富晓行|论个人数据利益分配中的数据信托模式
2025-01-16 07:46

我国数字经济发展迅速,数据产业蓬勃发展。但数据主体作为个人数据的生产主体和人格权主体,并不能参与个人数据的利益分配。这一方面是由于个人数据权属的不清晰,另一方面则是因为数据的本质特点而导致的定价困难。个人数据财产利益生发于数据主体的人格之上,需要建立从数据主体分享、转移至数据处理者的合理制度渠道。通过构建结构化的信托制度,数据处理者得以与数据主体共有个人数据上的财产利益;将数据处理者开展数据处理业务获取的利润归入信托财产并作为信托利益。应以优先级信托利益为基点建立专项资金池,并以数据主体集体利益的形式实现,同时由信托事务管理人根据信托文件的约定及受益人大会的决议进行管理,还需要数据信托事务管理机构对数据信托与受托人开展外部监督。

一、个人数据利益分配的现状研究

《中共中央  国务院关于构建更加完善的要素市场化配置体制机制的意见》将数据确认为除土地、劳动力、资本、技术之外的第五大生产要素。2022年12月公布的《中共中央  国务院关于构建数据基础制度更好发挥数据要素作用的意见》提出要“建立体现效率、促进公平的数据要素收益分配制度”。根据测算,中国数据资本形成额从2003年的3222.06亿元增长至2020年的30009.81亿元,年均增长率为14.03%;中国数据资本存量则从2003年的14857.42亿元增长至2020年的132828.84亿元,年均增长率为13.75%。数据作为一种新的生产要素,“由它转变而成的产品和服务正在深刻改变人们的生活”,在数字经济中呈现“中心地位”。

个人数据在生产、收集、利用的全生命周期中,必然存在利用变现的环节。甚至可以说,数据处理者对数据的收集、处理和流通等环节全都是为从个人数据中获取利益而服务的。国家数据局在《关于促进企业数据资源开发利用的意见(征求意见稿)》中,强调要“健全企业数据收益分配机制”,其中“企业承担政府和公共事业相关系统建设运维形成或获取的数据资源,其开发利用行为应严格遵守公共数据资源相关政策法规规定和协议约定”。学界也从数据权利归属、数据要素定价、数据利益分配等层面推动个人数据利益分配的理论研究,但相关研究难以落实到个人数据主体的权益实现,导致数据生产的源头反而无法参与数据利益分配。本文以保障个人财产利益为导向,通过建构适配的数据信托制度,提高数据利益分配(特别是个人数据利益分配)的规范性,激励个人积极参与数据要素利用环节。个人数据是企业数据与公共数据的主要来源,通过健全个人数据利益分配机制,还能进一步增加企业数据与公共数据的数据供给,推动数据要素供给调整优化,在流通使用中激活数据资源价值。

在司法实践中,法院虽然已经肯认数据主体与数据处理者对个人数据的财产权益,但个人数据上的财产权益从何而来、归谁所有、如何分配等问题依然找不到合适的答案,既缺乏有效的制度构建,司法中亦无据可循。数据主体只能在其个人数据遭受侵害时,防御性地通过侵权之诉来实现其财产利益(或者说弥补其遭受的损失)。如果要对个人数据的财产利益分配进行研究,首先要解决个人数据的权属分配问题以及数据要素的定价问题。


(一)

个人数据的权属问题

个人数据之上存在不同的权益主体,其持有的各种权益紧密联系,从而给数据权属的界定带来困难。个人数据之上存在人格利益与财产利益目前已形成共识,就两者的关系与表现形式,从比较法上来看,已经形成二元论和一元论两大范式。二元论的代表为美国,其分置隐私权与公开权,分别代表精神利益与财产利益,具备不同的性质与权利路径。一元论的典型即德国,其将精神利益和财产利益融于统一的人格权概念之中,因而有学者称其为“茎干—树根”的关系,即人格权为树的茎干,其树根则有精神利益和财产利益两大分支。在此基础上,我国各领域法学者也从不同的角度对两者形成的具体权利以及享有主体进行了研究,众说纷纭。

在个人数据的权利内容层面,有学者从知识产权的进路出发,将商业数据权归为数字时代与商业秘密相对称的新型工业产权。也有学者提出数据新型财产权的概念,认为数据主体享有人格权和财产权,而数据处理者则享有数据经营权与数据资产权,“各种权利之间相互形成一种共存叠生、动态依存的体系关系”。有学者则希望通过反不正当竞争法来进行调整,以行为正当性判断范式对经营者利益、消费者利益和公共利益进行价值衡量。

在个人数据的权利主体层面,有学者提出,应当按照数据处理的不同阶段,在尊重数据来源者初始数据所有权的同时,借鉴“自物权—他物权”和“著作权—邻接权”的权利分割模式,赋予数据处理者数据资源持有权、数据加工使用权与数据产品经营权。有学者基于洛克的劳动赋权理论,认为应当由数据处理者取得数据控制权或财产利益。也有学者秉承个人数据“人财两分”理论内涵,在对个人信息数据作出权利配置时,将人格利益配置给个人,将财产利益直接配置给数据处理者。

上述研究在结合个人数据特殊性的基础上,对于个人数据权利归属的各项的性质、内容、主体、价值衡量等进行了深入探讨,而诸多的学说也证明了个人数据权难以用传统的权利理论直接涵括。个人数据权属的难点除了数据上的各项权利(权益)的归属,也包括数据处理过程中的权属变动。个人数据通过“知情同意”或其他法定渠道,由数据主体转移至数据处理者,并经过对个人数据的处理产生财产利益,才进入对该财产利益进行分配的环节。因而,个人数据的权益主体也需要贯穿数据生产和流通环节,解决两个问题:一是个人数据收集的初始配置,即数据产生后由哪一主体初始享有数据权益;二是个人数据处理时的权益享有,即数据权益如何在流通环节中分享给其他的权益主体。上述关于个人数据权属研究的桎梏在于,其无法为个人数据上的财产利益从数据主体分享、转移至数据处理者提供合理的制度渠道。


(二)

数据要素的定价问题

在实践中,个人数据缺乏合理的定价标准,现有的案例更多集中于在个人数据的人格权侵权中对经济损失的认定,数据处理者之间不正当竞争中对经济损失的认定以及对成型数据资产的定价。囿于数字经济的特殊性,诉讼双方难以就实际损失与违法获利的情况充分举证,而缺乏法定赔偿额的计算方法和标准,导致法官在责任承担问题上缺乏明确统一、可操作的裁判依据。

个人数据不同于传统的“物”,无限复制的特性导致权利主体对其不存在传统“排他性”的所有。个人数据可以被重复利用,特定数据被某一主体使用,并不影响其他主体对该个人数据进行开发。这导致传统会计学的定价方式(如收益法、成本法和市场法等)难以发挥作用,也导致数据主体向数据处理者要求分享财产利益缺乏客观的评估标准。个人数据本身不具备排他性,但根植其上的人格利益与财产利益具备排他性,数据利益的排他性为数据资产交易与流通提供了必要的前提,也要求在数据主体与数据处理者之间建立明确的利益分配机制。

数据主体在与数据处理者建立数据处理关系并使用其服务后,会不断地许可、创造更多的个人数据,而数据处理者也需要持续更新数据来不断达成其分析数据的目的。因此,长期交换才是企业与个人之间个人数据转移的主要模式。数据价值以大规模汇聚为基本前提,只有大量数据聚合才能够发挥经济作用。当大量个人数据经过收集、处理后,形成的数据池产生了远远高于原始个人数据加总的价值,其价值来自信息的杂糅混同,只有当其作为一个整体时,才能够发挥数据要素的价值。因此个人数据一旦混同后,其使用价值决定了其权益无法再行分割,否则就将失去大部分的价值。

数据要素的定价难题是由数据的本质特征导致的,由于个人数据的非排他性、非标准性以及集聚效应,对于数据要素的定价,需要在考虑其作为一个聚合型整体物的前提下进行,个人层面的数据要素定价难以符合其作为数据的特征。因此,在对个人数据进行利益分配时,应当优先考虑在集体利益、公共利益层面使数据主体分享红利,而非从个人层面实现财产回报,这更有利于同时实现促进数据流通和利用、保障社会公平正义这两项目标。但达成这些目标的前提,是需要建立合理的个人数据财产利益流通渠道,使数据主体与数据处理者达成对个人数据上的财产利益的共享。


(三)

数据利益的分配问题

个人数据应当建立起长效的个人数据利益分配机制,使数据主体能够适当从财产利益中获益,并为数据处理者的获利建立正当性前提,最终使数据主体与数据处理者能够合力发挥数据的生产要素作用。

目前,个人数据的利益分配实践缺失,“无论是在国外还是在国内,实践中个人信息大多数为收集者所控制和无偿使用”。而在理论构建上,有学者认为,私法路径难以发挥作用,应当将数据纳入“社会主义公共财产”的范畴,通过“数字税”等方式实现利益分配。有些学者则更进一步,提出通过数据交易时的印花税、登记费以及国家数据主权基金等方式,完成数据利益的法定再分配。也有学者基于“数据资源持有权”,以用益补偿规则作为数据要素收益分配的制度基础。但目前对个人数据利益分配的研究主要集中在理论基础、正当性前提与分配模式探讨上,没有提出具体的分配机制与操作模式。

目前难以建立个人数据利益分配机制的原因,一方面在于未能厘清个人数据上复杂的权属问题,无法界定数据主体与数据处理者的权益分配与内容,也没有形成合理的数据权益流转路径;另一方面则在于数据要素未能形成合理的定价标准,传统的财产定价模式无法应用于可无限复制、非排他的个人数据,导致财产利益分配缺乏衡量标准。在这些方面,信托具有独特的制度优势,通过信托的财产制度、交易结构设计以及信义义务阐释,能够将个人数据上的财产权益由数据主体与数据处理者共享,构建财产利益的转移渠道,并通过数据红利的方式使数据主体分享到实现后的数据财产利益。

二、数据信托的概念与价值

jack m. balkin于2014年提出“信息受托人”概念;而sean mcdonald则发表了题为《公民信托》的论文。这两种截然不同的数据信托构想,为全世界的法学家们展现出有望解决个人数据法律难题的新路径。近年来,政府、企业与学者开展了多样的数据信托实践。在国外学界,jeremiah lau等提出“个人合资数据信托”与“慈善数据信托”。joao marinotti对数据的种类以及其能否成为数据信托的信托财产进行了分析研究,认为现行的法律体系下无法支持数据信托,仍需对现有的法律制度进行调整。这些研究建立在各自国家和地区的独特制度下,难以适配我国的数据利用现状与信托法律制度。我国学界研究主要从数据信托的可行性出发,其中部分学者试图通过给数据处理者施加信义义务的方式,弥补数据主体行权困难的现状;另一部分则希望通过实体信托的方式,构建起信托框架下的个人信息(数据)处理法律关系。然而,这些研究并没有结合数据利用场景构建具体的数据信托模式,难以为数据信托实践提供有力的法律保障。现阶段信托公司开展的数据信托实践则更多成为数据交易所进行数据确权的“制度工具”,一如其往常的“通道业务”,未能充分发挥数据信托的真正价值。


(一)

数据信托的概念泛化与厘清

数据信托囊括信息受托人与实体数据信托两个截然不同的概念与理论。而这两种理论在实践中又衍生出许多不同的方案,其法律关系、法律结构的巨大差别被浓缩在“数据信托”这一概念内,导致数据信托的内容难以明确。因此,目前所讨论的数据信托无法指向一种明确的法律制度或结构,而被广泛用于描述不同数据治理方法的集合。在探究数据信托应当如何解决个人数据处理的法律问题时,事实上是在思考如何用一系列的数据治理方法去解决不同场景下的个人数据处理问题,从而难以得出清晰的结论。

1.数据信托的理论分野





balkin的“信息受托人”理论建立在现行的个人数据处理场景之下,既不增加新的第三方,也没有形成额外的法律关系。“在网络语境中,为使用产品或服务,用户往往除点击同意之外并无其他选择,实质上架空了用户的权利。”daniel solove和woodrow hartzog也指出,“对于有隐私政策的网站,合同法(正式合同和承诺禁反言)在保护信息隐私方面几乎没有发挥任何作用”。

为了解决这种在个人数据处理场景之下数据处理者的义务不清晰并缺乏灵活性的情况,同时也不希望增加当事人过多的缔约负担,balkin从医生、律师或会计师等特殊职业的职业失职和职业违约情形出发,认为这是基于双方之间特殊的信任关系,从而使医生、律师或会计师负担“以委托人/受益人利益最大化”的信义义务。该信义义务的形成无需在合同条款中予以明示,也不需要当事人缔结单独的信托合同或条款,甚至在合同缺失的情形下,亦能保护委托人/受益人的利益。此外,信义义务的边界并不明确,受到信托财产、信托事务、当事人、受托人的专业能力、处理事务的场景等而体现出截然不同的内容,从而得以更好地保护数据主体的权利。

sean则提出创建独立的受托人组织,基于数据主体的委托而持有底层代码和数据,并将其授权给商业化的营利性公司。neil d. lawrence也提出,数据主体汇集数据并形成一个信托,规定数据共享的条件。信托机构通过整理数据成为数据经纪人。实体数据信托模式通过汇聚众多数据主体的个人数据并与数据处理者抗衡,这导致个人数据法律关系的完全变更。

实体数据信托可以被简单地区分为“自上而下”的数据信托与“自下而上”的数据信托。在人行道实验室、英国开放数据研究所以及弗吉尼亚州成瘾分析和社区转型框架等一些实体数据信托中,某些强而有力的机构(多伦多政府、英国政府人工智能办公室或弗吉尼亚州刑事司法服务部)基于高层次的建议与报告,决心通过数据信托来解决一些个人数据处理中的挑战与问题,从而设立了相关数据信托。但学者们也提出,可以设立“自下而上的数据信托”,即数据主体主动地选择在信托的法律框架内汇集个人数据权利,来平衡企业和个人对个人数据的各自控制权,而法律仅提出一个可用的框架。

2.数据信托的概念厘清





在balkin的理论中,虽然存在信任与信义义务,但其本身并非基于信托制度,而是在现有的法律关系中,将数据处理者承担的义务定义为信义义务,并通过对信义义务在不同场景下的具体解释来保护数据主体的利益。现有的法律(尤其是民法)体系普遍将法律主体间的信托内化,贯彻在财产、合同等不同的法律部门内。在罗马法时期,西塞罗在论述诚信时,特别引用了斯多葛学派的观点,强调“公正的基础是信诚,意即对承诺和契约的遵行和守信”。除了合同这一类对合意的预期信任外,还有诸如无因管理等制度也内含信任。因此,信任关系或信义义务并不一定意味着信托。

信托法是组织法,其填补自然人、法人等主体制度覆盖范围以外的规则,“信托法为非法人组织提供组织法规则”,信托的组织性是其本质特征,也是其价值所在。“信息受托人”理论中不存在独立的信托财产,也不能对信托财产上的权利进行分解与转让,从概念定义与实践保护的角度出发,不宜将其纳入数据信托的理论范畴。

在现有的个人数据处理场景下,数据信托应当指委托人(数据主体)将信托财产(个人数据上的财产利益)集中成立数据信托实体,受托人为了全体受益人的利益最大化,以自己的名义管理、处分信托财产,对数据主体的数据权利进行保护并救济的法律制度。


(二)

数据信托的制度价值

1.数据信托有助于个人数据权益分置与流转





个人数据的权属问题是个人数据利益的分配前提。数据主体需要通过一定的渠道,将个人数据交由数据处理者实际控制,将人格利益留存于数据主体,财产利益由双方共同享有。而现有的个人数据权属研究尚无法构成数据在数据利用全流程中的权属闭环,也无法解决个人数据中财产利益和人格利益的关系与分置,而信托的财产架构恰好能为个人数据权属提供制度路径。

信托的财产制度最初是“一个人是普通法上的权利人,另一个人是衡平法上的权利人”。其概念来自“受益权”概念,制度则源起于用益制度。从法理上说,信托财产是一种不归属于任何人的“目的财产”,也可称之为“财团”。在数据信托中,数据处理者作为受托人享有以自己名义管理、处分信托财产的权利,但作为制约,如其对信托财产的管理、处分违背了信义义务,则其获得的利益将通过“归入权”返还至信托财产中。

通过信托架构的设计,数据主体以个人数据财产利益作为信托财产,数据处理者作为受托人则取得对个人数据的实际控制。而在个人数据的财产利益实现后,数据主体(所有数据主体作为一个集体)与数据处理者均为受益人,享有信托利益。数据主体按照信托文件的约定优先获取信托利益的分配,而数据处理者则获取剩余的信托利益。借此,数据信托完成个人数据上数据主体人格利益、数据主体财产利益以及数据处理者财产利益的流转与分置。通过数据信托的财产制度构建,不仅能够完成数据作为一种非常规物与财产的流转,还通过信托受益权分离了个人数据上的人格利益与财产利益,数据主体依然享有人格利益,而财产利益则由数据主体与数据处理者分享,从而解决现有个人数据的权属难题。

2.数据信托有助于数据主体权益的持续保护





个人数据在数据主体处时,其财产利益主要体现为一种不确定的受益权,而非对具体财产或资产的支配或所有,表现为数据主体对其个人数据享有取得财产性收益的权利。但这种受益权的实现,需要个人数据进入收集、处理、分享的环节,数据处理者通过管理、使用、处分或其他方式,形成具体的财产。个人数据的利用不会导致数据本身的灭失,从而可以持续不断地对其进行处理利用。因此,个人数据的财产利益既包括对个人数据享有取得财产性收益的权利,也包括实际实现后所获取的财产性利益。在一般的数据处理场景下,在个人数据进入利用与流通环节后,数据主体即丧失了对个人数据的控制,从中获取的只有隐私协议中所约定的一次性对价。而在此之后,无论数据处理者如何运用个人数据产出源源不断的财产利益,都与数据主体无关。

数据信托的持续性意味着数据主体得以通过数据信托,持续关注其个人数据的使用情况,并持续性地进行利润分配。数据处理者作为受托人,也有义务定期向受益人进行信息披露,报告其数据处理的业务情况、数据安全保障措施、受益情况、数据共享情况、数据跨境情况等。数据信托还能够通过共同受托人、信托事务管理机构、数据监察人等制度开展对数据处理者的监督,为数据主体开展数据救济提供衔接路径。

3.数据信托有助于数据主体集体利益的保障





个人数据利益分配的定价困难在于个人数据的混同,即使数据利益分配至数据池的所有数据主体,也难以进一步分配到每一个数据主体。因此也有学者提出通过数字税、国民信托等再分配制度,以数字红利的方式回馈所有数据主体,从而实现数据共享与社会价值。但这存在两个问题:其一,通过数字红利的再分配制度必然是一个长期存在的机制,也因此会形成长期的资金池,需要持续管理,其本质上依然是一个基于特定目的的财团。而这与数据信托的本质相同,且数据信托已经形成了管理实体,依托该实体进行再分配管理能够更好地降低操作难度、减少过渡程序。其二,数字税、国民信托等形式是国家层面的数据利益再分配,但并非所有的受益人都是数据主体,存在如何将个人利益上升到国家利益或社会利益的法律渠道问题。此外,数据主体无论是否同意数据处理,都不影响其获取数字红利,从功利主义的角度来说阻碍了数据作为生产要素的流通与共享。

在数据信托中,数据主体通过加入数据信托的方式,汇聚了其财产利益,将个人利益汇集成集体利益;而在信托利益分配时,优先级信托利益分配到一个独立的专项资金池,该专项资金池本质上是另一个“目的财团”。信托事务管理人根据信托文件的约定与受益人大会的决议,为了所有数据主体的集体利益而使用信托利益,例如定期对数据处理者的数据安全保障进行评估、在数据处理者破产重组时对数据库进行管理与保护等。

三、数据信托的范式构建

基于个人数据处理场景的多样性,一种数据信托结构难以通用于所有的个人数据处理场景。英国开放数据研究所就指出,数据信托所面临的应用场景具备独特性,多变而复杂,数据信托仍需要“在具体情境之中确定极其复杂的法律结构”。因此,需要针对不同的数据利用场景,构建独特的数据信托范式。信托是基于特定的信托目的,由委托人、受托人与受益人围绕着信托财产所建立的信义法律关系。在构建数据信托的范式时,首先须厘清数据信托的概念。其次,要确定信托目的与交易结构。再次,应当明确信托的生命周期,即设立与终止的时点与条件。从次,需要明确信托财产与其管理方式,以及信托利益的分配方式。最后,需要明确信托的各主体以及相关的权利义务体系。


(一)

数据信托的结构设计

1.信托目的:个人数据的财产利益实现与分配





数据主体是个人数据的初始权益主体,人格利益与财产利益均应由其享有,前者是个人数据权益的本质,人格权益与自然人的人身自由和人格尊严高度相关,不得转让;后者生发于人格权益之上,因此其初始也应当归属于数据主体所有。而对于已经由数据处理者收集、处理的个人数据权益归属,无论是基于数据处理者在数据处理活动中的付出,还是基于数据作为生产要素的客观需求,都要求承认数据处理者享有利益,否则无法构筑数据资源的流通秩序。

在个人数据的利益再分配场景下,数据信托需要通过交易结构的设计,解决数据主体与数据处理者在个人数据上的财产利益如何实现、分配的根本问题。具体而言,需要将其分解为如下信托目的:其一,个人数据上的财产利益是一种可实现的受益权,因此无法直接为数据主体与数据处理者所用,需要通过数据信托对信托财产的管理运用将其转换为可计量、可分配的财产。其二,个人数据上的财产利益建立在人格利益上,因此其归属于数据主体,但这不利于个人数据作为生产资源的流通利用,需要通过数据信托将个人数据上的财产利益由数据主体与数据处理者共同分享。其三,对于已经实现的个人数据财产利益中数据主体所享有的集体利益,通过专项资金池的模式,构建独立的资产运用、管理处分机制,确保其妥善用于数据主体的集体利益。其四,为了维持数据信托自身的存续与受益人的长远利益,数据信托应当建立完备的受托人报酬支付机制与再选任机制,并建立持续性的数据信托和受托人履职情况监督与披露机制。

2.交易结构:双受托人的结构化信托利益分配





数据主体是数据信托的委托人,信托事务管理人与数据处理者共同作为数据信托的受托人。数据处理者主要负责信托财产中财产利益的实现,以其通过个人数据处理业务获取的利润作为信托利益。受益人采取结构化模式,数据主体为优先级受益人,而数据处理者作为劣后级受益人。数据主体(作为整体)按照信托文件的约定优先获取信托利益,并将其作为专项资金池(即目的财团),信托事务管理人依据信托文件约定的条件或受益人大会的决议,将该资金池用于数据主体的集体利益。国家网信部门(或其指定的主体)作为数据信托事务管理机构,对数据信托与受托人履职情况进行监督。

当数据处理者拟开展数据处理业务时,需向国家网信部门申请成立数据信托并登记公示。当数据主体与其建立数据处理法律关系时,即成为委托人与优先级受益人,数据主体将其在个人数据上的财产权益交付成为信托财产,数据信托也于此时成立。数据处理者的数据处理业务利润将归入信托财产,作为个人数据受益权的实现,并按照信托文件的约定作为受益人的信托利益。其中,优先级受益人(数据主体)的信托利益作为专项资金池来实现对数据主体权益的安全保障。受托人需定期向数据信托事务管理机构提交信托事务管理报告与信托财产管理状况,并向委托人与受益人公示。


(二)

数据信托的设立与终止

1.数据信托的设立





数据信托模式本质上类似数据企业的消费者权益保障基金,其应当覆盖该数据企业的所有数据处理关系主体,在一定程度上具有强制性,不允许数据主体与数据处理者单独或合意予以排除。当数据处理者拟开展数据处理业务时,需向国家网信部门提交成立数据信托的申请以及信托文件、受托人情况等,经国家网信部门审批并进行数据信托登记。目前在《公共数据资源登记管理暂行办法(公开征求意见稿)》中规定了公共数据资源登记机构“是指由数据主管部门设立或指定的,提供公共数据资源登记服务的事业单位”,但尚未明确具体为何。数据信托登记的制度、机构与平台亦可参考,由数据主管部门设立或指定。但此时由于数据信托的委托人、受益人与信托财产缺失,数据信托尚未设立。

数据处理者应当在其网站、app或隐私协议中公示其数据信托相关内容及文件,数据主体在通过“知情同意”或其他方式与数据处理者建立数据处理法律关系时,即加入数据信托,成为委托人与优先级受益人,同时将其在个人数据上的财产权益交付成为信托财产。

2.数据信托的终止





数据信托的期限应当覆盖数据处理者从事数据处理业务的全周期,即使在数据处理者本身消灭或终止数据处理业务后,数据信托仍应当持续至信托财产全部处理完毕为止,此时应由信托事务管理人继续管理信托财产。

数据信托拟终止的,受托人应当向数据信托事务管理机构提交申请,并告知终止事由与管理报告,以及后续的数据信托处理方案与清算计划。在信托事务管理人完成清算后,向数据信托事务管理机构提交清算报告,经审核后公告终止,并进行信托注销。

但数据信托还有一种特殊的终止情形,即委托人本身消失,例如该数据处理者已经不再有客户使用其数据处理的业务,且不打算继续开展数据处理业务,在此情况下由于信托要素的缺失,也可以申请数据信托的终止。此时,作为优先级信托利益的专项资金池可以根据信托文件的约定或受益人大会的决议继续存续,或进行财产分配。


(三)

信托财产的利益实现

数据信托的信托财产主要有三个需要厘清的内容:其一,信托财产的确定与交付;其二,信托财产的运用管理方式;其三,信托利益的分配实现方式。

1.信托财产:个人数据的财产性受益权





对于数据信托的首要忧虑在于个人数据作为信托财产的适格性,个人数据本身并非财产,因而无法成为信托财产。但数据主体可以将个人数据之上的财产利益交付成为信托财产。

信托法上的财产是一种开放性的概念,涵盖财产性的权利。债权、股权、知识产权都是常见的信托财产,应收账款的未来现金流或基础设施收费权也可以成为信托财产。而在受益权信托中,既有存在基础合同、现金流相对明确的受益权,例如应收账款受益权(有基础合同、有明确金额及利率约定、有还款约定等);也有基于特定基础资产的受益权(仅约定基础资产、未来收益不确定),如在一实践案例中,信托财产被理解为“委托人对基础财产依法享有取得收益的权利及因对其管理、运用、处分或者其他情形而取得的财产”。

“委托人对基础资产依法享有取得收益的权利”(即基础资产受益权)是信托成立时委托人交付的信托财产,而“对其管理、使用、处分或其他情形而取得的财产”则是该受益权实现的结果,是信托财产在信托管理中的变形。考虑到个人数据财产利益分配场景的特点,一个数据信托主要覆盖某特定数据处理者以及其数据处理业务的消费者,因此信托财产应当认定为数据主体在该业务场景下对其个人数据享有取得财产性收益的权利。其边界清晰,也可以与个人数据在其他数据处理场景下取得收益的权利相区分。因此,也符合我国《信托法》第7条对信托财产确定性的要求。

需要注意的是,在设立数据信托时,实际上将数据主体享有的个人数据权益进行了分割,数据主体依然保有个人数据上的人格利益,而个人数据的财产利益则成为独立的信托财产。这一方面是基于该数据信托的场景主要是针对个人数据的财产利益分配,另一方面也是因为人格利益不得放弃、转让或者继承,因此不能成为信托财产。

2.信托财产实现:数据处理业务的利益转移





信托财产是数据主体在该业务场景下对个人数据享有取得财产性收益的权利,其并非财产或资产,而是一种不确定的受益权。数据处理者需要通过管理、使用、处分或其他方式,将其转换为财产。但数据处理者在处理个人数据时,亦付出了财力、物力与人力。如果仅从数据(尤其是数据产品)自身来看,数据定价已有可操作的现实路径。虽然传统会计学定价方法无法很好地应对数据聚合特性,但学者也针对性地提出了诸如“信息熵”定价、数据资产多维度定价等优化方式。在《中共中央办公厅、国务院办公厅关于加快公共数据资源开发利用的意见》中,也提出要建立健全价格形成机制维护公共利益,对“用于产业发展、行业发展的公共数据经营性产品和服务,确需收费的,实行政府指导定价管理”。然而,现有数据定价的研究无法解决在同一数据中如何划分数据主体与数据处理者的受益比例问题,这也是目前个人数据利益分配最大的难点。

在设立数据信托时,数据处理者尚不享有对个人数据的财产性受益权。数据主体在加入数据信托时,以财产利益作为信托财产,而数据处理者通过劣后级受益人的身份分享了个人数据上的财产利益,这完成了个人数据财产利益的转移与分享。数据主体将其单方面享有的对个人数据的财产受益权交付作为信托财产,并由数据主体与数据处理者共享收益。具体的收益比例应当通过信托文件确定,考虑到对双方话语权、市场地位与专业能力的平衡,应当由法律法规限定一个合理的范围。

因此,数据信托的信托财产对外作为一个整体,在逻辑上包含了个人数据在该业务场景下取得财产收益的所有权利,同时包含数据主体与数据处理者的财产利益。而数据主体与数据处理者对信托利益的共享是数据信托的一个内部关系。数据处理者的职责在于通过处理个人数据,将取得的财产归入信托财产。该部分归入的财产是信托原始受托财产的“代位财产和收益”,即“信托财产的物上代位性”。在不考虑数据主体与数据处理者内部关系的情况下,数据处理者通过个人数据处理业务获取的利润,即为“对信托财产的管理、运用、处分或者其他情形而取得的财产”,应当归入信托财产。

3.信托利益实现:基于集体利益的特定目的基金





数据信托的信托财产是特定资产的受益权,其虽然具有财产性的内容,但本质上是尚未实现的财产利益,无法直接向受益人分配。受益人分配的信托利益应当是对信托财产的管理、运用、处分或者其他情形而取得的财产,即信托利益。

优先级受益人(数据主体)与劣后级受益人(数据处理者)共享信托利益应无疑问。通过信托文件约定具体的分配方式,数据主体享有信托利益分配顺位的优先权,而数据处理者则可以享有扣除数据主体利益份额之后的信托利益。但在优先级受益人(即数据主体)内部,应当如何实现信托利益?数据价值以大规模汇聚为基本前提,只有大量数据聚合才能够发挥作用。当大量个人数据经过收集、处理后,形成的数据池产生了远远高于原始个人数据加总的价值。数据池的价值来自信息的杂糅混同,只有当其作为一个整体时,才能够发挥数据要素的价值。个人数据一旦混同后,其使用价值决定了其权益无法再行分割,如果分割将大大降低数据价值。因此,个人数据利益的分配需要在考虑其作为一个聚合型整体物的前提下进行,直接到个人层面的数据利益分配不符合其作为数据的特征,可从集体利益层面使数据主体分享红利。

由于委托人交付的信托财产是个人数据的特定受益权,难以直接衡量其价值,因此通过出资比例确定受益权比例是无法实现的。而只要数据处理者在持续开展个人数据处理业务,数据信托的受益人就在不停地发生变动。不同的数据主体交付数据处理者的个人数据内容不同、用途不同、敏感程度也不同,机械地平均按份共有将导致事实上的不公平。因此,将优先级信托利益作为一个特定目的的独立基金(即目的财团)是更为合适的做法。信托利益并非在个人层面分配,而是为了数据主体一整个集体的利益而实现。数据信托正是因为聚集了数据主体的权利,将个人利益汇聚为集体利益,从而克服了数据处理者的强势,实现了其财产利益,因而该财产利益也应当为数据主体集体而服务。

集体一般是与国家(社会)、个人相并列的概念,虽然在法条中一般指“劳动群众集体所有制”或“农村集体经济组织”,但已有学者指出,“在市场和国家之间的某个地方,存在着许多自我组织的、半公共性质的团体,个体和公司或多或少地依赖这些团体确定彼此行为的预期,并依赖他们为彼此间经常的冲突提供实际的解决方案”,而代表这些“自下而上”社会法团利益的即集体利益。现行法律也已建立起涉及集体利益的制度,例如共同诉讼(也称“集体诉讼”)。

在进行集体利益的主张与保护时,一般通过集体公决的方式进行,其中既包括对事项的公决,也包括对代表人的公决。关于数据主体集体利益的实现方式,既可以事前通过信托文件约定,也可在事中通过受益人大会的表决确定。例如,在发生个人数据需要集体诉讼或代表人诉讼时,以其中的资金承担先期的必要费用,例如聘请律师、支付诉讼费等;或在数据处理者进入破产、重组等情况时用于保障个人数据安全等。只要是基于数据主体集体的利益,依据信托文件约定的条件或受益人大会的决议,即可使用该资金池。


(四)

信托主体的体系构建

1.受益人:财产利益的分割与配置





数据信托采用结构化信托模式,数据主体为数据信托的委托人,同时也是优先级受益人,而数据处理者则为劣后级受益人。在信托利益分配时,信托财产应当优先用于向优先级受益人(即数据主体)进行分配。

依据我国的信托实践,结构化信托业务主要是区分不同风险承担能力和意愿的投资者,优先级受益人以其初始信托资金承担较低的风险与有限的收益,而劣后级受益人则博取可能的较高收益,即通过投资不同层级的受益权来获取不同的收益并承担相应风险。但数据信托采用的结构化信托模式,主要旨在解决两个法律上的问题。

其一,个人数据同时包含人格权益与财产权益,但其本质仍是人格权,其财产利益生发于人格利益之上。数据主体通过将个人数据的财产权益交付作为信托财产、将数据主体与数据处理者作为受益人的模式,为数据处理者的财产利益证成提供了制度路径。

其二,虽然数据主体与数据处理者在个人数据上均享有财产利益,并且在法律的角度上,此两者财产利益并无不同。但在实践中,由于数据处理者实际处理个人数据并产生收益,因而其具有更强的控制力与主动性。从权利平衡的角度看,应当给数据主体以一定的补偿,以保障其财产利益得以实现。从主体的意愿来看,数据主体作为个人数据直接相关的个人,其对于个人数据的首要利益是保护其人格权益不受侵害,其次才是财产利益的实现,注重风险胜过收益;而数据处理者作为企业,盈利才是其首要目的,为了获取高收益承担一定的风险也是现代商业逻辑之一。因此,数据处理者在开展数据处理业务并获取利润之后,首先应当按照信托文件的约定分配给数据主体作为优先级信托利益,其余部分才应当分配给数据处理者。

2.数据处理者:利益冲突下的财产管理





信托事务管理人与数据处理者共同作为数据信托的受托人,都应当承担信义义务。学界对信义义务的内容进行了诸多分析,但信义义务的内容并非普适于每一种不同的信托关系、每一种场景中。总体来说,信义义务主要包括“忠实义务”与“注意义务”,但由于双方的具体分工不同,其信义义务也有不同的内涵。数据处理者在数据信托中的职责主要体现在对信托财产的管理运用方面,即信托财产中个人数据财产利益的实现。

(1)数据处理者的忠实义务

“忠实义务被认为是信义法最为显著的特征之一”,但“忠实”这个概念存在争议。从“忠实义务”的内容来看,lionel smith将“唯一利益”原则作为忠实义务的唯一原则,即受托人在履行信托事务时,应当将受益人的利益作为唯一利益考量,不得考虑除此以外的任何事项。而tamar frankel则认为,除了“唯一利益”的积极义务以外,受托人还具有“不能将自己放在与受益人利益冲突的位置”这一消极义务。随着实践中委托人授权、受益人同意、受托人披露义务等的完善,“唯一利益”原则受到冲击。正如双方代理行为中,当代理人的交易行为并不必然徇于私情、悖于所托,也有可能不会对本人的利益造成损失。“只要采用常人思维,便可知悉代理人所为代理行为未必会对被代理人有害,有时还很有利。如果一刀切地令该类行为无效,有时会增加不必要的交易成本,尤其是当被代理人同意时,更没有必要令此类代理行为无效。”这种更符合常理的常人思维在信义义务中的体现,则是“唯一利益”被“最佳利益”所取代。例如,《美国统一信托法典》虽然在第802条(a)款中规定了“唯一利益”原则,但如当事人在合同中另有约定,违反唯一利益也是可以接受的。在我国《信托法》中,忠实义务体现为禁止自我交易以及禁止利用信托财产为自己谋利等。

在数据信托的场景下,数据主体与数据处理者存在显著的利益冲突——数据处理者渴望尽可能地挖掘个人数据的使用场景来获取更多的财产利益,而数据主体则恰恰相反,希望尽可能少的个人数据处理范围。我们对大数据时代的恐惧,说到底是对不忠实的担忧。忠实义务源自不辜负信任,而实践中则体现为“利益取得的博弈”。因此,对于数据处理者的忠实义务不能按照传统去理解与要求,而主要体现为在利益分配中位阶与顺序上的优先。

其一是人格利益对财产利益的优先。“个人信息权的人格权属性具有对数据财产权的优位性,它因此是信息处理的底线。”个人数据的人格利益并非信托财产,数据主体也不可能将人格利益转让,这有悖于人格权的本质。然而,个人数据上的财产利益与人格利益虽然可以在逻辑上区分,但其载体无法分割。因此,数据处理者在面临个人信息财产利益与人格利益的冲突时,应当优先保护人格利益,如对个人数据的处理虽然能够在财产上获利,但可能导致主体人格的贬损,则数据处理者应当避免。

其二是数据主体财产利益对数据处理者财产利益分配上的优先。在个人数据处理的关系中,数据主体基于信任将其个人数据交由数据处理者,这事实上导致数据主体对数据处理者如何处理其个人数据失去了实际掌控。因此,从个人数据中获取的财产利益应当优先向数据主体分配,才有助于维持信任并制衡数据处理者的权力。

此外,在数据信托中数据处理者无法客观上回避利益冲突的情况,但忠实义务亦可以体现为数据处理者主观上的“自证清白”。这既包括数据处理者应当按照信托文件的要求,定时向数据主体主动进行信息披露,告知其数据处理的业务情况、数据安全保障措施、受益情况、数据共享情况、数据跨境情况等;也包括在数据主体受到数据处理者损害时,只要能够证明存在形式上的利益冲突且违背了信息主体的合理预期,就可以将举证责任转移至数据处理者。数据主体无须证明侵权损害后果的存在,也无须计算损害的实际后果,可以直接通过信托归入权制度将数据处理者的获利归入信托财产。

(2)数据处理者的注意义务

“注意义务”也被称为“勤勉义务”或“谨慎义务”,强调受托人必须按照谨慎权利人以及谨慎商人的标准行使,这要求受托人在履行职责时的主观意思必须善意,审慎尽职,并且客观上符合他们所具备的专业能力、知识与经验。从义务的强制程度来说,注意义务要弱于忠实义务,但从义务的内容来看,注意义务要更为宽广、更为模糊。

在数据信托中,注意义务体现为数据处理者应当充分利用自己的审慎态度与专业能力达成信托目的。注意义务难以描述其具体的内涵,体现为一种基于结果导向的事后追溯评价,因此需要在个案中由法官根据规范目的对注意义务进行价值填充。即,当数据信托产生了不利于受益人(主要是指优先级受益人,即数据主体)的后果,通过注意义务进行追责。数据处理者在个人数据安全保障方面是否表现出根据法律和行业规范应当具备的某项专业能力、是否付诸合理的时间和精力投入、是否履行了必要的程序、其表现是否符合一般的合理预期等。

正如jessell mr所指出的那样:“对每位受托人有同样责任和义务的假设就是一个谬论。”但毫无疑问,信义义务的目的,在于实现一种类似于乌托邦的理想状态,即“受信人全心全意服务于对其合理信任之人的利益”。这就导致信义义务相较于一般的合同义务,具备极强的道德属性,irit samet将其称为“作为康德式美德的受信人忠义”。信义义务受到信托财产、信托事务、当事人、受托人的专业能力、处理场景等影响而体现出截然不同的内容,但更重要的是,数据处理者必须从良心与道德出发,来尽力保证数据主体的利益(尤其是人格利益)得到保障与实现。

3.信托事务管理人:数据主体集体利益的维护与管理





信托事务管理人更接近于传统信托模式中的受托人,其承担一般的信托事务管理职能,但其更主要的职责在于根据信托文件与受益人大会的决议来管理、运用优先级信托利益所形成的专项资金池。其承担的义务也更接近于传统信托中的信义义务。由于在数据信托中,数据处理者与数据主体之间存在着利益冲突,因此信托事务管理人还承担着对数据处理者的内部监督与制衡的义务。

《信托法》第四章第二节规定了受托人的诸多义务,包括不得利用信托财产谋取私利(第26条)、信托财产独立(第27条、第29条)、禁止自我交易(第28条)、亲自处理信托事务(第30条)以及记录、报告和保密义务(第33条)。除了《信托法》规定的受托人义务外,信托事务管理人需要监督数据处理者的履职情况,并在优先级受益人整体受到损害时,通过受益人大会、代表人诉讼等方式维护受益人利益,保障信托目的的实现。

4.数据信托事务管理机构:数据治理与公共利益的监督





数据信托并非典型的私益信托,而是更类似特定目的信托,且该特定目的有一定的公益性(或者说集体利益性)。因此,数据信托可以参照类比公益信托,设立数据信托事务管理机构制度。

根据《个人信息保护法》第60条,国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作,是履行个人信息保护职责的部门,由其担任数据信托事务管理机构符合立法初衷。考虑到实践中互联网企业的数量以及数据处理业务的广泛开展,也可由国家网信部门在各地或各细分领域设立的专门机构来担任信托事务管理机构。

数据信托事务管理机构应当承担以下职责:(1)数据信托的设立须由受托人共同向数据信托事务管理机构提交申请,经批准、登记后方可设立。(2)受托人的确认、辞任、换任须向数据信托事务管理机构提交申请,说明情况,并经批准。(3)数据信托事务管理机构须定期检查信托事务管理报告与信托财产管理状况,至少一年一次报告,且经数据信托事务管理机构核准后方可公示。(4)对于受托人怠于维护或恶意侵害委托人与受益人权益的,数据信托事务管理机构可以任命信托监察人,以其自己的名义提起诉讼或者实施其他法律行为,以维护受益人的利益。(5)数据信托拟终止的,须由受托人向数据信托事务管理机构提交终止事由与管理报告以及后续的数据信托处理方案与清算计划。在信托事务管理人完成清算后,向数据信托事务管理机构提交清算报告,经核准后公告终止,并进行信托注销。

结语

数据信托的实践难题是难以使用一项庞杂的制度去适配一系列多元化的法律场景。现在人类社会尚无法达到“技术治理世界国”的层次,无法通过自发的秩序完成对社会的治理。倘若将数字社会认为是独立于现实社会的另一个世界,那么仅凭借一个法律部门、一种治理制度来规制个人数据的应用非常困难。数据信托具有其独特的制度优势,例如权利分离、灵活的信义义务、独特的信托救济等。但要化解这个纷繁芜杂的毛线团,当务之急是抽丝剥茧,找到一个具有实践性的线头。数据信托的模式构建多有不足之处,也未必能解决所有的个人数据法律问题。但通过在个人数据利益分配场景下的试点尝试,有助于我们找到数据信托究竟能解决什么问题以及如何解决问题。数据信托制度旨在保护数据主体的合法权益,但根本上需要调整的是数据主体与数据处理者之间紧张而缺乏信任的状态,数据信托可能是走向和解与互相信任的第一步尝试。


往期精彩回顾

刘长秋|论商业性代孕的刑法规制

徐树杰|论居委会协助行政职能的制度重塑

目录|《东方法学》2024年总目录

目录|《东方法学》2025年第1期

张震|论建构中国自主纪检监察学知识体系的四个基点

王青林|以反滥用公权力为基石准确理解监察法的概念



上海市法学会官网

http://www.sls.org.cn


上观号作者:上海市法学会

特别声明:本文经上观新闻客户端的“上观号”入驻单位授权发布,仅代表该入驻单位观点,“上观新闻”仅为信息发布平台,如您认为发布内容侵犯您的相关权益,请联系删除!