數據保護行為規制路徑的實現

李雅男

(武漢大學 法學院，武漢 430072)

一、數據保護行為規制的主要路徑及存在問題

(一)單純合同保護模式的局限性

數據的價值不僅在于直接出售個人數據而直接獲得對價這種顯性的方式，而且還體現在向用戶免費提供互聯網服務的過程中，在這種情況下，數據的價值通常是隱性的。*以搜索引擎廣告聯盟商業模式為例，聯盟網站獲得廣告費的基礎是聯盟能夠利用用戶的搜索歷史cookie記錄，向用戶投放個性化的廣告。因此，盡管用戶免費使用了搜索引擎，但實際上是用戶的搜索記錄等行為數據反哺了搜索業務，是搜索業務得以存續和發展的價值源泉。從大數據的利用過程來看，網絡運營商對數據進行分析、挖掘，再通過數據的再利用、重組和拓展，從而進行精準營銷，這實際上并未賦予大數據獨立的財產意義，其與企業的人力資源或市場調研等相似，僅僅為經營或生產要素。數據本身并非財產，其蘊涵的經濟價值是企業整體協作的結果。另外，從數據的顯性價值來看，不能將數據交易行為看作買賣行為，在數據交易中，并不存在數據歸屬的問題，只存在“感知”的問題，一旦數據泄露或被他人感知，數據的價值也必將大打折扣，究其原因就在于數據的交易價值體現在數據控制人的自我控制措施上。因此，有學者主張將大數據交易定性為數據服務合同最為妥當。[1]

然而，僅通過合同形式保護數據并不周全。從合同上看，涉及到產品的提供一般屬于買賣合同的范疇，而非服務的范疇，服務通常是由人直接完成的勞務。[2]而數據本身已經是一種產品，因此對數據交易的研究不應止步于服務。[3]經濟利益在于流通和交換，而財產流通和交易的基礎在于財產具有交換價值和使用價值。隨著信息數據化表達的實現和大數據交易的發展，在某種程度上，數據已經脫離“行為”而獨立存在了，其實際上已經成為獨立的民事法律關系的客體，服務合同已經名不符實。經濟利益在于流通和交換，而財產流通和交易的基礎在于財產具有交換價值和使用價值，隨著信息數據化表達的實現，數據具有交換價值和使用價值已經成為現實。另外，由于債權為相對性的“對人權”，如果沒有合同的拘束力，將難以追究侵權人的損害賠償責任。因此，單純依靠債權法無法對數據形成有效的保障。[4]

(二)《反不正當競爭法》模式的局限性

雖然將數據當作商業秘密進行保護能夠在一定程度上起到作用，但很容易形成數據壟斷和數據孤島問題，并不能使數據價值最大化，與大數據時代“開放、共享”的核心價值追求產生矛盾和沖突。數據與商業秘密完全不同，前者的價值在于公開，后者的價值在于保密。因此，擁有數量龐大的使用群體是數據衍生者想要充分發揮數據價值的前提，但是廣泛而不特定的群體又使得其難以采取有效的保密措施來控制數據被公眾知悉的范圍和程度。另外，不正當競爭的適用范圍較窄，且需要一定的條件，并不能完全有效地保護所有人的數據利益。競爭關系的存在是適用反不正當競爭法的前提，反不正當競爭法只能規范競爭者之間的行為而無法延伸到非競爭者之間的行為。反不正當競爭法關注的重點在于競爭行為的手段或目的，其對競爭行為指向的客體主要關注的是它們是否體現了某種特有的競爭利益或競爭優勢，而并不關注客體本身的性質。[5]反不正當競爭法本身功能定位決定了其在制度位階上的補充性，其功能主要在于輔助與補充權利法，只能發揮一種事后補救的作用。這種方式無法提供具有法律確定性的系統性前期規范。如果認定數據為一種未類型化權利的法益，而其內涵和保護程度只能體現在個案中，這將導致市場主體沒有預設的規則可循，容易導致權利邊界不明，這在一定程度上與法律確定性相違背。另外，競爭法主要通過個案考察的方式進行救濟，這也要求其考察對象是具體而特定的，這也就意味著，其沒有能力對數量龐大的數據集合或為特定化的數據內容作出正確評價。在數字經濟下，多樣化和動態發展的商業模式層出不窮，已經遠遠超出了競爭法中不正當競爭行為的類型范圍。

(三)數據交易的特點決定了規則的特殊性

數據的交易特點主要包括：第一，數據控制權的持有并不會因為數據交易的完成而喪失，數據的買受人也無法買斷數據的使用權，出賣人依舊對出賣的數據享有控制權，可以再次進行銷售。在不同的交易模式中，數據的出售方在完成數據交易后，不會喪失對已有數據的控制能力。賣方的交付實際上是對自己所控制數據進行復制并傳輸給買方的行為，在這個過程中限于數據傳輸技術本身，買方無法確保賣方刪除了交易的數據，所以數據交易的過程不存在所有權的轉移，只能通過有償的方式讓買方獲得新的數據權，因此，會存在多份相同的數據控制權共存的現象。[注]上海交易中心的《流通數據處理準則》第四條：“4)持有合法正當來源的相同或類似數據的數據持有人享有相同的權利，互不排斥地行使各自的權利；(數據權利可共存原則)。”第二，數據交易的買受人獲得了使用數據的權利，對數據的買方來說，數據購買的過程就是獲取數據的過程。另外，買方是否可以完全控制購買后的數據并不重要；第三，數據復制、傳輸的成本相對于數據的價值來說可以忽略不計，且不會影響數據本身的質量。合法的數據交易符合公共利益，不影響數據的價值。在法律意義上，數據交易是基于一定的法律事實而產生，并具有特定權利義務的法律行為，具有相應的條件、程序、途徑、后果。數據的復雜性決定了必須對數據交易進行分類討論，首先確定數據流轉的原則作為行為實踐的指導，然后進一步細化數據主體之間的權利義務關系。

二、行為規制路徑實現的前提：數據交易原則

(一)自由收集與自由流轉原則

數據具有價值和使用價值是毫無疑問的，數據能夠為社會生產和生活提供必不可少的服務，甚至能夠轉化為生產力，創造出物質財富。[6]大數據的價值不同于石油、天然氣，其價值會隨著使用的深入而不斷增加。數據的首要價值被挖掘后，仍然能夠不斷給予，數據的價值往往是無法評估的。數據具有獨立性，具體表現為：數據可以獨立于主體而存在；數據可以獨立轉移，而不依靠轉移載體或載體。個人信息是開展社會交往和各種社會活動所必需的因素，開展任何社會交往都需要了解一個人，需要收集個人信息來判斷其品行、特征等。為開展商業交易，當事人通過審慎調查，了解交易對象的信用記錄，這是合理的。一般來說，“任何人都無權阻止別人通過合法途徑了解你”是普遍接受的社會規則，那么，任何人也無權阻止他人合法地收集他人的個人數據并利用這些數據做出判斷也應當為社會所接受。因此，從實踐上來看，無論是數據的收集、占有、支配和流轉都應該在現有框架內自由進行，不受他人的非法干涉。

(二)數據共享原則

數據產品具有不可絕對交割和不能排他占有的自然屬性，這可能導致多個主體控制同一數據產品，即出現控制的“多元化”狀態，可能出現多個分立又有關聯的財產權利并存的局面。數據并非是由數據主體創造出來的，也不是智力成果，個人數據僅僅是主體行動的記錄或自然結果。數據控制人為每個用戶創設了用戶文檔(profile)或者記錄，除了少部分能夠直接識別個人身份和聯系方式的數據以外，大多數個人數據是由數據控制人(網絡服務提供者)創設或生成的。另外，個人數據來源于個人，但是來源并不等同于歸屬。信息是人類社會交往和社會運行的公共資源，任何人均不能獨占，指示和描述某個人的信息并不足以讓該個人對該信息具有排他支配權。例如，最直接標識和識別個人身份的個人信息為姓名，但是法律卻沒有賦予人們對其姓名的排他支配權，姓名權的內涵大多是關于自己能夠自由決定自己姓名的權利，姓名權主體并不對其姓名擁有專有權，任何人均可以起相同的名字。另外，對于電話號碼這類信息，主體往往僅在合同履行期間享有專有使用權，但并不意味著歸其所有或支配。推及到其他的個人數據也是如此，數據可以識別或者描述某人，但是并不足以使個人對該數據形成壟斷，數據主體也并不享有排他支配權。基于社會公益性的考慮，社會可以保存某些個人數據，并不是所有的數據都可以因個人的喜好而被社會忘記，個人對自己數據的控制應當是相對的，個人數據具有社會性和公共性，并不是完全由個人排他支配的東西。因此，數據具有公權屬性，其具有“準公共物品”和“公私兼備”的法律性質。數據原生者不能對自己產生的數據享有完全的壟斷與專有，其私權應當受到制約。[7]

在技術革新的背景下，社會正朝著更具有效率和競爭力的合作共享的有機社會形式轉變。分析和分享是大數據的生命力，單純對數據進行存儲和提存，大數據的作用和價值遠遠沒有得到發揮。數據從其產生時即具有共有性和非獨占性，這與傳統的權利是完全不同的。數據已經成為國家新興戰略資源和產業資源，如今大數據已經為金融、教育、法律、醫療等領域帶來了變革性的影響。大數據的終極應用是作為人工智能(Artificial Intelligence)的知識來源和發展動力。[8]因此，基于社會公共利益的需要，應當承認數據為“公共物品”，由社會全體共同享有和合理使用。

(三)區分原則

區分原則主要是指在進行數據交易和利用中，應區分數據與信息、原始數據和衍生數據。對不同的數據予以不同的保護模式。

1.數據與信息。從法律對“數據”進行保護的演進過程來看，歐美國家早于我國進行保護，特別是針對個人數據的保護，即“personal data”，但這一概念在我國有個人信息、個人資料、個人數據這三種主要的對應的概念。1998年英國《數據保護法》第1條第1款明確區分了數據(data)和信息(information)，根據該規定，數據范圍較信息狹窄，其僅指自動處理、存檔系統組成部的信息。[9]另外有觀點認為，數據(data)僅只一系列描述性的事實，而信息(information)往往是有價值的。[10]能夠準確地描述事實的數據且符合數據使用人的目的和要求的數據就可以轉化為信息。例如，如果一個出賣人想了解一個顧客的信用情況，那么描述這個顧客的種族、宗教信仰的就是數據而不是信息，因為其無法為該出賣人提供關于該顧客的信用情況。[11]

在大數據時代，應當肯定數據的價值，數據與信息的密不可分性。數據作為技術媒介，只是信息表達的方式之一，其外延遠小于信息。信息可以穿梭于物理世界與虛擬世界，而電子數據只能在計算機網絡系統中存在。數據主要指存儲在儲存設備中的且無法識別個人身份的信息，往往以比特(bit)的形式體現出來。盡管數據具有媒介的性質，但是與信息傳播的傳統媒介相比，報紙、書籍等往往是具體物，可以通過物權或者知識產權來保護，但是數據卻無法歸為物也無法被認定為知識產權的客體，[12]大數據時代的背景下，正是由于技術的極大發展才使得數據和信息的價值空前凸顯，信息更側重于內容，能夠直接識別來源主體；而經過技術處理匿名化之后的信息，盡管并不能完全避免被識別的可能性，但是這種識別應該是間接的而非直接的，此時信息轉化為數據，因此，數據與信息是可以相互轉化的。在利用數據和信息時，應當區分信息和數據，對二者保護的側重點是不同的。數據側重于流通和公共利益，而信息更側重于對個人隱私的保護。

2.原生數據與衍生數據。基于不同的產生方式，數據可以分為“原生數據”和“衍生數據”，或“基礎數據”和“增值數據”。[13]原生數據通過合法的記錄、儲存而產生，并不依賴現有數據，例如用戶使用服務的日志數據和用戶發表的評論數據等。原生數據的產生是一個從無到有的過程，被記錄和儲存是原生數據的重要技術特征。從使用的角度看，原生數據并不能被直接使用。從使用價值角度看，原生數據的使用價值有限，當數據量較小時，數據價值直接體現于直觀的數據內容。原生數據并不是大數據交易中所要研究的對象，原生數據可以直接被獲取的價值是極為有限的，特別是在當今以PB為單位記錄和儲存數據的背景下。數據使用價值產生于經過特定的算法加工、計算、聚合等處理之后，但是這種從總量數據的相關性中體現出來的則不再是原生數據的使用價值，而是衍生數據的使用價值。[14]衍生數據是一種系統的、可讀取的(通過計算機數據處理系統)、有使用價值的數據，其建立在原生數據被合法記錄、存儲后，并經過特定的算法計算、加工和聚合之后，衍生數據主要包括購物偏好數據、信用記錄數據、使用習慣數據等。衍生數據具有使用價值和交換價值，其是目前數據交易市場的對象。相比較記錄和存儲，加工、計算、聚合等處理則是衍生數據最為重要的特征。[15]因此，衍生數據由于具有獨創性，可以為知識產權所容納，不存在疑問。對于原生數據的保護和權屬劃分才是研究的重點所在。

三、行為規制路徑實現的具體規則

(一)數據原生者與數據衍生者之間的關系

1.數據原生者的權利與義務。數據原生者的權利。數據原生者享有刪除權，以防止個人信息被無休止的利用。數據原生者只能通過法定或約定的義務約束收集人，無法通過物理手段控制自己所產生的數據，而這種手段的效力是極其有限的。從域外法來看，《日本個人信息保護法》第27條第1款規定了刪除權的內容，但是其遵循的是“法無授權不可為”的原則，即權利人只能在法律明確規定的前提下才可以請求存儲人刪除。數據原生者請求刪除個人數據的權利應當被認為是一種私權，不應當適用“法無授權不可為”的這種規范公權機關行為的原則，而應當適用“法無禁止即可為”的行使原則。因此，權利人可以隨時請求存儲人刪除自己的個人數據或行為信息。但是，基于數據的共有共享原則，個人私權應當受到一定的限制，即存在以下的例外情況：第一，基于保存證據的需要，例如《互聯網信息服務管理辦法》地14條的規定。第二，基于維護公共利益的需要，例如防控嚴重的傳染病或者其他科學研究的需要。[16]

數據原生者的義務。去身份化后的個人數據可以為其他主體控制和交易，不需要提前獲得數據原生者的同意，數據原生者對此有默認允許的義務。當前大數據時代，數據價值多來源于對其進行分析和利用，單純的數據并不具有較大的價值，只有規模龐大的數據才具有價值，單一的數據其價值十分有限。這實際上顛覆了隱私保護的思想，當前隱私保護法是以個人為中心，數據原生者的同意是其數據能夠被收集的基礎，數據的控制者應當在權利人同意的范圍之內使用該數據，如果該數據不在目的限定的范圍之內時，則其負有刪除該數據的義務，“告知與許可”是隱私保護的共識性基礎。這種保護模式在數據規模較小且計算機數據系統之間沒有高度相連的情況下是比較合適的，然而在大數據時代卻受到了重大挑戰。在大數據時代，數據是人工智能產業的“養料”，這使得根本無法預測數據可能的用途和價值，很多創新性用途在數據收集時無法預料到。因此，數據收集者或控制者根本無法告知其自己都不能預測到的用途，數據原生者也無法判斷對其產生的數據的應用可能帶來的后果，更無從同意或反對。如果按照傳統的個人隱私的保護模式，只要沒有得到許可，對任何包涵個人數據的分析、計算或應用都要征求數據原生者的同意，這幾乎是個不可能完成的任務。當前的數據以PB為存儲單位，數據原生者更是數億，對于每一數據的應用都要征得數據原生者的同意，即使沒有技術的障礙，對于數據分析和利用的效率也會大打折扣，也會給相關的數據公司帶來巨大的成本，幾乎沒有公司能夠負擔得起這樣龐大的費用，這必然會制約數據產業和人工智能產業的發展。如果要求用戶或數據原生者同意所有可能的用途，這就導致 “告知與許可”就沒有意義了，還可能直接干預用戶的意愿，用戶為了使用軟件或其他服務只能被迫同意。由此可見，傳統的隱私保護模式，在大數據時代下并不能發揮良好的作用，其要么過于狹窄，影響數據價值和利用效率，要么過于空泛，根本無法保護權利人的隱私。對于可能識別的個人信息，如果使用數據時仍然要求征得數據產生人的同意、允許訪問和修改等法定要求，這反而降低了而不是增加了隱私保護水平，因為只有將這些可能識別的個人信息與具體的數據原生者聯系起來，識別個人身份之后，或者將可能識別的個人信息變成已經可以確定身份的信息之后，數據主體才能對利用自己數據的行為表示同意、反對或者要求修改個人數據。這反而使個人信息或隱私有暴露的可能性，給數據主體的隱私帶來了巨大的風險。相反，對于匿名化的個人數據的分析和使用，并不會帶來巨大的隱私風險，如果相關的風險評級和反識別標準確定后，反而是有利于保護個人隱私的。

2.數據衍生者的權利與義務。數據衍生者的權利。數據衍生者可以收集、利用、交易匿名化后的個人數據，其對自己控制的數據產生的經濟利益享有獨占性，數據原生者不對此享有財產利益。大數據時代，在平衡個人數據權利保護與個人數據利用之間的關系時，更應當強化對個人數據的利用，注重發揮其經濟價值，個人隱私權等權利保護只是個人數據收集、利用行為的限制條件，換句話說，只要相關的個人數據收集、利用行為不會侵害個人的隱私權等權利，就應當肯定該利用行為的合法性。[17]從數據交易的角度來看，對于不涉及到個人隱私的原始數據，數據衍生者可以不經數據主體同意，直接利用或交易。大數據交易的邏輯基礎在于數據與數據原生者之間沒有了法律關系，在匿名化之后，數據與其產生者之間的聯系就被切斷。另外，數據的控制者往往對數據的記錄、存儲投入了巨大的成本，對數據價值進行了挖掘和增值作出了巨大貢獻，理應對此享有一定的財產利益。只有數據規模龐大形成大數據時，數據的財產價值才能夠體現出來，大數據的價值實際上是一個量變引起質變的結果，而單一的數據價值密度太低，并且數據原生者對其個人數據不存在獨占性，數據是共有共享的，數據原生者也沒有對大數據的收集、分析作出勞動貢獻，其對大數據的財產利益的主張缺乏正當性。從權利的構成來看，數據權屬的主體數量大且不確定，客體非特定、無形且不具有獨立性，內容方面模糊、殘缺，因此如果認定對于去身份化的數據財產利益仍歸屬于個人所有，其成本過大，遠大于數據帶來的收益。從經濟學的角度來看，科斯定理指出了產權界定在資源配置和市場交易的重要作用。因此，去身份的數據應當認為是可以交易的，且權屬應當屬于數據控制人。

數據衍生者的義務。第一，數據衍生者應當提高自己的注意義務，建立風險評估制度，對自己的行為承擔責任。數據衍生者通過收集和利用數據為自己創造了巨大的財富，其也應當有義務保護個人數據主體的隱私不受侵害。數據衍生者應當對個人數據再利用的行為進行風險評測，并區分數據的用途，包括不需要或者只需要適當標準化保護的用途。根據去身份化數據可能被識別的風險，數據衍生者應當建立風險評估機制，根據風險等級完善規避或減輕潛在傷害。這不僅可以保護個人免受無妄之災，也有利于數據的創新性應用。一方面，數據衍生者無需經過權利的人的同意就可以收集和交易數據，另一方面起也要為不合格的風險評測和不達標的保護措施承擔責任。數據衍生者最有能力了解數據的用途，其也最有能力采取措施控制數據的風險，同時，數據主體自己評估風險也避免了商業秘密的泄露。數據衍生者從大數據交易和利用中獲得了巨大的財產利益，由其負擔隱私保護的義務也是十分合理的。第二，數據衍生者應當堅持去身份化和匿名化的標準，根據數據的風險等級，降低數據與個人的關聯性。對于去身份化之后的數據，數據衍生者應當遵循不能再次識別的義務，如果控制者將其控制的數據提供給第三方(數據使用者)時，其應當在合同中約定第三方(數據使用者)也負有禁止對數據再識別的義務(re-identify)，并負有監督義務，保證第三方的利用行為符合合同約定。雖然去身份化(de-identified)的模式仍然存在著一定的風險，但是其作為一道守護個人信息的閘門，仍然有存在的必要，至少使得個人信息沒有被完全暴露。除了去身份化的措施之外，降低數據與主體關聯性的措施還包括：在數據中添加“噪音”干擾數據，故意將數據模糊處理，使得搜索結果只具有相似性而不具有準確性等，或者其他使個人數據與主體聯系起來成本巨大的措施等。對于去身份化的數據，數據衍生者必須公開承諾，不再試圖再次識別數據。如果數據衍生者將識別性的數據提供給第三方，它應當在合同中禁止第三方試圖再次對數據進行識別(re-identify)，并采取相應的監督措施保證第三方符合合同規定。第四，數據衍生者負有在一定時間之后刪除數據的義務，當數據原生者要求數據衍生者對其控制的數據予以刪除時，數據衍生者不得拒絕。數據被收集或利用后，并不要求一定立即刪除個人數據，數據衍生者有權較長時間的保留數據。然而，數據存儲的時間越長，使用的頻率多高，其被濫用的可能性也就越大。社會應當實現對匿名化數據利用的價值與其中可能存在的過度披露的風險的平衡，以最大程度的挖掘數據的潛在價值，促進社會的整體進步。為實現這一平衡，基于各種數據的種類與其與主體之間的相關性，應當對不同種類規定不同的必要刪除時間。這一方面，可以消除“永久記憶”的恐慌從而保護個人隱私，限制個人數據存儲和使用的時間，同時，時間限制也能激勵數據衍生者和數據使用者使用數據的效率，以最大挖掘數據的價值，這樣可以達到大數據時代的利益平衡。

(二)數據衍生者與數據使用者之間的關系

數據衍生者與數據使用者(數據原生者、數據衍生者與數據使用者存在重合的可能性)之間的關系主要體現在具體的服務合同中，數據交易主要有三種形態：直接傳輸(靜態交易)、API利用(動態交易)與定制化交易。從交易模式來看，可以分為原始大數據交易，經過甄別、處理后的大數據交易，基于大數據的決策方案交易以及中間商交易模式。數據衍生者與數據使用者之間的權利義務關系也主要體現在這三種交易模式中。但是無論是在何種交易模式中，數據衍生者作為提供數據的一方，都應當承擔瑕疵擔保責任，保證其所提供的數據不會侵犯他人的隱私權。

1.靜態交易中數據衍生者與數據使用者的權利與義務。靜態交易是一種原始大數據交易模式，是最為常見的也是最為直接的，往往通過發送文件的方式來完成數據的交易。數據的靜態交易是指時效性較弱的數據，其一般不會再隨著時間的變化而進行更新。例如社交網站的個人評論的足跡追蹤，百度、谷歌關鍵詞搜索統計等。在傳統的貨物的交易中，所有權的轉移問題是交易的核心問題，并由此衍生出一系列的規則，如所有權變更的時間、瑕疵擔保責任、無權處分后果、不動產的特殊規則等，對于這些問題的研究甚至可以追溯到羅馬法。傳統的金融交易與商品交易的對象，都有著天然的產權邊界交易完成后，出賣方就不再擁有交易對象的產權，也無法再利用交易對象。即使是像專利、商標這樣無形的知識產權的交易，也會通過登記、公告的方式來確認產權的邊界。對于數據交易來說，所有權是一個比較模糊的概念。數據因為其本身的屬性，數據的交換打破了物的專有與權利專屬專有性之間的關聯。雖然通過交易，數據的傳輸已經完成，但數據仍然可以是多人共同占有、使用、收益，同一數據之上可以成立多項、多個種類權利。[18]因此，數據靜態交易最重要的特點是買方獲得數據的使用權，賣方不喪失利用數據的控制權。由于互聯網本身的架構，數據在網絡中傳輸是一種數據的復制行為。

在合同沒有約定的情況下，數據靜態交易中的買方可以獲得全部的權利，不同于二手物品的交易中出賣人會失去賣掉物品的所有權，而數據的賣方仍然具有已經賣掉的數據的各種權利。對于數據的買方，實際上并不只是獲得了數據的使用權，在一般情況下，數據靜態交易中的買方獲得的同樣是完整的數據權利，可以進行占有、使用、收益、處分。而且因為數據大多會被用于內部分析而非包裝成產品再次出售導致數據的使用不具有外部性，即外部很難探知數據的使用情況，數據產品不似知識產權的授權使用最終要轉化成產品面向市場，容易被察覺。數據交易的這種現象也恰恰是數據物體特性的反映，所以數據的靜態交易不是一種授權許可。

2.動態交易中數據衍生者與數據使用者的權利與義務。動態交易主要是為了滿足大數據技術對實時數據利用的需求，需要具備更高時效性的數據調用技術，因此通過API(Application Programming Interface,應用程序接口/應用編程接口)對數據進行調用，這成為了數據交易中更加靈活的選擇。API被廠商廣泛地應用于合作廠商之間進行的數據分享之中，其設計目的是讓應用程序開發人員得以在無須考慮其底層的源代碼或理解其內部工作機制細節的情況下，調用程序功能。在數據的API交易模式中，數據提供方提供API接口，供數據的需求方通過計算機語言訪問數據。這種模式并不需要數據提供方將數據全部復制一次性提供給需求方，而是實現了按需訪問數據，根據數據調用的次數或者時間進行收費。

這種模式更加靈活，方便數據的提供方根據實際情況及時更新數據庫。大多數情況下，以API接口提供數據的訪問被認為是數據交易的一種形式，但實際上這與一般意義上的“交易”是存在明顯的差異的。一般法律意義上的交易通常存在權利的轉移，數據交易雖然并不直接進行所有權的轉移，但是仍然會生成新的針對數據的權利。一般意義上的交易是買賣，需要有出售及購買的行為。然而，數據需求方通過API接口獲得的是在一定期間內或條件下數據的使用權，這更像是一種租賃行為，而非交易行為，這與數據庫的銷售類似，企業將數據庫銷售給盡可能多的消費者在一定期限內使用。在數據動態交易的過程中，數據的賣方可以通過API保持對數據較高的掌控能力，可以隨時變更提供數據的范圍與數據調用的頻率，甚至有能力隨時終止數據提供的服務；數據買方有權要求賣方提供符合合同約定的數據。買方通過API接口獲得的數據仍然是一種完整的權利，其有權分析、使用或再次出售。

3.數據定制化交易中的數據衍生者與數據使用者的權利與義務。盡管通過數據的動態交易與靜態交易可以提供大量且種類豐富的數據，但有時仍然不能滿足市場主體對數據的需求。數據需要能夠被有關軟件讀取、解讀才能發揮其價值，程序上的可讀性是數據具有價值的前提之一，未經整理的原始數據無法發揮數據的價值，因此，需要對原始數據進行加工、整理，而這是一項高成本、低效率的工作。如果能夠從數據收集伊始就按照需求方的要求進行整理，可以降低整個數據利用的成本。定制數據一般通過數據交易平臺來完成，由需求方提出數據的具體需求，再由數據提供方根據需求進行匹配，提供數據。例如華東江蘇大數據交易平臺通過“數據眾包”或“方案召集”的方式發布需求，賣方接單后需要提供初步的方案供買方決定是否采納，采納方案后由買方進行付款。這種交易模式主要以提供大數據應用服務為主。

數據定制交易通常會依賴于數據交易平臺進行，是一種以數據為客體的承攬法律關系。與其他兩種數據交易形式不同，在數據定制交易進行之前，進行交易的數據是不存在的，銷售的過程實際是一個完成數據承攬定制的過程。另外，數據交易平臺會深度參與到定制交易的法律關系中，這導致法律關系出現了更多的變數。在數據定制交易中，數據交易平臺自己可能會作為承攬人，以自己的技術能力來向買方提供數據。數據交易平臺也可能僅作為中介方，提供信息，實際由第三方提供數據。

(三)數據原生者與數據使用者之間的關系

數據使用者應當尊重數據原生者的權利，數據使用者一般從數據衍生者處獲得數據，在某些情況下數據衍生者同時也是數據使用者。數據使用者須承擔的義務包括：第一，數據使用者需承諾其在數據使用過程中不得侵犯個人隱私，不得對個人信息進行反向識別。第二，數據使用者應當對數據使用行為可能對個人造成的影響進行評測，并對數據用途進行區分。相應地，數據使用者也要為不負責任的評測和不合乎標準的保護措施承擔責任。數據使用者對數據進行二次評級，實際上對數據原生者的隱私又加了一層保險，保障了個人數據在使用過程中不被泄露、隱私不被暴露。數據使用者對于數據的使用方式和用途最為清晰，其也最有可能防范個人隱私在其數據被利用過程中被侵犯的風險，這同時也避免了商業秘密的泄露，維護自己的競爭優勢。第三，如果數據在被利用過程中導致個人數據泄露，數據使用者應當對此承擔無過錯責任，無論其是否有過錯都應當對個人承擔責任。在數據使用者承擔過錯之后，其可以向數據衍生者或其他相關主體追償。