李雅男

(武汉大学 法学院，武汉 430072)

一、数据保护行为规制的主要路径及存在问题

(一)单纯合同保护模式的局限性

数据的价值不仅在于直接出售个人数据而直接获得对价这种显性的方式，而且还体现在向用户免费提供互联网服务的过程中，在这种情况下，数据的价值通常是隐性的。*以搜索引擎广告联盟商业模式为例，联盟网站获得广告费的基础是联盟能够利用用户的搜索历史cookie记录，向用户投放个性化的广告。因此，尽管用户免费使用了搜索引擎，但实际上是用户的搜索记录等行为数据反哺了搜索业务，是搜索业务得以存续和发展的价值源泉。从大数据的利用过程来看，网络运营商对数据进行分析、挖掘，再通过数据的再利用、重组和拓展，从而进行精准营销，这实际上并未赋予大数据独立的财产意义，其与企业的人力资源或市场调研等相似，仅仅为经营或生产要素。数据本身并非财产，其蕴涵的经济价值是企业整体协作的结果。另外，从数据的显性价值来看，不能将数据交易行为看作买卖行为，在数据交易中，并不存在数据归属的问题，只存在“感知”的问题，一旦数据泄露或被他人感知，数据的价值也必将大打折扣，究其原因就在于数据的交易价值体现在数据控制人的自我控制措施上。因此，有学者主张将大数据交易定性为数据服务合同最为妥当。[1]

然而，仅通过合同形式保护数据并不周全。从合同上看，涉及到产品的提供一般属于买卖合同的范畴，而非服务的范畴，服务通常是由人直接完成的劳务。[2]而数据本身已经是一种产品，因此对数据交易的研究不应止步于服务。[3]经济利益在于流通和交换，而财产流通和交易的基础在于财产具有交换价值和使用价值。随着信息数据化表达的实现和大数据交易的发展，在某种程度上，数据已经脱离“行为”而独立存在了，其实际上已经成为独立的民事法律关系的客体，服务合同已经名不符实。经济利益在于流通和交换，而财产流通和交易的基础在于财产具有交换价值和使用价值，随着信息数据化表达的实现，数据具有交换价值和使用价值已经成为现实。另外，由于债权为相对性的“对人权”，如果没有合同的拘束力，将难以追究侵权人的损害赔偿责任。因此，单纯依靠债权法无法对数据形成有效的保障。[4]

(二)《反不正当竞争法》模式的局限性

虽然将数据当作商业秘密进行保护能够在一定程度上起到作用，但很容易形成数据垄断和数据孤岛问题，并不能使数据价值最大化，与大数据时代“开放、共享”的核心价值追求产生矛盾和冲突。数据与商业秘密完全不同，前者的价值在于公开，后者的价值在于保密。因此，拥有数量庞大的使用群体是数据衍生者想要充分发挥数据价值的前提，但是广泛而不特定的群体又使得其难以采取有效的保密措施来控制数据被公众知悉的范围和程度。另外，不正当竞争的适用范围较窄，且需要一定的条件，并不能完全有效地保护所有人的数据利益。竞争关系的存在是适用反不正当竞争法的前提，反不正当竞争法只能规范竞争者之间的行为而无法延伸到非竞争者之间的行为。反不正当竞争法关注的重点在于竞争行为的手段或目的，其对竞争行为指向的客体主要关注的是它们是否体现了某种特有的竞争利益或竞争优势，而并不关注客体本身的性质。[5]反不正当竞争法本身功能定位决定了其在制度位阶上的补充性，其功能主要在于辅助与补充权利法，只能发挥一种事后补救的作用。这种方式无法提供具有法律确定性的系统性前期规范。如果认定数据为一种未类型化权利的法益，而其内涵和保护程度只能体现在个案中，这将导致市场主体没有预设的规则可循，容易导致权利边界不明，这在一定程度上与法律确定性相违背。另外，竞争法主要通过个案考察的方式进行救济，这也要求其考察对象是具体而特定的，这也就意味着，其没有能力对数量庞大的数据集合或为特定化的数据内容作出正确评价。在数字经济下，多样化和动态发展的商业模式层出不穷，已经远远超出了竞争法中不正当竞争行为的类型范围。

(三)数据交易的特点决定了规则的特殊性

数据的交易特点主要包括：第一，数据控制权的持有并不会因为数据交易的完成而丧失，数据的买受人也无法买断数据的使用权，出卖人依旧对出卖的数据享有控制权，可以再次进行销售。在不同的交易模式中，数据的出售方在完成数据交易后，不会丧失对已有数据的控制能力。卖方的交付实际上是对自己所控制数据进行复制并传输给买方的行为，在这个过程中限于数据传输技术本身，买方无法确保卖方删除了交易的数据，所以数据交易的过程不存在所有权的转移，只能通过有偿的方式让买方获得新的数据权，因此，会存在多份相同的数据控制权共存的现象。[注]上海交易中心的《流通数据处理准则》第四条：“4)持有合法正当来源的相同或类似数据的数据持有人享有相同的权利，互不排斥地行使各自的权利；(数据权利可共存原则)。”第二，数据交易的买受人获得了使用数据的权利，对数据的买方来说，数据购买的过程就是获取数据的过程。另外，买方是否可以完全控制购买后的数据并不重要；第三，数据复制、传输的成本相对于数据的价值来说可以忽略不计，且不会影响数据本身的质量。合法的数据交易符合公共利益，不影响数据的价值。在法律意义上，数据交易是基于一定的法律事实而产生，并具有特定权利义务的法律行为，具有相应的条件、程序、途径、后果。数据的复杂性决定了必须对数据交易进行分类讨论，首先确定数据流转的原则作为行为实践的指导，然后进一步细化数据主体之间的权利义务关系。

二、行为规制路径实现的前提：数据交易原则

(一)自由收集与自由流转原则

数据具有价值和使用价值是毫无疑问的，数据能够为社会生产和生活提供必不可少的服务，甚至能够转化为生产力，创造出物质财富。[6]大数据的价值不同于石油、天然气，其价值会随着使用的深入而不断增加。数据的首要价值被挖掘后，仍然能够不断给予，数据的价值往往是无法评估的。数据具有独立性，具体表现为：数据可以独立于主体而存在；数据可以独立转移，而不依靠转移载体或载体。个人信息是开展社会交往和各种社会活动所必需的因素，开展任何社会交往都需要了解一个人，需要收集个人信息来判断其品行、特征等。为开展商业交易，当事人通过审慎调查，了解交易对象的信用记录，这是合理的。一般来说，“任何人都无权阻止别人通过合法途径了解你”是普遍接受的社会规则，那么，任何人也无权阻止他人合法地收集他人的个人数据并利用这些数据做出判断也应当为社会所接受。因此，从实践上来看，无论是数据的收集、占有、支配和流转都应该在现有框架内自由进行，不受他人的非法干涉。

(二)数据共享原则

数据产品具有不可绝对交割和不能排他占有的自然属性，这可能导致多个主体控制同一数据产品，即出现控制的“多元化”状态，可能出现多个分立又有关联的财产权利并存的局面。数据并非是由数据主体创造出来的，也不是智力成果，个人数据仅仅是主体行动的记录或自然结果。数据控制人为每个用户创设了用户文档(profile)或者记录，除了少部分能够直接识别个人身份和联系方式的数据以外，大多数个人数据是由数据控制人(网络服务提供者)创设或生成的。另外，个人数据来源于个人，但是来源并不等同于归属。信息是人类社会交往和社会运行的公共资源，任何人均不能独占，指示和描述某个人的信息并不足以让该个人对该信息具有排他支配权。例如，最直接标识和识别个人身份的个人信息为姓名，但是法律却没有赋予人们对其姓名的排他支配权，姓名权的内涵大多是关于自己能够自由决定自己姓名的权利，姓名权主体并不对其姓名拥有专有权，任何人均可以起相同的名字。另外，对于电话号码这类信息，主体往往仅在合同履行期间享有专有使用权，但并不意味着归其所有或支配。推及到其他的个人数据也是如此，数据可以识别或者描述某人，但是并不足以使个人对该数据形成垄断，数据主体也并不享有排他支配权。基于社会公益性的考虑，社会可以保存某些个人数据，并不是所有的数据都可以因个人的喜好而被社会忘记，个人对自己数据的控制应当是相对的，个人数据具有社会性和公共性，并不是完全由个人排他支配的东西。因此，数据具有公权属性，其具有“准公共物品”和“公私兼备”的法律性质。数据原生者不能对自己产生的数据享有完全的垄断与专有，其私权应当受到制约。[7]

在技术革新的背景下，社会正朝着更具有效率和竞争力的合作共享的有机社会形式转变。分析和分享是大数据的生命力，单纯对数据进行存储和提存，大数据的作用和价值远远没有得到发挥。数据从其产生时即具有共有性和非独占性，这与传统的权利是完全不同的。数据已经成为国家新兴战略资源和产业资源，如今大数据已经为金融、教育、法律、医疗等领域带来了变革性的影响。大数据的终极应用是作为人工智能(Artificial Intelligence)的知识来源和发展动力。[8]因此，基于社会公共利益的需要，应当承认数据为“公共物品”，由社会全体共同享有和合理使用。

(三)区分原则

区分原则主要是指在进行数据交易和利用中，应区分数据与信息、原始数据和衍生数据。对不同的数据予以不同的保护模式。

1.数据与信息。从法律对“数据”进行保护的演进过程来看，欧美国家早于我国进行保护，特别是针对个人数据的保护，即“personal data”，但这一概念在我国有个人信息、个人资料、个人数据这三种主要的对应的概念。1998年英国《数据保护法》第1条第1款明确区分了数据(data)和信息(information)，根据该规定，数据范围较信息狭窄，其仅指自动处理、存档系统组成部的信息。[9]另外有观点认为，数据(data)仅只一系列描述性的事实，而信息(information)往往是有价值的。[10]能够准确地描述事实的数据且符合数据使用人的目的和要求的数据就可以转化为信息。例如，如果一个出卖人想了解一个顾客的信用情况，那么描述这个顾客的种族、宗教信仰的就是数据而不是信息，因为其无法为该出卖人提供关于该顾客的信用情况。[11]

在大数据时代，应当肯定数据的价值，数据与信息的密不可分性。数据作为技术媒介，只是信息表达的方式之一，其外延远小于信息。信息可以穿梭于物理世界与虚拟世界，而电子数据只能在计算机网络系统中存在。数据主要指存储在储存设备中的且无法识别个人身份的信息，往往以比特(bit)的形式体现出来。尽管数据具有媒介的性质，但是与信息传播的传统媒介相比，报纸、书籍等往往是具体物，可以通过物权或者知识产权来保护，但是数据却无法归为物也无法被认定为知识产权的客体，[12]大数据时代的背景下，正是由于技术的极大发展才使得数据和信息的价值空前凸显，信息更侧重于内容，能够直接识别来源主体；而经过技术处理匿名化之后的信息，尽管并不能完全避免被识别的可能性，但是这种识别应该是间接的而非直接的，此时信息转化为数据，因此，数据与信息是可以相互转化的。在利用数据和信息时，应当区分信息和数据，对二者保护的侧重点是不同的。数据侧重于流通和公共利益，而信息更侧重于对个人隐私的保护。

2.原生数据与衍生数据。基于不同的产生方式，数据可以分为“原生数据”和“衍生数据”，或“基础数据”和“增值数据”。[13]原生数据通过合法的记录、储存而产生，并不依赖现有数据，例如用户使用服务的日志数据和用户发表的评论数据等。原生数据的产生是一个从无到有的过程，被记录和储存是原生数据的重要技术特征。从使用的角度看，原生数据并不能被直接使用。从使用价值角度看，原生数据的使用价值有限，当数据量较小时，数据价值直接体现于直观的数据内容。原生数据并不是大数据交易中所要研究的对象，原生数据可以直接被获取的价值是极为有限的，特别是在当今以PB为单位记录和储存数据的背景下。数据使用价值产生于经过特定的算法加工、计算、聚合等处理之后，但是这种从总量数据的相关性中体现出来的则不再是原生数据的使用价值，而是衍生数据的使用价值。[14]衍生数据是一种系统的、可读取的(通过计算机数据处理系统)、有使用价值的数据，其建立在原生数据被合法记录、存储后，并经过特定的算法计算、加工和聚合之后，衍生数据主要包括购物偏好数据、信用记录数据、使用习惯数据等。衍生数据具有使用价值和交换价值，其是目前数据交易市场的对象。相比较记录和存储，加工、计算、聚合等处理则是衍生数据最为重要的特征。[15]因此，衍生数据由于具有独创性，可以为知识产权所容纳，不存在疑问。对于原生数据的保护和权属划分才是研究的重点所在。

三、行为规制路径实现的具体规则

(一)数据原生者与数据衍生者之间的关系

1.数据原生者的权利与义务。数据原生者的权利。数据原生者享有删除权，以防止个人信息被无休止的利用。数据原生者只能通过法定或约定的义务约束收集人，无法通过物理手段控制自己所产生的数据，而这种手段的效力是极其有限的。从域外法来看，《日本个人信息保护法》第27条第1款规定了删除权的内容，但是其遵循的是“法无授权不可为”的原则，即权利人只能在法律明确规定的前提下才可以请求存储人删除。数据原生者请求删除个人数据的权利应当被认为是一种私权，不应当适用“法无授权不可为”的这种规范公权机关行为的原则，而应当适用“法无禁止即可为”的行使原则。因此，权利人可以随时请求存储人删除自己的个人数据或行为信息。但是，基于数据的共有共享原则，个人私权应当受到一定的限制，即存在以下的例外情况：第一，基于保存证据的需要，例如《互联网信息服务管理办法》地14条的规定。第二，基于维护公共利益的需要，例如防控严重的传染病或者其他科学研究的需要。[16]

数据原生者的义务。去身份化后的个人数据可以为其他主体控制和交易，不需要提前获得数据原生者的同意，数据原生者对此有默认允许的义务。当前大数据时代，数据价值多来源于对其进行分析和利用，单纯的数据并不具有较大的价值，只有规模庞大的数据才具有价值，单一的数据其价值十分有限。这实际上颠覆了隐私保护的思想，当前隐私保护法是以个人为中心，数据原生者的同意是其数据能够被收集的基础，数据的控制者应当在权利人同意的范围之内使用该数据，如果该数据不在目的限定的范围之内时，则其负有删除该数据的义务，“告知与许可”是隐私保护的共识性基础。这种保护模式在数据规模较小且计算机数据系统之间没有高度相连的情况下是比较合适的，然而在大数据时代却受到了重大挑战。在大数据时代，数据是人工智能产业的“养料”，这使得根本无法预测数据可能的用途和价值，很多创新性用途在数据收集时无法预料到。因此，数据收集者或控制者根本无法告知其自己都不能预测到的用途，数据原生者也无法判断对其产生的数据的应用可能带来的后果，更无从同意或反对。如果按照传统的个人隐私的保护模式，只要没有得到许可，对任何包涵个人数据的分析、计算或应用都要征求数据原生者的同意，这几乎是个不可能完成的任务。当前的数据以PB为存储单位，数据原生者更是数亿，对于每一数据的应用都要征得数据原生者的同意，即使没有技术的障碍，对于数据分析和利用的效率也会大打折扣，也会给相关的数据公司带来巨大的成本，几乎没有公司能够负担得起这样庞大的费用，这必然会制约数据产业和人工智能产业的发展。如果要求用户或数据原生者同意所有可能的用途，这就导致 “告知与许可”就没有意义了，还可能直接干预用户的意愿，用户为了使用软件或其他服务只能被迫同意。由此可见，传统的隐私保护模式，在大数据时代下并不能发挥良好的作用，其要么过于狭窄，影响数据价值和利用效率，要么过于空泛，根本无法保护权利人的隐私。对于可能识别的个人信息，如果使用数据时仍然要求征得数据产生人的同意、允许访问和修改等法定要求，这反而降低了而不是增加了隐私保护水平，因为只有将这些可能识别的个人信息与具体的数据原生者联系起来，识别个人身份之后，或者将可能识别的个人信息变成已经可以确定身份的信息之后，数据主体才能对利用自己数据的行为表示同意、反对或者要求修改个人数据。这反而使个人信息或隐私有暴露的可能性，给数据主体的隐私带来了巨大的风险。相反，对于匿名化的个人数据的分析和使用，并不会带来巨大的隐私风险，如果相关的风险评级和反识别标准确定后，反而是有利于保护个人隐私的。

2.数据衍生者的权利与义务。数据衍生者的权利。数据衍生者可以收集、利用、交易匿名化后的个人数据，其对自己控制的数据产生的经济利益享有独占性，数据原生者不对此享有财产利益。大数据时代，在平衡个人数据权利保护与个人数据利用之间的关系时，更应当强化对个人数据的利用，注重发挥其经济价值，个人隐私权等权利保护只是个人数据收集、利用行为的限制条件，换句话说，只要相关的个人数据收集、利用行为不会侵害个人的隐私权等权利，就应当肯定该利用行为的合法性。[17]从数据交易的角度来看，对于不涉及到个人隐私的原始数据，数据衍生者可以不经数据主体同意，直接利用或交易。大数据交易的逻辑基础在于数据与数据原生者之间没有了法律关系，在匿名化之后，数据与其产生者之间的联系就被切断。另外，数据的控制者往往对数据的记录、存储投入了巨大的成本，对数据价值进行了挖掘和增值作出了巨大贡献，理应对此享有一定的财产利益。只有数据规模庞大形成大数据时，数据的财产价值才能够体现出来，大数据的价值实际上是一个量变引起质变的结果，而单一的数据价值密度太低，并且数据原生者对其个人数据不存在独占性，数据是共有共享的，数据原生者也没有对大数据的收集、分析作出劳动贡献，其对大数据的财产利益的主张缺乏正当性。从权利的构成来看，数据权属的主体数量大且不确定，客体非特定、无形且不具有独立性，内容方面模糊、残缺，因此如果认定对于去身份化的数据财产利益仍归属于个人所有，其成本过大，远大于数据带来的收益。从经济学的角度来看，科斯定理指出了产权界定在资源配置和市场交易的重要作用。因此，去身份的数据应当认为是可以交易的，且权属应当属于数据控制人。

数据衍生者的义务。第一，数据衍生者应当提高自己的注意义务，建立风险评估制度，对自己的行为承担责任。数据衍生者通过收集和利用数据为自己创造了巨大的财富，其也应当有义务保护个人数据主体的隐私不受侵害。数据衍生者应当对个人数据再利用的行为进行风险评测，并区分数据的用途，包括不需要或者只需要适当标准化保护的用途。根据去身份化数据可能被识别的风险，数据衍生者应当建立风险评估机制，根据风险等级完善规避或减轻潜在伤害。这不仅可以保护个人免受无妄之灾，也有利于数据的创新性应用。一方面，数据衍生者无需经过权利的人的同意就可以收集和交易数据，另一方面起也要为不合格的风险评测和不达标的保护措施承担责任。数据衍生者最有能力了解数据的用途，其也最有能力采取措施控制数据的风险，同时，数据主体自己评估风险也避免了商业秘密的泄露。数据衍生者从大数据交易和利用中获得了巨大的财产利益，由其负担隐私保护的义务也是十分合理的。第二，数据衍生者应当坚持去身份化和匿名化的标准，根据数据的风险等级，降低数据与个人的关联性。对于去身份化之后的数据，数据衍生者应当遵循不能再次识别的义务，如果控制者将其控制的数据提供给第三方(数据使用者)时，其应当在合同中约定第三方(数据使用者)也负有禁止对数据再识别的义务(re-identify)，并负有监督义务，保证第三方的利用行为符合合同约定。虽然去身份化(de-identified)的模式仍然存在着一定的风险，但是其作为一道守护个人信息的闸门，仍然有存在的必要，至少使得个人信息没有被完全暴露。除了去身份化的措施之外，降低数据与主体关联性的措施还包括：在数据中添加“噪音”干扰数据，故意将数据模糊处理，使得搜索结果只具有相似性而不具有准确性等，或者其他使个人数据与主体联系起来成本巨大的措施等。对于去身份化的数据，数据衍生者必须公开承诺，不再试图再次识别数据。如果数据衍生者将识别性的数据提供给第三方，它应当在合同中禁止第三方试图再次对数据进行识别(re-identify)，并采取相应的监督措施保证第三方符合合同规定。第四，数据衍生者负有在一定时间之后删除数据的义务，当数据原生者要求数据衍生者对其控制的数据予以删除时，数据衍生者不得拒绝。数据被收集或利用后，并不要求一定立即删除个人数据，数据衍生者有权较长时间的保留数据。然而，数据存储的时间越长，使用的频率多高，其被滥用的可能性也就越大。社会应当实现对匿名化数据利用的价值与其中可能存在的过度披露的风险的平衡，以最大程度的挖掘数据的潜在价值，促进社会的整体进步。为实现这一平衡，基于各种数据的种类与其与主体之间的相关性，应当对不同种类规定不同的必要删除时间。这一方面，可以消除“永久记忆”的恐慌从而保护个人隐私，限制个人数据存储和使用的时间，同时，时间限制也能激励数据衍生者和数据使用者使用数据的效率，以最大挖掘数据的价值，这样可以达到大数据时代的利益平衡。

(二)数据衍生者与数据使用者之间的关系

数据衍生者与数据使用者(数据原生者、数据衍生者与数据使用者存在重合的可能性)之间的关系主要体现在具体的服务合同中，数据交易主要有三种形态：直接传输(静态交易)、API利用(动态交易)与定制化交易。从交易模式来看，可以分为原始大数据交易，经过甄别、处理后的大数据交易，基于大数据的决策方案交易以及中间商交易模式。数据衍生者与数据使用者之间的权利义务关系也主要体现在这三种交易模式中。但是无论是在何种交易模式中，数据衍生者作为提供数据的一方，都应当承担瑕疵担保责任，保证其所提供的数据不会侵犯他人的隐私权。

1.静态交易中数据衍生者与数据使用者的权利与义务。静态交易是一种原始大数据交易模式，是最为常见的也是最为直接的，往往通过发送文件的方式来完成数据的交易。数据的静态交易是指时效性较弱的数据，其一般不会再随着时间的变化而进行更新。例如社交网站的个人评论的足迹追踪，百度、谷歌关键词搜索统计等。在传统的货物的交易中，所有权的转移问题是交易的核心问题，并由此衍生出一系列的规则，如所有权变更的时间、瑕疵担保责任、无权处分后果、不动产的特殊规则等，对于这些问题的研究甚至可以追溯到罗马法。传统的金融交易与商品交易的对象，都有着天然的产权边界交易完成后，出卖方就不再拥有交易对象的产权，也无法再利用交易对象。即使是像专利、商标这样无形的知识产权的交易，也会通过登记、公告的方式来确认产权的边界。对于数据交易来说，所有权是一个比较模糊的概念。数据因为其本身的属性，数据的交换打破了物的专有与权利专属专有性之间的关联。虽然通过交易，数据的传输已经完成，但数据仍然可以是多人共同占有、使用、收益，同一数据之上可以成立多项、多个种类权利。[18]因此，数据静态交易最重要的特点是买方获得数据的使用权，卖方不丧失利用数据的控制权。由于互联网本身的架构，数据在网络中传输是一种数据的复制行为。

在合同没有约定的情况下，数据静态交易中的买方可以获得全部的权利，不同于二手物品的交易中出卖人会失去卖掉物品的所有权，而数据的卖方仍然具有已经卖掉的数据的各种权利。对于数据的买方，实际上并不只是获得了数据的使用权，在一般情况下，数据静态交易中的买方获得的同样是完整的数据权利，可以进行占有、使用、收益、处分。而且因为数据大多会被用于内部分析而非包装成产品再次出售导致数据的使用不具有外部性，即外部很难探知数据的使用情况，数据产品不似知识产权的授权使用最终要转化成产品面向市场，容易被察觉。数据交易的这种现象也恰恰是数据物体特性的反映，所以数据的静态交易不是一种授权许可。

2.动态交易中数据衍生者与数据使用者的权利与义务。动态交易主要是为了满足大数据技术对实时数据利用的需求，需要具备更高时效性的数据调用技术，因此通过API(Application Programming Interface,应用程序接口/应用编程接口)对数据进行调用，这成为了数据交易中更加灵活的选择。API被厂商广泛地应用于合作厂商之间进行的数据分享之中，其设计目的是让应用程序开发人员得以在无须考虑其底层的源代码或理解其内部工作机制细节的情况下，调用程序功能。在数据的API交易模式中，数据提供方提供API接口，供数据的需求方通过计算机语言访问数据。这种模式并不需要数据提供方将数据全部复制一次性提供给需求方，而是实现了按需访问数据，根据数据调用的次数或者时间进行收费。

这种模式更加灵活，方便数据的提供方根据实际情况及时更新数据库。大多数情况下，以API接口提供数据的访问被认为是数据交易的一种形式，但实际上这与一般意义上的“交易”是存在明显的差异的。一般法律意义上的交易通常存在权利的转移，数据交易虽然并不直接进行所有权的转移，但是仍然会生成新的针对数据的权利。一般意义上的交易是买卖，需要有出售及购买的行为。然而，数据需求方通过API接口获得的是在一定期间内或条件下数据的使用权，这更像是一种租赁行为，而非交易行为，这与数据库的销售类似，企业将数据库销售给尽可能多的消费者在一定期限内使用。在数据动态交易的过程中，数据的卖方可以通过API保持对数据较高的掌控能力，可以随时变更提供数据的范围与数据调用的频率，甚至有能力随时终止数据提供的服务；数据买方有权要求卖方提供符合合同约定的数据。买方通过API接口获得的数据仍然是一种完整的权利，其有权分析、使用或再次出售。

3.数据定制化交易中的数据衍生者与数据使用者的权利与义务。尽管通过数据的动态交易与静态交易可以提供大量且种类丰富的数据，但有时仍然不能满足市场主体对数据的需求。数据需要能够被有关软件读取、解读才能发挥其价值，程序上的可读性是数据具有价值的前提之一，未经整理的原始数据无法发挥数据的价值，因此，需要对原始数据进行加工、整理，而这是一项高成本、低效率的工作。如果能够从数据收集伊始就按照需求方的要求进行整理，可以降低整个数据利用的成本。定制数据一般通过数据交易平台来完成，由需求方提出数据的具体需求，再由数据提供方根据需求进行匹配，提供数据。例如华东江苏大数据交易平台通过“数据众包”或“方案召集”的方式发布需求，卖方接单后需要提供初步的方案供买方决定是否采纳，采纳方案后由买方进行付款。这种交易模式主要以提供大数据应用服务为主。

数据定制交易通常会依赖于数据交易平台进行，是一种以数据为客体的承揽法律关系。与其他两种数据交易形式不同，在数据定制交易进行之前，进行交易的数据是不存在的，销售的过程实际是一个完成数据承揽定制的过程。另外，数据交易平台会深度参与到定制交易的法律关系中，这导致法律关系出现了更多的变数。在数据定制交易中，数据交易平台自己可能会作为承揽人，以自己的技术能力来向买方提供数据。数据交易平台也可能仅作为中介方，提供信息，实际由第三方提供数据。

(三)数据原生者与数据使用者之间的关系

数据使用者应当尊重数据原生者的权利，数据使用者一般从数据衍生者处获得数据，在某些情况下数据衍生者同时也是数据使用者。数据使用者须承担的义务包括：第一，数据使用者需承诺其在数据使用过程中不得侵犯个人隐私，不得对个人信息进行反向识别。第二，数据使用者应当对数据使用行为可能对个人造成的影响进行评测，并对数据用途进行区分。相应地，数据使用者也要为不负责任的评测和不合乎标准的保护措施承担责任。数据使用者对数据进行二次评级，实际上对数据原生者的隐私又加了一层保险，保障了个人数据在使用过程中不被泄露、隐私不被暴露。数据使用者对于数据的使用方式和用途最为清晰，其也最有可能防范个人隐私在其数据被利用过程中被侵犯的风险，这同时也避免了商业秘密的泄露，维护自己的竞争优势。第三，如果数据在被利用过程中导致个人数据泄露，数据使用者应当对此承担无过错责任，无论其是否有过错都应当对个人承担责任。在数据使用者承担过错之后，其可以向数据衍生者或其他相关主体追偿。