【笔者按】作为QH法学院扫地僧，在参与学术讨论时，经历大脑风暴，总会爆发出一些“奇思”（但不一定都是“妙想”）。以下是2019年底在参与有关数据集保护的主题讨论会时，枯坐中码出的字以及补充。

在数据保护领域，当前美国对于信息信托模式的执念，有如大陆法国家（如中日）对于反不正当竞争法模式的坚持。但这部分的思考大多基于社会成本和政策角度，所以，笔者窃以为现阶段很多相关的立法和司法并不会给理论发展提供多少助力。因此，回归到理论层面，仍无法回避两个问题：（1）数据的性质与分类；（2）数据纠纷解决的场景化依赖。事实上就是一个大问题的两个维度。另外，如果将平台垄断牵扯进来，那问题就是公共管制与私权保护之间争议焦点的拉锯。

一、背景：2015年耶鲁大学法学院杰克· 巴尔金教授的文章

Balkin J M. Information fiduciaries and the first amendment[J]. UCDL Rev., 2015, 49: 1183.

虽然英美在隐私保护的路径上已然各行其道，但近来美国学者对于英国经验愈发感兴趣起来。特别是Facebook剑桥事件（详情请看2019年NETFLIX制作的纪录片《隐私大盗》）后，一方面是对政府强监管介入的呼声越来越大，一方面又有来自宪法第一修正案的挑战风险，导致传统的侵权法、合同法、FTC（美国联邦贸易委员会）的执法等法律工具都很难解决摆脱这一困难。由2015年，耶鲁大学教授Jack·Balkin撰写《信息信托与宪法第一修正案》一文，提出了一种新思路——信息信托（information fiduciaries）用以解决这一难题，该文得到了哈佛大学Jonathan·Zittrain等教授的声援。

（一）该文的背景

在电子商务平台对用户隐私数据使用方式层出不穷、数据挖掘利用深化的现状下，以提升用户 隐私数据保护为目的，美国耶鲁大学教授 Jack M. Balkin 于 2016 年率先提出在隐私数据保护领域， 应当运用信托说( information fiduciaries) 的新兴理论观点。该学说在短时间内迅速得到学界的关注，并逐渐被接受，特拉华州最高法院在其 2018 年的 Everett v. State 案中援引了信托说模式的部分内容。美国国会在 2018 年提出的数据保护法（The Data Care Act）立法草案第 3 条中，也针对网上 服务提供商（Provider）提出类似信托的标准，要求其对用户及其相关数据承担注意、忠诚、保密的义务。在信托说模式下，电子商务平台对用户的隐私数据承担忠实义务，只能为用户的最大利益服务，而不能够以牺牲用户的利益为代价成全自己的利益。

其实，Balkin教授的想法很简单：通过拟制一种“信托关系”，而不是“隐私权”、“合同”等方式去应对互联网公司使用消费者个人数据的问题。互联网公司拿了消费者数据，应该以消费者的最大利益为目标行事，而不是自身的最大利益目标为导向。这就像信托关系一样。

这样做有如下几个好处：

1、政府不需要强监管。信息信托整体而言依旧属于“市场”主导的解决方案，这样可以最大化防止政府介入；

2、企业依旧可以维持既有商业模式不变。

另外，Balkin指出，当前的问题核心是隐私保护与第一修正案之间的冲突。Balkin就开始具体剖析现有隐私法的理论及概念框架，现有法律工具（合同/隐私政策，侵权法）为什么不能很好的应对来自第一修正案的挑战。

（另可参见Balkin最近一篇文章：Balkin, Jack M., How to Regulate (and Not Regulate) Social Media (November 8, 2019). Available at SSRN: https://ssrn.com/abstract=3484114 or http://dx.doi.org/10.2139/ssrn.3484114）。

（二）关于平台责任与合同

虽然，专业上玩忽职守和职业违约通常是由合同引起的，但法院往往会就侵权责任予以执行，而不需要事先在合同中明确说明或双方明确同意，受损者依然可以获得侵权赔偿。关于信息职责也是如此，即使没有明示承诺不予透露、使用或出售信息，平台也有义务不以损害客户利益的方式行事或者使从业人员与患者、客户之间造成利益冲突。

为什么双方在这些关系中，不必通过合同来明确说明各自义务呢？

Balkin认为，隐性合同理论并不能真正回答这个问题，它只能用来解释在不予明确说明义务或者习惯性义务中产生的隐含条款。但是这些义务从哪里来？同样重要的是，为什么他们有时允许追讨侵权损害赔偿而不是更有限的合同违约赔偿？答案是医生、律师和会计师与他们的客户有特殊的信任和保密关系，这些就是信托关系。信托人（受托人）通常提供专业服务，或者为其委托人、受益方、客户管理资产或财产。然而，在绝大多数情况下，信托人也要处理敏感的个人信息。这是因为信托关系的本质核心是一种信任和保密关系，就包括了使用和交换信息。换句话说，像医生和律师这样的专业人士有信托义务，为他们在与客户关系过程中获得的个人信息赋予其特殊职责。因此，可以给他们一个特殊的名字，即信息信托人（信息受托人）。

为什么应该把平台与终端用户的信任关系称为信托关系？过去法律承认旧信托义务，基于同样的原因，当前对于平台Balkin认为也应该这么做：

• 第一，终端用户与许多平台的关系有显著的脆弱性。因为平台具有相当多的专业知识，而终端用户通常则不具备。这种信息不对称，容易造成监控能力缺失；
  
• 第二，终端用户处于对这些平台相对依赖的地位。平台提供了用户需要的许多不同种类的服务，用户必须希望平台不会滥用他们的信任或泄露用户的信息来伤害用户。
  
• 第三，在许多情况下（但不是全部），平台作为专家提供某些种类的服务，以换取用户的个人信息。例如，在线约会服务告诉用户，他们为用户匹配出了潜在志趣相投的朋友，在线交通服务说，平台会为用户匹配汽车，搜索引擎旨在为用户提供快速、有效的信息等等。
  
• 第四，平台知道其持有可能对用户不利且有价值的数据。因此，平台认为自己是与用户利益一致的可信赖组织，尽管平台也希望获利。平台将自己作为负责任和诚实的组织，将其力量用于合法的目的。
  

二、主要问题分析：数据权益场景化

此处的主要问题是：信托是需要以双方之间的信任为前提。那么在什么样的场景下，用户与平台之间构成信托？

这里需要考察的要点——“数据权益场景化保护”

（一）什么是场景化保护

在数据隐私的学术研究中，个人数据的场景化保护进路已经为很多学者认可。例如，以隐私场景理论著称的康奈尔大学的海伦 • 尼森鲍姆(Helen Nissenbaum)教授曾经指出，数据保护的基本原则与关键在于实现数据的“场景性公正”(contextual integrity)，即要在具体场景中实现个人数据与信息的合理流通。尼森鲍姆的理论之所以影响巨大，其理论中的“尊重场景”(respect for context)成为奥巴马政府时期起草的《消费者隐私权利法案》的指导思想，最重要的原因就在于其理论契合了个人数据保护的基本特征。此外，纽约大学的阿里 • 瓦尔德曼(Ari Ezra Waldman)教授也指出，不能以个人权利来理解隐私与个人信息或个人数据，因为隐私问题的本质在于信任，其权利的边界需要根据具体场景中的合理期待来确定。

在我国，目前笔者看到的是：

丁晓东. 数据到底属于谁?——从网络爬虫看平台数据权属与数据保护[J]. 华东政法大学学报, 2019 (5): 7.

丁教授在数据场景化保护中提及，在人人网的出售给多牛传媒的案例中，人人网出售前虽然也并未征求个体的同意，但由于人人网的出售并没有改变个人数据所使用的场景和预期，因此即使人人网的出售行为改变了网站数据的控制者，此种行为也并未直接对个人数据隐私造成威胁。只要人人网的购买者承担起个人数据保护的责任，在个人的合理预期内使用平台数据，个人的数据隐私就能得到合理的保护。[1]从法律责任的角度而言，这种责任更接近于“信托责任”而非“合同责任”。

大数据环境下需要平台承担信托责任，需要什么样的场景？——当前主要两点：一是对所涉及数据的性质与种类的判断；二是对所涉及的数据处分行为的判断。[2]

（二）所涉及数据的种类和性质

• [1] 针对信托所必须的财产权而言，这些用户数据是否属于财产或财产性权利，方才可以构成信托财产。虽然用户数据可能包含私密性与人格利益，但随着理论的发展，用户数据具有极高的经济价值，用户对隐私数据享有的权利属于财产或财产性权利的观点越来越受到学界甚至立法专家的认可（这个还值得继续讨论。而我国《信托法》第2条规定，信托是委托人基于对受托人的信任，将其财产权委托给受托人，由受托人的意愿以自己的名义，为受益人的利益或者特定目的，进行管理或者处分的行为）：
  
• a) 当然，根据崔导的理论（参见：崔国斌.大数据有限排他权的基础理论[J].法学研究,2019,41(05):3-24），大数据集合可以选择“特殊立法或邻接权保护所代表的财产权模式（绝对权或排他权）应该是更为合理的选择”；
  
• b) 此处就类似与数据权属问题高度依赖场景，这意味着，维护数据权益必须采取场景化的保护方式。通过在具体场景中确定数据的性质与类型，并根据具体场景中各方的合理预期来确定相关主体的数据权益，这是解决数据权属与数据争议的更好方式。
  

当前在繁多的中外文献中最信服的数据分类定义为：OECD在 2019年11月发布的《加强数据访问与分享报告》中对于数据的分类（见下图）：

该报告主要将数据分为三类：

• （1）个人数据（personal data）：which covers all personal data “relating to an identified or identifiable individual” for which data subjects have privacy interests （其中涵盖了所有与数据主体有隐私利益的“与已识别或可识别的个人有关”的个人数据）；
  
• （2）有财产性的（私有）数据（proprietary （private） data）：which covers all proprietary data that are typically protected by IPRs (including copyright and trade secrets) or by other access and control rights (provided by e.g. contract and cyber-criminal law), and for which there is typically an economic interest to exclude others （涵盖所有通常受知识产权（包括版权和商业秘密）或受其他访问和控制权（例如由合同法和网络犯罪法提供）保护的专有数据，并且通常出于经济利益考虑要排除其他专有数据） ；
  
• （3）公有数据（在公共领域中）（public （domain） data）：which covers all data that are not protected by IPRs or any other rights with similar effects, and therefore lie in the “public domain” understood more broadly than to be free from copyright protection), thus free to access and re-use （它涵盖了不受知识产权或任何其他具有类似作用的权利的保护的数据，因此属于“公有领域”，而不是不受版权保护的范围），因此可以自由访问和重用）。
  

而这三大类数据之间的交集也可能形成四小类数据：（a）有财产性的个人数据；（b）公有的个人数据；（c）由公共投资的财产性数据；以及（d）公私兼容的财产性数据。

可见，对于数据的细致分类，其实仍与其被使用的场景密切相关。而对于崔导文中的数据集概念，笔者认为更倾向于（a）小类的定义，但是否赋予其有限的排他权仍需要在具体的场景中展开（至于是否可适用于信息信托的框架，有待后续研究）。

（三）所涉及的数据处分行为

• 1. 用户与平台之间的关系是否符合信托的成立要件？虽然平台提供的服务条款和隐私政策以数据电文的方式存 在，但根据我国《电子签名法》的规定，这样的服务条款和隐私政策属于书面形式，符合《信托法》第8 条对书面形式的要求。
  
• 2. 相比与合同说，采用信托说可以更大程度地扩大用户数据保护的实际范围，提高数据保护的法律标准，根除合同说无法限制合同以外第三方平台滥用用户隐私信息的弊端。如果采用信托说定义电子商务平台与用户关于数据成立的法律关系，即使双方在服务条款和隐私政策中没有对电子商务平台的履行标准进行特别约定，电子商务平台作为受托人也必须对用户所委托的数据履行忠实义务，以最大的诚意谨慎处理用户托付的数据 。（合同的劣势：（1）合同的不确定性，以及（崔言）协议监督在用户数量的增加后变得无力；（2）鉴于合同的相对性，合同说只能限制合同的一方即直接收集用户数据的平台对所收集的数据的利用，却无法限制从该平台手中取得数据的第三方平台对该数据的利用。亦如崔导言，主要原因是向第三方传递时，合同权利与对抗所有人的财产权之间的界限不再清晰）。
  

忠 实 义 务 的 标 准 远 远 高 于《合同法》设定的一般合同履行的相关标准，不仅要求电子商务平台保障用户的知情权，还限制其只能在用户合理预期的范围内使用所收集的信息。（Balkin说：信任和保密的关系往往集中在信息的收集、分析、使用和披露中）

所以当前可以从中得出，可以适用信托的处分行为为两种：一是平台向第三方平台转移用户数据的行为；二是该平台自身收集用户数据的行为（Balkin观察到，普通百姓深深依赖并且易受那些积累，分析和出售其个人数据以牟利的数字公司的攻击。为了缓解此漏洞，故要确保这些公司不背叛人们的信任）。

而在构建平台数据权益的研究框架中，上述两种具体的场景是必须被更为细致的分类和更为深入的谈论。

三、美国学界对信息信托模式的支持与反对声音

（一）赞成方

总体而言，美国学界对于该模式的支持正在不断增长。数十位法律学者都认可或同意鲍尔金的提议。[3]新闻也以毫不掩饰的热情报道了该提议。彭博社最近的一则副标题中写道：“美国需要不会破坏科技行业的数据规则。 双方的立法者都表示了兴趣。近期，由15名民主党参议员组成的小组采取了下一步行动，并提出了立法，要求在线服务提供商充当其用户的信托人。直接来自Balkin的提议。Facebook首席执行官马克·扎克伯格（Mark Zuckerberg）现在也表示了他的支持——Balkin是法学院的杰出专家，他研究了理论如何随着时间的推移从边缘到主流，从“现成的”转变为“可行的”。他还是一位独具匠心的创意家，他自己的信息受托人理论正在迅速实现这一转变。

Dobkin A. Information Fiduciaries in Practice: Data Privacy and User Expectations[J]. Berkeley Tech. LJ, 2018, 33: 1.

在Dobkin的文章中，其认为服务提供商施加信息信托义务可以确保他们仅以符合用户期望的方式使用数据。应禁止服务提供商利用用户的个人信息来操纵和歧视他们，并且在某些情况下应禁止公司与第三方共享数据。其还建议公司采用易于理解的隐私策略与用户互动，以帮助减少信息不对称性。归根结底，对服务提供商施加信息信托责任可以确保公司能够成长和创新，并且他们的用户（即实现该增长所必需的数据）也受到保护。

Barrett L. Confiding in Con Men: US Privacy Law, the GDPR, and Information Fiduciaries[J]. Seattle UL Rev., 2018, 42: 1057.

Barrett文章的基本意思就是信托责任的加入可以增强美国数据保护法与GDPR的趋同。从立法目的看，美国隐私法和欧洲的《通用数据保护条例》几乎完全相反。 GDPR雄心勃勃的个人权利，重大禁止，实质性执行制度和广泛的适用性与分散的美国制度形成鲜明的对比，后者普遍将促进便利贸易置于保护个人之上，并通过执行一些有意义的限制而对行业产生了不利的激励作用。将数据收集者规定为信息受托人的隐私法可以与美国法律的商业重点相结合，同时模仿GDPR值得称赞的规范目标，并以美国立法缺乏的道德价值来强化美国消费者隐私法。信托责任也源于商业关系的背景，在法律中，法律平衡了信托人的专业特权与客户的权利（和弱点）。至关重要的是，信息信托模型可以在数字时代加强对隐私、平等和自治的保护，与GDPR的规范目标相呼应，同时使这些原则与相互竞争的目标（以及限制）。

Jones, Kyle and Rubel, Alan P. and LeClere, Ellen, A Matter of Trust: Higher Education Institutions as Information Fiduciaries in an Age of Educational Data Mining and Learning Analytics (2020). Journal of the Association for Information Science and Technology, Forthcoming. Available at SSRN: https://ssrn.com/abstract=3494694

Jones认为，高等教育机构正在挖掘和分析学生数据以实现教育，政治和管理成果。在“学习分析”的旗帜下完成的这项工作可以而且经常做到—公开有关敏感数据和信息，这些信息和信息尤其涉及学生的人口统计、学习成绩、离线和在线运动、身体健康、心理健康和社交网络。借助这些数据，机构和第三方能够描述学生的生活，预测未来的行为，并进行干预以解决学生取得成功的学术障碍或其他障碍（无论如何定义）。因此，学习分析提出了与学生隐私，自主权和适当的学生数据流有关的严重问题。其认为，围绕隐私的问题导致了关于学生应该信任他们的机构使用学习分析数据和其他人工产物（算法、预测性分数）的程度的有效问题。其认为，高等教育机构就是信息信托的范例。因此，高校对学生负有特殊责任。在本文中，Jones使用信息信托的概念来分析学习分析违反机构对学生的责任的情况——即具体的场景化中，高校所掌握的学生信息，需要高校履行信托责任。

Walch, Angela, In Code(rs) We Trust: Software Developers as Fiduciaries in Public Blockchains (June 27, 2018). Regulating Blockchain. Techno-Social and Legal Challenges, edited by Philipp Hacker, Ioannis Lianos, Georgios Dimitropoulos & Stefan Eich, Oxford University Press, 2019 Forthcoming . Available at SSRN: https://ssrn.com/abstract=3203198

本文讨论了公共区块链的分散式治理模式，其认为区块链的某些创建、操作或重塑功能非常像依赖这些强大数据结构的人的受托人。在阐述领先软件开发人员执行的关键功能后，本文将角色与信息信托概念进行了比较，并发现了许多共同点，因为这些技术的用户对领先开发人员的能力和忠诚度给予了极大的信任（即没有利益冲突）。然后，本文对必要的成本效益分析进行框架分析，以评估总的来说是否将这些人视为受托人是一个好主意，并概述了充实受托人分类的关键问题。例如，哪些软件开发人员的影响力足以使他们像受托人？区块链的所有用户都是操作区块链的受托人的“参与者”，还是仅仅是依赖区块链的那些人的子集？最后，鉴于现有的责任范式在很大程度上避免了软件开发人员对其所创建代码的责任，因此本文以对软件开发人员作为受托人的更广泛含义的进行了深入研究——即具体场景化中，公共区块链的软件工程师（开发者）需对其开发的区块链的用户们承担信托责任。

（二）质疑声

Khan, Lina and Pozen, David E., A Skeptical View of Information Fiduciaries (2019). Harvard Law Review, Vol. 133, pp. 497-541, 2019. Available at SSRN: https://ssrn.com/abstract=3341661

Lina·Khan的质疑是：通过找出信息信托理论中许多潜伏的紧张局势和模棱两可的现象，以及怀疑该理论能否令人满意地解决这些问题的各种原因，以来破坏正在形成的共识。尽管，作者同意Balkin的部分观点——即主要的在线平台所带来的危害需要法律干预，但作者质疑信息信托的概念是对Balkin强调的信息不安全问题的不足以充分或适当地反应，因此更不用说与之相关的更基本的问题了。在广泛监控基础之上的巨大市场份额和商业模式下，作者还提请读者注意采用信息信托框架的潜在成本，其担心该框架会激起人们对在线平台的结构能力的自满情绪，并过早放弃对更强有力的公共监管的愿景。

虽然，Lina·Khan赞赏Balkin的独创性，并赞扬他为推动平台监管事业所做的努力。但是：

1. 作者质疑信息信托的概念是否足以或适当地应对信息不对称和信息滥用问题；

2. 难以处理与市场支配地位相关的问题以及与需要普遍监视的业务模型有关的问题；

3. 由信托代替公共监管是有巨大风险的——这种框架会引起人们对结构性权力问题的自满情绪，并且过早放弃了更为健全的公共监管构想。

Khan的观点是对市场高度集中的平台的结构性改革更为重要，而不能以信托责任转移视线。而对于哪种是最佳的监管策略组合，她认为应由市场而定。所以，在某情况下，仍不能排除信托模式在一些具体场景下适用的可能性。

Whitt, Richard S., Old School Goes Online: Exploring Fiduciary Obligations of Care and Loyalty in the Platforms Era (July 26, 2019). Available at SSRN: https://ssrn.com/abstract=3427479 or http://dx.doi.org/10.2139/ssrn.3427479

总体上，本文有五个主要目标。首先，该文描述了由Balkin和Zittrain提出并最近受到Lina Khan和David Pozen批评的信息信托模型；第二，其深入探讨信托义务普通法的基础，包括注意和忠诚的双重责任；第三，该文将从传统普通法和现代评论的角度研究信息信托的概念；第四，该文将探讨一种提议的替代法律模型，即“数字信任中介”，即其中受托实体自愿（自动？）履行对客户的忠实义务。此模型将被视为对当前网络生态系统的可行回应。该网络生态系统由在线平台主导，该平台在没有明确的信托义务的情况下也可以提取和分析最终用户数据。本文最后提出了在基于网络的实体的背景下将两种不同但互补的受信方法融合在一起的方法。与本文作者先前关于功能开放的理论一致，其总体意图是为旧式法律学说注入新的生机。

尾注：

[1] 从法律责任的角度而言，这种责任更接近于“信托责任”而非“合同责任”.

[2] 张丽英,史沐慧.电商平台对用户隐私数据承担的法律责任界定——以合同说、信托说为视角[J].国际经济法学刊,2019(04):24-37.

[3] On our reading,the academic literature taking up the idea of information fiduciaries has been overwhelmingly supportive. For representative responses from leading scholars of internet law, see Frank Pasquale, Lecture, Response: Toward a Fourth Law of Robotics: Preserving Attribution, Responsibility, and Explainability in an Algorithmic Society, 78 OHIO ST. L.J. 1243, 1244 (2017) (“I believe that Balkin’s concept of information fiduciary is well developed and hard to challenge.”).