赴国外IPO,数据信托能否成为网络安全审查的“免检认证”?
2021-08-29
来源:数字科技说
一、背景
8月上旬,滴滴出行通过官方微博否认了让渡数据权的传闻。在此之前,路透曾援引内部知情人士的消息,声称国内某信息安全公司将成为管理滴滴存储在国内的海量数据的主要第三方公司。
本文并不关注滴滴出行是否让渡数据权。
真正重要的是,让渡数据权的模式能否达到监管的要求。因为在近期赴美IPO的案例中,已经出现了另设公司,让渡数据权的模式,以符合中国网信部门监管的要求。
在7月上旬征求意见的《网络安全审查办法(修订草案征求意见稿)》中,拟新增一条“掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查”的要求。
如果数据由独立或半独立的第三方机构所控制,上市主体与数据在法律与技术上完全隔离,让自己客观不掌握任何个人信息,那么或许可以让美国证券监管部门和执法部门在法律上没有机会获取数据,并进一步规避“掌握超过100万用户个人信息”的审查阈值。
但这也只是存在理论上的可能,更重要的是这种模式需要获得网络安全审查部门的认可。
而这种委托第三方处理数据的模式,就非常类似“数据信托”。
二、何为“数据信托”
在2021年《麻省理工科技评论》发布的“十大突破性技术”,一种新型数据利用制度——“数据信托”位列该榜单。数据信托是对数据进行管理和决策的新概念。个人和团体将其数据委托给数据信托受托人,按照预设的隐私策略或者条款进行管理。英国开放数据研究所将数据信托界定为一种提供独立数据管理的法律结构。
在翟志勇副教授的论文《论数据信托:一种数据治理的新方案》中认为:
一个数据信托必备的要素包括:一个明确的目的、一个法律结构(包括委托人、负有信托责任的受托人和受益人)、对所管理的数据的(一些)权利和义务、一个明确的决策过程、对如何分享利益的描述、可持续的资金。
翟志勇:《论数据信托:一种数据治理的新方案》,载《东方法学》2021年第4期
数据信托只是冠以“信托”之名,法律关系的基础并非是《信托法》,而是《民法典》《个人信息保护法》《数据安全法》与《网络安全法》,围绕个人信息的授权、共享建立的法律关系。
在具体实现的方式上, 需要产品(服务)提供者与信息处理者实现身份的分离。原本提供产品(服务)的企业,天然就会对消费者的数据进行收集,但为了实现隔离,数据收集、处理的工作会完全交易(半)独立的第三方来完成,第三方的收集、处理与提供产品(服务)的企业直接关系,而是通过签订一份长期的数据托管协议明确双方的权利义务。
法律关系大致如下:
无独有偶,微软的云计算服务Azure在德国也采用来了类似于数据托管的模式。德国数据托管方是一家独立的公司,其总部、注册地、所有权和控制权均在德国,并受德国法律管辖。对于德国微软Azure,德国电信的子公司T-Systems国际公司被签约为数据托管方。数据托管方模式的主要特点是,微软只有在符合合同规定的情况下,才会被数据托管方或客户授权并在其监督下访问客户数据。
由于微软没有保管或访问 Microsoft Cloud Germany 的客户数据,因此,即使任何国家的执法部门或法律制度指示,Microsoft 也无法满足政府或其他方对客户数据的访问请求。建议提出客户数据请求的任何各方联系客户或数据托管方,后者是客户之外唯一能够提供此类数据访问权的实体。
除了微软Azure在德国的模式,苹果的“云上贵州”,以及去年一度传出的TikTok与甲骨文的合作方案都是遵循了类似的思路。
三、如何搭建数据信托架构
搭建数据信托架构还没有统一的模式,需要逐案讨论,但仍有些共性内容可以总结:
1.在数据信托的法律框架下,隐私政策中的信息处理者将是(半)独立的第三方,而非直接提供产品(服务)的企业。
2.数据托管协议的期限应尽可能拉长。因为法律对数据权属缺少规定,因此协议文本需要更加清晰地界定数据的内涵与外延。
3.隔离提供产品(服务)的企业与处理数据的第三方,不仅有赖于双方签订的协议条款,也需要配套的技术与管理措施。方案如果通过加密的方式确保无法获取数据,则需要遵守《密码法》的相关规定。
4.《数据安全法》与《个人信息保护法》中,数据处理者未经批准不得向境外司法、执法部门提供数据的条款需要尽快落地,明确责任部门、审批条件与审批流程。
5.因为企业剥离了数据处理能力,本质上是剥离了传统很大一部分“数据资产”,所以可能会对企业数字化营销带来一定的负面影响。
6.联邦学习或类似隐私计算技术,或许可以帮助企业在不接触数据的情况下利用数据。但联邦学习等技术目前仍然存在局限性。
数据信托能否获得中美两国监管部门的认可,其实尚有待观察,有待在实践中检验。但数据信托的构建,确实不失一条存在可能性,并且值得探索的道路。