作者:林洹民,中央财经大学法学院副教授。
来源:
《法制与社会发展》2025年第1期(第172-187页)。(责任编辑:朱振、曲颢
)
明确数据交易合同的民法属性及其规范框架,是建设数据交易制度体系的前提和基础。实践中的数据传输与访问活动围绕数据使用权展开,数据交易合同应被界定为数据许可使用合同。数据供方与数据需方是数据许可使用合同的缔约人,个人信息主体并非合同当事人,个人同意与否并不影响合同的成立与生效,但可以影响合同的履行。鉴于数据供方在数据市场上的优势地位,契约自由原则应被适当限制。法秩序应通过《民法典》中的内容控制规则,调整数据许可使用合同中的使用权限制条款、单方变更和终止权条款,避免数据供方过度钳制数据需方的经营自由。相较于强制性的互联互通,更优的路径是借助私法上的一般强制缔约制度,要求数据供方在一定条件下不得拒绝数据需方的缔约请求,从而有效地促进数据流通。借助灵活的合同工具以及《民法典》中的合同规则,完全可以建立既尊重当事人意思自治,又兼顾数据流通与公平的数据交易体系。
关键词:数据交易;数据使用权;数据许可使用合同;内容控制;强制缔约
一、问题的提出
2022年12月2日,《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称《数据二十条》),将完善和规范数据流通规则作为建立数据基础制度的重要举措。2024年的《政府工作报告》再次强调“健全数据基础制度,大力推动数据开发开放和流通使用”,并将之视为发展新质生产力的前提与基础。合同是扩张自由最为灵活的媒介。数据流通制度的建设,离不开数据交易合同这一基本工具。
根据国家市场监督管理总局与国家标准化管理委员会起草的推荐性标准文件《信息安全技术 数据交易服务安全要求》(征求意见稿)第3.3条以及中国信息通信研究院牵头起草的《数据交易合同(示范文本)》第2条,数据交易是指数据供方与需方以合同约定的数据产品为交易对象,以货币或非货币形式进行的价值交换行为。交易并非清晰的法律概念,买卖、租赁、承揽、委托、保管等均属于交易的具体形式。上述定义并未清晰地界定数据交易合同的法律属性,难以成为指导司法实践的裁判规则。例如,数据供方往往通过数据交易合同限制数据需方的数据处理行为。如果数据交易被界定为数据买卖,则上述约定将因过度限制买受人自由而无效。然而,若数据交易被理解为非买卖关系,则对数据需方的数据使用限制未必无效。此外,个人数据交易关涉个人信息主体的利益。个人信息主体是否属于数据交易合同缔约方,个人的同意对数据交易合同的成立、生效和履行有何影响,同样是数据交易实践中的重要议题。最后,监管政策要求互联网平台之间“互联互通”,是对营业自由的干涉。如果能借助《民法典》提供的合同工具促进数据流通,我们将有效地化解因公权力过度干涉市场而产生的合法性危机。一言以蔽之,廓清数据交易的法律属性与合同构造,将有助于指导数据交易实践,在保护个人信息权益的基础上促进数据流通,助力数据基础制度真正落地运行。
欲建立数据交易的法律规范框架,必须充分了解数据交易实践。没有精准理解“事物本质”就贸然配置规则,不但无助于解决问题,甚至可能产生“治理赤字”,导致秩序失调。有鉴于此,本文尝试从实践出发,调查数据交易业态,界定数据交易合同的法律性质,并在此基础之上讨论数据交易合同的缔约主体与契约自由限制。需要说明的是,本文主要关注狭义上的数据交易,即企业之间的数据传输与访问行为。广义的数据交易还包括数据委托处理与数据产品加工买卖。在数据委托处理与数据产品加工买卖的情况下,法律人可以通过类推适用《民法典》中的委托合同规则、买卖合同规则等相关规则进行处理。数据的传输与访问是数据交易中最重要的交易形态,关涉合同自由、个人权益以及数据流通等多元价值,规范框架最为复杂。本文因此选择狭义上的数据交易为研究对象。
在不同的数据交易模式下,对数据交易的法律定性将有所不同。《数据交易合同(示范文本)》第1.1条指出,数据交易存在数据转让与数据共享两种模式:前者如同有体物之买卖;后者则是无形物的许可使用。鉴于数据具有无形性,为了使得数据买卖达成如同有体物交付的效果,该示范文本第6.2条甚至规定了数据转让模式下的供方数据销毁义务。在逻辑上,确实可能存在数据转让与数据共享两种模式,但在现实交易中,数据供方未必愿意通过销毁自身数据的方式一次性“交付”数据。实践中的数据交易以是否发生于数据交易所为标准,可以分为场内交易和场外交易两种。不论是哪一种类型,数据交易均是围绕使用权展开的,数据交易双方之间成立许可使用法律关系。
当下的个人数据交易以场外交易为主。场外数据交易大致分为两类:一种是企业通过开放接口的方式,允许他方访问个人数据,即动态交易模式;另一种是企业按照客户需求收集并传输个人数据,满足客户定制个人数据的要求,即数据定制模式。在动态交易模式下,数据供方提供API接口,将数据需方接入数据生态系统,使得数据需方能持续访问数据。此类交易模式多为平台型数据业者采用。例如,在新浪微博诉脉脉案中,交易双方就采用动态交易模式,由新浪微博向脉脉提供API接口,供脉脉实时获取个人数据。在数据定制模式中,数据需方委托数据供方收集特定类型的个人数据,以摆脱“冷启动”的困扰。数据爬虫是数据定制模式中常用的数据收集方法。无论是采用动态交易模式还是采用数据定制模式,数据交易都表现出继续性契约的特点。静态的、一次性的数据时效性不强,不能用于准确地评估个人的喜好、信用等信息。只有数据供方不断更新数据,才能满足定制人对于数据质量的要求。数据交易当事人追求持续的、“活的”数据流,以达到“即采即用”的目的。
在了解动态交易和数据定制模式的基础上,我们可以清晰地发现,场外交易并非“移转”或“交付”数据,而是在分享数据。数据供方授予数据需方数据使用权,使得数据供方能够与需方共同“持有”个人数据。在交易持续期间,数据供方有权更新、处理和删除个人数据。数据需方不会寻求对数据的排他性控制,因为静态的数据对其意义不大,数据需方希望访问的是不断更新的数据。实践中的数据交易合同就是围绕数据使用权设计的。根据具体的合同条款,场外交易的模式可细分为“独家使用”与“非独家使用”或“永久性使用”与“临时性使用”等。无论采取何种条款设计,数据交易合同均呈现出一种继续性的数据许可使用合同构造。在该类合同中,数据供方许可数据需方使用数据,数据需方并未获得类似所有权般的权利,而是仅享有基于合同的使用权,且受到合同对数据处理活动的限制。
场外数据交易缺乏合规性“背书”,拥有背书能力的数据交易所应是数据交易的理想舞台。然而,在很长的一段时间里,数据交易所都“作茧自缚”,不能充分发挥作用。数据交易所为避免侵犯个人权益,严格限制交易对象,使个人数据无法在场内交易。数据交易所甚至不允许个人参与数据交易。即便是允许个人数据交易的平台,在交易的时候,也要么设置企业验证的障碍,要么并不存在可供交易的个人数据。个人数据才是大数据时代的核心资源,数据交易所自我限制,使得场内交易量几近为零,多数交易机构先后关停或者退出。数据交易主管机关应重组数据交易所,允许在场内交易个人数据。然而,允许在场内交易个人数据,又必须满足保护个人信息权益的要求。技术的发展提供了破壁的可能。随着隐私计算技术的兴起,数据交易所尝试运用技术纾解数据交易与数据合规之间的张力。
隐私计算(Privacy-preserving Computation)是在保证数据供方不泄露原始数据的前提下,对数据进行分析计算的一系列信息技术,其使数据在流通与融合过程中“可用不可见”。在软件层面,隐私计算技术主要包含多方安全计算、同态加密和联邦学习;在硬件层面,隐私计算技术主要是指可信执行环境。在隐私计算框架下,数据需方根本无法访问原始数据,只是依约获得某种处理个人数据的权限。例如,同态加密技术允许数据需方直接在密文上进行运算,算法得出的处理结果接近于直接处理原始数据得出的结果;在联邦学习框架下,个人数据始终存储在数据供方那里,数据需方并不持有数据,由数据供方决定数据需方是否以及何时参与计算和传输运算模型。
在采用隐私计算技术的场内交易中,数据需方无法持有数据,只能依许可使用个人数据。在同态加密模式下,数据需方可以借助算法处理加密后的个人数据,但无法访问原始的个人数据;多方安全计算使得参与者能够依托各自的数据库共同计算,并分享计算结果,但不能获得其他参与者持有的数据资源;联邦学习各参与者仅提供参数到中央服务器,中央服务器收集各方参数进行训练以构建全局模型并送回各参与者,交易只分享参数并不传输原始数据。与上述模式不同,可信执行环境是在硬件中为个人数据单独分配一块隔离的内存,所有个人数据的计算均在这块区域进行,他方无法获知运算环境内部的数据。在隐私计算模式下,个人数据仅“可用”,因不能被直接访问,所以“不可见”,更不会被他方“持有”。既然数据需方无法持有数据,场内数据交易便不可能呈现出“移转占有”的交易结构,只能是围绕数据使用权展开的债之关系。在此认知之上,场内数据交易合同应被界定为数据许可使用合同。数据需方通过合同获得对数据的使用权,但不能持有原始数据,仅能依据合同约定的权限处理数据。
通过梳理场内外交易可知,数据传输与访问行为均围绕数据使用权展开,数据交易合同应被认定为数据许可使用合同。人们容易在广义上使用“买卖”概念,如“买车票”“买技术”“买公司”。然而,交易对象的不同使得交易形态与法律定性应有所不同。上述交易在法律上不会被归入买卖关系,而是分别对应运输合同关系、技术许可使用关系和公司并购关系。同理,数据的特性决定数据交易合同本质上属于数据许可使用合同。数据属于网络空间中的电磁代码,具有非排他性、非竞争性、可复制性等特点,故数据交易在逻辑上难以被认定为占有移转的买卖关系。《数据交易合同(示范文本)》第6.2条规定了数据销毁义务,要求数据供方在传输数据后删除“母本”,这并不符合数据交易实践,因为这无异于要求数据供方杀死“下金蛋的鸡”。再者,即使数据交易合同规定了数据销毁义务,数据供方是否履行该义务,也无从查验。数据的电磁特性决定数据资源只能被使用与分享,不能被“移转占有”,数据交易也就只能是一种许可使用法律关系。
另值得一提的是,在互联网诞生之初,数据可以自由流通,彼时并不存在通过交易获得数据的必要。然而,随着技术与商业模式的发展,未经授权不能访问和使用数据,于是数据交易的需求才产生。数据交易就是一种通过合同获得访问和使用电磁代码的活动。正是基于这一理解,欧盟委员会于2023年通过的《欧盟数据法》(Data Act)以数据访问权(Right of Access to Data)为核心建立数据流通机制。欧盟的访问权能够衍生出使用数据的权利,中文语境下的访问权则未必包括使用权;反之,数据使用当然以数据访问为前提。本文因此将数据交易界定为数据使用权交易,与之相应,数据交易合同应被界定为数据许可使用合同。
三、数据许可使用合同的缔约主体辨析
个人数据交易涉及数据供方、数据需方和个人三方主体,呈现出相较于双方关系更为复杂的法律关系构造。数据需方对数据的使用应获得持有数据集合的数据供方及与所涉数据关联的个人信息主体的双重许可,司法机关将之称为“三重同意原则”。既然个人的同意在数据交易中发挥重要作用,那么,个人是否属于数据交易合同的缔约方,是否影响合同的成立、生效与履行,便需要被进一步探讨。
已经成长的互联网公司通过技术和组织手段在事实上控制数据。数据业者控制数据,并不意味着其在法律上享有单方决定数据流转的权利。数据供方传输个人数据的,应当再次获得个人信息主体的同意。个人对于个人数据处理行为的同意,是对人格权益的许可使用。反之,个人数据交易若被界定为数据买卖,则将导致自我的客体化,这无疑与人格权不得转让禁令相冲突。
疑问在于,个人信息主体是否应被界定为数据许可使用合同的缔约方?既然个人数据交易应当获得个人的再次同意,那么,个人信息主体似乎应为数据许可使用合同的法定缔约方。倘若如此,个人信息主体得直接影响合同的缔结以及合同的具体内容。要回答该问题,首先需要界定个人信息主体同意的法律性质。如果个人信息主体的同意并非意思表示,个人不能影响合同的缔结,那么个人自然不属于合同的缔约方。
个人信息主体的同意原则上属于准法律行为,功能在于排除数据处理活动的违法性。个人的同意不属于事实行为,因为《个人信息保护法》重视同意的发出与到达。个人的同意也很难被归入意思表示,因为个人的同意并不包含缔结合同的法效意思。个人信息主体往往不会阅读“用户协议”“隐私政策”,而是不假思索地勾选“同意”。社会调查已经表明:个人对于隐私风险的认知往往非常有限,个人信息保护政策又非常复杂和冗长,个人不仅要花费大量时间阅读,而且其内容也很难理解,故个人“理性地”几乎不阅读相关的隐私公告。既然个人的同意欠缺法效意思,那么个人对于隐私政策的同意,就不能被认定成立合同关系。《信息安全技术 个人信息安全规范》(GB/T 35273—2020)第5.6g条注释专门指出:“个人信息保护政策的主要功能为公开个人信息控制者收集、使用个人信息范围和规则,不宜将其视为合同。”个人的同意原则上应被认定为准法律行为。作为准法律行为的个人同意的功能在于排除数据处理行为的违法性。《个人信息保护法》第13条第1款规定:“符合下列情形之一的,个人信息处理者方可处理个人信息……”第13条第2款专门强调,个人信息处理活动符合其他合法性事由的,不需取得个人同意。显而易见,《个人信息保护法》是从合法性依据的角度规定个人信息处理的正当化事由。与之一致,个人的同意在民法上应属于违法阻却事由的一种,作用是针对法益侵害行为发挥正当化的效力。
既然个人的同意并非意思表示而是准法律行为,功能在于阻却数据处理行为的违法性,个人信息主体就不应属于合同的缔约方。诚然,数据供方、数据需方与个人信息主体是数据交易中的三方主体,但这不意味着三者处于同一法律关系当中。数据供方与数据需方才是合同的缔约方,能够决定合同缔结与合同内容。与之不同,个人信息主体仅能决定数据处理活动的违法性,不能决定合同的缔结与具体内容。从数据价值视角观察,数据只有汇集才有价值,单个数据对数据需方意义不大。数据供方将合法收集的海量个人数据包装成数据产品,在数据交易市场上寻找需方。很难想象数据需方会为了大数据分析而单独寻找个人信息主体缔结数据许可使用合同。是以,数据交易合同的磋商人只能是数据供方与数据需方,个人信息主体并非数据许可使用合同的缔约方。
个人并非数据许可使用合同的缔约主体,并不影响合同的成立与生效。只是因合同涉及对个人信息的处理,故若未依照《个人信息保护法》相关规定征得个人的有效同意,数据许可使用合同的履行将受影响。
数据许可使用合同的当事人是数据供方与需方,个人同意与否并不影响数据许可使用合同的成立与生效。第一,数据交易合同缔结前未获得个人信息主体同意的,并不影响合同的成立。数据供方与数据需方是数据许可使用合同的缔约方,个人信息主体并非合同缔约方。既然个人信息主体并非数据交易合同的缔约方,那么,个人同意与否便不能影响合同的成立,此为不证自明之理。第二,数据交易合同缔结未获得个人事先同意的,并不影响合同的效力。合同成立的,原则上即生效,除非存在效力瑕疵事项。根据《民法典》第143条第3项,民事法律行为不得违反法律、行政法规的强制性规定和公序良俗。该条体现了民法对私法自治内容的控制,旨在处理国家强制与私法自治的关系。数据供方通过与数据需方缔结数据许可使用合同,负担许可数据需方使用数据的义务。这一承受义务的行为并不因未获得个人事先的、明确的同意而无效。《个人信息保护法》第14条第1款指出,对处理个人信息的同意应当由个人在充分知情的前提下自愿、明确作出。数据供方与数据需方的合同缔结行为并非个人信息处理行为。《个人信息保护法》仅要求在处理个人信息前应获得个人的同意,并不要求在数据交易合同缔结时即获得个人的有效同意。是以,数据交易合同的生效不以事先获得个人自愿、明确同意为前提。当然,数据需方可能与数据供方约定,未获得个人同意的,合同不生效。当事人缔结附生效条件的数据许可使用合同的,合同生效与否取决于个人的同意,此为法秩序所允许,并无不当。
数据许可使用合同围绕个人数据展开,未征得个人的有效同意将影响数据许可使用合同的履行。合同的成立与生效与个人的同意并不相关,但合同的履行涉及数据处理,应征得个人信息主体的同意。数据供方与数据需方之间存在数据许可使用合同关系,后续的履行行为涉及个人信息处理关系,数据许可使用合同关系与个人信息处理关系构成数据交易中的双重法律结构。在个人信息处理关系中,如果缺失个人信息主体的同意,作为履行行为的数据许可使用行为便缺乏合法性基础,数据供方与数据需方将因侵犯个人信息权益而承担损害赔偿责任。数据供方若无法事后获得同意以弥补合法性瑕疵,将因面临法律障碍而在事实上无法履行合同。合同履行不能的,数据需方可以依据《民法典》第563条解除合同,并基于第577条及其以下规则要求数据供方承担违约责任。是故,欠缺个人的同意将影响数据许可使用合同的履行。
契约自由原则为合同法最重要、最具代表性的原则,是合同法基本理念的体现。数据供方与数据需方可以通过合同工具决定是否缔约和以何种内容缔约。然而,在数据市场上,不同参与者拥有的自由的量是不同的。在网络效应影响下,数据趋向集中于大型互联网平台,数据需方处于谈判的不利地位。数据供方可能凭借优势地位,以苛刻条件缔结数据许可使用合同,甚至有意排斥交易,使得中小企业因缺乏数据而难以与之竞争。法律人应积极借助民法的合同内容规制与缔约强制规则,调整数据交易,促进数据流通,保障数据公平。
平台型数据业者掌握大量有价值的数据,并通过格式合同限制相对方的经营活动。实践中的数据交易合同除了包括数据的类型、范围、格式、数量,合规义务,法律责任条款,通常还包括需方使用权限制条款以及供方单方变更和终止权条款。《信息安全技术 数据交易服务安全要求》(征求意见稿)以及《数据交易合同(示范文本)》侧重数据交易全流程合规,对合同条款的效力问题关注不够。使用权限制条款、单方变更和终止权条款有一定的合理性,但也可能成为损害数据需方利益的工具,法秩序应对此进行必要的调整与规制。
数据交易合同往往通过格式条款要求数据需方不得将数据并入既有数据库,不得超越合同目的使用数据,不得向第三方传输数据等。上述条款限制了数据使用权,并非当然有效。
研究《民法典》的相关规则可得出如下结论:对法定财产权使用与转让的限制原则上应无效。《民法典》第116条规定:“物权的种类和内容,由法律规定。”《民法典》采取物权法定主义,避免当事人任意限制对物的利用。知识产权法也通过权利用尽规则,将知识产权与有形物品联系起来,从而划定权利的边界。例如,在作品原件和复制件被首次合法转让之后,著作权人就无权控制该原件或特定复制件的使用或转让。著作权人限制作品的转卖价格,或者要求书籍转卖必须与洗发水销售捆绑的,均因违反发行权用尽规则而无效。下文以物权规则为例,详细介绍法秩序对法定财产权限制条款的禁止态度。
物权法定主义的功能在于限制私人形成自由,避免当事人通过合同影响“物尽其用”目标的实现。第一,当事人只能在法律允许的范围内限制不动产的使用与转让。不动产物权的种类和内容由法律规定,并非只要能够公示,就具备对抗第三人的物权效力。当事人对不动产的限制即使已经办理登记,若未被法律所认可,便不能产生物权效力。只有借助物权法定主义,法秩序才能避免权利人借助日益发达的登记手段,限制物的使用与流转。即使物权法定主义需要借助习惯法进行缓和,也不应被抛弃。在债之关系层面,当事人限制不动产使用的合同约定将因改变物权的基本内容,违反强行法规定而无效。如若不然,权利人将通过约定高额违约金在事实上达到改变物权法分配结构的效果。第二,在动产上设立负担的,该限制原则上无效。当事人可能通过合同限制动产的使用或转让,例如,汽车销售合同限制车辆转卖,服装买卖合同规定消费者不得连续两周穿同一套衣服。出卖人已经从出售行为中获益,进一步限制商品使用和转让不具备正当性。再者,限制性规定将大幅度增加交易成本。如果二手市场的交易者必须审查原初的销售合同,货物流通将受到极大的阻碍。美国联邦最高法院就明确指出:“普通法拒绝对动产转让进行限制。”仅在例外的情况下,法律允许动产上成立负担。例如,赠与人无偿赠与财物的,因赠与人并未获得对价,赠与人的意志相较于交易安全更值得法律保护。《民法典》第661条因此允许无偿赠与人在动产之上设立负担。即便如此,动产所附负担也应接受公序良俗原则的检视。如果约定赠与商品永久不得转让,则该项负担是无效的。
数据使用权并非一种法定财产权,对作为意定权利的数据使用权的限制原则上应有效。数据使用权并非物权、知识产权那样的法定权利,而是一种基于合同产生的意定权利。数据使用权的内容由数据许可使用合同确定。既然立法并未对数据使用权施加如同“物权法定”一样的限制,那么,当事人原则上得自由约定使用权限与使用内容。允许当事人限制数据使用权,并不会影响数据流通。数据不同于民法上的物,物具有特定性与排他性,数据具有非排他性,可以被无限复制。数据供方在禁止特定数据需方将数据使用许可转让给其他市场主体后,仍然可以授予其他市场主体数据使用权,使得数据继续流通。反之,如果不能通过合同禁止数据需方转许可,则数据供方将因数据交易丧失对数据流转的控制,这将产生某种阻却效应,使得数据供方不敢进行数据交易。通过承认数据使用权的内容开放性,数据供方与数据需方可以围绕使用期限、使用方式、使用范围、衍生数据分享、是否允许转许可等内容,相应地约定数据使用费用。法律提供的弹性空间将通过市场机制催生出不同类型与内容的数据使用权交易。
值得探讨的是,限制数据入库条款与限制变更使用目的条款是否具备正当性与合法性?限制数据入库条款是指,数据供方禁止数据需方将获得的数据并入自有数据库。限制变更使用目的条款是指,数据需方处理个人数据的,不得超越数据交易合同约定的使用目的。民事主体对数据使用权的限制原则上有效,但上述条款有碍合同目的实现,违背数据处理规律,应被认定为无效。第一,限制数据入库条款不利于释放数据潜能,有碍合同目的实现。数据的价值不在本身,而在于与其他数据的有效连接能力。如果数据供方禁止数据并入数据需方的既有数据库,数据需方将无法充分发挥大数据的分析能力。诚然,个人数据并入既有数据库的,个人信息主体的权益可能会被侵犯。随着数据库规模的扩大,对一般信息的分析可能识别出个人信息主体的敏感信息。然而该问题应通过《个人信息保护法》规定的知情同意等规则解决,故其不构成禁止数据入库的坚强理由。如果数据需方在充分告知风险的前提下,征得个人同意将个人数据并入既有数据库,那么即使数据许可使用合同禁止数据并入既有数据库,数据需方的行为也并无不妥。第二,数据需方变更使用目的是数据经济的常态,原则上只应再次取得个人信息主体的同意,无需获得数据供方的许可。在数据汇集处理过程中,数据需方可能发现数据资源新的应用价值。如果数据需方被要求遵守原处理目的,则数据需方只能再次与数据供方协商。数据供方不同意的,数据需方需重新缔结合同,再次支付数据使用费。因为数据供方已经从同一数据资源中获益,数据价值也是由数据需方独自挖掘的,所以数据供方再次收取费用有不当得利之嫌。当然,变更使用目的可能会损害个人信息主体的权益。目的限制条款被视为个人信息保护的“主要构造原则”和“关键性枢纽”。当数据需方改变数据使用目的时,数据需方应再次征得个人信息主体的同意。与之不同,法律并不要求数据需方再次获得数据供方的同意。如果数据需方已经获得个人的同意,可以超越原合同目的处理数据,不必再次获得数据供方的同意。遗憾的是,《数据交易合同(示范文本)》第13.1条规定,若因客观情况变化需要变更处理权限,数据需方必须征求供方意见并签署书面变更协议。数据需方对个人数据的处理行为,应仅受个人信息保护规则的束缚。鉴于当事人多通过格式条款约定数据不得入库以及禁止数据需方变更使用目的,上述条款不合理地限制数据需方的主要权利,应根据《民法典》第497条第2项而无效。
数据交易合同中通常存在单方变更和终止权条款,即数据供方在数据交易过程中有权单方变更合同内容和终止合同关系。单方变更和终止权有助于强化数据供方对外部环境的回应能力。数据交易呈现出动态性与持续性的特点,互联网行业的高速发展与监管政策的不断跟进,都决定了当事人在订立合同时无法对未来发生的事件及其对合同的影响作出准确的判断。数据交易存续期间越长,需要变更和终止交易的可能性就越大。数据供方因此对合同的灵活调整和即时终止有强烈的兴趣。然而,契约严守是债法的核心原则,单方合同变更和终止权有违反契约严守原则之嫌。单方变更和终止权与契约严守之间的冲突由此展开。
有观点认为,既然已经存在合同约定,则数据供方的单方变更和终止合同就是履行合同的体现,并不违反契约严守原则。然而,在数据主要为平台型数据业者掌控的当下,意思自治不能如期发挥作用。平台型数据业者通过提供API接口的方式,将中小企业与平台相连接,共同产生与分享数据。接入平台的商家越多,平台就越能吸引流量,最终形成具有规模效应的数据生态系统。在这一系统中,平台型数据业者是数据生态系统的缔造者与管理者,数据需方则是数据生态系统的成员。当数据分享与数据处理服务相结合时,相对人能选择的空间就更小了。数据交易与数据处理服务共同组成一个完整的经济计划。离开了数据处理服务(如个性化推荐),数据交易目的将难以实现。因此,法秩序不能仅以私法自治为由,就认可单方变更和终止权条款的效力。遗憾的是,《信息安全技术 数据交易服务安全要求》(征求意见稿)与《数据交易合同(示范文本)》均未对单方变更和终止权条款有所规范。
实践中优势一方往往与相对方约定概括的单方变更和终止权条款。一般性的单方变更和终止权,即“不时修改、补充、调整协议”和“随时终止”的权利,对变更和终止的情形、原因以及程度完全呈现一种开放性的设计,这使得合同关系陷入高度不稳定状态。这种概括、一般的条款允许平台恣意背离约定义务,使得数据需方的利益完全受制于数据供方,将对数据需方的利益产生重大损害。诚然,《民法典》规定了单方决定权,赋予当事人一方决定法律关系的权利,但《民法典》仅认可具有可期待性、不会严重损及相对方利益的单方决定权。《民法典》第515条和第516条新增选择权合同,原则上债务人可以从多项标的中选择一项履行;第766条规定有追索权的保理,保理人可以向应收账款债权人主张返还保理融资款本息或者回购应收账款债权,也可以向应收账款债务人主张应收账款债权。当事人行使单方决定权的,选择事项均在相对人预期范围之内。相对人在缔约时就知晓每一种可能性,当事人行使选择权并不会干扰相对人的经济计划,相对人的经济利益有所保障。与之相较,一般性条款并未事先指出变更和终止的可能情形,将严重干扰合同相对方的经济安排。一般性的单方变更和终止权条款因不合理地限制对方主要权利,应根据《民法典》第497条第2项被认定无效。
即使当事人约定的是相对具体的单方变更和终止权条款,条款也并非当然有效,应接受合理性原则的检视。合理性原则不意味着单方变更和终止不能对数据需方不利。即使对相对方不利,在考虑到商业需求、技术发展和消费者保护等多重利益后,单方变更和终止权条款也可能被认定是合理的。单方变更和终止权条款的合理性并不存在明确标准。《德国民法典》从可期待的角度处理单方变更权条款的合理性问题。《德国民法典》第308条第4项规定,如果变更是合同当事人无法合理期待的,则单方变更权条款不生效力。据此,如果单方变更是为了安全有效地履行合同,那么变更并非不可期待。即使对相对方不利,单方变更权条款也应被认定具有合理性。《欧盟数据法(草案)》则从利益衡量的角度判断单方终止权条款的合理性。根据该草案第14条第4款e项,对单方终止权条款的合理性应在考虑权利人是否有重大理由、相对方改用其他类似服务的合理可能性和终止造成的经济损失的基础上进行判断。只有在综合考虑双方利益、营业特点、所欲解决的问题、提供的救济措施等因素的基础上,司法机构才能针对个案判断单方变更和终止权条款的效力。如果在权衡诸多因素后,法院认定单方变更和终止权条款欠缺合理性,那么相关条款将因抵触公序良俗而无效。鉴于数据供方往往主导条款的制定,约定的单方变更和终止权条款又明显对数据供方有利,故应由数据供方举证证明条款的合理性。优势一方相较于劣势一方应承担更多义务。《欧盟数据法(草案)》第14条第5款要求优势方举证证明相对方接受条款是自愿的,即为此理。
此外,数据供方还应充分提醒相对方注意单方变更和终止权条款。大规模的标准化合同能为数据供方大幅降低交易成本,但未消灭交易成本,该成本转由数据需方承担。数据供方应采取有效手段提醒数据需方注意单方变更和终止权条款,从而降低交易成本,防止数据需方遭遇“惊异条款”。除了实践中常见的“标红”“加强”“放大字体”等方法,要求单独同意单方变更和终止权条款,是充分提醒相对人注意的有效手段。研究表明,单独提示并要求用户勾选同意选项的方式,能够增强透明性,有效地提醒用户注意特定条款。现行法仅在个人信息保护领域,例如在个人信息处理者向第三方传输个人信息、公开个人信息、采用人脸识别技术等情况下,才要求征得对方的单独同意。虽然《民法典》未就约定单方变更权的形式作出规定,但根据《民法典》第496条第2款,数字服务提供者应“采取合理的方式”履行告知义务。在数字化缔约场景中,加粗、凸显文本等方式并不足以有效地提醒相对方,数字服务提供者应通过要求单独勾选或电子化签名等方式引起相对方的充分注意。
数据不会被耗尽,且能够为实现不同目的而被反复利用与共享,数据的这一属性使得数据共享应为常态。然而,在技术壁垒与商业模式的影响下,数据集中于大型平台之上,这最终导致数据孤岛和数据垄断。为了促进数据流通,监管部门要求大型平台之间“互联互通”,但因欠缺正当性与合法性而遭受质疑。大型平台处于自由博弈状态,并不相互依赖而生存。大型平台之间是否要签署协议共享数据,取决于不同阶段的经营策略。当竞争效应占主导地位时,平台没有动机采取兼容策略;当网络效应占主导地位时,平台倾向于实施兼容策略。强制大型平台之间共享数据,有侵犯营业自由的嫌疑。更何况,强制互联互通将促进“强强联合”,制造出更为强大、单一的数据生态系统,并不利于中小企业和消费者。例如,互联互通将导致数据池的雷同,容易形成“算法共谋”,助长不同平台统一定价。《个人信息保护法》第45条第3款规定数据可携权,希望借助个人的积极参与间接实现数据流转。然而,该权利遭遇适用风险与利益冲突难题。更为妥当的路径是,借助私法上的强制缔约规则,在一定条件下要求数据供方不得拒绝缔结数据许可使用合同,以此促进流通。
我国民法上的强制缔约分为法定强制缔约(直接强制缔约)与一般强制缔约(间接强制缔约)两种。前者以法律规定为前提,例如公用事业部门不得拒绝与民事主体缔结合同;后者则是当企业具有垄断地位或者市场强制地位,且相对方没有选择其他交易对象的可能时,企业应以合理价格与相对方缔结合同。鉴于我国尚无要求数据业者强制缔约的法律,并不存在法定强制缔约的可能。海量有价值的数据集中在个别数据业者手中,数据需方缺乏数据获取渠道的,数据供方应视场景承担一般强制缔约义务。具体而言,数据只能从数据供方获得的,数据供方原则上不得拒绝数据需方的要约;数据虽然能从其他渠道获得,但若作为供方的大型平台构成“关键基础设施”(EFD),平台也应承担一般性的强制缔约义务。
其一,数据只能从数据供方获得的,数据供方负有一般强制缔约义务。这种情况往往发生在上下游企业之间。数据的产生涉及多个主体,但上游企业可以通过组织架构与技术手段限制数据获取和流动。以智能网联汽车为例,数据相关方包括车主、汽车驾驶员及其乘客、汽车制造商、汽车导航服务商、保险公司、4S店以及提供娱乐等数据服务的公司。多个主体对数据的产生均有所贡献,且都需要数据以持续改进产品或提供服务。如果上游企业通过组织和技术手段收集数据并且阻止下游企业获得数据,则下游企业将无法展开经营。
