企业大数据财产权利的归属及交易规制

杨永凯

（中国人寿养老保险股份有限公司 职业年金部，北京 100033）

随着大数据得到更加广泛和有效的利用①依据大数据控制人的主体进行划分，大数据可以分为个人信息数据（如个人的网络行为日志等）、企业大数据以及政府大数据。其中，个人信息数据的所有者是该个人，这一点毋庸置疑且在我国可识别的个人身份的信息数据是禁止交易的；政府大数据其财产权利应该归全体公民所有，也不宜进行商业交易。故在此本文只讨论企业大数据财产权利的归属及交易规制。，其在互联网生活中不可替代的商业价值得到进一步显现，尤其受到了商事主体的广泛关注，由此也带来了大数据交易的繁荣与发展。大数据交易涉及大数据财产属性、财产权利归属以及交易行为规制三个核心问题②其中，关于大数据财产属性的问题作者之前的文章《互联网大数据的法律治理研究——以大数据的财产属性为中心》已经论及，载于《石河子大学学报》（哲学社会科学版），2018年第2期。，本文重点讨论企业大数据财产权利归属及交易行为规则的问题。具体针对企业大数据的初始财产权利归属、市场交易的法律属性以及对交易行为的规制要点进行研究，希望能够为推动大数据市场交易的高效进行以及政府部门的有效监管提供参考。

一、国内企业大数据交易的规则和立法现状

（一）国内企业大数据交易实践中的交易规则

由于国内暂时缺乏针对企业大数据交易的专门立法，因此在企业大数据交易实践中，大多数交易平台都制定和颁布了自己的交易规则和规范，主要规定了在各自交易平台中可以进行交易的商品类型。例如，中关村树海大数据交易平台发布的国内首个行业规范规定：“本所所指交易对象，是指原始或经处理后的数据化信息，包括但不限于个人、企事业单位、社会团体等各类主体所持有或拥有的各类数据。”与之不同的是，贵阳大数据交易所对可进行交易的数据持有或拥有主体及数据类型均进行了限缩。该交易所实行会员制，只有符合其标准的企业才能在该所对其数据进行交易。2016年9月，贵阳大数据交易中心出台《数据确权暂行管理办法》，规定“交易的不是底层数据，而是数据清洗建模分析的数据结构”。交易平台通过这种对交易产品的规定来防范交易中出现数据违法、侵权等法律风险。但是，有的交易平台的规则不尽完善，没有对交易数据作过多的限制，如数据堂接受用户自主上传和交易数据，其交易的数据中包括用户发布的纯文本信息，这就可能存在知识产权侵权的风险。我国开展大数据交易的时间比较短，很多交易风险还未暴露出来。“在大数据交易实践中，为了更好地完成交易、避免纠纷，交易双方往往通过协议和合同的方式确认交易中的产权。”［1］38-45但是，我国目前大数据交易的法律法规不明确，也缺少统一和科学合理的行业标准与行业规范，在发生纠纷的情况下并不能有效地解决问题。

（二）国内企业大数据交易的相关立法现状

关于企业大数据交易，我国现在还没有进行针对性的立法，相关规则主要规定在《全国人民代表大会常务委员会关于加强网络信息保护的决定》及《电信和互联网用户个人信息保护规定》两部法规以及一些交易平台的行业规范中。这两部法规都要求网络服务商等信息收集方必须在所收集信息数据的使用目的、方式以及范围方面征得用户同意的前提下，才能收集用户个人信息相关的数据；信息收集方必须遵循合法、正当、必要的原则；所收集的数据在使用时也要受到上述目的、方式、范围的限制。《电信和互联网用户个人信息保护规定》还对用户信息数据的撤回以及注销机制作出了规定，明确要求信息数据的收集者在用户与其终止服务关系后，必须立即停止收集用户个人信息数据，并且为用户提供注销账户的方式和渠道。信息数据的收集方有义务保证收集的用户信息数据的安全，必须保护其不被泄露、篡改、滥用①参见《全国人大关于加强网络信息保护的决定》（http：//www.cac.gov.cn/2015-02/05/c_1114266581.htm）及《电信和互联网用户个人信息保护规定》（http：//www.miit.gov.cn/n1146295/n1146557/n1146619/c4700556/content.html）。。在大数据交易方面，我国目前是禁止公民信息出售的，《刑法修正案（七）》和《刑法修正案（九）》中都有相关的规定②《刑法修正案（七）》增设了出售、非法提供公民个人信息罪和非法获取公民个人信息罪，《刑法修正案（九）》中也规定违反国家有关规定，向他人出售或提供公民个人信息，窃取或以其他方法非法获取公民信息的行为均要承担刑事责任。。

2017年3月15日第十二届全国人民代表大会第五次会议通过的《中华人民共和国民法总则》（以下简称“《民法总则》”）对计算机信息数据的客体地位并未进行明确规定。从《民法总则》的立法过程来看，第十二届全国人大常委会第二十一次会议初次审议通过的《民法总则（草案）》，已将计算机信息数据纳入到知识产权客体的范畴之内。具体而言，该草案第108条规定：“民事主体依法享有知识产权，知识产权是指权利人依法就下列客体所享有的权利：……（八）数据信息。”但是最终通过的《民法总则》将此规定删除，其他条文中也未明确体现数据信息的客体地位。由此可见，对于计算机数据信息的民法客体定位，我国当前立法上还是存在着极大的争议，没有形成统一的意见，在对计算机数据的财产权利保护方面还存在着极大的法律真空。

由以上立法情况可见，国内对企业大数据交易的法律规定更多地是从保护个人和国家的信息安全角度出发，而非从企业大数据的财产权利保护角度。国内对涉及国家秘密、个人隐私，以及侵犯知识产权的数据是禁止交易的，对于其他数据则没有明确的规定，对于交易的机制、权利的归属更是只字未提。

结合上述两点内容，笔者认为，由于我国缺少关于企业大数据交易的专门法律法规，尤其是严重忽视了交易中所涉及的诸多财产权利的保护，使得我国企业大数据交易在实践中面临着企业大数据财产权利归属不明确、权利分配不清晰、定价标准不统一等一系列的法律问题和风险，亟待整治。

二、企业大数据初始财产权利的归属问题

企业大数据交易中涉及诸多财产性权利，由于没有法律的明确规定，包括所有权在内的企业大数据的财产性权利没有明确的归属。企业大数据交易中的数据必须是财产权利无争议的数据，但是由于大数据的来源多种多样，而且其形成并不是一蹴而就的，而常常是日积月累的，这就给确定其财产权利的归属带来了困难。明确的权利归属是大数据交易的基础，因此明确企业大数据初始财产权利的归属十分重要。

（一）企业大数据财产权利的归属问题

企业大数据形成主要是基于收集的企业用户的各类个人信息数据。用户本人是单条个人信息数据的所有者，拥有数据的控制权、处分权和授权他人使用的权利［2］49-55。因此，个人信息数据的收集和使用必须经过本人的许可，企业则可以在用户授权的范围之内获得这些信息数据的使用权。如果企业收集的数据要在处理后进行交易，则需要在服务条款中将这一内容告知用户，否则会造成侵权。同时，由于在我国可识别的个人信息是禁止买卖的，所以原则上能够交易的大数据必须是经过清洗之后不能识别用户身份的数据集（可称之为匿名数据集）［3］29-35。关于匿名数据集的归属问题，大多数学者认为匿名数据集的财产权利应由收集数据的企业（大数据控制人）享有，在企业大数据交易实践中也默认企业对此部分数据享有“所有权”①企业大数据交易实践中交易双方是将大数据作为“物”进行买卖的，故此处借用了“所有权”一词。。

企业（大数据控制人）享有匿名数据集的财产权利，从法律权利上而言具有正当性。虽然，匿名数据集的数据源头是个人的日常行为、生理活动以及家庭社会关系等，但是，一方面，数据集的形成是企业在获得个人授权之后对这些信息进行收集整理而成的，匿名数据集更是企业对数据进行清洗之后才形成的可在市场上进行交易的商业标的，应该说匿名数据集是企业生产的产品，其财产权利应当由企业享有；另一方面，经过清洗之后的数据集，理论上已经无法辨别个人身份，已经丧失了个人信息的属性，这就切断了数据集与个人之间的权利所属关系，个人无权针对匿名化的数据主张财产权利。

企业（大数据控制人）享有匿名数据集的财产权利，从产权划分的成分收益状况上而言具有合理性。大数据的核心价值主要在于通过对海量的、多维度的数据进行分析、挖掘产生新的信息或者推断和预测，将其应用于生产、生活，从而为企业和社会带来经济效益。如果将匿名数据的财产权利划属个人，不但会给企业对大数据进行数据分析、数据挖掘带来十分昂贵的成本，而且将阻碍多个行业、多个企业之间的大数据交易或大数据共享，最终会致使大数据无法产生其应有的经济效益。同时，清洗之后的匿名数据集作为一个整体，不具备辨识个人身份的特征，因而不具备将其财产权利在个人之间进行权利分配的标准，个人无法真正地享有匿名数据集的财产权利。

当然，由企业享有大数据的财产权利，也会带来许多风险，其中最为主要的是侵犯个人隐私权的风险。但是，这些风险是可以通过完善相关法律法规进行控制，并且权利保护实施起来也相对容易。

（二）对企业大数据财产权利限制的正当性

鉴于企业大数据作为交易标的具有特殊性，往往会涉及个人隐私、国家安全等，我们需要合理地限制企业对大数据享有的财产权利。不论从企业大数据的来源角度还是技术角度来看，进行合理限制都具有正当性，长远来看也有利于大数据行业的健康发展。

1.从数据来源的角度对其财产权利进行限制具有合理性。企业大数据控制人手中大数据的基础是用户的原始数据，这些数据往往包含用户的身份信息，这些信息又往往会牵涉用户的人格利益，在其使用中容易侵犯用户人格权益。在现行的民法体系中，人格权利的位阶比财产权利优先，财产权的实现应当立足于人格权利受到充分保护的基础上。特别是某些企业大数据的财产权利是以用户的人格利益为价值基础的，例如，健康医疗大数据就是以涉及患者隐私权的医疗信息为基础，针对这一类大数据的财产权利，包括所有权在内，其实现必须以用户人格权利的有效保护作为先决条件。

对于个人信息的保护主要侧重于遵守两个原则，目的限制原则和必要原则。目的限制原则的核心内容是，信息数据的收集者必须将收集信息的目的提前告知用户，并且所收集信息的利用仅限于已经告知用户的目的。必要原则的核心内容是，企业收集用户的信息必须在开展企业业务所必需的限度之内，对所收集数据的利用也必须在开展企业业务范围所必需的限度之内。企业大数据控制人对数据进行匿名化处理之后所得的匿名数据集行使“所有权”必须符合目的限制原则和必要原则的要求。

2.从技术手段的角度对其财产权利进行限制具有必要性。从技术上来讲，企业大数据无法进行彻底的匿名化处理。随着计算机软硬件的飞速发展，一方面我们有了更多的数据来源，可以轻松获取大量数据；另一方面我们也有了更加强大的数据分析软件、数据挖掘技术。在这种大背景下，数据的匿名化成为一个可逆的过程，很多时候只需要将某些公开的数据与被匿名化的数据集进行简单的匹配就可以恢复用户的身份信息数据［4］147-153。因此，企业应当对匿名化数据集的后续利用做足够的安全风险评估，如果在评估中发现存在较大的用户身份信息被恢复的风险，那么就应当对企业所享有的对已匿名化处理的大数据的“所有权”进行合理的限制，以确保其下游客户对数据的使用不会侵犯他人隐私权或其他合法权利。

就企业大数据交易的相关立法而言，一方面，信息财产权制度在我国还未建立起来，因此无法用信息财产权的相应制度来规制大数据的交易行为；另一方面，虽然企业大数据交易与知识产权客体交易在交易模式上具有很高的相似性，但是我国知识产权法也未能将数据作为其调整对象。这种情况下，需要我们采取一些临时性的措施来规范企业大数据交易，保护各方权利。在相关立法不完善的情况下，我们应当立足于企业大数据交易实践，在我国现有的民法财产权体系基础上，创造性地使用有限所有权的制度，即对大数据的财产性权利进行限制，对企业大数据交易进行规制，以促进大数据行业的健康、规范发展，切实保护交易各方的各项权利。

三、企业大数据交易的法律属性

大数据是具有财产属性的信息财产权的客体，在我国信息财产权制度尚未建立的情况下，企业大数据交易的法律性质究竟应该如何认定，是一个非常复杂的问题。基于企业大数据交易实践中表现出来的交易特点，结合大数据自身的特点，本文针对此问题作以下分析。

（一）企业大数据交易不属于民法上的买卖行为

企业大数据交易实践当属于民事行为，其交易合同应认定为民事合同。国内的大数据交易实践中，多以“购买”“出售”等关键字来描述交易的过程。例如，中关村大数据交易平台的介绍“平台为各类用户提供出售数据、购买数据的服务”。但是企业大数据交易是否属于民法上的买卖行为，其交易合同能否认定为买卖合同则需要我们进一步探讨［5］1193。

第一，“民法上典型的买卖合同是以特定物为交易对象的，无论是动产还是不动产，作为交易对象都同时具备唯一性、排他性的特点，这决定了在‘一物二卖’的情况下，法律只能满足一个买方的请求权。”［6］164-183而如果将大数据作为买卖合同的标的物时，如果合同条款不作特别要求，则基于大数据可复制的特点它不具备交易上的唯一性。

第二，企业大数据交易中购买方获得大数据的过程不能构成买卖合同中的交付。在民法上的买卖行为中，不动产以完成变更登记为交付手段，动产以完成占有转移为交付手段。企业大数据作为交易标的物很难将其界定为动产或者不动产，也无法满足这一交付规则。企业大数据交易具有无法完全交割性，交易中卖方的基本义务是将大数据传输给买方，并不能构成交付。

第三，就合同的无效情形而言，企业大数据交易合同与民法上的买卖合同也有本质区别。主要原因在于，一般情况下民法上的买卖合同无效后买方应返还原物；但是企业大数据交易中由于标的物具有可复制性，交易合同在履行完毕后，即使交易合同出现无效的情形，也无法返还原物。通过以上论述，企业大数据交易与民法上的买卖行为并不相同，将企业大数据交易合同认定为民法上的买卖合同也是不合适的。

（二）企业大数据交易不是民法上的服务行为

有学者认为，企业大数据交易是一种提供信息数据的服务行为，交易合同是一种以数据控制者为对方提供数据为核心内容的数据服务合同［6］164-183。此种说法有一定的道理，从形式而言，企业大数据交易中传输数据的行为确实具有民法上服务行为的部分特征。但是，服务合同中交易双方的行为本质是一方当事人为另一方当事人提供某种基于人类体力或智力的服务，另一方当事人向提供服务的一方支付对价，其交易的标的物是人的服务行为。在企业大数据交易中，买方的需求并不是一种基于人的体力或者智力上的服务行为，是特定的大数据；卖方所提供的也并非服务，同样是大数据。因此，我们不能将一方传输数据的行为看作是民法上的服务行为，企业大数据交易合同也不宜认定为服务合同。

（三）企业大数据交易和知识产权交易具有相似性

企业大数据的财产属性体现为新型的信息财产权，虽然与知识产权（智力成果）有着本质区别，但是企业大数据交易与知识产权交易具有相似性。这种相似性突出体现为以下两点：

第一，大数据与知识产权的客体（即智力成果）都是无体物，且都无法构成物权的客体，因此其交易合同无法适用民事合同法中的买卖合同规则进行规制。第二，大数据与智力成果都具有可以无限复制的特性，在其交易中都具有不能完全交割的特点。正是基于此种特点，在企业大数据交易和知识产权客体的交易中都需要以合同文本的方式对交易双方的权利进行相关约定。例如，在企业大数据交易中，双方会约定数据的使用方式、使用期限等；商标的授权使用合同中往往也会约定商标的使用期限、使用范围等限制性条件。大数据交易中当事双方交易的并不是大数据本身，而是对大数据享有的使用权［2］49-55。这种交易方式类似于专利权、商标权的授权使用。

四、对企业大数据交易行为的规制

（一）制定企业大数据“所有权”的限制措施

我们对企业大数据所有权进行限制的核心原因是加强对个人隐私的保护，以及对信息安全风险的防范。基于这一出发点，企业大数据所有权限制性措施的核心内容是使企业之间的大数据交易活动更加透明，为公众和社会了解交易相关内容提供渠道。在这方面我们可以借鉴一些国外的做法。

美国联邦贸易促进委员会2014年发布了名为《数据经纪行业互换透明与问责》的报告，报告指出认为数据交易行业缺乏透明性会给个人隐私及信息安全带来很大的风险。美国贸促会建议应当专门制定法律，通过立法来明确要求相关企业向用户公开数据交易的相关信息，提升大数据交易的透明度。其核心的内容主要包括以下几点：

第一，从大数据的收集上来看，大数据的持有人应当向数据涉及到的个人公布数据的来源、数据的类型，并且应当为其提供删除个人相关信息的方式。第二，从大数据的匿名化处理方面来讲，因为匿名化的大数据也有被恢复个人身份信息的可能，所有大数据持有人在大数据交易中不仅需要披露原始数据类型，还必须公开基于此原始数据、利用各种大数据分析手段进行对个人标签化处理的活动。第三，对于某些涉及个人隐私的信息数据，如电话号码、教育信息等，用户必须充分知情并明确表示同意，企业收集方才可收集；未经用户同意，无论是原始数据还是匿名化之后的数据，一律不准入场交易。

相比较而言，目前在国内的企业大数据交易实践中，包括监管机构、交易平台在内的各方并不关注对于企业大数据控制人行使“所有权”的必要限制，也没有提出对企业大数据交易透明性的要求。在国内的企业大数据交易实践中，公众对于交易的主体，标的数据的类型，交易中大数据传输的渠道、来源等都缺乏最基本的了解。国内部分大数据交易平台对于医疗、教育等直接涉及到用户隐私的敏感数据均未禁止交易，也并未制定严格的信息披露规则。这样的规则空白实质上是将大数据产业置于违法侵权的危险境地。为保证大数据行业有一个良好健康的发展，一方面我们需要通过暂时性的法规明确企业大数据所有权归属，另一方面还要对所有权进行合理的限制，提高企业大数据交易的透明性，保障相关人员对交易情况的知情权。

（二）制定良好的行业标准和交易规则

在企业大数据财产权利归属以及交易相关的法律法规缺失的情况下，制定严格的行业标准、行业规范以及交易规则是规制大数据交易市场、保护各方当事人权利的有效手段。

1.制定良好的行业标准。企业大数据交易的行业标准和规范应当重点体现以下几点内容：（1）制定数据清洗和处理的标准。互联网数据很多情况下会涉及个人隐私、国家秘密和商业秘密，因此必须制定科学、合理、统一的清洗标准，只有达到这一标准的企业大数据才可以入场交易，以确保他人和国家利益不受侵害。（2）明确交易过程中的权利转移。在交易之前双方具有怎样的权利，交易进行之中各自享有怎样的权利，交易之后各项数据权利的归属等问题都需要在交易规范中进行明确，为潜在的纠纷提供解决依据。考虑到交易实践中交易双方多是以合同的形式来进行交易，这些规定可以采用合同范本的形式加以规定。（3）数据的安全保护，为保证买方所购买数据的价值，应当规定在交易过程中和交易完成后，卖方应当保证数据的完整性并且不得泄露数据，未经协商也不得将数据非法转卖给他人。

2.制定良好的企业大数据交易规则。企业大数据的交易规则应当在公平、平等、自愿、诚实信用等一般交易规则的基础上，着重注意以下两点：（1）必须遵循合理的定价原则。企业大数据的价格受数据本身价值、市场竞争、应用场景等多个因素的影响，要完善企业大数据交易机制，引进先进的交易流程；完善企业大数据的评价标准，平台可参考评价标准给出合理的参考价；营造充分竞争的市场环境，用市场的力量调节企业大数据的价格。（2）保证企业大数据交易公平。交易公平是大数据产业良好健康发展的基石，是企业大数据交易市场健康运行的核心。要保证企业大数据交易公平就必须要将大数据交易置于阳光下，公开交易价格、交易趋势等企业大数据产品的交易要素，将广大市场主体置于高透明度的竞争环境中，保证大数据价格的市场化调节机制。大数据交易平台要承担交易主体交易资格的审核责任，保证交易数据的质量。

就保护企业大数据财产权利而言，国内企业大数据交易实践和数据保护的立法现状是：不仅尚未建立信息财产权的相关制度，民商事法律中也缺少对信息数据财产权利保护的规定。虽然现在还没有企业大数据交易纠纷的具体案例可供研究分析，但是随着企业大数据交易的广泛开展，我们可以预见到此类纠纷会层出不穷，法律缺位带来的风险敞口是巨大的。

在保护企业大数据财产权利的问题上，我们应吸取教训，尽快建立保护大数据财产权利、规范企业大数据交易市场的法律体系。具体而言：其一，在立法缺位的情况下，制定科学合理的行业标准和行业规范对良好的企业大数据交易市场的形成能够起到十分重要的作用，有利于切实保护交易中各方的权利。其二，在立法层面上，建议由国家工业和信息化部牵头尽快出台部门规章、暂行办法等法律效力位阶较低的法规文件，暂时用有限所有权的概念实现企业大数据交易中对财产权利的保护；国务院视情况制定相关的行政法规，明确大数据的财产属性及其财产权利的归属，规范大数据的交易行为。同时，身处互联网、移动互联网时代，我们也应当充分认识到大数据建设和保护的重要意义，充分认识保护计算机信息数据财产权利的重要性，尽快将针对计算机信息数据保护的专门立法提上日程，逐步建立起完善的信息财产权制度，切实保障好人民在互联网时代、大数据时代的数据财产权利。