◎ 文《法人》全媒体记者 银昕

　　移动互联网时代，数据对指导生活和生产的意义越来越大，“数据为王”“数据将同石油一般珍贵”等论调不绝于耳。经过处理的数据形成数据包，也可以成为商品，在市场上公开买卖。6月10日，十三届全国人民代表大会常务委员会第二十九次会议通过了《中华人民共和国数据安全法》，我国有了第一部以数据为保护对象的法律，而数据交易这门新兴生意也因第一次在全国性法律中被提及而引发关注。

　　数据交易所渐成“摆设”

　　2015年，贵阳大数据交易所开业，这是全国乃至全球第一家对数据公开交易的场所。此后，陕西省西咸新区数据交易中心、上海数据交易中心、北京国际大数据交易所等交易机构如雨后春笋般出现。截至目前，此类数据交易平台已超过30个。

　　而在数据安全法出台之前，尚无任何一部全国性法律提到过数据交易的基本规则和交易机构应履行的义务，几乎所有交易所都在“摸着石头过河”。数据交易及交易机构得以在数据安全法中“出镜”，让呼吁尽快建立数据交易规则的人们看到了一丝曙光。

　　“陕西省大数据集团正在我们公司的框架下运行，但因为数据交易的机制尚未确立，正处于半停滞状态。”2018年，西安未来国际信息股份有限公司董事长、陕西省大数据集团总经理王茜以全国政协委员的身份出席全国两会时，和记者曾谈及数据交易业务的窘境。

　　记者了解到，从2014年开始成立的数据交易机构中，在成立初期会定期对外公布数据交易量和交易金额，但从2018年开始，这些机构停止对外公布这两项数字。

　　即便是在定期公布成绩单的那些年，数据交易机构的成绩也不够好。以贵阳大数据交易所这个“明星项目”为例，根据其官网披露，从2015年4月开业到2017年10月，累计交易额1.2亿余元，交易框架协议近3亿元，发展会员超1500家，接入225家优质数据源，可交易数据产品近4000个，可交易的数据总量超150PB;到2018年3月，会员数量突破2000家，此后便再也没有新的交易规模被公布。与之相比，联想集团一家企业就拥有超过12PB的数据，每日新增的数据量超过30TB，贵阳大数据交易所掌握150PB的数据总量并不算高。

　　到2021年，数据交易无规可循的问题仍然没有解决。

　　直到数据交易和交易机构的身影出现在数据安全法第十九条、第三十三条和第四十七条。“虽然数据安全法只有3个条目提到了数据交易以及数据交易机构，但总算是对这个行业的交易规则作了初步的规范，这就为数据交易这门生意提供了一个好的开端。”某网络安全从业者对记者感叹。

　　第十九条规定国家建立健全数据交易管理制度，规范数据交易行为，培育数据交易市场;第三十三条规定从事数据交易中介服务的机构提供服务，应当要求数据提供方说明数据来源，审核交易双方的身份，并留存审核、交易记录;第四十七条则是对违反第三十三条后的处罚规定。

　　数据确权，一个不能回避的难题

　　数据明码标价公开交易，前提是确权，即确定某段数据或某个数据包的所有者是谁，但这个问题至今没有解决。

　　一旦用户对某段数据主张所有权，但却被告知这些数据已经被服务商在交易所出售给其他商业机构了，就势必引发出售者与用户之间，购买者与用户之间，购买者与出售者之间关于非法买卖的争议。在数据确权不明的情况下，为了避免此类拎不清的“无头账”，市场普遍对数据交易“不感冒”。

　　数据到底是谁的?用户和商业机构，究竟谁才是数据的主人?从数据交易这门生意诞生之日起，便成了行业的“灵魂之问”。

　　正方的观点通常是，既然数据是在用户的使用过程中产生的，数据的主人理应是用户，而非公司;反方则认为，数据并不是只要有用户行为就会产生，而是因为服务商提供了一套收集并存储数据的方式和设备，才产生了数据的概念，在所有权问题上，应当由商业机构和用户之间协商解决。

　　作为上位法，数据安全法并未涉及数据确权问题。

　　上海数据交易中心CEO汤奇峰认为，用户理所应当是数据的产生者和所有者，然而，正是服务商的加入，才使用户的行为被收集和封装成为数据，服务提供者同样是数据链条上不可或缺的一环。“用户在服务提供者的帮助下，享受了订机票、送餐等出行和生活服务的便捷，获得了将数据提供给服务商之后的‘红利’。”汤奇峰认为，确权问题势必应该在用户和服务提供商之间达成平衡，而不是单方面地强调用户对数据所有权的主张。

　　此前，在西方国家的商业层面曾经出现过这种模式：数据所有权归用户，商业机构或服务提供商若想收集用户的使用记录和个人信息用作商业目的，则支付给用户一笔钱，用于“购买”属于用户的数据，这种模式在我国并没有在商业上的实践。

　　2018年全国两会期间，360董事长兼CEO周鸿祎曾以全国政协委员的身份建议将数据的所有权和使用权分开讨论，即所有权归用户，使用权归服务商及经过用户明示授权的其他商业机构，“前提是保障用户的所有权，然后允许商业机构在一个明确的框架内利用用户的数据赚钱。”周鸿祎说。

　　然而，在汤奇峰看来，数据安全法虽然没有对数据确权进行明确规定，但也微妙地提供了一种区别于以往的确权思路。

　　“数据安全法第三条对什么行为算是数据处理作了明确的定义：数据处理包括数据的收集、存储、使用、加工、传输、提供、公开等，相当于定义了一个非常完整的数据生命周期，这就为数据确权提供了新思路。”汤奇峰说。

　　以往的数据确权，纠结于数据在刚产生时的所有权归属问题，无论是认为归用户的，还是认为该归软件公司的，眼光都停留在初始阶段，而没有全生命周期的眼光。汤奇峰表示，在数据安全法定义了数据的整个生命周期后，意味着今后从收集到使用，从传输到公开，每段生命周期都要明确数据安全的责任主体，以及出现问题后的惩罚措施。“与其纠结于数据到底该归谁，不如好好研究一下，数据在各段生命周期中如果出现安全问题，该由谁负责，负多大的责，如何处罚。”汤奇峰说。

　　“先行先试”是否为可选之项?

　　早在数据安全法尚处于草案阶段时，华控清交CEO张旭东就曾提出，过早、过严、过窄地定义和规定数据的所有权，在法律上可能会制约数据产业和数据生态的发展。

　　一些从业者提出，既然数据确权是“老大难”问题，究竟该不该以立法者的强制规定来一锤定音?如果换一种方式，在“先行先试”的具体实践中摸索出一套有利于整个数据交易行业的确权方式，然后再以立法或行业规范的方式加以确认，是否可行?

　　“先行先试”只能从商业机构之间的数据交易开始。

　　相较于政务数据、金融征信数据和城市运行数据而言，商业数据更容易“在商言商”，形成双方都认可的价格。但是，在更大的“宝藏”身上，比如医疗健康数据、政务数据、生态环境数据、农业数据等领域，有关部门出于谨慎考虑，缺乏将数据卖出去的动力，这类数据迟迟没有进入流通环节，“紧握不放”成了常态。

　　上述网络安全从业者告诉记者，“先行先试”未必需要面面俱到地在所有类型的数据交易中展开，完全可以就某一类最容易被交易，数据持有者也最有交易动力的数据开始。“应该首选商业数据。据我了解，目前各个数据交易所中，最叫座的就是商业数据。”

　　在整体交易量的占比上，商业数据的地位已经凸显出来。汤奇峰此前曾对媒体透露，2020年，上海大数据产业的商业数据交易已经占到了全国公开交易量的一半以上，商业数据“先锋队”的作用可见一斑。

　　地方性立法已经开始。“上海数据交易中心已经多次参加上海的地方性立法会议，提出了意见和建议。”汤奇峰说，“据我了解，除了上海，深圳也在进行地方性立法，即便是先行先试，也要有法可依。”

　　(责编 惠宁宁)