赵 俐，李 斌

（新疆财经大学法学院，乌鲁木齐 830012）

改革开放以来，我国搭上了第三次工业革命的快车，经济迅猛发展，在信息时代里跻身世界前列。随着我国不断推动产业升级，数字化领域发展的重要性凸显，数据已成为推动技术进步和产业发展的重要引擎。2014年大数据被写入政府工作报告，2016年“十三五规划纲要”提出国家大数据战略，在国家政策支持下，数据产业规模不断扩大并逐渐走向成熟。爆发式增长的数据对国家治理、社会经济发展和人民生活都产生了重大影响。新兴的大数据产业在推动社会发展的同时受到各种阻碍，法律有滞后性，往往不能对新的法律关系做出及时有效的调整，一定程度上对数据产业的发展造成了阻碍；数据交易作为大数据产业发展的重要组成部分，在发展的过程中也存在诸多不确定因素。因此通过对现有法律和政策的梳理，发现数据交易市场制度中的不足，以此来规范大数据交易，为大数据交易提供更有利的制度保障，才能推动数据产业的发展，进而助力我国在网络智能时代破浪前行。

一、网络智能时代大数据交易现状

（一）现行大数据交易法律环境

随着大数据产业的发展，数据交易规模也在不断扩大，由于法律的滞后性，现行法律已不能满足对现有数据交易市场的保护。虽然近年来我国数据安全方面的立法进程明显加快，在数据法律监管方面日趋严格，但对于数据交易的法律保护还是不足的。当前我国关于数据交易规则的法律法规如表1所示。另外，法律政策方面主要是国务院2015年颁布的《促进大数据发展行动纲要》以及各级地方政府制定的大数据产业政策，此外还有《信息安全技术云计算服务安全指南》《信息安全技术云计算服务安全能力要求》等技术标准和各数据交易平台制定的相关交易规则。

可以看出，当前我国数据交易方面的立法以保护个人信息为核心，但还是缺乏细节性解释，保护与发展不够协调，对于数据交易监管、数据脱敏等合规性方面缺乏规制。近年来，大数据行业异军突起，互联网经济的快速发展远远超过了原有的传统经济形态，数据的价值依赖于其流通性，尽管从中央到地方都对大数据交易监管付出了很大努力，但立法程序复杂、耗时长、法律的滞后性等客观因素使得大数据行业的法律监管停滞不前。当前数据交易安全方面还没有相关上位法对其进行保护，在实践操作中存在诸多问题，可以说许多数据平台现在都是摸着石头过河。法律是保护数据交易安全最有力的手段，一些先进的国家在隐私保护和数据安全等方面已经建立了比较完备的法律体系，我国在数据交易方面的立法还有很大空间。

表1 我国数据交易规则相关法律法规

（二）各地大数据发展产业政策

随着大数据技术的不断发展，大数据应用也从原来的互联网、广告领域向更多领域不断拓展，医疗、金融、政务、交通、教育等各个领域都开始以大数据为分析工具。大数据产业如火如荼地发展离不开政策支持，由图1可以看出，自2014年以来，历届政府都将“大数据”一词写入政府工作报告，党的十九大报告更是提出要推动大数据与实体经济深度融合，为未来我国大数据产业的发展指明了方向。自2015年起，地方各级政府也出台了相关政策并建立相关管理机构促进大数据产业的发展。截至2019年5月，陆续已有14个省级政府成立了大数据管理机构。很多地方政府也将大数据运用到政务服务方面，大数据在与行业应用结合及与政务数据共享方面取得了初步进展。

就目前来看，国务院和各地方政府都根据实际情况制定了促进大数据产业发展的相关政策，但大多数政策都是宏观性、指导性意见，仅仅表明国家和地方各级政府对大数据产业发展的支持态度。从内容上来看，并没有对大数据具体交易规则作出规定，在大数据交易实践中出现的问题很难根据相关政策做出具体裁判。

图1 我国大数据产业政策发展历程

（三）现有大数据交易平台及交易规则

2014年12月31日我国首个大数据交易平台——贵阳大数据交易所成立以来，数据交易平台数量呈“井喷式”增长，在数据平台快速增长的过程中还有少部分数据平台没有交易规则，如陕西西咸新区大数据交易所、优易数据等；即使有数据交易规则的数据平台大多也只是通过用户协议、注册协议的方式做出相关规定，并没有对数据交易安全标准做出相关规定；还有一部分平台以国内首个大数据平台交易规则——华中大数据平台交易规则为蓝本制定了数据交易规则，甚至有的平台交易规则与之相同，可见在数据平台初创期，各个数据平台对数据交易保护的重视程度还不够高。

就现有的平台交易规则来看，规则对数据交易的主体还存在很大分歧，对平台权利和义务的规定也存在很大问题。就交易主体的规定来看，有些平台允许自然人进入平台进行交易，而有些则不允许自然人交易，其根本原因是数据交易规则的不明确，有些平台采取了谨慎的态度，对自然人的交易进行了限制，而事实上数据的主要来源是个人，大量的数据掌握在个人手中，并没有得到合理的利用，也是对数据资源的一种浪费。许多平台对于权利和义务的规定都较为笼统，并且规定权利方面的规则明显多于平台应尽的义务，在数据交易发生问题时，平台的免责声明规避了平台的义务，使得数据交易双方的交易风险增加，归纳总结如表2所示。

总的来说，法律法规、地方政策关于大数据交易更多的都是原则性、指导性的规则，各个数据交易平台的交易规则也未能起到有效保护用户权利的作用，而更偏向维护自身权益。无论是法律法规、政策还是数据平台的交易规则都没有对大数据交易的具体规则做出细节性规定，也没有对当前数据交易市场形成有效监管。因此我国应该尽快制定大数据交易监管方面的法律制度，明确数据所有权，对大数据交易主体、交易内容、数据质量等交易的核心内容进行监管。

二、网络智能时代大数据交易面临的挑战

（一）数据交易的合法性面临的挑战

1.数据权利归属存在分歧

经济科学注重生产资料归属问题，法律科学更加关注财产权的归属。我国法律明确了数据的法律地位，但数据的权利归属并无明确规定。对数据权利这种新兴权利，学界不仅对“数据产权”的概念有争议，同时对数据权利的归属也存在不同的看法。

一种观点认为，数据权利的主体即数据来源的主体（产生数据的人），即个人对个人数据享有所有权和支配权。该观点认为，对数据进行交易可能会对个人隐私造成极大伤害并引发信息安全问题，因此应对数据设立一种新的财产权，与传统的无形财产加以区别，数据来源主体优先享有数据权利〔1〕。这一观点主要以保护个人隐私权为基本论点，但却忽视了数据收集者以及大数据平台在数据收集、分析、处理过程中的产权，数据收集者获取个人数据时与数据权利享有者进行交易、庞杂数据的处理、数据的科学创新归类等都会产生较大数额成本〔2〕。另一方观点则是从数据产业角度考虑，认为数据权利属于数据的控制者，阿里云发布的《数据保护倡议书》中认为在云计算平台上的数据权利绝对属于客户所有。但是这种观点忽视了数据内容中的权利主体享有的权利，不利于隐私权保护〔3〕。

表2 我国主要数据交易所交易规则

目前，制度和实践都对数据权利的归属选择了回避。从法律层面来看，我国《民法总则》并没有对数据权利的归属做出相关界定；从实践来看，大数据交易平台对数据权利的归属也不明确，贵阳大数据交易所《数据确权暂行办法》中仅规定了可供交易的数据为加工过的数据，并没有对原始数据做出规定。在数据交易过程中卖方是否可以继续出卖该数据、数据权利是否转移给买方、买方是否可以将数据转卖等问题突出。

2.数据交易主体有待明确

我国大数据交易主体主要包括数据的买卖双方和数据交易平台（提供信息处理服务的数据交易平台有时也充当买方、卖方的角色），根据《民法总则》来看，自然人、法人和其他组织都可以成为民事交易的主体，但是哪些民事主体可以称为大数据交易主体，我国法律并没有明确规定，各个数据平台对此的规定也不相同。实践中主要存在三个问题：首先，自然人是否可以成为数据交易的交易主体；其次，交易主体准入制度不清晰；最后，是否应该对数据买卖双方进行国籍化差别管理〔4〕。

就自然人是否可以成为数据交易的主体来看，目前大部分交易平台不允许自然人成为交易主体，不过也存在少部分不限制自然人交易的平台〔5〕。就大部分限制自然人交易的平台来看，其并不限制自然人变相注册公司进行交易，因此，在未来是否允许自然人进行交易还有待商榷。就现有的交易准入制度来看，没有统一的标准，目前有两种模式：贵阳大数据交易所实行事前的监管，采取“注册审核制”，只有通过平台审核才能进行交易；另一种是以海尔滨数据交易中心为代表的采取“注册登记制”的制度模式，只需要简单的注册即可在平台进行交易〔6〕。准入制度对交易安全起着至关重要的作用，严格的准入制度必然会降低交易风险但也会限制发展，如何平衡市场效率和风险还值得进一步探究。就是否需要将买卖双方进行国籍化差别管理的问题，根据《网络安全法》的规定①《中华人民共和国网络安全法》第三十七条：关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。来看，在境内运营产生和收集的信息应当在境内储存，确有需要向境外提供的应进行安全评估。数据作为一种特殊商品，具有较高的安全价值和生产价值，数据的跨境流动也会带来一定的法律风险，因此对于境外投资者购买数据是否违反《中华人民共和国网络安全法》的规定还需要进一步明确。

（二）数据交易用户权益保障面临的挑战

1.非法数据交易屡禁不止

非法数据交易是指通过非法手段、非法途径获取数据或者将非法数据加工后进行交易的行为。当前我国大数据交易发展势头良好，各地也纷纷建立了大数据交易平台，但数据交易仍然供需矛盾突出，数据有效供给严重不足，导致非法数据交易的地下黑市规模日益庞大，甚至形成了一条非法数据交易产业链〔7〕。尽管我国一直在打击非法数据交易，但屡禁不止，特别是在出行、酒店、快递等行业更为突出。2018年，某集团旗下的连锁酒店涉及1.3亿人约5亿条开房记录在某暗网交易网站出售；同年，某快递公司近3亿条信息在暗网以两个比特币的价格进行销售；在国外也如此，2018年7月新加坡近1 500万份公民的医保资料信息以每份35元的价格在暗网销售〔8〕。

目前，数据来源非法是我国大数据交易监管的突出问题，主要是个人信息被非法窃取并出售。个人数据在被非法交易之后流向不明，很可能落入犯罪分子手中，其对信息权利主体实施诈骗，使信息的所有者受到骚扰和侵害，并导致不必要的财产损失及精神困扰。非法数据还可能会被倒卖，造成更严重的后果。非法数据交易猖獗反映的是数据安全的问题，不仅会对正常的数据交易市场形成冲击，而且还会侵犯个人的合法权益。应严厉打击非法数据交易，保护公民的信息不受侵害。

2.数据质量标准无明确规定

大数据交易的客体是数据，数据质量是交易双方关注的核心〔9〕。在数据交易过程中，因原始数据更加有利用分析的价值，比匿名化的数据价值更高。原始数据往往会涉及个人隐私，我国法律规定①《中华人民共和国网络安全法》第四十二条第一款：网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。个人隐私在采集和交易的过程中都必须经过权利人的同意，但经过清洗的个人信息除外。在实践中究竟哪些信息属于个人隐私，数据清洗的标准又如何界定都没有具体的规定。

只有明确哪些信息属于个人隐私才能使数据交易双方有章可循，目前有关个人隐私保护的条文大都散见于表1所列的各个法条中，可见个人隐私的保护属于立法者所欲保护法益的重点，个人隐私权有其被保护的价值。但目前并没有一套专门的法律来保护个人隐私，实践中由于各个法律条文对个人隐私保护的理解及角度的差异，很难对隐私的内涵加以全面具体把握。各个主体对隐私的理解不同，导致数据交易主体在清洗数据时的清洗标准不统一，例如某交易主体认为个人学历属于个人隐私范畴便将其清洗，而另一交易主体认为个人学历不属于个人隐私的范畴而未将其清洗，可见对隐私的内涵理解不同最终导致数据质量及处理方式也不相同。

数据处理标准不统一也是影响数据处理效果的关键因素。数据脱敏标准的紊乱极有可能引发个人隐私泄露等问题。不同的脱敏程度可能带来不同的结果，例如某交易主体采用A标准将敏感数据删除，另一交易主体采用B标准将敏感数据涂黑，但通过相关技术可以将其复原，这样采用B标准的数据并不一定能真正起到保护隐私的作用，因此还需要将不同数据的脱敏标准进行分类规定才能更好地保护个人隐私。

3.数据交易平台责任不明确

在现有交易模式下，数据交易平台有着“双重身份”——既是数据交易的监管者，同时也是数据交易的被监管者。作为监管机构，数据交易平台应该对数据交易的全过程进行监督，保障交易安全；作为被监管机构，数据交易平台应接受政府部门的监管。大数据交易时数据提供方提供的数据不符合约定内容、数据脱敏不彻底、数据内容不合法、涉及数据侵害第三方利益等问题不可避免。作为中间商的数据交易平台对此应承担什么样的法律责任，在现阶段也没有明确的法律规定。

实践中，大多数据平台在服务协议中对自己的权利与义务的描述都过于原则化，并且涉及数据平台权利方面的规定很多，义务方面的规定较少。很多平台在服务协议中免除自己对数据质量的审查义务，在发生法律纠纷时，这些条款是否能作为免责条款还有待商榷。

4.数据交易监管缺失

对大数据交易的监管主要包括以行政监管为主的外部监管和以平台自身监督为主的内部监管。近年来我国大数据交易市场发展迅速，规模不断扩大，但是相应监管机构缺失，也没有一部比较全面的法律来规范大数据交易。单纯的依靠大数据交易平台对数据交易进行监管是不够的，数据交易平台参差不齐，小的交易平台想要实施严格的监管可能会显得力不从心，即便是规模较大的数据交易平台，也很难真正做到严格监督。

大数据交易依赖于网络，对大数据交易安全进行监管离不开先进的技术设备和技术维护作为保障。我国网络信息系统普遍落后，很多高科技的芯片、操作系统大都依赖于国外进口，无法掌控核心科技使得我们在大数据科学监管方面显得很被动；另一方面，政府部门缺少科研团队，很多政府部门对网络信息系统缺少及时维护，很难在网络中直接对大数据交易进行监督。

三、大数据交易法律规制的路径

（一）通过法律明确数据交易的合法性

1.明确数据权属

在市场经济中，明确数据权属对于保护交易各方的利益和数据流通都具有促进作用。关于数据权利的性质学界说法不一，有人格权说、财产权说、知识产权说和新型民事权利说等。笔者更倾向于将数据权利定义为一种新型民事权利。数据作为一种权利，兼具数据国家主权、数据人格权、数据财产权等属性，应将不同类型的数据区别划分。

可以将有关数据的权利划分为数据国家主权和数据权利〔10〕。近年来，随着“棱镜门”等事件的发生，各国已将数据主权看作是国家安全的一部分，美国政府更是将数据称为“未来的石油”。不仅如此，数据更多涉及公民的隐私、财产、人身等权益。试想如果国家没有数据主权，那么当他国侵犯本国公民的权利时，本国公民的权利如何得到救济。因此，国家数据主权应处于关键地位。

对于大数据交易平台涉及的数据，更多的是个人层面的。个人数据权利包括数据人格权和数据财产权。数据人格权归个人所有，《中华人民共和国宪法》中关于公民人格尊严不受侵犯的规定可以看作是数据人格权的法律基础，一提到数据保护，隐私权是首要保护客体。数据人格权还应该包括同意知情权和被遗忘权（同意知情权指的是个人有知道自己哪些数据被收集以及被收集后的用途的权利，被遗忘权指数据主体有要求数据收集者删除关于其本人相关数据的权利）。对于数据财产权来说，包括数据的使用、收益权，这些权利应该归数据个人和数据收集的企业共同享有。针对细节性条款可在数据交易合同中加以明确规定。对于企业数据权利的保护，可以按照世界知识产权组织和《伯尔尼公约》的保护方法，通过对数据库进行保护的方法来对数据企业的数据权利进行保护。结合欧洲议会与欧盟理事会《关于数据库法律保护的指令》相关规定来看，对于数据库的保护并不是保护数据内容本身，而是对有选择性编排的独创性数据作品的保护。通过这种保护方式，数据库内容的所有权还在个人，但是数据库中的数据不需要考虑其本身是否是作品，只要符合数据库的保护条件都可以对其进行保护。这种方式赋予了企业在大数据交易中的财产权，可以避免企业利益与个人利益的冲突。

2.规范大数据交易主体

就自然人是否可以成为数据交易买卖主体的问题，依民事主体适格的标准来看，自然人可以成为大数据交易主体。我国法律规定的民事主体包括：自然人、法人以及非法人组织。目前学界仅对自然人主体的适格性达成共识，自然人成为适格民事主体的标准主要包括主体的独立性和经济性、意思能力和内部决策机制。独立性主要包括自然人的意思、行为、财产和责任独立；经济性指若想成为民事主体，应满足社会效益和当事人利益的最大化；而意思自治和决策机制是判断民事主体独立的实质标准〔11〕。因此，按照民法理论来看，在大数据交易中只要符合以上标准的自然人就可以成为适格的数据买卖主体。但考虑到我国大数据交易正处于起步阶段，自然人交易相比于法人交易有很多的不确定性，为保障交易的安全，对于具有不正当数据需求的人应该限制其交易，可以通过要求其提供相关资料证明确有数据需求后，允许其注册为会员来进行交易。

对于现有的大数据交易平台准入机制来看，有的平台实行“注册登记制”而有的平台实行“注册审核制”，考虑到大数据交易的特殊性，建议在今后的立法中限制最低要求，平台根据自身交易的特点制定自己的交易准入门槛。同时数据平台也应该对交易主体提供的信息进行实时审查，确保交易安全。

大数据交易首先应保障国家安全，大数据交易的客体可能涉及危害公共利益、国家安全等信息，同时根据《网络安全法》的规定，重要的数据应当储存在我国境内，外国人交易可能会使数据流向境外，因此外国人进行交易时应该进行二次审查，首先确定其是否可以成为适格交易主体，对交易客体也应该严格审查，保障国家主权和利益。

（二）加强监管，维护数据交易用户权益

1.打击非法数据交易

由于监管制度的缺失、数据交易主体责任不明确以及数据本身的特殊性等问题，非法数据交易屡禁不止。打击非法数据交易，首先应从监管方面做起，建立交易平台准入制度。对于数据“卖方”注册资本、出资方式等加以限制，这样可以通过提高准入门槛来提升交易质量；另一方面要对数据的来源进行审查，确保数据来源的合法性，对于购买特定数据的“买方”，要对其数据的使用目的进行审查，对未尽到审慎审查义务的卖家进行相应行政甚至刑事处罚。另外，在刑法方面要加大打击力度，《中华人民共和国刑法》已经逐步将个人信息犯罪纳入处罚范围，并不断降低打击门槛，但还应该继续完善，对协助者及非法信息的购买者加以处罚，从而制止非法数据交易。

2.制定数据交易质量标准

在大数据交易中由数据质量引发的纠纷不少，数据的质量直接影响数据使用，同时还可能侵害到第三方的权益，因此有必要建立数据质量标准。不仅要将法律信息表述清楚，还要将通用技术问题进行法律规定。2015年俄罗斯在数据保护法中对数据流转问题的规定表明，任何收集到的关于本国公民个人数据都要存储在俄罗斯境内的服务器上或数据中心上。此种对于数据获取方式和储存方式的规定就是将技术问题进行法律规定。在数据技术成熟的今天，这种做法对保护数据交易安全十分有效。受到技术水平的限制，司法机关很难对数据的质量作出明确判断，因此还应建立数据质量评估机构，在数据交易发生纠纷时，作为数据质量的最终评定机构。

完善数据质量标准后，还应对敏感数据清洗做出规范。对于敏感数据的清洗，有学者从保护个人信息安全的角度出发，认为应该将有个体标识的数据删除，但是这一方法影响了数据使用的效率，因此有学者建议采取泛化匿名的方式，将敏感数据与具体对象之间的联系断开即可。本文认为，对于个人敏感信息应区别对待。将与个人密切相关的数据直接删除，而将与个人关联性较弱的数据以泛化匿名的方式清洗。与个人密切相关的信息具有唯一性，数据与主体之间紧密相连，通过这些数据可以识别数据主体，因此删除这些信息才能保证个人信息的安全性；而与个人关联性较弱的数据只需将其断开与主体之间的联系，确保不能通过数据分析处理还原数据主体即可。

建立完善的数据质量标准，有利于数据交易主体对交易数据清洗的统一，也有利于保护个人隐私，同时在出现数据质量纠纷时，可以有章可循并及时解决纠纷。

3.依法规范数据交易平台建设

当前绝大多数大数据交易都是通过数据交易平台来完成的，因此通过规范大数据交易平台来规范数据交易相对来说更为有效〔12〕。相关部门可以从规范大数据交易平台的合法化发展来对大数据交易的相关法律制度进行完善。

首先对数据平台日常运营的合法性方面严格要求，从数据平台的成立到日常运营、维护、对数据交易的监督等都要进行严格的把控，避免非法数据交易，防止一些垃圾数据进入交易市场造成市场混乱。其次，建立数据交易平台信用评级制度，淘汰诚信度较低的平台，为市场提供更加可靠的平台。第三，加大对违法数据交易平台的惩戒力度，增加其违法成本，倒逼数据交易平台自觉抵制非法数据交易。最后，严格要求数据平台加强对交易客体的甄别，避免虚假数据、不安全的数据通过平台流入市场。

4.完善大数据交易监督机制

对大数据交易进行双重监管，通过二元化的监督模式，即平台自我监督和政府行政监督来确保数据交易安全。首先要赋予交易平台监管权，有监管权的交易平台在交易中要对交易的各个要素进行监管，其次上级政府部门要对数据交易平台进行监督。

目前我国交易平台的交易规则对于数据交易监管的规定较为模糊，并没有对数据交易的监督做出明确规定，监督权的缺失阻碍了交易平台监管职能的发挥。因此要明确交易平台对数据交易安全进行监督的义务，从制度层面赋予交易平台监管权利及义务。

有监管权的交易平台要对整个交易行为进行监管。对交易主体应该实行会员注册制，明确会员的入会标准，会员应遵守平台的各项交易制度，平台可根据入会协议要求会员报告在平台交易的相关情况。对于交易客体，应对原始数据和清洗后的数据进行分类管理，对原始数据的交易进行严格监管，对交易数据的质量进行监管，停止不符合质量要求的数据交易。

虽然数据平台对大数据交易已经进行了全方位的监管，但仅依靠大数据平台的监管是不够的。为避免数据平台对大数据交易的垄断以及协调政府监管与平台监管之间的矛盾，要理顺政府与平台之间的关系，确保大数据交易产业的健康发展。平台利用专业技术对数据交易进行监管，政府在出现较大负面效应时应予以必要的监督，两者优势互补，更好地为数据交易提供保障。

数据交易对大数据产业的发展影响重大，在当前的智能网络时代，我们必须抓住大数据产业发展的机遇，推动产业升级，提高综合竞争力。数据只有通过流通才能发掘更大的价值，数据交易作为大数据产业的重要组成部分，也处于初步的探索阶段。在交易的过程中难免存在一些问题，现有的法律已经不能满足数据交易市场的快速发展，因此要规范数据交易平台，打击非法数据交易，通过法律完善大数据交易规则，保障大数据交易稳定发展，维护大数据产业的健康发展。