数据交易场景:数据流转跟踪的法律思考
引言:
2020年4月9月,中共中央、国务院发布的《关于构建更加完善的要素市场化配置体制机制的意见》指出要加快培育数据要素市场;随后,工信部及各地方纷纷出台政策鼓励数据交易和数据交易场所建设。数据交易市场方兴未艾,截止2020年12月,全国已建成和列入建设计划的数据交易场所达22家[1]。
尽管如此,数据交易的活跃程度并未紧跟数据交易场所的建设速度。究其原因,很大程度是因为法律制度上的空白,例如,数据权属的确认、可交易数据范围的划分、数据的定价规则、数据需方取得数据后违约利用的处理等。这些法律空白使得市场主体对于法律风险难以把控,从而参与数据交易的意愿较低。我们在与数据企业的沟通中,就被问及在数据交易中,如果需方购得标的数据后超出合同原定范围使用标的数据,甚至违约向第三方提供数据,供方如何处理。本文就试图结合这个现实中常见的问题,从法律角度探讨数据交易场景下数据流转跟踪的应用。[2]
一、数据流转跟踪的技术支持
根据《民法典》的规定[3],如果需方违反合同规定的范围使用标的数据或向第三方提供标的数据,对方可以追究其违约责任。但是,在此之前,尤其是在涉及诉讼、仲裁的情况下,供方需要能够举证证明需方存在违约的事实,可能包括供方已经向需方实际提供的标的数据范围、需方对标的数据的实际用途、违约使用的标的数据范围、违约向第三方提供标的数据情形下的标的数据去向等标的数据的流转轨迹。
数据不同于实物,实物的占有转移是可视的;数据又不同于专利权等权利,法律对专利权等权利的转移设定了一定的登记制度。数据流转轨迹需要通过一定的技术手段对数据流转的过程实施跟踪方能实现,而无法单纯的依赖常识和法律。这些技术可简要概括为数据流转跟踪技术。举例而言,某知名电商平台的高管在接受央视一档节目的采访[4]中介绍到,该公司在向上游合作伙伴共享商品库存、销量等供应链信息数据时,为避免合作伙伴可能泄露信息,在技术保障上,对共享的每一条数据都加了数字追踪码,从而知晓共享的数据是否流转到其他场景。这就是数据流转跟踪技术的一种应用。
除了以上的举例介绍外,在中国国家知识产权局的公告中,已经有多项数据流转跟踪技术取得或正在申请专利,例如数据流转的监控方法、装置、电子设备及存储介质(申请号202011074899.3)、一种基于标签的混合云信息保护和数据流转跟踪方法(申请号201910610057.6)等。
数据流转跟踪的应用对于保护标的数据安全,确保标的数据在适当范围内流转,保护相关主体的合法权益都具有积极意义。
二、数据流转跟踪的法律思考
目前,除《数据安全法(草案)》以及少量推荐性国家标准外,针对数据流转跟踪的立法尚处于空白。以下结合法律草案、国家标准及现行中国法律,归纳了几点关于数据流转跟踪的法律思考。
(一)跟踪的授权
中国国家标准《信息安全技术 数据交易服务安全要求》(GB/T 37932-2019)(以下简称“37932号标准”)第7.3条 e项规定了数据交易服务机构应确保交易实施环节中,“对于在线数据交付模式,数据交易服务机构应在供需双方的数据传输链路上部署数据监控工具,具有完备的数据保护机制和数据泄露监测能力。”根据该项国家标准,数据交易服务机构需要部署数据监控工具。但是,一方面,37932号标准仅是推荐性国家标准,不属于国家法律或行政法规,不具有强制力;另一方面,该标准主要针对数据交易服务机构提出要求,而非针对数据交易的供需双方。
缺乏必要授权的数据流转跟踪存在导致侵权的法律风险。因此,在今后的立法中,需要考虑在必要范围内,给予供方一定的授权,允许供方或指定技术服务提供方(“跟踪实施主体”)利用数据流转跟踪技术,跟踪标的数据在交付后的流转轨迹。当然,除了法律规定外,交易合同中就数据流转跟踪应用的授权范围予以约定则更有利于保护交易各方。
(二)跟踪的范围
《网络安全法》第二十七条规定任何个人和组织都不得从事窃取网络数据等危害网络安全的活动[5]。在数据流转的跟踪过程中,跟踪实施主体需要确保跟踪技术不会导致窃取约定范围外的网络数据。
在此情况下,即使相关交易文件中,约定了数据跟踪的充分授权,但是在跟踪的实际操作中机器如果自动抓取到的其他网络数据,是否属于超出授权范围,又是否会落入窃取网络数据的范畴呢?因此,在今后的立法中,需要结合数据的分级分类保护制度,考虑在通过风险评估的基础上为数据流转跟踪提供合理范围的豁免。而从市场主体的角度来说,在现行法律框架下,为降低超范围跟踪所引发的法律风险,约定标的数据仅在特定私域的流转和限制标的数据的复制或许是一个解决方案。基于法律授权以及合同约定,跟踪实施主体只要跟踪到标的数据流出特定私域或标的数据超权限复制,即可确认标的数据被超范围使用,从而减少抓取其他网络数据的需要。
(三)跟踪所得数据的权属和利用
在跟踪技术的应用过程中自然会形成新的数据。由于现行法律法规对数据权利归属尚无现成的完善规定。对于数据利用,《数据安全法(草案)》等法律法规对于数据安全保护多为原则性规定。
因此,在现行法律框架下,除了遵循一般的数据安全和个人信息保护原则性规定外,市场主体在合同中限定跟踪所得数据的权属和利用权限,预防跟踪所得数据的不当利用,从而对供需双方造成不必要的损失。
(四)涉及第三方的法律责任
由于数据流转的无形、无感等特点,数据流转的实际轨迹很难预估。例如,由于需方违约将标的数据转发给第三方,或者黑客从需方处窃取标的数据分发给第三方等情形都是在预估之外的。因此,在数据流转的跟踪过程,难免会涉及到第三方。假设排除跟踪实施主体存在主观恶意,仅因某些客观原因,数据流转跟踪中抓取了第三方的数据,甚至损害了第三方的权益,相应的法律责任如何确定和承担将是个较为复杂的法律问题,需要区分不同情况予以分析。
从立法的角度而言,或可考虑给予数据跟踪产生的法律责任附条件的豁免;从商业角度说,保险公司或可考虑开发特定的责任险产品,承保某些偶发的技术原因导致的第三方损失,也可考虑通过立法赋予保险公司特定情况下的追偿权。当然,无论是立法的设计还是保险产品的可行性,都还有一段探索之路。
三、展望
展望未来,以下两个方面或将有助于推动数据流转跟踪的机制完善。
(一)技术标准
数据流转跟踪的实施基础是稳定而可靠的技术。因此,数据流转跟踪亟待相应的技术标准出台,包括基本技术规范、接口开放、操作流程等,也包括与区块链、人工智能等不同技术之间的交叉应用。技术标准的统一将使得数据流转跟踪的安全性、可靠性有所保证。
(二)完善立法
光有技术是不够的,数据流转跟踪,也需要得到法律支持,数据交易中供需双方及可能涉及的第三方才能得到有效的法律保护。除前文已经提及的数据跟踪的授权、范围、涉及第三方的法律责任等问题,立法需要考虑的问题还很多,例如数据跟踪的流程、技术提供方的责任、跟踪实施主体的资质等等。
★结语★
数据交易市场已经迎来蓬勃发展的契机,技术和法律都有待完善。即使在大数据领域,数据流转跟踪技术尚属于新兴技术,但假以时日,该技术成熟而广泛的应用将对保护和促进数据交易,活跃数据交易市场提供动力。当然,本文只是一些畅想和思考,希望可以为数据交易市场的发展带来一些启发;特定项目中,数据流转跟踪的真正实施还有待根据具体情况具体分析。
[注]
声明
本文旨在法规之一般性分析研究或信息分享,不构成对具体法律的分析研究和判断的任何成果,亦不作为对读者提供的任何建议或提供建议的任何基础。作者在此明确声明不对任何依据本文采取的任何作为或不作为承担责任。如需转载或引用本文的任何内容,请联系作者(fanxiaojuan@zhonglun); 未经作者同意,不得转载或引用本文的任何内容。