数据安全法之下:数据交易的法律本质初探

作者:林野丽 北京市鑫诺律师事务所合伙人

2021年6月10日,历经三审的《中华人民共和国数据安全法》(下简称“数安法”)正式通过并将于今年9月1日起实施。数安法首次以立法形式将数据安全提升至国家安全高度,并与《中华人民共和国网络安全法》一并构成《中华人民共和国国家安全法》框架下的核心版图。

然数安法的意义远不止于此。此前,由于顶层设计的缺失,尤其是数据交易中的权属问题长期得不到解决,在很大程度上阻碍了数据要素市场的道路探索。本次颁布的数安法,不仅不吝篇幅的对数据要素市场的培育与完善进行了顶层制度设计,对数据交易的法律逻辑起点即权利来源等问题也一锤定音。数安法正徐徐拉开我国数字经济法治时代的帷幕。

值此数安法出台之际,本文结合数据交易的前沿实践对数据交易的法律本质进行了探索与归纳、抛砖引玉,以期加速探寻和扩大相应的行业共识。

一、数据交易的法律本质是数据处理权交易

数安法第七条规定:“国家保护个人、组织与数据有关的权益”。此乃我国首次以立法形式确认个人或组织对数据享有合法权利,对明确数据交易的法律逻辑起点意义重大,可以说,此条规定即为合法的数据处理者就数据进行交易的权利来源。

企业就合法经营而产生或收集的数据享有相应的权利,这在世界范围内具有一定的共识性。但到底享有什么权利?在数安法之前,业界众说纷纭。

数据所有权?显然不是,数据在所有者层面上的权属界定在世界范围内仍无定论。不仅如此,从目前《中华人民共和国民法典》(简称“民法典”)、数安法乃至个人信息保护法草案来看,在今后相当长的一段时间内数据的所有权问题一定会为立法所回避。但,这并不妨碍数据要素市场主体对数据的合法管理和利用。如依据日本《河川法》,河川不属于私权标的,但也并未规定河川归属于国家所有。这使得日本的河川实质上是处于没有所有者或者所有权的状态,但这并不妨碍日本《河川法》各级政府对于河川拥有管理的权力[1]。因此,可以肯定的说,数据交易并不以数据供方对数据享有传统意义上的所有权为前提。

数据使用权?这个提法符合行业实践的认知,但单独将数据交易归结为数据使用权的交易尚缺乏立法层面的依据支撑。也有数据从业人员将之称为“数据价值”的交易。此种说法看似有道理,实则恰恰又回避了数据交易双方之间转移的权益到底是什么。因为价值作为哲学范畴具有普遍性和概括性,旨在强调客体能够满足主体需要的属性。如此一来,我们可以将任何交易都抽象为价值的交易。比如房屋买卖可以称之为房屋价值的交易,车辆买卖可以称之为车辆价值的买卖。但当我们探讨数据交易所体现的权益交换是什么的时候,就不能笼统的以价值来解释了。当然,还有资深学者站位高远并另辟蹊径,致力于重构和创设出与人权、物权相并列的“数权”[2],但因尚未被立法吸纳,此次暂不展开讨论。

事实上,数安法本身已为此探讨提供了清晰的路径。

数安法第二条规定:在中华人民共和国境内开展数据处理活动及其安全监管,适用本法。

“数据处理”这一正式概念源于2016年颁布并于2018年生效的欧盟《通用数据保护条例》(GDPR)。我国民法典在对个人信息的规定上也吸纳了对个人信息的“处理”概念。数安法则继续沿用了此概念。

数安法第三条规定:数据处理,包括数据的收集、存储、适用、加工、传输、提供、公开等;第八条继续规定“开展数据处理活动,应当遵守法律法规,尊重社会公德和伦理……”;除此之外,数安法在第二十七条、二十八条、二十九条、三十条等,从不同角度对数据处理活动进行了全方位的规制。可以说,数安法是以一部以规范数据处理活动为出发点和落脚点的法律。

由此,正如铜币两面,对于数据处理者来说,在其负有数据处理各项义务的同时,当然也享有某种权益。结合数安法第七条:“国家保护个人、组织与数据有关的权益”之规定,笔者认为,此种权益,就是对数据进行处理的权益。

其实,早在由中国信息通信研究院、中国通信标准化协会联合举办的“2020数据资产管理大会”上发布的《可信数据服务数据交易合同示范文本》中,笔者作为主笔人已将“数据交易”首次概括为了“数据供方和需方之间以本合同约定的数据处理权益为交易对象、以货币为媒介的价值交换过程”[3],该定义也达成了一定范围内的行业共识。而今,我们不妨再进一步,将“数据交易”的法律本质归纳为:交易主体之间就特定的数据处理权益进行的交易,是数据供方就其依法享有的数据处理权益进行处分的一种方式。简化起见,数据处理权益亦可称为“数据处理权”。

而数据交易中的通常表象即供方向需方交付特定数据也只是为实现数据需方对数据行使相应处理权的途径——正如房屋租赁交易中,交付房屋是为实现承租人对房屋行使占有权的必要途径一样。

二、数据处理权的种类

在厘清数据交易的本质是数据处理权交易的基础上,可以进一步将数据的处理权限依据不同的法定处理方式来予以细分。

数安法对于数据处理方式的划分与民法典中对于个人信息数据处理方式的划分相同,均为:收集、存储、使用、加工、传输、提供、公开等。

由此,我们可将数据处理权之权限进一步划分为:收集、存储、使用、加工、传输、提供、公开等权限。而上文提及的符合行业实践认知的“数据使用权”可以视为数据处理权概念之下的具体权限——“使用”权限。

对数据处理权的权限进行细分既有助于交易各方理解数据交易即数据处理权交易的本质,也有助于为交易双方自主确定交易内容提供清晰可度量的参考依据;更为重要的是,对不同的数据限定不同方式的细分处理权限是数安法下数据分类分级管理和数据安全保护的必然要求。

如在数据交易中,根据不同的供需特点,数据供方或者需方都可能需对交易后彼此处理交易数据的方式进行一定的限制。比如需方可能出于保护商业竞争优势的角度要求供方按照自身需求收集、加工并交付数据后即对数据进行销毁,从而供方不再对数据享有包括存储、使用、加工在内的全部权限;又或者即便允许其进行存储和加工,但要求不得就数据再向其他方传输,即限制其传输权限。

再比如,根据数安法第二十一条的规定,国家、各行业、地区均会建立不同层级的数据分类分级保护制度体系。考虑到现有法律体系在事实上已对不同法律属性的数据进行了归类,如重要数据(含核心数据)、个人信息数据、公共开放数据等,且不同类别的数据同时也对应着不同的保护义务,在此种情况下,对数据处理权限进行细分就十分必要了。

如当数据供方向数据需方提供的数据涉及合法采集的个人信息时,出于个人信息主体的明确授权范围所限,供方可能须要求需方不得对外进行再传输、提供和公开等。因此,将数据处理权进一步细分为收集、存储、使用、加工、传输、提供、公开等权限恰恰就是供需双方为履行合规义务而排除前述“传输、提供、公开”等特定处理权限的必然要求。

三、数据交易法律本质下的实务初探

在明确了数据交易的法律本质之后,业内人士可能会指出:前述本质是否只适用于交易需方可以获得标的数据或能够获知基础数据库的情况(如接受交付的数据集或者通过API接入基础数据库)?如果数据供方提供的仅为单一结果,比如持有个人征信牌照的机构接受小贷公司等查询机构的委托及个人信息主体的事先明确授权,而对个人征信情况进行的查询,征信机构可能只会以“信用分”的形式对外输出单一“结果”,此种情况下是否仍为本文探讨的数据交易?

笔者认为答案是肯定的,这取决于对“数据”概念的理解。根据数安法第三条,数据是指任何以电子或其他方式对信息的记录。那么,即便在需方只获得结果本身的情况下,其获得的仍然是数据,只不过是信息较为单一的“结果”数据。对于该“结果”数据本身,完全也可以认为是对“结果数据”之特定数据处理权的交易。

还有一种典型的数据交易方式,即除了数据供方和数据需方外,增加了数据技术服务方(目前大多交易平台自身也提供此类服务)。如通过提供多方安全计算、联邦学习、可信执行环境等技术,提供数据隐私计算服务,以可用不可见的方式对供方数据进行处理,最终得到并向需方提供相应的结果。此种情况其实和上文提及类似,只不过在供需双方之外还引入了第三方。我们可将为实现交易需求(如合规需求)而对数据进行技术处理的服务称之为“数据处理服务”。如笔者参与制定的北京国际数据交易所之《北京国际数据交易服务指南(总则)》3.4条中将“数据处理服务”定义为“为满足交易主体需求而对数据集进行加工、治理、存储、分析、隐私计算等数据处理的系列活动”。

不难看出,此种情况下的交易同时涉及到对两类数据的处理:

第一种是供需双方达成合意委托数据处理服务者对基础数据库中的数据进行处理;这涉及到数据供方对基础数据库之数据处理权的处分。

第二种是按照约定将完成计算后的结果数据向数据需方予以提供,并赋予需方就结果数据进行一定方式处理的权限(如使用权限);这涉及到供方对结果数据之特定数据处理权的处分。

因此,数据处理服务者提供技术服务并不改变此类数据交易实际还是数据供方就基础数据库内的数据+结果数据之处理权限与数据供方进行的交易,仍然包含在本文所探讨的数据交易法律本质之内。

综上所述,数安法不仅解决了数据交易的法律逻辑起点即权利来源问题,也揭示了数据交易的法律本质是数据处理权的交易;更重要的是,数安法对于数据处理方式的明确划分为交易双方自主确定交易内容、尤其为下一步落实数安法所要求的数据分类分级管理乃至整个数据要素市场规则体系的建立提供了明确的法律依据,意义非凡、未来可期。

作者简介:林野丽 北京市鑫诺律师事务所合伙人、数据产业发展法律研究与合规中心主任、北京市律师协会建设工程专委会副主任。

(0)

相关推荐