从个人信息被"开盒"事件，看数据资产服务信托的确权困境

21世纪经济报道记者 郭聪聪 北京报道

随着数据资产入表的深入，数据资产化进程不断加速，数据资产服务信托作为一种新兴的数据管理方式逐渐进入公众视野。然而，数据确权问题却成为这一进程中的主要阻碍。

近日，百度副总裁谢广军女儿“开盒”网友引发社会关注。3月20日，百度在信息安全沟通会中明确表示，当事人的相关信息并非来源于百度，且任何职级员工及高管均无权限触碰用户数据‌。这表明了百度在数据管理和保护方面有着严格的规定，然而该事件也将企业数据中的个人隐私安全问题推向风口浪尖，暴露出数据资产化进程中的诸多隐患。

多名受访人士告诉21世纪经济报道记者，许多企业的数据底层都涉及个人数据，而个人数据的流通通常需要进行脱敏等合规处理，这个过程中离不开数据主体的确权。尽管随着“三法两条例”等相关数据安全保护法律框架的建立，数据市场已经变得更加规范，但企业数据的个人隐私数据安全问题，仍对企业数据资产化进程以及数据资产服务信托的发展形成重要掣肘。

企业数据隐私安全再敲警钟

“开盒”指的是在网络上擅自公开他人的真实身份、联系方式等私人信息，这一行为像是打开了潘多拉的魔盒，强行撕开了网络匿名的保护，将个人隐私暴露于公众视野之下，构成对个人隐私的严重侵犯。多名行业专家向21世纪经济报道记者透露，确保数据在合法合规的框架内流转和应用，是数据确权工作不可或缺的一环。

百度副总裁女儿被“开盒”的事件并非孤例，此前已有众多网友遭受过类似的侵害。2023年8月，B站上的多位UP主就遭遇了来自境外平台的有组织群体的“人肉开盒”。在3月20日发布的调查结果中，百度指出，“开盒”信息源自海外社交平台上一个名为“天网社工库”的群组，并强调当事人的相关信息并非由百度泄露，且公司的任何职级员工及高管均无权访问用户数据。然而，这一事件也侧面暴露出个人信息在被企业、机构等收集后保护不力的现状，也引发了公众对数据安全的忧虑。

公众对于企业数据的信任危机，来源于此前数据信息保护的疏漏。一名行业专家告诉21世纪经济报道记者，在数据资产化快速发展的阶段，曾出现过监管的空窗期，由此也滋生了多起数据安全问题。在信托业内设立的第一个数据资产服务信托项目的科技公司——数据堂科技公司，就曾陷入侵犯公民个人信息犯罪的风波当中。

据新华视点2017年报道，山东省破获了一起特大侵犯公民个人信息案，共抓获犯罪嫌疑人57名，打掉涉案公司11家，数据堂公司就在其列。据报道，数据堂在8个月时间内，日均传输公民个人信息1亿3千万余条，累计传输数据压缩后约为4000GB左右，公民个人信息达数百亿条，数据量特别巨大。2018年7月，数据堂发布公告称，该案是公司某一客户因出售公民个人信息被公安机关调查，公诉中数据堂未被列为被告，同时称，涉及业务为公司已经关停的零星非主营业务，不会对公司主营业务构成重大不利影响。

公开资料显示，数据堂科技公司是一家数据市场服务提供商，主要业务涵盖数据采集、制作、交易等。值得一提的是，2016 年，数据堂科技公司曾作为委托方，将其所持有的部分数据资产作为信托财产设立信托计划，也是国内首单落地的数据资产服务信托项目。中航信托披露的产品显示，该信托计划规模为 428 万元，期限不超过 24 个月。

中诚信托投资研究部高级研究员韩鸣飞告诉21世纪经济报道记者：“在数据市场发展的早期阶段，确实存在诸多不规范的现象。但随着‘三法两条例’等数据安全法律架构不断完善，各参与方合规意识不断加强，市场规范化程度显著提升。”这里“三法两条例”是指，目前已经颁行的网络安全法、数据安全法、个人信息保护法，以及《关键信息基础设施安全保护条例》以及《网络数据安全管理条例》，以上法律文件共同构建出了数据安全的法律框架。

另一名从事行业研究的专业人士对此表示认同，他向记者透露：“根据我们与数据交易所、数据持有方、数据服务商等外部机构的交流情况来看，现在大家在保护数据安全和个人隐私方面都很审慎。”

北京市兆源律师事务所首席合伙人祁建国说道，就该单数据资产服务信托项目而言，其在业务模式上实现了数据资产的市场化运作与价值提升，是数据资产服务信托在财产权信托的有益实践。他指出，该项目通过权属结构的重新构建与积极的运营管理，为数据资产打造了一条涵盖“确权、定价、流通及增值”的全方位解决方案路径，这在一定程度上弥补了市场深度拓展方面的不足。

数据资产化加速，数据资产服务信托遇确权难题

在数据资产化的大背景下，数据被视为一种重要资产。企业预警通显示，截至2024年8月31日，共有64家公司在半年报中披露了企业数据资源数据，入表总额合计14.02亿元。这一趋势与2024年1月1日起财政部发布的《企业数据资源相关会计处理暂行规定》密切相关，该规定的实施为数据资产入表提供了明确的执行依据，因此2024年也被称为“数据资产入表”元年。

在这一背景下，2024年也成为了数据资产服务信托落地项目的高峰之年，共有6个项目成功落地，涉及杭州工商信托、中粮信托、苏州信托、北方信托、深交所与中诚信托等多家机构，并且委托类型均为企业数据。进入2025年，数据资产服务信托延续了行业发展势头，在1月份杭数所与杭工信再次携手落地了一例新的数据资产服务信托项目。据行业人士不完全统计，设立并存续的数据资产服务信托已超十余单，以受益权数据资产服务信托为主，也包含部分财产权数据资产服务信托。

数据资产入表解决了数据资产估值的问题，但数据确权问题依旧尚未解决，成为了数字经济发展的难点、痛点和关键点。一位从事数据资产服务信托的行业人士直言，阻碍数据要素流通最大的障碍就是数据确权。

近期，由北京产权交易所、北京市兆源律师事务所、中央财经大学科技与金融法律研究中心、北京信托法学研究会联合主办的座谈会，就对数据资产服务信托业务展开了深入探讨。

与会行业人士指出，2022年底发布的“数据二十条”（即《中共中央、国务院关于构建数据基础制度更好发挥数据要素作用的意见》）提出建立公共数据、企业数据、个人数据分级分类确权授权制度，为个人信息数据的授权、采集、托管、加工、使用、保护等指明了发展方向。而数据资产具有非实体性、可共享性、可加工性等特征，这使得数据资产的确权面临诸多难点。

例如，数据资源的构成多样，可能包含个人信息、第三方商业信息等，在确权时难以把握颗粒度；基于数据的流通性，部分数据无法溯源，即使能溯源，中间的流通环节多，也给权利溯源带来不确定性；不同类型的数据相互掺杂，权属界定复杂；数据资产生命周期较短，且易受第三方挑战，难以对其稳定性做出客观评价等等。

同时，南财合规科技研究院曾多次对头部平台App进行实测，发现多数企业个人信息保护社会责任报告披露不力，有企业并未发布专门的个人信息保护报告、披露的颗粒度“蜻蜓点水”， 这导致了公众对企业数据保护工作的感知度低，信任关系难以形成，也反映出了企业数据透明度不够的问题。

北京市中闻律师事务所权益合伙人戴伟表示，在数据资产确权过程中也应当注重合规。他强调，企业在开展数据资产入表融资时，应充分重视数据合规审查工作，确保数据来源合法、内容合规、授权明晰，以降低潜在的法律风险。他认为，通过合理的交易结构和市场机制设计，可以进一步激发数据资产的市场活力，通过建立健全的数据资产交易机制和合规的交易平台，可以为企业提供更为便捷、高效的数据资产交易服务，从而推动数据资产的流通和价值实现。

韩鸣飞从行业展业的角度向21世纪经济报道记者分析道：“由于个人数据具有体量大、来源广、可加工等特性，相关数据资产的权利归属常常会遭遇‘不能确权’或‘不想确权’的问题。例如，对于数据处理者而言，其在数据的收集、处理、加工等环节投入了一定成本，如若无法在制度层面明确相应权利，可能会使其前期劳动投入无法得到保障。而模糊、笼统的数据确权模式，则会诱使部分数据处理者选择以成本更低廉的方式非法抓取、窃取他人数据，这显然不利于市场规范化发展。”他表示，只有当各参与方都能从数据流通中受益时，这一业务才更容易得到推行和实施。

同时，由于确权领域的暂时空白，令不法分子趁机钻了空子，他们通过伪造文件、散布“国家颁发个人数据确权凭证”谣言等方式，从中谋取非法利益。2024年10月6日，国家数据局正式发表声明，称有不法分子以国家数据局名义发布虚假信息，谣称国家数据局颁发“个人数据资产拥有权确权凭证”、《关于10月15日开放个人数据资产价值变现权确权工作的通知》、《关于成立人民数据资产确权服务平台的通知》等相关文件。国家数据局对此郑重强调：“此类文件系伪造，相关信息均不属实，我局从未发布过上述政策文件，从未颁发过相关凭证。”