作者丨韦雪萍
机构丨安杰世泽律师事务所
* 本文为威科先行首发内容,未经授权请勿转载
自从我国第一个数据交易所——贵阳大数据交易所于2015年成立以来,我国的数据交易市场已快速发展,并涌现出多家数据交易平台。截至2025年1月,已成立超过60家数据交易机构。
数据交易所通过其规范化、透明化和公开化的市场环境,积极促进数据的安全流通和价值释放。交易所不仅为企业提供了合法合规的数据交易平台,还通过引入多元化的交易模式和完善的监管机制,推动数据市场的健康发展。特别是在跨境数据交易中,数据交易所通过严格的合规审查和风险防控,确保了数据流通的安全性与合规性,为国内企业参与全球数字经济提供了更大的发展空间。
跨境数据贸易分为场内跨境数据交易和场外跨境数据交易。场外跨境数据交易由于其本身属性,多数情况下是私域流量/数据的交易,面对更为广泛存在的公域流量/数据的交易仍不明确也难以操作,且存在巨大的信任危机和合法性风险。[1]场内数据交易可界定为:在数据交易所及下设交易平台进行的、以合规数据、数据产品为交易对象的、发生在数据供需双方之间的买卖。[2]场内跨境数据交易,即在政府主导模式下经批准成立的数据交易所内进行的跨境数据流通和交易(包括跨境数据在境内的交易和数据出口两个方面)。
场内交易不同于传统的场外交易,其核心特点则包括规范化交易流程、合规审核和数据安全保障。在数据交易所内通常会设立明确的交易规则和合规要求,提供包括数据资产的确权、交易证书、合规评估等服务,数据的供需双方可以在平台的管理和监督下进行交易,从而降低跨境数据交易的合规风险,并提高了交易效率。
各大数据交易所内的跨境数据交易大致包含以下几个主要的流程与步骤:
跨境数据提供方(即“跨境数据卖方”)首先需要将可供交易的跨境数据(包括对数据的详细描述、分类、设定价格、明确数据授权和使用条款等)上传至数据交易平台。跨境数据卖方必须确保上传的数据符合法律法规的要求,并确保其不侵犯他人合法权益。例如,涉及个人信息的数据,必须在获得数据主体的明确授权后才能上传。若数据涉及敏感信息,还需要遵守《数据安全法》与《个人信息保护法》等相关规定,确保不违反国家对数据流动的限制。
一旦数据上传到数据交易平台,交易平台将进行严格的审核程序,确保数据的合法性、安全性与合规性。审核过程中,平台会检查数据是否符合相关的法律法规要求,如《网络安全法》与《数据安全法》中的数据保护条款,确保上传数据未涉及非法或敏感内容。此外,平台还会核查数据提供方是否具备合法的数据授权,并确保数据没有侵犯第三方的知识产权或个人隐私。如果数据符合审查要求,它将进入平台的交易市场,供买方选择和交易。
在数据经过审查后,数据买方可以在平台上搜索并筛选所需的数据。平台通常会提供数据的详细信息,包括数据的类型、描述、供应方的背景、价格等。买方可以根据自己的需求与数据提供方通过平台进行沟通和谈判,确认交易的具体条款。平台的交易系统将帮助双方进行匹配,确保卖方能够提供符合条件的数据,买方获得其所需数据。
当买卖双方就数据交易的具体条款达成一致后,平台会生成一份正式的交易合同,明确数据的所有权、使用权、价格以及支付条款等。合同签署后,买方会通过平台支付约定金额。支付通常会通过第三方支付系统完成,且支付过程应符合《支付结算办法》和相关反洗钱法律的要求。
在买方完成支付后,数据交付进入执行阶段。数据提供方将按照约定方式交付数据,通常通过线上下载、API接口等形式。平台将协调数据交付过程,确保数据的完整性、准确性以及及时交付。卖方确认数据交付并保证其无误,买方则验证收到的数据是否符合交易约定。一旦数据交付完成并得到确认,交易双方便完成了数据的转移。平台需要确保数据传输的安全性,避免数据在交付过程中被篡改或泄露,特别是涉及敏感信息。
数据交付完成后,交易进入结算阶段。平台会核对买方的支付信息,确认交易款项已经到位,并确保资金与数据流动的对等性。履约环节的合规性非常重要,若出现任何违约行为,平台需要根据合同条款进行处理,例如要求违约方赔偿损失或承担其他责任。如果一方未履行合同约定,平台有责任协助解决争议并采取必要的补救措施,确保交易能够顺利完成并避免因履约问题产生的法律纠纷。
交易完成后,数据买方根据合同约定使用购买的数据。平台会对数据的使用进行监控,以确保其使用范围和目的符合合规要求。若数据涉及个人信息或敏感数据,平台可能会实施额外的措施来确保数据不被滥用。例如,平台可能要求买方仅限于特定用途使用数据,并定期检查数据的使用情况,以确保其符合《数据安全法》和《个人信息保护法》中的相关规定。如果数据被发现超范围使用或违反合规要求,平台有责任采取相应的制裁措施,并追究违法方的责任。
在整个数据交易过程中,如果出现纠纷,平台通常会提供内部调解服务,帮助双方通过非诉讼方式解决争议。如果纠纷无法通过平台内部机制解决,可能会进入司法程序,平台需协助提供交易记录和相关证据,支持法律解决过程。在此过程中,平台有责任确保所有交易的透明性和可追溯性,依照《民事诉讼法》与《仲裁法》等法律规定处理争议,确保交易双方的合法权益得到维护。
数据是国家重要的战略性资源,任何组织和个人开展数据处理活动都必须遵守法律和法规。[3]场内跨境数据贸易的合规要求不仅是确保数据流通安全和高效的基础,也是促进国内外数据交易合作的重要保障。尤其是跨境数据出口,更需要严格遵循一系列国内外法律法规、国际数据保护规范以及数据交易所设定的交易规则。
1.《中华人民共和国网络安全法》(2017年实施)
该法首次提出了数据出境的安全评估制度,规定关键信息基础设施运营者应当将在中国境内收集和产生的个人信息和重要数据存储在境内,如因业务确需出境的,必须遵循国家有关法律法规并应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估[4],以确保数据的安全性和可控性。
2.《中华人民共和国数据安全法》(2021年实施)
该法为重要数据的跨境传输设定了具体的合规框架,并特别针对涉及国家安全、社会稳定以及公共安全等方面的“重要数据”规定了严格的风险评估和报告机制以及数据安全审查制度。数据处理活动参与者需要定期向监管部门报告,并按照法律规定采取必要的保障措施,以确保数据传输过程中的安全性,防止数据泄露或滥用。
3.《中华人民共和国个人信息保护法》(2021年实施)
该法明确规定了个人信息在出境时的合规要求。根据该法,个人信息处理者在跨境传输个人信息时,不仅自身需要满足法律规定的有关条件,同时必须确保数据接收国提供的保护水平符合不低于我国法律的要求,或者采取适当的保护措施,如签订标准合同条款或通过其他认证机制来保证数据的安全性[5]。此外,个人信息的跨境传输必须经过数据主体的单独同意,并告知数据主体数据将如何被处理和使用[6]。
该办法明确了数据出境安全评估的申报情形并规定数据处理者需进行风险自评估并向省级网信部门申报评估。数据出境安全评估流程从数据处理者的风险自评估开始,完成自评估后提交省级网信部门,再由国家网信部门进行审批。评估内容涉及数据出境的合法性、目的、范围、数据保护措施及接收方的数据安全保障能力等。
5.《个人信息出境标准合同办法》(2023年施行)
该办法明确规定了适用《标准合同》的主体条件,重点通过合同约定个人信息处理者与境外接收方的权利和义务,保障信息主体的权益,并规定了合同的优先适用性和备案要求。合同强调境外接收方的义务、个人信息主体的权利及救济机制,并设有违约责任。
6.《促进和规范数据跨境流动规定》(2024年施行)
该规定强化了数据出境的合规管理,确保数据安全,并通过评估和认证机制减少跨境数据风险。数据处理者需要识别并申报重要数据,对于不涉及个人信息或重要数据的跨境数据传输,可免于申报和合规要求。特定情况下,如紧急保护生命安全等,数据处理者也可免于部分合规义务。此外,关键信息基础设施运营者和大规模个人信息传输的企业需进行安全评估或签订标准合同。自由贸易试验区可制定数据出境管理负面清单,简化数据跨境流程。
该条例于2025年1月1日施行,一方面明确了个人信息和重要数据跨境传输的具体条件,为网络数据处理者向境外提供网络数据提供了明确指引。另一方面强化了数据跨境流动的安全管理要求,规定国家将采取有效措施防范和应对数据跨境风险与威胁,并明确禁止提供用于破坏或规避技术措施的程序、工具等,从而为数据跨境流动提供了坚实的安全保障。
此外,各省、自治区、直辖市人大及其常委会也根据本地区数据流通情况制定和公布了地方性数据法规以兹遵循。
GDPR是全球最具影响力的数据保护法规之一,对数据跨境流动提出了严格要求,确保个人数据在全球流动中始终得到充分保护。根据该条例,欧盟委员会可以根据目标国的数据保护水平,认定其为“充分保护”国家,允许数据在没有额外保障措施的情况下自由流动。对于没有获得充分性决定的国家,数据传输方必须采取适当的保障措施,如签订标准合同条款(SCCs)或遵守批准的行为规范,以确保数据安全。此外,GDPR也允许在特定情况下,如数据主体的明确同意或合同履行需要的情况下,进行跨境数据传输。
2.《全面与进步跨太平洋伙伴关系协定(CPTPP)》
CPTPP在数据跨境传输方面的规定着重于平衡促进数据自由流动和保护隐私安全之间的关系。该协定明确禁止成员国对跨境数据流动实施强制性的数据本地化要求,即各国不得要求数据在国内存储或处理。同时,协定强调成员国应保障数据传输过程中个人隐私的保护,要求采取合理的法律和技术措施确保数据的安全和保护个人信息。尽管CPTPP推动数据跨境流动的自由化,协定也允许成员国在必要时基于公共政策、国家安全、执法或防范欺诈等理由采取适当的限制措施,但这些限制必须遵循非歧视性、透明性和比例原则,避免不合理的贸易障碍。
DEPA是推动亚太地区数字经济发展的一项协议,其中的重点之一是加强数据流动的自由化。该协议支持跨境数据流动,但同时要求签署国确保数据隐私和保护措施符合法律标准。DEPA还提到,签署国必须采取措施,确保在处理个人数据时不会侵犯个人隐私,并推动跨境数据传输的标准化。该协议强调了数据流动的透明度和信息共享的重要性,通过设置共同的数据保护标准和合规框架,确保各方在开展数字贸易和数据交换时遵守相关规定。
国内各大数据交易所设定的交易规则也是确保跨境数据交易合规的关键环节,为跨境数据贸易的合规性提供了有力保障,确保数据流通的合法、安全、高效。我国大部分交易所都在其交易平台上制定了详细的规则和指南,旨在保障交易的透明性、公平性与安全性。这些规则通常包括:
交易所对数据产品的确权和评估标准进行了严格规定,以确保交易中的数据产品合法、有效、且没有侵权行为。例如,数据交易所会要求数据提供方出具合法的数据所有权证明,确保交易的每一环节都符合合规要求。
数据交易所通常会要求所有参与交易的主体公开交易内容、数据属性以及使用范围,确保交易过程的透明度。同时,交易所也会定期审查平台上的数据交易活动,确保交易合规且符合国家的法律法规。
数据交易所通常会采用先进的加密技术、区块链等技术手段保障数据在交易过程中的安全性。同时,交易所要求参与者遵循严格的隐私保护条款,以确保数据的安全流通。
针对跨境数据出口,交易所通常会设定严格的审查机制和合规流程,确保数据在跨境出口中的合规性。例如,上海数据交易所要求对跨境数据出口进行合规审核,并要求数据出口方提供合规证明,以确保符合国内外的数据保护法律。
合规性是保障交易稳定性和可持续性的核心要素,现结合《上海数据交易所数据交易安全合规指引》、《数据交易第1部分:数据流通交易合规指南》、《数据交易合规评估规范》(DB4403/T 564—2024)、《数据合规审计指南》(T/CITIF00 1 2024)等文件,为确保场内跨境数据单次交易以及长远发展中主体合规、标的合规以及流通合规提供合规建议。
对于跨境数据在场内交易的,数据交易所通常要求交易主体必须提供合法有效的企业或机构登记证照、税务登记证明、网络安全等级保护备案、近一年内未收到与数据交易有关的行政处罚与行业处分证明以及其他相关资质证书,以确认其具备合法从事数据交易的资格并且合规风险较低。此外,对于跨境数据出口的主体,还应具备数据出境许可或备案证明。
对于跨境数据在场内交易的,在开始交易前,交易双方应确保历史记录合规,确保没有历史上的重大违法违规行为(包括是否涉及数据泄露、虚假交易或违反行业标准的记录)。对数据出口的各方主体还应当综合考虑不同地区的合规背景。例如,欧盟企业必须遵守GDPR等严格的个人数据保护要求,而美国公司则可能需要符合《加利福尼亚消费者隐私法案》(CCPA)等地方性法规。
数据供方所交易的数据必须来自合法的渠道。特别是涉及个人数据时,数据的收集、处理、存储和共享必须符合《个人信息保护法》及相关规定,并获得数据主体明确的同意。针对商业数据、企业数据、公共数据等其他类型数据,也应确保来源合法,确保没有侵犯他人知识产权或违反相关商业秘密保护规定。
数据交易过程中,交易主体应确保数据在流通中的合法性、安全性和合规性,尤其关注数据出口过程中的合规性:
1.确保同时遵守数据买、卖双方所在地的法律法规
在我国,数据出境需要符合《数据安全法》和《个人信息保护法》的要求,特别是涉及敏感数据和重要数据时,必须履行数据出境安全评估程序。而欧洲国家通常要求数据跨境流动必须符合GDPR的严格标准,且可能要求签署数据处理协议(DPA)或采用标准合同条款(SCCs)等方式保障数据的合法性和合规性。
2.数据脱敏与匿名化处理
