2021年11月25日,上海数据交易所揭牌成立仪式暨2021上海全球数商大会在沪举行,《上海市数据条例》同日颁布。
上海数据交易所的设立,重点是聚焦数据确权难、定价难、互信难、入场难、监管难等关键共性难题,形成系列创新安排。设立当日,数商体系、数据交易配套制度、全数字化数据交易系统、数据产品登记凭证、数据产品说明书的五大“全国首发”为破解数据交易“五难”问题理清了方向。
在此之前,2021年9月1日生效的《数据安全法》明确建立健全数据交易管理制度,确定数据交易行为的合法性,培育数据交易市场,则是数据作为一种生产要素的必要发展。同时明确从事数据交易中介服务的机构提供服务,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录,但是关于审核的具体模式、数据提供方合规风险的处理机制和防范措施等细化规则还有待相关配套制度进一步明确。上海数据交易所的成立,特别是成立当日20个数据产品的挂牌,很有可能是实打实走出了一条可行的数据交易之路。
本文旨在借上海数据交易所设立之契机,围绕上海数据交易所“首发”的数商体系和交易配套制度,以及最新出台的《上海市数据条例》,探讨数据交易的法律难点,畅想数据交易乃至数据要素资本化的未来。
根据公开信息,我们可以畅想这样一幅数据交易全景图[1] :
1. 全国首发数商体系:“数商”不仅仅是数据交易主体
上海数据交易所首发数商体系,全新构建“数商”新业态,涵盖数据交易主体、数据合规咨询、质量评估、资产评估、交付等多领域。《上海市数据条例》第五十三条明确提出:“本市支持数据交易服务机构有序发展,为数据交易提供数据资产、数据合规性、数据质量等第三方评估以及交易撮合、交易代理、专业咨询、数据经纪、数据交付等专业服务。”
“数商”新业态所涵盖的主体至少传递出两个明确的信号:
(1) “数商”涵盖数据发现者、价值赋能者、联结者和服务提供者等各类经济主体:
首批签约的数商中,有作为数据交易主体的数据产品的供应方和需求方,有负责数据产品合规审查的律师事务所,也有负责数据产品资产评估的机构,还有协助数据产品交付的主体。大数据流通与交易技术国家工程实验室常务副主任黄丽华表示,“‘数商’是指以数据作为业务活动的主要对象或主要生产原料的经济主体,释放数据要素‘三类价值’(发现者、价值赋能者、联结者和服务提供者)是‘数商’的使命”。
(2) 数据交易需要遵循完整的程序安排:
从“数商”涵盖的范围可以看出,对于拟在上海数据交易所挂牌数据产品的企业而言,其至少需要经过质量评估、资产评估、合规审查、材料提交、数据产品挂牌、交易文件达成、产品交付等一系列过程。从目前的公开信息来看,由专业机构进行的合规审查是一个“必选动作”,其他过程应当如何安排,是否是必选动作,是可以自行安排还是必须通过第三方服务提供者来进行,交付过程是否有任何监管要求等,还需要通过未来制定和公布的规范文件来明确。
2. 全国首发数据交易配套制度:“不合规不挂牌,无场景不交易”
上海数据交易所率先针对数据交易全过程提供一系列制度规范,涵盖从数据交易所、数据交易主体到数据交易生态体系的各类办法、规范、指引及标准,确立了基本原则,让数据流通交易有规可循、有章可依。
目前,尽管上海数据交易所尚未发布公开的交易细节,但已经明确将“不合规不挂牌,无场景不交易”作为数据交易的基本原则。《网络安全法》《数据安全法》《个人信息保护法》作为数据保护领域的“三驾马车”,为网络安全、数据安全和个人隐私、个人信息保护提供制度保障,为政府、企业、社会相关管理者、运营者和经营者提供了重要的法律依据和支撑。数据交易的“合规”也应当符合“三驾马车”项下的要求。此外,《上海市数据条例》中也有针对数据交易的专门规定。
从目前公开的信息来看,数据交易的“合规”至少应该涵盖交易主体的合规、数据产品的合规、交易过程的合规三个方面。
(1) 交易主体合规
交易主体的合规可以考虑围绕数据交易主体是否全面履行了《网络安全法》《数据安全法》《个人信息保护法》及相关的现行有效的法规项下对于企业的整体义务来进行考察。
《网络安全法》适用范围确定是“在中华人民共和国境内建设、运营、维护和使用网络”,数据交易离不开网络设施,倘若数据交易主体为自身业务经营目的依托位于我国境内的网络物理设施而使用网络,应当遵循《网络安全法》的相关要求。《网络安全法》对包括网络服务提供者在内的网络运营者规定了一系列保护“网络运行安全”方面的要求和义务,包括要求网络运营者根据国家所实行的网络安全等级保护制度履行其网络运行安全保护义务。因此,数据交易主体是否结合《网络安全法》以及网络安全的等级保护制度的要求履行网络运行安全保护义务,例如是否按照《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)采取了信息系统安全等级保护措施亦应当考虑纳入主体合规评估的要素。
《数据安全法》明确了数据处理活动的监管要求。要求企业通过技术或者管理等方式,确保数据处理的有效保护以及合法利用,保证数据安全状态。该等主旨项下,作为数据交易的主体,必然涉及数据处理所涉及的数据的收集、存储、使用、加工、传输、提供、公开等,因此需要遵循相应的义务。数据交易主体是否遵循了制度管理、风险监测、风险评估、数据收集、数据交易、事前许可和配合调查等多个方面的相应义务应当作为数据交易主体合规的考察要素,例如,针对制度管理、风险监测、风险评估,数据交易主体是否结合《数据安全法》的要求在内部构建了常态化和贯穿数据全生命周期的数据安全保护体系、是否设定了数据安全事件的应急响应规范等都应当考虑纳入主体合规评估的要素。
《个人信息保护法》在立法层面完善了对个人信息的全生命周期保护。企业应当构建起以组织为保障、以制度为贯穿、以安全为基石的个人信息保护体系,包括设立专人负责、建立管理制度和流程、搭建安全防范机制等等,企业是否按照《个人信息保护法》的要求充分履行了个人信息保护相关的义务也应当考虑纳入主体合规评估的要素。值得探讨的是,针对拟交易的数据产品本身是否(可能)涉及或不涉及个人信息两种情形,在对数据交易主体的个人信息保护义务履行情况进行合规审查时,相应的标准和深入程度是否应当有所区分。
在上述基础之上,亦应当结合企业的特殊情况进行专门的考量,例如企业是否有任何设施被认定为关键信息基础设施,接到行业主管部门的自查通知,或是否属于特殊监管行业等等。
(2) 数据产品合规
数据产品的合规至少应当涵盖数据来源的合法性、数据产品本身的可交易性和可流通性。
(i) 关于数据来源的合法性
《数据安全法》第三十二条第一款明确指出,“任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。”放在数据交易的情境下,数据来源的方式“合法、正当”是企业固定与构筑自身数据资产的第一步,也是数据产品得以交易的首要原则。《上海市数据条例》第十四条也明确:“自然人、法人和非法人组织对其合法取得的数据,可以依法使用、加工。法律、行政法规另有规定或者当事人另有约定的除外”。实践中,可以考虑根据数据产品相关数据的来源,例如自行生产、公共数据或其他公开数据收集、授权运营、数据共享开放、数据交易等,设定不同的合规考察标准。针对来源不同的数据,合法合规性审查所应当考虑的要素也会有所区别,例如:
对于自行生产的数据,需要重点考察相应的数据形成所依托的平台情况;相对应的研发、人员、设备投入情况;所形成的具有独创性的算法以及相关的自主知识产权等,以确认其“自行”性;
对于收集的公共数据,尽管早先的《广东省公共数据管理办法》《上海市公共数据开放暂行办法》以及最新的《上海市数据条例》等针对公共数据明确了应“以共享为原则,不共享为例外”,且鼓励市场主体和个人利用依法开放的公共数据开展科学研究、产品研发、咨询服务、数据加工、数据分析等创新创业活动[2] ,但是依然需要考虑所收集的数据是否属于可以共享的、“依法开放的公共数据”。例如,《上海市数据条例》中就明确将公共数据分为无条件开放、有条件开放和非开放三类,对于所收集的公共数据,也需要根据具体情况分类判断。
除上述内容之外,无论是公共数据还是其他公开数据,也应当对收集的过程中是否使用了可能涉及侵权的爬虫等工具的情形一并进行考察。
对于授权运营的数据,则需要针对授权链进行审查,特别是针对授权范围,需要考察上游授权方是否允许下游被授权方对于其所提供的数据进行进一步加工并形成可以对外提供的数据产品。值得注意的是,《上海市数据条例》第三章专门列出了公共数据授权运营相关的规定,并在第四十五条和第四十六条明确:“被授权运营主体应当在授权范围内,依托统一规划的公共数据运营平台提供的安全可信环境,实施数据开发利用,并提供数据产品和服务”“通过公共数据授权运营形成的数据产品和服务,可以依托公共数据运营平台进行交易撮合、合同签订、业务结算等;通过其他途径签订合同的,应当在公共数据运营平台备案”。该等规定表明,公共数据可以通过授权的方式由第三方进行运营,且第三方亦可在授权的范围内进行开发并形成可交易的数据产品和服务。该等情况下,公共数据授权运营的文件将会至关重要,其授权范围将对后续形成的数据产品中数据来源的合法性造成极大的影响。
对于拟参与数据交易的企业而言,一方面是构建常态化的数据来源区分和审查体系,从数据来源这一最初环节做好数据隔离与风险排除;另一方面是采取必要的技术,并对数据授权的相关协议进行全面的审查,确保相应的数据获取协议不会对后续数据产品的形成和流通形成障碍。另外一个非常值得探讨的话题就是数据“溯源”的具体核查方式以及核查程度,最为典型的场景之一是拟交易的数据产品所涉及的数据来源于多个、多层“前手”的授权或交易,究竟如何逐层核查确保每一层的数据处理和加工都在前手的授权范围内。后续,我们将结合实践经验另行和大家探讨。
(ii) 关于数据产品本身的可交易性
数据产品本身的可交易性至少需要考察数据权属、数据本身是否属于可交易的数据。
• 关于数据权属,数据确权作为数据进入开放式交易和商业化利用的前提,是数字经济的基石,为此《民法典》第一百二十七条规定,“法律对数据、网络虚拟财产的保护有规定的”,依照其规定,宣示性地承认了数据的民事权益地位。尽管如此,现阶段,我们依然处于数据确权理论不明,数据产权制度缺位的情景,理论界也围绕“债权说” “知识产权说” “物权说” “新型权利说”等有着激烈的争辩[3],但是目前对于数据权属究竟如何认定以及数据权属的法律性质是什么仍然没有统一结论。
2022年1月1日起实施的《上海市数据条例》将通过地方立法形式为上海市的市场主体数据财产确权提供法律依据,其在第十二条明确规定“本市依法保护自然人、法人和非法人组织在使用、加工等数据处理活动中形成的法定或者约定的财产权益,以及在数字经济发展中有关数据创新活动取得的合法财产权益”,使得数据确权在上海有法可依,因此是否存在“通过使用、加工等数据处理活动形成权益”以及“有关数据创新活动”也将成为数据产品合规评估的重要考量因素。
• 关于数据本身是否属于可交易的数据,尽管目前的法律法规中,对于究竟哪些数据可以进行交易并没有给出极为清晰的边界,但是至少可以从“黑” “白” “灰”三个类别予以考量。
所谓的“黑”是指明确不宜交易的数据,例如《上海市数据条例》第五十五条就明确规定:“有下列情形之一的,不得交易:(一)危害国家安全、公共利益,侵害个人隐私的;(二)未经合法权利人授权同意的;(三)法律、法规规定禁止交易的其他情形”。综合现行法律法规(包括地方规定和部分国家标准、指南),目前明确不适合作为数据交易的对象的数据至少包括:未经个人同意的一般个人信息、敏感个人信息和隐私信息(获取同意后能否交易还有待观察如何与现有的个人信息保护的规定相衔接)、重要数据、核心数据、国家秘密以及其他数据相关规定明确禁止或不宜交易的数据,以及其他通过违反法律、行政法规的规定或者侵犯他人的合法权益所获得的数据。在考虑数据产品的可交易性时应当依据相应的标准、目录等一并核查,如针对数据来源涉及个人信息,可以参考相关的标准判断其是否已经经过充分的去标识化或匿名化的过程,形成聚合数据或者重标识风险可接受的数据。
所谓的“白”是指明确可用于交易的数据。对此《上海市数据条例》主要针对下述情形明确了可交易性:例如《上海市数据条例》第四十九条就明确:“本市制定政策,培育数据要素市场主体,鼓励研发数据技术、推进数据应用,深度挖掘数据价值,通过实质性加工和创新性劳动形成数据产品和服务”,即通过实质性加工和创新性劳动可以形成可交易的数据产品和服务。
综合现行法律法规(包括地方规定和部分国家标准、指南),目前明确可交易的主要包括依法开放或授权运营的公共数据。需要注意的是,该等鼓励市场主体和个人开展科学研究、产品研发、咨询服务、数据加工、数据分析等创新创业活动(参见《广东省公共数据管理办法》第三十七条)或者可以由“自然人、法人和非法人组织对公共数据进行深度加工和增值使用”(参见《上海市数据条例第四十三条》)的“公共数据”有着较为明确的边界,一般均指“国家机关,事业单位,经依法授权具有管理公共事务职能的组织,以及提供供水、供电、供气、公共交通等公共服务的组织在履行公共管理和服务职责过程中,收集和产生的各类数据”,且必须符合“依法公开”的要件,换言之,不是所有的公开数据都属于鼓励市场主体和个人开展数据加工、数据分析等创新创业活动的“公共数据”。此外,如上所述,倘若是公开收集的公开信息,还需要考察其是否属于无条件开放的公共数据;倘若是授权运营的公共数据,则需要进一步考察形成该数据产品的过程以及该数据产品本身是否属于授权范围内的事项。
所谓的“灰”是指采取一定措施后可能可以交易的数据,对于“灰”类数据,倘若希望交易,则需要采取一定的补正措施(例如取得授权方补充同意、调整保护措施、进行技术处理等)使其成为可交易的数据产品。
(iii) 关于数据产品的可流通性
数据产品本身的可流通性主要考察的是相关数据产品的流通是否有任何特殊限制。
例如,相关数据产品进入市场之前,是否受限于任何前置性的证照要求。《数据安全法》第三十四条规定,“法律、行政法规规定提供数据处理相关服务应当取得行政许可的,服务提供者应当依法取得许可。”即,相应行业或者不同经济部门的法律、行政法规设定事前许可事项的,应当严格遵照其规定,在取得相应资质或者许可牌照的前提下开展合规的数据处理服务与经营活动。数据产品的供应和获取是否都受限于特定的前置性证照是数据产品流通性应当重点考察的要素之一。
再如,数据产品的交易是否涉及到数据跨境。“三驾马车”项下,对于数据跨境都有着专项的规定,其中,《网络安全法》第一次从法律层级对于数据跨境流动提出了安全要求 ;《数据安全法》并未就数据跨境流通作详细规定,而是就数据跨境流通的问题引用《网络安全法》的相应规定并明确由国务院与国家网信部门制定具体规则 ;《个人信息保护法》针对跨境数据流动方面,赋予了必要的域外适用效力,以充分保护我国境内个人的权益,同时还明确了个人信息跨境提供的要求与条件;正在征求意见的《网络数据安全管理条例》和《数据出境安全评估办法》也从各自的角度对数据跨境流动提出了监管要求。因此,倘若数据产品涉及到跨境数据流动(包括可被境外访问的情形),合规审查还需要考虑跨境数据流动的合规要求。
(3) 交易过程合规
根据我们的经验,当前主流的数据交易平台在交易模式上大体上可分为三种:
数据包交付模式:即数据供应方将源数据拷贝至双方约定的数据交付场所,数据需求方则通过该交付场所直接购买源数据;
API交付模式:即数据供应方借用应用程序接口(即API 接口)向需求方提供所需数据。API接口的实质其实是电脑操作系统或程序库提供给应用程序调用使用的代码,其主要目的是让数据的需求方得以调用一组例程功能,而无须考虑其底层的源代码或理解其内部工作机制的细节;
数据托管模式:即需求方在双方约定的“交付”环境内直接使用供应方所提供的数据。
从目前的公开信息看,上海数据交易所将很有可能采取一定程度上交易和交付流程相分离的策略,即允许一定程度的“场外交付”。该等模式下,交易流程的合规以及对各方权利义务进行明确约定的配套交易文件就至关重要。
在数据交易的过程中,需要结合实际的交易场景、交易类型从多个方面考虑合规把控,以及交易文件的设置。
例如,大多数情况下,数据作为无形的比特流,可能很难由数据产品的提供方直接交付给需求方,因此整个交易过程需要依赖储存设备或网络通讯系统。这种情况下,一方面,需考察储存设备或网络通讯系统本身是否符合《网络安全法》《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)等相关法律法规(包括地方规定和部分国家标准、指南),另一方面,也需要从交易的实质来考察其合规性并准备相应的文件。例如,在该等交易场景下,各方关注的核心并非数据的“转让”或“排他性使用”,而是以什么样的方式确保数据的供应方能够将数据“传送”给数据的需求方。从这个角度,数据产品所对应的更像是“数据服务”,相关的交易文件在实质上也可能更靠近“数据服务合同”。根据《民法典》,该等交易文件应当遵循《民法典》关于合同编通则的规定,并可以参照适用与“数据服务合同”最相类似的有名合同之相关规定。至于更进一步地,应当参照哪一类“有名合同”则需要结合具体的交易才能进行更为精准的判断。如果涉及委托第三方供应商提供数据交付服务的,还可能需要考虑和交付服务供应商之间签订数据处理合同,以监督和限制相关的数据交付行为。
除上述提及的“首发”之外,上海数据交易所其他的“全国首发”还包括首发上线新一代智能数据交易系统,保障数据交易全时挂牌、全域交易、全程可溯;首发数据产品登记凭证与数据交易凭证,即首次通过数据产品登记凭证与数据交易凭证的发放,实现一数一码,可登记、可统计、可普查;首发数据产品说明书,即首次以数据产品说明书的形式使数据可阅读,将抽象数据变为具象产品。《上海市数据条例》进一步提出,要“支持浦东新区高水平改革开放、打造社会主义现代化建设引领区,推进数据权属界定、开放共享、交易流通、监督管理等标准制定和系统建设”;“数据交易所应当制订数据交易规则和其他有关业务规则,探索建立分类分层的新型数据综合交易机制,组织对数据交易进行合规性审查、登记清算、信息披露,确保数据交易公平有序、安全可控、全程可追溯”。可以预见,2021上海全球数商大会提出的“数联全球,商通未来”并不遥远。随着未来《上海市数据条例》的实施以及越来越多的实践积累,数据确权的准则、合规评估、交易路径和文件的规划将不断完善……数据交易,星辰大海的征途才刚刚开始。
该全景图仅为本文作者根据公开信息解读,并不代表上海数据交易所或任何部门、机构对数商生态圈的意见、理解或解读。
《上海市公共数据开放暂行办法》第二十三条明确,本市鼓励数据利用主体利用公共数据开展科技研究、咨询服务、产品开发、数据加工等活动。《广东省公共数据管理办法》第三十七条明确,鼓励市场主体和个人利用依法开放的公共数据开展科学研究、产品研发、咨询服务、数据加工、数据分析等创新创业活动。相关活动产生的数据产品或者数据服务可以依法进行交易,法律法规另有规定或者当事人之间另有约定的除外。
《民法典》第127条已明确了“数据”和“虚拟财产”是两种不同法益的价值取向,驳斥了“债权说”的立论基础;“知识产权说”已经基本被研究者推翻;“物权说”又可区分为“早期物权说”与“后期物权说”,其中“早期物权说”主张在物权体系下创设一项独立的含括数据在内的网络虚拟财产权 (杨立新,王中合,论网络虚拟财产的物权属性及其基本规则[J].国家检察官学院学报,2004(6): 5-15),这一观点可使传统民法体系得以延续,且有利于处理第三人侵害个人数据引发的法律纠纷。但单一赋权模式下的数据所有权或被赋予数据用户,或被赋予数据集成的平台企业,极易导致数据专有垄断。为此,“后期物权说”学者引入“用益权”机制的修正方案,塑造数据所有权与数据用益权协同的二元结构,提出在设定数据原发者拥有数据所有权的同时,赋予数据处理者以数据用益权(申卫星,论数据用益权[J],中国社会科学,2020(11): 110-207);关于“新型权利说”,大体上均以洛克的劳动赋权论作为数据成立财产权的论证基础。例如,有学者提出数据权是具有财产权、人格权以及国家主权属性的兼具债权与物权的新型权利(李爱君,数据权利属性与法律特征[J],东方法学,2018(3): 64-74);也有学者将基于数据产生的权利归纳为信息权(肖建华,柴芳墨 .论数据权利与交易规制[J],中国高校社会科学,2019(1):83-158)。