一、数据交易的特点及法律性质
(一)数据交易标的
大数据作为流通交易的标的,与传统的交易标的相比,其本身就具有很大的特殊性。从交易层面而言,数据具有如下特征:数据占有主体的非唯一,数据价值的相对性,数据与服务的不可分割性。(张敏,2017)计算机存储数据的方式决定了数据交易具有较强的隐蔽性,个人数据交易会有多方参与,用户被排除在交易之外等特点。(史宇航,2016)数据交易的特殊性同时还体现在交易标的的安全问题重要,交易标的确权前置,交易双方主体资格需审查等方面。(张敏,2017)
数据交易的对象是独立、可流转且主要具有财产权属的“大数据信息”,而非其他。(王德夫,2019)数据供方(卖方)、数据需方(买方)、数据交易服务机构或者平台(交易中介),应是大数据交易的法定主体范围;(张敏、朱雪燕,2018;王德夫,2019)数据服务机构应对交易数据的合法性、真实性、准确性、安全性进行审核,保证数据质量。(张敏、朱雪燕,2018)广泛的数据信息来源主体和交易活动之外的数据信息利用者,他们的利益即便不体现为直接的财产性权利,也应当通过合适的制度设计获得承认与保障。(王德夫,2019)大数据可分为政府数据、企业数据和个人数据,应当通过差别化的方法分别明确限定范围。(张敏、朱雪燕,2018)
(二)数据交易模式
大数据交易模式可被划分为两类:一种是基于中介加处理的大数据交易平台的大数据交易(提供中介服务的同时,也参与到交易环节当中),另一种是基于纯粹中介的大数据交易平台的大数据交易(本身不存储数据、不分析数据,而仅作为买卖渠道,赋予自身监督管理权限)。(张敏、朱雪燕,2018)
交易行为则体现为数据信息所有权的转让、数据信息许可使用及信息化服务等多种方式,换言之,数据信息的买方从交易中购买到的究竟是相关数据的所有权、使用权还是享受服务的权利,这仍是一个难以确定的问题。(王德夫,2019)。所谓“买卖合同说”,是指将数据交易行为定性为买卖合同从而适用买卖合同规范予以调整的一种学说。(高完成,2018)“许可使用说”认为在数据交易中并不存在所有权的转让,数据交易的行为不是商品性质的买卖,其本质上属于许可使用合同,数据产品需求方只是由于付费而获得了数据产品的许可使用权。(高富平,2019)“服务提供说”认为,大量的在线经济活动都可以被“信息社会服务”所涵盖,尤其是涉及在线产品交易的行为,可以直接纳入服务提供合同的范畴进行规范。也有观点认为,数据交易法律性质的界定需要结合具体的数据交易类型从而分别进行判断。数据产品在线销售的法律性质属于特殊的买卖合同;数据产品在线服务在法律性质上是一种特殊的租赁合同。(高完成,2018)
二、数据交易平台类型与功能
在国外很早就有大数据开放交易平台,美国的Factual公司向大公司和软件开发商提供免费以及付费数据。2013年,日本的富士通公司也宣布建立自己的大数据交易市场——Data plaza。我国的大数据交易起步稍晚,但近两年发展迅猛。(汤琪,2016)我国已成为产生和积累数据量最大、数据类型最丰富的国家之一,技术先进、应用繁荣、保障有力的大数据产业体系将在2020年基本形成,各种数据交易中心也纷纷成立。
(一)数据交易平台的三大类型
国内现有的数据交易平台主要有三种类型,一是以贵阳大数据交易所为代表的交易所平台;二是以中关村数海大数据交易平台为代表的产业联盟性质交易平台;三是以数据堂为代表的专注于互联网综合数据交易和服务平台。(高完成,2018)根据大数据交易平台对于自身法律地位及权利义务的界定,还可以对数据交易平台做下述分类式:第一种,明确将大数据交易所界定为自律性法人,明确大数据交易所的监管职责,如贵阳大数据交易所;第二种,没有明确界定大数据交易所自律性法人地位,但明确规定大数据交易所监督审核的权利,如中关村数海大数据交易平台、安徽大数据交易中心;第三种,既没有明确界定大数据交易所自律性法人地位,也没有明确规定大数据交易所监督审核的权利,会员自主登记注册即可成为会员,对于会员的资格,交易平台并不审核确认,如哈尔滨数据交易中心、华东江苏大数据交易中心。(张敏,2017)
(二)数据交易平台的功能
数据交易平台作为数据的集中交易场所,是整个数据产业的基础与核心,为了保障数据交易市场的安全、有序,有必要赋予数据交易平台一些重要职责。第一,保障数据交易系统安全稳定。第二,监督数据交易过程。第三,提供数据交易信息查询服务。(高完成,2018)个人数据在数字时代扮演着关键的角色。立法者正致力使数据控制者通过自我规制来保障个人资料,因此制定了具有约束力的公司规则,作为最新的法律制度,以确保在数据国际移转时能有足够的保障。(Yuen、Sunni,2008)
大数据交易应以交易安全为终极价值目标,以交易安全和数据自由流通为原则。应建立以大数据交易平台为中心的大数据交易体系,同时确定大数据交易平台第三方自律性法人地位并赋予其自律监管的职责,通过行政监管的方式确立大数据交易平台的事前准入制度。建立大数据交易平台的双重监管体系,确立大数据交易的二元监管模式。(张敏,2019)
以数据交易所为例,有两项基本特征,一是提供数据交易的场所,构建数据交易的市场;二是作为交易的集合体,对交易所需要的市场进行维护(监管)。(史宇航,2016)由于数据产权法规、隐私法和相关交易法规的缺失,我国大数据交易在实践中面临着产权不明、授权复杂、定价困难、交易缺乏透明性、难以保证公平交易、隐私泄露等法律风险(汤琪,2016)。体现出我国大数据交易法律监管的必要性。故有观点认为,大数据交易平台应充当第三方自律性法人,对这一平台的监管应通过行政监管的方式,采用准入制度,设定准入条件并颁发相应的许可证。同时数据交易平台也应承担相应的监管职责,提供交易规则,审核交易主体资格,监督交易行为。(张敏,2017)
三、欧美数据贸易立法述评
欧盟主导的规制体系更倾向于高水平的隐私保护,强调以立法的方式进行事前防范。美国主导的规制体系更倾向于数据自由流动,主张以行业自律的形式进行事后问责。(黄宁、李杨,2017;彭岳2018)与欧盟通过收紧数据跨境政策,提升个人数据保护水平的努力不同,美国更希望通过促进数据跨境维护业已建立的信息优势。(黄道丽、何治乐,2017)两种规制方式在价值取向、规制路径和规制结果等方面存在巨大差异,既激烈竞争,又相互妥协和融合,构成了个人数据跨境流动规制的国际格局。(许多奇,2018)在两套规制体系外,很多国家往往以分散的、单边的方式对跨境数据流动实施规制,却并没有产生直接的国际影响。(黄宁、李杨,2017)
(一)欧盟数据贸易立法述评
欧盟采取了以地理区域为基准的立法制度。该制度包括“充分性”和“跨境控制”两方面内容,即欧盟要求成员国限制境内的个人数据向境外转移,除非数据接受国或地区被欧盟证明具有“充分性”保护水平。(张舵,2018)《欧盟基本权利宪章》将个人数据保护纳入基本人权的范畴,阐明了欧盟数据保护的基本立场。GDPR兼具社会性壁垒和技术性壁垒的性质,是数字经济时代的新型贸易壁垒。(田晓萍,2019)美国没有统一的个人数据保护法,没有将个人数据权确立为宪法意义上的基本人权,也没有独立的数据保护机构,主要通过行业自律和民事救济的途径解决纠纷,(田晓萍,2019)美国关于个人数据保护要求,属于典型的“以组织机构为基准”的行业自律模式。(张舵,2018)
(二)美国数据贸易立法述评
美国为化解欧盟数据立法产生的贸易壁垒,一方面通过双边协议与欧盟达成妥协。(田晓萍,2019)2000年12月,美国商业部跟欧盟签订一份名为安全港的协议,美国向欧盟数据保护标准靠拢。(汤琪,2016)欧盟法院在Schrems v. Data Protection Commissioner一案中的判决,宣告了EU- US安全港安排的无效,是欧盟数据保护法的一个里程碑。Schrems的判决说明了欧盟数据保护法倾向于注重保护数据传输的法律机制,而不是在实践中保护。(Christopher Kuner,2017)
2016 年2月2日,在深度讨论了两年后,欧盟和美国达成了数据跨境流动和保护的新框架——欧美隐私护盾协议。(谢永江、朱琳、尚洁,2016)另一方面,美国试图通过区域协议与欧盟争夺国际话语权。亚太经合组织于2005年通过《APEC隐私框架》,《框架》与欧盟的规制体系存在显著差异。为推动《框架》的执行,APEC于2011年出台“跨境隐私规则”(CBPR),为涉及数据跨境传输的企业提供了一个自愿认证系统。(田晓萍,2019)从具体规定可以看出,行业自律模式同欧盟的“充分性”标准相比,其保护要求较低,且认证内容和要求相对较少,以实现最低限度限制数据自由流动的目的。(张舵,2018)迄今为止美国通过APEC获得的实际影响力非常有限。美国的信息披露要求与欧洲(尤其是德国)的数据隐私法之间的冲突仍在继续,尚未得到解决。( Patzak、Andrea、Hilgard、Mark C.,2011;Tim Wybitul,2011)
(三)欧盟模式与美国模式的协调
欧盟和美国均认同数据隐私保护和数据跨境自由流动两大规制目标,并且均认识到市场自治的不足,在面对数字经济全球化的诉求时,存在着规制协调与合作的空间。(彭岳,2018)为促进欧盟和亚太地区的个人数据流动,2012年APEC和欧盟成立联合工作组,致力于CBPR和 BCR两个体系间的互通和融合。但由于两个体系的显著差异,两者的融合进展缓慢,至今未有实质性的突破。(田晓萍,2019;张舵,2018)
四、数据本地化措施对数据贸易的影响
数字经济背景下数据隐私保护与数据跨境自由流动之间的冲突已然成为争议焦点。在GATS允许各国以数据隐私保护为名限制数据自由流动的背景下,各国纷纷采取数据本地化措施。(李海英,2016)一些国家已经开始通过法律来阻止跨境数据传输,表面上是为了追求国家安全、公共道德或公共秩序以及隐私等政策目标。(Mitchell、Andrew D.、Hepburn、Jarrod,2017)数据本地化是本地化贸易壁垒的新形式之一,一些国家针对某类数据(如政府数据、个人数据等)设立本地化要求,有的国家则针对所有数据的跨境流动进行限制。(石静霞,2015)从规制结构上分析,数据本地化措施可大致分为原则和例外两类。其中,禁止数据出境、在本地储存和处理数据等构成基本原则,而出口数据需经数据主体同意或规制机构许可构成例外。(彭岳,2018)有研究表明,数据安全并不取决于数据在何地存储,而在于存储技术和方法。因此,将数据限制在本国境内并无益于安全和隐私。(石静霞,2015)同时,虽然世界贸易组织的法律没有这种具体规定,但限制性数据转让措施可能违反《服务贸易总协定》的不歧视原则和市场准入原则,除非根据《服务贸易总协定》的一般例外情况,这些措施有正当理由。(Mitchell、Andrew D.、Hepburn、Jarrod,2017)
我国《网络安全法(草案)》中对关键信息基础设施的运营者收集和产生的公民个人信息等重要数据做出了本地化的要求。数据本地化立法由于在保障国民安全、政治安全、便利执法和促进经济发展的重要作用,具有正当性的现实基础。中国应针对不同数据的安全性要求差异,妥善规定数据本地化的标准,并审慎确定数据本地化义务主体范围。(王玥,2016)
五、我国数据贸易规制现状
纵观我国现有法律法规,与数据交易相关的规范付之阙如,更是缺乏对数据确权、数据交易规则的基本规定。2012年3月31日通过的《最高人民法院关于审理买卖合同纠纷案件适用法律若干问题的解释》将无实物载体的电子信息产品交易纳入了买卖合同范畴,对电子信息产品的交付方式进行了规范。2016年11月7日通过的《网络安全法》对网络数据进行了界定,并规定在网络建设、运营和服务方面要求相关主体采取技术措施和其他必要措施,维护和保障网络数据的完整性、保密性、可用性,防止网络数据泄露或者被窃取、篡改。2017年3月15日通过的《民法总则》对数据进行了原则性规定,表明民法典积极回应大数据时代的立法呼声,然而对于数据确权问题并未给出明确答案,更未规定数据交易的基本内容。目前,与数据交易直接相关的规范为《贵州省大数据发展应用促进条例》,这是我国第一部关于数据开发应用的地方性法规,对数据的采集、存储、清洗、开发、应用和交易等环节进行了框架性规范,在一定范围内将数据的应用实践纳入了法治轨道。除此之外,我国还存在数据交易的行业自律性规范,如《贵阳大数据交易所702公约》《数据流通行业自律公约(2.0版本本)》以及上海数据交易中心发布的《数据互联规则》等,旨在解决数据流通领域长期缺乏的行业规范问题。但是这些行业自律性规范并不具有法律效力,缺乏可执行性。我国司法实践也面临对经过匿名化处理的数据如何进行定性以及确权的基础性问题。(高完成,2018)
由此可见,中国并无综合性的数据贸易法,相关规定散见于主旨有别、内容差异较大的单行法律、行政法规或行政规章之中。中国的电子商务发展世界领先,但数据保护规则仍处于探索阶段。(赵骏、向丽,2019)虽然中国《网络安全法》关于用户同意的规定更接近于美国数据隐私法,但缺少类似独立执法机构以防止发生不公平和欺诈。可以说,中国长期以来对个人数据和个人信息保护水准偏弱的局面未有根本突破。(彭岳,2018)由于我国《个人信息保护法(草案)》目前尚处于公示阶段,在当前司法实践中通常采用隐私权、人格权等相关制度对数据主体进行保护。但是,专门立法的缺失,对于消费者合法诉求的实现、行政机关和司法机关的执法都带来了困难。此外,我国行业自律机制发展不完善,隐私保护相关的技术标准和管理标准远落后于世界先进水平,也尚未成立专门的DPA或PEA等机构。(张舵,2018)
六、对我国数据贸易立法的建议
我国应尽早参与国际规则的制定。(弓永钦、王健,2015)从中国在构建跨境数据流动规则的过程中应从以下四个方面努力:首先,完善个人信息保护立法,平衡个人信息保护与跨境数据流动的关系;其次,借鉴“问责制”原则,推进行业自律制度的建设;再次,重视国家信息安全立法,对跨境数据流动采取分类管理;最后,积极参与国际层面的规则制定,在守住风险防范底线的前提下关注中国企业在跨境数据流动方面的进攻利益。(韩静雅,2016)
在国内立法方面,有学者建议我国应尽快出台个人信息保护法,构建个人信息保护法律体系;建立专门的个人信息保护监管机构;完善个人信息跨境流动的监管制度和机制;出台跨境数据流动行业标准,加强行业自律;加强国际合作,构建中欧数据安全对话机制,积极参与网络空间国际规则的制定。(谢永江、朱琳、尚洁,2016)我们需要建立专门的法律规定大数据交易的合法范围和界限,确认数据财产性法律地位。可在现有征信条例和隐私保护的法规基础上,按照证券法的基本架构,采用了“基本法”加“专门法”的原则设计数据交易整体法规架构。在没有有关数据归属的明确法规的情况下,制定有关的行业标准和规范是最实用和有效的方法;建立个人数据交易许可机制;加强数据产权环境的改善。(汤琪,2016)
鉴于中国数据隐私保护标准相对较低,内容审查标准相对较高,当前应支持采用“原则+例外”的规制框架。数据跨境自由流动成为常态,而较高保护水准的数据隐私保护要求,以及涉及国家安全、公共道德和公共秩序的内容审查机制均可被纳入例外,只有在符合一定的采纳和实施要件之后才能阻止数据流动。(彭岳,2018)有观点认为最佳的途径应该是学习借鉴欧盟与美国的规制方法,同时分步骤推进国内规制实践,进而根据实践效果确立最合适的规制模式。(黄宁、李杨,2017)中国可在双边协定的签署过程中不断细化、推进数据保护规则,从而扩大中国规则的影响力,提升中国话语权。多主体齐心协力增强信息隐私保护。为了弥补标准的滞后性,可以考虑美国以市场为导向加之以行业自律进行规制的方式,由市场参与者自主形成标准,辅以国家参与。(赵骏、向丽,2019)同时有学者认为,中国目前还无法仿效美国从双边和区域层面做出有效应对。我国的个人信息保护法不宜盲目追随欧盟的GDPR,但应达到全球第一代个人信息保护法的标准,同时吸收第二代和第三代个人信息保护法中的适宜因素。个人数据出境规则的设计应兼顾安全和发展,根据数据的不同性质采取不同的监管路径;设置权威的个人信息保护执法机构,改变执法分散低效的现状。(田晓萍,2019)