数据信托的提出,是为了解决一个现实矛盾和一个不平衡的权力结构。这个现实矛盾在于:一方面,数字经济的发展要求数据共享和自由流通,特别是人工智能技术的发展对大数据的广泛运用提出的新需求;另一方面,现行的数据保护制度不足以解决数据共享和流通中的隐私和安全问题,这个现实矛盾需要一个新的解决方案。这种不平衡的权力结构是:个人对数据保护的力不从心与数据控制者对数据的绝对控制,个人完全处于被支配的地位。现行数据保护制度主要是对个体进行赋权,以GDPR为典型代表,这种个人权利模式假定了个人可以积极维护自己的数据权利,但事实上个人要么无意愿,要么无能力,其结果只能依赖于数据监管部门自上而下的各种监管审查,监管部门和数据控制者玩起猫捉老鼠的游戏,监管的效果并不明显。通过政府的监管来打破上述不平衡权力结构的尝试被证明是失败的,或者说是效率不高的。
造成这个局面的一个重要原因是:个人权利模式和政府自上而下的监管都没法创造出“信任”。数据主体和监管部门不信任数据控制者,数据控制者不信任数据处理者,数据控制者、数据处理者之间也相互不信任。而如果在最基础的层面上无法建立起最基本的信任关系,再多的赋权和规制也都无济于事。数据信托的提出,就是为了解决数据领域中的“信任赤字”问题,通过给数据控制者强加信托义务或引入独立第三方作为信托人,数据信托将信托法的理念和制度引入数据治理中,试图打破上述不平衡的权力结构。
至于什么是这里所说的数据信托,目前尚未形成统一的认知。英国开放数据研究所总结出了5种代表性的阐释:
1.一个可重复的术语和机制的框架;
2.一个共同的组织;
3.一种法律结构;
4.数据的存储;
5.对数据访问的公众监督。
为了能够最大程度地形成共识,并在此基础上推动数据信托实践,开放数据研究所结合目前数据信托的主流理论和主要实践,提出了一个相对狭义的界定:“数据信托是一种提供独立数据管理的法律结构”。
这个定义中有三个关键词:
第二是“数据管理”,意味着由受托人依据数据信托章程决定谁可以访问数据,在什么条件下访问数据,以及数据信托是为了谁的利益。
第三是“法律结构”,这里要特别强调的是,虽然数据信托是从信托法意义上的信托中获得灵感并借鉴了诸多制度,但数据信托不是信托法意义上的信托,数据信托是一种独立于信托法的单独的法律结构。至于具体的原因,下文将详细讨论。
直到2014年,这个问题才再次被学界提起,并自此产生持续影响。2014年3月耶鲁大学法学院杰克·M.巴尔金在网上发表短文《数字时代的信息受托人》认为:“信息受托人概念有助于我们理解如何在不违反第一修正案的情况下保护数字隐私。”在对这篇短文进行扩展的基础上,巴尔金教授在2016年发表了《信息受托人与第一修正案》,该文系统阐述如何将“许多收集、分析、使用、销售和分发个人信息的在线服务提供商和云公司视为面向其客户和最终用户的信息受托人”,以此来调和个人隐私保护和个人数据的收集、分析、使用、销售和分发之间的矛盾。
在巴尔金提出“信息受托人”这个概念后,美国学界、实务界和国会作出了积极的回应,并沿着这条路线作了大量探讨。这里要特别注意的是,回到前面提到的不平衡的权力结构,巴尔金的“信息受托人”不是创设一个独立第三方,而是给数据控制者施加特殊的信托义务,以此来平衡个人数据主体和数据控制者之间不平衡的权力结构。但是,信托制度发源地的英国并未接受这种构想,而是提出了完全不同的数据信托构想。
简单总结一下,英美两国发展出了两种不同的数据信托构想,美国是“信息受托人”构想,英国是“数据信托”构想,两者都有非常深厚的普通法上的信托理论与实践背景。“数据信托的观念依赖于英国和美国等普通法法域的这种理念:任何对数据有权利的人,都必须承诺为受益人的利益,而不是为他们自己的利益来管理数据。”
不过,英美学者并不认为数据信托只适用于普通法系,他们在构想数据信托时,均着眼于不同法系的普遍适用。这里补充说一下,Fiduciary源于拉丁语,意思就是trust,这个词在受托人(trustee)的职责中起着重要作用。现在Fiduciary和trustee基本上可以互换使用,通常描述受托人与受益人之间的法律关系的各个方面。因此,“信息受托人”和“数据信托”的差别只能在具体的语境中区分,不能通过fiduciary和trustee两个词的含义来区分。不过,它们之间也有根本性的差别,“信息受托人”中没有作为数据信托人的独立第三方,而“数据信托”特别强调这个独立第三方的作用。
笔者先梳理巴尔金的“信息受托人”及其遭到的批判,检讨这个构想的意义及其不足,接下来梳理英国的数据信托构想,比较三种理论构想的差异,总结其共同之处。然后,介绍英国的数据信托实践,总结这些实践的经验教训。最后,提出需要进一步探索的问题,以及数据信托对中国数据治理的借鉴意义。
二、巴尔金的“信息受托人”理论及其批判者
巴尔金是美国宪法第一修正案的研究专家,因此,最初他实际上是从言论自由的角度来讨论数据信托的,他发现对个人信息隐私的保护和美国宪法第一修正案之间存在着潜在冲突。为什么这么说呢?一方面,信息平台公司大量收集、分析、使用、销售和分发个人信息,必然会侵犯个人隐私,甚至威胁西方民主政治;而另一方面,信息平台公司主张,平台公司收集、分析、使用、销售和分发个人信息属于美国宪法第一修正案所保护的言论自由。如果国会立法禁止或限制这些行为,则属于对平台公司言论自由的侵犯,因此是违宪的。我们理解这个潜在的冲突不是很容易,特别是将平台公司收集、分析、使用、销售和分发个人信息视为第一修正案意义上的言论自由。此外,巴尔金是第一修正案坚定的捍卫者,因此这个潜在的冲突也与他个人的学术立场有关。
不过,巴尔金所举出的这个例子毕竟不是针对信息平台公司的,平台公司对于用户个人信息的收集、存储、传输、售卖、使用是否受第一修正案的保护,可能是个理论争议问题。巴尔金是通过一个类比提出信息受托人理论的,在普通法的信托理论和实践中,医生、律师和会计师与客户有着特殊的信任关系,这种信任关系就是一种信托关系。医生、律师和会计师在工作中获取客户大量的私人信息,但他们不能对外披露这些信息,更不能利用这些信息为自己谋利。巴尔金认为,信息平台公司与用户之间的关系,类似于医生、律师或会计师与客户之间的关系,信息平台公司获取了用户大量的个人信息,因此要承担起对客户关心和忠诚的信托义务,要值得用户信任。所谓信息受托人,“是指因与他人的关系而对在关系中获得的信息承担特殊责任的个人或企业”。
医生、律师或会计师与客户之间之所以成立信托关系,是因为两者之间因信息和专业知识的不对称形成了特殊的社会关系。因此,法律强制性要求作为专业人士的医生、律师或会计师必须承担特殊的信托义务。在巴尔金看来,信息平台公司之所以成为信息受托人,同样是因为信息平台公司与用户之间的社会关系。为什么这么说呢?
第一,最终用户与许多在线服务提供商的关系存在严重的脆弱性,因为在线服务提供商拥有相当多的专业技术和知识,而最终用户通常没有;
第二,用户对这些公司处于依赖的地位;
第三,在许多情况下,但不是所有在线服务提供商坚持自己是专家,提供某些类型的服务以交换我们的个人信息;
第四,在线服务提供商知道他们持有的有价值的数据可能对我们不利,而且他们知道,我们也知道这一点。
那么,什么样的人或商业实体可以被视为信息受托人并且承担信托责任呢?巴尔金给了判断标准:
1.当这些人或商业实体为了获得使用它们的人的信任,向公众自称是尊重隐私的组织时;
2.当这些个人或实体给个人一些理由使其相信他们不会披露或滥用其个人信息时;
3.当受影响的个人合理地相信,基于现存合理行为的社会规范、现存实践模式或其他能够合理证成其信任的客观因素,这些人或实体不会披露或滥用其个人信息时。
巴尔金的信息受托人理论提出后,学术界、媒体、议员和实务界都给予了积极的回应。特别值得一提的是,2018年12月,15名民主党参议员依据巴尔金的信息受托人理论提出《2018年数据保护法案》,该法案要求在线服务提供商在处理用户数据时应承担各种责任,包括:
2.避免使用该数据的方式可能会给最终用户造成合理且可预见的损害;
3.不得向另一方披露个人识别数据,除非另一方也受该法案规定的责任约束。
不过,也有学者对信息受托人理论提出了严厉的批评。莉娜·M.汗和大卫·E.波曾对巴尔金的信息信托人理论作了系统性检讨,认为信息受托人概念根本无法解决巴尔金承认的信息不对称和滥用问题,更无助于解决与市场垄断和商业模式有关的棘手问题。他们的批评是从以下四个方面展开的:
第一,谁的受托人?
第二,什么意义上的受托人?
第三,解决什么问题?
第四,有什么样的好处和成本?
基于前述理由,信息受托人理论并不能解决信息平台对用户个人信息的滥用问题,不能为用户带来实质性的好处。巴尔金所谓的信息受托人能够缓解监管规则与第一修正案之间潜在的冲突,是建立在他对司法实践的不完整理解之上的。信息受托人理论不但没带来好处,反而会带来坏处,因为,它会掩盖平台与用户之间结构性的不平等支配关系,并且掩盖了应该改革的实质性问题。正因为如此,这个理论受到了诸如脸书这样的信息平台公司的欢迎。“一个被政府指定为数百万美国人个人数据的忠诚看守人的实体,是一个不可能被该政府解散的实体。作为受托人的脸书不再是一个需要通过激进改革来解决的公共问题,它是一个需要管理、培养和维持的敏感私人关系的纽带。”
进行上述批评之后,莉娜·M.汗和大卫·E.波曾认为,信息受托人理论将信息平台公司与医生、律师、会计师进行类比是错误的。如果一定要类比,倒是有两个类比可以考虑:一个是类比“离线的”社会和经济基础设施,比如铁路、电力等系统;另一个是在考虑数字平台收集、聚合和使用个人数据所带来的监管挑战时,可以与环境污染进行类比。这样的类比有助于我们将结构性的改革置于讨论的核心位置,并承认,“数字监控的危害必须以明确的禁令和经济抑制措施来应对,而不是以充满道德的标准来应对”。
第一,信息受托人理论不会造成信息平台公司董事们不可调和的双重信托忠诚义务,因为只要联邦法律明确规定信息平台公司承担信息受托人义务,那么,公司对用户承担信息受托人义务就不违反特拉华州的公司法,因为联邦法优先于州法。
第二,关于与医生、律师、会计师进行类比是否妥当的问题,巴尔金承认信息平台公司与用户的关系和医生、律师、会计师与客户的关系有非常多的差别,但这些差别并不影响这两种关系的实质,即双方在知识和权力上不平衡的社会关系。“信托义务的逻辑认为,权力的不平衡越大,信息的不对称性就越大,对客户环境的控制程度就越大,客户的脆弱性就越大,对信托义务的需求就越大。”因此,只要信息平台公司和用户之间存在着信息和权力上不平衡的社会关系,信息受托人理论就是适用的,并且越不平衡越适用。
第一,需要自上而下的立法来确立信息受托人义务,前述美国参议院民主党议员提出的《2018年数据保护法》就是一例;
第二,信息受托人义务是苛以数据控制者的,也就是加重不平衡的权力关系中强势一方的责任,以此来重新平衡数据主体与数据控制者之间的权力关系。
三、从信息受托人到数据信托
不过,在信托制度的起源地英国,同样基于对数据主体与数据控制者之间不平衡的权力关系的担忧,却发展出一种完全不同的数据信托理论和实践。简单来说,是一种自下而上的通过第三方来实现权力平衡的数据信托模式。本部分主要梳理讨论三篇英国学者的报告和论文,从理论层面上勾勒英国学者有关数据信托的基本理论主张,下一部分将探讨英国在数据信托上的实践案例。
前文已经提及,2015年4月,夏恩·麦克唐纳提出通过“公民信托”来管理数据,2016年6月尼尔·劳伦斯发表《数据信托可以减轻我们对隐私的担忧》一文,提出通过数据信托实现对数据的独立管理,从而弥补个人数据和隐私保护不足的问题。自此开启了英国对数据信托的理论探索,并推动了数据信托实践的发展。
为了实现这个目标,报告号召成立“数据信托支持组织”,这个角色可以由一个中立的专家组织提供,如英国皇家学会、英国皇家工程学院或开放数据研究所,它们都有大量具备专业知识的专家可以支撑数据信托的建立。在项目的最初阶段,“数据信托支持组织”将作为数据信托受托人,也就是帮助管理数据信托的第三方。“数据信托支持组织”的核心功能包括:“提供定义各方同意共享的数据或数据流的框架;协调共享数据的目的及其预期用途,包括什么样的分析将被使用;商定数据传输和存储的机制;确定将产生的商业价值的分配条件。”
如果在最初阶段的尝试中,数据信托促进了更多的数据共享,那么“数据信托支持组织”可以建议并指导立法机关将数据信托规定为正式的法律结构,并允许其他第三方充当数据信托受托人。此时,其他第三方只有获得“数据信托支持组织”的认证,方可充当受托人。在第二个阶段,“数据信托支持组织”的功能将进一步提升,包括:“开发多方都有信心参与的技术、商业和财务框架;提供匿名、分解和保护数据共享和交易的指导;召集能够对数据评估问题提供独立咨询的技术专家;作为GDPR和其他可适用的数据监管的可靠顾问,就公平和符合伦理地使用数据提供建议。”
由于报告是在发展英国人工智能产业的语境下讨论数据信托的,因此,这种数据信托模式主要适用于人工智能的开发和运用。在这个报告之后,2018年12月至2019年3月,英国开放数据研究所与英国人工智能办公室和“创新英国”开展合作,评估了数据信托作为增加信任和获取数据的潜在途径的可行性,这项研究成果将在本文第四部分讨论到。
2019年,伯明翰大学法学院西尔维·德拉克洛瓦教授与尼尔·劳伦斯教授联合发表《“自下而上的”数据信托:扰乱“一刀切”的数据治理方法》一文,系统阐述了他们提出的“自下而上”的数据信托构想,成为当下英国数据信托中最重要的理论阐述和方案。所谓“自下而上”的数据信托,不是把信托责任苛以数据控制者,而是在数据主体和数据控制者之间,引入一个第三方即数据信托,受托人基于汇集起来的数据主体的权利,凭借自己的专业知识和能力来对抗数据控制者,从而使得数据主权和数据控制者之间不平衡的权力关系,因数据受托人的介入变成一种平衡的权力关系。由于数据信托是基于数据主体的委托设立的,因此与政府自上而下的监管不同,这是一种自下而上的权力生成机制。不过,数据信托并不是要取代政府自上而下的监管,只是作为这种监管的必要补充。
作为一种自下而上的信托模式,两位作者建议应该建立各种不同的数据信托,有的侧重公共利益,有的侧重个人利益,有的侧重降低风险,从而形成一个数据信托生态系统,个人可以在生态系统中根据各自的偏好自由选择。这样一个生态系统的建立,需要具备四个条件:
第一,“进入的门槛必须很低——创建新的信托必须相对直接”。如果门槛过高,数据信托难以建立,那么就限制了数据主体对数据信托的运用,生态系统就难以建立。
第二,“数据主体的数据必须是安全的”。由于数据安全需要极强的技术能力和相应的物理设备,数据信托机构未必能够提供,因此,数据可以由专业的机构来托管,也有可能数据主体继续保留对数据的控制权,仅赋予受托人行使其权利和进行操作的能力。
第三,“每一个体的个人数据必须在不同的计算机系统之间可携带(数据可携带性)”。只有数据具有可携带性,数据主体才可能在不同的数据信托之间进行选择和转换。
第四,“每一个体的数据必须可以从任何特定系统中擦除(数据擦除)”。当数据主体不赞成数据的使用目的时,可以从特定的数据信托中撤回其信托,擦除其数据。
这里需要说明的是,数据主体信托出去的不是数据本身,而是数据权利,因此数据信托建立的前提是:“个人对可以信托的有关他们的数据拥有权利。”比如,依据GDPR享有的个人数据保护权。但如果法律没有授予个人数据权利,或禁止所赋予的个人数据权转让,那设立信托时就会存在法律障碍,需要通过修改立法来协调。
自下而上的数据信托理论在英国数据信托研究中影响很大,2018年12月4日和5日,人工智能产品提供商元素人工智能和英国全球创新基金会Nesta举办了一个数据信托国际研讨会,特别将自下而上的数据信托理论作为基础理论,并就此达成共识。会后发布的白皮书指出:“自下而上的数据信托可以是一个有用的工具,可以部分解决公司、政府和公民消费者之间存在的权力不平衡的问题,促进更公平的资源分配和进一步保护权利”。当然,这并不意味着自此抛弃了自上而下的监管,白皮书同时指出:“政府对数据信托自上而下的监管可以有助于确保信托条款的实现和尊重人权,促进公共利益。”
2019年2月,南安普顿大学的基隆·奥·哈拉教授发表《数据信托:实现值得信赖的数据管理的伦理、架构和治理》白皮书(以下简称《伦理、架构和治理》),其开篇就提到了前述戴姆·温迪·豪和杰罗姆·佩森蒂教授联合发布的《发展英国的人工智能产业》,认为这份报告仅从功能的角度看待数据信托,没有探讨数据信托的结构问题。因此,《伦理、架构和治理》的目的是探讨:“(a)数据信托可以利用现有的什么结构?(b)数据信托与法律上所理解的信托之间是什么关系?”《伦理、架构和治理》的核心论题是:“在法律范围内运行的数据信托,为可信的数据处理提供道德、架构和治理支持。”
在伦理的层面上,《伦理、架构和治理》认为,仅仅有规则是不够的,因为规则有很大的模糊性,数据信托需要为各方制定伦理准则。这些准则不仅涉及合法与否的问题,也涉及正当与否以及善恶与否的问题,数据伦理准则是数据科学行业的自我治理,能够支撑《伦理、架构和治理》提出的社会经营许可形式。《伦理、架构和治理》推荐将曼彻斯特大学、南安普顿大学、开放数据研究所和国家统计办公室联合开发的“匿名决策框架”作为伦理准则的参考框架。
从这些梳理可以看出,虽然很多学者都认识到,数据信托不是普通法传统上的信托,但对于数据信托应该是什么,这些学者的看法不尽相同。因此,各自提出对数据信托的新构想。戴姆·温迪·豪和杰罗姆·佩森蒂提出了“数据信托支持组织”构想,西尔维·德拉克洛瓦与尼尔·劳伦斯提出了“自下而上”的数据信托构想,基隆·奥·哈拉提出了“数据信托门户”构想,但这些理论构想都只是初步的探索,最终还需要数据信托实践来检验,下面就看看英国在数据信托实践上的探索及其经验教训。
四、实践中的数据信托
与此同时,开放数据研究所联合英国政府人工智能办公室和“创新英国”从2018年12月到2019年3月进行三个数据信托试点项目,试点项目旨在探讨:
2.法律分析,以探讨必要的法律人格,以及建立数据信托的后续程序和影响;
3.设计一个基于不同商议和参与技术的数据信托的决策过程;
4.设计一个数据重复使用的流程,让潜在的数据用户用来发现、寻求访问和通过数据信托获得对数据的访问(或不访问);
5.评估可用于支持和实现通过数据信托访问数据的技术架构;
7.评估在该特定情境下执行数据信托的可行性。
这三个试点项目包括:
第一,开放数据研究所与荒野实验室技术中心合作,探索数据信托是否有助于在全球范围内打击非法野生动物贸易。其中涉及两个应用:其一,是否可以建立一个数据信托以协助图像数据的共享,以便训练识别算法,以协助边境管制人员识别非法动物和动物产品;其二,是否可以共享摄像捕捉器拍摄的照片和声传感器数据来训练算法,以帮助创建实时警报。
第二,开放数据研究所与theGreaterLondonAuthority(GLA)和theRoyalBoroughofGreenwich(RBG)合作,探索数据信托模式是否支持城市数据共享。其中同样涉及两个应用案例:其一,移动应用案例(停车)——该应用案例是一项试验技术,使得与客车停车和预留给电动汽车和电动汽车俱乐部的停车位有关的停车数据更容易获得,目的是使低污染的交通选择更具吸引力;其二,能源应用案例——该应用案例是通过安装传感器来监测和控制改造后的公共供暖系统(水源热泵)的运行,来提高市政委员会拥有的社会住房街区的能源效率。
先来看看《数据信托:来自三个试点的经验教训》关于数据信托生命周期的讨论。报告认为,数据信托是非常情境化的,每个数据信托都有独特性。因此,无法从试点项目中总结出一个或几个成熟的数据信托模式,每一个数据信托都需要在具体情境之中确定极其复杂的法律结构,但在数据信托的生命周期中,还是有一些可识别的阶段,以及在每个阶段可能需要采取的工作。报告认为,一个数据信托的生命周期至少包含以下六个阶段:
第一,传统的法律信托模式。
此外,传统信托模式必须要有明确的受益人,但数据信托可能为公共利益而设立,没有具体的受益人。传统信托模式下受托人与受益人一定是分开的,并且受托人不能从信托中获益,但数据信托下,数据持有者可能既是受托人又是受益人或从数据信托中获益,但这是违背现行信托法的。这意味着,如果数据信托要采取传统信托模式,必须修改现行的信托法。
第二,合同架构模式。
第三,公司模式。
此外,有各种成熟的公司治理模式和规则可供使用。这种模式的缺点是公司董事会既需要对股东利益负责,又需要对信托受益人利益负责,两者之间存在潜在的冲突,因此,需要修改公司法或者通过公司章程作特殊处理。
第四,公共模式。
在这种模式下,由一个公共监管机构制定数据信托的标准和规则,监督数据信托的运行并惩罚违反规则的行为。这个公共监管机构可以是单独设立的,也可以由现有数据监管部门担任。这种模式的好处是,将有一个适用于所有数据信托的一致的规则标准,这些规则将自动适用且必须遵守。
此外,通过设立一个公共监管机构,代表数据信托机构执行合规性,使数据信托机构的整体公共利益得到保障,将有可能消除公众对将其数据交给数据信托机构的一些担忧。“政府对数据信托的自上而下的监管有助于确保信托条款的实现和尊重人权,促进公共利益”。这种模式最大的缺点是,目前还没有这样的监管机构存在。如果政府设立这样的监管机构,则涉及监管机构运行的费用问题。此外由于监管机构不能直接运行数据信托,还需要有辅助运行数据信托的机构。
第五,团体利益公司模式。
团体利益公司是英国一种特殊类型的公司,这种公司专注于非慈善的社会事业,但又可以不完全为此目的运作,甚至可以在一定限度内向股东分红。这类公司需要向“团体利益公司监管者办公室”证明其一直朝着设立时的目的运作。这种模式的优点是有现成的公司治理结构和规则可以直接使用,而且既可以造福于社会公共利益,同时数据提供者还可以从中获得收益。这种模式的缺点是,目前还不清楚“团体利益公司监管者办公室”是否会考虑将数据信托作为一种团体利益公司,这需要向监管机构证明数据信托的特定社会目的符合设立团体利益公司的条件。
在笔者看来,报告之所以推荐这两种模式,可能是因为这两种模式不需要修改现行的法律或设立新的监管机构,而且两种模式都非常灵活,能应对各种特殊的情况。“适应信托条款持续变化的数据信托不会是当前和传统法律意义上的‘信托’,而是可能更接近公司治理模式及其公司章程、制度和股东必须批准董事要求的变更的程序”。此外,报告的撰写者主要是律师,合同和公司模式也是律师最擅长的。
第一,“重新定义信托财产,以包括数据和潜在的其他数字资产。但这样的定义会有很大的问题,因为,与其他类型的财产不同,其他领域的判例法和立法还没有明确说明数据和数字资产的哪些方面可以被‘所有’,以及所有权的法律效力和后果可能是什么。重新定义将影响整个信托法,因此需要广泛的公众咨询。”
第二,“设计一个新的法律信托类别,可以为一些更广泛的公共利益从事数据管理,且没有慈善信托法的限制,特别是对从信托财产中获得利益的限制。但这可能需要广泛的咨询,并且是一个长期项目。”
人行道实验室“公民信托计划”的失败,给数据信托实践带来很多启示:比如,在涉及社会公众利益的数据信托的建立过程中,公共对话和公众参与是非常必要,只有消除公众对于隐私和安全的担心,数据信托计划才有可能建立起来。再比如,数据信托的委托人和受托人非常重要,“即使有最好的意图——包括负责任的数据使用指南和信托章程——作为数据信托受托人的私人公司,也有可能引起公众的担忧”。如果受托人不是一家外国的私人公司,而是本地的政府或本地的公司,获得民众支持的可能性就会增加。
五、进一步的探索
前面讨论了英国在数据信托理论和实践上的探索,但这些探索还是初步的,目前还没有形成成熟且可复制的数据信托模式,因此,还需要进一步的探索。一些学者和组织讨论了需要进一步探索的领域和主题。比如,西尔维·德拉克洛瓦教授认为,数据信托的进一步发展将需要在关键领域采取行动,以确定为数据信托工作的职权范围和方式,这些领域包括:专业化和受托人的角色、民间社会的参与和拓展、澄清现有数据权限的限制、建立问责制的机制。再比如,“数据信托计划”先后召开两次研讨会,专门讨论进一步发展数据信托需要解决的一系列问题。
2020年11月26日,“数据信托计划”组织召开了一次研讨会,探讨了推动数据信托发展所需的进一步工作领域,划定一些跨学科研究的问题,以帮助推进建立应对现实世界挑战的数据信托。会后发布的“工作文件1”认为:“需要采取进一步行动,为易获得的、可靠的和有效的数据信托奠定基础。包括进行研究以更好地理解其概念基础、工作方式,以及开展试点项目以确定数据信托设计的最佳做法。”在下一波数据信任设计和发展中需要解决五大领域的问题:
第一,概念清晰度:数据信托如何适应更广泛的数据治理环境,以及哪些核心功能必须是任何现实世界中数据信托的核心?
第二,问责制:除了信托法已经提供的保障措施之外,哪些制度保障措施将有助于确保数据信托为其声称要服务的人的利益而代表和运作?
第三,参与、包容和数字公平:哪些干预措施可以帮助社会中的所有人都能获得数据信托,并确保所有受信任的人都能够为决策作出有意义的贡献?
第四,财务和可持续性:哪些商业模式可以帮助确保数据信任长期的可持续性?
第五,实施问题:哪些应用案例可以帮助阐明数据信托在实践中如何工作?“工作文件1”非常详尽地阐述了这五大领域中每个领域需要进一步探讨的具体问题。
2021年1月28日,“数据信托计划”再次组织召开研讨会,邀请世界各地的学者共同探讨数据信托在不同法域中将如何推进,以及这些国际视角为数据制度的未来发展提供的见解。会后发表的“工作文件2”在比较了不同国家数据信托实践后,提出各国数据信托需要共同探索的几个操作性问题:长期可持续性的商业模式、数据访问或管理的技术架构、参与性治理的方法、对可信度的感知、信托活动中的利益分配等。同时,在“工作文件1”中提到的五个领域之外,增加了一个新的领域“激励”:什么形式的治理可以使个人和社区的激励相匹配?什么机制可以使信托机构在必要时能在这两者之间协商折中?
数据信托是面向实践的一种数据管理制度,采取什么样的法律和治理结构对于数据信托的成败至关重要。普通法上的信托制度是在实际中自生自发的,理论是伴随实践生成的,对于数据信托制度同样如此。“数据信托计划”列出的需要进一步探索的领域,需要理论与实践的共同努力,甚至可以说实践探索更为重要。
就我国数据信托制度的探索与发展而言,美国的“信息受托人”对中国的借鉴意义有限,对于数据控制者的强监管,更适合的模式可能是同属大陆法系的欧盟模式。因为,“信息受托人”非常强地依赖于普通法上的信托法传统,但这在大陆法系是匮乏的。
然而,英国的数据信托理论与实践,对中国有重要的借鉴意义,至少在两个方面可以探索数据信托的可行性:
第一是数据流通和交易,由于数据所有权难以确立,在数据新型财产权构建过程中,数据信托可以悬置所有权问题,基于个人或企业的数据财产权益设立数据信托,同时通过第三方管理和隐私计算等技术手段,确保数据流通和交易过程中的隐私保护和数据安全;
第二是公共数据的管理,作为生产要素的大数据中很大一部分是政府掌握的公共数据,这些数据具有巨大的经济和社会效益,如何在确保隐私和安全的情况下开放给全社会利用,目前国家和地方政府都在探索中,从英国的数据信托试点来看,分行业分领域针对不同的公共数据设立不同类型的公共数据信托或许可以作为一种尝试。
但限于主题和篇幅的原因,笔者无法在这两个问题上深入探讨,留待日后另文讨论。