2015年,自中国第一家数据流通交易所贵阳数据交易所正式挂牌运营以来,数据交易所雨后春笋般涌现,数据要素逐步奠定了其作为第五大生产要素的“江湖”地位,数据交易日趋活跃。但数据交易仍以场外交易为主,且其点对点的特征导致乱象丛生,隐私权、个人信息权益乃至国家安全、生物安全、国防安全等公共利益屡遭侵害。据此,2022年12月2日《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称:“数据二十条”)发布,希冀规范场内外数据交易秩序,以公正可信的环境引导交易主体进场交易。但这并没有从根本上消解数据交易引发的诸多问题,反而引发了理论界与实务界对“数据产权、流通交易、收益分配、安全治理”的激烈争论。审视各地与数据交易相关的地方性法规、地方政府规章、规范性文件,主要参照的是《中华人民共和国证券法》(以下简称:《证券法》)和《证券交易所管理办法》。然而,数据与证券、数据交易与证券交易存在显著差异,不能照搬。由此需要明确的是,是否有必要建立一套专门的、全国统一适用的场内数据交易法律制度,如果答案是肯定的,那么,何为场内数据交易、其法律特性是什么、数据交易所的特性是否在一定程度上决定着场内数据交易的特性等,值得探讨。
一、构建场内数据交易法律制度的理论前提与逻辑证成
“数据二十条”指出,“构建促进使用和流通、场内场外相结合的交易制度体系,规范引导场外交易,培育壮大场内交易”。引导场外交易进场交易的前提是,数据交易所可以为数据交易提供安全、可信的交易平台,切实保障数据交易主体及相关权利人的合法权益。所以,构建场内数据交易法律制度以护航数据交易的必要性可见一斑。此外,何为场内数据交易、相对于其他场内生产要素交易而言具有何种特性等亦需澄清。否则适用证券交易等法律制度即可,无须构建专门的场内数据交易法律制度。
(一)场内数据交易的内涵
我国数据交易尚处探索阶段,“场外交易活跃,场内交易多点突破”。①以数据交易发生地点为依据,数据交易可以分为场内与场外两种。前者主要通过特定数据交易场所完成,后者则在数据交易场所外完成。目前数据交易对象、交易规则及数据权属等存在争议,场内数据交易的内涵亟须厘清。
1.“场内”特指数据交易所
场内交易最早发生于证券交易领域,是指在统一、权威、安全、可信、可控、可追溯交易平台内的交易,②具有集中撮合竞价和增加交易密度、市场流动性等特征。③随着我国林权、碳排放权等公共资源交易的不断兴盛,场内交易的概念随之扩展,意指统一交易平台内的交易。④审视数据交易,除点对点的场外交易外,场内交易有政府主导、企业主导两种模式,⑤两者皆在交易平台进行,“场内”似乎应界定为“交易平台”。第一种模式中数据交易平台为政府主导设立的数据交易所,担负着维护市场秩序、保证交易安全的职责。⑥“数据二十条”第9条提出,构建“国家级+区域性+行业性”的多层次市场交易体系。这是对政府主导模式的充分肯定,也认可了国家级数据交易所对区域性、行业性数据交易所的引领作用。此种模式下,“场内”仅限于数据交易所。第二种模式依靠“数据矿主”“行业数据资源枢纽型”企业等“数据链主”搭建的数据交易平台或“数据空间”进行交易,与美国Datalogix、Recorded Future公司的“数据经纪人”模式和欧盟的“数据空间”模式差异不大。⑦企业主导模式中的数据交易平台,属于“数据二十条”第9条指称的“数据商”。该条规定旨在“鼓励各类数据商进场交易”,数据商非数据交易所。因为企业主导模式中的数据交易平台进行的是“场外”交易,非“场内”交易所能涵摄。因此,“场内”特指政府主导模式下的数据交易所,而非企业主导模式下的“场外”数据商。
2.交易对象是经过合规认证的数据、数据产品
《要素市场化配置综合改革试点总体方案》(国办发[2021]51号)第20条指出,应“探索‘原始数据不出域、数据可用不可见’的交易范式”。“原始数据”是直接交易、未经过加工的数据。“域”指数据域,是“数据的边界和范围”。⑧“原始数据不出域”指应保证数据在流通中不离开数据提供者的控制。“可用不可见”则指通过密码算法、硬件加速和人工智能等技术组合成的整体系统,使原始数据处于“可用不可见”的加密状态,然后再进行交易。⑨映射场内数据交易实践,诸交易所通过数据脱敏、匿名化、差分隐私、同态加密等实现上述目的。⑩这些皆要求合规认证,意在“建立合法、公平、可信的数据交易秩序”,(11)此为政府引导数据交易由场外转向场内的根本宗旨。如《上海数据交易所数据交易合规注意事项清单(第一版)》第3条及第4条列出44项合规要求;《贵阳大数据交易所数据要素流通交易规则(试行)》第24条对合规审查与安全评估等进行了具体规定。类似规定不胜枚举。据此,场内数据交易的对象似为合规认证的数据。然而,各地数据交易对象却不限于数据。如《上海数据交易所数据交易合规管理规范(试行)》第7条规定,合规认定对象涵盖“相应数据”“数据产品”。有学者亦指出,场内数据交易对象包含“卖方通过对数据的整合再加工形成一定程度的标准品或数据资产组合”,(12)即“数据产品”。因而,场内数据交易之“数据”不应限于数据,理解为经过合规认证的数据或数据产品,更符合数据交易实践。
3.“交易”专指供需双方的交易
交易因“表示意思一致(简称合意)而成立”,(13)包含交易主体、交易对象、意思表示三要素。供需双方在数据交易所内对数据、数据产品的买卖达成合意,三要素齐备。因此,场内数据“交易”专指供需双方的交易。依循《中华人民共和国民法典》(以下简称:《民法典》)第134条第1款、第595条,场内数据交易基于供需双方的意思表示一致成立——供方转移数据、数据产品于需方,需方支付价款,两者达成数据、数据产品买卖合同,场内数据交易专指供需双方的交易得到印证。值得注意的是,数据增值服务交易屡见不鲜,却非场内数据交易之“交易”。“数据二十条”第9条提出“数商分离”,即提供增值服务的数据商与作为交易中介的数据交易所泾渭分明。数据增值服务交易发生于数据供方与数据商之间,(14)“围绕大数据基础资源进行清洗、分析、建模、可视化等操作,形成定制化的数据产品”。(15)它符合交易之学理概念,可能是某些场内数据交易的前置条件,但非供需双方的数据“交易”。
总之,场内数据交易可界定为:在数据交易所及下设交易平台进行的、以合规数据、数据产品为交易对象的、发生在数据供需双方之间的买卖。
(二)建构场内数据交易法律制度的必要性
场内数据交易异于场外交易,也不同于其他生产要素交易,具有公益性、经营者特性、中介人特性等特征。证券交易等法律制度可以参考,但不能直接照搬。故构建场内数据交易法律制度,规避数据交易风险,顺应场内交易发展趋势,契合数据要素市场建设要求。
1.规避场外数据交易法律风险
我国数据交易市场需求旺盛,但囿于场外交易缺乏统一监管,个人数据、企业数据、公共数据非法交易屡见不鲜。(16)各地执法机构积极采取监管措施,然而基于人力、物力、技术等存在差异,执法标准大相径庭,隐私权、个人信息权益、企业数据财产权、公共利益等难以获得全面保护。“魏某某侵犯公民个人信息罪案”(17)“祁某侵犯公民个人信息罪案”(18)等案件的裁判便是最好例证。场内数据交易由国有控股的数据交易所全流程监管,数据、数据产品经过合规认证,交易过程合法,上述场外数据交易的法律风险可以消解。然而,现有场内交易规则复杂多样,数据交易主体耗费大量的时间、金钱和机会成本。交易主体以追求利润为主要目的,面对如此高的场内交易成本,避之不及。此等情况下,场内交易缺乏吸引力,场外转向场内,规避场外数据交易法律风险沦为空谈。对此,厘清数据产权、(19)可交易数据范围、(20)数据定价、(21)数据交易所的属性与功能等难点问题,(22)构建统一的场内数据交易法律制度是关键。与之相应,各自为政的乱象得以消除,交易成本高、交易流程复杂问题及个人信息权益、隐私权侵害问题必将大大缓解,安全、高效、可信、可追溯的场内交易的优势得以凸显,场外数据交易转向场内指日可待。
2.顺应场内交易发展趋势
构建场内数据交易法律制度可借鉴证券、期货等交易,均遵循“场外实践探索——场内试点衍化——场内统一规制”路径。以证券交易为例,其历经场外原始发展、场内自主管理、国家统一规制三个阶段。《证券法》《证券交易所管理办法》《证券期货违法行为行政处罚办法》等法律、部门规章构筑出统一的场内证券交易制度。回顾数据交易,已超越场外原始发展阶段,处于场内试点衍化阶段,呈现统一规制之势。建构场内数据交易法律制度,顺应场内交易发展趋势,正当其时。质言之,场内交易法律制度能促进统一、权威、安全、可信、可控、可追溯交易平台平稳运行,(23)发挥集中撮合交易、增加交易密度、增强市场流动等作用。(24)数据是第五大生产要素,“是数字化、网络化、智能化的基础”,(25)暗藏巨大产能。建构场内数据交易法律制度,统一数据产权、流通交易、收益分配规则,赋能实体经济,可充分实现数据要素的财产价值,促进全体人民共享数字经济发展红利。除此之外,数据流通合规高效,安全治理标准统一,公共利益、个人信息权益、隐私权、企业财产权等得到有效保护,皆需场内数据交易法律制度“坐镇指挥”。
3.契合数据要素市场建设要求
为回应旺盛的数据交易需求,《促进大数据发展行动纲要》(国发[2015]50号)、2020年4月9日发布的《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》、2022年4月10日发布的《中共中央国务院关于加快建设全国统一大市场的意见》皆指出要培育数据要素市场。《深圳经济特区数据条例》《上海市数据条例》等地方性法规先后出台,数据交易所纷纷建立。但数据要素市场体制机制仍不完善,严重阻碍数据要素市场建设与发展。对此,中共中央、国务院专门发布“数据二十条”,其中提及“数据要素市场”,要求“不断健全数据要素市场体系和制度规则”。场内数据交易法律制度贯穿数据交易全程,可以较好地规范数据要素流通和交易。数据交易前,合规认证、信息披露等法律制度,把好数据交易“第一关”,确保“原料”合法合规。交易中,网络安全保障、数据安全保障、个人信息保障等法律制度,可以有效保护隐私权、个人信息权益、企业数据财产权与公共利益。交易后,数据追溯、风险预警等法律制度,可以防范风险,避免可能引发的交易纷争。
二、与数据交易所公益性配套的法律制度构建
场内数据交易的公益性,构成全面构建场内数据交易法律制度的指导原则,围绕这一特性还将衍生出相应的配套制度。与公益性相配套的法律制度主要涉及组织形式、收费减免制度、信息披露制度等。
(一)组织形式
区别于证券交易所、期货交易所,数据交易所的组织形式通常是公司制,不存在会员制。囿于数据交易所的股权架构缺乏统一的设置标准,各数据交易所自行其是,国资主导公司制、完全国资公司制、混合所有制公司制等不胜枚举。数据交易所组织形式缺乏全国统一规范进行调整,妨害数据要素市场的培育与发展。“数据二十条”第9条明确要求“加强数据交易场所体系设计,统筹优化数据交易场所的规划布局”。鉴于此,可依据场内数据交易的公益性,结合政务数据、医疗数据、金融数据等不同数据要素的特性,构筑数据交易所组织形式的规范化、标准化体系。
1.重要数据交易:国资主导公司制与完全国资公司制
谛视数据要素交易市场,“一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益”的重要数据交易屡见不鲜。(26)通说认为,重要数据主要由我国政府、企业、个人收集产生,不涉及国家秘密,却与国家安全、经济发展等公共利益密切相关。未经授权处理重要数据,公共利益极易遭受损害。故而,场内重要数据交易不宜等闲视之,应予特殊“关照”。“数据二十条”第9条指出:“引导多种类型的数据交易场所共同发展,突出国家级数据交易场所合规监管和基础服务功能。”有鉴于此,建立国家级的重要数据交易所,以发挥国家级数据交易场所的合规监管功能,强化重要数据交易监管,可操作空间巨大。纵观现有数据交易所,国资主导公司制、完全国资公司制采取“二元规制模式”——“以《公司法》《企业国有资产法》等一系列有关法律规范形成的法律规制和以党政方针、党内规定等政策文件形成的政治规制”。(27)与其他组织方式相比,其公益特性明显。为强化国家级数据交易所的公共属性,重要数据交易所宜采取国资主导公司制、完全国资公司制。“二元规制模式”可以有效监管重要数据的流通交易,保障交易安全。
2.普通数据交易:国资参股公司制
普通数据与国家安全、经济发展等公共利益的关联度不大,未经授权处理数据的,可能侵害隐私权、个人信息权益、企业数据财产权。(28)故而,普通数据交易虽必须强化监管,但在监管力度上应与重要数据有所区分,组织形式无采取国资主导公司制、完全国资公司制之必要。否则,“二元规制模式”下,普通数据交易遭受无形“枷锁”的禁锢,阻碍数据流通交易。(29)数据交易所意在以政府信用为支撑,打造低成本、高效率、可信赖的场内数据流通环境,消解场外数据交易弊端。(30)我国国有资产监督体制由“管企业”转向“管资本”,(31)国资参股,数据交易所的运行与安全由国家监管,场内数据交易的可信度得以强化。国资参股公司制下,政府部门、机构、事业单位、国有企业单独或共同出资,持有产(股)权比例宜低于50%,数据交易所可由私人实际控制。(32)“政府+市场”二元规制下,场内数据交易背靠政府信用,同时由市场调节,实现政府与市场的良性互动。是以,普通数据交易的交易所由国资参股,不宜完全依靠国有资本或私人资本。值得注意的是,重要数据与普通数据在不同场景下存在转换的可能,场内数据交易的交易对象范围应实时调整,吐故纳新。据此,宜参照2022年8月31日国家互联网信息办公室发布的《数据出境安全评估申报指南(第一版)》,出台专门的重要数据界定标准、交易安全评估标准等,为不同的数据交易适配不同的交易场所。
(二)收费减免制度
数据交易所提供有偿服务,收取相关费用以维持交易平台的正常运转,但不以营利为主要目的。(33)审视现有“会员费模式”“增值服务费模式”“佣金分成模式”,(34)三者不区分交易目的、交易主体、交易对象而进行无差别收费,直接或间接增加了数据交易成本,背离了数据交易所的公益特性。(35)应在深入剖析现有场内数据交易收费模式的基础上,设计收费减免制度。数据交易所具有公益性,根本目的在于帮助他人或社会而非纯利己性质的营利。(36)数据交易所“为提供准公共服务”,(37)“利他性”地谋取公共利益,减免收费符合公益性要求。可聚焦场内数据交易的核心要素即交易主体、交易标的,明确数据交易收费减免制度的具体适用场景,构建场内数据交易收费减免制度。
1.公共部门+公共服务相关数据、数据产品
交易主体是以政府为代表的公共部门,交易标的是与公共服务相关的数据或数据产品,出于提供公共服务之目的,公共利益指向不言自明。据此,公共部门在场内交易该类数据或数据产品,向社会公众提供“多样化、差异化的服务”。(38)此时,场内数据交易出于公共利益,符合政府设立数据交易所的根本目的,应减免收费。如上海数据交易所挂牌的一款API位置行为统计类数据服务产品,为政府、企业提供各级行政区或自定义区域的多元人流统计服务,包括热力图、实时累计流量、人群画像等,以供城市管理、社会研究、商业决策。(39)公共部门购买此数据服务产品的,应予减免收费。
2.公共部门+非公共服务相关数据、数据产品
公共部门交易的数据、数据产品或不具有明显的政务专用性,如采购非公共服务相关数据、数据产品。场内数据交易似乎不是出于公共利益,不应减免收费。然而以政府为代表的公共部门,基本职能是提供公共服务。(40)即便交易标的与公共服务无关,公共部门进行数据交易,也必然回归公共服务职能本位。公共服务提升公共利益,与国家设立数据交易所的目标一致,应减免收费。如我国自然资源部2023年7月13日发布“房地产企业工商数据产品数据购置”项目,对非专用于政务的数据产品进行招标,以获取房地产企业的相关数据,(41)目的即是促进公共利益,数据交易应减免收费。因此,应聚焦于公共部门的公共服务职能,以交易数据、数据产品意欲实现或已经达到的目的作为考量因素,决定是否适用收费减免制度。
3.非公共部门+公共服务相关数据、数据产品
“在中国经济资本不断流动、抓大放小的思路下,政府的部分职能向事业单位、市场乃至NGO逐步转移。”(42)以政府为代表的公共部门的部分职能向市场主体转移,非公共部门实质参与提供公共服务。准此,非公共部门交易公共服务相关数据、数据产品,如采购数据、数据产品,同样出于保护公共利益目的的,应适用收费减免制度。如《贵州省数据流通交易促进条例(草案)》(征求意见稿)第15条第2款规定:“鼓励供水、供电、燃气、通信、广电等提供公共服务的企业运用自主运营或者授权运营等形式运营本单位数据,开发形成数据产品和服务,并通过数据交易场所进行交易。”非公共部门交易公共服务相关数据、数据产品,辅助公共部门提供公共服务,应减免收费。至于“非公共部门+非公共服务数据、数据产品”,非出于公共利益目的,不宜减免收费。
(三)信息披露制度
交易主体、交易标的、交易方式等公之于众,“减轻市场的信息不对称,降低交易成本”,(43)亦便于民众监督,避免数据交易侵害隐私权、个人信息权益、企业数据财产权、公共利益。各地数据交易所对信息披露有所规定,但披露信息的类型、范围、披露方式等大相径庭,不利于上述权益的保护。数据交易所监督交易主体履行信息披露义务,可保护不特定多数人的利益,(44)基于此,依循场内数据交易流程,可构建与数据交易所公益性相配套的信息披露制度,形成体系化的交易前、中、后三阶段的信息披露义务规则。
1.交易前
数据交易前,交易主体应披露数据交易的基本信息,主要包括交易标的和交易主体。现有数据交易信息披露规则聚焦交易标的,交易主体披露规则鲜见论述。众所周知,交易主体的适格与数据来源合法、数据合规等休戚相关。全面、真实、准确地披露交易主体信息,保障公众知情权,消除交易安全隐患尤为重要。(45)据此,应强化数据交易公益属性定位,统一交易主体信息披露规则,如披露企业组织机构分布、运行状态、认缴资本的缴纳状况、负债情况、控股股东及实际控制人身份等公司运营情况、财政情况、股权架构信息。如此,“帮助外部投资者和利益相关者滤除市场噪声的同时,也保护了管理者免受不当的职业风险和声誉损害”。(46)映射证券交易,披露交易主体相关信息司空见惯。(47)《证券法》第86条明确规定了信息披露程序,意在维护交易主体合法权益,尤其是保障证券交易安全,维护良好的证券市场秩序这一公共利益。循此先例,数据交易所应要求交易主体披露自身基本信息,而非遵照部分数据交易所的交易规则,仅在供方身份认证时提交资格证明文件。(48)
2.交易中
数据要素或因市场、政策等因素的影响而变化,交易双方需持续了解市场动态、数据要素动态,及时披露相关信息,避免数据交易侵害他人权益和公共利益。(49)因此,信息披露义务不宜局限于缔约阶段,还应覆盖交易全程,乃至交易后。部分数据交易所要求披露数据交易互评信息、交易纠纷、社会投诉等交易信息,(50)却存在体系化、规范化、规模化不足的弊端。可借鉴证券交易信息披露制度,构建数据交易定期披露、临时披露双层披露义务机制。(51)定期披露事项包括交易主体动态、数据或数据产品的变化趋势等信息。交易主体、相关权利人及时知晓数据交易动态,避免因信息错误等遭受损害。定期披露可采用年度报告、中期报告、季度报告等形式。(52)参照《证券法》第80条、第81条,临时披露保障民众获取重要信息,以便调整策略、规避损失,达到交易风险的最小化。故而,临时披露事项应具有重大性、及时性,如交易主体经营方针与范围、投资、债务、亏损发生重大变化及人员变动等事项。
3.交易后
“数据要素的可重用性(Reusability)本质上使数据要素成为标准化的、可为任何市场主体重复使用的‘产品’”,(53)不同主体交易同一数据、数据产品屡见不鲜。考虑市场、政策等因素的影响,同一数据、数据产品虽可重复交易,但其自身随时可能变化,或侵害他人合法权益、公共利益。基于此,为保障“数据要素市场的规范性、多元性和可持续性”,(54)数据交易所应聚焦于公共属性定位,要求交易主体于交易完成后继续履行披露数据、数据产品信息义务,提供数据追溯等服务,(55)并建立相应监督机制。例如,交易主体应披露数据、数据产品交付信息,确保交易的可溯源性与安全性。纵观现有数据交易规则,直接要求交易主体于交易后披露信息之规定阙如,但交易所保存交易日志、交易记录之要求却屡见不鲜。(56)可是,交易所保存的前提是,交易主体于交易后披露数据交易相关信息。交易日志、交易记录包含数据、数据产品的原始交易信息,及时披露便于重复交易时动态对比。故而,出于他人合法权益、公共利益保护和促进数据流通之考量,应课以数据交易所督促交易主体于交易后履行披露数据、数据产品相关信息的义务,否则可以要求交易主体对由此造成的损害进行赔偿。
三、与数据交易所经营者特性配套的法律制度建构
场内数据交易与数据交易所的经营者特性息息相关。场内数据交易的法律制度建构,重要的一环便是,建构与数据交易所经营者特性配套的法律制度。数据交易所虽具有公益性,但作为有限责任公司,营利亦是其追求的目标。数据交易所是兼具电子商务平台经营者属性的交易平台经营者,依据《中华人民共和国数据安全法》(以下简称《数据安全法》)、《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)、《中华人民共和国网络安全法》(以下简称《网络安全法》)等法律,数据交易所负有安全保护义务。应结合数据交易所、数据及数据产品、数据交易服务的自身特性,系统构建多层次的场内数据交易安全保护义务体系。
(一)网络安全保护制度
依循危险控制理论,(57)数据交易所对危险源有控制力,理应负有安全保障义务。(58)有学者却提出,依据《民法典》第1198条第1款,安全保障义务仅适用物理空间,与网络空间中的安全保护义务截然不同。(59)安全保障义务与安全保护义务均包含“硬件”和“软件”两方面要求。(60)安全保护义务涉及范围更大、所需的注意程度更高、履行义务的强度更大、归责原则更严格、(61)责任承担范围更广。事实上,安全保护义务与安全保障义务本质上都是英美法上的注意义务,(62)我国《民法典》侵权责任编与之对应的也主要是安全保障义务。即使认为安全保护义务不是安全保障义务的学者,也认为安全保护义务是注意义务。(63)本文认为,安全保护义务属于安全保障义务,只是《数据安全法》根据数据特性、保障数据安全的需求等采取不同的表述而已。准此,本文所指称的安全保护义务即安全保障义务,行文将根据不同语境使用不同表述。数据交易所建设、运营网络数据交易平台,自然落入《网络安全法》第9条、第10条的规制范围,负有网络安全保护义务无可非议。但面对场内数据交易存在的系列安全风险,应结合《网络安全法》《民法典》、“数据二十条”及各地数据交易地方性法规、规章、规范性文件,建构数据交易所的安全保护义务体系。
1.风险防范制度
风险社会下,培育数据要素市场,激发数据要素活力,离不开数据交易风险防范制度。(64)部分地方性法规和政府规章已明确要求数据交易所采取风险防范措施,但相关规定均为原则性条款,未明确具体措施,恐难落地。如《贵州省数据流通交易管理办法(试行)》第33条规定:“数据交易场所应当制定重大安全风险监测、风险警示、风险处置等风险控制制度以及突发事件应急处置预案。”(65)其风险防范机制的具体内容为何不得而知。对此,宜结合数据交易流程,构建完备的风险防范制度。作为经营者,数据交易所应提供安全的交易环境,故风险防范措施应贯穿数据交易始末。(66)依循风险来源,防范制度宜分为“内”“外”两个层面,“内”“外”兼施,保障交易平台安全。具体而言,“内”部防范交易所自身引发的交易安全风险,(67)确定网络安全负责人,设置专门的安全管理机构审核负责人、关键岗位人员背景,定期开展网络安全教育、技术培训、技能考核等。“外”部聚焦防范外界因素危害交易安全,(68)采取技术措施防范计算机病毒、网络侵入以及制定网络安全事件应急预案、定期演练等。
2.运行监测机制
《网络安全法》第21条第3项规定,网络运营者应按照网络安全等级保护制度的要求,履行监测和记录网络运行状态、网络安全事件的安全保护义务。数据交易所建设、提供在线数据交易平台,将其认定为网络运营者无可非议,理应负有平台运行监测义务。(69)纵观各地地方性法规和政府规章、数据交易规则(规范)等,数据交易所的监测义务有所涉及,但多仰仗于数据交易监测,数据交易所的运行监测条款屈指可数。数据交易所监测平台运行,对于保障数据交易平稳进行,促进统一数据要素市场的健康发展至关重要。(70)对此,构筑专门的平台运行监测机制,实时保障数据交易免受干扰、破坏,尤其是避免未经授权访问数据交易平台。依据《网络安全法》第22条第2款关于“网络产品、服务的提供者应当为其产品、服务持续提供安全维护”的规定,运行监测等网络安全维护措施应贯穿数据交易全过程,数据交易所不得终止运行监测。其间,监测到安全风险,数据交易所应履行危险警示义务、危险排除义务。(71)除此之外,数据交易所与交易主体签订入驻协议或其他合同,(72)就额外监测措施或延长监测期限有特约的,应遵循约定。
3.及时救助机制
数据交易所具备专业知识,享有数据交易平台的绝对掌控力。结合《网络安全法》第25条,网络安全事件侵害交易主体利益、他人权益、公共利益的,数据交易所应采取及时救助措施。遗憾的是,现有数据交易所交易规则中的救助条款过于笼统,难以为交易实践提供确定性指引,应有效用难以得到充分发挥。宜依循数据交易所的经营者特性,建构统一的及时救助机制。“救助义务不区分危险来源。”(73)审视场内数据交易,数据交易平台存在安全缺陷、系统漏洞及工作人员干扰数据交易平台运行等情势者,抑或遭遇计算机病毒、网络侵入等网络安全事件的,数据交易所均应及时采取补救措施。及时救助措施包含“硬件”和“软件”两方面。(74)“硬件”包括采取救助措施,确保设备、设施等回归良好运行状态;“软件”涵盖及时履行提示、说明、协助义务。例如,数据传输或调用过程中发生数据泄露、毁损、丢失、篡改等安全事件,应及时中止。(75)同时,告知相关权利人,并按照有关规定向网信部门、公安部门或有关行业主管部门报告。(76)
(二)数据安全保护制度
根据《网络安全法》第76条规定,“保障网络数据的完整性、保密性、可用性的能力”是网络安全的重要内容,也属于数据安全范畴。(77)网络安全与数据安全部分重合。有学者甚至明确指出:“网络安全中的网络信息安全就包括了网络数据安全。”(78)是以,前文构建的网络安全保护制度同样保护数据安全。“数据二十条”第14条关于“在落实网络安全等级保护制度的基础上全面加强数据安全保护工作,健全网络和数据安全保护体系”的规定表明,网络安全是数据安全的基石。故此,网络安全保护制度聚焦平台自身安全,与数据安全保护还是有差异的。2022年“数据二十条”中多次出现“数据安全”措辞,数据安全的重要性不言自明。可在参照《网络安全法》第21条、《数据安全法》第29条、《个人信息保护法》第59条等条款的基础上,构建专门的数据安全保护制度,强化数据安全。
1.数据安全管理规则
数据安全管理规则统摄数据交易全过程。(1)交易前。审视现有数据交易规则,合规认证主要由第三方机构进行,存在数据交易主体与第三方恶意串通进行虚假认证之可能。因此,数据安全管理规则应聚焦风险评估规则,于交易前保障数据安全合法。(79)部分国家或地区要求评估匿名化个人数据的再识别风险,保障个人数据合法处理,可以充分说明这一点。(80)(2)交易中。数据安全重在保护数据自身安全。避免因交易平台漏洞、系统缺陷、员工玩忽职守等内生问题,以及恶意攻击、数据盗窃等外生问题危害数据安全。(81)可以结合《数据安全法》第29条、《贵州省数据流通交易管理办法(试行)》第33条、《上海市数据条例》第79条、《深圳经济特区数据条例》第83条等规定,健全数据交易实时监测规则,细化数据分类及采取重要数据备份和加密等措施。(3)交易后。交易后,为方便数据、数据产品重复交易,部分数据留存于数据交易平台。应使数据交易所承担安全保护义务,保障留存数据安全。此外,数据安全管理规则应明确数据交易所负有保存交易记录的义务,并要求其设置不同类别数据的保存期限,为潜在纠纷提供证据支撑。《深圳经济特区数据条例》第75条、(82)《贵州省数据流通交易管理办法(试行)》第29条(83)等要求明确数据保存内容及期限,便是最好的例证。
2.突发事件应急处理机制
我国《数据安全法》第29条、《网络安全法》第25条、《个人信息保护法》第57条要求,出现威胁数据安全的突发事件,应立即采取应急处理措施。据此,构建数据交易所数据安全突发事件应急处理机制,有章可循。突发事件主要源于数据交易平台的内生风险或外生风险。内生风险的处理措施与上文及时救助机制类似,如采取“消除导致数据泄露的程序漏洞、修改密码、暂停服务等措施”。(84)对于外生风险,造成他人损害的,可能构成网络侵权。此时,可依据我国《民法典》第1195条至第1197条,建立应急处理措施,主要包括:(1)网络用户(第三人)利用数据交易平台泄露、窃取数据,权利人有权通知数据交易所采取删除数据、中止交易、暂停服务等必要措施;(2)数据交易所接到通知后,应及时转送网络用户,并根据构成侵权的初步证据和数据交易所处的阶段采取必要措施;(3)网络用户接到转送的通知后,可以向数据交易所提供不存在侵权的声明;(4)数据交易所接到声明后,应将声明转送给发出通知的权利人,并告知其可向人民法院起诉;(5)数据交易所在声明到达权利人后的合理期限内,未收到诉讼通知的,应及时终止所采取的措施。
3.侵权责任承担机制
根据《数据安全法》第45条、《个人信息保护法》第66条等规定,违反数据安全保护义务,主要承担警告、罚款、责令暂停相关业务、停业整顿等行政责任。有学者提出:“数据安全保护义务法律责任的重心是行政处罚而非民事赔偿。”(85)然而行政责任兼具惩罚、救济、预防功能,核心目的是保障政府权力的合理、有效运行,非受害人损害的填补。(86)故而,仅依靠行政责任,或难实现损害的全面救济,这恰好是民事责任之功所能及之处。(87)数据安全保护义务关注个人数据、企业数据、公共数据的安全保护,违反该义务侵害隐私权、个人信息权益、企业数据财产权的,理应承担侵权责任。(88)《数据安全法》第52条第1款规定:“违反本法规定,给他人造成损害的,依法承担民事责任。”但是,数据交易所违反安全保护义务侵害隐私权、个人信息权益、企业数据财产权的,责任认定应适用《个人信息保护法》第69条抑或《民法典》第1195条至第1198条,面临现实难题。两者归责原则不同,责任承担范围亦大相径庭。对此,宜区分不同情形,构建类型化侵权责任承担机制。具体而言,侵害隐私权、企业数据财产权的,结合《民法典》第1195条至第1198条认定数据交易所责任。侵害个人信息权益的,依据“特别法优于一般法”原理,(89)可以适用《个人信息保护法》第69条。
(三)个人信息保护制度
“数据二十条”第1条指出,构建数据基础制度,更好地发挥数据要素作用。其前提之一就是“保护个人信息”。前已述及,网络安全保护制度、数据安全保护制度等聚焦于网络安全与数据安全,一定程度上可以发挥保护个人信息之功。但是,个人信息兼具人格属性和财产属性,存在特殊之处,应构建专门的个人信息保护制度予以应对。
1.个人信息交易评估机制
审视现有场内数据交易实践,由数据供方提供材料证明交易标的合规,数据交易所形式审查,个人信息面临滥用风险。《网络安全法》第37条规定,因业务需要,确需向境外提供个人信息的,应开展个人信息安全评估。作为个人信息保护的第一道屏障,个人信息安全评估保证数据合规、安全,避免侵害隐私权、个人信息权益、公共利益。可借鉴《网络安全法》第37条,构建个人信息安全评估机制,保护个人信息。详言之,数据交易前,供方应先行评估交易标的,并出具《个人信息交易评估报告》。结合“数据二十条”第6条,《个人信息交易评估报告》应评估交易标的是否承载个人信息、是否取得授权,采集、持有、托管、使用个人信息是否超越授权范围等事项。“数据二十条”第5条指出,数据不含有个人信息的,市场主体依法依规对其享有持有、使用、获取收益的权益。交易标的涉及个人信息的,应获得个人同意或授权,并进行匿名化或去标识化处理。(90)交易数据、数据产品涉及国家安全的,应评估是否取得有关单位授权。数据交易所收到《个人信息交易评估报告》,应着重审查上述事项,并对供方是否存在“一揽子授权”、强制同意等方式过度收集个人信息进行判断,进而决定能否进场交易。
2.个人信息交易强制担保机制
担保物权制度“是市场经济的基本规则,也是营商环境的重要保障”,(91)具有辅助并督促交易主体履约,维护交易安全的功能。(92)故此,可构建个人信息交易强制担保机制,保障数据交易安全,切实保护个人信息权益。交易标的涉及个人信息的,数据交易主体应向数据交易所提供证明文件,保证交易标的合规,否则禁止进场交易。也就是说,处理个人信息(包括隐私信息)时,供方应在隐私政策、隐私条款或合同中设立个人信息、隐私保护连带保证条款,并标明保证人的名称、联系方式、地址等。保证人为取得数据交易所同意的具有担保能力的数据服务商。一旦信息主体知情同意(如勾选同意、下载使用APP等),数据服务商与信息主体之间成立连带保证合同。(93)与之相应,数据交易合同应设立连带保证条款,标明保证人相关信息,并予以公示。(94)一定期间内信息主体没有异议的,保证条款发生效力。数据交易主体侵害个人信息权益、隐私权的,数据服务商承担连带保证责任,个人信息权益保护得到强化。
3.个人信息侵权损害赔偿机制
法谚云,“无救济则无权利”。交易标的涉及个人信息且构成侵权的,似乎直接适用《个人信息保护法》第69条即可,不过责任主体包括数据交易所、交易主体、第三人、保证人,各主体的义务种类、范畴不同,归责原则、责任承担方式亦存在差异,直接适用此款规定确立侵权责任,恐失之偏颇,应进行类型化分析。对此,宜结合各责任主体特性,完善个人信息侵权损害赔偿机制,明晰损害赔偿责任范围。一是数据交易所提供数据交易服务,属于网络服务提供者,其“知道或应当知道”系统存在安全隐患,未采取必要措施的,遵照《民法典》第1197条“红旗规则”与第三人(直接侵权人)承担连带责任。(95)《个人信息保护法》第69条第1款中“侵权责任”措辞表明,该款是指引性规范,可以根据不同侵权情势援引适用《民法典》侵权责任编的不同责任形态,连带责任亦不例外。(96)不同之处在于,该款适用的是过错推定责任原则,而非过错责任原则。二是数据交易所处理个人信息的,属于个人信息处理者,其处理个人信息侵害个人信息权益造成损害的,应直接适用《个人信息保护法》第69条。不能证明自己没有过错的,承担损害赔偿责任。三是数据交易所违反安全保护义务,未采取必要措施造成信息主体损害的,应依据《民法典》第1198条第1款承担侵权损害赔偿责任。数据交易所是数据交易平台的经营者,也是这一公共场所的管理者,负有安全保护义务。违反该义务造成损害的,承担损害赔偿责任毋庸置疑。因第三人原因造成信息主体损害,且数据交易所违反安全保护义务未采取必要措施的,应当承担具有顺位属性的相应的补充责任。(97)
四、数据交易所中介人特性配套的法律制度建构
数据交易所为数据交易合同一方提供“报告订立合同的机会”或者为双方提供“订立合同的媒介服务”,并收取相应的报酬,属于中介人。数据交易所具有公益性,是特殊的中介人,其负有的义务应不同于一般中介人。北上广深及贵阳等地与数据交易有关的地方性法规、政府规章、规范性文件对此没有明确规定。因此,应在制度层面予以回应,督促数据交易所认真履行职责,维持场内数据交易秩序,护航数据要素市场健康发展。
(一)信息调查报告机制
依循《民法典》第962条第1款,数据交易所就有关订立数据交易合同的事项向委托人如实报告即可,无须主动调查。审视房屋买卖与租赁、民间借贷、网约车出租、网络贷款等领域的中介合同,中介人负有调查报告义务。数据交易所专门提供促成数据交易的服务,以中介为主要业务,理应通过提供信息搜索、信息沟通、实地调查与核验等手段将有关交易事项据实报告给交易主体。(98)具体到调查报告义务的内容及范围,应以委托人能够充分了解真实情况,以判断应否订立合同为限。(99)换言之,“凡是能够影响到委托人订立合同、作出选择的事项”,(100)均应调查报告,如调查报告数据交易主体的身份信息、资产状况、经营状况、履行能力等。(101)结合场内数据交易实践,数据交易所的调查报告义务宜聚焦以下两个方面。
1.数据交易参与方
数据交易参与方通常包括数据交易主体和数据交易服务商。数据交易所应调查数据交易参与方的基本信息,确保主体适格。如调查企业的成立状况、注册资金、人员组成、存续状况、经营状况、商业信誉、资信、民事责任能力、专业资质等事项,并要求其提供《营业执照(副本)》《律师事务所执业许可证(正本和副本)》、律师执业资格证(含年检页)或其他主体资格证明,以供核对。资格审核通过的,数据交易所应向委托方报告。存在潜在风险的,数据交易所应予提示,是否进行交易由委托方决定。数据交易参与方存在影响持续经营的重大财务风险、近期出现严重数据交易风险事件、重大数据类违规行为、重大安全事故及受过与数据交易、隐私保护相关的行政处罚、行业处分等丧失商业信誉、影响企业资信等情形的,应判定主体不适格。数据交易所不应为其办理主体登记,禁止进场交易,并向委托方报告。数据交易所应认真听取委托方的反馈,委托方确有与对方进行数据交易或接受其服务的意愿,数据交易所应向对方转达,并告知其应满足哪些条件方可与委托人进行交易,为委托方与对方可能达成的数据交易合同或数据交易服务合同创造条件。
2.数据交易标的
数据交易前,数据供方应对数据交易标的进行合规认证,以确保交易标的来源合法、使用范围、用途、条件等不违反法律、行政法规的强制性规定。实践中,数据供方聘请数据合规服务提供商审核、认定数据与数据产品的合法性、安全性、可交易性,出具评估报告。(102)与之相应,数据交易所应调查审核数据、数据产品相关信息,确保可交易性。(103)尤其是调查审核数据、数据产品的基本信息、内容说明、来源描述等信息的真实性、完整性、有效性、准确性。(104)存在瑕疵或问题的,如提供虚假材料,不予办理数据、数据产品登记;已经办理的,应撤销登记。(105)上述情形亦需向委托方报告。交易标的涉及个人信息的,数据交易所除审查合法来源证明及数据供方的风险评估报告、承诺书外,应对是否匿名化、去标识化及是否存在再识别的风险进行审核、调查。涉及敏感个人信息、隐私的,即使数据供方可以提供上述文件,也应禁止交易,以保护人格权人的人格尊严及人身、财产安全。对此,数据交易所向委托人进行报告的同时,应向数据供方发出不宜作为数据交易标的的建议书,同时向相关部门报告,由相关部门进行备案。
(二)安全认证制度
数据交易所履行调查报告义务,审核登记交易参与方、交易标的,是保障交易安全的重要途径。作为数据交易的第三方,数据交易所审核登记,“可以有效克服市场与政府的‘双重失灵’,实现数据安全保障和数字经济发展的平衡”,(106)这事实上具有安全认证之效果。(107)《中华人民共和国著作权法》第12条第2款规定作品自愿登记,确定作品著作权的归属,便是以登记进行安全认证的最好例证。“数据二十条”第3条指出,研究数据产权登记新方式,推动数据的开发利用。多地积极响应,出台数据或数据产品登记的地方性法规、政府规章,但登记的对象、程序、主体等大相径庭。(108)对此,可参照《深圳市数据产权登记管理暂行办法》《山东省数据知识产权登记管理规则(试行)》《浙江省数据知识产权登记办法(试行)》等数据登记规则,建构以数据交易登记为中心的统一安全认证制度,完善“数据二十条”指称的“数据来源可确认、使用范围可界定、流通过程可追溯、安全风险可防范的数据可信流通体系”,构建全国统一的数据要素市场。
1.主体安全认证登记
数据交易主体、数据交易服务商的主体资格合法的,数据交易所应办理主体登记。主体为自然人的,应登记姓名、性别、身份证号、工作单位等具有可识别性的个人信息。自然人须具备相应资质的,应同时登记相关信息,如律师执业资格证的证书编号。主体为法人、非法人组织的,应登记名称、组织机构、住所、财产或经费、组织类型等关键信息。结合数据交易流程,数据交易并非交易主体之间一般的商品交易,需要第三方数据服务商提供评估、交付、结算等服务,其因此处理作为交易标的的数据、数据产品。为保证数据交易安全,数据交易所应登记各类数据服务商。鉴于数据服务商的资质要求,数据交易所应对相关信息进行详细登记。例如,主体为数据交易服务商的,数据交易所除登记名称、组织机构、住所、财产或经费、组织类型等关键信息外,还应登记商业信誉及资信、负责人、内部管理制度、从业资质、数据交付技术等信息。(109)
2.标的安全认证登记
数据交易所调查、审核数据交易标的,为确保交易标的来源合法及使用范围、用途、条件等不违反法律、行政法规的强制性规定,应对交易标的进行登记。数据来源确定、使用范围明确、流通过程可追溯、安全风险可防范的数据可信流通体系构建背景下,交易标的登记前,数据交易所应通过公证、区块链等可信技术进行存证,保证流通过程可追溯、安全风险可防范。《山东省数据知识产权登记管理规则(试行)》第10条对此有明确规定,“申请登记的数据,应当在符合法律法规及相关规定的机构进行电子数据存证或证据保全公证”,以保障数据安全、合规。由此可见,场内数据交易标的登记前,数据交易所以可信技术存证,已有先例。结合现有数据登记规则,数据交易所应登记交易标的及其名称、应用场景、所属行业、结构、规模、来源、更新频次、存证情况、处理规则等内容。
3.产权分置登记
“数据二十条”第3条提出,“建立数据资源持有权、数据加工使用权、数据产品经营权等分置的产权运行机制”,产权分置登记势在必行。《深圳市数据产权登记管理暂行办法》第7条规定,登记主体享有数据资源持有权、数据加工使用权和数据产品经营权等相关权利。为构建全国统一数据要素市场,可在主体登记、标的登记基础上,确立相应的产权分置登记,明确各主体对不同的标的享有的权利。(110)产权分置登记下,交易主体的权利事先得以明确,避免相关主体之间的潜在权利纠纷。例如,数据供方甲对其合法提供的、可交易的、经过安全认证登记的数据A享有数据资源持有权,数据供方乙提供的数据B与数据A部分重合,数据交易所为甲、乙分别办理登记的,可以避免A、B部分重合引发纠纷。值得注意的是,“数据二十条”第3条只提及数据资源持有权、数据加工使用权、数据产品经营权,但数据、数据产品生产、流通、使用过程中,各参与方享有的合法权利却不限于此,(111)数据交易所亦需登记。
(三)风险防御体系
数据不同于土地、资本、劳动力、技术等生产要素,具有非竞争性、非排他性。据此,场内数据交易不同于其他生产要素交易,也有别于场外数据交易。数据交易主体是否愿意缴费进场交易,最为关键的是作为具有国有企业法律地位的数据交易所能否提供可信执行环境、风险评估、交易规则等服务,保障数据交易安全。因此,数据交易所构建风险预防体系至关重要。
1.可信执行环境保障制度
“数据二十条”第4条指出,“原始数据不出域、数据可用不可见”,即数据交易要做到“可用不可见,可控可计量”。(112)场外数据交易之所以诟病颇多,是因为数据交易不安全,敏感个人信息、隐私、国防数据等交易普遍存在,甚至出现黑市交易,严重侵害人格权,乃至危及国家安全、公共安全等公共利益。“数据二十条”指出,“完善和规范数据流通规则,构建促进使用和流通、场内场外相结合的交易制度体系,规范引导场外交易,培育壮大场内交易”,就是对场外数据交易及现有场内数据交易乱象的有力回应。鉴于此,数据交易所应当打造可信执行环境,保障场内数据交易安全。具体而言,数据交易所作为数据交易平台的经营者和管理者,应要求其建立研发、引进、应用区块链、隐私计算、联邦学习、零知识证明等技术的激励机制,构建全程跟踪、监视场内数据交易的监管机制。
2.风险评估制度
放眼我国现有数据交易制度,仅有《数据安全法》及各地数据条例的原则性指引,场内数据交易虽没有场外交易那么“肆意妄为”,但也因各个数据交易所各自为政,缺乏统一适用的国家层面的法律而面临诸多数据安全风险。准此,数据交易所应当统一数据交易风险评估制度,以维护国家数据安全、保护个人信息和商业秘密,强化数据安全保障体系建设。因为保障数据安全的关键在于风险预防,而非风险消除及损害赔偿机制。风险预防的前提又在于评估,“数据二十条”第10条对此亦有相关指引。数据交易所应分别针对交易前、中、后已存在或可能存在的风险建立评估机制,(113)根据风险的危害程度、波及面、涉及人群、类型、性质等进行分类,设置由强到弱的风险评估机制,创立相应应对措施。同时,设立与相关主管部门协同的应急协调机制,(114)根据风险的类别及影响等,向经信委、发改委、大数据管理局、金融监督管理局等主管部门报告,配合其做好应急处理、调查、取证、处罚等工作。此外,鉴于数据交易所风险评估规则过于笼统,可以“侵害风险认知”的客观维度(即侵害、风险转化为损害的易发程度),建构数据交易所风险评估义务的范围、类型及指标。
3.交易规则系统
北上广深及贵阳等地数据交易所都设置了场内数据交易规则,主要包括基本条件、交易服务模型、交易范式、交易标的、定价方式、数据测试、交易原则、交易平台、交易场所、交易参与方、协议签署、协议条款、供需双方的权利义务关系、数据产品交付、数据管理、交易机制、交易环节、交易记录、交易凭证、跨境数据流动、监督管理、交易安全管理、争议解决等。各地交易规则尽管存在一定差异,但总的交易规则体系大同小异。健全的数据交易规则体系是保障数据交易安全,明确数据交易参与方权利义务关系,提供可信执行环境,吸引交易主体进场交易的关键。“数据二十条”第9条指出,“建立健全数据交易规则,制定全国统一的数据交易、安全等标准体系,降低交易成本”,国家对数据交易规则的重视程度可见一斑。据此,应以数据交易所的新特性为导向,以“数据二十条”为原则,以《数据安全法》《民法典》等法律以及相关的法规、规章、现有数据交易所交易规则为参照,再造场内数据交易规则体系。具体应当采取“交易前——交易中——交易后”全流程模式,既要凸显数据、数据交易的特性,也要遵循其他生产要素交易的一般规律。尤其是数据交易专门规则的设计,“如无必要,勿增实体”。可以适用现有法律法规的,设置引致条款引致适用即可。
五、结语
《数据安全法》《网络安全法》《个人信息保护法》《民法典》《反不正当竞争法》等法律为规制场内数据交易提供了原则性指引,但仍与现实需求存在较大差距。“数据二十条”及各省市数据条例、数据交易管理办法、数据交易规则等主要参照证券交易的相关规范体系建立,但数据与证券、数据交易与证券交易存在显著差异。证券交易由《证券法》《证券交易所管理办法》等进行调整,数据交易则无全国统一适用的法律规范,应尽快“完善数据要素市场体制机制”,颁布符合场内数据交易现状和发展规律的“场内数据交易法”。具体制度架构应包括总则、交易主体、交易场所、交易标的、交易流程、跨境数据流动、交易安全管理、交易监督、争议解决、法律责任、附则等。与数据交易所的公益性、经营者特性、中介人特性相配套的各项场内数据交易制度应对号入座,相应地“进驻”“场内数据交易法”的各个部分。鉴于此,以数据交易所法律特性为中心的场内数据交易制度得以建构,在调整数据交易行为、保障数据交易安全的同时,能较好地实现数据交易参与方利益、公共利益与个人利益的平衡。
注释:
①中国信息通信研究院:《数据要素白皮书(2023年)》,http://www.caict.ac.cn/kxyj/qwfb/bps/202309/P020230926495254355530.pdf,2023年10月28日访问。
②参见叶德磊:《制度演进、市场深化与效率提升——中国股市发展的一个回顾性评述》,载《管理学家(学术版)》2013第3期。
③参见汤欣:《论场外交易及场外交易市场》,载《法学家》2001年第4期。
④参见刘璨:《集体林权流转制度改革:历程回顾、核心议题与路径选择》,载《改革》2020第4期。
⑤参见丁晓东:《数据交易如何破局——数据要素市场中的阿罗信息悖论与法律应对》,载《东方法学》2022年第2期。
⑥参见王娴:《交易平台的竞争与监管:股票股权交易场所的视角》,载《比较》2022年第1期。
⑦参见孙莹:《企业数据确权与授权机制研究》,载《比较法研究》2023第3期。
⑧都平平、李雨珂、张雪媛:《我国〈科学数据管理办法〉中概念视角数据域范畴与管理边界研究》,载《图书馆杂志》2022年第4期。
⑨参见秦天雄:《对人工智能发展与数据合规的思考》,载《人工智能》2022年第1期。
⑩参见刘雅辉、张铁赢、靳小龙等:《大数据时代的个人隐私保护》,载《计算机研究与发展》2015年第1期。
(11)《上海数据交易所数据交易合规管理规范(试行)》第1条。
(12)熊巧琴、汤珂:《数据要素的界权、交易和定价研究进展》,载《经济学动态》2021年第2期。
(13)王泽鉴:《债法原理》,北京大学出版社2013年版,第200页。
(14)刘碧波:《基于农业科学数据的增值服务研究》,载《农业图书情报学刊》2015年第9期。
(15)田杰棠、刘露瑶:《交易模式、权利界定与数据要素市场培育》,载《改革》2020年第7期。
(16)参见姚洪、徐晓林、毛子骏:《从能源要素到数据要素:关键生产要素变革中的安全风险对比及治理对策研究》,载《海南大学学报(人文社会科学版)》,https://doi.org/10.15886/j.cnki.hnus.202306.0072,2024年3月16日访问。
(17)参见陕西省合阳县人民法院(2021)陕0524刑初110号刑事判决书。
(18)参见江苏省南京市浦口区人民法院(2018)苏0111刑初823号刑事判决书。
(19)参见王利明:《数据何以确权》,载《法学研究》2023年第4期。
(20)参见程啸:《论数据权益》,载《国家检察官学院学报》2023年第5期。
(21)参见包晓丽、齐延平:《论数据权益定价规则》,载《华东政法大学学报》2022年第3期。
(22)参见丁晓东:《数据交易如何破局——数据要素市场中的阿罗信息悖论与法律应对》,载《东方法学》2022年第2期。
(23)参见王凌聪:《国外数据要素市场建设的主要动向与展望》,载《中小企业管理与科技》2023年第11期。
(24)参见汤欣:《论场外交易及场外交易市场》,载《法学家》2001年第4期。
(25)《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》,https://www.gov.cn/zhengce/2022-12/19/content_5732695.html,2023年10月26日访问。
(26)《重要数据识别指南(征求意见稿)》,https://mp.weixin.qq.com/s/cxdPhpve3A7-ffNR86noqA,2024年3月16日访问。
(27)陈晓华:《国有企业法律规制与政治规制:从竞争到融合》,载《法学评论》2019年第6期。
(28)参见罗昕:《聊天机器人的网络传播生态风险及其治理——以ChatGPT为例》,载《青年记者》2023年第7期。
(29)参见李爱君:《数据要素市场培育法律制度构建》,载《法学杂志》2021年第9期。
(30)参见郑丁灏:《中国数据交易所政策变迁、功能定位与规范配置》,载《科技进步与对策》,http://kns.cnki.net/kcms/detail/42.1224.G3.20231222.1603.004.html,2024年3月16日访问。
(31)参见沈尤佳、邬欣欣:《从管理国有企业到管理国有资本——生产资本形式的国有企业与货币资本形式的国有资本关系研究》,载《中共中央党校(国家行政学院)学报》2021年第4期。
(32)现有数据交易所的股权架构中,国资主导公司制为主导,同时存在混合所有制公司制。例如,武汉长江大数据交易中心有限公司由两家股东持股,分别是北京亚信数据有限公司、湖北省联合交易集团有限公司。前者是私人企业,持股90%,后者是国有全资企业,持股10%。参见中国网络空间安全协会等:《布局与破局中国数据交易实践趋势报告(2022年)》,http://www.199it.com/archives/1490400.html,2023年10月26日访问。
(33)参见徐偲骕:《数据要素红利全民共享机制——基于一、二次分配相结合的探索》,载《学习与实践》2023年第6期。
(34)参见缪欣君、张若凡:《计算机数据要素:数字经济发展核心引擎》,https://13115299.s21i.faiusr.com/61/1/ABUIABA9GAAgZurowYol-j1wwU.pdf,2023年11月1日访问。
(35)参见韩凤芹、李婕:《正确认识公益属性 推进事业单位体制机制改革》,载《财政科学》2018第6期。
(36)参见叶妹滢、李爱民:《公益活动的德育价值及其实现措施——以怀化市志愿者协会公益活动为例》,载《中国校外教育》2024年第1期。
(37)孙莹:《企业数据确权与授权机制研究》,载《比较法研究》2023年第3期。
(38)苏明、贾西津、孙洁等:《中国政府购买公共服务研究》,载《财政研究》2010年第1期。
(39)参见普华永道、上海数据交易所:《数据要素视角下的数据资产化研究报告》,https://www.pwccn.com/zh/research-and-insights/data-capitalisation-nov2022.pdf,2023年10月29日访问。
(40)参见柏良泽:《“公共服务”界说》,载《中国行政管理》2008年第2期。
(41)参见中国政府采购网:《自然资源部信息中心房地产企业工商数据产品数据购置比选公告》,http://www.ccgp.gov.cn/cggg/zygg/qtgg/202307/t20230713_20257971.htm,2024年3月13日访问。
(42)韩俊魁:《当前我国非政府组织参与政府购买服务的模式比较》,载《经济社会体制比较》,2009年第6期。
(43)徐文鸣、刘圣琦:《新〈证券法〉视域下信息披露“重大性”标准研究》,载《证券市场导报》2020年第9期。
(44)参见刘宏宇:《公共利益的法学解读》,载《社会科学家》2010年第12期。
(45)参见马连福、宋婧楠、王博:《数字化转型信息披露的价值效应研究——来自概念炒作的证据》,载《经济与管理研究》2023年第8期。
(46)蒋艺翅、姚树洁:《信息披露质量对企业创新的激励与治理效应研究》,载《当代经济科学》2022年第2期。
(47)参见朱锦清:《证券法学》,北京大学出版社2019年版,第133-136页。
(48)具有代表性的是北京国际大数据交易所,其要求交易主体提交符合要求的主体资质证明文件。参见《北京国际数据交易服务指南(总则)》第9.1条。
(49)参见徐玖玖:《从“数据”到“可交易数据”:数据交易法律治理范式的转向及其实现》,载《电子政务》2022第12期。
(50)参见《上海数据交易所信息披露规范(试行)》第12条。
(51)参见方重:《上市公司自愿性信息披露监管》,载《中国金融》2021年第9期。
(52)参见马其家、刘慧娟、王淼:《我国国际板上市公司持续信息披露监管制度研究》,载《法律适用》2014年第4期。
(53)高富平、冉高苒:《数据要素市场形成论—— 一种数据要素治理的机制框架》,载《上海经济研究》2022年第9期。
(54)赵豪迈、蒿洋:《我国数据要素确权治理机制研究》,载《图书情报导刊》2023年第5期。
(55)参见黄卓、张晓冬:《数据商和第三方专业服务机构的培育动力机制研究》,载《社会科学辑刊》2023年第6期。
(56)如《上海数据交易所数据交易规范(试行)》第18条要求,数据交易所保存生成的日志应不少于六个月,保存交易记录至少三年。
(57)参见[德]克雷斯蒂安·冯·巴尔:《欧洲比较侵权行为法》(下卷),焦美华译,法律出版社2001年版,第269页。
(58)参见杨显滨:《追星致害中明星、经纪公司的安保义务与责任承担》,载《学海》2022年第2期。
(59)参见程啸:《侵权法的希尔伯特问题》,载《中外法学》2022年第6期。
(60)参见张新宝、唐青林:《经营者对服务场所的安全保障义务》,载《法学研究》2003年第3期。
(61)参见程啸:《论数据安全保护义务》,载《比较法研究》2023年第2期。
(62)参见杨显滨:《搜索引擎服务提供者的注意义务》,载《法商研究》2022年第3期。
(63)参见程啸:《论数据安全保护义务》,载《比较法研究》2023年第2期。
(64)参见杨雪冬:《风险社会理论述评》,载《国家行政学院学报》2005年第1期。
(65)《省大数据局关于印发贵州省数据流通交易管理办法(试行)的通知》(黔数[2022]23号)第33条。
(66)参见戴昕:《作为法律技术的安全港规则:原理与前景》,载《法学家》2023年第2期。
(67)参见杨力:《论数据交易的立法倾斜性》,载《政治与法律》2021年第12期。
(68)参见国瀚文:《滥用市场支配地位隐私权保护研究——以完善数据要素市场为背景》,载《商业研究》2020年第10期。
(69)参见于施洋、王建冬、郭巧敏:《我国构建数据新型要素市场体系面临的挑战与对策》,载《电子政务》2020年第3期。
(70)参见李爱君:《数据要素市场培育法律制度构建》,载《法学杂志》2021年第9期。
(71)参见齐爱民、陈琛:《论网络交易平台提供商之交易安全保障义务》,载《法律科学(西北政法大学学报)》2011年第5期。
(72)参见杨显滨:《数据交易所的合同法规制困境与出路》,载《贵州社会科学》2023年第11期。
(73)参见齐爱民、陈琛:《论网络交易平台提供商之交易安全保障义务》,载《法律科学(西北政法大学学报)》2011年第5期。
(74)参见张新宝、唐青林:《经营者对服务场所的安全保障义务》,载《法学研究》2003年第3期。
(75)参见《上海数据交易所数据产品交付指引(试行)》第9条。
(76)参见《深圳经济特区数据条例》第86条。
(77)参见杨合庆主编:《中华人民共和国网络安全法解读》,中国法制出版社2017年版,第89页。
(78)参见程啸:《论数据安全保护义务》,载《比较法研究》2023年第2期。
(79)贵阳大数据交易所《数据要素流通交易规则(试行)》第24条、《贵州省数据流通交易管理办法(试行)》第34条、《上海市数据条例》第79条、《上海数据交易所数据交易规范(试行)》第23条等对数据交易风险评估的要求存在差异。
(80)如欧盟WP29《匿名化技术》意见书、英国《匿名化:数据保护风险管理实践准则》(Anonymisation:Managing Data Protection Risk Code of Practice)、美国NIST发布的《个人信息去身份化》(De-Identification of Personal Information)报告。See Article 29 Data Protection Working Party,Opinion05/2014 on Anonymisation Techniques,https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp216_en.pdf,last visited on Mar.18,2024.参见张建文、程海玲:《“破碎的隐私承诺”之防范:匿名化处理再识别风险法律规则研究》,载《西北民族大学学报(哲学社会科学版)》2020年第3期;See Simson L.Garfinkel,De-identification of Personal Information,NIST Interagency/Internal Report(NISTIR)-8053,https://nvlpubs.nist.gov/nistpubs/ir/2015/NIST.IR.8053.pdf,last visited on Mar.18,2024.
(81)See Robert L.Rabin,Perspectives on Privacy,Data Security and Tort Law,DePaul Law Review,Vol.66,p.313-338(2016).
(82)《深圳经济特区数据条例》第75条规定:“数据处理者应当对其数据处理全流程进行记录,保障数据来源合法以及处理全流程清晰、可追溯。”
(83)《贵州省数据流通交易管理办法(试行)》第29条规定:“贵州省数据流通交易服务中心对注册、登记、交易、结算、交付等资料的保存期限不得少于20年。”
(84)参见程啸:《论数据安全保护义务》,载《比较法研究》2023年第2期。
(85)王玎:《论数据处理者的数据安全保护义务》,载《当代法学》2023年第2期。
(86)参见张旭:《民事责任、行政责任和刑事责任——三者关系的梳理与探究》,载《吉林大学社会科学学报》2012年第2期。
(87)参见王利明:《侵权行为概念之研究》,载《法学家》2003年第3期。
(88)参见王良顺、李想:《生成式人工智能服务提供者的数据安全保护义务研究》,载《南昌大学学报(人文社会科学版)》2023年第6期。
(89)参见王利明:《民法法典化与法律汇编之异同》,载《社会科学家》2019年第11期。
(90)参见《上海数据交易所数据交易规范(试行)》第16条。
(91)王利明:《担保制度的现代化:对〈民法典〉第388条第1款的评析》,载《法学家》2021年第1期。
(92)参见张文:《担保法律制度立法体系定位之刍议》,载《甘肃政法学院学报》2020年第2期。
(93)参见张平华:《意定连带责任的构造与类型》,载《法学》2022年第4期。
(94)参见[瑞士]海因茨·雷伊:《瑞士侵权责任法》,贺栩栩译,中国政法大学出版社2015年版,第388页。
(95)参见杨显滨:《搜索引擎服务提供者的注意义务》,载《法商研 》2022年第3期。
(96)参见杨立新:《民法典侵权责任编草案规定的网络侵权责任规则检视》,载《法学论坛》2019年第3期。
(97)参见杨显滨:《数据交易所的合同法规制困境与出路》,载《贵州社会科学》2023年第11期。
(98)参见彭辰、周嫣:《房屋居间机构未尽审慎核查义务之责任认定》,载《法律适用》2014年第10期。
(99)参见陈甦编:《委托合同、行纪合同、居间合同》,法律出版社2000年版,第199页。
(100)参见彭辰、周嫣:《房屋居间机构未尽审慎核查义务之责任认定》,载《法律适用》2014年第10期。
(101)参见《意大利民法典》,费安玲、丁玫译,中国政法大学出版社2004年版,第420页。
(102)参见谢登科:《个人信息跨境提供中的企业合规》,载《法学论坛》2023年第1期。
(103)参见《上海数据交易所数据交易规范(试行)》第6条。
(104)参见《上海数据交易所数据产品登记规范(试行)》第6条;《山东数据交易有限公司数据(产品)登记工作细则》第9条。
(105)参见《上海数据交易所数据产品登记规范(试行)》第7条、第11条。
(106)刘权:《数据安全认证:个人信息保护的第三方规制》,载《法学评论》2022年第1期。
(107)参见陈星:《大数据时代软件产品个人信息安全认证机制构建》,载《重庆邮电大学学报(社会科学版)》2016年第2期;申永波:《关键信息基础设施网络安全认证体系研究》,载《信息安全研究》2019年第9期。
(108)参见程啸:《论数据产权登记》,载《法学评论》2023年第4期。
(109)参见《上海数据交易所数据交付服务商规范标准(试行)》第5条。
(110)参见许可:《从权利束迈向权利块:数据三权分置的反思与重构》,载《中国法律评论》2023年第2期。
(111)参见张素华:《数据产权结构性分置的法律实现》,载《东方法学》2023年第2期。
(112)刘金钊、汪寿阳:《数据要素市场化配置的困境与对策探究》,载《中国科学院院刊》2022年第10期。
(113)See Stiglizs,J.E.& Weiss,A Credit Rationing in Markets with Imperfect Information.The American Economic Review,p.393-410,71(1981).
(114)参见吴佳、朱正威:《公共行政视野中的城市韧性:评估与治理》,载《地方治理研究》2021年第4期。
来源:《政治与法律》(沪)2024年第5期 第159-176页
