法治日报-法人网 全媒体记者 银昕

端午节前夕，十三届全国人大常委会第二十九次会议通过《中华人民共和国数据安全法》，我国有了第一部以数据为保护对象的法律。而数据交易这门新兴生意也因第一次在全国性法律中被提及而引发关注。

　　渐成“摆设”的数据交易所

　　移动互联网时代，数据对指导生活和生产的意义越来越大，“数据为王”“数据将同石油一般珍贵”等论调不绝于耳。经过处理的数据形成数据包，也可以成为商品被明码标价，在市场上公开买卖。

　　2015年，贵阳大数据交易所开业，这是全国乃至全球第一家数据公开交易场所。此后，陕西西咸新区数据交易中心、上海数据交易中心、北京国际大数据交易所等机构如雨后春笋般出现。截至目前，此类数据交易平台已超过30家。

　　但在数据安全法出台之前，尚无任何一部全国性法律提到过数据交易的基本规则和交易机构应履行的义务，几乎所有交易所都在“摸着石头过河”。

　　“陕西省大数据集团在我们公司的框架下运行，但因为数据交易机制尚未确立，正处于半停滞状态。”2018年，西安未来国际信息股份有限公司董事长、陕西省大数据集团总经理王茜以全国政协委员的身份出席全国两会时，和记者曾谈及数据交易业务的窘境。

　　记者了解到，从2014年开始成立的数据交易机构中，在成立初期会定期对外公布数据交易量和交易额，但从2018年开始，大多数机构停止对外公布这两项数字，使外界产生了这些机构“渐成摆设”的猜测。

　　即便是在定期公布成绩单的那些年，数据交易机构的成绩也不够好。以贵阳大数据交易所这个“明星项目”为例，据其官网披露，从2015年4月开业到2017年10月，累计交易额1.2亿余元，交易框架协议近3亿元，发展会员超1500家，接入225家优质数据源，可交易数据产品近4000个，可交易数据总量超150PB（1PB=1024TB）；到2018年3月，会员数量突破2000家，此后便再也没有新的交易规模被公布。与之相比，仅联想集团一家企业就拥有超过12PB的数据，每日新增的数据量超过30TB，贵阳大数据交易所掌握150PB的数据总量并不算高。

　　时间走进2021年，数据交易无规可循的问题仍然没有解决。但数据交易和交易机构的“身影”出现在数据安全法第十九条、第三十三条和第四十七条，让呼吁尽快建立数据交易规则的人们看到了一丝曙光。

　　第十九条规定：国家建立健全数据交易管理制度，规范数据交易行为，培育数据交易市场；第三十三条规定：从事数据交易中介服务的机构提供服务，应当要求数据提供方说明数据来源，审核交易双方的身份，并留存审核、交易记录；第四十七条则是对违反第三十三条后的处罚规定。

　　“虽然数据安全法只有三个条款提到了数据交易及相关机构，但总算是对这个行业的交易规则做了初步规范，为数据交易这门生意提供了一个好的开端。”某网络安全从业者对记者感叹。

　　数据确权，一个不能回避的难题

　　数据大规模公开交易，如同商品一般明码标价，前提是确权，即确定某段数据或某个数据包的所有者是谁，但这个问题至今也没解决。

　　一旦用户对某段数据主张所有权，却被告知相关数据已经被服务商出售给其他商业机构，势必引发出售者与用户之间、购买者与用户之间、购买者与出售者之间关于非法买卖的争议。在数据确权不明的情况下，为了避免此类拎不清的“无头账”，市场普遍对数据交易“不感冒”，并不令人意外。

　　数据到底是谁的？用户和商业机构，究竟谁才是数据的主人？自打产生数据处理和数据买卖这门生意开始，便成了这个行业的“灵魂之问”。

　　正方观点通常是，既然数据是在用户的使用过程中产生的，数据的主人理应是用户，而非公司；反方则认为，数据并非只要有用户行为就会产生，而是因为服务商提供了一套记录并存储数据的方式和设备，才产生了数据的概念，在所有权问题上，应当由商业机构和用户之间协商解决。

　　作为上位法，数据安全法并未涉及数据确权问题。

　　上海数据交易中心CEO汤奇峰认为，用户理所应当是数据的产生者和所有者，然而由于服务提供商的加入，使得用户的行为被收集和封装成为数据，服务提供者同样是数据链条上不可或缺的一环。“用户在服务提供者的帮助下，享受了其提供的订机票、送餐等出行和生活服务的便捷，其实已经获得了提供数据给服务提供者的‘红利’。”汤奇峰认为，确权问题应该在用户和服务提供商之间达成平衡，而不是单方面强调用户对数据所有权的主张。

　　此前，在西方国家的商业层面曾经出现过这种模式：数据所有权归用户，商业机构或服务提供商若想收集用户的使用记录和个人信息用作商业目的，则支付给用户一笔钱，用于“购买”属于用户的数据，但这类商业模式在我国没有实践层面的落地。

　　360董事长兼CEO周鸿祎在2018年全国两会期间曾以全国政协委员的身份提交过一份提案，建议将数据所有权和使用权分开讨论，即所有权归用户，使用权归服务商及经过用户明示授权的其他商业机构，“前提是保障用户的所有权，此外应当允许商业机构在一个明确的框架内利用用户的数据来赚钱。”

　　“先行先试”是否为可选之项？

　　一场数据确权的博弈正在用户和商业机构之间展开，至今仍无确切的分晓。值得注意的是，民法典将个人隐私权和信息权列入人格权编，一系列有关判例正在出现。

　　2020年，用户起诉抖音和微信读书的两起案件在北京市海淀区人民法院一审宣判。法院将个人信息权与个人隐私权明确区分，认定商业机构侵犯了用户个人信息权，但未侵犯个人隐私权，这两个判例在业内具有很高的参考度。

　　数据安全法在数据确权问题上的留白，给了从业者另一种想象的空间。

　　在数据安全法处于草案阶段时，华控清交CEO张旭东曾提出，过早、过严、过窄地定义和规定数据所有权，在法律上可能会制约数据产业和数据生态发展。

　　一些从业者提出，既然数据确权是“老大难”问题，在不明确是否应该以法律强制规定来一锤定音的情况下，不如换一种方式，在“先行先试”的具体实践中摸索出一套有利于整个数据交易行业的确权方式，然后再以立法或行业规范的方式加以确认。

　　“先行先试”只能从商业机构之间的数据交易开始。

　　相较于政务数据、金融征信数据和城市运行数据，商业数据更容易“在商言商”，形成双方都认可的价格。

　　前述网络安全从业者告诉记者，“先行先试”未必需要面面俱到地在所有类型的数据交易中展开，完全可以就某一类最容易被交易，数据持有者也最有交易动力的数据开始。“目前各个数据交易所中，最叫座的就是商业数据。”

　　在整体交易量的占比上，商业数据的地位已经凸显出来。汤奇峰曾对媒体透露，2020年，上海大数据产业的商业数据交易已经占到了全国公开交易量的一半以上，商业数据“先锋队”的作用可见一斑。