我们在《数据交易畅想与“上海首发”》一文中展望了数据交易的未来。在数据交易满足合规性要求的前提下,还需要深入到实质交易阶段,审慎处理数据交易协议的要点。
数据交易实践中,和知识产权交易类似,交易双方一般也需要对作为标的资产的数据的使用目的、使用范围、使用限制、权利归属等条款进行明确约定。但需要注意的是,相对于在法律适用方面等都已经构建得较为成熟的知识产权授权许可等知识产权交易体系,作为“新兴”领域的数据交易体系的成熟度相对较低,甚至在数据本身应当对应到现有法律体系中的何种权益、具体包括何种权能等方面都还需要进一步深入探讨,因此知识产权授权许可的相关规定也只能提供一定程度上的参考。
在现阶段大多数数据交易的场景中,交易双方关注的核心并非数据的“转让”或“排他性使用”,而是以什么样的方式确保数据的供应方能够将数据“传送”给数据的需求方。从这个角度看,在很多情况下,“数据产品”所对应的更像是“数据服务”,该等类型的交易文件在实质上也更靠近依靠授权体系所构建的“数据服务合同”。对于该等类型的数据交易协议,在考虑其条款时,除了可以借鉴传统知识产权交易的已有经验,更为重要的是要综合考量数据本身特点、数据交易场景、数据交易类型等多方面因素,对交易条款进行全面、合理的设计。
结合我们的经验,本文将以该等依靠授权体系所构建的数据交易为模型,探讨数据交易协议条款设计所应当包含的要素,同时以《上海市数据条例》为例,对公共数据授权运营的关注要点进行梳理。
一、 数据交易协议重要条款
1. 授权客体
从分类的角度,数据根据其来源可分为政府机构公共数据、企业商业数据、个人数据;根据其对社会敏感度的高低可分为原始共享数据、匿名后共享数据、受保护数据(包括商业秘密数据与个人隐私数据);根据其加工程度与服务性的高低可分为原始数据与数据衍生产品(包括数据征信产品、营销产品、金融产品等)。从数据交易实践来看,并非所有数据都适合用来交易,诸如个人隐私数据等若未经过去标识化或匿名化处理,将给整个交易带来巨大的风险;又如重要数据、核心数据等国家重点和严格保护的数据,数据提供方在授权之前有必要进行风险评估并获得相关主管部门的批准。因此,交易双方在达成交易协议之前首先应当明确用于交易的数据产品所涉及的数据范围,避免交易法律明确禁止或不宜交易的数据。上海数据交易所目前采用的交易前合规审查要求是着重解决数据是否可以交易的问题。
具体到交易条款的设计上,数据需求方可以针对合规的问题要求数据提供方满足一定的条件,以个人隐私数据为例,可以要求数据提供方对所授权的数据进行必要的去标识化或匿名化处理,进而保证数据的可交易性,双方亦可以考虑要求第三方专家出具有关数据产品已经根据相关标准进行了去识别化或匿名化的认定意见(尽管该等意见的出具在现阶段可能具有一定的难度,特别是在数据产品较为复杂的情况下,但未来是否可以借助自动化监测的工具进行实施值得探讨)。
2. 授权对象
授权对象根据交易场景的不同以及双方的约定,除了包括数据需求方,可能还包括经数据需求方授权的、可以访问和使用数据产品的其关联方,或数据需求方授权的为上述两者提供服务而访问和使用数据产品的第三方服务商。
具体到交易条款的设计上,交易双方应当在协议中明确数据需求方是否可以对数据产品进行转授权进而允许其他第三方使用,以及该等“转授权”是否需要经过数据提供方的事先同意。值得注意的是,倘若允许转授权,建议数据提供方也要求第三方对数据提供方的权利以及对数据产品安全的保护至少与授权协议相同,且要求第三方对数据产品的使用不超过授权协议的范围。
3. 授权类型
在明确了授权客体和授权对象之后,对于数据交易授权条款的设计还应当结合具体交易场景对数据授权类型进行约定,例如授权是否永久、是否可撤销、是否独占、是否可转让、是否可分许可、是否免许可费、是否有区域限制等等。同时,对数据需求方的使用行为也应当进行限定,例如可以概括性地限定“仅为数据需求方的业务目的访问/存储/使用/复制/创造/展示/分发/营销/展示/出租/出售/以其他方式利用”,在此基础上,交易双方还可以结合具体业务场景和使用目的进一步地对部分使用行为进行逐一列举。需要特别注意的是,在区域限制方面,需要特别关注是否涉及数据跨境的问题,即是否允许跨境使用数据产品,一旦涉及,考虑到现有相关规定对于数据跨境的限制和特殊要求,可能会影响到数据可交易性的评估。
4. 数据产品的交付
不同于传统商品交易,数据交易对交付的要求更为严格。从数据安全等级来看,基于已出台的《数据安全法》《个人信息保护法》等,不同安全等级的数据须采用不同的交付手段。对于安全等级较低的数据,例如天气数据等,可以由数据提供方直接交付数据需求方,而对于相对敏感、安全等级较高的数据,数据提供方则可以采用“沙盒”技术实现数据的“可用不可见”或采用密文等技术手段实现交付。从数据的实时性来看,实践中数据的交付通常不是一次就能够全部完成。由于数据的不断更新迭代,数据提供方必须定期向数据需求方提供更新后的数据。因此,具体到交易条款的设计上,双方可以考虑对交付过程中涉及的下述权利义务作出约定:
(1) 对于数据提供方而言
- 是否应当通过双方一致同意的安全电子方式通过指定的交付平台向数据需求方交付数据产品?
- 是否考虑按照双方的约定,就数据需求方在使用数据产品时提供安装服务或培训?
- 是否需要在首次交付后按照双方约定的次数或期限进行持续交付?
(2) 对于数据需求方而言
- 是否需要满足数据提供方设定的具体硬件或软件配置要求、使用数据提供方要求的加密和安全交付机制以保证数据产品接收的安全?
- 如果在交付过程中出现非数据需求方原因造成的数据丢失,数据需求方可以考虑要求数据提供方在合理期限内重新交付丢失的数据,同时对该等重新交付的严格性等提出要求,并设置相应的违约责任。
5. 交易价格
数据产品与无形资产有许多相似特性,如无实物形态、价值不确定性、时效性、非竞争性等,因此,对于数据产品的价值评估,理论上也可以参考适用无形资产的价值评估方法,例如成本法、收益法和市场法等。尽管如此,考虑到数据产品估值的特殊性,例如成本量化难度较高、预期收益较难预测、可参考的交易案例较少、数据产品个性化程度高、修正系数难确定且难以修正全面等问题,协议定价在短期内可能依然更为普遍。
6. 数据安全
与知识产权交易相比,数据交易的重要特点之一在于数据本身具有高流通性和复制成本低等特点。因此,交易双方应当采取充分的数据安全措施,防止数据被窃取、滥用、篡改、或毁损。可以考虑的典型措施包括:
(1) 密码和员工访问权限。双方可以按照相关法律或行业标准设置相应的用户名、密码以及访问相关数据的权限;
(2) 安全协议。双方可以考虑约定在数据的传输中按照相关法律或行业标准签署安全协议,确保数据只能由法律允许的第三方查看或访问;
(3) 员工培训。双方可以考虑向其操作或访问系统的员工提供定期的安全培训;
(4) 安全技术。双方可以明确应当采用包括服务器身份验证和数据加密等在内的技术措施防止未经授权对数据进行访问;
(5) 定期风险评估。双方可以明确应当进行定期风险评估,并及时补救任何已发现的安全和隐私漏洞;
(6) 备份。双方可以明确应当保留相关数据备份,以防止双方的系统故障或任何其他不可预见的事件导致相关数据或其任何部分丢失。
此外,数据提供方还可以要求数据需求方制定相关数据安全政策,并向其全体人员传达。
对于可能发生的数据泄露或安全事件,双方也应当约定相应的处理机制,例如数据需求方应在合理可行的范围内尽快书面通知数据提供方,且数据需求方应立即开始整改。数据提供方还可以要求数据需求方提供并说明已采取的措施,直至数据泄露或安全事件以令数据提供方满意的方式得到解决等。更进一步地,双方还可以对数据泄露或安全事件开展调查的具体细节进行约定,例如共享调查结果报告、指定第三方对数据泄露开展独立调查等,同时也应当对数据泄露或安全事件发生的情况下各自应当承担的责任进行明确。
7. 数据权属
总体而言,数据可以分为原始数据与衍生数据。原始数据是数据采集时提供的、反映客观事物属性的记录,是不经过任何加工、创作或提取、编辑的数据。衍生数据是指基于特定的商业目的、通过运用一系列技术手段对数据进行筛选、分析、处理从而形成的数据。目前的司法实践中,一般认为数据处理者对其投入劳动,收集、加工、整理的数据享有财产性权益,在依法获取的各类数据基础上开发的数据衍生产品及数据平台等财产权益受到法律保护。例如,安徽MJ信息科技有限公司、T公司商业贿赂不正当竞争纠纷一案中[1],法院认为,网络大数据产品不同于原始网络数据,其提供的数据内容虽然同样源于网络用户信息,但经过网络运营者大量的智力劳动成果投入,经过深度开发与系统整合,最终呈现给消费者的数据内容,已独立于网络用户信息、原始网络数据之外,是与网络用户信息、原始网络数据无直接对应关系的衍生数据。网络运营者对于其开发的大数据产品,应当享有自己独立的财产性权益。这一问题本身确实较为复杂,到目前为止,针对数据权属的问题尚未形成清晰的解决方案,但是实践中至少还是在以下两个方面基本达成了共识:
- 对于衍生数据权利的确认并不代表否认原始数据主体的权利;
- 赋予数据处理者权利,更加有利于解决市场激励问题。
从数据交易实践来看,数据提供方往往是拥有海量数据的企业,其收集的数据可能既包括个人数据,公共数据,也包括企业自身产生的数据。无论是何种类型的数据,数据只有在经过处理进而可以理解以及可以利用时,才算是具有价值。对于孤立、无序的数据很难体现出商业上的价值。对于个人数据,根据《民法典》对个人数据的保护性规定[2],其权益理论上包括精神利益和财产利益。当企业经过个人的充分授权对这些个人数据进行了收集、分析、加工等衍生开发后,企业对经过自己合法数据活动形成的数据集合或其他衍生产品应当享有占有、使用、收益和处分的权利。对于公共数据,例如各部门机构采集的环境保护、金融、医疗监管、社会治理等各类数据,其主要利用国家财政资金采集,具有公共产品属性。因此,原则上,企业基于公共数据所形成的衍生数据或数据产品也应当享有财产性权益。
在肯定了数据处理者对经过其加工处理的数据享有财产性权益的基础上,需要进一步考虑的问题在于如果数据需求方对数据产品又进行了进一步加工和处理并且形成了衍生数据,其权属又该如何约定。实际上,这一问题的答案需要双方基于自身的谈判地位以及商业需求进行考量,以下我们仅就可以考虑的方向提示如下:
(1) 数据交易中的衍生加工和衍生数据
明确“衍生加工”或“衍生数据”的定义是对权属进行明确约定的前提。一般而言,“衍生加工”是指对数据产品的分析或处理,包括但不限于翻译、增强、汇总、修改、使用数据库构建服务等。“衍生数据”是指由数据需求方或其授权用户在数据产品的基础上开展衍生加工或使用而产生的数据,包括所有输出、拷贝、复制、改进、修改、改编、翻译产生的任何数据。
在此基础之上,双方还可以基于特定交易场景对衍生数据进行进一步划分,例如根据是进行了加工还是仅仅反映访问或使用情况,将衍生数据细分为“加工数据”和“使用数据”,更进一步,基于是否可以从对衍生数据的分析、处理或逆向工程中识别出数据产品,又将“加工数据”分为“无关联加工数据”和“关联加工数据”等。
(2) 数据产品和衍生数据的权属
在对衍生数据进行界定的前提下,交易双方可基于自身的谈判地位以及各自的商业需求对数据产品和衍生数据的权属进行安排。
对于数据产品,在授权模式下,其权属本身通常依然归属于数据提供方,数据提供方一般也需要在协议中对此进行明确,例如“本协议项下提供的数据产品是数据提供方花费大量资源收集、加工和处理的,是数据提供方的专有财产”或“双方确认,本协议项下提供的数据产品是数据提供方原创汇编的,受中国著作权法、专利法和所有适用法律的保护”等。
对于衍生数据,基于上文给出的不同分类,双方可对其作出不同的权属安排,既可以约定衍生数据为数据提供方或数据需求方单独所有,也可以约定为双方共有。
8. 陈述与保证
数据交易协议中,陈述与保证条款尤为重要。正如我们在本系列的第一篇文章(《数据交易畅想与“上海首发”》)中所介绍,作为数据提供方,其至少需要保证数据交易在交易主体、交易产品和交易过程三方面均合规,才能实现挂牌交易。因此对于数据需求方而言,有必要在交易协议中对数据提供方所需承担的保证义务进行明确,降低后续数据使用方面存在的风险。由数据提供方作出的、典型的陈述与保证条款例如:
- 数据产品的收集和获取系根据适用法律法规的要求进行,数据产品的提供不会侵犯任何第三方的合法权益;
- 数据产品不涉及任何个人数据或个人敏感信息,数据需求方接收数据产品和/或使用数据产品或基于数据产品进行衍生加工均不会违反适用法律法规(包括但不限于《数据安全法》《个人信息保护法》《信息安全技术 个人信息安全规范》(GB/T 35273-2020)),不会侵犯任何第三方的合法权益;
- 数据产品真实、准确、完整。
相对地,考虑到不同交易场景下双方谈判地位可能存在的差距,数据提供方同样也可以对己方提供数据产品的某些义务进行免除或者要求数据需求方就数据的使用如存储、加工、处理等作出合规保证。由数据提供方作出的、典型的该等陈述条款例如“数据产品按‘现状’和‘可获得’方式予以授权,不附带任何种类的任何明示或默示保证(包括对适销性和适用于某一特定目的的保证),数据提供方对数据产品的使用不承担任何责任”。
9. 记录保存与审计
在数据交易协议中,数据提供方还可以基于自身的商业需求在协议中设置记录保存与审计条款,以对数据需求方使用数据的行为进行合理监督,保证数据需求方对数据产品的使用和保护符合双方约定和法律法规的要求,例如:
(1) 数据提供方可以要求按照一定的周期自行或聘请独立的合格第三方审计数据需求方已采取的安全和保密措施,以确保对相关数据或其任何部分进行保护;
(2) 为审核之目的,数据需求方授予数据提供方及其聘请的第三方视察、检查并审核数据需求方(以及数据需求方可能使用的任何人员)在数据产品的使用或衍生加工的过程中使用的设施、账簿、系统、记录、数据、操作和程序等;
(3) 数据需求方应在协议终止或届满后一定时间内依然保留数据产品的使用记录,以供数据提供方进行审计;
(4) 数据提供方行使审计权时应尽其最大合理努力避免对数据需求方业务的干扰。
10. 数据出境条款
《网络安全法》《数据安全法》以及《个人信息保护法》中均对数据出境作出了相应规定,因此在交易协议条款的设计上,数据提供方首先应当结合自身的商业因素和数据安全因素明确数据需求方对数据产品使用的地域范围。其次,如果数据需求方对数据产品的使用确实涉及数据出境情形,数据提供方应当在协议中明确要求数据需求方遵守数据出境的合规要求和履行数据出境申报义务。例如,数据提供方可以在交易协议中要求数据需求方在直接或间接地出口、报告或转让任何数据产品,或利用该等数据产品形成的任何其他衍生产品时,承诺均不违反中国关于数据出境的法律法规(包括但不限于《网络安全法》《数据安全法》《个人信息保护法》)。
11. 终止条款
终止条款的要点之一在于明确双方各自可终止协议的具体情形以及终止协议后双方的义务。
数据提供方一般至少应当保留下述情形下的单方终止权:数据需求方未在授权使用的范围之内使用数据产品,或未能采取充分的数据安全措施保护数据产品的保密性和安全性。在数据提供方行使单方终止权,或协议终止或届满时,可以要求数据需求方通过双方共同约定的安全电子方式向数据提供方交付数据产品的所有备份或最新备份并销毁数据需求方服务器中所有剩余的数据提供方信息。
二、 公共数据授权运营——以上海市为例
根据《上海市数据条例》第2条,公共数据是指本市国家机关、事业单位,经依法授权具有管理公共事务职能的组织,以及供水、供电、供气、公共交通等提供公共服务的组织(以下统称公共管理和服务机构),在履行公共管理和服务职责过程中收集和产生的数据。上海市政府可以向符合条件的第三方企业开放公共数据,授权这些企业根据其市场需求对公共数据进行处理,从而形成利用水平更高的公共数据产品和服务。
1. 可授权运营的公共数据
根据《上海市数据条例》第41条,涉及个人隐私、个人信息、商业秘密、保密商务信息,或者法律、法规规定不得开放的,列入非开放类;对数据安全和处理能力要求较高、时效性较强或者需要持续获取的公共数据,列入有条件开放类;其他公共数据列入无条件开放类。非开放类公共数据依法进行脱密、脱敏处理,或者相关权利人同意开放的,可以列入无条件开放或者有条件开放类。另根据《上海市数据条例》第45条规定,授权运营的数据涉及个人隐私、个人信息、商业秘密、保密商务信息的,处理该数据应当符合相关法律、法规的规定。
结合上述规定,可以看出,公共数据授权运营是一种有限授权,非开放类的公共数据原则上不得授权运营,但如果经过脱密、脱敏处理,或者相关权利人同意开放的,则变为有条件开放类数据,依然可以进行授权运营。无条件开放类数据可直接进行授权运营。
2. 授权运营需满足的条件
(1) 平台内开发利用
根据《上海市数据条例》第45条规定,被授权运营主体应当在授权范围内,依托统一规划的公共数据运营平台提供的安全可信环境,实施数据开发利用,并提供数据产品和服务。市政府办公厅应当会同市网信等相关部门和数据专家委员会,对被授权运营主体规划的应用场景进行合规性和安全风险等评估。市政府办公厅、市大数据中心、被授权运营主体等部门和单位,应当依法履行数据安全保护义务。本条规定要求授权运营单位只能依托公共数据运营平台对授权运营的公共数据进行加工处理,同时授权运营主体的应用场景还需经过安全风险评估并履行安全保护义务,一方面为公共数据运营提供安全可信的环境,另一方面也方便政府对被授权运营主体进行审查,对公共数据流通进行监管。
(2) 平台内交易
根据《上海市数据条例》第46条规定,通过公共数据授权运营形成的数据产品和服务,可以依托公共数据运营平台进行交易撮合、合同签订、业务结算等;通过其他途径签订合同的,应当在公共数据运营平台备案。本条规定对授权运营主体加工形成的数据产品和服务对外提供并获取收益做了进一步规定,相关交易必须在公共数据运营平台中进行,通过其他途径的必须在公共数据运营平台备案。值得注意的是,由于授权运营主体以外的第三方并未获得上述公共数据的授权运营资格,因此授权运营主体一般不得向第三方提供授权运营的原始公共数据,换言之,在关于公共数据授权运营的协议中,授权运营主体可能很难享有进行进一步转授权的权利。
(3) 签订授权运营协议
虽然《上海市数据条例》并未对公共数据授权运营协议所要包含的内容予以规定,对于如何处理被授权运营主体与公共数据原始持有人的利益关系也未做规定。但是为了明确被授权运营主体的授权范围以及双方的权利义务关系,授权运营数据的提供方应当与被授权运营主体签订授权运营协议。授权运营协议应当至少明确授权运营范围、运营期限、合理收益的测算方法、数据安全要求、期限届满后资产处置等内容。协议条款的设计可以参考本文第一部分内容。
上述内容之外,对于具体的公共数据授权运营授权主体,授权条件、程序、数据范围,运营平台的服务和使用机制,运营行为规范,以及运营评价和退出情形等内容还有待于在上海市政府办公厅后续制定的公共数据授权运营管理办法中予以确定,交易协议中应当根据该等进一步的规定制定相应的条款。
三、 结语
随着各地纷纷走进数据交易的“无人区”,新一轮数据“掘金潮”已经到来。如何合理安排数据交易双方的权利义务将是解决数据交易所面临难题中的重要一步,不仅需要在已有经验的基础上对相关条款进行创造性设计,同时还要结合具体的交易场景和交易类型等进行量身打造。以上海市公共数据授权运营为例,公共数据授权运营不仅需要明确公共数据的授权运营范围、授权运营条件,更重要的是交易双方应签署完备的授权运营协议,以保证和促进数据产品和服务在未来的流通,提高公共数据社会化开发利用水平。数据交易,既要勇于探索未来可期的星辰大海,也要把握条款之中的田间地头。
参见(2018)浙01民终7312号民事判决书。
《民法典》第1035条。
