邢会强:我国是否需要引入数据信义义务?

文章来源:法制与社会发展 发布时间:2021-08-18

美国学者提出的信息信义义务理论被我国学者所引入,并被命名为数据控制者的信义义务理论或数据信托理论。该理论具有一定的启发和借鉴意义,但也有内在缺陷:在主体方面,大数据时代的数据控制者的数量太多,导致所谓的“信息受托人”过于宽泛;在客体方面,个人信息不具有信托财产所要求的确定性和独立性或独立的运用价值;在内容方面,忠实义务中的两大核心规则,即利益冲突禁止规则和义务冲突禁止规则,无法适用于消费者免费的双边市场,从而使信息信义义务理论无法解决互联网平台的利益冲突问题。明示或默示的数据信托与我国现行法律体系不兼容,我国没有必要引入法定的信息信义义务。

  关键词:信义义务;数据信托理论;个人信息

  信息信义义务理论是当前数据法学领域中的一个新兴理论,自耶鲁大学法学院巴尔金(Jack M. Balkin)教授于2016年系统阐述该理论以来,它备受关注,赞成者有之,反对者亦有之。目前,有国内学者赞同引入该理论,并将其称为数据控制者的信义义务理论或数据信托理论。但笔者经过系统梳理和审慎思考,认为信息信义义务理论有着内在缺陷,明示或默示的数据信托与我国现行法律体系不兼容,我国没有必要引入该理论。

  一、信息信义义务理论的提出、发展及引入

  对于起源于国外的信息信义义务理论,尽管国内学界已有相关介绍,但不够全面,下文有必要先对该理论作一个全面的介绍。

  (一)信息信义义务理论的提出

  信息信义义务理论最早可被追溯至上世纪90年代,劳顿(Kenneth Laudon)在《市场与隐私》一文中提议创建地方信息银行来管理个人信息资产,并在一个全国性的信息交易市场进行交易。地方信息银行作为个人的经纪机构,对个人负有信义义务。2012年,杰瑞·康(Jerry Kang)等人在《自我监控隐私》一文中提议创建个人信息保护人,负责管理个人信息仓库,个人信息保护人对个人负有信义义务,具体包括三方面:在安全存储、保护、删除、分析和提供个人自我监控数据方面表现出最低限度的胜任能力,为个人保密,以及避免利益冲突。

  2016年,巴尔金在《信息受托人与第一修正案》一文中系统阐述了数字企业的信义义务理论。与前两种建议不同的是,巴尔金主张数字服务提供商直接承担信义义务。他认为,在与用户建立关系时,医生和律师等专业人员对其所获得的个人信息负有特殊义务,这些对个人信息负有特殊义务的主体为信息受托人。“信息受托人是指由于与他人的特殊关系而在该关系过程中对其所获得的信息负有特殊义务的人。”信义法是发展的,法律不断扩展新的信义关系。在数字时代,由于用户在敏感信息方面信任数字企业,因此某些类型的数字企业应承担信义义务。这些信义义务与此前受托人的信义义务类似,但不完全相同。收集、分析、使用、出售和流转个人信息的在线服务提供商和云公司,应当被视为用户(或客户)的信息受托人。基于信息受托人所享有的针对用户的特殊权利以及与用户的特殊关系,信息受托人负有特殊义务,即不得以损害用户利益的方式收集、分析、使用、出售和分发个人信息。由于巴尔金是信息信义义务理论的系统阐述者,所以下文主要介绍巴尔金的信息信义义务理论。

  (二)巴尔金的信息信义义务理论

  1.  对数字企业施加信义义务的原因

  巴尔金详细阐述了数字企业对用户在个人信息保护方面负有信义义务的四个原因。首先,用户与许多在线服务提供商之间的关系存在脆弱性,因为在线服务提供商具有丰富的专业技能和知识,而用户通常没有。在线服务提供商拥有很多关于用户的信息,而用户很少拥有对方的信息,用户对在线服务提供商用收集到的用户信息要做什么也一无所知。在线服务提供商可以轻松监控用户,用户通常很难知晓或阻止他们背叛用户的信任。其次,用户自己对许多在线服务提供商处于相对依赖的地位。许多在线服务提供商提供了用户需要的许多不同种类的服务,用户一定希望他们不要滥用其信任,不要以散布用户信息的方式来损害用户。再次,在很多情况下,在线服务提供商在提供某些类型的服务以换取用户的个人信息方面表现出了自己的专家地位。最后,在线服务提供商知道自己拥有被利用后可能对用户产生不利后果的有价值的信息,并且他们也知道用户了解这一点。因此,尽管在线服务提供商也希望从这些信息中获利,但仍然将自己设定为符合用户利益的值得信赖的组织。

  因为用户了解在线服务提供商很容易收集个人信息,并且用户也认识到在线服务提供商所使用的工具超出了他们的理解范围,所以用户寻求在线服务提供商保证用户使用这些服务是安全的。在线服务提供商也乐于以模糊和一般的方式提供这些保证。通过将自己展示为值得信赖的个人信息收集者和保存者,数字企业强调出于安全性和竞争力的考虑,数字企业的算法不能完全透明,即数字企业对收集到的信息怎么利用、如何加工、加工后的结果如何等不能完全透明。数字企业会诱导用户与其建立信任关系,以便用户继续使用其服务。因此,商业实践表明,数字企业是信息受托人,在个人信息保护方面负有信义义务。

  2.  信息受托人的范围

  并不是每个与用户打交道的组织或个人、每一个知悉用户个人信息的组织或个人都是信息受托人。仅通过互联网与某人通信并不能使网络服务提供者成为信息受托人。巴尔金提出了一个初步的判断标准,即同时具有下列情形的组织或个人应被视为信息受托人:第一,当这些组织或个人通过向公众展示其为尊重隐私的主体来赢得人们的信任时;第二,当这些组织或个人让用户有理由相信他们不会泄露或滥用用户的个人信息时;第三,当受影响的个人合理地认为这些组织或个人基于现有的合理行为的社会规范、现有的执业方式或合理证明其信任的其他客观因素而不会泄露或滥用其个人信息时。

  3.  信息受托人的信义义务的内容

  巴尔金认为,每个数字企业的信义义务范围并不相同。即使在传统的信义义务理论中,不同种类的信托义务也不是在所有方面都完全一致,用户和在线服务提供商之间的信义关系不必在所有方面都与传统的专业关系相同。信息受托人的信义义务的具体内容取决于关系的性质、信任的合理性、防止数字企业自我交易以及对用户或受益人造成伤害的严重性。巴尔金指出,用户没有期望脸书或优步(Uber)管理用户的财产,也不期望它们是医生、会计师或律师。可以合理地预期,交通经纪人或在线约会服务提供商即使为了防止用户批评自己,也不会尝试或威胁骚扰用户。也可以合理地预期,社交网络服务提供商旨在促进社交网络,而不会操纵用户的选举投票。传统的受托人与在线服务提供商之间还存在另一个重要区别。有时用户期望专业人员不仅要避免伤害用户,还应关注用户的利益。例如,医生以博学的专业人员身份关心用户健康,用户有理由期望他们警告多种健康风险。用户可能不想对谷歌、脸书或优步等数字企业强加全面的信义义务,因为它们与医生的业务截然不同。数字企业的信义义务取决于企业向公众展示的业务类型,谷歌和优步可能有义务以某些方式保护用户的隐私,但用户不希望它们警告其不要进行特定的旅行。数字企业保护用户的义务非常有限,用户应该将这类在线服务提供商视为特定目的的信息受托人。用户应该将信息受托人的义务与他们提供的服务联系起来,什么是违反信义义务的行为将取决于数字企业提供的服务类型以及用户的合理期望。

  总之,以巴尔金之见,信息受托人的义务尽管取决于他们向公众展示的业务类型以及客户的合理期望,但基本内容却是低门槛的:不是积极作为的维护用户利益的义务,而是消极不作为的不损害用户利益的义务,即不得泄露和滥用个人信息,不背叛用户,不损害用户利益,不造成利益冲突,不以用户意想不到的或违反社会规范的方式使用个人信息。

  (三)国外学术界对信息信义义务理论的赞同与发展

  多布金(Ariel Dobkin)认为,如果在线服务提供商以“合理的用户”无法期望的方式使用个人信息,则该在线服务提供商可能违反了其义务。应禁止在线服务提供商利用用户的个人信息来操纵和歧视用户,并且在某些情况下应禁止其与第三方共享个人信息,数字企业不得违反其隐私政策承诺。但是,“合理的用户”的期望可以并且应该及时变化。如果公司将特定的做法通知了用户,则该做法应是在用户的期望之内的,因为用户可以自行选择是否使用该服务。但由于大多数人选择不使用诸如谷歌之类的互联网服务几乎是不可能的,因此通知用户不应成为一个完全的避风港。但无论采用何种通知方式,操纵和歧视都应被视为违反信义义务。比较理想的是,隐私策略可能只有一到两页,并且易于阅读和理解。在这种情况下,数字企业必须遵守自己的隐私政策承诺。她认为,信托义务的美妙之处在于能够改变用户的期望。“合理的用户”的期望可以及时发生变化,并且公司可以测试或实施新的想法。通过为用户提供选择加入或退出的机会,公司可以允许用户自主采取行动,以此来发现用户允许被收集和利用其哪些个人信息。

  尼德曼(Alicia Solow Niederman)建议,法院不应该依靠法定诉权或隐私侵权来保护消费者的个人信息,而应该认识到现在的交易蕴藏着什么样的类似信赖关系。考虑到数据持有者与消费者的关系,商业交易中的消费者数据的持有者应被标明一个独特的标签:“数据守密人”(data confidants)。数据守密人有义务安全地维护从客户那里获取的个人信息。她将“数据守密人”看作有限的信息受托人,法院可以据此对被破坏的信任予以修复。数据持有人应被理解为巴尔金所说的“信息受托人”的子类型。

  以上两位学者和巴尔金一样,其主张的信息信义义务均属于美国法中盛行的默示信托或推定信托,即法官可凭借自由裁量权对数字企业施加信义义务。但也有学者主张美国在州层面引入法定的信息信义义务。例如奥默罗德(Peter C. Ormerod)认为:各州应颁布法律,对收集、保留、处理、出售或共享个人信息的任何企业施加信义义务;州立法应针对违反该义务的行为创设诉因,对违反该义务的行为施加严格责任,并规定随被告人的可责程度而课以赔偿金;法律应允许原告对违反信息信义义务和未履行违约通知义务的企业提起诉讼;信息受托人对信息滥用负有严格责任,但这可能导致象征性赔偿即只向起诉他们的人进行赔偿;如果初审法院的法官认为这不会对未来的信息滥用构成有意义的威慑,法官有权判处能构成“有意义的威慑”的罚款,该罚款上缴国库。

  (四)信息信义义务理论在国外的立法回应

  在美国,2018年12月,十几位民主党参议员提出了《数据保护法》(Data Care Act of 2018)草案,规定了在线服务提供商的三大义务,即注意义务、忠实义务和保密义务,以全面践行巴尔金的理论。

  印度《2019年个人信息保护法》(国会审议稿)(以下简称《印度个人信息保护法草案》)引入了“数据受托人”(data fiduciary)的概念。所谓“数据受托人”是指任何单独或与他人一起决定处理个人信息的目的和方式的人,包括国家、公司、法律实体或个人。可见,印度是以“数据受托人”的概念来取代《欧盟一般数据保护条例》(以下简称GDPR)中的“数据控制者”概念。根据《印度个人信息保护法草案》,数据受托人的义务包括:告知义务,确保数据质量的义务,数据存储限制义务,自证合法的义务,依法保障数据主体核验和访问权、修正权、可携权、被遗忘权等权利的义务,设计隐私保护义务,透明度义务,安全保障义务,个人信息泄露时的通知义务等。《印度个人信息保护法草案》在“数据受托人”概念下,还引入了“重要数据受托人”概念。印度数据保护机构须依据考虑处理的个人信息量、敏感性、数据受托人的营业额、数据处理所造成的个人损害风险、进行数据处理所使用的新技术以及其他因素,认定并告知某些数据受托人或几类数据受托人为重要数据受托人。除一般数据受托人的义务之外,重要数据受托人还负有以指定的方式向数据保护机构注册、进行数据影响评估、保存相关记录、进行数据审计以及设置数据保护官的义务。

  美国《数据保护法》草案已在美国参议院被审议过两次,尚未得到参议院的批准。《印度个人信息保护法草案》已经印度内阁批准,正在国会审议。以上两个立法草案均尚未变成正式法律,最终是否采用“数据受托人”概念,有待进一步观察。

  (五)信息信义义务理论在我国的引入

  在我国,信息信义义务理论最早由吴泓引入。他主张,个人信息保护立法应该更新理念,构建一个在“信赖”理念指引下的信义义务制度,以作为对现有制度的补充。张丽英等主张以“信托说”来弥补“合同说”在界定电商平台对用户隐私数据承担法律责任时的不足。解正山明确提出数据控制者信义义务,他主张将信义义务引入新型数据关系中,要求自动驾驶汽车制造商、其他智能交通服务提供者以及其他商业场景中的数据控制者以数据受托人身份管理或处分其占有的个人信息,强化其数据受托职责,以弥补个人在隐私管理中的能力不足。

  虽然主张引入数据信托的学者还不多,但由于我国数据法学刚刚起步,基础理论薄弱,而数据法学又是一个备受青睐的新兴学科,这使得信息信义义务理论备受关注。其实,该理论并没有想象中的那么完美,我们有必要揭开其面纱,更理性地认识它。虽然国外有一些批评信息信义义务理论的声音,本文也进行了借鉴,但仍有必要根据我国的立法和法律传统对信息信义义务理论进行系统而全面的反思。

  二、信息信义义务理论的内在缺陷

  信义关系之存在,是信义义务成立的前提。从信义关系的角度分析,信息信义义务无论是在主客体方面,还是在内容方面,都存在着不可克服的内在缺陷。

  (一)主体方面的缺陷

  在主体方面,即使存在信息信义关系,也会因受信主体(数据受托人)过于宽泛而使信息信义义务理论失去实际意义。对于哪些数据控制者应为数据受托人从而负有信义义务,信息信义义务论者并未取得一致。解正山认为,具有垄断地位的数据控制者应负信义义务,但如何判断数据控制者的垄断地位,是否以《反垄断法》上的标准进行判断?对此作者并未明确。《印度个人信息保护法草案》同时引入了“数据受托人”和“重要数据受托人”概念,二者所负的义务并不相同,后者强于前者,这就存在着内在矛盾。因为信义义务已经是法律中强度较高的义务了,难道在信义义务中还要区分出一般的信义义务与更高强度的信义义务?这在传统的信义关系中是没有先例的,印度的做法不过是在“信义义务”的新瓶中装入了GDPR的老酒。巴尔金的判断公式相对宽松一点,很多数据控制者都可落入信息受托人的范围,但这引发了更多的问题。

  我们知道,在传统专家(医生、律师、会计师、投资顾问等)场景下,受托人是特定的、数量很少的。用户看医生,聘请会计师、律师或投资顾问,通常同期只找一位。但在数字经济条件下,用户每天都和无数的数据控制者打交道,一般的消费者往往不知道一个行为后面有多少个“数据受托人”。倘若引入信息信义义务理论,无疑会导致数字时代信义义务的泛化。当用户频繁使用数字技术,个人信息被接二连三的“数据受托人”收集时,用户都不知道将数字管理委托给了谁。这种泛化的信义义务有何意义呢?某个人的卖房信息被泄露并被犯罪分子利用且成功实施了诈骗,违反信义义务的“数据受托人”是房屋中介、房产登记管理部门还是税务机关?如不借助于侦查机关的力量,通常是不能确定的。难道法律的选择是将这三类主体都列为被告,并让其承担连带责任吗?倘若是手机号码被泄露了,用户能确定是哪一个“数据受托人”泄露的吗?通常不能,因为“数据受托人”太多了。假设用户使用了一个具有垄断地位的数据控制者的APP,同时又用了印度个人信息保护法意义上的两个“重要数据受托人”的APP,还用了更多个其他小型数据控制者的APP,这些APP都收集了该用户的手机号码和行踪轨迹,如果该用户的这两个信息都遭到了泄露,该起诉谁呢?该用户显然一头雾水。因此,即使存在数据控制者的信义义务且乍看起来很严厉,但由于现实中数据控制者即使违反了信义义务,用户也无从确认谁是被告,因而无法追究法律责任。因此在很大程度上,信息信义义务是一张废纸。

  在人们的法律生活中,信义关系的存在应该是例外,而不应是常见现象。信义关系是存在于服务提供者与接受服务的个人之间的独特关系。在大数据时代,个人信息的收集和存储变得非常容易。有线电视运营商会监视人们观看的节目并猜出他们的喜爱,超市可以根据消费者购买的商品来判断一个人是否怀孕了。这些经营业务都不属于那种可将其归类为“信息受托人”的特殊关系。因此,即使引入信息信义义务理论,信息受托人也无法涵括如此多的数据收集者和处理者。否则,将使信义关系成为数字时代的一种通例而不是例外,从而导致信义关系的泛滥和意义减损,将消解信义义务的本来价值。

  (二)客体方面的缺陷

  信托财产的确定性为信托成立之必备要件,信托财产的独立性为信托制度的特色和优势。无论是英美法中的“双重所有权”观念,还是大陆法系按照“物债二分”模式来构造信托财产权,信托财产的独立性都是极强的。在传统上,英国信托法强调信托的成立必须满足确定性的要求,即信托财产的范围必须可以被确定,否则信托不成立。信托的确定性要求信托财产的范围是可以辨别的。在大陆法系,信托财产的独立性更是信托法的灵魂和核心。我国《信托法》第三章规定了信托财产的独立性,第29条还要求受托人必须将信托财产与其固有财产以及不同委托人的信托财产分别管理和记账,这是为了确保信托财产与受托人的固有财产相区隔。据此,信托财产应具有独立的运用价值,不宜为委托人与受托人共有之财产。即使在极个别的情况下,信托财产可以为委托人与受托人所共有,但这至少在设立之时就应确定,信托财产不能是源源不断产生的动态共有财产。

  遗憾的是,在信义关系的客体方面,信托财产要么不具备确定性和独立性,要么即使具有确定性和独立性,也没有独立的运用价值。这是因为:

  第一,有的数据之财产权益为数据控制者所独享(如匿名数据),有的数据之财产权益为数据主体所独享(如个人直接信息),也有的数据之财产权益可能为数据控制者与数据主体所共享,如马尔吉里(Gianclaudio Malgieri)分类中的“中级关系信息”,是个人与数据企业的“共享准财产权”。数据控制者独享或数据控制者与数据主体共享之数据,具有“大量”(Volume)、“高速”(Velocity)、“多样”(Variety)等大数据的特征,其边界不断变化。这种数据也源源不断地产生,甚至爆炸性增长,不具有信托财产所要求的确定性。

  第二,即便是数据主体独有的个人数据,也只有经历了不断被分类、整理、聚合、挖掘,才具有大数据的价值。一个单独的数据主体所“委托”的孤零零的个人数据即使具有确定性、独立性,其价值密度也较低,难以具有独立的运用价值。而一旦利用大数据技术对包括个人数据在内的数据进行聚合、挖掘,该个人数据便无法满足我国《信托法》第29条规定的“分别管理、分别记账”的要求。

  第三,大数据企业对海量个人数据的加工与增值,能够产生附着于原始个人数据的新的数据形式,而后者才真正具有价值,其价值远大于原始个人数据之价值。这些新的数据形式可能涉及或含有个人数据,增值后的价值类似于“孳息”,但不宜被称为“孳息”,也不宜被归入信托财产。这是因为:一方面,该“孳息”无法一一被拨付给单独的个人;另一方面,将“孳息”归入信托财产难以激发数据控制者开发大数据潜在价值的积极性。该加工增值后的数据新形式,其财产权益要么为数据企业所独享(如匿名信息),要么宜为数据主体与数据企业所共享(如个人画像)。在共享状态下,数据之财产权益其实是信托财产与受托人固有财产的混同,故其不具备信托财产之独立性。

  (三)内容方面的缺陷

  在信义关系的内容方面,信息信义义务理论无法解决双边市场的利益冲突问题。信义义务的核心是忠实义务,它要求受托人在履行受托职责的过程中以委托人或受益人利益为一切决策的出发点,不得从事任何与受益人利益相悖的行为。根据信托法权威米勒(Paul B. Miller)教授的观点,忠实义务可以分为两类禁止规则:一是“利益冲突”禁止规则,即禁止受托人从事其个人利益与受益人的利益可能发生实际或存在潜在冲突的行为;二是“义务冲突”禁止规则,即禁止受托人同时为两个利益相互冲突的主体服务。这两类禁止规则在当前流行的消费者用户免费使用的互联网双边市场场景下无法适用。

  消费者免费使用的很多互联网平台都是“双边市场”,即它有两类客户,一类是消费者用户(个人),一类是经营者用户。例如,在百度的客户中,一类是搜索引擎的使用者,一类是广告商。在淘宝的用户中,一类是消费者(买家),一类是经营者(卖家)。在微信的用户中,一类是社交用户(大多数是个人),一类是广告商或卖家。这两类用户的利益是相互冲突的。在免费成为互联网主流商业模式的情况下,互联网平台主要依赖消费者用户的数据实施精准营销,进而从经营者一方获取利润。因此,“义务冲突”禁止规则无法实施。在互联网平台的利益、消费者用户的利益以及经营者用户的利益这三方利益冲突的场合,互联网平台很难做到将消费者用户的利益置于最优先的位置,否则消费者免费使用的互联网平台就无法生存。因此,“利益冲突”禁止规则也无法实施。“如果在线平台是双边市场——这在互联网领域非常普遍,信义义务理论在解释平台应如何协调其不同方的用户的冲突需求方面没有提供有用的帮助。”

  在国外,也有不少学者在信义义务的内容方面对信息信义义务理论提出了质疑。例如,卡恩(Lina Khan)等以脸书为例,质疑将信义义务框架应用于主流数字平台的建议:只要脸书唯一的付费客户是广告主,它将没有什么经济动机将消费者用户的利益放在首位。与执行专门任务并提供个性化判断的医生和律师不同,脸书不会为客户带来专业知识。相反,它为他们提供了访问通信网络的权限。虽然医生和律师必须收集一定数量的敏感信息才能为患者和客户提供良好的服务,但用户向脸书共享其大量的个人信息并不是访问网站通讯网络的先决条件,更不用说允许脸书在互联网上跟踪用户了。调查显示,超过三分之二的脸书用户甚至都不知道该公司运用收集来的数据对客户的兴趣和特征进行分类。此外,绝大多数用户都不想收到任何定向广告,但这是脸书业务的引擎。

  皮亚提(Tamara Piety)认为信义义务在公司法的实践中是无效的,要求数字企业避免利益冲突也将是无效的。他认为,数字企业从用户的上瘾行为中获利并激励用户上瘾,这不是一个假设,而是现实。提出信息受托人的理论似乎是出于希望创建某种基于角色的身份的愿望,这种身份要求数字企业保护客户免受其自身商业模式的掠夺。但若说像脸书这样的营利性公司可以解决其商业模式与这种信托角色之间的内在冲突则是令人难以置信的。格瑞曼(James Grimmelman)也认为信义义务中的忠实义务很难在在线平台身上实现,他指出:告诉财产管理受托人不从事自我交易很容易,这样做并没有严重限制受托人的行动自由。同样,将忠实义务应用到传统的提供建议的受托人身上,也不会带来太大的影响,因为大多数医生在给患者开药方时并没有财务利益。但是,将忠实义务应用到在线平台上,如反对平台进行自我交易,要么是荒谬地不够包容,要么是荒谬地过度宽容,或者两者兼而有之。在几乎所有的推荐建议中,在线平台都具有微妙而复杂的财务利益。这些利益冲突无处不在,如此普遍,以至于完全禁止它们将会禁止平台提供用户寻求的大多数建议,或者禁止平台本身。在线平台以传统的受托人根本无法做到的方式与多个互动方打交道,在线平台并不是一个合适的受托人。

  虽然每一种信义关系中的信义义务并不完全相同,但由于忠实义务中最为重要的利益冲突禁止规则和义务冲突禁止规则无法适用于消费者用户免费使用的主流互联网双边市场中,这导致忠实义务欠缺核心内容。美国《数据保护法》草案中所谓的忠实义务只是不得伤害用户而已,这与经典的将委托人利益置于优先地位的信义义务下的忠实义务相去甚远。这种不得伤害义务,其实是所有主体(而不仅仅是受托人)都负有的义务。

  三、明示或默示的数据信托与我国现行法律体系不兼容

  也有学者主张在我国现行信托法的框架下嵌入数据信托,并认为数据信托与我国信托法具有兼容性。但详细分析之,数据信托与我国目前的法律体系尚不兼容,无法在我国现行信托法的框架下设立数据信托。

  (一)明示数据信托无法事先设立

  我国《信托法》的设计以明示信托为主。《信托法》第8条要求,设立信托,应当采取书面形式,书面形式的典型是合同。第9条则明确规定了设立信托的书面文件应当载明的五项必要记载事项,其中包括委托人的姓名或者名称、住所等。再加上我国很难引入推定信托,所以,如不通过法律的强制性规定,难以想象在我国会有数字企业在其隐私政策中写入明示信托之必要记载事项。如果法律强制数字企业在其隐私政策中写入明示信托之必要记载事项,那么这显然是另一种信托形式即法定信托了。后文将论证,法定信托在我国不必要设立。在明示信托的前提下,数据信托无法通过数字企业的隐私政策这一书面形式而设立。这是因为:

  第一,隐私政策是不是数字企业的电子化格式合同不无争议。尽管不少人认为隐私政策经过了点击同意而构成合同,但也有人认为隐私政策在性质上仅仅为政策声明,并不具有合同执行性。在 Dyer v. Nw. Airlines Corps 案中,法院认为如此宽泛的政策声明不产生合同请求权。在以Anthem公司为被告的数据违约集团诉讼中,法院因原告未能证明被告的隐私政策构成有效合同而驳回违反合同之诉。还有学者将隐私政策视为一种企业自我规制的工具。如果隐私政策不构成格式合同,那么数据主体就难以通过点击确认的方式签署合同,数据信托就无法通过数字企业的隐私政策这一书面形式而成立。

  第二,即使数字企业的隐私政策构成格式合同,也并不是所有的数据控制者收集个人信息都必须经过用户的点击同意。例如,GDPR第6条第1款规定,除了数据主体的同意之外,数据控制者还有其他可以不经数据主体同意而有权处理个人数据的五种情形。我国《民法典》第1035条也规定,处理个人信息应当征得自然人或者其监护人同意,但是法律、行政法规另有规定的除外。国家标准《信息安全技术个人信息安全规范》更是规定了个人信息控制者收集、使用个人信息无需征得个人信息主体授权同意的若干例外情形。在不经数据主体同意而可收集、记录个人数据的场合,无法通过信托合同使数据控制者成为数据信托的受托人。通过数据主体的同意而收集数据者为数据受托人,无需征得数据主体授权同意而处理数据者不构成数据受托人,这与数据信托引入之初衷相悖,不但减损了对个人信息保护的力度,还造成了不同数据控制者、处理者之间的不平等。

  第三,即使数字企业的隐私政策构成格式合同,仅通过用户的点击同意,也是无法在其中写入委托人的姓名或者名称、住所等必要记载事项的。数字企业的隐私政策是事前制定的,用户(委托人)无法在事前确定。

  (二)推定数据信托无法引入我国

  在传统上,英国信托法根植于衡平法,而衡平法以良心为基础。衡平法也同样是一种判例法,衡平法院的大法官不以法律而以良心判案,拥有广泛的自由裁量权。时至今日,衡平法虽与普通法融合了,但分野仍然存在:不但在法律教育和法学研究中一直保持着区分,在信托案件的审理上仍然由法院按照衡平诉讼程序进行,衡平的思想仍根深蒂固地存在于英国法官的头脑之中。“即使在今天,信托法仍然在很大程度上是一部法官法,对其操作者的依赖程度极高,对于法官的心理素质、知识结构、职业训练、方法作风的要求,也极为苛刻。”美国信托法继受自英国法,尽管有较大发展,但也保持了这一传统。美国信托法仍是灵活的、富于开放性的、庞杂的判例法体系。英美法官权力较大,他们通常采用类比推理的方法,从先前认定的信义关系入手,类比法律关系的相似性,从已知的类型推出未知的类型,将新的关系认定为信义关系,进而将信义义务的适用范围扩至该关系。这种做法导致信义关系的类型不断丰富,信义义务的适用范围也就一直处于扩张的趋势中。“法院通常对各种关系施加信义义务,包括受托人—受益人,雇员—雇主,董事—股东,律师—客户和医师—患者等关系。在每种关系中,法院都要求受托人遵守一般的忠实义务,在无数变化的主题上使一般义务适用于特定情况。”针对英美法官经常在一个人因信任另一个人而容易受到伤害的关系中临时施加信义义务的状况,不少学者认为,信义法是“凌乱的”“不连贯的”“模糊的”和“难以捉摸的”。

  我国作为具有大陆法系色彩的成文法国家,法官权力相对有限,只能根据立法者制定的法律裁判,无权发现隐藏或默认的信托关系,无权推定信义关系的存在。尽管有学者认为:“推定信托可以作为诚实信用原则的补充,来填充这一一般条款的实际体现,由法官依职权在具体案件中引入。”但这谈何容易!在美国,原告要想获得推定信托的救济,必须首先证明他们在普通法中没有得到适当的救助,这是以普通法和衡平法的严格区分为基础的。在我国,没有普通法和衡平法区分的传统,数据主体与数据控制者之间往往有电子合同存在,有合同法为裁判依据。如果认为依据电子合同的裁判不公或不存在电子合同,那么法官也可依据《民法典》中关于个人信息的保护规则、《消费者权益保护法》乃至未来的《个人信息保护法》等明文规定进行裁判,一般不会向民法诚信原则一般条款逃逸。将数据主体与数据控制者之间的关系视为推定信托固然是一种大胆的学术假设,但还需小心论证。目前我国法官的法律论证水平还不足以支撑引入推定信托。主张我国引入推定信托论者还建议,最高人民法院可通过司法解释确立推定信托制度。但问题是,最高人民法院的抽象司法解释俨然是立法,用司法解释确立类型化的信托制度本质上属于法定信托。

  四、我国没有必要引入法定的信息信义义务

  (一)便利数据主体之救济不必以信义义务为前提

  在私人执法的情况下,引入信义义务理论,可以解决两个诉讼难题:一是可以通过过错推定与举证责任倒置来解决原告的举证难题,二是法院可以判处具有威慑性的惩罚。但即便如此,也未必需要引入信义义务理论。

  过错推定与举证责任倒置不必以信义义务为前提。由于数据主体与数据控制者之间地位不对等、信息不对称,二者的举证能力也是不同的。因此,如发生个人信息侵权行为,笔者赞同实行举证责任倒置。在信义义务之下,应实行举证责任倒置。“在冲突交易情形下进行信义义务违反之诉时,法院往往采取更加严厉的标准要求被告证明其行为的妥当性。”但是,如果没有信义义务,是否可以实施举证责任倒置呢?如果可以,那就不一定非得引入信息信义义务。《最高人民法院关于民事诉讼证据的若干规定》(法释〔2001〕33号)第4条规定了8种举证责任倒置情形,其中前7种均不存在信义关系。《消费者权益保护法》第23条第三款把举证责任分配给了经营者,突破了民事诉讼法关于“谁主张谁举证”的原则。这一举证责任倒置也不以信义关系的存在为前提,举证责任的分配主要考虑证据的远近。受害人距离证据远而加害人离证据近,当证据偏在造成双方当事人的证明能力明显不对等时,由证明能力弱的一方负举证责任是有违公正的,因而需要通过举证责任倒置来解决。举证责任倒置不足以证成有必要引入信义义务,无论是德国的《数据保护法》,还是GDPR,均在没有引入信息信义义务理论的前提下对数据控制者的侵权行为实行过错推定和举证责任倒置。当然,为了使数据控制者便于举证,法律可要求数据控制者建立可追踪的技术体系。谁在何时何地查询、使用、修改、下载了个人信息,事后都可查证,以便做到可举证、可追责。数据控制者如果不能举证其没有过错,就应承担侵权责任。

  法院可判处威慑性的侵权法律责任,这也不必以信义义务为前提。信义义务框架下的赔偿具有惩罚性、威慑性,即信义法通过威慑而不是补偿来对受托人施加限制,以克服合同法救济的不足。信义法的本质是一种私人执法机制,再加上美国式的集团诉讼机制,故能有效地替代公共执法,节省公共执法成本。在这样的私人执法体制之下,法院可以进行罚款,但我国却没有这样的法院罚款机制。我国在个人信息保护领域也缺乏美国式的集团诉讼机制,因此公共执法必不可少,我国的公共执法下的罚款取代了美国法院的罚款。在课处威慑性的侵权法律责任方面,我国不必以信义义务为前提。例如,我国《民法典》第1185、1207、1232条规定的知识产权、产品质量和环境侵权等领域的惩罚性赔偿均不以信义义务为前提,《消费者权益保护法》和《食品安全法》规定的惩罚性赔偿也不以信义义务为前提。因此,我国《个人信息保护法》的惩罚性赔偿也不必以信义义务为前提。

  (二)信息信义义务与我国加强个人信息保护的现实需求不契合

  加强个人信息保护,我国更需要公法规制。常被国内学者忽略但不应被忽略的一个背景是:美国因宪法第一修正案而限制了联邦立法削弱数字企业收集、利用个人信息的能力,导致个人信息保护方面的规制性立法不足。另外,美国行业自律规范也在个人信息保护中占据重要地位。信息信义义务理论的提出,意在通过由法官来发现隐藏的信义义务,以弥补立法的不足。但信义法是一种私人执法机制,而不属于公法或规制法。

  信义法在传统的专家场景中是可以有效运行的,客户提起诉讼进行权利救济所遇到的障碍不大,这主要是因为:一方面,专家的数量有限,很容易确定谁是被告;另一方面,客户和专家之间的实力、地位不对等不甚严重,还不足以形成他们之间实力、地位严重不对等的关系。尽管律师、基金管理人等受托人通常很富有,但在客户、基金持有人等委托人中,比受托人资金实力雄厚者比比皆是,因此客户很容易提起诉讼,进行私人执法。但在数字场景中,不但侵权人难以确定,而且原子化的个人用户提起诉讼的动力也不强,因为每个人所受的侵害很小,即使不存在举证难的问题,诉讼成本依旧很高,即使胜诉也获赔甚少。因此,针对数据主体的个人信息受到的侵害,包括信义法在内的侵权法所提供的私人救济机制有很大不足。

  信息信义义务理论的初衷在于,通过对数据控制者施加信义义务来加强对个人信息的保护,而非将个人信息作为财产权予以积极利用,保值增值。这就是说,即使数据信托成立,也大多是消极信托,受托人一般不愿履行积极的财产管理义务。让数据控制者作为个人信息的受托人,代表数据主体起诉个人信息的侵权者,不是一厢情愿,便是强人所难,不具有普遍推广的意义。消极信托解决不了数据主体不愿起诉的难题,除非创设杰瑞·康所提议的“个人信息保护人”这一专业机构。但绝大部分数据控制者都不属于该类机构,该类机构所负的信义义务不是主流信息信义义务理论所谓的数据控制者的信义义务。“以私权模式为主的(个人信息保护)治理方式,已经面临着无法避开的挑战。”我国应从私法救济转向公法救济,从私人执行转向公共执行,从侧重事后救济转向侧重事前、事中保护,注重对个人信息问题的回应型治理,强调多元主体合作与共治,加强政府的保护和监管责任。

  数据主体与数据控制者之间的关系,在数据控制者是企业(经营者)的情况下,不再是平等主体之间的法律关系,更多情况下是地位不对等的法律关系。他们之间关系的脆弱性,并不必然导致信义法的衡平纠正,也可以通过规制法予以纠偏和倾斜性保护。“为摆脱个人信息私法保护的困境,我国的个人信息法律保护应当倚重消费者法保护与公法保护的进路”,“由私力救济为主转向公力、私力、社会救济并用”。无论是巴尔金主张的数字企业不泄露和不滥用个人信息的义务,多布金概括的数字企业不得操纵客户、不得歧视客户、不与第三方随意共享个人信息、不得违反自己隐私政策的四大义务,还是奥默罗德主张的数据安全义务和数据泄露通知义务,尼德曼主张的保密义务,抑或是国内学者主张的数据企业的义务,都可以经由立法成为数据控制者的基本法律义务,而不必一定归于信义义务。

  这些义务一旦成为法定义务,将比信义义务之下的具体义务更清晰,更具有可预期性。此外,数据控制者所负的义务很多,以GDPR为例,保护和实现数据主体权利(访问权、修改权、删除权或被遗忘权、限制处理权、可携带权等)的义务包括基于设计和默认的数据保护义务、个人数据安全义务、向监管机构通报个人数据遭受侵害的义务、向数据主体通知数据泄露的义务、个别数据主体所负的数据保护影响评估义务、任命数据保护官的义务等。这些义务有的或可归于忠实义务或注意义务之下,而有的则无法归入或只能勉强归入,如保护和实现数据主体访问权等权利的义务、向监管机构通报个人数据遭受侵害的义务、任命数据保护官的义务等。有的则根本无法归入,如保护和实现数据主体被遗忘权、可携带权等权利的义务。如果非要将这些义务归于信义义务,将使信义义务变得无比杂糅,从而有损信义法的严谨性。

  即使在美国,随着个人信息保护方面规制法的增多,也有学者倾向于通过规制法而不是信义法来保护个人信息权利。例如,费尔德(HaroldFeld)肯定了信息信义义务理论关于收集和使用个人信息的公司与信息被收集的个人之间的信义关系的主张为思考各方之关系提供了一个良好的框架,又认为仅仅依靠信息受托人来保护隐私还远远不够,并且与州和联邦级别的强有力的隐私法律相比没有优势。加利福尼亚州通过的《加利福利亚消费者隐私法》(CCPA),广泛管理非政府实体对个人信息的收集和利用,涵盖范围远比信义法广。费尔德认为,巴尔金建议的优点是,法官可以发挥想象力去发现被隐藏的信义关系,从而绕过了立法的不作为。但是,巴尔金提议的优点似乎正在消失,因为CCPA引起了人们对在联邦一级以及其他州通过全面隐私立法的兴趣。

  因此,我国更需要加强个人信息保护立法,尤其是公法规制,但这并不意味着我国需要引入信息信义义务理论。没有这一理论,数据主体的权利将更丰富,数字企业的义务将更多样,个人信息之法律规制将更全面。

  结 语 

  尽管本文对信息信义义务理论进行了系统的质疑和批评,但还应承认,信息信义义务理论对我国数据法学的发展也具有重要的启发意义和正面价值。例如,数据处理者对于信息主体(个人)应负有义务;数据处理者对个人所负的义务与个人对于数据处理者所负的义务具有不对等性,前一义务较高;我国应在承认数据处理者与个人之间不对等地位的基础上,对个人施以倾斜性保护,如实施过错推定(举证责任倒置)制度,甚至引入惩罚性赔偿或法定定额赔偿制度。

  但信息信义义务理论的缺陷也是非常明显的。在大数据时代,随着数字经济的发展,数据主体与数据控制者之间的信息不对称、地位不对称加剧。在此情况下,有的数据主体信任与信赖数据控制者,有的则根本不相信数据控制者会善待其个人信息,但也不得不交出个人信息。对于信任与信赖数据控制者的数据主体,我们可以称之为乐观者,但他们可能是粗心大意者或“数据文盲”。对于根本不信赖数据控制者的数据主体,我们可以称之为悲观者,但他们也可能是风险厌恶者或曾经受到过数据伤害的惊弓之鸟。在这个复杂多元的现代社会,即使我们假定数据主体(或“数据合理人”)都是乐观派(是否符合现实情况暂且不论),即使我们引入数据控制者的信义义务,但如果不将该义务上升为法定义务的话,也将导致他们在交出个人信息之后,得不到英美法下的信义义务的保护,因为我国法官无权认定所谓“默示的”信义关系。根据“经济人”假设,如无强制,数据控制者一般也不会运用明示信托,将其自立为数据受托人。而如果将此等义务上升为法定义务,那么由于缺失忠实义务的两大禁止规则,这样的义务群也没有必要归于与传统信义义务有较大区别的新“信义义务”。不通过信义义务,个人信息保护法照样可以对数据主体进行倾斜性保护,且为公共执法打开了更大的法律空间,也有利于提升个人信息保护法的实施成效。

  (作者:邢会强,系中央财经大学法学院教授。)

 

联系我们 | 设为首页 | 加入收藏
指导单位:河南省发展和改革委员会
主办单位:河南省信息中心(河南省信用中心)
备案号:豫ICP备10005452号-6 www.xyhn.gov.cn