2021年9月1日生效的《数据安全法》规定,数据是指任何以电子或者其他方式对信息的记录[1]。近年来,数据已从单纯的信息记录、传递载体逐步被认知为一种重要的生产要素[2]。发挥数据价值的关键在于数据流通,而确保数据合法流通需要法律层面的支持。在国家立法层面,《数据安全法》第19条明确:国家应建立健全数据交易管理制度,确定数据交易行为的合法性。在地方立法层面,上海、深圳亦于2022年1月1日正式出台了《上海市数据条例》《深圳经济特区数据条例》,就数据权益、数据交易等问题进行细化。
本文试从企业间的数据交易入手,对常见的几种数据交易协议中的关注要点进行初步梳理。需提请读者注意,由于大数据时代下数据商业利用模式的多样化倾向,本文仅探讨若干数据有价转让方式;实操中,需尽量个案分析,采用合适的交易模式。
一、数据权属和可转让性
近年来,我国相继出台了《数据安全法》和《个人信息保护法》(简称“《个保法》”)为代表的数据领域法律法规,但在现阶段,针对“数据”的各类权利属性在立法和学界中却尚无明确结论[3]。一般认为:数据是信息的载体,信息则进一步可以产生、含载不同的知识和诀窍。于是从不同角度出发,人们可以对某一特定的数据(或其集合)的性质作出不同的判断,且数据含载的信息则又可同时或分别体现不同的财产权利属性。
民法典:尚未纳入有名合同予以保护
在满足特定条件的前提下,数据可具有财产属性[4]。然而,时至今日,我国法律层面对数据权属的界定却并不明晰。《民法典》仅原则性地规定应对数据权利进行保护,未明确规定如何进行保护。《数据安全法》在数据权属问题上,也仍然留白[5]。因此,若简单以《民法典》下的买卖合同、租赁合同等有名合同作为模板进行数据交易的合同设计,可能无法避免合同条款在效力、执行力上的不确定性。
知识产权法规:是否构成著作权或商业秘密,有待个案分析
另有观点主张,可将“数据”纳入知识产权法律制度进行规范。但由于特定数据(以及其含载的信息)是否属于知识产权法规下的客体仍是一个需要个案讨论的问题,因而相关知识产权法律体系是否能直接适用、如何适用,同样存在不确定性。
具体而言,数据与传统意义上的知识产权(如著作权或商业秘密)存在一定区别:
首先,与著作权相比,数据经常不满足《著作权法(2020年修订)》(“《著作权法》”)下的“作品”要求[6]。常见的交易场景中,数据(特别是个人信息相关数据)中绝大部分内容是对事实的记载和对客观事实的反映,较难具有独创性[7]。但在实操中,相关公共数据、自然观测结果甚至统计数据,仍可通过归类、编撰获得著作权属性(例如各类统计数据汇编、年鉴等)。因此,不能一概而论认为数据无法按著作权进行商业利用。
其次,尽管商业秘密在立法和司法实践中被提供了类同于知识产权的保护[8],但并非所有数据都可自动归类于商业秘密的范畴。根据《反不正当竞争法(2019年修订)》第9条,商业秘密是指不为公众知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息。在大数据背景下,并非所有数据都属于商业秘密,甚至数据本身就属于公众信息,无法进行保密,只是被进行了归类、编撰或汇总。于是,特定类型和体量的数据是否可依照商业秘密来定性确权,进而采用就商业秘密常见的协议许可安排,则又另需个案各议。
刑法:特定性质的数据甚至不得转让
尽管数据毋庸置疑可具有财产属性,但并非所有类型的数据均可自由进行转让。例如,我国《刑法》第253条规定的侵犯公民个人信息罪,就数据处理者的特定行为模式设定了刑事责任:“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。”其中,“违反国家有关规定”、“向他人出售或者提供公民个人信息”、“情节严重”是触发该罪名的三个主要考虑的客观方面[9]。
《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》就上述罪行认定有更详细的适用指引:
- “违反国家有关规定”指“违反法律、行政法规、部门规章有关公民个人信息保护的规定。”我们理解:违反《个保法》的交易行为将符合此要件。例如,根据《个保法》,除特定例外(例如为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需等)[10]之外,个人信息处理者在处理个人信息时应事先取得个人同意;未经同意擅自处理个人信息的行为可构成此要件。
- “提供公民个人信息”是指“向特定人提供公民个人信息,以及通过信息网络或者其他途径发布公民个人信息”及“未经被收集者同意,将“合法收集”的公民个人信息向他人提供的;但是经过处理无法识别特定个人且不能复原的个人信息除外”(该等除外情形与《个保法》第73条下“匿名化”的规定一致)。
- “情节严重”要件更有多种表现形式,其中涉及个人信息交易的数量、金额门槛较低(人民币五千元),实务中较容易触发该等构成要件。值得注意的是,“非法获取”、出售或提供一定数量的特定公民个人信息也属于“情节严重”的情形之一。因此,个人信息类型数据交易的数据提供方应保证标的物数据的合法来源。[11]
综上,我们认为,数据是否能转让,是否可以划归为特定的法律保护客体适用标准的转让协议安排,需个案分析。为此我们准备如下的表格予以简单比较:
表一:
而在上述各法律法规明列的监管框架之外,不符合上述性质的其他类型数据的有价转让,则需要起草者通过全面完善各条款来达到具体场景的适用。我们接下来则就数据有价转让的常见合同起草设计要点做简单介绍。
二、数据交易中的定价
正如前面我们所讨论的,数据产品与无形资产具有相似特性。因此,对于数据产品的价值评估,理论上也可以参考适用无形资产的价值评估方法,如成本法、收益法和市场法等。当然,考虑到数据产品估值的特殊性(例如:部分数据往往只对特定较窄的场景有商业利用价值)和使用者本身对特定数据价值的主观判断,当事方的协议定价在当前可能更为普遍。
除传统的当事方之间的协议定价,数据交易平台当前也成为数据交易的一个重要渠道,并已成为当前全国各地促进数据要素流通的主要举措之一。下方就协议定价模式与数据交易平台定价模式的一些基本差异做简要对比,供读者参考。值得注意的是,若采用协议定价,交易双方也可以考虑在合同中约定相应的违约金,以便于守约方向违约方主张违约责任。
表二:
三、数据交易协议起草中的其他要点
(一)数据交易协议的常见形式
许可:更适用于商业秘密类型数据的有价交易
商业秘密作为一种法定知识产权,实践中转让协议形式可采用商业秘密许可协议。商业秘密许可协议使许可方在保有商业秘密所有权的情况下,可重复利用商业秘密的使用权或者其他财产权益。就被许可方而言,在其没有相关专业技术以及时间精力的情况下,许可协议可以助力相关产品研发,尽快上市。如前所述,商业秘密许可的形式较为灵活,当事人可以根据实际需要选择最符合交易安排的许可类型。此外,许可交易常采用里程碑付款的形式,灵活安排交易节点,最大可能避免纠纷和不必要的损失。
转让:更适用于具有独创性的数据的有价交易
尽管部分类型的数据在特定情形下,如《刑法》第253条所述,不得非法向他人出售或者提供。但另一方面,由于现行的法律法规并未明确数据权属(例如确权);实践中,我们理解:当数据交易双方拟进行的数据交易标的物为具有独创性的数据、具有著作权法所保护的“作品”的属性,则交易双方亦可考虑以著作权许可或转让的方式进行有价交易。该等情况下,数据提供方亦仅可向数据需求方转让数据著作权中的财产权[18]。
服务:更适用于未经特定法律法规明文分类定性的数据的有价交易
此外,某些数据交易协议也可以数据服务协议的方式进行,特别是由数据提供方将数据以类似“数据即服务”(DaaS)的方式进行有偿服务的盈利模式。若数据提供方与数据需求方之间的数据交易以类似DaaS的方式提供,数据提供方的义务主要体现在向客户提供数据服务,表现方式多为通过API的方式按需提供来自各种来源的数据,旨在简化对数据的访问,并提供可用于多种格式的数据集或数据流。
在我们看来,DaaS类数据服务协议的重要商业意义之一是:在目前世界各个主要经济体均出台对跨境数据传输进行限制的法律法规的背景下,若双方数据交易涉及到受较多限制的数据跨境传输,且这些需跨境转移的数据(尤其是例如中国法下设定的重要数据、敏感个人信息等)被要求留在某个特定的司法辖区而无法进行自由流动,数据需求方可自第三方数据处理机构购买DaaS服务,由后者将这些不能跨境流动的数据进行脱敏处理,通过数据服务协议的形式向数据需求方提供对于受限制数据的分析、统计报告,以达成间接使用受限制数据的最终目的。
其他:除上述较常见的数据交易协议类型外,实践中还存在特定不可分离的实体物和数据共同转让的情形。例如:交易双方合作研制一款产品原型(药物、机械,不一而足),提供方将产品、细胞、血液制品、样品原机等有形标的物与附随的(且必须的)相关数据共同交付给交易对家。该等商业模式采用何种形式进行数据权利归属的合同安排,暂无“市场标准”结论,需根据实际需要个案各议。
(二)数据交易协议下的跨境传输
数据交易协议条款的起草和设计除考虑客户的具体数据交易的商业需求外,还受制于必须适用的强行性法律法规(如2022年9月1日将开始施行的《数据出境安全评估办法》等)。特别是,若交易行为涉及如下类型的数据的跨境转移:
表三:
四、结语
数据的价值主要在于对其的商业利用和流动。随着我国在数据领域的法律法规逐渐完善,我们相信数据交易的浪潮即将到来。数据有价交易以及相应的跨境传输将会是跨国企业在中国个人信息和数据监管逐渐完善、升级的环境下需考虑的主要问题。我们将会持续关注数据交易领域的法律法规更新动态,并在后续文章中予以分享。
注释:
[1] 《数据安全法》第3条
[2]
https://new.qq.com/omn/20210501/20210501A0095P00.html:“作为数字经济和信息社会的核心资源,数据被誉为“21世纪的石油和钻石矿”,已成为和土地、劳动力、资本、技术并列的五种生产要素之一,正逐步对国家治理能力、经济运行机制、社会生活方式产生深刻影响。”
[3] 数据权利属性与法律特征,作者:李爱君,《东方法学》2018年第3期,http://iolaw.cssn.cn/fxyjdt/201805/t20180517_4659286.shtml。
[4] 民法典第127条法律对数据、网络虚拟财产的保护有规定的,依照其规定。
[5] https://www.panewslab.com/zh/articledetails/twxvxumc8b0f.html,数据确权的背景及意义,上海区块链技术协会。
[6] 《著作权法》第3条
[7] 《著作权法实施条例(2013年修订)》第2条
[8] 《民法典》第123条:民事主体依法享有知识产权。知识产权是权利人依法就下列客体享有的专有的权利:…(五)商业秘密;…
[9] 参见:刘印,张翔侵犯公民个人信息罪一审刑事((2020)陕****刑初31号)。本院认为,被告人刘印、张翔向他人提供个人信息,情节特别严重,其行为已构成侵犯公民个人信息罪……向他人提供公民个人信息的行为构成犯罪不以非法获取为前提……
[10] 《个保法》第13条
[11] 《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第5条,非法获取、出售或者提供公民个人信息,具有下列情形之一的,应当认定为刑法第253条之一规定的“情节严重”:
(一)出售或者提供行踪轨迹信息,被他人用于犯罪的;
(二)知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的;
(三)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;
(四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;
(五)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的;
(六)数量未达到第三项至第五项规定标准,但是按相应比例合计达到有关数量标准的;
(七)违法所得五千元以上的;
(八)将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定标准一半以上的;
(九)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的;
(十)其他情节严重的情形。
[12] 《反不正当竞争法(2019年修订)》第9条
[13] 《个保法》第4条
[14] 《个保法》第10条
[15] 《个保法》第23条
[16] 《个保法》第28条、第29条
[17] http://html.rhhz.net/buptjournal/html/20190118.htm,数据定价机制现状及发展趋势,彭慧波,周亚建,北京邮电大学学报。
[18] 《著作权法》第10条
[19] 《人类遗传资源管理条例》第28条
[20] 《数据出境安全评估办法》答记者问。
[21] 《个保法》第40条
[22] 《个人信息出境标准合同规定(征求意见稿)》第2条
[23] 《数据出境安全评估办法》第4条