数据交易与数字化转型推进器——《上海市数据条例》评述
2021年11月25日, 上海数据交易所(“上海数交所”)正式揭牌成立, 当日完成挂牌的数据产品共20个, 涵盖金融、交通、通信等八大领域。作为上海数交所的重要制度支撑, 《上海市数据条例》(“《条例》”)也于同日表决通过, 并已于2022年1月1日正式施行。《条例》共十章九十一条, 分为总则、数据权益保障、公共数据、数据要素市场、数据资源开发和应用、浦东新区数据改革、长三角区域数据合作、数据安全、法律责任和附则。在本文中, 通力合规团队将解读《数据条例》的出台背景与亮点条款, 并对未来数据交易实践中可能存在的问题进行探讨。
一
宏观背景
数字经济时代, 数据已成为企业生产经营不可或缺的重要资源。2019年10月, 党的十九届四中决议首次将数据列为生产要素, 要求建立健全按贡献参与分配的机制。2020年4月, 中共中央、国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》, 将数据“升格”为与土地、劳动力、资本、技术并列的第五大生产要素, 并提出要加快培育数据要素市场。2021年4月, 中共中央、国务院发布《关于支持浦东新区高水平改革开放打造社会主义现代化建设引领区的意见》, 明确提出在浦东建设国际数据港和数据交易所, 推进数据权属界定、开放共享、交易流通、监督管理等标准制定和系统建设。
为促进数据要素的流通与共享, 国家同时也加快了数据领域的法治建设。2020年5月通过的《民法典》首次将数据确认为一种民事权益, 其第一百二十七条规定, “法律对数据、网络虚拟财产的保护有规定的, 依照其规定”, 为后续的数据保护单行立法提供了立法依据。2021年6月, 我国数据领域首部基础性、综合性的立法——《数据安全法》正式颁布, 并已于2021年9月1日起施行。《数据安全法》旨在“规范数据处理活动, 保障数据安全, 促进数据开发利用”, 强调数据是数字经济发展的关键要素。针对实践中越来越多的数据交易活动, 《数据安全法》明确了数据交易的合法性, 在第十九条提出将由国家建立健全数据交易管理制度, 一方面加强规范数据交易行为, 另一方面则培育相关市场以进一步发挥数据价值。
在此背景下, 为了落实体现国家政策和上位法精神, 促进数据流通和开发利用, 为上海的城市数字化转型提供基础性制度保障, 《条例》应运而生。
二
《条例》要点
明确数据财产权益
《条例》第十二条明确, 上海依法保护自然人、法人和非法人组织在使用、加工等数据处理活动中形成的法定或者约定的财产权益, 以及在数字经济发展中有关数据创新活动取得的合法财产权益。
《数据安全法》曾提出, “国家保护个人、组织与数据有关的权益, 鼓励数据依法合理有效利用”, 但并未具体说明数据有关权益的性质。2021年7月通过的《深圳经济特区数据条例》(“《深圳条例》”)对数据相关权益的范围和类型进行了初步探索, 明确自然人、法人和非法人组织对其合法处理数据形成的数据产品和服务享有法律、行政法规及条例规定的财产权益, 可以依法自主使用, 取得收益, 进行处分。[1]《条例》吸收借鉴了《深圳条例》的规定, 并将法律保护范围扩大到“使用、加工等数据处理活动中形成的法定或者约定的财产权益, 以及在数字经济发展中有关数据创新活动取得的合法财产权益”。袁海勇博士(上海市司法局立法二处副处长)对本条进行了分析, “自然人、法人和非法人组织享有的数据财产权益, 应当来源于这些数据主体本身固有的数据, 以及经过处理后形成的数据产品和服务两个方面, 而不能只讲数据产品和服务却否认数据本身。……对个人数据设定财产权益, 是数据作为生产要素的应有之义。”[2]按此解读, 《条例》设定的数据权益已不再局限于加工处理后形成的“数据产品和服务”, 原始的个人数据以及清洗、筛选后的数据集也将同样享有数据权益。
建设数据要素交易市场
《条例》第六十七条指出, 上海将按照国家要求, 在浦东新区设立数据交易所并运营, 浦东新区鼓励和引导市场主体依法通过数据交易所进行交易。《条例》自身未对“数据交易”进行明确定义, 参照国家标准《信息安全技术—数据交易服务安全要求》, 数据交易是指“数据供方和需方之间以数据商品作为交易对象, 进行的以货币或货币等价物交换数据商品的行为。”[3]设立数据交易所对于培育数据要素交易市场、促进数据共享与融合具有重大意义。
与传统数据交易所的不同之处在于, 除了为数据交易提供场所与设施外, 上海数交所还将承担组织和监管数据交易的职责。根据《条例》规定, 上海数交所应当制订数据交易规则和其他有关业务规则, 探索建立分类分层的新型数据综合交易机制, 组织对数据交易进行合规性审查、登记清算、信息披露, 确保数据交易公平有序、安全可控、全程可追溯。
根据上海数交所官网, 上海数交所在合规审核方面确立了“不合格不挂牌, 无场景不交易”的原则。首先, 申请挂牌的数据产品需要通过上海数交所的审核, 审核内容包括数据来源的合法性、数据的质量、企业的数据安全能力等; 其次, 在每一次的交易中, 数据需求方应当说明数据的具体应用场景, 并且不得超出约定的场景使用数据。从过往实践来看, 法律的不确定性是制约企业进行数据交易的主要因素之一。由于目前监管部门的执法态度尚不明确, 许多企业往往不知道在出售、购买数据等场景中应当如何履行合规义务, 从而对数据交易抱有疑虑。未来, 上海数交所的合规性审核若能为数据交易起到“背书”的作用, 无疑将大大推动数据要素的流通。
《条例》第七十一条同时明确, 上海将加强数据交易相关的数字信任体系建设, 创新融合大数据、区块链、零信任等技术, 构建数字信任基础设施, 保障可信数据交易服务。随着数据价值的不断提升, 数据流通过程中的数据滥用与泄露风险也随之增加, 传统的基于合同与商业道德的信任基础正在逐渐瓦解。以密码学技术为基础的数据信任, 可以通过技术手段对数据的授权与访问进行控制, 确保数据以安全、合规的方式被使用, 从而最大限度地降低数据交易的风险, 减少交易双方的后顾之忧。
推进数据跨境流动
《条例》第六十九条指出, 上海将根据国家部署, 在临港新片区打造“国际数据港”, 构建国际互联网数据专用通道、功能型数据中心等新型基础设施, 打造全球数据汇聚流转枢纽平台。并在临港新片区内探索制定《低风险跨境流动数据目录》(“《低风险目录》”), 以促进数据跨境安全、自由流动。
全球经济互联互通的今天, 数据的跨境流动已成为重要议题, 我国一直以来也在积极制定针对出境数据的安全评估办法。2017年4月与2019年6月, 国家网信办相继发布了《个人信息和重要数据出境安全评估办法(征求意见稿)》《个人信息出境安全评估办法(征求意见稿)》, 但这两个版本的《办法》最终都没有正式颁布和实施。2021年10月, 国家网信办公布了《数据出境安全评估办法(征求意见稿)》(“《2021办法》”), 《2021办法》整合了《网安法》《数安法》《个保法》中有关数据出境的条款, 并细化了出境安全评估的适用范围、评估流程等事项。
根据《2021办法》, “数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险”是安全评估的重点之一。在我国数据出境监管制度中, 《目录》可能将起到类似GDPR下“充分性认定(adequacy decision)”[4]的作用, 列入《目录》的数据即经监管部门认定的出境风险较低的数据, 原则上可依法有序地自由流动。当临港新片区的企业需要向境外传输《目录》中的数据时, 监管部门可能会相应地简化安全评估流程, 以减轻企业在正常开展跨境业务时的数据合规义务。
2021年8月颁布的《临港新片区发展“十四五”规划》曾提出, 将在不涉及国家秘密和个人隐私的前提下, 探索特定领域数据非本地化存储……推动智能网联汽车、电子商务、金融等领域数据跨境流通。我们理解, 《目录》可能会率先在上述行业进行试点, 待取得经验和达成共识后再陆续推广到其他领域。
三
未决问题
个人信息是否可以流通交易?
一般而言, 根据数据所处的生命周期, 可以将数据分为原始数据以及清洗、脱敏等处理后形成的衍生数据(数据产品)。其中, 原始数据很大一部分由个人信息构成, 例如人们的上网记录、交易和消费记录、驾驶行为等。出于个人隐私保护等考虑, 在近年来各地成立的大数据交易平台中, 交易的对象通常仅限于数据产品, 而不涉及原始的个人信息。本次《条例》在一定程度上承认了个人信息的财产权益, 那么其是否可以成为流通交易的对象?
实际上, 个人信息的流通交易在我国上没有太大的法律障碍, 现行法律法规并没有限制或禁止个人转移个人信息财产权益的自由。《民法典》第一百一十一条规定, 任何组织或者个人不得非法买卖、提供或者公开他人个人信息。《条例》第五十五条规定, 以下情形禁止数据交易: (一)危害国家安全、公共利益, 侵害个人隐私的; (二)未经合法权利人授权同意的; (三)法律、法规规定禁止交易的其他情形。上述条款似乎表明, 如果法律没有作出特别规定予以禁止, 并且个人信息主体自愿、明确地作出了授权, 那么个人信息的交易是可以进行的。
需要注意的是, 特定类型的个人信息的交易可能会受到法律的禁止或限制。根据《民法典》第一千零三十四条第二款规定, “个人信息中的私密信息, 适用有关隐私权的规定; 没有规定的, 适用有关个人信息保护的规定。”某些个人信息(尤其是敏感个人信息)可能与个人的隐私密切相关, 为了维护个人的人格尊严与自由, 从而在原则上应当禁止交易。换言之, 即使个人信息主体作出了自愿的授权, 这类个人信息也不应进入市场流通。
截至目前, 上海数交所挂牌交易的对象仍然局限于处理、加工后的数据产品。但值得一提的是, 根据《条例》, 市场主体可以通过依法设立的数据交易所进行数据交易, 也可以依法自行交易。这意味着, 通过官方交易所进行数据交易并非企业的唯一选择。未来, 在获得合法授权的前提下, 企业或许可以依法自行开展个人信息的流通交易, 以进一步释放数据的要素价值。
数据财产权益如何分配?
自《民法典》宣示性地承认数据的民事权益以来, 关于数据的产权分配问题一直是学术界和实务界讨论的焦点。本次《条例》虽然明确了数据的财产属性, 但仍未划定数据要素市场各个主体之间的权益边界。据相关报道, 为解决数据“确权难”的问题, 上海数交所在全国率先推出数据产品登记凭证制度, 通过数据产品登记凭证与数据交易凭证的发放, 实现一数一码, 可登记、可统计、可普查。[5]然而, 该制度更多的侧重于明细企业之间数据产权, 并没有提及个人如何参与数据财产权益的分配。
值得承认的是, 数据上权益的分配一直是一个相当复杂的问题, 特别是在涉及到个人信息时。以智能网联汽车为例, 车企通过车机系统收集的汽车数据中, 可能会包含与驾驶人、乘车人、车外人员等有关的各类个人信息, 很难去界定具体应当由谁拥有这些数据的财产权益。但事实上, 现代互联网的商业模式很大程度上依赖于用户个人信息的收集和使用, 企业通过提供“免费”的数字服务来获得收集用户的个人信息授权, 并将其处理成数据产品以进行商业利用。在数字经济时代背景下, 个人与企业中间应当如何分配数据财权权益是一个不可回避的问题。
司法实践中, 有观点认为, 单个个人信息并无独立的财产权或财产性权益可言, 但企业对其研发的衍生数据产品享有独立的竞争性财产权益。[6]其正当性源于洛克的劳动赋权论, 即认为原始个人信息的经济价值通常可以忽略不计[7], 而衍生数据产品的价值则是来自于企业在数据处理过程中所付出的劳动。诚然, 企业是数据产品财产价值的主要生产者, 但并不能当然的忽视个人作为原始数据提供者的贡献。随着讨论的进一步深入, 人们越来越意识到, 企业不能仅通过提供服务“免费”来收集和使用用户的个人数据, 而应当与其分享一部分数据财产权益。但相关的收益分配机制应当如何设计, 目前还没有一个确切的答案。
对此, 国外已开始制度尝试。例如, 英国构建了数据信托(Data Trust)制度, 利用信托结构管理运营数据, 引入第三方机构作为地位独立的受托人, 受数据主体委托管理个人数据, 行使其数据权利。按数据对象的不同, 数据信托可分为个人数据信托与数据(集合)资产信托。[8]日本开展了信息银行实践, 个人可以将数据委托给信息银行, 经假名化、删除、抽样等处理后, 信息银行再将数据提供给企业使用产生经济利益, 个人则可从中获得一定的“便益”。[9]但上述模式均存在一定程度的问题, 在市场中的接受程度并不是很高。期待在未来的实践中, 上海可以在借鉴融合域外经验的基础上, 探索数据财产权益分配的“上海模式”。
如何取得合法授权?
无论是交易个人信息或加工处理后的数据产品, 一个绕不开的问题是“如何取得合法权利人授权”?
实践中, 企业大多通过隐私政策来获取收集用户个人信息的授权。但为了符合《个保法》提出的“最小、必要”要求[10], 在隐私政策中, 企业通常将其收集、处理个人信息的行为定义为“实现业务功能所必需”。然而需要考虑的是, 将用户个人信息加工处理形成数据产品、并一步出售的处理行为是否仍属于“正当、必要”的范畴?此外, 企业通常并不会就“加工、分析”等处理方式单独征求个人的同意, 如需使用企业提供的数据服务, 用户只能概括地同意整个隐私政策, 因此, 这种做法很难被视为一种有效的授权手段。换言之, 当个人信息财产权益的转移仅仅作为提供数字服务的对价, 监管部门可能会质疑个人给予的同意是否自由。
不仅如此, 在许多隐私政策中, 数据产品被定义为经“匿名化”处理后的非个人数据, 所以其交易无需个人的特别授权。然而, 种种研究表明, 多源数据的融合结合大数据分析、机器学习等技术, 可以将许多匿名数据重新与个人关联起来, 从而将其复原为个人信息, 并且截至目前, 监管部门尚未就匿名化标准达成统一的理解。因此, 将“匿名化”作为数据交易的合法基础, 并不是一个万无一失的做法。(有关个人信息匿名化制度的解读, 请详见我们之前的文章: 匿名化“祛魅”——匿名化法律实务解析)
另一个复杂的因素是, 根据《个保法》规定, 个人有权在事后撤回其对于个人信息处理的同意, 而企业则应删除其个人信息。但如果此前个人信息已经在市场上进行了流通, 那么数据接收方是否也应当适用相同的义务?如适用, 数据接收方已经支付的价款应当如何处理?
一种可能的解决方案是, 在传统“告知—同意”的框架下, 企业为个人提供一定的经济补偿, 以换取对其个人信息进行超出提供服务所必要的处理。例如, 美国《加州消费者隐私法案》(CCPA)规定, 当消费者请求删除个人数据或者禁止企业销售其个人数据等情形时, 企业可以采用经济激励的方式, 鼓励消费者不行使这些权利。但激励机制应当提前告知消费者, 并获得其明示同意。[11]然而, CCPA的用户授权机制采用“选择退出(opt-out)”模式, 将数据处理的初始权限交由企业, 个人可以自由退出; 而我国《个保法》则采用“选择进入(opt-in)模式”, 要求企业在处理个人信息之前, 应当征得个人的同意。鉴于两者之间存在差异, 在《个保法》框架下, 企业能否通过提供经济补偿以突破个人信息处理的“必要性”, 仍有待进一步的研究。
四
结语
2021年12月31日, 国务院办公厅印发《要素市场化配置综合改革试点总体方案》, 提出探索“原始数据不出域、数据可用不可见”的交易范式, 在保护个人隐私和确保数据安全的前提下, 分级分类、分步有序推动部分领域数据流通应用。探索建立数据用途和用量控制制度, 实现数据使用“可控可计量”, 在此基础上建立健全数据流通交易规则。该方案指出, 重点推动人工智能、区块链、车联网、物联网等领域的数据开发利用。无论是制度建设路径还是重点领域, 在先颁布的《条例》与国务院办公厅的方案“不谋而合”, 一定程度上反映了上海地方立法的前瞻性与精准度。
毋庸讳言, 数据交易制度尚处雏形, 尚需进一步完善。当前业界普遍认为, 不宜在个人数据之上设置绝对的财产权, 否则会产生过高的交易成本, 阻碍对于数据要素的有效利用, 从而导致“反公地悲剧”。尽管如此, 为了实现公平正义, 有必要通过一定的制度设计让个人参与到数据要素的利益分配中, 确保消费者能够与企业共享“数字红利”。必须意识到, 数字化转型并非一蹴而就, 数据要素市场的建立也需要一定的时间。我们期待上海今后可以在浦东新区的数据交易实践中, 对相关制度进行更深层次的探讨, 并适时地将行之有效的经验予以固化, 推动数据交易方式、数据权益分配制度、更加完善。
向下滑动查看注释
[1] 参见《深圳经济特区数据条例》 第四条, 第五十八条
[2] 袁海勇: 《<上海市数据条例>的四个维度及其分析》
[3] GB/T37932 2019《信息安全技术 数据交易服务安全要求》定义 3.1
[4] 参见 GDPR Article45, 如果欧盟委员会认定第三国或国际组织具备充分的个人数据保护水平, 则控制者或处理者向该第三国或国际组织传输个人数据无需特别授权。
[5] 上观新闻: 《刚刚, 上海数据交易所揭牌, 首提“数商”概念, 还发布了这些“全国首发”》
[6] 参见(2017)浙8601民初4034号、(2018)浙01民终7312号: 淘宝(中国)软件有限公司与安徽美景信息科技有限公司不正当竞争纠纷案; (2017)京0108民初24512号: 北京微梦创科网络技术有限公司与云智联网络科技(北京)有限公司不正当竞争纠纷案。
[7] 从经济学角度来看, 每增加一个数据的边际价值是非线性的。当企业在开发数据产品时(例如, 统计某类商品的趋势图、排行榜、占比图等), 如果数据样本足够大, 即使减去一个特定用户的数据, 仍然可以从剩下的数据集中得出相同的结论。
[8] 我国实践中亦对数据信托的可行性进行了探索, 但信托的数据对象通常是企业的数据(集合)资产, 在模式设计上更加侧重于非个人数据的流通交易。例如, 中航信投于2016年率先发行了首单基于数据资产的信托产品——天启(2016)82号特定数据资产财产信托产品, 规模为3000万元。
[9] 崔传哲: 《美、英、日个人数据信托发展概况与对比》
[10] 《个保法》第六条: 处理个人信息应当具有明确、合理的目的, 并应当与处理目的直接相关, 采取对个人权益影响最小的方式。收集个人信息, 应当限于实现处理目的的最小范围, 不得过度收集个人信息。
[11] 蔡培如, 王锡锌: 《论个人信息保护中的人格保护与经济激励机制》
作者:
潘永建 合伙人 +86 136 2172 0830 +86 21 3135 8701 david.pan@llinkslaw.com | |
邓梓珊 |
| 左嘉玮 |
往期分享
长按下图识别二维码关注我们
© 通力律师事务所
本微信所刊登的文章仅代表作者本人观点, 不代表通力律师事务所的法律意见或建议。我们明示不对任何依赖该等文章的任何内容而采取或不采取行动所导致的后果承担责任。如需转载或引用该等文章的任何内容, 请注明出处。
点击“阅读原文”,直达通力官网了解更多资讯!