《2022 数据交易合规法律报告》发布
目录
一、数据交易的背景
二、数据交易概述
(一)数据交易的意义和价值
(二)数据交易的法律支撑
(三)数据交易的法律性质
三、数据交易存在的主要问题
(一)数据权属界定
(二)数据资产与其定价
(三)个人数据交易合规
四、数据交易场所—以上海数据交易所为样本
(一)上海数据交易所的定位与特征
(二)场内数据交易的积极意义
(三)数据产品交易的流程
五、数据交易合规评估审查要点
(一)关于公司的基础背景调查
(二)数据产品来源合法性
(三)数据产品的可交易性
(四)数据产品的流通风险
六、数据产品交易未来与展望
(一)隐私计算
(二)数据信托
附:数据交易相关法律法规(截至2022年6月)
一、数据交易的背景与实践
(一)数据交易的政策背景
2017年12月9日,习近平总书记在中共中央政治局就实施国家大数据战略进行第二次集体学习时发表讲话,明确“要制定数据资源确权、开放、流通、交易相关制度,完善数据产权保护制度”。
2019年10月,党的十九届四中全会决定明确将数据作为新的生产要素,被列为比肩土地、劳动力、资本、技术的“第五要素”。数据作为一种新型生产要素,对于推动经济高质量发展,促进全面数字化转型的重要作用日益凸显。
2020年4月9日,中共中央发布《关于构建更加完善的要素市场化配置体制机制的意见》,将数据列为生产要素之一,并明确将数据要素的市场化配置作为要素市场制度建设的方向和重点改革任务之一。其中特别强调“引导培育大数据交易市场,依法合规开展数据交易。建立健全数据产权交易和行业自律机制。”
2020年5月11日,《中共中央国务院关于新时代加快完善社会主义市场经济体制的意见》印发,进一步提出“建立数据资源清单管理机制,完善数据权属界定、开放共享、交易流通等标准和措施,发挥社会数据资源价值。”这一顶层制度的导向充分体现了互联网大数据时代的特征,数据要素优化配置成为数据经济发展的关键环节。
2020年10月29日,党的十九届五中全会和“十四五”规划对“打造数字经济新优势”作出了专门部署,提出“迎接数字时代,激活数据要素潜能,推进网络强国建设,加快建设数字经济、数字社会、数字政府,以数字化转型整体驱动生产方式、生活方式和治理方式变革”,明确了数字化的发展前景和目标。会议专门提及数字化发展和数字中国,并将其与制造业、服务业、产业链和供应链现代化、交通和能源等领域的改革和发展放在一起,凸显了数字化发展的重要作用和地位。 一方面,这十分符合目前我国经济社会的发展需要和发展趋势;另一方面,这也说明了国家在战略层面对数字化发展和各行各业的数字化转型与提升的高度重视。 目前后疫情时代复杂的国际政治和经济环境及其不稳定性和不确定性的增加,针对新一轮科技革命和产业变革深入发展的战略方向是“十四五”规划重要内容。数字化转型是提升产业生产力和生产效率,提高竞争力和实现产业现代化的根本性改革举措。
2021年10月18日,习近平总书记在中共中央政治局第三十四次集体学习时指出,发展数字经济是把握新一轮科技革命和产业变革新机遇的战略选择:一是数字经济健康发展有利于推动构建新发展格局,数字技术、数字经济可以推动各类资源要素快捷流动、各类市场主体加速融合,帮助市场主体重构组织模式,实现跨界发展,打破时空限制,延伸产业链条,畅通国内外经济循环;二是数字经济健康发展有利于推动建设现代化经济体系,数字经济具有高创新性、强渗透性、广覆盖性,不仅是新的经济增长点,而且是改造提升传统产业的支点,可以成为构建现代化经济体系的重要引擎;三是数字经济健康发展有利于推动构筑国家竞争新优势,当今时代,数字技术、数字经济是世界科技革命和产业变革的先机,是新一轮国际竞争重点领域,我们要抓住先机、抢占未来发展制高点。
2022年6月22日,中共中央总书记、国家主席、中央军委主席、中央全面深化改革委员会主任习近平主持召开中央全面深化改革委员会第二十六次会议。会议审议通过《关于构建数据基础制度更好发挥数据要素作用的意见》要建立合规高效的数据要素流通和交易制度,完善数据全流程合规和监管规则体系,建设规范的数据交易市场。要完善数据要素市场化配置机制,更好发挥政府在数据要素收益分配中的引导调节作用,建立体现效率、促进公平的数据要素收益分配制度。
(二)数据交易的近期实践
数据,被誉为21世纪的“新石油” 已经成为数字经济时代新型生产要素。根据《中国数据交易实践趋势报告(2022年)》研究数据,目前数据场外交易活跃、场内交易冷清。OnAudience平台统计显示,中国数据市场增长率在全球领先,2021年增长率预估在35%。但数据市场规模较小,仅占美国的23%,大量数据通过场外黑市完成交易,进一步限制了正规数据交易市场的交易规模。
目前非法数据交易从来源来看主要集中于泄露及攻击行为,前者主要系单位内部数据保护管理的缺失,使得员工有机会贩卖所接触的数据,后者主要通过爬虫对数据进行爬取或通过技术对计算机系统进行攻击而获取数据。从数据类型来看,目前黑市交易的数据集中于个人数据,特别是与敏感个人信息、隐私相关数据。
数据显示,2020年国内大数据要素市场规模达545亿元,但场内数据交易只占总体交易市场规模的4%,大量数据需求通过非正式渠道进行流通。
根据《中国数据交易实践趋势报告(2022年)》统计,在新一轮政策助推之下,全国多地争相入局,抢滩数据交易新赛道。梳理发现,2021年数据交易机构增长加速,北京、上海、深圳、广州、湖南、福建等多个省市,相继设立数据交易机构,以上海数据交易所为代表。2021年共有8家机构注册,包括北京国际大数据交易有限公司、苏州大数据交易服务有限公司、深圳数据交易有限公司等。到2022年,又迎来上海数据交易所有限公司、广州数据交易有限公司等机构的诞生。
二、数据交易概述
(一)数据交易的意义和价值
数据的价值在于利用,数据交易是激活数据价值、推动数字经济发展的重要方式。市场主体对数据的需求主要通过数据的流通交换来实现,主要包括数据交易和数据开放共享等形式。其中,数据交易是最为主要也是最为市场化的数据流通方式。一方面,数据交易能够连接传统产业和新兴产业,以新兴产业赋能传统产业,以传统产业厚植新兴产业,实现传统产业与新兴产业共同发展。另一方面,数据交易是实现数据要素市场化配置的最有效手段。数据交易发生在平等市场主体之间,具有公平性和竞争性的特点,并能够反映市场需求,通过不同市场主体之间自由平等的交换活动,能够实现数据在不同领域、不同行业、不同部门和不同主体间的流通配置,从而达到数据要素市场化配置的效果。
2021年《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》陆续出台,对规范数据处理活动,保障数据安全,促进数据开发利用等作出了明确规定。数据流正成为激活人流、物流、技术流、资金流的关键载体,数据也将实现从数据资源、数据要素、数据资产到数据资本的转变。数据资产是某个主体拥有或控制的、具有一定规模的、且在未来可以增加该主体经济利益的数据资源的总称。
数据要素价值的释放取决于三类价值:数据的“一次价值”、数据的流通价值、数据的“二次价值”。在数字经济背景下,数据的流通与使用与一国经济发展密切相关,数据的搜集与管理可以为国家治理所用。因此,数据还兼具国家经济和国家治理的公共利益需求。巨大规模的数据产业如果不能做到数据开放与流通,所形成的“信息孤岛”将极大地影响数据价值的体现,而规范的数据交易则是一种有效的解决方案。数据只有实现确权、流通和交易后,才会从社会资源转变成可以量化的数字资产,后续通过进一步金融创新,进而演变为生产性的数字资本,真正释放其内在价值。
2022年3月21日国家发改委在官网发布公告,就28条“数据基础制度观点”面向社会公开征求意见,提到“建议规范引导场外交易,培育壮大场内交易,有序发展跨境交易,建立数据来源可确认、使用范围可界定、流通过程可追溯、安全风险可防范的数据可信流通体系”。具有政府背景的数据交易所若能为企业数据安全提供合规科技、风险评估与安全认证,并为个人信息提供可合规交易的规则,企业将会有较大动力进场内交易。本报告也聚焦于场内数据交易合规的法律研究。
(二)数据交易的法律支撑
在《数据安全法》《个人信息保护法》实施后,数据交易已经具备了基本的法律支撑。相关的立法规定主要如下:
《民法典》第一百一十六条规定物权法定原则,物权的种类和内容由法律规定,因此数据并非物权;第一千零三十四条规定“自然人的个人信息受法律保护;个人信息中的私密信息,适用有关隐私权的规定,没有规定的,适用有关个人信息保护的规定”,可以理解为个人信息非人格权,但有人格利益。
《数据安全法》第七条规定“国家保护个人、组织与数据有关的权益,鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展”;第十九条规定“国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场”;第三十三条规定“从事数据交易中介服务的机构提供服务,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录”。
《上海数据条例》第十二条规定“本市依法保护自然人对其个人信息享有的人格权益。本市依法保护自然人、法人和非法人组织在使用、加工等数据处理活动中形成的法定或者约定的财产权益,以及在数字经济发展中有关数据创新活动取得的合法财产权益”;第十四条规定“自然人、法人和非法人组织对其合法取得的数据,可以依法使用、加工。法律、行政法规另有规定或者当事人另有约定的除外”,提出了财产权益的概念,保障了数据的使用权,回避了数据所有权的敏感问题。《上海市数据条例》进一步提出,要“支持浦东新区高水平改革开放、打造社会主义现代化建设引领区,推进数据权属界定、开放共享、交易流通、监督管理等标准制定和系统建设”,“数据交易所应当制订数据交易规则和其他有关业务规则,探索建立分类分层的新型数据综合交易机制,组织对数据交易进行合规性审查、登记清算、信息披露,确保数据交易公平有序、安全可控、全程可追溯”。
从上述法律和地方性法规来看,在法律层面没有对数据交易做具体和细节的规定,但是法律对数据交易的基本态度是保护合法的数据权益、鼓励保障规范前提下的数据交易、促进以数据为关键要素的数字经济发展,《个人信息保护法》也未排除个人数据的合规利用。各地各方根据法律对数据交易模式、制度构建、规范培育的探索是法律执行、法律遵守的法律实施行为,对数字经济发展和数据交易市场培育具有积极意义。上海、深圳都在地方立法权限下制定了地方性法规层级的数据条例,在和全国人大相关部门充分沟通后对数据交易做出了法律框架下有益的探索和规定。
(三)数据交易的法律性质
《数据安全法》第七条规定:“国家保护个人、组织与数据有关的权益”。此乃我国首次以立法形式确认个人或组织对数据享有合法权利,对明确数据交易的法律逻辑起点意义重大,此条即为合法的数据处理者就数据进行交易的权利来源。
虽然从《民法典》、《数据安全法》乃至《个人信息保护法》来看,数据的所有权问题为立法所回避,但这并不妨碍数据要素市场主体对数据的合法管理和利用,数据交易并不以数据供方对数据享有传统意义上的所有权为前提。数据使用权的提法较为符合行业实践的认知,但单独将数据交易归结为数据使用权的交易缺乏立法层面的依据支撑,而且范围也较窄,也不能覆盖实践中丰富的数据产品类型。 总体来看,目前对于数据交易的法律性质还存在争议。
《数据安全法》为此提供了一条路径。《数据安全法》第二条规定:在中华人民共和国境内开展数据处理活动及其安全监管,适用本法。“数据处理”这一概念源于2016年颁布并于2018年生效的欧盟《通用数据保护条例》(GDPR)。我国《民法典》在对个人信息的规定上也吸纳了对个人信息的“处理”概念。《数据安全法》则继续沿用了此概念,第三条规定:数据处理,包括数据的收集、存储、适用、加工、传输、提供、公开等;第八条继续规定“开展数据处理活动,应当遵守法律法规,尊重社会公德和伦理……”。除此之外,《数据安全法》在第二十七条、二十八条、二十九条、三十条等,从不同角度对数据处理活动进行了全方位的规制。可以说,数据安全法是以一部以规范数据处理活动为出发点和落脚点的法律。由中国信息通信研究院、中国通信标准化协会联合发布的《可信数据服务数据交易合同示范文本》中,将“数据交易”首次概括为了“数据供方和需方之间以本合同约定的数据处理权益为交易对象、以货币为媒介的价值交换过程”,该定义也达成了一定范围内的行业共识。可以再进一步将“数据交易”的法律性质归纳为:交易主体之间就特定的数据处理权益进行的交易,是数据供方就其依法享有的数据处理权益进行处分的一种方式。
三、数据交易中的法律问题
(一)数据权属界定
数据权利是一种新型民事权利,该民事权利可以划分为属于人格权的个人信息(民法典111条、1034-1039条,区分于隐私权)和属于财产权的数据财产权(民法典127条)。数据权属主要是指后者即数据财产权的归属。
有观点认为,数据权属确认是进行数据出资、繁荣数据交易市场、开展数据估值、实现数据维权的前提条件。通过已经达成共识的实操性法律条文和审慎包容的监管机制清晰界定数据主体、数据持有者、数据控制者、数据处理者、数据使用者、技术提供者等数据利益关联方的权利界域,不仅是加快培育数据要素市场的基石,亦是实现科技创新与数据保护动态平衡的关键。由于数据的类型复杂、边界模糊、性质多样,数据相关权利体系复杂甚至冲突,导致数据权属界定确立困难。具体来说,数据生产链条包括多个参与者,每一个参与者在各自环节赋予数据不同价值。在大多数情况下,数据发挥作用、产生价值需要数据控制处理者(如网络平台)对数据进行采集、加工、处理和分析,因此,数据提供者对于数据的各项权利需要数据控制处理者的支持和配合才可有效行使。国内外的研究者普遍认为,赋予某一参与者专属的、排他性的所有权不可行,需要在数据提供者、数据控制处理者等参与者之间进行协商和划分,确定各权利之间的边界和相互关系。数据权利内容还会随着应用场景的变化而变化,甚至衍生出新的权利内容,使得事先约定权利归属变得困难。在海量数据时代,数据控制处理者对于每一个数据包含的复杂权利内容进行协商会带来巨大的交易成本,需要有一套简易可行的规则才能使得数据利用成为可能。另外,就个人数据而言,由于其中包含个人隐私,对于数据控制处理者在使用数据过程中如何保护好个人隐私权需要给予充分考虑。不同类型的数据在权利内容上存在差异,且数据权利不归属于同一个主体,数据主体的不同导致利益诉求的差异性,进而引发数据权利的冲突。
目前法律未对数据权属进行界定,根据《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》,数据是继土地、劳动力、资本、技术之后的第五类生产要素,经济价值巨大,但作为一种新生产要素,无论在表现形态、价值实现还是权利行使、流通方式等方面,均与普通物权不同,且根据物权法定原则,不能将数据权属作为物权保护。《民法典》第127条规定“法律对数据、网络虚拟财产的保护有规定的,依照其规定” ,但是目前法律尚没有规定。《立法法》第8条规定了11种只能由法律规定的事项,包括民事基本制度,数据权属问题属于民事基本制度范畴。综上,数据权属界定在世界范围内仍无定论,基于数据的特征和现有的法律框架内不能将数据权属认定为民法上的所有权,也尚无其它明确的权属法律界定。有观点认为应当制定专门的数据财产法。
在数据权属问题尚不能形成法律界充分的共识背景下,数据交易需要回避数据权属的争议探索有法律保障的空间。各方的共识是:数据交易并不以数据供方对数据享有传统意义上的所有权为前提,数据的财产权益被广泛的认可,也未被国家法律所排除。《数据安全法》规定了数据权益得到保护,第七条规定“国家保护个人、组织与数据有关的权益。可以认为数据权益具有人格权利益与财产权利益双重属性。个人信息保护法也并未排除数据的财产权益。最高人民法院也已经明确“依法保护数据要素市场主体以合法收集和自身生产数据为基础开发的数据产品的财产性权益”。涉及个人标识的数据,在不侵犯个人隐私和符合告知同意等要求条件下未禁止交易。当然根据我国《民法典》第110条规定,自然人的个人信息受法律保护,并专设第六章“隐私权和个人信息保护”做了进一步的规定,此前全国人大2009年2月通过的《刑法修正案(七)》,首次规定了侵犯公民个人信息罪,2015年8月通过的《刑修正案(九)》又对此进行了完善,对非法获取,非法出售、非法提供公民个人信息罪的犯罪主体进行了扩大,因此在承认数据财产权益同时需注意信息主体的人格权利益保护。
2022年6月22日中央全面深化改革委员会第二十六次会议审议通过了《关于构建数据基础制度更好发挥数据要素作用的意见》,要求建立数据产权制度,数据产权的路径和机制有了清晰的顶层设计:公共数据、企业数据、个人数据分类分级确权授权使用;数据资源持有权、数据加工使用权、数据产品经营权等分置的产权运行机制以及维护前述权益的保护制度。持有权、使用权、经营权分置的思路在尊重持有主体控制权的同时,为数据交易和数据增值提供了制度便利和激励。
虽然国家立法在数据财产权益的规定上尚不清晰,但是地方立法规定有明确保障,如《上海数据条例》规定“本市依法保护自然人、法人和非法人组织在使用、加工等数据处理活动中形成的法定或者约定的财产权益,以及在数字经济发展中有关数据创新活动取得的合法财产权益”。
(二)数据资产与其定价
中国信通院2018年发布的《数据资产管理实践白皮书(3.0版)》认为,数据资产是指由企业拥有或控制的、能够为企业带来未来经济利益的、以物理或电子方式记录的数据资源,如文件资料、电子数据等。在企业中,并非所有数据都构成数据资产,数据资产是能够为企业产生价值的数据资源。作为数字经济的关键生产要素,只有那些参与生产经营活动并发挥重要价值的数据才被称之为要素数据。而数据资产化是赋予数据市场价值的过程,也是使数据增值的过程。
在数字经济的发展过程中,随着数据要素市场的蓬勃发展,数据价值的发展也分为三个阶段:一是数据资源阶段,数据是作为记录、反应现实世界的一种资源;二是数据资产阶段,数据是可创造财富的资产,且随着个人在互联网上活动的增多,积累的数据量越大,数据收益也越大。未来,数据资产可能成为一种经数据所有者授权后,由数据管理者向使用者提供的一种服务;三是数据资本阶段,数据的资源和资产特性得到进一步发挥,在形成巨大数据资产的基础上可使用数据资产进行投资,将数据资产转化为数据资本。将数据资源资产化,进而资本化,对数据的所有者、管理者和使用者,均将产生巨大利益。
数据资产的定价是数据交易的重要基础。在解决了数据安全、隐私保护和数据监管等数据流通问题之后,最重要的就是形成合理的经济分配机制,从而驱动企业内部的部门独立核算、企业间的数据共享,以形成数据要素市场,实现数据要素市场化配置,合理分配数据要素收益。但是数据资产的定价模式是一个尚无定论的难题,难以用统一的定价标准衡量数据资产价格。影响数据价格的因素很多,如成本、供求关系、利润、质量等,虽然数据不同于普通物品,没有外在形状,但其作为商品仍然适用价值规律。劳动价值论指出商品的价值量取决于平均社会必要劳动时间。数据的价值量也是由生产数据的平均社会必要劳动时间所决定的,价值是价格的基础。所有用于交换的数据都是有成本的,都需要花费不等的社会必要劳动时间及包含社会必要劳动时间的生产资料,数据的价值量就是产生数据所必需的平均社会必要劳动时间。数据资源与自然资源最大的不同在于其具有可再生性,这使得其边际生产成本接近于零。但是由于产权的限制,大规模数据资源生产的边际成本仍然能够保持在一个较高的水平上。此外,与自然资源的价值稳定性不同,随着时间的推移,数据资源的价值可能会快速下降。
数据资产的定价理论与模型尚在各方研究阶段,并未获得普遍认可的模型。例如姚期智院士认为,建立数据要素的定价理论与算法,是一项融合了信息经济学、博弈论、计算机科学的前沿交叉理论,可以根据博弈论的合作博弈理论,来确立不同的数据对于决策模型的贡献度,贡献度大的数据要素更有价值。因此,通过经济主体功效函数与决策模型贡献度的耦合,就可以对不同数据要素起到的经济价值做合理公平的定量评估,计算得到数据要素在经济活动中产生的经济价值。
关于数据产品如何定价、衡量价值,目前国内数据交易的实践中,公共数据定价一般采用加工成本加适当利润的方法,形成政府指导价格;商业数据产品定价常用的有成本加成定价法、需方收益定价法和市场定价法。《上海市数据条例》第五十七条规定,从事数据交易活动的市场主体可以依法自主定价。市相关主管部门应当组织相关行业协会等制定数据交易价格评估导则,构建交易价格评估指标。
(三)个人数据交易的合规性
数据交易中,个人数据的价值显然是最大的,数字经济的发展最终需要合法利用这一块数据。场外的个人数据交易一直存在,但是在合规性上存在严重的法律问题,在《个人信息保护法》生效后,不合规的个人数据交易将面临法律的严厉处罚。
个人数据交易前两年的一个热点问题是平台企业与个人数据之间的关系,个人用户产生的数据是平台企业创造利润的核心来源,也是数字经济中财富与价值的起源。但目前基于个人数据权属不明的问题,导致个人数据限用不足或限用过足的极端情况,形成消费者和平台企业之间的二元对立矛盾。基于个人数据限用不足的视角,平台企业对个人数据的垄断及滥用,造成了消费者福利的损失。个人用户作为数据生产者在经济活动中处于绝对弱势的地位,这种弱势地位体现在三个层面: 第一,从基础层面看,个人用户的隐私权没有得到充分保障,数据盗用、隐私泄露问题频发。第二,从中级层面看,个人用户作为价值创造的源头却无法参与数据红利的分享,反而遭受各类权益侵害的事件多发。如,平台企业基于海量个人数据的垄断,对消费者生活轨迹、消费偏好进行精准画像,从而进行定向广告、“千人千价”的差别性定价行为。第三,从高级层面看,个人用户的人格权没有被充分考虑。个人数据天生具有人格权,表面上各类平台在收集、利用用户个人数据时必须获得个人授权,但大部分授权协议根本没有体现人格尊重的内涵,个人授权结果通常与产品或服务的使用相捆绑,个人用户只能被动贡献数据。从2021年开始,以个人数据为主的数据垄断被国家立法和监管部门作为规制重点。
在《个人信息保护法》实施后,个人数据交易存在的法律争议包括:一是企业对外有偿提供个人数据是否取决于个人的授权。如果认为是,强调了个人对个人数据处理的决定权,该决定权不仅包含个人基于个人数据享有的人格权益的处分权,还包括对个人数据享有的财产权益的处分权,这可能会给企业间的个人数据交易带来困境。二是根据现有法律,在对外提供个人数据前仍然应遵循信息主体知情同意的原则。但是个人数据的交易链条可以无限拉长。企业在将通过间接收集方式获取的个人数据再行出售的情形下,往往缺乏与信息主体的直接触达场景,在实务中如何实现信息主体对企业的明确授权可能会成为一个难题。三是如果交易的是去标识化的个人信息,是否可以不经信息主体知情同意而向外提供。如果取得信息主体同意的目的是为了个人利益不受侵害,但是能否有效地保护个人信息权益,似乎不取决于个人是否同意企业利用信息主体的个人数据开展交易。
但是虽然个人数据的权属以及保护方法存在缺陷,在个人隐私权被充分保障和数据处理者承担数据安全、处理合规责任的前提下,个人数据的有效利用确是发挥数据价值的重要方式。就目前个人数据交易现状,在上海数据交易所可交易的数据产品范围在试运行初期对个人数据的交易作出严格限制,不包含未经权利人同意的个人数据产品,但是并未否定未来个人信息数据产品在合法合规有安全保障前提下的交易。
个人数据交易的法律保障有待于各方的探索, 本报告认为,数字经济的趋势下对个人数据的合法利用是大势所趋,对个人数据交易的首先需要对个人数据的人格权益实行全场景保护,其次对于个人数据之上的财产权益处分权,基于“谁控制,谁享有”的原则进行分配,企业对于合法收集并控制的个人数据,在不侵害个人数据上的人格权益的前提下,享有完整的财产权益处分权。
四、数据交易所——以上海数据交易所为样本
数据交易存在权属界定难、标准化程度低、场景依附性强等特殊性,数据要素市场供需关系不透明、交易信息透明度低、市场竞争不充分的问题也普遍存在。随着上海数据交易所等国家认可的数据交易场所建立,数据交易可以分为场内数据交易和场外交易。场外数据交易就是在国家认可的数据交易场所之外的数据供方和数据需方依法进行的数据交易,场内数据交易则顾名思义指通过数据交易所内进行的数据产品交易。以下以上海数据交易所为例对场内数据交易进行分析。
(一)上海数据交易所的定位与特征
2021年11月25日,上海数据交易所举行成立仪式暨2021上海全球数商大会,20个数据产品完成挂牌,涉及金融、交通、通信等八大类。同日,上海市十五届人大常委会第三十七次会议表决通过了《上海市数据条例》,将于2022年1月1日起施行。《中共中央国务院关于支持浦东新区高水平改革开放打造社会主义现代化建设引领区的意见》中明确,浦东要建设国际数据港和数据交易所,推进数据权属界定、开放共享、交易流通、监督管理等标准制定和系统建设。
上海数据交易所目前处于试运行期,针对数据流通中的确权、定价、互信、入场、监管等关键共性难题,形成了五个创新安排:一是发布数商体系,全新构建“数商”新业态;二是发布数据交易配套制度,确立了“不合规不挂牌,无场景不交易”的基本原则;三是发布全数字化数据交易系统,保障数据交易全时挂牌、全域交易、全程可溯;四是发布数据产品登记凭证,实现一数一码,可登记、可统计、可普查;五是发布数据产品说明书,以数据产品说明书的形式使数据可阅读,将抽象数据变为具象产品
上海数据交易所具有“144”特征:“1”代表的是国家级数据交易所,这个交易所虽然放在上海浦东,但是服务于全国;前一个“4”指交易所的四大能力,即准公共服务能力、交易的全数字化能力、全链生态的构建能力、制度规则的创新能力;后面一个“4”是四大特征,即规范确权、统一登记、集中结算、灵活交付。上海数据交易所不是“运动员”而是“裁判员”角色,自身不保存交易的数据;交易所还可以实现全天候挂牌、全地理交易、全流程追溯,同时围绕数据交易生态,培育数据经纪、合规审核、资产评估、数据交付等“数商体系”。
通过上海数据交易所开展的数据产品交易不涉及标准化合约,不采取集中交易,不涉及连续竞价。
此外值得一提的是《上海市数据条例》第五十三条明确提出,“本市支持数据交易服务机构有序发展,为数据交易提供数据资产、数据合规性、数据质量等第三方评估以及交易撮合、交易代理、专业咨询、数据经纪、数据交付等专业服务”。上海数据交易所将建立数商体系,构建“数商”业态。“数商”涵盖数据发现者、价值赋能者、联结者和服务提供者等各类经济主体。首批签约的数商中包括:作为数据交易主体的数据产品的供应方和需求方、负责数据产品合规审查的律师事务所、负责数据产品资产评估的机构、数据产品交付机构。
上海数据交易所截至目前的主要挂牌交易产品是金融领域的数据产品,尤其是资管科技中的数据产品,例如上海数据交易所(SDE)和智能投研技术联盟(ITL)多次组织资管科技行业的数商沙龙活动,活动中资管科技类数据产品不涉及个人信息和敏感数据,数据来源清晰透明,同时能够为量化资管投资带来直接收益的刚需特点非常明显。
(二)场内数据交易的积极意义
相对于数据产品的场外交易,数据交易所则类似于场内交易。场内交易的价值何在是一个重要的基础性问题。从目前来看,至少有以下几点:
一是有助于数据交易的公开透明,减少数据受让方的合规顾虑(尤其是外资企业和国有企业),挂牌的数据产品均要求经过合规评估和交易所的审核,对数据交易市场的健康发展具有积极意义;
二是有利于降低数据出让方的交易成本,从场外的一对一谈判实现场内的一对多挂牌,更加有效率地挖掘数据的潜在二次价值。虽然数据交易很多情况下具有相应场景,但是依然有大量的数据交易场景具有普遍适用性;
三是对新兴数据产品供应企业起到一定程度的广告效应,对合规标准较高的交易双方具有类似于金融机构“声誉机制”的作用。这一问题将随着数字时代的发展而愈发被充分认识;
四是数据交易所作为场内交易的组织者,并一般具有国资背景,有较高的意愿、能力和公信度在目前法律层面依然有不明确之处时积极探索数据交易的具体规则,包括个人数据的合法交易、数据跨境便利化的探索等方面。
五是对公共数据授权运营的安全实现具有积极意义。公共数据授权运营是基于安全角度考量较多开展的第三方数据开发活动,与场内数据交易的合规高要求非常匹配。授权企业在加工公共数据形成产品后,通过数据交易所挂牌转让。
(三)数据产品交易的流程
以上海数据交易所为例,根据相关公开信息,其试运行阶段数据产品交易的流程大致为:数据供给方通过合规评估的数据集或数据服务在上海数据交易所经审核后公开挂牌,数据需求方应当依照场景需要对挂牌数据进行点选,供需双方自主确定交易价格和交付方式,通过上海数据交易所签订交易合同后进行交易,交易合同应载明数据内容、应用场景、交易价格、交付方式等。
五、数据交易的合规审查要点
具有政府背景的数据交易所若能为企业数据安全提供合规科技、风险评估与安全认证,并为个人信息提供可交易的规则,企业将会有较大动力进场内交易。目前多数数据交易平台交易规则均明确对数据合规进行审核。例如,上海数据交易所要求数据供方在将数据产品提交挂牌时需要对数据进行质量评估、合规评估等。合规评估主要由数据供方请外部律师事务所等中介机构进行。本报告主笔人在为上海数据交易所十余只数据产品挂牌提供合规评估中的主要合规审查要点包括:
(一)关于公司的基础背景调查
公司基本情况,包括主要业务类型尤其是涉及数据领域的业务概况、公司信用情况、公司涉诉和行政处罚情况、是否在过去三年有数据相关行政处罚和诉讼以及其它重大涉诉和行政处罚案件、交易数据产品的动因、用途或目的及其可能利益相关方。该部分目的在于确定数据交易主体具备法律所规定的从事民事活动的主体资格及行为能力,具备进行数据交易行为的主体资格。
此外,数据交易主体是否全面履行了《网络安全法》《数据安全法》《个人信息保护法》及相关的现行有效的法规项下对于企业的整体义务来进行考察,例如《网络安全法》适用范围确定是“在中华人民共和国境内建设、运营、维护和使用网络”,对包括网络服务提供者在内的网络运营者规定了一系列保护“网络运行安全”方面的要求和义务,包括要求网络运营者根据国家所实行的网络安全等级保护制度履行其网络运行安全保护义务;《数据安全法》明确了数据处理活动的监管要求,数据交易的主体需遵守数据的收集、存储、使用、加工、传输、提供、公开等的义务,以及制度管理、风险监测、风险评估、数据收集、数据交易、事前许可和配合调查等多个方面的相应义务;《个人信息保护法》在立法层面完善了对个人信息的全生命周期保护。企业应当构建起以组织为保障、以制度为贯穿、以安全为基石的个人信息保护体系,包括设立专人负责、建立管理制度和流程、搭建安全防范机制等等,企业是否按照《个人信息保护法》的要求充分履行了个人信息保护相关的义务也应当考虑纳入主体合规评估的要素。在上述基础之上,数据交易主体是否被认定为关键信息基础设施,是否属于特殊监管行业,是否具有其它特殊监管要求等也可能成为评估内容之一。
(二)数据产品来源合法性
关注该数据产品是否具有合法来源。《数据安全法》第三十二条第一款明确指出,“任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据”。在数据交易的情境下,数据来源的方式“合法、正当”是企业固定与构筑自身数据资产的第一步,也是数据产品得以交易的首要原则。《上海市数据条例》第十三条规定“自然人、法人和非法人组织可以通过合法、正当的方式收集数据。收集已公开的数据,不得违反法律、行政法规的规定或者侵犯他人的合法权益。法律、行政法规对数据收集的目的和范围有规定的,应当在法律、行政法规规定的目的和范围内收集”,第十四条也明确“自然人、法人和非法人组织对其合法取得的数据,可以依法使用、加工。法律、行政法规另有规定或者当事人另有约定的除外”。
合法的数据来源包括:公开数据收集,指通过爬取等方式获取公开数据,应当说明其合法正当;自行生产,应当其系统运行和记录形成情况;合法间接获取,应当提供购买协议或许可使用协议等;合法的直接采集,涉个人信息的数据已经获得个人同意,或者遵循数据采集合法基础的其他来源,例如数据产品的数据来源于企业与政府大数据中心通过公共数据授权运营合作方式获得。
在评估数据合法性时,重点问题是数据“溯源”问题。拟挂牌的数据产品所涉及的数据可能来源于“上家”的授权或交易,合规评估需核查确保每一层的数据处理和加工都在合法范围内。建议对于拟参与数据交易的企业,一方面是内部建立数据来源区分和审查制度,从数据来源这一最初环节做好数据隔离与风险排除;另一方面是数据授权相关协议进行全面的审查,确保相应的数据获取协议不会对后续数据产品的形成和流通形成障碍。
(三)数据产品的可交易性
目前法律上没有规定可以进行交易的数据类型,尚无可以进行交易的数据类型的正面清单,但是可以从负面清单角度保障数据交易的合法性。目前可交易的数据产品不应包含:1.未经权利人同意的个人数据;2.可能危害国家安全和公共利益的数据,包括任何核心数据以及未经政府主管部门同意交易的重要数据;3.其它法律法规禁止交易的数据。上海数据交易所试运行初期对个人数据的交易作出严格限制。
此外,数据产品挂牌企业需要提交关于知识投入情况(创造性劳动)的数据处理过程说明(如采用何种算法、知识进行加工),以及关于注入劳动情况(实质性加工)的说明(数据处理有关佐证如服务器日志)。在创造性劳动和实质性加工的判断上,合规评估主要解决定性的问题,相关的评估标准在不断完善。
(四)数据产品的流通风险
该部分主要关注以下内容:
1.拟挂牌的数据产品需明确界定使用场景,鉴于数据产品的特殊性,数据交易秉承无场景不交易的原则,数据交易必须预设适用场景,以发挥数据的价值,也避免数据的无序和违法利用。
2.拟挂牌的数据产品应当限定数据使用条件和约束机制,例如对数据使用主体的资质和使用期限、能否转售、再许可作出明确要求。
3.数据产品本身的可流通性要考察数据流通是否有任何特殊限制。例如《数据安全法》第三十四条规定“法律、行政法规规定提供数据处理相关服务应当取得行政许可的,服务提供者应当依法取得许可”,即数据交易主体应在取得相应资质或者许可牌照的前提下开展合规的数据处理服务与经营活动。数据产品的供应和获取是否都受限于特定的前置性证照,是数据产品流通性应当重点考察的要素之一。
4.企业是否存在相应的数据安全风险预防、管理和处置措施。
5.是否涉及数据出境。目前上海数交所挂牌数据产品基本都是针对境内主体,但是,未来数据产品涉及境外主体、数据跨境流动或被境外访问的情况是可能的,届时需要符合法律法规和监管对此的具体要求。《数据安全法》未对数据跨境流通作详细规定,而是就数据跨境流通的问题引用《网络安全法》的相应规定并明确由国务院与国家网信部门制定具体规则;《个人信息保护法》针对跨境数据流动方面,赋予了必要的域外适用效力,以充分保护我国境内个人的权益,同时还明确了个人信息跨境提供的要求与条件;正在征求意见的《网络数据安全管理条例》和《数据出境安全评估办法》也从各自的角度对数据跨境流动提出了监管要求。根据近期报道,深圳数据交易所和相关企业也在探索境外资管机构在境内数据交易所购买资管数据产品的业务模式,具体情况有待相关方披露。
六、数据交易产品未来与展望
鉴于数据交易的特点,例如数据的可复制性、个人数据交易的法律不确定性等问题,要推动数据交易尤其是个人数据交易的合法合规前提下的快速发展,一方面需要在法律层面的制度构建,解决数据权属等疑难问题,另外一方面需要通过技术手段辅助解决数据交易的一些难点问题,实现数据的可用不可见。
注重数据价值而不是数据本身的分享,是未来数据开放分享模式的一个核心特征。对于数据要素市场的构建,把原始数据拿出来交易只是其中一种方式。中国互联网金融协会发布的《金融业数据要素融合应用研究》指出,“数据要素融合是指在数据要素化背景下,对单一或多个数据源的数据进行关联、组合等操作,从而获得更好的数据处理效果。传统的公开数据搜集、原始数据共享等融合方式存在一定局限性”。数据价值的流通是数据流通的本意和核心,通过搭建数据价值的互联互通网,在保数据安全可和隐私保护的同时,实观数据的“可用不可见”和“定量定向使用”,从面构建出一个分布式数据价值流通体系,这或是我国数据要素市场建设的未来方向。
中国人民银行于2021年2月发布的《金融业数据能力建设指引提出,“建立数据规范共享机制,在保障原始数据可用不可见的前提下规范开展数据共享与融合应用,保证跨行业、跨机构的数据使用合规、范围可控,有效保护数据隐私安全,确保数据所有权不因共享应用而发生让渡”。这正是“分布式数据价值分享”模式的具象表述。近年来,快速发展起来的隐私计算技术已成为分布式数据价值分享体系的技术底座,产业“破局”提供了关键思路,成为建设和完善数据要素市场的重要抓手。隐私计算可以为数据交易模式提供新思路,有助于解决数据权属不清和隐私保护的问题。个人数据的价值一般而言高于非个人数据,法律法规要求个人信息使用的同意授权,除非数据的完全匿名化,但匿名化后的信息丧失识别性,没有流通利用价值。例如,在现实中,同意授权的成本很高,而隐私计算技术的“可用不可见”特点将数据所有权和使用权进行分离,在数据所有权权属不清的情况下,用技术手段保证数据在共享/流通过程中被使用。隐私计算下,数据不出平台就可被安全共享,释放个人数据的价值。
(一)隐私计算
隐私计算是指在保证数据提供方不泄露原始数据的前提下,对数据进行分析计算的一系列信息技术,实现数据在流通与融合过程中的“可用不可见”。从隐私计算实现的目标来看,能实现隐私保护的同时支持数据价值分析的技术方案都可被列入隐私计算的范畴。中国互联网金融协会发布的《金融业数据要素融合应用研究》也强调,“运用多方计算(业界亦称多方安全计算或安全多方计算)、联邦学习等技术,推动金融业数据要素在确保安全合规前提下实现融合应用创新,在促进金融业数字化转型、增强数字普惠金融水平、落实金融消费者保护要求、提开金融穿透式监曾效能等方面具有重要意义。
隐私计算典型的技术路线包括多方安全计算(Secure Multi-party Computation)是多个参与方基于密码学技术共同计算一个目标函数,保证每一方仅获取自己的计算结果,无法通过计算过程中的交互数据推测出其他任意一方的输入和输出数据的技术;联邦学习(Federated Learning)联邦学习作为分布式的机器学习范式,可以有效解决数据孤岛问题,让参与方在不共享数据的基础上联合建模,能从技术上打破数据孤岛,实现AI协作,各参与者的身份和地位相同,可建立共享数据策略。由于数据不发生转移,因此不会泄露用户隐私或影响数据规范,满足合法合规的要求;可信执行环境(Trusted Execution Environment)是将软硬件方法构建的安全区域与其他应用和操作系统隔离开,使得操作系统和其他应用无法访问或更改该安全区域中的代码和数据,从而达到保护敏感数据和代码效果的技术;同态加密(Homomorphic Encryption)是基于数学难题的计算复杂性理论的密码学技术,能确保在密文上直接进行计算后对输出进行解密,得到的结果和直接明文计算的结果一致,实现“先计算后解密”等价于传统的“先解密后计算”;零知识证明(Zero KnowledgeProof)是基于密码学技术,证明者能在不向验证者提供任何有用信息的情况下,使验证者相信某个论断是正确的;差分隐私(Differential Privacy)是一种严格的、可量化的隐私定义和技术,属于密码学中的一种手段,通过对数据集添加噪声,避免相邻两个数据集在发布聚合计算结果时单条数据记录的泄露。
根据《信息安全技术个人信息去标识化指南》(国家标准),隐私计算概念下的很多底层技术属于保密级别较高的去标识化技术,有助于解决很多金融场景下的保密、加密需求,但是去标识化并不完全等同于匿名化,只是实现了一定条件下的匿名化,在某些场景的技术方案下可以实现匿名化。匿名化的信息不属于个人信息范畴,是否可以完全不用遵循个保法要求,也不用提前告知个人客户并取得授权值得研究。如果可以实现匿名化的特定场景的隐私计算技术不用履行“告知-授权”义务,将极大解决个人数据交易的合规问题。
(二)数据信托
《麻省理工科技评论》将数据信托列为2021年十大突破性技术之一。数据信托的提出,是为了解决一个现实矛盾和一个不平衡的权力结构。这个现实矛盾在于:一方面,数字经济的发展要求数据共享和自由流通,特别是人工智能技术的发展对大数据的广泛运用提出的新需求;另一方面,现行的数据保护制度不足以解决数据共享和流通中的隐私和安全问题,这个现实矛盾需要一个新的解决方案。这种不平衡的权力结构是:个人对数据保护的力不从心与数据控制者对数据的绝对控制,个人完全处于被支配的地位。现行数据保护制度主要是对个体进行赋权,以 GDPR为典型代表,这种个人权利模式假定了个人可以积极维护自己的数据权利,但事实上个人要么无意愿,要么无能力,其结果只能依赖于数据监管部门自上而下的各种监管审查,监管部门和数据控制者玩起猫捉老鼠的游戏,监管的效果并不明显。通过政府的监管来打破上述不平衡权力结构的尝试被证明是失败的,或者说是效率不高的。造成这个局面的一个重要原因是:个人权利模式和政府自上而下的监管都没法创造出“信任”。
数据主体和监管部门不信任数据控制者,数据控制者不信任数据处理者,数据控制者、数据处理者之间也相互不信任。而如果在最基础的层面上无法建立起最基本的信任关系,再多的赋权和规制也都无济于事。数据信托的提出,就是为了解决数据领域中的“信任赤字”问题,通过给数据控制者强加信托义务或引入独立第三方作为信托人,数据信托将信托法的理念和制度引入数据治理中,试图打破上述不平衡的权力结构,形成一个数据管理的法律结构,能够更好地维护数据主体的隐私、信息安全以及相关的利益。数据信托是自下而上生成的生态系统,并存在多样化的方案由个人自由选择。数据信托的对象其实不是数据本身,而是数据的权利,因此首先要确认数据权利,并形成对数据权利进行管理的机制。合格投资者可以通过投资收益权的方式参与信托利益分配,委托人则通过信托收益权转让的方式获取现金对价,实现数据资产的价值变现。
围绕数据信托的研究、试点、实验、评估以及政策与法律建议正在逐步展开。数据信托是信托类型化研究和当代信托立法中典型的新生事物,系指委托人基于对受托人的信任,将其数据权益委托给受托人,由受托人按委托人意愿以及法律规定,以自己的名义,为受益人的利益或者特定目的进行管理或处分的行为。数据信托在有效平衡数据主体与数据控制人的数据权益结构、维护数据安全、促进和保障数据市场健康发展等方面具有突出的工具性价值。
基于我国相关法制建设及研究实践,从信托制度的内涵角度,可以将数据信托理解为一种符合信托法理的制度安排,即将数据的全部或部分权利与权益作为信托财产,以信托法律关系约束当事人之间权利和义务的制度安排。从信托机构的功能角度,可以将数据信托理解为信托公司以数据及相关产业为服务对象,运用综合金融工具提供的投融资活动或受托服务,旨在服务数字经济发展和数字化社会生活需求。
2016年11月,中航信托率先在我国发行了首例数据信托,名为“天启(2016)82号特定数据资产财产信托产品”,将委托人的数据资产作为信托财产,受托人中航信托委托数据服务商对特定数据资产进行运用增值并产生收益,向社会投资者进行信托利益分配。2021年8月,由中国电子信息行业联合会发起的数据要素市场促进会筹备启动会发布“数据资产信托合作计划”。合作计划分为三大主要内容,包括组织数据资产信托制度研究、共建数据信托公共技术平台、开展数据资产信托示范试点。
数据信托是实现数据安全管理的一种有效方式,可以确保数据处于有效保护和合法利用的状态,并在期限上有机匹配保障持续安全状态的能力。数据信托作为兼顾数据交易流通和隐私安全的新型治理方案,以其专业治理、多方合作、个人受益等先进特点脱颖而出,在英国、美国、日本等数字化转型迅速的国家均有所实验与发展,但在技术框架层面和理论层面均未达成共识。本报告认为数据信托的设想似侧重于解决数据资产价值实现的问题,对于解决个人数据交易的合规问题并未有一个令人信服的安排,而在法律层面与《信托法》等法律法规要求的衔接也跨度很大,个别案例不具有代表性。因此尚处于初步研究的阶段。
数据交易的未来取决于国家和企业数字化转型的程度,以及企业数据投入和产出比。数字化程度相对较高的金融和通讯等领域在数据交易方面的积极性明显高于数字化程度较低的传统制造业,在同一行业内不同数字化程度的企业参与数据交易的意愿也大相径庭。目前在数据交易的初期,数据交易的参与主体主要是从数据交易市场推广角度参与,但是从长期来看企业的关注点在于数据的需求企业是否能够从数据交易中获得收益而愿意为数据产品交易“买单”,唯有如此才能真正活跃数据交易市场。国家层面最新的顶层设计即持有权、使用权、经营权分置的思路将为数据交易的合规高效提供解决思路,未来可期!
- 2022-02-23
- 2022-02-23
- 2022-02-23
- 2022-02-23
- 2022-02-23
- 2022-02-23
- 2022-03-07
- 2022-03-07
- 2022-03-07
- 2022-03-07
- 2022-03-07
- 2022-03-07
