一、背景

　　8月上旬，滴滴出行通過(guò)官方微博否認(rèn)了讓渡數(shù)據(jù)權(quán)的傳聞。在此之前，路透曾援引內(nèi)部知情人士的消息，聲稱(chēng)國(guó)內(nèi)某信息安全公司將成為管理滴滴存儲(chǔ)在國(guó)內(nèi)的海量數(shù)據(jù)的主要第三方公司。

　　本文并不關(guān)注滴滴出行是否讓渡數(shù)據(jù)權(quán)。

　　真正重要的是，讓渡數(shù)據(jù)權(quán)的模式能否達(dá)到監(jiān)管的要求。因?yàn)樵诮诟懊繧PO的案例中，已經(jīng)出現(xiàn)了另設(shè)公司，讓渡數(shù)據(jù)權(quán)的模式，以符合中國(guó)網(wǎng)信部門(mén)監(jiān)管的要求。

　　在7月上旬征求意見(jiàn)的《網(wǎng)絡(luò)安全審查辦法（修訂草案征求意見(jiàn)稿）》中，擬新增一條“掌握超過(guò)100萬(wàn)用戶(hù)個(gè)人信息的運(yùn)營(yíng)者赴國(guó)外上市，必須向網(wǎng)絡(luò)安全審查辦公室申報(bào)網(wǎng)絡(luò)安全審查”的要求。

　　如果數(shù)據(jù)由獨(dú)立或半獨(dú)立的第三方機(jī)構(gòu)所控制，上市主體與數(shù)據(jù)在法律與技術(shù)上完全隔離，讓自己客觀不掌握任何個(gè)人信息，那么或許可以讓美國(guó)證券監(jiān)管部門(mén)和執(zhí)法部門(mén)在法律上沒(méi)有機(jī)會(huì)獲取數(shù)據(jù)，并進(jìn)一步規(guī)避“掌握超過(guò)100萬(wàn)用戶(hù)個(gè)人信息”的審查閾值。

　　但這也只是存在理論上的可能，更重要的是這種模式需要獲得網(wǎng)絡(luò)安全審查部門(mén)的認(rèn)可。

　　而這種委托第三方處理數(shù)據(jù)的模式，就非常類(lèi)似“數(shù)據(jù)信托”。

　　二、何為“數(shù)據(jù)信托”

　　在2021年《麻省理工科技評(píng)論》發(fā)布的“十大突破性技術(shù)”，一種新型數(shù)據(jù)利用制度——“數(shù)據(jù)信托”位列該榜單。數(shù)據(jù)信托是對(duì)數(shù)據(jù)進(jìn)行管理和決策的新概念。個(gè)人和團(tuán)體將其數(shù)據(jù)委托給數(shù)據(jù)信托受托人，按照預(yù)設(shè)的隱私策略或者條款進(jìn)行管理。英國(guó)開(kāi)放數(shù)據(jù)研究所將數(shù)據(jù)信托界定為一種提供獨(dú)立數(shù)據(jù)管理的法律結(jié)構(gòu)。

　　在翟志勇副教授的論文《論數(shù)據(jù)信托：一種數(shù)據(jù)治理的新方案》中認(rèn)為：

　　一個(gè)數(shù)據(jù)信托必備的要素包括：一個(gè)明確的目的、一個(gè)法律結(jié)構(gòu)（包括委托人、負(fù)有信托責(zé)任的受托人和受益人）、對(duì)所管理的數(shù)據(jù)的（一些）權(quán)利和義務(wù)、一個(gè)明確的決策過(guò)程、對(duì)如何分享利益的描述、可持續(xù)的資金。

　　翟志勇：《論數(shù)據(jù)信托：一種數(shù)據(jù)治理的新方案》，載《東方法學(xué)》2021年第4期

　　數(shù)據(jù)信托只是冠以“信托”之名，法律關(guān)系的基礎(chǔ)并非是《信托法》，而是《民法典》《個(gè)人信息保護(hù)法》《數(shù)據(jù)安全法》與《網(wǎng)絡(luò)安全法》，圍繞個(gè)人信息的授權(quán)、共享建立的法律關(guān)系。

　　在具體實(shí)現(xiàn)的方式上， 需要產(chǎn)品（服務(wù)）提供者與信息處理者實(shí)現(xiàn)身份的分離。原本提供產(chǎn)品（服務(wù)）的企業(yè)，天然就會(huì)對(duì)消費(fèi)者的數(shù)據(jù)進(jìn)行收集，但為了實(shí)現(xiàn)隔離，數(shù)據(jù)收集、處理的工作會(huì)完全交易（半）獨(dú)立的第三方來(lái)完成，第三方的收集、處理與提供產(chǎn)品（服務(wù)）的企業(yè)直接關(guān)系，而是通過(guò)簽訂一份長(zhǎng)期的數(shù)據(jù)托管協(xié)議明確雙方的權(quán)利義務(wù)。

　　法律關(guān)系大致如下：

　　無(wú)獨(dú)有偶，微軟的云計(jì)算服務(wù)Azure在德國(guó)也采用來(lái)了類(lèi)似于數(shù)據(jù)托管的模式。德國(guó)數(shù)據(jù)托管方是一家獨(dú)立的公司，其總部、注冊(cè)地、所有權(quán)和控制權(quán)均在德國(guó)，并受德國(guó)法律管轄。對(duì)于德國(guó)微軟Azure，德國(guó)電信的子公司T-Systems國(guó)際公司被簽約為數(shù)據(jù)托管方。數(shù)據(jù)托管方模式的主要特點(diǎn)是，微軟只有在符合合同規(guī)定的情況下，才會(huì)被數(shù)據(jù)托管方或客戶(hù)授權(quán)并在其監(jiān)督下訪問(wèn)客戶(hù)數(shù)據(jù)。

　　由于微軟沒(méi)有保管或訪問(wèn) Microsoft Cloud Germany 的客戶(hù)數(shù)據(jù)，因此，即使任何國(guó)家的執(zhí)法部門(mén)或法律制度指示，Microsoft 也無(wú)法滿(mǎn)足政府或其他方對(duì)客戶(hù)數(shù)據(jù)的訪問(wèn)請(qǐng)求。建議提出客戶(hù)數(shù)據(jù)請(qǐng)求的任何各方聯(lián)系客戶(hù)或數(shù)據(jù)托管方，后者是客戶(hù)之外唯一能夠提供此類(lèi)數(shù)據(jù)訪問(wèn)權(quán)的實(shí)體。

　　除了微軟Azure在德國(guó)的模式，蘋(píng)果的“云上貴州”，以及去年一度傳出的TikTok與甲骨文的合作方案都是遵循了類(lèi)似的思路。

　　三、如何搭建數(shù)據(jù)信托架構(gòu)

　　搭建數(shù)據(jù)信托架構(gòu)還沒(méi)有統(tǒng)一的模式，需要逐案討論，但仍有些共性?xún)?nèi)容可以總結(jié)：

　　1.在數(shù)據(jù)信托的法律框架下，隱私政策中的信息處理者將是（半）獨(dú)立的第三方，而非直接提供產(chǎn)品（服務(wù)）的企業(yè)。

　　2.數(shù)據(jù)托管協(xié)議的期限應(yīng)盡可能拉長(zhǎng)。因?yàn)榉蓪?duì)數(shù)據(jù)權(quán)屬缺少規(guī)定，因此協(xié)議文本需要更加清晰地界定數(shù)據(jù)的內(nèi)涵與外延。

　　3.隔離提供產(chǎn)品（服務(wù)）的企業(yè)與處理數(shù)據(jù)的第三方，不僅有賴(lài)于雙方簽訂的協(xié)議條款，也需要配套的技術(shù)與管理措施。方案如果通過(guò)加密的方式確保無(wú)法獲取數(shù)據(jù)，則需要遵守《密碼法》的相關(guān)規(guī)定。

　　4.《數(shù)據(jù)安全法》與《個(gè)人信息保護(hù)法》中，數(shù)據(jù)處理者未經(jīng)批準(zhǔn)不得向境外司法、執(zhí)法部門(mén)提供數(shù)據(jù)的條款需要盡快落地，明確責(zé)任部門(mén)、審批條件與審批流程。

　　5.因?yàn)槠髽I(yè)剝離了數(shù)據(jù)處理能力，本質(zhì)上是剝離了傳統(tǒng)很大一部分“數(shù)據(jù)資產(chǎn)”，所以可能會(huì)對(duì)企業(yè)數(shù)字化營(yíng)銷(xiāo)帶來(lái)一定的負(fù)面影響。

　　6.聯(lián)邦學(xué)習(xí)或類(lèi)似隱私計(jì)算技術(shù)，或許可以幫助企業(yè)在不接觸數(shù)據(jù)的情況下利用數(shù)據(jù)。但聯(lián)邦學(xué)習(xí)等技術(shù)目前仍然存在局限性。

　　數(shù)據(jù)信托能否獲得中美兩國(guó)監(jiān)管部門(mén)的認(rèn)可，其實(shí)尚有待觀察，有待在實(shí)踐中檢驗(yàn)。但數(shù)據(jù)信托的構(gòu)建，確實(shí)不失一條存在可能性，并且值得探索的道路。