【我国大数据交易监管制度现状分析10000字】

我国大数据交易监管制度现状分析目录TOC\o"1-3"\h\u3470我国大数据交易监管制度现状分析 [18]。

民法典第四编第六章“隐私权和个人信息保护”中提到了信息收集者、信息控制者的概念。表3-2国家层面涉及“数据控制者和处理者”概念的规则文本梳理国家层面涉及“数据控制者和处理者”概念的规则文本梳理法律文件名称概念权利义务《民法典》个人信息处理者（无定义）第1038条《个人信息保护法（草案）》个人信息处理者（第69条）第4-10条、第二章、第三章、第五章、第七章《网络安全法》网络运营者（第9、76条）第21、24-28、40、41、43、59条网络产品或服务的提供者（第10条）第22条关键信息基础设施运营者(无定义)第34-38条电子信息发送服务提供者(无定义)第48条应用软件下载服务提供者(无定义)《个人信息安全规范》个人信息控制者（第3条）第4-11条1.1.2.1.2数据交易客体在数据交易的交易客体规范方面，从数据类型来看，法律法规关注的数据交易客体范围主要包括个人数据，国家安全数据，征信数据，地理数据，政府数据，医疗数据和金融数据等方面。根据前文大数据交易实践中数据收集来源的分析，我们可以将这些不同类型的数据总结为三类——政府数据、企业数据和个人数据。表3-3国家层面政府数据开放政策和法律梳理国家层面政府数据开放政策和法律梳理编号名称发布部门2015年促进大数据发展行动纲要国务院2016年政务信息资源共享管理暂行办法国务院2017年《政务信息系统整合共享实施方案》交通运输政务信息资源共享管理办法（试行）交通运输部农业部政务信息资源共享管理暂行办法农业部(已撤销)2018年国家科技资源共享服务平台管理办法科学技术部，财政部科学数据管理办法国务院2019年《中华人民共和国政府信息公开条例（修订版）》国务院2020年《关于构建更加完善的要素市场化配置体制机制的意见》国务院通过对国家级政府数据开放政策和法律文件的梳理可以看到，自2015年以来，我国一直将“政府数据公开”作为重要任务进行推进（表3-3）。政府公共数据是数据市场的重要数据资源，能够将此前分散在不同行政部门的公开数据进行有效整合,不仅可以为公共政策的制定、政府公共服务和管理水平的提升提供更加有价值的依据，也可以为技术创新和商业创新提供必要的数据资源。我国各地政府也在政策的推动下进行了积极探索，如上海市通过地方政府部门规章的形式对包括采集利用、开放共享要求、组织分工、应急管理等内容进行了规定上海市2018年发布《上海市公共数据开放暂行办法》，2019年发布《上海市公共数据和一网通办管理办法》。但是由于我国缺少政府数据统一的法律规定的引导，各地政府数据开放立法中出现了立法“抄袭”和“规定不一”并存的情况。同时，不同政府部门之间数据孤岛的问题仍然长期存在。这些问题已经在客观上限制了政府数据的充分流动和价值挖掘，也对政府建立数据开放的整体法律框架提出了要求。上海市2018年发布《上海市公共数据开放暂行办法》，2019年发布《上海市公共数据和一网通办管理办法》而个人数据和企业数据属于密切相关的两种类型，正如上文对于我国关于个人数据规范的分析，我国当前个人数据的界定标准、权利义务主体、权利范围上尚未明确，权利属性的争论尚未形成通说，而不同的权利属性的定性将对权利的私法救济产生重大的影响。个人数据权利的性质和权利范围的不明朗直接影响了企业数据的主体利益范围以及企业可以交易的客体范围，使企业数据的概念在我国非常模糊。由个人使用设备产生的后台数据归谁所有？目前国内法律没有规定。国际上的趋势是区分数据的类型：能识别个人身份的数据（个人数据）和不能识别个人身份的数据（非个人数据）。在欧盟和其他一些注重隐私保护的国家，对个人数据收集、使用和传输都要遵循严格的要求，非个人数据则相对宽松。特斯拉维权案涉及的就是非个人数据。考虑到大数据时代的基础要素就是数据，如果都由个人掌握绝对的数据所有权，那么数据联网和创新都不可能实现。所以非个人数据一般由企业在后台收集并在合法范围内使用，从消费者角度来看，每日面临的大量的定制式推荐就代表着后台数据已被收集和使用。一种常见的误解是，数据生成设备的所有者（如手机用户或者汽车驾驶员）或设备制造商（如手机制造商或者汽车制造商）可以从法律意义上“拥有”数据。所有权只能由法律确认与提供。然而，当前任何一个国家赋予企业这种数据权利，即不存在“数据所有权”。我国在司法实践中通常采用反不正当竞争法来保护企业的数据利益，这其实模糊了争议焦点。1.1.2.1.3数据交易安全在当前从传统数据安全的静态保护逐渐向动态保护转变的趋势下，实践中对数据交易客体的规范和对于数据交易安全的规范和是紧密相关的。因此，数据分级分类管理不仅仅是数据收集、使用和处理的客体限制的划分思路，也逐渐成为网络数据安全立法的基本思路，是平衡数据流动需求和数据安全的重要方法。数据分级分类管理的前提是数据标准化，自2017年贵阳大数据交易所正式发布《大数据交易区块链技术应用标准》进行的地方先行实践，我国大数据交易标准相继发布实施，标准体系日趋完善。

表3-4国家级大数据交易相关标准国家级大数据交易相关标准标准名称发布时间发布机构重要内容GB／T37728-2019GB/T37728-2019,信息技术数据交易服务平台通用功能要求[S].GB/T37728-2019,信息技术数据交易服务平台通用功能要求[S].2019年8月30日全国信息技术标准化技术委员会规定了数据交易服务平台的通用功能要求，包括框架及应具备的基本功能和扩展功能GB/T36343-2018GB/T36343-2018,信息技术数据交易服务平台交易数据描述[S].GB/T36343-2018,信息技术数据交易服务平台交易数据描述[S].2018年6月7日数据交易服务平台中有关交易数据描述的相关信息及描述方法GB/T37932-2019GB/T37932-2019,信息安全技术数据交易服务安全要求[S].GB/T37932-2019,信息安全技术数据交易服务安全要求[S].2019年8月30日规定了数据交易供需双方和服务机构的安全要求、交易客体的范围及质量和数据交易不同环节的安全要求通过梳理可以总结出我国当前的数据分级分类制度的总体框架，主要分为三个层面——法律层面、部门规章及规范性文件层面和各级标准层面（表3-4）。在法律层面，尚在制订中的《数据安全法》初步确定了数据分类分级的管理原则，包括：首次将国家确定为数据分类分级制度的主体，强调国家层面需要对我国各类数据的分级分级进行统一规划。从国家、社会、组织和个人四个主体维度确定分类标准，强化对国家秘密、重要数据、企事业及其他组织专有数据及数据竞争权益、个人信息四大数据类型的保护。从重要程度和危害程度确定分级标准，强化规范的分层规制效果。授权地区和部门以数据保护目录机制进行具体管理，强化分级分类的具体指导作用。在部门规章和规范性文件层面，主要发文主体包括证券会、工信部、中央网信办等。分类分级主体一般为数据控制主体，如科学法人单位、证券基金经营机构、工业企业（及工业互联网平台企业）等。涉及科学数据、证券期货业数据、工业数据等数据类型，各领域分类分级标准不完全相同，科学数据侧重考虑保密要求及开放共享程度、金融数据侧重考虑重要性和敏感度、工业数据考虑生产流程及影响程度等。在国家、行业和地区标准层面，目前我国尚未制定数据分级分类的国家标准，但是行业和地区标准却较为丰富。主要标准制订主体包括中国人民银行、证券会、工信部等。相关标准虽然属于指导性质，但在实践中往往代表着监管思路。表3-5我国数据分级分类管理制度相关规范文件梳理我国数据分级分类管理制度相关规范文件梳理规范名称规范性质适用对象规范内容数据安全法（草案）法律全部数据分类原则：主体标准分为四级分级原则：重要程度和危害程度科学数据管理办法国办发〔2018〕17号国务院规范性文件全部数据数据分级分类管理主体：法人建立科学数据中心（第10条）明确数据密级和保密期限、条件、对象和审核程序并公布开放目录（第20条）证券基金经营机构信息技术管理办法中国证券会部门规章证券期货业数据分类分级原则：按经营及客户数据按照重要性和敏感性标准进行差异化管理（第30条）工业数据分类分级指南（试行）工信厅信发〔2020〕6号工信部部门规范性文件工业数据明确分类主体和分类原则：服务运营模式、业务流程和系统设备、行业要求、业务规模、数据复杂程度等（第5-7条）分级原则：数据遭篡改、破坏、泄露或非法利用后对工业生产、经济效益等带来的潜在影响（第8-11条）国家网络安全事件应急预案中网办发文〔2017〕4号中央网信办部门工作文件网络安全事件事件分级：分为四级（第1.4条）网络数据安全标准体系建设指南（征求意见稿）以及电信和互联网行业数据安全标准体系建设指南（征求意见稿）工信部规范性文件全部数据（重点为电信及互联网行业数据）数据分类分级的基本原则、维度、方法、示例等GBT22239-2019GB/T22239-2019,信息安全技术网络安全等级保护基本要求[S].GB/T22239-2019,信息安全技术网络安全等级保护基本要求[S].国家标准全部数据确定第一级到第五级的安全保护等级，其中第三级及以上提出：大数据平台应提供数据分类分级安全管理功能，供大数据应用针对不同类别级别的数据采取不同的安全保护措施。

续表3-5我国数据分级分类管理制度相关规范文件梳理GB/T31167-2014GB/T31167-2014,信息安全技术云计算服务安全指南[S].GB/T31167-2014,信息安全技术云计算服务安全指南[S].国家标准政府信息非涉密政府信息分为敏感信息、公开信息两种类型并进行界定（第6.3条）JR/T0171-2020《个人金融信息保护技术规范》《个人金融信息保护技术规范》中国人民银行金融行业标准个人金融信息数据分级：C3、C2、C1三个类别划分标准：信息遭到未经授权的查看或未经授权的变更后产生的影响和危害JR/T0197-2020《金融数据安全数据安全分级指南》《金融数据安全数据安全分级指南》中国人民银行金融行业标准金融数据数据分级：从高到低分为5级划分标准：金融业机构数据安全遭受破坏后的影响对象和所造成的影响程度JR/T0158-2018《证券期货业数据分类分级指引》《证券期货业数据分类分级指引》中国证监会金融行业标准证券期货业数据提供数据分级分类方法论和程序指引，形成树形逻辑体系结构：业务细分——数据细分——确定数据级别YD/T2781-2014《电信和互联网服务用户个人信息保护分级指南》《电信和互联网服务用户个人信息保护分级指南》YD/T2782-2014《电信和互联网服务用户个人信息保护分级指南》《电信和互联网服务用户个人信息保护分级指南》工信部通信行业标准通信行业数据分类原则：用户个人信息的属性和类型特征YD/T3813-2020《基础电信企业数据分类分级方法》《基础电信企业数据分类分级方法》工信部通信行业标准通信行业数据分类原则：线分类法根据基础电信企业生产经营管理现状和企业自身管理特点，基础电信企业掌握的数据分为用户相关数据（包括用户身份数据、用户服务内容数据、用户服务衍生数据、用户统计分析数据）、企业自身数据（包括网络与系统建设与运维数据、业务运营数据、企业管理数据、其他数据）两大类分级原则：根据数据对象的重要敏感程度，将基础电信企业网络数据资源分为四个安全级别。DB52/T1123-2016《贵州省政府数据数据分类分级指南》《贵州省政府数据数据分类分级指南》地方标准政府数据分类方法：第5条，主题、行业和服务三个维度分级方法：第7条，敏感程度为标准总的来说，我国的数据分级分类管理框架已经基本确立，但是在具体的分级分类管理的实施层面仍需要进一步细化规范，同时也应该回应企业在分级分类管理实践中存在的现实困境（表3-5）。一方面，由于数据分级分类管理制度和对数据交易客体的规范是密切相关的，因此，根据政府数据、企业数据和个人数据因其各自的特征对分级分类提出了不同的管理需求，企业和政府的之间的数据调取和共享需要进一步明确责任主体和权利义务范围。对于深度伪造、自动化决策等对个人数据利益产生直接影响的技术，需要完善一般规则和场景化规范相结合的配套法律制度。另一方面，企业作为数据分级分类管理的重要主体，将承担数据存储、传输安全等责任。但是对于我国众多中小微企业来说，这一要求对其技术能力和管理成本提出了较高的挑战，企业是否有意愿以及是否有能力落实数据分级分类管理是政府、行业组织等需要关注的问题。1.2我国大数据交易平台规则及问题1.2.1我国大数据交易平台规则梳理本文选取8家数据交易平台的交易规则进行梳理，包括贵阳大数据交易所和上海市数据交易中心，聚合数据和京东万象，数粮大数据交易平台和数据宝，发源地和数据堂，涵盖了前文总结出的政府类、API类、中介类、技术类、综合类五大类别交易平台类型（表3-6）。表3-6大数据交易平台规则汇总名称交易规则交易定价交易平台权利义务的规定交易安全规定贵阳大数据交易所《贵阳大数据交易所702公约》《贵阳大数据交易所用户注册协议》协议定价拍卖定价集合定价《公约》平台服务内容；数据定价和交易模式；大数据交易所的职能《协议》规定了使用规则上海数据交易中心《数据互联规则》、《个人数据保护原则》、《流通数据处理准则》、《数据流通禁止清单》拍卖定价《数据互联规则》《个人数据保护原则》《流通数据禁止清单》聚合数据《聚合云数据用户服务协议》、《隐私政策》平台预订价（数据产品）《协议》规定了免责声明，服务条款的变更；《隐私政策》《聚合云数据用户服务协议》规定了用户义务和法律适用及争议解决京东万象《用户协议》、《服务商协议》平台预订价（数据产品）《协议》规定了协议方的权利和义务《用户协议》用户数据的保存、销毁与下载，服务商的权利义务和法律和争议解决续表3-6大数据交易平台规则汇总名称交易规则交易定价交易平台权利义务的规定交易安全规定数粮大数据交易平台《服务协议》无公开文件和网站入口《服务协议》中规定了平台的权利义务，责任范围和责任限制《服务协议》中规定了用户的权利义务，系统中断或故障，商标、知识产权的保护和法律适用和管辖数据宝《数据宝侵权处理办法》、《信息安全承诺书》无公开文件《数据安全承诺书》《数据宝侵权处理办法》发源地《发源地数据源的规范》无公开文件无针对互联网开放的数据源和企业及机构认证的数据源，制定了不同的数据规范1.2.2我国大数据交易平台规则的问题1.2.2.1大数据交易相关主体数据交易相关主体方面的问题主要是数据交易主体权利义务和资格的不明确和平台定价机制的不完善两个方面。一方面，数据交易双方和数据交易平台自身的义务规定较为模糊。目前，绝大多数数据交易平台都对自身的权利义务进行了规定，但是对于数据平台的权利和义务主要体现在交易规则的原则性表述中，并且大部分主要讲的是交易平台的权利，很少涉及义务方面。另一方面，定价机制不完善且缺乏透明度。无论是大数据交易中心还是依靠自身业务沉淀了大量用户数据的数据公司，即单就数据交易的狭义定义来说，在交易过程中，上述平台都承担着中间商的功能。而数据价值在流动过程中将会以价格的形式进行标明，因此数据定价是数据交易这一商事行为的关键问题，定价的透明度和定价机制的完善程度对数据利益的分配将会产生直接影响。在交易实践中可以看到逐渐形成了如数据包平台预订价，交易系统自定价、拍卖定价、协议定价等定价模式，但是这些定价模式在实践中存在不同的问题，比如拍卖定价其实会阻碍数据的广泛的应用与建立大数据交易的初衷是背道而驰的。总体来看，当前交易平台在数据定价过程中存在以下三个问题：第一，规则文本中很难找到公开的文件对平台的数据定价机制和决定性因素等进行公开，以至于数据定价模式处于黑箱之中。数据买卖双方存在信息严重不对称，对数据质量、数据成本和收益难以计量，当数据交易主体较少时，自由市场难以定价，存在价值价格的偏离。第二，数据要素的生产过程涉及采集、传输、存储、计算等多个环节，参与主体多元化使得数据要素的确权、定价和利益分配变得非常复杂。相关主体权利的不明确导致大数据交易平台在数据定价机制和利益分配模式上的创新十分谨慎甚至在规制中直接回避。第三，数据要素的异质性显著，包括数据结构异质性、搜集主体各不相同、价值高度依赖使用场景等，很难有一套统一的定价方法，形成“千人千价”的价格市场局面，而当前大数据交易平台公布的交易规则中对这个问题缺乏明确的回应。1.2.2.2大数据交易客体数据客体的具体规则主要包括数据合法性来源问题、数据标准化和质量问题。国内大数据交易平台的数据来源广泛，涉及的数据泄露问题已经成为公共利益的重大威胁。大数据交易平台通常通过以下渠道收集数据：一是政府、公司，科研机构和个人的公开数据，这一类数据来源通常是合法合规的。二是互联网爬虫数据，尽管爬虫技术本身并不具有违法性，但是如果利用爬虫技术获取第三方平台的用户数据等敏感信息则具是具有风险性的，而我国法律尚未对这类行为进行规制，行业对这类数据收集和处理行为的自律性规制也尚未成熟。三是京东、百度等大型互联网公司自身业务沉淀的用户数据，这一类数据目前面临的是权利的不确定性问题，这一问题的解决更多依