暂无
摘 要:数据资源的规模化流转可通过以数据经纪人为媒介的场外交易和以数据交易所为中心的场内交易方式实现。从数据场内交易的视角出发,构建数据要素的可信流通制度体系既有规则参考性又有现实必要性。数据财产权利的初始取得以被处理数据已有效公开或授权为前提;数据财产权利的继受取得以法定优先权益充分保障、数据提供方有经营收益权为前提。为建立数据可信交易体系,应对数据流转中的违约风险,法律应当明确交易所的功能定位与数据登记的法律效力。数据交易所是以公益性为主、市场化运营的交易组织者与市场监管者。数据登记具有合法性确认、权利对抗和存证等多层次的法律效力,但登记并非数据流转的必要条件。
社会的数字化、智能化转型已经成为一种不可逆的历史趋势[1],法律与技术形成了交叉缠绕的共生关系[2]。一方面,5G、云计算等技术使得数据作为生产要素的特征更加明显,并进一步推动数据立法的进程;另一方面,数据法律制度的完善将塑造并规划技术的发展。2022年3月,国家发展改革委就《数据基础制度若干观点》征求社会意见,提出“规范引导场外交易,培育壮大场内交易”的目标。2022年6月,中央全面深化改革委员会审议通过了《关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称“数据二十条”),提出“建立数据来源可确认、使用范围可界定、流通过程可追溯、安全风险可防范的数据可信流通体系”的目标。此前,上海和深圳等地颁行了地方性数据条例,筹建了上海数据交易所、深圳数据交易中心等专门交易场所,这些举措为数据要素市场的培育、数据流转生态的建立提供了可行样态。
数据流转的本质是通过数据权能的分解和授权,实现数据资源的价值增长。既有共识普遍认同数据利用的边际成本极低、边际收益极高,所以鼓励数据要素的流通交易可以产生更大的社会价值,但数据流通交易面临着信任难的问题。尽管场外交易是当下更为广泛的交易方式,但是场内交易因其标准化与公开性往往可以作为同类交易的规则参考,并为数据场外交易提供制度经验。同时,引导交易场所由场外向场内转移有助于监管数据流转过程、打击非法交易行为。基于此,以非公共数据在国内集中交易场所流转这一具体场景为例,遵循交易的全生命周期,重点回答数据进场交易的功能意义、交易前的合规审查与合法性确认、交易过程的公示公信等问题,以期从制度层面破解数据交易的信任难问题,为数据要素可信流转体系的构建提供规则参考与制度供给。
一、数据交易的业务模式与法律风险
实践中,服务于不同的管理目的,数据资源的价值流转方式主要分为两类。[3]一方面,服务于交易规则和监管制度设计的差异,数据交易被区分为场外交易和场内交易,前者的典型场景为数据经纪人,后者的典型场景为数据集中交易场所,两者在法律关系、交易流程和监管程度等方面存在差异。另一方面,服务于有效判断交易对象和权利内容的目的,数据交易被区分为服务器的物理转让、数据资产融资担保、数据集整体转让、数据许可使用以及数据增值服务等业务类型。与传统的物权变动类似,数据交易主要面临无权处分、质量瑕疵与违约使用等三重法律风险。
(一)数据交易的类型区分
⒈按交易场所区分
根据数据流转场所的不同,数据交易区分为场内交易和场外交易。数据场内交易是指通过特定的数据交易场所完成的交易,它不同于证券的场内交易,目标不在于集中撮合竞价,而在于破解数据确权难、互信难和监管难等问题,为数据合意流转提供可信交易场所与制度范本。当下,数据场内交易的市场规模和制度规则尚在发展初期,但在“数据二十条”提出发展场内交易,并且地方性、区域性数据交易所/中心广泛试点的背景下,数据场内交易将沿着更加规范的路径发展,为数据流通合规可信体系的建立提供更多制度经验。
数据场外交易是指在特定交易场所之外的交易,主要是数据经纪人模式。美国的数据交易市场较为成熟,并诞生了安客诚等一批专业数据经纪商。[4]佛蒙特州和加州于2019年、2020年先后颁行了专门的数据经纪人注册登记办法。[5]我国的数据交易市场已经起步,广州市海珠区于2021年率先发布了我国首份数据经纪人试点工作方案。数据经纪人的法律定位,因业务类型的不同而有差异,可能扮演交易卖方、中介人、行纪人或者受托人角色。具体而言,交易自有数据场景下,数据经纪商是交易活动的卖方。交易外采数据场景下,数据经纪商若将数据买入后再卖出的,则为交易卖方;若以自己名义替数据提供方从事数据交易活动的,则为行纪人;若不作为交易当事人,仅为数据供需双方提供信息媒介与撮合服务的,则为中介人。设立数据信托的,数据经纪商扮演受托人角色。
⒉按交易对象区分
数据流转已经从风险较大的原始数据交易模式,过渡到隐私保护计算全技术支持下的数据可用不可见模式。[6]实践中,根据数据开放范围的不同以及当事人对数据控制权的差异,现有的数据价值流转模式可以被区分为五类:转让数据物理存储载体的服务器以转让数据,将去除敏感信息后的数据资产质押融资,数据集的整体复制,通过开放数据接口的形式许可他人在特定范围内使用,以及不转让数据仅提供计算结果的数据服务方式。
通过转让服务器以转让数据的模式往往在企业整体并购的场景下发生,数据资产作为质押对象主要服务于企业融资需求,两者并非对数据客体的直接交易。而数据集整体转让、许可使用和委托开发,是对数据内容价值的直接交易。当事人可以在集中的数据交易场所内开展前述五类数据活动,但“数据交易”概念主要指数据集转让、数据许可使用和数据加工服务三类行为,更多涉及合同的订立与履行,而不涉及物理所有权转让和数据融资担保。
在此背景下,数据场内交易往往涉及数据产品提供方(以下简称数据供方或卖方)、数据产品使用方(以下简称数据需方或买方)、交易所和配套服务提供商(以下简称数据商)等四方主体。[7]数据供方是通过日常经营活动积累和处理了大量数据的权利主体,典型的如中国电信、Wind等数据密集型企业,以及专业的数据经纪商。[8]数据需方是通过外采数据辅助经营决策的数据消费方,如依据客户信用数据提供信贷服务的银行、依据用户历史浏览数据提供个性化推荐服务的Bilibili等视频运营商。还有一类主体并非数据交易当事人,但在场内交易中发挥了重要作用——数据商。它们包括提供云服务或网络服务的数据基础设施提供商、隐私策略供应商、数据质量评估商、数据资产评估商(会计师事务所)和安全合规评估商(律师事务所)等。最后是场内交易的市场组织者——数据交易所,它主要负责为数据流转提供交易场所、制定交易规则。
(二)数据交易的法律风险及其产生原因
在数据交易的不同阶段[9],对于不同交易参与人主要存在无权处分、质量瑕疵与违约使用三重风险(参见图1)。
在交易撮合阶段,由于现行法律法规缺乏对初始权属的规定,并且我们尚未建立一套权威的、可供当事人查询真实权利状态的公示公信系统,数据需方往往难以信任数据供方具有合法的处分权基础,数据供方可能利用信息不对称和信息不透明处分本不属于自己的数据权利。无权处分数据权利的,根据最高人民法院《关于适用〈中华人民共和国民法典〉合同编通则部分的解释(征求意见稿)》第20条的规定,供需双方订立的合同并不当然无效,但是数据需方不能对抗真实权利人,将陷入保护权利两难的局面。同时,如果数据供方挂牌交易的数据不合法,交易所和数据交易的配套服务提供商也会担心自己是否面临承担连带责任的风险。
在数据集转让、数据许可使用或者数据服务合同有效订立之后,由于数据不同于标准化商品,在交易前很难完全披露数据的所有情况,抑或因为数据本身的零知识证明难题,导致数据作为被交易对象同样存在广义的质量瑕疵风险。[10]在实际交付以后,数据需方可能发现被交易数据并不符合预期价值。在缺乏相应质量标准的情况下,双方就数据是否完整、无误、有效,是否能够达到约定的目标产生争议的,需要由公正可信的交易组织者居中协调,适用事先制定的场内交易规范对会员行为作出评判。
在合同有效订立且双方就履行质量不存在争议的情况下,风险就从数据需方转移到数据供方了。在禁止转售的数据集整体转让交易中,卖方还会担心买方获得数据后是否会违约转卖数据;在数据许可使用情形下,卖方也会担心买方是否会超出合同约定的使用范围滥用数据。该风险主要基于合同履行中当事人的不道德行为产生,且数据交易还涉及交付后的持续合规,从而衍生出交易中的互信难与监管难问题。这也让我们意识到建立一套数据权利公示公信系统,以保障交易后持续可信的必要性。
通过前文的梳理不难发现,要建立健康有效的数据交易制度体系,我们需要保障卖方有权处分、合同约定得到严格履行、买方违约转卖风险得到有效防范。实践中,为了有效回应前述难题,更大程度发挥数据的经济价值,数据交易所确立了“非合规不挂牌,无场景不交易”的原则,从数据合规审查、挂牌与交易定价、产品与交易登记等方面构建了全景式数据交易制度体系。理论上,我们也应当以防控前述风险为目标,从以下三方面系统性构建可信的数据交易制度体系:一是明晰交易所的功能定位,确保交易环境的公平可信;二是规范交易前的合规审查以保障数据来源合法、产权清晰,避免无权处分的发生;三是构建多层次数据权利登记体系,保证数据交易的可追溯性,防止数据违法转卖。
二、数据进场交易的功能意义
事实上,数据经纪商与各大互联网平台已经沉淀和积累了大量数据,并通过场外交易的方式流转数据。相比而言,场内交易可以在充分总结既有交易实践的基础上,通过标准化的交易规则与流程,减少各方交易成本,并通过自律监管措施预防和降低交易风险。这种默认规则(default rules)旨在为交易双方提供规则模板,但并非强制性的抑或不可改变的,它类似于手机软件的默认选项。[11]在上海数据交易所、北京国际大数据交易所纷纷成立的背景下,后文将聚焦于场内交易的核心——交易所功能定位与数据登记法律效力展开分析。
(一)数据场内交易的必要性及限度
尽管数据不同于一般商品,数据交易具有更高的安全和隐私风险,但在可交易的范围内,仍应奉行民法意思自治的基本原则。场内交易并非数据流转的唯一途径,但数据场内交易具有重要的制度必要性。
首先,数据场内交易可以发挥聚拢和鼓励公共数据流通的作用。从股权结构来看,上海、北京和深圳国资委均参与到本地数据交易所设立中,这使得这些交易所天然地与当地公共部门具有亲缘关系,更能聚拢公共数据、保障数据供应。在数据交易所成立以前,公共数据和国有数据一般只能通过招投标的方式流转;在上海和深圳数据交易所成立以后,其均将周边地区的公共数据作为前期发展重点。
其次,为防止国有资产流失,国有数据可能更多地进场交易。国有资产的监管经历了从“管资产”到“管资本”的发展历程[12],数据作为劳动、资本以外的重要生产要素,因其战略意义或重大价值而成为重要的国有资产。由于数据本身存在定价难的问题,数据进场交易能促进国有企业数据交易的公开透明,从而贯彻落实《企业国有资产监督管理暂行条例》关于交易监管的要求,防止国有资产流失。
再次,数据场内交易有助于建立双方信任、保障数据安全。历史上,交易所建立的初衷即在于破解交易双方的信任难题。并通过一套复杂的交易和交割流程保证合同得到有效履行,数据资源进场交易同样可以发挥信任加强的作用。除此之外,实践中由于移动通信、银行金融等领域的国有企业掌握了大量数据,具有较高的价值挖掘潜力,不乏数据分析公司以委托处理或者科学研究之名,变相交易前类数据从而给用户隐私和数据安全带来了一定程度的风险。鼓励数据进场交易,有助于查清数据来源及其流转历程,建立可信的交易主体信用评级制度,从而防止数据的违法交易和暗箱操作,保障公共安全。
最后,数据场内交易还有助于确立行业标准,带动数据流通的市场活力。数据交易所通过提供示范协议的方式,为缺乏信任基础的各方当事人提供一个较为公允的行为参考点,提升数据的流通活力。由于数据应用场景和效能的不可全知性,我们主张通过引入场内交易示范协议这一交易参考点,在数据合意流转的弹性和刚性之间寻求平衡[13],这能最大程度地撮合交易。需要强调的是,应当充分总结产权交易所重复建设和碎片化严重的经验,调整数据交易所按照行政区划分而治之的思路。数据的流通不受物理空间的限制,且交易所表现出“流动性吸引流动性”现象,在一定程度上使其具有自然垄断属性。[14]因此,数据交易所的地方试点与探索是好的,但在路线清晰后不宜继续搞地方竞赛,应坚持全国一体化的发展思维。
那么,蚂蚁金服、今日头条等有国资参股的互联网企业数据的交换是否必须在交易所交易呢?并不必须。尽管国家鼓励大型互联网企业和国有企业数据进场交易,且涉及公共利益的重要国有企业数据未来可能在场内交易。但是,数据的场内交易也是有适用场景限制的,当事人仍有自由选择的空间。可以预见,即使未来要求国有企业数据强制进场交易也应当限于:第一,企业的性质为国有独资、国有控股或者国有实际控制企业;第二,交易的对象为作为企业重大资产的数据,非重要资产数据不在此列;第三,原则上在交易所公开进行,但例外情形下(如保密必要)可以采取非公开协议转让的方式。
(二)数据集中交易场所的功能定位
尽管北京、上海等地已建立了地方性数据交易所,但关于数据交易所的内涵界定,理论界和实务界争议较大。有的人从广义上定义交易所,主张交易所是交易各方集中撮合的场所,并不对交易双方人数作出要求;有的人以证券交易所为基础模型,认为交易所是针对人数众多的、不特定当事人建立的集中交易和连续竞价的交易场所。实践中,出现了证券交易所、期货交易所、文化产权交易所等众多类型,其是否属于真正意义上的交易所也是众说纷纭。但这属于解释选择问题的范畴,即用何种概念来指称场内交易场所,对不同概念的使用并不影响该交易场所功能定位等价值判断问题的结论。为避免概念使用上的分歧,本文在使用数据交易所一词时,强调其集中撮合的特征而非公开竞价的属性,数据交易所与证券交易所有重大差异。
⒈数据交易所与证券交易所“和而不同”
数据交易所是数据开放、交换和交易的集中场所。它同样兼具交易组织者与自律监管者的身份,但与证券交易所却大不相同,究其本质是作为交易标的证券与数据两者的差异导致的,很多规则的认识不能简单照搬。两者的区别主要体现为以下方面(参见表1):
第一,交易对象的标准化程度不同。数据与一般商品以及金融产品相比,具有标准化程度低、市场透明度低等特点。不同数据产品的性能、结构和权利内容存在较大差异,交易的标的为非标准化的数据。[15]然而,证券交易所的交易对象是作为标准品的上市证券,该证券的权利义务、交易价格不因对手方身份的差异而变化。
第二,交易当事人匿名化程度不同。数据交易是显名、直接交易,交易双方只有在明确知道对方真实身份的情况下才能建立信赖关系,且双方当事人可以就交易条件直接磋商。但证券交易并非直接交易,买卖双方并不知道对方的真实身份,而通过经纪人申报成交。
第三,交易是否需要经纪人介入不同。在数据场内交易场景下,数据供需双方与数据交易所成立中介合同或者数据清洗、加工服务合同。电子化的交易方式使得任何参与方都可以通过网络渠道向交易所主机发送指令,是无经纪人的交易。但证券交易采取经纪人制度,即一般投资者不能直接进入交易所买卖证券,只能委托会员单位作为经纪人间接进行交易,交易所不与买卖双方直接发生法律关系。
第四,交易的连续化程度不同。数据交易往往具有低频次的特点,当事人并不会在短期内多次买卖同一宗数据,其关注的重点在于通过数据融合进一步挖掘数据的使用价值。然而,证券交易具有较高的成交速度和成交率,更有投资人通过高频交易的方式套利,当事人更加关心的是证券投资的投资增值价值而非使用价值。
第五,价格形成机制不同。由于数据对不同主体的价值存在差异,其或有价值难以估量,且数据交易的历史数据不够丰富透明,数据产品的定价侧重于市场主体合意定价,并以成本法和收益法作为辅助的价格形成机制。与此相对,证券交易的对象是标准化证券产品,且存在连续的历史交易价格,证券交易通过公开竞价的方式决定交易价格。
⒉数据交易所的公益性
关于数据交易所应当由国家主导设立,还是由市场自由发展经历了前期的争论与摸索。贵阳数据交易所的转型实践显示,除非交易组织者具有公共属性,否则难以建立公信力,并引导供需双方相信组织者的中立地位进场交易。尽管场外交易的组织者——数据经纪商可以是自身利益最大化的追求者,但场内交易的组织者——数据交易所却需要更多考虑交易公平与秩序问题。交易所建立之始就担负着维护市场秩序的职责, 即承担着公共品的提供责任。[16]因此,即使数据交易所在实践中通过市场化的方式运营,但是它作为便利社会商业的公共设施[17],应当明确它的公共属性和公益定位。
一方面,数据交易所应当是公平的交易组织者。数据交易所的重要职能就是为潜在的交易当事人提供撮合及配套服务,因此应当履行公平撮合与信息披露义务。具体而言,交易场所应当为每一个参与者进入交易所交易提供均等的机会,公正地对待进入交易所交易的参与者。同时,它应即时向会员公布交易行情,公示交易登记情况。[18]在此过程中,交易所向各方当事人提供了一个交易参考点——示范协议[19],有助于降低买卖双方的寻找成本、信息披露和价格发现成本、谈判与签约成本,促成协议的达成。该示范协议应当特别关注被交易数据的状况(包括取得对数据控制的时间、取得方式、数据规模以及数据类型)、双方的权利范围和权利内容、后续开发成果的权利归属等内容。
另一方面,数据交易所应当是公正的合规监管者。数据的规范流动和市场的秩序维持是交易场所的重要目标定位。[20]“数据二十条”明确指出,既要发挥政府有序引导和规范发展的作用,制定数据流通和交易负面清单,明确不能交易或严格限制交易的数据项;又要强化数据交易所公共属性和公益定位,突出国家级数据交易场所合规监管和基础服务功能。在此过程中,国家负有建立健全交易规则和安全标准的义务,交易所应当在此基础上制定具体可行的市场交易规则,及时发现并惩治违法交易行为,间接打击数据黑灰市交易,降低交易的履约成本和违约风险。[21]交易所对会员的监管权力来源于《数据安全法》与各地数据交易条例的规定,有关政府部门的授权,以及数据交易所章程的规定,不可基于监管目的以外的商业目的使用会员数据。
⒊数据交易所的间接侵权责任
正如前文所述,数据交易所是具有较强可信基础的公共设施。数据交易中当事人之所以选择从场外进入场内交易,很重要的原因在于通过交易所的审核及配套增值服务(如清洗、计算等),为交易合法性、定价合理性提供可信基础。针对前文提到的被交易数据来源不合法或者数据提供方无权处分的情况下,交易所需要承担何种责任,一个比较公允的价值判断结论是:数据交易所应负担一定的来源合法性、产权真实性审查义务,未尽合理审查义务的,交易所应与直接侵权人承担连带责任;交易所尽到合理审查义务的,可类推适用《民法典》第1195条的规定,为交易所建立合理的责任“避风港”。
数据交易所对数据来源合法性、财产权益可处分性负有事先审查义务,受“知道或者应当知道”规则的约束。进场交易无疑会增加当事人的合规成本和交易费用,但正如前文所述交易所建立的初衷是为了破解互信难的问题,当事人基于对交易所中立地位和审查能力的信任,才会选择从场外进入场内交易。与一般的信息中介不同,交易所并非仅仅提供订立合同的机会,还提供信用增强的服务。因此,数据交易所对数据来源合法性和被交易数据权利的正当性负有合理审查义务。需要注意的是,这种“合理的注意”是一个谨慎的、专业的市场组织者的注意[22],不同于一般人的注意,也并非无限的安全保障责任。
在此基础上,我们可以借鉴《民法典》第1197条和《网络借贷信息中介机构业务活动管理暂行办法》第9条第二项的规定,明确数据交易所有义务对数据交易当事人资格条件、数据来源合法性、权利可处分性的判定制定明确的交易规则,并进行必要的审核。在判断交易所是否知道或者应知侵权行为时,以交易所是否采取合理、有效的审核措施等作为义务而非结果义务作为客观评价标准。[23]
在数据交易所尽到合理注意义务的前提下,就扩大的损失为交易所设立“避风港”和责任限制,避免交易所负担过重。法律的滞后性导致我国尚无关于数据权属、数据合规的系统性规定,但已经存在广泛的数据交易实践。对于这些存量数据交易,由于历史规则不清晰存在事后侵权的法律风险。数据交易所并非数据产品或服务提供商,也不是数据合规审查或者资产评估的专业服务机构,它的义务在于订立清晰的交易审核规则,并对材料的真实性负担合理审查义务。正如生产商无法限制用户购买摄像机用于侵权作品的拍摄,在数据集转让和许可使用的场景下,数据交易所也难以切实控制用户的后续使用行为。
据此,建议引入避风港规则,避免单纯将平台服务和责任承担直接挂钩。[24]对于因法律规定缺失导致的事后侵权和数据交付后的超范围使用行为,权利人有权通知数据交易所采取删除数据、关闭接口等必要措施。数据交易所接到通知后,应当及时将该通知转送被诉侵权人,并根据初步证据和服务类型采取必要措施。及时采取必要措施的,数据交易所无需承担法律责任;未及时采取必要措施的,对损害的扩大部分与该被诉侵权人承担连带责任。
三、来源可信:确保数据可交易
数据来源合法是数据财产权有效取得与流转的前提。调研发现,数据产权不明是制约数据流通的最主要因素,多家数据型企业表示阻碍公司上市和数据交易的主要原因就是缺乏初始权利背书。数据来源和产权的明晰,有助于降低当事人的信息获取成本与权利识别成本。与此类似,北京产权交易所发布的《技术类无形资产交易规则》明确要求:“进行交易的技术类无形资产应当权属清晰,且不存在权属纠纷及其他法律法规禁止或限制交易的情形。”
数据作为数字经济时代关键的生产要素[25],其权利谱系包括法定数权、意定数权和事实上的数据控制(参见图2)。法律明确规定的权利为法定数权,如用户个人信息权益以及“数据二十条”等文件提及的数据产权。法律没有明文规定,但通过各方协议就数据上的权利义务作出约定的为意定数权,如双方通过协议约定的数据使用与开发的权利。还有一类是数据收集者通过提供网络服务或者公开爬取的方式,对历史数据享有的事实上的控制。其中,经用户授权许可后收集,以及与合作方通过有效协议的方式沉淀的数据,获得法律的认可与保护,并以法定数权或意定数权的形式得到保护;对于非法收集的数据,类似于违章建筑,此类对数据事实上的控制不受法律的保护,不可成为交易对象。
(一)数据上的权利结构
从历史的维度来看,在资源充裕的情况下,人们通过劳动或者先占等事实行为取得对财产的经济权利甚至法律权利。在资源出现有限紧张的局面后,人们通过法律规定或者契约协议确定财产权边界。[26]由于人与人之间的境遇是纷繁复杂的,为避免交易当事人将过多精力耗费在调查数据权利类型与内容上,国家需要在一定程度上将数据财产权标准化,并明确对应的权利人,[27]这种财产权的标准化程度与当事人的陌生化程度成正相关。[28]
基于权利主体在数据要素流通利用中的角色,结合“数据二十条”,发现在数据流通交易过程中数据上的权利结构至少分为三个层次(参见图3):一是数据来源主体享有的数据权益,它可能表现为自然人的个人信息权益、企业的商业秘密权益或者是来自环境的公共权益,往往表现为法定优先权;二是原始数据处理者的持有权、使用权和经营权,原始数据处理者基于数据来源主体的有效授权可以完整地享有前述数据权利;三是继受数据处理者的财产权利,其权利取得原因基于和原始处理者之间的转让或者使用协议。因此,继受处理者的权利范围、时间和内容都依赖合同的约定。
(二)数据财产权原始取得的合法性要件
根据《民法典》第1条的规定,法律保护民事主体的合法权益,财产权的取得必须合法,来源合法是数据处理者依法取得数据权利的法定前提。对于非法数据,法律并不会赦免其原罪,数据交易所更不可能成为非法数据合法化的转换器。数据财产权益的取得与物权通过劳动生产原始取得类似,可以通过用户的内容创造和企业的收集开发行为实现。实践中,企业对数据的收集开发往往建立在对公共数据的批量抓取(如天眼查),和对个人数据的收集处理基础上(如微信),可能涉及法定在先的公共利益和人身权益,因此企业的数据收集与加工行为应当以取得法定优先权主体的有效授权为前提。由于公共数据和非公共数据在治理思路、开放目标上均存在差异,下文将在数据来源类型区分的基础上,分别讨论基于公共数据和个人数据开发而成的数据产品的原始权利取得要件。
⒈公共数据类别可开放
公共数据是企业数据产品开发的重要来源,它以开放为原则,以不开放为例外。根据美国联邦贸易委员会发布的数据经纪商报告,三分之二的数据经纪商都通过公开渠道收集政府公共数据。企业只可以对无条件开放和有条件开放的公共数据做收集处理,相应产生的数据财产权利方具有合法性依据。下一步,法律法规应当细化公共数据的确权授权机制。
具体而言,对于不涉及其他主体,且数据安全级别较低的数据,如气象数据、水文数据、财政预算与支出数据、历史资料数据,以及对政务行为效果的记录数据等,属于无条件开放的数据类型。原则上,他人可以通过公共渠道获取,并可以此为基础进行后续加工处理。对于公共组织收集的具有其他社会主体属性的数据,经过有效脱敏处理后,或者经过相关权利人授权许可的,可以向公众开放,并作为数据开发的原材料。[29]对于数据安全和处理能力要求较高的有条件开放的公共数据,如国土资源、能源、地理测绘等数据,数据使用者可以向公共数据资源平台提出数据开放请求,在获得授权同意后有权访问并开发相应数据。
⒉非公共数据已公开或已授权
数据处理者对于个人数据的开发利用是否合法,应结合具体场景加以判断。对于已公开数据,除数据来源主体明确反对以外,他人可以合法收集并加工处理。实践中,数据经纪商常常从社交媒体、博客和网络等公开渠道收集并处理个人公开信息。例如,数据经纪商通过爬取微博、LinkedIn等社交网站来获取信息。此时,若个人未将其隐私权限设置为限制访问,企业处理个人已合法公开且不违背该数据公开时目的的个人数据,无需个人再次同意,但是并不当然免除企业的告知义务,且数据处理必须合法且在合理的范围内进行。[30]对于企业已合法公开的商业数据,视为非商业秘密,他人也可以在合理范围内开发使用。
数据处理者若要取得未公开数据的初始权利,则应证明数据为其自建数据或有已获数据来源主体的有效授权。其中,企业自行生产的数据,需要重点考察数据形成所依托的平台情况,相对应的研发、人员、设备投入情况,所形成的具有独创性的算法以及相关的自主知识产权等,以确认其“自行性”与“自主性”。对于授权运营的数据,则需要针对授权链进行审查,特别需要考察上游授权方是否允许下游被授权方对于其所提供的数据进行进一步加工并形成可以对外提供的数据产品,以及数据供方在收集过程中是否使用了可能涉及侵权的爬虫工具。对于用户授权收集的数据,需要重点审查数据处理活动是否符合最小必要原则以及隐私政策的约定。
(三)数据财产权继受取得的合法性要件
数据作为新型生产要素,其权利从“所有”向“共享”转型。数据价值是用户和平台持续合作、共同投入和维系的结果,“数据中包含了复杂的权益类型,各种权益呈现出一种网状结构”。[31]因此,数据流转不仅要解决传统物权变动的交易安全问题,更要平衡多方主体间的利益冲突。对于数据需方而言,权利的继受取得以充分保障法定优先权和有权处分为前提。
⒈法定优先权益充分保障
鉴于数据的利益多元化属性,利益位阶理论是解决利益冲突的根本之道。利益位阶的顺位依据利益类型与社会公众的关系度、与人格尊严的联系程度加以判定。[32]因此,数据上财产价值的自由流动应当以数据上公共利益和人格利益的充分保障为前提。法定优先权益充分保护是指,在数据合意流转过程中,公共数据中的国家秘密和公共安全利益、个人数据中的人格利益、企业数据中的商业秘密优先保护。[33]数据处理者通过交易行为获取数据财产价值的利益期待,应以优先保护数据上的公共利益和人格利益为前提。[34]在财产权利与数据上的法定优先权相互冲突时,数据不得交易流转。
数据上公共利益的保障,主要针对数据安全事件发生后的影响对象和影响范围,重点关注重要公共数据和关键信息基础设施运营者收集的重要数据安全。由于重要数据对社会经济生活有重要作用,一旦发生数据安全事件将对国家安全、公共利益和私人合法权益造成重大危害。因此,对于重要数据的境内外流转,都应实行更加严格的安全评估标准和流程,以充分保障数据上的公共利益。
数据上人格利益的保护,主要是对用户个人信息的保护,个人信息也是基本权利的客体。[35]当下,数据价值变现的场景主要有两类:精准营销和风险控制。对于营销类数据产品,人格利益的充分保障表现为强调用户知情访问权和选择退出权。立法应当设法使消费者能够轻松识别哪些数据主体可能拥有与他们相关的数据,以及他们应该去哪里访问此类信息并行使选择退出权。对于风险控制类数据产品,应当强调用户的知情权和更正权,以及数据处理中的透明、正确和安全原则。在风险控制类数据产品可能对数据主体的交易能力产生不利影响时,应直接向数据主体披露信息来源和数据处理人的情况,数据处理人应当保障数据主体的数据访问权和更正权。
⒉数据供方有数据处分权
由一般物权理论可知,数据供方的初始权利人地位,是数据有效流转的前提。否则,数据需方无法依据合同取得相应的数据持有权、使用权和经营收益权,而可以解除合同并主张违约责任。由于数据往往涉及多利益相关方,资产属性的测量成本较其价值昂贵得多,数据产权并不能被完整地界定。[36]被交易数据具有可交易性,是指数据供方具有对被交易数据的处分权基础,而非像有体物那样对初始产权进行充分、完整、清晰的界定。该种处分权的权利来源既包括法律的明确规定,又包括权利人建立有序的数据库、实行保密措施等事实行为。
实践中,被交易非公共数据主要包括两大类:一类是一方主体单独投资收集、处理的数据,如实验数据、天体数据、货物销售数据,因为数据来源主体与数据处理主体统一,数据供方拥有完整的数据权利,但这只占数据产业的一小部分。还有相当大部分的数据,特别是用户和企业合作生产的数据,如点评数据,难言数据所有权。该类数据是包含多方主体、多元诉求的利益集合。在初始权利界定时,容易产生数据来源者与数据处理者之间的冲突。例如,美团商家向美团购买小程序点餐服务后,双方就客户点餐数据权属产生的争议;淘宝店铺与淘宝平台之间,就客户下单数据产生的争议;再如顺丰与菜鸟就丰巢取货柜取货数据产生的争议。随着共享经济、共生社会的属性越来越强,对于数据上初始权利的分配,也应当从“以物定权”向“以用定权”转变。
由于网络资源具有“共享”的特质,数据权益的归属并非谁控制谁享有。这就意味着,数据企业处理用户数据应当得到用户的许可同意甚至支付合理对价,后手企业拟在此基础上继续挖掘和开发数据价值的,应当取得前手权利人的授权并支付对价。例如,某导航平台与明星约定,明星仅需提供几句必要的导航播报,平台就可以通过自主学习的方式生成完整的导航语音数据包。一方面,《民法典》第1023条规定,声音权人对其声音享有人格利益,企业有义务保护明星的声音按照合同的约定使用,而不对其人格尊严造成不良影响。但另一方面,导航语音包系导航平台投入大量人力、物力,经过长期经营积累聚集而成的,且平台已向该明星支付了声音权的财产对价。企业对导航语音包享有使用、许可使用和有限处分的权利,并可通过法定程序交易该数据包。
总体而言,可以合法流转的数据是指企业通过合法收集、经过实质性加工和创新性劳动形成的数据产品。原始处理者作为数据供方的,其处分权以数据来源者的有效授权为前提;继受处理者作为数据供方的,处分权以其与前手签订的数据流转合同的可再转让约定为前提。数据交易有利于充分挖掘数据要素的经济价值,但应当充分保障数据上的公共利益和人格利益。对于可能危害国家安全、公共利益、侵害个人隐私的数据,明令不得交易。
四、交易可溯:构建多层次数据权利登记体系
数据交易场所可以探索形成多层次多样态的数据交易和交换服务,与此对应,数据登记也包括确权登记、对抗登记与存证登记等效力类型。数据确权登记是针对权利归属情况清晰、产权主体单一的数据进行的登记,如在不涉及数据安全问题的情况下,对企业自行收集的实验数据、测绘数据进行的初始权利登记,其目的在于通过严格审查程序确定数据初始产权。权利对抗登记是针对数据集整体转让和数据排他许可使用进行的登记,交易活动经登记后产生对抗第三人的效力。数据存证登记是针对涉及普通许可使用或者数据服务场景下,数据流转历程的登记。三者的区别在于登记目的不同:数据确权登记的目的在于合法性确认,权利对抗登记的目的在于有效避免数据的无权处分行为,数据存证登记的目的在于证明交易真实和权源正当性。它们都是登记对抗主义而非登记生效主义的衍生品,只是在证明力上存在差异。
(一)公示公信原则在数据交易中的体现
“公示就是公之于世。”[37]物权的公示要么指向权利存在,要么指向权利变动。传统的物权公示方法包括占有、标示和登记三种,其公示力由弱至强。而公示方法的选择,主要取决于被公示对象本身的自然属性及其上附着权利的特性,以及被公示对象的价值大小即通过登记管理的必要性。[38]从对象特征和权利属性来看,数据与专利、商标、股权等无形财产一样,无法适用占有方式而只能以登记作为公示手段。从数据价值来看,数据作为信息时代的重要生产要素和资产,与工业时代的航空器、船舶和机动车一样,不仅为当事人重视也为国家重视,可以登记作为数据权利的公示方法。
数据权利公示具有必要性。首先,数据经济价值巨大,从既有判例来看数据价值动辄百万以上,甚至超过了不动产,当事人有确权与公示的现实需求。其次,数据还与公共安全、隐私保护紧密相关,一旦遭到非法盗用不仅会侵害数据处理者的竞争性经济利益,还会威胁众多个人用户的个人信息安全。再次,从数据的交易频率来看,它具有频率小、换手率低的特点,对数据权利和数据交易进行登记具备现实可能性与经济效率性。最后,由于数据可为多方当事人同时使用,往往出现因许可使用、互换协议等原因使用他人数据的情况。如果仅以对数据的实际控制确定真正权利人,将出现认识偏差。因此,无论从数据的价值大小还是管理的必要性来看,都有通过登记进行公示的正当性。
然而,公信原则在数据场景下受利益位阶的限制。登记之公信力的前提,应当是一种生活经验中的高度盖然性。在传统物权领域,不动产善意取得(不动产登簿公信力)的理论基础为纯粹的交易安全保护[39],特殊动产善意取得的原因为对善意第三人合理信赖的保护。法律之所以“将错就错”,皆因第三人“信以为真”。对第三人合理信赖的保护是公信原则的核心要素。[40]但在数据交易场景下是否还有公信原则适用的空间,取决于纠纷所涉利益类型的差异。
举例而言,若甲将其收集的匿名化用户数据(登记编号“123”)卖与乙,乙将此宗数据与其自行收集的数据融合开发后的数据产品(登记编号“456”)卖与丙。而后发现甲的用户授权有瑕疵,乙、丙可否主张仍对“123”号数据享有权利?这取决于具体场景下,裁判者对用户个人信息权益与第三人合理信赖利益何者优先做出的价值判断。一般而言,用户个人信息权益属于法定优先权益,除乙、丙获得用户的特别许可外,不得利用该数据进行开发。与此不同的是,若甲提供的数据不涉及用户授权等法定在先权益保护,但存在非法爬取其他企业公开数据等侵权行为,乙、丙基于对数据登记的信赖,无需承担侵权损害赔偿责任,而甲和登记合规服务提供方需向真正权利人承担赔偿责任。
可见,传统的物权登记与新型的数据登记在降低权利识别成本、保护交易安全方面具有一定的相似性,但两者也有相当大的功能差异。物权登记的公示效力在于防止一物二卖的不诚信行为,公信效力在于保护善意第三人的信赖利益,回答的是不同受让顺位买受人之间或者真实权利人与善意第三人之间的权利先后问题,属于横向的、排他性的权利冲突问题。与此不同的是,数据登记通过展现数据的全部流程历程,增强各方对数据来源合法性的信心,以便利数据的流转交易,保护的是纵向的、非排他性的交易安全,重点回答的是数据初始权属有效性与后续流转过程合法性问题。因此,数据登记不能简单套用现有物权登记模式。
(二)数据权利登记的效力类型
根据被登记对象到底是初始数据权利,还是数据流转合同,我们可以将数据登记区分为确权登记与交易登记。数据收益权的取得不以登记为生效要件。但登记机构通过严格审查流程出具的确权登记证书,有较强的权利证明效力,从而免除数据需求方对数据来源合法性与权利真实性的审查义务。然而,交易登记证书只是登记机构对交易相关文件进行形式审查后出具的证明文件,权利真实性的证明力较弱,当事人需要自行审查历次交易文件以辨明权利变动效力。
⒈数据确权登记
数据确权登记是登记中心在对数据来源合法性进行实质审查后,对数据权利的背书。其目的在于通过发放数据权利登记证书的方式,降低第三人对数据交易合法性审查的成本,增强各方信心,提高数据要素流转的市场活力。2022年4月,中国工业互联网研究院依托国家工业互联网大数据中心体系,开展工业互联网数据确权(登记)中心建设,就不具有隐私和产权争议的工业数据进行登记。[41]
数据确权登记的对象只能是来源主体和生产过程简单的、权属清晰的数据,如企业收集处理的天气数据、通过实验和技术开发获取的数据等。对于来源于自然人信息、企业工商信息的数据及其加工处理所得的数据产品,因可能涉及用户隐私利益和企业商业秘密,登记机构无权也不宜就其中的权利分配作出评判和登记。在登记的检索方式上,与房屋登记之检索类似,利益相关方对数据确权登记信息的查询应当以“产品”为中心,而不能以“主体”为中心。这不仅能够实现查明交易标的权属情况的目的,还能防止同行的恶意检索和竞争。
⒉数据权利对抗登记
数据权利对抗登记是对数据整体转让和排他许可使用进行的登记,登记产生对抗第三人的法律效力。数据权利对抗登记的目的在于通过对数据权利主体、使用权限和转让过程的记载,防范卖方无权处分、买方超范围使用数据的违约风险。与此类似的是《民法典》第225条规定的特殊动产物权变动登记。一方面,当事人可以自由选择是否办理登记,登记并非数据权利变动的法定要件,交易当事人完全可以选择以数据访问或者数据传输作为权利有效变动的条件,这在一定程度上充分尊重了当事人的自由意思。另一方面,未经登记的数据转让或者排他许可使用行为,不产生对抗善意第三人的效力。数据出让方再向善意第三人转让数据或者许可第三人使用数据的,原数据受让人不得对抗善意第三人。
需要强调,登记的对抗效力须由法律明确规定。在尚无数据产权立法就此作出明文规定的情况下,第三人并无在交易前查询登记的法定义务。登记是当事人自愿选择的公示手段,仅具有证据效力,而不具有对抗第三人的效力。但在同一交易所的内部当事人之间,可能依据交易所的管理办法,以登记事项作为判定权利人及其顺位的依据。
⒊数据交易存证登记
数据交易存证登记的对象为数据产品的普通许可使用和数据开发服务,其目的在于通过对历次交易核心内容的记录与公示,以备溯源与考察。它有别于前文提到的确权和对抗登记,不直接产生权利变动的法律效果,但可以发挥存证证明作用。数据交易存证登记是对交易过程而非对主体权利的记录,以交易合同为中心。交易所的审核重点在于数据交易重要条款的内容与真实性,而非对数据提供方权利的背书。它与美国不动产契据登记[42]类似,往往记载了交易的真实对价,这不仅有利于数据交易公允价值的发现(即市场法估值方法的应用),同时能便利交易相关税费的征收。
数据权利登记机构可以在交易契约登记的基础上,以契约和交易主体分别为中心,制作数据流转情况的索引,以便利数据多次流转中当事人对数据交易合法性与正当性的调查。例如,为确定本轮交易的数据提供方是否具有数据处分权,数据需求方应当检索数据提供方的权利来源——原始取得抑或继受取得。若数据提供方通过继受取得的方式获得数据权利的,那数据需求方可以供方为主体由近及远地检索历次数据登记文件,从而判定数据提供方是否真正拥有相应的数据处分权。
数据权利登记服务于两大目的:一是初始权利登记,为后续流转提供合法性背书。二是数据流转登记,其目的在于保障数据流转过程有据可循。数据权利登记制度一方面继承了传统交易安全理论,并结合数据的特征,发展出新的动态交易安全内涵。另一方面,数据权利登记不同于传统不动产物权登记,是一种灵活的、一事一议的登记。
五、结语
进入数字化、智能化社会以后,法律从事后调控的角色向事前行为塑造的角色转型。在数据交易场景下,“法律融入技术”“法律归化技术”表现为将数据权利取得的法定要件及数据登记制度设计充分融入技术方案之中,以有效防范交易各方的违约风险。在技术层面,交易所通过两项核心技术为数据交易建立可信屏障。一方面,为了解决卖方担心被交易数据因涉及用户隐私或者其自身商业秘密而不可交易的问题,数据交易场所提出可用不可见的技术方案,通过联邦学习、多方安全计算、可信安全技术等隐私策略解决卖方担忧。另一方面,在防止数据超范围使用、一数多卖等买方风险方面,区块链与权证登记技术发挥了重要作用。在制度层面,本文以作为交易规则“参考点”的场内交易为研究对象,从数据集中交易场所的公益性、中立性出发,分析了数据流转的业务模式与风险类型,并以此明确了数据交易前的可信审查要件,最后回答了数据权利登记的法律效力问题,以期为数据可信交易制度的设计提供参考思路。