刘 宇

引 言

数据爆炸时代，大数据技术越发深入地介入到人们的生活，不仅形塑着人们的生活方式、创造着人们个性化的需求，催发了崭新的经济业态。依托于大数据，包括供应链、快消品、医疗卫生、物流、基础建设、证券服务等在内的各行各业，在一定程度上实现了数据经济化，大大降低了企业成本，提高了企业的运营效率。〔1〕参见伯纳德·利奥托德、马克·哈蒙德:《大数据与商业模式变革：从信息到知识，再到利润》，郑晓舟等译，电子工业出版社2015年版，第7页。我国于2015年发布了《促进大数据发展行动纲要》，肯定了大数据是“推动经济转型发展的新动力”，大数据产业“正在成为新的经济增长点”。(1)参见《促进大数据发展行动纲要》，国发〔2015〕50号，2015年8月31日发布。然而与快速发展的大数据应用实践相比，现阶段我国在数据立法方面才刚刚起步，法律规范的供给与司法实践的需求之间还存在一定的紧张关系。因此，为了加快推进数据立法工作，扫清未来立法上的理论障碍，学界对大数据相关法律问题进行了诸多卓有成效的研究。但是目前关于大数据的法律性质、权属配置及数据财产权益的保护等问题的探讨大都立足于立法论，鲜有基于既有的法律文本，特别是《中华人民共和国民法典》(以下简称《民法典》)文本，以解释论的立场，展开对大数据交易法律问题的研究。如苏永钦所言，《民法典》本来应该发挥也可以发挥“在变动中维持基本秩序的功能”。(2)苏永钦：《现代民法典的体系定位与建构规则——为中国大陆的民法典工程进一言》，载《交大法学》2010年第1期。所以在缺乏特别立法规范供给的情况下，回溯到私法基本法的《民法典》中，激活《民法典》相关规范，为大数据交易提供可资适用的规范路径既重要又可行。鉴于此，本文以《民法典》为基础，通过法律解释的方法，系统讨论与大数据交易有关的法律问题。

一、《民法典》对数据处理行为的过程合法性控制

大数据是个别数据的集束或集合(3)参见崔国斌：《大数据有限排他权的基础理论》，载《法学研究》2019年第5期。，其形成依托于对海量个别数据的收集、存储、传输、加工、分析和整合。大数据形成过程中，数据处理者对数据的处理行为是否合法应属大数据交易需前提性解决的问题。毕竟交易的标的物若属非法，交易的效力必将受到影响。(4)参见朱庆育：《民法总论》，北京大学出版社2016年版，第294-300页。是故，本文从《民法典》对数据收集处理行为的规制开始讨论。

(一)《民法典》与其他实证法律中的数据

关于何为数据，2004年出台的《电子签名法》第2条规定，数据电文是指“以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息”。而最新出台的《数据安全法》第3条则将数据表述为“任何以电子或者其他方式对信息的记录。”显而易见，在上述法律文件中，数据与信息属于形式与内容的关系。(5)参见纪海龙：《数据的私法定位与保护》，载《法学研究》2018年第6期。信息被转码为数据从而被记录，被记录的数据通过数据转换可以还原为信息。由此对数据的保护也就意味着对特定信息的保护。学界有观点将数据理解为“在计算机及网络上流通的在二进制的基础上以0和1的组合而表现出来的比特形式。”(6)维克托·迈尔·舍恩伯格、肯尼思·库克耶：《大数据时代：生活、工作与思维的大变革》，盛杨燕、周涛译，浙江人民出版社2013年版，第104页。这实际是对数据的技术性描述。相比较而言，《电子签名法》和《数据安全法》的立法定义虽然简短，但更能反映数据与信息之间不可切割的实质关系，便于我们理解数据为何重要，数据交易如何可能，以及为什么要对数据予以保护。

《民法典》并没有像《电子签名法》《数据安全法》一样直接规定何为数据，但在第1034条规定：“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息”。自解释而言，所谓电子记录的自然人信息实为个人数据的另一种表述(7)参见黄薇主编：《中华人民共和国民法典人格权编解读》，中国法律出版社2020年版，第207-208页。，在比较法上，也存在较多立法例直接以“个人数据”指称个人信息。(8)参见梅夏英：《数据的法律属性及其民法定位》，载《中国社会科学》2016年第9期。而《民法典》未采“个人数据”这一术语转用“个人信息”,主要原因有二：其一，与既有的立法保持术语一致，如《刑法》《电子商务法》《网络安全法》都使用的是“个人信息”；其二，个人数据只是个人信息的载体，《民法典》意图保护的非这一信息载体，而是信息本身。相较于个人数据，个人信息更能反映规范目的。(9)参见黄薇主编：《中华人民共和国民法典释义》(下)，法律出版社2020年版，第1921页。实际上二者所指称的范畴几乎一致，只不过个人信息除了以个人数据的形式表现以外，还可以通过传媒、书本等传统介质呈现。是故《民法典》对个人信息处理行为的规制，也就必然构成对个人信息载体——个人数据的规制，进而控制着大数据的产生。

(二)《民法典》中个人数据的可收集性

既然个人数据属个人信息的一部分，《民法典》有关个人信息与隐私权的规范对于数据的处理行为(收集行为)(10)《民法典》所采“处理行为”包括对个人信息的“收集、存储、使用、加工、传输、提供、公开”等行为，而本部分主要讨论的是处理行为中的收集行为。参见黄薇主编：《中华人民共和国民法典释义》(下)，法律出版社2020年版，第1917、1927页。就具有相当的规范意义。具体来看，通过《民法典》第1033条、第1034条的规定，个人信息实际被区分为个人私密信息与个人私密信息以外的其他个人信息(非私密信息)，且在规范适用上，采取了一种“阶层递进”的模式。(11)石佳友：《隐私权与个人信息关系的再思考——兼论私密信息的法律适用》，载《上海政法学院学报》2021年第5期。申言之，私密个人信息在隐私权的射程之内，受权利构成更完整、保护程度更高的隐私权保护(12)张璐：《何为私密信息？——基于〈民法典〉隐私权与个人信息保护交叉部分的探讨》，载《甘肃政法大学学报》2021年第1期。，而非私密信息则由个人信息保护制度提供一般性的保护。若个人信息保护制度提供的保护方式，隐私权没有规定，则私密信息亦可采个人信息保护制度规定的方式。此时，私密信息与个人信息并不是对立关系，而是包含关系。值得注意的是《民法典》所采私密信息与非私密信息的分类与最新出台的《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)的分类并不相同。《个人信息保护法》将个人信息二分为敏感信息与非敏感信息，并对二者提供不同程度的保护方式，其中敏感信息主要指“生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息。”对此，笔者认为，在解释上《个人信息保护法》所规定的敏感信息应属《民法典》之私密信息，以维护“法的统一性”，避免不同法域之间评价上的矛盾。(13)参见齐佩利乌斯：《法学方法论》，金振豹译，法律出版社2009年版，第74页。

基于以上认识，互联网数据从业者在海量收集处理个人数据并形成大数据时，不能非法涉及个人的私密信息。《民法典》第1032条规定私密信息具有排除他人刺探、侵扰的效力，互联网主体不得非法收集、存储。此外，《民法典》第1033条亦明确，除法律另有规定或者权利人明确同意外，任何组织或者个人不得实施处理他人私密信息的行为——此即私密信息的告知同意原则。(14)参见吕炳斌：《个人信息保护的“同意”困境及其出路》，载《法商研究》2021年第2期。由此，互联网数据从业者未经权利人明示同意，对权利人个人私密信息数据的处理行为(收集行为)属于侵犯权利人隐私权的非法行为，应承担相应民事责任。倘若数据从业者在收集、存储海量个人数据进而形成个人数据集合(大数据)时涉及上述私密信息数据，又未取得权利人明示的同意，则这类个人数据集合产品本身属于侵权产品，无法上市交易流通，不能作为大数据交易的标的物。

而对于非私密信息的处理，依《民法典》第1035条规定，数据从业者应当遵循合法、正当、必要原则，不得过度处理，需征得该自然人或者其监护人同意。从第1035条规定的形式上看，对于非私密个人信息，《民法典》依然采取了告知同意原则，即“征得该自然人或者其监护人同意”。但就解释论而言，若非私密个人信息与私密信息都采取同等强度的告知同意原则，二者的区分就再不具有体系方面的实质意义。职是之故，笔者认为应将非私密信息的“同意”解释为一种“弱同意”。(15)参见蔡星月：《数据主体的“弱同意”及其规范结构》，载《比较法研究》2019年第4期。所谓“弱同意”是指，除了前述隐私权规范要求的明示同意外，数据主体的默示同意亦可构成同意。(16)参见黄薇主编：《中华人民共和国民法典释义》(下)，法律出版社2020年版，第1917页。以此言之，网络服务商公示告知了隐私政策，而用户并不拒绝使用该网络服务商提供的服务的情形，也可在规范层面构成第1035条的“同意”。进言之，考虑到在解释论层面需实现“等者等之，不等者不等之”的要求(17)易军：《民法基本原则的意义脉络》，载《法学研究》2018年第6期。，故应对第1035条的“同意”作扩大解释，以保证在“同意”这一法律语词的语义空间之内，选择 “就使用该法律语词的特定法条而言最恰当的语词含义”(18)齐佩利乌斯：《法学方法论》，金振豹译，法律出版社2009年版，第67页。，避免不当的等同。事实上，这一扩大解释的结论也能更好地同既有的一些规范性文件的意见保持一致。(19)国家质量监督检验检疫总局、国家标准化管理委员会在2012年11月5日批准发布的《信息安全技术公共及商用服务信息系统个人信息保护指南》(GB/Z28828-2012) 5.2.3条规定，“处理个人信息前要征得个人信息主体的同意，包括默许同意或明示同意。”

即使将第1035条的“同意”解释为弱同意，但仍需数据主体形式上的同意。而数据主体享有的信息控制权益与信息的流通之间就会存在一定的紧张关系，这种利益格局难以顺利推动数据要素市场的发展，也会对大数据产业造成冲击。正因如此，《民法典》除了确立个人信息数据处理的“告知同意原则”外，《民法典》第1036条又另行规定了个人信息数据处理例外性的违法阻却事由。根据第1036条，若互联网主体“合理处理该自然人自行公开的或者其他已经合法公开的信息”便不承担民事责任。易言之，在非私密个人信息中，《民法典》又作了二分处理：一类是未公开的个人信息；另一类是已公开的个人信息。对于前者，互联网数据从业者需遵循弱的“告知同意”原则才能收集处理，而对于后者，数据从业者可以直接收集处理而不会侵犯数据主体的权益。《民法典》采取的这种个人信息处理的例外规则，可以兼容个人信息保护与促进信息自由流通这两方面的价值。需要注意的是，即使数据从业者收集处理的是他人已公开的个人信息，若这种收集处理侵犯了该自然人的重大利益或有违该自然人明确的意思表示，行为人也不能免除责任。要之，已公开个人信息的例外处理规则，实际上是基于公共利益的考虑对私法自治施加的必要限制，于是在逻辑上这一限制符合比例原则的要求。(20)参见郑晓剑：《比例原则在民法上的适用及展开》，载《中国法学》2016年第2期。

综上而言，《民法典》的隐私权制度和个人信息保护制度，对数据从业者的数据收集行为提出了一般性的私法规制。对于不同性质的个人信息，数据从业者收集时应当满足不同的标准。对于私密信息，数据从业者收集前需要获得数据主体的明示同意，否则隐私权规范将否定数据收集行为的合法性。对于私密信息以外的非私密个人信息，一般而言数据从业者收集时也应获得数据主体的同意，只不过这类个人信息仅需数据主体的弱同意即可。除此以外，若自然人的非私密信息业已被公开，则数据从业者可径直收集，而无须经过数据主体的同意。但此时数据从业者应注意其收集行为不能损害数据主体的重大利益，也不能违背数据主体明确的意思表示。只有符合上述标准收集的数据进而形成的大数据产品才是合法数据产品，若非如此即陷于非法，而不得上市交易。当然，大数据产品除了由个人信息组成的以外，还有单纯的事实数据，例如气象信息、地理信息、政府信息等。(21)参见桂祥：《大数据时代个人信息中间商模式分析》，载《上海对外经贸大学学报》2021年第1期。事实数据主要经由公法管制，《民法典》作为私法只能通过第127条，为这类数据产品的权利保护留下私法接口。

(三)《民法典》中个人数据的可交易性

《民法典》除了借助隐私权和个人信息保护制度明确哪些个人信息数据能够被收集外，对于何种个人数据信息能够上市交易同样作了一般性的规定。根据《民法典》第1038条，“信息处理者不得泄露或者篡改其收集、存储的个人信息；未经自然人同意，不得向他人非法提供其个人信息，但是经过加工无法识别特定个人且不能复原的除外。”是故，一般而言，向他人提供个人信息数据的，需事先征得数据主体的同意，但若个人信息数据经过加工后，无法被识别为特定个人信息数据且不能逆向复原，这类个人信息数据即使没有取得数据主体的同意，互联网数据从业者也可将其交易给第三方。简而言之，本条所确立的规则是，在个人数据流转过程中对数据的匿名化处理可排除告知同意原则的适用。(22)参见林洹民：《个人信息保护中知情同意原则的困境与出路》，载《北京航空航天大学学报》(社会科学版)2018年第5期。本条采用的规范原型可追溯至欧盟1995年制定的《个人数据保护指令》(GDPR)。该指令第2条规定，“受保护的个人数据是指一个已经被识别或者可以被识别的自然人( an identified or identifiable natural person) 的有关信息。”根据该法令，已经被识别或可能被识别为特定自然人的个人数据是受保护的个人数据。对此的反对解释自然是，若数据无法识别为自然人的则该指令不予以保护。

然而，《民法典》第1038条中所言“无法识别特定个人”范围较广，语义空间较大，应作相应的限缩解释。因为随着信息技术的迅猛发展，大数据重新识别分析的技术功能越来越突出，原则上所有个人数据，无论是否匿名，无论是否作了深度的加工处理，拥有较强技术资源的主体借助特定的技术手段都能识别出数据主体的真实身份，从而击破个人数据的匿名性。(23)See Paul Ohm, Broken Promises of Privacy: Responding to the Surprising Failure of Anonymization, 57 UCLA Law Review 1701, 1752(2010).该文中 Paul Ohm 指出当下被技术人员掌握的对数据进行再识别的技术手段，使得人们关于数据身份匿名化的传统观念化为泡影。就客观的技术现状而言，已经不存在不能被识别的个人数据，只有识别难易程度不同的个人数据。(24)参见黄锫：《大数据时代个人数据权属的配置规则》，载《法学杂志》2021年第1期；吕炳斌：《个人信息保护的“同意”困境及其出路》，载《法商研究》2021年第2期。易言之，“可识别性”实际关涉的是一种程度要求而不是全有全无的特性。(25)参见齐英程：《我国个人信息匿名化规则的检视与替代选择》，载《环球法律评论》2021年第3期。正如卡多佐所言：“在现代法律科学中，最重要的推进也许就是以分析性的态度转向以功能性态度对待法律。着重点已经从戒律的内容转向实践中戒律的效力，从救济是否存在转向为实现该戒律的设计目的而设计的救济能否获得以及是否有效。”(26)本杰明·卡多佐：《司法过程的性质》，苏力译，商务印书馆2019年版，第40页。而在大数据再识别技术优于匿名化技术的当下，若将第1038条中的“无法识别”解释为无任何识别的可能性，就会导致《民法典》第1038条的但书部分缺乏实践上的可操作性，规范所“设计的救济”无法有效地被数据处理人获得，从而成为一纸具文。要之，“法律解释不仅仅意味着寻找字句背后的意义，而且还意味着：从字句所涵盖的各种不同的意义当中选择出正确的和决定性的意义。”(27)齐佩利乌斯：《法学方法论》，金振豹译，法律出版社2009年版，第60页。是故，更合适的解释路径应是，将“无法识别”限缩解释为“无法直接识别”，即具备合理能力的普通人，不能通过一般性的技术方法 ( 如搜索引擎、公共图书馆、电子档案等) 将个人数据与特定个体构建起对应关系，从而识别出特定个体的身份。(28)参见黄锫：《大数据时代个人数据权属的配置规则》，载《法学杂志》2021年第1期。依此解释，若个人数据仅能被黑客或者掌握娴熟大数据分析技术的专业技术人员识别，而不能被普通人借助日常可利用的资源予以识别的(例如普通网民的人肉搜索)，则仍属于1038条但书所称的“无法识别”的个人数据，因而可以打包后上市流通交易。

“无法直接识别”这一解释结论除了赋予《民法典》第1038条实践意义外，也可在体系层面解决《民法典》第1038条与第1034条可能存在的冲突。《民法典》第1034条所定义的个人信息乃是“以电子或其他方式记录的能够单独或者与其他信息结合识别特定自然人的信息。”换言之，个人信息的一个关键元素是“可识别性”。(29)参见黄薇主编：《中华人民共和国民法典人格权编解读》，中国法律出版社2020年版，第209页。而第1038条但书部分规定，若个人信息“无法被识别”则能够例外地阻却向他人提供时的违法性。此际，若认为应该在第1038条坚持绝对的“无法识别”性，则第1038条但书部分规定的例外情形本来就不属于第1034条定义的个人信息。既然不属于个人信息，就不具备特定人格利益，是否能够流通应属私法自治的领域，谈何例外地阻却违法性呢？而立法将不得非法提供的个人信息与非属个人信息的数据流转以但书方式联结在同条之中，显然也缺乏必要的逻辑关联。因此坚持绝对的“无法识别”性，不仅使得第1038条缺乏适用可能性，也将造成“两个法条针对同一事实规定了彼此互相排斥的法效果”。(30)卡尔·拉伦茨：《法学方法论》，黄家镇译，商务印书馆2020年版，第394页。但如果采用“无法直接识别”这一解释结论，则上述规范矛盾将迎刃而解。此时，第1038条但书部分规定的无法直接识别的信息仍属第1034条的个人信息，只不过其属第1034条规定中“与其他信息结合才能识别的个人信息”而已。(31)“无法直接识别”这一解释结论对《个人信息保护法》第4条第1款的理解亦有参照意义。申言之，在此处，法秩序应当被思考成一个整体、一个价值判断尽可能一致的体系，法律适用者在解释法律的单个组成部分时，不能孤立、无视其规范性的语境。(32)恩斯特·A.克莱默：《法律方法论》，周万里译，法律出版社2019年版，第55-56页。

最后《民法典》第1038条对可流通的个人数据的规定，也与当下一些大数据交易所的交易实践相吻合，例如贵阳大数据交易所，对其交易品就有明确规定。在该所中能够被交易的大数据不是底层数据、原始数据，“而是经过数据清洗、建模分析的数据结果。”(33)参见梁宇、郑易平：《我国数据治理市场的困境与突破》，载《新疆社会科学》2021年第1期。不难发现，《民法典》1038条但书部分的“经过加工无法识别特定个人”实际就是贵阳大数据交易所规定的“经过数据清洗、建模分析的数据结果”(34)当然实践中也有一些大数据交易所，如中关村数海大数据服务平台、安徽大数据交易中心等，原始数据和加工数据都可以交易。参见张敏：《我国大数据交易的立法思考》，载《学习与实践》2018年第7期。。概而言之，《民法典》语境下可交易的个人数据(信息)可以归结为：经过加工，无法被普通人直接识别为特定个人的数据。

(四)《民法典》与数据产权的配置

个人数据和大数据的确权问题比较复杂，我国立法暂未跟进，规范供给总体而言略显不足,《民法典》层面仅第127条规定，“法律对数据、网络虚拟财产的保护有规定的，依照其规定。” 然而第127条属前瞻性的原则立法，只是宣誓性地表明，私法将对数据这一新型的财产性权利对象提供保护，至于谁是这一权利的主体，如何对这一权利进行保护，则并未明确，需交由未来立法勘定。是故，就本条性质而言，其应属苏永钦教授所称的转介条款，是《民法典》为其他专门规定数据的特别法留下的私法接口(35)参见苏永钦：《现代民法典的体系定位与建构规则——为大陆的民法典工程进一言》，载《交大法学》2010年第1期。，便于未来在保持《民法典》本身稳定性的情况下，将其他法律依公共理性对数据产权作出的法律判断引入私法秩序中。在解释上，本条唯一的规范意义是，数据作为一种财产性的权益受私法保护不再存疑(36)参见李宇：《民法总则要义》，法律出版社2017年版，第408页。，但对消弭数据的确权争议，效果有限。也正因如此，当下对数据、大数据的确权及权属的讨论仍集中在立法论层面，这与本文基于解释论的立场探讨大数据交易相关法律问题的路径不同，故笔者对这一问题不再赘言。笔者认为，原则上，大数据产品的财产权益主体应当是大数据产品的开发者，而非分散的个人信息的原始主体。究其原因有二：

其一，《民法典》采纳了对个人信息数据的人格权保护思路，对于个人数据，大体以数据是否私密为标准，区分为受隐私权保护的私密信息与受个人信息制度保护的非私密信息。就私密信息而言，由于隐私权具有强烈的伦理性和情感性，属人格权的核心范畴，所以不能赋予私密信息财产权益，将其对象化为交易标的(37)参见王泽鉴：《人格权法：法释义学、比较法、案例研究》，北京大学出版社2013年版，第46、252页。，否则即存损害人之尊严的风险，此无须多论。相较而言，非私密个人信息数据离人格的核心稍远，且具备一定流通性，存在构成个人财产性权益的空间。但依《民法典》第993条规定，“民事主体可以将自己的姓名、名称、肖像等许可他人使用”，其间并未包括个人信息数据。(38)最初《人格权编》(征求意见稿)规定的是“民事主体对其名称、肖像、个人信息等具有经济利益内容的人格权益享有支配的权利，可以许可他人使用。”但最后立法放弃了将个人信息纳入，可见立法者经过权衡之后否定了个人信息的法定财产属性。对此的讨论可见张璐：《何为私密信息？——基于〈民法典〉隐私权与个人信息保护交叉部分的探讨》，载《甘肃政法大学学报》2021年第1期。同时，《民法典》对个人信息保护制度采取的是行为规范的模式，而非如同肖像、姓名、名称的权利规范模式。(39)若以哈特式的法理学规范范畴对此分析，则个人信息保护制度属于初级的“科予义务的规范”，而肖像权等权利的规范属于“授予权力”的次级规范。参见H.L.A.哈特：《法律的概念》，许家馨、李冠宜译，法律出版社2011年版，第27-31页。所谓权利规范模式是指肖像权、姓名权等权利是否被侵犯的判断标准在于行为人是否取得了权利人的授权。(40)参见高富平：《同意≠授权——个人信息处理的核心问题辨析》，载《探索与争鸣》2021年第4期。而行为规范模式则是说，处理个人信息的行为是否侵权端赖该处理行为是否符合《民法典》规定的行为模式，如对已经公开的个人信息以及无法被直接识别的个人信息，即使数据处理人未获授权，依然可以合法处理。由此可见，人格权财产利益的授权规范模式在个人信息处理的场合难以逻辑周延，自然人在解释上也难以对其个人信息享有财产权益。(41)笔者仅主张自然人对其个人数据不具有法定财产权利。但私人之间通过法律行为约定个人数据具备财产价值则不在此限。

其二，在司法实践中，关于大数据的处理主体(数据从业者、网络运营主体、网络服务商)是否对其工作产生的大数据产品享有法定权利已有重要判例。例如，在著名的安徽美景信息科技有限公司、淘宝(中国)软件有限公司商业贿赂不正当竞争纠纷一案中，法院认为，网络大数据产品的数据内容虽然源于个人数据，但经过数据从业者大量的智力劳动成果投入，经过深度开发与系统整合，最终得到的数据内容，已独立原始网络数据之外，是与网络数据无直接对应关系的衍生数据，数据从业者对于其开发的大数据产品，应当享有自己独立的财产性权益。另外，法院还指出，“网络用户信息作为单一信息加以使用，通常情况下并不当然具有直接的经济价值，在无法律规定或合同特别约定的情况下，网络用户对于其提供于网络运营者的单个用户信息尚无独立的财产权或财产性权益可言。”(42)参见安徽美景信息科技有限公司与淘宝(中国)软件有限公司商业贿赂不正当竞争纠纷案，浙江省杭州市中级人民法院(2018)浙01民终7312号判决书。换言之，现有的司法观点显然支持大数据产品的开发者对其开发的大数据产品享有财产权，同时否认了单个的个人数据构成独立财产性权利的可能。(43)在更早的“百度隐私侵权案”中法院也认为，网络服务商或数据从业者对于用户浏览信息的自动抓取收集行为不构成侵权。若个人数据是一种独立的财产性权利，上述行为显然缺乏合法性。参见北京百度网讯科技公司与朱某隐私权纠纷案，江苏省南京市中级人民法院(2014)宁民终字第 5028 号民事判决书。

二、大数据交易合同的法律性质

现阶段的市场经济环境下，市场主体对大数据的利用主要分为两个方向。第一是网络运营主体对其在提供网络服务时产生的数据进行分析、处理、整合后自行使用，以此提升企业的个性化服务能力，优化企业的盈利模式。第二是数据从业者直接通过大数据产品的交易获取经济利益。(44)参见齐爱民、盘佳：《数据权、数据主权的确立与大数据保护的基本原则》，载《苏州大学学报》(哲学社会科学版)2015年第1期。第一种大数据利用方式不涉及大数据的市场流通价值，其主要作用是企业竞争中的一类有价值的信息资源，更多体现的是大数据作为生产要素的属性。第二种以大数据交易的形式对大数据的利用，体现的是大数据在流通市场中的交换价值，这也是各地大数据交易所存在的意义。就市场主体之间签订的大数据交易合同属于民事合同的一种而言，几乎不存任何疑义。但目前，对于大数据交易合同具体属于哪一类民事合同，理论和实践中还存有较大争议。随之而来，因履行大数据交易合同而产生争议后，应适用何种合同规则予以处理，疑窦丛生。是故，有必要对此问题进行详细讨论。

(一)大数据交易合同法律性质既有观点评析

1.著作权转让、许可合同

考虑到著作权客体与数据的相似性(45)相似性体现在数据和著作权的客体一样具有无形性、可复制的特点。参见包晓丽：《数据产权保护的法律路径》，载《中国政法大学学报》2021年第3期；杨永凯：《企业大数据财产权利的归属及交易规制》，载《石河子大学学报》(哲学社会科学版)2019年第1期。，一些观点将大数据交易合同认定为著作权类合同并不难理解。况且，数据和著作权的确又都具有公共物品的性格(46)参见卢扬逊：《数据财产权益的私法保护》，载《甘肃社会科学》2020年第6期。，法律认可数据和著作权的财产性权益，很大一部分原因是意图通过经济激励来促进知识和信息流通。(47)参见周泽夏：《知识产权法经济分析的理论基础——基于〈知识产权法的经济结构〉的讨论》，载《政法论丛》2018年第4期。实践中亦有一些法院直接使用知识产权的有关规定对数据纠纷予以救济。(48)参见包晓丽：《数据产权保护的法律路径》，载《中国政法大学学报》2021年第3期。从这个角度来看，著作权转让、许可使用的法律制度与大数据交易在法律适用上确有显著的亲缘性。事实上，《与贸易有关的知识产权协议》(TRIPS)第10条和《著作权法》第14条都作了明确的规定，若数据从业者对数据的选择或编排体现了一定独创性，则这类作品构成《著作权法》上的汇编作品。对这类构成汇编作品的数据交易，我们可简单适用著作权转让合同和著作权许可合同有关法律规则即可。

但若基于上述原因，将大数据交易合同认定为著作权类合同已达解释上的允恰，未免速断。著作权类合同的解释结论首先面对的解释困境是，要将大数据交易合同认定为著作权类合同，必须前提性的要求大数据产品具有著作权作品所必备的独创性，而许多大数据产品并不能满足这一要求。(49)参见卯荣华主编：《〈民法总则〉司法适用于审判实务》，法律出版社2017年版，第215-217页；芮文彪、李国泉、杨馥宇：《数据信息的知识产权保护模式探析》，载《电子知识产权》2015年第4期。其原因在于，很多类型的大数据产品的数据本身就来自于公开的信息，而将公开信息编码为数据依托的是标准化的编码方法，其间并无什么独创性可言。同时，数据的编排和检索方式又非常有局限性，数据汇编的独创性空间显然不大。(50)参见芮文彪、李国泉、杨馥宇：《数据信息的知识产权保护模式探析》，载《电子知识产权》2015年第4期。另外，考虑到数据产品还要符合使用者业已习惯的数据结构模式，数据从业者几乎不再具备什么能动性的发挥余地。于是，缺乏独创性的数据产品如何能适用著作权规范就颇值思量。再者，从交易的目的来看，大数据交易的购买方并不意图获得特定数据在选择、编排方面的独创性成果及其使用权，毋宁说购买方真正意图获得的是大数据所携带的信息本身。这点对于大数据交易发生争议时如何适用法律十分重要。若买方对数据产品的质量产生疑问，衡量大数据产品质量的标准，显然不是大数据产品是否在信息选择或编排上有独创性，而是大数据产品依托的个人数据信息是否真实，是否在合理偏差范围以内。正因如此，大数据交易若适用汇编作品的著作权流转、许可使用合同法律规则，会出现明显的规范目的的错位。

还需注意的是，大数据产品本身对数据的全面性有一定要求。数据越全面真实，大数据产品的信息价值就越高，大数据产品所具有的经济价值就越大。但数据越全面，数据从业者对数据的选择、编排的空间就越小，数据产品的独创性就越差。由此，著作权类规范对大数据交易将悖论性地呈现出交易的经济重要性越强，而规范的涵摄性就越弱。职是之故，大数据交易合同难以在解释上被认定为著作权类合同。汇编数据产品与著作权规范的交叉，只不过是“同一自然事实进入规范世界后，可能表现为性质迥异的数项规范事实”。(51)朱庆育：《民法总论》，北京大学出版社2013年版，第315页。

2.数据服务合同

还有观点认为，大数据交易合同应认定为数据服务合同。原因在于，大数据交易的核心内容是数据控制者为交易相对方提供数据。(52)参见梅夏英：《数据的法律属性及其民法定位》，载《中国社会科学》2016年第9期。但数据本身既无形，又可复制，所以对于数据而言，只有知不知晓的问题，没有被谁取得、占有从而归属于谁的问题。虽然数据交易需要提供数据，但数据交易的价值却完全取决于数据控制方是否对自己的数据采取了严格的接触禁止的技术手段。若数据意外泄漏或被他人窃取，数据的交换价值就会极大地贬损。鉴于此，有论者认为，将大数据交易合同认定为数据服务合同更为妥当(即提供数据和控制数据不泄露之服务)，且在性质上有与劳务合同相同之处。(53)参见梅夏英：《数据的法律属性及其民法定位》，载《中国社会科学》2016年第9期。

然而在笔者看来，相较于著作权类合同的定性，数据服务合同的观点在解释上更难成立。其一，服务类合同是典型的继续性合同。(54)参见唐仪萱：《服务合同的法律特征和义务群》，载《四川师范大学学报》(社会科学版)2016年第1期。而继续性合同的特点在于，其自始欠缺确定的总给付内容，给付时间的长短对合同总给付的确定具有决定意义。(55)参见王文军：《继续性合同及其类型论》，载《北方法学》2013第5期。但大数据交易中，数据提供方往往将约定的数据传入购买方的服务器之后，大数据交易合同就履行完毕(56)参见齐爱民：《数字文化商品确权与交易规则的构建》，载《中国法学》2012年第5期。，数据“买定离手”(57)王璟璇等：《全国一体化大数据中心引领下超大规模数据要素市场的体系架构与推进路径》，载《电子政务》2021年第6期。，时间对合同的履行并没有太大影响，也就是说大数据交易在性质上更接近一时性合同。其二，将大数据交易合同认定为服务合同，同样会扭曲该类的交易重心，使得人们误以为大数据交易注重的是服务提供方过程性的劳动投入，而不是结果上的产品呈现。事实上，大数据产品提供方在形成产品时投入了何种程度的劳动，数据购买方并不关心，购买方只关注大数据产品的信息是否真实、全面。其三，数据交易的价值也不完全取决于数据是否未被公开或被采取了技术隔离的措施，许多大数据产品本身就依托于政府公开的信息数据。就此来看，将大数据交易合同认定为数据服务合同同样不尽令人满意。

(二)大数据交易合同法律性质的法教义学认定

1.买卖合同

将大数据交易合同认定为买卖合同，在理论上已经有一些支持者(58)参见纪海龙：《数据的私法定位与保护》，载《法学研究》2018年第6期；桂祥：《大数据时代个人信息中间商模式分析》，载《上海对外经贸大学学报》2021年第1期。，亦有一些司法实践案例采纳了这一意见。(59)参见杭州中家尚实业有限公司与大连奇正信息技术有限公司买卖合同纠纷案，杭州市上城区人民法院 (2018)浙0102民初5098号判决书。该案中，双方当事人甚至都不是进行的即时性交易，而是特定时间内一方持续向另一方提供数据信息，但仍被法院认定为买卖合同。但为何将大数据交易合同认定为买卖合同，论者暂未给出充分的论证和说明。出现这种吊诡的情形，可能是因为这类论者受数据交易实践用语的影响较大，实践中经常以“购买”“出售”等关键词来描述数据交易的过程，而论者又未经“批判性反思”，直接将这些关键词引入到法律分析中。(60)参见尼尔·麦考密克：《大师学述：哈特》，刘叶深译，法律出版社2010年版，第64页。不过依笔者拙见，即使不考虑日常语言惯性，将这类合同解释为买卖合同亦有相当坚实的法教义学基础。

正如前文所述，数据交易的实质是信息交易，数据只是信息的一种形式载体。若信息是以纸质印刷品的方式呈现，双方交易的标的物是纸质印刷品，这一借助纸质印刷品的信息交易属于买卖不存在任何疑问。而大数据交易中，数据拥有者收到价款后，依约通过网络向买受人发送大数据产品，让渡其对大数据所拥有的权益，与纸质印刷品买卖对比，二者的区别仅在于大数据交易省去了纸质印刷品买卖时所必需的机器印刷、人员配发、运输送达等环节(61)参见何怀文：《二手数字出版物与发行权用尽》，载《出版发行研究》2013年第6期。，整个流程借助互联网即可自助完成。(62)事实上，《民法典》第469条已将采用数据电文方式订立的合同拟制为书面合同，由此可见数据与纸质印刷品在实证法评价上具有一致性。欧盟法院在“用软案”(UsedSoft GmbHv. Oracle International Corp)的裁决中正是采用的这一思路。其在判决中指出“销售是指一方收到对方的价款后，将有形或无形的商品的所有权转移给对方的合同。”而对于销售来说，“出售刻录在CD-ROM或DVD上的计算机产品与通过互联网直接下载计算机产品并没有区别，在线传输的方式相当于物理介质的供应。”(63)UsedSoft GmbH v. Oracle International Corp. EU Court of Justice Case C-128/11(2012).所以利用在线传输电子数据的方式进行的数据产品的交易，只要买方可以无限期地使用该数据产品，这一交易就属于销售行为，可适用买卖法的规定。

除此以外，大数据交易在性质上与法律适用已经相对成熟的电子书交易几乎一致。(64)参见纪海龙：《数据的私法定位与保护》，载《法学研究》2018年第6期。电子书是保存在服务器或载体介质上的“一串字符数据所表达出来的文字的形式体现”(65)陶乾：《电子书转售的合法性分析》，载《法学杂志》2015年第7期。，“本质上是一种信息，可以无数次反复使用和复制而无损耗。”(66)郑万青：《论电子书的法律特征》，载《中国出版》2016年第21期。换言之，电子书本身就是数据产品的一种，只不过电子书中的数据所携带的信息直接受著作权法保护。而对于电子书交易的法律性质，理论和实践的分歧并不大(67)实践观点可参见郎剑与亚马逊卓越有限公司买卖合同纠纷案，沈阳市大东区人民法院(2020)辽0104民初6415号判决书。，通说认为电子书交易仍属买卖。(68)参见陶乾：《电子书转售的合法性分析》，载《法学杂志》2015年第7期；施玮：《电子书交易合同性质及用户权利之限制》，载《黑龙江省政法管理干部学院学报》2021年第1期。我国对于电子书交易的课税在“营改增”前，也一直是以增值税的方式而非营业税。至少在我国税法领域，对电子书交易的定性乃是买卖，电子书“被视为一种特殊的图书产品”。(69)欧阳天健：《数字经济背景下电子书增值税制优化》，载《编辑之友》2021年第1期。职是之故，“由于在法律评价有决定性意义的方面”，电子书交易与大数据交易彼此几乎一致，因此“基于公正的要求：同类事物相同对待”(70)卡尔·拉伦茨：《法学方法论》，黄家镇译，商务印书馆2020年版，第479页。，将大数据交易解释为买卖合同应不存在明显的理论障碍。

当然，更为重要的是在法教义学层面，将大数据交易认定为买卖合同具有坚实的法律文本基础。早在2012年全国人大常委会通过的《关于加强网络信息保护的决定》第1条就规定：“任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息，不得出售或者非法向他人提供公民个人电子信息。”其间，对于个人信息数据的流通，该决定使用的是“出售”和“非法提供”。随后出台的《刑法修正案(九)》第17条，承继了《关于加强网络信息保护的决定》，规定：“违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役”。其中出售与提供的区别仅在于，是否以牟利为目的。从术语选择上看，“出售”与“买卖”实一步之遥。而新近出台的《民法典》第111条直接规定：“自然人的个人信息受法律保护……不得非法买卖、提供或者公开他人个人信息。”(71)最新出台的《中华人民共和国个人信息保护法》第10条规定：“任何组织、个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息；不得从事危害国家安全、公共利益的个人信息处理活动。”亦采“非法买卖”这一术语。结合《民法典》第1034条可知，《民法典》对个人数据信息交易的定性显然是买卖，只不过买卖有合法非法的区别而已。因此，在《民法典》已经以“买卖”指称非法数据交易的情况下，将大数据交易解释为买卖合同，实属尊重文义乃法律解释“第一个方向标”，恪守“可能的文义”范围对解释者活动之限制的必然结果。(72)参见卡尔·拉伦茨：《法学方法论》，黄家镇译，商务印书馆2020年版，第409页。事实上，“只要在文义解释的框架内能够找到明白清楚的答案，那么解释者超越或违背法律文义的方法论方面的正当性策略就是多余的。”(73)恩斯特·A.克莱默：《法律方法论》，周万里译，法律出版社2019年版，第23-24页。需指出的是，依《民法典》第595条，买卖合同需移转标的物的所有权，但大数据产权确权的规范仍处缺位状态。大数据拥有者对大数据享有特定利益虽无疑问，不过能否就此构成所有权并不明朗。于是，《民法典》所称“买卖”在解释学层面应更接近法律拟制的属性(74)如果在解释论上承认《民法典》中的买卖合同包括“权利买卖”这一类型，此处就非法律拟制。关于“权利买卖”可参见韩世远：《买卖法的再法典化：区别对待消费者买卖与商事买卖》，载《交大法学》2017年第1期；黄茂荣：《买卖之目标及其〈民法典〉之合同类型的配置》，载《北方法学》2020年第5期。，即隐蔽的规范参引。

2.许可使用合同

一般情况下，大数据交易属于买卖合同。但有些大数据拥有者在将其掌握的数据移转给购买方时，对购买方如何使用这一大数据设置了较为严格的期限、用途以及转售等方面的限制。(75)参见陶乾：《电子书转售的合法性分析》，载《法学杂志》2015年第7期。这类大数据交易主要出现在交易的一方，即具有一定信息收集垄断性的企业，其掌握的信息源具有排他性，所以缺乏移转数据信息权益的激励。在法律性质上，这类大数据交易更接近无名的许可使用合同而非买卖合同。(76)关于许可合同的观点可参见徐美：《再谈个人信息保护路径——以〈民法总则〉第 111 条为出发点》，载《中国政法大学学报》2018年第5期；吕炳斌：《个人信息保护的“同意”困境及其出路》，载《法商研究》2021年第2期。不过依照《民法典》第646条的规定，大数据交易中的许可使用合同亦应参照买卖合同的规定(77)参见易军：《买卖合同之规定准用于其他有偿合同》，载《法学研究》2016年第1期。，此处不赘。

三、大数据交易的法律适用

既然大数据交易在法律性质上属买卖合同，自然，买卖双方会依买卖法的规定及双方的约定产生相应的权利义务关系。一般而言，卖方需将符合合同约定质量的数据产品在履行期届满前交付给买方，而买方相应地应将价款交付给出卖人。(78)参见黄茂荣：《买卖之目标及其〈民法典〉之合同类型的配置》，载《北方法学》2020年第5期。交付后，卖方即无权再对数据产品使用、收益和处分，同时还需删除自己本地服务器上的数据。(79)参见余筱兰：《民法典编纂视角下信息删除权建构》，载《政治与法律》2018年第4期。此为大数据交易的基本框架。在这个框架内，核心问题是如何确定卖方对数据产品的瑕疵担保义务(80)参见吴香香：《〈民法典〉第598条(出卖人主给付义务)评注》，载《法学家》2020年第4期。，以及买卖双方之间的交付如何才能成立。此外，合同若是无法在框架内顺利终结，那么，合同效力受阻后，已经完成的履行应该如何回复，也需在解释上予以明确。

(一)出卖方的瑕疵担保义务

依照《民法典》第612条的规定，出卖方应保证不存在任何第三人能对其出卖的标的物主张权利，此为权利瑕疵担保责任的规定。(81)参见金可可、贺馨宇：《我国买卖合同权利瑕疵担保制度研究》，载《江苏行政学院学报》2016年第6期。由此，大数据产品买卖合同的出卖方应在两个层面承担权利瑕疵的担保义务。其一，出卖方对大数据产品应有完整的处分权。即大数据产品要么是由出卖方通过事实的收集、处理、加工等行为而拥有，要么是由出卖方通过前手的法律行为而取得，由此出卖方享有完整的处分权，可将该大数据产品出卖，否则出卖方无权处分此类产品。考虑到《民法典》采用的是违约责任“单轨制”，权利瑕疵担保责任已经被统合进违约责任之中(82)参见韩世远：《出卖人的物的瑕疵担保责任》，载《中国法学》2007年第3期。，所以若出卖方确属无权处分大数据产品，那么数据交易中的买受人可直接依照《民法典》第597条解除大数据交易合同，并要求出卖方承担违约责任。其二，出卖方除了保证其对大数据产品具备正当权利外，还应保证，其出卖的大数据产品不存在侵犯自然人个人信息及隐私权风险。换言之，大数据产品包含的数据信息的收集、取得应符合前述《民法典》对信息数据处理的合法性控制规定。若非如此，买受人在取得大数据产品后，个人数据信息的权益主体有权依照《民法典》第1167条要求买受人停止侵害、排除妨碍。申言之，此处应对第612条中的“主张权利”作一定程度的“目的性扩张”(83)卡尔·拉伦茨：《法学方法论》，黄家镇译，商务印书馆2020年版，第500页。。

除了权利瑕疵担保外，出卖人还应依照《民法典》第615条的规定对大数据产品的质量承担保证责任。虽然我国已经建立了诸多大数据交易中心，但由于我国数据交易仍处于早期发展阶段，许多数据买卖仍需要依靠“点对点”的场外交易方式。另外，对于数据质量的评估目前也缺乏可靠的国家标准和法律规定。是故，大数据的购买方实际上没有针对出卖方数据产品质量的评估体系，“数据质量难保障，脏数据、假数据随处可见。”(84)王璟璇等：《全国一体化大数据中心引领下超大规模数据要素市场的体系架构与推进路径》，载《电子政务》2021年第6期。正因如此，借助《民法典》买卖合同规范对标的物质量的要求，为购买方提供基础的保护显属必要。所谓数据质量，主要包括三个方面：合法性，即出卖方的数据取得是否合法、权属清晰；真实性，即出卖方的数据是否真实，非编造伪造；全面性，即出卖方的数据是否信息全面。(85)参见张敏、朱雪燕：《我国大数据交易的立法思考》，载《学习与实践》2018年第7期。由于数据的合法性已由《民法典》第612条权利瑕疵担保处理，所以《民法典》第615条的质量应主要指真实性和全面性。关于质量标准如何确定，若买卖双方在合同中有约定首先应按照合同约定处理。没有约定，应按照《民法典》第510条、第511条的规定，采用大数据交易中交易习惯所确立的质量标准或通常能实现合同目的的质量标准。(86)参见吴桂德：《我国民法典视野下的数字内容瑕疵担保责任——基于欧盟背景下德国法的比较法考察》，载《政治与法律》2020年第1期。

(二)大数据的交付

买卖合同中，动产的所有权变动需卖方将标的物交付买方，而不动产的所有权变动需完成不动产的变更登记。毫无疑问，数据显然不是不动产，在数据买卖合同中难以适用不动产所有权移转的规则。于是，在大数据产品买卖中，权属移转的判断基准应是数据何时被交付。若大数据产品是存储在硬盘、U盘等物理介质上，则出卖方将大数据交付给购买方的时间就是该存储介质实际移转占有的时间，此时，采通行的动产交付规则即可判断，规范适用方面不存太大疑问。但若大数据交易采取在线传输的方式，买卖双方如何完成交付《民法典》未作特别规定，仍需在解释上进一步讨论。有论者主张，大数据交易中的数据传输行为不具备交付的特点，原因是“数据作为无形的比特流，不可能由数据控制者直接交付给对方，它必须依赖储存设备或网络通讯系统才能完成传递过程。”(87)梅夏英：《数据的法律属性及其民法定位》，载《中国社会科学》2016年第9期。另外，大数据交易也不具有“完全的可交割性”。(88)参见杨永凯：《企业大数据财产权利的归属及交易规制》，载《石河子大学学报》(哲学社会科学版)2019年第1期。有论者认为大数据不可能完成交付。笔者认为，这类观点明显有误，至少他们未能注意到，最高院早在2012年就出台司法解释，专门规定“电子信息产品”的在线交付问题。《最高人民法院关于审理买卖合同纠纷案件适用法律问题的解释》(法释[2012]8号)第5条规定：“标的物为无需以有形载体交付的电子信息产品当事人对交付方式约定不明确，且依照合同法第六十一条的规定仍不能确定的，买受人收到约定的电子信息产品或者权利凭证即为交付。”(89)鉴于《民法典》出台，2020年最高院依据《民法典》修订了相关司法解释，本条经修订后规定在《最高人民法院关于审理买卖合同纠纷案件适用法律问题的解释》第2条，内容修订为：“标的物为无需以有形载体交付的电子信息产品，当事人对交付方式约定不明确，且依照民法典第五百一十条的规定仍不能确定的，买受人收到约定的电子信息产品或者权利凭证即为交付。”换言之，依据本条司法解释，数据的可交付性并不存在任何疑问。当然，本条未能明确何为买受人“收到”电子信息产品，是采发送主义还是送达主义需进一步澄清。(90)参见齐爱民：《数字文化商品确权与交易规则的构建》，载《中国法学》2012年第5期。对此，《民法典》对于电子合同的特别规定具有一定参照意义。《民法典》第512条规定：“电子合同的标的物为采用在线传输方式交付的，合同标的物进入对方当事人指定的特定系统且能够检索识别的时间为交付时间。”虽然第512条适用的前提是电子合同，而大数据交易未必都是以签订电子合同的形式进行的。但考虑到大数据交易中，出卖方通过互联网将数据传输到买方指定系统，相较于传统实体物买卖，数据的出卖方不用担心在途标的物灭失的风险，即使数据传输过程中偶发网络故障、系统故障导致卖方上传的数据信息丢失，出卖方也能通过再次上传保存在本地的原始文件重新给付，其间并不存在实际利益的损耗。反之，上述风险若由买方承担，则会给买方造成实际损失，此等利益格局有欠允恰，同时仅因签订合同的方式不同，就区别对待电子合同类在线交付交易与传统合同类在线交付交易的交付标准，正当小生亦显不足。所以此时即使大数据交易未采用电子合同的形式，类推适用《民法典》第512条，以数据进入买方指定的特定系统且能够检索识别的时间为交付时间，仍应属妥当的结论。

而关于何为数据的交付地，《民法典》未置明文。不过我们应注意到，移动互联网技术已日益成熟，数据传输并不受限于特定的地理条件，出卖人或买受人都可能在任意地点发送、接收数据产品。于是履行时的特定地理位置的法律意义就相对不再重要。对于以数据电文形式订立的合同，《民法典》第493条规定，收件人的主营业地为合同成立的地点，没有主营业地的，其住所地为合同成立的地点。笔者认为数据交付地亦可类推适用该条规定。

(三)合同无效与撤销

大数据买卖合同若双方已经履行完毕但嗣后被确认无效或被撤销，依对买卖合同的通常理解，将产生买方返还原物的法律效果。(91)参见石冠彬:《论出卖人返还财产请求权的属性及限制——以合同被撤销为切入点》，载《政治与法律》2021年第1期。但有论者主张，由于数据不同于一般实体物，不能够现实返还，数据信息“一俟相对人掌握，即无法恢复到数据交易前的状态，交易相对人掌握数据已是难以改变的事实。”(92)梅夏英：《数据的法律属性及其民法定位》，载《中国社会科学》2016年第9期。是故出卖方只能借损害赔偿或禁止使用来救济自身权利。笔者认为，这一观点未必把握交易要领。虽然数据信息一旦被掌握，即是一种事实状态无法被改变，但合同无效时，大数据产品的归属关系自始至终未发生变动。若合同被撤销时，大数据产品的归属会溯及既往回复给出卖方。所以，在合同无效或被撤销后，大数据产品的卖方可以将其产品再次出卖，而不会陷于无权处分。此为买卖合同无效、被撤销后发生返还原物效果的常态逻辑，只不过由于数据的特殊性，若出卖方保存了数据副本，则买方不必现实返还(传输)。部分论者认为大数据交易原物无法返还，实属对这一交易性质的误解。实际上，任何卖方实际履行完毕的买卖合同，都造成了不可改变的客观状态，即使是实物买卖亦不能完全地“恢复原状”，因为无论如何买方曾占有、使用过标的物的客观事实并不能因实物被返还而改变。实物买卖被确认无效或撤销后，也需借助损害赔偿或不当得利制度来弥补出卖人的损失(93)参见赵文杰《论不当得利与法定解除中的价值偿还——以〈合同法〉第58条和第97条后段为中心》，载《中外法学》2015年第5期。，其与大数据交易并无二致。是故，笔者认为大数据交易买卖合同无效或被撤销后规范适用的路径与实物买卖合同相比，没有实质区别。合同无效或被撤销后，买方即无权再合法使用、转售大数据产品。同时买方应负有删除本地数据信息的义务。(94)参见余楠：《企业破产中的数据取回》，载《法律科学》2021年第5期。就删除义务而言，实践中已经产生了在数据中写入特定编码从而实现对数据流转全程追踪，有些数据交易平台、数据交易软件也专门开发了数据“发送并删除”的功能。(95)参见陶乾：《电子书转售的合法性分析》，载《法学杂志》2015年第7期。此类技术的更新能辅助删除义务的履行，增加其实践意义。

结 语

大数据交易虽然是种新型的交易业态，并在一定程度上对私法适用提出了挑战，但倘若合理解释现行《民法典》，大数据交易的“新”并非私法不能克服的障碍。通过恰当解释激活《民法典》隐私权和个人信息保护方面的规范，大数据形成过程的合法性控制就仍在《民法典》的规制范围内。同时，借助“无可识别性”原则，大数据的可交易性也能得到《民法典》的充分回应。关于大数据交易法律性质的问题，实际上只要立基于《民法典》文本，并结合正确的解释方法，就不难得出该交易应属买卖的结论。而之所以在交易定性方面存在理论上的争议，是因为部分论者忽略了《民法典》文本的规定。此外，大数据买卖也具有自身的一些特点，如数据出卖方须在权利和质量两方面向买受人承担瑕疵担保的责任、大数据的交付应以数据进入买方指定的特定系统且能够检索识别的时间为完成交付的时间、大数据买卖合同被确认无效或被撤销后原买受人负有删除数据的义务等。而大数据交易的这些特点所产生的具体法律适用问题，也可以在《民法典》框架下借助解释论予以稳妥解决。笔者在文中提出的解释论方案，并非唯一正确的解释，其至多属于按照方法论的规则被证立或是充分的解释(96)参见恩斯特·A.克莱默：《法律方法论》，周万里译，法律出版社2019年版，第300页。，希冀这一解释能够引起学界对大数据交易法律问题的广泛关注。