数据隐私与信托义务：为隐私法设置忠诚义务

A Duty of Loyalty for Privacy Law

为隐私法设置忠诚义务

Neil Richards & Woodrow Hartzog

本推送基于该文献的SSRN版本；其正式发表版本为：Neil Richards & Woodrow Hartzog, A Duty of Loyalty for Privacy Law, 99 Wash. U. L. REV. 961 (2021).

本文主张使信托义务中受托人的“忠诚义务”成为美国数据隐私法的基本要素，令数据收集者为数字消费者的最佳利益行动。在作者看来，美国现有的数据隐私法框架无法解决公司的数据机会主义行为。虽然已有一些学者提议将忠诚义务引入美国数据隐私法以解决这一问题，但相关研究没能回答关于忠诚义务的细节问题，如其具体内容是什么，如何适用，如何与其他义务（如注意义务和保密义务）分开并相互作用？这篇文章旨在填补这一空白。

/01/ 作者介绍

尼尔·理查兹（Neil Richards）是圣路易斯华盛顿大学法学院的教授，为隐私法、信息法和言论自由领域的权威学者。他的代表性著作包括《为什么隐私很重要》（Why Privacy Matters）和《智力隐私：重新思考数字时代的公民自由》（Intellectual Privacy: Rethinking Civil Liberties in the Digital Age）。

伍德罗·哈佐格（Woodrow Hartzog）为东北大学法学和计算机科学教授，主要研究与隐私、数字技术和人工智能相关的法律及政策问题。他的著作《隐私的蓝图：控制新技术设计的战斗》（Privacy’s Blueprint: The Battle to Control the Design of New Technologies）被誉为“本时代关于隐私的最重要的书之一”。

/02/ 文章背景

在数字时代，即便各国纷纷立法保障数据主体的权益，但数据保护的现状仍不尽人意——数据主体大多没有意愿和能力维护自身数据权利，并且，政府的数据监管部门对企业数据处理行为的监管也颇为困难。

为了解决数据主体与数据控制者之间不平衡的权力关系，维护处于弱势的数据主体的利益，基于普通法上的信托理论及相关实践，美、英两国的学者分别提出了“信息受托人”和“数据信托”方案：前者指给数据控制者设置受托人义务；后者指在数据主体和数据控制者之外，建立第三方机构提供独立的数据信托服务。

在美国，关于信息受托人的大量讨论始于2014年耶鲁大学法学院教授杰克·M.巴尔金在网上发文提出“信息受托人”概念，之后，不少学者或继续发展此想法或提出质疑。[1] 这些讨论影响着美国隐私法的立法方向。例如，2018年，15名民主党参议员提出了《2018年数据保护法案》（Data Care Act of 2018），规定了在线服务提供商在处理用户数据时应该承担的责任；2019年，民主党参议员再次提出《2019年数据保护法案》（Data Care Act of 2019）。

忠诚义务是受托人（fiduciary）的基本义务之一。本文阐述了为什么美国隐私法需要引入忠诚义务，并回答了“忠诚义务”的一些细节问题。

本文分为五部分：

（1）揭示美国当下的隐私法无法解决公司的数据机会主义；

（2）介绍忠诚义务的内容，提出在美国隐私法中为数据收集者设置忠诚义务以解决上述问题；

（3）论证美国隐私法引入该义务的合理性；

（4）探讨该义务的实施问题；

（5）回应潜在的反对意见。

/03/ 文章结构图

/04/ 主体内容

文章第一部分说明了在美国隐私法中引入忠诚义务试图解决的问题：企业的数据机会主义。这是指科技公司（类比信托关系中的受托人）可以利用从消费者（类比信托关系中的委托人）那儿收集的数据，对其进行画像和分类，再基于行为科学和数据科学的工具（如默认设置），助推甚至操纵消费者的行为。由此，科技公司以消费者的个人数据为代价，为自身谋利——改进自己的服务，进行定向性广告，诱导消费者购买自己的产品等。

针对上述问题，文章第二部分给出了解决方案：给数据收集者施加忠诚义务。美国隐私法中尚无这一义务。忠诚义务在其他法律领域被用来避免自我交易。它通常约束信托关系中的受托方，如律师和其他专业人士、代理人、监护人和公司董事。迄今为止，美国法律中有两种形式的忠诚义务：一是，当委托人能与受托人沟通自己的需求和愿望时，忠诚就意味着受托人的服从，即遵循委托人的指示，无论结果如何；二是，如果委托人是脆弱的，或者委托人的指示难以辨别，那么忠诚就意味着受托人要促进委托人的最佳利益。这篇文章分析了两者的优、缺点。考虑到数字环境的复杂性、大多数消费者的相对不成熟性，以及消费者和平台在技术、法律和经济实力上的差异，作者建议，除了少数的“服从”例外，在大多数情况下，忠诚的“最佳利益”形式最适合于保护数字消费者。

一旦立法者确定忠诚义务的使命通常是按委托人的最佳利益行事，下一步就是说明如何在规则中体现该义务的实质和形式。需补充的是，忠诚义务和注意义务这两个义务一般被称为主要的信托义务，通常被构建为广泛的、开放式的标准；其他受托人义务，可称为附属或执行信托义务，通常被构建为规则或更具体的标准。关于忠诚义务如何表现，作者提出了三种方式：

第一，强制性或限制性的行为规则。首先，有关忠诚的禁止性规定以“无冲突”规则为代表，这意味着数据收集者在设计工具和中介环境时，不得与“为数据主体的利益而行动的义务”相冲突。例如，数据收集者要建立严格而健全的规则，限制可以收集什么数据，可以将数据保存多长时间，以及可以将数据用于什么目的。

其次，忠诚义务可以使试图免除受托人义务的弃权无效。换言之，忠诚义务能强制规定一个不可放弃的基准性的注意、谨慎、诚实及保护程度。

另外，忠诚义务可以规定强制性的信息披露义务及不披露义务。例如，如果受托人未能披露某事，而这与委托方的最佳利益冲突，这种不披露行为就可理解为是不忠诚的。类似地，只要不符合委托人的最佳利益，代理人就不得出于代理人本身的目的或第三方的目的，使用或传递机密信息。

第二，可反驳的不忠诚行为推定。为了消除默认设置的弊端，本文建议在程序上利用忠诚义务，将某些设计“选择”和数据处理活动的默认状态转变为“可反驳的不忠诚推定”。在这种模式下，某些做法可能先被推定为因为冲突而无效，但是，这些相互冲突的行为在被证明合理之后，可能被允许。

第三，对其他义务的指导和支持。美国的数据隐私法往往缺乏明确的意义，未能指明哪些内在价值和工具价值应指导这些框架的解释和实施。作者认为，忠诚可以对数据隐私法作出贡献的最重要方式之一，也许是作为参照点，为其他数据隐私规则提供解释性指导。

接着，文章第三部分论证了在美国隐私法中为数据收集者设立忠诚义务的正当性。作者认为，美国需要一个全新的框架；现行的美国数据隐私法并不适合对抗公司的数据机会主义。这是因为立法者的目标是让人们尽可能多地了解公司的数据实践，并控制个人信息；但是，这种控制在中介环境中是不可能的。更重要的是，立法者希望防止的伤害，并不能减轻操纵、歧视以及对人们注意力和公共机构的侵蚀。

具体而言，一方面，美国现有隐私法忽视了机会主义。美国隐私法的三个基本原则是：（1）不撒谎；（2）不伤害；（3）遵循公平信息实践。但是，前两个原则主要规范彻底的欺骗或具体的伤害，即往往关注经济损失或极端情感痛苦，而不忠诚行为并不总是导致这些极端伤害。第三个原则也无法阻止机会主义，因为它关注数据而非信息关系中的权力不对等；它关注信息自决，但以”通知-选择”为基础的法律模式并不能防止基于数据的操纵。

另一方面，仅有注意义务是不够的。立法者们提议对数据收集者施加注意义务，将过失法原则扩大到公司，以确保公司不会对数据主体造成不合理的伤害。但作者认为，过失未能很好地处理隐私问题，因为它主要关注伤害而非关系。例如，一家给数百万客户造成小伤害的公司可以辩称，每一次伤害都是微不足道的。隐私法缥缈的本质似乎阻碍了法院审理这类案件。

文章第四部分讨论了忠诚义务应该如何实施，应该适用于哪些活动。借鉴信托法，作者提出了产生忠诚义务的四个条件：（1）受托人邀请委托人信任其对委托人的数据及在线经历的处理；（2）委托人因为披露了数据及在线经历而变得脆弱；（3）受托人控制了委托人在线经历及数据的处理；（4）委托人对受托人给予了信任。

作者还探讨了在美国数据隐私法中实施忠诚义务的几种不同框架。作者认为，忠诚规则可以而且应该以多种方式表现，应该在法令、行政行为和法规、普通法甚至宪法自由中得到实施或承认。文章建议，考虑忠诚框架的最佳方式是分层。首先，所有主要的数据参与者都应该（在理想情况下，通过法令）对数据主体负有忠诚的关系义务。法院和监管者也可以根据忠诚和注意义务的具体承诺来施加特定的忠诚义务。这将是隐私法中忠诚义务的最有力的形式。其次，文章建议立法者和监管机制定规则打击特定情况下的不忠诚行为，如滥用的设计（abusive design）。最后，文章探讨了违反忠诚义务的救济，以及忠诚义务如何影响起诉。作者指出，忠诚框架在提供救济上有优势，因为违反忠诚义务本身就是一种法律损害，可以解决长期困扰隐私诉讼的问题。

文章第五部分回应了针对本文提出的忠诚义务的五个潜在反对意见。

第一，忠诚义务的含义模糊。作者的回应是，其含义会随着时间的推移变得清晰；这种不确定性也意味着灵活性；公司会因此更谨慎。

第二，公司的各种忠诚之间可能相互冲突，如公司对消费者和股东都需要忠诚。本文认为，信任公司的脆弱的人，应该优先于股东，即公司应该先保证对消费者忠诚。

第三，这不仅是数据收集者的问题。忠诚义务的明显局限是无法约束数字生态系统中的许多参与者，如数据经纪人、监控公司。本文提出有两个因素可以缓解这种担忧：一是，作者并不主张通过在隐私法中规定忠诚义务取代数据保护制度，后者适用于每个数据接触者；二是，忠诚义务的实施方式可以是，在数据收集源头实施保护，并要求后续参与者的保护措施遵循初始的披露要求。

第四，信托模式有巩固现状并蚕食竞争的风险。作者指出，竞争法和隐私法没有竞争性，也不相互排斥。即使是忠诚的公司也可能需要被拆分；即使是市场力量很小的公司也可能不忠诚。

第五，忠诚义务会终结定向广告。作者的回应是：在其建议下，定向广告不能以目前的形式继续，但如果以透明和忠诚的方式进行，定向广告或许还可以继续存在。

/05/ 注释

[1] 在美国，关于信息受托人的大量讨论始于2014年耶鲁大学法学院教授杰克·M.巴尔金在网上发表的短文《数字时代的信息受托人》（Information Fiduciaries in the Digital Age）。2016年，巴尔金再度发表文章《信息受托人与第一修正案》（Information Fiduciaries and the First Amendment），系统阐述如何将处理个人信息的在线服务提供商和云公司视作其客户和最终用户的信息受托人，遵守严格的注意、忠诚和保密义务，从而调和个人隐私保护和个人数据利用之间的矛盾。不少学者继续发展此理论，包括Lindsey Barrett，Lauren Scholz等人；也有学者对此提出质疑，如莉娜·M.汗和大卫·E.波在2019年发表文章《对信息受托人的怀疑观点》（A Skeptical View of Information Fiduciaries），巴尔金2020年发表了《隐私的信托模式》（The Fiduciary Model of Privacy）一文对质疑进行回应。

翻译：易舒云

编辑：易舒云

声明：本文来自网络西东，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。