安全视域下平台模式数据交易的法律规制
作者: 苏成慧[摘要]为保障数据交易中的网络安全、数据安全及交易秩序,应对平台模式下数据交易卖方、数据交易买方、数据交易平台采取规制措施。数据交易卖方应限于自然人和企业,需实名认证方可交易。其在交易中负有保密、保障数据质量、风险及时告知、维护数据安全等积极性义务,以及禁止发布非法信息、不得危害网络安全、不得违反交易规则等不作为义务。数据交易买方除负有与数据交易卖方相同的保密、风险及时告知和禁止行为等一般性义务外,还负有不得对所购数据实施反向识别及禁止对所购原数据再次交易的义务。数据交易平台负有保障交易数据安全、敏感信息保密、交易风险提示、服务中断通知、人员管理及协助纠纷解决等义务。
[关键词]数据安全法治;数据交易;数据安全保障义务;数据要素
[中图分类号]D923[文献标识码]A[文章编号]1009-4245(2024)05-0035-06
DOI:10.19499/j.cnki.45-1267/c.2024.05.007
[基金项目]重庆市教育委员会科学技术研究项目“数据交易规则体系构建研究”(KJQN202300312)。
一、引言
数字社会背景下,数据已成为支撑数字经济社会发展的核心生产要素。党的十九届四中全会报告首次将数据纳入与土地、劳动、资本、技术等传统生产要素并列的范畴。为更好地发挥这一生产要素的价值,有必要构建合规高效的数据交易市场。“合规”“高效”的本质在于解决数据作为生产要素流通中存在的安全和发展并重的问题。《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》将数据列为生产要素之一,并指出要“引导培育大数据交易市场,依法合规开展数据交易”[1]。《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》中指出:“统筹构建规范高效的数据交易场所。……出台数据交易场所管理办法,建立健全数据交易规则,制定全国统一的数据交易、安全等标准体系,降低交易成本。”[2]在当前数据交易发展如火如荼的背景下,如何培育高效的数据交易市场并建立安全的运行规范,是当下促进数据要素高效流通亟待解决的问题。
自2015年贵阳大数据交易所挂牌以来,国内相继成立多个数据交易平台,提供包括数据及数据衍生品交易、数据清洗加工、数据质量评价、数据标注、可视化、数据应用等服务,为数据的共享流通提供便利,促进数据要素市场的培育。我国数据交易所的发展变迁经历三个阶段:2014—2017年,在“引导培育大数据交易市场”的政策引导下,各地区开始成立数据交易所,开展数据交易的实践探索;2017—2020年,因数据流通交易涉及多方主体的利益,流通和安全的相关制度建设尚未完善,数据交易所的发展处于“冷静期”;2020年至今,我国关于数据权属、数据流通安全、标准、技术等相关法律法规陆续出台,数据交易所处于“发展期”[3]。截至2022年9月,全国各地先后成立47家数据交易所,采取国资控股、国资参股、民企控股等股权组织样式[4]。2022年我国数据交易行业市场规模为876.8亿元[5]。随着数字社会的不断发展,数据作为生产要素在各行业中发挥的作用将越来越大。
数据交易模式主要包括场内集中交易和场外分散交易两种。平台模式是场内集中交易的典型,这一模式的广泛开展有助于提升数据要素的流通量,强化数据要素市场的构建。按照平台参与数据交易的程度,可将数据交易分为两种交易模式:平台中介模式、平台交易商模式。平台中介模式,即“数据交易卖方—数据交易平台—数据交易买方”模式,是指数据交易平台仅为数据交易双方提供数据交易流通的供需信息,平台本身不作为数据供求方。这类数据交易平台运营模式本质上类似于房产中介特别是婚姻介绍所的中介与撮合模式[6]。平台交易商模式,即“数据交易平台—数据交易买方”模式,是指平台自身作为数据交易卖方,对其收集的数据进行整合、加工后,将数据以云的方式提供给数据交易买方。
二、数据交易法律规制的安全性考量
数字社会背景下,商事交易主体的利己主义会带来诸多不安全因素。当数据作为一种可交易的资产时,交易双方作为数据控制者,其控制的数据并非自主产生的数据,这一客观现实使得对交易安全的需求扩展至数据交易主体之外的第三方。因此,对交易中的安全风险进行防范,是对数据交易展开规制的主要原因。
(一)数据交易之网络安全风险
我国近十亿网民构成了全球最大的数字社会[7],而网络是数据流通最主要的渠道和方式,伴随网民数量的不断增多,对网络安全风险的防范越发重要。互联网背景下,网络技术不断更新迭代的同时,也引入了新的攻击面和复杂性,网络安全风险可谓防不胜防。这些风险主要表现为个人信息泄露、网络诈骗、设备感染病毒、账号或者密码被盗等问题。
基于互联网的数据交易行为,不仅交易形式有赖于网络,而且交易客体本身亦依存于计算机存储介质。因此,数据交易行为相对其他商品交易对网络安全的要求更高。交易作为数据利用的重要环节,尤其当前以数据交易平台为核心的数据交易模式为大量的数据交易提供可能性,在交易环节中防范因网络安全问题导致的数据泄露风险,是法律规制数据交易的主要原因之一。
(二)数据交易之数据安全风险
数据安全是数字化时代的核心价值追求。《中华人民共和国数据安全法》第19条明确规定要“规范数据交易行为”,目的在于保障交易中的数据安全。数据被不同主体交叉持有已为常态。就目前数据交易实践而言,数据交易卖方提供的数据并非完全由其自主产生,其持有的数据可能来源于个人、企业或者政府等自身以外的其他主体。因此,数据交易实践必然伴随着第三方数据安全风险问题。
1.个人数据安全风险。网络用户与互联网提供商、数据控制者(包括数据交易主体)之间存在信息不对称的问题,表现为个人对其自身从事社会交往活动产生的信息流向无法全面掌控,客观上决定了互联网用户相较于网络服务商而言在信息“自主控制”方面处于“弱势”地位,存在着个人数据被侵权的风险。
2.企业数据安全风险。按照数据对企业的重要程度,可将企业持有的数据分为三类:可公开数据、仅供内部使用的数据、机密数据。由于企业之间对数据处理技术的能力存在差异,产生数据的企业并不一定能充分挖掘其自主产生的数据之价值,并且与企业相关的数据在性质上可表现为企业知识产权、商业秘密、数据财产权等多种形态,这些数据形态在流通过程中存在着被泄露或被非法利用的风险。
3.公共数据安全风险。数据交易可能涉及公共数据,而公共数据的流通关系社会安全和国家安全。在市场机制的自发作用下,数据交易主体呈现一定的自发性和盲目性,通常以数据的增值性为核心考量因素,对不同数据的性质分类及其所附带的多元利益考虑较少,甚或忽略不计,存在着公共数据被非法交易的风险。因此,基于总体国家安全观的视角,应绝对禁止涉及社会安全、国家安全的数据交易。
三、数据交易卖方的法律规制
(一)数据交易卖方的资格准入
从数据交易实践看,关于哪些主体可以参与数据交易存在分歧,目前我国法律对此没有明确规定。笔者以为,数据交易卖方的范围应限于自然人和企业,政府等公共职能部门不宜作为数据交易卖方。理由在于:个人数据的交易虽然受限[8],但并非限制个人从事数据交易行为。互联网时代下诸多数据为开放数据,享有数据挖掘技术的自然人主体可收集网络公开数据,并对收集的数据进行分析和利用,包括用于交易。而政府等公共职能机构因受其社会公共组织性质的限制,不宜成为数据交易卖方,其享有的数据应依法开放和共享。
此外,数据交易卖方需实名认证方可参与交易。一方面,实名认证有助于监督数据交易卖方,促使其提供真实、可靠的交易数据;另一方面,实名认证有助于增加交易资金结算的安全性。为降低交易成本,数据交易资金一般由数据交易平台或者第三方托管,待双方交易完成后,才进行资金结算。实名认证能够保障交易双方及时、准确地进行资金结算。
(二)数据交易卖方的义务
1.数据交易卖方的积极义务。数据交易卖方应积极采取以下措施保障数据安全、保证交易数据质量、防范交易风险。
(1)保证数据质量义务。数据的真实、准确是确保大数据分析利用效果的基础,数据交易卖方有义务确保其在交易平台上发布的数据源真实、准确、无误导性。此项义务的具体内容包括三个方面。一是保障数据提供的及时性和稳定性。特别是实时性数据,如因数据交易卖方原因导致数据调用无效或服务中断,数据交易卖方有义务及时解决;对数据交易买方造成重大损失的,应承担相应责任。二是交易合法数据。数据交易卖方于数据交易平台中提交的数据和服务应是合法的、完全的,或具备完整的授权证明。三是涉及个人数据时的事先评估义务。由于数据交易卖方的源数据来源较为广泛,其提供的数据中如涉及个人数据时,应事先对个人数据的脱敏处理进行评估,评估的主要内容包括说明数据来源、是否对敏感数据采取安全保障措施等内容。
(2)信息保密义务。数据交易卖方在交易中涉及的需要保密的信息包括在数据交易中获知的与数据交易平台相关的、尚未公开的信息,以及交易过程中获知第三方或其他用户的涉密信息、敏感信息。保密义务的具体内容主要包括以下几个方面。一是数据交易卖方应采取不低于法律法规规定的关于涉密信息、敏感信息、个人信息保护的技术措施,保障其在数据交易中掌握的应予保密的信息安全,如数据交易相关方对数据交易卖方关于保密信息有更高技术要求的,从其约定采取保密措施。二是企业作为数据交易卖方的,应制定公司规章确保内部职员不泄露数据交易中获知的应予保密的信息。因经营需要而对公司内部特定成员实施必要披露及利用保密信息时,不得侵犯数据交易平台及第三人的利益。在对其雇员、股东、董事、顾问、咨询人员披露保密信息前,应向其说明保密信息的保密性及其应承担的义务,确保上述人员对应保密的信息进行保密,并采取有效措施对上述人员的保密行为监督管理。三是数据交易卖方发现保密信息泄露,应采取有效措施防止保密信息进一步扩散,并及时告知保密信息的主体,向其提供掌握的所有相关情况,以防止损失扩大。四是数据交易卖方停止使用平台服务后,应及时删除其持有的承载保密信息的介质原件及复制件。五是未经保密信息所有者事先书面授权,数据交易卖方不得以任何方式向任何其他组织或个人泄露、转让、许可使用、交换、赠与,或者与任何其他组织或个人共同使用或不正当使用应予保密的信息。
(3)维护数据安全义务。数据交易场景下,数据来源渠道广泛、涉及主体较多,数据交易卖方应保障其提供的数据安全、合法,同时应确保其与数据交易平台对接的数据传输技术的安全性,防止数据泄露。其主要内容包括:数据交易卖方应正确配置和使用数据交易平台的数据产品和API应用程序接口服务,定期对API数据接口提供升级、维护服务,并采取措施维护所交易数据的安全性,包括但不限于使用加密技术,防止交易数据内容被非法访问,并对数据内容进行日常存档和备份。数据交易卖方提供的数据产品若具备存储或传送数据的功能,须对产品的口令、敏感个人数据(如银行账号等)的存储和传送过程采取加密措施。数据交易卖方有义务对数据交易买方提供相应的服务支持,需确保其产品升级过程的安全,并独立承担因升级维护导致的损失、赔偿和相关责任。
(4)风险及时告知义务。保障交易安全是数据交易市场有序运转的基本前提。为防范数据交易中交易数据、交易资金的安全风险,数据交易卖方应履行下列如实告知义务。一是密码泄露告知义务。数据交易卖方发现其账号或密码(包括但不限于注册账号及密码、支付账户及密码等)被他人非法使用或有使用异常的情况时,应及时通知数据交易平台,以便平台能够及时采取措施预防损失。二是交易数据泄露报告义务。数据交易过程中,交易数据泄漏时,数据交易卖方应及时将数据泄露情况告知数据交易平台或数据交易买方,以便数据交易平台及时采取补救措施保障交易数据安全。三是信息变更通知义务。数据交易卖方在交易过程中涉及的与交易数据、技术服务及其他影响数据交易的相关数据信息发生变更时,应及时更新为真实、准确、完整、有效的资料信息。如果未及时、准确、完整更新有关信息,或未及时通知数据交易平台而造成的损失,由数据交易卖方承担。