• <output id="qgjlo"><strong id="qgjlo"><xmp id="qgjlo"></xmp></strong></output>

      1. <p id="qgjlo"></p>

        <object id="qgjlo"></object>
        <table id="qgjlo"><strike id="qgjlo"><b id="qgjlo"></b></strike></table>
      2. 數據控制者的信義義務理論質疑
        2021/7/26 8:15:35  點擊率[308]  評論[0]
        【法寶引證碼】
          【學科類別】科技法學
          【出處】《法制與社會發展》2021年第4期
          【寫作時間】2021年
          【中文摘要】美國學者提出的信息信義義務理論被我國學者所引入,并被命名為數據控制者的信義義務理論或數據信托理論。該理論具有一定的啟發和借鑒意義,但也有內在缺陷:在主體方面,大數據時代的數據控制者的數量太多,導致所謂的“信息受托人”過于寬泛;在客體方面,個人信息不具有信托財產所要求的確定性和獨立性或獨立的運用價值;在內容方面,忠實義務中的兩大核心規則,即利益沖突禁止規則和義務沖突禁止規則,無法適用于消費者免費的雙邊市場,從而使信息信義義務理論無法解決互聯網平臺的利益沖突問題。明示或默示的數據信托與我國現行法律體系不兼容,我國沒有必要引入法定的信息信義義務。
          【中文關鍵字】信義義務;數據信托理論;個人信息
          【全文】

            信息信義義務理論是當前數據法學領域中的一個新興理論,自耶魯大學法學院巴爾金(Jack M. Balkin)教授于2016年系統闡述該理論以來,它備受關注,贊成者有之,反對者亦有之。目前,有國內學者贊同引入該理論,并將其稱為數據控制者的信義義務理論或數據信托理論。[1]但筆者經過系統梳理和審慎思考,認為信息信義義務理論有著內在缺陷,明示或默示的數據信托與我國現行法律體系不兼容,我國沒有必要引入該理論。
           
            一、信息信義義務理論的提出、發展及引入
           
            對于起源于國外的信息信義義務理論,盡管國內學界已有相關介紹,但不夠全面,下文有必要先對該理論作一個全面的介紹。
           
            (一)信息信義義務理論的提出
           
            信息信義義務理論最早可被追溯至上世紀90年代,勞頓(Kenneth Laudon)在《市場與隱私》一文中提議創建地方信息銀行來管理個人信息資產,并在一個全國性的信息交易市場進行交易。地方信息銀行作為個人的經紀機構,對個人負有信義義務。[2]2012年,杰瑞·康(Jerry Kang)等人在《自我監控隱私》一文中提議創建個人信息保護人,負責管理個人信息倉庫,個人信息保護人對個人負有信義義務,具體包括三方面:在安全存儲、保護、刪除、分析和提供個人自我監控數據方面表現出最低限度的勝任能力,為個人保密,以及避免利益沖突。[3]
           
            2016年,巴爾金在《信息受托人與第一修正案》一文中系統闡述了數字企業的信義義務理論。[4]與前兩種建議不同的是,巴爾金主張數字服務提供商直接承擔信義義務。他認為,在與用戶建立關系時,醫生和律師等專業人員對其所獲得的個人信息負有特殊義務,這些對個人信息負有特殊義務的主體為信息受托人。[5] “信息受托人是指由于與他人的特殊關系而在該關系過程中對其所獲得的信息負有特殊義務的人。”[6]信義法是發展的,法律不斷擴展新的信義關系。[7]在數字時代,由于用戶在敏感信息方面信任數字企業,因此某些類型的數字企業應承擔信義義務。這些信義義務與此前受托人的信義義務類似,但不完全相同。[8]收集、分析、使用、出售和流轉個人信息的在線服務提供商和云公司,應當被視為用戶(或客戶)的信息受托人。[9]基于信息受托人所享有的針對用戶的特殊權利以及與用戶的特殊關系,信息受托人負有特殊義務,即不得以損害用戶利益的方式收集、分析、使用、出售和分發個人信息。由于巴爾金是信息信義義務理論的系統闡述者,所以下文主要介紹巴爾金的信息信義義務理論。
           
            (二)巴爾金的信息信義義務理論
           
            1.對數字企業施加信義義務的原因
           
            巴爾金詳細闡述了數字企業對用戶在個人信息保護方面負有信義義務的四個原因。首先,用戶與許多在線服務提供商之間的關系存在脆弱性,因為在線服務提供商具有豐富的專業技能和知識,而用戶通常沒有。在線服務提供商擁有很多關于用戶的信息,而用戶很少擁有對方的信息,用戶對在線服務提供商用收集到的用戶信息要做什么也一無所知。在線服務提供商可以輕松監控用戶,用戶通常很難知曉或阻止他們背叛用戶的信任。其次,用戶自己對許多在線服務提供商處于相對依賴的地位。許多在線服務提供商提供了用戶需要的許多不同種類的服務,用戶一定希望他們不要濫用其信任,不要以散布用戶信息的方式來損害用戶。再次,在很多情況下,在線服務提供商在提供某些類型的服務以換取用戶的個人信息方面表現出了自己的專家地位。最后,在線服務提供商知道自己擁有被利用后可能對用戶產生不利后果的有價值的信息,并且他們也知道用戶了解這一點。因此,盡管在線服務提供商也希望從這些信息中獲利,但仍然將自己設定為符合用戶利益的值得信賴的組織。[10]
           
            因為用戶了解在線服務提供商很容易收集個人信息,并且用戶也認識到在線服務提供商所使用的工具超出了他們的理解范圍,所以用戶尋求在線服務提供商保證用戶使用這些服務是安全的。在線服務提供商也樂于以模糊和一般的方式提供這些保證。通過將自己展示為值得信賴的個人信息收集者和保存者,數字企業強調出于安全性和競爭力的考慮,數字企業的算法不能完全透明,即數字企業對收集到的信息怎么利用、如何加工、加工后的結果如何等不能完全透明。數字企業會誘導用戶與其建立信任關系,以便用戶繼續使用其服務。因此,商業實踐表明,數字企業是信息受托人,在個人信息保護方面負有信義義務。
           
            2.信息受托人的范圍
           
            并不是每個與用戶打交道的組織或個人、每一個知悉用戶個人信息的組織或個人都是信息受托人。僅通過互聯網與某人通信并不能使網絡服務提供者成為信息受托人。巴爾金提出了一個初步的判斷標準,即同時具有下列情形的組織或個人應被視為信息受托人:第一,當這些組織或個人通過向公眾展示其為尊重隱私的主體來贏得人們的信任時;第二,當這些組織或個人讓用戶有理由相信他們不會泄露或濫用用戶的個人信息時;第三,當受影響的個人合理地認為這些組織或個人基于現有的合理行為的社會規范、現有的執業方式或合理證明其信任的其他客觀因素而不會泄露或濫用其個人信息時。[11]
           
            3.信息受托人的信義義務的內容
           
            巴爾金認為,每個數字企業的信義義務范圍并不相同。即使在傳統的信義義務理論中,不同種類的信托義務也不是在所有方面都完全一致,用戶和在線服務提供商之間的信義關系不必在所有方面都與傳統的專業關系相同。信息受托人的信義義務的具體內容取決于關系的性質、信任的合理性、防止數字企業自我交易以及對用戶或受益人造成傷害的嚴重性。巴爾金指出,用戶沒有期望臉書或優步(Uber)管理用戶的財產,也不期望它們是醫生、會計師或律師。可以合理地預期,交通經紀人或在線約會服務提供商即使為了防止用戶批評自己,也不會嘗試或威脅騷擾用戶。也可以合理地預期,社交網絡服務提供商旨在促進社交網絡,而不會操縱用戶的選舉投票。傳統的受托人與在線服務提供商之間還存在另一個重要區別。有時用戶期望專業人員不僅要避免傷害用戶,還應關注用戶的利益。例如,醫生以博學的專業人員身份關心用戶健康,用戶有理由期望他們警告多種健康風險。用戶可能不想對谷歌、臉書或優步等數字企業強加全面的信義義務,因為它們與醫生的業務截然不同。數字企業的信義義務取決于企業向公眾展示的業務類型,谷歌和優步可能有義務以某些方式保護用戶的隱私,但用戶不希望它們警告其不要進行特定的旅行。數字企業保護用戶的義務非常有限,用戶應該將這類在線服務提供商視為特定目的的信息受托人。用戶應該將信息受托人的義務與他們提供的服務聯系起來,什么是違反信義義務的行為將取決于數字企業提供的服務類型以及用戶的合理期望。[12]
           
            總之,以巴爾金之見,信息受托人的義務盡管取決于他們向公眾展示的業務類型以及客戶的合理期望,但基本內容卻是低門檻的:不是積極作為的維護用戶利益的義務,而是消極不作為的不損害用戶利益的義務,即不得泄露和濫用個人信息,不背叛用戶,不損害用戶利益,不造成利益沖突,不以用戶意想不到的或違反社會規范的方式使用個人信息。
           
            (三)國外學術界對信息信義義務理論的贊同與發展
           
            多布金(Ariel Dobkin)認為,如果在線服務提供商以“合理的用戶”無法期望的方式使用個人信息,則該在線服務提供商可能違反了其義務。應禁止在線服務提供商利用用戶的個人信息來操縱和歧視用戶,并且在某些情況下應禁止其與第三方共享個人信息,數字企業不得違反其隱私政策承諾。但是,“合理的用戶”的期望可以并且應該及時變化。如果公司將特定的做法通知了用戶,則該做法應是在用戶的期望之內的,因為用戶可以自行選擇是否使用該服務。但由于大多數人選擇不使用諸如谷歌之類的互聯網服務幾乎是不可能的,因此通知用戶不應成為一個完全的避風港。但無論采用何種通知方式,操縱和歧視都應被視為違反信義義務。比較理想的是,隱私策略可能只有一到兩頁,并且易于閱讀和理解。在這種情況下,數字企業必須遵守自己的隱私政策承諾。她認為,信托義務的美妙之處在于能夠改變用戶的期望。“合理的用戶”的期望可以及時發生變化,并且公司可以測試或實施新的想法。通過為用戶提供選擇加入或退出的機會,公司可以允許用戶自主采取行動,以此來發現用戶允許被收集和利用其哪些個人信息。[13]
           
            尼德曼(Alicia Solow Niederman)建議,法院不應該依靠法定訴權或隱私侵權來保護消費者的個人信息,而應該認識到現在的交易蘊藏著什么樣的類似信賴關系。考慮到數據持有者與消費者的關系,商業交易中的消費者數據的持有者應被標明一個獨特的標簽:“數據守密人”(data confidants)。數據守密人有義務安全地維護從客戶那里獲取的個人信息。[14]她將“數據守密人”看作有限的信息受托人,法院可以據此對被破壞的信任予以修復。數據持有人應被理解為巴爾金所說的“信息受托人”的子類型。
           
            以上兩位學者和巴爾金一樣,其主張的信息信義義務均屬于美國法中盛行的默示信托或推定信托,即法官可憑借自由裁量權對數字企業施加信義義務。但也有學者主張美國在州層面引入法定的信息信義義務。例如奧默羅德(Peter C. Ormerod)認為:各州應頒布法律,對收集、保留、處理、出售或共享個人信息的任何企業施加信義義務;州立法應針對違反該義務的行為創設訴因,對違反該義務的行為施加嚴格責任,并規定隨被告人的可責程度而課以賠償金;法律應允許原告對違反信息信義義務和未履行違約通知義務的企業提起訴訟;信息受托人對信息濫用負有嚴格責任,但這可能導致象征性賠償即只向起訴他們的人進行賠償;如果初審法院的法官認為這不會對未來的信息濫用構成有意義的威懾,法官有權判處能構成“有意義的威懾”的罰款,該罰款上繳國庫。[15]
           
            (四)信息信義義務理論在國外的立法回應
           
            在美國,2018年12月,十幾位民主黨參議員提出了《數據保護法》(Data Care Act of 2018)草案,規定了在線服務提供商的三大義務,即注意義務、忠實義務和保密義務,以全面踐行巴爾金的理論。
           
            印度《2019年個人信息保護法》(國會審議稿)(以下簡稱《印度個人信息保護法草案》)引入了“數據受托人”(data fiduciary)的概念。所謂“數據受托人”是指任何單獨或與他人一起決定處理個人信息的目的和方式的人,包括國家、公司、法律實體或個人。可見,印度是以“數據受托人”的概念來取代《歐盟一般數據保護條例》(以下簡稱GDPR)中的“數據控制者”概念。根據《印度個人信息保護法草案》,數據受托人的義務包括:告知義務,確保數據質量的義務,數據存儲限制義務,自證合法的義務,依法保障數據主體核驗和訪問權、修正權、可攜權、被遺忘權等權利的義務,設計隱私保護義務,透明度義務,安全保障義務,個人信息泄露時的通知義務等。《印度個人信息保護法草案》在“數據受托人”概念下,還引入了“重要數據受托人”概念。印度數據保護機構須依據考慮處理的個人信息量、敏感性、數據受托人的營業額、數據處理所造成的個人損害風險、進行數據處理所使用的新技術以及其他因素,認定并告知某些數據受托人或幾類數據受托人為重要數據受托人。除一般數據受托人的義務之外,重要數據受托人還負有以指定的方式向數據保護機構注冊、進行數據影響評估、保存相關記錄、進行數據審計以及設置數據保護官的義務。
           
            美國《數據保護法》草案已在美國參議院被審議過兩次,尚未得到參議院的批準。《印度個人信息保護法草案》已經印度內閣批準,正在國會審議。以上兩個立法草案均尚未變成正式法律,最終是否采用“數據受托人”概念,有待進一步觀察。
           
            (五)信息信義義務理論在我國的引入
           
            在我國,信息信義義務理論最早由吳泓引入。他主張,個人信息保護立法應該更新理念,構建一個在“信賴”理念指引下的信義義務制度,以作為對現有制度的補充。[16]張麗英等主張以“信托說”來彌補“合同說”在界定電商平臺對用戶隱私數據承擔法律責任時的不足。[17]解正山明確提出數據控制者信義義務,他主張將信義義務引入新型數據關系中,要求自動駕駛汽車制造商、其他智能交通服務提供者以及其他商業場景中的數據控制者以數據受托人身份管理或處分其占有的個人信息,強化其數據受托職責,以彌補個人在隱私管理中的能力不足。[18]
           
            雖然主張引入數據信托的學者還不多,但由于我國數據法學剛剛起步,基礎理論薄弱,而數據法學又是一個備受青睞的新興學科,這使得信息信義義務理論備受關注。其實,該理論并沒有想象中的那么完美,我們有必要揭開其面紗,更理性地認識它。雖然國外有一些批評信息信義義務理論的聲音,本文也進行了借鑒,但仍有必要根據我國的立法和法律傳統對信息信義義務理論進行系統而全面的反思。
           
            二、信息信義義務理論的內在缺陷
           
            信義關系之存在,是信義義務成立的前提。從信義關系的角度分析,信息信義義務無論是在主客體方面,還是在內容方面,都存在著不可克服的內在缺陷。
           
            (一)主體方面的缺陷
           
            在主體方面,即使存在信息信義關系,也會因受信主體(數據受托人)過于寬泛而使信息信義義務理論失去實際意義。對于哪些數據控制者應為數據受托人從而負有信義義務,信息信義義務論者并未取得一致。解正山認為,具有壟斷地位的數據控制者應負信義義務,[19]但如何判斷數據控制者的壟斷地位,是否以《反壟斷法》上的標準進行判斷?對此作者并未明確。《印度個人信息保護法草案》同時引入了“數據受托人”和“重要數據受托人”概念,二者所負的義務并不相同,后者強于前者,這就存在著內在矛盾。因為信義義務已經是法律中強度較高的義務了,難道在信義義務中還要區分出一般的信義義務與更高強度的信義義務?這在傳統的信義關系中是沒有先例的,印度的做法不過是在“信義義務”的新瓶中裝入了GDPR的老酒。巴爾金的判斷公式相對寬松一點,很多數據控制者都可落入信息受托人的范圍,但這引發了更多的問題。
           
            我們知道,在傳統專家(醫生、律師、會計師、投資顧問等)場景下,受托人是特定的、數量很少的。用戶看醫生,聘請會計師、律師或投資顧問,通常同期只找一位。但在數字經濟條件下,用戶每天都和無數的數據控制者打交道,一般的消費者往往不知道一個行為后面有多少個“數據受托人”。倘若引入信息信義義務理論,無疑會導致數字時代信義義務的泛化。當用戶頻繁使用數字技術,個人信息被接二連三的“數據受托人”收集時,用戶都不知道將數字管理委托給了誰。這種泛化的信義義務有何意義呢?某個人的賣房信息被泄露并被犯罪分子利用且成功實施了詐騙,違反信義義務的“數據受托人”是房屋中介、房產登記管理部門還是稅務機關?如不借助于偵查機關的力量,通常是不能確定的。難道法律的選擇是將這三類主體都列為被告,并讓其承擔連帶責任嗎?倘若是手機號碼被泄露了,用戶能確定是哪一個“數據受托人”泄露的嗎?通常不能,因為“數據受托人”太多了。假設用戶使用了一個具有壟斷地位的數據控制者的APP,同時又用了印度個人信息保護法意義上的兩個“重要數據受托人”的APP,還用了更多個其他小型數據控制者的APP,這些 APP都收集了該用戶的手機號碼和行蹤軌跡,[20]如果該用戶的這兩個信息都遭到了泄露,該起訴誰呢?該用戶顯然一頭霧水。因此,即使存在數據控制者的信義義務且乍看起來很嚴厲,但由于現實中數據控制者即使違反了信義義務,用戶也無從確認誰是被告,因而無法追究法律責任。因此在很大程度上,信息信義義務是一張廢紙。
           
            在人們的法律生活中,信義關系的存在應該是例外,而不應是常見現象。[21]信義關系是存在于服務提供者與接受服務的個人之間的獨特關系。在大數據時代,個人信息的收集和存儲變得非常容易。有線電視運營商會監視人們觀看的節目并猜出他們的喜愛,超市可以根據消費者購買的商品來判斷一個人是否懷孕了。這些經營業務都不屬于那種可將其歸類為“信息受托人”的特殊關系。因此,即使引入信息信義義務理論,信息受托人也無法涵括如此多的數據收集者和處理者。否則,將使信義關系成為數字時代的一種通例而不是例外,從而導致信義關系的泛濫和意義減損,將消解信義義務的本來價值。
           
            (二)客體方面的缺陷
           
            信托財產的確定性為信托成立之必備要件,信托財產的獨立性為信托制度的特色和優勢。無論是英美法中的“雙重所有權”觀念,還是大陸法系按照“物債二分”模式來構造信托財產權,信托財產的獨立性都是極強的。[22]在傳統上,英國信托法強調信托的成立必須滿足確定性的要求,即信托財產的范圍必須可以被確定,否則信托不成立。信托的確定性要求信托財產的范圍是可以辨別的。[23]在大陸法系,信托財產的獨立性更是信托法的靈魂和核心。[24]我國《信托法》第三章規定了信托財產的獨立性,第29條還要求受托人必須將信托財產與其固有財產以及不同委托人的信托財產分別管理和記賬,這是為了確保信托財產與受托人的固有財產相區隔。據此,信托財產應具有獨立的運用價值,不宜為委托人與受托人共有之財產。即使在極個別的情況下,信托財產可以為委托人與受托人所共有,但這至少在設立之時就應確定,信托財產不能是源源不斷產生的動態共有財產。
           
            遺憾的是,在信義關系的客體方面,信托財產要么不具備確定性和獨立性,要么即使具有確定性和獨立性,也沒有獨立的運用價值。這是因為:
           
            第一,有的數據之財產權益為數據控制者所獨享(如匿名數據),有的數據之財產權益為數據主體所獨享(如個人直接信息),也有的數據之財產權益可能為數據控制者與數據主體所共享,如馬爾吉里(Gianclaudio Malgieri)分類中的“中級關系信息”,是個人與數據企業的“共享準財產權”。[25]數據控制者獨享或數據控制者與數據主體共享之數據,具有“大量”(Volume)、“高速”(Velocity)、“多樣”(Variety)等大數據的特征,其邊界不斷變化。這種數據也源源不斷地產生,甚至爆炸性增長,不具有信托財產所要求的確定性。
           
            第二,即便是數據主體獨有的個人數據,也只有經歷了不斷被分類、整理、聚合、挖掘,才具有大數據的價值。一個單獨的數據主體所“委托”的孤零零的個人數據即使具有確定性、獨立性,其價值密度也較低,難以具有獨立的運用價值。而一旦利用大數據技術對包括個人數據在內的數據進行聚合、挖掘,該個人數據便無法滿足我國《信托法》第29條規定的“分別管理、分別記賬”的要求。
           
            第三,大數據企業對海量個人數據的加工與增值,能夠產生附著于原始個人數據的新的數據形式,而后者才真正具有價值,其價值遠大于原始個人數據之價值。[26]這些新的數據形式可能涉及或含有個人數據,增值后的價值類似于“孳息”,但不宜被稱為“孳息”,也不宜被歸入信托財產。這是因為:一方面,該“孳息”無法一一被撥付給單獨的個人;另一方面,將“孳息”歸入信托財產難以激發數據控制者開發大數據潛在價值的積極性。該加工增值后的數據新形式,其財產權益要么為數據企業所獨享(如匿名信息),要么宜為數據主體與數據企業所共享(如個人畫像)。在共享狀態下,數據之財產權益其實是信托財產與受托人固有財產的混同,故其不具備信托財產之獨立性。
           
            (三)內容方面的缺陷
           
            在信義關系的內容方面,信息信義義務理論無法解決雙邊市場的利益沖突問題。信義義務的核心是忠實義務,它要求受托人在履行受托職責的過程中以委托人或受益人利益為一切決策的出發點,不得從事任何與受益人利益相悖的行為。[27]根據信托法權威米勒(Paul B. Miller)教授的觀點,忠實義務可以分為兩類禁止規則:一是“利益沖突”禁止規則,即禁止受托人從事其個人利益與受益人的利益可能發生實際或存在潛在沖突的行為;二是“義務沖突”禁止規則,即禁止受托人同時為兩個利益相互沖突的主體服務。[28]這兩類禁止規則在當前流行的消費者用戶免費使用的互聯網雙邊市場場景下無法適用。
           
            消費者免費使用的很多互聯網平臺都是“雙邊市場”,即它有兩類客戶,一類是消費者用戶(個人),一類是經營者用戶。例如,在百度的客戶中,一類是搜索引擎的使用者,一類是廣告商。在淘寶的用戶中,一類是消費者(買家),一類是經營者(賣家)。在微信的用戶中,一類是社交用戶(大多數是個人),一類是廣告商或賣家。這兩類用戶的利益是相互沖突的。在免費成為互聯網主流商業模式的情況下,互聯網平臺主要依賴消費者用戶的數據實施精準營銷,進而從經營者一方獲取利潤。因此,“義務沖突”禁止規則無法實施。在互聯網平臺的利益、消費者用戶的利益以及經營者用戶的利益這三方利益沖突的場合,互聯網平臺很難做到將消費者用戶的利益置于最優先的位置,否則消費者免費使用的互聯網平臺就無法生存。因此,“利益沖突”禁止規則也無法實施。“如果在線平臺是雙邊市場——這在互聯網領域非常普遍,信義義務理論在解釋平臺應如何協調其不同方的用戶的沖突需求方面沒有提供有用的幫助。”[29]
           
            在國外,也有不少學者在信義義務的內容方面對信息信義義務理論提出了質疑。例如,卡恩(Lina Khan)等以臉書為例,質疑將信義義務框架應用于主流數字平臺的建議:只要臉書唯一的付費客戶是廣告主,它將沒有什么經濟動機將消費者用戶的利益放在首位。與執行專門任務并提供個性化判斷的醫生和律師不同,臉書不會為客戶帶來專業知識。相反,它為他們提供了訪問通信網絡的權限。雖然醫生和律師必須收集一定數量的敏感信息才能為患者和客戶提供良好的服務,但用戶向臉書共享其大量的個人信息并不是訪問網站通訊網絡的先決條件,更不用說允許臉書在互聯網上跟蹤用戶了。調查顯示,超過三分之二的臉書用戶甚至都不知道該公司運用收集來的數據對客戶的興趣和特征進行分類。此外,絕大多數用戶都不想收到任何定向廣告,但這是臉書業務的引擎。[30]
           
            皮亞提(Tamara Piety)認為信義義務在公司法的實踐中是無效的,要求數字企業避免利益沖突也將是無效的。他認為,數字企業從用戶的上癮行為中獲利并激勵用戶上癮,這不是一個假設,而是現實。提出信息受托人的理論似乎是出于希望創建某種基于角色的身份的愿望,這種身份要求數字企業保護客戶免受其自身商業模式的掠奪。但若說像臉書這樣的營利性公司可以解決其商業模式與這種信托角色之間的內在沖突則是令人難以置信的。[31]格瑞曼(James Grimmelman)也認為信義義務中的忠實義務很難在在線平臺身上實現,他指出:告訴財產管理受托人不從事自我交易很容易,這樣做并沒有嚴重限制受托人的行動自由。同樣,將忠實義務應用到傳統的提供建議的受托人身上,也不會帶來太大的影響,因為大多數醫生在給患者開藥方時并沒有財務利益。但是,將忠實義務應用到在線平臺上,如反對平臺進行自我交易,要么是荒謬地不夠包容,要么是荒謬地過度寬容,或者兩者兼而有之。在幾乎所有的推薦建議中,在線平臺都具有微妙而復雜的財務利益。這些利益沖突無處不在,如此普遍,以至于完全禁止它們將會禁止平臺提供用戶尋求的大多數建議,或者禁止平臺本身。在線平臺以傳統的受托人根本無法做到的方式與多個互動方打交道,在線平臺并不是一個合適的受托人。[32]
           
            雖然每一種信義關系中的信義義務并不完全相同,但由于忠實義務中最為重要的利益沖突禁止規則和義務沖突禁止規則無法適用于消費者用戶免費使用的主流互聯網雙邊市場中,這導致忠實義務欠缺核心內容。美國《數據保護法》草案中所謂的忠實義務只是不得傷害用戶而已,這與經典的將委托人利益置于優先地位的信義義務下的忠實義務相去甚遠。這種不得傷害義務,其實是所有主體(而不僅僅是受托人)都負有的義務。
           
            三、明示或默示的數據信托與我國現行法律體系不兼容
           
            也有學者主張在我國現行信托法的框架下嵌入數據信托,并認為數據信托與我國信托法具有兼容性。[33]但詳細分析之,數據信托與我國目前的法律體系尚不兼容,無法在我國現行信托法的框架下設立數據信托。
           
            (一)明示數據信托無法事先設立
           
            我國《信托法》的設計以明示信托為主。《信托法》第8條要求,設立信托,應當采取書面形式,書面形式的典型是合同。第9條則明確規定了設立信托的書面文件應當載明的五項必要記載事項,其中包括委托人的姓名或者名稱、住所等。再加上我國很難引入推定信托,所以,如不通過法律的強制性規定,難以想象在我國會有數字企業在其隱私政策中寫入明示信托之必要記載事項。如果法律強制數字企業在其隱私政策中寫入明示信托之必要記載事項,那么這顯然是另一種信托形式即法定信托了。后文將論證,法定信托在我國不必要設立。在明示信托的前提下,數據信托無法通過數字企業的隱私政策這一書面形式而設立。這是因為:
           
            第一,隱私政策是不是數字企業的電子化格式合同不無爭議。盡管不少人認為隱私政策經過了點擊同意而構成合同,但也有人認為隱私政策在性質上僅僅為政策聲明,并不具有合同執行性。在Dyer v. Nw. Airlines Corps案中,法院認為如此寬泛的政策聲明不產生合同請求權。[34]在以Anthem公司為被告的數據違約集團訴訟中,法院因原告未能證明被告的隱私政策構成有效合同而駁回違反合同之訴。[35]還有學者將隱私政策視為一種企業自我規制的工具。[36]如果隱私政策不構成格式合同,那么數據主體就難以通過點擊確認的方式簽署合同,數據信托就無法通過數字企業的隱私政策這一書面形式而成立。
           
            第二,即使數字企業的隱私政策構成格式合同,也并不是所有的數據控制者收集個人信息都必須經過用戶的點擊同意。例如,GDPR第6條第1款規定,除了數據主體的同意之外,數據控制者還有其他可以不經數據主體同意而有權處理個人數據的五種情形。[37]我國《民法典》第1035條也規定,處理個人信息應當征得自然人或者其監護人同意,但是法律、行政法規另有規定的除外。[38]國家標準《信息安全技術個人信息安全規范》更是規定了個人信息控制者收集、使用個人信息無需征得個人信息主體授權同意的若干例外情形。在不經數據主體同意而可收集、記錄個人數據的場合,無法通過信托合同使數據控制者成為數據信托的受托人。通過數據主體的同意而收集數據者為數據受托人,無需征得數據主體授權同意而處理數據者不構成數據受托人,這與數據信托引入之初衷相悖,不但減損了對個人信息保護的力度,還造成了不同數據控制者、處理者之間的不平等。
           
            第三,即使數字企業的隱私政策構成格式合同,僅通過用戶的點擊同意,也是無法在其中寫入委托人的姓名或者名稱、住所等必要記載事項的。數字企業的隱私政策是事前制定的,用戶(委托人)無法在事前確定。
           
            (二)推定數據信托無法引入我國
           
            在傳統上,英國信托法根植于衡平法,而衡平法以良心為基礎。衡平法也同樣是一種判例法,衡平法院的大法官不以法律而以良心判案,擁有廣泛的自由裁量權。時至今日,衡平法雖與普通法融合了,但分野仍然存在:不但在法律教育和法學研究中一直保持著區分,在信托案件的審理上仍然由法院按照衡平訴訟程序進行,衡平的思想仍根深蒂固地存在于英國法官的頭腦之中。“即使在今天,信托法仍然在很大程度上是一部法官法,對其操作者的依賴程度極高,對于法官的心理素質、知識結構、職業訓練、方法作風的要求,也極為苛刻。”[39]美國信托法繼受自英國法,盡管有較大發展,但也保持了這一傳統。美國信托法仍是靈活的、富于開放性的、龐雜的判例法體系。英美法官權力較大,他們通常采用類比推理的方法,從先前認定的信義關系入手,類比法律關系的相似性,從已知的類型推出未知的類型,將新的關系認定為信義關系,進而將信義義務的適用范圍擴至該關系。這種做法導致信義關系的類型不斷豐富,信義義務的適用范圍也就一直處于擴張的趨勢中。[40] “法院通常對各種關系施加信義義務,包括受托人—受益人,雇員—雇主,董事—股東,律師—客戶和醫師—患者等關系。在每種關系中,法院都要求受托人遵守一般的忠實義務,在無數變化的主題上使一般義務適用于特定情況。”[41]針對英美法官經常在一個人因信任另一個人而容易受到傷害的關系中臨時施加信義義務的狀況,不少學者認為,信義法是“凌亂的”“不連貫的”“模糊的”和“難以捉摸的”。[42]
           
            我國作為具有大陸法系色彩的成文法國家,法官權力相對有限,只能根據立法者制定的法律裁判,無權發現隱藏或默認的信托關系,無權推定信義關系的存在。盡管有學者認為:“推定信托可以作為誠實信用原則的補充,來填充這一一般條款的實際體現,由法官依職權在具體案件中引入。”[43]但這談何容易!在美國,原告要想獲得推定信托的救濟,必須首先證明他們在普通法中沒有得到適當的救助,這是以普通法和衡平法的嚴格區分為基礎的。[44]在我國,沒有普通法和衡平法區分的傳統,數據主體與數據控制者之間往往有電子合同存在,有合同法為裁判依據。如果認為依據電子合同的裁判不公或不存在電子合同,那么法官也可依據《民法典》中關于個人信息的保護規則、《消費者權益保護法》乃至未來的《個人信息保護法》等明文規定進行裁判,一般不會向民法誠信原則一般條款逃逸。將數據主體與數據控制者之間的關系視為推定信托固然是一種大膽的學術假設,但還需小心論證。目前我國法官的法律論證水平還不足以支撐引入推定信托。主張我國引入推定信托論者還建議,最高人民法院可通過司法解釋確立推定信托制度。[45]但問題是,最高人民法院的抽象司法解釋儼然是立法,[46]用司法解釋確立類型化的信托制度本質上屬于法定信托。
           
            四、我國沒有必要引入法定的信息信義義務
           
            (一)便利數據主體之救濟不必以信義義務為前提
           
            在私人執法的情況下,引入信義義務理論,可以解決兩個訴訟難題:一是可以通過過錯推定與舉證責任倒置來解決原告的舉證難題,二是法院可以判處具有威懾性的懲罰。但即便如此,也未必需要引入信義義務理論。
           
            過錯推定與舉證責任倒置不必以信義義務為前提。由于數據主體與數據控制者之間地位不對等、信息不對稱,二者的舉證能力也是不同的。因此,如發生個人信息侵權行為,筆者贊同實行舉證責任倒置。在信義義務之下,應實行舉證責任倒置。“在沖突交易情形下進行信義義務違反之訴時,法院往往采取更加嚴厲的標準要求被告證明其行為的妥當性。”[47]但是,如果沒有信義義務,是否可以實施舉證責任倒置呢?如果可以,那就不一定非得引入信息信義義務。《最高人民法院關于民事訴訟證據的若干規定》(法釋〔2001〕33號)第4條規定了8種舉證責任倒置情形,其中前7種均不存在信義關系。[48]《消費者權益保護法》第23條第三款把舉證責任分配給了經營者,突破了民事訴訟法關于“誰主張誰舉證”的原則。這一舉證責任倒置也不以信義關系的存在為前提,舉證責任的分配主要考慮證據的遠近。受害人距離證據遠而加害人離證據近,當證據偏在造成雙方當事人的證明能力明顯不對等時,由證明能力弱的一方負舉證責任是有違公正的,因而需要通過舉證責任倒置來解決。[49]舉證責任倒置不足以證成有必要引入信義義務,無論是德國的《數據保護法》,還是GDPR,均在沒有引入信息信義義務理論的前提下對數據控制者的侵權行為實行過錯推定和舉證責任倒置。[50]當然,為了使數據控制者便于舉證,法律可要求數據控制者建立可追蹤的技術體系。誰在何時何地查詢、使用、修改、下載了個人信息,事后都可查證,以便做到可舉證、可追責。數據控制者如果不能舉證其沒有過錯,就應承擔侵權責任。
           
            法院可判處威懾性的侵權法律責任,這也不必以信義義務為前提。信義義務框架下的賠償具有懲罰性、威懾性,即信義法通過威懾而不是補償來對受托人施加限制,以克服合同法救濟的不足。[51]信義法的本質是一種私人執法機制,再加上美國式的集團訴訟機制,故能有效地替代公共執法,節省公共執法成本。在這樣的私人執法體制之下,法院可以進行罰款,但我國卻沒有這樣的法院罰款機制。我國在個人信息保護領域也缺乏美國式的集團訴訟機制,因此公共執法必不可少,我國的公共執法下的罰款取代了美國法院的罰款。在課處威懾性的侵權法律責任方面,我國不必以信義義務為前提。例如,我國《民法典》第1185、1207、1232條規定的知識產權、產品質量和環境侵權等領域的懲罰性賠償均不以信義義務為前提,《消費者權益保護法》和《食品安全法》規定的懲罰性賠償也不以信義義務為前提。因此,我國《個人信息保護法》的懲罰性賠償也不必以信義義務為前提。
           
            (二)信息信義義務與我國加強個人信息保護的現實需求不契合
           
            加強個人信息保護,我國更需要公法規制。常被國內學者忽略但不應被忽略的一個背景是:美國因憲法第一修正案而限制了聯邦立法削弱數字企業收集、利用個人信息的能力,導致個人信息保護方面的規制性立法不足。另外,美國行業自律規范也在個人信息保護中占據重要地位。[52]信息信義義務理論的提出,意在通過由法官來發現隱藏的信義義務,以彌補立法的不足。但信義法是一種私人執法機制,而不屬于公法或規制法。
           
            信義法在傳統的專家場景中是可以有效運行的,客戶提起訴訟進行權利救濟所遇到的障礙不大,這主要是因為:一方面,專家的數量有限,很容易確定誰是被告;另一方面,客戶和專家之間的實力、地位不對等不甚嚴重,還不足以形成他們之間實力、地位嚴重不對等的關系。盡管律師、基金管理人等受托人通常很富有,但在客戶、基金持有人等委托人中,比受托人資金實力雄厚者比比皆是,因此客戶很容易提起訴訟,進行私人執法。但在數字場景中,不但侵權人難以確定,而且原子化的個人用戶提起訴訟的動力也不強,因為每個人所受的侵害很小,即使不存在舉證難的問題,訴訟成本依舊很高,即使勝訴也獲賠甚少。因此,針對數據主體的個人信息受到的侵害,包括信義法在內的侵權法所提供的私人救濟機制有很大不足。
           
            信息信義義務理論的初衷在于,通過對數據控制者施加信義義務來加強對個人信息的保護,而非將個人信息作為財產權予以積極利用,保值增值。這就是說,即使數據信托成立,也大多是消極信托,受托人一般不愿履行積極的財產管理義務。讓數據控制者作為個人信息的受托人,代表數據主體起訴個人信息的侵權者,不是一廂情愿,便是強人所難,不具有普遍推廣的意義。消極信托解決不了數據主體不愿起訴的難題,除非創設杰瑞·康所提議的“個人信息保護人”這一專業機構。[53]但絕大部分數據控制者都不屬于該類機構,該類機構所負的信義義務不是主流信息信義義務理論所謂的數據控制者的信義義務。“以私權模式為主的(個人信息保護)治理方式,已經面臨著無法避開的挑戰。”[54]我國應從私法救濟轉向公法救濟,從私人執行轉向公共執行,從側重事后救濟轉向側重事前、事中保護,注重對個人信息問題的回應型治理,強調多元主體合作與共治,加強政府的保護和監管責任。[55]
           
            數據主體與數據控制者之間的關系,在數據控制者是企業(經營者)的情況下,不再是平等主體之間的法律關系,更多情況下是地位不對等的法律關系。他們之間關系的脆弱性,并不必然導致信義法的衡平糾正,也可以通過規制法予以糾偏和傾斜性保護。“為擺脫個人信息私法保護的困境,我國的個人信息法律保護應當倚重消費者法保護與公法保護的進路”,[56] “由私力救濟為主轉向公力、私力、社會救濟并用”。[57]無論是巴爾金主張的數字企業不泄露和不濫用個人信息的義務,多布金概括的數字企業不得操縱客戶、不得歧視客戶、不與第三方隨意共享個人信息、不得違反自己隱私政策的四大義務,還是奧默羅德主張的數據安全義務和數據泄露通知義務,尼德曼主張的保密義務,抑或是國內學者主張的數據企業的義務,都可以經由立法成為數據控制者的基本法律義務,而不必一定歸于信義義務。
           
            這些義務一旦成為法定義務,將比信義義務之下的具體義務更清晰,更具有可預期性。此外,數據控制者所負的義務很多,以GDPR為例,保護和實現數據主體權利(訪問權、修改權、刪除權或被遺忘權、限制處理權、可攜帶權等)的義務包括基于設計和默認的數據保護義務、個人數據安全義務、向監管機構通報個人數據遭受侵害的義務、向數據主體通知數據泄露的義務、個別數據主體所負的數據保護影響評估義務、任命數據保護官的義務等。這些義務有的或可歸于忠實義務或注意義務之下,而有的則無法歸入或只能勉強歸入,如保護和實現數據主體訪問權等權利的義務、向監管機構通報個人數據遭受侵害的義務、任命數據保護官的義務等。有的則根本無法歸入,如保護和實現數據主體被遺忘權、可攜帶權等權利的義務。如果非要將這些義務歸于信義義務,將使信義義務變得無比雜糅,從而有損信義法的嚴謹性。
           
            即使在美國,隨著個人信息保護方面規制法的增多,也有學者傾向于通過規制法而不是信義法來保護個人信息權利。例如,費爾德(Harold Feld)肯定了信息信義義務理論關于收集和使用個人信息的公司與信息被收集的個人之間的信義關系的主張為思考各方之關系提供了一個良好的框架,又認為僅僅依靠信息受托人來保護隱私還遠遠不夠,并且與州和聯邦級別的強有力的隱私法律相比沒有優勢。加利福尼亞州通過的《加利福利亞消費者隱私法》(CCPA),廣泛管理非政府實體對個人信息的收集和利用,涵蓋范圍遠比信義法廣。費爾德認為,巴爾金建議的優點是,法官可以發揮想象力去發現被隱藏的信義關系,從而繞過了立法的不作為。但是,巴爾金提議的優點似乎正在消失,因為CCPA引起了人們對在聯邦一級以及其他州通過全面隱私立法的興趣。[58]
           
            因此,我國更需要加強個人信息保護立法,尤其是公法規制,但這并不意味著我國需要引入信息信義義務理論。沒有這一理論,數據主體的權利將更豐富,數字企業的義務將更多樣,個人信息之法律規制將更全面。
           
            結 語
           
            盡管本文對信息信義義務理論進行了系統的質疑和批評,但還應承認,信息信義義務理論對我國數據法學的發展也具有重要的啟發意義和正面價值。例如,數據處理者對于信息主體(個人)應負有義務;數據處理者對個人所負的義務與個人對于數據處理者所負的義務具有不對等性,前一義務較高;我國應在承認數據處理者與個人之間不對等地位的基礎上,對個人施以傾斜性保護,如實施過錯推定(舉證責任倒置)制度,甚至引入懲罰性賠償或法定定額賠償制度。
           
            但信息信義義務理論的缺陷也是非常明顯的。在大數據時代,隨著數字經濟的發展,數據主體與數據控制者之間的信息不對稱、地位不對稱加劇。在此情況下,有的數據主體信任與信賴數據控制者,有的則根本不相信數據控制者會善待其個人信息,但也不得不交出個人信息。對于信任與信賴數據控制者的數據主體,我們可以稱之為樂觀者,但他們可能是粗心大意者或“數據文盲”。對于根本不信賴數據控制者的數據主體,我們可以稱之為悲觀者,但他們也可能是風險厭惡者或曾經受到過數據傷害的驚弓之鳥。在這個復雜多元的現代社會,即使我們假定數據主體(或“數據合理人”)都是樂觀派(是否符合現實情況暫且不論),即使我們引入數據控制者的信義義務,但如果不將該義務上升為法定義務的話,也將導致他們在交出個人信息之后,得不到英美法下的信義義務的保護,因為我國法官無權認定所謂“默示的”信義關系。根據“經濟人”假設,如無強制,數據控制者一般也不會運用明示信托,將其自立為數據受托人。而如果將此等義務上升為法定義務,那么由于缺失忠實義務的兩大禁止規則,這樣的義務群也沒有必要歸于與傳統信義義務有較大區別的新“信義義務”。不通過信義義務,個人信息保護法照樣可以對數據主體進行傾斜性保護,且為公共執法打開了更大的法律空間,也有利于提升個人信息保護法的實施成效。

          【作者簡介】
          邢會強,中央財經大學法學院教授。
          【注釋】
          本文系國家社會科學基金重大項目“大數據法制立法方案研究”(18ZDA136)的階段性成果。
          [1]參見吳泓:《信賴理念下的個人信息使用與保護》,《華東政法大學學報》2018年第1期,第22-36頁;張麗英、史沐慧:《電商平臺對用戶隱私數據承擔的法律責任界定--以合同說、信托說為視角》,《國際經濟法學刊》2019年第4期,第24-37頁;解正山:《數據驅動時代的數據隱私保護--從個人控制到數據控制者信義義務》,《法商研究》2020年第2期,第71-84頁。
          [2]See Kenneth C. Laudon,“Markets and Privacy”, Communications of the ACM, Vol.39, No.9(1996).
          [3]See Jerry Kang et al.,“Self Surveillance Privacy”, Iowa Law Review, Vol.97, No.3(Mar.,2012), pp.809,812,831-832.
          [4]See Jack M. Balkin,“Information Fiduciaries and the First Amendment”, UC Davis Law Review, Vol.49, No.4(Apr.,2016), pp.1183,1208.
          [5]See Jack M. Balkin,“Information Fiduciaries and the First Amendment”, UC Davis Law Review, Vol.49, No.4(Apr.,2016), pp.1183,1208.
          [6]Jack M. Balkin,“Information Fiduciaries in the Digital Age”, http://balkin.blogspot.com/2014/03/information-fiduciaries-in-digitalage.html, last visited on Jun.6,2020.
          [7]See Tamar Frankel,“Fiduciary Law”, California Law Review, Vol.71, No.3(May,1983), pp.795,795-796.
          [8]See Jack M. Balkin,“Information Fiduciaries and the First Amendment”, UC Davis Law Review, Vol.49, No.4(Apr.,2016), p.1211.
          [9]在巴爾金的論述中,并未清晰區分數字機構、數字企業、在線服務提供商、云公司的含義,而是交替、混合地使用這些相似概念。筆者在引用該文時,一般據原文直接翻譯和引用。本文后面提到的文獻,對于數字企業的稱謂也不一致。在本文中,筆者交替使用數字企業、數據企業、數據控制者、信息控制者、服務提供商、在線服務提供商、在線平臺、平臺、公司等概念。對于個人信息的主體即自然人,本文也交替使用個人、自然人、數據主體、個人信息主體、用戶、客戶、消費者等概念,并不作區分。對于數據與信息的關系,本文是在以下涵義上使用的:數據包含信息,信息包含個人信息,個人信息與個人數據涵義等同。
          [10]See Jack M. Balkin,“Information Fiduciaries and the First Amendment”, UC Davis Law Review, Vol.49, No.4(Apr.,2016), p.1222.
          [11]See Jack M. Balkin,“Information Fiduciaries and the First Amendment”, UC Davis Law Review, Vol.49, No.4(Apr.,2016), pp.1223-1224.
          [12]See Jack M. Balkin,“Information Fiduciaries and the First Amendment”, UC Davis Law Review, Vol.49, No.4(Apr.,2016), p.1229.
          [13]See Ariel Dobkin,“Information Fiduciaries in Practice: Data Privacy and User Expectations”, Berkeley Technology Law Journal, Vol.33, No.1(2018), p.49.
          [14]See Alicia Solow Niederman,“Beyond the Privacy Torts: Reinvigorating a Common Law Approach for Data Breaches”, Yale Law Journal Forum, Vol.127,(2018), pp.614,628.
          [15]See Peter C. Ormerod,“A Private Enforcement Remedy for Information Misuse”, Boston College Law Review, Vol.60, No.7(Oct.,2019), pp.1893-1932.
          [16]參見吳泓:《信賴理念下的個人信息使用與保護》,《華東政法大學學報》2018年第1期,第23頁。
          [17]參見張麗英、史沐慧:《電商平臺對用戶隱私數據承擔的法律責任界定--以合同說、信托說為視角》,《國際經濟法學刊》2019年第4期,第36頁。
          [18]參見解正山:《數據驅動時代的數據隱私保護--從個人控制到數據控制者信義義務》,《法商研究》2020年第2期,第71頁。
          [19]參見解正山:《數據驅動時代的數據隱私保護--從個人控制到數據控制者信義義務》,《法商研究》2020年第2期,第82頁。
          [20]根據我國《信息安全技術個人信息安全規范》,行蹤軌跡屬于個人敏感信息。
          [21]See Harold,“Information Fiduciaries: Good Framework, Bad Solution”, https://lpeblog.org/2019/07/04/privacy-legislation-not-common-law-duties/#more-2592, last visited on Jun.6,2020.
          [22]參見王舒:《論信托財產的獨立性--兼析〈信托法〉第16條》,《中國地質大學學報(社會科學版)》2002年第3期,第75頁。
          [23]參見樓建波:《信托財產分別管理與信托財產獨立性的關系--兼論〈信托法〉第29條的理解和適用》,《廣東社會科學》2016年第4期,第222頁。
          [24]參見董慧凝:《信托財產法律問題研究》,法律出版社2011年版,第70頁。
          [25]See Gianclaudio Malgieri,“Property and (Intellectual) Ownership of Consumers' Information: A New Taxonomy for Personal Data”, https://papers.ssrn.com/sol3/papers.cfm?abstract_id=2916058, last visited on Jun.20,2021.
          [26]參見邢會強:《大數據交易背景下個人信息財產權的分配與實現機制》,《法學評論》2019年第6期,第98-110頁。
          [27]參見朱圓:《論信義法的基本范疇及其在我國民法典中的引入》,《環球法律評論》2016年第2期,第85頁。
          [28]See Paul B. Miller,“Justifying Fiduciary Duties”, Mc Gill Law Journal, Vol.58, No.4(2013), pp.969,977.
          [29]James Grimmelmanin,“When All You Have Is a Fiduciary”, https://lpeblog.org/2019/05/30/when-all-you-have-is-a-fiduciary/, last visited on Jun.6,2020.
          [30]See Lina Khan & David Pozen,“A Skeptical View of Information Fiduciaries”, Harvard Law Review, Vol.133, No.2(Dec.,2019), pp.497-541.
          [31]See Tamara Piety,“Radical Skepticism About Information Fiduciaries”, https://lpeblog.org/2019/05/31/radical-skepticism-about-information-fiduciaries/#more-2438, last visited on Jun.6,2020.
          [32]See James Grimmelmanin,“When All You Have Is a Fiduciary”, https://lpeblog.org/2019/05/30/when-all-you-have-is-a-fiduciary/, last visited on Jun.6,2020.
          [33]參見張麗英、史沐慧:《電商平臺對用戶隱私數據承擔的法律責任界定--以合同說、信托說為視角》,《國際經濟法學刊》2019年第4期,第24-37頁。
          [34]See Dyer v. Nw. Airlines Corps.,334 F. Supp.2d 1196,1200(D. N.2004).
          [35]See In re Anthem, Inc. Data Breach Litig.,162 F. Supp.3d 953,980-81(N. D. Cal.2016).
          [36]參見高秦偉:《個人信息保護中的企業隱私政策及政府規制》,《法商研究》2019年第2期,第19頁。
          [37]五種例外情形包括:合同主體履行合同之必要、履行法律義務之必要、為了保護數據主體或其他自然人的重要利益、為了執行公共利益領域的任務或行使控制者既定的公務職權之必要、控制者或第三方為了追求合法利益之必要等。
          [38]我國《民法典》不再像《網絡安全法》《電子商務法》那樣,區分“收集”與“處理”,而是借鑒GDPR,以“處理”一詞統稱對個人信息的收集、存儲、使用、加工、傳輸、提供、公開等活動。參見程嘯:《我國〈民法典〉個人信息保護制度的創新與發展》,《財經法學》2020年第4期,第42頁。
          [39]侯懷霞:《論信托制度的演變與傳播--兼對我國繼受信托法的兩點反思》,《社會科學研究》2009年第4期,第96頁。
          [40]參見徐化耿:《論私法中的信任機制--基于信義義務與誠實信用的例證分析》,《法學家》2017年第4期,第36頁。
          [41]D. Gordon Smith,“The Critical Resource Theory of Fiduciary Duty”, Vanderbilt Law Review, Vol.55, No.5(Oct.,2002), p.1399.
          [42]See Deborah A. DeMott,“Beyond Metaphor: An Analysis of Fiduciary Obligation”, Duke Law Journal, Vol.1988, No.5(Nov.,1988), pp.879,915; Karen E. Boxx,“The Durable Power of Attorney's Place in the Family of Fiduciary Relationships”, Georgia Law Review, Vol.36, No.1(2001), pp.1,15; Peter J. Hammer,“Pegram v. Herdrich: on Peritonitis, Preemption, and the Elusive Goal of Managed Care Accountability”, Journal Health Policy & Law, Vol.55, No.6(2001), pp.767,771; Andrew D. Shaffer,“Corporate Fiduciary - Insolvent: The Fiduciary Relationship Your Corporate Law Professor (Should Have) Warned You About”, American Bankruptcy Institute Law Review, Vol.8, No.2(2000), pp.479,482.
          [43]趙姿昂:《論推定信托在中國的引入》,《海南大學學報(人文社會科學版)》2019年第5期,第148頁。
          [44]參見趙姿昂:《論推定信托在中國的引入》,《海南大學學報(人文社會科學版)》2019年第5期,第150頁。
          [45]參見趙姿昂:《論推定信托在中國的引入》,《海南大學學報(人文社會科學版)》2019年第5期,第150頁。
          [46]參見徐鳳:《我國法院司法解釋制度的反思與完善》,《法學雜志》2016年第5期,第83頁。
          [47]楊署東:《中美股東權益救濟制度比較研究》,知識產權出版社2011年版,第86頁。
          [48]只有第8種即醫患關系在英美法理論上歸屬于信義關系。
          [49]參見李浩:《舉證責任倒置:學理分析與問題研究》,《法商研究》2003年第4期,第89頁。
          [50]參見葉名怡:《個人信息的侵權法保護》,《法學研究》2018年第4期,第96-97頁。
          [51]See Douglas Laycock,“The Scope and Significance of Restitution”, Texas Law Review, Vol.67, No.6(May,1989), pp.1277,1284.
          [52]參見張繼紅:《大數據時代個人信息保護行業自律的困境與出路》,《財經法學》2018年第6期,第61頁。
          [53]See Jerry Kang et al.,“Self Surveillance Privacy”, Iowa Law Review, Vol.97, No.3(Mar.,2012), pp.809,812.
          [54]劉曉春:《大數據時代個人信息保護的行業標準主導模式》,《財經法學》2017年第2期,第17頁。
          [55]參見郭春鎮、馬磊:《大數據時代個人信息問題的回應型治理》,《法制與社會發展》2020年第2期,第180-196頁。
          [56]丁曉東:《個人信息私法保護的困境與出路》,《法學研究》2018年第6期,第205頁。
          [57]王懷勇、常宇豪:《個人信息保護的理念嬗變與制度變革》,《法制與社會發展》2020年第6期,第157頁。
          [58]See Harold,“Information Fiduciaries: Good Framework, Bad Solution”, https://lpeblog.org/2019/07/04/privacy-legislation-not-common-law-duties/#more-2592, last visited on Jun.6,2020.

          本網站文章僅代表作者個人觀點,不代表本網站的觀點與看法。
          轉載請注明出自北大法律信息網
        0
        北大法律信息網
        www.chinalawinfo.com
        法律動態
        網站簡介
        合作意向
        網站地圖
        隱私政策
        版權聲明
        北大法寶
        www.pkulaw.cn
        法寶動態
        法寶優勢
        經典客戶
        免費試用
        產品服務
        專業定制
        購買指南
        郵件訂閱
        法律會刊
        北大英華
        www.pkulaw.com
        英華簡介
        主要業務
        產品列表
        英華網站
        聯系我們
        用戶反饋
        返回頂部
        二維碼
        不要添了,我高潮了视频