一、文章结构

二、文章要点

【本文旨在】进一步阐释数据流通的含义和必要性，以及数据流通性、数据流通形式和法律规范，已勾勒数据经济的基本形式，同时也为数据赋权提供进一步理论支撑。

（一）数据流通：数据价值实现方式

IBM将大数据概括为4个“V”，即数据量(Volume)大，数据形态多样(Variety)，数据处理速度(Velocity)快，数据价值(Value)密度低。人工智能开启了一种新的知识和智慧形成或供给方式：使人类由过去的主要依赖人力(观察记录)收集数据、分析客观世界，形成知识和智慧，转变为依赖人力和智能机器两种方式形成和供给人类知识和智慧。数据流通是实现数据社会化利用和实现数据资源价值的必然路径，有了社会化数据流通和利用，才能形成数据经济。数据流通的前提是承认数据控制者享有权利，否则无法构建数据资源的流通秩序。

人们只讨论数据流动(data flow or flow of data)很少使用数据交易(data transaction)、数据转让(data transfer)之类术语。重要原因是不存在基于产权的数据交换或交易。在实践中多用数据分享(data sharing)来描述数据流通和利用事实。数据分享既能回避产权问题，又能描述数据被不同主体使用的事实。

数据转化为知识或智慧

数据的价值在于分析其描述的对象，获取对对象的认知，分析其规律，预测其行动趋势等。数据流动是围绕数据被分析利用后所产生的价值为目的展开的。数据不同于物质商品，不会因利用而减损其价值，相反数据的利用会使其增值。另外数据不同于物质商品之处还在于数据使用时不以实际占有为前提，可以通过查询、阅读等方式实现数据的利用。数据具有积累性(Cumulative)与非消耗性(Non-deteriorating)的特性。数据的价值具有可变性、多样性。其价值取决于它与哪些数据结合以及与多大规模数据结合，也取决于采取什么样的算法以及用于什么样的目的或场景。数据交换价值的基础是数据关联性、准确性以及可用性，并受数据供给(市场)的影响。数据的商业性流通是数据利用最有效的方式，并且可以激励数据生产和数据提供（分享），最大化地实现数据的价值。

数据流通的两个层面：

（二）数据流通的含义和形式

数据流通向他人提供数据或使他人接触或使用数据的行为。对于数据资源来讲，流通即使用，使用即流通，流通即是数据的生命，流通是数据社会化利用的方式。数据不完全不具有排他性（无法完全占有）；数据也不具有竞争性（多人控制、多人使用）。

一旦数据流通被法律认可，许可合同便是数据使用、流通的基本法律形式。数据许可合同的基本功能：首先，明确数据流通的方向或来源，确立数据流通的秩序，使数据流通可追溯；其次，数据许可合同可以明确数据流通双方的权利、义务和责任，通过约定之债的形式将数据流通纳入法律调整范围。数据的私法规制应体现出私法的核心即自由，许可合同体现了契约自由。在一定程度上符合数据流通的特质（多样性、可变性）。另外，在法律认可数据控制者享有许可权（允许他人使用数据的许可权）的基础上，每个数据控制者便可将数据拿出来，在与他人的数据结合中发挥其价值。此时数据控制者的数据使用权事实上就一种财产权，具有上升或转化为法律权利的可能。

数据有序流动的三种类型：

（三）数据的可流通性

与主体分离后的数据为数据控制者使用，形成首次数据使用关系，完成个人数据的首次流动。但只有当数据控制者将所拥有的个人数据又提供给了他人使用时，才是数据流通。数据主体同意的法律有效性存疑：数据控制者为了规避自身风险和责任，让第三人合法使用其提供的数据，在向数据主体收集时就会让数据主体做出允许第三人使用该数据的同意。此时数据主体并不知第三人为何人、更不知第三人利用数据的目的，因此数据主体的同意的有效性存疑。

《网络安全法》第42条的但书条款在个人同意之外，为个人数据流通提供了另一种合法性基础，即经过处理使个人信息达到“无法识别特定个人”且“不能复原”。如何判断数据处理达到了“无法识别特定个人且不可还原”。至少有两种理解:其一，这里的处理只是去除身份识别，使数据中不存在直接与个人关联的身份数据或者唯一性识别符 其二，处理之后的数据不具有识别能力，包括不存在与其他数据结合可以关联到某个人的情形。第二种理解较为符合第42条但书条款文义，但是并不符合个人数据流通利用的实践，应当在第一种理解之上创制个人数据流通规则。

非个人数据与个人数据相对应的概念，因而一般采排除法来定义。即个人数据以外的数据都属于非个人数据。非个人数据是对人以外的物质世界和社会要素进行数字化记录或描述的数据，包括但不限于关于物质天体、机器设备、组织机构等的数据。非个人数据之所以为非个人数据，其根本点在于其不具有识别分析个人的能力，而只是用来分析物、机器、组织行为的能力或价值，只是对事件或现象的描述，而不能直接追溯或关联到人。非个人数据分类：一类是“无关个人的数据”，另一类是“去识别”+“不能复原”的数据。个人数据与非个人数据的划分具有模糊性，二者之间可以相互转换，这意味着个人数据与非个人数据的划分并非是数据的现状或事实分类，而是基于管理上的分类，在实践中具有可变性。

（四）数据流通的法律基础

数据使用意味着流动，也意味着数据相互匹配混合，因此很难产生清晰的产权分界。即使能够赋予法律权利，因数据的高度流动性，这种赋权的意义不大。在某个时点数据还是有控制者的，特定主体对特定范围的数据具有某种程度的控制，只要法律承认和保护数据控制者对数据具有事实上的控制，那么也能以此构建数据利用秩序。

目前我国的数据流通利用的现状：一方面法律禁止违反法律向外人提供数据的行为，严重的可能面临刑事风险；另一方面对于什么是合法的数据流通行为却没有明确的法律规范。为了减少数据流通的不确定性，法律应当提供两个方面的规则：一是数据控制合法性判断规则；二是数据流通利用的责任规则。

在数据许可使用中，法律无法清晰界定数据控制者的权利，数据控制者也无法拿出一份证明文件，证明其权利及其权利的清洁性。因此，只能依赖数据控制的合法性来替代传统的权利公示和判断规则。

在没有明确法律界定的情形下，数据控制者对数据的事实控制应当满足以下条件，数据许可使用才满足合法性要件：数据来源合法；数据可流通（个人数据是否可以流通取决于流通的目的是否危害数据主体权利或者是否要受主体权利控制。同时，当数据上存在位阶高于数据控制者的利益时，就制约了数据的可流通性）。

数据流通的风险和责任主要来自两个方面:一是源自于数据控制合法性判断带来的风险 二是源自数据安全风险。应当对数据的侵权责任和违反责任作出区分：在数据收集和使用侵害他人的商业秘密和数据上的人格利益或个人信息保护利益时，应当按照侵权责任法的基本原理认定数据提供者和数据使用的侵权责任，只有在当事人知道数据获取或使用行为存在侵权事实时，才需要对流通相对人的侵权行为承担责任。在发生数据泄露等不安全事件情形下，数据提供者只有在疏于审查直接使用者资质的情形下，才承担相应的责任，而不应随意地牵连数据流通链条上的其他当事人对安全事件承担法律责任。

（五）本文结论

数据流通原始数据在不同数据控制者之间的流通，使数据不断与其他数据结合匹配成为数据智能分析原料的过程。数据流通的对象包括数据集，但不包括智能分析产生的结果(作品、知识或智慧)提供或被应用于社会活动。数据流通需要解决两个问题：一是数据的可流通性问题，二是数据流通的法律基础。去除个人数据(集)中的直接识别、显著关联个人且唯一性的识别符之后的个人数据，即使仍保留一定的可识别性，其仍然可以流通。数据控制者基于事实控制即可产生许可他人使用数据的权利。