數據交易法律規制基本原則的構建：反思與進路*

徐玖玖

0 引言

信息技術的發展促進萬物互聯的形成，人類社會邁入“Web 3.0”時代。數據呈現出爆發式增長，信息社會的未來必然要突破數據孤島，探索數據之間的聯系。數據的流通既是數據再利用的形式，也是數據有效利用的前提和條件。黨的十九屆四中全會首次提出數據為獨立的生產要素，要求“健全勞動、資本、土地、知識、技術、管理、數據等生產要素由市場評價貢獻、按貢獻決定報酬的機制”。2020年4月9日，中共中央、國務院印發《關于構建更加完善的要素市場化配置體制機制的意見》，明確提出“加快培育數據要素市場”，包括推進政府數據開放共享，提升社會數據資源價值，加強數據資源整合和安全保護。2020年5月11日，《中共中央 國務院關于新時代加快完善社會主義市場經濟體制的意見》印發，進一步提出“建立數據資源清單管理機制，完善數據權屬界定、開放共享、交易流通等標準和措施，發揮社會數據資源價值。”這一頂層制度的導向充分體現了互聯網大數據時代的特征，數據要素優化配置成為數據經濟發展的關鍵環節。2020年6月28日，第十三屆全國人大常委會第二十次會議初次審議《數據安全法(草案)》，這是我國首次將數據治理以法律文本的形式進行明確的政策要求，為數據要素提供了基礎性的制度支撐，同時承載著數據安全與發展利用的雙重任務。其中，《數據安全法(草案)》第一條就將“促進數據開發利用”作為該法的立法目的之一；第十七條規定“國家建立健全數據交易管理制度，規范數據交易行為，培育數據交易市場”。但是，草案的相關規定過于籠統，沒有呈現具體內容，仍需要不斷建立健全基本規則，明確制度目的、實施主體、實施機制、法律責任等內容，形成較為全面和成熟的制度。2020年10月，中共中央辦公廳、國務院辦公廳印發了《深圳建設中國特色社會主義先行示范區綜合改革試點實施方案(2020－2025年)》，明確提出：“加快培育數據要素市場。率先完善數據產權制度，探索數據產權保護和利用新機制，建立數據隱私保護制度。試點推進政府數據開放共享。支持建設粵港澳大灣區數據平臺，研究論證設立數據交易市場或依托現有交易場所開展數據交易。”數據交易作為數據利用環節中最為核心和關鍵的市場活動，是數據利用行為的終端呈現。一系列圍繞數據要素激活和優化配置的政策文件緊鑼密鼓出臺，可見構建和完善數據交易法制，激活數據的內在活力，兼顧技術創新和制度彈性，在有效規范數據市場行為的同時為產業發展預留空間，是當前亟須回答的一項現實而重要的課題。而數據交易法律規制的基本原則構建，應是研究的首要問題。

1 數據交易法律規制基本原則的探索與反思

1.1 數據交易法律規制的理論探索和立法實踐

美籍奧地利邏輯學家、數學家克爾特·哥德爾(Kurt G?del)提出哥德爾不完備定理，認為“任何一個足夠強的一致公設系統，必定是不完備的”，復雜系統的完備性與無矛盾性不可兼得。在立法活動中這一定理的適用表現為，成文法往往無法形成完備、嚴密的規則體系以調整所有形態的社會矛盾。為了緩解無矛盾性與完備性之間的悖論，立法者往往在法律規則之外引入抽象的法律原則與不確定的法律概念，以提高法律的適用性。因此，基本原則作為貫穿于整個數據交易法律規制體系的根本性規則[1]，既是立法者出于立法有限性和滯后性的審思，也是為了彌補具體規則在裁判活動中可能出現的漏洞。通過給予適當的原則設置來周延法律的調整范圍，是立法者意圖和法律期望的集中體現。

學界對于數據法制基本原則的探索由來已久。周漢華提出，個人信息保護需要遵守合法原則、權利保護原則、利益平衡原則、信息質量原則、信息安全原則、職業義務原則、救濟原則[2]。齊愛民支持信息自決原則、目的明確原則、安全原則，其中信息自決原則包括直接收集原則、信息品質原則和公開原則等[3]。張新寶等認為，個人信息保護應當堅守合法性原則、個人參與原則、公開透明原則、知情原則、同意原則、目的明確原則、目的限定原則、信息質量原則、信息安全原則、個人敏感信息特別保護原則、未成年人個人信息特別保護原則[4]。

立法實踐對于數據法制基本原則的觀點各不相同。歐盟的GDPR(General Data Protection Regulation，《通用數據保護條例》)規定了合法公平透明原則、目的限定原則、數據最小化原則、準確原則、有限留存原則、完整機密原則以及責任原則。2013年修訂的《消費者權益保護法》第二十九條的規定首先提出了合法原則、正當原則和必要原則。我國《網絡安全法》四十一條提出了合法、正當、必要的原則，以及明示原則、同意原則、目的明確原則。《民法典》第一千零三十五條主要采用合法、正當、必要以及不得過度處理的原則。值得關注的是，2020年10月21日，全國人大法工委公開就《個人信息保護法(草案)》征求意見，草案確立了個人信息處理應遵循的原則，強調處理個人信息應當采用合法、正當的方式，具有明確、合理的目的，限于實現處理目的的最小范圍，公開處理規則，保證信息準確，采取安全保護措施等，并將上述原則貫穿于個人信息處理的全過程、各環節[5]。由此可以看出，《個人信息保護法(草案)》整體上沿襲了《民法典》《網絡安全法》的數據法制基本原則。

1.2 數據交易法律規制基本原則的反思與突破

從理論學說和立法實踐來看，傳統數據交易的法律規制主要基于個人信息的法律保護制度，因此通常表述為合法、正當、必要、有限利用、完整正確等基本原則。這些基本原則之間的區別在于，《民法典》主要針對個人信息的“處理”行為，而《消費者權益保護法》《網絡安全法》則是規制個人信息的“收集、使用”行為。特定法律的基本原則受制于該法的主要立法目標，《民法典》《消費者權益保護法》中個人信息保護的基本原則旨在保護公民的合法權益，而《網絡安全法》的法旨始終圍繞著安全保障。因此，如果將這些基本原則簡單、機械地完全搬移到數據交易場景中，而不進行具體、深入的審思和再闡釋，恐怕會出現規制的“偏差”，在一定程度上忽略數據交易活動所承載的權益保護和交易激勵的雙重價值目標。

從實踐來看，諸如目的明確原則、有限利用原則、完整正確原則的有效性和可行性較低，而合法原則本身就是法律制度的基本要求。數據收集和交易的目的必然具有不確定性，而數據的用途亦具有動態性和變化性，網絡時代的數據開發是海量信息技術活動，數據的收集、儲存以及其后的挖掘、開發等二次利用，都具有高度的不確定性。數據經營者本身需要根據不斷演化的信息技術、日益更替的商業模式以及瞬息萬變的用戶需求，不斷調整企業的經營方向、產品和服務內容，這必然會涉及到數據收集和利用方式的變化和更替。因此，實踐中許多企業考慮到未來數據利用可能產生的新需求，往往會通過在隱私政策中擴大列舉數據的收集和使用目的，以涵蓋一段時期內的數據需求。但是，這種過分擴張的使用目的，反而使目的明確原則、有限利用原則、完整正確原則、最小化原則形同虛設。數據資源具有重要價值，是企業收集數據的主要動機，在這一利益的驅動下，傳統個人信息保護法中的基本原則，諸如必要性原則、最小化原則等在實踐中被不斷突破。事實上，企業不但收集業務活動所必須的數據，還會囤積無關的數據作為資源儲備，或與其他需求方進行交易實現增收。

為此，應以利益均衡為基點，重新檢視傳統的數據交易法律規制基本原則，對其必要性和有效性進行反思，從權益保護和產業激勵兩個維度對應予保留和堅持的基本原則賦予新的闡釋。可以將知情同意原則、責任和安全保護原則作為數據權益保護的兩個基點，將區分規制原則、合理使用原則作為數據產業激勵的兩個基點，構建“保護-激勵”雙層維度的平衡性制度安排。

2 權利保護維度的數據交易法律規制基本原則構建

個人數據留存于公私領域的各個方面，人們參與社會經濟生活形成各種法律關系，同時也在不斷產生新的數據。這些數據包括個人的住址、生日、學歷、工作、健康等內容，如果這些數據被毫無約束地收集、存儲、使用和交易，個人的人格形象將無所遁形，人格尊嚴和隱私權益也將會面臨極大的威脅。如果對數據交易中的權益，特別是人權的保護有所松動，將會產生法學在信息社會中新的現代性危機。因此，在數據交易的整個生命周期中，應當始終強調對于權益保護的重視，否則“人無自我、無人格、無尊嚴，所見之處皆是群我、他律為中心，將是一個不可想象的不安且無內心世界的社會”[6]。

2.1 知情同意原則：質疑與破局

2.1.1 知情同意原則的再審視

有觀點認為知情同意仍然是個人信息保護的正確路徑[7]，違反同意原則收集和利用個人數據屬于非法收集和利用行為[8]。但是，知情同意原則在互聯網場景中開始面臨越來越大的爭議。有觀點認為，同意機制本身存在著局限性，由于用戶有限理性、技術壁壘以及信息不對稱等因素，知情同意機制事實上已經失效，法律規制工具從信息收集需要個人許可開始向數據管理者的義務承擔轉向[9]。甚至有學者認為，考慮到數據使用的不可避免性，應當越過知情同意這一失效的中間機制，重視對個人數據利用環節的控制，使數據的利用更符合用戶的隱私偏好和期待[10]。但在現實中，通過知情同意原則實現數據權利的保護這一方式所面臨的問題不僅僅是有效性的困局，似乎更多是一種落實的“有意”缺位。北京大學互聯網法律中心曾對79項共計17類互聯網應用產品中的個人信息保護政策進行測評，發現較為完善的隱私政策或個人信息保護政策所列舉的信息至少包括設備信息、日志信息、位置信息、應用程序編號、本地存儲、cookie和類似技術等內容[11]。但值得注意的是，實踐中的隱私政策或協議往往對所有類型的數據一并收集，并沒有對必須經用戶同意后方能收集使用的數據以及可自動獲取的數據進行分類約定。雖然有一些互聯網產品在協議中為用戶拒絕數據的收集提供了一定的選擇空間，但是可選擇的數據類型主要集中在cookie、本地存儲、地理位置、通訊錄、相冊和攝像頭等方面，與取得授權獲取的數據范圍相比過于狹窄，并未在實質意義上為用戶提供真正可以選擇(拒絕或同意)的有效途徑[12]。

因此，對于知情同意原則的思辨應從兩個角度展開分析。一方面，承認其在數據活動中存在的局限性；另一方面，作為數據主體最基礎的人權保護制度，應當通過尋求新的闡釋以使其適應新的經濟社會條件，而非一味地否定。對于知情同意原則的認知，沒有必要在“完全知情且自由”與“完全不知情且不自由”兩個極端之間進行二元抉擇。實際情況往往是人們并不能涇渭分明地界定完全知情、完全自由的情形，而是游走在兩個極端之間的中間地帶，法律所能做的是促進數據主體趨向或無限趨近知情和自由的端點。

第一，否定知情同意原則將會帶來無法預期的嚴重后果。數據主體在數據保護中的核心地位是不能否認的。如果個人完全失去對自身數據處理活動的控制，會加劇個人數據侵權的失控狀態。洛克認為，同意是政治權力合法性的一個核心因素，具象為自我決定、自我意識、自我支配的能力和權利，即同意是人之權利的證明和彰顯[13]。人應是自己的主人，同時亦是自身和自身行動或勞動的所有者[14]。在傳統隱私法的觀念中，人應當是自身隱私領域絕對的權威(authority)，可以自由決定是否允許他人進入這一領域、如何進入、何時進入以及進入的范圍[15]。進入互聯網時代，信息技術條件下這一權利被解讀為個人控制、利用自身數據的權利[16]。因此，同意不僅僅是一種形式意義上的程序，而且還是實質意義上的權利。只要數據交易法制的邏輯起點構建于尊重人權基礎之上，同意原則就必然要扮演著核心的角色。其次，從利益均衡的角度而言，移除同意原則在數據法制中的位置，是將個人排除在數據價值分配的序列之外，對于個人而言只能被動地交付數據而無法享受數據利用所帶來的收益，這會進一步加劇數據主體與數據經營者之間利益的不平等程度。最后，即便是基于場景極其細化的合理利用也無法取代數據主體的知情同意。因為同意形成于數據活動生命周期之始，而合理利用已然打開了“潘多拉的魔盒”，數據侵權后果的不可逆性使兩者無法互相取代。

第二，破除知情同意原則的實踐困境，需要的是對原則內涵的再闡釋，而非否定。學者們對于知情同意的批判主要基于當下缺乏能夠保障同意有效性和真實性的客觀條件和主觀能力的現實，但是知情同意原則并非完全是絕對意義上的無法實現。同意有效性和真實性的瑕疵可以通過制度規則的設置進行強化和補正。法律本身就不應當苛求每一個公民都對數據活動擁有足夠的專業知識和議價能力，甚至通過不斷強化和完善自然人的理性條件而達致跨越技術壁壘和信息不對稱條件的程度。法律應將數據活動經標準化后納入法治框架，使更多公民能夠了解、使用和運用數據交易活動的規則。在法治的框架中，企業專注于自身行為“如何”符合法律規定的要求和標準，而數據主體無需確知這些細節，只需要了解企業的數據活動是否合法，做出“符合”或“不符合”的簡單二元判斷即可。

第三，以數據主體與數據經營者普遍存在的格式合同否認數據主體意思自治的實現，其本質是一種邏輯的謬誤。有觀點認為，數據主體和數據經營者之間的合同往往以格式化的形式呈現，通過用戶點擊“已閱讀且同意”來完成法律所要求的知情同意程序。數據主體可能根本就沒有注意到其中關于自身數據權益保護方面的條款，或者說，即便竭力謹慎地詳細閱讀也不具備徹底掌握、了解進而自主選擇的能力。這種格式合同使知情同意本身實際上已經喪失真實性，淪為數據主體為了接受服務不得不做出的退讓，并不是其對自身數據權利的真實主張。合同法設計格式條款是出于方便經濟活動、減少交易成本的考慮，網絡服務提供者也不可能與每一個用戶簽訂個性化的服務合同。因此，隱私協議中采取格式條款是具有客觀必要性的。這種質疑的意義在于，數據主體在數據獲取環節有限的意思表達開始受到關注，但是從法律價值角度而言，正是由于數據主體有限理性的存在，其數據權益亦更容易受到侵害，因而才更需要通過知情同意原則對作為強勢一方的數據處理者，課以獲取數據主體同意的法定義務。

第四，成本效益的經濟考量不能違背權利保護原則。有觀點從數據處理者的角度出發，強調其對數據的處理和加工所付出的勞動和智力。但是，成本效益的經濟考量僅能從正面證明數據處理者對于數據產品或服務享有一定財產權益的正當性，不能從反面證明個人就必須喪失對原數據的自由決定權。從這一角度論證取消同意機制，本質上是以一方當事人對交易標的的利益訴求，來剝奪另一方當事人對交易標的的權利，其本身就具有不合理之處。如果數據處理者可以未經原權利人的同意就獲取、處理和利用數據，那就是數據交易領域的強制交易行為。成本效益分析是法律制度選擇需要考量的重要因素，但并非是唯一標尺，在人格尊嚴的價值序列上，對于成本效益分析范式的應用要更為審慎，避免落入功利主義的窠臼。對于數據經營者而言，取得數據主體的同意雖然增加了交易前獲取環節的成本，但也相應降低了交易后出現合規方面糾紛的可能性，避免了數據利用過程中的損害賠償等風險。

綜上，知情同意原則的制度困境是伴隨著傳統隱私權進入信息社會互聯網情境中的失控所產生的，源于傳統規制工具與現代社會技術變革所帶來的全新規制環境之間的不適應，以及對于多元利益價值無法回應的缺陷。因此從規范層面而言，同意機制仍然是數據交易合法性的必要基礎，是個人數據在信息時代的“避風港”，是“應該加強而非削弱同意的角色”[17]。對知情同意原則的否認則過于強調其局限性，而忽視了其意義所在。即，知情同意原則需要的不是徹底的否定和推翻，而是在此基礎之上作為補充和例外的平衡性制度安排。

2.1.2 數據交易中知情同意原則的破局路徑

第一，知情同意原則應當與區分規制原則相銜接。知情同意原則需要回歸客體的特殊性，而不應當脫離具體的數據類型進行討論，否則會陷入非此即彼的極端討論之中。數據交易法制本身就是在數據主體權利保護與數據利用之間(保持)利益均衡的結果，對于知情同意原則的選擇和適用也應當體現這一思想。如果完全取消該原則，還能以何來對抗數字社會對個人數據安全和隱私保護的沖擊。愈是在隱私無處躲藏的互聯網時代，對于數據隱私的保護就愈加可貴。但是，如果貫徹絕對化的知情同意原則，也會對數據產業的發展形成桎梏，喪失數據利用給人們在社會經濟文化生活各個方面帶來的便利和收益。

未來數據交易的立法應當根據不同數據的人格價值和重要性，設置不同程度的同意條件，尋求一種相對的、可預見的、具有可行性的個人數據重要程度劃分標準。對主體具有重大的、不可逆轉利益的相關數據，必須設置更高、更嚴格的同意條件[18]。例如，德國針對數據所涉及人格領域的程度，給予不同強度的法律保護[19]。對于敏感數據不但要繼續適用知情同意原則，而且還要強化該原則的要求，進一步加強消費者的控制能力。同時，對于同意有效性較高的數據，在同意的獲取過程中，需要從數據經營者的角度輔以相應的義務來提高數據主體的控制力。根據知情同意原則的要求，為了完善有效同意的知情條件和自由選擇條件，數據經營者應當明確告知數據主體數據獲取的方式、內容、范圍以及數據使用的目的、方式以及可能的后果等內容；給予數據主體充分、足夠和有效的回應途徑(主要包括同意、部分同意以及拒絕三種)；對于涉及特殊主體的數據應當提升同意的合規要求，如對于未成年人數據的收集、處理和使用，不能僅僅依靠未成年本人的同意，還必須獲得其法定監護人的明示同意。

第二，進一步豐富數據主體的選擇權，豐富“同意”的行使方式。用戶在個人數據設置上的選擇權非常有限，大量應用產品的用戶服務隱私協議只能在“接受”和“拒絕”之間選擇。面對產品提供者制定的隱私政策，用戶實際上普遍缺乏選擇權利。因此，對于個人信息選擇權的制度設計，可以從以下方面豐富數據主體的選擇權：對于敏感的個人數據等限制或禁止交易的數據類型，采取“選擇加入”的同意規則(opt-in consent)；對于非敏感個人數據或法定的可交易數據類型，采取“選擇退出”的同意規則(optout consent)。并且，選擇權的內容不應僅設有全部同意或全部否定的二元選擇，而是將數據的獲取、處理和使用根據不同的階段和環節加以細化和區分，允許用戶對數據流通中的具體部分選擇是否同意。

第三，以基于差異化的合理滿足，平衡數據經營者的利益需求。借鑒《2018年加州消費者隱私法案》 (California Consumer Protection Act，CCPA)的立法模式，可以從兩個方面平衡數據經營者的利益需求，以達到激勵交易和推動數據市場發展的目標。一是差異化的知情同意原則要求。對于未成年人數據等特殊類型數據以及高度敏感性數據，在收集、處理和交易相關數據之前必須獲得數據主體的明確同意，采取“optin”模式；對于其他數據則采取“opt-out”模式，即除非數據主體拒絕或退出，否則數據經營者可以繼續收集或處理其個人數據，以鼓勵更多數據經營者進入市場。二是差異化的交易費用機制。數據主體行使權利，拒絕數據經營者在部分數據領域的收集、處理或使用行為，數據經營者不得對這些消費者進行歧視對待。但是，如果數據主體同意的范圍與消費者數據所提供的價值直接相關，則數據經營者還可以向消費者提供不同價格、不同費率、不同品質的商品或服務。以此，在維護數據主體選擇權和用戶公平對待權的基礎上盡量保留市場彈性，給予數據經營者謀求利潤的合理需求空間，并允許企業探索其他可行的收費模式。

2.2 責任和安全保護原則

2.2.1 安全保護原則是責任原則的目的

在一個文明社會里，其法律都會遵照基本的普適性原則，包括安全、公正、效率等。在這些原則中，安全應當是法律的基礎性價值。但是，對于“安全”的價值，不應當僅僅從數據安全的角度進行解讀，而是應當從交易角度、生活角度等多個層面進行多維度的審視。數據安全原則在交易活動中尤為重要，貫穿數據交易行為的始終。霍布斯曾說：“保護生活、財產和契約的安全，構成了法律有序化的最為重要的任務。”[20]數據交易本質上仍然屬于商事交易的一種類型，而交易安全是商事活動中法律追求的終極價值。數據的安全保障在我國網絡信息立法實踐中并不鮮見，例如《網絡安全法》提出建立數據安全保障制度，《證券法》提出完善的數據安全保護措施，《測繪法》提出建立地理信息安全管理制度和技術防控體系，《計算機系統安全保護條例》《計算機信息網絡國際聯網安全保護管理辦法》等均明確規定了計算機系統以及信息網絡的安全保護。但是，這些法律法規一般意義上通常都針對數據存儲的安全要求，并未談及數據交易領域的安全內涵。

數據交易安全保障原則包括物理和法律兩個層面的內涵。物理意義上的數據安全，是指數據應得到充足的安全保護，以免遭受泄露、滅失、篡改和未經授權使用等，包括各種物理保護措施、組織保護措施以及計算機系統保護措施。法律意義上的數據安全，包括靜態安全和動態安全。靜態安全強調權利歸屬利益的確定，是指不同主體之間的法益分配狀態。從權利義務角度而言，靜態安全是交易行為的權利合法性基礎，是民事權利的界限，決定著權利的歸屬。在數據交易領域，數據交易的靜態安全是指權屬層面的穩定狀態，即數據自身權利狀態的穩定，包括數據應當具備保密性、完整性以及合法性。保密性要求數據收集主體在主觀上不能故意或者過失泄露數據，在客觀上應當為數據收集和存儲的安全提供足夠的技術保障。對于數據泄露中存在故意或者過失的應當通過責任機制予以追究，對于技術問題導致的數據泄露應當通過技術標準和準入條件進行防范。完整性要求數據本身具有真實性，在收集的過程中不會被篡改、攔截或者偽造。合法性的核心問題就是數據的所有權明確，這是數據交易合規性的基礎和前提。動態安全以利益流轉為保護對象，有學者將其稱為“交易的安全”[21]。動態安全是數據流轉中的安全，在數據交易領域具體表現為買賣雙方的數據交易行為具有合法性和有效性，不存在法定的無效或可撤銷情形。動態安全的核心問題是數據權屬的合法、明確，包括交易前的締約過程、交易中的交易行為以及交易后的后合同義務階段，確保買賣雙方以及相關利益第三人均不會對數據權利的流轉存在爭議。

2.2.2 責任原則是安全保護原則的基點

互聯網時代萬物互聯，人和人之間、人與物之間、人與機構之間的信息粘連度較高，數據處理從收集開始就面臨著是否會關涉第三方數據的問題。人的行為具有社會性，因此諸如通訊錄、電話往來、聊天記錄等數據中充斥著大量第三方的個人信息。傳統規制框架側重于約束與用戶直接關聯的企業，卻無法約束大數據時代普遍存在的數據流傳和二級利用中涉及的多元第三方企業。諸如美國CCPA等在立法中開始突出責任原則，對企業課以培訓、審計、風險分析等多項責任。例如，該法案要求企業應當根據自身狀況進行相應的人員培訓、外部審計、技術架構設計等，并確保有合作關系的第三方能夠遵守企業自身的用戶信息保護規定；對于第三方企業監管缺失的狀況，規定以隱私風險分析為工具確定相應主體的責任，使所有與信息處理相關的企業都統一適用隱私風險分析的標準。

數據粘連所產生的風險主要表現為，數據是否會因“此次”的同意行為而被數據經營者提供給第三方主體，或者因捆綁于他人的數據而事實上已被收集。較為典型的有如下幾種情形：用戶甲將自身的通訊錄上傳至某網絡服務提供商的服務器上，應當認為該網絡服務提供商獲取用戶甲通訊錄上的所有姓名及聯系方式等信息，只能服務于用戶甲個人存儲和管理的需要，不得基于經營目的處理、加工用戶甲之外該通訊錄上第三方未經授權的信息，亦不得利用用戶甲的數據對通訊錄上的第三方開展商品營銷或者其他服務。在現實操作中，許多數據經營者(如網絡服務提供商)會選擇與第三方主體簽訂保密協議，或者在協議中專門設置保密條款，作為其為用戶數據保密盡到合理注意義務的表現，試圖以此為自身在侵權發生時得以向消費者主張免責。但是，合同具有相對性，數據經營者和第三方主體之間的保密約定無法成為其對消費者造成損害的免責事由。在這樣的背景下，數據經營者需要對第三方主體的數據存儲、使用情況承擔責任。另外，數據經營者可能會援引雙方之間屬于數據合作或分享，并未存在金錢給付情形，作為減輕或免除自身責任的事由。從利益理論的角度而言，有對價就應當視為交易，無論對價是金錢給付還是數據給付，數據控制者均需要對第三方主體行為盡到合理注意的義務。

第一，將數據安全保障原則的落實措施作為盡職調查的重要內容。當數據控制者將數據交付或托管給第三方時，應當對第三方企業開展標準化的盡職調查，這對于大型數據庫的授權和訪問而言是非常必要的風險防范措施。調查內容主要包括總體上的信息安全安排是否妥當，是否有安全事故報告制度、是否有書面的數據安全政策、是否有高度保密數據的傳輸和存儲政策，以及這些數據安全安排的更新和評估情況。同時，對第三方開展隱私風險評估，明確其數據利用目的、數據分析能力、數據匿名技術策略等。

第二，通過詳細的數據安全約定以補強法定義務。數據交易合同是交易行為的基礎，也是雙方權利義務的范圍。但是，實踐中數據交易合同針對數據安全的約定條款較少，往往僅以一條保密條款進行簡略規定。數據交易合同應當增強對數據安全約定的表述，通過關鍵性數據安全條款實現數據安全保障的目的，限制和明確相關責任。

第三，確定特定的以數據安全為核心的合同附件。針對高度保密的數據交易合作，數據控制者通過與第三方在合同中明確數據安全規定的附件，對第三方在處理或存儲過程中加密和訪問控制技術的使用、相關軟件硬件的配置等進行具體約定，將企業在數據使用、技術條件、匿名化承諾、存儲安全、數據處置等方面的安全需求預期進一步細化。

3 產業激勵維度的數據交易法律規制基本原則構建

權益保護并非意味著效率激勵就無足輕重。從國外立法實踐來看，美國在數據法制中更注重對數據的利用，在規則設計上更多考量經營者的利益訴求；而歐盟則更注重對數據的保護，在制度設計中強調以人權保護為規范的邏輯起點，以實現權利保護。立法例的不同進路具有多方面的原因，即使在歐盟地區，也同樣承認數據利用的合理性。數據法制的目的是在數據主體、數據利用者、社會之間形成一種平衡性的法律框架，使利益趨向更大可能的博弈均衡。

3.1 區分規制原則

區分規制應當是貫穿數據法制整個規范體系的原則性內容。如果將數據簡單地分為個人數據、商業數據以及政務數據，可以發現個人數據的核心內容是對于個人隱私的保護，商務數據關注的是對于商業秘密以及數據競爭的規制，政務數據的重點在于國家安全的維護和信息公開的實現。進一步剖析這些數據事實與既有法律制度之間的銜接與適用可以發現，并非所有類型的數據都處于無法可依的規制困境，而是一些類型的數據處于立法空白的狀態，一些類型的數據有法可依但無法進行有效調整，一些類型的數據能夠通過其他部門法的解釋或類推適用得到解決。在這樣的前提下對現行立法進行梳理可以探知，涉及商業秘密的商業數據可通過市場秩序法進行規制，涉及信息公開的政務數據已有《政府信息公開條例》作為初步的規則體系，涉及國家安全的政務數據在現有的法律體系中亦有《網絡安全法》等法律規范，唯有與公民權益最為關切的個人數據尚無一個相對體系化的制度。

3.1.1 規制意義上的數據類型化標準

互聯網時代數據的流通具有必然性，但是如果不加區分地把所有個人數據都視為涉及隱私的敏感數據實行嚴格的限制，可能會忽視其他數據對社會生活、企業經濟發展所帶來的價值和利益。從立法例的多數選擇來看，主要存在敏感性和識別性兩種分類標準。

第一，敏感性標準。敏感數據的劃分在實際操作中需要大量主觀層面的判斷，不同主體對數據是否敏感的認定存在較大差異。國外雖然有許多對敏感信息的范圍進行列舉式規定的立法例嘗試，但仍然難以實現范圍上的周延，因此往往在列舉較為典型的敏感信息之后再以兜底規定予以周全。列舉式規定本身存在不周延性，在客觀上會直接導致范圍的不確定，而兜底規定雖然作為一種補充，但是在判斷上又會回歸主觀感受的認定標準。為避免觸碰法律的紅線，數據收集者在獲取法律明確列舉為敏感數據以外的其他數據時，仍然需要對其是否屬于敏感數據進行個別判斷，增加數據的收集成本。另外，非敏感數據若未經數據主體同意而徑自收集，會導致法律難以規范個人數據收集行為的目的。雖然個人數據保護的根本目的在于隱私保護的需要，但是敏感數據和隱私信息二者之間并不完全等同，并非所有的敏感數據都是隱私信息，并非所有的非敏感數據都不屬于隱私信息，個人數據是否敏感不能僅僅依據其是否觸及隱私而確定[22]。如果機械地將數據劃分為敏感數據和非敏感數據，對于后者可未經權利人同意就能獲取、使用和交易，也會對個人隱私權的保護帶來風險，特別是對于那些雖然為非敏感數據但仍然屬于隱私信息的個人數據。因此，這種認定方式無異于從一刀切式地要求收集者獲取數據主體的同意，演變為一刀切式地劃分敏感數據和非敏感數據，在此基礎上機械性地對于前者課以獲取同意的義務，對于后者放任獲取。如此的區分理論在實際層面并不見得有明顯的制度先進之處。

第二，識別性標準。我國學界普遍認同身份識別標準的區分方式，但對于“身份”“識別”等概念的具體內涵并未形成共識。通過對司法裁判中涉及個人信息的案件進行檢索分析可以發現，識別性標準并非實踐中常用的法律工具，絕大多數案件在判決中都沒有直接提及身份識別的認定問題，而是簡單地給予判定的結果，并未對此做出詳細的論證。截至2019 年3 月1 日，在“中國裁判文書網”上檢索援引個人信息刑事案件司法解釋“法釋[2014]11號”第十二條的判決書，共找到22份，其中所涉個人信息的類型主要包括姓名、身份證號碼、銀行卡及密碼、電話及通訊記錄、地址、車牌號碼、房產信息、交易信息、交通信息等。通過對這22份判決書具體內容的分析可以發現，這些判決書并未從司法裁判視角對身份識別性給予充分的描述，多為關于個人信息概念的引述，或者僅是涉案信息名稱中包含的識別而已。

因此，無論是敏感性標準還是識別性標準，都無法滿足數據交易中多種數據類型的規制需要。數據的分類是明晰各類數據法律屬性，進而確定數據權利屬性的基礎，即通過數據分類以區分不同的規制需要，從而建立有效的數據交易秩序體系。數據的分類要避免非此即彼的機械式判斷，要對數據要素進行綜合分析。

3.1.2 區分規制原則的具體內容

對于某一數據，如果僅采用直接識別作為判斷標準，那么“個人數據”的范疇就過于狹窄，無法形成有效的保護；如果接受間接識別的標準，那么必然要面對數據之間的關聯性問題。數據之間的相互關聯，不僅有單個數據之間的聯系，還存在單個數據與多個數據以及多個數據各自之間交叉縱橫的關聯，甚至間接關聯到無窮盡的其他數據[23]。從技術角度而言，直接識別性數據的范圍可以依托識別技術無限制地得以蔓延[24]。因此，區分規制原則的分類標準需要調和規范性與實用性，具體呈現為綜合性、動態性和場景性。

(1)綜合性。綜合性是指在具體的分類上可以形成4個維度的認定影響因素：識別性(直接識別性、間接識別性、非識別性)、個體性(個體性、社會性)、敏感性(高敏感性、一般敏感性、非敏感性)、適當性(屬于負面清單、不屬于負面清單)。識別性因素是指該數據能夠指向具體個人的難易程度，需要結合識別的成本、識別的難度、識別的技術條件進行綜合考慮；個體性因素是指數據與個人的相關程度，某些數據雖然不具有識別性，但是帶著強烈的個人特色，可以與其他數據相結合后指向特定的個人；敏感性因素是指數據與隱私的關聯程度；適當性是指數據是否違反現行法律法規的相關規定，例如涉及國家秘密、商業秘密、知識產權保護等內容的數據通常屬于負面清單的列舉范圍。缺乏適當性以及雖然具有適當性但在直接識別性、個體性、敏感性中包含兩個或兩個以上因素的數據，均屬于禁止交易的數據類型；符合適當性，并在直接識別性、個體性、敏感性三者中僅包含其中一個的，屬于限制交易的數據類型。

禁止交易和限制交易兩種類型的數據都應當認定為與人格屬性聯系較為緊密，必須采取二元保護模式，同時課以義務保障其人格權益和財產權益；可經過匿名化處理后，通過風險級別的再識別與認定進行分類規制。同時，對這兩類數據實行數據交易許可制度，交易主體必須獲得銷售許可后才能進入市場。對于適當性、間接識別性、社會性、非敏感性四者均滿足的數據，其對于主體的人格權益基本不存在侵害，主要表現為財產權益的損害，因此課以財產權益的一元保護即可。針對該類數據，為了降低市場信息的不對稱性，可以實行交易登記制度，鼓勵更多市場主體通過交易登記更好地保護自身權益，降低數據主體與數據經營者、數據交易監管機構與數據經營者之間的信息不對稱程度。

(2)動態性。有學者認為，應當區分直接個人信息和間接個人信息，對前者主張以財產規則進行保護，對后者則以責任規則和候補性合同規則進行保護[25]，并在責任體系中區分一般個人信息侵權行為和承擔損害賠償責任的侵權行為。其中，對于一般個人信息侵權行為，考慮到不存在財產損害要件，不應為此承擔財產損害賠償責任[26]。這些學者的觀點和理論都為個人信息的分級規制提供了豐富的學理依據，但是這些研究主要采取二元化的分級標準，區分依據相對簡單，恐無法回應數字經濟社會中多樣化數據形態在流通交易中的制度需求。區分規制并非是數據分類因素的靜態劃分，數據之間在識別性、個體性、敏感性、適當性等方面可能存在相互轉化的情況，一些單獨的、常規而言不具有強烈個人屬性的數據也存在向個人敏感數據轉化的可能性。正如張新寶教授所言，敏感信息是一個動態范圍，應當結合當下的科技發展水平、社會發展動態等因素靈活修正其列舉類型[27]。甚至，數據的某些分類因素還可以通過合意進行變更。美國也區分規制一般信息和敏感信息，在具體規定上各州存在區別。根據美國和歐盟的隱私安全港原則，對“選擇權”問題的規定中，個人敏感信息包括醫療健康、人種種族、政治觀點、宗教信仰、貿易組織的成員資格以及與性生活相關的個人信息。相較而言，美國不但注重隱私信息的保護，還將與個人經濟關系相關的信息納入敏感信息的范疇，對于這些信息的使用需要獲得信息主體的明示，方能“為了訴訟、醫療，以及信息主體或其他主體的重要利益”進行使用。同時，美國法律允許當事人之間通過合意約定敏感信息的具體范圍，在立法上對敏感信息的范圍界定具有一定的彈性。

(3)場景性。數據區分規制原則的場景性，是指在3個維度的認定標準之上結合具體的場景進行審查，不能一味絕對化地進行缺乏科學性的抽象式預判，形成數據分類區分規制的階梯性基礎，此外，還需通過除外適用、合理使用以及場景因素的認定等規則予以修正。對于可能引發高風險的具體場景要素，加強數據經營者的信息披露，并為用戶提供具有可操作性和便捷性的操作手段；從法律層面規定“合理使用”的場景要素，規范敏感信息認定的標準；加重數據經營者的風險控制義務，當經營者在信息處理的過程中發現可能產生超出用戶同意范圍的不合理使用或者可能會引發高風險問題時，應當就超出消費者合理期待部分的數據利用行為及其不利后果，以詳細、明確的方式告知用戶。

3.2 合理使用原則

合理使用概念的提出源于美國Folsom 訴Marsh一案，并在1976年美國《著作權法》中被法典化，發展至今已成為各國著作權法中主要的權利限制制度。著作權法中的合理使用是指在一定條件下使用受著作權法保護的作品，可以不經著作權人的許可，也不必向其支付報酬。信息時代的數據存在兩種最為直接的利用價值，一是商業利用價值，二是公共管理價值[28]。傳統的隱私權保護模式側重于強調數據個人隱私權的保護，對于數據財產權向度的利用和交易問題思考較少。信息社會中數據法制不僅關注隱私權利保護問題，還應在數據的收集、處理、使用等方面提供適當的規制框架，以期使數據在受到保護的同時得到合理的開發和利用。2013年世界經濟論壇發布的《發現個人數據的價值：從收集到使用》提出，個人數據的界定應當是動態的，要結合特定的情形，而不是對數據的形式做出預先判斷。其中，需要考慮的因素包括數據類型、收集方式、安全條件、使用方式、交換條件等。有學者認為，GDPR對隱私保護過于嚴苛的數據監管制度，雖然初衷和導向是正確的，但是強制性的規定和合法原則(Rule of Per Se)的適用，實際上并不適合信息技術和數據市場的發展需要和競爭的激烈演進。從市場的角度考慮這一問題，合理原則(Rule of Reason)強調具體問題要具體分析，也許是一種更好的監管思路。即，同意原則是個人數據處理最為基本的正當性基礎，除此之外，法律還應當給予其他正當利用情形以足夠的空間，以促進數據的流通，降低數據交易成本。

合理使用原則是指在符合法定事由的限度和范圍內，可以不經數據主體的同意即可收集、處理和使用數據。GDPR在立法中對用戶同意的例外情形以“數據控制者的正當利益”作為自決權的權利限制，表現了GDPR為用戶個人權利和數據經營者經濟利益之間的利益均衡而做出的努力。該法在第六條“處理的合法性”中規定了同意之外的五種情形：一是為履行數據主體所參與的合同，或者是在合同確立前依數據主體的請求而進行的處理；二是數據控制者為了履行法律職責的需要；三是為保護數據主體或另一個自然人的核心利益；四是數據控制者為了公共利益或因官方權威要求而履行某項任務；五是對于數據控制者或第三方所追求的正當利益是必要的，但這種正當利益不得凌駕于數據主體的基本權利與自由之上，特別是兒童的基本權利與自由。雖然我國目前在立法中忽略了對數據控制者的權利保障，但在行業標準和司法裁判中已經開始逐漸肯定數據經營者在數據業務中享有的正當利益，在具體方式上通過合理使用原則予以肯定。我國行業標準《信息安全技術 個人信息安全規范》也嘗試在用戶同意的情況之外設置11 種例外情形。司法裁判方面，在新浪微博訴脈脈案中，北京市知識產權法院認為，企業對其付出勞動而獲得的數據應當享有合法權利，數據對企業而言已經成為一種商業資本，是經營者重要的競爭優勢和商業資源，新浪微博可以就脈脈未按約定、未獲授權、無正當理由使用其平臺相關數據資源的行為主張合法權益。雖然該案所確立的三重授權原則在更加復雜的數據交易場景中，其適用性將面臨更大的挑戰，但是確認數據為企業商業資本的存在形態，從市場的競爭能力、競爭資源等角度重新檢視數據資源的意義，并基于此形成合理的數據經營者權利體系，是合理使用原則在具體實踐中得以落實必須面臨的基本問題。

值得注意的是，合理使用原則需要避免以泛化的“創新”作為數據經營者降低或規避成本的理由。事實上，減少交易成本、激活數據產業仍然需要從科學監管的制度優化中尋求根本之道。創新被普遍認為是抑制個人數據權益、讓利市場經營活動的“正當理由”。這一觀點的邏輯在于，由于技術創新需要與人權保護需要之間存在著矛盾與沖突的張力，規制者在創新與人權二者中往往以公共利益為由，默許經營者可以不經同意或者降低同意的要件要求，以滿足經營者采集、處理個人數據的需要。作為對價，這種“放任”也會在一定程度上加重了數據侵權行為的發生頻率和嚴重程度。但是，創新與個人數據保護之間是否真的存在不可調和的矛盾，是值得進一步商榷的。實際上，對創新的限制力量主要來源于政府的干預行為。私營部門的創新活動與個人數據的人權保護之間是私權與私權之間的利益均衡問題，更多體現為交易成本的變動。然而，交易成本的問題完全可以通過雙方的充分博弈達致二者利益關系的均衡，在制度設計中可以以知情同意原則、合理使用制度等具體規范予以平衡，并非是完全無解的矛盾。以創新的公共利益之名來限制數據保護，卻并未放松數據領域管制的強度和限度，本身就不是激勵私營部門創新的根本途徑。因此，創新與數據保護之間的利益矛盾，更應當從政府部門的角度尋求解決之道，將私營部門在數據市場上的活動與行為放歸私權領域，促進不同利益主體之間均衡博弈的達成，掃清創新發展的制度障礙。

4 結語

總而言之，數據交易仍然是一個嶄新、年輕但又宏大而復雜的議題。數據交易合法性的質疑主要來自對數據權利主體合法權益損害的擔憂。因此，如何彌合數據權利保護和數據商業化利用中交易激勵之間的沖突，是妥善解決這一憂慮的關鍵所在。面對數據交易帶來的正面和負面的雙重效應，法律究竟應該采取自由主義的觀念不加干預，還是遵循威權主義的規制觀念限制數據收集、使用和交易的能力，抑或在兩個極端之間依托一個相對平衡的利益均衡基點尋求第三條道路。事實上，法律需要做的是在權利保護和效益促進之間尋求一個平衡點，在權利保護的基礎上推動數據交易市場的發展和數據資源的自由流通，這也是中國現階段實現數據法治必須面對的現實問題。