数据交易法律治理路径探析

刘 辉，夏 菁

我们正处在一个数据驱动生产的时代。正如《大数据时代》一书所言：大数据开启了一次重大的时代转型，大数据正在改变我们的生活以及理解世界的方式，成为新发明和新服务的源泉。①参见[英]维克托·迈尔-舍恩伯格、[英]肯尼思·库克耶著：《大数据时代：生活、工作与思维的大变革》，盛杨燕、周涛译，浙江人民出版社2013年版，第1页。数据作为一种通用目的技术（General Purpose Technologies' ,GPT's）②Timothy F.Bresnahan and M.Trajtenberg."General purpose technologies ‘Engines of growth’?".Journal of Econometrics, Vol.65, 1995, PP.83-108.通用目的技术暂未形成统一的定义，一般认为是促进人类经济社会转型的革命性技术，比如蒸汽机等。能够与劳动、技术、土地等传统生产要素深度融合，带动经济向数字化发展方向转变，实现全要素生产率的增长。中共中央办公厅、国务院办公厅印发的《建设高标准市场体系行动方案》明确要求，加快数据要素市场的培育和发展，加强对数据要素市场交易的监管，规范数据交易行为。③参见《中共中央办公厅国务院办公厅印发<建设高标准市场体系行动方案>》，http://www.gov.cn/zhengce/2021-01/31/content_55839 36.htm，下载日期：2021年4月1日。《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》从产权制度、交易规则、数据资源全生命周期保护和数据交易平台建设等方面，提出了培育高标准数据要素市场的新要求。④参见《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》，http://www.gov.cn/xinwen/2021-03/13/co ntent_5592681.htm，下载日期：2021年4月1日。2021年8月11日，中共中央、国务院印发《法治政府建设实施纲要（2021-2025年）》，明确提出，及时跟进研究数字经济、互联网金融、人工智能、大数据、云计算等相关法律制度，抓紧补齐短板，以良法善治保障新业态新模式健康发展。

数据治理理念的偏差、数据交易规范体系的滞后和数据安全保障机制的不足，是制约我国高标准数据交易市场纵深发展的关键因素。本文试图在平衡数据保护与数据利用的基础上，正确定位数据治理理念，明确数据权属、交易模式、交易客体、交易价格、交易方式等数据交易基本规则，并从技术和管理两方面提升数据交易安全监管能力，为数据交易提供健康有序的市场交易秩序和安全可控的流通环境，为推动数据要素化进程提供有力的法治保障。

一、我国数据交易面临的挑战

数据开放共享主要包括数据开放、数据交换、数据交易三种形式，①张莉主编：《数据治理与数据安全》，人民邮电出版社2019年版，第49～55页。数据交易是我国大数据交易所的主要数据共享方式。正是由于数据交易中机遇和挑战的共生共存，才能不断提升数据交易的深度和广度，促使数据交易市场走向成熟。

良性运转的数据交易体系需满足三个前提条件：第一，存在安全、可交易、有价值的数据，并且数据市场需求缺口较大；第二，数据控制者或数据处理者具有共享数据的意愿；第三，交易渠道畅通，存在多方交易平台。②Yochai Benkler,“Sharing Nicely: On Shareable Goods and the Emergence of Sharing as a Modality of Economic Production”,Yale Law Journal Vol.114, 2004, pp.273-358.总体来说，我国数据交易市场尚未成熟，与实现数据安全流通和数据赋能的目标还存在一定差距，目前的数据交易体系面临多方面挑战。

一是“数据孤岛”效应凸显，大量闲置数据呈离散状态。数据再用零边际成本的经济特征以及所有权和使用权分离的权属特征，意味着“数据孤岛”本不应存在。然而，“数据孤岛”的形成又具有一定的社会必然性：一方面，数据系统和建设标准的差异客观上催生了物理性的数据不兼容现象；另一方面，受制于行业监管体系以及数据主体利益博弈的资源格局，部门数据利益垄断或超级数据平台双轮垄断的出现，也人为地增加数据交易的市场型交易费用，造成逻辑性的数据割裂。

二是数据治理规则体系滞后，数据安全风险积聚和爆发，造成数据主体“不愿、不敢、不能”参与数据交易。首先，由于对数据价值存在认知程度上的差异，数据主体大多无法意识到数据因流动而增值的属性，因此“不愿”将数据交由数据处理者进行加工使用和价值开发；其次，数据安全问题和数据质量问题频发，小到给公民带来经济损失和精神损害，③相关案例可参见上海罗维邓白氏营销服务有限公司侵犯公民个人信息罪案，上海市闸北区人民法院（2012）闸刑初字第997号刑事判决书；韩某、张某某等侵犯公民个人信息案，上海市浦东新区人民法院（2016）沪0115刑初4166号刑事判决书；张某某、姚某某非法获取公民个人信息案，上海市黄浦区人民法院（2016）沪0101刑初196号刑事判决书。大到影响国家安全和经济整体发展，均会加重数据主体对数据交易的顾虑，“不敢”贸然交易数据；最后，我国虽有规范性文件对数据交易进行顶层设计，但数据产权、数据分类标准、数据定价、技术性操作等具体规范相对空缺，数据主体缺乏规范指引和技术支持，有心无力而“不能”交易数据。

三是数据场内交易法律保障缺位，数据平台法律地位和职责不明，逐渐被边缘化。片面强调数据交易所的服务职能，使得数据交易所始终以提供数据交易撮合服务为主，即使遍地开花也难逃低层次重复建设的转型泥沼。而数据交易所监管职能被轻视加之场内交易法律规范流于形式，无法保证数据交易主体适格、质量合格以及传输安全，数据场内交易安全可控的比较优势未能充分发挥，数据交易缺乏畅通的交易渠道。

二、我国数据交易市场发展缓慢的制约因素

在全球数字经济竞争浪潮中，我国虽持有较多待挖掘的数据资源，但我国缺乏完备的交易规则、充足的技术力量储备和良好的社会信任体系，数据自由流动面临较大的阻力。①刘晓春：《数据共享合法化推动消除国际贸易新壁垒》，载《中国对外贸易》2018年第7期，第46～48页。从我国数据交易面临的挑战来看，制约我国数据交易市场发展的因素主要有以下三个方面。

（一）“重保护、轻利用”的治理理念抑制市场活力

一切法律、规则的制定都要以一定的立法理念或治理理念为依据。②高其才：《现代立法理念论》，载《法学研究》2006年第1期，第85～90页。我国长期存在“重保护、轻利用”的数据交易治理理念，是导致数据保护和数据要素化相互矛盾，亦即安全与效率的共时性价值相互冲突的重要原因。

从数据保护的角度看，我国存在诸多与个人信息保护相关的法律规定，数据保护的高标准令数据控制者与数据处理者技术处理和风险管理成本增加，交易费用高昂，在数据安全技术滞后的背景下，可能在客观上成为制约数据市场主体多元化的掣肘；从数据利用的角度来看，“数据孤岛”的形成是治理理念指向偏差的必然结果，我国以破解“数据孤岛”，促进数据自由流动为目标的法律或规则仍略显不足。③叶明、王岩：《人工智能时代数据孤岛破解法律制度研究》，载《大连理工大学学报（社会科学版）》2019年第5期，第70～72页。尽管部分法律和规范性文件中体现出了促进数据利用的立法目的或治理目标，但总体上我国数据利用理念仍相对落后。当数据无法自由流动时，数据壁垒会变相加剧数据抓取、分析技术的滥用，给数据主体带来更为严重的财产损失或人身损害，频发的侵害个人信息和商业秘密的案件就是例证。总之，“重保护、轻利用”的数据治理理念既无法消解“数据孤岛”，又无法充分保护个人信息安全，长此以往，数据交易市场活力不足，所有社会主体都需为此埋单。

（二）数据交易的法律规范体系和激励机制不足

欲实现数据交易产业的健康发展，交易系统、交易规则、交易监管三要素缺一不可。其中，交易规则是数据交易重要的“软件”设施，让数据交易有章可循。在我国数据产业初级发展阶段下，数据交易规范立法空白、内容模糊或过于抽象，无法缓解数据交易背后的多元价值冲突，制约数据交易市场纵深发展。

第一，数据权属模糊不清，存在保护路径之争。人的交换倾向完全出于自利的动机，④[英]亚当·斯密著：《国富论》，章莉译，译林出版社2018年版，第17页。数据收益在个人、企业之间分配不均直接影响上述主体生产、流通、消费数据的意愿，从而制约潜在市场规模。第二，我国在设立北京国际大数据交易所时提出了数据所有权、使用权、收益权等主要交易类别，但我国法律法规或制度规范中没有对上述交易类别进一步地阐释，不能为数据交易提供规范支撑。第三，我国数据交易客体及其质量标准不明，出现尚未达到技术处理标准的数据被泛化交易的现象，威胁个人隐私、商业秘密和国家安全。第四，数据定价较为复杂且难度较大，如何合理分配交易过程中各参与主体的合法利益、形成长效的激励机制有待研究解决。第五，我国缺乏对大数据交易所法律地位的正式承认，造成数据交易所低层次重复建设，致使其交易中介和自律监管作用无法得到充分发挥。由此可见，数据交易基本规则的滞后无法形成安全有序的市场秩序，数据交易想步入规范化和法治化的发展轨道仍存在一定的差距。

（三）数据安全的法律保护机制阙如

健康的数据交易市场既要求尽可能地提高交易效率，也要求最大化地保障数据的保密性和安全性，保护数据主体的合法权益。但事实上，数据交易的安全和效率价值的冲突不可能完全消释，而只能做到动态博弈中的相对平衡。

目前，我国传统机构和电子商务平台对于数据加密技术的研发和运用依然相当欠缺，而大数据公司和大型科技公司虽然掌握了多方计算（Multiparty Computation，MPC）、联邦学习（Federal Learning，FL）、差分隐私（Differential Privacy，DP）、可信执行环境（Trusted Execution Environment，TEE）等最前沿的数据安全处理技术，但相关的行业标准和技术规范仍然相对落后。这些数据安全处理技术本身并非完美无缺，其固有的缺陷可能为数据重大安全事件的发生埋下隐患，存在较大的客户隐私泄露风险。①刘辉：《大数据金融算法的法律规制》，载《财经理论与实践》2021年第2期，第150页。

监管制度的构建是一国善治水平的重要标志。我国监管框架不完善从而无法为数据的安全流转提供保障，其存在三个方面的制约表现：一是我国对于是否新设专门的数据监管部门存在争议，数据交易的监管部门职责不清，容易造成监管空白或重复监管；二是行业自我规制比较优势未能得到充分发挥，行政监管缺乏必要的技术知识和数据交易市场信息，无法满足灵活、弹性的动态监管要求；三是传统实地、现场检查等监管手段落后于大数据交易的实时性、智能性监管要求，无法及时提示数据交易风险和处置安全风险事件，既有监管框架与塑造安全交易环境已不再适配。

三、我国数据交易法律治理进路的完善

尊重实体经济的要素禀赋，是现代法律治理必须遵循的基本原则。②刘辉：《论地方金融监管权的法治化重构》，载《宁夏社会科学》2021年第3期，第58～66页。数据交易的治理是一次从理念到制度再到具体措施的系统革新。为实现加快培育数据要素市场的发展目标，我国应当将发展与安全并重的原则贯穿数据交易治理全过程，以完备的交易规范体系和健全的安全保障机制为两个基本面向，引入科技创新提升数据交易创新治理能力，促进数据交易在规范化和法治化的道路上行进。

（一）重塑数据交易治理理念：以释放数据要素价值为原则，以数据安全风险防范为底线

考虑到数据公共性和私人性交融、财产性和人身性兼具的实质特征，数据交易的背后伴随着激烈的利益博弈，数据保护与数据利用之间的固有矛盾可回溯至公益与私益、安全与效率之间的分歧。良好社会制度中的安全与效率本质上是统一的，因此，我们需要做的就是不断扩大二者之间的适应性而缩小矛盾性。③张文显主编：《法理学（第4版）》，高等教育出版社2011年版，第269页。如前述，“重保护、轻利用”的数据治理理念严重忽视了我国数据交易的迫切需求，既无法释放数据活力，又无法充分保护数据安全。智能社会要求形成“科学、人本、包容、普惠、共治”的新型法律秩序和治理理念。④张文显：《构建智能社会的法律秩序》，载《东方法学》2020年第5期，第9页。长远来看，我国应重塑“以释放数据要素价值为原则，以数据安全风险防范为底线”的治理理念，⑤《中华人民共和国数据安全法》第13条“坚持以数据开发利用和产业发展促进数据安全，以数据安全保障数据开发利用和产业发展”。这一规定实际上与“以释放数据要素价值为原则，以数据安全风险防范为底线”的数据交易法律治理理念不谋而合。破解既有数据保护和数据利用的困局，以效率为标准配置社会数据资源，增加社会财富总量；但效率不应绝对化，数据交易过程中，应当对交易数据进行仔细地筛选和技术处理，确保数据质量和数据相对安全，在具体的数据交易场景中展开利益衡量。

（二）完善数据交易规范体系，构筑健康有序的数据交易市场秩序

市场是需要精心设计的，数据交易市场的建设需要更多的规则。⑥[美]斯蒂文·K.沃格尔著：《市场治理术：政府如何让市场运作》，毛海栋译，北京大学出版社2020年版，第8～17页。考虑到我国有关数据交易的法律规定内容过于抽象和效力存在冲突的现状，在规范层面，应当从数据产权、交易模式、交易客体、交易价格和交易方式等制约因素着手，为数据交易提供行之有效的交易规则。

1.构建新型数据财产权二元权利体系

数据产权的确定是数据交易的先决条件。数据与其他传统生产要素相比存在非竞争性、非排他性、非物理性和便携性等根本属性的差异，数据权利保护面临多重困境。①实践中，采用物权法、合同法、知识产权法、竞争法、个人信息保护法等既有制度规范，皆无法满足当下的数据权利诉求。参见韩旭至：《数据确权的困境及破解之道》，载《东方法学》2020年第1期，第98～101页。我国目前缺乏有关数据权属的统一立法，《中华人民共和国民法典》第127条对数据权保护作出了引致规定，保留了数据权利化的空间。②参见最高人民法院民法典贯彻实施工作领导小组主编：《中华人民共和国民法典总则编理解与适用》，人民法院出版社2020年版，第654～655页。相对于将数据权属暂且搁置而重点解决数据使用的问题，笔者认为数据确权的法律保护进路不应被放弃，因为数据权属在数据交易中处于核心地位，将辐射影响数据权益交易模式、数据定价机制等诸多方面。

为构建激励相容的数据权利体系，基于洛克的劳动财产权理论，财产来源于自身的劳动，我国可以根据不同市场主体对数据产品“流汗”的多少和程度的不同，承认数据原发者享有数据所有权，同时赋予数据处理者以数据用益权，构建我国二元数据权利体系，平衡数据利用和数据保护之间的张力。③申卫星：《论数据用益权》，载《中国社会科学》2020年第11期，第110～131页。类似著作权与邻接权的产权设计理念，数据处理者对原始数据进行聚合加工，形成数据产品，一方面应当承认数据原发者对原始数据享有数据所有权；另一方面，数据处理者付出了劳动且需要投入人力、物力、精力对“数据集”进行处理分析，数据处理者取得数据用益权符合数据生产规律。具体而言，享有数据用益权的数据处理者对数据资产享有占有、使用和收益等积极权能，对数据财产进行有限度地支配；同时，应当赋予数据处理者排除他人妨害的消极救济权能，对非法窃取、篡改数据等行为造成的利益损失寻求赔偿。④《深圳市经济特区数据条例（征求意见稿）》第4条明确规定了数据权，地方数据立法已经对数据市场实践作出了一定程度地回应；但经过两次深圳市人大审议后认为，“目前公众对数据权属问题的认识还不统一”，于是《深圳经济特区数据条例》删去了先前版本中引发争议的“数据权”相关内容。从最终决定回避对数据权的探讨可以看出，地方数据立法实践面临立法方案不全面、立法时机不成熟、立法权限不明确等的棘手问题。数据二元权利体系的构建，保护了附着于数据上的合法利益，为数据要素化目标的实现奠定了制度性基础。

2.发展完善以数据使用权交易为中心的“三权分置”数据权益交易类别

《北京国际大数据交易所设立工作实施方案》中明确提出将提供数据产品所有权、使用权、收益权交易服务，⑤参见《北京国际大数据交易所设立工作实施方案》，http://jrj.beijing.gov.cn/tztg/202009/t20200929_2103035.html，下载日期：2021年4月2日。实际上与数据二元权利格局相吻合。但在实践中，数据交易多为不转移所有权的特定使用权交易。因此，在数据产权规则逐渐明朗的条件下，亟需为数据产品所有权、使用权、收益权进行明确界定，重点围绕数据使用权交易展开分析，并指明交易类别中可能受到的限制条件。

首先，数据原发者当然地享有数据所有权，自然人数据和公共数据所有权分别由该自然人和国家享有，数据企业对采集到的个人数据或公共数据加工后形成的数据集或数据产品享有数据权益。由于单一数据并不产生经济价值，在实践中，数据产品的所有权交易大多为数据分析工具与数据解决方案的转让。

其次，数据产品使用权的交易指在不改变所有权的前提下，数据处理者有权对数据加以使用，包括内部使用和外部使用两种方式。⑥龙卫球：《再论企业数据保护的财产权化路径》，载《东方法学》2018年第3期，第60页。内部使用指数据处理者对采集到的原发数据进行整合、分析、建模等操作，得出的数据结论用于满足自身商业需求，譬如作为产品市场评估或战略精准营销的主要依据。外部使用指数据处理者许可第三方通过应用程序接口（API）调用、访问、整合分析数据等，第三方依据访问的时间、次数和内容等支付不同的费用，在一定程度上实现了“按需访问”。⑦何渊主编：《数据法学》，北京大学出版社2020年版，第160页。内部使用时，数据资产因其人格属性和财产属性的分离而无需再次获取授权，但仍应遵守事先约定的收集目的、内容、处理方式等限制条件正当使用；而外部数据使用应当另行获得数据主体的同意授权满足合法采集的要求，也即满足“三重许可原则”，尊重自然人的个人数据权利。

最后，数据产品收益权交易指在资本市场上发行有价证券使数据通过市场化运营转化为货币资本。数据资产证券化作为一种新型未来收益证券化产品，有待法律规范和数据交易所流程规范针对数据资本化流通作出特殊规定。

3.界分可交易数据的类型和不可交易数据的范围

相较于数据权归属和数据交易模式的选择，明确界定可供交易的数据和禁止交易数据的类型似乎更具实践操作性。从正面规定来看，由于数据本身的特殊属性，以及数据产生和流通的阶段性和复杂性，我国宜在区分数据主体和数据类型的基础上差别化地界定可交易数据的范围。首先，作为数据源头的自然人数据，其隐含的人格属性为个人数据的交易提出了更加严格的安全标准：敏感数据应当禁止进入数据交易市场，而脱敏化处理后的数据应当在安全风险评估后决定是否满足交易条件。①张敏、朱雪燕：《我国大数据交易的立法思考》，载《学习与实践》2018年第7期，第66～68页。以金融数据交易为例，在数据转让前，应开展个人金融信息安全影响评估和信息接收方信息安全保障能力评估，依据评估结果确定技术保护方案。②参见中国人民银行《个人金融信息保护技术规范》（GR/T 0171-2020）。其次，企业可以合法享有自生数据的财产权，因此企业有权交易自生数据；同时企业享有合法的数据用益权，由其处理形成的数据产品可以授权他人外部使用，但此时需要受到个人“知情同意”原则的一定限制。③苏成慧：《论可交易数据的限定》，载《现代法学》2020年第5期，第136～149页。最后，公共组织在依法行政过程中产生和掌握的数据由国家享有，公共组织的社会管理和服务职能决定了公共数据可采用除交易之外的方式共享和开放，促进公共利益最大化。④同上。

数据交易的发展永远超前于法律的立、改、废、释，数据交易治理理念中“以数据安全风险防范为底线”的底线思维要求为数据交易设置“负面清单”，规制数据泛化交易现象，降低法律真空地带的数据交易风险。⑤王利明：《负面清单管理模式与私法自治》，载《中国法学》2014年第5期，第38页。譬如，《天津市数据交易管理暂行办法》中即规定了多类禁止交易的数据类型，⑥《天津市数据交易管理暂行办法》第17条规定了禁止交易的数据：涉及国家安全、公共安全、个人隐私、商业秘密的数据；以欺诈、诱骗、误导等方式或从非法、违规渠道获取的数据等。参见《天津市数据交易管理暂行办法》，http://www.tjcac.gov.cn/wxdt/t js/202201/W020220130638135236333.pdf，下载日期：2022年3月5日。划定非法数据交易红线；同时，“法无禁止即可为”，负面清单在一定程度上也有助于鼓励数据交易创新，呼应数据要素价值最大化的现实需求。

4.明确数据资产自主协商的市场化定价机制

价格机制是市场机制的核心。在能源数据领域，中国南方电网公司率先发布《中国南方电网有限责任公司数据资产定价方法(试行)》，以成本价格法为基础，对南网数据资产形成多维的综合定价方法。⑦参见《能源行业首个数据资产定价方法出炉数据资产交易有望在电网领域破局》，https://new.qq.com/omn/20210317/20210317A0B1 J800.html，下载日期：2021年4月3日。但是，数据交易市场中数据定价复杂程度高、难度大，多种数据交易定价策略并存：包括平台预定价、自动计价、拍卖式定价、捆绑式定价、协议定价以及自由定价等类型；其中，自由定价又分为卖方自由定价和买方自由定价两种方式。⑧参见《浅析国内大数据交易定价》，https://www.sohu.com/a/141921899_468736，下载日期：2021年4月4日。

在数据资源格局重塑过程中，数据所有权和使用权分离的特点将愈加突出，数据交易更多表现为数据使用权的流通。依据《中华人民共和国价格法》第6条的规定，数据商品或数据服务应当由市场主体自主定价。数据交易作为商事交易的一种，契约自由原则在此应当予以完全适用，①张敏：《交易安全视域下我国大数据交易的法律监管》，载《情报杂志》2017年第2期，第132页。由买方和卖方采用讨价还价的方式即通过博弈来消弭信息不对称，依据数据使用目的、数量和频次，自主协商确定数据的使用价格。价格本质上是供求双方议价的最终结果，采用自由定价的定价方式更符合交易实践。在自由定价中，若买卖双方数量众多、信息渠道畅通，则可以交由数据供求关系自行确定数据价格。此时，数据价格的形成可以考虑数据数量、种类、完整性、时效性、深度、覆盖度以及稀缺程度等多种因素，综合确定不同类型数据产品或数据服务的价格。倘若因为买卖双方一方数量较少而出现双边垄断时，则应当适时引导数据供给者先行披露最低预期数据售价后，再为不同特征的数据设计相异交易机制，打破数据定价垄断。②参见陈永伟：《数据应该如何定价》，https://baijiahao.baidu.com/s?id=1670186931704339934&wfr=spider&for=pc，下载日期：2022年3月5日。

5.强化场内数据交易的法律保障及其激励措施

目前，场外的明文数据交易使数据流入数据黑市，造成隐私数据泄露等社会问题。鉴于缺乏完善的社会信用体系，我国宜建设新型数据交易所，给数据交易“开正门”，解决“数据满天飞”的乱象，让数据交易“走远路”。

大数据交易所承担着服务和管理两大职能，扮演着“组织者”和“监管者”的双重角色。为确保个人信息的有效控制和合法转让、保护数据交易安全，应当同时明确大数据交易所第三方自律性法人的地位，赋予大数据交易所监管职责。其次，大数据交易所应当实行事前准入管理，采用实名会员注册制，审查数据经营者的合法资质，筛除劣质数据企业；《中华人民共和国数据安全法》第33条要求数据中介对数据来源进行审核，剔除黑市非法数据和脱敏未达标数据，保证数据质量安全。再次，为实现不同领域的数据融合，必须构建数据标准化交易流程，制定统一的数据交易标准③交易标准体系具体应包括基础数据描述标准、处理标准、安全标准、质量评价标准、产品和平台标准以及应用和服务标准等方面。参见何培育、王潇睿：《我国大数据交易平台的现实困境及对策研究》，载《情报杂志》2017年第8期，第104页。和规范的交易流程，降低数据交易壁垒。最后，大数据交易所未履行数据来源审核、身份审核和交易材料留存职责，导致非法数据进入数据交易系统的，平台应被有关主管部门责令改正、没收违法所得、处以罚款、吊销相关业务许可证或者吊销营业执照，其直接责任人员也应当一并被处以罚款。④《中华人民共和国数据安全法》第47条。

总之，大数据交易所既能够成为交易主体参与数据交易的重要场所，又能成为数据交易监管的前沿阵地，适时地规避隐私泄露等数据安全风险和及时地处置重大安全风险事件，⑤史宇航：《个人数据交易的法律规制》，载《情报理论与实践》2016年第5期，第37～38页。场内交易应成为未来数据交易的主流方式。

（三）完善数据安全保障法律框架，防范数据安全风险

数据交易表面上是数据红利的释放，实则风险涌动。数据主体“不愿、不敢、不能”参与数据交易，将无法实现数据跨领域、跨行业自由流动，对数字经济发展形成掣肘。大数据时代对数据交易安全保障提出了更高的要求，须在规范交易规则体系的基础上辅之以必要的技术手段和管理手段，共筑数据安全治理体系。

1.完善数据安全处理技术选用方案和标准

技术在一定程度上是相对中性的，我国虽然尝试运用多方计算、数据脱敏、可信执行环境等前沿技术，但上述技术都或多或少存在固有缺陷。①多方计算（MPC）是指多个参与方协同计算各自数据密文输入的指定函数，以数据密文计算替代数据明文计算，防止数据的泄露和滥用；多方计算所需的算力较大，能否支持复杂巨量的数据交易仍有待论证。数据脱敏（DM）是指对数据通过仿真处理或变形处理等，将原始数据变为“看起来真实的假数据”，消除数据中的个人敏感信息；然而，数据脱敏同样存在保护与利用的矛盾，脱敏过多将降低数据价值和可用性，过敏过少则暗藏隐私风险。可信执行环境（TEE）是指通过硬件增强和软件配套提高数据的保密性和完整性，数据在内存中的安全区域加密储存，只有当数据加载到数据处理器中时才进行解密，可信执行环境内部的软件和密码隔离技术避免应用之间的交叉影响而可供多个服务商同时使用；质疑TEE技术的声音认为，可信计算将导致芯片设计者对数据的控制权过大，且安全的可信性立基于对硬件设施和软件技术提供方的信任之上，但随着2018年SGX的Meltdown等安全漏洞被曝光，提供方是否值得信任成为了新的问题。近日，北京国际大数据交易所致力于打造“数据可用不可见，用途可控可计量”的新型交易范式来引导数据交易。具体来看，要加强保密技术、隐私计算技术等的综合运用，控制交易中的数据量，只交易最终数据处理结果而不交易原始数据，确保传输过程中数据的保密性，防止数据意外泄露和数据滥用情形的发生。由此看来，数据技术综合选用方案和数据安全处理标准的指引不可或缺。

其一，为扬长避短弥补数据固有缺陷，需要综合考虑数据交易场景、交易目的、原始数据属性和不同技术的特征，分别考虑保密性、可控性、确定性、高效性、普遍性、适用性等需求，综合选取技术处理方案。以金融数据C3类用户鉴别数据为例，金融数据事关国家经济安全，高安全性是数据交易的首要考量。金融数据具有高价值、数据分散、敏感度高、数据体量大等属性，结合《个人金融信息保护技术规范》中分级分类保护的具体要求，应当采用多方安全计算与可信执行环境等高安全性的技术组合，由多方计算技术控制金融数据的密文输出和追踪用量、用途，可信执行环境在内存区域内保证金融数据的机密性和完整性，二者结合得以约束数据控制者的数据处理行为。

其二，与数据综合处理方案密切相关，我国亟需制定不同行业、不同类型数据安全处理和流转的国家标准、行业标准、地区标准，为数据分级分类保护和数据交易技术方案的选择提供参考。数据应当按照敏感程度进行划分，同一批次的数据遵循“就高不就低”的原则向上看齐，处理标准由其中敏感度最高的数据确定。目前我国存在《信息技术 大数据 数据分类指南》等国家标准，以及《工业数据分级分类指南（试行）》《政府数据 数据分类分级指南》《金融数据安全 数据安全分级指南》等行业标准或地区标准。然而，我国数据分类标准的覆盖面较小，医疗、能源等众多领域尚未正式出台数据分类标准，需要有关部门牵头组织、行业积极参与，加快标准的制定。

2.构建融合行政监管、自律监管、监管科技和试验性监管的综合数据监管体系

我国数据交易监管效能低下的问题，总的来说与监管机构职能不清、监管结构体系僵化以及监管手段技术落后等原因有关。高效运行的监管体系需从上述三方面着手构建。

第一，坚持国家网信部门统筹数据监管工作，重点行业数据由本行业专门监管机构处理。新设独立的数据监管机构并不解决“九龙治水”的困境，缺乏专业性和连续性的监管也只能是“治标不治本”。数据交易监管的关键在于监管机构职责和分工的落实。《中华人民共和国个人信息保护法》要求国家网信部门统筹协调，国家有关部门在各自职责范围内负责信息保护和监管工作。数据交易监管机构可以参照此部署，将行业数据作为分类监管的标准。除特定行业的数据需要确定行业特殊监管外，②如金融数据事关国家经济整体安全，为避免系统性金融风险的发生，金融数据交易既受到网信部门的统筹监管，又同时受到人民银行、银保监会等部门的宏观审慎和微观审慎监管。其余的数据交易可由网信部门整体负责并运用多元治理方式进行协调监管。

第二，充分发挥自律监管专业性、及时性的比较优势，与行政监管相互配合形成监管合力，保持数据交易监管弹性。北京国际大数据交易所于成立之时发布了《北京数据交易服务指南》，北京国际数据交易联盟也应势而建。大数据交易所作为数据价值兑现的主要场所，应当率先履行自我管理职责，对不合规的数据交易行为进行风险提示、提出警告或终止交易，限制双方主体的交易准入资格，督促数据供需双方合规经营、合规交易。交易联盟或行业自律组织等社会组织可以对数据交易开展非现场检测和定期检查；对夹带安全风险的数据交易行为进行风险提示或自律性处罚，并向监管部门及时通报处理情况，形成他律和自律的良性互动。

第三，数据交易的技术性、复杂性和前沿性要求，数据交易的监管必须融入“技术密集型”的监管科技，积极探索数据交易“监管沙箱”等试验性监管方式。以场内交易为中心的数据交易模式，数据交易平台系统可以直接对接交易场所监管系统、交易场所登记结算系统，通过运用区块链技术，让监管者无需在监管对象主动报告的前提下即时、自动地获取准确真实的交易流程信息，①杨东：《监管科技：金融科技的监管挑战与维度建构》，载《中国社会科学》2018年第5期，第87页。以技术手段控制技术风险，②周仲飞、李敬伟：《金融科技背景下金融监管范式的转变》，载《法学研究》2019年第5期，第3～19页。令监管机构能够更快地调查违规交易行为或采取监管措施，实现对交易过程、资金结算的实时监测和数字化监管。此外，我国各地方政府正在研究搭建数据确权流通监管沙箱、数据安全沙箱，平衡数据融合与信息安全保护的共时性冲突，从而塑造包容的新型综合监管框架。

四、结语

我国正处于“十四五规划”的新阶段，未来经济发展的走向必然围绕数字经济展开新一轮定夺。我国数据要素资源总量大、种类多、范围广，虽然现阶段数据利用率较低，但我国应加快实现数据要素化，为日后数据产业形成比较优势创造条件。然而，我国数据交易存在“数据孤岛”效应、数据安全风险聚集、场内交易法律保障缺位等多重困境，主要由数据交易治理理念偏差、交易规范体系滞后以及安全保障机制阙如三方面原因造成，导致数据交易面临较大阻力。

数据交易的治理是一次从理念到制度再到具体措施的系统革新。直面我国数据交易中存在的挑战和制约性因素，我国应当重塑“以释放数据要素价值为原则，以数据安全风险防范为底线”的数据治理理念，以完备的交易规范体系和健全的安全保障机制为两个基本面展开。一方面，从构建数据二元财产权利结构、完善数据权益交易规则、明确数据自主定价、鼓励数据进场交易等层面，健全可交易数据的法律规范体系。另一方面，综合选用技术手段、制定数据处理标准，打造“数据可用不可见，用途可控可计量”的新型交易范式。同时，构建综合性的数据监管体系，提升数据交易创新治理能力，加快数据要素市场健康发展。