破局之道丨可信空间下的数据交易运营(一):权责边界篇
破局之道丨可信空间下的数据交易运营(一):权责边界篇
2022年12月《中共中央、国务院关于构建数据基础制度更好发挥数据要素作用的意见》(简称“《数据二十条》”)的出台为数据产权制度、流通和交易制度、收益分配制度、治理制度指明了方向。但是,我国当前在数据权益保护方面尚无完善立法,尤其是在产权界定上仍缺乏明确法律依据,理论和实务界亦争论颇多。在权责利不清晰的情况下,相关方在开展数据交易运营时主观上存在信任问题、缺乏主动性,客观上缺乏风险控制的抓手、缺乏针对性。
在笔者看来,在当前情势下,面对诸多变量和分歧,为了有效、可控的释放数据要素价值,可先聚焦具体场景,进而讨论数据交易运营的权利基础、厘清权责边界、设计合理的机制范式。例如,当我们聚焦到可信数据空间中时,或许数据资源持有权、数据加工使用权、数据产品经营权(即所谓“三权分置”)能够被现有法律框架下的一些机制和规则所承载。上述观点将在下文展开,以期在当前政策机遇期与制度探索期叠加的关键阶段,为相关数据交易运营建立权利基础、厘清责任边界,同时便于相关方控制数据泄露或滥用侵犯相关主体合法权益、疏于合规管理遭受处罚或业务受限的风险。[1]
一、可信数据空间:数据流通新范式
根据《可信数据空间发展行动计划(2024—2028年)》(下文简称“《发展计划》”)中的定义,可信数据空间是基于共识规则,联接多方主体,实现数据资源共享共用的一种数据流通利用基础设施,是数据要素价值共创的应用生态,是支撑构建全国一体化数据市场的重要载体。通常认为,在组成方面,可信数据空间包括若干关键部分。
首先,是场景应用。场景应用是可信数据空间与实际业务结合的关键。通过将数据应用于具体场景,方能实现数据价值落地。笔者理解,可信数据空间这一“空间”并非随意圈出,而是要和场景紧密结合,这是由数据的特点决定的。相同的数据在合适的场景下可能价值巨大,在不合适的场景下可能就是一堆无用之物。又以专利为例,作为一种“公开换保护”的权利,专利权的边界由权利要求书界定,相对清晰。进而,专利权人能够以专利开展运营、维权等工作。与此不同,数据则缺乏清晰的边界,在不同的应用场景下,数据的归集、内容、层次常不相同。因此,需要从场景反推需要哪些数据进而进行相应处理,这一特点与商业秘密类似。
其次,是“人”“物”“规”。当前可信数据空间的有效运转离不开“人”的作用,按照角色划分,可信数据空间中可能包括空间运营方、数据提供方、数据使用方、数据服务方、可信数据空间监管方等生态主体。可信数据空间中流通、共享、开发、利用之“物”是数据资源,这也构成了可信数据空间的核心资产,有结构化、半结构化和非结构化等多种形式。同时,可信数据空间的合规、安全、公平运转,离不开数据接入、使用、安全保障等规则机制。
此外,还有“技术底座”。相关技术系统为可信数据空间提供支撑,涵盖数据加密、区块链、人工智能等技术,保障数据安全存储、可信流通与高效处理。
来源:中国信息通信研究院
在空间类型方面,《发展计划》提出了五大类可信数据空间。其中,企业可信数据空间通常由国有企业和龙头企业建设,重点是协同上下游企业开放共享高质量数据资源,面向中小企业提供普惠便利数据服务。行业可信数据空间由多主体联合打造,促进产业链端到端数据流通利用,在科技创新、农业农村、工业、服务等重点领域与典型场景发力,创建共建共享共治的数据机制。城市可信数据空间以公共数据资源为引领,融通公共、企业与个人数据,围绕城市规划、交通出行、医疗健康等典型场景,帮助城市加快全域数字化转型和城市群数字一体化发展。个人可信数据空间围绕个人数据,在符合国家法律法规、充分尊重个人意愿、保护个人权益的前提下稳慎试点建设,提供依场景授权许可的个人数据转移流动和开发利用服务。跨境可信数据空间的关键词是跨境,广义上包括出境、入境、过境,结合数据出境管理清单、重要数据目录等工作机制,降低企业数据跨境成本和风险。由上可见,在可信数据空间下,相关工作均是一方面聚焦具体场景,另一方围绕“数据”开展。
二、可信数据空间下的企业数据权益
虽然政策管理、经济学、法学、财务等领域的专家学者、实务界人士在讨论数据相关问题时的出发点、关注点有所不同甚至颇有分歧,但都无法绕开数据产权的问题。因为如果不确定数据产权的性质和内容,在很多场景下就无法完全清楚交易的标的具体是什么、如何定价、按照何种路径进行交易和运营、如何获利、如何治理、会有何种责任等等。在权责利都不清楚的情况下,相关主体自然也就缺乏交易和运营数据的积极性。
但是,讨论上述问题存在诸多变量。例如,在数据本身的类型上,实践中沿着不同维度对数据有不同的分类方式。较为典型的例如:(1)按照《数据二十条》将数据分为公共数据、企业数据和个人数据;(2)围绕数据价值链,将数据分为原始数据、数据资源和数据产品;(3)将数据分为公开数据和非公开数据。如上文所述,可信数据空间类型也多种多样、各具特点,其涉及的数据类型也是多元的。例如,按照上述第一种分类,企业可信数据空间主要涉及企业数据,城市可信数据空间主要涉及公共数据,个人可信数据空间主要涉及个人数据。同时,可信数据空间中可能同时涉及不同类型的数据,尤其是将行业、地域作为维度时。
为了使讨论更聚焦,本部分仅围绕可信数据空间、企业数据展开。即便如此,问题也是相当复杂的。
1、企业数据与公共数据、个人数据的分野
公共数据和个人数据的特点比较鲜明。其中,公共数据具有公共性、公益性,虽然其生产、收集、处理可能涉及公共服务机构等民事主体,但鉴于主体身份的特殊性,公共数据的确权、共享和开放等环节必须严格依据法律法规进行,这也使其区分于企业数据,不能任意以市场化方式进行交易。
个人数据则与个人信息相关,虽然在内涵上仍存在不同观点,但笔者赞同“个人数据应该与已识别或可识别的自然人相关”[2]的观点,如果某数据上未承载个人信息,则不属于个人数据。对于承载个人信息的数据,其上的人格利益归于该个人并无争议,实践中讨论较多的是其上的财产利益应由谁原始取得的问题。这一问题的结论影响了个人是否有权将个人数据上的财产性权益对外授权、相关数据生产者(往往是企业)是否可绕开个人授权自由使用数据等。对此,《数据二十条》明确提出“根据数据来源和数据生成特征分别界定……各参与方享有的合法权利”“建立健全个人信息数据确权授权机制”,并提出“对承载个人信息的数据,推动数据处理者按照个人授权范围依法依规采集、持有、托管和使用数据”,即对于个人数据的使用利用,自然人不仅仅有知情同意权,还可以进行实体授权。
2、可信数据空间下企业数据的保护路径探讨
企业对其数据享有的权益性质为何,在实践中争议颇大,并至少形成了所有权说、知识产权说、新型财产权说[3]等观点。此外,还有学者认为可沿着《数据二十条》中的数据资源持有权、数据加工使用权、数据产品经营权“三权分置”设置相关权利。《数据二十条》中的“权”与法律意义上的所有权、知识产权不是一种“权”。申卫星教授提出,可采用“数据所有权-数据用益权”的二元权利结构,其中数据用益权可作为底座承载“三权分置”。[4]
本文无意讨论各学说的合理性,亦无意提出一种能够普遍适用于各种数据的确权方式。笔者的核心观点是,虽然现有法律框架下可能任何一种法定权利都无法对企业数据提供全面、妥善的保护,但如果聚焦于特定的场景,可能一些既有权利能够整体上“行之有效”。这对于那些当下有流通、使用、交易、维权需求的主体而言可能是相当重要的。笔者进而认为,在可信数据空间的场景下,采用商业秘密路径和类商业秘密路径保护相关企业数据是可行的。
认为可以采用商业秘密路径[5]和类商业秘密路径[6]保护相关企业数据的学者主要围绕“秘密和公开二分”看待企业数据,进而认为将秘密数据纳入《反不正当竞争法》下的商业秘密条款保护,将公开数据通过专门立法或在《反不正当竞争法》下设立数据专条予以保护。上述观点的具体理由包括:秘密数据和公开数据的保护条件存在明显区别;放弃商业秘密要件的统一立法将导致界定权利边界的成本急剧增加;公开数据的宽泛的权能将大大压缩公共领域,损害后续创新;美国、日本、韩国等国家均采用行为规制路径等。
该观点可能会遭到不小的挑战,理由可能包括:大量数据集合难以具有独创性;数据不必然是智力劳动的结果;数据集合难以符合商业秘密三性(保密性、秘密性、价值性)要求;《民法总则》和《民法典》最终未将数据信息作为知识产权客体;商业秘密保护的制度目的与促进数据开放共享的目标存在差异;反不正当竞争法具有行为法的特点,商业秘密条款下保护数据资源只能保障权益人具有免受不正当侵害的消极权利,而无法同权利法一样赋予积极的处分权[7]等。笔者认为,在可信数据空间的场景下,采用商业秘密模式对待相关数据问题具有一定合理性。
首先,认为需要财产化确权的学者经常会提及“阿罗信息悖论”,并认为财产化确权能够解决数据交易中的信任问题。但是,可信数据空间能够从技术层面解决信任问题,故降低了财产化确权的必要性。同时,笔者认为,对于某些数据无法通过现有机制进行保护不是设置新型财产权的充分理由,应当警惕数据浪潮下过度跑马圈地带来新的利益不平衡问题。
其次,基于清华大学崔国斌教授的观点,商业秘密、商业秘密权益、商业秘密许可使用权、在商业秘密许可范围内开发、使用、利用、商业化、生产数据及相关衍生产品的权利以及对衍生产品主张新的商业秘密权益或其他知识产权,基本上能够涵盖《数据二十条》所列举的数据资源或数据产品、数据资源持有权、数据加工使用权、数据产品经营权。[8]可见,“三权分置”也可以承载于商业秘密框架中得以实现。
第三,对于数据采用商业秘密保护不会妨害数据的利用与流通。商业秘密框架下的数据权益不仅是防御性的,其权利亦可进行各种维度的拆分、分配。商业秘密/Know-how的转让、许可在实践中早已有之且并无实质障碍,只是很多主体尚未建立妥善的商业秘密内部和外部流转管理机制。更勿论,可信数据空间在硬件、可信管控技术、标准化等多个方面能够对数据利用与流通起到促进作用。
第四,我国现有的商业秘密相关法律法规一方面禁止若干不正当竞争行为,另一方面也具有一定弹性,例如不禁止反向工程等行为,这恰恰有利于维护健康的数据利用与流通生态。
第五,数据与商业秘密在很多层面非常相似。例如,对数据进行处理后数据的内容和形式往往发生不同程度的变化。根据我国最新的司法实践,被诉侵权人实际使用的信息系在涉案商业秘密信息基础上修改、改进而来,即便存在一定差异甚至完全不同,亦可能构成侵权。由此,商业秘密制度兼具体系性与延展性,在确权、转让、许可、侵权等环节都与数据保护有深度的适配性。
相关企业只是需要注意,商业秘密保护无法覆盖完全的公开数据。对于这部分公开数据,考虑到企业利益与公共利益之间的平衡、避免过度激励等,笔者认为在可信数据空间场景下相关主体可采取如下保护路径:(1)与秘密数据结合,此时可通过秘密数据保护;(2)如果足够大量的公开数据形成了数据包或数据集合,且这种数据包或数据集合需要付出一定代价才能获得,此时该等数据包或数据集合并非普遍知悉和容易获得,可作为秘密数据保护;(3)通过《反不正当竞争法》的原则条款获得保护。
三、可信数据空间下的侵权场景
《反不正当竞争法》第九条分几个层次对侵犯商业秘密的行为进行了规定,其中不仅规制以不正当手段获取的行为,还规制披露、使用或者允许他人使用上述获取的商业秘密、违反保密义务或保密要求披露、使用或者允许他人使用其所掌握的商业秘密的行为,还规制教唆、引诱、帮助侵权行为。此外,如果明知或应知他人实施上述侵权行为,仍获取、披露、使用或者允许他人使用该商业秘密的,同样构成侵犯商业秘密。
回到可信数据空间的场景,并非所有上文提及的数据权益在可信数据空间的场景下都容易被侵犯。实践中,商业秘密侵犯纠纷不仅因上述直接行为引发,还存在技术、管理等层面的诱因。本文拟结合可信数据空间的特点,围绕不同的环节或角色,初步思考未来可信数据空间中可能比较典型的商业秘密侵权行为/风险。
第一,在数据采集、提供/接入环节。除了数据可能质量不高外,还可能存在来源不明或非法获取的情况。例如,数据采集、提供方所持有、允许其他空间参与主体访问、共享和使用的数据是以盗窃、贿赂、欺诈、胁迫、电子侵入等不正当手段获取的,则存在侵权问题。如果作为来源的数据有“污染”,则下游主体的数据采购、加工、开发、使用等行为亦存在侵权问题。此外,关于使用爬虫技术抓取数据的行为,司法实践中不乏因违反三重授权规则、技术措施或协议、超出合理限度等认定构成不正当竞争的案例,在数据价值不断被重视的大趋势下,笔者认为上述行为的违法风险将更高。
第二,在数据传输环节。随着数据流通的不断发展,数据传输链路日趋变长和复杂。传输工具或系统存在安全漏洞、在传输过程中未有效加密、未签订有效的传输协议、未部署防火墙、入侵检测系统等都有可能导致商业秘密侵权。此环节中的侵权行为样态主要是网络攻击、拦截、窃取数据等。例如,黑客可能在文件传输工具中植入恶意代码,或者利用网络协议缺陷或路由器配置不当等漏洞,不断窃取传送中的数据。
第三,在数据存储环节。数据可能存储在云服务器、共享硬盘或本地设备中,如果存储安全措施不足,例如存储数据的系统存在安全漏洞、未采用妥善的加密技术、访问控制不严格、废弃介质与残留数据处理不当等,可能导致商业秘密数据被泄露。例如,黑客可能利用系统漏洞入侵数据存储服务器窃取存储的数据。另外,在可信数据空间中可能存在第三方存储服务提供商,如果存储服务提供商的内部管理不善,如员工违规操作、安全制度不完善等,使用第三方存储服务时也可能导致商业秘密数据泄露。
第四,在数据共享与使用环节。互联互通和价值实现伴随着数据共享与使用。在可信数据空间中,数据可能以多种方式被共享给多个主体,如果未采取合理的共享控制手段(例如签署完善的保密协议),可能导致数据在未经授权的情况下被获取,相关主体可能更容易绕开“可用不可见”“可用不可出境”相关技术手段获取数据。进而,如果在合约中对共享范围控制不严格,相关主体在加工、开发、处理、使用数据过程中可能超出合同约定范围,或者故意绕开使用控制、数据沙箱等可信管控技术。值得注意的是,对数据进行处理后数据的内容和形式往往发生不同程度的变化,如果未能有效留痕,追究责任时的难度是比较大的。
最后,谈一谈可信数据空间运营者的侵权风险。从帮助侵权的角度,运营者如果未积极建立管控能力和管控手段、进行相关审查,甚至故意帮助他人不正当获取、使用数据,亦存在侵权风险。此外,可信流通是以过程可控可追溯、损失可察可追责为前提的,数据空间运营者负有安全保障义务,也就意味着数据权益在流通过程中受到侵害的,数据空间运营者应当承担相应的民事赔偿责任。目前,我国《民法典》第1195条第2款的“通知规则”和第1197条的“知道规则”是我国网络平台的间接侵权责任规范。与此类似,数据空间运营者的侵权责任认定也应当以注意义务为核心,通过引入侵权法上的善良管理人标准,要求数据空间运营者以理性、谨慎的管理者身份撮合、管理数据流通活动。
为避免与直接侵权人承担连带责任甚至作为直接侵权人承担责任,笔者建议可信数据空间运营者作为数据流通活动的专业组织者,应具有较高注意义务,在措施上可事先对交易主体身份真实性、流通环境安全性、数据内容合法性予以审查,并对整个交易过程展开全流程监管和留痕,定期对数据流通情况予以安全排查,并对具有高风险的数据交易活动予以警示等。对于交易当事人根据《民法典》第1195条请求运营者断开数据接口的,运营者应当及时采取必要措施。
四、可信数据空间下的合规问题
需要注意的是,可信数据空间下的行为可能同时涉及侵权与合规问题。事前监管(合规)与事后责任(侵权)共同规范企业的主观注意与客观行为,前者的优势在于监管机构的专业性,以及弥补私人不予追责导致的激励不足,而后者的优势则在于个案裁判的灵活性。因而,合规要求与侵权预防既有重合也有区分。本部分将先介绍可信数据空间合规管理的规范性依据,即“合哪些规”;进而归纳可信数据空间相关的合规风险类型与风险点,即“在哪些方面合规”;最后聚焦于可信数据空间运营方列举几个合规要点,即“怎么合规”。
1、合规管理的规范性依据
可信数据空间合规管理的规范性依据可以分为法律法规、标准与指南两大类。可信数据空间以数据交易和共享为核心,在数据治理方面,我国以《网络安全法》《个人信息保护法》《数据安全法》为“三驾马车”,配套出台《网络数据安全管理条例》《关键信息基础设施安全保护条例》《数据出境安全评估办法》《促进和规范数据跨境流动规定》《企业数据资源相关会计处理暂行规定》等制度规范,并进行地方性立法与地区试点,形成我国数据合规监管法规体系。另一部分不容忽视的规范性依据是可由国际、国家、地方、行业、团体等不同层级的主体发布的标准与指南,如中国信息通信研究院牵头立项的国际标准IEEE P3158《可信数据空间系统架构》,国家标准GB/T42029-2022《智能制造工业数据空间参考模型》,国家指南GB/T 44109-2024《信息技术 大数据 数据治理实施指南》等。六部门联合印发的《国家数据标准体系建设指南》提出,到2026年底基本建成国家数据标准体系,围绕数据流通利用基础设施、数据管理、数据服务、训练数据集、公共数据授权运营、数据确权、数据资源定价、企业数据范式交易等方面,制修订30项以上数据领域基础通用国家标准。届时标准与指南将为可信数据空间合规建设与运营提供详细指引。
抛开交易标的为数据这一特性,可信数据空间的本质属性仍是具有一定公共性的网络中介与服务平台,因此仍需注意《民法典》《电子商务法》《反垄断法》《反不正当竞争法》《著作权法》《专利法》《商标法》等相关法律法规的要求,做到正当运营,不侵犯个体权益,不有损公共利益。
2、合规风险类型与内容

点击可查阅大图
3、运营方合规要点
可信数据空间运营方需保障技术可信、制度可信、主体可信、数据可信、流通可信、应用可信,审核或监督交易主体、交易标的、处理行为、基础设施,在运营过程中全面把控多方面合规要点,以规避潜在风险,确保稳健运营。
其一,运营资质是基础,应合法依规获取资质与许可。我国不同于欧盟完全去中心化的数据空间架构,而是采用“一定程度的中心化+各数据空间之间高确定性网络+联盟链”的架构,故仍然需要政府作为“可信根”为可信数据空间背书。[9]不同地区和行业对运营资质有特定要求与审批流程,运营方应深入研究当地及目标区域(若涉及跨境)法规政策,梳理准入条件,制定详细获取计划,确保资质齐全后再运营。
其二,数据管理是关键,应切实履行相关安全保护义务。建议运营方在管理体系上,建立健全完善的网络数据安全管理制度,制定数据分类分级标准,落实前文提及的各环节的技术与法律措施;在人员管理上,对员工开展数据安全培训,提升安全意识与合规操作能力,同时严格实施权限管理制度,依员工职责和业务需求分配最小化访问权限;涉及第三方合作时,签订详尽的数据安全协议,清晰界定双方责任义务,加强对第三方数据处理活动的监督。此外,运营方还需制定网络数据安全事件应急预案,定期开展应急演练,确保能够采取措施控制危害扩散,及时通知受影响用户,按规定向主管部门报告等。
其三,空间机制是保障,应做好权责利分配与行为监督。制定规则时,运营方应充分调研行业实践与各方需求,确保规则合法且促进数据合理利用与业务创新,依照《数据二十条》,在保护公共利益、数据安全、数据来源者合法权益的前提下,承认和保护数据处理者的相关权益,健全流转数据相关财产性权益的机制,促进数据要素流通复用。执行规则时,运营方应建立健全监督机制,做到必要的数据交易、处理、使用记录留痕留存,对违规违约行为严肃处理。同时可建立争议解决机制,透明、依规、公正、合理地处理主体间纠纷,维护运营秩序与声誉。
五、结语
当前法律对数据产权等问题的界定仍处于探索与成长期,本文提出的解决方案本质上是基于现有制度的过渡性安排。随着《数据二十条》等政策的深化落地,对数据产权“三权分置”的不断实践摸索,以及数据要素市场化配置改革的持续推进,数据交易运营的权责利安排、可信数据空间的规则体系、合规要求必然将面临更多元的价值博弈与制度创新。未来,可信数据空间及数据交易运营的健康发展既需尊重市场规律与技术逻辑,也需法律在权益保护与价值释放之间寻求动态平衡。期待各界形成合力,在夯实制度基础的同时保持开放包容的态度,最终实现数据要素“供得出、流得动、用得好”的愿景。
[注]
[1] 北京大学法学院本科生肖睿为本文内容提供了若干有价值的观点。
[2] 程啸. 数据权益与数据交易[M]. 北京:中国人民大学出版社, 2024. 53-57。
[3] 程啸. 数据权益与数据交易[M]. 北京:中国人民大学出版社, 2024. 58-63。
[4] 申卫星.论数据产权制度的层级性:“三三制”数据确权法[J]. 中国法学, 2023年第4期。
[5] 崔国斌. 新酒入旧瓶:企业数据保护的商业秘密路径[J]. 政治与法律,2023年第11期。
[6] 卢纯昕. 数据保护的类商业秘密路径建构[J]. 知识产权,2024年3期。
[7] 涂静轩,商业秘密路径保护数据财产的困境与挑战,2024年10月13日载“法制周末报”公众号,链接:https://mp.weixin.qq.com/s/9egVu9TEh9X542y1hqkpzg。
[8] 崔国斌. 新酒入旧瓶:企业数据保护的商业秘密路径[J]. 政治与法律,2023年第11期。
[9] 董学耕. 从《网络数据安全管理条例》解读可信数据空间. 2024年10月25日载“海南省大数据发展中心”微信公众号. https://mp.weixin.qq.com/s/ycC1RrF3L6lRKT-SN_jrRA。