转自:比较法研究
作者:彭辉(上海社会科学院法学研究所研究员,法学博士)
出处:《比较法研究》2023年第2期
目次
一、引言
二、数据交易不完全契约的困境表征和机会主义风险
三、妥善配置剩余控制权是防范数据交易机会主义风险的可行性方案
四、结语
摘要:囿于交易标的标准难、数据产权确权难、价值评估定价难、供需双方互信难、实施落地操作难、交易公平监管难等问题,实践中的数据交易契约是一种典型的不完全契约,使数据交易市场面临着市场失灵的一系列挑战。妥善配置好剩余控制权是防范化解数据交易不完全契约带来的机会风险,优化互利互惠数据要素治理结构,建立体现公平效率数据要素收益分配的重要支撑点。由于公共数据、企业数据和个人数据的性质属性各有差异,因此不同类型数据交易的剩余控制权配置在充分博弈谈判之后配置机制也不尽相同,基本原则是当交易成本较低时,剩余控制权主要配置给双方当事人;当交易成本较高时,将部分重要的剩余控制权配置给政府监管部门等机构,以此最大限度地保障数据交易目标的实现。
关键词:数据交易;不完全契约性;剩余控制权;激励相容
01 引言
随着互联网经济和数字经济化的持续发力,数据日渐成为创新驱动力的源泉和数字化转型的核心生产要素,通过打造数据交易市场来实现数据价值的深度挖掘,健全数据要素生产、流通、应用、收益分配机制来推进数据 要素市场配置改革已然成为社会各界尤其是政府部门的广泛共识。中国信息通信研究院的调研显示,2021年,全球47个主要国家数字经济增加值规模达到38.1万亿美元,占GDP的45%。其中,中国数字经济规模达到7.1万亿美元,占47个国家总量的18%以上,位居世界第二。预计到2025年我国数字经济规模将超60万亿元,数字经济发展之快、辐射之广、影响之深令人瞩目,赋予了经济社会发展的“新领域、新赛道”和“新动能、新优势”。习近平总书记强调,“促进数据高效流通使用、赋能实体经济,统筹推进数据产权、流通交易、收益分配、安全治理,加快构建数据基础制度体系”。这为我们加快数据要素市场化配置改革,营造开放、健康、安全的数字生态提供了努力方向和根本遵循。
由于在数据采集、归集、开放、流通等数据要素价值实现全链条中各方利益犬牙交错、多方观点分歧对立。故此,国家对制定与之相应的数据要素交易立法比较审慎,主要是通过两个维度展开相应的探索:一是鼓励地方先行试点和探索。近年来,深圳、上海等地方数据立法步伐不断加快,如《深圳经济特区数据条例》和《上海市数据条例》均明确规定各类主体对于数据的财产权益,并且都设置了“数据要素市场”专章以集中规定方式积极探索数据开发方式、交易模式和治理模式,推动数据产权结构性分置、有序流通、赋能实体经济。二是完善国家顶层政策架构。通过大量的政策性文件来推动数据交易的顶层制度架构,探索“原始数据不出域、数据可用不可见”的交易范式来健全数据要素权益保护制度,为深化创新驱动、推动高质量发展、推进国家治理体系和治理能力现代化提供有力支撑(参见表1)。
表1 国家层面关于数据要素市场的重要政策文件
值得关注的是,数据作为新型生产要素,具有无形性、非消耗性等特点,可以接近零成本无限复制,其产权体系和交易模式与传统财产权大相径庭,必须结合数据要素特性提升高质量数据要素供给水平。国家政策尽管对数据开放、数据共享、数据交易等企业数据流通积极鼓励,但政策实施落地遭遇各种梗阻,如市场主体积极性偏低,数据交易活跃度下降,尤其是数据交易中潜在的数据安全风险,成为众多市场主体“不敢交易、不愿交易”的隐忧。这种“数据安全”与“数据流通”难以两全的悖论,极大牵制了数据要素配置效率。每年全社会数据量增长约40%,但真正被利用的数据增长率只有5.4%。数据需求主体面对数据流通不畅的桎梏,只能被迫采用爬虫技术等方式来获得外部 。笔者在最高人民法院“中国裁判文书网”,以“数据+抓取/爬取+竞争”为关键词检索生效判决文书,共检索到462份,其中2020—2022年共计323份,2017—2019年共计84份,2016年之前共计55份。其中由于数据非法获取而引发社会关注的典型裁判案件逐年递增,这从侧面印证了数据交易的正当途径遭遇了明显梗阻。
数据交易为何困难?不完全契约理论(incomplete contract)对此提供了一个较为合理的解释框架,该理论最早由奥利弗·哈特(Oliver Hart)等人提出,根据哈特的定义,缔约双方囿于各自有限理性、文字语言模糊、信息渠道受限等诸多因素,不能完全预见履约期间可能发生的各类情形,必然存有内在缺陷、条款缺失、相互冲突或语义含糊的一类契约,此类契约即称不完全契约。上述特征对于绝大多数现实契约都适用,数据交易契约尤其如此。例如,信息网络平台为了给用户提供更为精准的服务和产品,需要事先使用个体用户数据来进行模型训练、算法匹配、目标迭代等,在上述推理过程中的平台成立运维成本、平台基于个性化算法所产生利润、用户参与成本和收益等都是事先难以合约。在正式法律对数据权属界定不清的背景下,交易双方很难就数据流通合同条款的议定环节、个人信息保护条款的设定环节、数据侵权是否成立的确定环节、数据侵权损害赔偿额的决定环节等制定出能够预见各种情况并有足够约束力的完全契约,而只能缔结一个存在内在缺陷、条款缺失或语义含糊的不完全契约。由于哈特的不完全契约理论对如何理解契约以及如何解决履约问题的重大奠基性贡献,哈特荣膺2016年诺贝尔经济学奖。考虑到我国拥有全球最庞大的数据生产群体,已经是名副其实的数据 大国,但在增强技术创新和制度弹性来激活数据内在活力的同时为产业发展预留空间还有很长的一段路要走,因此不完全契约理论在我国具有更大的应用前景。
不完全契约的过程机制与内在逻辑如图1所示,A、B两个端点分别代表两种极端情况,自左到右,契约不完全程度逐步增加,C、D、E、F依次在A与B之间,衡量契约完全性程度包括两个指标,即位置和宽度。这里的位置因素指的是契约双方所处于数据交易的买方还是卖方,宽度因素主要指数据要素交易环境,包括数据交易标的、数据确权边界、数据定价难易、数据交易互信、数据交易监管等。由于所处位置和宽度的不同,从而使某一契约的“不完全”性在一定的幅度内变动,C视为很强不完全契约关系,D视为较强不完全契约关系,E视为较强完全契约关系,F视为很强完全契约关系。数据买方在购得数据之后即可拥有完整数据支配权,即使数据卖方在交易事前制定了限制性措施,也无法对数据买方产生有效约束力,这相当于变相切断与数据卖方的契约关系,数据交易双方的角色差异及其转换必然对契约完整性产生重要影响。通常情况下,数据资产的估值主要依赖于数据需求侧而不是数据供应侧,因为数据买方对数据应用的具体场景有更多掌控,对数据价值更能清晰把握,为了获得己方最大化利益,买方倾向于利用这一信息优势,采用“钓鱼策略”,诱导卖方相信所交易数据价值不高,从而不断压低卖方报价,一旦交易完成,则实现高价值数据变现,这显然对于卖方风险更大。因此,数据交易买方在不完全契约中往往拥有对于事前缺乏明确规定的事项进行处理、决策的剩余控制权,以便在契约过程中处理和使用关键 ,所以数据交易买方往往靠近C、D的位置,数据交易卖方往往靠近E、F的位置。
图1 契约不完全性程度示意图
市场经济就是契约经济,契约经济理论发轫以来主要有两个主要演进方向:一是前大数据时代“完全契约”理论,这一阶段的相关契约能够有效映射现实发展需要,缔约时合同双方能够精准预见未来所有的可能状况,并约定各种情况下的权利义务关系,该理论重点不是聚焦于防止契约订立的机会主义风险,而是重在探讨契约确立之后的有效落实;二是大数据时代“不完全契约”理论,这一阶段的数据法律关系日益复杂多元,呈现出一种参与主体多元化、权利归属复杂化的特征,这导致了契约双方认为不可能事先约定各种可能情况下的权利义务,主张重点对未约定的权利进行制度设计或权利配置研究。不完全契约理论的引入在一定程度上能够促进数据主体、数据控制者和数据使用者之间互惠与合作,并降低数据 利用的交易成本,解决私人部门合作产生的权利冲突,消解契约各方的差异化目标指向。从这个角度而言,该理论有利于解释契约制度设计和权利配置是如何影响契约各方的行为抉择,有利于控制契约各方因为不完全契约而出现“敲竹杠”风险,这为规制契约双方行为提供了独特的研究视角,因而其理论触角由经济学不断向政治学、法学等学科延伸,涵盖了公司金融学、公共经济学、政治经济学、法律经济学和国际贸易等更广泛的发展议题。尤其是对规模超级大、领域超广泛、技术超复杂、监管全时空又无法完全避免漏洞的数据交易契约而言,不完全契约理论不仅具有显著的可行性,而且具有更强的解释力,目前运用不完全契约理论框架研究数字经济时代问题的学者逐渐崭露头角,如有学者强调由于数据权属的有限理性、数据资产的不确定性以及数据隐私的不对称性,导致了“契约的不完全性”,有学者构建了不可合约情形下数据开发、利用价值链的数理模型,丰富了不完全契约理论的应用。这些研究尽管关注到数据公共治理与不完全契约理论的内在关联,但对数据交易不完全契约模式的基本逻辑阐释不够清晰;对数据产品交易市场基础制度体系不完善、数据产品交易模式不成熟、数据产品交易过程中标准缺位、数据产品交易安全保障能力不足、数据产品交易监管体系不健全等问题和挑战是如何影响并冲击数据要素市场化配置,使得数据交易不完全契约性不可避免的描述不够精准;对在数据来源可确认、使用范围可界定、流通过程可追溯、安全风险可防范的基础上规避数据交易不完全契约性引发的机会主义风险的可行性方案设计不够周密。有鉴于此,本文提出应以培育、发展数据要素市场为目标,在有效保障数据安全的前提下,通过推进实施公共数据确权授权机制、鼓励探索企业数据授权使用新模式、建立健全个人信息数据确权授权机制等不同类型化路径来确定数据交易的剩余控制权归属,以期有效解决数据交易的不完全契约性及其相关问题,最大程度地促进数据交易与流通,充分释放数据要素价值。
02 数据交易不完全契约的困境表征和机会主义风险
对于数据交易底层逻辑的准确把握和规范体系的系统建构是一个良性健康数据交易市场有效运作的根基。目前数据要素市场存在交易“六难”问题,即标准难、确权难、定价难、互信难、交易难、监管难,也正因如此,数据交易的不完全契约特征主要表现为以下六个方面。
(一)交易标的标准难
一般而言,数据交易首当其冲是要明确交易标的为何,是原始数据,还是加工处理之后数据衍生品,抑或数据服务?各地立法对此并未达成共识。广东为“数据 开发利用的成果”;安徽、海南、山西等地表述为“数据”;山东、上海等地规定为“数据产品和服务”。就数据产品和服务的形成来看,上海提出“通过实质性加工和创新性劳动形成”,山东提出“合法获取的数据 开发”,深圳提出“通过合法处理数据形成”,福建则将数据交易标的划分为两类:一类是一级开发主体所形成的数据汇聚、治理、开发成果,另一类是二级开发主体基于应用场景开发所形成的数据成果。从数据交易标的角度而言,双方对所交易的是原始数据抑或加工处理后的数据衍生产品和服务其实并不能有完整性认知,数据开发毕竟是创新探索式实践,整个过程中原始数据和加工处理后的数据衍生产品和服务哪方的价值更高,哪方更容易被市场接受只能有一个模糊性预估,而不存在一个精准性判断,数据交易标的的真正价值只能通过确权、流通和交易的不断适配才能释放生产性资本的内在价值。由于数据很难成为一种标准化的交易标的,目前理论界和实务界对于原始数据及加工处理后的数据衍生产品和服务的整体认知欠缺,导致具体规则层面对数据交易标的缺乏具体细化的操作指引,这种交易标的标准不清最终造成了数据交易不完全契约性,数据交易机构很难行使产品撮合定价权、交易实时监控权和信息披露监督权。
(二)数据产权确权难
目前我国尚未有法律对数据产权归属作出明确规定。各地开展了积极替代式探索,如河南率先对数字技术和产品依法保护;深圳先行对数据产品和服务的使用权、收益权和处分权作出“三权分置”规定;安徽宣言性规范数据产权交易机制;上海、广东、山东等规定数据交易主体对依法形成的数据产品和服务享有财产权益;这些探索在上位法缺位的情况下,难以破解数据确权之困,实践中参与交易的数据市场准入限定于产权判断明了、清晰的极少数数据,这严重影响数据交易的规模与范围。从数据交易确权角度而言,双方针对企业与个人之间、企业之间、企业与政府之间关于数据权属的判断存在极大的争议,这种数据确权难题使得交易数据是否合法、交易资格是否具备、交易安全如何维护等一系列延伸性问题无法得到实质性破解。因此,过度关注于数据要素排他性占有必然对数据交易形成“双刃剑”效应,即如果权属界定缺失或模糊势必妨碍数据有序流动,导致“公地悲剧”;但如果数据权属保护过度,则容易造成数据交易链各方权能牵绊,数据交易存在巨大负外部性,“反公地悲剧”无法破局。这种数据产权确权两难结果必然加剧了数据交易不完全契约性,增加对交易数据是否合法、交易资格是否具备、交易安全是否确保、数商生态是否成熟等精准判定的难度,影响数据发挥其最大利用价值。
(三)价值评估定价难
有序的数据交易市场构建的前提基础是数据价格公开透明,标价不清晰、计价不透明、事先不告知的数据交易“刺客行为”不仅无法反映数据价值,影响交易体验,而且侵犯交易双方的公平交易权。公开透明的数据价格是构建数据交易市场的前提和重要基础,也是影响数据交易平台活跃度的重要参数。数据定价低了,无法体现数据价值,会降低数据卖方出售数据的积极性;数据定价高了,则会降低数据买方的积极性。大数据具有数据量大、数据种类多、数据价值密度低、数据产生和处理速度快等典型特征,从数据交易定价角度而言,双方对于数据资产的地位和估值标准尚未确定,存在市场竞争不充分、供求关系不对等情形,单纯依靠市场定价或许会形成有价无市或有市无价的尴尬境遇。更为重要的是,数据价值高度依赖运用场景,甚至交易双方对于数据交易价格的最优解是数据在特定应用场景下的价值挖掘方式不断校正的前提下才能获致,很难有一套统一的定价方法,只有在相关数据能够直接接入买方企业需求,并能够与买方现有的算法或数据 形成规模经济与范围经济的协同效应时,数据供给与数据需求才能够相匹配,数据价格才能够真正得以准确评估,但目前交易双方显然对于数据定价标准和形成机制的看法分歧巨大。由于数据价值评估定价体系与数据要素的完整性、准确性、层次性、协调性和异质性高度相关,数据的数量、范围、质量、来源、颗粒度、关联性、时效性、稀缺性、行业性质、权益性质、交易性质、预期效益都会导致数据交易不完全契约性难以避免,影响契约双方对数据产品的精准定价,容易形成数据交易“千人千价”。
(四)供需双方互信难
数据要素交易中存在供需双方不信任现象。对于需求方,数据要素的价值不易进行事前预估,供需双方在购买数据之前无法确定数据的价格,存在一种买方不信任感;对于供给方,由于数据具有非独占性,这种具有较高的固定成本和几乎为零的边际成本特性,造成一旦数据泄露后可以低成本甚至无成本复制,因此数据卖方对于潜在的数据买方充满一种不安全感,仅愿提供简短的书面或脱离上下文的查询示例,阿罗信息悖论(Arrow information paradox)的“双重信任困境”难以避免,即数据供给方“需要相信购买方不会窃取他的构思和数据”,数据购买方则“将花费大量精力和下游成本来评估数据集,确保他的投资不会被欺骗”。从数据交易互信角度而言,数据价值无法通过信息披露而确定。数据流通既无法如同证券、土地、期货、石油交易所如此高效,也不像市场上货物商品交易那样活跃。数据流通更接近小范围“私人定制”,数据供方既不能保证实际交付的数据质量与合同约定条款相一致,也无法直接向数据需方提供原始数据,而是通过运用“点对点”“一对一”具体场景化数据交易模式,这无疑引起了交易契约不完全契约性,增加双方的交易次数、交易成本和交易费用,甚至危及整个交易平台和交易市场的声誉。
(五)实施落地操作难
数据交易是随着大数据的发展而兴起的新兴产业,当前很多地方都在建立大数据交易所,但各个平台对于数据接口、产品标准、传输方式等要求并不统一,如有的平台对自然人注册交易态度积极,而有的平台则消极抵触;有的平台对交易隐私政策和服务协议规定周密严谨,而有的平台则松散粗放;有的平台对交易客体及交易数据规范标准,而有的平台则模糊杂乱;有的平台对交易前中后不同阶段各方权责尺度统一,而有的平台则凌乱分歧。从数据交易环节角度而言,双方商谈领域不是通过一次性静态可度量化的交易交割就完成的,而是涉及数据交易全生命链条的动态持续性交易,包括数据来源验证、尽责调查、登记运营、产品上架、交易撮合、用途跟踪等环节,覆盖了法律法规、公共管理和产业规划等各个领域。由于我国交易平台的数据加工、数据应用、确权估值、质量评估、交付清算、交易规则、行业报告、数据资产管理和金融服务等一系列增值服务并未能精准及时落地,造成数据交易额度低、质量低、层次低、风险高的“三低一高”现象较为普遍,交易契约不完全性无法回避,这显然与我国加快实现标准性、均质化、高频度的数据交易的初衷背道而驰。
(六)交易公平监管难
当前数据交易市场不断发展,数据交易规模及交易场景日趋庞大和多样丰富,与数据相关的不正当竞争与垄断问题最为突出,一些数据处理者利用自身技术或者市场优势地位,采用恶意封禁、恶意不兼容的方式来非法阻碍他人获取数据,或者依据流量劫持、数据爬取来非法获取数据,限制数据产品交易和数据要素流通。而对于上述数据要素市场的不当行为的监管规制涉及到互联网信息办公室、发展改革委、市场主管部门、产业主管部门以及财税部门。2023年3月,中共中央、国务院印发了《党和国家机构改革方案》,组建国家数据局,全力打造“数据化国家队”,破解“数据壁垒”、破除“信息孤岛”、跨越“数字鸿沟”,但完全解决“九龙治水”问题还需循序渐进。从数据交易监管角度而言,我国尚未成立数据要素市场化、数据产品交易、数据治理等相关的标准化技术组织,也缺少数据产品交易标准体系的统筹规划,基础标准、技术保障标准、交易管理标准、交易安全标准、交易监管标准都存在大量标准缺位,数据价值评估、数据质量、数据产品交易过程、交易监管等关键核心标准都需进一步补足,数据交易不完全契约性无法克服,现有政府主导、责任主体负责的数据安全协调治理体系难以满足海量数据场景的计算复杂度、多方交互效率、模型性能等业务支持需求,导致市场认可度有限,数据进场交易的意愿不强,数据交易的公平性也难以得到保障,数据交易领域隐然形成“监管洼地”和“逐底效应”。
总之,在数据交易的数据采集、数据归集、数据整理、数据分析、数据估价、数据经纪、数据验证等环节都充满了难以预测、难以描述、难以证实的不可控因素,正是由于这种不完全契约性使数据交易秩序面临着市场失灵的一系列挑战。就技术水平而言,我国数据交易产业依然处于初级阶段,距离政策规划和市场预期仍有相当距离,一些数据交易场所由于数据清洗水平不足、隐私保护不力、安全保障不够、价值挖掘不透,造成数据经济的技术水平低水平徘徊和认知能力低水平跃迁,这一状况的长期持续使健康有序的数据交易无法持续,难以实现数据产业的弯道超车和迭代更新。就交易的数据产品和数据服务而言,在数据从被采集成为原始数据,到数据作为生产要素参与生产并创造价值的全过程中,具有可交易对象少、流程周期长、价值差异大的特点,大部分平台以数据包、API接口、数据定制、人工智能工具等数据产品和服务为主,技术研发相似度高、产业附加值较低,数据 之间仍然存在着一定的封闭性和垄断性,与通过流通利用实现市场化配置仍有差距。就交易安全而言,目前大数据平台大多基于Hadoop框架进行二次开发,安全机制缺失,安全保障能力较薄弱,集合一些个人匿名化数据,能够对个体特征全面分析,从而识别出特定个体,甚至反推出个人信息,这使得数据采集方时刻面临不确定的被追责风险,使得数据市场陷入低端无序状态的锁定,甚至造成数据流通逆流向场外交易。
上述问题促使在信息不对称情况下数据交易市场的“柠檬市场”(the market for lemons)效应不断发酵,产生了劣币驱逐良币的逆向效应,由于数据交易市场不是充分竞争市场,目前拥有大量数据的企业集聚于垄断性的数据平台和公司,倾向于采取数据“自留行为”“敝帚自珍”。这类主体重视构建闭合生态,不愿意参与数据交易活动,数据要素越发分割分散,“数据壁垒”现象愈发明显,数据交易双方与其说是市场交易关系不如说是紧密绑定的长期利益共生关系更为恰当。在这一背景下,数字技术、数字金融、数字文化、电子商务、知识产权服务、数据服务等数字经济重点领域的垄断现象若隐若现,类似于阿里系、腾讯系、京东系、字节系、美团系、网易系等数据矩阵彼此之间泾渭分明,数据流通难以同向同行。一些拥有大量数据的企业以保护用户数据为由拒绝数据共享,甚至拒绝执法机关进行数据调取,存在形成数据市场“法外之地”的隐患。在国外,苹果公司曾对美国联邦调查局(FBI)解锁涉恐分子的苹果系智能终端的要求以造成用户数据安全风险和防止隐私外泄为由加以公开拒绝。在国内,上述观点在“蚁坊公司起诉新浪微博(微梦公司)数据垄断案”中得以充分体现,2021年11月,蚁坊公司以微梦公司拒绝共享数据行为已经构成数据垄断为由诉至长沙市中级人民法院,成为国内首例因互联网平台拒绝数据许可引发的反垄断民事诉讼,引发各界关注。我们认为,这种数据垄断行为严重制约了数据交易市场的运行,使实现规范化、标准性、均质化、高频度的数据契约式交易更是无从谈起,长此以往将造成数据市场发展萎靡及失序现象丛生,数据爬取、捆绑安装、流量劫持等不正当竞争,恶意不兼容、恶意封禁、不实风险提示等非法阻止其他经营者获取数据,非法收集、买卖、使用个人信息等非法数据交易,这些不当甚至非法行为导致数据“黑市”盛行,数据经济产业发展的不确定性徒增。如此循环,其结果必然导致数据买方意愿支付的价格不断降低,更多较高质量的数据提供商不得不撤离市场,而市场只能由低端无效数据占领,目前“一对一”数据交易形式占据市场成交量的95%,场内交易缺乏吸引力,但灰黑数据交易却屡禁不止,这严重冲击了数据要素流通秩序。数据交易普遍存在着“雷声大,雨点小”、“理想前景光明,实际操作难以落地”、“场内交易意愿不强,场外数据黑市上千亿”、“重复建设,盲目跟进”等现象,以2015年全国首家挂牌运营的贵阳大数据交易所为例,当时规划目标为“未来3—5年交易所日交易额会达到100亿元,预计将诞生一个万亿元级别的交易市场”。截止到2023年2月,累计入驻数据商478家,累计撮合交易302笔,产品总数768个,交易金额5.81亿元,目前运营与此前预计相距甚远,数据交易“并没有想象中活跃”。
03 妥善配置剩余控制权是防范数据交易机会主义风险的可行性方案
面对目前我国企业数据 充沛,但真正实现开放的、获取成本低的、存在应用价值的数据总体数量和品质质量仍隐忧不断。从这个角度而言,明晰数据交易市场各参与主体权责利相统一的规则体系和制度支撑是未来国家数字法治发展的重要内容。重点是如何在数据交易上更广泛、更深入地实现数据要素式流动与规制数据交易不完全契约带来的机会风险之间形成一个妥帖的兼容,而妥善配置好剩余控制权将对一个健康、良性的数据市场的运转起到决定性作用。
剩余控制权(residual rights of control)概念是由哈特提出的,其强调的是在不完全契约中对于事前无法明晰规制事项内容由哪方拥有处理、使用、掌控、支配的权利。正如哈特所说:“在契约中,可预见、可实施的权力(即特定控制权)对 配置并不重要,重要的是那些契约中未提及资产用法的控制权力(即剩余控制权)。”换言之,一项法定权利的真正实现程度并不仅仅在法律文本制定时清晰无误表述,而是通过法律界定空白、模糊或冲突之处的具体实施来体现,权利的实现程度往往是由剩余控制权决定的。那么,从权利配置主体角度而言,剩余控制权应该配置给谁才更有利于数字经济发展呢?从权利配置方式及配置效果而言,应该怎么配置才更有利于提高数据交易效率呢?我们认为,在信息不对称、决策分散化和自愿交换等约束条件下,权利的实现程度是由剩余控制权确定的,剩余控制权匹配配置应该遵循的一个基本准则是法律对权利的界定只是提供了一个模糊的博弈边界,权利的真正边界和实现程度取决于交易双方的博弈能力。换言之,剩余控制权实质上是一项基于博弈能力之上的决定权,谁承担了风险并能推动和实现数据交易市场化任务目标,那么剩余控制权就应该配置给谁。这种通过促进当事人之间的信任来实现个人利益和公共利益的激励相融机制能够为行为主体提供合理的激励,保障数据交易各利益主体享有依法依规持有、使用、获取收益的权益,这在一定程度上有利于化解模糊的法律权利界定对数据流通带来的不确定性困境,构建起一个相对合理有序的数据流通秩序。
目前,针对数据交易的立法有两种不同的范式:一种是追求立法的“大而全”,试图通过“体系化”“一揽子”“一刀切”的解决方案来破解数据治理的激励相容、行业自律、合同治理、关系治理、软法治理等难题挑战,这一范式实质上是在整体上将完全契约理论延续至数据交易领域;另一种是追求立法的“小而精”,试图基于“场景专用性”来锚定有限的基础性元命题目标,试图以一种灵活、适应性强、以市场为导向的契约约束力来规避无休止的数据权属等权利规范争议,这一范式实质上引入了不完全契约理论,并在一定程度上已然成为现阶段数据权益保护和数据流通需要之间的协同与博弈的最优解。需要说明的是,剩余控制权并非数据交易控制者所享有的一项具有独立属性权利,而是赋予数据权益主体可以采取特定行为的有限排他性权能。一方面,拥有剩余控制权者据此可以享有经济利益,另一方面,数据交易依法合规、安全可控、公序良俗、科技伦理等原则的遵循必然转化为一种对剩余控制权的约束、制衡和负担,使其具有财产权排他性的属性,但又将这种排他性强度控制在一定程度之内,平衡好数据保护和数据利用的关系。质言之,数据交易对剩余控制权的确立与接纳的核心本质是为了降低制度执行的交易成本,既考虑到在法学层面厘清相关权利性质和权利边界,又在社会学层面对既成事实和利益格局的接纳和容忍;既在内部为数据权益主体扩权提供理论依据,又为数据交易规制的开放性提供行为指引,进而促进数字经济稳步提升,保障数据交易安全便捷。
不完全契约理论揭示出,不可能也没有必要构建起一个完全由一方掌握剩余控制权的数据流通秩序体系,此种模式必然导致数据交易的总量交易成本上升,势必因激励不相容而影响愈来愈精细和复杂规则的有效实施,在现有法律框架下,数据流通秩序一定是基于公共数据、企业数据和个人数据的剩余控制权混合配置规则所构成,公共数据的权利诉求源于公共职能和主权保护需求、企业数据的权利诉求源于劳动价值论、个人数据的权利诉求源于人格权保护,由于三者各自的数据性质属性和流通规则各有差异,对数据利益和数据流通秩序上的偏好不同。因此,面对数据流通秩序构建与完善的问题,我国的立法策略实际上遵循一种实用主义的思路,即实现公共利益、企业利益与个人利益的激励相容,如《数据二十条》指明了我国建立公共数据、企业数据、个人数据的分类分级确权授权制度的原则和方法,不同类型数据交易的剩余控制权配置在充分博弈谈判之后配置机制也不尽相同。
(一)公共数据剩余控制权的配置方案
公共数据为国家机关、依法授权的具有管理公共事务职能的组织以及供水、供电等公共服务运营单位在依法履行职责或者提供公共服务过程中收集、产生的数据,呈现来源广、体量大、门类多、增速快的显著特点。公共数据是数据要素交易的重要“渠道”,一方面公共数据中属于依法应予严格保密的不得公开,对于这部分原始公共数据应予严管严控,严禁其直接进入市场;另一方面不需要保密的公共数据应当通过价格规律、供需关系以更高效、低成本地为社会主体提供可机读、可重用的数据,从而不断满足人们生活发展的新需求。因此,应在统一开放政策、规则和规划下,根据不同情形统筹授权公共服务机构根据数据行业特征、用途等因素实施有条件开放公共数据运营。
由于具体运用场景和服务领域迥异,数据授权运营过程中必然牵涉到各方利益诉求者,利益冲突在所难免,这一冲突亟待通过剩余控制权的合理配置予以协调解决,为智能决策提供基础性公共数据 ,破解公共数据开发可控化和市场化利用的瓶颈,减少公共数据的重复采集,提升公共数据的一致性、真实性和完整性。一是如果项目产品公共化程度很高,公共服务机构方应当享有剩余控制权,这样配置才会促使公共项目的产出利益最大化;二是如果项目产品公共化程度很低,数据受让的社会资本投资方应当享有剩余控制权,这样配置才能有效激励投资积极性和减少机会主义风险;三是如果项目产品公共化程度不高不低,数据受让方应当享有剩余控制权,这主要考虑到受让方负担公共数据治理成本,在满足公共利益本身需要的同时,让受让方可以获得可用且好用的公共数据 ,有助于促进公共数据转化为生产要素;四是其余情况下剩余控制权的配置模式,有约定从其约定,无约定双方分享。
值得关注的是,传统模式下的公共数据授权运营采用API接口来向企业、社会组织、社会公众提供公共数据 。这种方式有两大弊端:一是从数据 获取角度而言,社会主体获取的是格式转化与处理后的小部分数据,输出格式僵化性和社会主体有效需求多元性之间无法精准匹配,这显然不利于公共数据 价值的充分释放;二是从技术破解角度而言,社会主体依然有机会按照“逆向工程”逻辑反推原始数据全集,为此公共服务管理方要么对原始数据再次深度处理,要么仅提供一小部分原始数据集,无论采用何种方式,其结果只能是造成公共数据开放利用的成本高昂和效率低下。实践是理论的先导,如何维系公共数据授权运营的有效性、安全性与 利用的充分性、经济性之间的整体平衡,是摆在我们面前迫切的难题。
相比于具有显著局限性的传统API技术需要将全部数据汇聚于一台服务器限制,基于联邦学习、安全多方计算等隐私计算这一全新方式用模型参数的传输和更新替代了数据的对外共享,实现多主体合作开发全局模型并加以利用,并不需要将每个参与者掌握的原始数据对外传输,而是在“原始数据不出域、数据可用不可见”监管框架下,公共服务机构单独或联合进行数据治理和汇集,开发数据模型,形成计算分析结果等数据衍生产品向社会提供或许可使用,提高数据的使用效率,实现原始数据的计算价值,但又没有将数据输出到技术环境之外使用,这种模式在确保数据要素交易流通行稳致远的同时也不会对其他主体的开发和使用激励造成显著负面影响,从而更加匹配公共数据授权运营的工作要求,促进数据要素的长期积累,加速不同公司、产品和行业之间的数据融合,进而提升数据服务质量和政府的社会治理水平。目前,上海数据交易所等众多数据交易所都将隐私计算作为数据交易设施的底层支撑和技术方案,这不仅是数据交易技术的变革,更是交易模式的创新。
在这一背景下公共数据授权运营模式主要涉及政府职能部门、大数据中心、公共数据运营机构、政府数据使用方,各方剩余控制权配置结构如下:一是政府职能部门的剩余控制权,有权采用数据脱敏、加密等技术以减少公共数据在生成、采集、存储、加工、分析、服务过程中敏感信息内容,有权对公共数据根据数据利用率和利用价值来决定更新周期和速度,有权为公共数据授权运营工作提供种类更多、范围更广的数据集 ;二是大数据中心的剩余控制权,作为具有授权运营、数据管理、运营设计、运营监管、运营协调、数据安保等多重角色方,有权制定并实施政府数据授权运营工作管理办法,有权保障数据授权平台安全性、兼容性、稳定性,有权对公共数据运营机构的经营性质、经营状况、行业信用、业务领域、技术能力等内容进行全方位考察和核验,有权定期考核公共数据运营机构对于公共数据维护、更新、风险处理工作开展情况,有权处理政府职能部门、公共数据运营机构、公共数据使用方出现的利益冲突、法律纠纷等各类问题,有权防范公共数据授权运营中的各类数据风险问题并提供适当救济;三是公共数据运营机构的剩余控制权,有权保证政府数据安全并核查政府数据使用方的合法身份,有权实施公共数据授权运营的过程管理和行为规范,有权持续提升软硬件技术基础和强化数据服务能力;四是政府数据使用方的剩余控制权,有权从中央服务器获取初始模型,并通过反复迭代的模型训练获得优质模型成品,从而不断提升挖掘政府数据价值能力水平。
(二)企业数据剩余控制权的配置方案
从我国数据流通演进史来看,主要经历了“两权分置”和“三权分置”两个阶段,“两权分置”指的是数据所有权与数据使用权分置。传统数据交易采用数据所有权模式,数据交易一旦完成,数据买方获得数据所有权,永久拥有该数据,并可以在未来任何时间点随意使用,买方掌握了数据所有权,足以摆脱对卖方的依赖,由于交易契约不完性容易引发机会主义风险,使得数据累积性创新边际收益逐渐降低,而这正是数据所有权交易针对“数据存量”而非“数据增量”的特点决定的,数据交易“一锤子买卖”的现象难以避免。而数据使用权模式则能够更加有效推动数据要素价值的高水平释放,建设高质量的数据交易市场。基于“两权分置”模式的合理性,2022年3月,国家发展改革委发布的《关于对“数据基础制度观点”征集意见的公告》对这一模式加以认可。
在数据交易从传统的“数据所有权交易”转变为“数据使用权交易”的背景下,从数据的生产、搜集、标注、清洗、聚合、建模、分析、出售、售服等环节来看,数据流通的流转链更为冗长、结构环也更为复杂,但“两权分置”模式实际上并没有解决数据 产品化程度不足和市场不活跃的问题。为进一步改善市场状况,完善数据要素权益保护制度,国家提出数据的“三权分置”来代替“两权分置”。2022年6月,中央全面深化改革委员会第二十六次会议审议通过《关于构建数据基础制度更好发挥数据要素作用的意见》,确立数据 持有权、数据加工使用权和数据产品经营权“三权分置”。相比于“两权分置”,“三权分置”引入了“数据产品经营权”,从国家政策层面鼓励数据产品化,保障了数据产品经营者的经营获利权利,反映了对数据要素性质、数据交易市场本质的更加深入的认识。2022年12月,《数据二十条》政策出台,正式建立“三权分置”数据产权制度框架,为数据交易市场的发展提供新思路。基于此,应按照三权分置思路来合理配置各方剩余控制权,充分释放数据要素价值。
(1)从数据获取采集的角度界定数据 持有者的剩余控制权,这是数据处理者数据权益的基础。定位于数据归属功能的数据 持有权使数据 持有者有能力摆脱数据控制者“无声的奴役”,破除数据控制者营造的信息自锁效应束缚,为数据流转、数据处理和其他数据权利的构建奠定基础、提供正当性依据,提升数据 持有主体的自治能力。基于此,数据 持有者享有的剩余控制权包括:一是享有对数据进行持有、管理和防止侵害的控制权,确保持有者能够自由地选择数据存放的地点,以及谁能够接入这些数据,控制数据授权的时长;二是享有同意他人获取或转移其所产生数据的控制权,能够以结构化、常用和机器可读的格式获得数据 ,或有权无障碍地将此类数据 自由传输转移;三是享有基于监管目的要求对数据 持有者身份信息、商品和服务信息、交易记录等数据留存一定期限的控制权。这里强调一定期限限制的逻辑在于绝对化保护数据 持有者权益显然不利于数据深度挖掘和融合利用,因而必须强调数据 持有者剩余控制权的相对控制性。
(2)从数据加工的角度界定数据加工使用者的剩余控制权,这是数据实现价值增值的核心。数据加工使用权的权利主体为数据处理者。数据加工使用权赋权必须具备两个前提:一是在结果层面上,数据加工使用方应当采取替换、过滤、加密、遮蔽或者去标识化、匿名化等技术手段将敏感属性脱敏来维护数据来源者的合法权益;二是在行为层面上,数据处理者加工、使用数据应当以依照法律规定或者合同约定为前提。满足上述两个前提条件,通过对数据集合进行抽取、清洗、存储、分析、统计、转换、运算、挖掘、使用、传输、提供、公开等行为,从杂乱无章的数据中提炼出内在规律,数据加工使得数据价值得以持续挖掘和再生循环,实现数据创新从量到质的飞跃。基于此,数据 加工使用方享有的剩余控制权包括:一是享有对“数据可用不可见”技术集合控制权,包括多方安全计算、联邦学习、机密计算、差分隐私及数据脱敏等技术,将各方数据 在“原始数据不出域、数据可用不可见”范式下实现数据要素汇聚、交易和流通的市场化配置。二是享有数据加工控制权,包括对数据进行筛选、排列、分类、标注等处理权限。需要强调的是数据加工使用没有将对象限定为“数据 ”或“数据产品”,数据的形态及变化通常与加工过程有关,促使数据在价值链中更好地体现出形态多变性。根据数据加工处理的深度精度和成长价值不同,数据要素可以分为原始数据、脱敏数据、模型化数据和人工智能化数据等四种形态。原始数据是指通过物理传感器等方式直接获取的未经加工和处理利用的原初数据形态;脱敏数据是采用脱敏措施对原始数据中涉及敏感、隐私等数据加工后获取的,从而顺利实现数据正常的流通使用和隐私安全;模型化数据是在原始数据的基础上,结合客户需求进行模型化开发,为客户提供“数据+服务”;人工智能化数据是通过机器学习等技术训练海量数据得到的智能化能力,针对客户需求提供服务。三是享有数据使用控制权,包括对数据进行分析、利用等处理。通过这些方式处理过的数据已然成为“可用不可见”“可控可计量”的数据 ,并且能够实现与前置性数据权益的切割,成为具有价值性和独立性的权利客体,按照“权责一致”规则,其剩余控制权应当属于数据 加工使用方,可排除其他主体非法或不正当使用衍生数据的行为。但如果数据尽管经过大量的智力投入,但是数据中的个人信息依然可见,“匿名化”处理并不彻底,则这类数据 的剩余控制权由数据 持有者和数据加工使用者的共同享有。
(3)从数据产品生成的角度界定数据产品经营者的剩余控制权,这是盘活“沉睡”的数据 、充分实现数据要素价值的关键。数据产品经营权的确立赋予了数据产品经营者对企业数据开放程度和开放范围的自主决定权,保障数据产品经营者的经营获利权利、鼓励企业将大量数据 转化为高质量的数据产品与服务,带来数据市场供给的结构性优化,推动构建多层次数据交易市场体系。基于此,数据产品经营者享有的剩余控制权包括:一是数据产品经营者在不超出其向用户收集数据时所说明的目的、使用方式、授权范围等的情况下,可以采用数据脱敏、数据加密、审计日志、存取控制、安全协议等方式对数据集合或其他产品(数据库、数据报告或数据平台等)进行技术控制,以解决风险预测、市场决策、广告投放等数据运用问题,也可以在用户授权同意并进行信息安全影响评估的情况下,许可他人使用数据产品或服务;二是数据产品经营者对其数据集合或加工产品归属的财产控制权,由于数据产品经营权客体是具有特定功能或者利用价值的数据集合或者数据产品,因此数据产品经营者可以凭借其具有价值创造意义的数据资产登记→评估→交易→增值的运营闭环来推动数据资产的开发利用和价值挖掘,从而获得正当的财产利益;三是数据产品经营者的排他性控制权,要求妨害的潜在或事实引发者清除对权利主体行使数据产品经营权的不当妨碍,主要是针对消除可能引发数据泄露等风险的程序设置、阻碍权利主体访问、处理其控制的企业数据的相关程序设置等。
(三)个人信息剩余控制权的配置方案
数据流通领域各种权利彼此之间形成一种迭代共生、犬牙交错的体系生态。以交易主体为划分标准,大数据交易所模式、企业之间的传输模式、企业和个人之间的交易模式是个人数据交易的三种典型形态。其中,个人数据交易的主要模式是企业与企业之间、企业与个人之间长期交换的“场外交易模式”,但在这种场外交易模式中个人信息被泄露、被滥用或被杀熟的可能性较高,危害也呈指数级增长。尽管随着我国民法典等法律法规的施行,无限制地非法收集、使用、加工、传输个人信息的“数据掠夺”时期暂告一段落,但这种持续性的个人数据交易活动需要个人信息剩余控制权来应对所面临的严重的信任挑战。
(1)数据产品经营者在收集、使用个人信息时同时作为数据受托人享有剩余控制权。数据产品经营者在获得个人数据之后,为了获得自身利益最大化,必然有意或无意逾越权利边界进一步收集、加工或使用个人数据 ,造成个人信息利益受损,而个人对其个人数据被用于社会及商业网络的行为进行监督、控制、维权变得越来越困难。对此,可直接对数据产品经营者施以受托人义务,即数据产品经营者在收集、使用或共享个人数据时应以数据受托人身份履行谨慎、保护与忠实等义务,以避免不合理且危险的自我交易或其他有害行为。基于此,数据受托人享有的剩余控制权包括:有权遵从合法性、目的限制、数据最小化与准确性、限制存储以及数据处理透明等基本规则从事数据收集、处理或利用等行为;有权根据法定方式或行业规定方式定期审查匿名化、加密处理、去中心化存储等事关数据安全的数据安全措施并进行相应升级或适当调整;有权在数据泄露后采取补救措施及时止损并通知报告;有权对个人信息数据的采集、加工和使用是否合乎规范进行监督;有权对侵害个人数据的行为提起侵权之诉,提出惩罚性赔偿,并依法请求行为人承担停止侵害、排除妨碍、消除危险等预防性的侵权责任。
(2)涉及国家安全、公共安全、个人隐私安全、数字经济健康有序可持续发展的特殊个人信息数据由监管部门依法享有剩余控制权。实践中不少数据合同交易的数据处理方往往以“授权许可与技术保留”混搭组合方式来应对数据交易风险的自力救济,这种手法往往较为隐蔽且具有欺骗性,容易使得数据处理方获得过当利益,容易压制市场弱势地位的个人信息数据方。这种个人信息数据处理涉及对数据市场秩序的破坏和对相应数据主体权益的侵害,与打造合规高效、效率公平、安全可控、弹性包容的数据要素市场环境格格不入。因此,规制数据交易违规行为的剩余控制权应由政府主管部门行使,有权建立数据要素流通全过程的遵循规律、释放红利、保障安全、互利共赢等制度,发挥规范、引导、提升的功能;有权依法依规查处违法实施经营者集中、滥用市场支配地位等行为;有权营造可信、可控、可追溯的数据交易环境,让数据要素价值在“国家所需、地方所能、群众所盼、未来所向”的具体实践中得到充分发挥。
(3)个人信息数据匿名化的剩余控制权享有因行业、领域和应用场景不同而予以区别。所要遵循的一根主线是在严格保护个人信息权益、落实数据维权与推动数据 利用、助推数据产业发展之间保持平衡。匿名化是去除数据集中直接关联个人的信息,促进个人信息数据利用的重要制度。但是,在存在重新识别风险的情形下,剩余控制权应当因行业、领域和应用场景不同而予以区别。例如,一些平台公司通过Cookie等大数据技术收集用户消费习惯、行为特征、购买需求、使用场景等大数据进行精准化广告营销,此时如果一味强调个人信息数据匿名化处理既无必要也不妥当,这显然影响企业数据价值的充分释放。对于还未脱敏处理的数据,基于人格尊严和个人隐私的维护要优先于财产利益的原则,个人信息主体对该数据权益享有广泛的剩余控制权,数据处理者享有的对于数据产品的权利应当受到一定的限制;对于深加工、定制化的企业数据产品,其不存在个人信息被重新识别的风险,个人信息与个人之间的关联性将被消除,此时数据不属于个人信息而是附加了企业收集、加工的劳动属性,具有更多财产性利益,此时,数据处理者对该数据权益应当享有更为广泛的剩余控制权。
04 结语
数据要素市场建设是一项系统性、长期性、创新性的工程,有赖于对数据交易的充分理解以及清晰、有效的规范体系的建立,提高数据要素在生产、分配、流通、消费各个环节的市场化配置水平;有赖于建设多层次数据要素市场,增强市场的包容性和适应性,满足多层次的需求,实现数据要素高效配置;有赖于数据要素 化、资产化、资本化,形成互联互通自由流动的市场化数据 体系,促进经济发展质量变革、效率变革和动力变革。尽管目前我国数据要素市场建设仍然处于起步探索阶段,但三条发展逻辑主线已逐渐清晰,即从重点打造数据交易的核心平台扩展为发展数据要素市场的全生态体系;从数据、算法和算力的单一或综合交易扩展为数据衍生品及数字资产交易;从数据及其衍生资产的即期等价交易扩展为具有杠杆放大作用的远期借贷融资和投资。在这一背景下,传统过分强调数据主体的私权利保护机制与数据规模价值和利用的非排他性之间的内在张力愈发凸显,学界理论研究的不够系统和正式法层面的制度安排不够充分使得司法实践中涉及数据权属与数据流通的纠纷逐渐增多。一个健康、良性的数据流通市场的运转是数字经济的基石,由于交易标的标准难、数据产权确权难、价值评估定价难、供需双方互信难、实施落地操作难、交易公平监管难等问题,实践中的数据流通秩序呈现出典型的“不完全契约”的特点,这已成为当下数据法治中亟待回应的关键制度与实践难题。妥善配置好剩余控制权是控制数据交易机会主义风险和数据流通负外部性的重要切入点,当交易成本较低时采取财产规则,即剩余控制权主要配置给双方当事人,实质是在当事人主导下由市场机制发挥配置剩余控制权的作用;当交易成本较高时采取责任规则或管制规则,即将部分重要的剩余控制权配置给政府监管部门等机构。这种针对不同属性的数据差异化制定权属分配和使用限制,能够鼓励和刺激剩余控制权各方积极增加技术研发、资金支撑和人力成本,不断优化和推出数据产品,进而繁荣数据经济。当然,由于剩余控制权只是促进数据产品迭代更新、数据服务精准融合、数据产业健康持续的治理“钝器”(blunt instrument),只有把数据产权、流通交易、收益分配、安全治理结合起来考虑,相关的政策建议才有可行的依据。