一、传统数据主体权利保护的困局与路径转向

（一）传统“赋权-维权”保护路径的困境及其根源

据笔者的不完全统计，自2017年1月至2019年12月，中国裁判文书网上涉及数据主体个人信息泄露维权案件一共只有12例（排除由于银行卡盗刷导致的公民与银行之存款纠纷），其中9例以个人维权失败告终。数据主体的权益保护并未随着立法高效而达到预期成效。这应当引发我们的反思，缘何出现立法高效与维权低效的悖论？有必要对传统数据主体权利保护路径进行检视。通过剖析9例维权败诉案件，败诉理由可以概括为以下四方面：第一，该信息泄露不属于法律需要保护的个人信息范畴。第二，个人信息泄露系数据主体管理不善。第三，数据主体证据不足以证明被告为信息泄露者。第四，公民无法证实信息泄露之危害后果。(图1)

公民维权困难看似是司法救济环节的问题，但是法律作为法官处理争端的依据，如果法律没有问题，为何司法实践会困难重重？追根溯源，问题的根源何尝不与传统赋权模式过于笼统、抽象、原则有关。立法赋予公民权利，却不考虑公民行权的难度。以《消费者权益保护法》为例，其第29条赋予消费者保护个人信息不被泄露的权利。为了主张权利，消费者需承担证明经营者违法行为、损害、因果关系和过错四大要件的繁重举证责任。更进一步，消费者权益是否能够得到保障将完全依赖于其是否提起诉讼，除非消费者遭受重大损失与数据控制人对簿公堂，控制人无需为滥用、强制使用、非法使用消费者数据付出任何代价。在实践领域，公民诉讼的低效无法有效促进数据控制人提升对数据主体个人数据的保护意识，现实中平台企业滥用数据零成本的困局伴随着我国数据主体怠于行权的现状而雪上加霜。传统赋权路径并未考虑数据主体事实上所处的劣势地位，既未能解决实践中的举证难问题，亦不能有效提高控制人滥用、违法使用数据主体个人数据成本。

运用吉多.卡拉布雷西和道格拉斯.梅拉米德所提出的卡-梅框架进行分析，法律赋予公民禁止数据控制人为某种行为的权利，实质是卡-梅框架中的财产规则。财产规则最大的弊端在于，其只适用于在双方地位平等，自愿协商可以进行法益交换的情形。如果交易成本极大，即使法益交换对双方都有利，交换也不会发生。换言之，向数据主体赋权的保护模式只适用于主体双方地位基本平等，且数据主体行权没有阻碍因素的情形。但实际上，更多法益的交换存在双方地位不平等，交易成本巨大的阻碍，例如，在个人数据保护领域，数据主体行权就存在举证难问题、个人信息边界模糊问题、双方过错权重难以准确计算等“交易成本”的阻挠。囿于财产规则救济的有限性，卡—梅框架提出，法益并不总是基于自愿协商进行交换。必要情况需要依靠外力，迫使法益“非自愿”转移。责任规则与财产规则的不同之处就在于，责任规则强迫部分法益在当事人非自愿的情形下转移，但需要另外一方给与“补偿”。在以财产规则为架构的赋权模式下，法律确保数据主体可以通过行权禁止数据控制人使用其个人数据。通过责任规则进行规范，则可表述为：数据主体应当允许数据控制人使用其个人数据，只要数据控制人满足法律规定的要求（对数据主体做出补偿）。从财产规则到责任规则的变迁，实质是将法益（权利）从数据主体一端转移至数据控制人手中，克服数据主体行权成本，取而代之以法律要求的补偿。总而言之，赋权保护模式低效的根源在于现实中的行权成本过高，无法通过数据主体行权实现调整数据控制人行为的制度效果，因而需要在赋权基础上，迫使数据控制人对数据主体做出额外补偿，以保障数据主体利益。

（二）路径转向：数据控制人义务规范为核心的权利保护进路

显然，简单赋予数据主体权利的立法设计并不能解决数据时代个人信息权利保护的问题，保障数据主体的合法权益。认识传统赋权保护模式的不足，有学者提出采用社会控制论保护个人数据，发掘个人数据的社会属性，以社会控制取代个人控制。亦有学者提出采取场景-风险导向的理念，将隐私风险作为衡量个人数据"合理使用"的指标，采取差异化的保护方式解决个人数据保护不力的问题。这些方案对于扭转传统单一赋权立法思路具有启示意义，表明学界正在探索个人数据权利保护的新路径。但是，无论是社会控制论还是风险场景理论，都没有回答：最终的义务、责任主体是谁？谁来代替个人进行数据控制？谁来判断隐私风险的大小？囿于法院自由裁量权的有限性，由法院负担控制、风险衡量责任显然面临现实困难。另外，个人数据权利属于私法范畴，运用公权力干涉应当建立在穷尽私法救济的基础之上，而私法救济是否已经穷尽？以上方案显然无法回答。又有学者提出，应当将数据主体视作互联网消费者，从而应用消费者权益保护的路径。不可否认，数据主体所处的弱势地位某种程度上与消费者类似，但是，数据主体所面临的网络威胁，无论是基于数据泄露主体的多元性，还是基于互联网技术的复杂性而导致收集证据的困难程度，都远远超出商品买卖关系中消费者的承受能力。依据消费者与经营者的合同如何对抗第三方泄露者？数据主体举证难的棘手问题如何解决？学界所提出的个人数据权利保护进路以及数据主体权益保护方案都不能化解数据主体所面临的互联网威胁和挑战。

《民法总则》第111条被认为是我国个人信息保护立法的进步，原因在于《民法总则》第111条对经营者课以“确保信息安全”之义务。这项义务的要求应当被视作信息控制者对潜在侵害个人信息权所支付的补偿。立法设计在赋予数据主体个人信息权利受法律保护的基础上，通过设定个人数据采集、使用、处理之法定标准，额外施加给数据控制人法定义务，在一定程度上削弱了双方权利义务的不对等性。这启发我们探索数据主体权利保护的另一种进路：从控制人的义务规范入手。事实上，数据控制人作为数据的加工、使用方，其在数据主体权利保护中的作用还远远没有发挥。数据控制人拥有的“数据权力”不仅能够通过分析、交易数据攫取经济价值，搜索引擎并非中立的研究结果更进一步印证数据权力能够操控新闻舆论，甚至是政策走向。正是由于这种“数据权力”缺乏制衡，数据主体才处于极度弱势地位，被动承受数据被分析、使用甚至于泄露等一系列后果而无力反抗，在维权环节又囿于收集证据能力所限，陷入举证不能或举证不足的困境。矛盾的根源在于，双方权利不平衡导致数据控制人行为缺乏制约。因此，解决之道关键在于如何调整、规范数据控制人行为。

结合双方权利结构错配的现状，需要对其双方义务同样做不均衡的配置，以实现数据控制人权利义务的对等性，提高控制人滥用、强制使用、违法使用、泄露数据的“成本”。而意图将双方权利义务进行不均衡配置，需要打破民法学语境中的“双方地位强式平等”的立法基本点。需要结合数据控制人与数据主体强弱地位悬殊，从利益平衡与权利制衡的角度，重新审视双方法律关系。

二、数据信托的运行机制与法理基础

数据控制人获取的数据并非一般商品，而是数据主体的“生命密码”，与数据主体的隐私、情感、社会评价息息相关。因此，有关数据的交易与一般商品交易存在本质区别。基于数据本身价值的无量，要求数据控制人履行显著高于一般合同注意主义之标准符合情理。2016年耶鲁大学教授杰克巴金（Jack M.Balkin）首次提出采用信托解释数据主体与数据控制人之间的关系。立法层面，美国《2018年数据保护法》（ Data Care Act of 2018）要求网络服务商对用户承担信托中的忠实义务。司法层面，2018年特拉华州法院在Everett V Stste 案中使用忠实义务保护数据主体所遭受的敏感信息侵害。可见，将信托用于分析数据控制人与数据主体之关系得到了越来越多的关注。但是尚未有文献从法理层面系统分析信托机制调整数据控制人与数据主体关系的内在逻辑。另外，信托机制作为衡平法的产物，其在中国是否有适用的前景以及是否存在制度障碍？数据信托能否解决我国个人数据权利保护领域存在的痼疾？学界也未给与必要关注，有进一步探究的必要。

（一）数据信托运行机制

信托机制是委托人将财产委托给受托人，由受托人以自己名义，为委托人指定的受益人利益而加以管理的一种财产安排。数据信托是以管理数据权利为初始目的之信托，是大数据时代适应现代数据管理需要而诞生的法律工具，其实质是经过验证的、被各方主体所接受的框架协议。英国数据公开机构（Open Data Institute ,简称ODI）将数据信托定义为提供独立的第三方数据管理的法律结构。2017年10月，英国政府发布《发展英国人工智能报告》(Growing the Artificial Intelligence Industry in the UK)，宣布投资1亿英镑用于人工智能研究。该报告建议利用数据信托建立数据投资治理架构，以确保数据的交换是安全和互利的。2018年10月，Alphabet的子公司Sidewalk Labs提议使用公民数据信托来管理其在多伦多Quayside地区为智能城市项目而收集的数据。2019年，Sidewalk Toronto提出的将公民数据信托作为其智慧城市发展的一部分。

在数据信托法律关系中，数据主体既是委托人又是受益人，数据控制人为受托人。数据信托实质上与一般的数据共享平台在主体、交易方式上并无差别：主体包括数据资源供给方（数据控制人）以及数据需求方（信息企业），用户根据需要选择不同数据控制人提供的数据进行访问，并支付相关费用。

（二）数据信托法理基础

通过分析信托机制的产生背景、基本内容和主要特征，可以发现：信托的成立、信义义务的产生、受托人控制权的实现、信托的权利配置架构同样适用于数据主体与控制人，两者之间存在天然的一致性与内在协调性。具体体现在：

第一，同意之意思表示是数据控制人使用数据的前提。信托，即信任委托。由委托人将财产委托给受托人代为管理。初期，信托被用以规避法律对财产转移之限制，在现代社会，信托被用以提高财产管理的专业化程度。无论是在初期还是现代社会，信托的成立都是以公民的自愿转移财产权为必要条件，委托人作出“同意转移财产所有权”之意思表示是信托成立的前提。在数据时代，数据的泄露毫无疑问会给数据主体带来身体、物质、精神乃至社会评价重大（负面）影响，因而法律保护公民个人信息不被侵害，数据控制人若要合法获取个人数据，当然需要以向用户披露隐私保护条款与数据使用条款，以获取数据主体同意为前提，未经数据主体同意许可使用数据，均属于违法使用。

第二，信赖关系是数据主体与控制人之间必不可少的构成要件。在信托中，信赖关系是信托成立的基础。信托的雏形是古罗马的信托（fiducia），其诞生形成早于契约，因而主体双方并无契约之约束力，信托一旦成立，委托人原则上对信托财产和受托人不再享有任何权利。在欠缺法律约束的时期，如果受托人不按照良心履行职责并交付信托利益，委托人利益将毫无保障。信托之所以能诞生并发展壮大与委托人对受托人的信赖密不可分。在以数据为核心的互联网商业运营模式中，数据控制人以向数据主体提供免费互联网服务换取其个人数据，并在一定程度追踪、监视数据主体以不断拓宽其获取数据的广度和深度。这种“互换”一定程度为大众所接受，甚至部分情形下，数据主体即使不情愿其数据被分析和使用，由于依赖数据控制人所提供的互联网服务，数据主体也不得不就数据共享做出让步。但是，如果数据控制人未尽职守，导致数据泄露，危及数据主体身体（人肉搜索）等基础安全需求，那么数据主体必然不会为满足更高层次的需求（互联网所提供的购物、娱乐服务），而置其基本安全需求于不顾，个人数据的让与自然也无法发生。因此，数据主体主动或被动分享个人数据，其背后必然隐含一个基础前提：数据主体相信数据控制人能够妥善保管数据，并恪尽善意管理人的职责。实际上，是数据主体的基本信赖而非互联网服务本身，使得数据控制人能够源源不断获取个人数据，换言之，信赖关系是互联网运营模式能够长久运行的必不可少要件。

第三，数据控制人的绝对控制地位是数据关系中的显性特征。信托财产一旦脱离委托人控制，受托人相对于委托人的优势便得以显现。这种优势集中体现为信息优势（information advantage），具体包括：昂贵信息；不可观察信息；不可验证信息（costly, unobservable and unverifiable）。这种信息优势造就了委托人监控的不利地位：代理人的行事方式和目的不为委托人察觉，委托人亦无法判断代理人是否从行事中获益。即使委托人知道代理人的行为，其也可能由于专业知识的缺乏而无从判断代理人是否有渎职行为。受托人享有对财产绝对控制权是信托的典型特征。而在数据时代，数据主体的一切数据和文档都可存储于虚拟空间，终端只是一个物理设备。数据名义上归属于数据主体所有，实质上早已通过无限次复制粘贴为数据控制人所掌控。数据经由互联网的技术手段、商业运营模式打散然后重新组合，这一过程使得数据完全脱离数据主体控制范围。这些数据经过怎样程序被搜集、挖掘、分析、交易乃至于被控制流动？数据的使用目的何在？个人数据被多大程度的公开，以何种方式公开？数据共享的第三方是谁？数据加工者又是谁？数据主体毫不知情。数据控制人相比于数据主体的信息优势毫不亚于信托机制中受托人的比较优势。信托中委托人会由于受托人的无道德行为而走投无路，数据主体同样会由于数据控制人的滥用、强制使用、非法使用、泄露数据等行为而不堪一击。有鉴于委托人的脆弱性和数据主体的酌处权（discretion），法律对受托人课以法律义务中最高标准的“信义义务”，以保护委托人的信赖利益。在数据主体与控制人之间，鉴于数据主体的脆弱性和数据控制人的优势地位，同样需要法律对数据控制人课以信义义务，以对抗受托人的利己主义和机会主义，确保数据控制人善意使用数据主体之数据。实现数据主体与控制人之间权利的制衡。

第四，双层所有权架构是数据控制人与数据主体权利结构发展的必然结果。信托财产“保值升值”目的之实现完全有赖于受托人管理、处分财产权能的发挥。换言之，受托人对财产的控制以及支配，是信托存在和功能发挥的前提。基于此，委托人设立信托之时，必须将其对财产的占有、管理和处分权能随财产一并转移给受托人，实质是将财产的所有权转移给了受托人，以便受托人合法处置财产。在英美法系国家，当受托人损害委托人利益时，大法官法院依据衡平法上的对人原则（equity acts in personam）,命令受托人按照其诺言履行承诺。由此英美法系信托机制的财产权架构是由受托人享有普通法上的所有权，委托人享有衡平法上的所有权。信托机制移植到我国时，由于我国法律体系并无衡平法，亦为避免冲击一物一权原则，我国2001年4月28日出台的《信托法》第2条规定，委托人将财产交由受托人代为管理之时，不发生财产所有权的转移。从表面上看，这项规定保留了委托人的所有权。但是，如若受托人不以享有所有权为前提，其对财产所做出的管理、处分行为依据何在？如果受托人不能合法管理、处分信托财产，信托财产保值升值的目的又如何实现？由此倒推，即使法律强行将名义所有权配置给委托人，信托机制运行的内在逻辑也指向信托财产的实质所有权归属受托人所有。无论是在英美法系还是我国，双重所有权结构都是信托权利配置的必然结果。在数据时代，数据的（可交易）价值来源于数据控制人对数据的聚合、挖掘、创新应用、商业经营。脱离了互联网大数据分析、数据控制人数据池的聚合，数据本身的价值基本可以忽略不记。换言之，数据虽然来源于数据主体，而数据价值的创造、升值完全有赖于数据控制人的管理和处分（包括挖掘、匹配和交易）。是数据控制人对数据的加工利用打造了“数据即资产”的新经济商业模式，就此而言，数据控制人之于数据价值，受托人之于信托，同样具有不可或缺的核心作用。数据主体和委托人一样，其所有权的意义仅限于其提供了元数据或原始信托财产，因而受到产权制度保护。实质上，由于数据储存在云端，且与特定的技术架构紧密结合，数据主体既无法决定数据用途和访问对象，亦不能将其修改删除，其早已丧失了对数据的占有、支配的能力。反倒是数据控制人，通过技术手段确保数据不被复制，从而独占数据；组建、分析数据库，向消费者发布掠夺性广告和定向推送；销售、与第三方共享数据，开发数据可交易价值；设置访问权限，自主决定数据的公开范围、内容和用途。数据控制人对数据的控制，早已超出了广义上的使用权范围，涵盖对数据的占有、处分权能，从而成为一种实质的所有权。数据主体的所有权由于其对数据控制力的彻底丧失而沦为一种名义所有权。这种名义与实质所有权分离的双重所有权架构与信托的权利配置结构如出一辙。

信托法依据公平原则对委托人施以衡平法上的所有权（英美法系）或是制定所有权不发生移转的规定（我国）进行保护，同时对受托人都课以严格的信义义务规范，要求受托人对委托人恪尽善良管理人之义务、忠实义务、谨慎义务。鉴于数据控制人对数据享有的实质控制权和所有权，以及数据主体基于信赖将数据交付控制人的善意，这与传统信托关系产生的背景相似，同时亦满足信托关系的关键特征，构成信托关系产生的理论根基，因此有必要按照信托法的逻辑加以规制，并对数据控制人课以信义义务。

三、数据信托的比较优势

数据信托以数据主体作为委托人，数据控制人作为受托人，以信义义务的存续为法理基础。作为数据保护与信托机制交互作用的产物，这种理论模型在我国是否具有制度生命力？关键在于其是否有助于解决我国旧有制度的沉疴。相较于既有的“赋权——维权”模式，数据信托有其特殊的功能优势。

（一）数据信托有助于实现我国公民隐私保护的最大化

个人数据保护的逻辑起点是维护人的尊严和价值，这也是哈耶克提出的“目的价值”。以德国为代表的大陆法系最初在构建个人数据保护体系时，也是将个人信息保护置于隐私权保护之下，例如，《德国联邦数据保护法》第一条规定，本法制定的目的是保护个人隐私权使其不因个人资料的处理而受到侵害。保护数据主体权利，其精神内核应当是保障数据主体隐私。

当前我国对数据主体普遍采用的是知情-同意隐私保护模式。电子商务平台需在获取平台用户信息前告知其数据收集规则、用途，保障用户知情权。而2018年初支付宝年度账单默认勾选用户知情同意的丑闻从事实层面上证实该模式无法杜绝电商平台滥用、强制使用、违法使用个人数据的现象。知情-同意模式无法实现其预期作用，问题根源在于商业平台将商业盈利而非数据主体权利保护放在首位。基于资本逐利的天性，在欠缺有效监督的情况下，电商平台试图以最小化成本获取个人数据并与第三方共享，其意图不难理解。因此，解决电商平台违法获取、使用、处理公民数据的痼疾，关键在于从根本上扭转电商平台决策时依据的价值序列。信托机制针对弱势一方委托人之利益进行制度设计，我国《信托法》对受托人义务的规定，包括受托人利益不得与委托人相冲突、受托人不得直接从信托财产中获益、受托人基于与受益人之间的直接交易对受益人负有忠诚义务共3项义务， 2007年3月1日起实施的《信托投资公司管理办法》又对受托人不得从事关联交易进行义务规范，以此奠定信托机制以委托人利益最大化为导向的功能定位。在数据信托中，作为受托人的数据控制人被课以忠实义务，要求其将数据主体利益放在首位，其自身利益不得数据主体利益产生冲突，以外力强迫其在数据主体利益保护与追求盈利之间维持平衡，解决数据主体利益不被重视的现实困境。

认识到知情-同意模式的弊端，也曾有学者提出通过合同机制予以保护。2019年6月13日，国家互联网信息办公室发布《个人信息出境安全评估办法》（征询意见稿）中要求数据控制人与域外数据接收人在合同中约定对数据主体的先行赔付义务、告知义务、数据及时删除义务等。域外立法中，欧盟自2001年起适用的标准合同条款（standard contract clauses, 简称SCC）则为数据控制人和数据主体提供合同格式条款，主要对控制人控制数据期间行为进行约束，包括要求数据控制人为跨境流动的数据提供额外（安全）保障和配合调查义务。合同机制通过约定数据控制人义务一定程度上改变了双方权利义务配置结构。

但是，合同机制实质是一种应激型的规制模式（reactive regulation approach）。一方面，其无法对抗数据控制人的机会主义。凡是预先设定的文本规范，皆有漏洞。数据控制者很有可能会利用这些漏洞 “钻法律空子”，在实际操作中侵害数据主体隐私权。另一方面，合同机制亦无法化解未知风险。科技的迭代更新，例如黑客的新工具，必然带来新风险点的暴露。所谓计划赶不上变化，合同机制的风险模式只能应对业已出现的威胁，应对风险隐忧，潜行暗涌，合同机制无疑捉襟见肘，防不胜防。相比之下，信托义务除了在内容的详实程度、义务范围、严苛程度远高于合同机制之外，相比于合同机制明示控制人各项义务，信托法提供了一种总体原则（concept in search of a principle）和一项“远高于注意义务之标准”（reasonable care）。数据信托不着力于预设各种具体侵害情形，而是采用弹性义务标准，结合对5项受托人行为的排除规则，确保数据控制人在整个信托管理期间将数据主体的利益放在首位，并为各项数据主体的侵害事件配合调查或是承担责任，在风险处置、机会主义防范方面，弹性灵活的信托机制最有可能实现公民隐私最大化的制度目标。

（二）数据信托有助于解决我国公民举证难的实践问题

由图1可见， 9起败诉案件中，数据主体证据不足以证明被告为信息泄露者共有3例，公民无法证实信息泄露之危害后果则有4例。可见，公民举证不能和举证不足是导致败诉的最主要事由。在数据泄露案件维权中，数据主体不仅要举证数据控制人对于数据泄露存在过失，因其他不相关主体违法行为丢失其数据导致因果关系更难证明。仅仅为解决公民举证难问题贸然增设举证倒置规则，显然缺乏法理根基，架空《民事诉讼法》对举证责任倒置情形的规定。而英美法系信托机制天然包含举证责任倒置，法律要求受托人需对于其与信托财产之间的交易之公正性负举证责任。我国《信托法》未有借鉴英美法系设置举证责任倒置是立法遗憾，但是2019年9月11日发布的《全国法院民商事审判工作会议纪要》（下文简称《九民纪要》）第94条规定受托人无法举证证明履行勤勉、忠实义务，需对委托人遭受损失承担赔偿责任。《九民纪要》是最高院针对具有巨大争议案件出台的权威裁判意见，对全国司法系统裁判思路的统一无疑具有重要的指向作用。有鉴于《九民纪要》对全国民商事审判工作的巨大影响力，其对信托机制中举证责任倒置规则的明定可以理解为我国司法层面在信托领域已经适用举证倒置规则，司法先行必然有助于倒逼立法的跟进。

由数据控制人承担举证责任，意味着数据控制人需要举证其在数据保护中竭尽 “诚实、信用、谨慎、勤勉”之忠实义务、谨慎义务，且自身利益与数据主体利益并未产生冲突，而数据主体则只需证明损害发生，这无疑将进一步降低数据主体的维权难度，在维系现在法律体系完整性的同时解决数据主体面临的举证难问题，并发挥鼓励数据主体发起维权诉讼的积极作用。

另外，举证责任倒置亦有助于加大数据控制人数据泄露的成本，迫使数据控制人从前端提高数据安全防范水平。在当前市场上，世界500强企业每次数据泄露的平均成本为362万美元。数据泄露依旧无法引起其重视的根本原因在于数据泄露引发的市场成本小于其提高数据保护水平的安保成本。因此，必须将市场与管制相结合，进一步加大数据控制人滥用、泄露数据的法律成本。设置举证责任倒置规则，数据控制人为证明自己在数据泄露中不存在过失，需要耗费更大的成本举证。倘若这些成本足够大，数据控制人在权衡成本收益比的基础上必然采取预防措施，提高数据保护水平。

（三）数据信托有助于提高公民就第三方数据泄露获得救济的可能性

随着数据开发和利用的深化，立法规制正在转向数据的使用环节。在数据使用期间，伴随着第三方应用的参与，数据泄露的源头越来越多，如何最大程度保障数据主体在数据泄露中获得救济？下文从举证难度、诉讼成本、泄露人追踪三个方面论述数据信托在处理第三方数据泄露所能发挥的优势功效。

第一，数据信托加重数据控制人举证责任，提高数据泄露中数据主体获偿可能性。首先检视传统赋权路径与合同机制。传统赋权路径下，由数据主体举证被告为数据泄露方存在极高难度。由上文图1所示，9例中3例案件由于数据主体无法举证被告为唯一数据泄露主体而导致败诉。而在仅存的3例胜诉案件中，仅谢丽珍与尤天珍名誉权纠纷一案中，上诉人谢丽珍获得精神损害赔偿1万元。其余两例案件中，均因消费者无法举证数据泄露对其造成的危害而被法院驳回损害赔偿请求。可见，传统赋权模式无法有效解决数据泄露主体多元背景下的数据主体保护问题。其次，即使数据主体与数据控制人关于数据使用的服务条款构成事实上的合同，囿于合同的相对性，除非合同中明确规定，数据控制人应就第三方导致的数据泄露承担责任，否则数据主体即使找到数据泄露的第三方，也不能依据其与数据控制人的合同向第三方寻求损害赔偿。数据主体仍需依侵权起诉第三方，这将使得数据主体陷入“侵权诉讼-举证困难-败诉”的死循环。2019年5月28日，国家互联网信息办公室出台的《数据安全管理办法（征求意见稿）》（下文称《办法》）第30条规定，“第三方应用发生数据安全事件对用户造成损失的，网络运营者应当承担部分或全部责任，除非网络运营者能够证明无过错。”对于由第三方主体造成的数据泄露，立法对数据控制人（即网络运营商）实施过错推定。举证责任配置的调整，一方面增大数据主体获得赔偿的可能性，另一方面也敦促数据控制人从前端加强数据泄露风险防控，有助于从源头上防范数据泄露，殊值肯定。但是，立法仍需要进一步明定数据控制人需举证的无过错的标准为何。是否履行合同注意义务标准，就能证明其对数据泄露无过错？数据信托同样是由数据控制人负举证责任，但是数据控制人举证其对数据保护达到信义义务标准，比数据控制人举证其履行合同注意义务要困难很多。从举证的难易程度而言，数据信托增大了数据控制人的举证难度，更有助于实现立法者通过改变责任配置达到保护数据主体的立法目的。

第二，信托受托人可以通过提起对第三方应用之诉讼，降低数据主体参与诉讼之成本。数据控制人是否是数据泄露的当事人？从其所掌握的权利法益的角度，英美法系的信托机制中，受托人享有财产的名义所有权。在我国，根据数据信托的权利配置结构，受托人拥有对数据的实质所有权和控制权。其次，从利益损益的相关性角度，上文提到，在当前市场上，世界500强企业每次数据泄露的平均成本为362万美元。可见，数据泄露不止给数据主体带来损失，同样给数据控制人带来损失。这两点足以证明数据控制人是数据泄露的当事人而非无直接利害关系之第三人。那么，数据控制人是否具有提起诉讼的原告主体资格？由于单条数据价值的有限性，数据泄露常常伴随着规模性和体量性，数据控制人的数据泄露牵涉的受害者多为群体。《民事诉讼法》第53条规定，“当事人一方人数众多的共同诉讼，可以由当事人推选代表人进行诉讼。”数据泄露中，数据受托人属于当事人的事实，加之当事人一方体现出群体性特征，由此可以判定，受托人（数据控制人）具备作为诉讼代表人提起诉讼之适格性。由数据控制人提起诉讼，可以免除数据主体全程参与诉讼的压力，由受托人为第三方应用引发的数据泄露等侵权事件负责诉讼事务，降低数据主体的诉讼成本，提高数据主体维权的积极性。

四、数据信托与既有法律制度的兼容性

信托财产的独立以及《信托法》所授予信托受益人的撤销权可以证明受益人的所有权具有对世性和排他性，具备物权的属性，故而世界范围内普遍认为信托属于物权范畴。信托机制引入之初，就《信托法》上的受益权是否冲击物权法定主义，学界展开激烈的探讨。王涌教授认为，《信托法》是由人民代表大会审议通过的法律之一，因而由《信托法》规定的法授权利符合《物权法》第5条之物权种类由法律规定的要求，推导出信托受益权并非一种新物权。数据信托根据数据类型的不同而隐含多种子信托。基于其种类的不同，数据主体基于其上的受益类型必然有所差异，既包括人格利益又包括财产利益，亦有可能兼而有之。那么数据信托的受益权是否会再次冲击我国民法上的物权法定主义？

由于数据信托的子信托种类还未具体明定，直接论证其收益权的类型亦有难度，对此应当采用间接论证路线。既然我国学者已经论证传统信托受益权并未突破物权法定主义，论证的路径可以转为论证数据信托的受益权与一般信托财产的受益权是否有所区别。倘若并无区别，便能得出数据信托收益权亦未突破物权法定原则之结论。

一般意义上的信托财产受益权包括基于信托财产的收益请求权、信托财产独立性和特定情况下的撤销权。根据《信托法》第8条规定，信托受益权的内容、形式、履行方式遵从合同自治，由缔约双方约定。数据信托有关受益权的内容也由数据主体与控制人以信托协议的方式约定，并未对现在立法造成冲击。信托财产的独立性体现在信托财产与委托人、受托人以及受益人三方财产的隔离。例如《信托法》第17条规定受益人对财产的权利可以对抗受托人个人的债权人。在数据信托中，则表现为数据利益与控制人自身利益的隔离。控制人不得基于自身利益需要使用数据，数据主体有权就控制人不当使用数据请求法院撤销其处分行为，在法理上与一般信托财产的独立性并无区别。而就信托法中的撤销权而言，一般财产的撤销权主要指受托人处分不当时委托人的撤销权。在数据信托中，无论是域外立法抑或是我国立法，均授予数据主体撤销权。区别在于一般信托财产的撤销权需经由法院判决或裁定才能生效，而数据主体的撤销权是形成权，数据主体认为数据控制人不具备使用其数据之合法依据，即可以通知数据控制人删除已处理的个人数据，无需法院裁决。鉴于其撤销权实质并不因子信托的交易结构或是数据种类而改变，数据信托的撤销权与一般财产的撤销权并无差别。由于数据信托的受益权并未突破一般信托的受益权要求，基于一般信托机制并未对我国物权法定义产生突破的结论，数据信托的受益权亦未对物权法定主义构成威胁。

五、必要的说明：数据信托的标的与范围

数据信托是信托机制与数据治理高度融合的产物。数据的虚拟性和易复制性是否会使得传统的信托机制产生“排异反应”？数据是否可以作为信托的标的？信托机制能在多大范围内实现保护数据之功效？需要逐一厘清。

信托的标的是财产，因而数据作为信托标的之适格性要求数据是财产。那么数据是财产吗？在信息化时代，数据极易被复制和黏贴，倘若数据通过复制黏贴的方式被他人所掌控，是否意味着他人也同时拥有了这份财产？循此逻辑，财产是否可如永动机一般无需创造即可无限次的通过复制粘贴获得？这显然与基于所有权而衍生出的财产专属性和排他性特征背道而驰。梅夏英教授通过否认数据作为“类物客体”之适格从而否定数据是财产。再次，数据亦不属于虚拟财产。《民法总则》第127条明确将数据与虚拟财产作为并存保护的不同对象，司法实践中应用《物权法》调整有关虚拟财产法律关系的结果亦不能推导得出数据是物的论断。以上观点足以否认数据作为信托财产之适格性。

这里显然出现了一个悖论：数据交易市场的欣欣向荣使人们对数据极具价值这一论断深信不疑，同时数据的“非独占性”又与法律保护的财产概念背道而驰。事实上，问题的根源即在于数据的可交易性与数据本身价值的分离。多名学者认为，数据的财产价值并不来源于数据本身，而是藉由当事人的控制行为获得。如果将这种控制行为具体化，所谓控制力的本质即是权利，其实质是数据主体和控制人对数据享有的权利。反之，一旦数据为他人通过非法途径复制、粘贴，数据主体和控制人的专属权利遭到破坏，数据的财产价值同时不复存在。由此可见，数据的财产性体现为数据主体的数据权利和控制人的控制权而非数据本身。萨利（Sarah Worthington）博士提出，数据因为其所蕴含的价值而被法律赋予权利，这种权利使其成为和其他财产在法律上平起平坐，受到法律保护。这种说法进一步印证了数据在经济学意义上的有价性与数据权利在法律意义上的财产性的分野。数据权利的排他性和可支配性弥补了数据 “易复制、非独占性”的缺陷，符合法律意义上对“财产”定义。因此，基于信托标的应当为法律意义上的财产，且具有排他性和独占性的显性特征，信托的标的应当是数据之上的权利而非数据本身。

信托标的是数据权利的论断不仅有助于中止探讨数据是否是一种物或财产的纷争，亦有助于通过将数据作为客体的权利之财产属性与数据本身的可交易性分离，一定程度纠正学界当下所存在的过度强调数据的价值属性而磨灭其人格属性的倾向。事实上，权利作为无形物成为信托标的早已不是第一次。近代，将股权作为信托财产的表决权信托凭借其对控制权的优化作用，弥补了《公司法》在保护中小股东方面的不足，从而被各国广泛接受。权利作为一种无形财产被广泛纳入民法学上的财产范围。

数据信托的成立意味着数据主体需将其部分权利让渡给受托人（数据控制人）。有鉴于数据人格属性与财产属性的二元混同，数据主体的权利应同时包括财产权和人格权。将其中的财产权利让渡给受托人并无理论障碍。但是数据主体的人格权是否可以部分让与？这是否与传统人格权法或是所有权理论相抵牾？立法所赋予公民的个人信息权，在张新宝教授发表的《个人信息保护法（专家建议稿）》中，个人信息权被进一步细化为信息主体查询权、信息主体更正权、信息主体删除权。这些权利被赋予公民个体从而隶属于人格权的一部分。基于传统人格权法上对于人格利益的绝对控制权理论，或是将公民对数据的权利视为是其所有权的一部分从而基于所有权不可分割、不可让与的基本理论，均将得出该部分公民权利不可让渡的结论。但在现实中，个人让渡一部分或全部的数据更正权和删除权，已经成为互联网世界的常态。倘若数据主体无法让渡部分权利，将极大阻碍个人对数据的分享和利用，以及控制人对数据的收集和加工，更无法发挥大数据在优化资源配置、优化社会服务方面所能起到的突出作用。 所谓“法因时而立，法因时而进”，立法应当回应科技元素对社会生态的深刻影响和重塑，增强立法与社会发展的协调与互动。一味固守传统概念将会阻碍法律在数据时代发挥更大的作用。回溯历史，股权分散的加剧和管理的专业化促成了公司所有权和经营权的分立，股东的异质化偏好促成了双重股权结构的诞生。可见，权利的让渡与分立是经济生活发展和社会分工细化的必然结果，立法应当对个人数据权的让渡持有更开放的态度，以适应数据经济时代的发展。

马里吉尔（Malgieri）通过对数据进行分类，对不同层级的数据设置权利的先后顺位，以在数据主体权利保护与数据商业利益之间维持平衡：他将数据分为三类，第一类为数据主体直接提供之数据（如身份证号），第二类为控制者所能收集到的数据（如数据主体的购物信息），第三类为经过复杂运算得出的数据（是数据控制人基于运算得出的预测数据，如消费者的信誉评估等）。第一类数据隐私系数最高，因而数据主体的权利应当被置于控制者利益（商业利益）之前。第三类数据隐私性几乎不存在，因而数据主体不应当也无法基于此主张个体权利，但控制者对数据主体负有告知义务。对于第二类数据，他认为数据主体应当享有对控制者主张的权利，同时控制者享有对抗除数据主体以外所有其他竞争公司的权利。相应的，数据主体的访问权、删除权让与比例随着数据层级的上升而递减。

基于数据主体对其数据享有的权利是法律保护的财产，数据的财产价值根源于数据主体对其控制力的强弱。数据主体对其控制力愈强，该数据对数据主体的价值愈大，保护的必要性也相应更大。因此就何种数据纳入信托机制保护取决于数据主体对其控制力的大小。基于马里吉尔的分类法，第三类数据由于其敏感性较低，泄露对数据主体产生的情感、物质打击较小，无需也无法为其建立专门的信托。第一类数据与数据主体的人格利益紧密相关，数据泄露对数据主体人格利益侵害的可能性极高，有充分理由认为对数据主体人格利益（如隐私、个人信息权）的保护应当凌驾于对保护产业发展自由的利益考量之上。对受托人（数据控制人）施以较为严苛的义务有助于实现社会利益保护最大化的目标。因而应当对第一类数据运用信托机制予以保护。

六、结语

科技的发展早已超出人们所拟定的轨迹，它开始与人的思想、物质、财富相互作用，深刻变革我们所处的时代。如何在“数据即资产”的时代保护公民的数据？研究的关键不仅在于引入一种新的个人数据权利保护模式，而在于从规则层面剖析论证这种个人信息保护模式嵌入我国法律环境的合理性和适当性。相比于传统赋权模式，信托机制以信义义务实现了数据控制人与数据主体之间权利义务的不均衡配置，通过凸显隐私保护、降低举证难度、提高数据泄露时公民获得救济的机率，保护了数字时代数据主体的脆弱性，发挥私法救济的功效，间接促成了信托机制在数据保护与责任规则相互作用下的一次完美嬗变。但是，正如我们无法回答保罗瓦莱里的提问：人类的思想是否能够控制人类思想所产生的成就？我们亦无法预测信托机制是否就是数据治理、数据主体权利保护的终点。科技的进步在不断颠覆传统的法律框架，突破既有的法律边界，运用信托机制治理数据也将不断面临新的挑战。如何激励数据控制人履行信托义务，如何实现信托关系中受托人与数据主体的利益平衡，是亟待探索的问题。这也将成为我们重新理解数据，完善信托机制，研究科技给法律王国带来何种变革的起点。

涉及文字转载、内容推送事宜

本期编辑：周潇潇|校对：任韵薇

审核老师：李安安 | 袁康返回搜狐，查看更多