理纷寻序 | 可信空间下的数据交易运营(二):契约范式篇
理纷寻序 | 可信空间下的数据交易运营(二):契约范式篇
随着数字经济的蓬勃发展,数据已成为新质生产力的关键要素,国家亦高度重视数据要素市场发展,采取多重手段促进数据要素价值释放。可信数据空间是确保数据资源高效流通的核心基础设施之一。近年来,一系列政策的出台为可信数据空间建设带来了重大利好。《“数据要素×”三年行动计划(2024—2026年)》明确提出到2026年底要形成相对完善的数据产业生态,并强调要打造安全可信流通环境,深化相关技术应用,以促进数据合规高效流通使用。《可信数据空间发展行动计划(2024—2028年)》(下文简称“《发展计划》”)则进一步提出了发展可信数据空间的系列举措,并计划到2028年形成一批数据空间解决方案和最佳实践。
然而,在这样的政策东风下,发展可信数据空间不仅在技术、相关标准上,也在机制、风控等方面仍存在不小的挑战。2022年12月《中共中央、国务院关于构建数据基础制度更好发挥数据要素作用的意见》(简称“《数据二十条》”)的出台为数据产权制度、流通和交易制度、收益分配制度、治理制度指明了方向。但是,我国当前在数据权益保护、运营等方面尚无完善立法,理论和实务界亦争论颇多,数据从供给到流通再到利用客观上存在诸多纷乱或堵点。
笔者认为,在当前情势下,面对诸多变量和分歧,为了有效、可控的释放数据要素价值,可先聚焦具体场景,进而讨论数据交易运营的权利基础、设计合理的机制范式。对此,笔者在《破局之道|可信空间下的数据交易运营:权责边界篇》一文中探讨了当前法律框架下可信数据空间中具有可操作性的企业数据权益保护路径及相关风控问题。除此之外,在可信数据空间中,不合理的交易契约范式选择可能导致权责利失衡、履约行为缺乏合理预期、出现合同条款漏洞等问题。不完备的空间规范与合同条款不仅会增加交易成本,还容易引发纠纷,破坏各方对数据空间、数据交易的信任度。对此,本篇拟围绕可信数据空间,探讨相关“契约范式”问题,以期在当前政策机遇期与制度探索期叠加的关键阶段,为可信数据空间的发展、相关数据交易运营、价值释放提供有益启示[1]。
一、可信数据空间中“契约”的重要性
在《发展计划》提出的五大类可信数据空间中,企业可信数据空间主要聚焦于协同上下游企业开放共享高质量数据资源,面向中小企业提供普惠便利数据服务。行业可信数据空间主要聚焦于促进产业链端到端数据流通利用。城市可信数据空间主要聚焦于融通公共、企业与个人数据,围绕城市规划、交通出行、医疗健康等典型场景,帮助城市加快全域数字化转型和城市群数字一体化发展。个人可信数据空间主要聚焦于提供依场景授权许可的个人数据转移流动和开发利用服务。跨境可信数据空间则主要聚焦于数据出境、入境、过境流动和交易。
不论哪种类型、哪种模式的可信数据空间,其关键都是“可信可管、互联互通、价值共创”。如《发展计划》中提出,可信数据空间须具备数据可信管控、资源交互、价值共创三类核心能力。
来源:中国信息通信研究院
(1)可信管控能力
数据的价值对于各方主体而言已无需多言,但数据要素价值长期未得到发挥的原因除了发展阶段、认识程度外,主要还是一个“信任问题”。从命名即可看出,解决全流程信任问题是可信数据空间的首要任务。为了保障数据“供得出”,完善的可信数据空间应支持对空间内主体身份、数据资源、产品服务等开展可信认证,支持对数据流通利用全过程动态管控,支持实时存证和结果追溯等。在一定程度上,透明有序的契约和权限管理逻辑、合理有效的风控与风险分配正是建立信任的关键。
(2)资源交互能力
数据交易实际上并非新鲜事物,但目前的数据交易几乎都是点对点的交易或通过服务合同的交易,并没有产生类似土地、房产、消费用品的市场化流转交易,更没有形成类似证券、黄金、石油期货的高频交易。在数据交易与合作中,企业更多将数据当作一种合同与服务,而没有将数据当作一种财产进行交易。[2]除了如何确权存在争议、供需方难以精准匹配等问题外,数据交易还存在“交互难”的问题。通俗而言,如何让A公司有效知晓B公司持有其希望利用的数据?如何让B公司提供的数据与A公司兼容?对此,如果可信数据空间能够支持不同来源数据资源、产品和服务在可信数据空间的统一发布、高效查询、跨主体互认,实现跨空间的身份互认、资源共享和服务共用,无疑能够大大促进数据“流得动”。但需要注意的是,上述能力的提升涉及数据标签化、产品化、内容转换、定制化技术服务/开发等工作,如果管理不当,将导致数据资源存在“先天风险”,且这种风险会在后续大体量的数据交互中被无限放大。
(3)价值共创能力
可信数据空间是数据要素价值共创的应用生态。为使数据“用得好”,《发展计划》提出,可信数据空间要能够支持多主体在可信数据空间规则约束下共同参与数据开发利用,推动数据资源向数据产品或服务转化,并保障参与各方的合法权益。可见,相关活动应在共建共治、责权清晰、公平透明的规则约束下有序展开。并且笔者认为,这种“运营规则”应是能够体系化消弭风险的、更具有进取色彩的、各种空间各具特色的管理体系。笔者常常用商场举例,商场在把楼梯搭建完、软硬装修好后,想要吸引商户入驻、公众消费,就需要在如何入驻、如何促销、如何积分等方面实现机制完备、逻辑自洽,从而让商家能够持续获利,让消费者能够不断消费。反之,如果没有好的机制体系,就会出现定位不清、恶性竞争、纠纷频出等一系列问题。
二、合同类型的判断与有名合同规则的准用
可信数据空间区别于传统数据空间概念的关键就在于对“可信”的强调。为此,可信数据空间不仅要通过智能合约、区块链、数字水印等技术手段保证合同履行,还要参与制定空间各主体开展数据共享利用等活动的规范,对各方在供需对接、合同协商签订、数据交付、清算审计等全流程的行为进行约束,规范数据流通流程,明确各方责任。[3]其中,明晰法律对可信数据空间所涉契约的定性与权利义务分配,是建立合理预期、规避合同疏漏、规制空间中交易行为的必要前提。
可信数据空间中数据交易的主要参与主体包括数据提供方、服务方、运营方、使用方。上述主体之间围绕数据收集、提供、二次收集、数据清洗、数据开发、加工处理、交易运营等行为,可能建立多种法律关系,例如许可、转让、技术服务、委托、中介等。本部分将先介绍可信数据空间中可能涉及的几种交易范式,判断所涉合同属于《民法典》规定的哪种典型合同(或是属于非典型合同,但类推适用相似典型合同的规则),进而讲解相应合同条款的关键问题。
一旦数据交易涉及合同的订立、效力、履行、保全、变更、转让、权利义务终止、违约责任等争议,判断合同类型是第一步。《民法典》合同编为各种典型合同设置了任意性或强制性规范,虽然其中并不包括专门的“数据交易合同”,但可以藉由《民法典》第467条第1款[4]类推适用与之“最相类似”的典型合同的规定。数据交易的本质是以货币或货币等价物或其他对价交换数据产品或服务的活动。在不同的交易范式下,明确与数据交易合同“最相类似”的典型合同后,就可以比较清楚地了解《民法典》对应设置了哪方面的规则,机制制定方(可能是平台运营方,也可能是几家龙头企业)在进行权、责、利的安排时有哪些规则是合同不言自明的,有哪些规则是与民法典冲突、需要在合同中特别约定的。[5]
1、数据许可
数据许可是数据提供者授权许可数据接收者获取、使用数据的数据交易形态。数据提供者在进行数据授权许可后仍可保留数据的所有权,但负有向数据接收者持续不间断地提供数据访问、接入权限等义务。根据其持续性、用益性与合同目的,与数据许可合同最相类似的有名合同是技术许可合同,《民法典》对被许可人的保密义务(第871条)、被许可人除合同另有约定外不得许可第三人使用(第867条)、衍生成果归属(第875条)等方面有特别规定。[6]
需要注意的是,若交易标的涉及个人信息等人格利益,比如个人可信数据空间中的大规模个人信息流通与处理,则需要特殊规则在合同的订立与履行过程中维护信息主体的个人信息权益。其中一种处理方式是将肖像许可使用类推到个人信息的同意利用上,类推适用《民法典》人格权编一般规定与肖像权一章关于合理使用、疑义有利解释、合同解除权的规则[7]。但是,考虑到个人可信数据空间可能涉及大规模的个人信息流转与处理,尤其是平台通过数据预测信息主体的行为、进而区别化对待的场景,此时的个人信息相较于肖像权等标表型人格权更接近人格尊严的核心领域,应该以更严格的规则维护个人信息自决不受严重侵害,即不将个人信息视作合同对价,并且适用任意解除制度。[8]然而,如果处理目的只是基于大数据做出宏观商业决策,或是在处理前进行严格的匿名化/脱敏,笔者认为可以适用较为宽松的规则。
2、数据转让
数据转让是数据提供者将数据财产所有权一次性让渡于数据接收者的数据交易形态,其通常采用交付数据存储硬盘、迁移数据库、提供数据包等形式。如无特殊约定,数据提供者在交易完成后将无权再占有、使用和经营数据。因而与数据转让合同最相类似的典型合同是技术转让合同。对此,《民法典》对转让人的从给付义务、权利瑕疵担保责任,以及受让人侵害第三人的责任归属等有特别规定[9]。
3、数据服务/开发
数据服务是指数据服务方根据需求提供数据归集、加工处理、存储、监控等服务,最终给付处理后的数据产品等成果的数据交易形态。数据服务的种类繁杂,合同类型的判断是一个难题。实际上,根据合同目的是否涉及解决技术问题,给付内容是否包括传递技术知识或提供技术咨询,合同风险是否包括技术风险等,可以对特定数据服务类型适用承揽合同、技术咨询合同、技术服务合同或技术开发合同的规则。对此,《民法典》相关章节对承揽合同、技术咨询合同、技术服务合同、技术开发合同的工作费用负担、衍生成果归属、风险分配、违约责任等有特别规定。
(1)承揽合同是承揽人按照定作人的要求完成工作,交付工作成果,定作人给付报酬的合同;而技术合同是涉及技术内容、解决技术问题的一类特殊的承揽合同。若数据服务目的并不注重于解决技术问题(比如只是特定数据采集、标注、整理的数据定制服务),并且给付内容仅包括交付数据集合而不涉及传递技术知识或提供技术咨询,则可以将合同类型认定为承揽合同。
(2)若数据服务目的是解决技术问题,给付内容包括传递技术知识或提供技术咨询的,应当认定为技术合同,不宜适用承揽合同的定作人任意解除权等制度。具体而言:
(a)主要利用现有技术,并不涉及技术开发风险的,可以适用技术咨询合同或技术服务合同。技术咨询合同是当事人一方以技术知识为对方就特定技术项目提供可行性论证、技术预测、专题技术调查、分析评价报告等所订立的合同,基于大数据提供项目评估与实施方案的数据服务即属于此类。技术服务合同则是当事人一方以技术知识为对方解决特定技术问题所订立的合同,利用现有技术对数据资源进行处理、加工、分析的数据服务可适用技术服务合同。
(b)若技术合同侧重于新技术、新产品、新工艺的研究开发,具有创新性和不确定性的,则与技术开发合同更加相似。比如涉及从无到有的数据模型构建、算法设计等数据产品层面的创新工作,则更符合技术开发合同的特征。
4、从可信数据空间运营方的角色出发
可信数据空间运营方提供的是综合性的一揽子服务,需要根据具体的服务对象与行为内容判断准用的合同类型。对于运营方以自己名义提供交易信息、进行交易撮合的活动,可以适用《民法典》的中介合同(原《合同法》的居间合同,且若运营方为交易双方订立技术合同进行联系、介绍以及对履行合同提供专门服务,[10]则还构成《民法典》第887条规定的技术中介合同)或委托合同。此时,运营方负有如实报告、积极调查、交易记账等义务,[11]并且有权按照约定请求报酬或必要费用;数据交易主体在接受运营方的服务后,利用运营方提供的交易机会或者媒介服务,绕开运营方直接订立合同的,应当向运营方支付报酬。
对于运营方为交易双方提供的数据存储、传输、主体认证、质量评估、数据合规等服务,则可参照技术服务合同的规则。对于数据提供者为个人用户等弱势方的情形,可以认定其与运营方为信托关系,运营方负有诚实、信用、谨慎、有效管理的义务,避免个人信息的不当侵害;但当不存在此种力量悬殊、交易方是可以自由选择运营方的企业时,则应当慎重定性为信托关系。
5、其他情形
根据《民法典》第646条,法律对上述有偿合同没有规定的,数据交易合同还可以参照适用买卖合同的规定。如果数据交易合同由数据转让、数据许可、数据服务等两个或两个以上要素混合而成,例如数据许可与数据服务(比如实时更新数据)的内容相结合,并且两方面内容具有经济上的一体性,任何一方面给付义务不履行均可造成整个合同目的不能实现,则应按照混合合同的规则进行法律适用。
三、合同条款的几个关键问题
1、数据权益转让/许可合同的瑕疵担保
数据权益转让或许可合同的瑕疵担保问题,因其标的物的特殊性而与传统有体物买卖有所不同。
首先,数据的价值实现依赖于其与使用方数字环境的兼容性,包括数据资源的格式、结构与标准化要求、数据产品的可运行性等。若合同未明确约定兼容性标准,则应参照可信数据空间的通用规范。若数据提供方交付的数据或接口无法与使用方的软硬件设施兼容互通,则构成产品瑕疵。[12]此外,数据的动态性特征要求提供方在持续性合同(如许可或服务合同)中承担必要的更新义务,以维持数据与合同目的的相符性。而在一次性转让合同中,除非另有约定,提供方通常不承担更新义务。
其次,数据提供方还需确保交易标的不存在妨碍合同目的实现的第三人权利。这包括两方面:一是提供方需具备足以实现合同目的的数据经营权,而非仅限于持有、加工或使用的权利;二是数据不得侵害第三方的法定在先权利,如个人信息权益、隐私权、商业秘密或知识产权等。例如,在未经授权的情况下,擅自处分包含他人知识产权的数据,将构成权利瑕疵。
2、数据交易的风险分配
数据交易合同中的风险分配问题需根据合同类型及交易特性进行具体分析。[13]
首先,在数据转让合同中,数据转让与有体物买卖在风险转移上有相似性,风险负担可参照《民法典》第604条的交付主义规则。数据毁损灭失的风险在交付前由提供方承担,交付后由接收方承担,交付时间以数据进入接收方指定系统并能被检索识别为准。
其次,数据许可合同因其用益之债的性质,风险负担规则有所不同。由于数据提供方始终保留数据的持有权或原件,即使数据副本在传输过程中发生毁损或灭失,提供方仍可通过重新传输或开放访问权限来履行合同义务。因此,数据许可合同中的风险应由提供方承担。这一安排既符合合同性质,也降低了接收方的风险负担成本。
最后,数据服务合同中的风险分配更为复杂,需区分技术开发风险与技术应用风险。对于技术开发风险,可参照《民法典》第858条,按照“当事人约定—协议补充—合同相关条款或交易习惯—合理分担”的顺序确定责任主体。例如,在软件开发服务中,法院根据合同条款和招标的交易习惯,判定由未依约完成系统开发的专业开发方承担相关风险。[14]对于技术应用风险,则需根据可预见性进行区分:若风险在订立合同时无法预见且不属于商业风险,可适用情势变更规则;若提供方已预见或应预见技术难题但仍承诺特定效果,则风险由其承担;若提供方未承诺特定效果且尽到风险提示义务,风险则由接收方承担。例如,在电商平台技术服务案中,服务方明确排除对运营效果的保证,法院认定技术应用风险应由接收方承担。[15]
3、数据交易合同的权责划分与条款公平性
相关主体在设置数据空间的规则时需要明晰权责划分,既能明确各方预期、促成数据交易,还能便于合规管理、限制自身责任,但也要注意条款公平性,避免沦为无效条款。可信数据空间相关主体的权责应聚焦数据来源和权属、行为和使用边界、合法合规义务、安全保护义务、责任分担和限制等核心维度予以确定。
亦应注意,基于《数据二十条》的双向公平授权原则,相关主体需警惕不公平条款的效力风险。我国现行采用格式条款规制体系,要求制定方履行提示说明义务,不得单方免除己责、加重对方负担。实践中需注意三类典型不公平条款:大企业独占衍生数据产权、单方任意变更数据使用范围权、免除数据提供与安全保护义务。特别当相关主体滥用优势地位使用“全有或全无”缔约模式时,法院可能依诚信原则判定条款无效。[16]
4、数据安全保护义务
可信数据空间具有公共设施的属性,结合《个人信息保护法》《数据安全法》《网络安全法》的规定,可信数据空间运营者应负有法定的安全保护义务,包括身份核实、数据安全、交易合规等。具体而言,可信数据空间运营者不仅应使用技术手段保护数据安全,还应该健全空间制度、规范格式文本、做好监督管理,让各生态主体共同保障数据不被泄露、篡改、丢失、滥用,确保交易主体、数据来源、交易目的、利用方式符合法律规定和合同约定。[17]
数据许可合同、数据转让合同、数据服务合同的被许可方、受让方、受托方都会接触相对方的数据,运营方应当在格式合同中设置安全保护条款,至少包括:1、合规性条款,即要求交易相对方陈述并保证遵守与个人信息的拥有或使用相关的所有可适用的法律和其他规范性文件,并遵守交易方企业的隐私和信息保护政策以及相关做法;2、安全程序条款,即要求交易相对方在可行的范围内维护其自身的隐私和信息安全计划,并对其安全和信息保证实践进行定期风险评估;3、保障措施条款,即要求交易相对方保证其能够实现对于数据的适当保护;4、赔偿条款,交易相对方应就其未能遵守适用的隐私法导致数据丢失或因过错而致数据泄露承担相应的赔偿责任等;5、保密条款,即要求交易相对方确保充分保护数据,并且通过相应的约定来处理合同履行完毕后数据的保护、销毁和归还等问题。[18]
四、结语
在数字经济浪潮的推动下,可信数据空间作为数据流通与价值共创的基础设施,正逐步成为释放数据要素潜力的关键载体,其发展需要技术与制度“双轮驱动”,并需要法律与实践的进一步磨合。其他场景下的数据交易运营也必然存在新的问题和挑战。当前,在开展数据交易运营时,除了选择合适的权利基础,在合同层面,通过透析数据交易特性与范式,明确《民法典》典型合同规则的适用范围,细化可信数据空间格式文本的条款设计,能够最大限度平衡各方利益、促进数据交易和数据价值释放。未来,随着数据领域相关立法的不断推进、《数据二十条》等政策的深化落地,对数据产权“三权分置”的不断探索,数据交易运营中的交易性质、主体角色、机制规则必将更加清晰和完善。
[注]
[1] 北京大学法学院本科生肖睿为本文内容提供了若干有价值的观点。
[2] 丁晓东,数据交易如何破局?——数据要素市场中的阿罗信息悖论与法律应对,载《东方法学》2022年第2期(总第86期)。
[3] 可信数据空间发展联盟:《可信数据空间建设及应用参考指南(V1.0)》。
[4] 《民法典》第467条第1款:“本法或者其他法律没有明文规定的合同,适用本编通则的规定,并可以参照适用本编或者其他法律最相类似合同的规定。”
[5] 该部分参考时诚:《数据交易的合同法规则》,载《比较法研究》2025年第1期,第98-100页;高郦梅:《论数据交易合同规则的适用》,载《法商研究》2023年第4期,第36-39页;武腾:《数据交易的合同法问题研究》,法律出版社2023年版,第141-165页;包晓丽:《可信数据空间:技术与制度二元共治》,载《浙江学刊》2024年第1期,第89-100页。
[6] 时诚. 数据交易的合同法规则[J]. 比较法研究. 2025年第1期. 第99页。
[7] 详见:《民法典》第999条、第1021条、第1022条等。
[8] 武腾. 数据交易的合同法问题研究[M]. 北京:法律出版社. 2023. 169-177。
[9] 详见:《民法典》第868条、第870条、第874条等。
[10] 参见《最高人民法院关于审理技术合同纠纷案件适用法律若干问题的解释》(2020年修正)第38条。
[11] 武腾. 数据交易的合同法问题研究[M]. 北京:法律出版社. 2023. 239-240。
[12] 例如,在三维数据服务合同案中数据提供方未按照找遍文件提供特定格式的文件,导致未能满足数据使用方的数据服务应用需求,因而认定存在产品瑕疵。参见浙江省杭州市中级人民法院(2023)浙01民终2613号民事判决书。
[13] 时诚. 数据交易的合同法规则[J]. 比较法研究. 2025年第1期,第105-107页。
[14] 参见江苏省苏州市吴江区人民法院(2016)苏0509民初3649号民事判决书。
[15] 参见北京市大兴区人民法院(2020)京0115民初919号民事判决书。
[16] 高郦梅:《论数据交易合同规则的适用》[J]. 载《法商研究》, 2023年第4期,第40-41页。
[17] 包晓丽.可信数据空间:技术与制度二元共治[J].浙江学刊, 2024年第1期: 第89-100页。
[18] 程啸. 数据权益与数据交易[M]. 北京:中国人民大学出版社, 2024. 476-477。