(报告出品方:普华永道)
1.数据资产的法律确权探究
数据确权的重要性
在如今的数字经济时代,数据已成为驱动商业模式创新和发展的核心资源。数据关系到企业发展、科技进步、社会秩序稳定,甚至已成为各国的核心竞争要素。数据资产化是数据市场发展的必然趋势。
数据资产化需要克服三个重要且极具挑战的命题:法律角度的数据资产确权、市场角度的数据资产估值与交易、会计角度的数据资产入表。数据资产确权是数据流通的前提,可充分保障数据流通各参与方的权益;数据资产估值是数据流通的基础,可保障数据在市场的参与下逐步趋于公允价格;数据资产入表是对数据资产的确认、计量与披露,可保障数据的经济价值更加准确地体现在财务报表中。在数据资产化的三个命题中,数据确权可能是难度最高、讨论最为激烈的一项。数据确权是数据估值的基础,没有确权,就无法准确地估值与定价,更无法进行后续财务报表的入表与披露;没有确权,健康可持续的数据交易市场也难以运转起来。数据确权已然成为实现数据安全有序流动和数据资产化不可或缺的重要前提。
数据确权要解决三个基本问题:一是数据权利属性,即给予数据何种权利保护;二是数据权利主体,即谁应当享有数据权利;三是数据权利内容,即数据主体享有何种具体的权利。数据权利的属性、主体、及其内容的建立和配置,需要从个人、社会以及国家多维度进行权衡。
从个人层面看,在互联网行业模式转变的背景下,对于数据的利用方式已从传统的大数据分析转变为精准用户营销。用户个人信息作为许多企业获取利益的核心价值来源,已成为最具价值的大数据类型之一。然而,由数据权属界定不明导致侵害个人信息保护的问题却日益凸显。现实生活中,企业一般通过用户服务协议、隐私协议或个人信息保护协议等方式获取用户授权。企业普遍会在协议中约定其享有个人数据的所有权、使用权,并约定用户使用个人信息产生的数据归企业所有。如此一来,用户的个人信息安全将面临较大的不确定性。尽管年11月1日开始施行的《个人信息保护法》对个人信息数据收集、使用、传送、储存等提出了新的且更为严格的要求。
我国数据权属现状
但缺乏相关数据确权法规,且只能通过法院个案处理的现状导致部分企业过度采集个人信息、侵害用户权益的问题仍时有发生。由于用户无法知悉个人的哪些数据会被共享、哪些可受到相关法律法规保护,部分企业得以利用漏洞,在未经用户同意的情况下将用户信息数据任意共享、利用。
从社会层面看,随着数据产生量的迅速增长,企业采集的数据维度和类型日趋丰富。然而,缺乏数据权属界定使企业过度收集数据更为便利,并产生数据垄断。此举为企业带来市场竞争优势,继而引发其他企业仿效。长此以往,数据市场集中的问题将进一步加剧。企业之间的数据竞争行为,严重影响着数字经济的市场秩序,不利于数据要素市场的长远发展。关于数据垄断,我们注意到本次《反垄断法》修正草案已将滥用数据和算法优势纳入规制范围。我们期待本次修正能够在一定程度上缓解并遏制数据垄断乱象。
从国家层面看,数据权属界定不明也为数字治理和行业监管带来不便。数据确权,是在政务数据、企社数据等领域构建数据采集标准化、数据开放共享、数据交易流通、数据安全饱和等数据治理体系的前提。政企之间数据权属规制的缺失不便于政府行使监管和提供公共服务。尽快完成数据确权立法,将大大提升国家对大数据的安全管控能力、强化国家对关键数据资源的保护,从而有利于推动我国数字经济发展及数字中国建设。
数据是未来社会重要的生产要素和基础性资源,是数字经济的灵魂。数据确权是数据资产化道路上必须直面的挑战,健全的数据产权制度是数据资产化的保障,因此建立健全的数据产权制度在数字经济时代已成为大势所趋。
与世界上绝大多数主要司法管辖区一样,我国现行全国性法律尚未对数据确权进行立法规制。事实上,各国普遍采取通过法院个案处理的方式,尝试借助诸如数据法、隐私保护法、知识产权法及合同法等不同法律机制来对数据进行确权。包括我国在内的一些国家已经开始尝试通过法院司法裁判来填补这一法律空缺。
全国性法律
《民法典》总则第一百二十七条规定,“法律对数据、网络虚拟财产的保护有规定的,依照其规定”。我国正逐步建立一套围绕数据为核心的法律法规,其中包括《个人信息保护法》(年11月1日起施行)、《数据安全法》(年9月1日起施行),以及《网络安全法》(年6月1日起施行)等法律及相关法规。
《数据安全法》已于年9月1日开始实施,为各行业数据安全提供了监管、合规依据。该法确立了数据分类分级管理、数据安全审查、风险评估、监测预警和应急处理等基本制度,强化了我国数据安全领域制度建设,有助于数据生产企业和各级政府监管部门形成数据保护意识,促进数据产业合理合规利用数据、共享数据和开放数据。
从法律的角度设立具有前瞻性的数据类法律,体现了数据在我国国民经济发展中的重要作用。自此,数据安全领域迎来实质性监管。
然而,以上三部法律均未对数据确权作出明确规定,数据权属仍有待完善。这样的情形在其他产权领域并不罕见,国外地区也是如此。
地方法规
我国是数据生产大国,数据增长速度极快。面对如此庞大的数量以及未来的发展潜力,在全国立法之下,深圳、上海、天津、广东等地纷纷提出各类数据相关规定。
广东省于年8月3日公布了《广东省数字经济促进条例》,其中第四十条规定,除法律另有规定或当事人另有约定外,自然人、法人和非法人组织对依法获取的数据资源开发利用的成果,所产生的财产权益受法律保护,并可以依法交易。此外,有条件的地区可以依法设立数据交易场所,鼓励和引导数据供需方在数据交易场所进行交易。
深圳于年6月29日正式通过的《深圳经济特区数据条例》(年1月1日生效)则在省条例的基础上作出了更为细化的规定。该条例率先在地方立法中探索数据相关权益范围和类型,明确了自然人对个人数据依法享有权益,包括知情同意、补充、更正、删除、查阅、复制等权益;自然人、法人和非法人组织对其合法处理数据形成的数据产品和服务享有法律、行政法规及条例规定的财产权益,可以依法自主使用,取得收益,进行处分(第三、四条)。就数据交易而言,该条例规定,市场主体对合法处理数据形成的数据产品和服务,可以依法自主使用,取得收益,进行处分(第五十八条)。此外,市政府应当推动建立数据交易平台,引导市场主体通过数据交易平台进行数据交易(第六十五条);市场主体合法处理数据形成的数据产品和服务,可以依法交易(第六十七条)。
值得注意的是,年8月公布的天津市互联网信息办公室起草的《天津市数据交易管理暂行办法(征求意见稿)》提出了数据确权的相关条款。该办法第十一条明确规定,“[数据确权]数据供方应确保交易数据获取渠道合法、权利清晰无争议,能够向数据交易服务机构提供拥有交易数据完整相关权益的承诺声明及交易数据采集渠道、个人信息保护政策、用户授权等证明材料。数据需方无权将交易数据转让给第三方”。
此外,最新发布的《上海市数据条例(草案)》在“浦东新区数据改革”一章也特别提出了推进浦东新区“数据权属界定、开放共享、交易流通、监督管理等标准制定和系统建设”(第六十三条),以及在浦东新区“设立数据交易所,开展实质化运营……制订数据交易规则和其他有关业务规则,探索建立分类分层的新型大数据综合交易机制,组织对数据交易进行合规性审查、登记清算、信息披露”(第六十五条)。
各地通过地方性法律法规尝试对数据权属进行界定,但地方规定并不是国家级法律法规,这进一步凸显出国家加快数据确权立法的迫切性和必要性。国家层面的数据确权立法可吸纳地方法律法规在实践中取得的成功经验,为数据确权破局奠定基础。
数据交易机制
目前,全国约有十多家数据交易中心。各中心正积极探索数据确权和数据交易机制。
年成立的北京国际大数据交易所积极探索从数据、算法定价到收益分配且涵盖数据交易全生命周期的价格体系,以形成覆盖数据全产业链的数据确权框架。该所要求建立以信息充分披露为基础的数据登记平台,明晰数据权利取得方式及权利范围,建立数据确权工作机制,提供的数据产品交易服务包括数据产品所有权、使用权、收益权交易等。
此前,中国信息通信研究院于年协同80多家公约发起单位发布的《数据流通行业自律公约(2.0)版本》及上海数据交易中心于同年9月发布的《数据互联规则》均提及了数据交易、数据权益等问题。河南、贵州、浙江三地也各自进行了不同的探索。
此外,不少企业积极参与数据交易市场建设。年南方电网发布的《中国南方电网数据资产定价方法(试行)》是能源行业首次发布的数据资产定价方法,其规定了南方电网公司数据资产的基本特征、产品类型、成本构成、定价方法,并给出相关费用标准,这为能源行业数据要素流通和交易提供了积极的指引。(报告来源:未来智库)
然而,由于缺乏统一、强制的相关法律法规,各数据交易机制只能对数据确权起到一定的引导和示范作用,并不具有强制性。
司法数据确权
总的来说,目前尚未有国家级的法律对数据确权作出明确规定,但数据权属已引发不少纠纷,并进入法院诉讼程序。法院主要以不正当竞争法及相关法律法规进行数据权属的判定。
数据权属权益的法律讨论
相对于传统资产,数据资产具有无限可复制性的特点,即在同一数据上可以承载多方主体的数据权利(“一数多权”)。数据资产的这一特殊属性给数据确权在理论和实践中带来很大的困难。现行法律并未对不同主体就同一数据享有的数据权益作出规定,导致个人数据权利与企业财产权利的潜在冲突。
然而,在对数据确权制订专门的法律法规之前,理论和司法实践曾尝试采用不同的法理和机制,如债权、知识产权、物权、信息财产权等来确认、保护和规制数据权属的不同方面。近年来在理论界和司法实务中,随着《民法典》、《个人信息保护法》、《数据安全法》等法律的制订、实施,法律对个人信息、数据有了更加明确的界定。这种条件下,对数据权属、数据权益进行讨论更加有助于对数据资产这种特殊资产进行保护。
展望与建言
在过去十余年的时间里,中国数字经济发展迅猛,数字经济在中国国民经济结构中起着举足轻重的作用。然而由于数据资产的特殊属性,我国到目前为止还没有一部全国性的数据确权立法,这方面的立法缺失给司法实践、企业合规、行政监管均带来诸多不便。虽然地方政府已经开始通过制定地方法律法规、建立数据交易中心机制等方式对数据权属及交易机制进行有益的探索,但尽早制定一部全国性的法律来明确数据确权的分割原则,明确划分数据所有者、持有者、处理者、使用者等不同主体之间的权利界限已迫在眉睫。
然而,数据确权立法是一项复杂的系统工程,短期内理顺数据权属的法律关系绝非易事。但是,从促进数字经济的角度出发,我们能否“摸着石头过河”、在“先行先试”的具体实践中摸索出一套有利于整个数据交易行业的确权方式,然后再以立法和行业规范的方式加以确认?
对于数据确权和数据资产化的法律监管制度层面建设,我们设想如下:
首先,发展数字经济需与隐私保护、数据安全齐头并进,强化数字治理。
数据可以帮助人们作出商业决策,推动数字经济的发展。与此同时,数据的安全问题又可能制约数字经济的发展,并导致个人隐私面临安全挑战。坚持数字经济有序发展与数据安全、保护公民权益并重一直是我国明确秉持的立法原则。数字经济的良性发展需要在个人隐私保护、数据安全和数据价值释放三者之间实现利益平衡。在适度保护个人隐私的前提下推动数字经济的健康发展是国际趋势。
今年10月18日,中共中央政治局就推动我国数字经济健康发展进行第三十四次集体学习,要站在统筹中华民族伟大复兴战略全局和世界百年未有之大变局的高度,统筹国内国际两个大局、发展安全两件大事,充分发挥海量数据和丰富应用场景优势,促进数字技术与实体经济深度融合,赋能传统产业转型升级,催生新产业新业态新模式,不断做强做优做大我国数字经济。
我国《数据安全法》是数据安全领域的基础法律,与现行的《网络安全法》和《个人信息保护法》并行成为网络空间治理和数据保护的三驾马车,共同构建起中国隐私保护、网络安全和数据安全的强大法律体系。《网络安全法》强调网络空间安全整体的治理,《数据安全法》侧重于数据宏观层面处理活动的安全与开发利用,而《个人信息保护法》负责个人信息的保护。这些法律针对企业的数据处理活动提出了一系列合规要求并建立了数据安全审查、安全评估、数据出境、数据分级分类、风险评估、出口管制等数据安全制度,为企业设定了多角度多层次的积极义务与消极义务,以便实现对数据安全的全面保障。有关部门正在制定细化的配套规定乃至实施指南,希望这些配套规定和指南早日出台,相信其必将极大地帮助企业在实践中更有效地落实数据治理制度。
第二,数据交易所是数据价值确认的基础设施。
数据要实现资产化,需要建立规范的交易市场。因数据的复杂性和高度敏感性,国家要对交易市场进行严格管理。为加强数据交易中的风险防范,需要对数据权属作出明确声明,要对交易数据适用场景作出明确限制,选择正规的数据交易所进行交易而非黑市交易,以提高数据交易可追溯性。参考其他行业交易所的设立情况,数据资产的基本架构可以包括:第一种是数据交易所(中心),这是国家管理数据交易的主要模式;第二种可以是行业内的数据交易,可成为次一级数据交易平台。除此以外,国家应适时根据数据交易平台发展情况推出新的交易场所。
年《促进大数据发展行动纲要》明确提出,“要引导培育大数据交易市场,开展面向应用的数据交易市场试点,探索开展大数据衍生产品交易,鼓励产业链各环节的市场主体进行数据交换和交易,促进数据资源流通,建立健全数据资源交易机制和定价机制,规范交易行为等一系列健全市场发展机制的思路与举措”。我国目前已经建立的政府类和平台类数据交易机构约有十多家,数据交易机构的经营范围一般包括大数据资产交易、大数据金融衍生数据设计及相关服务;大数据清洗及建模等技术开发;大数据相关金融杠杆数据设计及服务;以及经大数据交易相关监督管理机构及有关部门批准的其他业务。数据交易所将为数据商开展数据期货、数据融资、数据抵押等业务建立交易双方数据信用评估体系,增加数据交易流量,加快数据流转速。
第三,数据资产入市。
数据资产如果不进行入市交易,将难以实现很好的收益。企业要将其数据作为资产,则不得不对数据资产进行规范化管理,在符合入市条件后入市交易。为此,入市条件以及入市前准备成为制度建设的重要内容。数据交易主体的门槛、交易数据的类型,以及数据交易合同的标准化文本预期有可能成为数据资产入市制度建设的重中之重。以数据交易合同为例,业内专家认为标准化数据交易合同文本可以在很大程度上促成数据资产的规模交易。我们在此呼吁有关部门尽快制定数据交易标准合同,明确数据交易主体、交易标的与范围、交易条件、交易价格等双方的权利和义务,以及适用法律和争议解决机制等。
对于数据资产化,既要从技术上突破,同时也要在市场准入和市场交易行为上进行严格监管。在参与数据资产化市场主题建议及制度建设上,国家层面的介入不可或缺。以《深圳经济特区数据条例》为例,其中规定市场主体可以通过依法设立的数据交易平台进行数据交易,也可以由交易双方依法自行交易,但同时也规定了数据入市交易的限定性条件,例如交易的数据产品和服务包含个人数据未依法获取授权的,以及交易的数据产品和服务包含未经依法开放的公共数据均不得入市交易。截至年10月,我国已有13个省份出台了数据条例或草案。从各省市制定的相关数据条例(包括草案)来看,各地对于数据的目录管理、汇聚、共享、开放、利用和交易等均规定了不同的门槛和条件。
第四,完善数据分级制度。
数据可以根据竞争性和排他性等指标分成三个级别:私有数据、准公共数据和公共数据。具有竞争性和排他性的数据为私有数据,不具有竞争性和排他性的数据为公共数据,而准公共数据介于二者之间,具有有限的非排他性和非竞争性。完善数据分级制度有助于数据确权过程中的优先顺位。私有数据确权有利于实现个人隐私保护,从这个角度出发,在数据确权时,私有数据较准公共数据应享有优先权。从数据共享再用的角度来看,公共数据确权又更加有利于实现社会效益最大化。
第五,改善数据算法歧视。
数据领域有一个大家熟知的缩写是“BIBO”(BiasIn,BiasOut),意指如果输入的是偏见,那么出来的结果也是偏见。
数据算法通常被认为是中立客观的,会针对不同群体以同样算法作出决策,但事实上,源自人类社会的歧视也会被植入算法模型。算法歧视渗透于不同场景中,例如网络交易、商业推送、搜索引擎、金融消费记录、医疗、治安等。大家熟知的“大数据杀熟”就是算法歧视的典型案例。各大电商平台在了解不同消费者的消费习惯、消费记录和支付意愿后对用户进行精准画像,通过大数据算法实施价格歧视。此外,性别歧视、年龄歧视、身份歧视也经常在人工智能算法中呈现。
不公平的算法蕴含着歧视风险,这种风险可能影响到算法控制的所有领域,不易察觉但又影响深远,不仅会固化社会歧视,还会加剧社会不公。改善并解决算法歧视已经成为业界亟需破解的命题。算法歧视不仅会侵害数据主体的合法权利,甚至会对特定数据主体构成冒犯。因此需要在发展数字经济的同时给予算法歧视高度重视。突破算法的专业壁垒,接受公众监督,有助实现算法的透明和公正。
目前中国已经通过多部法律治理算法歧视的问题。例如新出台的《个人信息保护法》已经针对“大数据杀熟”作出规定——自动化决策必须保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销,或作出对个人权益有重大影响的决定,均应当符合相应的法律要求。除此之外,《消费者权益保护法》、《反不正当竞争法》等法律法规也针对算法歧视进行了相应规定。
但是,上述法律规定关于治理算法歧视的内容过于粗线条,缺乏更具体的实操层面的内容。对于自动化决策,欧盟GDPR规定企业必须告知自动化决策的逻辑,并应从技术和组织结构上采取相应保护措施。此外,欧盟隐私保护机构会定期发布隐私保护义务的解释和说明,有助于提高法律透明度,为企业合规答疑解惑。我们预计,中国的立法者和执法者未来将作出类似更为明确的指导。
2.数据资产的估值,体系框架的初步探究
在数据资产交易逐渐成为社会各界