許鐘文:運用信托機制實現對數據主體權利的

?

?

隨著電商的普及和人工智能的發展,網絡平臺上的個人隱私數據愈加易于泄露及濫用,在不知情的狀態下被迫公開個人信息給用戶帶來了不安,因而加固隱私數據保護體系變得刻不容緩。馮果和薛亦颯的《從“權利規范模式”走向“行為控制模式”的數據信托》一文正是在傳統數據保護路徑外,剖析數據主體與數據控制人之間的權利關系,引入了運用信托機制治理數據這一新的個人數據權利保護模式,并且論證了該模式在我國法律體系中落實的合理性。

我國現行的數據主體權利保護采用的是“賦權—維權”模式,以個人知情同意為核心,強調用戶對個人信息的獨占性支配,實質上是一種“個人控制”模式。而在司法實踐中,有關個人信息泄露的維權卻是低效的。該路徑的局限性在于忽略了數據主體的劣勢地位以及其舉證的難度。賦權保護模式僅適用于雙方地位平等,自愿協商交換法益的情形,然而現實中并非如此,繁重的舉證責任、難以確定的個人信息范疇等問題大大提升了數據主體的行權成本,因而需要通過責任規則進行規范,數據控制人被賦予使用數據的權利,但其同時必須對數據主體做出額外補償。對于傳統賦權保護模式的不足,學界提出了各種個人數據權利保護進路。高富平教授提出采用社會控制論,以社會控制替代個人控制,發揮個人信息的社會價值。范為研究員提出了場景與風險導向的理念,指出個人信息合理使用的判斷標準應當取決于是否符合用戶的合理隱私期待,以及是否造成了不合理的隱私風險。孫楠翔研究員提出引入消費者保護機制使得數據利用合法化,賦予數據主體消費者權益,在確保數據主體的信息權利同時推動數字經濟的可持續發展?!吨腥A人民共和國個人信息保護法(草案)》中明確了個人信息處理者的合規管理和保障個人信息安全等義務,要求對其個人信息處理活動進行監督、審計以及風險評估,履行個人信息泄露通知和補救義務等。這項義務提高了數據控制人濫用、強制使用、違法使用、泄露數據的“成本”,削弱了數據主體和數據控制人權利義務的不對等性。文章作者也是以數據控制人的義務規范為出發點,進行數據主體權利保護,而文章的新穎之處在于提出了運用數據信托這一機制解決我國個人數據權利保護領域存在的痼疾。

2016年美國耶魯大學教授Jack M.Balkin率先提出將信托說(information fiduciaries)運用于隱私數據保護領域。該學說在短時間內迅速得到學界的關注,并逐漸被接受,特拉華州最高法院在其2018年的Everett v.State案中援引了信托說模式的部分內容。美國國會在2018年提出的數據保護法(Data Care Act of 2018)立法草案第3條中,也針對網上服務提供商(Provider)提出類似信托的標準,要求其對用戶及其相關數據承擔注意、忠誠、保密的義務。信托機制是委托人將財產委托給受托人,由受托人以自己名義,為委托人指定的受益人利益而加以管理的一種財產安排。信托說認為個人隱私數據具有極高的財產價值,且數據主體與數據控制人關系因固有的不對稱性處于明顯弱勢的地位,因此信任是該法律關系成立的重要基礎,符合信托成立的基本要求和內在邏輯。在數據信托法律關系中,數據主體既是委托人又是受益人,數據控制人是受托人。數據控制人對數據主體的隱私數據承擔忠實義務,只能為數據主體的最大利益服務,而不能夠以犧牲對方的利益為代價成全自己的利益。這不僅有利于用戶隱私數據的保護,也可以為禁止大數據殺熟等價格歧視行為提供有力的法律依據。

相較于傳統賦權模式,數據信托的優勢在以下三方面有所體現:其一,相比于“知情—同意”模式和合同機制,數據信托更有助于保障數據主體隱私?,F行的“知情—同意模式”弊端在于電商平臺的價值序列是以商業盈利為首,而信托機制則是針對弱勢一方委托人的利益進行設計,以外力強迫數據控制人在數據主體利益保護與追求盈利之間保持平衡。而作為改進方法的合同機制因其應急性,無法避免受托人故意鉆漏洞的行為,也無法預知新的風險,相比之下,信托機制并非明示控制人的各項義務,而是采用彈性義務標準,結合受托人行為的排除規則,確??刂迫藶楦黜棓祿黧w的侵害事件配合調查或是承擔責任。其二,信托機制天然包含舉證責任倒置。在我國數據泄露案件中,導致敗訴的主要原因就是舉證不能和舉證不足,但是無端引入舉證責任倒置會沖擊《民事訴訟法》對舉證責任倒置情形的規定。而信托機制要求受托人對于其與信托財產之間的交易公正性負舉證責任,由數據控制人承擔舉證責任,數據主體僅需證明損害發生,這不僅大大降低了數據主體的維權難度,同時增加了數據控制人泄露數據的成本,迫使其重視數據安全防范。其三,數據信托有助于數據主體就第三方數據泄露獲得救濟。一方面,數據控制人屬于數據泄露的當事人,由其提起訴訟,可以降低數據主體參與訴訟的壓力和成本;另一方面,數據控制人享有訪問控制、審核和匿名化處理的權限,可以自動識別和審核訪問數據的第三方資質等有效信息,通過訪問控制追根溯源找到數據泄露方。

數據信托是數據保護和信托機制交互作用的產物,作者對其標的與范圍進行了說明。首先,數據信托的標的不是數據本身。信托的標的是財產,而數據的復制、傳播是無盡的,這與財產的獨占性和排他性相悖,因此數據不具備作為信托標的之適格性。事實上,數據的財產價值來源于當事人對其享有的控制力,即數據主體的數據權利和控制人的控制權,用戶對隱私數據享有的權利屬于財產或財產性權利的觀點在學界也獲得了眾多認可,因此數據信托的標的應當是數據之上的權利而非數據本身。其次,數據信托對數據主體權利的保護范圍應當聚焦與數據主體人格利益相關程度最大的數據。數據主體的權利包含財產權和人格權,對于財產權的讓渡并無異議,關鍵在于人格權的讓與部分。作者引用馬里吉爾對數據的分類,第一類為數據主體直接提供之數據(如身份證號),這一類與數據主體的人格利益聯系最為密切,隱私系數最高;第二類為控制者所能收集到的數據(如數據主體的購物信息),數據主體和控制人均對其享有主張的權利;第三類為經過復雜運算得出的數據(是數據控制人基于運算得出的預測數據,如消費者的信譽評估等),這一類幾乎不存在隱私性。限定數據信托的保護范圍可以參考數據的財產價值,也就需要考慮數據主體的控制力。根據馬里吉爾的分類法,第一類數據最為隱私,數據泄露對數據主體人格利益侵害的可能性最高,因此這一類數據更適合運用信托機制予以保護。

文章的優點在于相較于另設新權的數據權、被遺忘權這些復雜又未必可實現的方法,數據信托確實是可以通過對現有法律進行操作,比較容易實現的,不用動輒立法,更能夠體現法律的對新事物的適應性和兼容性。但也會產生幾個問題:其一、信托的信賴如何保障?壟斷狀態下的平臺治理,使得用戶沒有選擇自己信賴的平臺的機會,如一些用戶因為喜歡蝦米的風格和功能而信任蝦米、使用蝦米,結果版權壟斷導致蝦米關停,迫使其原忠實用戶不得不選擇網易云和QQ音樂等音樂軟件。其二、個人信息泄露的維權是固然重要,但是對于人們而言數據有效管理最重要的是什么?其實我們也沒整明白,無法產生統一的說法,如果是擔心僅僅因為泄露而造成濫用或者與隱私相關的問題,那么在沒有信托制度時,就一定無法善后嗎?要做好就一定要通過信托制度嗎?如果是要求經濟賠償的話,這種制度化的做法對于數據控制者施加的義務因被廣泛又是否恰當?到底怎么賠償,如何賠償,誰來獲償,甚或獲償標準都是可以再討論的??偟膩碚f,運用信托制度實現對數據主體權利的保護在關于數據的廣泛討論中有獨特性和優越性,但也有不得不面對的一些現實問題。

發表評論