一、问题的提出 数据治理成为智能时代的重要议题之一,既表明数据在智能时代的基础战略地位,也意味着其与人类生活息息相关①。在数字时代,曾经科幻小说和电影中的美好前景以及负面隐忧正伴随大数据的广泛应用而逐步上演,为数据治理贡献不同理论和实践方案引起学者的持续讨论。毫无疑问的是,在这场讨论中法学家以及法律扮演着不可或缺的角色,因为“法律在广泛的领域中,指引、计划和控制着我们的生活”(Hart,2012)。巴尔金教授于2016年提出的数据信托理论成为这场讨论中的新进热点(Balkin,2016)。同年,中航信托与数据堂合作,发布了首单总规模3000万元的数据信托产品②。五年后,《MIT Technology Review》杂志于2021年将“数据信托”列为“十大突破性技术”之一③。上述理论与实践的发展似乎都昭示着数据信托参与数据治理的意义。 当前,国内外数据信托的法律讨论关涉到不同方面。本文的写作也意图参与到这场讨论中,当然讨论不可能关涉到数据治理的所有方面。伴随我国个人信息/数据④立法进程的加快,已经初步建立起关于个人信息保护的制度规范体系。由信息汇聚而成的数据价值在数字经济时代被社会所认可,数据科学决策成为政府、企业的共识。但数据作为资产的特殊属性使得数据的拥有者及其享有者存在相互分离的现象。个人权利保护与政府监管未能突破“信任”不平衡的权利结构藩篱,多年以来依赖政府单方赋权保护进行规制无济于补。为解决大数据时代“信任赤字”问题,力图在英美普通法系的传统信托理论框架背景下,通过引入独立第三方的信托人作为数据处理者,在数据拥有者、处理者之间建立信任桥梁,弥补实践法律体系阙如、个人权利保护短板。 二、数据信托参与数据治理的理论逻辑 本节力图阐释数据信托参与数据治理的理论逻辑。这一理论命题暗含的一个前提性命题是:数据信托能够参与数据治理;或者说数据信托对促进数据治理具有积极意义。“数据信托参与数据治理”命题始终与下述两个问题相伴随:第一,数据治理的基点何在;第二,传统数据治理模式存在何种弊端。对上述两个立论背景问题的回答构成本节写作的主要内容。 (一)数据治理的基点:个人绝对赋权模式 传统个人信息数据之间呈现割裂的信息孤岛状态,数据生成提高数据价值,打通数据单一模式,为数字社会带来经济效率的同时也催生经济结构转化。与此同时,隐患也伴随左右。例如滴滴事件引发的数据安全问题、出租公司及监管方对数据调用引发的数据伦理困境、以及数据责任风险承担成为数据治理重点内容。但是,当我们开始讨论数据治理时,有一个必须予以关注的前提命题是:数据治理的基点是什么,或者数据治理所秉持的理念是什么?如果“理论”是与诸如观念、理念相对应的语词的话,上述问题就可以转述成如下问题:数据治理秉持何种理论基础或者数据治理关注的主要场景是什么?本文认为数据流通理论(数据交易理论)、数据权利保护理论理应成为数据治理关注的主要场域。因此,数据治理可以被定义为:以数据权利保护为出发点,对发生在数据流通领域的数据活动进行规制的一切活动。在该定义中,数据流通是数据治理发生的主要场景,数据权利保护则是数据治理的根本目的。因此,数据流通理论和数据权利保护理论成为数据治理的基点。 一直以来,无论是国内立法还是域外立法对“个人信息”保护的思考一直笼罩在个人权利保护观念之下。从2012年确立个人电子信息国家保护到消费者个人信息立法再到对网络运营中个人信息具体保护规定⑤,在上述诸多法律规定中,对个人信息进行保护的立法目的是彰显国家尊重和保护个人权利和尊严⑥,为个人信息保护法律体系寻找宪法规范基础也逐渐成为学者努力的方向(王锡锌等,2021)。实践和理论的共同发展似乎也使得下述结论顺理成章:个人为其信息的绝对主体并具有绝对支配权。以“自决”为核心概念的个人信息自决权强调个人对个人信息的决定权和控制权,自由决定自己的个人信息上承载着何种价值,任何违反当事人意志的信息收集、处理或者利用的行为都侵犯了当事人的自决权,从而也侵犯了该信息上承载的人格利益(杨芳,2015)。 欧盟早在1974年就展开了有关个人信息保护的立法⑦,并分别在1981年签署欧洲系列条约第108号《有关个人数据自动化处理之个人保护公约》以及1995年通过《关于个人数据处理保护与自由流动指令》(95/46/EC)。及至2018年正式生效的欧盟《通用数据保护条列(General Data Protection Regulation)》(以下简称GDPR)鉴于条款第一条开宗明义地指出:“自然人在个人数据处理方面获得保护是一项基本权利。《欧盟基本权利宪章》第8条第1款和《欧盟运行条约》第16条第1款规定每个人都享有就其个人数据获得保护的权利。”正文第1条第2款规定:“本法律保护自然人的基本权利和自由,尤其是自然人的个人数据保护权”⑧。欧盟上述关于个人数据立法的根基在于被其奉为圭臬的《欧洲人权公约》。该公约是《世界人权宣言》在欧盟的立法实践,规定了人应该享有的基本人权。欧洲个人数据保护法律体系正是以保护人的尊严和基本人权为根基而加以构建的,加之欧洲宪法法院以及人权法院等司法实践⑨的落实和保护,使得个人数据保护法律体系更加趋于完善。 英美法系背景下的美国通过不断解释和丰富“隐私权”的概念内涵,逐渐完善对个人信息的法律保护体系。艾伦·F.威斯汀在1967年出版的《隐私与自由》一书中创设性地提出了“信息隐私权”概念(Westin,1967),使得隐私权概念囊括了个人所拥有的个人信息权利,主要体现为个人对个人信息的控制权,这也成为美国个人信息保护的理论基础(高富平,2018)。在此之后美国的个人信息保护制度逐渐发展完善。但是,囿于不同法域背景及法律制度,美国的个人信息保护法律体系呈现出碎片化、部门化、行业化等特点,在增强特定领域隐私与个人信息保护针对性的同时也存在大量立法空白(王叶刚,2020)。为了应对个人信息保护的现实需求,美国逐渐向欧盟借鉴个人信息保护统一立法模式,逐步统一保护标准,于2020年生效的《加州消费者隐私法》(California Consumer Privacy Act,简称CCPA)正是统一保护模式的立法尝试。该法律秉持了美国法对上述信息隐私权的保护,并将其纳入公民不可剥夺的基本权利体系之内:个人对其信息的使用、控制具有不可褫夺的权利,对隐私权保护具有基础性意义。
