因先发优势和权利保护导向,欧盟数据治理与交易平台治理的相关制度处于世界前列,具有镜鉴价值。欧盟关于数据交易平台治理的相关制度,发端于数据处理的基本要求,成长于数据权利的普遍保护,完善于数字市场的专门立法。其制度内容以《通用数据保护条例》的数据保护规则为核心,以交易平台的规制与监管为抓手,并以数据利用的规范与保障为目标。结合当前数据交易平台的发展趋势和治理需求,我国在制度借鉴时,可采取“总—分”式立法模式,通过统领性立法引领数据交易平台治理制度体系建构,用原则性制度及时回应实践治理难题,进而构建涵盖“主体—平台—使用者”全流程的规制方案。
作者:杨瑜娴,武汉市社会科学院副研究员
来源:世界社会科学,《世界社会科学》2024年第4期
问题的提出
数据交易是加快数据要素价值转化的重要方式。《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称“数据二十条”)颁布后,各地数据交易平台蓬勃发展,但面临交易平台定位不准、交易规则参差不齐、交易总体体量有限的状况,亟待法律制度的引领、规范和促进。从我国制度现状看,“数据二十条”属于国家政策,仅能从宏观层面指导数据交易领域的规则制定,而尚未直接、具体地对数据交易及其平台治理作出规定。虽然近年来我国颁布了《中华人民共和国个人信息保护法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》,强化了对数据的保护,但其侧重于数据保护的基本面向以及防止数据权利被侵犯等场域,还未将数据作为一种交易对象并实现交易过程中的保护。当在数据交易平台进行交易时,如何实现数据提供方和需求方的权益、确保数据安全、明晰法律责任等,均成为亟待解决的实际问题。这表明,与现实中激增的数据交易平台治理需求相比,我国关于数据交易平台治理的制度供给远远不足,其制度设计、基本原则、规范体系等均处阙如之态。
就这一法学领域的新的研究对象而言,欧盟关于“数据”的研究已形成了“欧盟模式”,其在数据治理方面的特点与创新,被全球诸多国家当作数据立法的参考依据。作为技术领先地区,欧盟一直致力于推动数据的合法、公正和透明交易。早在2016年,欧盟就颁布了《通用数据保护条例》(General Data Protection Regulation,GDPR),明确了个人数据的处理、存储和保护规则,以及对个人数据泄露的处罚规则。自2022年起,欧盟又先后颁布了《数据治理法案》(Data Governance Act)、《数据法案》(Data Act)等法规,加强了对数据共享开发利用的引导和规范。应当承认的是,欧盟在数据治理制度方面走在世界前列,其相关经验和做法可为我国数据交易平台治理制度体系的建构提供良好范本。但这并非表明我国可以直接照搬欧盟的相关制度。质言之,对于域外成功的立法例,应辩证地将其在中国制度语境与土壤中予以修正,而避免流于形式的法律移植,方为科学的借鉴与运用。
欧盟关于数据交易平台治理的
制度源起与发展
欧盟的数据治理与交易平台治理发端较早,可追溯至20世纪90年代末期。欧盟彼时的经济发展水平已居于世界前列,因互联网的快速发展推动了数字化普及,其形成并存储了大量数据。交易平台开始崭露头角,带来了新的商业模式和商业机会,却也引发了越来越多的法律问题。从一定意义上而言,立法是社会现象和社会问题的类型化反映,当公众对某些社会问题或事件进行关注时,就会对相关制度提出更高要求,促使相关法律法规得以完善和改进。从一般立法规律看,立法能力越强,立法偏好转变为立法结果的效率越高,立法者就能越快速、综合地回应社会需求。欧盟成员国整体数字化的高度普及和交易平台的治理需求,最终促使其不断加强数据立法,并在该立法领域走在世界前列。回顾欧盟数据治理与交易平台治理历史,可以发现,数据交易平台治理的相关制度内容正不断得以拓展和完善。
发端于数据处理的基本要求
在大数据时代,私权性或者说个人性是当下数据的显著特征之一,加之数据是数据交易的基础要素,相关领域的数据权利保护对于数据交易平台治理而言显得尤为重要。在数据权利保护初期,欧盟围绕基础要素——数据建立了权利保护制度体系,这成为后期数据交易平台治理的关键基础和重要支撑。20世纪90年代末期,互联网高速发展并衍生了大量数据,也带来了一系列法律问题,这在个人数据保护方面尤为突出。1995年,欧盟颁布了《计算机数据保护法》(Directive on the Protection of Individuals with Regard to the Processing of Personal Data by Community Institutions and Bodies),这是具有里程碑意义的法律文件,旨在保护欧盟公民的个人数据隐私权,规范欧盟机构和组织处理个人数据的方式和范围,并确保数据在各成员国之间的自由流动。《计算机数据保护法》虽未直接针对数据交易及其平台治理进行规定,但对与数据交易相关的数据处理作出明确规定。即一方面,个人数据必须以合法和透明的方式进行处理,且只能用于特定的目的;另一方面,数据处理组织只能处理与其任务相关的个人数据。
21世纪初,互联网进一步普及,电子商务的发展使数据保有量大幅增长。欧盟开始关注电子商务领域的消费者在交易过程中的数据安全,如数据隐私、信息泄露等问题。为有效因应上述问题,欧盟于2000年颁布了《电子商务指令》,明确了欧盟成员国在电子商务领域的法律框架和规则,旨在促进欧盟内部电子商务的发展和创新,同时保障消费者的权益和安全。《电子商务指令》指出,国际社会调查项目(International Social Survey Programme, ISSP)必须提供某些信息给其服务的接收者。这些信息包括服务提供商的名称、服务提供商的地理地址,以及允许用户迅速与服务提供商联系的详细信息,如电子邮件地址。《电子商务指令》强化了交易过程中的数据保护,为欧盟数据立法夯实了基础。
由此可知,《计算机保护法》《电子商务指令》虽未直接对数据交易行为及其平台治理予以规制,但其标志着欧盟以立法形式保护个人数据权益的开端,亦意味着数据处理基本要求的萌发。
成长于数据权利的普遍保护
随着信息技术的不断更新以及各类交易平台的持续发展,欧盟逐渐通过立法加强对交易平台的监管,持续推进数据权利保护体系化。2016年,欧盟颁布了《通用数据保护条例》。事实上,立法者已经清晰意识到,“自1995年《计算机数据保护法》制定以来,技术发展呈指数级增长所衍生的数据爆炸已经势不可挡,故其担心该指令以及相关立法是否能为欧盟公民提供足够的保护”,GDPR因此应运而生。从立法内容看,GDPR是欧盟及其成员国为确保公民的基本权利和自由得到保护,而进行大量迭代立法的结果。
GDPR的适用范围与一般国内法不同,其空间效力已经不仅及于一国,而较一般国内法有一定程度的差异。从影响力看,GDPR庞大而全面,由于每个成员国或地区都有自己独特的文化、目标和需求,故其对15个国家或地区将产生不同影响。从调整对象看,GDPR重点关注“个人数据处理场域中自然人权利保护问题”,旨在规范个人数据的处理。此种数据处理在GDPR框架内,应理解为“对个人数据执行的任何操作,包括自动处理的方式”。因此,GDPR所调整的范围非常广泛,并通过确立和统一保护范围和场域的方式,规定了欧盟成员国在数据保护方面的相同标准。
在GDPR实施之前,欧盟各成员国的数据保护立法各自独立,且零散、偏废、片面,导致整个法律框架的碎片化。GDPR的实施统一了欧盟的数据保护立法,彰显了欧盟通过统一立法制定较高数据保护标准的优势。GDPR直面“个人数据”场域,重点保障自然人的数据权益并推动个人数据的自由流动,还针对重要问题作出一般性规定,为企业和个人提供了清晰且统一的法律框架。
遗憾的是,囿于数据的要素价值以及通过数据交易产生的经济价值尚未被充分认知,数据交易及其平台治理进展缓慢。尽管GDPR关于数据保护的规定已较为全面,但仍未围绕数据的“可交易性”进行针对性的规定。其功能主要在于进一步强化普遍性的数据保护,尤其关注对个人数据的保护,这与后期数据交易及其平台治理中的数据安全保障密切相关。
完善于数字市场的专门立法
GDPR强调“通用、一般”(general)的特性,是以,该法案难以充分观照某些专业领域的数据保护,如数据交易平台治理中的特定事宜。为充分回应各细分领域的具体情况,2020年欧盟发布了《欧洲数据战略》,旨在建立一个以数据为基础的单一市场,促进数据在各成员国之间的自由流动。《欧洲数据战略》提出了建设数据共享空间、提高数据治理水平、促进数字市场建设等多项措施。同年,《数据治理法案》(Data Governance Act)、《数字服务法案》(Digital Services Act)和《数字市场法案》(Digital Markets Act)应运而生。《数据治理法案》在欧洲共用数据空间的政策体系下,进一步为关涉他方权益的公共数据二次利用搭建统一框架,从而构建覆盖健康、交通、制造业、金融服务、能源、农业的“数据单一市场”。同时,《数据治理法案》还对与数据交易平台治理密切相关的“数据中介服务”予以详细规定。《数字服务法案》《数字市场法案》则旨在为数字服务和数字市场设立新的法律框架,包括加强对在线平台的监管。其中,《数字服务法案》着重于确保在线平台的责任和透明度,而《数字市场法案》主要关注平台的公平竞争和创新。
进言之,《数据治理法案》虽未直接使用“数据交易平台”这一表达,但其首次提出“数据中介机构”这一相关概念,并对其作出规定。作为平台治理领域的重要立法,《数字服务法案》旨在确保网络环境是一个安全的空间,保障言论自由和数字贸易的机会;《数字市场法案》针对规模较大、覆盖范围较广、对内部市场具有重大影响的在线平台,创设了一系列监管规则和事前义务,旨在阻止其从事不合理的商业行为,进而确保重要数字服务的开放性与有序性。
为持续推动2030年欧洲数字化转型,建立一个数据单一市场,欧盟委员会继《数据治理法案》之后,公布并通过了《数据法案》。该法案旨在实现非个人数据的利用,涵盖各种智能设备、自动化生产线、自动驾驶汽车等多方产生的数据,提供公平的访问和共享框架,明确B2B、B2G的数据流通措施,同时确定数据服务提供商的相关义务,推动数字市场更加开放,充分激发数据要素价值。《数据法案》将促使更多数据得以利用,并确保数字治理生态的公平性,激励市场竞争,使所有人更容易获取数据,从而为数据驱动创新提供机会。根据欧盟委员会介绍,依循2030年数字化目标,该法案解决了导致数据未被充分利用的法律、经济和技术问题。
整体观之,《数据治理法案》《数字服务法案》《数字市场法案》《数据法案》颁布并实施后,欧盟数据立法体系已基本建成,数据立法正逐渐从“数据保护”走向“数据赋能”,并为数字交易及其平台治理提供了直接制度依据。
欧盟关于数据交易平台治理的制度要义
纵观欧盟关于数据交易平台治理的制度源起与发展,其围绕“数据”这一基础要素,从数据的收集、传输、存储和处理出发,逐渐向数据共享、平台监管、数字服务等多个方面拓展深化,最终涵摄促进数据流通和实现有序利用的应用场域。欧盟数据立法自GDPR生效后,已全面开启制度体系建构。其以GDPR为核心,辐散为两部分内容:一部分是意在明确数字服务提供者的责任并遏制大型网络平台恶性竞争行为的《数字服务法案》《数字市场法案》;另一部分是为涉及他方权利的公共数据二次利用搭建统一架构并确保数据流动更为公平的《数据治理法案》《数据法案》。或言之,《数字服务法案》《数字市场法案》与《数据治理法案》《数据法案》以GDPR为核心,在加大数据保护力度、拓宽数据应用领域等方面形成合力。相应地,在该制度体系框架下,数据交易平台治理亦以GDPR的数据保护规则为基本遵循,从平台治理和数据利用两个侧面对平台运营过程予以调整,确保平台数据交易活动有序开展。
以GDPR的数据保护规则为核心
首先,GDPR明确了“与个人数据处理相关的原则”。其一,合法性、公平性和透明度原则。个人数据的处理必须有明确、合法的目的,其处理行为应合法、公正,且是在对数据主体保持公平、透明的情况下予以处理。其二,目的限制原则。该原则要求个人数据必须因明确、合法、特定的目的收集,不得以不符合“合法、公平”等目的的方式对数据予以进一步处理。其三,数据最小化原则。该原则明确个人数据处理目的的必要性,并以“必要性”作为数据处理的限度。其四,准确性原则。将该原则作为“与个人数据处理相关的原则”,旨在保障数据相关人的合法权益,以及确保数据获取人能够基于正确的数据作出决定。其五,存储限制原则。个人数据的保存时限既受容许资料主题被识别的形式所限,又应不超过处理个人资料所需的时间。其六,完整性和保密性原则。此原则用于防止未经授权或非法处理、丢失、损坏或毁损数据,故要求应采取技术和组织两方面措施确保个人数据的安全性。
其次,GDPR厘定了数据主体的权利范围。其一,数据访问权。数据主体有权从控制者处获得有关他或她的个人数据是否正在被处理的确认,并在这种情况下访问个人数据和相关信息。其二,错误数据纠正权。数据主体有权立即在控制者处对有关他或她的不准确个人数据进行更正。其三,数据删除权。数据主体有权要求控制者立即删除与本人有关的个人数据,而在满足法定条件的情况下,控制者有义务立即删除个人数据。其四,限制处理权。当存在GDPR规定的有关情形时,数据主体有权要求控制者对数据处理进行限制。其五,数据可移植权。数据主体有权以结构化的、常用的和机器可读的格式,接收他或她提供给控制者的有关他或她的个人数据,并有权将这些数据传输给另一个控制者,而不受提供个人数据的控制者的阻碍。其六,拒绝处理权。数据主体有权随时以与特定情况有关为由,反对根据相关规定处理有关他或她的个人数据,包括基于相关规定的分析。
最后,GDPR构建了控制者与处理者的义务体系,并基于此设置了“数据保护专员”制度。其一,数据保护专员的强制设置义务。在法定情况下,数据控制者和处理者指定数据保护专员是一种法定义务。其二,数据控制者和处理者的支持义务。数据控制者和处理者应确保数据保护专员适当、及时地参与与个人数据保护有关的所有问题。其三,数据保护专员的工作内容。数据保护专员应通知控制者或处理者履行其义务并提出建议,监督各主体对GDPR中有关个人数据保护政策的遵守情况,积极与监管机构合作等。
总而言之,GDPR虽未直接针对数据交易平台治理相关事项予以规定,但其关于“与个人数据处理相关的原则”“数据主体的权利范围”“控制者与处理者的义务”等方面的内容,均是平台运营过程中相关主体应当遵循的规定,属于事关数据交易平台法治化进程的基础性规范。
以交易平台的规制与监管为抓手
从欧盟数据立法历史看,继GDPR后颁布的《数字服务法案》与《数字市场法案》在优化平台治理、促进数字市场层面发挥了重要作用。作为未来数字战略的核心内容,《数字服务法案》与《数字市场法案》的总体目标在于形成一个公平开放的数字市场,吴沈括、胡然:《数字平台监管的欧盟新方案与中国镜鉴——围绕〈数字服务法案〉〈数字市场法案〉提案的探析》,2021年,第116页。确保数字市场中的各方主体能够在合法、有序的环境中实施相关行为。虽然《数字服务法案》与《数字市场法案》所规制的在线平台与数据交易平台有所区别,但不可否认的是,将其关于平台治理、数字服务的相关规则援引至数据交易平台治理中,对于数字市场整体的规范化运行与可持续发展具有十分重要的作用。
《数字服务法案》意为跨境数字服务开辟新的机会,将用户置于中心地位,构建符合责任共享、操作透明、积极高效和问责明确价值观的规范体系。一方面,《数字服务法案》开宗明义,在第一条即明确相关概念的定义。其中,界定了与数据交易平台治理密切相关的“中介服务”,并将其细分为“渠道服务”“缓存服务”“托管服务”,详细地将不同类型的平台服务予以呈现。其后,《数字服务法案》针对三种不同的中介服务分别进行规定,将中介机构的权利义务内容予以明确。例如,在法律规定的框架内,按照国家司法或行政命令提供相关信息,构建透明安全的在线环境,以及履行相应的透明度报告义务等。另一方面,在数字服务风险防范方面,《数字服务法案》引入“数字服务协调员”制度,其中包括机构数字服务协调员、目的地数字服务协调员。在确保投入足够的财力、技术和人力资源的条件下,数字服务协调员在中介服务的内容、提供、争端解决、司法或行政调查等方面发挥积极作用。同时,数字服务协调员独立于本国政府和其他机构,亦不寻求在线平台的支持。
《数字市场法案》旨在通过防止大公司滥用其市场力量,并允许让新参与者进入市场,以确保欧洲数字市场的竞争程度更高。为防止具有市场支配地位的平台滥用权利而导致数据主体及相关权利人的权益受损,欧盟出台此项调整相关行为的法案。具体包括以下方面。其一,禁止不合理的数据使用限制。禁止门户平台将数据用于增强或扩展自身在相邻市场的地位,不能因商业用户选择竞争服务而限制其数据访问。其二,实现数据互通和可移植性。对平台设定数据互通和可移植义务,要求平台必须与竞争对手的服务实现互操作性,保证数据可移植性。换言之,用户和商业用户可以便捷地将数据从一个平台移植到另一个平台。其三,提供实时数据访问权限。平台应当免费且以机器可读形式,向商业用户提供实时访问其在平台上产生和生成的数据的权限。
从《数字服务法案》与《数字市场法案》的相关内容看,欧盟数据立法意在大幅增加大型科技平台企业的合规负担,而对中小企业开辟相应的绿色通道,为交易平台营造公平的竞争与发展空间。上述规制与监管方式,对于促进数据交易平台的多维度发展同样具有重要意义。
以数据利用的规范与保障为目标
数据交易的实质在于“数据流动”,数据要素的自由流动彰显着“市场化”程度的提高,通过数据的共享、流转、交易等方式创造经济价值。2020年2月,旨在通过“开放更多数据”“增强数据可用性”以促进欧盟数字化转型的《欧洲数据战略》由欧盟委员会发布。为贯彻落实该战略,欧盟还颁布了《数据治理法案》,明确“定义数据共享方式的欧盟路径”,以“信任”和“社会利益”为核心概念,为促进数据交易的有序进行,构建了促进数据重复利用和共享的系统。为了弥补《数据治理法案》的相关不足,欧盟颁布了《数据法案》,致力于排除数据流动的摩擦和阻碍,解决数据流动的公平性问题。
综合《数据治理法案》《数据法案》的相关内容来看,数据交易平台治理制度已初具体系。首先,欧盟明确了数据共享(data sharing)的法律概念,而数据共享正是数据交易的本质要求。依据《数据治理法案》,数据共享是指数据主体或数据持有者根据自愿协议,或联盟或国家法律,直接或通过中介向数据用户提供数据,以供他人共同或单独使用此类数据。
其次,为促进数据有序利用,欧盟通过《数据治理法案》引入“数据利他主义”原则,明确欧盟成员国可以制定数据利他主义的国家政策。该原则旨在通过数据处理、运用、流通来满足普遍利益的需求。具言之,“数据利他主义”是指在数据主体同意处理与其相关的个人数据的基础上自愿共享数据,或在数据持有者允许使用其非个人数据而不寻求或接受奖励的基础上自愿共享数据。
再次,《数据法案》除规定相关主体的数据权益外,还进一步构建了义务体系。一方面,数据产品的设计和制造以及相关服务的提供,应确保用户在默认情况下可以轻松、安全地获取产品使用过程中产生的数据,并在相关和适当的情况下直接获取这些数据;另一方面,明确了“应用户要求接受数据的第三方的义务”,即接受数据的第三方应遵守并以数据主体权利的范围为界实施行为,并应对根据商定目的不再必要的数据予以删除。
最后,《数据治理法案》与《数据法案》均对数据使用过程中产生的费用和报酬予以规定。一方面,要求收费应当透明、非歧视、相称且客观合理,并不得限制竞争;另一方面,明确数据持有者和数据接收者之间就提供数据达成的任何报酬都应是合理的。结合两项法案来看,在满足相关收费基础性要件的情况下,数据持有者和数据接收者针对数据交易产生的费用可以意思自治。
整体而言,尽管从条文表述看,《数据治理法案》与《数据法案》并未直接使用“数据交易”这一表达,但关于数据共享、数据权益、义务体系、费用报酬等方面的规定,实质上即为鼓励和支持数据共享开发利用,是数据交易平台治理制度的核心内容。
中国推动数据交易平台治理的制度思路
随着2024年1月欧盟《数据法案》正式生效,以GDPR为核心的欧盟数据立法体系已基本建成,同时也意味着欧盟数字领域的平台治理制度新框架逐渐成形,这为我国数据交易平台治理提供了可资借鉴的制度范本。虽然近几年,我国在数字领域的平台治理实践方面活跃,但仍处于制度探索的初步阶段,制度多有不成熟、不完善之处,且尚未形成体系。随着数字经济的发展和进步,社会主体对数字正义的需求更加多元化,更高水平的数字正义需要社会各方协同治理,而立法是其中的重要一环。因此,有必要在辩证看待欧盟数据立法体系的基础上,理性进行比较借鉴,立足我国数据交易市场、数据交易平台治理的实际情况,提出构建具有中国特色的数据交易平台制度体系,以实现数据交易平台治理的科学化、精细化、高效化。
采用辐散型的“总—分”式立法模式
从我国现行相关立法看,《个人信息保护法》的调整对象和范围限定于个人以及个人信息领域,无法涵摄非个人信息以及个人数据、非个人数据等领域。《数据安全法》侧重于规范数据的收集、存储、使用、加工、传输、提供、公开等事项,是针对数据安全保障的专门立法,而非全局性立法,且直接针对数据交易及交易平台的规定也较少。因此,《个人信息保护法》与《数据安全法》都并不足以在数据领域成为具有统领作用的基础性立法。
纵览欧盟数据立法历史不难发现,虽然整个立法以纵向深入的方式不断推进,但本质上却是横纵交错的体系化发展进程。早期GDPR的出台,在数据收集、储存、使用和共享方面设立了明确的规则和标准,规范和促成具备实质价值的“数据库”,使其成为后期数据交易平台治理予以保护的对象。随后,欧盟通过横纵结合、交叉辐散的立法方式,促成数据交易平台治理相关制度的体系化。其横向区分为“数字领域”与“数据领域”,“数字领域”以《数字市场法案》和《数字服务法案》为基础,针对交易平台相关行为予以规制;“数据领域”以《数据治理法案》和《数据法案》为依托,保护数据利用相关权利人的合法权益。纵向延伸则是在GDPR的制度框架内,将所涉事宜的规则不断细化完善。因此,该数据交易平台治理相关制度的体系化趋势,跟随欧盟数据立法体系的建构路径,属于辐散型“总—分”式立法模式。此种立法模式能够将数据交易平台中的“点线面”问题集中调整,既能防止部门立法的偏废及缺漏,又可避免相关权益保障付之阙如、平台行为未能充分规制等情况。
在数据交易平台治理层面,我国亦可借鉴欧盟的“总—分”式立法模式,制定具有引领作用的数据立法,全面保护自然人、法人等数据持有人、数据处理者、数据相关主体的基本权利与自由。其中涵盖数据交易平台治理过程中的核心要求和共性问题,为后期建立健全数据交易平台治理制度体系夯实基础。具言之,我国在数据交易及其平台治理方面可构建“1+N”的立法体系。“1”代表统领整个数据领域的立法,“N”表示以“1”为核心辐散的专项制度;若将“1”视为领域法,则“N”为领域法的各组成要素。
实践中,由于“1”在整个数据立法领域起统领性作用,故其制定流程较为繁琐与复杂。在制定“1”时,应注重对数据立法主要方面的考量,力求全方位、宽领域、多维度进行制度设计,并涵盖数据交易平台治理的核心问题。在制定关涉数据交易平台治理的“N”的过程中,应以“1”为基础统筹全局。一方面,科学平衡个人利益与平台利益,合理规范和引导数据交易平台运营行为;另一方面,强化数据交易过程中的权益保护,避免数据交易过程中的数据泄露、权利滥用、数据垄断等问题。
及时明确数据交易平台治理的原则性制度
当前,我国各地数据交易平台建设加速、数量倍增、功能多样,面对这一新兴事物,诸多制度规范和体制机制还不够健全。数据的平台交易相较于直接交易而言,更有利于应对数据的多样性、变异性、分散性等特征,在资源高效配置、安全风险防范以及有效合规监管等方面具有明显优势。法律作为社会治理的重要手段,以社会现象为逻辑起点,这使得法律规范的制定往往滞后于新型行为和社会现象的出现,此乃法律调整社会关系滞后性的体现。作为成文法,立法的确定性与滞后性是一对天然矛盾,如何消解二者之间的张力,亦是数据交易平台治理制度体系建构的重要命题。
短期内,由于相关权利属性、责任分担、治理模式尚难以厘清,立法难度较大,此时,通过制定原则性制度来实现治理效果或许更为可取。“数据二十条”就是采取了这种方式。进言之,除积极推动立法外,还可在制定具体规则时辅以相应法律原则、法律解释等原则性制度,以求在规范阙如时能找到一定制度依据。通过及时明确原则性制度,快速回应实践中的治理难题,并保证长期立法的延续性和一贯性。
根据我国立法规范,可在“1+N”的立法框架下,将主要原则在“1”中予以明确,并在“N”中基于数据立法各组成要素的相关部分,有针对性地增加相应原则。在遵循国家关于构建更加完善的要素市场化配置体制机制的总体部署的基础上,可从数据立法目的出发,在“1”中构建几类通用原则。例如,在数据处理层面,借鉴GDPR的数据处理合法性、公平性、透明性原则,数据最小化原则,安全性与机密性原则,要求数据处理者在数据处理过程中保障公平公正公开,为维护数据主体及相关权利人的权益,应确保数据处理的适度和准确;从数据本身而言,应确保数据的及时更新,维护数据主体及相关权利人基于数据使用、处理后的相关权益。
在制定关涉数据交易平台治理的“N”时,针对新情况、新问题,可适度采取法律原则、法律解释等原则性制度予以规范。由于“1”和“N”属于一般法与特别法的关系,故“N”可在特殊情形下对“1”的部分原则或内容有所突破,从而避免立法僵化、刻板等问题。例如,虽然《数据治理法案》与《数据法案》并未明确限制数据持有者和数据接受者之间达成报酬的具体范围,但也规定了所支付的报酬应“透明、非歧视、相称且客观合理”。显然,该条款是对GDPR中数据处理公平性原则在“数据交易费用领域”的细化。同理,我国在制定数据交易平台治理相关制度时,可视情况设置相应原则性制度,这既能弥合数据交易规范的细节缺失,亦能强化数据交易平台治理的法治意蕴。
构建涵盖“主体—平台—使用者”的全流程规制路径
从整体流程看,数据交易平台乃数据交易的有形载体,其主要功能是将数据主体或数据持有人所掌握的有关信息收集汇总、清洗加工,进而促成其与数据需求方发生交易。为在法治轨道上推进我国数据交易平台治理,就应从数据交易的全流程出发,基于不同主体视角,对各环节分别予以规制,确保数据交易过程的规范性,同时保障各方主体合法权益的实现。
具言之,首先,关于数据主体,可基于GDPR中“数据准确性”原则衍生出数据主体应履行的相应义务。即当其所提供的数据发生变化时,应及时向数据交易平台提出更新申请,确保相关数据的“准确性”。从合法权益看,当数据主体基于数据提供和更新行为使第三方产生收益时,其有权获取相关费用。其次,关于数据交易平台,平台应确保数据安全、数据准确性,同时及时地按照数字服务合同对数据主体和数据使用人履行相应义务。最后,在规范数据使用者方面,数据使用者应合理且通过对数据产生最小影响的方式,处理并使用数据,同时支付相应的数据使用费。应当澄清的是,本文关于数据主体、数据交易平台、数据使用者在数据交易过程中的制度设计,仅是从权利与义务维度举例说明,以期为数据交易平台治理制度体系建构指引方向,更详细的制度内容和配套细则应基于实际情况予以综合考量。
整体来看,全流程规制路径应被理解为一种“立法思路”或“立法指引”。我国应从数据交易活动实际出发,合理考量并采纳此种方案,以确保数据交易平台治理制度体系建构的全面性,推动数据交易平台在法治轨道上稳步运行。
结语
大数据时代,随着数据资源被深入挖掘,数据交易将越来越频繁,对数据交易平台治理的需求亦会更为全面和紧迫。2023年10月,国家数据局正式挂牌,象征着我国数据要素市场步入发展的快车道,数据基础制度须不断完善,数据资源利用水平须加快提升。数据是承载着复杂的权利主体与权利内容的重要生产要素,为保障数据要素充分市场化,推进高效有序的数据交易,需要建构定位明确的数据交易平台以及健全完善的平台治理制度体系。基于辩证地分析与借鉴欧盟关于数据交易平台治理的制度经验,我国应以“数据二十条”为指引,在数据交易平台治理方面采用“总—分”式立法模式,构建“1+N”的立法体系,从全流程出发,确保数据交易的合法性、公平性和规范性,积极保障各方主体合法权益,在制度上回应数据交易平台治理的实践桎梏,引导数据合规高效地交易、流通和使用,为数字中国建设助力赋能。
转载事宜及商务合作:Mongoose_Report(添加好友请备注机构及姓名)
市场有风险,投资需谨慎。本文不构成投资建议,不作为实际操作建议,交易风险自担。
