我国大数据交易的法律规制研究

2022-03-04唐琦

海南金融 2022年2期

唐琦

摘要：大数据交易是大数据产业生存系统中的重要一环，应规范大数据交易行为，形成大数据交易的流通机制和规范程序。基于大数据交易的简单概述，分别介绍了大数据和大数据交易的内涵、大数据交易的法律关系、我国大数据交易的模式，并从我国的民事法律和刑事法律的角度阐述了我国大数据交易的立法现状，归纳出我国大数据交易存在数据权属不清、交易主体界定不明、交易客体规定不统一、交易平台的法律地位和责任不明等法律问题。最后提出应界定数据权属、限定交易主体、统一交易客体以及明确交易平台的法律地位和责任以完善大数据交易。

关键词：大数据;数据权属;大数据交易;交易平台

DOI：10.3969/j.issn.1003-9031.2022.02.008

中图分类号：D922.294 文献标识码：A 文章编号：1003-9031（2022）02-0072-07

一、大数据交易概述

（一）大数据与大数据交易的内涵

理论界对于大数据的定义并未形成一致的观点，研究者根据大数据的不同特点归纳出各自的定义。我国《大数据白皮书》对它的定义是：大数据即数量大、结构复杂、实效性较强的数据。在技术方面，大数据需要严苛的技术支持;在内容方面，大数据涉及的领域宽泛，渗入到生活、工作的诸多方面，可以记录以亿为单位的信息，数量庞大，高速传输，存储成本较低，复制、粘贴数据也较易;在应用方面，加工处理后的大数据产生新的价值，具有一定的预见性。

经济学对交易的定义主要是以下两种观点：一是交易是所有权以合法的途径转移的一种行为;二是交易是运用价格机制在主体之间再次分配生产要素的行为。大数据交易指各主体运用价格机制，以数据作为标的物，继受主体支付对价，取得数据的使用权。大数据交易与普通买卖行为的区别在于，普通买卖行为中权利和标的物同时流转，卖方同时失去二者;而大数据交易完成后，卖方仍占有数据及相关权利，仅是数据的传播进一步加大。

（二）大数据交易的法律关系

法律关系由主体、客体、内容组成，大数据交易的法律关系主要包含：数据提供方、数据继受方、交易平台。数据提供方大多数是商业主体，其为了商业目的获取数据，主要获取方式是支付对价，按照双方约定的方式取得数据，具有鲜明的营利性特征。数据继受方是向数据提供方支付金钱对价以获取数据，数据继受方通过有偿的形式复制大数据，取得其使用价值。值得注意的是，数据继受方对标的数据的使用范围仅限于双方约定，不能超越数据提供方的范围。交易平臺是为交易双方服务的主体，起到“中间商”的作用，主要承担制定规则、监管双方交易的责任，少数交易平台也涉及数据加工领域。

大数据交易的客体是大数据。根据加工处理的差异，可以将数据细化为原始数据与衍生数据。关于原始数据交易，数据占有方收集、打包、封装数据，可以将数据直接售卖给收买方，不需要其他的加工行为;而衍生数据交易之前，需要对数据进行分析处理，进一步体现数据的价值。

大数据交易的内容是交易者之间的权利和义务。大数据交易与普通买卖合同中的法律关系十分类似，买卖行为的关键是实现标的物所有权由卖方转移到买方;而大数据交易是由买方从卖方处复制标的数据，买卖双方都可以按照合同规定使用、转让标的数据，从根本上说，大数据交易是扩大数据传输范围。与买卖行为不同，数据卖方并未丧失标的数据的所有权，数据不同于有形物，因此不是《民法典》中的买卖。但与买卖行为也相类似，数据具有财产价值，买方通过支付对价的方式获得标的数据的权利，是有偿行为，故大数据交易可以参考买卖行为的法律规定。大数据交易的法律内容如下：数据提供方承担的义务是将数据安全传输给继受方并担保内容真实，享有的权利是获得相应的对价;数据继受方承担的义务是支付对价、按照合同规定使用数据，享有的权利是获得数据。

（三）我国大数据交易的模式

大数据交易模式主要有企业之间直接交易和交易平台促成交易两种。前者产生的较早，随着大数据的出现和发展，企业开始研究、使用大数据。一些企业经过双方合意签订合同，互相交换各自的数据;另外一些企业则是出售自己获取的数据，以满足其他企业的数据需求。因为大数据交易处于萌芽阶段，交易双方通常是私下签订合同，交易规则含糊不清，交易成本较高，最终导致数据流通缓慢，所以这种模式并不倡导。为了促进数据流通，大数据交易平台在这一背景下产生，交易平台是专业的交易机构，机构内有专业的数据人才，以“居间”角色为交易者服务，故后一种模式更加规范，可操作性更强。

在交易平台促成交易模式中，数据卖方将数据委托给交易平台，由平台代理出售，部分平台还可以进一步加工、处理数据，如进行数据建模，平台收取服务对价。数据卖方也能独立开展交易，通过支付佣金给平台的方式获得在平台内独立与买方签订合同的机会。在交易中，交易平台全程监管双方交易行为，交易主体在进驻平台之前必须成功注册会员，平台履行对交易数据合法性审查的义务，必须将不合法数据排除在交易范围之外，达成交易后，将标的数据复制给数据买方。

二、我国大数据交易立法现状

有序的大数据交易事关经济秩序，合法的交易才能促进数据流通，如果数据所有权、交易主体、客体、交易平台的法律责任规定缺乏，会阻碍大数据的健康发展。

（一）民事法律

《民法典》对个人信息数据的保护体现在以下规定。第127条规定：法律对数据、网络虚拟财产的保护有规定的，依照其规定。其承认了数据的财产权属性，但是数据保护的具体规则和形式未做明确规定。第111条规定：自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。《民法典》第111条以基本法律的形式对个人信息进行了原则性的保护，但个人信息的范围仍处于抽象化的状态，实践中的可操作性依然不强。

《民法典》第六章对个人信息保护做了专门规定。《民法典》第1035条规定：个人信息的收集、存储、使用、加工、传输、提供、公开等处理行为，须以当事人同意为前提，且要明示处理信息的目的、方式和范围，并遵循合法、正当、必要原则，不得过度处理。《民法典》第1036条罗列了信息处理的例外情况，包含取得同意、合理处理已公开信息、维护公共利益或当事人利益三种。第1038条又规定：信息处理者不得泄露或者篡改其收集、存储的个人信息;未经自然人同意，不得向他人非法提供其个人信息，但是经过加工无法识别特定个人且不能复原的除外。显而易见，在获得当事人同意的状态下，信息处理者向他人提供个人信息并不一定当然违法。“去标识化”后的个人信息可以不经当事人同意直接交易，这是符合我国大数据发展趋势的。此外，《民法典》第1039条规定：国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息，应当予以保密，不得泄露或者向他人非法提供。这一条要求政府在实现数据共享的过程中要更加谨慎。

尽管《民法典》对个人信息做了较多规定，但同时应当注意到其规定是概括、抽象的，交易主体以及具体的交易模式需要法律进一步明确。综上所述，根据《民法典》规定，信息处理者在交易个人信息数据之前应当获得自然人的明示同意，具体哪些数据可以交易留待“法律、行政法规另有规定”予以解释。这些模糊的制度规定给数据交易带来了众多不确定性，甚至游走在合法与非法的灰色地带。

（二）刑事法律

我国刑法尚未出台专门法条保护数据交易，一般将数据作为个人信息法益保护。2009年的刑法修正案（七）在原有的253条基础上新增了两个罪名：出售或非法提供公民个人信息罪、非法获取公民个人信息罪。2015年刑法修正案（九）再次对253条进行修改，将之前的出售或非法提供公民个人信息罪调整为侵犯公民个人信息罪，这次调整不但是罪名变化，还涉及到犯罪主体，将犯罪主体从特殊主体修改为一般主体。只要违反法律规定，出售或非法提供公民个人信息的，无论一般主体还是特殊主体，都可入刑。

另外，观察刑法的法条规定和实务做法，关乎保护个人数据的罪名包括：第一，窃取、收买、非法提供信用卡信息罪（第177条第2款）与侵犯商业秘密罪（第219条），前者是破坏金融管理秩序类犯罪，后者是侵犯知识产权类罪;第二，侵犯通讯自由罪（第252条）与侵犯公民个人信息罪（第253条），属于第四章侵犯公民人身权利、民主权利类犯罪;第三，盗窃罪（第264—265条）与诈骗罪（第266条），属于第一章侵犯财产类犯罪;第四，非法获取计算机信息系统数据罪（第285条第2款）与破坏计算机信息系统罪（第286条第2款），属于第六章妨害社会管理秩序类犯罪。

刑法主要通过一些禁止性规定保护个人数据，在《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中明确禁止非法出售、非法提供个人信息，有效打击了非法数据交易行为。

三、大数据交易存在的法律问题

（一）數据权属不清

由于法律尚未确定数据的财产权属性，数据收集方在获得个人数据后拥有哪些权利以及可以行使哪些权利涉及个人数据的安全性。如果信息收集者和数据主体同时拥有财产权，必将导致财产属性模糊，考虑到大数据交易必须获得数据权利人的同意，而此时权利人又不止一个，将会加大数据交易的难度。数据权属界定不清不仅直接导致众多数据资源流通困难，而且会加大企业之间的数据纠纷。

我国关于数据权属处于法律空白状态，数据又是当代提高社会生产力的重要元素，数据权属模糊，致使企业之间互相争夺大数据资源。在产生数据纠纷时，一般只能内部协商解决，获得司法救济困难。《大数据发展调查报告》指出确定数据权属是一般商业主体的需求，因此我国亟待数据确权，如果收集方对其获得的数据没有相关财产权利，那么收集的动力将会大大丧失，亦会造成大量数据浪费。

（二）交易主体不明

民事主体一般分为自然人、法人、非法人组织三类，我国法律尚未明确规定大数据交易的主体，每个平台对准入主体的要求也不同。交易主体方面遇到的瓶颈主要是主体类型和主体范围模糊，各大平台对主体的准入未形成统一条件。

关于交易主体的类型，自然人一直是争议的焦点，各大交易平台的规定也有较大差异。如贵阳大数据交易所明文反对自然人交易大数据，中关村大数据平台则规定符合条件的法人、自然人都可以开展大数据交易活动。此外，各个地方的交易平台对交易主体的限制条件不同。关于主体范围的限制，交易主体如果是外籍，就涉及到跨境数据流动，我们更应加强监管。关于主体的准入条件限制，贵阳大数据交易所采取的是“审核制”，平台对交易主体的交易条件进行审核，只有审核通过才可以获得交易资格。中关村数据交易所的做法与贵阳相似，采取“审核制”，并且坚持事前和事中监督。哈尔滨数据交易中心采取“登记制”，交易主体一经登记即可获取交易资格。有些平台为了简化操作，只要通过手机或邮箱验证就是完成登记。通过对比，“登记制”比“审核制”准入限制更少，交易主体面临的风险大于“审核制”。

主体类型和主体范围模糊，各大平台对主体的准入未形成统一条件都会影响甚至阻碍交易行为，交易主体不适格可能导致交易行为违法，交易合同可能失去法律保障，最终加大交易成本，阻碍数据流动，数据资源失去共享。

（三）交易客体规定不统一

根据《2016年大数据交易产业白皮书》，金融、健康、医疗、教育、气象、物流等领域均涉及到大数据，大数据多样性特征显著。根据大数据运用领域的差异，可以将数据分为政府数据、企业数据、个人数据。

针对政府数据，《政府信息公开条例》明确了政府应当按照法律规定公开信息，但信息收集者是否可以收集这些公开的政府数据并包装成数据产品，属于法律空白部分。一些数据交易所可以进行少部分的政府数据交易，如贵阳大数据交易所允许交易政府审批类，财政预算、决算类，环境保护类数据，至于其他公开的政府数据则是不允许交易。针对个人数据，各地交易平台直接禁止交易，但已经去标识化的数据除外。针对企业数据，交易平台主要采取“不损害商业秘密”原则进行交易。综上，对交易客体的限制尚未形成整体的标准，通常采取分类的方式各自限定，存在缺乏统一规定、宽严失调等问题。一些政府主导型交易所直接公布了可交易数据的具体范围，如上海公布的《流通数据禁止清单》，这些清单进一步限缩了客体范围，有利于保障交易的合法性。但仍存在一些营利性交易所扩张客体范围，甚至个人数据也用于交易。如果交易范围放大，那么事前监督难度更大，再加之网络的隐蔽性极好，事后追责时间、金钱成本必定加大，最终有悖于大数据发展初衷。我国实践中的客体范围模糊，不但容易导致交易合同无效，还会发生更多的侵犯个人信息案件。

（四）交易平台的法律地位及责任不明

数据提供方为了达到销售数据目的，可能会修改数据内容，甚至提供带有数据权属纠纷的数据。交易平台数据产品是否合法、会员资格是否合格以及交易平台是否可以成为营利主体，是否具有监管责任都没有法律依据。目前我国实践中，各个数据交易平台的法律地位差异悬殊，贵阳数据交易所认定成具备监管责任的自律法人;中关村大数据交易平台法律地位模糊，但对入驻平台者具有审核责任，对交易行为具有监管责任;哈尔滨大数据交易中心既未明确其法律地位，也没有审核入驻者的资格，入驻者只需完成电子验证即可，同时也不具备监管责任。交易中心法律责任模糊容易导致交易环境恶化，实践中，交易平台不但扮演着中介的角色，同時也是数据提供者，甚至还提供数据加工服务，以营利作为终极目标。交易平台的逐利性必将不利于营造公平的交易环境，可能导致各类无效数据进入市场，真正有价值的数据却不能推向继受方。

四、完善大数据交易规制的建议

（一）明确数据权属

明确数据财产权是进行数据交易的基础条件，数据权属不清可能带来交易风险。数据收集方对占有的数据具有财产权，但不得损害被收集方的权益。数据收集方依据以下理由具有数据财产权：一是收集方在收集数据过程中必须说明使用范围与目的，保障被收集方的知情权;二是收集方必须征得被收集方的明示同意方可进行收集，保障被收集方的控制权。因此，收集方应在充分尊重被收集方的基础上合法获得的数据，并将单一数据汇集成数据集，成为新的客体，收集方具有数据财产权。该法律效果类似于民事主体生产了产品，法律保障其对产品的所有权，因此收集方对其合法收集的数据具有财产权。

收集数据需要耗费一定的时间、金钱成本，收集方向被收集方支付对价是公平原则的体现。收集方通过网络产品引导被收集方提供个人数据信息，收集方向被收集方提供长期免费的技术服务以获得个人信息数据，二者构成间接交易。倘若被收集方停止给予个人数据，信息收集方则可拒绝网络服务。所以收集方投入各类成本后取得数据财产权，公平公正。

（二）限定交易主体

哪些主体可以进行大数据交易，需要综合判断。首先需要考虑主体的适格性。学术界关于民事主体适格性的标准如下：经济性、独立性、意思自治、内部决策机制。经济性主要指该主体追求社会利益和当事人利益最大化，大数据的广泛使用离不开大数据技术，这也反映了技术人员可以研究大数据，包括大数据的内容和使用技术，这些大数据可以从交易中获得，满足利益最大化条件，所以自然人个体也符合经济性标准。大数据交易中有关独立性、意思自治、内部决策机制类似于普通买卖交易，满足条件的自然人即是一般买卖交易的适格主体，因此自然人也可作为大数据交易的适格主体。数据传输方便、快捷，这也导致了有恶意需求的自然人可以比较容易的破坏数据流动秩序。因此，应当禁止有恶意需求的自然人进入平台，可以要求进入的自然人提供更多的资料。

明确主体类型后，需要进一步明确交易主体范围。大数据涉及到国家地理、人口、实验数据、调查采样等国家或者公共的利益。《网络安全法》格外重视数据安全，规定重要数据只能存储于境内。基于保护国家利益，可以按照国籍划分主体，外籍主体进行数据交易时应当进行多次审查，不但要审查其主体资格，还要审查具体交易内容。大数据的跨境流动直接影响到国家安全，因此我国有必要对主体范围进行划分，保障数据交易安全。

限定交易主体需要实行准入制度，准入制度一般采取审核制。大数据种类繁多，在初期发展阶段，交易平台承担监管交易的职责，采取审核制有利于提高准入门槛，进而保障安全、合法交易，形成有条不紊的交易秩序。

（三）统一交易客体

大数据种类多、涉及领域广，关于交易客体，我们可以先明确整体禁止交易原则，再根据大数据种类确定具体的禁止交易原则。负面清单是实践上述原则的有效措施之一，负面清单内的数据禁止交易，负面清单外的数据可以交易。政府数据由政府控制，但企业、个人数据不确定性较强，负面清单应主要规制企业与个人数据，进行交易的数据必须符合法律规定。

为了促进数据流通，加大数据共享与利用，政府公开的数据可以进行交易，交易数据和公开数据同步，充分发挥政府数据价值的同时扩大数据流动。企业数据交易应秉持不损害他人利益和商业秘密的原则。个人数据应分情况而定，如果是敏感数据，应禁止交易，当事人明示同意除外，如果是脱敏、去标识化数据，那么允许进行交易。

（四）明确交易平台的法律地位及责任

大数据交易平台具有中立性，平台交易涉及国家与公共利益，其交易环境十分重要，交易平台的法律地位和责任必须明确。根据交易数据的不同，可以对交易平台的法律地位分别界定。涉及敏感数据的交易平台，法律地位一般界定为非营利法人;涉及脱敏、去标识化的数据交易平台，法律地位可以界定为普通法人。为规范大数据交易，有必要确定大数据交易平台的成立条件，只有符合条件的主体才能成立交易平台，这些条件包括运输、储存产品的设备，监管制度，专业人才等。目前我国实践中的普通法人免除审核手续，可以直接成为脱敏数据的交易平台，但该类交易平台的责任必须明确，其对交易数据的真实性、合法性承担监管责任。

明确交易平台的责任能够落实交易平台的监管机制，优化交易服务。平台的责任可以归纳如下：一是保证数据安全责任，交易平台承担着国家、社会以及个人的信赖利益，应确保平台内的数据合法、安全;二是交易平台承担运营系统的防护责任，大数据交易基本都由电子化完成，交易的整个过程都需要稳定的运营系统，必须保证运营系统安全、稳定，建立备份系统以备不时之需。大数据交易平台若不能落实上述责任，给交易主体带来侵害，应进行赔偿。

大数据交易平台是大数据交易的起点和终点，交易主体、客体不断从平台流入、流出，交易平台作为交易的载体，具有天然的监管优势。如果交易平台的法律地位和责任不能落实，那么对交易主体和客体的限制也是空谈。平台不作为或者不恰当实施监管时，平台应当接受处罚，如果平台存在“故意”这一主观过错，则构成侵权，应当承担侵权责任。此外，平台的责任还包括向上级部门的报告义务;向主管部门披露数据安全问题以及进行违法交易的主体;定期或者不定期向上级部门总结绩效;及时上报违法和违背交易秩序的行为。若平台违法违规，轻则处以警告，重则吊销经营平台的资格。

（责任编辑：孟洁）

参考文献：

[1]迪莉娅.大数据环境下政府数据开放研究[M].北京：知识产权出版社，2014.

[2]高富平.个人数据保护和利用国际规则：源流与趋势[M].北京：法律出版社，2016.

[3]胡凌.探寻网络法的政治经济起源[M].上海：上海财经大学出版社，2016.

[4]张敏.交易安全视域下我国大数据交易的法律监管[J].情报杂志，2017（2）.

[5]郭传凯，朱翔宇.大数据技术的反垄断规制：挑战与应对[J].海南金融，2021（5）.

[6]齐爱民，周伟萌.论计算机交易的法律性质[J].法律科学，2010（3）.

[7]劳东燕.个人数据的刑法保护模式[J].比较法研究，2020（5）.

[8]于浩.我国个人数据的法律规制：域外经验及其借鉴[J].法商研究，2020（6）.

[9]张敏，朱雪燕.我国大数据交易的立法思考[J].学习与实践，2018（7）.

[10]齐爱民，盘佳.数据权、数据主权的确立与大数据保护的基本原则[J].苏州大学学报（哲学社会科学版），2015（13）.