大數據交易安全與法律監管

劉 航

南京航空航天大學，江蘇 南京 211106

一、大數據的定義與性質

大數據(Big Data)起初是對規模較大、難以為人力所處理的數據集合的一種描述，隨著數據挖掘、整理、分析、集成等技術手段日趨完善，大數據的潛在價值得以呈現，其在社會管理、商業拓展等方面的應用日益廣泛，當前大數據已成為當代社會的重要資源。當前對大數據的定義仍未取得共識，筆者認為大數據是由規模巨大、內容復雜、類別廣泛的基礎數據組成的數據集合，經過特定程序處理后蘊含新價值的數據資源。

我國現行法律并未明確大數據的法律屬性，但從宏觀政策、經濟實踐及學術論述等方面均可發現認可大數據具有財產屬性及可交易性這一趨勢。從宏觀政策層面來看，2015年8月頒布的《促進大數據發展行動綱要》中明確指出：“引導培育大數據市場，開展面向應用的數據交易市場試點，探索開展大數據衍生產品交易，鼓勵產業鏈各環節主體進行數據交換和交易，促進數據資源流通，建立健全數據交易機制和定價機制，規范交易行為”；從經濟實踐層面來看，2015年4月，我國首家大數據交易所即貴陽大數據交易所正式掛牌成立，隨后相繼出現了中關村數海大數據交易平臺、武漢東湖大數據交易中心、華東江蘇大數據交易中心、數據堂等多種類型的大數據交易平臺，逐步探索出交易中介、數據產品、分析產品等多種大數據交易模式；從學術討論層面來看，大數據法律屬性的主流觀點是“財產權客體說”，其認為大數據所蘊含的商業價值使其具備可供交易的價值基礎，數據有價、交易流通是大數據具有財產性的有力證明。盡管仍有學者提出“鄰接權客體說”、“數據資產說”等，但均不否認大數據財產性特征，只不過分歧在于應該將大數據歸入何種權利體系中去。

二、大數據交易的現狀與安全風險

雖然在法律制度構建和學術理論層面有關大數據的討論仍處于醞釀階段，但在實踐層面，大數據產業發展已經起步并初顯成效。據中國產業經濟信息網估計，2019年我國大數據核心產業規模有望突破7200億元，增速將維持在25%至30%左右。大數據產業發展離不開流通，大數據交易應運而生。大數據交易是指將經處理的大數據產品在交易平臺中流通的過程。我國大數據交易的發展態勢總體上呈現出增長快、規模大、市場散、制度少、風險高的特點。增長快、規模大主要得益于龐大的數據資源沉淀和廣闊的商業應用前景，我國大數據交易仍將保持高速增長，但由于缺乏統一的市場標準和健全的法律規制體系，大數據交易仍存在諸多風險。

交易安全是大數據產業得以發展的基本前提。關于交易安全，有學者將其劃分為靜態安全與動態安全，分別指向大數據權利歸屬明確和流轉合法有效。此種考慮其實均基于明確大數據的權利界限，這是大數據交易安全的基石，但并不是全部。除權利歸屬之外，交易安全的風險主要來自于以下方面：其一，大數據質量安全。當前大數據交易缺乏統一而明確的質量標準，大數據產品真實性與合法性無據可依，交易相關主體合法權利缺乏有效保護；其二，當前大數據產品重清洗而輕脫敏，大數據清洗只是針對數據一致性進行糾錯的手段，基礎數據源中的用戶敏感信息仍然保留，大數據產品在流轉過程中存在敏感數據泄露風險；其三，由于數據具有可復制性和易傳播性，缺乏安全可靠的存儲和傳輸手段，大數據產品的安全性就無從談起。

三、大數據交易安全法律監管

大數據交易市場健康業態的形成離不開法律監管，法律監管一方面以法律形式明確交易市場運行規則，另一方面以監管手段糾正交易過程中偏離正常交易過程的違規行為，共同創建大數據交易良性發展模式。

(一)大數據交易法律監管須遵循以下原則

1.安全第一原則。大數據交易的核心在于安全。大數據交易安全維系基礎數據提供者和交易雙方兩端，大數據交易如發生安全事件，交易方將面臨財產損失，基礎數據提供者的隱私數據也可能因此泄露。故而，大數據交易應以安全為首要目標。

2.權責一致原則。大數據交易法律監管應以法律為依據，明確監管機構，厘清監管職責與范圍，落實監管手段與責任體系，既要賦予監管機構一定的執法權力，又要將監管機構納入法律監督范圍，避免監管隨意性和過度性。

3.分級監管原則。大數據交易體量必將快速成長，單純依靠行政機關難以覆蓋交易過程全部，自律監管與內部監管是重要補充。大數據交易安全法律監管要將交易平臺和交易主體吸納進去，共同落實大數據交易法律監管。

(二)大數據交易法律監管模式

1.行政機關宏觀監管。行政機關作為國家事務的主要執行者，具備成為大數據交易法律監管主體的天然條件，但由于交易信息龐雜，無法逐條甄別，行政機關監管主要以制定規則、明確標準、事后監督與執法等方式完成監管。當前，國家市場監督管理總局是負責市場監督管理與執法的主要機構，其在市場監督、質量管理、市場秩序維護、標準制定等方面有明確權責和成熟制度，可將大數據交易行政監管職責納入其中。

2.交易平臺自律監管。大數據交易平臺在我國發展迅猛，總體上呈現數量眾多、規模較大、類型多樣、市場占有率較高的特點。大數據交易平臺是大數據供需雙方的重要紐帶，既是大數據交易的組織者，也是大數據交易的參與者，兼具監管主體和監管對象的雙重身份，對交易平臺的監管實際上就實現了對大數據交易的監管。交易平臺自律監管主要從交易要素出發，主要關注交易主體是否適格、交易客體是否真實合法、交易活動是否安全合規，更容易及時發現交易中存在的問題，將大數據交易法律監管推進至事前階段。

3.企業內部監管。大數據交易的本質屬性是商事交易，交易目的亦是用于企業經營而非其他，企業是大數據交易最主要的供求方。企業內部應設置專門機構負責大數據收集、使用、交易、保存和應急處理，主要目的是明確大數據來源、使用情況以及應對突發情況，一方面企業應妥善使用和維護掌握的大數據資源，另一方面企業應以合法手段取得大數據資源。可參照證券交易信息披露制度，企業內部監管情況應按時、自行申請或應監管機構要求公布，如發布虛假情況，企業將面臨相應處罰。

(三)大數據交易法律監管內容

1.數據質量安全。數據質量是影響大數據價值最主要的因素，保護數據質量安全是實現大數據交易安全的基礎。數據質量體現在合法性、真實性、準確性、一致性和完整性等多個方面，需要在數據收集、整理、分析、集成、傳輸、儲存等多個環節嚴格把控，是法律監管的重點與難點。在大數據交易立法中，應根據大數據產品形成的多個環節分階段監管，對大數據產品進行質量評估與檢測，以此作為其進入下一階段的首要標準。數據質量安全的關鍵在于建立客觀中立的評估機構和完整統一的評估標準。評估機構的法律地位、權責與組成方法均須由立法明確，并嘗試給予數據質量評估糾紛以司法救濟途徑。評估標準由于比較細致，仍需要根據市場發展適時調整，可以在主管行政機關制定統一的基礎標準之上，交易平臺或評估機構可以據此探索更為全面的質量標準，由主管行政機關認可后執行。

2.數據內容安全。大數據產品內容關乎國家安全、公共安全與個人隱私安全，應對可供交易的大數據產品內容加以明確。在立法層面，針對不同類別的數據內容可采取不同的保護方式。與國家安全有關的數據內容應“法無授權即禁止”，嚴格遵守《中華人民共和國政府信息公開條例》第二章之規定；由于數據流通是大數據產業發展的必要條件，交易安全與數據流通需妥善平衡，與企業或個人有關的數據內容可采取“負面清單”加以保護，即“法無禁止即可為”，在立法中明確規定不得用于交易的企業或個人數據，譬如企業商業秘密、個人身份信息等。在技術層面，數據匿名化等脫敏手段可有效保護數據內容安全。以往的數據匿名化主要面向個人數據，譬如歐盟《一般數據保護條例》指出“匿名化是指將個人數據移除可識別個人信息的部分”。隨著脫敏技術手段的發展，不同類別的數據內容都可以進行敏感程度檢測，其將成為保護數據內容安全最為關鍵的一環。

3.數據流通安全。數據流通是大數據產業發展的必然過程，數據流通安全影響大數據交易目的能否實現。數據流通安全可以分為靜態安全與動態安全。靜態安全即是存儲安全，應建立數據安全分級機制，對不同類別的數據存儲進行不同安全級別的保護。在存儲階段，數據存儲者負有妥善保管和異常情況及時報告的義務，如在大數據交易中隱瞞則將承擔相應的法律責任。動態安全即是傳輸安全，數據傳輸方面的風險主要來自人為干擾。解決傳輸安全問題，一方面要發展更為安全的傳輸技術手段，譬如非對稱加密算法、證書機制等，并在交易規則中加以確認；另一方面要檢視當前的法律制度是否對惡意攻擊數據傳輸有力打擊。我國《刑法》第二百八十五、二百八十六條、《治安管理處罰法》第二十九條中對破壞數據安全的刑事及行政處罰已制定相對完備的法律規范，但司法實踐中一般將人為干擾作為其他犯罪行為的牽連犯，容易泛化打擊其他技術手段的進步和發展，司法機關應盡量避免出現此類問題。

四、結語

消除大數據交易安全風險需要構建完善的大數據交易法律監管制度，應在立法中明確行政機關、交易平臺、交易主體的監管權責，從大數據的收集到使用實現全鏈條、多環節分段監管，重點關注交易要素中的數據質量與內容，并在存儲與傳輸過程中確保大數據產品不變質，由此實現大數據交易安全。