一、背景

　　8月上旬，滴滴出行通過官方微博否認了讓渡數據權的傳聞。在此之前，路透曾援引內部知情人士的消息，聲稱國內某信息安全公司將成為管理滴滴存儲在國內的海量數據的主要第三方公司。

　　本文并不關注滴滴出行是否讓渡數據權。

　　真正重要的是，讓渡數據權的模式能否達到監管的要求。因為在近期赴美IPO的案例中，已經出現了另設公司，讓渡數據權的模式，以符合中國網信部門監管的要求。

　　在7月上旬征求意見的《網絡安全審查辦法（修訂草案征求意見稿）》中，擬新增一條“掌握超過100萬用戶個人信息的運營者赴國外上市，必須向網絡安全審查辦公室申報網絡安全審查”的要求。

　　如果數據由獨立或半獨立的第三方機構所控制，上市主體與數據在法律與技術上完全隔離，讓自己客觀不掌握任何個人信息，那么或許可以讓美國證券監管部門和執法部門在法律上沒有機會獲取數據，并進一步規避“掌握超過100萬用戶個人信息”的審查閾值。

　　但這也只是存在理論上的可能，更重要的是這種模式需要獲得網絡安全審查部門的認可。

　　而這種委托第三方處理數據的模式，就非常類似“數據信托”。

　　二、何為“數據信托”

　　在2021年《麻省理工科技評論》發布的“十大突破性技術”，一種新型數據利用制度——“數據信托”位列該榜單。數據信托是對數據進行管理和決策的新概念。個人和團體將其數據委托給數據信托受托人，按照預設的隱私策略或者條款進行管理。英國開放數據研究所將數據信托界定為一種提供獨立數據管理的法律結構。

　　在翟志勇副教授的論文《論數據信托：一種數據治理的新方案》中認為：

　　一個數據信托必備的要素包括：一個明確的目的、一個法律結構（包括委托人、負有信托責任的受托人和受益人）、對所管理的數據的（一些）權利和義務、一個明確的決策過程、對如何分享利益的描述、可持續的資金。

　　翟志勇：《論數據信托：一種數據治理的新方案》，載《東方法學》2021年第4期

　　數據信托只是冠以“信托”之名，法律關系的基礎并非是《信托法》，而是《民法典》《個人信息保護法》《數據安全法》與《網絡安全法》，圍繞個人信息的授權、共享建立的法律關系。

　　在具體實現的方式上， 需要產品（服務）提供者與信息處理者實現身份的分離。原本提供產品（服務）的企業，天然就會對消費者的數據進行收集，但為了實現隔離，數據收集、處理的工作會完全交易（半）獨立的第三方來完成，第三方的收集、處理與提供產品（服務）的企業直接關系，而是通過簽訂一份長期的數據托管協議明確雙方的權利義務。

　　法律關系大致如下：

　　無獨有偶，微軟的云計算服務Azure在德國也采用來了類似于數據托管的模式。德國數據托管方是一家獨立的公司，其總部、注冊地、所有權和控制權均在德國，并受德國法律管轄。對于德國微軟Azure，德國電信的子公司T-Systems國際公司被簽約為數據托管方。數據托管方模式的主要特點是，微軟只有在符合合同規定的情況下，才會被數據托管方或客戶授權并在其監督下訪問客戶數據。

　　由于微軟沒有保管或訪問 Microsoft Cloud Germany 的客戶數據，因此，即使任何國家的執法部門或法律制度指示，Microsoft 也無法滿足政府或其他方對客戶數據的訪問請求。建議提出客戶數據請求的任何各方聯系客戶或數據托管方，后者是客戶之外唯一能夠提供此類數據訪問權的實體。

　　除了微軟Azure在德國的模式，蘋果的“云上貴州”，以及去年一度傳出的TikTok與甲骨文的合作方案都是遵循了類似的思路。

　　三、如何搭建數據信托架構

　　搭建數據信托架構還沒有統一的模式，需要逐案討論，但仍有些共性內容可以總結：

　　1.在數據信托的法律框架下，隱私政策中的信息處理者將是（半）獨立的第三方，而非直接提供產品（服務）的企業。

　　2.數據托管協議的期限應盡可能拉長。因為法律對數據權屬缺少規定，因此協議文本需要更加清晰地界定數據的內涵與外延。

　　3.隔離提供產品（服務）的企業與處理數據的第三方，不僅有賴于雙方簽訂的協議條款，也需要配套的技術與管理措施。方案如果通過加密的方式確保無法獲取數據，則需要遵守《密碼法》的相關規定。

　　4.《數據安全法》與《個人信息保護法》中，數據處理者未經批準不得向境外司法、執法部門提供數據的條款需要盡快落地，明確責任部門、審批條件與審批流程。

　　5.因為企業剝離了數據處理能力，本質上是剝離了傳統很大一部分“數據資產”，所以可能會對企業數字化營銷帶來一定的負面影響。

　　6.聯邦學習或類似隱私計算技術，或許可以幫助企業在不接觸數據的情況下利用數據。但聯邦學習等技術目前仍然存在局限性。

　　數據信托能否獲得中美兩國監管部門的認可，其實尚有待觀察，有待在實踐中檢驗。但數據信托的構建，確實不失一條存在可能性，并且值得探索的道路。