通力律师 | 数据交易法律难点与对策

以下文章来源于通力律师 ，作者通力法评

作者: 通力律师事务所 潘永建 | 左嘉玮

(一) 定义与常见模式

现行法律法规尚未对“数据交易”进行明确定义, 参照国家标准《信息安全技术数据交易服务安全要求》, 数据交易是指“数据供方和需方之间以数据商品作为交易对象, 进行的以货币或货币等价物交换数据商品的行为”。简而言之, 数据交易可以理解为供需双方之间就“数据商品”进行的交易活动。交易的标的既包括原始数据(涵盖传统数据与大数据), 也包括经原始数据加工、处理生成的数据衍生产品。典型的数据交易场景包括: 原始数据交易, 即购买机器学习数据集, 用于训练人脸识别、图像分类等算法模型; 数据衍生产品交易, 即购买企业用户画像, 对企业的整体经营情况进行分析和评估。

数据交易的模式主要分为两大类: 场内交易和场外交易。各自适用于不同的场景和需求。

场内交易指数据供方与需方通过第三方数据交易服务平台(如数据交易所、数据交易中心等)进行的交易。平台通过制定标准化的数据交易流程、管理规范, 为交易双方提供了一个安全、可信的交易环境。例如, 上海数据交易所(以下简称“上海数交所”)确立了“不合规不挂牌, 无场景不交易”的原则, 数据产品需要通过上海数交所的合规审核方可挂牌交易, 审核内容包括数据来源的合法性、数据的质量、企业的数据安全能力等。

场外交易指不经过第三方交易平台进行的交易。相较于场内交易, 场外交易在操作流程上更为灵活, 数据产品在上架前无需经过审核, 能够更好地适应市场变化和个性化需求。然而, 由于缺乏第三方规则的约束与监管, 场外交易的潜在风险相对较高, 可能会出现数据质量不达标、交易纠纷难以解决等问题。

(二) 合同类型

数据交易合同在《民法典》中尚未被明确列为一类有名合同。实务中, 根据数据交易双方的具体商业安排, 数据交易合同可表现为买卖合同、许可合同或服务合同等不同形式。

买卖合同: 将数据视作一种无形的“物”, 通过买卖合同的方式进行交易, 多适用于数据包或数据集等结构化数据产品的转让。在此类合同的设计中, 可以参考传统买卖合同的相关规则, 同时针对数据的无形性、可复制性等特点对合同条款进行适当调整。例如, 合同中可能会允许供方和需方各自独立地持有标的数据的“所有权”。

许可合同: 数据提供方在特定条件和范围内, 授予数据需求方对于数据的使用权。此类合同适用于知识 产权相对明确的数据, 其内容可参考《民法典》关于技术许可合同的规定, 重点在于对数据使用权的许可,  而非“所有权”的转让。合同通常会在被许可方的使用范围、再许可等方面进行限制。

服务合同: 将数据提供方的行为界定为提供数据相关的服务, 需方支付合同对价以获得综合性的数据解决方案。例如, 运营商可以基于其掌握的用户通信数据、上网行为数据, 为金融等行业的客户提供大数据风控服务。此类合同避免了对数据权属的直接讨论, 其规则可以综合参考买卖合同和许可合同的相关条款。

作为一种新兴生产要素, 数据的交易在实践中面临若干法律难点。

(一) 数据权属难以界定

自《民法典》宣示性地承认数据的民事权益以来, 关于数据的产权分配问题一直是学术界和实务界讨论的焦点。例如, 企业之间由于抓取用户数据而引起的纠纷频发, 争议焦点在于数据到底是归谁所有。司法实践中, 法院针对数据产品和原始数据形成了不同的裁判规则。在“淘宝诉美景案”中, 杭州市中级人民法院认定平台企业在加工、研发中投入了大量的技术、资金和劳动, 因此, 对于数据产品享有“竞争性财产权益”。在“腾讯诉5G芝麻案”中, 对于原始数据的权利归属, 广州互联网法院认定平台企业对用户的原始数据不享有专有权利。

为了促进数据要素的有效流通和使用, “数据二十条”创新性地构建了数据资源持有权、数据加工使用权和数据产品经营权“三权分置”的数据产权制度框架。然而, 该框架尚未对数据权属问题给出明确回应, 使得数据权益分配机制的设计存在不确定性。在现有制度框架内, 交易各方往往只能通过意思自治原则来协商数据“三权”的具体分配, 这不仅增加了额外的交易成本, 而且协商所得合同条款的法律效力也难以得到充分保 障。围绕“三权”产生的问题包括: 

数据持有权: 交易完成后, 数据供方是否仍然保有数据持有权, 如果不再保有, 供方是否有义务提供数据删除或销毁的证明。

数据加工使用权: 数据需方是否有权对数据进行进一步的加工和使用, 这一权利的范围是否受到限制, 以及如何在合同中明确这些限制。

数据产品经营权: 基于标的数据产生的衍生数据, 其经营权应归属于谁。数据交易合同终止后, 不具有经营权的一方是否有权继续使用衍生数据。

(二) 数据来源合法性难判断、责任边界不明确

数据权属的不确定性使得交易双方难以明确各自的法律责任边界, 难以把控交易过程中的合规风险, 导致许多企业在数据交易方面存在“不敢”“不愿”“不能”的心态, 严重影响了数据交易市场的活力。

首先, 在数据交易过程中, 权利主体的确定是判断交易合法性的基础。若无法准确识别合法拥有数据持有权、数据加工使用权和数据产品经营权的主体, 交易双方将难以评估数据来源的合法性, 从而使得数据交易陷入法律的灰色地带。

其次, 若数据交易引发侵权事件, 监管机构往往不仅会处罚直接侵权人, 还会对其上下游商业合作伙伴进行追责, 为企业带来了额外的合规成本。在涉及多个参与主体和数据产品多次转手的复杂交易链条中, 初始数据提供方往往难以对下游的数据接收方的处理行为进行约束或监督, 而数据接收方也可能难以追溯数据最初收集时的合法性。尽管各方可能通过合同条款达成一致, 约定数据或个人信息侵权责任由特定一方承担, 但此类条款并不一定得到监管机构的承认。特别是在涉及个人信息的数据产品交易中, 由于《个人信息保护法》对于个人信息的侵权设置了“过错推定”责任, 企业在缺乏具体规则指引的情况下, 难以举证自己不存在过错, 存在较高的合规风险。

此外, 《数据安全法》规定: 第三方数据交易平台负有“要求数据提供方说明数据来源, 审核交易双方的身份, 并留存审核、交易记录”的义务。然而, 当前国家层面尚未形成统一的数据交易监管体系, 使得各地区数据交易平台的数据产品上架与流通规则缺乏一致性。这为企业参与场内数据交易带来了额外的合规成本, 导致降低了其对场内交易的积极性。

(三) 个人信息合规要求较高, “匿名化”缺乏可操作性

数据产品多是基于企业收集的个人信息(如上网记录、交易和消费记录、驾驶行为等)清洗、脱敏生成。然而, 现有的法律框架对于个人信息的合规性要求较为严格, 在一定程度上对数据交易构成了障碍。

根据《个人信息保护法》, 企业在收集个人信息时应遵守“知情、自愿”的原则, 而实践中, 企业通常并不会就“加工”“分析”等处理方式单独征求个人的同意, 用户在接受服务时通常只能对整个隐私政策进行概括性同意。这种模糊的授权方式难以被视为自由给出的同意, 法律效力存疑。此外, 对于个人在网络上自行公开的信息, 数据收集企业往往无法直接联系到个人以获取其同意。当这些信息被企业用于开发数据产品(例如训练人工智能模型)时, 是否能够被视为《个人信息保护法》规定的“在合理范围内处理个人自行公开信息”这一豁免同意的情形, 在法律适用上同样存在不确定性。

一种可能的解决方案是个人信息的“匿名化”机制, 即经过适当的匿名化处理, 将个人信息转变为“匿名化数据”, 从而在后续的数据加工和流通过程中, 无需遵循个人信息处理的相关规定。然而, 我国《个人信息保护法》对匿名化仅确立了“无法识别”和“不能复原”的严格标准, 尚未形成统一的技术处理规范作为支撑, 使得匿名化这一数据流通方案在我国尚未得到广泛应用。尽管《互联网广告匿名化实施指南》《数据清洗、去标识化、匿名化业务规程(试行)》《汽车采集数据处理安全指南》等行业指南和规程为匿名化的实施提供了一定指引, 但这些文件在一致性和法律效力方面仍存在不足。由此, 企业在对个人信息实施匿名化处理时, 往往难以验证相关技术手段的合法性。同时, 监管部门在评估企业的匿名化处理是否合规时, 也缺乏具体可操作的法律工具, 导致实践中不同监管部门对于匿名化技术的理解和接受程度存在差异, 进一步增加了企业在应用匿名化技术时的不确定性。

针对前述数据交易领域中的法律难点, 本文提出以下建议, 希望能为数据资产法治建设作出些许贡献。

(一) 制定数据确权规则

为了保障数据交易主体在数据的全生命周期(包括收集、存储、使用、加工、传输、提供和公开等环节)能够依法享有数据资源持有权、数据加工使用权以及数据产品经营权, 国家层面应当积极推动制定统一

的数据确权规则, 合理分配各方权利与义务, 为数据交易市场的监管和合规风险防控提供制度支撑。同时, 应当建立标准化的数据确权、登记流程, 为企业在数据“三权”的分配上提供明确的落地指引。

我国通过在部分省市试点数据知识产权登记制度, 已经取得了一定的阶段性成果。截至2024年3月, 试点地方接收数据知识产权登记申请超1.3万份, 颁发证书超过7000张(中国新闻网, 2024.3.29)。数据知识产权登记制度有助于明确数据权属, 但目前仍处于探索阶段, 其法律效力和实际效果仍需经过实践检验。值得注意的是, 2023年12月14日, 北京互联网法院公开审理了全国首例涉及行政机关《数据知识产权登记证》效 力认定的案件——北京数据堂公司与上海隐木公司的著作权与不正当竞争纠纷案, 原告北京数据堂公司提交《数据知识产权登记证》举证其拥有诉争数据的知识产权、数据权益等合法权益。近日, 据公开资料显示, 该案现已二审宣判。北京知识产权法院认定隐木公司侵犯数据堂公司的数据权益, 构成不正当竞争。审理过程中, 北京互联网法院及北京知识产权法院对《数据知识产权登记证》的效力予以确认, 即在没有相反证据的情况下, 《数据知识产权登记证》可初步证明登记人为数据集的合法持有人。该案件的审理结果预计将对数据确权的法律实践产生重要影响。

(二) 探索清晰的责任划分机制

明确的责任界定是确保数据交易市场高效、合规运转的关键。应当建立清晰的责任划分机制, 为数据交易各方提供清晰的法律指引, 降低交易前的不确定性和风险预期, 从而减少交易成本并提高交易效率。

对于“委托处理”“共同处理”“共享”和“转让”四个核心数据处理关系, 监管部门应细化规定不同关系下参与各方数据合规责任的承担规则。在实践中, 确实存在将具体处理场景与法律关系对应起来的难题。为此, 可以通过发布指南、指引等方式, 提供具体的示例帮助企业正确识别和应对不同的数据处理场景, 确保能够将抽象的法律概念与具体的数据处理场景相对应。

此外, 为确保数据交易双方的合同条款约定符合法律规定, 以及促进行业实践的规范化, 建议由国家层面制定一套标准化的数据交易合同模板, 并且根据不同的数据处理关系设计相应条款, 以满足多样的交易需求。标准合同模板将有助于明确交易双方的权利和义务, 保障数据交易的合规性和安全性, 同时也能够减少由合同谈判引发的交易成本。

(三) 数据交易创新试点

“数据二十条”指出“积极鼓励试验探索”和“建立创新容错机制”。为促进数据交易领域创新应用的发展, 可以借鉴我国“金融科技监管试点”的成功经验, 引入“监管沙盒”这一容错机制。“监管沙盒”通过设定准入条件, 允许符合条件的企业在有限的范围内进行创新试点, 企业得以在受控且相对宽松的环境中测试其创新应用。试点期满后, 成功的项目可向整个行业推广, 从而在保障数据安全的前提下推动技术创新和行业发展。

1. 积极通过各地数据交易所开展创新试点

各地交易所通过多年交易实践, 已积累一定的实务经验。例如, 2023年4月, 全国首笔“个人数据合规流转交易”在贵阳大数据交易所场内完成。此次交易是在个人用户知情且明确授权的情况下, 通过数字化和隐私计算技术, 实现了求职者个人简历数据的合规流转。通过不断总结和完善经验, 未来数据交易的创新试点有望在全国范围内的数据交易平台得到更广泛地推广和应用。鉴此, 数据交易创新试点可依托各地数据交易 所展开。

2. 特定应用场景适度“松绑”个人信息合规要求

为了推动我国数据要素的流通利用, 可以在确保个人信息权益得到充分保护的前提下, 针对特定应用场景的个人信息收集、使用规则进行灵活调整, 以更好地释放数据的经济价值。

在人工智能这一科技创新的关键领域, 数据的重要性尤为凸显, 域外已经在积极探索与人工智能相关的数据收集与使用规则。英国信息专员办公室(ICO)针对AIGC(人工智能生成内容)训练数据收集的合法性提出了初步意见, 可资借鉴。ICO认为, 在符合合法利益的前提下, 企业可以公开抓取数据训练生成人工智能模型。具体而言, 企业的数据抓取行为必须通过三个方面的审查: (1)目的测试, 企业抓取数据是否为了追求正当的利益; (2)必要性测试, 是否确实需要抓取这些数据以实现上述利益; (3)平衡测试, 数据抓取对个人利益的影响是否与实现的合法利益相称。

展望未来, 我国可以通过制定相关指南和标准, 引导并规范个人信息在人工智能等领域的合理使用, 允许企业在遵守法律法规的前提下, 充分利用公开数据资源进行人工智能模型的训练和开发, 从而推动人工技能技术创新和经济增长。

(四) 推动配套技术标准出台

在当前的法律框架下, 企业在匿名化处理个人信息时往往面临诸多不确定性。为此, 建议国家相关部门尽快推动制定统一匿名化技术标准, 为企业提供明确的合规操作指引。相关标准的制定应当充分考虑与隐私计算技术的衔接, 如隐私计算技术, 如多方安全计算、同态加密等, 该等技术能够在保护数据隐私的同时进行数据分析和处理, 实现“原始数据不出域、数据可用不可见”的数据交易。然而, 目前这些技术是否符合匿 名化的要求, 以及如何在实践中具体应用, 仍需进一步明确。

此外, 监管部门可以根据不同行业的具体情况, 发布示范性的匿名化数据流通应用案例, 具体指导如何在各个行业中正确实施匿名化技术, 以及如何评估处理后的匿名化数据是否符合“不可识别”“不可复原”的法律要求, 为行业内的企业提供明确、可操作的参考经验, 促进整个行业对匿名化技术的理解和应用。

本文基于实务经验, 系统分析了数据交易领域当前面临的法律难点, 尤其是数据权属模糊、责任界定不明等核心问题, 并提出了相应的建议。希望尽快建立数据确权、责任分配相关规则, 在上述规则颁布之前可建议通过“监管沙盒”等容错机制, 引导数据交易领域的模式创新。同时, 推动配套技术标准的制定与完善, 以促进数字技术的实践应用。

值得一提的是, 国家数据局党组书记、局长刘烈宏在2024年7月指出, 2024年国家数据局将以制度建设为主线, 陆续推出数据产权、数据流通、收益分配、安全治理、公共数据开发利用、企业数据开发利用、数字经济高质量发展、数据基础设施建设指引等八项制度文件。相信这些制度文件的推出将进一步激活数据要素价值, 推动我国数字经济迈向一个崭新的发展阶段。