一、问题的提出
数据、算力与算法的发展带来了第四次工业革命。数据已成为促进经济增长、创造就业机会、推动社会进步的重要资源。基于算法的大数据分析为决策辅助、流程优化、产业创新等带来了全新变革。如何充分发挥数据要素的基础性资源作用和创新引擎功能,更好促进以数据驱动和创新引领的经济发展,成为人们关注的焦点。从域外发展来看,各国均重视发展数字经济,但采取的治理路径各有不同。对于数字经济发展,美国秉持了一贯的商业发展开放态度,仅在大型平台数据垄断场景中对市场进行干预。从政策来看,美国以促进核心技术研发和信息基础设施建设为重心,并从消费者隐私保护着手对个人信息权益加以保护。欧盟数据经济的实践发展则相对滞后。在《一般数据保护条例》(General Data Protection Regulation)颁布之后,欧盟迅速推出了《数据治理法案》(Data Governance Act)、《数据市场法》(Digital Markets Act)、《数据服务法》(Digital Services Act)、《数据法案(草案)》[Data Act (proposal)]等一系列法案。欧盟以个人数据保护为基点,进而逐渐拓展非个人数据流动、数字市场、数字服务和数据访问制度等,旨在激活欧盟数据市场、促进数据流通利用。
与美欧相较,我国具有数据规模和数据应用优势,同时在政策层面较早认识到了数据作为新型生产要素的重要地位,并强调数据要素市场化以及数据基础制度的构建。2022年12月发布的《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》(下称“《数据二十条》”)明确提出“以促进数据合规高效流通使用、赋能实体经济为主线”,构建符合数字经济发展规律的数据基础制度。对此,一方面,市场机制下的数据流通以数据交易为基本形态,但是数据交易的前提是,相关主体对数据的权利具有明确边界,否则就不存在交易的基础。另一方面,数据交易市场需要一定的引导和监管,以促进交易活动有序开展、增强市场参与者之间的信任。本文旨在对上述问题展开研究。囿于篇幅,本文将以企业数据为考察对象,尤其关注如何促进数据在企业之间高效有序流通。
二、从数据所有权转向数据使用权
当下企业数据权益分配是建立在私人控制方法之上的:企业基于对数据的实际占有以及通过技术措施限制他人访问的能力,获得了对数据的事实控制。我国学界相关研究倾向以实践现状为出发点,遵循传统的财产所有权路径,尝试赋予数据持有者企业以一项绝对性、排他性或类似于用益物权的数据权利。
(一)数据所有权模式的理论基础与反思
数据所有权论者大多从三个方面进行理论证成。其一,数据产权明晰是消除法律不确定性、建立正常有序的市场秩序的必要前提。有学者以车联网数据为例,指出由于缺乏配套的数据产权制度,车联网场景下的数据收集、数据访问、数据转让等活动难以有序开展,利益各方冲突频发。也有学者区分了个人数据保护制度与数据产权制度的不同目的,指出后者是数据市场、数据经济建立与发展的制度前提,并建议以专有权为模板进行数据财产权益分配。其二,从公平视角出发,数据要素权益分配应当以劳动贡献理论为基础,遵循“谁投入,谁获益”的基本原则。企业为数据收集活动提供了信息技术基础设施,包括平台设计搭建、传感器研发;在数据收集、清洗、分析阶段,企业同样投入了大量人力物力。在大数据时代,作为数据共享和再利用的最关键贡献者,若无作为数据控制者的企业的积极劳动,则无有意义之数据。其三,从效率视角出发,基于功利主义的激励理论认为,“产权应当分配给对资产评价收入影响更大的一方”。在私主体之间的数据利用场景中,作为数据持有者的企业具有比作为普通用户更强的数据增值动力。因此,有学者认为应当赋予企业以数据财产权,此种赋权将为企业的数据价值生成活动提供充分动力,企业的经营机制和作用也将得到有效安排和促进。
但是,以上理由并不能为数据所有权方案提供充分支撑。其一,明确数据权属固然是进行数据交易的必要前提,但是科斯式的“权利配置”并不要求全有或全无式的数据权益分配,而是以“定分”为目的,即明确主体之间的利益边界。就此而言,具体采用何种权益配置模式并不重要,“重要的是界权存在且足够清楚,以为此后基于交易的重新配置提供起点”。其二,从劳动贡献理论出发,企业数据的生成并非仅依靠企业自身的贡献,其他主体尤其是用户的参与往往是不可或缺的。以平台场景为例,企业数据大多以用户提交的身份数据、用户使用平台服务所产生的行为数据、以及用户创建的文字、图片、视频等数据为基础原料。作为数据来源者或数据生产者,用户对于数据的生成作出了不可替代的贡献,也应当享有一定的数据财产权益。其三,从上述平台例子中已可看出,大量的数据不是有意识生产的,而是工商业活动或人们进行日常活动时产生的“数字尾气”或副产品。在数据为副产品的情形下,企业劳动和资金的投入并不是直接用于生产数据,而是用于企业的主营业务,这些投入已经通过生产经营的利润获得了回报,无需再作额外激励。
除此之外,数据所有权模式还存在两个难以解决的问题:第一,数据所有权模式与主观权利的归属效能相冲突。权利的根本功能在于将某项利益内容归属于特定主体,意即权利主体应是确定且清晰的。但正如上段所示,企业数据的生成过程通常涉及多方主体,难以确定谁应当成为数据权利的所有者。诚然,也可以基于数据共同生产的事实而认定所有参与者为数据共同所有权人,但所有权的碎片化意味着任何人如欲访问共享相关数据,那么必须逐个获取每位权利人的许可,这在动态多变的数据经济中是无法实现的,最终将阻碍数据高效流通。第二,数据所有权模式与数据经济特点不兼容。数据的可利用性和有限排他性使得数据流通与利用成为实现数据社会化利用和价值最大化的必然路径。多元主体可以为不同的目的使用同一数据集,而不会折损该数据集的原本价值。当存在多个独立但互补的数据集时,将相关数据集进行关联和合并分析,由此产生的价值将大大超过对各个数据集进行单独分析的价值总和。
(二)数据使用权理论的兴起
从明确数据权属、消除法律不确定性的视角出发,界定清晰的数据使用权同样可以满足数据流通交易实践中的数据确权需求,并且可以避免数据绝对权方案的种种问题。国内近年来的研究正逐渐从所有权路径转向使用权路径。有学者认为,数据是信息之上形成的各项财益的集合,用“权利束”理论而非所有权理论进行数据确权是更为合适的。也有学者建议,对企业数据采取保护和共享相平衡的利益模式,建立以数据持有者企业为中心的共享数据机制,促进其他利益相关者共享数据上的利益。
尽管在具体表述上存在差别,但是数据使用权论者普遍认为,企业基于技术手段而对数据具有实际控制的事实,使其具备了对数据及其流动实施有效管控的能力。比如,有研究者认为,企业通过技术措施实现了对企业数据的清晰标识和事实控制,进而保障了企业数据使用权,包括使用或许可他人使用数据。类似地,有研究者指出,企业数据权界定应当以企业控制并持续积累有价值数据资源的现实作为起点,而在法定财产权缺失的世界中,企业一直通过技术手段等对数据流通进行有效的控制。
以上观点有其合理之处。一方面,从理论层面来看,企业对数据的实际控制之能力和事实,在某种程度上可以界定数据流通交易所需的数据“权利”范围,当然其前提是与已有法定权利不存在冲突或矛盾。从科斯权利理论的“定分”目的出发,数据交易市场所需的数据确权前提某种程度上可以满足或可以确定。其一,从数据提供方视角来看,司法实务通过奇虎诉百度案、大众点评诉百度案、大众点评诉爱帮案等一系列案例,已经逐渐明确了数据爬虫行为的合法性边界,数据提供方可以较为清晰地对自身爬虫行为的合法性进行事前判断。其二,从用户视角来看,在数据交易市场中,数据交易平台的审查义务、数据提供方的信息提供义务以及相关责任机制,既可以在事前有效地排除数据来源不合法的风险,也可以在事后为用户提供充分救济。
另一方面,从域外实践层面来看,美国、欧盟等重要数据经济体均未创设企业数据所有权,而是同样从企业对数据的实际控制现状出发,默认了数据持有者企业有权使用并许可他人使用相关数据。首先,美国在联邦层面和各州层面均未有关于企业数据所有权的法案,企业数据的使用和访问问题主要由私人主体之间通过合同进行安排。其次,欧盟早期曾有创设数据生产者权的想法,但该方案一经提出即遭到广泛批评,目前欧盟立法者已迅速转向以企业实际控制为前提、以用户使用权为核心的数据访问权制度。
从政策上看,《数据二十条》中的数据产权主要包括数据资源持有权、数据加工使用权、数据产品经营权等等。上述权利某种程度上确认了当下企业基于技术手段对数据形成实际控制的合法性,肯定了企业在数据价值生成链条中的作用,为企业的数据收集处理活动提供了制度保障和激励。同时,数据资源持有权作为使用权而非绝对权,某种程度上为其他社会主体访问和利用数据创造了前提条件,最终有利于数据流通与再利用。总体而言,我国学界和政策对于数据产权制度的路径转变值得赞同。
三、数据访问权的设立之争
在明确了数据持有者企业对数据享有使用权而非所有权之后,如何促进其他主体共享数据权益,或者说是否应当赋予特定主体以数据使用权,即成为接下来需要回答的问题。对于其他主体的数据使用权问题,《数据二十条》虽然没有正面规定,但也提出:“充分保护数据来源者合法权益……保障数据来源者享有获取或复制转移由其促成产生数据的权益”。从“获取或复制转移”的表述来看,这种权利与个人信息可携权颇为类似,但“数据来源者”“由其促成产生数据的权益”等用语表明,其并非仅以保护数据主体人格权益为目标,而更多地考虑到数据来源者在数据价值生成中的贡献,指向对数据上财产权益的分配。从内容和目的来看,这种权利更接近欧盟法中的数据访问权。后者是指,对于使用产品或服务中产生的数据,用户有权向数据持有者请求直接访问,或者请求数据持有者向第三方传输。欧盟法上的数据访问权同样以用户在数据生成中的参与贡献为基础,旨在对数据价值进行公平分配,并促进数据流通共享。从国内文献来看,有学者已经初步提出了对欧盟数据访问权的借鉴方案。不过,欧盟法上的数据访问权制度对于我国而言是经验还是教训,还需再作思考。数据访问权可进一步分为横向跨行业的数据访问权和纵向特定行业的数据访问权。
(一)横向数据访问权:
欧盟《数据法案(草案)》
欧盟于2022年颁布了《数据法案(草案)》。该法案首次正式提出了横向的数据访问权概念,并从权利主体、权利行使对象、权利客体等方面对横向数据访问权进行了全面构建。横向数据访问权的创设目的有二:一是基于用户在数据生成中的贡献,对数据利用价值进行公平分配;二是促进数据流通共享,推动基于数据的竞争与创新。
就权利主体而言,根据《数据法案(草案)》的规定,企业在以下两种情形中有权请求数据访问:其一,企业作为用户。如果企业自身是使用或租赁产品或服务的法人,那么有权直接向数据持有者请求访问数据。其二,企业作为第三方。基于用户的请求,数据持有人应当向第三方提供用户使用产品或服务产生的数据。立法者认为,基于使用或租赁产品或服务的法律权利,用户承担着使用相关产品或服务的风险和利益,自然应当享有由此生成的数据的访问权。但是欧洲技术行业协会认为,数据访问权的一个重要功能在于,在用户和数据持有者双方力量极不均衡的情形下,对用户进行“充权”,使其能够公平享有基于贡献和需求所应得的数据利用价值。当用户为企业时,用户和数据持有者之间的力量对比并不像个人用户情形中那么悬殊。因此,企业用户不宜成为数据访问权的权利主体,此时双方应当通过合同方式对数据访问事宜进行商议。
与权利主体相对应的是权利行使对象,即向谁行使数据访问权。在《数据法案(草案)》中,权利行使对象是数据持有者,不过这并不意味着数据持有人持有、访问或处理数据的权利得到承认,立法仅是以数据持有者对数据的实际控制现状作为出发点。通常来讲,产品制造商或服务提供商最有可能被认定为数据持有者,不过在某些情况下,用户相对于制造商具有更强大的控制力,例如大型工业客户相对于上游的零部件销售商;此时数据持有人即可能是用户而非销售商。这意味着“数据持有者—用户”的简单二分法并不能适用于数据价值分配的所有场景。此外,数据价值链条的多主体性,包括零部件制造商、最终产品制造商、软件供应商、用户等,亦指向了二分法的不合理性。
就权利客体而言,根据《数据法案(草案)》,数据访问权中的数据不区分个人数据和非个人数据,而仅要求数据作为“行为、事实或信息的数字化表达”的特征,因此,企业数据均可被涵盖其中。另外,衍生数据、推断数据不属于访问权的范畴。对此,有学者批评,嵌入式传感器或平台软件收集的一级数据通常并不具有直接的效用价值,通过附加额外信息计算而产生的衍生数据以及通过依赖统计假设的数据分析而获得的推断数据,方能满足第三方供应商提供其它服务如售后服务的数据需求。
就数据权利行使方式而言,立法者认为,数据持有者,尤其是产品制造商,有必要确保产品的设计和制造能够保障用户轻松访问使用这些产品所产生的数据,比如可以直接从产品内嵌的储存卡中导出数据。如果用户无法直接从产品中获取数据或者用户请求向第三方提供数据,那么在用户提出访问请求后,数据持有人应不拖延地、免费地提供数据;如有可能,还应持续地、实时地提供数据。当然,数据访问权的行使是有边界的,尤其是数据持有者的合法利益应被考虑在内。比如商业秘密的披露以采取所有必要措施保护商业秘密的机密性为前提、访问获得的数据不得被用于开发与数据来源产品相竞争的产品、基于用户请求而接收数据的第三方应以公平、合理、无歧视(FRAND)为标准向数据持有者补偿合理费用等等。对于以上问题的细节处理,学界仍然有不同意见,不过没有异议的是,数据访问权的行使应当是清晰便捷的、无损数据价值的,在行使权利时应当注意多元利益的协调与平衡,尤其是数据持有者的竞争利益和个人数据主体的人格权益。
(二)纵向数据访问权:特定行业立法概览
数据访问权对于欧盟法而言并非一个全然陌生的概念,在《数据法案(草案)》颁布之前,部分行业的欧盟条例和指令已经就企业的数据共享义务作出了规定,比如汽车售后市场的数据访问权。大型汽车制造商在下游的维修和保养服务市场占有优势地位,并倾向于拒绝向独立的服务提供商开放汽车数据访问权限,从而排除、限制下游市场的有序竞争。考虑到此种市场失灵问题已非零星现象,而是汽车行业普遍存在的问题,欧盟于2007年颁布了关于机动车型式认证以及车辆维修和保养信息获取方面的条例,并于2018年在关于机动车的独立技术单元的批准和市场监督的条例中进行了更新。根据以上条例,与标准必要专利情形类似,汽车制造商有义务以非歧视的方式、基于合理且成比例的费用、通过标准化的格式向独立的服务提供商提供后者开展业务所需的车载诊断信息。与《数据法案(草案)》不同,汽车售后服务市场的数据访问不以用户请求为前提,而是汽车制造商负有的一项普遍性义务。另外,在数据类型上,后者并未采取行为进路而是采取了需求进路,车辆维修和保养信息对于独立的服务提供商而言是其在汽车售后服务市场开展业务所必需的,与汽车车主的使用行为不存在必然联系。
(三)谨慎对待数据访问权的引入
从现有讨论来看,欧盟各界对于是否应当创设数据访问权、具体应当如何构建数据访问权等问题,仍然存在相当大的争议。
一方面,就权利创设问题而言,契约自由仍然是实现资源配置的最佳工具。如果尚不存在明显问题,那么应当先行通过现有合同法和竞争法加以解决。强制数据共享等立法干预措施应当仅面向存在严重市场失灵问题的纵向特定部门。一般性的横向数据访问权处于竞争法的边缘地带,尤其在数据持有者是物联网产品制造商而非大型互联网平台的情况下,网络效应的影响是有限的,数据持有者通常不具有市场支配地位,因此似乎不存在强制数据共享的经济理由。
另一方面,即便肯定《数据法案(草案)》创设横向数据访问权的正当性与必要性,对该权利的具体设计也须再作斟酌。立法者创设该权利主要出于两个目的,一是实现数据价值在参与者之间的公平分配,二是促进市场创新和竞争,尤其是期待其他主体获取数据后可以带来创新服务和更具竞争力的价格。但是从《数据法案(草案)》来看,立法者采取的基于贡献原则的权利设计未能很好地实现这两个目的。从法理视角来看,数据访问权的本质是对数据财产利益的重新分配,在此过程中需要综合考虑贡献原则、需求原则、既得权利原则等,以最终实现对数据财产的分配正义。就此而言,《数据法案(草案)》过于倚重贡献原则,未能充分考虑实际需求。
对我国而言,应当认识到,数据访问权的设立是在市场机制无法实现平衡正义的情况下,国家通过立法手段对数据财产利益进行重新分配以保障正义实现的方法。在此,如果不存在明显的市场失灵问题,那么立法不应介入。这意味着,在特定行业中或许可以根据该领域的实际情况设计纵向数据访问权,但跨行业的横向数据访问权的设立则应更加谨慎,因为普遍性的市场失灵问题尚未出现。不完善的分配方案未必能够有效解决现有问题,反而可能带来更多新的问题。
四、数据交易制度的体系化建构
数据交易是企业数据流通利用的基本形态与重要制度依托。上文讨论的数据产权制度对数据“权利”范围进行了清晰界定,从而为数据交易提供了前提条件。但是,在数据界权问题之外,数据交易市场本身仍然存在诸多问题,亟需构建合理的数据交易制度以保障数据交易的正常有序进行。有学者指出,数据交易客体不明确以及数据交易模式不成熟,是阻碍数据交易市场发展的重要原因。实践中的调研报告也印证了这一点,并补充指出,数据交易监管体系不健全是当前数据交易市场存在的另一问题。本部分将聚焦以上三项问题的解决,即数据交易客体不明确(“交易什么”)、数据交易模式不成熟(“如何交易”)以及数据交易监管体系不健全(“如何监管”)。
(一)数据交易客体
1. 可交易数据范畴
根据《信息技术数据交易服务平台交易数据描述》(GB/T 36343-2018),交易数据是指在数据交易服务平台上供需双方进行交易的合法、合规数据。《信息安全技术数据交易服务安全要求》(GB/T 37932-2019)从反面列举了六类禁止交易数据:受法律保护的数据、涉及个人信息的数据(除非已获得同意或已做匿名化处理)、涉及他人知识产权和商业秘密等权利的数据(除非已获得权利人授权)、从非法或违规渠道获取的数据、与原供方所签订的合约要求禁止转售或公开的数据、其它法律法规明确禁止交易的数据。《上海市数据条例》《深圳经济特区数据条例》等文件也有类似规定,此处不再赘述。
2. 数据提供方的信息提供义务
如果说,可交易数据范畴的确定,使数据提供方对于“交易什么”这一问题有了清晰的概念,那么对于数据需求方而言,由于数据往往并非公开可见的,因此其对交易数据尚有赖于数据提供方的描述与说明。正如在电脑买卖场景中,买方需要事先了解电脑的处理器、显卡、显示器、端口等基本信息,之后方能决定是否愿意进入正式交易环节。在数据交易场景中也是如此,数据提供方有义务就交易数据作出真实准确的描述。
有学者指出,数据交易存在根本性悖论,即卖方一旦向买方披露数据,那么就没有必要进行交易了,因为买方已经获取了信息或数据。但这种悖论并非不可解决的。事实上,数据具有异质化特征,数据披露也是一个渐进的过程,数据提供方可以采取多种策略控制数据披露的范围和程度,比如在公开展示界面仅披露小数量的、不包含关键细节的或者掺杂干扰数据的数据样本;在有意愿的数据需求方与数据提供方进行单独联系之后,数据提供方或许可以向其披露更多数据。实践中,数据交易市场已存在类似尝试。
3. 数据提供方的责任
义务的实现需要由责任机制加以保障。如果数据提供方将禁止交易数据带入了交易领域,或者在交易磋商中未对必要信息进行真实准确说明,那么其应承担相应责任。
其一,对于数据提供方所提供的数据为禁止交易数据的情形。上文所述的禁止交易数据可进一步分为两类,一类为绝对禁止型交易数据,一类为相对禁止型交易数据,前者包括涉及国家利益、公共利益、个人信息权益的数据,后者则限于未取得民事权利人授权的数据。首先,对于绝对禁止型交易数据,由于其属于法律法规明令禁止的交易客体,因此数据交易合同无效(《民法典》第153条)。同时,根据相关法律法规,数据提供方还可能承担刑事责任。其次,对于知识产权人、商业秘密持有人未作出授权的数据,以及超出原供方授权范围的数据,由于其仅对权利人的民事权利造成侵害,并不涉及更高位阶的利益,因此应当按照民法上的“无权处分”情形处理。根据《关于适用〈中华人民共和国民法典〉合同编通则部分的解释(征求意见稿)》第20条,数据交易合同并不必然无效,但是只有在取得权利人事后授权的情形下,数据需求方才可请求合同的履行;当然,数据需求方可以主张解除合同并请求数据提供方赔偿损失。
其二,如果数据提供方提供的数据是合法合规的,但其在交易磋商中未对与交易数据有关的必要信息进行真实准确说明,那么可能构成《民法典》第500条第2项规定的“故意隐瞒与订立合同有关的重要事实或者提供虚假情况”,数据需求方有权请求数据提供方承担缔约过失责任,即有权主张解除合同并请求数据提供方赔偿损失。而如果数据提供方的主观过错并未达到故意的程度,或者数据提供方已经尽到了信息提供义务,只是数据需求方在理解上产生偏差,那么数据需求方可以基于重大误解请求撤销合同,此时有过错的一方应当赔偿对方由此所受到的损失(《民法典》第147条、第157条)。
(二)数据交易模式
1. 中介型的数据交易服务提供者
实践中,数据交易模式可分为三种:一是原始数据直接交易。交易双方就数据类型、交易价格、使用方式等进行自行商定,属于“一对一”的交易方式。这种模式存在过程不透明、质量不可控等风险,且不利于市场监管,容易滋生数据黑市交易。二是“一对多”的单边交易模式。数据交易机构以数据服务商身份,对自身拥有的数据进行一定加工,将原始数据变成标准化的数据包进行许可使用。这种模式存在定价不透明、监管难进行等问题,且容易形成数据垄断,长期来看不利于数据流通利用。三是平台化多边交易模式。数据交易平台作为完全独立的第三方,为数据供需双方提供交易场所,属于多边交易方式。这一模式增加了平台作为中立的第三方,有利于促进数据交易的安全、规范以及高效进行。考虑到平台交易模式的巨大潜力,包括参与主体更为广泛、交易标的价值更大、交易活动频次更高,平台交易模式成为政策和学界最为关注的数据交易模式。
从域外经验来看,欧盟委员会指出,过高的交易成本是阻碍企业数据流通交易的重要原因。其一,缺乏经济激励。数据控制者对数据的潜在用途、合理定价以及潜在需求方缺乏足够的了解,也缺少相关信息获取渠道,无法预期数据分享的回报可能性。其二,存在技术障碍与安全风险。数据格式不统一、API接口不匹配、数据泄露风险等进一步阻碍了数据交易的顺利进行。对此,欧盟联合研究中心认为,“数据中介组织”在降低数据交易成本方面可以发挥重要作用。
以欧盟政策文件频繁提及的Dawex公司为例,Dawex是法国一家数据交易平台开发商。于2017年推出全球数据市场,所有行业的企业都可以在可追溯、可信和安全的环境中进行数据交易。Dawex有助于在两个方面降低数据交易成本:其一,降低信息获取成本与磋商成本。Dawex全球数据市场类似于购物商场,卖方企业给出数据的类型、来源、报价、许可类型等,有意向的买方企业则可以询价并进行交易。其二,保障数据交易安全。Dawex通过默认隐私、设计隐私、不对称加密、保密协议等技术和法律手段保护参与者的数据安全,并积极获得最新最严格的数据安全国际认证,包括ISO 27001、SOC 2 Type I、SOC 2 Type II等等。
以Dawex为代表的数据中介组织是典型的中介型的数据交易服务提供者,其在相当程度上可以有效消除交易成本过高、信息渠道不畅以及交易安全无法保障等障碍,推动数据交易市场发展。
2. 数据交易平台的义务与责任
进一步地,为促进市场参与者对中介型数据交易平台的信任,切实发挥平台的交易撮合、安全保障等功能,数据交易平台对于平台内数据交易的合法性与安全性,应负有一定的义务、承担一定的责任。
其一,对于数据提供方提供了绝对禁止型交易数据的情形。应当认为,虽然数据交易平台作为第三方并不负有全面的审查义务,但是作为数据交易的守门人,平台至少应当负有基本的数据合法性审查义务,即交易数据是否属于危害国家利益、公共利益或者未取得个人信息主体同意的数据,这种审查义务也不会给平台造成过重的负担。在数据交易监管制度即将建立并逐步完善的背景下,数据交易平台未尽到此种审查义务的,可能面临主管机关的行政处罚。
其二,对于数据提供方提供了相对禁止型交易数据的情形。应当认为,数据交易平台毕竟只是作为中立人或者说交易场所提供者出现,倘若要求其对每条交易数据的产权真实性、来源合法性进行仔细审查,那么不仅超出了数据交易平台的能力范围,而且大规模、高频次的数据交易活动也将无从开展。对此,有学者提出可类推适用《民法典》第1195-1197条,为数据交易平台建立合理的“避风港”责任规则。该观点值得赞同。具体而言,首先,在数据入场前,数据交易平台应当对交易数据进行形式审查,即要求数据提供方提供数据来源、数据类型、权利类型等产权基本信息,并提供交易数据获取渠道合法、权利清晰无争议的承诺或证明材料。如果数据交易平台未尽到合理审查义务,那么应当与数据提供方承担连带责任。其次,如果数据交易平台已尽到合理审查义务,但实际上仍然存在数据的侵权使用情形,那么权利人有权通知平台采取删除数据、断开链接等必要措施。数据交易平台及时采取必要措施的,无需再承担法律责任;未及时采取必要措施的,则须对损害的扩大部分与该数据提供方承担连带责任。
其三,除了对交易数据合法性的审查义务,作为具有一定规模的(线上)交易场所,数据交易平台还应当负有一定的安全保障义务。数据交易在促进数据流通利用的同时,也放大了相关数据安全风险,比如数据泄露、数据盗窃、个人信息再识别等风险。对此,正如(线下)经营场所的组织者应当配备必要的安保人员、清洁人员,以保障顾客在购物过程中的财产安全和人身安全,数据交易平台也应当采取必要的技术措施和内部管理措施,以保障数据交易参与者的交易安全。如果数据交易平台未尽到合理的安全保障义务,造成他人损害,那么应当承担侵权责任(类推适用《民法典》第1198条)。
(三)数据交易监管机制
除了数据交易本身存在的交易客体不明确、交易模式不成熟等问题,作为新型交易模式,数据交易平台难以获得市场参与者的信任,是数据交易市场长期低迷的另一重要原因。有研究者从数据交易平台的双重身份出发,指出平台既是中立运营方又是数据服务商,其与被监督对象之间往往存在利益关联和竞争关系,这使得平台内部监督流于形式,政府部门主导的外部监管可能是必要的;也有研究者从市场参与者视角出发,认为应当构建一个明确的外部监管环境,以消除市场投资者、数据供需双方等对于新兴且复杂的数据交易市场的不信任,鼓励各方主体积极参与数据交易市场的建设与发展。
从域外经验来看,欧盟立法者也发现,市场参与者对于数据中介组织仍然缺少必要信任,而数据中介组织对于自己在提供服务时应遵守的合规要求亦存在不确定性。因此整体呈现出中介组织数量少、规模小、效用低等特点,未能实现中介组织在数据交易市场中的预期功能。对此,在欧盟2022年《数据治理法案》中,将数据中介服务列为促进数据流通利用的三种新方案之一,并规定了初步的监管方案。具体而言,提供数据中介服务的组织应当向主管部门报送本组织的名称、地址、法律性质、所有权结构、服务描述、官方网站等必要信息,在完成报送义务后其可以请求主管部门出具确认函。收到确认函后,数据中介组织方可开始经营活动,并可以使用“联盟认可的数据中介服务提供商”标签和通用徽章。在提供数据中介服务时,数据中介组织应当避免利益冲突,并有义务保证服务的安全、公平、透明和非歧视。主管部门在收到报送信息后应当及时向欧盟委员会汇报,后者将设公共登记簿公开相关信息。此外,主管部门应当对数据中介服务进行监督,并有权采取罚款、暂停服务、终止服务等处罚措施。
就我国数据交易监管问题而言,对于监管主体,应进一步明确负责数据流通交易管理工作的部门;就监管措施而言,我国可以借鉴欧盟《数据治理法案》提出的监管方案:其一,规定数据交易平台的报送义务。数据交易平台应当向主管部门报送本组织的基本信息。完成报送义务后,数据交易平台方获得合法经营的资格。其二,规定数据交易平台在提供数据中介服务中应遵守的义务。比如,数据交易平台应当避免利益冲突,将数据中介服务与其它经营活动严格区分;应当确保其服务和价格是公平、透明、非歧视性的;应当确保各类数据在存储、传输等过程中不被泄露等等。
五、结语
大数据技术及其产业发展助推了企业数据价值提升,使得数据上升为一种新型生产要素,成为我国经济产业发展的核心国家战略资源。不过,我国数据经济发展仍然存在数据流通不畅、数据价值未能得到充分发挥等问题,需要法律在数据确权和数据交易制度上予以回应。就数据产权制度而言,应当放弃所有权路径、转向数据使用权,并考虑如何促进其他主体对数据的访问;但是,对于数据访问权方案,应当认识到其本质是对数据财产利益的重新分配,更为谨慎地考察市场失灵问题、制定公正的分配方案。就数据交易制度而言,首先,应当明确可交易数据范畴以及数据提供方的信息提供义务;其次,有必要将数据交易平台定位为中介型数据交易服务提供者,并要求其承担一定的审查义务与安全保障义务;最后,应当采取适当的监管措施以增强市场参与者的信任,推动数据交易市场健康有序发展。未来,随着大数据、人工智能技术的进一步发展,企业数据在企业市场竞争以及数据产业、数字经济发展中的作用将更加凸显。构建合理的企业数据流通体系,促进数据社会正外部性的充分实现,将是一项需要不断探索与完善的长期工作。