专栏名称: 新技术法学

究新技术法理，铸未来法基石

姬蕾蕾：企业数据交易的阶梯式规则构建

新技术法学 · 公众号 · · 2025-02-11 16:55

正文

点击上方蓝字关注我们

《法学论坛》2025年第1期（第40卷，总第217期）

摘要： 企业数据的权益归属不清、客体范围未定、权益定价不明成为数据交易面临的实践难题，亟需建立契合数据要素市场的数据交易制度。企业数据交易的持续性、非排他性决定了其交易规则设计应是集交易活动与数据处理活动于一体的阶梯式结构。隐私政策作为企业数据交易的前置规则，具有内部治理与外部监管的双重功效，可在个人、企业以及第三方监管部门之间形成完整的数据合规框架。数据集合作为数据价值生成机制的中间状态，因其上承载个人信息，故企业对数据集合享有有限排他权，这决定了其流通模式是许可使用，客体范围以“算法性+合法性”限定，权益定价规则根据数据类型、具体场景适用差异化的定价机制。数据产品是数据价值生成机制的最终形态，企业依原始取得获取数据产品的所有权，这决定其流通模式为许可使用和转让，客体范围以“算法性+独立性”限定，权益定价规则以预期收益为基准，并借助第三方专业机构评估，以确保其定价的客观性和准确性。

关键词： 数据要素市场；隐私政策；交易规则；数据集合；数据产品

一、问题的提出：以数据纠纷反推企业数据交易的实践困境

二、企业数据交易的特殊性及对规则构建的影响

三、企业数据交易的前置规则：隐私政策

四、数据集合的交易规则：以数据完整性为架构

五、数据产品的交易规则：以独立性为架构

结语

《中共中央、国务院关于构建更加完善的要素市场化配置体制机制的意见》指出，数据是与土地、劳动力、资本、技术等传统要素并列的第五大生产要素。2021年《数据安全法》第19条规定：“国家建立健全数据交易管理制度，规范数据交易行为，培育数据交易市场。”《中共中央、国务院关于构建数据基础制度更好发挥数据要素作用的意见》进一步指出，完善和规范数据流通规则，构建促进使用和流通、场内场外相结合的交易制度体系。数据作为数字社会的核心资源，促进数据流通、实现数据资源优化配置的最佳路径就是数据交易。作为一种新型生产要素，数据与土地、劳动力等传统要素的典型区别在于其上主体的多元性和客体的复合性，由此形成了利益层叠的复杂关系格局。因此，传统交易制度很难有效衔接这种新型商业模式，故如何构建数据交易规则体系，从而能够最大限度地激活数据潜能价值，为数据经济发展提供制度支撑，无疑成为当前数字法学研究的重要课题。

一、问题的提出：以数据纠纷反推企业数据交易的实践困境

健康有效的数据交易离不开对数据内生规律的清晰认知，以及外在规范的有效构建。当前，企业数据交易主要面临的困难包括内外两个层面。就内部架构而言，智能算法对个人信息的处理，可助力企业洞悉市场变化趋势，制定弹性经营计划来适应市场发展的需要。但也正是因为个人信息贯穿数据交易的整个环节，成为企业数据交易规则构建困难的元问题。就外部规范而言，数据交易存在一个悖论：由于数据买方需要事先了解或获取数据，从而确定数据的价值，但一旦买方了解了数据的内容，就相当于免费获取了数据，这直接扼杀了数据交易的活力。因此，即使国内数据交易所纷纷成立，数据交易却并不活跃，财产规则似乎并没有对交易双方起到激励作用。相反，在实践中，数据流通反而更多偏向于责任规则进行激活。我国数据交易市场尚处于起步阶段，但实践中涌现的大量数据竞争纠纷有助于反向推导出数据流通产生的具体问题，由此可以检验数据交易规范与实践的距离，进而矫正这种偏差。故本文甄选三则典型的数据竞争案例，以递进的方式呈现出企业数据交易的实践难题。

首先，企业数据的权属悬而未定。通过上述案例可以看出，数据权属不清是引起数据企业之间产生纠纷的直接起因。企业数据权益分配之所以在实践中存在困境，原因在于企业数据权益形态复杂以及多元主体并行使然，即数据与个人信息难以有效分离的自然属性，导致个人信息的人格利益与财产利益始终相伴相生，难以割裂。故协调个人、企业及第三方数据处理者之间的利益关系，成为实现数据健康有序流通的必要前提。

其次，企业数据的范围难以厘定。数据权属不清直接导致企业数据的范围很难达成共识，其中涉及三个关键点。其一，公开数据的范围如何确定？个人在平台公开的数据是否可以成为第三方平台抓取数据的依据，即“公开则无隐私”标准，暗含个人以行为表示“同意使用”的效果意思。这也成为第三方数据处理者进行抗辩的重要理由，但是法院一般以“公开范围的相对性”否定第三方平台的抗辩。其二，如果个人同意是数据来源合法的判断依据，那么用户同意的形式和权限如何确定？这是判断企业数据客体范围的重要因素。在“微头条案”中，案件的核心矛盾直指数据可携权的行使范围。法院认为“用户授权第三方平台使用数据不得超过在先平台的合法权益”，由此判定第三方平台移植数据的行为不正当，似乎体现了个人同意并不是第三方平台抓取数据的唯一判断标准。其三，数据与信息的关系同样也成为困扰企业数据范围确定的关键因素。在“淘宝诉美景案”中，法院认为两者是形式与内容的关系，因此当数据与信息内容不能形成对应关系的时候，个人不能在数据产品中享有财产权益。而在“新浪诉脉脉案”中，涉及的却是企业之间对个人信息的直接争夺。因此，在实践中很难单从数据结构、数量以及功能等维度来解释数据和信息的关系。

最后，企业数据的定价尚无定论。大数据的核心功能在于对相关问题进行预测，但这种预测功能并非绝对可以融入优化决策体系中，由于不同主体具备的技术、平台优势等因素的差异，数据体现的价值也会相差甚远。与此同时，数据在循环利用的过程中还具有增值的特征，这就很难一刀切的给出具体定价标准。基于此，在既有的数据竞争纠纷中，一方面，企业之间很难举证证明实际损失或者获利情况；另一方面，由于法定计算标准的缺失，法院只能在自由裁量范围内，就具体案件采用综合考量的方式估算损害赔偿数额。但综合裁量的因素并不统一，例如在“新浪诉脉脉案”中，法院的考量因素是“涉及用户范围、行为的危害程度以及双方过错程度”，而在“微头条案”中，法院以裁量性计算方式，将流量价值作为计算标准确定赔偿数额。

引起上述问题产生的根源在于，人们尚未理清数据的流转机制，对企业数据的交易结构建立在应然规范的愿景中。企业数据交易呈现的是多方利益融合且动态流转的实然状态，只有了解企业数据交易的特殊性，才能构建健康有效的数据交易规范体系。

二、企业数据交易的特殊性及对规则构建的影响

企业数据交易的困境是由数据的特性所决定的。若要分析企业数据交易的特殊性，就应该回归数据流转的客观规律，从而把握其本质特征，才能厘清企业数据交易的内生架构。

（一）企业数据交易的持续性

数据的价值在于流通，智能算法是其价值产生的内因，而流通是其价值落地的外因。数据之所以成为一项新型资源，其根本原因在于个人信息的可聚合性以及持续的流通性使然。在智能算法的应用下，数据企业利用相关关系进行智能化决策。但这种相关关系的聚合需要个人向数据企业持续传输个人信息，因为数据企业需要随时更新和掌握个人实时信息，才能保证决策的正确性，由此决定了“长期交换才是企业与个人之间数据交易的主要模式”。企业数据交易的持续性是数据不断升值的内生规律，但也成为引起数据竞争的重要缘由。当前研究成果过多聚焦于在企业数据交易中如何脱离个人信息，将数据直接作为一种商品进行转让或共享，进而从数据合规的视角去设定企业数据交易规则。实则割裂了数据与个人信息的共生关系，直接将个人信息保护作为数据合规的一项任务，抑或扩大数据交易合同的范围，将个人作为交易主体进行简单的权利义务分配，忽视了个人信息在数据交易过程中全方位参与的客观事实。因为，从数据价值的生成机制来看，数据交易的过程是一种动态的、持续的过程，在不同处理环节，涉及的主体参与者、客体价值形态都将进行变化和调整。

（二）企业数据交易的非排他性

个人信息在企业数据交易的持续参与事实，决定了企业之间的数据交易具有一定的非排他性。个人信息具有表征个人身份以及他人以此识别个人的社会功能，呈现出特有的公共性特征。同时，个人信息还具有无体性，从自然形态看不会形成独占支配力，其可以被无限复制，由多个主体在不同的场景同时使用，这也是个人信息与无体物区别的本质所在。故公共性和无限可复制性决定了个人信息具有一定的非排他性。这种非排他性是个人信息持续输入的必然结果，也是数据价值生成的基本前提。因为，信息产品的价值运动具有特殊性，不像物质商品的交换会随着对商品控制状态的变化而转移其全部价值。事实上，在智能算法的驱动下，数据恰是在循环往复的利用中不断升值。在数据企业与个人之间的数据共享中，前者需要不断收集个人信息，以便随时掌握个人的兴趣偏好、信用等级、健康状况等。而在数据企业之间的数据交易中，数据买受方寻求的是对持续更新的实时数据进行访问、复制和使用，由此和企业已有的数据在技术上实现整合。因此，数据交易各方很难也无需实现对数据的绝对排他控制。相反，当各个数据权益主体利用数据权利的绝对排他性受到消解，各个权利人对数据的利用往往呈现出叠合与并行的共赢局面。

（三）企业数据交易的特殊性决定阶梯性规则构架

企业之间数据交易的特性表明对于数据交易规则的构建，不能简单地套用传统的合同法规则，其中最核心的难题是如何解决利用个人信息引起的“价值悖论”，即个人信息既是数据价值生成的来源，又成为阻害数据交易的关键。企业数据交易过程贯穿个人信息的全生命周期，这决定企业数据交易规则的设计应是集交易活动与数据处理活动于一体的特殊结构。首先，数据交易的持续性决定了个人信息保护是一种前置规则。在数据交易中，企业不仅要重视数据利用价值的开发，还要关注对个人信息损害后果的预防。数据价值的生成机制是以“原始数据—数据集合—数据产品”的价值形态逐步增值的过程，即数据从代码符号逐渐生成反映具体内容的信息。依照数据的价值运动规律，企业数据交易的整个过程不能局限于交易双方的一次性传输，而是需要以个人为数据源持续更新数据，伴随个人信息的持续聚合，逐渐融入企业已有的数据或决策体系之中。然而在个人信息汇集的过程中，可能出现的数据泄露、数据歧视等风险也会激增。而风险规制框架可以更清楚地展现手段—目的之间的关系。这决定了个人信息保护作为数据合规的重心，应以数据交易的前置性规范进行单独设计。其次，数据交易的非排他性表明，数据之上形成的是多方主体共生的互联格局，企业数据交易规则的框架应该按照数据的不同价值形态递进设计，即区分数据集合和数据产品两个阶段进行阶梯性构建。其中，“同意”贯穿个人信息的全生命周期，既是个人进入数据处理活动的逻辑起点，也是企业之间进行数据交易的必备条件，成为连接数据交易参与主体的核心。在数据交易中，暗含个人“同意”的信息处理行为，非单一合同履约行为所能解释。不同的数据价值形态，因法律关系不同导致同意本身的内涵也应作不同性质的解读，以此为核心构建的数据交易规则自应有所差异。

三、企业数据交易的前置规则：隐私政策

企业数据交易的逻辑前提是处理个人信息的合法性，而隐私政策是企业数据合规在实践中的具体体现，在企业数据交易中处于承前启后的枢纽地位。隐私政策是数据企业向个人公示关于个人信息处理的告知与解释声明的实践文本，其作为企业数据交易的前置规则，具有内部治理与外部监管的双重功效，可以在个人、企业以及第三方监管部门之间形成完整的数据合规框架。

（一）隐私政策的性质：管理性合规规则

隐私政策的法律定性直接影响着参与信息处理活动中各主体之间的权利义务分配。目前关于隐私政策的定性主要存在两种观点：合同说和企业自律规则说。合同说认为，隐私政策是建立在双方合意基础上的协议，具有合同的特点。数据企业单独制定隐私政策是希望能取得用户对个人信息的授权，同时企业为用户提供免费或有偿的网络服务。企业自律规则说认为，数据企业在向个人提供服务时，会订立网络服务协议进而明确双方权利义务，而隐私政策所涵盖的范围较服务协议更宽泛。隐私政策在性质上是一种市场自律规则，体现了企业在个人信息保护方面的自我规制。还有学者并不对隐私政策作唯一定性，而是以个人是否点击同意为标准具体判断隐私政策的法律性质。亦有学者认为隐私政策兼具社会承诺、合同、企业治理以及行业自律等多重属性。

本文认为，知情同意规则是构架个人信息保护体系的核心，隐私政策作为知情同意规则在实践中的具体体现，直接关系到个人、企业以及监管部门之间的权重关系。合同说是从个人与数据企业的视角分析双方的权利义务关系，而企业自律规则说是从监管部门的视角来确定数据企业的义务和责任。因此，隐私政策的效力应该放在具体的法律关系中讨论。

从个人的视角来看，个人同意是企业处理数据的合法性基础，因此同意的内涵成为判断隐私政策效力的核心内容。隐私政策是否属于合同，要分析同意是否构成意思表示。在实践中，个人同意一般是用户以点击同意按钮的方式作出的，所以单以表示行为推定个人作出承诺的意思表示进而产生合同效力是否可行？个人同意具备表示行为、表示意思，但难以具备效果意思。很难推定，个人点击同意的行为具有向数据企业传输其数据的效果意思。相反，实践中，个人一方面不想勾选同意，又在使用app时不得不执行同意行为，从而引起隐私悖论。事实上，个人对于同意的理解与其实际含义之间的差距损害了个人信息自决权。故“同意”应属于准法律行为中的意思通知。在确定同意的性质后，很难认定隐私政策是个人与企业之间基于意思自治达成的协议，在逻辑上自然引出隐私政策是否是一种企业自律规则？个人同意在隐私政策中的功能是什么？

从企业的角度来分析，最早的“告知—选择”实践模式是企业处理个人信息的前提，具有双向管理的功能。“告知”是企业对收集、利用和共享数据进行的自我定义和管理，而“选择”是个人对隐私的自我管理。企业会主动制定隐私政策，向用户告知其隐私保护方式，以此获得用户信任，同时还可以借助隐私政策实现自我规制，减少行政机关的过度监管。这一点在美国法中可以得到印证，当企业违反隐私政策时一般是由美国联邦贸易委员会监管（简称“FTC”），FTC在解决纠纷时制定的同意令在美国隐私法中充当了普通法的角色。但是进入数字社会，企业对于数据的利用呈几何式增长，给个人造成的损害加大，逐渐形成一种群体性的社会损害。以自我监管为重心的“告知—选择”模式逐渐失灵，外部监管成为个人信息保护的重要模式。由此，处理数据的透明度逐渐成为企业数据合规的治理方向，隐私政策的功能定位开始呈现出明显的管理合规色彩。

（二）隐私政策的功能定位：内部合规义务+外部行政监管

进入数字社会，企业内部治理机制正在从自我监管向管理合规的方向发展。早期的个人信息保护体系适用于企业对个人信息处理的单一场景，治理机制具有企业自律色彩。但随着智能技术的应用，企业和个人之间在事实上呈现出不平等的关系，若再依赖早期的“行业自律+隐私自我管理”模式，很难保障个人的合法权益。伴随立法对企业的持续施压，数据企业几乎完全依赖内部合规程序对数据处理行为进行管理。而隐私政策的功能也从双向自我规制逐渐向外扩充，呈现出“内部合规+外部监管”的双重功能。

首先，从个人与企业的角度看，隐私政策是企业排除违法性的重要依据，也是个人保障其合法权利的法定文本。起初，隐私政策的功能主要在于个人对其信息处理的知情，以此确保个人的尊严和自主性。随着数字社会的到来，企业对个人信息的处理超出了个人的预期范围，算法可能会放大性别歧视、社会分选等，加剧个人和数据企业之间的不平等状态，导致个人无法通过有效行使控制权实现意志自由。因此，在个人信息保护领域，数据企业与个人之间不再仅是基于自由意志参与的信息处理活动，而需要立法强行干预，以确保个人在信息处理过程中的弱势地位，制约数据企业的强势地位。例如，欧盟《一般数据保护条例》不再聚焦于告知—选择规则，而是赋予个人访问权、数据携带权等权利，并建立具有执法权的监管机构。对个人而言，隐私政策是个人进入数据处理活动的依据，以知情的意思展开，全程以权利进入数据处理活动中，具有对抗第三方数据处理者的效力。而对企业而言，隐私政策是阻断数据收集违法性的判断依据，也可以调动企业进行主动合规的积极性。

其次，隐私政策是企业实现处理个人信息透明度的重要方式，也是监管机构进行问责的有效依据。从内部管理角度看，隐私政策是企业处理个人信息透明度的直接体现，它要求数据企业“清楚、显著、准确”地解释信息处理行为，其功能在于企业向监管机构、决策者和专家提供足够的合规信息。从外部规制的角度看，隐私政策又具有监管属性，是监管机构向企业追责的执行依据。在数字社会中，损害是一种社会性损害，具有强烈的公共色彩。个人信息侵权的这种特征归纳为“聚合效应”，因为无论是识别个人信息还是泄露个人信息，通常是由聚集的信息与相关风险汇集形成的。个人信息处理活动所带来的风险既具有“个体性”，更具有“公共性”。例如，信息的流通利用、信息安全等因素，所指向的不仅仅是个体性利益，而是具有极强的公共性色彩。因此，个人信息权益必须在个人维度上进一步向社会的群体维度扩展，这就要求以公共监管机制进行执法保障，即以责任方式强制性要求数据企业履行其数据保护义务。隐私政策是数据企业在处理个人信息的过程中，遵守公开透明原则的实践文本。当数据企业违反个人信息权利对应的合规义务时，监管机构亦可以此作为向企业进行问责的有效依据。至此，围绕隐私政策，形成以个人控权、企业合规、行政监管的相结合结构可逐渐矫正个人与企业在事实上的不平等关系。

（三）隐私政策与数据交易合同各司其职

以隐私政策为文本展开的个人信息保护规则，直接影响着数据权属的确定，成为数据交易的基础性前提，两者相互独立，各守其职，保障数据要素市场的效率与安全。首先，隐私政策可以直接限制数据交易合同的效力。当个人在隐私政策中选择同意后，个人与数据企业之间形成一种个人信息处理关系，这种关系并非合同关系，而是企业处理个人信息的合法性基础。以此为分水岭，数据权属的确定以及后续流转的利益分割才具有了合法依据。即使个人与企业形成有效的基础性合同，个人信息处理为履行合同所必需，这种处理也应锁定在必要性上，否则也会导致处理个人信息合法性基础丧失。其次，数据企业在共享数据时，隐私政策中的合规义务直接约束第三方数据企业。《个人信息保护法》第21条规定委托人要对受托人的个人信息处理活动进行监督。这表明，隐私政策确定的数据合规义务延伸至第三方数据企业。另外，隐私政策作为数据透明化制度的实践工具，也是监管机构对第三方企业进行监管的依据。最后，即使在数据交易合同无效的情形下，第三方数据企业也必须履行数据合规义务。例如，我国《儿童个人信息网络保护规定》第16条第2款规定受托方保护儿童信息的义务，这属于法律为保护信息安全提供的缺省规则，即使企业数据交易无效，第三方数据企业也必须履行数据合规义务。一旦个人信息受到侵害，个人可以直接对抗第三方数据企业。综上，隐私政策与数据交易合同相互独立，隐私政策作为数据交易的前置规则，确保了个人信息处理活动中全套保护程序的有效适用。

可以看出，隐私政策作为个人信息保护的实践工具，是确定数据源合法的依据。即以“合规+赋权”的方式贯穿企业数据交易之中，在数据生产阶段以合规为重心进行前置安排，在数据流通阶段以赋权为手段保障个人对其信息的控制。以此为起点，按照数据价值的生成逻辑，企业数据交易应围绕数据集合和数据产品的数据增值轨迹进行设计，以契合数据流转的客观规律。具体而言，数据集合和数据产品作为不同的价值形态，二者因涉及的主体、行为、形态、场景等因素的不同，在数据权属、交易范围、数据定价规则方面都呈现出明显差异。

四、数据集合的交易规则：以数据完整性为架构

数据集合是以数据源为基础形成的海量数据资源，其价值是挖掘出庞大数据库独有的价值，因而必须作为一个整体资源才具有效用价值。故数据集合交易规则应该围绕“完整性”框架加以建构。

（一）数据集合的权益分置规则

数据集合是数据企业通过隐私政策收集个人信息之后形成的数据资源，其整体上属于一种数据财产。数据交易问题涉及法学、计算机学、伦理学等多个学科，对其研究不能囿于传统法学理论，而应融合法律与技术进行多维度探索。故对数据集合，可从数据合规的应然逻辑、数据集合的客观属性、司法实践的裁判现状来确定各权益的应然归属。

第一，从数据合规的应然逻辑可知，隐私政策对内是个人控制个人信息的典型体现，对外是企业控制数据的合法依据。对个人而言，在传统线下社会，信息保护秩序建立在信息自由的基础之上，个人信息的处理无需经过个人同意，这是个人信息的社会属性使然。但在数字社会中，非经个人同意他人不得处理其信息。这是缘于自动化技术大规模处理个人信息所引发的新诉求，故个人控制其信息的法律利益在本质上是一种信息自决。因此，违反知情同意规则是认定企业处理个人信息违法性的主要判断因素。对数据企业而言，当其采用隐私政策合法收集个人信息后汇集成资源，已经凸显出经济价值。故数据企业可依据对数据集合的合法利益对抗第三方数据企业的不当抓取，还可以对自身控制的数据集合进行共享和交易。由此可见，是否获得个人同意、数据处理是否达到安全标准属于数据合规的范畴，个人信息保护制度始终约束着数据集合共享的过程。第二，从数据流转的客观属性看，数据集合的显性属性是财产利益，但人格利益始终附着其上，因而呈现出数据主体共存的权益格局。在数字社会中的个人信息因完整性与可识别性决定了其具有人格属性，因其天然蕴含的财产基因而具有效用性、稀缺性、可控性和流通性，具备了成为财产权客体的可能。当数据企业收集个人信息形成数据集合后，其财产属性凸显。此时数据企业对数据集合处于事实控制的状态，但个人并不因此丧失人格利益。第三，从司法实践的裁判现状看，一方面，法院肯定数据企业对数据集合的财产性权益，算法投入是法院认定数据企业享有竞争性利益的依据；另一方面，个人信息保护的公益诉讼制度成为救济信息群体利益的重要方式，这表明法院认可个人对其信息享有财产权益。因此，个人和企业对数据集合权益处于共享状态，这种共享是完整财产权权能的分解和重置，二者是平行、平等、共生的共有关系，均基于法律规定原始取得个人信息财产权。只是数据企业对数据财产权益享有积极控制权，而个人目前只能借助于消极方式实现有限财产权益。

综上，数据集合的形成是数据企业和用户群体合作生产的结果，双方对数据集合均有利益期待，因此很难将其上权益仅分配给一方主体。基于此，二者的权益应该进行分置：个人作为数据之源，为企业数据提供生产要素，其个人信息之上的人格权益归属个人并无疑问，而根据社会现实的表达，其财产权益暂时只能通过消极救济方式实现。数据企业是数据价值生成的制造者，享有的是保证数据集合完整性的有限排他使用权。

（二）数据集合的许可使用规则

以有限排他使用权为基础的共享配置规则，决定了数据集合应是以许可使用为数据交易的驱动模式，这样的交易逻辑决定了数据集合的限定范围以及许可使用规则的构成。

1.数据集合的范围限定。在既有的权利客体中，数据与智慧成果最为相似，因此，知识产权制度中的著作权、商业秘密可对非公开数据形成的数据集合发挥保护机制。对在整体上处于公开状态的数据集合因不具秘密性、独创性而很难纳入知识产权制度中。基于算法产生的社会变迁，形成了数据交易的社会基础。因此，在新型的社会关系中，就数据集合范围的界定，可提供的思路仍应围绕数据的特性，融合算法技术来解决。

数字社会是以算法技术为核心的社会形态，因而数据（含个人信息）的内在法律特性也具有可计算性。如果“算法性+可识别性”是判断个人信息范围的核心依据，那么“算法性+合法性”亦可以反向确定数据集合的客体范围，即采用技术评价+规范评价的双重标准。首先，从技术视角看，个人信息因算法技术的客观记录产生社会典型公开性，个人信息的可识别性成为判断个人信息权益是否受到侵害的关键，因此作为客体意义上的个人信息应当具备算法识别特征。当数据企业采用算法技术将个人信息汇集蜕变为不可识别的数据集合后，聚集成以代码符号为形式的数据资源，便具有了算法性，这解决了数据形式与个人信息内容难以区分的难题。经过算法处理的数据并不以形式、大小进行区分，只要经过算法处理的非个人数据就具有一定的价值。其次，从规范评价上看，虽然个人信息始终贯穿数据价值的生成过程，但当企业遵守相关合法性规范时，数据集合的价值便具有了合法性。例如，《网络安全法》关于数据保密原则、匿名化原则等，《数据安全法》关于数据风险监测、数据风险评估等数据安全义务的规定，都包含了数据合法性的标准。因此，合法性可以破解公开性导致数据集合客体难以确定的难题。

2.数据集合许可使用的核心内容。数据集合的许可存在个人在隐私政策中的同意和企业双方缔结合同的承诺，当企业将数据集合授权给第三方企业使用时，隐私政策的效力延伸至第三方。此时，数据集合的许可使用合同需要具备两个同意和一个承诺，才能构成一次完整的交易。首先，企业通过个人同意获取合法有效的数据集合，此时的同意是数据共享的前置性条件，是企业处理个人信息的合法基础，此为第一个同意。需要注意，订立、履行合同所必要和同意作为个人信息处理活动的两种合法性基础，不能被合并，也不能模糊二者之间的界限。前者源于个人内心的意思表示，而后者则为法律规定。因此，仅有有效的承诺但缺乏信息主体的同意，并不能排除企业处理个人信息的违法性；而仅有个人同意但缺乏个人承诺，很难说企业与个人缔结了有效的合同关系。这样区分的意义在于，在具体的情景中分别判断信息处理行为和合同行为的效力，区分适用不同的保护规则。其次，企业之间通过要约和承诺缔结有效的数据集合许可使用合同，此时第三方企业需要经过个人的再次同意，此为第二个同意和一个承诺。同意的要件应该区分特殊个人和普通群体来分别判断。当个人是名人或明星等特殊主体的情况下，因特殊主体享有其个人信息财产权益控制权，双方之间具有平等的谈判能力，多依合同规则实现财产利益。个人的同意此时构成承诺式同意，即使双方均未获得在先平台的授权，同意依然有效，此为个人的第二个同意和一个承诺。当个人是普通主体时，第三方企业获取的是群体聚集的数据集合，企业对其既具有财产性利益，又具有数据合规义务。平台授权既是一项权利，也是平台的义务。因此，个人的同意并不绝对产生合同效果以及信息处理的合法性基础，第三方企业需同时获得个人同意和企业承诺才能构成一个合法有效的许可使用合同。由于个人很难预判信息处理活动中的可能风险，即使企业之间构成有效的许可使用合同，个人也能随时撤回同意。

（三）数据集合的权益定价规则

在确定数据集合的权益配置以及流转规则后，如何对数据定价是数据交易的又一难题。数据要素的定价是促进数据可持续交易、激发数据活力的核心。如何从法律层面设计数据权益的定价规则，对于保护市场交易安全、认定数据纠纷的损失赔偿范围都是绕不开的问题。

1.数据定价的既有规则。目前对于无形资产的传统定价方式主要包括成本法、收益法、市场法以及价格区间法。成本法是按照数据要素定价，将数据集合或产品所需投入的全部成本作为数据资产价值的基准。以成本法评估数据价值有利于支持数据生产者的再生产能力，维持数据生产交易的可持续性。缺陷在于无法计算直接成本和间接成本，更难以预估因数据准确性、完整性产生变化而导致数据效用贬值的数额。收益法是通过评估数据未来的预期收益并折算成现值，以确定数据资产价值的基准。其优点在于由数据效用收益大小决定数据价格高低，符合市场化的数据定价机制，也更适合商业数据的估算方式。缺陷在于数据具有时效性，很难对数据产生的未来收益进行精确估算，更难从企业收益中单独抽离出收益数额。市场法是基于相似的数据集或数据产品的近期交易价格，通过对比分析，确定数据估值的基准。市场法适用的前提是具有一定的数据交易量，其优势在于适用于针对性领域，如证券数据、气象数据等，可以充分发挥市场作用，减少人为干预因素。缺陷在于目前数据交易处于探索阶段，市场的样本量和流动性非常有限，这导致市场缺乏公允价格。价格区间法是综合上述三种方法界定数据的上限值和下限值，在此区间内由数据交易双方协商确定最终的交易价格。这种方法较容易为交易双方接受，一般由第三方主体提供基础性的定价框架，再由交易双方谈判之后在价格上达成一致。但缺陷在于在谈判过程中双方可能投入大量的时间成本，同时由于信息不对称，极可能会出现数据估值的极大偏差。

2.数据集合的定价抉择。当前，数据交易尚处于探索阶段，完善成熟的定价规则体系还需要数据交易的反复交易和积累，才能形成一个可供参考的价格基准。就现阶段确定统一的数据定价规则并不现实，因此，可从算法维度，结合数据利益类型、数据处理的具体情景适用差异化的定价机制。

数据互通是数据产品形成的必经阶段，为打通数据孤岛、共享各行业数据，企业之间多是以“数据换数据”“数据换服务”的方式促进数据流通。数据集合处于数据价值流转的中间状态，因未经过精细加工而以半成品的形式呈现，买方在不同场景因不同需求而具有异质性的特征，因此数据集合的价值并不高且价格很难统一。此时从数据集合的应用场景、具体类型入手，适用成本法和收益法对数据集合进行估值，更有益于数据的持续流通。首先，成本法一般易于操作且定价较为直观，可适用于以“数据换取数据”的场景。在该类场景中，数据共享方的目的一般较为明确，通过对数据资源的交换达到利益最大化。此时对收集成本不大的公开数据以成本法估价为主，再“结合各方企业的贡献程度对数据集合进行差异化定价”，有利于促进数据的共享流通。而且对某些付费的个人敏感数据可以直接作为补偿机制计算企业的投入成本。其次，在“以数据换取服务”的情景中，对于用户原生数据以及行为数据，可通过收益法，根据数据需求方的实际收益所得、使用次数或时间等，按比例支付给数据出卖方。例如，对于用以广告精准推送的用户行为数据，可通过广告收益和成本的线性定价来获取利润差。

五、数据产品的交易规则：以独立性为架构

数据产品作为一种独立的商品存在，满足了作为财产权利客体的可支配性要求，具有独立的竞争性与排他性，此时数据企业的利益诉求达到最大化，其交易规则应围绕“独立性”框架进行构建。

（一）数据产品的权益归属规则

数据产品具有独立的财产属性，技术优势成为数据企业享有财产权益的主要依据。在该部分从数据产品的生成方式、客体属性以及数据产品纠纷的裁判立场论证其独立性价值，权益归属并无太大疑问。

首先，从数据产品的生产方式看，算法技术具有独立性特征。数据集合和数据产品的区别在于前者是对数据资源的保护，而后者是对数据分析结果的保护。数据企业使用算法技术对数据集合深入分析和建模，这种算法分析演绎为人工智能。得益于算法在数据收集中的质变，人工智能技术进入了自动化学习和深度学习的阶段，本质上属于智慧成果。因此，数据产品实现了媒介属性和技术属性的高度融合，主要表现为对相关数据进行预测指导的数据分析工具。其次，从数据产品的客体属性看，因其不再包含可识别的个人信息而具有独立的财产属性。基于智能算法的独立性，以算法为区分线，经过算法处理并质变的数据产品，与个人信息在内容上不再具有对应性。最后，从司法实践的裁判立场看，涉案双方之间的纠纷聚焦于“数据产品的技术创新”，主要表现为侵权人通过数据技术恶意侵入被侵权人的数据产品抓取数据，改变数据原本的架构，干扰数据产品独立运营的行为。法院也以是否侵害数据产品的独立性作为涉案主体侵权成立的基准。

可以看出，数据产品符合深层加工的归属规则，应由数据企业依据原始取得的方式获取所有权，这不单是对数据企业投入成本的肯定，更是对其作为新型财产本身的全面回应。

（二）数据产品的许可、转让规则

数据产品和数据集合在权益主体、法律属性的不同，决定了两者的交易规则存在区别。

1.数据产品的范围限定。首先，数据产品是数据价值生成机制的最终形态，其产生自然离不开算法技术的投入，所以对其范围界定的首要因素即算法性。数据集合的形成虽然也依赖算法，但其难以和用户已有数据实现技术层面的融合，因而价值实现高度依赖具体的场景和服务，很难成为一种标准化产品。但数据产品则是一种可变现的增值产品，其核心价值是智能算法。数据企业运用智能算法对数据集合进行清洗、过滤、建模最终形成封闭式的数据分析工具，具有技术创新性和独立可控性，已经具备清晰的权利客体外观。实践中，法院也持相似观点。其次，数据产品具有绝对排他性。数据产品是经过算法处理并变异的数据产品，所折射的是具有独立价值的新型产品。实践中，“生意参谋”“数据银行”等数据产品，就呈现出独立的商品价值，其增值方式是他人获取信息需要付费才能进入。当平台得以明确收取一笔“入场费”时，表明平台连接口本身就是一种专利、代码等知识产权，能够在技术市场上进行交易，就构成独立的产品。最后，数据产品还需要符合合法性原则。尽管数据产品已经脱离个人信息，成为独立的可交易产品，但数据企业仍要遵守数据合规义务。算法技术虽然已对个人信息进行了匿名化处理，这只是符合《网络安全法》第42条规定的合法性处理要件，是数据企业进行安全风险管理的技术措施。去个人标识的数据本质上仍属于可识别个人的数据，因此，仍然应受个人信息保护法的调整。只是这种合法性更多体现为算法技术设计的伦理性价值。

姬蕾蕾：企业数据交易的阶梯式规则构建

正文

请到「今天看啥」查看全文