金是通过一个类比提出信息受托人理论的,在普通法的信托理论和实践中,医生、律师和会计师与客户有着特殊的信任关系,这种信任关系就是一种信托关系。医生、律师和会计师在工作中获取客户大量的私人信息,但他们不能对外披露这些信息,更不能利用这些信息为自己谋利。巴尔金认为,信息平台公司与用户之间的关系,类似于医生、律师或会计师与客户之间的关系,信息平台公司获取了用户大量的个人信息,因此要承担起对客户关心和忠诚的信托义务,要值得用户信任。所谓信息受托人,“是指因与他人的关系而对在关系中获得的信息承担特殊责任的个人或企业”。
医生、律师或会计师与客户之间之所以成立信托关系,是因为两者之间因信息和专业知识的不对称形成了特殊的社会关系。因此,法律强制性要求作为专业人士的医生、律师或会计师必须承担特殊的信托义务。在巴尔金看来,信息平台公司之所以成为信息受托人,同样是因为信息平台公司与用户之间的社会关系。为什么这么说呢?第一,最终用户与许多在线服务提供商的关系存在严重的脆弱性,因为在线服务提供商拥有相当多的专业技术和知识,而最终用户通常没有;第二,用户对这些公司处于依赖的地位;第三,在许多情况下,但不是所有在线服务提供商坚持自己是专家,提供某些类型的服务以交换我们的个人信息;第四,在线服务提供商知道他们持有的有价值的数据可能对我们不利,而且他们知道,我们也知道这一点。
那么,什么样的人或商业实体可以被视为信息受托人并且承担信托责任呢?巴尔金给了判断标准:1.当这些人或商业实体为了获得使用它们的人的信任,向公众自称是尊重隐私的组织时;2.当这些个人或实体给个人一些理由使其相信他们不会披露或滥用其个人信息时;3.当受影响的个人合理地相信,基于现存合理行为的社会规范、现存实践模式或其他能够合理证成其信任的客观因素,这些人或实体不会披露或滥用其个人信息时。
巴尔金的信息受托人理论提出后,学术界、媒体、议员和实务界都给予了积极的回应。
不过,也有学者对信息受托人理论提出了严厉的批评。莉娜·M.汗和大卫·E.波曾对巴尔金的信息信托人理论作了系统性检讨,认为信息受托人概念根本无法解决巴尔金承认的信息不对称和滥用问题,更无助于解决与市场垄断和商业模式有关的棘手问题。他们的批评是从以下四个方面展开的:
第一,谁的受托人?按照公司法的规定,公司的董事是公司股东的受托人,要忠于股东的利益,如果信息受托人理论认为公司对用户承担信托责任,则意味着董事也要忠于公司用户的利益,而对于信息平台公司,股东需要靠用户信息做定向广告赚钱,两者之间的利益是冲突的,董事的双重受托人身份是内在紧张的。“只要股东和用户的利益有分歧,这些公司的高管和董事就可能被置于不得不违反特拉华州法律规定的信托责任(对股东),以履行巴尔金提议的新法律体系规定的信托责任(对终端用户)的难堪境地。”
第二,什么意义上的受托人?信托责任的核心是受托人必须始终为客户的最大利益行事,并且“其核心(信托关系)意味着专业人士有义务将客户的利益放在自己的利益之上”。
第三,解决什么问题?“如果信息受托人建议不会破坏在线平台的基本商业模式,那么它将如何促进用户的利益?而新的信托责任究竟如何执行?在这些问题上,巴尔金的态度是不明确的”。
第四,有什么样的好处和成本?基于前述理由,信息受托人理论并不能解决信息平台对用户个人信息的滥用问题,不能为用户带来实质性的好处。巴尔金所谓的信息受托人能够缓解监管规则与第一修正案之间潜在的冲突,是建立在他对司法实践的不完整理解之上的。信息受托人理论不但没带来好处,反而会带来坏处,因为,它会掩盖平台与用户之间结构性的不平等支配关系,并且掩盖了应该改革的实质性问题。正因为如此,这个理论受到了诸如脸书这样的信息平台公司的欢迎。“一个被政府指定为数百万美国人个人数据的忠诚看守人的实体,是一个不可能被该政府解散的实体。作为受托人的脸书不再是一个需要通过激进改革来解决的公共问题,它是一个需要管理、培养和维持的敏感私人关系的纽带。”
进行上述批评之后,莉娜·M.汗和大卫·E.波曾认为,信息受托人理论将信息平台公司与医生、律师、会计师进行类比是错误的。如果一定要类比,倒是有两个类比可以考虑:一个是类比“离线的”社会和经济基础设施,比如铁路、电力等系统;[35]另一个是在考虑数字平台收集、聚合和使用个人数据所带来的监管挑战时,可以与环境污染进行类比。这样的类比有助于我们将结构性的改革置于讨论的核心位置,并承认,“数字监控的危害必须以明确的禁令和经济抑制措施来应对,而不是以充满道德的标准来应对”。
针对莉娜·M.汗和大卫·E.波曾的系统性批评,巴尔金进行了回应。巴尔金先花了大量的篇幅论证,为什么信息受托人理论是必要的,以及信息受托人理论是可以发挥作用的,并指出,从信任和可信度的关系角度看待隐私,将会发现信息受托人模型是数字隐私理论的发展趋势,这些理论重点关注忠诚、权力差异和脆弱性等问题。
巴尔金认识到了数据主体与数据控制者之间不平衡的权力关系,正是这种关系使得信息受托人理论成为必要。“信托义务产生于社会关系,以及这些关系中固有的权力和脆弱性。信托义务的性质取决于关系的性质、参与者的理解,以及更有权力的一方滥用、操纵、自我交易和过度接触的潜在危险。”
三、从信息受托人到数据信托
不过,在信托制度的起源地英国,同样基于对数据主体与数据控制者之间不平衡的权力关系的担忧,却发展出一种完全不同的数据信托理论和实践。简单来说,是一种自下而上的通过第三方来实现权力平衡的数据信托模式。本部分主要梳理讨论三篇英国学者的报告和论文,从理论层面上勾勒英国学者有关数据信托的基本理论主张,下一部分将探讨英国在数据信托上的实践案例。
前文已经提及,2015年4月,夏恩·麦克唐纳提出通过“公民信托”来管理数据,2016年6月尼尔·劳伦斯发表《数据信托可以减轻我们对隐私的担忧》一文,提出通过数据信托实现对数据的独立管理,从而弥补个人数据和隐私保护不足的问题。自此开启了英国对数据信托的理论探索,并推动了数据信托实践的发展。
2017年受英国商务部和文化部的委托,戴姆·温迪·豪和杰罗姆·佩森蒂教授联合发布《发展英国的人工智能产业》,对英国人工智能发展作出独立审查报告。人工智能的发展,自然离不开大数据的共享和应用,如何解决数据共享和应用中的隐私和安全问题,并使得相关各方都能从中获益,这份报告提出了数据信托构想。“为了促进持有数据的组织和希望使用数据开发人工智能的组织之间的数据共享,政府和行业应该提供一个开发数据信托的项目———经过证明的和可信的框架和协议———以确保交换是安全和互利的。”但报告对数据信托有独特的理解并认为,“这些信托不是一个法律实体或机构,而是一套由一个可重复的框架为基础的关系,符合各方的义务,以公平、安全和平等的方式共享数据”。
为了实现这个目标,报告号召成立“数据信托支持组织”,这个角色可以由一个中立的专家组织提供,如英国皇家学会、英国皇家工程学院或开放数据研究所,它们都有大量具备专业知识的专家可以支撑数据信托的建立。在项目的最初阶段,“数据信托支持组织”将作为数据信托受托人,也就是帮助管理数据信托的第三方。“数据信托支持组织”的核心功能包括:“提供定义各方同意共享的数据或数据流的框架;协调共享数据的目的及其预期用途,包括什么样的分析将被使用;商定数据传输和存储的机制;确定将产生的商业价值的分配条件。”
如果在最初阶段的尝试中,数据信托促进了更多的数据共享,那么“数据信托支持组织”可以建议并指导立法机关将数据信托规定为正式的法律结构,并允许其他第三方充当数据信托受托人。此时,其他第三方只有获得“数据信托支持组织”的认证,方可充当受托人。在第二个阶段,“数据信托支持组织”的功能将进一步提升,包括:“开发多方都有信心参与的技术、商业和财务框架;提供匿名、分解和保护数据共享和交易的指导;召集能够对数据评估问题提供独立咨询的技术专家;作为GDPR和其他可适用的数据监管的可靠顾问,就公平和符合伦理地使用数据提供建议。”
由于报告是在发展英国人工智能产业的语境下讨论数据信托的,因此,这种数据信托模式主要适用于人工智能的开发和运用。在这个报告之后,2018年12月至2019年3月,英国开放数据研究所与英国人工智能办公室和“创新英国”开展合作,评估了数据信托作为增加信任和获取数据的潜在途径的可行性,这项研究成果将在本文第四部分讨论到。
2019年,伯明翰大学法学院西尔维·德拉克洛瓦教授与尼尔·劳伦斯教授联合发表《“自下而上的”数据信托:扰乱“一刀切”的数据治理方法》一文,
作为一种自下而上的信托模式,两位作者建议应该建立各种不同的数据信托,有的侧重公共利益,有的侧重个人利益,有的侧重降低风险,从而形成一个数据信托生态系统,个人可以在生态系统中根据各自的偏好自由选择。这样一个生态系统的建立,需要具备四个条件:第一,“进入的门槛必须很低———创建新的信托必须相对直接”。如果门槛过高,数据信托难以建立,那么就限制了数据主体对数据信托的运用,生态系统就难以建立。第二,“数据主体的数据必须是安全的”。由于数据安全需要极强的技术能力和相应的物理设备,数据信托机构未必能够提供,因此,数据可以由专业的机构来托管,也有可能数据主体继续保留对数据的控制权,仅赋予受托人行使其权利和进行操作的能力。第三,“每一个体的个人数据必须在不同的计算机系统之间可携带(数据可携带性)”。只有数据具有可携带性,数据主体才可能在不同的数据信托之间进行选择和转换。第四,“每一个体的数据必须可以从任何特定系统中擦除(数据擦除)”。当数据主体不赞成数据的使用目的时,可以从特定的数据信托中撤回其信托,擦除其数据。
这里需要说明的是,数据主体信托出去的不是数据本身,而是数据权利,因此数据信托建立的前提是:“个人对可以信托的有关他们的数据拥有权利。”
自下而上的数据信托理论在英国数据信托研究中影响很大,2018年12月4日和5日,人工智能产品提供商元素人工智能和英国全球创新基金会Nesta举办了一个数据信托国际研讨会,特别将自下而上的数据信托理论作为基础理论,并就此达成共识。会后发布的白皮书指出:“自下而上的数据信托可以是一个有用的工具,可以部分解决公司、政府和公民消费者之间存在的权力不平衡的问题,促进更公平的资源分配和进一步保护权利”。当然,这并不意味着自此抛弃了自上而下的监管,白皮书同时指出:“政府对数据信托自上而下的监管可以有助于确保信托条款的实现和尊重人权,促进公共利益。”
2019年2月,南安普顿大学的基隆·奥·哈拉教授发表《数据信托:实现值得信赖的数据管理的伦理、架构和治理》白皮书(以下简称《伦理、架构和治理》),其开篇就提到了前述戴姆·温迪·豪和杰罗姆·佩森蒂教授联合发布的《发展英国的人工智能产业》,认为这份报告仅从功能的角度看待数据信托,没有探讨数据信托的结构问题。因此,《伦理、架构和治理》的目的是探讨:“(a)数据信托可以利用现有的什么结构?(b)数据信托与法律上所理解的信托之间是什么关系?”《伦理、架构和治理》的核心论题是:“在法律范围内运行的数据信托,为可信的数据处理提供道德、架构和治理支持。”
与之前的大多数研究不同,《伦理、架构和治理》探讨的数据信托不限于数据主体,数据控制者、处理者和数据科学家也有数据信托的需求,这里的数据也不限于个人数据,包括其他敏感数据。因此,“数据信托需要实现两个功能:首先,它需要成为一个数据处理和数据科学可以透明地进行的领域,允许要求数据控制者承担责任。最重要的是,它还应该允许数据科学家就他们的职业中什么是可信的行为进行互动和辩论。其次,数据信托还需要成为数据科学家、数据主体和其他利益相关者之间的接口。这应该允许利益相关者既让数据科学家自己负起责任,也可以注入自己对什么是数据科学家的可信行为的观点(例如,他们相信数据科学家会做些什么)”。
《伦理、架构和治理》提出:“数据信托的目的有两个方面:首先,数据信托试图为数据科学定义一定程度的可信赖行为;其次,数据信托旨在联合信任与可信赖。因此,我们只信任可信赖的行为者。信托的适当形式不是基于规则,而是基于社会经营许可。”
在伦理的层面上,《伦理、架构和治理》认为,仅仅有规则是不够的,因为规则有很大的模糊性,数据信托需要为各方制定伦理准则。这些准则不仅涉及合法与否的问题,也涉及正当与否以及善恶与否的问题,数据伦理准则是数据科学行业的自我治理,能够支撑《伦理、架构和治理》提出的社会经营许可形式。
在架构上,数据信托不需要实际存储被信托的数据。因为,数据信托只是一个可供数据共享的虚拟场景,“我们可以依据会员模型来构想:不同的组织将是信托的成员,这意味着(i)要么数据控制者将数据带到信托中分享,要么数据用户希望通过信托来共享数据,或者两者同时都有,和(ii)同意遵守数据信托背后的伦理原则”。因此,白皮书构想的数据信托架构是一个“数据信托门户”,也就是一个平台。在这个架构中,数据的提供者不需要将数据移交给数据信托,而是继续自己管理自己的数据,数据提供者和数据使用者通过数据信托门户达成数据共享协议,依据协议来贡献数据。数据信托门户是一个相对中心化的管理机制,负责验证身份、制定伦理准则、对信托活动进行审计等。
在法律地位上,白皮书认为,数据信托的观念毫无疑问来源于普通法上的传统信托,但数据信托并不必然是普通法上的信托,主要原因是数据信托受益人以及受益方式很难确定。数据信托是一种支持可信赖行为的自愿协议,重点是发展和支持可信赖的行为,从而建立起必要的信任,通过信托获益并非数据信托的核心。此外,如果将数据信托界定为普通法上的信托,那么对于非普通法国家,数据信托的推广将受到限制。因此,数据信托应该区别于普通法上的传统信托,但可以借鉴传统信托的很多观念和做法。
从这些梳理可以看出,虽然很多学者都认识到,数据信托不是普通法传统上的信托,但对于数据信托应该是什么,这些学者的看法不尽相同。因此,各自提出对数据信托的新构想。戴姆·温迪·豪和杰罗姆·佩森蒂提出了“数据信托支持组织”构想,西尔维·德拉克洛瓦与尼尔·劳伦斯提出了“自下而上”的数据信托构想,基隆·奥·哈拉提出了“数据信托门户”构想,但这些理论构想都只是初步的探索,最终还需要数据信托实践来检验,下面就看看英国在数据信托实践上的探索及其经验教训。
四、实践中的数据信托
英国学者在讨论数据信托时,都会关注实践中的应用案例。比如,戴姆·温迪·豪和杰罗姆·佩森蒂是在人工智能的应用场景下讨论数据信托的,西尔维·德拉克洛瓦和尼尔·劳伦斯特别谈到数据信托在医疗数据、社交媒体数据、金融数据、遗传学数据、会员卡数据等方面的应用,基隆·奥·哈拉教授则谈到“匿名决策框架”在澳大利亚的应用。
如前所述,英国对数据信托的应用兴趣很大程度上是由英国政府在2017年委托进行的人工智能发展独立审查报告《发展英国的人工智能产业》推动的。
与此同时,开放数据研究所联合英国政府人工智能办公室和“创新英国”从2018年12月到2019年3月进行三个数据信托试点项目,试点项目旨在探讨:1.用户研究和参与,以了解数据持有人、潜在数据用户和其他利益相关者的目标、要求以及数据信任的预期结果;2.法律分析,以探讨必要的法律人格,以及建立数据信托的后续程序和影响;3.设计一个基于不同商议和参与技术的数据信托的决策过程;4.设计一个数据重复使用的流程,让潜在的数据用户用来发现、寻求访问和通过数据信托获得对数据的访问(或不访问);5.评估可用于支持和实现通过数据信托访问数据的技术架构;6.研究探讨如何将数据访问的好处公平地分配给数据信托的不同利益相关方;7.评估在该特定情境下执行数据信托的可行性。
三个试点项目结束后,除了每个项目各自的试点报告,2019年4月,试点项目的推动者开放数据研究所发布了一份总报告《数据信托:来自三个试点的经验教训》,
先来看看《数据信托:来自三个试点的经验教训》关于数据信托生命周期的讨论。报告认为,数据信托是非常情境化的,每个数据信托都有独特性。因此,无法从试点项目中总结出一个或几个成熟的数据信托模式,每一个数据信托都需要在具体情境之中确定极其复杂的法律结构,但在数据信托的生命周期中,还是有一些可识别的阶段,以及在每个阶段可能需要采取的工作。报告认为,一个数据信托的生命周期至少包含以下六个阶段:第一,范围:确定数据信托的范围,首先应围绕一个问题或挑战进行调整,研究解决该问题的现有努力,研究最适合当前需求的不同类型的数据管理模式。这有助于澄清是否需要一个数据信托。
以上只是简单罗列了数据信托各个阶段的基本情况,在每个阶段之下,报告非常详细地列出了需要完成的具体工作,基本上可以作为设立数据信托的操作指南。这份报告关注的主要是设立数据信托的不同阶段及其要完成的工作,还有一个重要的问题是,具体到每一个数据信托,应该采取什么样的法律和治理架构?下面就来看看《数据信托:法律和治理思考》中关于数据信托法律和治理架构的讨论。如前所述,数据信托是非常情景化的,并没有统一的模式,因此,报告分别检讨了当下和未来可能采取的五种数据信托模式以及相应的法律架构。
第一,传统的法律信托模式。在这种模式下,信托人依据现行的信托法将数据交给受托人管理,受托人持有数据并为受益人的利益管理数据,承担信托受托人的责任。这种模式的优点是,传统的法律信托模式非常成熟,大家容易理解,相关的法律规范成熟完备,容易操作。但这种模式有个致命的缺点,那就是,现行法律并不将数据视为传统信托法中的财产。此外,传统信托模式必须要有明确的受益人,但数据信托可能为公共利益而设立,没有具体的受益人。传统信托模式下受托人与受益人一定是分开的,并且受托人不能从信托中获益,但数据信托下,数据持有者可能既是受托人又是受益人或从数据信托中获益,但这是违背现行信托法的。这意味着,如果数据信托要采取传统信托模式,必须修改现行的信托法。
第二,合同架构模式。在这种模式下,数据信托的建立不是依据信托法,而是依据数据信托各方签署的合同,信托的目的以及各方的权利义务均通过合同约定。这种模式的优点是非常灵活,能适应各种不同场景下的信托,并且只要相关各方同意,可以随时修改合同。合同模式的缺点是合同的形式必须仔细界定,为每个签署人提供公平的利益,并确保违反数据信托合同安排的责任由有过错的适当方承担。此外,每一个数据使用者都需要根据使用情况签署合同,这意味着大量的协商工作。虽然可以制定一些标准化的合同,但仍需要相关方都同意才行。在这种情况下,都需要相关方协商解决。
第三,公司模式。在这种模式下,将设立具有独立法人资格的公司或合伙组织作为数据受托人管理数据,承担数据受托人责任,信托的目的和各种权利义务关系将通过公司章程及其他制度进行明确,各个利益相关方可以通过成为股东或进入董事会等方式参与数据信托管理。这种模式的优点是,公司可以公司的名义持有数据并进行运作,公司股东代表可以组成董事会,负责日常的运转。此外,有各种成熟的公司治理模式和规则可供使用。这种模式的缺点是公司董事会既需要对股东利益负责,又需要对信托受益人利益负责,两者之间存在潜在的冲突,因此,需要修改公司法或者通过公司章程作特殊处理。
第四,公共模式。在这种模式下,由一个公共监管机构制定数据信托的标准和规则,监督数据信托的运行并惩罚违反规则的行为。这个公共监管机构可以是单独设立的,也可以由现有数据监管部门担任。这种模式的好处是,将有一个适用于所有数据信托的一致的规则标准,这些规则将自动适用且必须遵守。此外,通过设立一个公共监管机构,代表数据信托机构执行合规性,使数据信托机构的整体公共利益得到保障,将有可能消除公众对将其数据交给数据信托机构的一些担忧。“政府对数据信托的自上而下的监管有助于确保信托条款的实现和尊重人权,促进公共利益”。
第五,团体利益公司模式。团体利益公司是英国一种特殊类型的公司,这种公司专注于非慈善的社会事业,但又可以不完全为此目的运作,甚至可以在一定限度内向股东分红。这类公司需要向“团体利益公司监管者办公室”证明其一直朝着设立时的目的运作。这种模式的优点是有现成的公司治理结构和规则可以直接使用,而且既可以造福于社会公共利益,同时数据提供者还可以从中获得收益。这种模式的缺点是,目前还不清楚“团体利益公司监管者办公室”是否会考虑将数据信托作为一种团体利益公司,这需要向监管机构证明数据信托的特定社会目的符合设立团体利益公司的条件。
基于以上对每种模式优缺点的分析,报告最终认为,没有任何一种法律结构可以适用于所有数据信托,每个数据信托都需要自己的、单独设计的法律结构,因为每个数据信托的数据情况以及潜在的利益相关方都是不同的,利益相关方包括数据的提供者(包括未来的和目前未知的数据提供者)、数据用户(现在的和未来的)、数据权利所有者、数据主体以及更广泛的潜在的公众。一种好的数据信托法律结构应该是最能平衡利益相关方利益的结构,就目前的情况来看,报告优先推荐合同模式和辅之以合同模式的公司模式。合同模式更适合小型的简单的数据信托,特别是在利益相关方之间已经有了基本信任的情况下,比如医院和研究人员之间就医疗数据建立的信托。而公司模式更适合大型的复杂的数据信托,因为有公司法和成熟的公司治理模式可以援用,但由于数据信托的复杂性,还需要辅之以相关的合同以处理特殊的问题。
这里需要说明的是,数据信托的灵感以及一些基本原则和制度来源于普通法上的信托,但数据信托并不能直接适用信托法,这已经成为研究者的基本共识。
除了开放数据研究所推动的数据信托试点项目,还有一些数据信托实践可以关注,其中最著名案例是谷歌附属公司人行道实验室在多伦多城市振兴项目中的“公民信托计划”
此外,研究者还经常提及英国生物银行。
(本文为文章摘录版,如需引用,参阅原文)
来源:《东方法学》 2021,(04),61-76