在如今数字经济时代,数据已成为第五大生产要素。为了进一步激发数据要素市场,我国正逐步推进数据交易流通体系建设,数据交易日益成为社会公众关注的焦点。本文将结合当前多家数据交易机构规则以及法律法规要求,以问答形式帮助企业理解数据交易有关问题。
一、数据交易有关背景知识
Q1 数据交易的背景和法律基础是什么?
“数据交易”一词最早出现于2015年8月国务院发布的《促进大数据发展行动纲要》中,该文件提出要引导培育大数据交易市场,鼓励产业链各环节市场主体进行数据交换和交易,促进数据资源流通。随后,2020年4月,中共中央发布《关于构建更加完善的要素市场化配置体制机制的意见》,将数据正式纳入生产要素范畴,强调培育大数据交易市场的必要性。到了2022年12月,中共中央和国务院进一步发布了《关于构建数据基础制度更好发挥数据要素作用的意见》,明确提出建立合规高效、场内外结合的数据要素流通和交易制度。
2021年9月生效的《数据安全法》首次在法律层面上对数据交易予以规范,明确提出“国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场”。该法第33条还特别规定了从事数据交易中介服务的机构应承担的义务,包括但不限于说明数据来源、审核交易双方的身份以及保存审核和交易的相关记录。这些规定为数据交易活动奠定了坚实的法律基础,并提供了基本的操作规范。
与此同时,多地也积极响应国家政策,陆续出台了相应的地方性法规,如《贵州省大数据发展应用促进条例》《上海数据条例》《深圳经济特区数据条例》等,明确了市场主体在数据交易中的自主权。此外,一些地区还制定了专门针对数据交易的规范性文件,例如《深圳市数据交易管理暂行办法》和《天津市数据交易管理暂行办法(征求意见稿)》,进一步细化了数据交易的规范和操作流程,为数据交易提供了更为具体的指导和支持。
Q2 什么是数据交易?与数据共享、数据开放的区别在哪?
根据国家标准《信息安全技术数据交易服务安全要求》(GB/T 37932-2019),数据交易被定义为数据提供方与需求方之间以数据商品作为交易对象,通过货币或货币等价物进行的数据商品交换行为。这里的数据商品不仅涵盖用于交易的原始数据,也包括基于原始数据加工处理后生成的数据衍生品。2023年8月25日,全国信息安全标准化技术委员会发布的《信息安全技术数据交易服务安全要求》征求意见稿则进一步明确,数据交易是以数据产品作为交易标的,进行的以货币或货币等价物交换数据使用权和市场化流通的行为。
尽管在法律层面上,“数据共享”和“数据开放”尚未获得明确的定义,但根据中国信息通信研究院发布的《数据资产管理实践白皮书(5.0版)》,我们可以对这两个概念有所理解:数据共享是指消除组织内部各部门之间的数据壁垒,构建统一的数据共享平台,从而加速数据资源在组织内部的流通。数据开放则侧重于向社会公众提供易于获取和理解的数据,其中政府数据开放主要涉及公共数据资源的开放,而企业数据开放则主要是指披露企业运营情况、推动政企数据融合等。数据共享、数据开放、数据交易的主要区别在于交换数据的属性以及数据交换的主体范围,相关主体可以参考下图来判断数据交换行为的性质。
Q3 常见数据交易类型有哪些?
实践中,根据各地数据交易相关法规以及数据交易所的交易规则,常见的数据交易类型可分为数据产品交易、数据服务交易和数据工具交易。
| 数据产品交易 | 数据产品通常指数据集、数据分析报告、数据可视化产品、数据指数、API数据、加密数据等。 |
| 数据服务交易 | 数据服务包括但不限于数据采集和预处理服务、数据建模、分析处理服务、数据可视化服务、数据安全服务等。数据交易需方购买的通常是供方围绕数据提供的特定服务,不包含具体的数据。 |
| 数据工具交易 | 数据工具包括但不限于数据存储和管理工具、数据采集工具、数据清洗工具、数据分析工具、数据可视化工具、数据安全工具等。 |
Q4 数据交易涉及到哪些主体?
数据交易涉及到多方主体的参与,其中核心主体包括数据供方和数据需方。数据供方是指那些掌握并计划出售数据产品的组织,而数据需方则是有需求且愿意购买数据产品的一方。为了确保交易的顺利进行,第三方专业服务机构和数据商的参与至关重要。第三方专业服务机构为数据供需双方提供各种服务,例如数据资产评估、数据合规性审查、数据质量检验等评估服务。而数据商则为数据交易双方提供数据产品开发、发布、承销和数据资产的合规化、标准化、增值化等服务。通过这些主体的介入,可以帮助双方确保交易的合法性、安全性和可靠性。此外,场内交易还需依托数据交易场所进行,这些场所通常是各地设立的数据交易所或数据交易中心,例如深圳数据交易所、上海数据交易所、贵阳大数据交易所等。这些场所通过技术手段和资源整合,为数据交易提供了一个统一的、便捷的交流和交易平台。各方主体在数据交易活动中的参与情况如下图所示。

(来源:《信息安全技术 数据交易服务安全要求》征求意见稿)
二、数据交易重要事项
Q5 哪些数据可以交易,哪些数据不可以交易?
目前,在国家立法层面尚未明确列出可交易的数据类型。但国家标准《信息安全技术数据交易服务安全要求》(GB/T 37932-2019)第6.1条明确提出,数据交易服务机构应制定禁止交易的数据目录,以负面清单形式保障数据交易的合法性。最新发布的标准征求意见稿也通过列举的方式明确了禁止交易的数据类型,相关主体可参考这些示例进行判断。在实际操作中,数据交易主体(如数据供方)还需根据相应的地方性法规以及数据交易所的具体规定来评估数据产品的可交易性。以上海、深圳、贵州为例,不可交易的数据类型如下:
禁止交易数据 | 依据 | ||
基本要求 | 1. 涉及国家秘密的信息; 2. 危害国家安全和社会稳定的数据; 3. 涉及损毁他人名誉及未经授权的身份、财产和其他敏感数据等特定个人权益的; 4. 涉及未经授权的企业数据、商业秘密等特定企业权益的; 5. 未经自然人或其监护人同意,涉及其个人信息的数据; 6. 侵犯他人肖像、名誉、荣誉等人格权的数据; 7. 未经有关部门授权,涉及公共利益、公共安全的公共数据; 8. 未依法依规公开的原始公共数据; 9. 关系国家安全、国民经济命脉、重要民生、重大公共利益等国家核心数据; 10. 以欺诈、诱骗、误导等方式或者从非法、违规渠道获取的数据; 11. 其他法律、法规明确规定禁止交易的数据。 | 《信息安全技术数据交易服务安全要求》征求意见稿 第8.1条 | |
地方规定 | 上海 | 1. 危害国家安全、公共利益,侵害个人隐私的; 2. 未经合法权利人授权同意的; 3. 法律、法规规定禁止交易的其他情形。 | 《上海数据条例》第55条 |
深圳 | 1. 交易的数据产品和服务包含个人数据未依法获得授权的; 2. 交易的数据产品和服务包含未经依法开放的公共数据的; 3. 法律、法规规定禁止交易的其他情形。 | ||
贵州 | 1. 危害国家安全和社会稳定的; 2. 涉及损毁他人名誉及未经授权的身份、财产和其他敏感数据等特定个人权益的; 3. 涉及未经授权的企业数据、商业秘密等特定企业权益的; 4. 从非法、违规渠道获取的; 5. 其他法律、法规明确规定禁止交易的。 | ||
Q6 涉及重要数据的数据产品可否进行交易?有什么要求?
对于涉及重要数据的数据产品,现行规定并未完全禁止其交易,而是通过一系列前置审查和安全措施来规范重要数据的交易流程。首先,数据交易服务机构应确保具备重要数据自动化脱敏机制,能够对重要数据实施匿名化、泛化处理或加密等脱敏措施,并具备评估这些措施有效性的能力。此外,数据交易服务机构还应要求数据供方对交易数据进行重要数据安全风险评估,并基于评估报告进行审核,以确保数据的可交易性。
上海数据交易所发布的《数据交易安全合规指引》进一步明确了涉及重要数据的数据产品交易的前置条件:(1)自行或委托数据安全服务机构进行安全风险评估,确保评估结果不存在危害国家安全、公共利益的情形;(2)交易双方应签订书面协议,明确各自的数据安全责任;(3)对数据交易需方的安全保护能力、资质进行核验;(4)法律法规规定需要征得相关部门同意的,应当取得同意。
Q7 数据交易前的合规评估主要是评估哪些方面?
在数据交易的整个流程中,合规评估是数据产品登记挂牌的关键环节。这一评估工作主要是围绕数据交易主体、交易标的以及流通过程的合规性展开,具体而言是对以下几方面进行评估:
1. 交易主体资质与背景审查。在评估交易主体时,应考虑其信用状况、主要业务领域、涉诉和行政处罚记录等情况。例如,交易主体近一年内是否有重大数据类违法违规记录,是否发生过重大网络和数据安全事件;是否具备数据交易所规定的业务资质;是否存在影响其持续经营能力的情形等。
2. 数据来源合法性评估。无论数据是来自公开收集、自行产生,还是通过协议取得,都必须满足合法性要求。特别是涉及到个人信息收集处理环节,数据交易供方必须遵循合法正当、最小必要、告知同意等原则。
3. 数据产品权属及可交易性审查。需核查数据供方是否拥有相关数据产品的产权归属及法律依据,确保数据产品属于法律法规允许交易的范畴,不包含禁止交易的数据。若数据产品涉及跨境传输,还应按照规定完成数据出境的合规程序,如申报数据出境安全评估。
4. 数据产品流通风险评估。应重点关注拟挂牌数据产品的应用场景,判断是否存在特殊限制,以及公司自身的数据安全保障措施是否充分。数据交易主体还应确保数据在全生命周期内的合规处理,以减少数据流通过程中的风险。
三、合规建议
Q8 数据交易主体需遵守哪些法律法规及标准?
1. 国家层面
目前,我国尚未出台专门针对数据交易的法律法规。因此,数据交易主体在进行交易时,应遵循网络数据安全领域“三驾马车”的要求,即《网络安全法》《数据安全法》以及《个人信息保护法》。这些法律为数据交易提供了基本框架和指导原则,确保数据交易活动在安全、合规的环境中进行。
2. 地方层面
为了促进数据流通交易,多地相继出台了地方性法规和规范性文件。例如,《上海市数据条例》《贵州省数据流通交易管理办法(试行)》《深圳经济特区数据条例》《厦门经济特区数据条例》等。这些规定进一步明确了数据交易的具体流程和要求,包括交易主体资质条件、交易行为的合规要求等。在进行数据交易前,数据交易主体应根据拟交易场所、数据产品应用场景等具体情况,仔细研究并遵守相关法规和规范性文件的要求。
3. 国家标准体系
序号 | 标准名称 | 实施日期 |
1 | 《信息技术数据交易服务平台交易数据描述》(GB/T 36343-2018) | 2019.01.01 |
2 | 《信息技术数据交易服务平台通用功能要求》(GB/T 37728-2019) | 2020.03.01 |
3 | 《信息安全技术数据交易服务安全要求》(GB/T 37932-2019)[1] | 2020.03.01 |
4 | 《电子商务数据交易第1部分:准则》(GB/T 40094.1-2021) | 2021.12.01 |
5 | 《电子商务数据交易第2部分:数据描述规范》(GB/T 40094.2-2021) | 2021.12.01 |
6 | 《电子商务数据交易第3部分:数据接口规范》(GB/T 40094.3-2021) | 2021.12.01 |
7 | 《电子商务数据交易第4部分:隐私保护规范》(GB/T 40094.4-2021) | 2021.12.01 |
Q9 作为数据交易供方,应注意哪些事项?
在数据交易过程中,由于涉及大量数据资源的处理,数据交易供方必须满足管理规范合规要求。这意味着供方需建立健全全流程数据安全管理体系,切实履行数据安全保障义务。以下是供方可以参考的数据安全管理措施:
1. 明确数据安全管理部门,由其负责制定数据安全战略,统筹实施数据安全管理工作,并监督数据安全制度及防护措施执行情况。
2. 实施数据分类分级保护策略。可参照国家标准和有关行业标准,结合自身业务特点对数据进行分类分级管理,并建立有效的安全防护机制,采取数据加密、数据脱敏、访问控制、安全检测等技术保护措施,提高数据安全保障能力。
3. 建立覆盖数据全生命周期的安全管理制度。针对不同类型和级别的数据,采取相应的保护措施,确保数据的保密性、安全性和合规性。同时,供方还应注意留存数据产品的加工处理记录,以便在必要时能够追溯数据的来源和处理过程。
4. 对所有数据授权相关协议(如合作协议、用户协议、隐私政策等)进行全面审查,确保数据来源合法合规,避免对数据产品的后续流通造成障碍。在与第三方共享或处理数据时,应注意明确第三方的责任和义务,确保其具备足够的数据保护能力。
除确保自身数据安全外,供方在进行数据交易时还应关注数据接收方的数据安全保障能力、数据产品使用目的、应用场景,以及交易协议中约定的权益保障义务和责任。
Q10 作为数据交易需方,应注意哪些事项?
对于数据交易需方而言,在强化自身数据安全防护的同时,还应特别关注以下几方面:
1. 严格审查数据供方的资质和数据商品的质量。需方应确保所购买的数据产品或服务能够充分满足其业务需求和预期目标,避免因数据质量不佳而导致的时间和资源浪费。例如在(2019)京0105民初16414号案中,A公司向B公司提供在线图片取证服务,并约定根据有效取证数据量进行费用结算。但由于A公司的服务质量存在问题,导致B公司花费大量时间与A公司沟通处理取证错误和返工事宜。最终,双方因服务数据量的计算标准以及有效取证数据量未达成一致而诉诸法庭。
2. 确保交易合法合规,避免侵犯他人知识产权、商业秘密等合法权益。在全国首例数据交易买受人商业秘密侵权案中,法院认为,需方接收数据时负有审慎注意义务,若明知或应当知道数据涉及他人商业秘密仍予接收并使用的,应当与数据提供者承担共同侵权责任。
3. 仔细审查数据交易条款。需方在交易过程中应特别关注合同中的关键条款,包括交易标的、数据权属、双方权利义务以及数据流通限制等,确保合同内容符合自身的业务需求和法律要求。
[1] 2023年08月25日,全国信安标委发布《信息安全技术 数据交易服务安全要求》征求意见稿
