【摘要】数智时代,数据作为新型生产要素成为推动经济数字化转型的重要基础。数据交易是激活数据要素、发展新质生产力的重要路径。当下,数据要素流通交易面临三大法律困境:其一,交易客体界定不清,数据与信息概念混同、权属制度缺失;其二,司法保护覆盖不足,多聚焦数据获取等浅层环节,忽视深加工与撮合交易;其三,制度供给薄弱,民事、刑事及专门立法尚未形成可操作的规范体系。为此,应推动治理理念由“秩序维护”转向“权益保障与秩序规范并重”,厘清数据与信息边界,构建“结构性分置”的数据产权制度,实施分类分级治理,并完善民事与刑事协同的规制体系,以促进数据安全、公平、高效流通,支撑数字经济健康发展。
【关键词】数据交易 法律规制 刑民交叉 个人信息
【中图分类号】D923/D922.16 【文献标识码】A
【DOI】10.16619/j.cnki.rmltxsqy.2025.22.011
【作者简介】张佳华,中国政法大学数字社会治理研究院研究员、博导。研究方向为刑事诉讼法学、证据法、司法制度,主要论文有《数字时代个人信息保护的法律边界厘定》《境内与跨境数据动态流动的刑事治理》《数字时代金融安全视域下网络金融欺诈的法律治理路径优化》等。
数智时代,数据作为新型生产要素,是推动经济数字化转型的重要基础,数据交易是释放数据价值的重要途径。2022年《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称“数据二十条”)明确提出,建立合规高效、场内外结合的数据要素流通和交易制度。数据具有显著的流动性,既体现于其从产生到销毁的生命周期,也表现为由个人“元数据”逐步汇聚为商业或国家数据库的过程。如今,各类数据库及网络数据(如企业、消费和金融数据等)逐步具备财产属性,成为可交易商品。数据交易市场作为激活数据价值的关键枢纽,对促进数字经济高质量发展与提升国家竞争力具有重要作用。2023年,工业和信息化部等十六部门联合印发《关于促进数据安全产业发展的指导意见》,旨在进一步推动数据安全产业高质量发展,加速数据要素市场价值释放。党的二十届四中全会审议通过的《中共中央关于制定国民经济和社会发展第十五个五年规划的建议》提出:“健全数据要素基础制度,建设开放共享安全的全国一体化数据市场,深化数据资源开发利用。”[1]在此背景下,各行业各领域加速开发利用数据资源,各地陆续成立数据交易所,数据的财产权属性也在学界形成普遍共识。[2]
与数据交易的蓬勃发展相比,相关法律规制体系仍显滞后。长期以来,我国数据交易监管多沿用传统要素市场管理思维,以“秩序维护”为核心。该模式初期虽有助于规范市场、防范风险,但随着数据要素化进程不断深入,其弊端日益显现:过度依赖“刚性管控”可能抑制流通活力,导致“有场无市”现象;同时,对数据来源者、加工者等多方主体在财产权、隐私权、知情同意权等方面的保障不足,一定程度上削弱交易信任基础。因此,推动法律规制从单一“秩序维护”向“权益保障与秩序规范并重”转型,已成为必然要求。本文旨在系统剖析当前数据交易在法律规制中的核心困境,探索构建既能充分保障各方权益,又能维护公平竞争与安全秩序,持续激发数据要素活力的新型规制范式,为破解数据交易“制度性梗阻”提供理论参考。
数据交易法律规制的现实困境
交易客体法律表达不清晰,数据定义及权属制度待厘清。数据权益复合性导致司法中的数据概念、属性、法益均有待明确。司法实践中,涉数据交易的刑事犯罪或民事侵权的客体均不直接指向数据本身,而是集中于个人信息、商业秘密等相关概念,司法实践中数据概念的混淆,与相关立法尚未完善有关。《中华人民共和国数据安全法》(以下简称《数据安全法》)第三条虽对数据概念本身作出定义,但该法以规范数据处理活动为立法目的,侧重定义数据的物理或技术属性。《中华人民共和国民法典》(以下简称《民法典》)第一百二十七条虽承认数据财产权益,但在具体权益形式和规制方式上缺乏细化安排。[3]
数据概念不清在刑法、民法两大领域各有其突出问题。民法语境下,数据财产权细化不足,平台间商业数据权属与使用纠纷频发,用户画像、产品信息等商业大数据侵权,因缺少请求权基础而转向不正当竞争等知识产权保护。刑法语境下,则主要表现为刑民衔接问题。一方面,法秩序统一原则下,刑事数据概念需与《民法典》《数据安全法》等前置法合理衔接;另一方面,也需要考虑适度限缩概念外延,以保持刑法谦抑性。
覆盖不周延:数据交易深层环节缺乏有效司法保护。当前数据交易司法实践呈现显著的结构性偏向:大量案件集中于数据获取等浅层环节,而对数据深加工服务、数据撮合交易等深层环节关注不足。司法实践中,数据交易案件多涉及流量劫持、数据窃取、系统攻击等非法获取行为,整体上对数据交易全流程的有效监管仍显不足,深层安全隐忧尚未得到充分回应。
数据交易语境下,同一数据之上常存在多个主体的多重权利主张,并在“收集—存储—加工—使用—销毁”等不同生命周期交织成网状结构。狭义的数据交易,即数据控制权转移行为,仅为数据流通链条中的一环。当前,司法实践主要集中在平台间数据抓取、流量争夺等初级争议,对全流程、全主体的系统性保护机制尚不健全。
制度供给不充分:缺少数据交易刑民体系化规范。通过刑法修正案及司法解释的不断补充,以及《中华人民共和国个人信息保护法》《中华人民共和国网络安全法》《数据安全法》等专项立法的出台,我国已初步形成梯度式、多样化的数据规制体系,但有关法律体系仍有待完善。[4]虽然“数据二十条”创新性设立“数据产权结构性分置制度”,但与《民法典》第一百二十七条关于数据权益的条款相似,仍缺乏对数据权益内涵等具体建构的设计,缺少对数据交易进一步的专门规制。
在民事领域,数据因其可复制性、流动性等特征,与传统财产判然有别。数据作品难以通过登记确权获得知识产权保护,作为商业秘密保护范围有限,典型合同规则亦难以完全契合数据交易特性。加之现有民事权利体系在一定程度上缺乏可操作性,故难以为数据交易提供系统、有效的保障。
在刑事领域,我国数据罪名体系设置以“信息保护”为底层逻辑,主要通过不断增加信息网络犯罪、公民个人信息犯罪以及其他网络关联犯罪回应现实需求。[5]但在大数据技术及交易规模日新月异的当下,这种规范逻辑已难以实现对数据交易的周延覆盖。此外,在数据交易的规制理念上,现有法律体系主要侧重于经济秩序或网络空间管理秩序的保护,对交易中各主体财产权益的关注有所欠缺,这从数据交易侵权集中于非法获取,以及数据交易触犯的高频罪名所处刑法分则的位置亦可得到印证。
数据概念的法律解构:基于载体、安全与匿名性的界分
数据与信息的学理区别在于“载体-内容”。根据《数据安全法》第三条,数据是指任何以电子或者其他方式对信息的记录,是信息存储、传输和处理的形式。这一定义揭示数据与信息的本质区别,即从性质上而言,数据是信息的载体,信息是数据的内容。[6]由此,衍生出数据与信息的两项重要区别:其一,在生成过程中,数据是原始记录,而信息是其衍生品;其二,在运用过程中,初始数据杂乱而信息密度较低,需经过结构化提纯整合,方可梳理出其中有价值的信息,数据处理环节至关重要。从反向角度来理解这一区别,各类信息可依托传统纸媒等有形媒介存在,而数据并不必然蕴含有效信息,如乱码、程序错误等。换言之,被交易的数据存在载体层与内容层的双层结构,且内容层并不一定显现。数据与信息的区分,特别是在数据交易中的区分,凸显出对数据进行单独保护的必要性。
数据与信息的实践区别在于“安全-知晓”。动态司法实践中,数据与信息的区别同样具有意义,并主要体现于不同的诉讼请求与裁判结果中。以商业数据交易为例,保护企业对于数据本身的控制利益,抑或保护企业对所掌控信息内容的利益,可能导致完全不同的实践结果。[7]前者的救济方式,如数据恢复等,旨在恢复权益人对数据的控制状态,即保障安全。后者的救济途径,如删除、断开链接等,解决的是信息非法传播的问题,即阻止非法知晓。“数据公开”与“数据开放”语义区分也体现这种实质区别。“公开”系指信息内容的公开,侧重于对数据所承载内容的知晓,如阅览等。“开放”则强调开放数据代码的获取方式,满足获取相关数据的配套平台渠道或导出方式的需求。司法实践中,基于当事人的实际利益诉求不同,数据与信息在“安全-知晓”上各有侧重。
数据与个人信息的实质区别在于“匿名性-可识别性”。只有匿名化数据才不属于个人信息。《民法典》第一百一十一条个人信息保护与第一百二十七条数据保护的区分设置,为个人信息与个人数据间的区分提供立法基础。从条文分布来看,数据规定属于财产性权利条款,而个人信息权益则属于人身权利条款。这种“人身-财产”的法益对应关系正是界分数据和信息的意义所在。[8]个人信息的人身权利属性要求其必须指向特定个人,从而以可识别性为根本特征,数据则不然。一方面,数据涵盖经济、水文、地理等公共数据,并不完全由个人数据构成;另一方面,数据处理中常涉及经“清洗”或分析后无法识别具体个人的信息(如医疗统计信息、消费偏好等),其存在与价值并不依赖于对特定个体的识别。
数据交易的法律框架:产权分置、分类治理与双重规制
数据交易中的产权配置:结构性分置与取得要件。在数据之上设立新型财产权利已逐渐成为共识,[9]但设立何种新型财产权利却仍在讨论中。由于数据交易中数据产权“三权分置”,故应明确各主体定位,并且数据交易中数据产权的取得应满足特定条件。[10]
其一,明晰数据产权是数据法律制度的核心。“数据二十条”创造性提出“数据产权结构性分置”新模式,根据数据价值的创造与实现方式,界定持有、加工、使用、经营环节的相关财产权益。数据资源持有权是全部数据权能的基础,强调客观状态的持有与数据非排他性的特点高度契合。数据加工使用权根据各项行业国家标准,将统计、关联、转换、挖掘或汇聚等对原始数据进行处理的活动,认定为加工行为。数据产品经营权则直接指向数据交易,二者关系最为紧密。根据数据交易中不同的主体,“数据二十条”对公共数据、企业数据、个人数据三类数据主体类型进行划分。“三权分置”的数据产权若想在数据交易中发挥配置作用,必须一定程度明晰三类数据的权益边界。
其二,数据交易中,尽管各类数据均有进入市场的可能,但只有符合一定构成要件的数据才能形成具有一定排他性的新型权益,即数据交易中数据产权的取得需满足特定条件。在交易数据的载体形式层面,可通过“保密措施”[11]或“权益公示”[12]进行限定,同时为实现周全保护,二者择一满足即可。这主要是考虑到数据可复制性的特点,旨在确保交易数据在形式上唯一排他,从而与特定主体形成对应关系。在交易数据的实质内容层面,可通过“唯一获取”[13]或“加工成本”[14]二者进行限定,同样择一满足即可,二者都是数据实质内容的来源,故权利主体才拥有主张排他权的正当基础。
数据交易的差异化治理:各交易环节与主体的分类规范。需细化分类标准,对数据交易各环节实施规范化处理。在获取环节,应注重考察数据来源的合法性,如是否属于禁止交易的类型、是否取得所有人的同意,有无数据造假、超越授权范围采集、侵犯第三人权益等行为。此外,应重点确定数据的产权归属,根据数据的采集、整理、完善、存储、交易等活动过程,论证数据的产权归属。尽管数据资源在流通过程中的形态与价值持续变化,实践中产权界定存在难度,但基于主体类型的划分方式具有明确、高效的特点,可构建以个人数据、企业数据、公共数据为基本类型的数据交易规范路径。
个人数据以个人信息保护为根本,探索交易与授权。由于已有《民法典》《中华人民共和国个人信息保护法》等作为明确的请求权基础,司法实践中的个人信息保护已较为成熟。然而,从兼顾安全与利用的两端平衡出发,对于个人数据的开发利用仍存在完善保护空间。首先,个人数据交易必须明确许可交易类型。个人数据按照产生方式可分为非行为数据和行为数据。对于属于个人信息的非行为数据,应严格规制并禁止交易,即应当以行为数据为主要交易对象。其次,卖方对于行为数据仍负有脱敏义务,以防止数据集合侵犯个人隐私。在司法实践中,可通过以下方式进行脱敏程度判断:数据是否仍然有可能指向特定个人;数据是否仍有可能与附加信息进行链接;是否可以从数据中推断出特定个人的信息;可链接性受到“合理可能的手段”限制。再次,个人数据交易必须搭建规范运营平台。为确保数据安全与监管力度,在交易机构的设置上可依托各大数据交易所,设立统一的个人数据交易平台。建立健全数据交易市场体系,完善数据评估、登记结算、交易撮合、争议解决等环节,这是一项至关重要的系统工程。此外,个人数据交易必须建立撤销、监督等配套机制。个人数据在主体上的特殊性,使得交易需要一定的撤回或退出机制。
企业数据在明确财产权益基础上保障数据来源者权利。平台企业的清洗、脱敏、分析等加工行为,实质上是通过支付劳动成本,生产出全新的数据库或数据产品。尽管简单脱敏等处理方式的创新性要求低于数据知识产权,但仍有必要赋予其一定程度的排他性保护:一方面有助于激励数据要素供给,防止“搭便车”行为;另一方面可推动加工投入规模化,促进数据价值深化挖掘。[15]我国“数据二十条”提出,要“充分保护数据来源者合法权益”。对平台企业而言,个人是数据的最大来源主体,个人数据是其他数据的基础和源头。倘若个人缺乏明确的数据权利,公民个人在面对平台企业对自身数据的过度收集与滥用时很难有效维权。
公共数据在分类分级基础上注重提供社会服务的反向交易。公共数据因其来源与产品的公益性,在交易中往往不以有偿形式出现,而多体现为无偿公开。公共数据管理机构应重点做好数据安全的保护,在公共数据分类分级基础上,依据重要性形成对应的安全等级与安全要求。在分类上,应以数据描述的主体为主,以所涉行业领域的敏感程度为辅,按照公共数据所描述的对象,将其分为个人数据、组织数据、客体数据,如涉及国防、医疗等敏感领域的,适当提高其敏感等级。在分级上,应以公示情况为主,对于企业信用评价、许可、处罚等已进行数据公开的公共数据的使用,不应视为犯罪,将法人账号信息、个人就诊记录等数据视为敏感信息。
此外,一些地区逐步通过各类数据条例,建立公共数据授权运营制度框架。具体而言,开发公共数据授权公司等社会化力量,为公众提供更加优质的数据产品和服务。从这一角度看,公共数据进行的是一种反向数据交易。
数据交易的法律规制:民事与刑事的双重构建。在对数据交易规制的法律规范体系进行立法完善和司法实践的过程中,应平衡好维护数据经济秩序与保护数据财产权益之间的关系。在打击犯罪、维护市场秩序的同时,更加注重对数据来源者、数据加工者、数据经营者等各方合法财产权益的确认和保障。
在民法规制方面,探索构建区别于传统物权、知识产权的“数据财产权”规则,承认数据因其非排他性、可复制性而产生的独特法律特征。在合同法规中,增加或细化适用于数据交易的典型合同类型(如数据许可使用合同、数据服务合同),明确数据交付标准、质量担保、权利瑕疵担保等特殊条款。在民事侵权法律责任承担方式上,可以考虑合理适用惩罚性赔偿这一民事责任承担方式。数据交易侵权与犯罪主体涉及企业的概率更高,传统追责模式既难以弥补损害后果,也会影响企业发展,进而损害社会整体利益。对此,建议对于符合条件的数据侵权或犯罪行为,通过惩罚性赔偿加大平台企业的商业决策成本。这种惩罚性赔偿并非对创新的抑制,相反,通过对其侵权行为的合理规制,可推动数据的有序流通,最大程度地促进数据汇聚,并有效发挥数据创新价值。
在刑法规制方面,刑法作为“最严厉的法律制裁”,应当对轻罪有效治理,对重罪有力惩治,梯度实现精准治理。数据交易横跨数据的全生命周期,覆盖全社会主体,其治理必须具有体系性与针对性,而现有数据相关罪名却分散于刑法分则不同章节,零散的交叉保护既存在空白,又存在保护范围重叠。此前的立法实践通过扩大解释,对不断翻新的犯罪行为加以惩治,但容易产生入罪扩大化的“口袋罪”弊病,并已经与个人信息犯罪等其他罪名形成竞合关系。因此,有必要对现有罪名(如“非法获取计算机信息系统数据罪”)进行适度修订,或通过立法解释,使其保护范围能够涵盖大数据平台、云环境等新型数据存储和处理形态,减少对扩张解释的过度依赖。同时,数据安全的法益独立性已为新罪名的设立提供理论支撑。因此,建议根据数据在不同交易及运用场景中可能受到的权益侵害,设置数据交易犯罪相关专门罪名,或数据犯罪相关罪名,通过传统罪名与新设罪名的结合为数据保护提供相对全面的刑法规制框架。
结语
随着数智时代的到来,数据交易成为激活数据要素、发展新质生产力的重要路径。数据交易法律规制从传统“秩序维护”单一中心,向“权益保障与秩序规范并重”的范式转型,不仅是应对当前实践困境的必然选择,更是构建高效、公平、安全数据要素市场的法理基石。这一转向,本质上体现了法律在面对革命性新技术与经济形态时,从被动回应走向主动建构,从管控思维走向治理智慧的深刻变革。未来,我们仍需在理论上继续深化对数据产权结构、数据公平定价等基础问题的研究;在实践上,鼓励更多地方和行业开展先行先试,为顶层设计提供鲜活经验;在技术上,密切关注隐私计算、区块链、人工智能等前沿技术的发展,并前瞻性地将其规则需求与伦理考量纳入法律框架之中。当法律规制能够精准地平衡权益保障与秩序规范,既能为数据来源者的基本权利撑起“保护伞”,又能为数据经营者的创新活动铺设“快车道”,还能为整个数据交易市场的健康发展构筑“防火墙”时,一个繁荣而有序的数字文明新图景必将如期而至。
(本文系中国政法大学科研创新项目、教育部人文社会科学研究青年基金项目“公正司法视域下罚金刑自由裁量的边界与程序控制研究”和中国政法大学青年教师学术创新团队支持计划资助项目的阶段性成果,项目编号分别为:25KYGH009、23YJC820051、24CXTD10)
注释
[1]《中共中央关于制定国民经济和社会发展第十五个五年规划的建议》,《人民日报》,2025年10月29日,第1版。
[2]参见张新宝:《论作为新型财产权的数据财产权》,《中国社会科学》,2023年第4期。
[3][6]申卫星:《论数据用益权》,《中国社会科学》,2020年第11期。
[4]张佳华:《境内与跨境数据动态流动的刑事治理》,《暨南学报(哲学社会科学版)》,2023年第12期。
[5]参见刘宪权:《数据犯罪罪名体系建构之完善》,《国家检察官学院学报》,2024年第3期。
[7]梅夏英:《信息和数据概念区分的法律意义》,《比较法研究》,2020年第6期。
[8]吕炳斌:《个人信息权作为民事权利之证成:以知识产权为参照》,《中国法学》,2019年第4期。
[9]参见龙卫球:《数据新型财产权构建及其体系研究》,《政法论坛》,2017年第4期。
[10]冯云廷:《如何认识数据作为生产要素的经济价值》,《国家治理》,2020年第38期。
[11]“保密措施”指通过技术手段确保数据的有限传播,从而锚定权益人与特定数据间的对应关系。
[12]“权益公示”指借助具有公信力的公示系统,向市场中的其他主体公示权利主体与特定数据间的唯一对应关系。
[13]“唯一获取”指通过个人等主体特定行为才能获取该数据,如创设、购买等。
[14]“加工成本”指特定主体对数据产品的诞生付出加工、清洗等劳动,类似于附随。
[15]申晨:《论数据产权的构成要件基于交易成本理论》,《中外法学》,2024年第3期。
The Legal Regulation Dilemma and Resolutions of Data Trading in the Digital Intelligence Era
Zhang Jiahua
Abstract: In the era of digital intelligence, data has emerged as a new factor of production, serving as a crucial foundation for driving economic digital transformation. Data trading represents a vital pathway for activating data as a factor of production and fostering the development of new quality productive forces. At present, data circulation and transactions encounter three major legal dilemmas: first, the definition of the transaction subject is unclear, with concepts of data and information mixed and property rights systems lacking; second, judicial protection is insufficient, often focusing on superficial aspects such as data acquisition while neglecting deep processing and transaction matching; third, institutional provisions are weak, as civil, criminal, and specialized legislation have yet to form an operable regulatory framework. Therefore, governance concepts should shift from "order maintenance" to "equal emphasis on rights protection and order regulation," clarifying the boundaries between data and information, establishing a "structurally separated" data property system, implementing classified and graded governance, and improving a regulatory system that coordinates civil and criminal aspects, in order to promote safe, fair, and efficient data circulation and support the healthy development of the digital economy.
Keywords: data trading, legal regulation, criminal and civil intersection, personal information
责 编∕方进一 美 编∕周群英
