数据信托：敏感个人信息保护的第三方规制.pdf

《数据信托：敏感个人信息保护的第三方规制.pdf》由会员分享，可在线阅读，更多相关《数据信托：敏感个人信息保护的第三方规制.pdf（12页珍藏版）》请在咨信网上搜索。

1、70学术争鸣Dec.2023GraduateLawReview2023年1 2 月Vol.38NO.TV研究生法学第3 8 卷第4 期数据信托：敏感个人信息保护的第三方规制杨应武：摘要敏感个人信息具有高风险特性，用之不当极易造成“数据泄露”“大数据杀熟”等问题，进而损害个人人身、财产权益，故需法律予以特别保护。然当下“自上而下”立法所提供的特别保护存在知情同意规则失灵、行权维权不畅之问题。数据信托理论倡导构建独立受托人机构，内嵌数字信任与公众参与机制，具有“集体行动”与“特别救济”特征，形成“自下而上”的第三方规制格局，契合敏感信息的特别规制逻辑。在敏感个人信息特别保护语境下，信息主体、信息处

2、理者具有委托人资格、信托公司具有受托人资格，进而明确信息收集要求、数据信托设立形式及受托人责任。通过限定信托财产为个人信息财产权，厘清受托人的权利范围。受托人负担敏感信息保护的忠诚义务与谨慎义务，是构建“回应型”敏感个人信息治理结构的核心要素。关键词数据信托敏感个人信息第三方规制信息信义义务引言2021年我国个人信息保护领域的专门法个人信息保护法出台，首次采用了“敏感个人信息”概念，对敏感个人信息的处理规则作了初步规定。鉴于敏感个人信息与个人人身、财产权益联系更加紧密，处理不当将会造成难以估量且无法挽回的损害，如人脸信息内蕴人格尊严价值，过度收集或滥用将可能有损个人隐私与个人信息权益，甚至损害

3、到平等与自由等人权价值。“故相较于一般个人信息，敏感个人信息需仰仗特殊制度予以保护，方能控制其高度敏感特性导致的风险。然而个人信息保护法中敏感个人信息保护的规制逻辑与一般个人信息保护并无实质区别，既没有体现与敏感个人信息“敏感性”相适应的风险管理理念，也没有对敏感个人信息保护设计特殊制度安排。2 因此，在现行立法项下，还需引入一种行之有效的保护机制，作为敏感个人信息保护制度的有力补充。在此背景下，作为第三方规制的数据信托方案受到广泛关注。数据信托机制旨在创设独立第三方受托人，可将个人生物特征、医疗健康数据等具有唯一性、不可再生的数据独立收储管理，并负担更高标准的忠实义务、谨慎义务以及增强的问责

4、制。3 促进受托人积极行使敏感信息管理职责，为受益人即信息主体的最大隐私利益行事，形成与信息处理者的对抗或监督关系，进而破解信息主体与信息处理者之间的“权力不对称”关系问题。数据信托结构与敏感个人信息的“高度敏感性”函需特殊保护的制度逻辑高度耦合，同时可兼顾敏感信息的价值性，实为敏感个人信息保护的理想破局之策。*杨应武，西南政法大学人工智能法学院人工智能法学专业2 0 2 0 级硕士研究生（(401120)1参见洪延青：人脸识别技术的法律规制研究初探，载信息安全研究2 0 1 9 年第8 期，第8 6 页。2参见孙清白：敏感个人信息保护的特殊制度逻辑及其规制策略，载行政法学研究2 0 2 2

5、年第1 期，第1 2 1 页。3 See Sylvie Delacroix&Neil D.Lawrence,Botom-up data Trusts:disturbing the one size fits all approach todata governance,9 International data privacy law 236,236-252(2019).71三方规制杨应武：数据信托：敏感个息保护的第事实上，域外学者针对数据信托展开了激烈讨论，进一步明确数据信托内涵，拓展外延，初步形成了个人数据第三方规制理念。如有学者提出“公共卫生受托人”概念，其将有法律责任保护与流行病学暴发有

6、关的敏感信息，严格保护公众的位置、轨迹、医疗行为等有关卫生信息，同时开放必要的访问，以实现个人私益与社会公益之利益平衡。【4 我国学者更为关注个人信息保护领域的信息处理者的信息信义义务，5 而对独立第三方受托人的关注相对不足。故下文将以敏感个人信息的特别保护需求为出发点，分析第三方数据信托契合敏感个人信息保护的理由与嵌入敏感个人信息保护的法律机制，期冀为敏感个人信息的特别保护贡献新的思路。一、现实之困：敏感个人信息保护缺憾检视敏感个人信息直接与个人网络行为偏好、消费习惯等相关，可用于精准用户画像，极具商业营销价值。一方面，敏感个人信息具有高度敏感特性，致使其保护与利用产生强烈冲突，极易损害人格

7、尊严、威胁财产安全；另一方面，我国现行立法“赋权”模式下的法律规制存在知情同意规则失灵、行权维权困难等缺憾，“自上而下”的强制性规范极易在敏感个人信息保护场景中出现功能失范的现象。（一）敏感个人信息特别保护的现实必要敏感个人信息的界定没有唯一确定的标准，核心在于对“敏感性”的考量。敏感个人信息的“敏感”一词，表现的是法律规制的高反应度，“容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害”，在风险内容、风险程度及风险发生方式上均与一般个人信息存在较大差异。6 在主观标准层面，信息主体对“敏感性”的认识具有较大主观评价空间，极易将与个人相关的私密信息、特定生活资料等认定为敏感信息，因而不

8、具有科学性。7 在客观标准层面，个人信息保护法着眼于敏感个人信息的高风险性与极易造成信息主体的人格、财产权益损害，通过列举方式进行界定。事实上，“敏感性”的认定往往以损害结果为导向，“敏感性”越高，其导致的人格、财产损害越严重。如医疗健康信息泄露，可能导致就业歧视、人格贬损；金融账户信息泄露则可能造成重大财产损失，而一般个人信息泄露，往往不会造成个人权益特别损害。鉴于“敏感性”缺乏具体确定标准，敏感个人信息的范围也并非静态不变，故有的学者倡导引入尼森鲍姆教授（HelenNisenbaum)）的隐私场景理论，即对敏感信息的认定采取“具体情形具体分析”模式，形成动态化的、类型化及精细化的多元要素考

9、量。8 故敏感个人信息保护问题更为复杂与繁琐，需予更强规制力度，其特别保护逻辑可从以下三个方面理解：其一，敏感个人信息的保护与利用呈现出强烈冲突。近年来如雨后春笋般涌现的可穿戴设备、互联网应用程序等，均依托于敏感个人信息，其分析、利用与流通的需求日益膨胀。与人身权益高度关联的敏感个人信息在商业上具有高度稀缺性，数据企业为实现精准、定向营销，竞相挖掘数据价值，预测用户偏好、习惯、购买力等以打造用户的个性化服务方案。例如医院、医疗专业人员和研究人员已充分认识到健康数据在优化服务交付、促进早期诊断、提高护理质量以及推进科学研究4 See Anne L.Washington and Lauren Rh

10、ue,Tracing the Invisible:Information Fiduciaries and the Pandemic,70American University Law Review 1765,1765-1797(2021).5参见鲁斯齐：后设监管理论下平台组织内信息信义义务的适用，载电子知识产权2 0 2 2 年第5 期，第1 0-2 7 页：吴伟光：平台组织内网络企业对个人信息保护的信义义务，载中国法学2 0 2 1 年第6 期，第4 5-6 0页。6参见宁园：敏感个人信息的法律基准与范畴界定一一一以 第2 8 条第1 款为中心，载比较法研究2 0 2 1 年第5 期，第3

11、3-4 9 页。7参见王鹏鹏：论敏感个人信息的侵权保护，载华东政法大学学报2 0 2 3 年第2 期，第4 2 页。8参见王苑：敏感个人信息的概念界定与要素判断-一一以 第2 8 条为中心，载环球法律评论2 0 2 2 年第2 期，第9 3 页。72第3 8 卷第4 期研究生法学等方面的巨大潜力，为获取相关信息可能加强与健康数据控制者合作。9 为实现经济效益，数据企业在信息处理过程中可能而走险，不惜侵犯用户个人隐私或损害人格尊严，进行算法决策时可能产生算法歧视或数据偏见及“信息茧房”等。其二，敏感个人信息滥用更易侵入私人生活边界，损害人格尊严。当前，数据平台不断采集用户的消费观念、性格特征、行

12、为习惯以及价值观等信息用于自动化决策，高度精准地预测自然人的未来行为及偏好，干扰作为主体的人的自主决策。卫报相关报道显示，Facebook通过分析用户网络行为数据，解读用户政治倾向，实现新闻精准推送以达到干预个人决策的效果，最终左右民意从而影响大选结果。“剑桥分析丑闻”是近年来发生的最严重个体操控事件，让公众意识到利用信息可以驱使和控制他人的自主决策，消解人的主体性地位。互联网更是具有长期记忆，还可能造成被侵害人精神性损害，使个人陷入隐私被非法收集、使用的恐慌之中，由此加剧信息主体与信息处理者的对立。其三，数据泄露等信息侵权行为频发，极易造成财产损害。一方面，敏感信息泄露容易引发财产损失。据威

13、胁猎人发布的2 0 2 3 年Q1数据资产泄露分析报告显示，第一季度已经发生近1 0 0 0起数据泄露事件，涉及个人金融信息、交易信息等敏感信息。被泄露的数据往往会流入数据黑市，被转卖至销售企业、诈骗集团，不法分子进行精准电信诈骗或勒索，为个人生活安宁及财产安全带来了威胁。1 0 另一方面，信息泄露等侵权行为本身侵害了信息财产权。个人信息具有人格与财产双重法律属性，11个人信息财产权是一种独立的新型产权，指自然人对其个人信息商业利用中享有的财产利益的支配权，12非法使用敏感个人信息显然剥夺了个人对信息的支配权。（二）敏感个人信息特别保护的法律缺憾在我国现行立法下，对于敏感个人信息的规制呈现出以

14、个人信息保护法为统领、专项法律规制为辅助的立法保护设计。如最高人民法院于2 0 2 1 年7 月发布的最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定，成为我国首部有关人脸信息保护的司法解释。但敏感个人信息类型众多，且在特定场景下一般个人信息也可能呈现出高敏感性，难以实现一一立法。稠密的法律监管，更加重了信息利用的法律合规成本，也不利于信息的共享与流通。综合来看，对敏感个人信息保护的逻辑基本沿袭了一般个人信息保护规则，以知情同意规则作为法律规制的基石，没有体现出敏感个人信息特殊的保护需求，存在以下两点法律缺憾：其一，敏感个人信息保护虽然构建了单独同意规则，但依

15、然面临着规则失灵困境。一方面，单独同意规则的有效性尚需检验。“知情-同意”规制假定个体均为“理性人”，可通过“通知-选择”模型充分实现“自我隐私控制”，即企业通过取得个人的单独同意获得使用敏感个人信息的合法性基础。事实上，个体显然无法作为“理性人”实现自我隐私管理，美国著名的隐私学者丹尼尔索洛夫（Solove）中肯地总结了个体无法作为“理性人”保护数据隐私的原因：人们不会阅读隐私协议；即便阅读，人们也不会理解；即便人们可以理解，往往也缺乏足够的知识背景作出明智的决策；即便作出决策，也可能因各种困难而产生偏差。1 3 知情同意规则更无法防范信息收集者以侵犯隐私和不道德的方式收集、使用敏感个人信息

16、。如具有远程识别特性的人脸识别信息，仅仅只是提示用户已经进入人脸识别区域，便收集用户信息并据此对用户分类，并未告知收集、使用人脸识别信息的范围，该告知并非征求同意的过程。1 另一方面，单独同意的意思表示真实性缺失。一般信息主体9 See Data Trusts:A new tool for data governance,https:/futurecitiescanada.ca/portal/resources/data-trusts-a-new-tool-for-data-governancel.10参见李昊：个人信息侵权责任的规范构造，载广东社会科学2 0 2 2 年第1 期，第2 5 5

17、-2 5 7 页。11参见彭诚信：论个人信息的双重法律属性，载清华法学2 0 2 1 年第6 期，第7 8-9 7 页。12参见项定宜：论个人信息财产权的独立性，载重庆大学学报（社会科学版）2 0 1 8 年第6 期，第173页。13 SSee Daniel J.Solove Introduction:Privacy Self-management and the Consent Dilemma,126 Harvard Law Review 1880,1888(2013).14参见浙江省宁波市市场监督管理局甬市监处【2 0 2 1】1 8 号行政处罚决定书。73三方规制杨应武：数据信托：敏感个

18、人信息保护的第难以准确预测敏感个人信息收集处理的风险，甚至不知晓敏感个人信息的范畴，在此情形下作出的同意缺乏真实性。信息主体缺乏与信息收集者协商如何收集、使用信息的地位与能力，双方具有“权力不对称”关系，拒绝同意则意味着放弃整个数字社会的福利。面对“take it orleave it”的“被迫式”同意规则，信息主体的同意丧失了自主性和真实性。其二，现行法律框架没有为敏感个人信息保护行权、维权提供便捷的机制。一方面，个人信息权利的行使与信息自由之间存在冲突。尽管个人信息保护法赋予了个人在个人信息处理活动中享有知情权、决定权、查阅复制权、更正补充、删除权等权利，却没有赋予个人相应的议价能力。在个

19、人信息收集、处理活动中，个人处于被动、弱势地位，并囿于知识限制，不能与信息处理者协商调整个人信息收集、使用的条款。另一方面，个人信息保护法没有为敏感个人信息保护提供特殊的救济机制。在个人信息侵权的归责原则、损害赔偿数额等方面与一般个人信息保护无异。个人信息保护法第6 9 条第1 款确定了个人信息侵权采用过错推定原则，规则的先进性在于实现了证明责任的倒置，但信息主体依旧承担过错的主张责任，并提供初步证据支持其主张，信息处理者仍可通过提供证据证明其尽到了合理的注意和提示义务对信息主体的主张进行抗辩。1 5 由于信息处理存在不透明性，个人难以获得信息处理者侵权的证据。因此，过错推定原则没有彻底改变诉

20、讼中信息主体的弱势地位。此外，个人信息保护法第6 9 条第2 款规定则明确以“受到的损失”和“获得的利益”作为计算损害赔偿的依据。事实上，认定实际损害赔偿与侵权人获利赔偿数额的可操作性并不强。1 6)实践中，单条敏感个人信息的价值极低，而侵权却极易导致精神性损害，往往难以量化为具体的、合理的赔偿数额。且个人参与诉讼的成本投入是巨大的，立法没有为信息主体参与个人信息侵权诉讼提供法律激励。尽管个人信息保护法第7 0 条规定的个人信息保护公益诉讼能够改变了诉讼双方的力量对比，节约了司法成本。但其属于新的法定领域，仍有一些理论与实践问题呕待厘清，如“侵害众多个人的权益”是提起个人信息保护公益诉讼的诉讼

21、事由，“众多”仍需要进一步解释与细化 7。即便最后通过公益诉讼胜诉，信息处理者承担了相应的赔偿责任，赔偿金额也难以充分有效补偿遭受侵权损害的“众多”个人。二、破局之策：第三方数据信托适配性阐释个人信息或个人数据规制模式分为权利规范模式与行为规范模式。当前权利规范模式包括物权说【1 8 、后期物权说 1 9 以及新型财产权说 2 0 等不同学说，行为规范模式包括竞争法、侵权法及合同法规制以及信托说 2 1 等。“行为规范模式是通过对他人行为予以必要的法律规制确保相关法益免受特定之侵害。”2 数据信托理论是顺应数字经济时代而生的新兴法律制度，以受托人的数据行为规范为核心，课以信息信义义务，既可通过

22、特殊信托结构矫正“权力不对称”关系，还具有便捷的权利行使机制、充分维系隐私信任、构建公众参与敏感信息治理平台等功能价值。15参见蒋丽华：无过错归责原则：个人信息侵权损害赔偿的应然走向，载财经法学2 0 2 2 年第1 期，第4 1 页。16】参见彭诚信、许素敏：侵害个人信息权益精神损害赔偿的制度建构，载南京社会科学2 0 2 2 年第3期，第9 2 页。17参见薛天涵：个人信息保护公益诉讼制度的法理展开，载法律适用2 0 2 1 年第8 期，第1 6 1 页。18参见蒋林君：欧盟数据生产者权及其对我国的启示，载湖南科技大学学报（社会科学版）2 0 2 1年第2 期，第1 2 0-1 2 7 页

23、。19参见申卫星：论数据用益权，载中国社会科学2 0 2 0 年第1 1 期，第1 3 0-1 3 1 页。20 参见龙卫球：数据新型财产权构建及其体系研究，载政法论坛2 0 1 7 年第4 期，第6 3-7 7 页。21 参见张丽英、史沐慧：电商平台对用户隐私数据承担的法律责任界定一一以合同说、信托说为视角，载国际经济法学刊2 0 1 9 年第4 期，第2 4-3 7 页。22 参见郑晓剑：个人信息的民法定位及保护模式，载法学2 0 2 1 年第3 期，第1 1 9 页。74第3 8 卷第4 期研究生法学（一）数据信托方案：第三方规制数据信托理论有两种方案：一种是美国的“信息受托人”方案，即

24、对数据处理者施加信义义务；另一种是英国的“数据信托”方案，由独立第三方机构提供专业的数据管理服务。【2 我国学者大多关注的是杰克巴尔金（Balkin）教授提出的“信息受托人”理论，为信息处理者施加信息信义义务。将信义义务引入到新型数据关系中，“要求信息处理者以受托人身份参与数据实践，从而使其负担更高的义务标准并据此增强它们的问责制”。2 4 信息信义义务根植于“个人-企业”的不平衡权力关系，“网络企业的强势地位决定了网络用户对其具有信义利益，网络企业应该承担保护网络用户个人信息的信义义务”。2 5 然而，“信息受托人”方案并未改变当前的信息权力结构，仅是信息信义义务对信息关系的重新诠释。尼尔劳

25、伦斯（Lawrence）教授提出的“数据信托”方案重新构造出“信息主体-受托人-信息处理者”三方主体关系，之于敏感信息保护具有显著优越性。换言之，通过引入一个独立的“自下而上”的第三方受托人机构，代表信托受益人行使通用数据保护条例（GDPR）等自上而下的法律法规授予个人的数据权利，作为“赋权”状态下法律对数据必要但不充分监管的补充。【2 6 “数据信托”结构中的数据受托人作为第三方中介机构，可以为高敏感性、强人格侵害性及财产损害性的敏感个人信息提供专业的、独立的数据管理服务，与信息处理者形成权力制衡关系，实现“权力关系对等化”。数据信托一方面弥合了信息主体与信息处理者之间的信任赤字，强化敏感信

26、息保护；另一方面还提供公众参与机制，实现公众监督。由此可见，数据信托在敏感信息保护逻辑上，与其敏感性、需求性呈现出高度适配性。目前，数据信托现处于理论研究阶段，并未形成权威定义，一般认为其是一种全新的数据治理模式。数据信托虽冠以“信托”之名，实为一种数据治理的法律结构，英国开放数据研究所（OpenDataInstitute）将其定义为“一种提供独立数据管理的法律结构”2 1。将数据信托引入敏感个人信息保护架构后，由第三方机构提供专业数据管理服务，以满足个人的隐私保护需求、信息处理者的合规需求以及数据使用者的信息需求。第三方数据信托的显著特征是将信息控制权转移至受托人，由受托人实际享有信息支配权

27、，可以依据自已的意愿处理敏感个人信息并采取相应的隐私保护措施。由此，依据剑桥大学与伯明翰大学联合发起的“数据信托计划”的“工作文件2”，即数据信托：数据机构发展的国际视角，数据信托的特征可以详述为以下三点：一是独立管理，在行使受托持有的数据权利时，受托人负有信义义务，要求受托人为了受益人的最大利益行事，并制定保障措施确保受托人在管理信托财产时独立于其他利益；二是制度保障，信托法为委托人追究受托人的责任提供了完善的程序，法院也为违反信义义务的受托人采取补救措施提供了途径。发生索赔时，受托人可以证明其履行了公正、审慎、透明和忠诚义务以促进受益人的利益，从而免责；三是集体行动，正如1 9 世纪的“土

28、地社会”赋予人们选举权，通过汇集资源获得一块永久持有的土地，受托人可以帮助信息主体获得其自身难以实现的数据权力。数据信托通过信托机制聚合信息中的议价能力，受托人将比任何个人更有能力协商数据使用条款，并有能力应对数据的不合理使用行为。28第三方规制是相对于企业的自我规制和政府的行政规制，可以有效克服市场与政府的“双重失灵”。1 2 1 一方面，受托人是法律上构建的介入敏感个人信息保护的独立第三方主体。个人信息保护23参见翟志勇：论数据信托：一种数据治理的新方案，载东方法学2 0 2 1 年第4 期，第6 1 页。24参见解正山：数据驱动时代的数据隐私保护一一从个人控制到信息处理者信义义务，载法商

29、研究，2020年第2 期，第8 2 页。25参见吴伟光：平台组织内网络企业对个人信息保护的信义义务，载中国法学2 0 2 1 年第6 期，第45页。26 See Sylvie Delacroix&Neil D.Lawrence,Bottom-up data Trusts:disturbing the one size fits allapproach todata governance,9 International data privacy law 236,236-252(2019).27参见翟志勇：论数据信托：一种数据治理的新方案，载东方法学2 0 2 1 年第4 期，第6 2 页。28S

30、ee Data trusts:international perspectives on the development of data institutions,Data Trusts Initiative,January28,2021,para 7.29参见刘权：数据安全认证：个人信息保护的第三方规制，载法学评论2 0 2 2 年第1 期，第1 1 9 页。75三方规制杨应武：数据信托：敏感个息保护的第法第2 1 条规定了个人信息委托处理规则，委托处理本质上是以第三方的技术条件支持个人信息处理者的信息管理与隐私保护需求，表明立法并不排斥第三方参与个人信息保护。独立第三方受托人具备专业的、高

31、质的敏感个人信息管理服务能力，以“理性人”身份参与敏感个人信息治理，缓解因“权力不对称”所导致的敏感信息治理失灵的紧张关系。同时受托人在市场中充当了“中介”角色，可有效增强信息主体的隐私信任、数据购买方的交易信任，进而克服信息不对称导致的“数据锁定”效应。另一方面，数据信托也不同于数据安全法第2 4 条所规定的数据安全审查以及网络安全审查等公权力行为。两者的共同点是形成了第三方主体对当前个人信息处理者的监督，不同点在于前者是市场主体之间的自由合意，后者属于公权力机关自上而下的监管。政府监管往往是一种特定条件行为或事后行为，前者如数据安全审查评估已成为特定数据跨境的前置程序，后者一般则是针对数据

32、处理行为的执法性审查。受托人不仅可以直接管理敏感数据，而且可以第三方身份参与数据安全评估、认证等，例如对数据跨境、数据交易等事先进行审查认证，确认敏感信息安全、合规。受托人独立控制、管理敏感信息，进而对信息处理者的信息访问、处理及利用形成监督与制约，可作为政府不完全监管的补充。（二）第三方数据信托的理论祛魅信托是英国衡平法下的制度性产物，故我国引入的信托制度存在一定“水土不服”的问题，信托法的部分规范语言表达亦存有隔阅。例如，我国信托法第2 条“将其财产权委托给受托人”表明信托财产并非发生英美信托法上的“财产转移”，事实上已经与英美信托理论与实践脱节。在此背景下，“数据信托”概念亦存有疑义，部

33、分学者对信义法引入至信息隐私保护领域展开了激烈批判，认为数据信托与我国现行法律体系不兼容。事实上，中国法上的“一物一权”原则并非信托法介入数据隐私保护的肘，数据性质与信托结构高度耦合，契合敏感信息的保护与利用逻辑。一方面，信托财产主体的复合性契合数据主体多元性。数据信托理论源起于英美国家，沿袭了英美法系中信托制度中的“双层所有权”，与大陆法系所秉持的“一物一权”以及物权绝对主义无法匹配。然而依据用益物权说或财产权说的主张，数据的主体至少是二元的，即作为数据原发者的个人与作为数据控制者的企业，分别享有数据的“所有权”与“用益权”。换言之，敏感个人信息理应归属于个人所有，但信息处理者经过归集、匿名

34、化处理、特定分析及加工等，付出了劳动，也理应相应数据集合的权利。数据主体多元的论断根植于数据的生产逻辑，故有学者认为，数据“双层所有权”架构是信息处理者与信息主体权利结构发展的必然结果。3 1 在信托结构上，由委托人享有信托财产的名义所有权，受托人享有实质所有权；在数据结构上，信息主体在“名义”上享有“所有权”，实质上由享有“用益权”的信息处理者经营、管理数据，在信托结构中“用益权”将过渡给受托人。数据“所有权”与“用益权”的分离，信托财产的“名义所有权”与“实质所有权”分离，均呈现“二分”特性，权利结构具有一致性。3 1 在数据信托结构中，由受托人控制、管理、经营敏感数据，行使数据权利，既符

35、合信托结构逻辑，也符合数据多元主体逻辑。另一方面，数据信托机制的受托人具有“数据中介”地位，可实现数据“三权分离”。基于数据的基本特性，单一的权利结构理论无法解决数据权属问题，故学者提倡在数据确权中实现数据所有权、数据经营权与数据使用权的“三权分置”3。数据“三权分置”的产权运行机制为关于构建数据基础制度更好发挥数据要素作用的意见所创制，是增强敏感信息数据市场供给的有效手段。数据信托为一种较为合理、有效的“三权分置”机制。“数据三权”以数据所有权为前提，以数据经30参见冯果、薛亦讽：从“权利规范模式”走向“行为控制模式”的数据信托数据主体权利保护机制构建的另一种思路，载法学评论2 0 2 0

36、年第3 期，第7 5 页。31】参见孙宏臣：数据信托的困境与出路权宜之计抑或制度创新，载经贸法律评论2 0 2 2 年第3期，第1 2 5 页。32参见宋涛、张丹阳、王雨：数据要素市场化函需解决五大难点，载中国发展观察2 0 2 2 年第7 期，第3 4-3 9 页。76第3 8 卷第4 期研究生法学营权为核心，将数据经营权配置给独立、专业的第三方受托人，形成事实上的信息权利、数据权利与实际控制权的分离。受托人不享有数据利益，信息主体更信任受托人会以符合其隐私利益方式分享信息数据。受托人控制、储存、经营与利用敏感信息，隔离了信息处理者处理敏感信息的法律合规及道德风险，形成特殊的责任隔离机制，为

37、其获取纯粹数据利益。（三）第三方数据信托的弥憾功能数据信托模型之所以可以作为敏感信息保护的补充机制，是因为其在功能上与敏感信息保护需求呈现出高度耦合特性。其一，数据信托结构改变了信息主体行权、维权模式。数据信托机制是一种汇集数据权力于受托人，由受托人代表信息主体维护其信息权益的机制。受托人汇集数据权力，形成与信息处理者对等的权力关系，进而通过信义义务的制约将数据权力归还于个人。在行权层面，受托人按照委托人的意愿管理或处分信托财产，从而形成对信息处理者的权力制衡，监督其“算法控制”“信息茧房”“数据操纵”等行为。故数据信托机制可以将处于权力弱势地位的信息主体解救出来，代为行使个人信息权利，信息关

38、系由信息主体到信息处理者的授权、对抗，转变为由受托人到信息处理者的授权、对抗。在维权层面，相对于个人信息保护法第6 9 条确定的信息处理者的过错推定责任，信托机制天然嵌入了举证责任倒置规则，更加契合处于弱势地位的信息主体的维权需求。我国全国法院民商事审判工作会议纪要第9 4 条规定受托人应当对信托财产遭受的损失承担履行勤勉、忠实、谨慎义务的举证证明责任，可以理解为我国司法层面已经在信托领域适用举证倒置规制。3 概言之，信息主体行权、维权能力可通过数据信托结构过渡给独立的第三方受托人，其可以为敏感个人信息保护作出更专业、更有效更符合受益人利益的决策与行动。其二，第三方数据信托结构有助于维系信任。

39、“信任生产的主要机制在于减少不确定性，共同的文化规范与认同、运行良好的法律法规等是信任的最有力保障。”3 4 9 当双方主体之间出现不信任，引入第三方中介重塑信任是理想的出路。在信息关系中，信息处理不透明、知情同意规则失灵等透支了信息主体的信任，通过第三方受托人，一方面充当权利中介，即信息主体可信赖的权利受托人；另一方面充当执行中介，对信息处理者的侵权行为予以追索、请求赔偿以及对外部信息访问行为进行裁决，构建起全新的三方主体信息信任关系。同时数据信托结构基于委托人的信任而建立，受托人需要一直维系这种信任关系进而维持信托关系，由此不断激励受托人采取积极措施保护敏感信息，最终又反向激励信任。其三，

40、数据信托提供了敏感个人信息保护与使用的公众参与机制。当前敏感信息治理困局在于，数据处理高度不透明，个体作为信息的原始产生者，却对数据处理不知情、对数据管理无参与能力。而数据信托基于“委托人-受托人”的特殊权力结构，作为受益人的信息主体既可以直接向受托人表达信息保护诉求，也可以受托人为媒介向数据使用者表达数据保护的要求，这也是受托人“为受益人利益行事”的题中应有之义。英国生物银行管理5 0 万人捐赠的健康数据模式为数据信托介入敏感个人信息保护提供了可借鉴经验。学者塔顿（Tutton）曾主张在生物样本库成立之前，将参与者代表纳入管理机构，以专家主导的数据访问委员会或公众及参与者小组等均可确保公众持

41、续性参与。实践中，英国生物银行采取了公众咨询的形式促进公众对生物银行的信任，包括同意程序、道德和治理框架等。1 3 5 公众参与还体现在敏感数据的社会化利用：一方面，受托人将敏感个人信息匿名化之后，将可以基于公共利益提供给科研机构；另一方面，可将匿名化数据提供给商业主体，或者提供算法训练、数据服务等商业服务，挖掘数据价值。同时在金融层面，受托人可以开发数据信托产品，33 参见冯果、薛亦讽：从“权利规范模式”走向“行为控制模式”的数据信托一一信息主体权利保护机制构建的另一种思路，载法学评论2 0 2 0 年第3 期，第7 7 页。34】参见郑丹丹：互联网企业社会信任生产的动力机制研究，载社会学研

42、究2 0 1 9 年第6 期，第6 9 页。35See Dixon-Woods M,Milne R,Sorbie A.,48 What can Data Trusts for Health Research Leam fromParticipatory Governance in Biobanks?323,325(2022).77三方规制杨应武：数据信托：敏感个人信息保护的第向社会公众募集资金开发数据产品，将数据产品进行社会化利用获取收益，最后将社会收益支付给36受益人与社会公众，实现数据资产的资本化运作。三、机制之述：第三方数据信托的具体展开（一）基本架构：主体资格及运行机理1.数据信托主体

43、资格数据信托产品主要包括了委托人、受益人、受托人以及受托人面向的数据服务商、数据使用者。信息主体、信息处理者与信托公司建立信托关系，信托公司经过数据清洗、加工等行为，向数据需求方提供“数据本体”“数据产品”“数据服务”，双方形成数据服务合同关系。“数据信托”方案以信息主体作为委托人，通过数据信托法律关系引入独立受托人，进而缓解信息主体与信息处理者之间的权力不对称矛盾。但鉴于信息主体是缺乏统一意识的独立个体，难以形成设立数据信托的意思联络，也就难以形成具有信托管理价值的数据集合。换言之，单条个人信息经济价值显著低微，少量个人信息不符合信托管理的效益原则。因此以信息主体为委托人可能难以成立有效的数

44、据信托。事实上，信息处理者作为信息权利主体之一，亦可作为委托人设立数据信托。理由在于信息处理者对个人信息进行收集、加工，进而形成了极具价值挖掘的数据集合，以数据集合设立数据信托更符合信托管理的市场规律。当然，信息处理者作为委托人并不影响信息主体的权利，信息主体作为权利主体在数据信托结构中仍然享有信托受益人地位。故委托人为信息处理者或达到一定数量的信息主体，可基于经济利益、权利保护、科学研究等多样化目的设立数据信托，并将数据控制权转移至受托人。受托人由符合信托法中国银保监会信托公司行政许可事项实施办法等法律法规规定的信托公司担任，应严格依照个人信息保护法数据安全法等法律规定处理数据、保护数据隐私

45、。受益人是委托人指定的主体或享有数据财产权益的主体，新型物权说或新型数据财产权说均认可信息处理者的数据财产权或数据经营权，也承认信息主体的有限财产权，故二者均应作为信托受益人。当然，受益人可以是依据委托人的意愿而自主设定，因为信托的本质是财产权的转移，即某物被委托给（commissum）某个受信（fides）的人，使其他人得利。3 7 由此，通过引入信托制度，将原本的数据处理关系拓展为数据处理关系与数据信托关系并存，从而彻底改变赋权规范模式下的“权力不对称”关系，并依据信托法规则重新分配救济责任，信息主体通过受托人的“数据中介”机制，重新掌握数据权力。受托人作为数据信托机制的核心主体，还应具备

46、敏感个人信息的隐私利益保护能力。一方面，应具备隐私保护的技术能力。由于我国对信托公司实行严格管理，信托产品的设立与运行必须经由信托公司进行，但信托公司并不能满足敏感个人信息处理的专业需求，故信托公司可通过技术积累、股权交换或技术合作使之成为合格的“受托人”。如隐私计算、匿名化技术等隐私保护基础技术，也可以通过委托处理的形式使其具备隐私保护的技术条件，此时则落入个人信息保护法第2 1 条“委托处理规则”的规制范畴。另一方面，受托人应具备开发数据价值的能力。受托人不仅是“信息主体-信息处理者”之间的权力媒介，更是“信息处理者-数据使用者”之间的桥梁。受托人作为数据交易中的卖方，向数据使用者提供算法

47、训练、数据产品及数据分析结果等；为公益目的向科研机构提供匿名化的医疗数据、生物特征数据等。故受托人应具有基础的数据价值挖掘能力，才能充当“桥梁”角色，实现敏感信息的价值性。36参见冉从敬、唐心宇、何梦婷：数据信托：个人数据交易与管理新机制，载图书馆论坛2 0 2 2 年第3 期，第6 1 页。37参见英】大卫约翰斯顿著：罗马法中的信托法，张淞纶译，法律出版社2 0 1 7 年版，第9 页。78第3 8 卷第4 期研究生法学2.楼数据信托运行机理通过明确数据信托参与主体及资格要求后，总结分析出数据信托的运行机理。在信托层面，信息处理者将收集的敏感信息经加工整理形成的数据集合信托给信托公司，或信息

48、主体直接以个人信息财产权设立数据信托，受托人负担信息信义义务，通过挖掘数据集合价值，促进数据价值共享并获得收益，继而向信托受益人支付信托收益。信息主体的信托收益表现为两个方面，一是受托人忠诚、谨慎、勤勉及尽责地维护其信息隐私权利，超越了当前立法“自上而下”的信息处理义务；二是数据集合经价值挖掘并交易所产生经济收益，此处对信息主体的信托收益应当在数字经济语境下进行解读，即“不指向金钱收益，而是数字生活便利或平台整体优惠”，或称之为“数字便益”。3 8 因数据主体本身为信息处理者的平台用户，故具体执行方式可通过信息处理者向信息主体发放。信息主体作为委托人，信托收益则由受托人联合信息处理者支付或直接

49、支付。在交易层面，受托人作为数据出卖方，与数据购买方形成数据交易，具体表现为数据分析服务、大数据服务等，前者包括行业发展报告、舆情分析等，后者如信息认证、算法训练、以及特征推荐等。受托人还可以面向技术服务商与社会投资者，分别引入数据技术与社会资金，形成数据信托产品的资金、技术循环。数据信托运行机理详情如下图一所示，具体又可以敏感信息收集、数据信托设立及受托人责任三个方面展开。图一数据信托产品运行机理数字便益信息处理者一收益信托公司收益信息主体信息保护层委托人、受益人一数据受托人信息委托人、受益人个人信息一数据信托公司报酬一数据利用层数据购买方数据服务商资金一运营数据产品一技术一首先，在敏感信息

50、收集阶段，要以“知情同意”为基础合法合规获取受托信息。敏感信息作为可直接识别特定个人的数据，包括个人信用数据、个人金融数据、个人健康数据以及生物特征数据等。敏感信息经由个人流向信息处理者，经设立数据信托后再流转至受托人，或由个人处直接流向受托人，由受托人进行信息管理。故敏感信息收集作为信托敏感信息的最初阶段，遵循“知情同意”规则是其合法性基础。一方面，数据处理者经过用户授权或网络服务收集海量敏感信息，依据不同内容划分、处理不同类型数据形成数据信托的对象数据。要求不得使用非法手段收集，如不得以欺诈、诱骗、强迫等方式或者从非法渠道收集敏感个人信息，不得收集法律明确禁止收集的信息，亦不得隐瞒提供的产