誰的數據？聚焦數據確權與交易

文《法人》全媒體記者 銀昕

移動互聯網時代，數據對指導生活和生產的意義越來越大，“數據為王”“數據將同石油一般珍貴”等論調不絕于耳。經過處理的數據形成數據包，也可以成為商品，在市場上公開買賣。6月10 日，十三屆全國人民代表大會常務委員會第二十九次會議通過了《中華人民共和國數據安全法》，我國有了第一部以數據為保護對象的法律，而數據交易這門新興生意也因第一次在全國性法律中被提及而引發關注。

數據交易所漸成“擺設”

2015 年，貴陽大數據交易所開業，這是全國乃至全球第一家對數據公開交易的場所。此后，陜西省西咸新區數據交易中心、上海數據交易中心、北京國際大數據交易所等交易機構如雨后春筍般出現。截至目前，此類數據交易平臺已超過30 個。

而在數據安全法出臺之前，尚無任何一部全國性法律提到過數據交易的基本規則和交易機構應履行的義務，幾乎所有交易所都在“摸著石頭過河”。數據交易及交易機構得以在數據安全法中“出鏡”，讓呼吁盡快建立數據交易規則的人們看到了一絲曙光。

“陜西省大數據集團正在我們公司的框架下運行，但因為數據交易的機制尚未確立，正處于半停滯狀態。”2018 年，西安未來國際信息股份有限公司董事長、陜西省大數據集團總經理王茜以全國政協委員的身份出席全國兩會時，和記者曾談及數據交易業務的窘境。

記者了解到，從2014 年開始成立的數據交易機構中，在成立初期會定期對外公布數據交易量和交易金額，但從2018 年開始，這些機構停止對外公布這兩項數字。

CFP

即便是在定期公布成績單的那些年，數據交易機構的成績也不夠好。以貴陽大數據交易所這個“明星項目”為例，根據其官網披露，從2015年4 月開業到2017 年10 月，累計交易額1.2 億余元，交易框架協議近3 億元，發展會員超1500家，接入225 家優質數據源，可交易數據產品近4000 個，可交易的數據總量超150PB；到2018年3 月，會員數量突破2000 家，此后便再也沒有新的交易規模被公布。與之相比，聯想集團一家企業就擁有超過12PB 的數據，每日新增的數據量超過30TB，貴陽大數據交易所掌握150PB 的數據總量并不算高。

到2021 年，數據交易無規可循的問題仍然沒有解決。

直到數據交易和交易機構的身影出現在數據安全法第十九條、第三十三條和第四十七條?！半m然數據安全法只有3 個條目提到了數據交易以及數據交易機構，但總算是對這個行業的交易規則作了初步的規范，這就為數據交易這門生意提供了一個好的開端。”某網絡安全從業者對記者感嘆。

第十九條規定國家建立健全數據交易管理制度，規范數據交易行為，培育數據交易市場；第三十三條規定從事數據交易中介服務的機構提供服務，應當要求數據提供方說明數據來源，審核交易雙方的身份，并留存審核、交易記錄；第四十七條則是對違反第三十三條后的處罰規定。

數據確權，一個不能回避的難題

數據明碼標價公開交易，前提是確權，即確定某段數據或某個數據包的所有者是誰，但這個問題至今沒有解決。

一旦用戶對某段數據主張所有權，但卻被告知這些數據已經被服務商在交易所出售給其他商業機構了，就勢必引發出售者與用戶之間，購買者與用戶之間，購買者與出售者之間關于非法買賣的爭議。在數據確權不明的情況下，為了避免此類拎不清的“無頭賬”，市場普遍對數據交易“不感冒”。

數據到底是誰的？用戶和商業機構，究竟誰才是數據的主人？從數據交易這門生意誕生之日起，便成了行業的“靈魂之問”。

正方的觀點通常是，既然數據是在用戶的使用過程中產生的，數據的主人理應是用戶，而非公司；反方則認為，數據并不是只要有用戶行為就會產生，而是因為服務商提供了一套收集并存儲數據的方式和設備，才產生了數據的概念，在所有權問題上，應當由商業機構和用戶之間協商解決。

作為上位法，數據安全法并未涉及數據確權問題。

上海數據交易中心CEO 湯奇峰認為，用戶理所應當是數據的產生者和所有者，然而，正是服務商的加入，才使用戶的行為被收集和封裝成為數據，服務提供者同樣是數據鏈條上不可或缺的一環。“用戶在服務提供者的幫助下，享受了訂機票、送餐等出行和生活服務的便捷，獲得了將數據提供給服務商之后的‘紅利’。”湯奇峰認為，確權問題勢必應該在用戶和服務提供商之間達成平衡，而不是單方面地強調用戶對數據所有權的主張。

此前，在西方國家的商業層面曾經出現過這種模式：數據所有權歸用戶，商業機構或服務提供商若想收集用戶的使用記錄和個人信息用作商業目的，則支付給用戶一筆錢，用于“購買”屬于用戶的數據，這種模式在我國并沒有在商業上的實踐。

2018 年全國兩會期間，360 董事長兼CEO周鴻祎曾以全國政協委員的身份建議將數據的所有權和使用權分開討論，即所有權歸用戶，使用權歸服務商及經過用戶明示授權的其他商業機構，“前提是保障用戶的所有權，然后允許商業機構在一個明確的框架內利用用戶的數據賺錢?！敝茗櫟t說。

然而，在湯奇峰看來，數據安全法雖然沒有對數據確權進行明確規定，但也微妙地提供了一種區別于以往的確權思路。

“數據安全法第三條對什么行為算是數據處理作了明確的定義：數據處理包括數據的收集、存儲、使用、加工、傳輸、提供、公開等，相當于定義了一個非常完整的數據生命周期，這就為數據確權提供了新思路?！睖娣逭f。

以往的數據確權，糾結于數據在剛產生時的所有權歸屬問題，無論是認為歸用戶的，還是認為該歸軟件公司的，眼光都停留在初始階段，而沒有全生命周期的眼光。湯奇峰表示，在數據安全法定義了數據的整個生命周期后，意味著今后從收集到使用，從傳輸到公開，每段生命周期都要明確數據安全的責任主體，以及出現問題后的懲罰措施?！芭c其糾結于數據到底該歸誰，不如好好研究一下，數據在各段生命周期中如果出現安全問題，該由誰負責，負多大的責，如何處罰。”湯奇峰說。

“先行先試”是否為可選之項？

早在數據安全法尚處于草案階段時，華控清交CEO 張旭東就曾提出，過早、過嚴、過窄地定義和規定數據的所有權，在法律上可能會制約數據產業和數據生態的發展。

一些從業者提出，既然數據確權是“老大難”問題，究竟該不該以立法者的強制規定來一錘定音？如果換一種方式，在“先行先試”的具體實踐中摸索出一套有利于整個數據交易行業的確權方式，然后再以立法或行業規范的方式加以確認，是否可行？

“先行先試”只能從商業機構之間的數據交易開始。

相較于政務數據、金融征信數據和城市運行數據而言，商業數據更容易“在商言商”，形成雙方都認可的價格。但是，在更大的“寶藏”身上，比如醫療健康數據、政務數據、生態環境數據、農業數據等領域，有關部門出于謹慎考慮，缺乏將數據賣出去的動力，這類數據遲遲沒有進入流通環節，“緊握不放”成了常態。

上述網絡安全從業者告訴記者，“先行先試”未必需要面面俱到地在所有類型的數據交易中展開，完全可以就某一類最容易被交易，數據持有者也最有交易動力的數據開始?！皯撌走x商業數據。據我了解，目前各個數據交易所中，最叫座的就是商業數據?！?/p>

在整體交易量的占比上，商業數據的地位已經凸顯出來。湯奇峰此前曾對媒體透露，2020 年，上海大數據產業的商業數據交易已經占到了全國公開交易量的一半以上，商業數據“先鋒隊”的作用可見一斑。

地方性立法已經開始。“上海數據交易中心已經多次參加上海的地方性立法會議，提出了意見和建議?！睖娣逭f，“據我了解，除了上海，深圳也在進行地方性立法，即便是先行先試，也要有法可依?！?/p>