前言
数据作为新型生产要素,具有无形性、非消耗性等特点,可以接近零成本无限复制,对传统产权、流通、分配、治理等制度提出新挑战。2022年12月19日中共中央、国务院正式对外发布《关于构建数据基础制度更好发挥数据要素作用的意见》,从数据产权、流通交易、收益分配、安全治理等方面提出二十条举措,又称“数据二十条”,是首次系统性明确数据基础制度的国家级政策文件,为推动我国数据要素市场全面落地,加速国家、政府与企业的数字化建设指明了重要方向。
2023年3月,国务院机构改革方案提出组建国家数据局,由国家发改委管理。国家数据局负责协调推进数据基础制度建设,统筹数据资源整合共享和开发利用,统筹推进数字中国、数字经济、数字社会规划和建设等。很明显,国家数据局的重点是促进数据流通利用,关涉 “发展”的事务,而国家网信办将更侧重于“数据监管”与“数据安全”。
毋庸置疑,数据之所以能够成为市场要素,在于数据能够发挥其重要作用。但是目前数据的合规流通利用存在不少障碍,5月27日,中国科学院院士、中国计算机学会理事长梅宏在“数据要素流通与价值化”论坛上十问数据要素化,激起对数据要素的再思考。梅院士的十个问题提出了很多底层的关键问题。
而从法律角度也存在一些阻碍数据市场要素发挥作用的瓶颈,本文试就此做一个简要归纳与分析。
01 企业数据的合规流通利用
企业数据流通利用因为狭义的企业数据不涉及个人的隐私保护问题,只要对重要数据、核心数据做好合规评估,满足相关的法律和监管要求,并就关键信息基础设施等特殊主体身份履行相关的特定义务,企业数据的流通利用法律障碍相对较少。
但是企业数据的流通利用需注意需要遵循行业规范要求(如有),例如:征信行业需要遵守人民银行的征信监管要求,再如测绘领域也有行业的特别要求。
企业数据现在进入流通利用的仍然只是一部分,大量的企业数据并未进入到流通利用环节。这其中核心问题在于企业不愿把自身的数据拿出来给第三方利用,无论是有偿或无偿的方式,例如互联网平台或者工业企业,背后原因主要是企业担心自己的数据对外共享后可能有利于竞争对手的发展,以及尚无法提供商业秘密得到足够保护的流通利用方式。因此企业数据的流通利用关键是需要探索可信数据流通利用的环境和技术手段,例如隐私计算等,让企业对外提供数据、进行流通利用时减少顾虑。
02 个人数据的合规流通利用
个人数据区别于个人信息,个人数据面向权益分配,个人信息面向隐私保护。为分析便利,在本文中不作区分。个人数据的流通利用首先要满足个人信息保护的合规要求,《个人信息保护法》(以下简称“个保法”)之后建立了个人数据流通利用的合规底线,这是时代的巨大进步。同时法律也并非否定个人数据的流通利用,而是要在合规前提下。这个“规”也需要考虑为个人信息主体的意思表达提供可操作性和便捷性。
个人数据在很多行业具有较大价值,例如在广告行业、金融行业,个人数据的流通利用对于精准营销和风控都有很大意义。在保护个人隐私等人格权益的前提下,应最大可能促进经授权同意的个人信息数据进入数据要素市场。个人数据的流通利用可以通过诸如数据对外提供、数据产品交易等多种方式。
但是首先,无论共享还是交易,都回避不了个保法敏感个人信息需取得信息主体单独同意的问题,个保法第二十三条规定,个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。
现在的障碍在于:
一、实践中很多场景下缺乏便利、高效的触达场景去取得个人的单独同意,例如一个机构A要将其持有的个人数据对外提供给另外一家机构B使用,除非A在首次收集这些数据时即获得了个人关于向B提供其个人数据的同意,否则按照个保法23条,A应当重新向个人发出关于向B提供其个人数据的单独同意。
由于实践中随着机构业务的发展,可能新增其他业务合作方,一般情况下很难在收集数据时将所有的个人信息接收方提前一一列出,获得单独同意,也影响用户体验。而要在对外提供时再去获得个人的同意,又必须有便捷触达个人的场景。
对于以APP 等作为个人信息采集渠道的机构来说,可以通过隐私政策更新、单独弹窗等方式取得用户的授权同意。(该场景实际上可以探索建立更加智能的技术手段,实现便捷高效的授权链路,比如公司A与B有专门的隐私保护框架,能够自动整理所需同意的内容向用户发送,并根据同意情况修改可用数据范围。个人也有自动化的授权管理工具实现非侵扰式的个人数据管理。)
此外,在征信领域,也存在征信机构通过银行在个人信贷场景下获得的个人同意间接触达个人信息主体,向银行提供征信报告的场景。但对于在固定业务场景下获得个人信息,却无法再次触达也难以通过第三方间接触达个人客户的机构来说,持有的存量数据因难以获得个人同意而不得向未经授权的第三方提供。上述合规问题在当前情况下也较难通过隐私计算等技术手段实现,在实际应用时并不能真正排除个人信息保护合规风险。5月29日,GB/T 42574—2023 《个人信息处理中告知和同意的实施指南》发布了全文,也未见对此问题有突破,鉴于其只是推荐性国家标准,也不可能解决此问题。
二、对于匿名化问题,根据个保法第4条,匿名化的信息不是个人信息,即可以不适用个人信息保护的严格要求,也因此很多金融机构希望通过此路径来解决个人数据合规利用的难题,但是何谓匿名化信息,是一个缺乏明确界定的问题。有观点认为,100%的匿名化技术是很难达到的,所以应该评估匿名化技术的风险,应该防范的是实际环境中很有可能发起的攻击“reasonably likely”,而不是假想的攻击“conceivably likely”。
综上要解决个人数据合规流通利用的问题,关键是修改个人信息保护法的上述规定或做出立法解释;尽快细化匿名化的路径方法,以及出台匿名化处理的相关规章制度。
03 公共数据的合规流通利用
一是截止目前公共数据授权运营尚缺乏高层级的立法规范,相关授权运营规则有待落地。
很多省市正在制定相关立法过程中,部分已经出台。但是大多数应尚处于试点阶段,如上海市建立公共数据授权运营机制,以公共数据社会化利用的名义进行试点,提高公共数据社会化开发利用水平,由上海市政府办公厅向试点单位开放授权使用和运营相关数据,试点单位受控开发,受到全程监管,以保证数据安全。北京市《2023年市政府工作报告重点任务清单》也提出,应“创新公共数据授权运营,深化公共数据开放、数据交易流通”,北京市目前已开展了“金融数据专区运营”的探索,北京市经信局授权北京市金融控股公司,开展金融数据专区的建设运营。此外,部分地方政府针对公共数据开放已出台了规章,由于公共数据授权运营也应视为公共数据开放的制度安排之一(目前还有一定争议),相关规章的出台对公共数据授权运营也具备相当的参考意义。
二是公共数据授权运营的过程中,同样存在如何避免侵害商业秘密或个人信息的合规问题。
一般而言,企业数据在流通利用时需对数据产品进行合规评估,甚至在征信行业,征信机构需对数据供应商进行安全审查。对于公共数据来说,公共数据开放属性一般分为无条件开放、有条件开放和非开放。公共数据开放主体应当按照分类分级有关要求对本单位获得的公共数据进行评估,公共数据授权运营同样涉及在做好数据治理评估的同时做好合规评估。
数据开放主体应当按照国家和地方的相关要求,结合公共数据开放年度计划和市场主体利用需求,合理调整公共数据的开放范围,将尚未开放的公共数据进行脱密、脱敏等技术处理后予以开放。如依据上海市《公共数据开放实施细则》的规定,市大数据中心应当对公共数据开放申请进行技术审查,审核应当遵循公平公正原则、场景驱动原则、安全稳妥原则。开放申请审核通过的,申请主体应当与数据开放主体通过开放平台签署数据利用协议。数据利用协议中应当包含应用场景要求、数据利用情况报送、数据安全保障措施、违约责任等内容。
三是公共数据产品的提供方式。
“数据二十条”鼓励公共数据在保护个人隐私和确保公共安全的前提下,按照“原始数据不出域、数据可用不可见”的要求,以模型、核验等产品和服务等形式向社会提供,对不承载个人信息和不影响公共安全的公共数据,推动按用途加大供给使用范围。但是梅宏院士指出公共数据从保持数据价值的角度还是应该开放原始数据,这样才能刺激对数据的创新利用。如果以原始数据开放方式,则需要注意去除敏感信息的合规问题。
04 数据产品交易和交付环节的法律合规问题
以上情况主要是从数据产品进入流通利用环节的瓶颈障碍进行分析,从交易和交付环节,主要问题包括:
数据流通利用的场所包括场内与场外两种方式,无论哪种方式,均存在以下问题。
一是数据产品交易的标的是什么不明确?可以认为是数据产品,具体又包括数据集和服务等形式,但是数据产品交易背后的法律实质又是什么,交易的是什么权利?具体在数据产品交易签署协议应该签署怎样的协议?是否可以直接签署数据产品交易的合同,如果还是所谓的技术服务合同等形式,则和数据交易时代之前的数据利用区别在哪里?而不同的合同签署方式,在法律性质、法律后果上的区别在哪里?这些问题都有待明确。
二是数据流通利用的基础设施问题,数据产品流通利用如果通过数据交易的方式,涉及数据产品的登记问题。目前探索的区块链上链登记如果实现,则数据资源和数据产品的交易均可线上查询、确认。这将有助于数据资产入表,倒推场内数据交易的大发展。
三是数据产品交付环节个人数据产品流通利用的技术实现,例如隐私计算技术亦不能完全满足个保法对个人信息对外提供的法律要求;对于非个人数据的企业数据例如产业数据也难以建立可信数据环境,均需要通过法律+技术的综合解决方式。
05 中介机构的责任边界与数据产品的权利无暇
一是数据权属的规定尚有待明确。
“数据二十条”仅为政策性文件,对于数据资源持有权、数据加工使用权、数据产品经营权等的三权分置的内涵仍然需要探索,并在法律层面加以确认,否则难以在实践中落地,一个数据产品的供方对该数据产品具有哪些权利,转让的权利内容包括哪些?在目前法律上尚不能说很明确。律师能够回应的是主体本身的情况以及数据来源合法性问题、是否涉及不得交易的数据、数据安全内控等,一般不会就数据产品的权属问题发表明确意见。
二是中介机构的职责边界。
目前国内已经建立了50多家数据交易所,《数据安全法》对中介机构有相关的规定,第33条规定,从事数据交易中介服务的机构提供服务,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。该条是否适应于数据交易所?数据交易所是否是中介机构?这需要看该交易场所的职责与定位,如果把数据交易所界定为准公共服务机构,为数据供方和数据需方提供数据产品交易撮合的场所,与通常理解的中介机构则具有一定区别,似可以主张不适用数据安全法第33条。但是即使不将数据交易所视为中介机构,作为一个交易场所,仍然需要尽可能保障挂牌的数据产品具有合规性。
由数据交易所作为交易场所来直接审核确保数据产品的评估并不现实,也缺乏底层合理性,因此数据交易所制定的挂牌规则要求挂牌企业提交律师事务所对挂牌数据产品的合规评估,也是数据交易所履行交易场所合规审核职责的一种手段。
但是律师事务所履行合规审核评估对数据产品在评估时实质上也难以对数据产品数据来源穷尽合规审查,例如一个产品的数据来源可能存在多个渠道,海量的数据不可能每一笔都由律师去审核确保合规,另外如果数据来源上游具有多层,穿透核查也具有难度,所以中介机构律师的合规审核职责类似于资本市场的中介机构责任边界问题,需要确定一个勤勉尽责和实际可操作的合理边界,否则在数据产品出现瑕疵时中介机构是否承担未勤勉尽责的责任也可能会成为一个问题。
三是数据产品的买家责任。
关于数据产品交易中需方对有瑕疵的数据产品是否应承担责任的问题,我们理解如果需方是善意的,对数据产品的瑕疵并不知情,也难以通过通常的注意标准发现瑕疵的,即使其购买并使用了该数据产品,在权利人通知后应当终止使用但不应承担赔偿责任。目前一些数据交易所也在探索安全港制度保护需方的合法权益。
06 数据财产权益的分配问题
数据权属的问题如前所述尚待研究完善。作为权属问题的重要部分,数据的财产权益初步受到相当立法层面和司法实践的认可,例如上海、深圳等地的数据条例等地方性法规。未来需要法律明确个人数据处理主体与个人权益的分配,例如互联网平台经营中平台对收集的个人数据享有何种财产权益?个人对平台利用其个人数据形成的数据产品获得的收益是否享有财产权益。如果要考虑由平台向个人直接分配这些收益,是否存在必要性和可行性,是否可以通过税收的方式来间接实现个人的获益。
此外需要探索新的便捷的财产收益分配方式,数据信托也是一种实现方式,将对个体微不足道的收益汇集到一个主体,由一个受托人行使权利的行使和收益的使用,而不是将收益分配的义务施加到具体的数据处理主体企业。但是需注意数据信托目前缺乏中国信托法的支持,也缺乏一些底层架构的基础性设计,仅仅是一种尚在理念层面的概念,而所谓的一些数据信托产品,尚经不起严格法律意义上的质疑。
总体上,实践不足造成很多疑问,但是实践依然走在理论和立法的前面。因此,建议鼓励加快实践探索,同时理论探讨和立法监管加快出台更加符合实践的法律与监管体系。
数据流通利用的主要法律瓶颈问题和解决路径
作者:江翔宇来源:金融与数字经济法律研究

前言 数据作为新型生产要素,具有无形性、非消耗性等特点,可以接近零成本无限复制,对传统产权、流通、分配、治理等制度提出新挑战。