环球合规与风控 | 简析数据交易协议的条款设计

来源:环球律师事务所

文章摘要
引言 2021年9月1日生效的《数据安全法》规定,数据是指任何以电子或者其他方式对信息的记录[1]。近年来,数据已从单纯的信息记录、传递载体逐步被认知为一种重要的生产要素[2]。
引言
2021年9月1日生效的《数据安全法》规定,数据是指任何以电子或者其他方式对信息的记录[1]。近年来,数据已从单纯的信息记录、传递载体逐步被认知为一种重要的生产要素[2]。发挥数据价值的关键在于数据流通,而确保数据合法流通需要法律层面的支持。在国家立法层面,《数据安全法》第19条明确:国家应建立健全数据交易管理制度,确定数据交易行为的合法性。在地方立法层面,上海、深圳亦于2022年1月1日正式出台了《上海市数据条例》《深圳经济特区数据条例》,就数据权益、数据交易等问题进行细化。
本文试从企业间的数据交易入手,对常见的几种数据交易协议中的关注要点进行初步梳理。需提请读者注意,由于大数据时代下数据商业利用模式的多样化倾向,本文仅探讨若干数据有价转让方式;实操中,需尽量个案分析,采用合适的交易模式。
一、数据权属和可转让性
近年来,我国相继出台了《数据安全法》和《个人信息保护法》(简称“《个保法》”)为代表的数据领域法律法规,但在现阶段,针对“数据”的各类权利属性在立法和学界中却尚无明确结论[3]。一般认为:数据是信息的载体,信息则进一步可以产生、含载不同的知识和诀窍。于是从不同角度出发,人们可以对某一特定的数据(或其集合)的性质作出不同的判断,且数据含载的信息则又可同时或分别体现不同的财产权利属性。
民法典:尚未纳入有名合同予以保护
在满足特定条件的前提下,数据可具有财产属性[4]。然而,时至今日,我国法律层面对数据权属的界定却并不明晰。《民法典》仅原则性地规定应对数据权利进行保护,未明确规定如何进行保护。《数据安全法》在数据权属问题上,也仍然留白[5]。因此,若简单以《民法典》下的买卖合同、租赁合同等有名合同作为模板进行数据交易的合同设计,可能无法避免合同条款在效力、执行力上的不确定性。
知识产权法规:是否构成著作权或商业秘密,有待个案分析
另有观点主张,可将“数据”纳入知识产权法律制度进行规范。但由于特定数据(以及其含载的信息)是否属于知识产权法规下的客体仍是一个需要个案讨论的问题,因而相关知识产权法律体系是否能直接适用、如何适用,同样存在不确定性。
具体而言,数据与传统意义上的知识产权(如著作权或商业秘密)存在一定区别:
首先,与著作权相比,数据经常不满足《著作权法(2020年修订)》(“《著作权法》”)下的“作品”要求[6]。常见的交易场景中,数据(特别是个人信息相关数据)中绝大部分内容是对事实的记载和对客观事实的反映,较难具有独创性[7]。但在实操中,相关公共数据、自然观测结果甚至统计数据,仍可通过归类、编撰获得著作权属性(例如各类统计数据汇编、年鉴等)。因此,不能一概而论认为数据无法按著作权进行商业利用。
其次,尽管商业秘密在立法和司法实践中被提供了类同于知识产权的保护[8],但并非所有数据都可自动归类于商业秘密的范畴。根据《反不正当竞争法(2019年修订)》第9条,商业秘密是指不为公众知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息。在大数据背景下,并非所有数据都属于商业秘密,甚至数据本身就属于公众信息,无法进行保密,只是被进行了归类、编撰或汇总。于是,特定类型和体量的数据是否可依照商业秘密来定性确权,进而采用就商业秘密常见的协议许可安排,则又另需个案各议。
刑法:特定性质的数据甚至不得转让
尽管数据毋庸置疑可具有财产属性,但并非所有类型的数据均可自由进行转让。例如,我国《刑法》第253条规定的侵犯公民个人信息罪,就数据处理者的特定行为模式设定了刑事责任:“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。”其中,“违反国家有关规定”、“向他人出售或者提供公民个人信息”、“情节严重”是触发该罪名的三个主要考虑的客观方面[9]。
《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》就上述罪行认定有更详细的适用指引:
“违反国家有关规定”指“违反法律、行政法规、部门规章有关公民个人信息保护的规定。”我们理解:违反《个保法》的交易行为将符合此要件。例如,根据《个保法》,除特定例外(例如为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需等)[10]之外,个人信息处理者在处理个人信息时应事先取得个人同意;未经同意擅自处理个人信息的行为可构成此要件。
“提供公民个人信息”是指“向特定人提供公民个人信息,以及通过信息网络或者其他途径发布公民个人信息”及“未经被收集者同意,将“合法收集”的公民个人信息向他人提供的;但是经过处理无法识别特定个人且不能复原的个人信息除外”(该等除外情形与《个保法》第73条下“匿名化”的规定一致)。
“情节严重”要件更有多种表现形式,其中涉及个人信息交易的数量、金额门槛较低(人民币五千元),实务中较容易触发该等构成要件。值得注意的是,“非法获取”、出售或提供一定数量的特定公民个人信息也属于“情节严重”的情形之一。因此,个人信息类型数据交易的数据提供方应保证标的物数据的合法来源。[11]
综上,我们认为,数据是否能转让,是否可以划归为特定的法律保护客体适用标准的转让协议安排,需个案分析。为此我们准备如下的表格予以简单比较:
表一:

数据归类

立法保护(标准合同适用前提)

有价转让时合同起草的考量

著作权

著作权保护的客体是作品,根据《著作权法实施条例(2013年修订)》第2条以及著作权保护的宗旨,其构成要件为:

(1)必须属于文学、艺术和科学领域;

(2)必须表达一定的思想和情感;

(3)有一定的表达形式;

(4)必须具有独创性。

许可使用合同:根据《著作权法》第26条,使用他人作品应当同著作权人订立许可使用合同。

权利转让合同:根据《著作权法》第27条,转让著作权法项下的财产性权利,应当订立书面合同。

著作权许可使用合同包括:

(1)许可使用的权利种类;

(2)许可使用的权利是专有使用权或者非专有使用权;

(3)许可使用的地域范围、期间;

(4)付酬标准和办法;

(5)违约责任;

(6)双方认为需要约定的其他内容。

著作权权利转让合同包括:

(1)作品的名称;

(2)转让的权利种类、地域范围;

(3)转让价金;

(4)交付转让价金的日期和方式;

(5)违约责任;

双方认为需要约定的其他内容。

商业秘密

《民法典》第123条明确将商业秘密作为知识产权保护的客体。

《反不正当竞争法》下商业秘密的构成要件[12]:

(1)秘密性:不为公众知悉;

(2)价值性:具有商业价值;

(3)实用性:是技术信息、经营信息等商业信息;

(4)保密性:需经权利人采取相应保密措施。

通过许可协议对商业秘密的使用权进行商业许可。

常见许可的类型:普通许可;独占许可;排他许可。同时也可在上述许可基础上设置交叉许可;在普通许可和排他许可基础上设置分许可。

许可费用安排:首付款、里程碑付款和特许权使用费。

许可的地域范围和具体用途。

交易当事方的陈述、保证与承诺。

个人信息

定义:以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息[13]。

不得转让的情形:

(1)未经被收集者同意,向他人提供公民个人信息,可能涉及承担刑事责任(匿名化的信息除外)。

(2)任何组织、个人不得非法买卖、提供或者公开他人个人信息[14]。

可以采用当事方约定的合同形式。

转让交易的前提:

(1)告知+同意[15]:向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。

(2)敏感个人信息[16]:必要性+严格保护措施+个人的单独同意。

交易当事方需就《个保法》等法规下关于个人信息处理合规进行必要的陈述、保证与承诺。


而在上述各法律法规明列的监管框架之外,不符合上述性质的其他类型数据的有价转让,则需要起草者通过全面完善各条款来达到具体场景的适用。我们接下来则就数据有价转让的常见合同起草设计要点做简单介绍。
二、数据交易中的定价
正如前面我们所讨论的,数据产品与无形资产具有相似特性。因此,对于数据产品的价值评估,理论上也可以参考适用无形资产的价值评估方法,如成本法、收益法和市场法等。当然,考虑到数据产品估值的特殊性(例如:部分数据往往只对特定较窄的场景有商业利用价值)和使用者本身对特定数据价值的主观判断,当事方的协议定价在当前可能更为普遍。
除传统的当事方之间的协议定价,数据交易平台当前也成为数据交易的一个重要渠道,并已成为当前全国各地促进数据要素流通的主要举措之一。下方就协议定价模式与数据交易平台定价模式的一些基本差异做简要对比,供读者参考。值得注意的是,若采用协议定价,交易双方也可以考虑在合同中约定相应的违约金,以便于守约方向违约方主张违约责任。
表二:
_

协议定价

数据交易平台

交易方式

交易当事方直接对接,并利用自身的数据优势或者采取为客户定制数据的方式进行数据交易

数据交易所作为数据交易的平台,允许数据提供商和客户之间进行多对多的交易

第三方

一般不适用(但存在例外:例如,商业秘密类数据的转让,可能存有应对商业秘密承担保密义务的合同第三方)

数据交易所搭建数据交易的第三方市场,平台本身不存储和分析数据,仅对数据进行必要的实时脱敏、清洗、审核和安全测试

数据交付

由数据提供方直接交付数据需求方

数据交易所作为交易渠道,通过API接口形式为各类用户提供出售、购买数据的使用权,实现交易流程管理

数据定价

合同当事方协商定价

基于数据特征的第三方定价方法(例如:上海、贵阳大数据交易所等数据交易平台均可根据平台自有的数据质量评价指标[17],对数据进行定价。通过第三方定价方法,每个数据集的价格都将根据数据属性因素和数据集的数据量进行计算。数据卖方可基于此价格区间在交易前对交易数据进行定价,并通过与数据买家多轮的协商博弈环节进行复杂合作。)


三、数据交易协议起草中的其他要点
(一)数据交易协议的常见形式
许可:更适用于商业秘密类型数据的有价交易
商业秘密作为一种法定知识产权,实践中转让协议形式可采用商业秘密许可协议。商业秘密许可协议使许可方在保有商业秘密所有权的情况下,可重复利用商业秘密的使用权或者其他财产权益。就被许可方而言,在其没有相关专业技术以及时间精力的情况下,许可协议可以助力相关产品研发,尽快上市。如前所述,商业秘密许可的形式较为灵活,当事人可以根据实际需要选择最符合交易安排的许可类型。此外,许可交易常采用里程碑付款的形式,灵活安排交易节点,最大可能避免纠纷和不必要的损失。
转让:更适用于具有独创性的数据的有价交易
尽管部分类型的数据在特定情形下,如《刑法》第253条所述,不得非法向他人出售或者提供。但另一方面,由于现行的法律法规并未明确数据权属(例如确权);实践中,我们理解:当数据交易双方拟进行的数据交易标的物为具有独创性的数据、具有著作权法所保护的“作品”的属性,则交易双方亦可考虑以著作权许可或转让的方式进行有价交易。该等情况下,数据提供方亦仅可向数据需求方转让数据著作权中的财产权[18]。
服务:更适用于未经特定法律法规明文分类定性的数据的有价交易
此外,某些数据交易协议也可以数据服务协议的方式进行,特别是由数据提供方将数据以类似“数据即服务”(DaaS)的方式进行有偿服务的盈利模式。若数据提供方与数据需求方之间的数据交易以类似DaaS的方式提供,数据提供方的义务主要体现在向客户提供数据服务,表现方式多为通过API的方式按需提供来自各种来源的数据,旨在简化对数据的访问,并提供可用于多种格式的数据集或数据流。
在我们看来,DaaS类数据服务协议的重要商业意义之一是:在目前世界各个主要经济体均出台对跨境数据传输进行限制的法律法规的背景下,若双方数据交易涉及到受较多限制的数据跨境传输,且这些需跨境转移的数据(尤其是例如中国法下设定的重要数据、敏感个人信息等)被要求留在某个特定的司法辖区而无法进行自由流动,数据需求方可自第三方数据处理机构购买DaaS服务,由后者将这些不能跨境流动的数据进行脱敏处理,通过数据服务协议的形式向数据需求方提供对于受限制数据的分析、统计报告,以达成间接使用受限制数据的最终目的。
其他:除上述较常见的数据交易协议类型外,实践中还存在特定不可分离的实体物和数据共同转让的情形。例如:交易双方合作研制一款产品原型(药物、机械,不一而足),提供方将产品、细胞、血液制品、样品原机等有形标的物与附随的(且必须的)相关数据共同交付给交易对家。该等商业模式采用何种形式进行数据权利归属的合同安排,暂无“市场标准”结论,需根据实际需要个案各议。
(二)数据交易协议下的跨境传输
数据交易协议条款的起草和设计除考虑客户的具体数据交易的商业需求外,还受制于必须适用的强行性法律法规(如2022年9月1日将开始施行的《数据出境安全评估办法》等)。特别是,若交易行为涉及如下类型的数据的跨境转移:
表三:
_

人类遗传资源

个人信息(含敏感个人信息)

重要数据

交割先决条件设计要点

将人类遗传资源信息向境外(外国组织、个人及其设立或者实际控制的机构)提供或者开放使用的(参见作者另文:《药物上市前数据合规概述(下):国际合作与跨境传输》

(1)应向国务院科学技术行政部门备案并提交信息备份[19]。

(2)此外,人类遗传资源信息很可能涉及个人信息,和/或被认定为是重要数据。设计交割条件时,或需考虑与右侧个人信息和数据出境制度竞合的特定场景和条款设计。

若先签订数据交易协议后申报评估,建议在协议中注明此协议须在通过数据出境安全评估后方进行数据交易的交割(甚或作为生效要件),以避免可能因未通过评估而造成交易双方的损失。[20]

(1)完成个人信息保护影响评估;

(2)获得国家网信部门批准的出境安全评估[21](如适用);

(3)个人信息保护认证;

(4)按照标准合同与境外接收方订立合同等。

前述(2)至(4)可以根据实际情况选择其一适用。

截至本文发表之日,国家互联网信息办公室2022年6月30日公布的《个人信息出境标准合同规定(征求意见稿)》尚在征求意见阶段。待其正式生效后,交易双方更应采用该标准合同条款作为交易协议的一部分,当事方应在标准合同生效之日起10个工作日内,向所在地省级网信部门备案;且数据交易协议中的条款不得与标准合同条款相冲突[22]。

(1)完成数据出境风险自评估;

(2)获得国家网信部门批准的出境安全评估[23](如适用)等。

适用上述安全评估的情形包括:

(一)数据处理者向境外提供重要数据;

(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;

(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;

(四)国家网信部门规定的其他需要申报数据出境安全评估的情形。

适用法规

《人类遗传资源管理条例》《个保法》及《数据出境安全评估办法》等。

《个保法》《数据出境安全评估办法》《个人信息出境标准合同规定(征求意见稿)》及《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》等。

《数据出境安全评估办法》《网络数据安全管理条例(征求意见稿)》等。

办理时长

暂无明文规定。

完成个人信息保护影响评估或数据出境风险自评估的一般流程需至少1个月,出境安全评估获批(如适用)至少约需2个月。整体而言,上述步骤(包括个人信息保护认证)若作为交割先决条件很可能需数月方可达成。


四、结语
数据的价值主要在于对其的商业利用和流动。随着我国在数据领域的法律法规逐渐完善,我们相信数据交易的浪潮即将到来。数据有价交易以及相应的跨境传输将会是跨国企业在中国个人信息和数据监管逐渐完善、升级的环境下需考虑的主要问题。我们将会持续关注数据交易领域的法律法规更新动态,并在后续文章中予以分享。
注释:
[1] 《数据安全法》第3条
[2]https://new.qq.com/omn/20210501/20210501A0095P00.html:“作为数字经济和信息社会的核心资源,数据被誉为“21世纪的石油和钻石矿”,已成为和土地、劳动力、资本、技术并列的五种生产要素之一,正逐步对国家治理能力、经济运行机制、社会生活方式产生深刻影响。”
[3] 数据权利属性与法律特征,作者:李爱君,《东方法学》2018年第3期,http://iolaw.cssn.cn/fxyjdt/201805/t20180517_4659286.shtml。
[4] 民法典第127条法律对数据、网络虚拟财产的保护有规定的,依照其规定。
[5] https://www.panewslab.com/zh/articledetails/twxvxumc8b0f.html,数据确权的背景及意义,上海区块链技术协会。
[6] 《著作权法》第3条
[7] 《著作权法实施条例(2013年修订)》第2条
[8] 《民法典》第123条:民事主体依法享有知识产权。知识产权是权利人依法就下列客体享有的专有的权利:…(五)商业秘密;…
[9] 参见:刘印,张翔侵犯公民个人信息罪一审刑事((2020)陕****刑初31号)。本院认为,被告人刘印、张翔向他人提供个人信息,情节特别严重,其行为已构成侵犯公民个人信息罪……向他人提供公民个人信息的行为构成犯罪不以非法获取为前提……
[10] 《个保法》第13条
[11] 《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第5条,非法获取、出售或者提供公民个人信息,具有下列情形之一的,应当认定为刑法第253条之一规定的“情节严重”:
(一)出售或者提供行踪轨迹信息,被他人用于犯罪的;
(二)知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的;
(三)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;
(四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;
(五)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的;
(六)数量未达到第三项至第五项规定标准,但是按相应比例合计达到有关数量标准的;
(七)违法所得五千元以上的;
(八)将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定标准一半以上的;
(九)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的;
(十)其他情节严重的情形。
[12] 《反不正当竞争法(2019年修订)》第9条
[13] 《个保法》第4条
[14] 《个保法》第10条
[15] 《个保法》第23条
[16] 《个保法》第28条、第29条
[17] http://html.rhhz.net/buptjournal/html/20190118.htm,数据定价机制现状及发展趋势,彭慧波,周亚建,北京邮电大学学报。
[18] 《著作权法》第10条
[19] 《人类遗传资源管理条例》第28条
[20] 《数据出境安全评估办法》答记者问。
[21] 《个保法》第40条
[22] 《个人信息出境标准合同规定(征求意见稿)》第2条
[23] 《数据出境安全评估办法》第4条
技术驱动法律,专业成就未来