2021年6月10日，十三届全国人大常委会第二十九次会议通过了《数据安全法》，意味着我国在努力促进行业和数字经济健康、蓬勃发展的路上迈出了关键一步。其中第十九条强调“国家建立健全数据交易管理制度，规范数据交易行为，培育数据交易市场”。因此，构建健康的数据交易机制势在必行。将数据纳入信托机制，消除以“告知—同意”的个人数据保护方式弊端，是建立健全数据交易管理制度的重要研究方向。

　　保护个人数据传统模式现弊端

　　在互联网时代的数据争夺战中，数据主体的注意力被功能和效率所吸引，从而坠入披着“个性化”的糖衣陷阱中而不自知，即使隐约意识到隐私保护合同中的不平等条款，也会因双方力量的极度不平等而默认反抗无济于事。数据主体以被迫同意的方式参与对自己数据的侵害，从而沦为“数据奴隶”。个人数据泄露、滥用的案件似乎与互联网发展程度成正比，如何在“数据时代”给予个人数据有效而全面的保护？

　　当前数据保护多为个人赋权模式，即以“告知—同意”的方式与用户约定公司将以何种方式，在什么限度内将用户数据用在何处。如果公司违反约定，将依合同承担违约责任。这种模式存在以下问题：一是个人数据的权利定性困境，在个人数据是否为法律所保护的权利、保护的范围如何划定、“个人数据权”属财产权抑或人格权等问题尚存争议之时，仅通过赋予数据主体“形同虚设”的权利难以实现对个人数据的有效保护；二是实务中大多数据巨头利用专业名词难以理解、模糊用语不宜界定、合同条款篇幅冗长的“定向隐私格式条款”，即使承认权利也是形同虚设；三是合同机制无法应对瞬息万变的数据时代，难以化解未知风险以及格式条款的弊端将会导致没有“告知”就不存在用户同意与否的问题，公司将不负有相应保护用户数据的义务。

　　传统赋权模式的个人数据保护机制出现的种种弊端引起了理论的探讨，2020年6月24日欧盟委员会发布的GDPR评估审查报告从实践层面印证了“赋权”对于改善用户与公司悬殊地位的有限性，人工智能初创公司ElementAI的研究报告总结称，GDPR以用户同意为基础的数据治理模式无法让用户免于遭受隐私侵害。在意识到传统保护路径的缺陷后，学界提出了数字服务税、国有化、数据工会、数据信托等多元化保护路径的探索。其中数据信托以其专业反制、集体管理、个人受益等特点脱颖而出。

　　纳入信托法律关系是良策

　　2016年耶鲁大学教授杰克巴金（JackM.Balkin）首次提出，随后在美国《2018年数据保护法》（DataCareActof2018）中，通过课以网络服务商对用户承担信托中的忠实义务得以认可。在司法层面，2018年特拉华州法院在EverettVState一案中首次使用忠实义务保护数据主体所遭受的敏感信息侵害。英国数据公开机构（OpenDataInstitute，简称ODI）将数据信托定义为提供独立的第三方数据管理的法律结构，2018年10月，Alphabet子公司SidewalkLabs提议使用公民数据信托来管理其在多伦多Quayside地区为智能城市项目而收集的数据。2019年，SidewalkToronto提出将公民数据信托作为其智慧城市发展的一部分。

　　所谓数据信托，即将个人数据纳入信托法律关系，在受托人、委托人、受益人三方之间建立相互信赖和责任的法律机制，“是以管理数据权利为初始目的之信托，是大数据时代适应现代数据管理需要而诞生的法律工具，其实质是经过验证的、被各方主体所接受的框架协议”。该种模式有助于化解传统合同模式路径的弊端。

　　首先，要将数据纳入信托机制，首先需要承认数据的“财产性”。但承认数据的财产性并不意味着承认“数据”是一种财产权，仅指数据所有人对其数据享有一定的财产权益，而该种财产属性已在当前大数据屡见不鲜的“个人数据交易”案件中得以证实。其次，由于数据控制人资本逐利的天性，赋权路径并未充分考虑数据主体在数据交易及后续维权过程中所处的劣势地位，以信托机制中信义义务这一远高于注意义务之标准，抗衡受托人的利己主义和机会主义。最后，信托机制不同于合同，其以信托财产整体为客体，奉行“总体原则”，更符合互联网变化多端的特性，为个人数据提供更为全面的保护。

　　数据信托防止滥用权利

　　个人数据管理困境在于数据主体与管理人之间缺乏信赖、数据控制人对数据信息的绝对控制、数据本身所蕴含的巨大商业价值三者之间的矛盾。采用信托结构可平衡三者间的关系，通过建立起主体与控制人之间的信赖关系，弱化由于“信息优势”而导致数据控制人的强势地位，缓解数据主体在数据关系中创造无价财富与劣势地位之间的不平衡。

　　数据的价值是在后期不断传播中创造或大幅提升的，数据只有在未生成时属于数据主体，一旦生成便成为控制人挖掘、分析、交易的对象，数据主体便因技术壁垒丧失了对数据的占有和支配。但反观数据的交易价值正是来源于控制人对数据的进一步处理，“脱离了互联网大数据分析、数据控制人数据池的聚合，数据本身的价值基本可以忽略不计”，也正是这种类似于“信托财产保值升值目的之实现完全有赖于受托人管理、处分财产权能的发挥”的关系，赋予信托机制在个人信息保护领域的发挥空间。

　　数据价值在不断被挖掘的过程中，同时面临着被泄露或滥用风险，此时恰可发挥数据控制人在数据交易中处于明显优势地位的事实，甚至充分利用优势地位和较高风险防控能力，通过信托机制认可“成本-收益”的事实，以经济与法律方式双管齐下，提高数据控制人滥用权利的成本，倒逼其履行恪尽“诚实、信用、谨慎、勤勉”之忠实义务、谨慎义务，既符合数据为王的时代特征，也可实现对个人数据全面、有效的保护。