文|李翰文 中国(深圳)综合开发研究院 城市和乡村发展研究中心;李欢 华东政法大学传播学院讲师,硕士生导师,法学博士
随着网络信息技术的进一步深化,以数据要素为引领的数字经济加快发展,成为了继农业经济、工业经济之后的新经济形态。据2023中国国际大数据产业博览会发布的数据,2022年我国大数据产业规模已达1.57万亿元,同比增长18%。数据要素作为数字经济发展的核心引擎,其市场化交易备受瞩目,欧盟、美国、日本等发达经济体纷纷出台立法加快这一进程。我国也在2022年底发布了《关于构建数据基础制度更好发挥数据要素作用的意见》,并从数据产权、流通交易、收益分配以及安全治理四个方面提出了二十条指导意见(简称“数据二十条”,下同)。作为中国数字经济发展的高地,深圳市发改委在今年3月发布了《深圳市数据交易管理暂行办法》和《深圳市数据商和数据流通交易第三方服务机构管理暂行办法》两部地方立法,率先开始了数据要素市场化地方立法的尝试。事实上,这并非是深圳的首次探索,早在2021年,深圳市就通过了国内数据领域首部综合的地方性立法——《深圳经济特区数据条例》。《条例》专章规定了发展数据要素市场的问题并且明确提出市人民政府应当统筹规划,加快培育数据要素市场,促进数据资源有序、高效流动与利用。不过,由于数据产品及其交易环境的复杂性,数据要素的市场化流通仍面临诸多障碍,需要进一步明确和细化。
//深圳数据交易所供图
数据要素交易面临的首要障碍是数据的确权问题。产权界定是交易的前提,但相比其他无形财产而言,数据交易有着更多的困难。一方面,数据产品在形成过程中涉及到个人、企业以及社会多个主体的利益,用户的个人信息、企业的经济利益以及社会公共利益均需要考量。对任何一方利益的过度强调都会导致其他方利益的减损,这需要作出谨慎的平衡。另一方面,数据交易环境相对复杂,除了常见的数据产品、数据服务外,还有未经加工的元数据以及用于质押的数据产品等,其权利内容均存在不小的差异。传统商品与货物交易依托于实体经济,数字产品交易则是无体物交易,主要是权利的交易,这些都加剧了界权的障碍。海量的个人数据蕴涵着巨大的经济价值与战略价值。特别是对于大量收集与利用个人数据的相关企业而言,它们对那些被合法收集的个人数据是否拥有权利、拥有何种权利至关重要。
“数据二十条”提出,要建立公共数据、企业数据、个人数据的分类分级确权授权制度。根据数据来源和数据生成特征,分别界定数据生产、流通、使用过程中各参与方享有的合法权利,建立数据资源持有权、数据加工使用权、数据产品经营权“三权分置”的产权制度框架。在收益分配方面,要按照“谁投入、谁贡献、谁受益”原则,探索个人、企业、公共数据分享价值收益。但从已有的实践来看,我国立法采取鼓励交易的态度,个人数据经过加工脱敏之后即成为企业财产,用户数据所产生的经济价值很大程度被平台占有。显然,多主体利益分配的机制尚未完整建立,如何平衡各方利益,界定数据权利仍然有待于进一步探索。
交易标的是数据交易的核心,按照《深圳市数据交易管理暂行办法》的规定,数据交易场所的交易标的包括数据产品、数据服务、数据工具以及经主管部门同意的其他交易标的四个类别。不过,从其内容来看,这四类标的大致属于同一个层次,且主要集中于中游的交易环节。而对于数据产品上游的数据占有和登记以及数据产品质押等下游环节,缺乏足够关注,尚未形成产业链意义上的交易格局。
在今年两会上,全国政协委员、中国信息通信研究院院长余晓晖提出了三级交易市场设想。他认为数据交易需要建立三级市场,具体而言,一是探索一级市场进行数据登记授权;二是探索二级市场进行数据流通交易,行使数据产品经营权、流转数据加工使用权。推动数据在法律层面明确不同权利的属性;三是探索三级市场展开数据质押、数据信托等资本化交易活动,更大范围的流转数据持有权、使用权、经营权等。作为新兴产业,数据交易有着复杂的产业链,交易内容也并非狭义上的数据产品和数据服务,如何联动上下游的相关产品,丰富交易标的对发展数据交易市场意义深远。
//深圳数据交易所。经济参考报 梁旭 摄
自2018年以来,数据安全已成为世界各国的热点关注问题之一。该年,全球最大的社交媒体平台——脸书(Facebook)从年初的数据泄露、年中的虚假信息频发再到年底的平台安全漏洞,震惊全球亿万网民。而我国的新浪微博也在2020年被曝出数据泄露的丑闻,约有5亿用户的数据被放置“暗网”进行交易。为维护数据安全,此次《深圳市数据交易管理暂行办法》第六章专章规定了数据交易安全的问题,要求数据交易场所运营机构、数据卖方、数据买方、数据商和第三方服务机构建立健全全流程数据安全管理制度,保障数据安全。不仅如此,条例第26条还专门规定了数据安全的分级管理问题,初步明确了相关主体的数据安全责任。
一般来说,维护数据安全主要存在外部监督和内部管理两种方式,前者以行政机关监管为代表,如我国网信办、工信部的直接监管等;后者则主要体现为以企业内部的治理规则,如内设机构以及内部规章等。近年来,为适应数据安全的新形势,引入第三方已成为一种新型的监管方式。比如我国2021年出台的《个人信息保护法》规定,提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当成立主要由外部成员组成的独立机构,对个人信息处理活动进行监督。再如,欧盟出台的《数字服务法》要求公司在治理中建立“合规官”(Compliance Officers)制度,聘请一个或多个具有专业资质、知识、经验和能力的合规官,对平台遵守法案的情况进行监督。总之,数据交易依赖于安全可靠的交易环境,如何在传统的监管之外发挥外部审计等第三方的监督功能值得进一步探索。