數(shù)據(jù)信托：一種數(shù)據(jù)治理新模式

□ 文 / 潘 揚 杭州市科技信息研究院

數(shù)字化時代，數(shù)據(jù)已成為經(jīng)濟發(fā)展的核心生產(chǎn)要素。2021 年全球47 個國家數(shù)字經(jīng)濟增加值規(guī)模達到38.1 萬億美元，占GDP 比重為45%。其中我國數(shù)字經(jīng)濟規(guī)模接近7.1 萬億美元，位居世界第二。在此背景下，數(shù)據(jù)安全已成為事關(guān)國家安全與經(jīng)濟社會發(fā)展的重大問題。數(shù)據(jù)信托作為一種新興的數(shù)據(jù)治理模式應(yīng)運而生。2021 年，《麻省理工科技評論》發(fā)布“全球十大突破性技術(shù)”榜單，數(shù)據(jù)信托位列其中。

數(shù)據(jù)安全的痛點和難點

數(shù)據(jù)安全是指對數(shù)據(jù)在收集、處理、存儲、檢索、傳輸、交換、顯示、擴散等過程中的保護，保障數(shù)據(jù)在各環(huán)節(jié)中依法授權(quán)使用，不被非法冒充、竊取、篡改、刪除、抵賴，確保數(shù)據(jù)信息的機密性、真實性、完整性與不可否認性。

數(shù)據(jù)安全的核心是保障數(shù)據(jù)在其全生命周期的各個階段均可實現(xiàn)高度可控與高度可審計，通過技術(shù)保護與高效管理盡可能隔絕各類威脅因素。

根據(jù)Tenable 公司發(fā)布的數(shù)據(jù)泄露報告顯示，2021年全球數(shù)據(jù)泄露超過400 億條，其中勒索軟件造成了大約38%的泄漏。IBM 在《2022 年數(shù)據(jù)泄漏成本報告》中指出，2021 年3 月至2022 年3 月期間受數(shù)據(jù)泄漏影響的企業(yè)超550 家，涵蓋17 個國家/地區(qū)。每單個數(shù)據(jù)泄露事件令受訪公司所承擔(dān)的平均成本高達424 萬美元，創(chuàng)該報告發(fā)布17年以來的最高紀(jì)錄。

海量數(shù)據(jù)引發(fā)的公眾隱私保護、數(shù)據(jù)產(chǎn)權(quán)爭議、數(shù)據(jù)定價模糊等問題逐漸凸顯，成為數(shù)據(jù)安全的痛點難點問題。

一是個人信息的過度收集、濫用。大數(shù)據(jù)時代，利用被過度收集的個人信息加上數(shù)據(jù)分析技術(shù)，技術(shù)人員能夠還原匿名化處理的數(shù)據(jù)，導(dǎo)致數(shù)據(jù)脫敏技術(shù)“失靈”，直接威脅用戶的隱私安全。近年來，全球范圍內(nèi)的數(shù)據(jù)安全執(zhí)法案例基本圍繞個人信息的過度收集、濫用等主題。2019 年，F(xiàn)acebook 因違規(guī)向劍橋分析公司提供8700 萬條用戶個人信息，被美國聯(lián)邦貿(mào)易委員會（FTC）處以50億美元的罰金，這也是歷史上金額最大的隱私違規(guī)罰款。2021 年底，中國網(wǎng)絡(luò)空間安全協(xié)會發(fā)布《APP 違法違規(guī)收集使用個人信息監(jiān)測分析報告》，通報了12 類351 款A(yù)PP 中，有257 款由于存在“違反必要原則，收集與其提供的服務(wù)無關(guān)的個人信息”問題，被責(zé)令限期整改。

二是賬號泄漏、權(quán)限濫用和應(yīng)用程序編程接口（API）防護缺失。賬號作為主體訪問客體的重要憑證，在通過安全驗證后可以直接訪問數(shù)據(jù)庫、數(shù)據(jù)倉庫等載體的數(shù)據(jù)資源，因此一旦賬號憑證泄漏，將導(dǎo)致數(shù)據(jù)的直接泄漏。IBM Security發(fā)布的《2021年數(shù)據(jù)泄露成本報告》指出，數(shù)據(jù)泄漏事件中最常見的初始化攻擊路徑就是直接竊取憑證。而數(shù)據(jù)的合作共享導(dǎo)致數(shù)據(jù)資源的訪問量和訪問人員大幅增加，多樣化的訪問接入，容易引發(fā)數(shù)據(jù)權(quán)限管理不清、使用情況不明等安全問題，最終造成業(yè)務(wù)和數(shù)據(jù)資源違規(guī)訪問，釀成數(shù)據(jù)安全事件。API作為最重要的數(shù)據(jù)傳輸方式之一，也成為攻擊者竊取數(shù)據(jù)的重點攻擊對象。

三是數(shù)據(jù)安全狀態(tài)難以持續(xù)保障。隨著數(shù)據(jù)處理技術(shù)的不斷成熟，業(yè)務(wù)的持續(xù)擴大與數(shù)據(jù)應(yīng)用的不斷裂變，數(shù)據(jù)量呈PB 級迅速增長，海量、多元和非結(jié)構(gòu)化成為數(shù)據(jù)發(fā)展新常態(tài)。一方面，大量低質(zhì)量、關(guān)系模糊的數(shù)據(jù)存儲在分散的數(shù)據(jù)載體中，導(dǎo)致數(shù)據(jù)資產(chǎn)難以梳理，建立在數(shù)據(jù)資產(chǎn)梳理基礎(chǔ)之上的持續(xù)安全保障難以實施。另一方面，數(shù)據(jù)的快速流轉(zhuǎn)增加了數(shù)據(jù)安全持續(xù)保障的難度。數(shù)據(jù)在多個應(yīng)用場景下流動交互、數(shù)據(jù)載體和主體不斷變化，導(dǎo)致難以清晰地梳理數(shù)據(jù)與訪問主體、傳輸鏈路、承載環(huán)境、安全策略等的關(guān)系，增加安全防護難度。

數(shù)據(jù)信托的誕生

數(shù)據(jù)交易與一般商品交易的不同之處在于數(shù)據(jù)控制人所獲取的數(shù)據(jù)包含大量的他人信息，這些信息大多屬于數(shù)據(jù)主體的“生命密碼”，與數(shù)據(jù)主體的身份、隱私、情感乃至社會評價等緊密聯(lián)系在一起。因此，數(shù)據(jù)控制人所面臨的法律義務(wù)要求會顯著高于一般合同標(biāo)準(zhǔn)。此外，數(shù)據(jù)作為資產(chǎn)的特殊性還表現(xiàn)在個體數(shù)據(jù)的所有者與“大數(shù)據(jù)”的控制者以及“大數(shù)據(jù)”利益的享有者可能存在相互分離的現(xiàn)象。

因此，數(shù)據(jù)資產(chǎn)的擁有、使用、收益等權(quán)能的分離與信托財產(chǎn)權(quán)屬的復(fù)合式安排具有充分的契合性。也就是說，數(shù)據(jù)資產(chǎn)成為信托財產(chǎn)在權(quán)利內(nèi)容與制度安排上具有合理性和可操作性，數(shù)據(jù)資產(chǎn)的各項權(quán)能安排可以通過信托財產(chǎn)制度得以有效設(shè)計和落實。

數(shù)據(jù)信托的實質(zhì)是在數(shù)據(jù)主體與數(shù)據(jù)控制人之間創(chuàng)設(shè)出信托法律關(guān)系，數(shù)據(jù)控制人基于數(shù)據(jù)主體的信任對數(shù)據(jù)享有更大的管理運用權(quán)限，同時也承擔(dān)更嚴格的法律信義義務(wù)。在這一法律關(guān)系中，數(shù)據(jù)主體既是數(shù)據(jù)信托的委托人也是受益人，數(shù)據(jù)控制人則是數(shù)據(jù)信托的受托人。數(shù)據(jù)控制人的數(shù)據(jù)管理運用權(quán)限包括但不限于訪問控制、訪問審核以及數(shù)據(jù)的匿名化處置等重要內(nèi)容，以平衡數(shù)據(jù)主體的隱私保護與數(shù)據(jù)可交易價值之間的緊張與沖突。與此同時，數(shù)據(jù)控制人還應(yīng)履行對數(shù)據(jù)主體的信義義務(wù)，這主要表現(xiàn)為信托法上的謹慎義務(wù)、忠實義務(wù)、保密義務(wù)等，不得損害數(shù)據(jù)主體的根本利益。相較于數(shù)據(jù)委托合同而言，數(shù)據(jù)信托的建立顯示出更多的靈活性和優(yōu)越性，因而成為數(shù)據(jù)權(quán)利義務(wù)關(guān)系結(jié)構(gòu)化安排的理想工具。

數(shù)據(jù)信托立足于財產(chǎn)權(quán)的移轉(zhuǎn)與分離設(shè)計，有助于克服委托合同機制下“知情-同意”隱私保護模式的種種弊端，有效對抗數(shù)據(jù)控制人“鉆合同空子”的“機會主義”傾向，通過重置數(shù)據(jù)主體與數(shù)據(jù)控制人之間的權(quán)益結(jié)構(gòu)，把數(shù)據(jù)控制人的數(shù)據(jù)權(quán)限與數(shù)據(jù)義務(wù)有效鏈接起來，進而為數(shù)據(jù)主體提供更為可靠的信息權(quán)利乃至信息安全保障。

國外數(shù)據(jù)信托發(fā)展情況

數(shù)據(jù)信托的政府層面認可

2016 年，美國耶魯大學(xué)教授杰克·巴金（Jack M.Balkin）在隱私數(shù)據(jù)保護領(lǐng)域首次提出采用信托工具解釋數(shù)據(jù)主體與數(shù)據(jù)控制人之間關(guān)系的主張，該主張迅速得到學(xué)界關(guān)注并被逐漸接受。2018 年，美國出臺《2018 年數(shù)據(jù)保護法》，在線服務(wù)提供商收集和使用最終用戶數(shù)據(jù)確立了明確的信托義務(wù)，明確要求在線服務(wù)提供商對用戶及其相關(guān)數(shù)據(jù)承擔(dān)謹慎、忠實和保密義務(wù)。

2017 年《英國人工智能產(chǎn)業(yè)發(fā)展報告》建議：利用數(shù)據(jù)信托制度建立數(shù)據(jù)投資治理架構(gòu)，以確保數(shù)據(jù)交換安全互利。英國開放數(shù)據(jù)研究所（Open Data Institute，簡稱ODI）《2020 數(shù)據(jù)信托報告》指出，其在2018 年10月即采用了對數(shù)據(jù)信托的有效定義，把數(shù)據(jù)信托定義為“提供獨立數(shù)據(jù)管理權(quán)的法律結(jié)構(gòu)”。該定義旨在描述一種數(shù)據(jù)管理方法，在形式上完全類似于土地信托等。

2019年，印度在《2019年個人數(shù)據(jù)保護法案》中定義“數(shù)據(jù)受托者（Data Fiduciary）”相關(guān)概念，要求無論單獨還是與他人共同決定，任何涉及到處理個人數(shù)據(jù)的人員都需向政府登記成為數(shù)據(jù)受托者，受政府監(jiān)管。

數(shù)據(jù)信托在社會層面的應(yīng)用

2016 年，微軟將其云產(chǎn)品 Azure、Office 365 以及Dynamics CRM Online等托管在德國境內(nèi)的多座數(shù)據(jù)中心。微軟公司對德國客戶數(shù)據(jù)的訪問行為將受到嚴格控制，相關(guān)工作由德國數(shù)據(jù)信托廠商T-Systems 公司（德國電信公司旗下的獨立子公司）負責(zé)。如果得不到德國電信或者客戶自身的許可，微軟公司將無法接觸到這部分數(shù)據(jù)。而且即使獲得了相關(guān)權(quán)限，該信托方仍將繼續(xù)對微軟的實際訪問流程進行監(jiān)督與控制。

2018 年，谷歌母公司Alphabet 旗下的人行道實驗室（Sidewalks Labs）提議使用獨立的數(shù)據(jù)信托，來管理其在加拿大多倫多碼頭區(qū)（Quayside）智能城市項目開發(fā)中收集的數(shù)據(jù)。2019 年，該實驗室確認把數(shù)據(jù)信托作為其智慧城市發(fā)展的一部分。

2020 年，國際知名保險機構(gòu)韋萊韜悅（Willis Towers Watson）成為早期在金融業(yè)試驗數(shù)據(jù)信托的公司之一。韋萊韜悅聯(lián)合其多家客戶，結(jié)成“最簡可行聯(lián)盟”（Minimal Viable Consortia，簡稱MVC），旨在測試數(shù)據(jù)信托概念并嘗試應(yīng)用于真實商業(yè)場景中。

此外，斯坦福數(shù)字民間社會實驗室、劍橋大學(xué)計算機系、Facebook、Johns Hopkins University、Open Corporates 和Truata 等機構(gòu)及企業(yè)也積極嘗試應(yīng)用數(shù)據(jù)信托方案。雖然目前已有關(guān)于數(shù)據(jù)信托的不少實踐項目，但相關(guān)實踐基本只在機構(gòu)內(nèi)部小范圍進行或因社會公眾抗議而中止，實施效果仍待進一步驗證。

我國數(shù)據(jù)信托發(fā)展情況

我國正在逐漸以政策和法規(guī)方法完善數(shù)據(jù)產(chǎn)權(quán)制度，部分企業(yè)開始不斷創(chuàng)新探索數(shù)據(jù)資產(chǎn)商業(yè)模式，公眾的個人信息意識也明顯增強，不斷呼吁數(shù)據(jù)普惠的落實。

政策支持

2020 年3 月，《中共中央、國務(wù)院關(guān)于構(gòu)建更加完善的要素市場化配置體制機制的意見》指出，要加快培育數(shù)據(jù)要素市場，加強數(shù)據(jù)資源整合和安全保護，制定數(shù)據(jù)隱私保護制度和安全審查制度。

2021 年，我國數(shù)據(jù)要素市場建設(shè)進入法治化新時代?！毒W(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護法》以及地方數(shù)據(jù)條例等法律法規(guī)相繼頒布，數(shù)據(jù)要素市場的基礎(chǔ)法律架構(gòu)已經(jīng)初步建立，為數(shù)據(jù)要素合規(guī)運行奠定了有法可依的規(guī)范性基礎(chǔ)。

社會應(yīng)用

當(dāng)前，國內(nèi)一些數(shù)據(jù)交易平臺越來越帶有一定程度的數(shù)據(jù)信托色彩。

2014 年以來，由貴陽、上海等數(shù)據(jù)生態(tài)活躍地區(qū)政府主導(dǎo)的數(shù)據(jù)交易所模式紛紛涌現(xiàn)，通過建立數(shù)據(jù)供應(yīng)方與需求方共享的交易平臺連接數(shù)據(jù)供需，以第三方專業(yè)技術(shù)和政府資質(zhì)完成監(jiān)管與加密支持，最終實現(xiàn)數(shù)據(jù)的交易流通。如果這些數(shù)據(jù)交易所更加突出其第三方專業(yè)監(jiān)督角色，從技術(shù)手段、商譽積淀和現(xiàn)實需求來看，也有可能成為行業(yè)內(nèi)外都認可的數(shù)據(jù)信托機構(gòu)。

2016年11月，中航信托發(fā)行了首單基于數(shù)據(jù)資產(chǎn)的信托產(chǎn)品，總規(guī)模為3000 萬元，這對我國信托業(yè)界來說是數(shù)據(jù)信托的首創(chuàng)產(chǎn)品。在該產(chǎn)品設(shè)計中，委托人數(shù)據(jù)堂將自己所持有的數(shù)據(jù)資產(chǎn)作為信托財產(chǎn)設(shè)立信托，并通過信托受益權(quán)轉(zhuǎn)讓獲得現(xiàn)金收入，受托人中航信托委托數(shù)據(jù)服務(wù)商對特定數(shù)據(jù)資產(chǎn)進行運用增值并產(chǎn)生收益，向社會投資者進行信托利益分配。此過程既完成了資金的循環(huán)，同時也完成了數(shù)據(jù)資產(chǎn)信托財產(chǎn)的閉環(huán)。

2021 年，北京國際大數(shù)據(jù)交易所正式成立，作為打造“國家服務(wù)業(yè)擴大開放綜合示范區(qū)”和“中國（北京）自由貿(mào)易試驗區(qū)”的重要組成部分，其發(fā)展能為日后數(shù)據(jù)信托在國內(nèi)的廣泛實踐打好平臺基礎(chǔ)。

2021 年8 月，清華X-Lab 數(shù)據(jù)經(jīng)濟實驗室聯(lián)合北京互聯(lián)網(wǎng)法院、中航信托等多方主體共同研究設(shè)計的“數(shù)據(jù)信托”中國版方案——“數(shù)據(jù)資產(chǎn)信托合作計劃”對外公布，該方案集成了法律、技術(shù)、政策與資本等多維度內(nèi)容，同時計劃在數(shù)字版權(quán)、“雙碳”綠色能源、醫(yī)療醫(yī)保、船舶國際航運4個行業(yè)開展試點和立項。

符合我國發(fā)展方向的中國版數(shù)據(jù)資產(chǎn)信托已開始了初步的探索與實踐。

結(jié)語

現(xiàn)在，大數(shù)據(jù)產(chǎn)業(yè)已進入蓬勃發(fā)展、應(yīng)用普及的新階段。信息技術(shù)快速迭代以及全球性疫情的持續(xù)，促使人們更快地適應(yīng)互聯(lián)網(wǎng)時代的新場景。在這一環(huán)境下，商業(yè)模式發(fā)展往往會比政策更超前、更主動地嘗試大數(shù)據(jù)產(chǎn)業(yè)中的新方式。在數(shù)據(jù)的經(jīng)濟屬性被日益確認和強調(diào)的今天，對個人數(shù)據(jù)財產(chǎn)權(quán)益的分配不應(yīng)是零和博弈，而應(yīng)當(dāng)努力實現(xiàn)社會各方主體的共贏。數(shù)據(jù)信托為有效平衡數(shù)據(jù)主體與數(shù)據(jù)控制人的數(shù)據(jù)權(quán)益結(jié)構(gòu)，維護數(shù)據(jù)安全，促進和保障數(shù)據(jù)市場健康發(fā)展等方面提供了新視角和新思路，成為一種值得嘗試的數(shù)據(jù)治理新模式。