摘要:数据的商品化使其成为推动经济发展的基础性生产要素。不是所有数据都能够成为数据交易标的,数据交易的促成需要数据处理者对数据资源形成有效控制。数据交易作为数字经济时代的新兴产物,在数据权属界定、行为监管、制度规范等方面存在困难。数据权属边界划分并非能够一蹴而就,不适宜在原有权利体系中使用绝对权予以保护。在场内场外数据交易行为频繁的现实需求下,现阶段宜尽快明确数据交易制度中的具体规则,规范数据交易行为。第一,在数据分类分级保护机制的基础之上明晰数据交易范围,包括核心数据的绝对禁止和重要数据、个人数据等数据类型的相对禁止。第二,构建可信数据交易制度,完善数据交易合同中的安全保障条款设计,提高数据交易的法律确定性和可预测性。第三,通过确定数据权益,从源头上激励数据产品化,进一步推动数据交易统一市场的建设。
一、问题的提出
数字经济背景下,数据的广泛应用使信息传播和商务活动数字化。党的十九大以来,数字中国建设取得显著成就。我国高度重视数字经济发展,鼓励数据安全有序流通,积极推动数据交易市场的建设。2023年10月25日,国家数据局正式揭牌,统筹数据资源整合共享和开发利用,数据交易顶层制度将不断完善,这对于加快实现数据资源要素化而言具有积极意义。根据2016年《数据流通行业自律公约(2.0版)》的解释,交易是数据在不同实体间转换的流通方式之一。数据交易是指供需主体之间以货币等对价交换数据的行为。2015年《促进大数据发展行动纲要》、2020年《关于构建更加完善的要素市场化配置体制机制的意见》、2022年《“十四五”数字经济发展规划》、2022年《关于构建数据基础制度更好发挥数据要素作用的意见》等文件纷纷面世,指明了数字经济建设和数据交易规范的宏观发展方向。数据已成为最具数字经济时代特征的基础性生产要素,建立健全数据交易市场化机制、规范交易行为是未来数据基础制度建设的重中之重。背靠国家宏观发展方向的指导,我国地方政府勇于探索数据交易机构的运营模式。然而,在信息技术水平和地域特点等因素的作用下,地方数据交易机构的发展状况不一,多数数据交易机构在运营不久后便陷入停滞。数据资产确权难、数据产品定价难、数据交易行为监管难等现实问题始终困扰着数据交易机构,导致数据产品不易流通。这反映了现有的地域性数据交易市场机制不够健全,加之数据交易监管事实性缺位,目前场内数据交易无法展现出良好的吸引性。数据交易的供需主体似乎更愿意进行场外交易,这也导致了数据交易灰色地带乃至数据黑市的扩张。由于法律制度自身的滞后性,数据交易市场处于似是而非的状态之中,数据处理者稍有不慎便容易涉嫌违规操作,甚至可能需要承担刑事责任。这在很大程度上劝退了一部分决心在数据交易领域创新的从业者。数据交易机构运营无法进入快车道的前车之鉴警示着学界和实务界,需要重新直面数据交易制度的基本问题。数据交易制度构建是数字经济时代的复杂系统工程,促成数据交易市场化建设需要循序渐进、张弛有度。数据交易市场建设目前处于萌芽阶段,过早、过严的强烈父爱主义式法律规范容易带来劣币驱逐良币的不良后果。
我国已经颁布实施的《民法典》《数据安全法》和《个人信息保护法》等法律提供了规范数据交易的基本制度框架。但是,现有条文只是体现了法律的原则性要求,数据权属、交易范围以及交易规则等相关具体细则尚付阙如。《民法典》第127条在宏观上对数据、网络虚拟财产进行保护,在法律上认可数据的财产属性。由是观之,数据具备可交易性质,但《民法典》没有进一步确认数据是否为财产权的客体。民事主体对数据享有合法权益,《民法典》亦没有为数据交易的供需主体分别设置具体的民事权利和民事义务。作为数据治理领域的基础性法律,《数据安全法》仅宣示性地规定数据交易制度的建立健全目标,第19条提出要求规范数据交易行为,培育数据交易市场,并在第33条和第47条就数据交易中介服务机构的相关义务进行了概括规定。结合《个人信息保护法》第1条、第4条规定,有学者认为个人数据提供行为包括个人数据交易行为,个人数据也具有可交易性质。上述法律均为数据交易预留了立法接口,具体规则暂时选择留白,体现了立法者对于正处于动态发展中的数据交易的审慎态度。国家网信部门、各地方政府以及各行各业正在紧锣密鼓地根据相关法律和国家标准文件制定相应的详细实施规则。2022年9月国家工业信息安全发展研究中心发布的《2022年数据交易平台发展白皮书》、2022年11月由浙江大学、浙江大数据交易中心、贵阳大数据交易所等单位共同编制的《数据产品交易标准化白皮书(2022)》等文件陆续公布,带动了社会各界共同为数据交易制度的落地实施贡献智慧。现有法律条文为后续数据交易制度的构建奠定基础,接下来需要解决的是如何划定数据交易范围、如何规范数据交易行为等数据交易制度的核心问题。
与数据交易制度相关的研究已然成为数字经济背景下法学学科重点关注的现实命题。国内学界现有研究主要集中在数据确权、数据跨境流动、个人数据处理规则等方面,只有少数研究者进一步关注到数据交易市场化建设相关的法律制度问题。同时亦缺乏对数据交易现状、影响因素及其作用机理的实证研究。迄今为止,数据权属争议仍然不绝于耳且难以达成广泛共识。数据权属是数据交易过程中的权利理论问题,具有极其重要的基础地位。作为社会发展的复杂产物,数据不断打破既有法律体系对信息和知识的认知和保护理念。数据权属系法学、数据科学与经济学上的重大课题,其边界划分并非能够一蹴而就,一时难以在理论和实践中得出妥善的解决方案,立法者亦不会轻易下定论。不同于边界清晰的、权利保护模式稳定的物权、知识产权、隐私权等权利,现阶段难以以绝对权方式一揽子确定包括个人数据在内的数据权属,更难以断言适宜在原有权利体系中对数据予以保护。在数据交易市场尚未完全成熟之前,若急于对数据赋权,将缺乏相应的权利限制,容易陷入绝对保护的桎梏,造成“反公地悲剧”,阻碍信息技术的创新持续为数字经济赋能。我们需要看到,数据交易也许不完全是产权界定的问题,更多地是受电子信息流动等其他规律的支配。因此,当前研究可以从权属困境中暂时抽离,转向数据交易规则落地。法律制度之动力来源于社会现实需求。信息技术仍在迅速发展,数据交易需求无法忽视,数据交易的场内场外活动频繁。但数据交易链条上各方主体的权利义务尚未完全清晰,数据交易范围划定以及个人数据交易的风险保护有待完善,此时构建具有可操作性的数据交易法律制度显得尤为迫切。
二、数据作为一种商品:数字经济中的基础性生产要素
可存储性和可再生性使数据得以呈现爆发式的海量增长,由此成为实体经济产业数字化发展的重要战略资源。数据可以根据不同的标准进行分类,可分为重要数据和一般数据、个人数据和非个人数据、敏感数据和非敏感数据、商业目的数据和政府目的数据、非结构化数据和结构化数据、即时数据和历史数据等等。但数据内容是动态变化的,不同数据类型之间的界限并非泾渭分明,它们可以相互转换。例如个人数据和非个人数据,因数据可识别与否的不确定性产生交叉集合。2021年,荷兰数据保护局(DPA)对于国内一政治党派泄露了其支持者的电子邮箱的行为进行处罚。在这一场景中,电子邮箱数据的性质发生了变化,由原本的非个人数据可以转化成揭示政治观点的敏感个人数据。因此,数据从来都不会固定地“属于”谁,它从社会活动中产生,最终也将服务于社会。数据作为信息的一种表现形式,是社会活动的“副产品”,其本身并非一经产生便身负超然利益或可单独创造价值。个体的、零散的原始数据往往并不具有直接的使用价值,无法服务于经济的实际需要。数据交易的规范政策在很大程度上取决于所涉及的数据类型。但并非所有数据都能够成为数据交易的标的。数据交易的促成需要数据处理者对数据资源进行主动干预,对其形成有效控制。在数据符合需求者的条件并满足其要求时,数据才能有效释放交易价值。
数据交易中原始数据单独产生价值的范围有限,通过处理原始数据创建的衍生数据以及由各种数据源组成的聚合数据集具有巨大经济价值潜力。数据要素市场化目的在于激励社会将不可用、不好用的数据变成可用和可重用的数据。数据进入市场通过有效配置实现经济价值的加持,完成从价值潜在到价值创造的形态演进。联合国国际贸易法委员会第53届会议文件中明确指出,数据是一种商品。美国已经率先进行个人数据的商品化。与数据相关的活动早已不是货物和服务生产中的次要活动,其已成为贸易的核心特征和经济活动的关键方面,有助于增加市场准入。数据商品化之后,进一步与劳动、资本、土地等经济理论上的传统生产要素结合,通过协同机制完成“数据资源化—数据商品化—数据资产化”路径,催生出人工智能、金融科技、智能机器人以及区块链等新技术组合。古典学派的萨伊、西尼尔等政治经济学家认为,商品或服务创造所需的任何资源均应被视为生产要素。由此,数据转变为一种新生的基础性生产要素,成为满足经济社会生产经营所需的主要来源,以及以数字化的知识和信息作为关键生产要素的数字经济发展的重要动力。
党的十九届四中全会首次明确数据可作为生产要素按贡献参与分配,构建以数据为关键要素的数字经济。新一轮产业变革加速推进数据价值化,数字技术与实体经济相互集成融合。商业组织机构直接或间接利用数据来优化资源配置,推动生产力发展,整个经济环境发生根本变化,形成以数字技术为核心驱动力重构经济发展与治理模式的新型经济形态。工业生产经济开始向数字经济跨越。朱莉·科恩准确描述这一经济跨越为工业生产基本要素的非物质化。《数字中国发展报告(2022年)》显示,截至2022年,我国数据产量全球占比10.5%,位居世界第二。培育并管理数据要素市场,是促进数据有序流通和规范利用的重中之义。大数据产业规模快速增长,各地积极探索数据治理规则,促进数据交易和开发利用。从经济环境角度来看,数据交易可积极推进高标准营商环境建设,优化创新要素供给,强化对外数据的开放和应用力度,充分发挥数据资源价值,丰富数据开发利用的场景和产品。商事信用是社会信用体系的主要组成部分,数据作为基础性生产要素对于信用体系的建设以及信用机制完善有着至关重要的作用。基于大数据构建的可追溯商事信用制度使市场主体得以准确作出有竞争力的决定,极大降低了交易成本。
三、数据交易失范及其风险来源
(一)数据交易失范
在实现经济价值的驱动力下,数据交易实践领先于相关理论的发展。我国主要城市纷纷启动数据交易市场建设,多家由地方政府推动设立或由商业机构直接设立的数据交易机构挂牌成立,探索创设数据交易规范,力图以完善的交易中心机制以吸引数据处理者进行场内交易,抢滩数据价值化“新蓝海”。数据交易平台的“n对m”模式允许进行多对多交易,平台不持有数据,只连接供需主体。我国数据交易机构至今经历的发展阶段缓快交替,国家政策影响着数据交易市场建设的进程。2014年伊始是第一轮萌芽发展期,我国最早设立了3家数据交易机构;2015年是极速增长期,数据交易机构猛增7家,其中包括贵阳大数据交易所正式挂牌运营;2018年至2020年处于平稳发展期;2021年至今迎来新一轮爆发,北京、上海、深圳等数据交易平台的成立再引数据交易市场浪潮。显而易见,据交易市场建设的发展周期与前述国家方针政策紧密结合。
然而,在信息技术水平和数据交易市场化条件不一致的情况下,短时间内大量成立数据交易机构难避跟风之嫌。我国数据交易市场建设目前还仍处于初期阶段,数据商品化的实际进程乏力,迄今为止尚未探索到合适的成功经验。如前所述,我国数据交易机构在本质上还只是局限于提供磋商平台的中间功能,实际上难以有效规范数据交易行为。现实情况是,国内已有不少数据交易机构陷入运营困境,有的甚至已经关停。大部分机构均尚未明确自身定位,数据产品确定性低,交易低效且同质化严重,加之交易规范过于原则化,缺乏统一标准,可操作性不强,以及交易安全保障措施不足。以上数据自身属性、数据交易行为特性以及数据交易环境等内外部因素共同导致了数据交易机构实际运营效果背离了数据交易市场化建设的初衷。欧美等国家地区的数据交易机构的运营状况也不容乐观,昙花一现的数据机构频出,例如Azure、BuzzData等曾经轰动一时的数据交易平台接连被迫停摆或转业。国外数据交易机构多由民间组织发起设立,鲜少官方机构的身影,足以见得官方机构的谨慎态度。我国各地方数据交易机构的运营状况不一,加剧了数据交易市场发展的割裂,严重制约了数据交易的产业化和规模化,最后恐将导致数据交易的去机构化。
(二)数据交易失范的风险来源
第一,市场失灵。从市场竞争的角度来看,同一领域的产业竞争者越多,消费者越能获得优选产品。但强势数据处理者往往更能独家获得大量市场份额的数据,将对市场形成不公平的竞争优势,导致市场失灵。首先,数据处理者对于数据规模的支配力是非常重要的非价格性竞争因素,在一定程度上影响了市场支配地位。获取数据资源的能力与其竞争力呈正相关性。数据处理者为了保持核心竞争力,通过在合同中设置排他性条款、提高违约成本等方式防止数据外溢。此种情形下,数据爬取演变成数据交易市场竞争的主要手段。数据交易市场中的马太效应凸显,强势数据处理者掌控的数据池不断扩大,形成垄断优势。因此,强势数据处理者关于数据的市场交易容易受到反垄断审查。2007年Google收购网络广告公司DoubleClick,意在进一步巩固自身在网络广告市场的领先优势,欧盟委员会对此收购案的关注点在于两家互联网企业所拥有的数据信息的结合是否为市场竞争带来负面影响。2020年,欧盟委员会宣布对Google收购可穿戴设备制造商Fitbit的交易展开深入的反垄断调查。因Google本来已经拥有海量的数据用于提供个性化广告服务,欧盟委员会称担心收购成功会进一步强化Google在网络广告市场的主导地位。其次,在价格性竞争因素方面,数据产品定价难是一大难题。价格发现成本、磋商成本和定约执行成本等交易成本影响了市场充分发挥资源配置的作用。数据作为一种信息资源需要依赖于信息分享环境中的信息聚合效应释放价值,这一特性决定了数据本身无法被精确估价。价格决定因素有数据采集、分析、处理、存储等成本以及数据需求方的特定偏好和实际需求。数据要素固定成本高、边际成本低,交易供需主体对数据价值的判断存在双向不确定性,数据价值无法准确提前预测。进一步而言,在当前的数据交易市场中,数据质量预期模糊导致供需主体之间没有足够的透明度,缺乏明显的信息优势,参与交易的各方易被误导,最终形成交易信息不对称的“柠檬市场”,加剧了市场失灵的问题。
第二,数据权属未明。作为新兴客体的数据,权利界限模糊,无法准确类型化并进行定价,难以在数据交易全过程对其进行价值分配并监管到位,增加了数据交易成本和法律风险。理论界在数据具有财产属性的观点之上,基于不同理论学说提出了不同的数据权利模式设想,但各数据确权方式的可行性缺乏实证研究,实践中难以落地并未得到立法认可。一是基于洛克劳动财产理论认为,数据处理者的数据权益核心在于其在数据处理过程中投入的大量人力、财力、物力。劳动不仅仅是体力劳动,还应该包括智力劳动。一旦对合法取得物添加了智力劳动,便应享受某种特定权益。“某人创造了一个新的物,就对于该物享受权利。”数据处理者对自己基于原始数据加工创造出来的具有更大价值的数据集拥有天然的支配权,只不过这种支配权并非如知识产权那般是排他性的。洛克劳动财产理论的适用前提是存在足够丰富的无主物品,此时才可谓通过付出自己的劳动占有该物品。但是,大部分原始数据来源于个人的社会活动创造,个人数据在此意义上成为个人数据主体对其拥有原始财产权益的劳动所得物。因此,劳动财产理论证成数据权属的路径已受到诸多质疑。二是基于知识产权保护理论认为,数据与传统知识产权客体同属于无形物,可按知识产权予以激励。例如,“安客诚诉辰邮科技案”判决肯定了数据库属于商业秘密并予以保护。此种思路仍然属于劳动成本激励论的范畴。然而,并非所有数据库是智力劳动成果,若数据库不符合高标准的独创性、期限性、法定性的知识产权必要特征,就无法获得版权保护。因此,反对意见指出,数据的非竞争性、公共性、相关性、时效性等独特性质,与传统知识产权客体的专属性存在本质上的区别,不可强行套用知识产权保护模式。该保护模式无法规制公共领域的数据复制和交易行为,数据处理者无法获得足够的投资回报,最终造成市场失灵。I0此外,我国司法实践以反不正当竞争保护为主要切入点,将数据视为市场竞争资源。在“淘宝诉美景案”“微梦诉饭友案”“蚁坊诉微梦案”等案件中,通过反不正当竞争法一般条款解决数据权益之争。法院从反不正当竞争角度确认数据权益的归属,没有确认法律权利,解决数据权属纠纷力有不逮。
数据权属尚处于法律空白地带,这在理论上和实践中都是较为复杂的问题,统一赋权的期待并不现实。建构性的法律界权并非要求必须事先在所有权规范体系中定位数据,IS所有权在数字领域已经展现出走向终结的趋势,数据不应成为所有权的标的。数据的社会复杂特性决定了其不适合以清晰产权为基础的市场交易范式。鉴于数据本质上是非竞争性的,数据交易模式多而繁杂,数据属性和使用场景多样化和动态化,数据权属确定过程中需克服所有权一元结构的内在缺陷,同时依赖于数据交易供需主体和特定交易场景等因素。
第三,数据权属未明的同时,尽管有合同作为数据交易基础,但供需主体针对数据交易所产生的权利义务关系确定也受到负面影响。场内交易缺乏强有力的操作规则,供需主体之间存在信任障碍,场内交易容易失去吸引性和说服力,供需主体更倾向于较为灵活的场外交易形式。数据作为商品进行交易适用的法律包括合同法。然而,一对一私下达成合同虽是意思自治的结果,但这种场外交易是数据交易的初级形式,没有固定的交易制度,一事一议交易成本较高,对主体、客体以及交易行为都更难课以有效约束。此外,场外数据交易繁荣的同时也面临着侵害个人信息权益,甚至危害国家安全等弊端。数据泄露事件频发、缺乏第三方专业评估认证也导致数据交易信任机制难以建立。
第四,个人数据交易中“兜底保障”所依赖的风险保护体系也不够健全。个人数据交易存在着更大的数据泄露和数据滥用风险,且风险后果波及范围更广、损害更大。个人数据交易之前要求经过数据脱敏和清洗,达到法律上的匿名化标准。如果不加限制,在一些行业领域容易侵害消费者权益。尤其是在保险、信贷等基于风险定价的领域,个人数据处理者能够获取敏感个人数据,往往会依据敏感个人数据分析而作出歧视性决策。例如,个人遗传数据的泄露可能会使其在就业、保险、教育和社会生活的其他领域受到歧视性待遇。《个人信息保护法》第28条第1款以“抽象概括+非穷尽式列举”界定敏感个人数据,似乎表明敏感可以被客观地归因于特定的个人数据类型。但这种理解并不全面,实际上掩盖了敏感与相关场景因素之间的相互依存关系。敏感个人数据的表现形式日益丰富,忽视非敏感个人数据与敏感个人数据之间的关联性容易导致该条款的实际适用障碍,无益于敏感个人数据主体的个人权益保护和信息化技术的更新迭代。再者,匿名化只是一个在特定的场景中有效的相对状态,信息社会不存在绝对的匿名信息。由于具体信息环境的不断演变,非个人可识别信息和个人可识别信息之间存在着可以相互转化的某一时刻,匿名信息仍可以结合许多新产生的不同信息集从而再识别个人身份。此时,如何准确给出匿名化的法律标准是个人数据得以安全交易的关键问题。
综上所述,数据交易失范的前车之鉴应当引起足够的重视。数据交易产生巨大经济价值,但交易过程中暴露出来的法律风险尚未得到妥善解决,导致数据交易机制运行疲软。不同于权属明晰的传统生产要素,由于数据具备非竞争性、非排他性、可复制性、公共性、衍生性、虚拟性、异质性等特性,且全生命周期涉及主体繁杂,其作为基础性生产要素参与市场化配置的过程充满挑战。乘着数据交易东风顺势而起的许多数据交易机构,大多并未真正构建成熟的数据交易规范,而只是利用了数据法律理论和监管实践的空白寻求“数据变现”。尤其是由于相关法律的留白,数据交易规范化过程面临因标的客体特性所导致的诘难,以及个人数据保护的合法性质疑。数据的合法性问题若不解决,极易进一步引起数据交易制度失败的结果。
四、数据交易法律制度构建
(一)数据交易的绝对禁止和相对禁止
《数据安全法》维护国家主权、安全和发展利益,第21条明确规定了数据分类分级保护机制,这是我国数字治理的典型特征。数据交易不能脱离法律的限制,在现有数据类型化的基础之上,数据交易法律制度应当首先明晰数据交易范围,包括绝对禁止和相对禁止交易的数据类型。核心数据是绝对禁止交易的数据类型,其具有明显的国家主权属性,关系国家安全、国民经济命脉、重要民生以及重大公共利益等,反映了国家的核心利益。例如,有关国防科技等核心数据,一旦遭到泄露,可能严重危害国家安全。国家核心数据实行更加严格的管理制度,纳入禁止交易的负面清单。相对禁止交易的数据类型包括重要数据和个人数据等数据类型。我国立法对重要数据概念的外延还有待进一步明晰,数据交易供需主体应当对重要数据交易行为更为谨慎。根据《网络安全法》和《数据安全法》的规定,公共通信和信息服务、能源、交通、水利等领域属于关键信息基础设施领域,相关运营者在我国境内运营中收集和产生的重要数据应在境内存储,向境外传输需要申报安全评估。数据出境安全评估是我国首创制度,符合要求的数据处理者需要向境外提供重要数据和个人数据时必须进行申报,由国家网信部门进行安全审核。
在取得个人数据主体和数据交易提供方知情同意的前提下,可以按照市场交易规则进行个人数据交易。数字经济时代,个人数据可能是数据交易的未来。个人数据具有可让与性,这意味着个人数据主体有权决定自己的个人数据的利用方式,应当允许个人数据主体将个人数据作为商品进行流转并获得财产性权益。个人数据主体参与了数据交易的一级市场,有权签订有关合同,属于个人意思自治的范围。数据处理者往往向个人数据主体提供报酬或者折扣以取得个人数据主体的授权。如电子商务平台用户自愿使用个人数据注册会员以此来换取商品折扣。再如,植入式和可穿戴芯片的使用也在数据市场中产生用户自愿创建和交换的个人数据列表。因此,如何防止“一次同意,终生后悔”是个人数据保护的重中之重。数据交易供需主体应遵循个人数据保护法律的要求,确保交易数据的合法性。合法性基础判断不仅仅建立在个人数据主体的知情同意以及授权之上,还包括使用目的和使用行为是否符合法律规定等因素。一方面,作为交易标的的数据应合法取得,符合数据来源合法的要求;另一方面,数据所载的信息应在法律允许的范围之内,符合数据内容合法的要求。换言之,数据交易制度应同时满足个人数据主体权益保护需求和信息共享的社会需求。
个人数据交易风险保护机制是解决数据交易合法性问题的关键路径。从这个角度出发,或许可以改善数据交易市场借鉴行为经济学的教训,以减少“有限理性”的影响。首先,个人数据安全风险保护应以场景化为基本进路。场景完整性理论提出将个人数据保护与特定场景联系起来。个人数据安全风险的高低被证明在很大程度上依赖于场景元素,包括但不限于个人数据的使用手段和目的等等。个人数据安全风险保护规则设计应采用基于数据处理场景和处理目的的综合考量方法。理由在于,个人数据安全风险不可一概而论,会随着处理场景而发生变化,甚至超出法律的给定范围。法律父爱主义语境中的具体立法者难免存在理性局限,无法协调多元的社会利益。弱父爱主义才是在安全与发展之间更为妥当的中间道路。以场景化为基本进路,可适度削弱父爱主义的立法理念,充分考量个人数据交易的实际个案情况,保证法律规范适用的灵活性。各领域可以根据实际情况酌情决定个人数据的安全风险系数,从而设计相应系数的交易规则,更能符合特定场景下的个人数据保护预期。根据数据处理场景包容接受文化和行业差异,不受列举式法律规范的限制,从而可以迅速对新形式的个人数据交易风险作出反应。我国《个人信息保护法》也体现了此种风险保护方法,第55条、56条引入DPIA制度,为敏感个人数据处理、个人数据自动化决策等对个人权益有重大影响的个人数据处理活动设计影响评估条款。在数据交易场景中,敏感个人数据的可交易性判定应当充分考虑敏感个人信息处理的损害风险程度。其次,匿名化法律标准的完善是个人数据交易风险保护机制中的重要环节。《个人信息保护法》规定个人信息不包括匿名化处理后的信息,成为数据交易的关键前提和制度指引。个人数据进行有效的匿名化处理之后,将在一定程度上减少个人数据与身份之间的关联性,达到无法合理识别个人从而降低交易风险的效果。我国的匿名化标准尚需在《个人信息保护法》的基础之上进一步明确。相对的个人信息匿名化是更为合理的法律标准,“合理可能的不可识别”应纳入法律认可的匿名化效果范围,建立动态化去标识机制。同时,数据处理者需承担定期评估风险义务并受到合同约束。此外,不同类型的数据之间的转化,应结合关联程度、重要程度、敏感程度以及特定处理场景对数据交易范围做出判断,在最大程度上保障个人数据主体的基本权益和数据交易市场的安全、有序。
(二)数据交易合同中的安全保障条款设计
数据交易市场尚处于初级阶段,我国距离场内场外相结合的交易制度仍有不少距离。当前,数据交易失范,数据交易市场化建设实际遇冷,数据作为客体在财产交易语境下无法被进行清晰的产权界定,这仍是数据交易成为服务类合同的基础原因。根据霍菲尔德的权利束理论可以认为,在形成数据法律权利之前,数据交易供需主体可以通过合同路径确认权利束中的“部分利益”。合同是最灵活有效的资源配置工具,以市场为导向的合同是分配交易风险、确定供需主体权利义务并确保数据交易安全的重要手段。因此,应尽快完善数据交易合同中的安全保障条款设计,构建可信数据交易制度,使数据交易过程的合法性可监督,数据交易供需主体的责任可追溯,可提高数据交易的法律确定性和可预测性。
《网络安全法》第9条、《数据安全法》第27条、《个人信息保护法》第9条以及《消费者权益保护法》第29条都明确了数据处理者具有安全保障义务。《中国互联网定向广告用户信息保护行业框架标准》第3条要求匿名数据需求方应书面承诺不再作出再识别的尝试和努力,且匿名数据被再次交易时也应与下游需求方签订安全保障条款。然而,该标准仅为行业标准,不具备强制执行力,安全保障的接力棒难以在上下游供需主体之间有力传递。为此,可考虑引入一种新的平行法律制度,将数据交易合同中的安全保障条款视为合同相对性原则的例外。数据交易法律制度应该承认安全保障条款具有顺延的第三方效力,可以对没有直接合同关系的第三方强制执行,成为突破罗马法上“不得为他人订立契约”原则的例外情形。西方法学界将其称为“蛙跳式权利”,即数据提供方有权要求数据交易的第三方遵守并使用原合同中的安全保障条款,即使数据提供方与第三方之间没有直接的合同关系。“蛙跳式权利”的适用情形应同时满足如下条件:第一,数据需求方按照与数据提供方商定的合同条款将数据提供给第三方;第二,原合同条款要求数据需求方对第三方适用安全保障条款。我国网信办制定的《个人信息出境标准合同办法》中,个人数据主体作为第三方受益人也属于突破合同相对性原则的情形。《个人信息出境标准合同》模版第3条关于境外接收方的义务条款中,要求境外接收方将个人数据提供给位于我国境外的第三方时,必须满足与第三方达成书面协议,以保障第三方对个人数据的保护水平不低于我国相关法律法规规定的保护标准,并承担因再提供而可能侵害个人数据主体享有权利的法律责任。因数据交易链可无限延长,不仅可复制还可通过技术达成深化分析,必须通过安全保障条款约束数据交易第三方的行为,才能避免数据交易始终暴露在风险之中。
(三)数据权益的确定与激励机制
毫无疑问,数据具备法律上的财产属性,可为财产权益的客体。但这种财产权益并不是所有权,而是由权益集合而成的权利束。在实践中,因涉案数据系淘宝公司的付出而形成的,为淘宝公司带来可观的商业利益与市场竞争优势,我国法院承认了淘宝公司对涉案数据产品享有独立的财产性权益,淘宝公司的投资利益得到了保护。但是法院拒绝承认淘宝公司对涉案数据的所有权,并指出,如果将所有权授予网络运营商,将会把相应的义务强加于未知的大多数人群。目前难以在数据上设置专有权利。国内学界也开始反思“法律界权说”,指出数据要素市场的发展与数据确权之间并无直接关系,界权限制了数据的流通,阻碍了下游数据交易主体的选择,增加数据产品或者服务进入市场的壁垒。
虽然我国关于数据权属问题存在相关理论争议与立法空白,但主要城市从未停止先试先行的探索脚步。2020年,《深圳经济特区数据条例(征求意见稿)》首创数据权概念掀起讨论热度,但最终正式公布版本选择了更柔性的处理方案。2021年,《上海市数据条例》明确规定了数据财产性权益;广东启动了数据资产凭证化的尝试。2022年,《北京市数字经济促进条例(草案)》受到场景完整性理论影响,在数据类型化基础上探索各项权利的设置;重庆、四川联合推出了我国首个数据领域地方标准《公共信息资源标识规范》,为数据资源提供“身份证”“产权证”。以上各重要城市的创新之举反映了地方政府积极通过确定数据权益以激励数据交易市场的初衷。
数据交易是需求驱动的市场,而不是供给决定的市场。⑥结合前面的论述,数据交易区别于传统标的物交易,实现数据交易的经济价值在很大程度上取决于数据需求方的数据偏好。因而,数据交易制度需要从源头上激励数据产品化,进一步推动数据交易统一市场的建设。鉴于短时间内不太适合采取排他性的数据交易范式,法律需要充分发挥“额头流汗”原则,进一步承认数据交易市场化过程的供需主体的数据权益,保护他们创造的数据价值,激励他们不断使数据保持可重复使用的性质,促进社会生产力不断提升。对数据处理者的数据权益进行强保护具有正当性。边沁功利主义下发展出的激励理论,为确保数据处理者对经自身智力劳动分析并生成新经济价值的数据享有财产权益提供了理论支撑。为了促进数据驱动型经济的繁荣发展,有必要保护数据处理者获得权益以激励更多经济实体投身于数据交易的创新创造之中。如此,方能实现数据交易市场的帕累托优化,真正做到在不减少一方福利的同时,通过改变现有的资源配置而提高另一方的数据福利。数据交易制度应安全与有序并存,一方面充分保障数据交易供需主体的权益诉求,另一方面防止“搭便车”和套利行为,确保数据资源的社会价值最大化。
梅因深刻地指出,法律是稳定的,而社会是进步的,社会需求和社会主张总是或多或少地领先于法律,但我们会无限地接近弥合它们之间的鸿沟,一个民族的幸福程度取决于鸿沟缩小的速度。①在传统经济中,成熟市场由生产者和消费者组成,清晰的产权界分决定了谁是相应商品和服务价值的受益者。但是,数据交易市场作为数字经济时代的新兴产物,在数据权属界定、行为监管、制度规范等方面存在困难。当前,数据交易失范,在数据交易行为频繁的现实需求下,现阶段宜尽快明确数据交易制度中的具体规则,保障数据交易行为的安全有序进行。不同数据类型之间可以相互转换,数据交易制度需要解决数据类型化的客体模糊问题,避免因为数据类型之间的相互转化而逃脱监管。总体来说,第一,在数据分类分级保护机制的基础之上明晰数据交易范围,包括核心数据的绝对禁止和重要数据、个人数据等数据类型的相对禁止。第二,构建可信数据交易制度,完善数据交易合同中的安全保障条款设计,提高数据交易的法律确定性和可预测性。第三,数据交易制度通过确定数据权益,从源头上激励数据产品化,进一步推动数据交易统一市场的建设。我国需在《民法典》《数据安全法》《个人信息保护法》《网络安全法》等法律基础上,加快降低数据交易风险的脚步,陆续出台相关规范性文件、国家标准等完善数据交易的法律制度体系。我们无法对新技术本身进行价值判断,理应秉承技术中立原则,对大数据信息科学技术的运用进行法律规制,让其在正确的道路上更好地为人民的美好生活服务。
来源:华侨大学学报(哲学社会科学版)
近期活动
往期活动

精品推荐




国脉集团是数据资产化先锋企业,主要提供培训、咨询和产品设计服务。运营数据资产网(http://www.databanker.cn/)。运用最先进的培训理念方法和平台工具提供高绩效培训服务,主要课程包括数据资产入表、数据经纪人、数据精品、公共数据运营等精品课程;研发“一头一体两翼”企业数据资产化咨询服务方法论,提升数据资产化战略设计、就绪度评估与咨询、入表和产品化全流程咨询服务,汇编形成数据资产政策集;基于战略思维和实操需求研发“易”系列产品,并与数源方合作研发系列数据产品。
继续阅读
阅读原文