“信托”能保护我们的个人信息吗？

原标题：“信托”能保护我们的个人信息吗？

随着时代大环境的变迁，个人信息保护的内容已经不单单是零散的碎片，而是慢慢形成了一种社会关系

文丨李芊

《智道》栏目主持人 | 於兴中

责任编辑丨尹丽

信息时代和大数据时代的迅猛发展为个人信息和隐私保护提供了一个和传统不一样的环境。数据作为新的生产要素已经成为影响我国产业升级和国家竞争力的关键因素。因此，在个人信息保护中，除了要强调对个人权利的保护，也要考虑到数据产业的发展。

数据科学家维克托·迈尔-舍恩伯格曾提到，在大数据时代，多数关系已经由因果关系转为了相关关系。传统的个人信息保护可能更善于探究因果关系，可以通过侵权法或者合同法的救济途径切实保护个人利益不受损害。但是，在大数据时代，算法分析主导下的网络环境早已经超越了因果关系，走向了相关关系。由于网络信息交错复杂，权利被侵害者与侵权者已经不再是简单的线性关系，而呈现出非单一关系。

传统思路的局限

个人信息保护是以“告知-同意”为核心展开的，要求信息处理者在处理个人信息时应当事先充分告知，经过用户同意方能获取个人信息，且用户有权撤回同意。同时，当变更信息时，信息处理者需要重新取得用户的同意。日常生活中最常见的例子是“隐私条款”，信息处理者收集个人信息之前，一般会以“隐私条款”或者“隐私声明”等向个人信息主体披露要收集的信息，并获得收集、使用和出售信息的授权。

基于“隐私条款”的性质与法律传统，个人信息保护路径可以分为两种：侵权法保护与合同法保护。侵权法保护主要体现在：基于人格权与知情权，个人信息处理者有义务去披露信息，个人信息主体应当知道自己的信息是否被收集，被利用。欧盟相关法律规定披露信息时要求明示、明确、具体、清晰，如果没有达到标准，平台将要承担天价罚款。

同时，欧盟赋予个人知情权、被遗忘权、删除权等权利，个人对于损害可以请求侵权法上规定的赔偿。合同法保护主要体现在：个人信息处理者通过隐私条款或其他行为与个人信息主体之间建立一个有效的合意，内容包括是否同意收集、使用和共享信息。在美国，理论和实践界对合同法保护的经验充足，数据显示，有关隐私保护的案件中90%通过合同法保护。

但是，以现状来看，侵权法与合同法保护面临一定的局限。侵权法保护的前提是损害的发生，多数情况之下，个人信息主体并不知道自己的信息被收集、被利用，就算发生侵害事实，其也可能因为诉讼成本高而放弃维权。同时，隐私条款达成的合意并非传统的合同，知情同意之下形成的合同关系是不平等主体之间的法律关系，这不同于传统合同中的平等关系。对于用户来说，其很难理解并分析隐私条款中让人眼花缭乱的同意内容。

综上所述，目前，个人信息保护面临一些理论与实践上挑战。

信托理论的引入

当我们转变思维，尝试从培养主体之间的信任关系出发，也许可以改善目前面临的困境。

“信息信托”理论是美国纽约大学斯特恩商学院信息系统教授肯尼思·劳登在上世纪90年代创造出来的。2004年，这一理论被耶鲁大学法学院教授杰克·巴尔金运用并进行详细的论证。

巴尔金教授认为，在大数据时代，用户对平台与数据公司的依赖很深，但是关系却很脆弱，用户对平台收集信息抱有消极不信任的态度，平台收集和使用信息时总是有诸多不规范的地方。信托理论的引入可以增强个人与平台之间的信任，同时强化平台的社会责任感。

在这种信托关系中，受托人必须对委托人或者受益人尽到谨慎义务与忠诚义务。谨慎义务是指受托人必须尽职尽责，谨慎行事，避免伤害到委托人的利益。例如，在使用委托人的信息时要防范泄露的风险，要对信息的安全进行技术防护，等等。

所谓忠诚义务是指受托人要牢记委托人的利益，为客户的利益行使，避免潜在或者实际的利益冲突。例如，受托人要管理好委托人的信息，不能为了自身利益而非法出售用户信息。

随着时代大环境的变迁，个人信息保护的内容已经不单单是零散的碎片，而是慢慢形成了一种社会关系。巴尔金教授把个人信息视作一种社会关系进行保护，突破了仅把个人信息作为客体保护的局限。遵循这种路径，信托关系可以通过忠诚勤勉义务在双方主体之间建立一种良性的发展关系。

在这种视角下，知情同意的内容不再是用户的负担，在一定程度上可以帮助用户减轻阅读的工作量。同时，对企业平台来说，也可以缓解企业的合规困境，促进企业更好地保护与利用个人信息，培养平台的责任感。

但是，这个理论仍然存在一些问题亟待解决。部分学者提出：信托理论适用范围窄，仅作用于那些有着特殊关系的“信息受托人”，并不能涵盖与个人没有直接关系的大量数字化企业；谨慎和忠诚的职责过于宽泛，难以实施；在执行上，信息信托不能保证实践的有效性，不能确定统一标准等。

关键信息与主体的关系

笔者认为，在大数据时代，信息信托理论提醒我们要着重关注关键信息与主体之间的关系。

01

个人信息主体无法事无巨细的关注任何方面的信息，但是应该把握好关键信息，并通过关键信息与平台或者企业之间建立信任关系。平台可以在信息初次采集时采取推定同意的方式，默认收集用户的基本信息，并且要向个人说明收集信息的内容，在涉及使用和向第三方出售的情况下，采取选择-退出（OPT-OUT）的方式，要明确、具体、清晰地取得用户的同意。

02

对于大量无法直接管理的信息，可以通过风险控制来保护——模糊化关键具体信息。网络的高速发展缩小了认知的局限性，个人被观察的成本越来越小。模糊化原则的原理在于，如果观察者没有掌握或理解使该个体有意义的关键信息，那么对于观察者来说，个体就是模糊的、相对的，我们会受到认知局限性的“保护”。例如，将年龄为25岁的信息模糊化为20岁至30岁。

目前，我国主要通过传统的方式展开对个人信息的保护，信息信托理论可以为个人信息保护提供不一样的研究视角。我们应该积极发展面向未来、适应未来、适用未来的个人信息保护框架，充分发挥在该领域的后发优势，为谋求国际话语权提供有效助力。

　　版权及免责声明：凡本网所属版权作品，转载时须获得授权并注明来源“融道中国”，违者本网将保留追究其相关法律责任的权力。凡转载文章，不代表本网观点和立场。

延伸阅读