【摘要】數智時代,數據作為新型生產要素成為推動經濟數字化轉型的重要基礎。數據交易是激活數據要素、發展新質生產力的重要路徑。當下,數據要素流通交易面臨三大法律困境:其一,交易客體界定不清,數據與信息概念混同、權屬制度缺失;其二,司法保護覆蓋不足,多聚焦數據獲取等淺層環節,忽視深加工與撮合交易;其三,制度供給薄弱,民事、刑事及專門立法尚未形成可操作的規范體系。為此,應推動治理理念由“秩序維護”轉向“權益保障與秩序規范并重”,厘清數據與信息邊界,構建“結構性分置”的數據產權制度,實施分類分級治理,并完善民事與刑事協同的規制體系,以促進數據安全、公平、高效流通,支撐數字經濟健康發展。
【關鍵詞】數據交易 法律規制 刑民交叉 個人信息
【中圖分類號】D923/D922.16 【文獻標識碼】A
【DOI】10.16619/j.cnki.rmltxsqy.2025.22.011
【作者簡介】張佳華,中國政法大學數字社會治理研究院研究員、博導。研究方向為刑事訴訟法學、證據法、司法制度,主要論文有《數字時代個人信息保護的法律邊界厘定》《境內與跨境數據動態流動的刑事治理》《數字時代金融安全視域下網絡金融欺詐的法律治理路徑優化》等。
數智時代,數據作為新型生產要素,是推動經濟數字化轉型的重要基礎,數據交易是釋放數據價值的重要途徑。2022年《中共中央 國務院關于構建數據基礎制度更好發揮數據要素作用的意見》(以下簡稱“數據二十條”)明確提出,建立合規高效、場內外結合的數據要素流通和交易制度。數據具有顯著的流動性,既體現于其從產生到銷毀的生命周期,也表現為由個人“元數據”逐步匯聚為商業或國家數據庫的過程。如今,各類數據庫及網絡數據(如企業、消費和金融數據等)逐步具備財產屬性,成為可交易商品。數據交易市場作為激活數據價值的關鍵樞紐,對促進數字經濟高質量發展與提升國家競爭力具有重要作用。2023年,工業和信息化部等十六部門聯合印發《關于促進數據安全產業發展的指導意見》,旨在進一步推動數據安全產業高質量發展,加速數據要素市場價值釋放。黨的二十屆四中全會審議通過的《中共中央關于制定國民經濟和社會發展第十五個五年規劃的建議》提出:“健全數據要素基礎制度,建設開放共享安全的全國一體化數據市場,深化數據資源開發利用。”[1]在此背景下,各行業各領域加速開發利用數據資源,各地陸續成立數據交易所,數據的財產權屬性也在學界形成普遍共識。[2]
與數據交易的蓬勃發展相比,相關法律規制體系仍顯滯后。長期以來,我國數據交易監管多沿用傳統要素市場管理思維,以“秩序維護”為核心。該模式初期雖有助于規范市場、防范風險,但隨著數據要素化進程不斷深入,其弊端日益顯現:過度依賴“剛性管控”可能抑制流通活力,導致“有場無市”現象;同時,對數據來源者、加工者等多方主體在財產權、隱私權、知情同意權等方面的保障不足,一定程度上削弱交易信任基礎。因此,推動法律規制從單一“秩序維護”向“權益保障與秩序規范并重”轉型,已成為必然要求。本文旨在系統剖析當前數據交易在法律規制中的核心困境,探索構建既能充分保障各方權益,又能維護公平競爭與安全秩序,持續激發數據要素活力的新型規制范式,為破解數據交易“制度性梗阻”提供理論參考。
數據交易法律規制的現實困境
交易客體法律表達不清晰,數據定義及權屬制度待厘清。數據權益復合性導致司法中的數據概念、屬性、法益均有待明確。司法實踐中,涉數據交易的刑事犯罪或民事侵權的客體均不直接指向數據本身,而是集中于個人信息、商業秘密等相關概念,司法實踐中數據概念的混淆,與相關立法尚未完善有關。《中華人民共和國數據安全法》(以下簡稱《數據安全法》)第三條雖對數據概念本身作出定義,但該法以規范數據處理活動為立法目的,側重定義數據的物理或技術屬性。《中華人民共和國民法典》(以下簡稱《民法典》)第一百二十七條雖承認數據財產權益,但在具體權益形式和規制方式上缺乏細化安排。[3]
數據概念不清在刑法、民法兩大領域各有其突出問題。民法語境下,數據財產權細化不足,平臺間商業數據權屬與使用糾紛頻發,用戶畫像、產品信息等商業大數據侵權,因缺少請求權基礎而轉向不正當競爭等知識產權保護。刑法語境下,則主要表現為刑民銜接問題。一方面,法秩序統一原則下,刑事數據概念需與《民法典》《數據安全法》等前置法合理銜接;另一方面,也需要考慮適度限縮概念外延,以保持刑法謙抑性。
覆蓋不周延:數據交易深層環節缺乏有效司法保護。當前數據交易司法實踐呈現顯著的結構性偏向:大量案件集中于數據獲取等淺層環節,而對數據深加工服務、數據撮合交易等深層環節關注不足。司法實踐中,數據交易案件多涉及流量劫持、數據竊取、系統攻擊等非法獲取行為,整體上對數據交易全流程的有效監管仍顯不足,深層安全隱憂尚未得到充分回應。
數據交易語境下,同一數據之上常存在多個主體的多重權利主張,并在“收集—存儲—加工—使用—銷毀”等不同生命周期交織成網狀結構。狹義的數據交易,即數據控制權轉移行為,僅為數據流通鏈條中的一環。當前,司法實踐主要集中在平臺間數據抓取、流量爭奪等初級爭議,對全流程、全主體的系統性保護機制尚不健全。
制度供給不充分:缺少數據交易刑民體系化規范。通過刑法修正案及司法解釋的不斷補充,以及《中華人民共和國個人信息保護法》《中華人民共和國網絡安全法》《數據安全法》等專項立法的出臺,我國已初步形成梯度式、多樣化的數據規制體系,但有關法律體系仍有待完善。[4]雖然“數據二十條”創新性設立“數據產權結構性分置制度”,但與《民法典》第一百二十七條關于數據權益的條款相似,仍缺乏對數據權益內涵等具體建構的設計,缺少對數據交易進一步的專門規制。
在民事領域,數據因其可復制性、流動性等特征,與傳統財產判然有別。數據作品難以通過登記確權獲得知識產權保護,作為商業秘密保護范圍有限,典型合同規則亦難以完全契合數據交易特性。加之現有民事權利體系在一定程度上缺乏可操作性,故難以為數據交易提供系統、有效的保障。
在刑事領域,我國數據罪名體系設置以“信息保護”為底層邏輯,主要通過不斷增加信息網絡犯罪、公民個人信息犯罪以及其他網絡關聯犯罪回應現實需求。[5]但在大數據技術及交易規模日新月異的當下,這種規范邏輯已難以實現對數據交易的周延覆蓋。此外,在數據交易的規制理念上,現有法律體系主要側重于經濟秩序或網絡空間管理秩序的保護,對交易中各主體財產權益的關注有所欠缺,這從數據交易侵權集中于非法獲取,以及數據交易觸犯的高頻罪名所處刑法分則的位置亦可得到印證。
數據概念的法律解構:基于載體、安全與匿名性的界分
數據與信息的學理區別在于“載體-內容”。根據《數據安全法》第三條,數據是指任何以電子或者其他方式對信息的記錄,是信息存儲、傳輸和處理的形式。這一定義揭示數據與信息的本質區別,即從性質上而言,數據是信息的載體,信息是數據的內容。[6]由此,衍生出數據與信息的兩項重要區別:其一,在生成過程中,數據是原始記錄,而信息是其衍生品;其二,在運用過程中,初始數據雜亂而信息密度較低,需經過結構化提純整合,方可梳理出其中有價值的信息,數據處理環節至關重要。從反向角度來理解這一區別,各類信息可依托傳統紙媒等有形媒介存在,而數據并不必然蘊含有效信息,如亂碼、程序錯誤等。換言之,被交易的數據存在載體層與內容層的雙層結構,且內容層并不一定顯現。數據與信息的區分,特別是在數據交易中的區分,凸顯出對數據進行單獨保護的必要性。
數據與信息的實踐區別在于“安全-知曉”。動態司法實踐中,數據與信息的區別同樣具有意義,并主要體現于不同的訴訟請求與裁判結果中。以商業數據交易為例,保護企業對于數據本身的控制利益,抑或保護企業對所掌控信息內容的利益,可能導致完全不同的實踐結果。[7]前者的救濟方式,如數據恢復等,旨在恢復權益人對數據的控制狀態,即保障安全。后者的救濟途徑,如刪除、斷開鏈接等,解決的是信息非法傳播的問題,即阻止非法知曉。“數據公開”與“數據開放”語義區分也體現這種實質區別。“公開”系指信息內容的公開,側重于對數據所承載內容的知曉,如閱覽等。“開放”則強調開放數據代碼的獲取方式,滿足獲取相關數據的配套平臺渠道或導出方式的需求。司法實踐中,基于當事人的實際利益訴求不同,數據與信息在“安全-知曉”上各有側重。
數據與個人信息的實質區別在于“匿名性-可識別性”。只有匿名化數據才不屬于個人信息。《民法典》第一百一十一條個人信息保護與第一百二十七條數據保護的區分設置,為個人信息與個人數據間的區分提供立法基礎。從條文分布來看,數據規定屬于財產性權利條款,而個人信息權益則屬于人身權利條款。這種“人身-財產”的法益對應關系正是界分數據和信息的意義所在。[8]個人信息的人身權利屬性要求其必須指向特定個人,從而以可識別性為根本特征,數據則不然。一方面,數據涵蓋經濟、水文、地理等公共數據,并不完全由個人數據構成;另一方面,數據處理中常涉及經“清洗”或分析后無法識別具體個人的信息(如醫療統計信息、消費偏好等),其存在與價值并不依賴于對特定個體的識別。
數據交易的法律框架:產權分置、分類治理與雙重規制
數據交易中的產權配置:結構性分置與取得要件。在數據之上設立新型財產權利已逐漸成為共識,[9]但設立何種新型財產權利卻仍在討論中。由于數據交易中數據產權“三權分置”,故應明確各主體定位,并且數據交易中數據產權的取得應滿足特定條件。[10]
其一,明晰數據產權是數據法律制度的核心。“數據二十條”創造性提出“數據產權結構性分置”新模式,根據數據價值的創造與實現方式,界定持有、加工、使用、經營環節的相關財產權益。數據資源持有權是全部數據權能的基礎,強調客觀狀態的持有與數據非排他性的特點高度契合。數據加工使用權根據各項行業國家標準,將統計、關聯、轉換、挖掘或匯聚等對原始數據進行處理的活動,認定為加工行為。數據產品經營權則直接指向數據交易,二者關系最為緊密。根據數據交易中不同的主體,“數據二十條”對公共數據、企業數據、個人數據三類數據主體類型進行劃分。“三權分置”的數據產權若想在數據交易中發揮配置作用,必須一定程度明晰三類數據的權益邊界。
其二,數據交易中,盡管各類數據均有進入市場的可能,但只有符合一定構成要件的數據才能形成具有一定排他性的新型權益,即數據交易中數據產權的取得需滿足特定條件。在交易數據的載體形式層面,可通過“保密措施”[11]或“權益公示”[12]進行限定,同時為實現周全保護,二者擇一滿足即可。這主要是考慮到數據可復制性的特點,旨在確保交易數據在形式上唯一排他,從而與特定主體形成對應關系。在交易數據的實質內容層面,可通過“唯一獲取”[13]或“加工成本”[14]二者進行限定,同樣擇一滿足即可,二者都是數據實質內容的來源,故權利主體才擁有主張排他權的正當基礎。
數據交易的差異化治理:各交易環節與主體的分類規范。需細化分類標準,對數據交易各環節實施規范化處理。在獲取環節,應注重考察數據來源的合法性,如是否屬于禁止交易的類型、是否取得所有人的同意,有無數據造假、超越授權范圍采集、侵犯第三人權益等行為。此外,應重點確定數據的產權歸屬,根據數據的采集、整理、完善、存儲、交易等活動過程,論證數據的產權歸屬。盡管數據資源在流通過程中的形態與價值持續變化,實踐中產權界定存在難度,但基于主體類型的劃分方式具有明確、高效的特點,可構建以個人數據、企業數據、公共數據為基本類型的數據交易規范路徑。
個人數據以個人信息保護為根本,探索交易與授權。由于已有《民法典》《中華人民共和國個人信息保護法》等作為明確的請求權基礎,司法實踐中的個人信息保護已較為成熟。然而,從兼顧安全與利用的兩端平衡出發,對于個人數據的開發利用仍存在完善保護空間。首先,個人數據交易必須明確許可交易類型。個人數據按照產生方式可分為非行為數據和行為數據。對于屬于個人信息的非行為數據,應嚴格規制并禁止交易,即應當以行為數據為主要交易對象。其次,賣方對于行為數據仍負有脫敏義務,以防止數據集合侵犯個人隱私。在司法實踐中,可通過以下方式進行脫敏程度判斷:數據是否仍然有可能指向特定個人;數據是否仍有可能與附加信息進行鏈接;是否可以從數據中推斷出特定個人的信息;可鏈接性受到“合理可能的手段”限制。再次,個人數據交易必須搭建規范運營平臺。為確保數據安全與監管力度,在交易機構的設置上可依托各大數據交易所,設立統一的個人數據交易平臺。建立健全數據交易市場體系,完善數據評估、登記結算、交易撮合、爭議解決等環節,這是一項至關重要的系統工程。此外,個人數據交易必須建立撤銷、監督等配套機制。個人數據在主體上的特殊性,使得交易需要一定的撤回或退出機制。
企業數據在明確財產權益基礎上保障數據來源者權利。平臺企業的清洗、脫敏、分析等加工行為,實質上是通過支付勞動成本,生產出全新的數據庫或數據產品。盡管簡單脫敏等處理方式的創新性要求低于數據知識產權,但仍有必要賦予其一定程度的排他性保護:一方面有助于激勵數據要素供給,防止“搭便車”行為;另一方面可推動加工投入規模化,促進數據價值深化挖掘。[15]我國“數據二十條”提出,要“充分保護數據來源者合法權益”。對平臺企業而言,個人是數據的最大來源主體,個人數據是其他數據的基礎和源頭。倘若個人缺乏明確的數據權利,公民個人在面對平臺企業對自身數據的過度收集與濫用時很難有效維權。
公共數據在分類分級基礎上注重提供社會服務的反向交易。公共數據因其來源與產品的公益性,在交易中往往不以有償形式出現,而多體現為無償公開。公共數據管理機構應重點做好數據安全的保護,在公共數據分類分級基礎上,依據重要性形成對應的安全等級與安全要求。在分類上,應以數據描述的主體為主,以所涉行業領域的敏感程度為輔,按照公共數據所描述的對象,將其分為個人數據、組織數據、客體數據,如涉及國防、醫療等敏感領域的,適當提高其敏感等級。在分級上,應以公示情況為主,對于企業信用評價、許可、處罰等已進行數據公開的公共數據的使用,不應視為犯罪,將法人賬號信息、個人就診記錄等數據視為敏感信息。
此外,一些地區逐步通過各類數據條例,建立公共數據授權運營制度框架。具體而言,開發公共數據授權公司等社會化力量,為公眾提供更加優質的數據產品和服務。從這一角度看,公共數據進行的是一種反向數據交易。
數據交易的法律規制:民事與刑事的雙重構建。在對數據交易規制的法律規范體系進行立法完善和司法實踐的過程中,應平衡好維護數據經濟秩序與保護數據財產權益之間的關系。在打擊犯罪、維護市場秩序的同時,更加注重對數據來源者、數據加工者、數據經營者等各方合法財產權益的確認和保障。
在民法規制方面,探索構建區別于傳統物權、知識產權的“數據財產權”規則,承認數據因其非排他性、可復制性而產生的獨特法律特征。在合同法規中,增加或細化適用于數據交易的典型合同類型(如數據許可使用合同、數據服務合同),明確數據交付標準、質量擔保、權利瑕疵擔保等特殊條款。在民事侵權法律責任承擔方式上,可以考慮合理適用懲罰性賠償這一民事責任承擔方式。數據交易侵權與犯罪主體涉及企業的概率更高,傳統追責模式既難以彌補損害后果,也會影響企業發展,進而損害社會整體利益。對此,建議對于符合條件的數據侵權或犯罪行為,通過懲罰性賠償加大平臺企業的商業決策成本。這種懲罰性賠償并非對創新的抑制,相反,通過對其侵權行為的合理規制,可推動數據的有序流通,最大程度地促進數據匯聚,并有效發揮數據創新價值。
在刑法規制方面,刑法作為“最嚴厲的法律制裁”,應當對輕罪有效治理,對重罪有力懲治,梯度實現精準治理。數據交易橫跨數據的全生命周期,覆蓋全社會主體,其治理必須具有體系性與針對性,而現有數據相關罪名卻分散于刑法分則不同章節,零散的交叉保護既存在空白,又存在保護范圍重疊。此前的立法實踐通過擴大解釋,對不斷翻新的犯罪行為加以懲治,但容易產生入罪擴大化的“口袋罪”弊病,并已經與個人信息犯罪等其他罪名形成競合關系。因此,有必要對現有罪名(如“非法獲取計算機信息系統數據罪”)進行適度修訂,或通過立法解釋,使其保護范圍能夠涵蓋大數據平臺、云環境等新型數據存儲和處理形態,減少對擴張解釋的過度依賴。同時,數據安全的法益獨立性已為新罪名的設立提供理論支撐。因此,建議根據數據在不同交易及運用場景中可能受到的權益侵害,設置數據交易犯罪相關專門罪名,或數據犯罪相關罪名,通過傳統罪名與新設罪名的結合為數據保護提供相對全面的刑法規制框架。
結語
隨著數智時代的到來,數據交易成為激活數據要素、發展新質生產力的重要路徑。數據交易法律規制從傳統“秩序維護”單一中心,向“權益保障與秩序規范并重”的范式轉型,不僅是應對當前實踐困境的必然選擇,更是構建高效、公平、安全數據要素市場的法理基石。這一轉向,本質上體現了法律在面對革命性新技術與經濟形態時,從被動回應走向主動建構,從管控思維走向治理智慧的深刻變革。未來,我們仍需在理論上繼續深化對數據產權結構、數據公平定價等基礎問題的研究;在實踐上,鼓勵更多地方和行業開展先行先試,為頂層設計提供鮮活經驗;在技術上,密切關注隱私計算、區塊鏈、人工智能等前沿技術的發展,并前瞻性地將其規則需求與倫理考量納入法律框架之中。當法律規制能夠精準地平衡權益保障與秩序規范,既能為數據來源者的基本權利撐起“保護傘”,又能為數據經營者的創新活動鋪設“快車道”,還能為整個數據交易市場的健康發展構筑“防火墻”時,一個繁榮而有序的數字文明新圖景必將如期而至。
(本文系中國政法大學科研創新項目、教育部人文社會科學研究青年基金項目“公正司法視域下罰金刑自由裁量的邊界與程序控制研究”和中國政法大學青年教師學術創新團隊支持計劃資助項目的階段性成果,項目編號分別為:25KYGH009、23YJC820051、24CXTD10)
注釋
[1]《中共中央關于制定國民經濟和社會發展第十五個五年規劃的建議》,《人民日報》,2025年10月29日,第1版。
[2]參見張新寶:《論作為新型財產權的數據財產權》,《中國社會科學》,2023年第4期。
[3][6]申衛星:《論數據用益權》,《中國社會科學》,2020年第11期。
[4]張佳華:《境內與跨境數據動態流動的刑事治理》,《暨南學報(哲學社會科學版)》,2023年第12期。
[5]參見劉憲權:《數據犯罪罪名體系建構之完善》,《國家檢察官學院學報》,2024年第3期。
[7]梅夏英:《信息和數據概念區分的法律意義》,《比較法研究》,2020年第6期。
[8]呂炳斌:《個人信息權作為民事權利之證成:以知識產權為參照》,《中國法學》,2019年第4期。
[9]參見龍衛球:《數據新型財產權構建及其體系研究》,《政法論壇》,2017年第4期。
[10]馮云廷:《如何認識數據作為生產要素的經濟價值》,《國家治理》,2020年第38期。
[11]“保密措施”指通過技術手段確保數據的有限傳播,從而錨定權益人與特定數據間的對應關系。
[12]“權益公示”指借助具有公信力的公示系統,向市場中的其他主體公示權利主體與特定數據間的唯一對應關系。
[13]“唯一獲取”指通過個人等主體特定行為才能獲取該數據,如創設、購買等。
[14]“加工成本”指特定主體對數據產品的誕生付出加工、清洗等勞動,類似于附隨。
[15]申晨:《論數據產權的構成要件基于交易成本理論》,《中外法學》,2024年第3期。
The Legal Regulation Dilemma and Resolutions of Data Trading in the Digital Intelligence Era
Zhang Jiahua
Abstract: In the era of digital intelligence, data has emerged as a new factor of production, serving as a crucial foundation for driving economic digital transformation. Data trading represents a vital pathway for activating data as a factor of production and fostering the development of new quality productive forces. At present, data circulation and transactions encounter three major legal dilemmas: first, the definition of the transaction subject is unclear, with concepts of data and information mixed and property rights systems lacking; second, judicial protection is insufficient, often focusing on superficial aspects such as data acquisition while neglecting deep processing and transaction matching; third, institutional provisions are weak, as civil, criminal, and specialized legislation have yet to form an operable regulatory framework. Therefore, governance concepts should shift from "order maintenance" to "equal emphasis on rights protection and order regulation," clarifying the boundaries between data and information, establishing a "structurally separated" data property system, implementing classified and graded governance, and improving a regulatory system that coordinates civil and criminal aspects, in order to promote safe, fair, and efficient data circulation and support the healthy development of the digital economy.
Keywords: data trading, legal regulation, criminal and civil intersection, personal information
責 編∕方進一 美 編∕周群英
