【文章来源】本文已获得作者授权转载,略有删减,仅代表作者观点,供读者参考。原文载《社科大法学》2024年第2期第1~16页,注释从略,全文请见原刊,引用请据原文并注明出处。
【作者简介】梁景,国家金融监督管理总局广东监管局银行机构检查处干部。
【摘 要】数据交易指数据提供方和数据需求方之间通过合同,用货币或其他一般等价物交换数据、数据衍生产品和服务的行为。企业之间的数据交易应先解决数据界权的问题。按照现有的界权逻辑,可以将数据权益归纳为以数据资源持有权为消极权利和以数据加工使用权、数据产品经营权为积极权利的“三权分置”数据产权体系架构。数据交易的合同类型应根据数据交易在具体实践中的给付内容予以确定,依照给付内容的不同可参照适用买卖合同、技术许可合同、承揽合同、委托合同(服务类合同)等典型合同的相关规则。同时,为防范数据交易的风险,交易双方应通过事前的尽职调查、合同条款设置等方式明确供需双方的权利义务,并可引入必要设施理论来应对潜在的数据垄断风险。
【关 键 词】数据交易 数据界权 合同类型 风险防范
在数字时代,数据作为一种新兴资源,被誉为“新石油”(new oil),它在促进经济增长、创造就业机会、推动产业升级和社会进步等方面发挥着重要作用。各国、各地区对数据保护的发展基点不同,但目的类似,均在维护信息安全的前提下最大限度地发挥数据的经济效益。2022年12月2日发布的《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称《数据二十条》)指出,“要探索建立数据产权制度”,“建立合规高效、场内外结合的数据要素流通和交易制度”,从而进一步激活数据资源在经济生活中的潜力。对持有庞大数据量的企业而言,若能通过交易激活数据资源的经济潜力,可以极大地助力企业发展。本文试图对企业数据交易形式、风险及应对进行分析与研究。
一、数据交易标的之确认
交易标的的确认对数据交易具有重要意义,对目前很多市场主体而言,尽管其拥有海量数据资源,但他们对自己拥有的数据资源是否可以进行交易、交易中是否存在风险等问题仍存在疑问。症结在于数据、数据资源、数据集合、数据产品等市场上常见的交易标的属于何种权利并不清晰。因此对数据交易标的的确认,既是对数据权利的厘清,也是对可交易标的的提取,以便数据交易在合法可控的范围内进行。故而,首先需要对数据权利(权益)究竟属于何种权利(权益)进行确认,再对可进行交易的数据范围进行划分,从而为后续交易的合同形式的选择提供参考。
(一)数据确权路径
与传统财产法上的物不同,数据具有可重复利用性,对其重复利用并不会减损数据的价值,反而可以为其增值。此外,数据的经济价值并不体现在单个数据上,而是体现在呈集合状态的大数据之上。但单个数据并非没有价值,若按照数据是否包含个人信息将数据分为个人信息数据与非个人信息数据,那即便只是一条个人信息数据,也会因此涉及人格权益,受《中华人民共和国民法典》(以下简称《民法典》)和《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)的保护。数据资源的积累,不仅有赖数据处理链条上各主体对数据的收集、加工、交易,也有赖数据拥有者提供的资源本身,因此数据资源的界权——或者说确权问题一直是学术界与实务界的争议焦点。
数据确权能够为要素投入提供激励,然而就如何提供激励,学术界存在不同观点。有学者主张以所有权架构对数据权利进行界权,赋予用户以个人数据所有权,有效保证用户个人信息自决,构建数据源发者拥有数据所有权、数据处理者拥有数据用益权的二元权利结构。所有权是在法律规定的范围内,权利人对物享有的全面支配、处分并排除他人干预的权利。所有权人可以通过请求排除妨害、消除危险等请求权保持对自身所有物的支配和控制。这种对世的、绝对的权利基础在于所有权具有排他性,即所有权人对权利客体享有的权利是除他以外的任何人都无法享有的。如前所述,数据资源的特性(非排他性)导致其与传统财产法上所有权保护排他性的取向并不一致,故无法简单套用传统的所有权路径确权。也有学者提出依据劳动财产权理论,遵循“谁投入、谁获益”的原则确定权属。依此原则,各企业因在数据活动中提供了信息技术和设备,并且在数据收集、利用与分析过程中投入了大量的人力物力,理应取得数据的所有权。但问题在于,数据资源的生成不完全依赖企业的投入,也需要数据来源者提供数据,因此按照劳动财产权理论,数据来源者也应取得部分所有权。还有学者提出通过知识产权路径进行数据界权,有些地方也开始采用知识产权登记的方式来确权,然而该进路并不合理,因为知识产权保护的法益为创新,与数据本身保护的法益并不一致(当然若是数据产品,在具备独创性的基础上,也有可能直接归为知识产权制度的保护范畴,成为知识产权的客体)。同时亦有学者提出“权利束”说、数据使用权说以及关系进路理论进行数据界权。
从研究现状来看,学界已逐渐认识到用传统所有权进路进行数据界权的局限性,而转向通过规制数据的控制和使用来对数据权益进行有限保护。在地方立法上,《深圳经济特区数据条例》和《上海市数据条例》均避免出现“数据所有权”字样而转用“财产权益”的表述对数据权益进行保护。《数据二十条》提出“三权分置”方案,指出“建立数据资源持有权、数据加工使用权、数据产品经营权等分置的产权运行机制”,与以“淡化所有权,强化使用权”的表达方式强调不同主体均有权使用数据,不同主体之间使用权平等,从而促进数据合规高效流通使用。
(二)“三权分置”的解释
依照《数据二十条》的界权逻辑,数据权利中不存在一个类似所有权的总括性母权,数据资源持有权、数据加工使用权和数据产品经营权是三种独立的权利,但《数据二十条》并未释明三权的权利性质、内涵与外延,仍需借助法解释学厘清。
1. 数据资源持有权
应从数据资源入手理解数据资源持有权。该权利并非单纯的数据持有权,冠以“资源”二字有其特定的内涵。一般而言,经济学上的资源指可以直接或间接为企业、社会产生效益的事物,如土地、设备、厂房。因此数据资源并非少量、零星、非电子形式的数据,而是可供人类利用并产生经济效益的电子数据集合,包括原始数据、经加工的衍生数据和数据产品。有必要指出的是,此处的数据产品指经过深加工后有助于预测未来事件的数据产品,具有高应用价值和特定的用途。倘若该类数据产品不易被公众获取,而且对其采用了合理的保密措施,则应归为商业秘密制度的保护范畴之中;若该类数据产品为改善特定主体决策而专门加工,并因此具有独创性,也有可能归为知识产权制度的保护范畴之中。即使数据产品不具有独创性内容、也未被采取特殊的保密措施,它也可以作为买卖合同或许可使用合同的标的物。
数据资源持有权指权利人就其合法持有的数据集合享有的支配性、排他性权利。若如此定义,似乎无法与所有权做区分,但值得注意的是,所有权应符合“一物一权”的基本原则,而就数据资源而言,考虑到数据的可复制性,内容相同的数据资源集合可能由数个不同的权利人持有,各权利人均享有数据资源持有权而不相互冲突,故将其定义为“持有”而非“所有”。
2. 数据加工使用权
数据加工使用权包括数据加工权与数据使用权。数据加工权即运用大数据技术对原有的数据集合进行清洗、分析、转换,从而改变其内容与性质,生成新的数据集合的权利;数据使用权即在不改变数据集合内容、性质的前提下,对数据进行访问、复制、审查、分析、研究的权利。存在的争议是,数据使用权的解释对数据持有权人来讲是否有意义?依照权利束的观点,权利束下的财产权旨在当资源使用冲突时界定边界,以定分止争。权利人对自己财产的利用一般是自由的。依此逻辑,数据持有权人如何使用自己持有的数据集合并不需要法律进行规定。然而,考虑到数据集合的持有人与处理人时常出现分离的情况(即数据持有人与处理人并不是同一个主体),对数据的集合和使用实际上是数据持有权人对数据加工使用人的一种许可,亦即许可数据加工使用人对数据集合在许可范围内进行使用与加工——此处的许可范围应包括加工使用的形式、数据集合的范围、加工使用的目的、期限、被许可人等。因此,与其将数据加工使用权界定为数据支配权,毋宁称之为“许可他人加工使用权”,即权利人就其数据集合可以有限地授权他人使用。
3. 数据产品经营权
《数据二十条》提出数据产品经营权的概念,并明确要“保护经加工、分析等形成数据或数据衍生产品的经营权,依法依规规范数据处理者许可他人使用数据或数据衍生产品的权利”。
数据产品与原始数据不同,产品是被人们使用和消费,并能满足人们某种需求的任何事物,包括有形的物品以及无形的服务、组织、观念或它们的组合,故数据产品应是由原始数据加工而成、可以被人们使用和消费的事物。数据产品的表现形式有很多,如数据包、数据集合、数据报告等,但其核心内容仍然是由数据构成的,因此数据产品应理解为由原始数据经加工分析后具有市场价值的数据。
数据产品的经营权则借鉴了土地经营权。《民法典》第340条规定:“土地经营权人有权在合同约定的期限内占有农村土地,自主开展农业生产经营并取得收益。”由此可知,土地经营权人对作为权利客体的农村土地享有排他性的占有权利,可在农业用途范围内自主决定土地利用,并获取农地经营的收益。若参照该条,数据产品经营权应解释为数据产品经营权人对数据产品享有的排他性占有权利,可在数据产品用途范围内自主利用数据产品,并获取因此产生的收益。但问题在于:一方面,数据产品与土地具有差异,土地是无法流动的不动产,而数据在流动中体现其价值;另一方面,经营权的内涵包括对数据产品的利用,这在数据加工使用权中就已有表达,两项权利存在重叠的现象。因此,若如此解释,会导致经营权与使用权边界不清。回到规范目的解释,数据产品经营权的设立是为了促进数据产品的流通,满足数据交换的目的,故有学者认为,“经营权应解释为处分权,即通‘过出售、设定担保、投资入股的方式就数据予以转让、变更、设置负担或抛弃的权利’”,这一点可资赞同。
综上所述,数据权益就形成了以数据资源持有权为消极权利、以数据加工使用权与数据产品经营权为积极权利的“三权分置”体系架构。
(三)数据交易标的
在明确何为对数据权益后,有必要对数据交易的标的进行分类和确认,这样有利于在数据交易过程中明晰是何种财产或财产性利益在进行流转。依照《信息安全技术—数据交易服务安全要求》(GB/T 37932-2019)第3条第1款的规定,数据商品包括用于交易的原始数据或加工处理后的数据衍生产品。在地方性法规中,有部分地方明确指出数据交易的标的,如《深圳经济特区数据条例》第67条指出,“市场主体合法处理数据形成的数据产品和服务,可以依法交易”。可见数据交易标的为经合法处理数据形成的数据产品和服务。也有部分地方并未做出明确指引,如《上海市数据条例》仅在第12条第2款指出,“本市依法保护自然人、法人和非法人组织在使用、加工等数据处理活动中形成的法定或者约定的财产权益,以及在数字经济发展中有关数据创新活动取得的合法财产权益”。同时在该条例第55条关于数据交易活动的规定中,也并未规定数据交易活动标的种类,而是以负面清单的模式指出何种情形不得交易。
数据的分类标准有很多。以数据中是否包含个人信息为依据,数据可以分为个人信息数据与非个人信息数据。《数据二十条》则采用三分法进行分类,将数据分为公共数据、企业数据、个人信息数据。
相较技术领域的分类方法,将数据交易标的按照是否包含个人信息进行分类更佳,原因在于个人信息数据在交易过程中涉及个人信息、牵涉人格利益,故交易时还须满足《个人信息保护法》的相关要求,因此交易结构较为复杂。而非个人信息数据与个人信息保护无涉,在交易时除了满足《民法典》的相关要求,仅需要满足《中华人民共和国数据安全法》(以下简称《数据安全法》)与《中华人民共和国网络安全法》(以下简称《网络安全法》)的相关规定。事实上,争议点就在于此,即包含个人信息数据的数据产品、数据集合可否作为交易标的?个人信息,特别是原始个人信息数据的流通难度很高,《数据二十条》也指出要“审慎对待原始数据的流转交易行为”,但因个人信息数据包含个人信息内容,有利于企业进行商业模式的开发和资源利用,故市场需求量较大。因此在数据交易过程中,企业往往会将包含个人信息内容的数据进行脱敏化处理。根据脱敏程度的不同,可以将处理方式分为数据的匿名化和数据的去标识化。数据的匿名化使得经过处理的数据不再具有身份识别能力,转化成了非个人信息数据;去标识化指经过数据处理后,个人信息数据消除了关联身份的直接识别符,但仍具备重新识别的可能。本文认为,将数据完全匿名化无异于消解了个人信息数据通过大量聚合分析后产生利用价值的潜力,而去标识化后的数据形成的数据衍生产品和服务因其通过聚合、挖掘、分析仍具有重新识别个人的可能性,具有经济价值,故可以作为数据交易的标的。
综上所述,若仅从字面意义来看,数据交易的标的应当是数据。而结合前文可知,将数据经加工处理产生的数据衍生产品和服务也可以成为数据交易标的。故而数据交易标的包括数据、数据衍生产品和服务,其中去标识化的个人信息数据也可作为数据交易的标的,其中数据交易即数据提供方和数据需求方之间通过合同,以货币或一般等价物交换数据、数据衍生产品和服务的行为。
二、交易形式
(一)交易形式概览
目前,数据交易依据交易场所不同可以分为场内交易与场外交易,场内交易指大数据交易所模式,也是《数据二十条》指出要“培育壮大”的交易模式;场外交易指企业之间不通过大数据交易所而直接进行数据交易的模式,以及企业与个人之间的数据交易模式,对此,《数据二十条》指出要规范引导场外交易。2015年,全国第一家大数据交易所——贵州大数据交易所成立,各地也纷纷效仿成立大数据交易所(交易中心),意图激活数据市场。虽然大数据交易所模式备受期待,但发展不尽如人意,贵阳大数据交易所在2019年大概只做了500万至800万的项目。大数据交易所模式虽然有标准的交易体系,但忽略了数据交易的动态性,仅支持一次性交易,数据提供方和数据需求方从中取得的数据价值有限。同时,在交易过程中也存在优劣数据混杂的情况,导致数据价值不高,优质数据的核心源头也就不愿意与数据交易所合作,所以数据交易呈现“场内冷,场外热”的尴尬现状,相当一部分企业还是选择通过场外交易实现数据流通。在交易所发展受阻的同时,如何判断数据交易过程中签署的合同类型,在学术界与实务界都存在相当大的争议。当前具有代表性的观点可以总结归纳为买卖合同说、许可合同说和服务合同说。
持买卖合同说的学者认为数据交易的本质是信息交易,数据只是信息的一种形式载体,其性质与已经相对成熟的电子书交易几乎一致。该观点也有相关司法判例作为支撑。持许可合同说的学者认为数据的可并存共用性决定了数据流通并非以数据拥有者(提供者)放弃数据(即数据转让)为典型,而是以允许他人使用数据为常态,故数据使用许可合同就成为数据流通的基本法律形式。持服务合同说的学者认为,数据交易服务于信息交流目的,也应服从信息交流的基本规律,而传统的信息交易都是作为服务类合同关系而存在,况且目前数据的流通、信息服务也必须通过介质进行,无介质即无信息,因此介质的有限性决定了信息分享或服务的价值。
本文认为,把交易方式多样化的数据交易落入某一种单一合同类型中是不妥当的,这无疑是将复杂的数据交易实践简单化。数据交易过程中存在单纯由数据提供方许可数据需求方访问其数据的情形,如数据提供方和数据需求方签订合同,由数据提供方向数据需求方开放API接口,供数据需求方持续访问数据,满足数据需求方对数据的时效性要求,在此情形下,数据提供方并未失去对数据的控制权,仅是授权许可数据需求方访问、使用数据。在数据交易过程中也存在转移财产性权益的情形,如供需双方订立合同就数据提供方通过数据采集、加工、分析形成的数据集合产品进行交易,数据提供方将此数据产品整体移转至数据需求方,而非单纯许可数据需求方使用,此时的数据交易可以适用买卖合同的相关条款。在不同的交易形式中,合同主体的给付内容存在差异,而给付内容是决定合同类型和适用何种合同规则的关键性因素。故数据交易的合同类型应依数据交易在具体实践中的给付内容关键确定。
(二)交易形式的分类
在数据交易具体实践中,数据提供方的给付内容是多样的,沿着前文所述数据权益“三权分置”的逻辑,在此做简要的归纳分类。第一,以数据产品为给付内容。此种交易有两种发生模式,一种是在大数据交易所交易中,供需双方就某个数据包、数据集合等数据产品达成合意,进行一次性交付,完成数据权益移转;另一种发生在数据定制的交易中,即数据提供方应依据数据需求方的要求,对数据进行清洗、处理、分析后形成数据包、数据集合等数据产品,并以固态储存或是云端传输的方式交付至数据需求方,上述两种交易方式可归纳为数据提供方对其享有的数据产品经营权的处分。第二,以许可他人访问、使用数据为给付内容。即数据提供方开放API接口,允许数据需求方访问、使用数据,双方对数据传输、处理的范围、目的、时限等做约定,因此可归纳为数据提供方向数据需求方提供其享有的数据加工使用权的许可。
在大数据交易所模式中的交易,数据提供方交付的应是自身已有的数据产品或按照数据需求方要求形成的工作成果,若是一次性交付现成已有的数据产品而无需进行加工的,则应参照适用买卖合同的相关规则。《民法典》第646条规定:“法律对其他有偿合同有规定的,依照其规定;没有规定的,参照适用买卖合同的有关规定。”在参照适用过程中,类似性判断——即参照对象相互之间的类似或相异程度——决定了参照适用的具体范围和规则。一次性交付数据产品与买卖合同中的交易结构类似,均以移转财产性权益为给付内容,故存在参照适用买卖合同规则的空间。但值得一提的是,这种交易模式下,数据提供方在提供完数据后自身已经丧失了数据的控制权,应在交易完成后删除数据。
在数据定制模式的交易中,数据提供方交付的是依据数据需求方要求制作而成的数据集合、数据包、分析报告、数据应用等工作结果,这种给付内容与承揽合同类似。承揽合同是典型的结果之债,依《民法典》第780条之规定,承揽人完成工作的劳务只体现在其完成的工作成果上,只有与工作成果相结合,才能满足定作人的需要。数据定制交易模式同理,若数据提供方未能按照合同约定交付特定的工作成果,就不能向数据需求方索取报酬。值得思考的问题是:数据定制模式是否有参照适用委托合同的空间?对企业而言,若签订委托合同可满足《个人信息保护法》第21条之相关规定而在数据传输过程中无需取得个人的同意,便无疑为企业间的数据交易减轻了负担。民法学说中将债的给付分为手段型和结果型,前者又称为方式型给付,分别对应手段之债和结果之债。委托合同是典型的手段之债,只需债务人在履行过程中尽到相应的注意义务,除了当事人有明确约定,并不负有必须完成某种工作成果或者将委托事务办理成功的义务。这是否意味着,在数据需求方自行提供数据并委托数据提供方进行数据处理的场合下,若双方对给付结果有明确约定,也可参照适用委托合同的条款?本文认为答案是肯定的,对承揽合同而言,承揽人支付报酬的基础请求权为自身交付的工作成果。但并非所有约定交付特定成果时有报酬请求权的事务均为承揽,合同性质仍应以当事人双方的意思及依此确定的权利义务等予以确定。例如,双方当事人意思表示一致,达成委托协议,而且数据提供方需要为数据需求方处理、清洗、分析相关数据,并实时传输处理后的数据,此时数据提供方的交付成果具有无形性、持续性和长期性,数据提供方的长期服务也无法简单融入某一次交付的数据中,故此时适用委托合同的规则为宜。但签订委托合同并非万事大吉,原因在于《民法典》第933条规定委托合同中委托人和受托人均享有任意解除权,这对依赖稳定、持续传输的数据交易而言有不小的风险。此时问题即转变为,对交易双方而言,可否通过设置特约排除任意解除权?关于这个问题,学说上意见不一,对特约效力问题的理解是倾向于从有效理解的角度还是倾向于从虽然偏向有效理解但并不排斥任意解除权行使的角度,仍有待学说和司法实践进一步澄清。从实证法的角度,《民法典》第933条任意解除权的设立是法律赋予双方当事人的权利,即使有约定也不影响当事人行使该权利。在任意解除权行使后,衍生的损害赔偿问题应按照《民法典》第933条第2款进行相应处理。
以许可他人访问、使用数据为给付内容的,实际上是数据提供方向数据需求方提供数据使用权的交易模式。在此种模式下,数据提供方为数据需求方提供API接口、数据终端或在线访问的方式,使数据需求方取得数据使用权,数据提供方并不因交易丧失对数据的控制,故最终形成对数据的共同控制或彼此独立控制。在这种交易模式下,为了满足数据时效性的需求,供需双方之间往往会选择签订持续性的合同。再加上数据具有无形性的特点,与技术许可合同的标的(如技术秘密)有类似性,故适用法律时可以参照技术许可合同相关规定进行适用。
三、交易风险及其应对策略
(一)数据合法性风险
无论签订的是何种合同,数据交易过程中都无法回避的问题就是数据的合法性。用来交易的数据若不符合合法性的要求,数据交易将难以进行。数据合法性包括数据来源的合法性与数据处理的合法性,本文在此做简要释明并就其应对策略提出一点思考。
1. 数据来源的合法性
对数据交易而言,数据来源的合法性是交易得以成立的重要因素。数据来源的合法性指数据提供方提供的数据在其采集、收集或以其他方式获取的过程中是合法的。《民法典》第111条、《网络安全法》第41条均规定了数据收集和使用的具体合法规范,在数据收集过程中若不遵守此类规范可能会因此承担侵权、行政甚至刑事责任。而数据来源的不合法也可能导致数据交易丧失合法性基础,依照《民法典》第143条第3款的规定,违反法律、行政法规的强制性规定的将导致民事法律行为无效。当然,对非法性的认定应当做限缩解释,即只有在合同约定的数据内容、提数据提供方式、获取途径等可以直接认定或者间接推定交易对象系非法数据且该非法数据系违反效力性强制性规定的,才可认为该数据交易合同是无效的,否则不应轻易认定交易合同无效。对数据提供方而言,须保证其采集、收集或以其他方式取得的数据符合法律相关规定,其数据来源合法性才能得以保证。
在实务层面,无论是让数据提供方自证或是数据需求方验证,证明数据来源的合法性都存在较大的困难。在这种情形下,法律应当向参与数据流通的每个当事人配置合理的责任,使其在能力范围内对自己的流通行为承担责任。在数据交易合同中,建议通过设置陈述与保证条款,即由数据提供方保证自己提供的数据来源合法性,若发生因数据不合法而导致数据交易目的无法实现的情形,数据需求方可以依陈述与保证条款请求数据提供方承担违约责任。
2. 数据处理的合法性
数据来源的合法性并不能必然保证数据处理的合法性,盖因数据上可能还有其他不同的法益,如个人信息中包含的人格利益、公共利益等。就非个人信息数据而言,它承载的利益类别可能较少(但仍然存在商业秘密等限制),而个人信息数据可否顺利进行交易并进一步处理,往往受到相关利益主体权利和利益的制约。《个人信息保护法》第13条明确规定处理合法性的情形,其中第1款规定个人信息处理者应取得个人同意方能处理个人信息。《个人信息保护法》第6条则规定了处理个人信息需要有明确、合理的目的,且需要采取对个人权益影响最小的方式。依据《个人信息保护法》第14条的规定,个人的同意应当在充分知情的情况下自愿、明确做出;若同意不符合上述要求,个人信息处理行为则侵犯公民的个人信息权益,个人信息处理者应承担相应的侵权责任。除此以外,数据处理还可能受到行政命令的干预,如对涉及国家安全、国家秘密的相关数据,国家可以根据公共利益、公共安全和国家安全的需求限制此类数据的处理、流通和使用。因此,只有在法律许可的范围内,数据处理才具有合法性基础。
具体到实务操作中,除了通过设置陈述与保证条款,双方还应对数据交易双方进行相应的尽职调查,保证数据处理符合法律规定的合法性要求。尽职调查的内容应该包括企业的基本信息、数据安全的管理制度、技术保护措施以及是否适用特别的监管要求等。
(二)数据安全风险
数据安全风险主要发生在数据储存与数据传输过程中,而数据交易过程中必定涉及这两个环节。事实上,数据安全风险多为技术上的风险,因数据传输和数据储存的技术发生问题而发生的数据泄露等安全事件,将会引发多种法律后果。第一,数据处理者可能承担行政责任,依据《数据安全法》第29条和第45条有关数据泄露等安全事件的责任分配规则,在发生数据安全事件时数据处理者负有采取补救措施、告知用户、报告上级主管部门的义务。第二,若泄露个人信息数据,数据处理者还应当依照《个人信息保护法》第69条的规定对个人用户承担相应的侵权责任。值得思考的问题是,因为数据安全风险产生的数据安全事件是否会导致违约责任?本文认为,在数据传输过程中数据泄露不会导致给付不能,数据交易具有动态性和持续性的特点,导致其即使在一次传输中失败,还可以通过二次传输完成给付要求。而数据需求方在数据存储过程中发生的数据泄露等安全事件可能导致数据需求方因双方合同约定的相关存储条款而承担相应的违约责任。质言之,数据安全事故的发生并不必然导致违约责任。但是,为了保证数据交易过程中可追究相应责任,供需双方应签署尽量详细的数据交易合同,全面界定供需双方在数据交易过程中的权利义务,使数据在流通过程中的安全风险由合理的责任方承担。
(三)数据垄断风险
必须承认的是,数据共享与数据保护之间存在悖论。数据共享是数据属性的本质要求,也是数字经济发展的必然要求。然而,随着对企业数据保护力度的加强,头部平台企业依其拥有的海量数据资源具备极大的市场优势,甚至可能形成垄断,进而出现排斥其它主体进入市场、拒绝其他主体交易的行为,这种情况实际上不利于数字经济蓬勃发展。为了调整二者之间的紧张关系,或可引入“必要设施理论”(essential facility doctrine)加以应对。
学界认为,必要设施理论最早可以追溯至1912年United States v. Terminal Railroad Association of St.Louis案(以下简称终端铁路案),在该案中,由圣路易斯市的数家铁路公司合作成立的终端铁路公司(Terminal Railroad Association of St.Louis)完全控制了所有进出该市的转轨设施和铁路桥梁,导致其他非合作公司无法在该地提供铁路运输服务,最终,美国联邦最高法院判决终端铁路公司具有非法限制竞争和垄断经营的意图,并要求其向其他铁路公司开放使用设施。而在1983年的MCI案中,美国联邦上诉法院提出了使用必要设施理论的四个要件:第一,垄断者控制者该设施;第二,竞争者不能或不能合理地复制必要设施;第三,垄断者拒绝竞争者使用必要设施;第四,必要设施的提供是切实可行的。之后,必要设施理论经不断发展,加入了消费者偏好标准与反竞争意图标准,并将该理论从公用事业和自然垄断产业领域逐渐扩大至知识产权和网络型产业领域。
在我国,虽然并未有明确的法条规定必要设施理论,但依据《中华人民共和国反垄断法》第22条第1款第3项的规定,拒绝交易行为是受反垄断法规制的垄断行为。依照《禁止滥用市场支配地位行为规定》第16条的规定,禁止具有市场支配地位的经营者没有正当理由“拒绝交易相对人在生产经营活动中,以合理条件使用其必需设施”,并依据该情形认定经营者滥用市场支配地位时,“应当综合考虑以合理的投入另行投资建设或者另行开发建造该设施的可行性、交易相对人有效开展生产经营活动对该设施的依赖程度、该经营者提供该设施的可能性以及对自身生产经营活动造成的影响等因素”。《国务院反垄断委员会关于平台经济领域的反垄断指南》在第14条第2款规定了平台经济领域相关市场的界定标准以及相关平台构成必要设施的标准:“认定相关平台是否构成必需设施,一般需要综合考虑该平台占有数据情况、其他平台的可替代性、是否存在潜在可用平台、发展竞争性平台的可行性、交易相对人对该平台的依赖程度、开放平台对该平台经营者可能造成的影响等因素。”
数字经济发展至今,细分领域的经济集中度不断提高。在国外,亚马逊成为电子商务的代名词;谷歌和苹果占领应用程序商店市场;谷歌还成为在线搜索领域的王者。在国内,京东、淘宝、拼多多在电子商务领域三足鼎立;抖音、快手则在短视频领域展开竞争。事实上,数字经济特有的平台效应、锁定效应以及双边市场的特点使得平台之间的竞争变得困难而低效,特别是超级互联网平台的出现使得后来的竞争者难以进入该市场,控制着细分领域的互联网巨头凭借拒绝交易的权利,排除并限制竞争,这种情况与传统经济领域的垄断并无二致。也因如此,国内外一方面对超级互联网平台发起相关反垄断调查,另一方面也在制定并完善适用于数字经济领域的反垄断法律制度和监管方式。由是观之,必要设施理论的内涵深刻贴合数字经济领域的竞争现状,作为反垄断规制中的一种规则,在数字经济领域具备相当的适用性。当然,在适用时,不能仅单纯扩大必要设施理论在数字经济领域的反垄断实践,我们还需进一步理解必要设施理论的本身以及思考数字经济领域竞争的特点,根据个案做出不同分析。
四、结论
本文对企业数据交易做出概览性的研究和思考,沿着《数据二十条》确立的“三权分置”界权思路对数据资源持有权、数据加工使用权和数据产品经营权进行解释,并对数据交易及其交易标的进行界定。数据交易即数据提供方和数据需求方之间通过合同,以货币或一般等价物交换数据、数据衍生产品和服务的行为,其标的包括数据、数据衍生产品和服务。针对数据交易的方式,本文聚焦场外交易,认为将实践中复杂的数据交易归类为某一类合同并不恰当,而应当以给付的内容来确定其适用的合同规则,因此数据交易合同可以依照给付内容的不同参照适用买卖合同、技术许可合同、承揽合同、委托合同(服务类合同)等典型合同的相关规则。可见,看似复杂的数据交易并未跳脱出传统民法的合同规则。为了防范数据交易中的数据合法性风险和数据安全风险,交易双方应通过尽职调查、合同条款设置等方式明确供需双方的权利义务。同时,针对数字经济领域业已产生的数据垄断风险,可以通过引入必要设施理论加以应对。
