企业数据交易合规指南

一、 数据交易概述

随着信息社会的发展，当前数据所承载的商业价值和经济价值日益为各国政府和企业所重视，以大数据为基础的要素分析、商业模式构建和经济预测等新应用，使得信息资源逐渐成为当今重要的生产要素之一，成为生产力发展的重要影响因素。2020年《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》明确指出数据成为五大生产要素之一，紧随其后的《数据安全法》则明确规定国家要建立数据交易制度。

根据《数据安全法》第三条第一款之规定，所谓数据，是指任何以电子或者其他方式对信息的记录。由此，对数据交易一个简单理解就是：不同主体之间达成合意以有偿或无偿的形式，将自己以一定形式掌握或控制的任何以电子或者其他方式对信息的记录，进行交易的行为。

1. 数据的法律性质

要分析数据交易的法律性质，首先就要明确在现行法律体系下数据本身的法律性质。目前，我国法律并未对数据的法律性质进行明确的界定，《网络安全法》《数据安全法》和《个人信息保护法》仅从国家安全和个人权益保护的视角对数据的处理提出合规要求。数据本身的法律性质还是较为模糊、数据权益的具体内容、所有权归属等皆没有明确的规定。

目前，在《个人信息保护法》中明确的规定个人信息的人格性权益应当受到法律的保护，但其他类型数据的权益，例如个人信息的财产性权益则没有明确的规定。但在数据交易中，所交易的“数据”则大多属于数据财产性权益的范畴。

由于这部分数据的所有权并不明确，有可能被多个主体所掌握、控制和占有，且数据由于可共享性、可复制性和无形性等特征，在实践中大多类比知识产权等无形财产进行交易。

而在学界，针对数据的法律性质则主要有(1)邻接权客体;(2)财产权客体;(3)数据资产三种不同的观点。

持邻接权客体观点的林华老师等学者认为：“实践中绝大多数大数据是不具有独创性的数据汇编， 以邻接权保护大数据的立法模式比以版权、数据库特殊权利、商业秘密权、隐私权、合同和反不正当竞争等立法模式更加符合逻辑和法理，也具有更高的可行性”。

持财产权客体观点的齐爱明老师等学者则认为：“大数据时代，数据有价，其作为一项重要财产，在信息社会流通和交易异常频繁，逐步发展成为主要的社会基础资源, 因此有必要构建数据财产制度，赋予数据财产权，保护数据财产”。

最后，持数据资产观点的李海英老师等学者则认为：数据资产是一种新型的资产类型，应当被认定为数据控制人资产的一部分，是数据控制人享有的与数据有关的一切权益的总和。笔者较为赞同第三种观点，即数据应当属于一种新型资产，而在实践中，2015年成立的贵阳大数据交易所已经将“数据资产”的交易列入交易所交易范围中。总之，数据资产化是大数据交易的前提和基础，也是大数据成为数据交易标的、对象的过程。

目前，上海数据交易所交易的数据资产，暂不涉及个人信息，个人也暂时不能成为交易主体。在交易所参与交易的，还是企业等市场主体，交易的对象是商业市场数据。

2.数据交易中存在的主体

在目前的数据交易中主要涉及三个主体：数据提供方、数据接受方、数据交易平台。数据提供方和接受方大多数都是以营利为目的的商业主体，以有偿的方式提供和接受数据，通说认为，双方交易的的数据的使用价值。

交易平台则是为数据交易双方提供服务的主体，属于数据交易的“中间人”，大部分数据交易平台仅为交易双方提供交易所必需的一系列服务而不实际存储和处理数据。

二、数据交易合规要点

——以《上海市数据条例》为视角

根据《数据安全法》第十九条之规定：国家建立健全数据交易管理制度，规范数据交易行为，培育数据交易市场。我们可以明确，合法合规的数据交易在我国受到法律的允许，国家允许各地方政府建立数据交易市场、健全管理制度以规范数据交易行为。

同样，根据《上海市数据条例》第五十三条之规定：本市支持数据交易服务机构有序发展，为数据交易提供数据资产、数据合规性、数据质量等第三方评估以及交易撮合、交易代理、专业咨询、数据经纪、数据交付等专业服务。本市建立健全数据交易服务机构管理制度，加强对服务机构的监管，规范服务人员的执业行为。可知，上海在探索数据交易制度的路上已经走在了全国前列。

1.如何进行数据交易

首先，针对数据交易服务提供者(即数据交易平台)而言，《上海市数据条例》分别从交易环境;(2)交易流程和内部管理制度;(3)数据分级分类安全保障等三个方面提出了要求。

根据《上海市数据安全条例》第五十三条之规定，数据交易平台、服务机构应当在为交易双方提供数据交易服务时：建立规范透明、安全可控、可追溯的数据交易服务环境，制定交易服务流程、内部管理制度，并采取有效措施保护数据安全，保护个人隐私、个人信息、商业秘密、保密商务信息。

其次，需要注意的是，根据《数据安全法》第十九条对建立数据分级分类的要求，上海市已经出台了《上海市公共数据开放分级分类指南(试行)》对上海市内的企业作出数据合规指引。另外，在公共数据的分级分类方面还需注意，根据《上海市数据条例》第四十一条，上海市公共数据按照开放类型分为无条件开放、有条件开放和非开放三类：

(1)涉及个人隐私、个人信息、商业秘密、保密商务信息，或者法律、法规规定不得开放的，列入非开放类;

(2)对数据安全和处理能力要求较高、时效性较强或者需要持续获取的公共数据，列入有条件开放类;

(3)其他公共数据列入无条件开放类。

非开放类公共数据依法进行脱密、脱敏处理，或者相关权利人同意开放的，可以列入无条件开放或者有条件开放类。对有条件开放类公共数据，自然人、法人和非法人组织可以通过市大数据资源平台提出数据开放请求，相关公共管理和服务机构应当按照规定处理。

目前，数据分级分类在不同地区有不同的标准，例如贵州省在2016年发布的地方标准《政府数据 数据分类分级指南(DB 52/T 1123—2016)》，杭州市在2020年发布的《数据资源管理 第3部分 政务数据分类分级(DB3301#T 0322.3)》以及浙江省《数字化改革 公共数据分类分级指南(DB33/T 2351—2021)》。

各标准虽然大同小异，但对于不同地区的企业和数据交易平台来说，还是应当结合当地的相关数据地方性法规和分类标准，具体问题具体分析，合规在细节处见真章。

2.数据定价

数据定价对于数据交易来说是至关重要的环节，其关乎交易双方最根本的利益，只有合理的定价和妥当的监管方式并行才能真正让数据作为关键生产要素流动起来。根据《上海市数据条例》第五十七条：从事数据交易活动的市场主体可以依法自主定价。市相关主管部门应当组织相关行业协会等制定数据交易价格评估导则，构建交易价格评估指标。

可见，目前对于数据定价，相较于其他地区上海采取了较为宽松和利于交易双方的定价模式：市场议价。

在实际操作中，每次交易的相关主体都会开展协商，形成价格。当然，议价也不是毫无原则的，据上海市数据交易所副总裁卢勇介绍，在议价中须遵循三个法则：一是成本法则，卖方生产的数据产品需要多少成本，在此基础上进行调整、定价。二是收益法则，买方使用该数据产品之后，最后会取得多少收益。三是市场法则，也就是产品多次交易后形成一个相对稳定的市场价格。

3.数据交易场所与数据交付

对于交易场所，根据《上海市数据条例》第五十六条：市场主体可以通过依法设立的数据交易所进行数据交易，也可以依法自行交易。上海并未严格要求所有的数据交易都要在特定地点进行，交易双方也可自行交易。但数据交易后还需交付，在实践中交付环节需要根据数据的安全等级采取有针对性的渠道。

目前来看，上海数据交易所采取的是交易、交付分离的模式。交易一般在交易所进行，但交付则有多种手段，例如双方可以约定好直接交付，如果很多数据都存在云服务器中，也可以通过云厂商进行交付，

实际操作中，更多机构希望采取的是通过第三方机构进行交付，确保数据是“可用但不可见”的，也就是说，买方仅可以获得数据的使用价值，但不能直接拿走甚至看到原始数据。据上海市数据交易所副总裁卢勇介绍，此时交易所就会提供一些服务或者服务商，比如引入具有多方安全计算、数据沙箱等技术的企业，在技术手段保证前提下，让数据使用方使用数据但拿不走数据。

4.数据交易的禁止性情形

目前，国家虽然鼓励数据交易，大力促进数据作为生产要素在全社会中流动，但对于某些特定种类的数据或存在特定情形的数据依然禁止交易，违反该禁止性规定的行为可能受到行政处罚甚至具有刑事风险。以《上海市数据条例》第五十五条为例，不得交易的情形具体来说有：

(1)危害国家安全、公共利益，侵害个人隐私的;

(2)未经合法权利人授权同意的;

(3)法律、法规规定禁止交易的其他情形。

企业和各交易所在进行数据交易的过程中应当严格遵守《数据安全法》《网络安全法》《个人信息保护法》、国务院各部门的部门规章以及各地区的地方性数据法规中的禁止性规定，避免产生不必要的风险。