一、背景
8月上旬,,滴滴出行通過官方微博否認了讓渡數(shù)據(jù)權的傳聞,。在此之前,路透曾援引內(nèi)部知情人士的消息,,聲稱國內(nèi)某信息安全公司將成為管理滴滴存儲在國內(nèi)的海量數(shù)據(jù)的主要第三方公司,。
本文并不關注滴滴出行是否讓渡數(shù)據(jù)權。
真正重要的是,,讓渡數(shù)據(jù)權的模式能否達到監(jiān)管的要求,。因為在近期赴美IPO的案例中,已經(jīng)出現(xiàn)了另設公司,,讓渡數(shù)據(jù)權的模式,,以符合中國網(wǎng)信部門監(jiān)管的要求。
在7月上旬征求意見的《網(wǎng)絡安全審查辦法(修訂草案征求意見稿)》中,,擬新增一條“掌握超過100萬用戶個人信息的運營者赴國外上市,,必須向網(wǎng)絡安全審查辦公室申報網(wǎng)絡安全審查”的要求。
如果數(shù)據(jù)由獨立或半獨立的第三方機構所控制,,上市主體與數(shù)據(jù)在法律與技術上完全隔離,,讓自己客觀不掌握任何個人信息,那么或許可以讓美國證券監(jiān)管部門和執(zhí)法部門在法律上沒有機會獲取數(shù)據(jù),,并進一步規(guī)避“掌握超過100萬用戶個人信息”的審查閾值,。
但這也只是存在理論上的可能,更重要的是這種模式需要獲得網(wǎng)絡安全審查部門的認可。
而這種委托第三方處理數(shù)據(jù)的模式,,就非常類似“數(shù)據(jù)信托”。
二,、何為“數(shù)據(jù)信托”
在2021年《麻省理工科技評論》發(fā)布的“十大突破性技術”,,一種新型數(shù)據(jù)利用制度——“數(shù)據(jù)信托”位列該榜單。數(shù)據(jù)信托是對數(shù)據(jù)進行管理和決策的新概念,。個人和團體將其數(shù)據(jù)委托給數(shù)據(jù)信托受托人,,按照預設的隱私策略或者條款進行管理。英國開放數(shù)據(jù)研究所將數(shù)據(jù)信托界定為一種提供獨立數(shù)據(jù)管理的法律結構,。
在翟志勇副教授的論文《論數(shù)據(jù)信托:一種數(shù)據(jù)治理的新方案》中認為:
一個數(shù)據(jù)信托必備的要素包括:一個明確的目的,、一個法律結構(包括委托人、負有信托責任的受托人和受益人),、對所管理的數(shù)據(jù)的(一些)權利和義務,、一個明確的決策過程、對如何分享利益的描述,、可持續(xù)的資金,。
翟志勇:《論數(shù)據(jù)信托:一種數(shù)據(jù)治理的新方案》,載《東方法學》2021年第4期
數(shù)據(jù)信托只是冠以“信托”之名,,法律關系的基礎并非是《信托法》,,而是《民法典》《個人信息保護法》《數(shù)據(jù)安全法》與《網(wǎng)絡安全法》,圍繞個人信息的授權,、共享建立的法律關系,。
在具體實現(xiàn)的方式上, 需要產(chǎn)品(服務)提供者與信息處理者實現(xiàn)身份的分離,。原本提供產(chǎn)品(服務)的企業(yè),,天然就會對消費者的數(shù)據(jù)進行收集,但為了實現(xiàn)隔離,,數(shù)據(jù)收集,、處理的工作會完全交易(半)獨立的第三方來完成,第三方的收集,、處理與提供產(chǎn)品(服務)的企業(yè)直接關系,,而是通過簽訂一份長期的數(shù)據(jù)托管協(xié)議明確雙方的權利義務。
法律關系大致如下:
無獨有偶,,微軟的云計算服務Azure在德國也采用來了類似于數(shù)據(jù)托管的模式,。德國數(shù)據(jù)托管方是一家獨立的公司,其總部,、注冊地,、所有權和控制權均在德國,并受德國法律管轄。對于德國微軟Azure,,德國電信的子公司T-Systems國際公司被簽約為數(shù)據(jù)托管方,。數(shù)據(jù)托管方模式的主要特點是,微軟只有在符合合同規(guī)定的情況下,,才會被數(shù)據(jù)托管方或客戶授權并在其監(jiān)督下訪問客戶數(shù)據(jù),。
由于微軟沒有保管或訪問 Microsoft Cloud Germany 的客戶數(shù)據(jù),因此,,即使任何國家的執(zhí)法部門或法律制度指示,,Microsoft 也無法滿足政府或其他方對客戶數(shù)據(jù)的訪問請求。建議提出客戶數(shù)據(jù)請求的任何各方聯(lián)系客戶或數(shù)據(jù)托管方,,后者是客戶之外唯一能夠提供此類數(shù)據(jù)訪問權的實體,。
除了微軟Azure在德國的模式,蘋果的“云上貴州”,,以及去年一度傳出的TikTok與甲骨文的合作方案都是遵循了類似的思路,。
三、如何搭建數(shù)據(jù)信托架構
搭建數(shù)據(jù)信托架構還沒有統(tǒng)一的模式,,需要逐案討論,,但仍有些共性內(nèi)容可以總結:
1.在數(shù)據(jù)信托的法律框架下,隱私政策中的信息處理者將是(半)獨立的第三方,,而非直接提供產(chǎn)品(服務)的企業(yè),。
2.數(shù)據(jù)托管協(xié)議的期限應盡可能拉長。因為法律對數(shù)據(jù)權屬缺少規(guī)定,,因此協(xié)議文本需要更加清晰地界定數(shù)據(jù)的內(nèi)涵與外延,。
3.隔離提供產(chǎn)品(服務)的企業(yè)與處理數(shù)據(jù)的第三方,不僅有賴于雙方簽訂的協(xié)議條款,,也需要配套的技術與管理措施,。方案如果通過加密的方式確保無法獲取數(shù)據(jù),則需要遵守《密碼法》的相關規(guī)定,。
4.《數(shù)據(jù)安全法》與《個人信息保護法》中,,數(shù)據(jù)處理者未經(jīng)批準不得向境外司法、執(zhí)法部門提供數(shù)據(jù)的條款需要盡快落地,,明確責任部門,、審批條件與審批流程。
5.因為企業(yè)剝離了數(shù)據(jù)處理能力,,本質(zhì)上是剝離了傳統(tǒng)很大一部分“數(shù)據(jù)資產(chǎn)”,,所以可能會對企業(yè)數(shù)字化營銷帶來一定的負面影響。
6.聯(lián)邦學習或類似隱私計算技術,,或許可以幫助企業(yè)在不接觸數(shù)據(jù)的情況下利用數(shù)據(jù),。但聯(lián)邦學習等技術目前仍然存在局限性。
數(shù)據(jù)信托能否獲得中美兩國監(jiān)管部門的認可,其實尚有待觀察,,有待在實踐中檢驗,。但數(shù)據(jù)信托的構建,確實不失一條存在可能性,,并且值得探索的道路,。