新闻视角 > 智识研究 > 信息详情

个人数字资产的“中国式”受托机制探索——基于英美不同进路的启示

2018-10-16 来源:


      随着个人数据权利及数据商业价值的兴起,处理个人隐私及信息安排与数据商业价值的挖掘与创新必然面临诸多现实问题亟待解决;其中,信任安全是核心。适度借鉴“机制信任”的美国进路,而不要执着于“主体信任”的欧盟进路,则可以作为我国个人数据保护与应用的有益尝试。

 

      2018 年5 月25 日,欧盟正式实施两年前制定的《通用数据保护条例》【General Data Protection Regulation(GDPR)(EU)2016/679】,针对个人数据保护和使用进行了空前严格的规定,将个人数据权利作为基本人权和自由加以尊重和保护。

      而在2015 年7 月,美国统一州法委员会已制定通过《受托人访问数字资产统一法案(2015 年修正)》【Revised Uniform Fiduciary Access to Digital Assets Act(RUFADAA)(2015)】,并将其作为美国各州相关立法的示范参照版本。该法案更侧重个人数据的使用,从数据受托方的访问权利和数据保管方的披露义务两个角度,对个人数据资产的使用和保护进行了规范。

      尽管两部法律在内容上不具有完全对等的可比性,但差异化的立法导向却十分显著:是保护个人数据所有者的自由,隐私权利至上?还是鼓励数据的流动,使用价值优先?两部法律规范的宗旨虽然没有体现非此即彼的泾渭分明,但分析和比较其显著差异,对于我国个人数据及数字资产的保护与使用具有启发意义。

 

GDPR“主体信任”进路:个人数据“所有者”的权利与自由

      《通用数据保护条例》由欧盟议会和理事会于2016 年4 月制定通过,2018 年5月生效执行。条例共99 条,被业界称为欧盟史上“最严苛”数据立法文件。

      界定个人数据,突出“主体”地位

      GDPR 采取规定数据主体(data subject)的方式直接对个人数据进行界定,与已识别或可识别自然人相关的任何信息都是个人数据(personal data)。对于“可识别”自然人的判断因素涵摄范围非常广泛,包括姓名、身份证件号码、地址、在线身份识别数据,或者其他能够识别自然人的物理、心理、基因、情感、经济、文化及社会因素(参见《通用数据条例》第4 条)。

      GDPR 界定个人数据时,开宗明义规定了数据主体,彰显了数据所有者的地位,由此,所有已识别和可识别该主体的相关信息就都成为该“主体”可以主张权利的范围。可见GDPR 对自然人的保护是源于对数据所有者和数据所有权的优先尊重。

      限制数据使用,保障“主体”权利

      GDPR 对个人数据的使用也采取了严苛的限制措施,以维护数据主体利益为先,具体表现在四个方面:其一,使用目的限制。GDPR 第5 条规定,收集个人数据必须具有“具体、明确及合法”的目的,且对该数据的加工不能与初始目的不兼容。其二,数据最少使用原则。GDPR 第5 条进一步规定,加工数据应仅限于既定目的,减少不必要性。其三,特殊数据类型区别对待。GDPR 第9 条规定,原则上禁止收集和加工与种族、民族、政治观点、宗教信仰以及与自然人基因、生理、性取向等有关或相关的数据,除非数据主体明确同意或存在其他既定情形。换言之,上述数据是被原则禁止使用、例外可使用的特殊类型。其四,自动决策干预权。根据GDPR 第22条规定,对于完全基于自动化决策得出的结果,数据主体可以不受其约束,除非满足数据主体明示同意等例外适用条件。实务中,对一些纯粹基于智能合约做出的决策,数据主体可以不接受其约束而拒绝履行。分析上述四个方面对个人数据使用限制的规定,可以说该条例对数据主体权利的保护是充分的,但是与大数据的使用趋势是不兼容的(Tal Z. Zarsky, Incompatible: The GDPR in the Age of Big Data, Seton Hall Law Review, vol.47:995),因为其限制了数据的流动及使用能够产生的价值。

      设立数据保护官,强化“主体”保护

      GDPR 第37 ~ 39 条对数据保护官作了特别规定。对于一些特殊机构,如公共部门、大规模及常规需要使用加工数据的机构、主要职能为大规模处理特殊种类数据的机构,在加工和使用个人数据的营业过程中,应当指定数据保护官(data protection officer)并独立履行职责,保障数据使用及加工机构的合法法规经营,保护数据主体利益。

      上述三个方面的规定在相当程度上体现了GDPR 对数据主体的广泛甚至全方位的保护。由于GDPR 的适用范围采取属人原则,即只要数据主体是欧盟成员,那么无论数据收集者或加工者是否在欧盟境内,都要适用该条例。

      除此之外,条例还规定了严格的处罚措施。对于违反条例的故意及重大过失行为,最高可以触发2000 万欧元或全球收入额4% 比重的处罚金额(从金额高者。参见《通用数据条例》第83 条)。尽管其实际执行效果究竟能否实现其立法初衷尚待时间检验,但如此严格的立法规定连欧盟学者都直呼担心制度超载,成为条例本身不能承受之重(Nadezhda Purtova, The Law of Everything. Broad Concept of Personal Data and Future of EU Data Protection Law, Law, Innovation and Technology, 2018, Vol. 10, No.1, 40-81)。

图1.png


图2.png

      RUFADAA“机制信任”进路:个人数据“使用者”的效率与边界

      《受托人访问数字资产统一法案(2015 年修正)》(RUFADAA)由美国统一州法委员会制定,于2015 年制定通过修正案。美国统一州法委员会制定和通过的法案虽然本身不具有法律效力,但是可作为各州相关立法的范本和参照,具有共识的权威性和专业性。自RUFADAA 制定并被修正以来,已被大多数州立法所采纳(last visited Jun. 4, 2018)。该法案甚至被称为“网络时代受信义务法的现代版本(modernize fiduciary law for the Internet age)”(Victoria Blachly, Inadequate Laws, Uniform Fiduciary Access to Digital Assets
Act: What UFADAA know, American Bar.ORG),其不同于GDPR 对数据主体——“人”的权利主张规定,将个人数据视为数字资产(digital assets),法律规范的作用对象是“数据”而非主体。

      RUFADAA 明确将个人数据视为数字资产对待。将“数字资产”定义为“自然人具有权利或利益的电子记录”,具体可以分为五种形式(last visited Jun. 4, 2018)Elizabeth Sy, The Revised Uniform Fiduciary Access to Digital Asset Act: Has the Law Caught up with Technology? Touro Law Review, Vol. 3 [2016], No.3, Art.7):(1)电子文件,如电子邮件,微软办公系统的各类形式文件等;(2)社交媒体账号,如脸书、领英等媒体账号;(3)金融资产,如PayPal、Amazon 钱包账户;(4)商业资产,如数字化客户信息、数据库、专利、域名、网页等;(5)其他形式资产,如博客账户内容、线上音乐及视频、线上游戏等。

      储这些电子记录的公司和机构就是保管人(custodians),通过与数据用户(数据主体)签订服务条款协议(Terms of service agreement, TOSA)保管用户的数字资产。而对于接受数据用户委托或信托的受信义务人(fiduciaries),如用户代理人、受托人等,是否有权访问该数字资产以及与保管人之间的权利义务分配,则是该法案规制的重点,从数据受信义务人(fiduciaries)访问权以及数据保管人(custodians)披露义务两个维度加以规制,最终实现对数据主体(数据用户)权利的保护。

      受信义务人的数据访问权

      RUFADAA 规定了四类受信义务人, 分别为数据用户的个人代表(personal representatives)、遗产处置人(conservators)、代理人(agents)及受托人(trustees)。这四类受信义务人根据数据用户与保管人签订的线上指引(online tool)或书面文件同意及授权(如通过遗嘱、代理授权书或信托文件),有权访问其数字资产,数据保管人不得以TOSA 对抗。也就是说,受信义务人能否访问数据用户的数字资产,规则的优先适用顺序为:数据用户与保管人签订的线上指引>数据用户的书面授权>TOSA 规定的格式文本。现实示例中,代理人经授权可以访问数据用户存在云服务器或本地服务器的商业文件,财产执行人经授权可以分配处置数据用户在比特币账户中的数字财产。相应地,服务器管理人及比特币保管人不得拒绝上述受信义务人对数字资产的访问和处置。

图3.png

      保管人的数据披露义务

      如果数据用户的受信义务人能够明确证实其具有访问权限,用户数字资产的保管人就必须遵循其请求,向其披露相应的数字资产。当然,保管人有义务告知数据用户其受信义务人意欲访问其数字资产或终止其账户的事实,相应地,如果受信义务人没有获取或证明相应授权,保管人有权拒绝其访问用户数字资产并作为其披露义务豁免的理由。

      由此可见,针对数据用户的数字资产,账户保管人的披露义务与用户受信义务人的访问权利之间的博弈是通过RUFADAA 明确的规范机制实现的,这种对个人数据的保护不是依赖于数据主体个人权利的彰显,而是通过法律规范的“机制信任”实现的。受信义务人访问和处置权利的边界在于其受信义务的履行。账户保管人义务的边界则是TOSA 的基础,但不得对抗数据用户的受信义务人在获得明确授权下访问数据用户数字资产的意图。

      在受托机制下实现数据的高效流动与价值创造

      个人自由与数据自由的博弈

      “使所有点发生联系”的相关性逻辑是支撑大数据技术及数据科技发展的本源,而“所有点”上的个体数据是大数据技术的基础和原料,只有数据的自由流动,才能实现所有点的互联。从这个角度,孤立的个人数据对大数据的贡献度会被降低或折损,只有数据主体对其数据权利进行必要让渡,从狭义的所有权和控制权走向使用权和共享互联,才是成就大数据技术的关键所在。

      个人数据自由及隐私保护与数据互联的价值创新之间存在必然张力,体现了一定程度的博弈与取舍。对此,GDPR 给出了明确的选择方案,即以维护个人自由为本位,数据自由是人身自由的一部分,对个人数据的保护与对数据主体的保护是一致
的。这在更广泛意义上尊重了数据主体的权利,却在一定程度上与数据科学的发展逻辑相冲突,人为限制了数据的流动,遏制了数据互联可以创新、创造价值的空间。同时,对个人数据过多保护的执法和惩戒成本加重了限制数据流动和使用的威慑力,进一步抑制了数据自由流动和组合创新的空间和可能性。

      数据受托机制的建立:兼顾自由与效率

      相较而言,美国的RUFADAA 法案更为务实和开放,通过法律规制的方式保护数字资产的合理流动,平衡数字资产的访问自由与披露义务,实现数字资产被更多利益相关方共享使用,进而最大限度地实现数字资产价值,即数据的价值在于动态的使用,而非静态的存储。

      这意味着在个人数据自由与数据使用效率之间其实还存在一个可以通润、减压的桥梁,就是数字资产的受托机制。一方面,数据用户的受信义务人要以维护数据用户的主体利益为前提,这是其履行忠实义务和注意义务的前提,确保数据的访问和使用按照数据用户的意愿,以维护其利益。另一方面,除数据用户之外的受信义务人同样得以访问和处置数字资产,对数据而言,意味着扩大了被利用的效率,可以在更大程度上实现数据价值,有助增加社会和经济福利。

      将信托机制和受信义务应用于数字资产的管理,从而创造更大的数据价值可以说是在网络时代彰显信托制度优势、自我更新的有力证明;也是进入财富数字化时代后,法制基础设施有效跟进发展的有力证明。

      建立个人数据保护的“中国式”受托机制

      《网络安全法》的立法定位与特色

      相较欧盟的GDPR 和美国的RUFADAA,我国的《网络安全法》主要是从国家和社会民众信息安全的角度加以强化规范的,并设立专章突出网络运营商的安全义务及个人信息保护机制的完善,可以说兼顾了欧盟数据规制的安全观和美国数据法制的实效性,能够在有效保护国家和公民个人数据安全的制度基础上,平衡数据的使用和共享价值,实现数据商业价值的发掘和应用。

      虽然《网络安全法》没有明确提出数字资产的概念,但是从立法规范的结构角度看,第四章“网络信息安全”的规定,将个人信息保护结合商业应用场景,规范了网络运营者的数据收集、使用义务,同时赋予其将个人数据“脱敏”使用的权利,对数据商业价值的利用给予了合理的尊重和保护。

      然而,对于除个人用户之外的利害相关人是否可以向网络运营者主张数据访问的权利以及网络运营者的相应披露义务,《网络安全法》并没有给予规制。而这显然需要相关法律的配合规制,才能更加有效、全面地保护个人信息,发挥数据使用价值。

      受托机制立法规范的完善

      如前所述,借鉴美国RUFADAA 的立法规范,个人数据用户的利害相关人,如代理人及受托人在既定条件下可以向数据报告人主张数据访问权利。这在我国与信托法制相关的立法规范中尚未涉及。在数字化生存时代,尤其是财富形式向数字化演变的当下,如何保护和利用个人的数字财产与数字财富,是我国信托制度应着重面对的时代课题。

      其一,从信托财产角度,受托人在事务管理类业务中,能否接受委托人的委托,访问并管理存储于网络运营商的委托人数字财产,比如其个人数据信息和相应权益?相应地,网络经营者又该如何履行相应的披露和配合义务?进而言之,委托人的数据信息和数字资产能否成为信托财产,由受托人按照委托人意愿和信托目的进行管理,是关涉信托财产类型拓展的基础法律问题。

      其二,从受托人角度,在受托人可以管理委托人的个人数据前提下,受托人的尽职管理义务如何细化,受托数据资产的内部管理如何与外部网络运营商的技术系统对接,如何搭建受托人自身的技术系统和优化运营能力?同样是关系受托人内部机构治理以及履行受信义务标准的基础法律问题。

      综上所述,随着个人数据权利及数据商业价值的兴起,处理个人隐私及信息安排与数据商业价值的挖掘与创新必然面临诸多现实问题亟待解决;其中,信任安全是核心。个人资产受托机制的建立,借助信托财产独立性和受托人尽职义务的制度安排,可以成为搭建数据用户与数据运营商之间信任关系的桥梁,适度借鉴“机制信任”的美国进路,而不要执着于“主体信任”的欧盟进路,可以作为我国个人数据保护与应用的有益尝试。建立个人数据保护的“中国式”受托机制,则是信托制度优越性发挥可持续创新活力的体现,也是信托公司探索业务转型的有益方向。



作者:袁田  中航信托研发与产品创新部负责人

本文刊登于《当代金融家》2018年第6期




 

关键词:

热点资讯排行榜

1、【人文大讲堂】铿锵激越的八一精神——谨以此期纪念八一南昌起义暨中国人民解放军建军89周年 2、【中国故事】长征!长征!(三):长征中的神奇军团 3、【中国故事】长征!长征!(一):解密大渡河之战(上) 4、服务“一带一路”国家战略 中航信托见证中国电信与英国Global Switch签约 5、持续聚焦消费升级—— 中航信托联手魔方成立百亿基金打造长租公寓新业态 6、围绕国家工业4.0战略 中航信托携手仲德资本成立“中国制造2025”产业投资基金 7、不忘初心 知行合一 ——中航信托召开2017年度工作会议 8、以开放金融迎接未来产业—— 中航信托与匈牙利摩根斯达集团签署全面战略合作协议