王忠,王萌晔 | 平衡数据流通与隐私保护:第三方数据信托运行机制研究
摘要:随着数据流通和隐私保护之间的矛盾日益凸显,第三方数据信托成为一种解决方案,但对其运行机制的研究还不深入。本文基于云存储架构中数据分隔存储的方法,设计了第三方数据信托运行机制的框架、流程与收益分配。首先将用户数据分为两类,一类是涉及敏感信息的“主动数据”,另一类是无敏感信息的“伴生数据”。前者存储于第三方数据信托,后者由企业自行存储。经过数据的分隔存储阶段、调取阶段和数据证券化阶段实现数据的流通,同时进行收益分配。在这种分隔存储方法下,数据被两类数据相关方控制,既加大了去匿名化难度,又弱化了第三方数据信托的权力,有利于数据要素的流通。
关键词:第三方数据信托;隐私保护;数据流通;运行机制;分隔存储
一、引言2022年12月,中共中央、国务院印发的《关于构建数据基础制度更好发挥数据要素作用的意见》指出数据作为新型生产要素的重要性,同时强调要保障数据供给、流通、使用全过程的安全,促进数据“可用不可见”,支持第三方机构发展。已有研究认为第三方数据信托有较好的应用前景,不过具体的运行机制还在探索阶段,运行过程中可能存在采集者过度获取用户信息、数据黑箱操作、去匿名化攻击、数据壁垒等问题。为使个人数据资源更好地参与数据要素市场,人们进行了数据信托的理论分析和实践探索。理论层面,Balkin和Lina等就信息受托人的可行性进行了激烈讨论,在数据信托的形式上翟志勇和Dame等就数据信托是否是一种法律实体有不同看法,孙宏臣和邢会强分析了数据信托中的主体、客体及结构的不足之处。实践层面,2016年我国中航信托探索并发行首单数据信托产品,
2018—2019年英国开放数据研究所利用数据信托试点研究打击非法野生动物贸易问题,英国政府人工智能办公室利用数据信托研究数据共享问题和跟踪粮食浪费问题,人工智能产品提供商Element AI和英国全球创新基金会Nesta探索了三种实际背景下数据信托的设计方式。可见,社会各界对数据信托的关注度很高,设立能够保护隐私并高效完成数据交易的第三方数据信托运行机制具有重要的理论和现实意义。
二、文献回顾(一)数据信托的概念
数据信托是在传统信托的基础上发展而来的,Balkin首次提出采用信托工具解释数据主体与数据控制人之间的关系。Sylvie等给出了数据信托的定义:数据信托是基于汇集起来的数据主体权利,凭借自己的专业知识和能力来对抗数据控制者,从而使数据主体和数据控制者之间不平衡的权力关系变得平衡的机制。英国开放数据研究所认为,数据信托应满足五个特征:一个术语和机制都可复制的框架;一个共同的组织;一种法律结构;包含数据的存储;对数据的访问者进行监督。Alison等认为,需对数据信托中所有的数据用户进行专门的培训。
后续学术界形成了“信息受托人”和“第三方数据信托”两种理论。前者的主体包括个人数据主体和企业,强调建立二者之间的信赖关系,企业需承担数据信托的责任,对个人数据主体有信义义务;后者的主体包括个人数据主体、企业和第三方数据信托机构,强调第三方介入来缓解个人数据主体与企业之间的关系。目前,较多的研究表明,“信息受托人”理论存在不符合现实的问题,学术界更倾向于以第三方数据信托来平衡企业和个人数据主体之间的不平等关系。总的来说,第三方数据信托的职责是定义数据或数据流的框架,如设置个人数据主体访问通道、数据使用告知、隐私安全保护等机制;同时,协调数据的预期用途、商定数据传输和储存机制及相关商业价值分配。因此,第三方数据信托在理想状况下应该受各方信任并且可以独立处理数据,它可以妥善分配数据流通产生的收益,同时对访问数据的主体进行监督管理。
(二)第三方数据信托运行机制建设面临的困境
现有文献主要从第三方数据信托保护数据动力不足、主体间不平等、去匿名化攻击和限制数据资源使用与流通四个方面讨论第三方数据信托运行机制的建设困境。
1.第三方数据信托保护数据的动力不足。尽管设立第三方数据信托被视为保护数据的有效方法,但其保护个人信息的动力却不足,具体表现在第三方数据信托容易陷入双重困境:既要将个人数据主体的利益置于优先级,又要实现利润最大化的目标。个人数据隐私保护需要投入大量成本,但获得的收益微小,这降低了第三方数据信托保护数据的动力。另外,第三方数据信托掌握着大量的客户数据,若实际掌控者行为不端,就有可能将受托的数据财产据为己有。Choi等研究发现,第三方数据信托大多在保密的假象中积极地收集、打包和交易敏感数据,从而给消费者带来重大隐私安全问题。目前,应对方法是设置高声誉的监管部门确保信托机构的合法性和诚信度,不过这种方法的作用有限。
2.企业与个人数据主体控制力不均衡。在企业与个人的关系中,企业处于绝对优势地位。首先,对个人数据主体而言,企业的告知协议冗长难懂,导致他们很难完整地了解条款。即使个人数据主体知晓条款,在对条款有异议时也没有途径与企业协商修改条款内容。其次,在收益分配时二者存在明显的收入分配不均问题:个人数据主体贡献了巨大价值,但大部分财富流向企业,个人数据主体难以因此获益。最后,个人很难在信息泄露的维权中提供有力证据。大多信息泄露的维权案件都以失败告终,其中有一条败诉理由为“数据主体证据不足以证明被告为信息泄露者”。这些问题都反映出个人数据主体与企业所处位置不平等的问题。
3.匿名化真实性受质疑。为了使第三方数据信托能履行对数据主体的信义义务,学术界提出匿名化。但现实情况中,匿名化技术和去匿名化技术相互对抗,此消彼长,导致仅从形式上实现匿名化的情况屡见不鲜,而且就目前状况看第三方数据信托的匿名技术不如市场中的去匿名化技术。民法典第一千零三十八条规定,经过加工无法识别特定个人且不能复原的信息不属于法律保护的个人信息,这意味着个人数据主体的这类“匿名”后的信息失去了法律保护。
从供给端看,如果第三方数据信托依靠保证匿名化来吸引用户,但无法提供完善的措施防止去匿名化,甚至本身就有去匿名化的动机和能力,就会使受托人所保障的信息安全变成一纸空文,从而丧失个人数据主体参与数据信托的信心。从需求端看,由于数据的非排他性,第三方数据信托往往不会在交易前向数据需求方披露信息,这导致数据需求方很难在交易前进行质检工作。根据个人信息保护法第六十九条,对个人信息处理者可以过错推定侵权责任,而数据需求方无法证明其尽到相应合规审查义务的亦有承担侵权责任之虞。那么若第三方数据信托的匿名化过程存在问题,将给数据需求方带来较高的交易成本,甚至产生诉讼费用。
4.限制数据资源流通与使用。对企业而言,第三方数据信托运行机制能够通过限制企业的某些行为来保护个人数据主体的数据安全,但如果用户规定的信托义务过于宽泛,可能会限制企业合理使用数据,并且阻碍企业从这些数据中盈利。所以,这可能是企业抵制第三方数据信托运行机制的重要原因。基于此,如果企业加入第三方数据信托运行机制,可能会为了谋求利益以更不利于个人数据主体的方式来使用这些数据,如催生“数据黑市”等,从而无法充分发挥数据信托的真正价值。
在数据流通前,第三方数据信托会通过匿名化处理将个人信息转化为非个人信息,处理过程中可能会减少可交易数据。并且由于数据的非排他性,企业提供数据的动力不足:企业加入第三方数据信托运行机制可能会带来数据控制权的丧失,给竞争对手带来竞争优势,因此出现“数据孤岛”问题,数据资源的流通受到阻碍,甚至无法发挥其作为生产要素的作用。
(三)可信第三方隔离存储架构
在云计算与数据存储中,传统数据存储机制存在可信度问题,因此“可信第三方隔离存储机制”被提出,其核心思想是在用户和数据存储的服务器之间设置第三方可信服务器,通过第三方可信服务器为用户和数据存储的服务器提供一个联系渠道。用户存储信息时要先获得第三方可信服务器的认证,过程中第三方可信服务器只作为认证和连接通道,数据流只发生在用户和云服务器之间,实现用户信息管理和用户数据存储的有效分离。在数据治理上也可借鉴此思路,引入第三方数据信托担任第三方可信服务器的角色,作为企业和个人数据主体的媒介,从而实现数据管理和存储的分隔,维持数据保护和使用之间的平衡。
(四)文献评述
现有文献指出第三方数据信托运行机制可以缓解企业与个人间不平衡的权利关系,但对于具体的运行机制还缺少研究。为此,本文借鉴可信第三方隔离存储架构,提出分隔存储方法下的第三方数据信托,并设计运行机制。由于不同领域数据流通差别很大,难以在多个领域设计一个统一的第三方数据信托运行机制。为便于理解抽象的运行机制,本文采用场景分析法,在分析过程中以具有代表性的电商为例展开讨论。
三、分隔存储方法下第三方数据信托运行机制的构建本文综合现有研究,设计第三方数据信托运行机制的基本框架,并依次分析核心参与者和运行流程,随后提出分隔存储方法下第三方数据信托运行机制的具体流程。
(一)第三方数据信托运行机制的基本框架
1.核心参与者。在一个简化的数据流通体系中,第三方数据信托运行机制主要涉及数据提供方、第三方数据信托和数据需求方。其中,数据提供方包括个人数据主体和企业,第三方数据信托是数据受托人。在实际情况中,企业可以有多种身份,既可以作为数据提供方出售数据,也可以作为数据需求方申请数据。
数据提供方:凡是提供数据的参与者都可以称为数据提供方。其中,个人信息的归属者被称为个人数据主体,是大数据得以发展的基础,也是数据信托机制运行的根基。企业通过运营平台、加工数据可以获得伴生数据,虽然个人数据主体享有数据的名义所有权,但企业拥有数据的实质所有权,企业可以凭借其持有的伴生数据参与第三方数据信托运行机制。
第三方数据信托:第三方数据信托作为数据受托人,个人数据主体的数据交由第三方数据信托存储,其对海量数据集中管理,依据信托职能出售相应的信托产品。不过并非所有机构都能成为数据受托人,这类机构应与企业分离,并持有特许经营许可证。
数据需求方:一些需要利用大数据分析运营自身平台的机构可以向第三方数据信托发出数据访问申请,这类机构称为数据需求方,如数据经营方、数据测评方和数据挖掘方等。数据需求方是第三方数据信托运行机制能够形成有效闭环的重要参与者,除非是为公益目的设立,通常情况下数据需求方应向第三方数据信托支付数据访问和使用费用。
2.第三方数据信托运行机制的流程。第三方数据信托作为个人数据主体、数据需求方与企业的沟通桥梁,在确保数据安全的前提下为各方创造价值。第三方数据信托机制的具体运行流程如下:
首先,数据提供方把自己拥有的数据资产作为信托标的,委托第三方数据信托。其次,第三方数据信托与数据处理商合作,在收集、整理、打包实现数据资产增值后设立信托资产。一方面向投资人发行信托计划募集资金,另一方面将处理完成的数据集合出售给数据需求方获得收入。再次,第三方数据信托按一定的比例向委托人和投资人分配收益,实现对个人数据有限保护与商业化利用的闭环。最后,设立一个监管机构。监管方事前需要对第三方数据信托的设立严格把关,做好信息披露和注册登记等工作;事中需要注重对参与主体征信和税收方面进行法律监督;事后需要对泄露个人数据的第三方数据信托或企业处以高昂的违法费用并公示。不过,如果第三方数据信托掌握的数据处于灰色地带,智能化算法和相关数据源不能保证可靠,那么监管部门对整个交易行为监管的难度将会很大。
(二)分隔存储方法下第三方数据信托运行机制的流程
将数据分为涉及敏感信息的“主动数据”和无敏感信息的“伴生数据”,并参考可信第三方隔离存储架构,将“主动数据”和“伴生数据”分别存储于第三方数据信托和企业(主要指在提供产品或服务的同时还会收集用户数据的企业)。当数据被调用时,由第三方数据信托向企业和数据需求方发送存储验证码联系双方。
1.个人数据分隔。第三方数据信托运行机制的标的是个人数据主体直接或间接产生的数据,具体分为“主动数据”和“伴生数据”。
“主动数据”是个人数据主体主动上传的数据,如登录网页中提供的姓名、身份证号码、手机号码、电子邮箱、银行账号、定位数据及在线身份等信息。这类数据人身依附性较强,运营者可据此追踪到个人数据主体的个人信息,具有人格利益和财产利益的双重属性,个人对该类数据拥有完全的财产权或财产利益,此类数据应该受到严格规制,甚至禁止交易。这部分数据由第三方数据信托存储,除非个人数据主体特别要求,否则不得出售给其他企业。同时,因为这类数据只包含个人数据主体的基础信息,若单独使用无法带来较大的利润,也减少了这部分信息泄露的可能。
“伴生数据”则是个人数据主体通过主观操作、网络运用和企业加工整理的劳动和资源,如浏览历史记录、购物偏好、使用网页时间段等,该类数据的财产权或财产利益由个人数据主体和企业共有。对于伴生数据整理、统计、分析等数据“挖掘”工作产生的财产价值,个人数据主体无权主张。在监管方面,这类数据可以放松规制,根据具体内容设定规制措施。
2.第三方数据信托运行机制的具体流程。为了直观描述该运行机制,接下来将以消费者通过第三方数据信托登录购物平台、平台存储并加工信息、最后通过第三方数据信托提供数据给数据需求方这一系列行为为例介绍。具体分为三个阶段:第一阶段为数据的分隔存储阶段,第二阶段为数据的调取阶段,第三阶段为数据证券化阶段。
第一阶段:数据的分隔存储阶段,参与者为个人数据主体、第三方数据信托和企业。个人数据主体是数据提供方,第三方数据信托掌握主动数据,企业掌握伴生数据,它们分别是数据受托人和数据控制人。首先,个人数据主体将主动数据委托给第三方数据信托并支付数据存储费。当需要登录购物平台(企业)查询数据,比如搜索一件蓝色毛衣,就向第三方数据信托发出申请。第三方数据信托在验证个人身份后生成验证码a和A,分别发送给购物平台和个人数据主体,个人数据主体在收到验证码A后发给购物平台,购物平台先对比第三方数据信托提供的验证码a和个人数据主体提供的验证码A,匹配成功后根据验证码a的编码信息判断用户的使用权限并向个人数据主体提供访问平台。个人数据主体浏览购物平台的过程中会产生相应的伴生数据,比如喜欢在17:00~20:00之间浏览蓝色毛衣,购物平台将获得的伴生数据加工处理使其变成更有商业价值的伴生数据。购物平台存储并告知第三方数据信托其所拥有的伴生数据,第三方数据信托据此生成存储验证码b和B,存储内容为某购物平台拥有蓝色毛衣浏览高峰期的数据,众多的存储验证码和存储内容构成一个数据库以供数据调取阶段使用。同时,个人需要向第三方数据信托支付数据存储费,企业需要向第三方数据信托支付中介费。
第二阶段:数据的调取阶段,参与者有数据需求方、第三方数据信托、企业和个人数据主体。需要开拓新领域但掌握信息有限的企业为数据需求方,第三方数据信托为受托人,企业为数据提供方。与个人数据主体获取平台接口类似,数据需求方向第三方数据信托发出访问请求,如调取购物者喜欢在何时购买何物的数据,通过存储验证码让数据需求方与购物平台建立联系。具体流程如下:数据需求方向第三方数据信托申请加入第三方数据信托运行机制,第三方数据信托经过尽职调查后将满足条件的企业纳入机制成员,并记录企业的身份信息。数据需求方在需要数据时向第三方数据信托提出访问请求,第三方数据信托验明其身份后在前述生成的数据库中查找所需数据的存储验证码b和B并分别发送给数据需求方和购物平台。数据需求方再把存储验证码B发给购物平台,购物平台将存储验证码b和B进行核验,通过后向数据需求方发送数据,数据需求方向企业支付使用费。为了鼓励购物平台提供数据,收到的使用费可以享受税收优惠。同时,第三方数据信托在验明数据需求方身份并确定数据将被使用后需向相关个人数据主体发送数据被使用的通知,并按比例分配收益。
第三阶段:数据证券化阶段,参与者为第三方数据信托、企业和投资人。企业为委托人,第三方数据信托为受托人。企业将伴生数据进行加工、打包,对这部分数据享有所有权,所以企业可以凭借这类数据委托第三方数据信托发行数据信托产品。投资人基于数据信托产品未来的收益选择性投资,为第三方数据信托机制的运行提供资金支持。
(三)分隔存储方法下第三方数据信托运行机制的收益分配
在第三方数据信托运行机制中,可能获利的主体包括个人数据主体、企业、数据需求方、第三方数据信托和投资人,这几方的收益分配如下:
1.个人数据主体。个人数据主体委托第三方数据信托存储主动数据,企业通过经营平台获得个人的伴生数据,实现个人数据的隐私与资产双重属性分离。在数据调取阶段调取的是企业所存储的伴生数据,当数据被使用时个人数据主体可以获得由第三方数据信托分配的收益。
2.企业。作为数据供给方,企业在第三方数据信托运行机制中可以获取优质的数据需求方,在数据调取阶段通过提供数据获得收益。另外,企业在数据证券化阶段委托第三方数据信托发行信托产品,通过数据要素证券化获取收益。作为委托人,企业可能把加入第三方数据信托运行机制作为一种低成本的声誉管理措施。当企业的声誉遭受损害时,可以通过加入第三方数据信托运行机制,向客户表明其保持信誉的决心。作为运营平台,分隔存储方法下企业直接获取伴生数据,可以绕开第三方数据信托的数据加工直接管理数据,降低数据流通的成本。
3.数据需求方。数据需求方期望自己取得的数据具有“合规性”“合质性”“合价性”等特点。在稳定的第三方数据信托运行机制下,数据需求方可以相信第三方数据信托提供的数据访问渠道,并且以受监管的、合理的价格获取数据。
4.第三方数据信托。在数据存储阶段,第三方数据信托会获得个人数据主体支付存储主动数据的费用,也会获得企业支付的联系个人数据主体和数据需求方的中介费用;在数据调取阶段,第三方数据信托可获得数据需求方支付的联系数据提供方的中介费用;在数据证券化阶段,第三方数据信托接受企业的委托发布信托计划,帮助企业实现数据要素证券化并收取佣金。
5.投资人。第三方数据信托运行机制处于三方制衡的局势下将会更加稳定,投资人可以在收益相同的情况下承担更小的风险。
可以看出,分隔存储方法下第三方数据信托运行机制的目的是保证各方利益的平衡。确保企业和第三方数据信托获得其应得的收益,维护个人数据主体的权益,降低投资人的风险,从而增强他们对第三方数据信托运行机制的信任。
四、分隔存储方法下第三方数据信托运行机制的优势(一)增强第三方数据信托保护数据的动力
常规的第三方数据信托运行机制中第三方数据信托是唯一数据控制人,安全保证只来源于监管部门和信义义务,约束力度较弱。数据分隔存储后,在第三方数据信托、企业和监管机构三重保险下,可以相互制衡。第三方数据信托不再负责大量的数据存储,只是一个负责设置数据目录、数据匹配、连接企业和数据需求方的第三方平台。这一方面降低了存储成本,鼓励第三方数据信托投入资金保护数据;另一方面打破了第三方数据信托掌握全部数据的格局,切断其交易数据获利的渠道,有效解决第三方数据信托陷入双重困境的问题。
(二)缓解企业与个人数据主体不平等问题
对于一些个人隐私数据,个人数据主体处理数据更具灵活性。如,在数据存储阶段声称不得对之后的数据进行分析与处理,要求第三方数据信托向企业传递“该类数据禁止对外出售”或“该类数据仅可浏览不可下载”的声明。企业需遵守信义义务,否则一经发现将采取处罚措施或禁止其再次进入第三方数据信托运行机制。相对地,有一定经验和知识的个人数据主体也可以在数据存储阶段主动向信息受托人申请将自己的数据提供给企业,则企业和个人数据主体实现双赢。这使个人数据主体从被动到主动,从数据被盗用者转变为数据出售者,参与数据收益分配。数据主体信息泄露时个人举证难问题也因为第三方数据信托的数据流向统计和反馈得到改善。当伴生数据被使用时,所有存储此类数据的用户都会收到来自受托人发出的告知使用通知,保留一批可追溯的数据交易信息。如果发生数据泄露问题,个人数据主体可以更容易提供数据流向明细。
(三)提高匿名化的可信度
在整个数据产生过程中,企业只能通过第三方数据信托向个人数据主体取得无差别的伴生数据,无法获取主动数据;第三方数据信托只能获取商业价值较低的主动数据,无法获取伴生数据。相较于常规第三方数据信托运行机制,该分隔存储方法可以从技术上对数据进行分隔,增加去匿名化的难度,同时大幅削弱信息受托人的权力,防止信息不对称问题出现。从供给端看,该机制将两类数据分开存储可以避免第三方数据信托陷入双重困境,从而解决数据隐私保护困境中匿名化真实性受质疑的问题,增强个人数据主体的信心。从需求端看,分隔存储方法可实现信息脱敏,保证数据“合质性”,避免数据需求方承担相应法律责任或承受其他不利后果,提高匿名化的可信度。
(四)提高数据资源的流通与使用效率
对第三方数据信托而言,它不需要进行数据的匿名化处理,可以减少多次加工造成的数据缺失问题。对企业而言,数据分隔存储让数据有效脱敏,企业可以维持原先的使用习惯开拓市场,因此增强了企业提供数据的动力。此外,数据分隔存储下的第三方数据信托可以避免陷入双重困境,保证各类数据有序交换。让较晚进入行业的初创企业或小型企业也可以尽快地获取信息,以独特的创新优势进入市场并快速发展。
五、结语本文基于云计算中可信第三方隔离存储架构,提出基于分隔存储方法的第三方数据信托运行机制。从收益分配的角度看,该机制可以使各方主体的权利达到平衡。从整体流程上分析,明确该机制最突出的优势就是通过改善企业、第三方数据信托和个人数据主体不平衡的关系,提高匿名化的可信度。这将逐步解决数据共享的信任问题,促进不同类型的个人数据主体参与到第三方数据信托运行机制并增加愿意分享的数据类型,提高数据资源的流通使用效率和数据信托市场的活跃度。在这样的背景下,投资者的风险显著降低,更多的投资者参与进来,从而为第三方数据信托运行机制注入流动性。
(本文原载于《经济纵横》2024年第1期,编发时有删减)
引用格式:王 忠,王萌晔.平衡数据流通与隐私保护:第三方数据信托运行机制研究[J].经济纵横,2024(1):101-109.
责任编辑:张佳睿
网络编辑:刘维刚