深度丨数据交易相关法律问题

作者:烟台CIO联盟 时间:2016-10-31 14:07:17

    近来,几起大学生遭遇电信诈骗事件引发社会广泛热议,特别是山东省临沂市一女生“夺命电话”被骗学费后死亡事件,更是引起各界对个人数据的深刻关切。新华社不禁三问电信诈骗泛滥,个人信息售卖产业链之成熟,正不断刷新我们的认知。分行业“定点投放”:学生、股民、金融理财客户、产妇、家长应有尽有,不同群体售价不同。[1]痛定思痛,在大数据时代,如何打击地下非法的个人数据售卖活动,推动正规合法安全可控的数据流通交易,值得深入思考。
1
  随着大数据应用日益渗透到各行各业中,数据所蕴含着的巨大商业价值也越来越为人们所重视,数据日益成为重要的企业资产和国家战略资源。数据资源通过交易流通,能释放更大的价值,提升生产效率,推进产业创新。通过市场化的手段来促进数据流通成为一种趋势,数据交易市场应运而生。围绕数据资产开展的业务甚至有可能成为企业的主营业务。根据《2016年中国大数据交易产业白皮书》介绍,中国大数据产业市场在未来五年以内,仍将保持高速增长。
 
  预计到2016年末,市场规模将达到2485亿元,随着各项政策的配套落实及推进,到2020年,中国大数据产业规模或达到13626亿元。[2]但是,在享受数据流通交易带来的便捷和高效的同时,如何避免数据非法外泄或滥用的悲剧发生,数据流通交易存在有哪些法律问题,如何从制度上防范和规避数据交易中的法律风险,下文展开论述,以求教于各位方家。
 
  一、数据交易的业务模式
 
  从交易主体来看,工业时代的商品交易主体主要包括卖方、买方以及可能存在的中介,大数据时代的数据交易主体也包括数据提供方、数据购买方及数据交易中间商。
 
  按照不同的区分标准,数据交易模式可以进行不同的区分,一是数据中间商交易模式,二是数据交易一级和二级市场模式,三是数据权益交易模式。
 
  1.数据中间商交易模式
 
  本文主要考察的是数据集中交易形式,不涉及大数据技术服务交易和大数据应用交易形式。如上文所述,互联网时代的商品和服务交易主要有B2B、C2C、B2C、C2B等形式,数据集中交易的数据中间商交易模式也包括B2B、C2C、B2C、C2B的数据交易平台。
 
  从数据交易对象来看,主要是企业与企业之间的数据交易,个人与个人之间以及企业与个人之间买卖数据的情况并不常见,C2C、B2C和C2B的数据交易模式并非主流,例如贵阳大数据交易所明确要求,在2015年,暂时不允许任何个人购买交易所的数据。[3]
 
  在美国,已有个人将自己信息数据打包成功交易的案例,例如2011年,美国 Car and Driver 网站通过其网站面向用户提供一款服务,用户只要提供汽车注册车主的汽车型号、车辆年限等信息,即可获得网站提供的各种现金优惠。[4]
 
  目前,在我国,企业与企业之间买卖数据的B2B成为数据中间商交易模式的主流,即数据交易平台以中间经纪商身份为数据提供方和数据购买方提供数据交易撮合服务。B2B的数据交易中间商模式的四大核心要素是数据提供方、数据购买方、数据交易平台以及公允价格。
 
  目前,国内外大多数的数据交易平台均采取该类型。国内现有的数据交易平台主要有三种类型,一是以贵阳大数据交易所[5]为代表的交易所平台,包括湖北长江大数据交易所[6]、陕西西咸新区大数据交易所等;二是产业联盟性质的交易平台,以中关村数海大数据交易平台为主[7];三是专注于互联网综合数据交易和服务的平台,比如数据堂等。[8]
 
  2.数据交易的一级市场和二级市场模式
 
  一般而言,在金融市场方面的一级市场(Primary Market/New Issue Market)是筹集资金的公司或政府机构将其新发行的股票和债券等证券销售给最初购买者的金融市场。房地产一级市场是指新建住房的买卖市场,市场主体是住宅开发商、营造商和居民。居民通过一级市场购得住房的产权,使住房的产权首先从法律上达到确认。从商品经销角度讲,厂家所在地为总营销处或产品所流通的省份级称之为一级市场。[9]二级市场(Secondary Market)也被称为证券交易市场、证券流通市场(Security Market)、次级市场,是指对已经发行的证券进行买卖,转让和流通的市场。
 
  普通商品存在进入市场的第一手交易和再流通交易模式,但特殊商品或资源会被特别限制和安排,如国有土地使用权、房屋、汽车、电力、证券等都有一级市场和二级市场。但数据资产属性还不明确,交易模式也在探索,目前交易仍处于初生阶段的一级市场,[10]二级市场交易还需要相应的条件保障。
 
  3. 数据权益交易模式
 
  根据大数据产权转让,分为所有权、使用权、收益权三种交易模式。一是大数据使用权交易模式,即数据主要以租赁、检索等形式进行交易。二是大数据收益权交易模式,主要是指大数据购买者对数据使用后得到的利润需要与大数据提供商进行利益分割。三是大数据所有权交易模式,是指数据购买者获得大数据产品的使用权,以大数据的所有权进行交易的产品,一般是形成知识产权的大数据产品。[11]
 
  二、数据交易的核心法律问题
 
  如前文所述,数据交易所(Data Exchange)平台是以中间商身份提供数据交易撮合服务,并不介入具体的数据交易活动。下文讨论的数据交易的相关法律问题,也主要集中于数据交易所为平台的数据中间商模式。从数据中间商模式来看,数据交易的核心法律问题主要包括数据源、数据范围、数据信息、交易对象、数据安全、数据权属、数据定价及数据责任等八个方面。
 
  1.数据源性质
 
  数据源性质问题主要包括数据源的客观真实性和合法性问题。
 
  数据的真实性客观性决定了大数据的品质,是大数据发展的基础和保障。如果数据本身不具有真实性和客观性,若不加分析评判而直接使用,无论计算精度多么高,结果都是无意义的。“脏数据”无处不在,数据极易失真。例如网络水军就极大影响了互联网信息的真实。再如刷单和过度营销的数据等。
 
  2.数据范围
 
  可交易的数据范围比较广泛,从数据源类型来看,主要包括公共数据源、社会数据源、商业数据源和个人数据源等四大类。
 
  公共数据源可分为政府数据源和公用数据源,政府数据源包括中央政府数据和地方政府数据,是由政府或政府控制的实体生产或委托生产的数据,公用数据源主要是公用事业单位数据,例如天气、地图、统计或法律等数据,以及在档案馆、图书馆、博物馆等信息。
 
  社会数据源是社会公开的各类数据,例如新闻报道、互联网搜索信息等。
 
  商业数据源主要包括商业渠道购买的数据和数据方互换分享数据。
 
  个人数据源是个人授权数据方收集的数据。
 
  拥有重大经济社会价值潜能的重要公共数据资源的开放利用,对于大数据产业的发展起着至关重要的作用。但是,国内公共数据资源的开放共享利用及商业化动力不足,与国外开放政府数据运动用以促进政府数据价值潜能挖掘仍有较大差距。
 
  3.数据信息隐私问题
 
  数据源中或含有敏感个人信息,如何处理?如何进行个人数据隐私的保护?数据中哪些信息可以进入流通市场,如何防止商业机密或个人隐私外泄?如何在立法中明确责任条款,对大数据交易中可能出现的泄露、非法使用个人信息等行为设定法律责任?
 
  全国人大常委会《关于加强网络信息保护的决定》采取“识别法”,界定为“识别公民个人身份和涉及公民个人隐私的电子信息”,《电信和互联网用户个人信息保护规定》也以“概括加列举”的方式规定了由工信部负责监督管理的用户个人信息的范围。
 
  但在大数据条件下,很多数据信息很难严格归类,在实际案例中,很多个人的隐私属性是通过分析识别出来的,这些数据被再识别后是否还属于个人识别信息。因为交易数据经过脱敏处理后,还可能包含着数据主体的一些小数据,这些数据经过进一步分析后,仍能知道数据主体的爱好,也能知道数据主体的下意识行为倾向,如果据此来判断数据主体的相关情况,是否属于侵犯数据主体的隐私呢?
 
  4.数据交易对象限制问题
 
  基于特定目的考虑,例如为了反恐目的,或对于境内外资购买者,以及跨境数据流动的境外购买者等,对于上述数据可交易的对象或受众,是否应加以限制。
 
  5.数据安全问题
 
  在数据交易过程中,系统对接、数据传输、数据存储等环节都涉及到的数据安全,例如数据在交易过程中出现泄露,即在大数据技术的背景下,由于大量数据的高度集中化,使得数据承担一定程度的泄漏风险。再如数据遭受外界攻击或入侵窃取等,事实表明,随着数据的不断增大,会吸引更多潜在的外界攻击者,一旦外界攻击者将数据攻破之后,会根据攻破口而获取大量的数据。
 
  6.数据权属问题
 
  数据资产所有权归属决定数据价值利益的分配以及对数据质量、安全责任的划分。现有立法没有明确规定数据资产所有权的归属,数据主体与数据控制者、数据处理者对此认识存在争议。数据主体认为,自己产生的数据理所当然地应当属于数据主体所有。但在实践中,很多作为数据控制者、数据处理者的互联网企业认为,用户使用服务所产生的数据属于企业所有。
 
  据此,有人认为,应当对用户数据设立“财产权利”,强调个人对数据享有的优先财产权利,并以此对企业的数据利用、交易行为予以制约。进而提出,对数据这一新型生产资料,在法律上另设一财产类别,或可称之为“数据财产”,与现有法律认可的无形财产分开。另有产业界认为,数据控制者(即确定收集目的,面向用户个人收集和使用信息的主体)对数据拥有绝对的所有权。[12]
 
  7.数据定价问题
 
  数据产品与传统的工业产品存在很大的差异,数据作为未来经济的石油,自身必须有一个特性——价值。数据的物理实质是记录在介质上的比特。比特是可以低成本无限复制的,这就和物品稀缺性矛盾了。物品失去了稀缺性后,其价值也就趋近于零。所以,数据有价首先要确保数据的权利。[13]在实践中,数据商品定价(含基础数据和增值数据)和数据资产估值非常困难,目前主要依据数据的效用和稀缺性来初步进行定价,但如何通过市场自我约束建立数据交易的市场定价机制,仍是非常有挑战的前沿问题。
 
  8.数据责任问题
 
  数据经纪人是在大数据时代出现的新主体,在占有数据、交易数据等方面具有较大作用,对数据经纪人应该承担怎样的法律责任进行界定至关重要。随着大数据的发展,专业的数据分析者和数据经纪人越来越多,通过汇总一个人的购买行为、浏览网页的活动、在社交媒体上互动行为,或者直接的客服记录信息等,数据经纪人能够描摹出一名顾客的概貌,并进一步对其活动记录进行监控。这些数据用于发放定向广告、雇员背景调查、发放信用卡和执法等。
 
  包括数据经纪人在内的数据交易相关主体,如数据采集人、数据控制者、数据处理者、数据经纪人及数据交易平台,对其各自的数据交易行为应当承担何种相应的责任,对数据交易行为的违约行为如何追责,在数据源稳定性、更新频率、数据扩散范围等方面,如何商定明确的责任界定和处罚协议,这些问题都有待明确。
 
  三、完善建议
 
  为了解决大数据环境下的隐私保护、数据交易安全的焦虑,我国已出台一系列个人信息保护的法律法规,以及行业自律公约,例如,2012年全国人大常委会《关于加强网络信息保护的决定》规定:“任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息。”2015年颁布的《刑法修正案(九)》强化网络信息安全管理,明确设立了“侵犯公民个人信息罪”。这些从法律层面设定了个人信息保护的框架和边界。
 
  与此同时,业界也进行了有益探索,例如贵阳大数据交易所2015年也发布了《贵阳大数据交易所702公约》,中国信息通信研究院推动业界企业发布《2016数据流通行业自律公约》等。但是,鉴于通过市场化的数据流通交易是一项全新的高度挑战的新课题,数据交易的发展和监管需要解决的问题千头万绪,并非一蹴而就。
 
  (一)数据交易发展和监管理念
 
  数据交易是有效促进数据流通的市场化行为,应当树立“底线监管,行业标准,安全交易,可控流通”的数据交易发展和监管理念。
 
  通过保障数据流通的安全,消解社会对与数据流通安全顾虑,从而促进数据交易的发展和数据的流通,需要建立“底线监管”思维,即明确划定数据交易的底线,清晰地设立数据交易的负面清单,明确定义不能进行交易的情形,各行业不能交易的数据内容,并随着实践的深入对清单内容进行动态维护,由监管部门定期发布。[15]
 
  推动数据交易行业标准的建立。推动建立不同行业、不同领域、不同层面的数据交易行业标准,涵盖数据的产生、数据收集、数据存储、数据传输、数据应用各个环节,防止数据被非法收集、非法使用、非法获取,保障数据的质量和安全。
 
  (二)推动建立合理的数据交易规则
 
  1.数据源和交易主体的合法性
 
  对于数据源的合法性,不能拿违禁或违法的数据进行交易,不能交易“黑数据”。例如,贵阳大数据交易所在对数据供应商的资格认定方面,对违规或违法、数据造假、数据欺诈、数据来源不合法的供应商视情况进行三种相应的处罚:失去会员资格、交易所黑名单、移交司法机关。[16]
 
  根据贵阳大数据交易所的明确要求,在2015年,暂时不允许任何个人购买交易所的数据。同时规定,在监管不健全的情况下,外资数据买方购买数据之前需要进行资格审查。[17]
 
  2.交易数据的脱敏化处理
 
  大数据时代个人信息边界日益模糊,传统意义上的非个人信息通过关联比对也可能识别出个人,如美国众多机构及学者所指出,大数据环境下已不存在绝对意义的非个人信息,与此同时信息的性质是动态的,无法脱离具体场景做抽象界定。[18]因此,应当建立数据分类管理模式,即应当将数据区分为敏感数据和一般数据,对于健康、财务或性取向等敏感数据的收集和利用,必须提高保护力度,即必须取得数据主体的明示同意,在收集和利用、交易之前须获得数据主体明确授权。对于一般信息的处理,适用默示同意原则,即只要数据主体没有明确表示反对的,可收集和使用。
 
  在数据交易前,需要对数据做脱敏处理,或匿名,或清洗,才能继续对“不具有个人识别性”的数据或属性进行交易。
 
  3.基础数据和增值数据
 
  明晰产权是财产利用和流转的根本性制度基础。数据是一种特殊的新型无形财产,无法以传统的占有来宣示其产权,因此,如同知识产权一样,数据的产权及其转让,需要有专门的法律规则予以保障。[19]
 
  在数据交易权属方面,应当建立数据的二元所有权,不同类型的数据确立不同所有权。类似《电信条例》将电信业务区分为基础电信业务和增值电信业务那样,数据可以区分为基础数据和增值数据[20],二者彼此独立,又互相依存。一方面,用户拥有个人基础数据的所有权,这是数据交易权属的基本原则。个人数据是用户的个人资产,所有足以对主体构成识别的数据均为个人数据。数据控制者不经数据主体同意,在整体上使用个人数据是允许的,法律所禁止的是未经主体许可披露个人数据,或将特定的个人数据挪作他用。因为数据控制者对个人数据的控制权、使用权仅限于合同约定的范围内。个人数据为数据用户控制、使用时,并不意味着数据主体放弃对该数据的所有权,特别是敏感信息。另一方面,数据处理者享有经个人数据主体同意加工编辑分析而产生的增值数据所有权。[21]例如,搜索引擎记录、电子商务记录、用户使用习惯、潜在用户群等数据分析。
 
  (三)促进公共数据资源开放和商业化利用
 
  数据的开放、流通和共享是大数据产业发展的关键,基于公共数据资源的开放和利用是数据流通起来的重要源泉。政府信息作为电子数据在提升政府效率、促进创新和增加就业等方面所拥有的巨大经济、社会价值潜能被各国所认知,各国将开放政府数据视为一个不可错过的历史机遇。自2009年起,全球掀起了开放政府数据运动热潮。在开放范围上,原则上全部开放,但允许少数领域的公共部门信息不开放。[22]
 
  借鉴国外公共数据资源开放利用的经验,制定公共部门信息资源的统一格式,促进信息资源的可获取性和格式的可用性,建立其政府数据商业化的政策、法律、标准,打通公共部门内部的数据资源壁垒,以推动社会对公共数据资源的再利用。
继续阅读
CIO风采