數(shù)據(jù)交易法律規(guī)制基本原則的構(gòu)建：反思與進路*

徐玖玖

0 引言

信息技術(shù)的發(fā)展促進萬物互聯(lián)的形成，人類社會邁入“Web 3.0”時代。數(shù)據(jù)呈現(xiàn)出爆發(fā)式增長，信息社會的未來必然要突破數(shù)據(jù)孤島，探索數(shù)據(jù)之間的聯(lián)系。數(shù)據(jù)的流通既是數(shù)據(jù)再利用的形式，也是數(shù)據(jù)有效利用的前提和條件。黨的十九屆四中全會首次提出數(shù)據(jù)為獨立的生產(chǎn)要素，要求“健全勞動、資本、土地、知識、技術(shù)、管理、數(shù)據(jù)等生產(chǎn)要素由市場評價貢獻、按貢獻決定報酬的機制”。2020年4月9日，中共中央、國務(wù)院印發(fā)《關(guān)于構(gòu)建更加完善的要素市場化配置體制機制的意見》，明確提出“加快培育數(shù)據(jù)要素市場”，包括推進政府?dāng)?shù)據(jù)開放共享，提升社會數(shù)據(jù)資源價值，加強數(shù)據(jù)資源整合和安全保護。2020年5月11日，《中共中央 國務(wù)院關(guān)于新時代加快完善社會主義市場經(jīng)濟體制的意見》印發(fā)，進一步提出“建立數(shù)據(jù)資源清單管理機制，完善數(shù)據(jù)權(quán)屬界定、開放共享、交易流通等標準和措施，發(fā)揮社會數(shù)據(jù)資源價值?！边@一頂層制度的導(dǎo)向充分體現(xiàn)了互聯(lián)網(wǎng)大數(shù)據(jù)時代的特征，數(shù)據(jù)要素優(yōu)化配置成為數(shù)據(jù)經(jīng)濟發(fā)展的關(guān)鍵環(huán)節(jié)。2020年6月28日，第十三屆全國人大常委會第二十次會議初次審議《數(shù)據(jù)安全法(草案)》，這是我國首次將數(shù)據(jù)治理以法律文本的形式進行明確的政策要求，為數(shù)據(jù)要素提供了基礎(chǔ)性的制度支撐，同時承載著數(shù)據(jù)安全與發(fā)展利用的雙重任務(wù)。其中，《數(shù)據(jù)安全法(草案)》第一條就將“促進數(shù)據(jù)開發(fā)利用”作為該法的立法目的之一；第十七條規(guī)定“國家建立健全數(shù)據(jù)交易管理制度，規(guī)范數(shù)據(jù)交易行為，培育數(shù)據(jù)交易市場”。但是，草案的相關(guān)規(guī)定過于籠統(tǒng)，沒有呈現(xiàn)具體內(nèi)容，仍需要不斷建立健全基本規(guī)則，明確制度目的、實施主體、實施機制、法律責(zé)任等內(nèi)容，形成較為全面和成熟的制度。2020年10月，中共中央辦公廳、國務(wù)院辦公廳印發(fā)了《深圳建設(shè)中國特色社會主義先行示范區(qū)綜合改革試點實施方案(2020－2025年)》，明確提出：“加快培育數(shù)據(jù)要素市場。率先完善數(shù)據(jù)產(chǎn)權(quán)制度，探索數(shù)據(jù)產(chǎn)權(quán)保護和利用新機制，建立數(shù)據(jù)隱私保護制度。試點推進政府?dāng)?shù)據(jù)開放共享。支持建設(shè)粵港澳大灣區(qū)數(shù)據(jù)平臺，研究論證設(shè)立數(shù)據(jù)交易市場或依托現(xiàn)有交易場所開展數(shù)據(jù)交易。”數(shù)據(jù)交易作為數(shù)據(jù)利用環(huán)節(jié)中最為核心和關(guān)鍵的市場活動，是數(shù)據(jù)利用行為的終端呈現(xiàn)。一系列圍繞數(shù)據(jù)要素激活和優(yōu)化配置的政策文件緊鑼密鼓出臺，可見構(gòu)建和完善數(shù)據(jù)交易法制，激活數(shù)據(jù)的內(nèi)在活力，兼顧技術(shù)創(chuàng)新和制度彈性，在有效規(guī)范數(shù)據(jù)市場行為的同時為產(chǎn)業(yè)發(fā)展預(yù)留空間，是當(dāng)前亟須回答的一項現(xiàn)實而重要的課題。而數(shù)據(jù)交易法律規(guī)制的基本原則構(gòu)建，應(yīng)是研究的首要問題。

1 數(shù)據(jù)交易法律規(guī)制基本原則的探索與反思

1.1 數(shù)據(jù)交易法律規(guī)制的理論探索和立法實踐

美籍奧地利邏輯學(xué)家、數(shù)學(xué)家克爾特·哥德爾(Kurt G?del)提出哥德爾不完備定理，認為“任何一個足夠強的一致公設(shè)系統(tǒng)，必定是不完備的”，復(fù)雜系統(tǒng)的完備性與無矛盾性不可兼得。在立法活動中這一定理的適用表現(xiàn)為，成文法往往無法形成完備、嚴密的規(guī)則體系以調(diào)整所有形態(tài)的社會矛盾。為了緩解無矛盾性與完備性之間的悖論，立法者往往在法律規(guī)則之外引入抽象的法律原則與不確定的法律概念，以提高法律的適用性。因此，基本原則作為貫穿于整個數(shù)據(jù)交易法律規(guī)制體系的根本性規(guī)則[1]，既是立法者出于立法有限性和滯后性的審思，也是為了彌補具體規(guī)則在裁判活動中可能出現(xiàn)的漏洞。通過給予適當(dāng)?shù)脑瓌t設(shè)置來周延法律的調(diào)整范圍，是立法者意圖和法律期望的集中體現(xiàn)。

學(xué)界對于數(shù)據(jù)法制基本原則的探索由來已久。周漢華提出，個人信息保護需要遵守合法原則、權(quán)利保護原則、利益平衡原則、信息質(zhì)量原則、信息安全原則、職業(yè)義務(wù)原則、救濟原則[2]。齊愛民支持信息自決原則、目的明確原則、安全原則，其中信息自決原則包括直接收集原則、信息品質(zhì)原則和公開原則等[3]。張新寶等認為，個人信息保護應(yīng)當(dāng)堅守合法性原則、個人參與原則、公開透明原則、知情原則、同意原則、目的明確原則、目的限定原則、信息質(zhì)量原則、信息安全原則、個人敏感信息特別保護原則、未成年人個人信息特別保護原則[4]。

立法實踐對于數(shù)據(jù)法制基本原則的觀點各不相同。歐盟的GDPR(General Data Protection Regulation，《通用數(shù)據(jù)保護條例》)規(guī)定了合法公平透明原則、目的限定原則、數(shù)據(jù)最小化原則、準確原則、有限留存原則、完整機密原則以及責(zé)任原則。2013年修訂的《消費者權(quán)益保護法》第二十九條的規(guī)定首先提出了合法原則、正當(dāng)原則和必要原則。我國《網(wǎng)絡(luò)安全法》四十一條提出了合法、正當(dāng)、必要的原則，以及明示原則、同意原則、目的明確原則?！睹穹ǖ洹返谝磺Я闳鍡l主要采用合法、正當(dāng)、必要以及不得過度處理的原則。值得關(guān)注的是，2020年10月21日，全國人大法工委公開就《個人信息保護法(草案)》征求意見，草案確立了個人信息處理應(yīng)遵循的原則，強調(diào)處理個人信息應(yīng)當(dāng)采用合法、正當(dāng)?shù)姆绞?，具有明確、合理的目的，限于實現(xiàn)處理目的的最小范圍，公開處理規(guī)則，保證信息準確，采取安全保護措施等，并將上述原則貫穿于個人信息處理的全過程、各環(huán)節(jié)[5]。由此可以看出，《個人信息保護法(草案)》整體上沿襲了《民法典》《網(wǎng)絡(luò)安全法》的數(shù)據(jù)法制基本原則。

1.2 數(shù)據(jù)交易法律規(guī)制基本原則的反思與突破

從理論學(xué)說和立法實踐來看，傳統(tǒng)數(shù)據(jù)交易的法律規(guī)制主要基于個人信息的法律保護制度，因此通常表述為合法、正當(dāng)、必要、有限利用、完整正確等基本原則。這些基本原則之間的區(qū)別在于，《民法典》主要針對個人信息的“處理”行為，而《消費者權(quán)益保護法》《網(wǎng)絡(luò)安全法》則是規(guī)制個人信息的“收集、使用”行為。特定法律的基本原則受制于該法的主要立法目標，《民法典》《消費者權(quán)益保護法》中個人信息保護的基本原則旨在保護公民的合法權(quán)益，而《網(wǎng)絡(luò)安全法》的法旨始終圍繞著安全保障。因此，如果將這些基本原則簡單、機械地完全搬移到數(shù)據(jù)交易場景中，而不進行具體、深入的審思和再闡釋，恐怕會出現(xiàn)規(guī)制的“偏差”，在一定程度上忽略數(shù)據(jù)交易活動所承載的權(quán)益保護和交易激勵的雙重價值目標。

從實踐來看，諸如目的明確原則、有限利用原則、完整正確原則的有效性和可行性較低，而合法原則本身就是法律制度的基本要求。數(shù)據(jù)收集和交易的目的必然具有不確定性，而數(shù)據(jù)的用途亦具有動態(tài)性和變化性，網(wǎng)絡(luò)時代的數(shù)據(jù)開發(fā)是海量信息技術(shù)活動，數(shù)據(jù)的收集、儲存以及其后的挖掘、開發(fā)等二次利用，都具有高度的不確定性。數(shù)據(jù)經(jīng)營者本身需要根據(jù)不斷演化的信息技術(shù)、日益更替的商業(yè)模式以及瞬息萬變的用戶需求，不斷調(diào)整企業(yè)的經(jīng)營方向、產(chǎn)品和服務(wù)內(nèi)容，這必然會涉及到數(shù)據(jù)收集和利用方式的變化和更替。因此，實踐中許多企業(yè)考慮到未來數(shù)據(jù)利用可能產(chǎn)生的新需求，往往會通過在隱私政策中擴大列舉數(shù)據(jù)的收集和使用目的，以涵蓋一段時期內(nèi)的數(shù)據(jù)需求。但是，這種過分擴張的使用目的，反而使目的明確原則、有限利用原則、完整正確原則、最小化原則形同虛設(shè)。數(shù)據(jù)資源具有重要價值，是企業(yè)收集數(shù)據(jù)的主要動機，在這一利益的驅(qū)動下，傳統(tǒng)個人信息保護法中的基本原則，諸如必要性原則、最小化原則等在實踐中被不斷突破。事實上，企業(yè)不但收集業(yè)務(wù)活動所必須的數(shù)據(jù)，還會囤積無關(guān)的數(shù)據(jù)作為資源儲備，或與其他需求方進行交易實現(xiàn)增收。

為此，應(yīng)以利益均衡為基點，重新檢視傳統(tǒng)的數(shù)據(jù)交易法律規(guī)制基本原則，對其必要性和有效性進行反思，從權(quán)益保護和產(chǎn)業(yè)激勵兩個維度對應(yīng)予保留和堅持的基本原則賦予新的闡釋。可以將知情同意原則、責(zé)任和安全保護原則作為數(shù)據(jù)權(quán)益保護的兩個基點，將區(qū)分規(guī)制原則、合理使用原則作為數(shù)據(jù)產(chǎn)業(yè)激勵的兩個基點，構(gòu)建“保護-激勵”雙層維度的平衡性制度安排。

2 權(quán)利保護維度的數(shù)據(jù)交易法律規(guī)制基本原則構(gòu)建

個人數(shù)據(jù)留存于公私領(lǐng)域的各個方面，人們參與社會經(jīng)濟生活形成各種法律關(guān)系，同時也在不斷產(chǎn)生新的數(shù)據(jù)。這些數(shù)據(jù)包括個人的住址、生日、學(xué)歷、工作、健康等內(nèi)容，如果這些數(shù)據(jù)被毫無約束地收集、存儲、使用和交易，個人的人格形象將無所遁形，人格尊嚴和隱私權(quán)益也將會面臨極大的威脅。如果對數(shù)據(jù)交易中的權(quán)益，特別是人權(quán)的保護有所松動，將會產(chǎn)生法學(xué)在信息社會中新的現(xiàn)代性危機。因此，在數(shù)據(jù)交易的整個生命周期中，應(yīng)當(dāng)始終強調(diào)對于權(quán)益保護的重視，否則“人無自我、無人格、無尊嚴，所見之處皆是群我、他律為中心，將是一個不可想象的不安且無內(nèi)心世界的社會”[6]。

2.1 知情同意原則：質(zhì)疑與破局

2.1.1 知情同意原則的再審視

有觀點認為知情同意仍然是個人信息保護的正確路徑[7]，違反同意原則收集和利用個人數(shù)據(jù)屬于非法收集和利用行為[8]。但是，知情同意原則在互聯(lián)網(wǎng)場景中開始面臨越來越大的爭議。有觀點認為，同意機制本身存在著局限性，由于用戶有限理性、技術(shù)壁壘以及信息不對稱等因素，知情同意機制事實上已經(jīng)失效，法律規(guī)制工具從信息收集需要個人許可開始向數(shù)據(jù)管理者的義務(wù)承擔(dān)轉(zhuǎn)向[9]。甚至有學(xué)者認為，考慮到數(shù)據(jù)使用的不可避免性，應(yīng)當(dāng)越過知情同意這一失效的中間機制，重視對個人數(shù)據(jù)利用環(huán)節(jié)的控制，使數(shù)據(jù)的利用更符合用戶的隱私偏好和期待[10]。但在現(xiàn)實中，通過知情同意原則實現(xiàn)數(shù)據(jù)權(quán)利的保護這一方式所面臨的問題不僅僅是有效性的困局，似乎更多是一種落實的“有意”缺位。北京大學(xué)互聯(lián)網(wǎng)法律中心曾對79項共計17類互聯(lián)網(wǎng)應(yīng)用產(chǎn)品中的個人信息保護政策進行測評，發(fā)現(xiàn)較為完善的隱私政策或個人信息保護政策所列舉的信息至少包括設(shè)備信息、日志信息、位置信息、應(yīng)用程序編號、本地存儲、cookie和類似技術(shù)等內(nèi)容[11]。但值得注意的是，實踐中的隱私政策或協(xié)議往往對所有類型的數(shù)據(jù)一并收集，并沒有對必須經(jīng)用戶同意后方能收集使用的數(shù)據(jù)以及可自動獲取的數(shù)據(jù)進行分類約定。雖然有一些互聯(lián)網(wǎng)產(chǎn)品在協(xié)議中為用戶拒絕數(shù)據(jù)的收集提供了一定的選擇空間，但是可選擇的數(shù)據(jù)類型主要集中在cookie、本地存儲、地理位置、通訊錄、相冊和攝像頭等方面，與取得授權(quán)獲取的數(shù)據(jù)范圍相比過于狹窄，并未在實質(zhì)意義上為用戶提供真正可以選擇(拒絕或同意)的有效途徑[12]。

因此，對于知情同意原則的思辨應(yīng)從兩個角度展開分析。一方面，承認其在數(shù)據(jù)活動中存在的局限性；另一方面，作為數(shù)據(jù)主體最基礎(chǔ)的人權(quán)保護制度，應(yīng)當(dāng)通過尋求新的闡釋以使其適應(yīng)新的經(jīng)濟社會條件，而非一味地否定。對于知情同意原則的認知，沒有必要在“完全知情且自由”與“完全不知情且不自由”兩個極端之間進行二元抉擇。實際情況往往是人們并不能涇渭分明地界定完全知情、完全自由的情形，而是游走在兩個極端之間的中間地帶，法律所能做的是促進數(shù)據(jù)主體趨向或無限趨近知情和自由的端點。

第一，否定知情同意原則將會帶來無法預(yù)期的嚴重后果。數(shù)據(jù)主體在數(shù)據(jù)保護中的核心地位是不能否認的。如果個人完全失去對自身數(shù)據(jù)處理活動的控制，會加劇個人數(shù)據(jù)侵權(quán)的失控狀態(tài)。洛克認為，同意是政治權(quán)力合法性的一個核心因素，具象為自我決定、自我意識、自我支配的能力和權(quán)利，即同意是人之權(quán)利的證明和彰顯[13]。人應(yīng)是自己的主人，同時亦是自身和自身行動或勞動的所有者[14]。在傳統(tǒng)隱私法的觀念中，人應(yīng)當(dāng)是自身隱私領(lǐng)域絕對的權(quán)威(authority)，可以自由決定是否允許他人進入這一領(lǐng)域、如何進入、何時進入以及進入的范圍[15]。進入互聯(lián)網(wǎng)時代，信息技術(shù)條件下這一權(quán)利被解讀為個人控制、利用自身數(shù)據(jù)的權(quán)利[16]。因此，同意不僅僅是一種形式意義上的程序，而且還是實質(zhì)意義上的權(quán)利。只要數(shù)據(jù)交易法制的邏輯起點構(gòu)建于尊重人權(quán)基礎(chǔ)之上，同意原則就必然要扮演著核心的角色。其次，從利益均衡的角度而言，移除同意原則在數(shù)據(jù)法制中的位置，是將個人排除在數(shù)據(jù)價值分配的序列之外，對于個人而言只能被動地交付數(shù)據(jù)而無法享受數(shù)據(jù)利用所帶來的收益，這會進一步加劇數(shù)據(jù)主體與數(shù)據(jù)經(jīng)營者之間利益的不平等程度。最后，即便是基于場景極其細化的合理利用也無法取代數(shù)據(jù)主體的知情同意。因為同意形成于數(shù)據(jù)活動生命周期之始，而合理利用已然打開了“潘多拉的魔盒”，數(shù)據(jù)侵權(quán)后果的不可逆性使兩者無法互相取代。

第二，破除知情同意原則的實踐困境，需要的是對原則內(nèi)涵的再闡釋，而非否定。學(xué)者們對于知情同意的批判主要基于當(dāng)下缺乏能夠保障同意有效性和真實性的客觀條件和主觀能力的現(xiàn)實，但是知情同意原則并非完全是絕對意義上的無法實現(xiàn)。同意有效性和真實性的瑕疵可以通過制度規(guī)則的設(shè)置進行強化和補正。法律本身就不應(yīng)當(dāng)苛求每一個公民都對數(shù)據(jù)活動擁有足夠的專業(yè)知識和議價能力，甚至通過不斷強化和完善自然人的理性條件而達致跨越技術(shù)壁壘和信息不對稱條件的程度。法律應(yīng)將數(shù)據(jù)活動經(jīng)標準化后納入法治框架，使更多公民能夠了解、使用和運用數(shù)據(jù)交易活動的規(guī)則。在法治的框架中，企業(yè)專注于自身行為“如何”符合法律規(guī)定的要求和標準，而數(shù)據(jù)主體無需確知這些細節(jié)，只需要了解企業(yè)的數(shù)據(jù)活動是否合法，做出“符合”或“不符合”的簡單二元判斷即可。

第三，以數(shù)據(jù)主體與數(shù)據(jù)經(jīng)營者普遍存在的格式合同否認數(shù)據(jù)主體意思自治的實現(xiàn)，其本質(zhì)是一種邏輯的謬誤。有觀點認為，數(shù)據(jù)主體和數(shù)據(jù)經(jīng)營者之間的合同往往以格式化的形式呈現(xiàn)，通過用戶點擊“已閱讀且同意”來完成法律所要求的知情同意程序。數(shù)據(jù)主體可能根本就沒有注意到其中關(guān)于自身數(shù)據(jù)權(quán)益保護方面的條款，或者說，即便竭力謹慎地詳細閱讀也不具備徹底掌握、了解進而自主選擇的能力。這種格式合同使知情同意本身實際上已經(jīng)喪失真實性，淪為數(shù)據(jù)主體為了接受服務(wù)不得不做出的退讓，并不是其對自身數(shù)據(jù)權(quán)利的真實主張。合同法設(shè)計格式條款是出于方便經(jīng)濟活動、減少交易成本的考慮，網(wǎng)絡(luò)服務(wù)提供者也不可能與每一個用戶簽訂個性化的服務(wù)合同。因此，隱私協(xié)議中采取格式條款是具有客觀必要性的。這種質(zhì)疑的意義在于，數(shù)據(jù)主體在數(shù)據(jù)獲取環(huán)節(jié)有限的意思表達開始受到關(guān)注，但是從法律價值角度而言，正是由于數(shù)據(jù)主體有限理性的存在，其數(shù)據(jù)權(quán)益亦更容易受到侵害，因而才更需要通過知情同意原則對作為強勢一方的數(shù)據(jù)處理者，課以獲取數(shù)據(jù)主體同意的法定義務(wù)。

第四，成本效益的經(jīng)濟考量不能違背權(quán)利保護原則。有觀點從數(shù)據(jù)處理者的角度出發(fā)，強調(diào)其對數(shù)據(jù)的處理和加工所付出的勞動和智力。但是，成本效益的經(jīng)濟考量僅能從正面證明數(shù)據(jù)處理者對于數(shù)據(jù)產(chǎn)品或服務(wù)享有一定財產(chǎn)權(quán)益的正當(dāng)性，不能從反面證明個人就必須喪失對原數(shù)據(jù)的自由決定權(quán)。從這一角度論證取消同意機制，本質(zhì)上是以一方當(dāng)事人對交易標的的利益訴求，來剝奪另一方當(dāng)事人對交易標的的權(quán)利，其本身就具有不合理之處。如果數(shù)據(jù)處理者可以未經(jīng)原權(quán)利人的同意就獲取、處理和利用數(shù)據(jù)，那就是數(shù)據(jù)交易領(lǐng)域的強制交易行為。成本效益分析是法律制度選擇需要考量的重要因素，但并非是唯一標尺，在人格尊嚴的價值序列上，對于成本效益分析范式的應(yīng)用要更為審慎，避免落入功利主義的窠臼。對于數(shù)據(jù)經(jīng)營者而言，取得數(shù)據(jù)主體的同意雖然增加了交易前獲取環(huán)節(jié)的成本，但也相應(yīng)降低了交易后出現(xiàn)合規(guī)方面糾紛的可能性，避免了數(shù)據(jù)利用過程中的損害賠償?shù)蕊L(fēng)險。

綜上，知情同意原則的制度困境是伴隨著傳統(tǒng)隱私權(quán)進入信息社會互聯(lián)網(wǎng)情境中的失控所產(chǎn)生的，源于傳統(tǒng)規(guī)制工具與現(xiàn)代社會技術(shù)變革所帶來的全新規(guī)制環(huán)境之間的不適應(yīng)，以及對于多元利益價值無法回應(yīng)的缺陷。因此從規(guī)范層面而言，同意機制仍然是數(shù)據(jù)交易合法性的必要基礎(chǔ)，是個人數(shù)據(jù)在信息時代的“避風(fēng)港”，是“應(yīng)該加強而非削弱同意的角色”[17]。對知情同意原則的否認則過于強調(diào)其局限性，而忽視了其意義所在。即，知情同意原則需要的不是徹底的否定和推翻，而是在此基礎(chǔ)之上作為補充和例外的平衡性制度安排。

2.1.2 數(shù)據(jù)交易中知情同意原則的破局路徑

第一，知情同意原則應(yīng)當(dāng)與區(qū)分規(guī)制原則相銜接。知情同意原則需要回歸客體的特殊性，而不應(yīng)當(dāng)脫離具體的數(shù)據(jù)類型進行討論，否則會陷入非此即彼的極端討論之中。數(shù)據(jù)交易法制本身就是在數(shù)據(jù)主體權(quán)利保護與數(shù)據(jù)利用之間(保持)利益均衡的結(jié)果，對于知情同意原則的選擇和適用也應(yīng)當(dāng)體現(xiàn)這一思想。如果完全取消該原則，還能以何來對抗數(shù)字社會對個人數(shù)據(jù)安全和隱私保護的沖擊。愈是在隱私無處躲藏的互聯(lián)網(wǎng)時代，對于數(shù)據(jù)隱私的保護就愈加可貴。但是，如果貫徹絕對化的知情同意原則，也會對數(shù)據(jù)產(chǎn)業(yè)的發(fā)展形成桎梏，喪失數(shù)據(jù)利用給人們在社會經(jīng)濟文化生活各個方面帶來的便利和收益。

未來數(shù)據(jù)交易的立法應(yīng)當(dāng)根據(jù)不同數(shù)據(jù)的人格價值和重要性，設(shè)置不同程度的同意條件，尋求一種相對的、可預(yù)見的、具有可行性的個人數(shù)據(jù)重要程度劃分標準。對主體具有重大的、不可逆轉(zhuǎn)利益的相關(guān)數(shù)據(jù)，必須設(shè)置更高、更嚴格的同意條件[18]。例如，德國針對數(shù)據(jù)所涉及人格領(lǐng)域的程度，給予不同強度的法律保護[19]。對于敏感數(shù)據(jù)不但要繼續(xù)適用知情同意原則，而且還要強化該原則的要求，進一步加強消費者的控制能力。同時，對于同意有效性較高的數(shù)據(jù)，在同意的獲取過程中，需要從數(shù)據(jù)經(jīng)營者的角度輔以相應(yīng)的義務(wù)來提高數(shù)據(jù)主體的控制力。根據(jù)知情同意原則的要求，為了完善有效同意的知情條件和自由選擇條件，數(shù)據(jù)經(jīng)營者應(yīng)當(dāng)明確告知數(shù)據(jù)主體數(shù)據(jù)獲取的方式、內(nèi)容、范圍以及數(shù)據(jù)使用的目的、方式以及可能的后果等內(nèi)容；給予數(shù)據(jù)主體充分、足夠和有效的回應(yīng)途徑(主要包括同意、部分同意以及拒絕三種)；對于涉及特殊主體的數(shù)據(jù)應(yīng)當(dāng)提升同意的合規(guī)要求，如對于未成年人數(shù)據(jù)的收集、處理和使用，不能僅僅依靠未成年本人的同意，還必須獲得其法定監(jiān)護人的明示同意。

第二，進一步豐富數(shù)據(jù)主體的選擇權(quán)，豐富“同意”的行使方式。用戶在個人數(shù)據(jù)設(shè)置上的選擇權(quán)非常有限，大量應(yīng)用產(chǎn)品的用戶服務(wù)隱私協(xié)議只能在“接受”和“拒絕”之間選擇。面對產(chǎn)品提供者制定的隱私政策，用戶實際上普遍缺乏選擇權(quán)利。因此，對于個人信息選擇權(quán)的制度設(shè)計，可以從以下方面豐富數(shù)據(jù)主體的選擇權(quán)：對于敏感的個人數(shù)據(jù)等限制或禁止交易的數(shù)據(jù)類型，采取“選擇加入”的同意規(guī)則(opt-in consent)；對于非敏感個人數(shù)據(jù)或法定的可交易數(shù)據(jù)類型，采取“選擇退出”的同意規(guī)則(optout consent)。并且，選擇權(quán)的內(nèi)容不應(yīng)僅設(shè)有全部同意或全部否定的二元選擇，而是將數(shù)據(jù)的獲取、處理和使用根據(jù)不同的階段和環(huán)節(jié)加以細化和區(qū)分，允許用戶對數(shù)據(jù)流通中的具體部分選擇是否同意。

第三，以基于差異化的合理滿足，平衡數(shù)據(jù)經(jīng)營者的利益需求。借鑒《2018年加州消費者隱私法案》 (California Consumer Protection Act，CCPA)的立法模式，可以從兩個方面平衡數(shù)據(jù)經(jīng)營者的利益需求，以達到激勵交易和推動數(shù)據(jù)市場發(fā)展的目標。一是差異化的知情同意原則要求。對于未成年人數(shù)據(jù)等特殊類型數(shù)據(jù)以及高度敏感性數(shù)據(jù)，在收集、處理和交易相關(guān)數(shù)據(jù)之前必須獲得數(shù)據(jù)主體的明確同意，采取“optin”模式；對于其他數(shù)據(jù)則采取“opt-out”模式，即除非數(shù)據(jù)主體拒絕或退出，否則數(shù)據(jù)經(jīng)營者可以繼續(xù)收集或處理其個人數(shù)據(jù)，以鼓勵更多數(shù)據(jù)經(jīng)營者進入市場。二是差異化的交易費用機制。數(shù)據(jù)主體行使權(quán)利，拒絕數(shù)據(jù)經(jīng)營者在部分數(shù)據(jù)領(lǐng)域的收集、處理或使用行為，數(shù)據(jù)經(jīng)營者不得對這些消費者進行歧視對待。但是，如果數(shù)據(jù)主體同意的范圍與消費者數(shù)據(jù)所提供的價值直接相關(guān)，則數(shù)據(jù)經(jīng)營者還可以向消費者提供不同價格、不同費率、不同品質(zhì)的商品或服務(wù)。以此，在維護數(shù)據(jù)主體選擇權(quán)和用戶公平對待權(quán)的基礎(chǔ)上盡量保留市場彈性，給予數(shù)據(jù)經(jīng)營者謀求利潤的合理需求空間，并允許企業(yè)探索其他可行的收費模式。

2.2 責(zé)任和安全保護原則

2.2.1 安全保護原則是責(zé)任原則的目的

在一個文明社會里，其法律都會遵照基本的普適性原則，包括安全、公正、效率等。在這些原則中，安全應(yīng)當(dāng)是法律的基礎(chǔ)性價值。但是，對于“安全”的價值，不應(yīng)當(dāng)僅僅從數(shù)據(jù)安全的角度進行解讀，而是應(yīng)當(dāng)從交易角度、生活角度等多個層面進行多維度的審視。數(shù)據(jù)安全原則在交易活動中尤為重要，貫穿數(shù)據(jù)交易行為的始終?；舨妓乖f：“保護生活、財產(chǎn)和契約的安全，構(gòu)成了法律有序化的最為重要的任務(wù)。”[20]數(shù)據(jù)交易本質(zhì)上仍然屬于商事交易的一種類型，而交易安全是商事活動中法律追求的終極價值。數(shù)據(jù)的安全保障在我國網(wǎng)絡(luò)信息立法實踐中并不鮮見，例如《網(wǎng)絡(luò)安全法》提出建立數(shù)據(jù)安全保障制度，《證券法》提出完善的數(shù)據(jù)安全保護措施，《測繪法》提出建立地理信息安全管理制度和技術(shù)防控體系，《計算機系統(tǒng)安全保護條例》《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法》等均明確規(guī)定了計算機系統(tǒng)以及信息網(wǎng)絡(luò)的安全保護。但是，這些法律法規(guī)一般意義上通常都針對數(shù)據(jù)存儲的安全要求，并未談及數(shù)據(jù)交易領(lǐng)域的安全內(nèi)涵。

數(shù)據(jù)交易安全保障原則包括物理和法律兩個層面的內(nèi)涵。物理意義上的數(shù)據(jù)安全，是指數(shù)據(jù)應(yīng)得到充足的安全保護，以免遭受泄露、滅失、篡改和未經(jīng)授權(quán)使用等，包括各種物理保護措施、組織保護措施以及計算機系統(tǒng)保護措施。法律意義上的數(shù)據(jù)安全，包括靜態(tài)安全和動態(tài)安全。靜態(tài)安全強調(diào)權(quán)利歸屬利益的確定，是指不同主體之間的法益分配狀態(tài)。從權(quán)利義務(wù)角度而言，靜態(tài)安全是交易行為的權(quán)利合法性基礎(chǔ)，是民事權(quán)利的界限，決定著權(quán)利的歸屬。在數(shù)據(jù)交易領(lǐng)域，數(shù)據(jù)交易的靜態(tài)安全是指權(quán)屬層面的穩(wěn)定狀態(tài)，即數(shù)據(jù)自身權(quán)利狀態(tài)的穩(wěn)定，包括數(shù)據(jù)應(yīng)當(dāng)具備保密性、完整性以及合法性。保密性要求數(shù)據(jù)收集主體在主觀上不能故意或者過失泄露數(shù)據(jù)，在客觀上應(yīng)當(dāng)為數(shù)據(jù)收集和存儲的安全提供足夠的技術(shù)保障。對于數(shù)據(jù)泄露中存在故意或者過失的應(yīng)當(dāng)通過責(zé)任機制予以追究，對于技術(shù)問題導(dǎo)致的數(shù)據(jù)泄露應(yīng)當(dāng)通過技術(shù)標準和準入條件進行防范。完整性要求數(shù)據(jù)本身具有真實性，在收集的過程中不會被篡改、攔截或者偽造。合法性的核心問題就是數(shù)據(jù)的所有權(quán)明確，這是數(shù)據(jù)交易合規(guī)性的基礎(chǔ)和前提。動態(tài)安全以利益流轉(zhuǎn)為保護對象，有學(xué)者將其稱為“交易的安全”[21]。動態(tài)安全是數(shù)據(jù)流轉(zhuǎn)中的安全，在數(shù)據(jù)交易領(lǐng)域具體表現(xiàn)為買賣雙方的數(shù)據(jù)交易行為具有合法性和有效性，不存在法定的無效或可撤銷情形。動態(tài)安全的核心問題是數(shù)據(jù)權(quán)屬的合法、明確，包括交易前的締約過程、交易中的交易行為以及交易后的后合同義務(wù)階段，確保買賣雙方以及相關(guān)利益第三人均不會對數(shù)據(jù)權(quán)利的流轉(zhuǎn)存在爭議。

2.2.2 責(zé)任原則是安全保護原則的基點

互聯(lián)網(wǎng)時代萬物互聯(lián)，人和人之間、人與物之間、人與機構(gòu)之間的信息粘連度較高，數(shù)據(jù)處理從收集開始就面臨著是否會關(guān)涉第三方數(shù)據(jù)的問題。人的行為具有社會性，因此諸如通訊錄、電話往來、聊天記錄等數(shù)據(jù)中充斥著大量第三方的個人信息。傳統(tǒng)規(guī)制框架側(cè)重于約束與用戶直接關(guān)聯(lián)的企業(yè)，卻無法約束大數(shù)據(jù)時代普遍存在的數(shù)據(jù)流傳和二級利用中涉及的多元第三方企業(yè)。諸如美國CCPA等在立法中開始突出責(zé)任原則，對企業(yè)課以培訓(xùn)、審計、風(fēng)險分析等多項責(zé)任。例如，該法案要求企業(yè)應(yīng)當(dāng)根據(jù)自身狀況進行相應(yīng)的人員培訓(xùn)、外部審計、技術(shù)架構(gòu)設(shè)計等，并確保有合作關(guān)系的第三方能夠遵守企業(yè)自身的用戶信息保護規(guī)定；對于第三方企業(yè)監(jiān)管缺失的狀況，規(guī)定以隱私風(fēng)險分析為工具確定相應(yīng)主體的責(zé)任，使所有與信息處理相關(guān)的企業(yè)都統(tǒng)一適用隱私風(fēng)險分析的標準。

數(shù)據(jù)粘連所產(chǎn)生的風(fēng)險主要表現(xiàn)為，數(shù)據(jù)是否會因“此次”的同意行為而被數(shù)據(jù)經(jīng)營者提供給第三方主體，或者因捆綁于他人的數(shù)據(jù)而事實上已被收集。較為典型的有如下幾種情形：用戶甲將自身的通訊錄上傳至某網(wǎng)絡(luò)服務(wù)提供商的服務(wù)器上，應(yīng)當(dāng)認為該網(wǎng)絡(luò)服務(wù)提供商獲取用戶甲通訊錄上的所有姓名及聯(lián)系方式等信息，只能服務(wù)于用戶甲個人存儲和管理的需要，不得基于經(jīng)營目的處理、加工用戶甲之外該通訊錄上第三方未經(jīng)授權(quán)的信息，亦不得利用用戶甲的數(shù)據(jù)對通訊錄上的第三方開展商品營銷或者其他服務(wù)。在現(xiàn)實操作中，許多數(shù)據(jù)經(jīng)營者(如網(wǎng)絡(luò)服務(wù)提供商)會選擇與第三方主體簽訂保密協(xié)議，或者在協(xié)議中專門設(shè)置保密條款，作為其為用戶數(shù)據(jù)保密盡到合理注意義務(wù)的表現(xiàn)，試圖以此為自身在侵權(quán)發(fā)生時得以向消費者主張免責(zé)。但是，合同具有相對性，數(shù)據(jù)經(jīng)營者和第三方主體之間的保密約定無法成為其對消費者造成損害的免責(zé)事由。在這樣的背景下，數(shù)據(jù)經(jīng)營者需要對第三方主體的數(shù)據(jù)存儲、使用情況承擔(dān)責(zé)任。另外，數(shù)據(jù)經(jīng)營者可能會援引雙方之間屬于數(shù)據(jù)合作或分享，并未存在金錢給付情形，作為減輕或免除自身責(zé)任的事由。從利益理論的角度而言，有對價就應(yīng)當(dāng)視為交易，無論對價是金錢給付還是數(shù)據(jù)給付，數(shù)據(jù)控制者均需要對第三方主體行為盡到合理注意的義務(wù)。

第一，將數(shù)據(jù)安全保障原則的落實措施作為盡職調(diào)查的重要內(nèi)容。當(dāng)數(shù)據(jù)控制者將數(shù)據(jù)交付或托管給第三方時，應(yīng)當(dāng)對第三方企業(yè)開展標準化的盡職調(diào)查，這對于大型數(shù)據(jù)庫的授權(quán)和訪問而言是非常必要的風(fēng)險防范措施。調(diào)查內(nèi)容主要包括總體上的信息安全安排是否妥當(dāng)，是否有安全事故報告制度、是否有書面的數(shù)據(jù)安全政策、是否有高度保密數(shù)據(jù)的傳輸和存儲政策，以及這些數(shù)據(jù)安全安排的更新和評估情況。同時，對第三方開展隱私風(fēng)險評估，明確其數(shù)據(jù)利用目的、數(shù)據(jù)分析能力、數(shù)據(jù)匿名技術(shù)策略等。

第二，通過詳細的數(shù)據(jù)安全約定以補強法定義務(wù)。數(shù)據(jù)交易合同是交易行為的基礎(chǔ)，也是雙方權(quán)利義務(wù)的范圍。但是，實踐中數(shù)據(jù)交易合同針對數(shù)據(jù)安全的約定條款較少，往往僅以一條保密條款進行簡略規(guī)定。數(shù)據(jù)交易合同應(yīng)當(dāng)增強對數(shù)據(jù)安全約定的表述，通過關(guān)鍵性數(shù)據(jù)安全條款實現(xiàn)數(shù)據(jù)安全保障的目的，限制和明確相關(guān)責(zé)任。

第三，確定特定的以數(shù)據(jù)安全為核心的合同附件。針對高度保密的數(shù)據(jù)交易合作，數(shù)據(jù)控制者通過與第三方在合同中明確數(shù)據(jù)安全規(guī)定的附件，對第三方在處理或存儲過程中加密和訪問控制技術(shù)的使用、相關(guān)軟件硬件的配置等進行具體約定，將企業(yè)在數(shù)據(jù)使用、技術(shù)條件、匿名化承諾、存儲安全、數(shù)據(jù)處置等方面的安全需求預(yù)期進一步細化。

3 產(chǎn)業(yè)激勵維度的數(shù)據(jù)交易法律規(guī)制基本原則構(gòu)建

權(quán)益保護并非意味著效率激勵就無足輕重。從國外立法實踐來看，美國在數(shù)據(jù)法制中更注重對數(shù)據(jù)的利用，在規(guī)則設(shè)計上更多考量經(jīng)營者的利益訴求；而歐盟則更注重對數(shù)據(jù)的保護，在制度設(shè)計中強調(diào)以人權(quán)保護為規(guī)范的邏輯起點，以實現(xiàn)權(quán)利保護。立法例的不同進路具有多方面的原因，即使在歐盟地區(qū)，也同樣承認數(shù)據(jù)利用的合理性。數(shù)據(jù)法制的目的是在數(shù)據(jù)主體、數(shù)據(jù)利用者、社會之間形成一種平衡性的法律框架，使利益趨向更大可能的博弈均衡。

3.1 區(qū)分規(guī)制原則

區(qū)分規(guī)制應(yīng)當(dāng)是貫穿數(shù)據(jù)法制整個規(guī)范體系的原則性內(nèi)容。如果將數(shù)據(jù)簡單地分為個人數(shù)據(jù)、商業(yè)數(shù)據(jù)以及政務(wù)數(shù)據(jù)，可以發(fā)現(xiàn)個人數(shù)據(jù)的核心內(nèi)容是對于個人隱私的保護，商務(wù)數(shù)據(jù)關(guān)注的是對于商業(yè)秘密以及數(shù)據(jù)競爭的規(guī)制，政務(wù)數(shù)據(jù)的重點在于國家安全的維護和信息公開的實現(xiàn)。進一步剖析這些數(shù)據(jù)事實與既有法律制度之間的銜接與適用可以發(fā)現(xiàn)，并非所有類型的數(shù)據(jù)都處于無法可依的規(guī)制困境，而是一些類型的數(shù)據(jù)處于立法空白的狀態(tài)，一些類型的數(shù)據(jù)有法可依但無法進行有效調(diào)整，一些類型的數(shù)據(jù)能夠通過其他部門法的解釋或類推適用得到解決。在這樣的前提下對現(xiàn)行立法進行梳理可以探知，涉及商業(yè)秘密的商業(yè)數(shù)據(jù)可通過市場秩序法進行規(guī)制，涉及信息公開的政務(wù)數(shù)據(jù)已有《政府信息公開條例》作為初步的規(guī)則體系，涉及國家安全的政務(wù)數(shù)據(jù)在現(xiàn)有的法律體系中亦有《網(wǎng)絡(luò)安全法》等法律規(guī)范，唯有與公民權(quán)益最為關(guān)切的個人數(shù)據(jù)尚無一個相對體系化的制度。

3.1.1 規(guī)制意義上的數(shù)據(jù)類型化標準

互聯(lián)網(wǎng)時代數(shù)據(jù)的流通具有必然性，但是如果不加區(qū)分地把所有個人數(shù)據(jù)都視為涉及隱私的敏感數(shù)據(jù)實行嚴格的限制，可能會忽視其他數(shù)據(jù)對社會生活、企業(yè)經(jīng)濟發(fā)展所帶來的價值和利益。從立法例的多數(shù)選擇來看，主要存在敏感性和識別性兩種分類標準。

第一，敏感性標準。敏感數(shù)據(jù)的劃分在實際操作中需要大量主觀層面的判斷，不同主體對數(shù)據(jù)是否敏感的認定存在較大差異。國外雖然有許多對敏感信息的范圍進行列舉式規(guī)定的立法例嘗試，但仍然難以實現(xiàn)范圍上的周延，因此往往在列舉較為典型的敏感信息之后再以兜底規(guī)定予以周全。列舉式規(guī)定本身存在不周延性，在客觀上會直接導(dǎo)致范圍的不確定，而兜底規(guī)定雖然作為一種補充，但是在判斷上又會回歸主觀感受的認定標準。為避免觸碰法律的紅線，數(shù)據(jù)收集者在獲取法律明確列舉為敏感數(shù)據(jù)以外的其他數(shù)據(jù)時，仍然需要對其是否屬于敏感數(shù)據(jù)進行個別判斷，增加數(shù)據(jù)的收集成本。另外，非敏感數(shù)據(jù)若未經(jīng)數(shù)據(jù)主體同意而徑自收集，會導(dǎo)致法律難以規(guī)范個人數(shù)據(jù)收集行為的目的。雖然個人數(shù)據(jù)保護的根本目的在于隱私保護的需要，但是敏感數(shù)據(jù)和隱私信息二者之間并不完全等同，并非所有的敏感數(shù)據(jù)都是隱私信息，并非所有的非敏感數(shù)據(jù)都不屬于隱私信息，個人數(shù)據(jù)是否敏感不能僅僅依據(jù)其是否觸及隱私而確定[22]。如果機械地將數(shù)據(jù)劃分為敏感數(shù)據(jù)和非敏感數(shù)據(jù)，對于后者可未經(jīng)權(quán)利人同意就能獲取、使用和交易，也會對個人隱私權(quán)的保護帶來風(fēng)險，特別是對于那些雖然為非敏感數(shù)據(jù)但仍然屬于隱私信息的個人數(shù)據(jù)。因此，這種認定方式無異于從一刀切式地要求收集者獲取數(shù)據(jù)主體的同意，演變?yōu)橐坏肚惺降貏澐置舾袛?shù)據(jù)和非敏感數(shù)據(jù)，在此基礎(chǔ)上機械性地對于前者課以獲取同意的義務(wù)，對于后者放任獲取。如此的區(qū)分理論在實際層面并不見得有明顯的制度先進之處。

第二，識別性標準。我國學(xué)界普遍認同身份識別標準的區(qū)分方式，但對于“身份”“識別”等概念的具體內(nèi)涵并未形成共識。通過對司法裁判中涉及個人信息的案件進行檢索分析可以發(fā)現(xiàn)，識別性標準并非實踐中常用的法律工具，絕大多數(shù)案件在判決中都沒有直接提及身份識別的認定問題，而是簡單地給予判定的結(jié)果，并未對此做出詳細的論證。截至2019 年3 月1 日，在“中國裁判文書網(wǎng)”上檢索援引個人信息刑事案件司法解釋“法釋[2014]11號”第十二條的判決書，共找到22份，其中所涉?zhèn)€人信息的類型主要包括姓名、身份證號碼、銀行卡及密碼、電話及通訊記錄、地址、車牌號碼、房產(chǎn)信息、交易信息、交通信息等。通過對這22份判決書具體內(nèi)容的分析可以發(fā)現(xiàn)，這些判決書并未從司法裁判視角對身份識別性給予充分的描述，多為關(guān)于個人信息概念的引述，或者僅是涉案信息名稱中包含的識別而已。

因此，無論是敏感性標準還是識別性標準，都無法滿足數(shù)據(jù)交易中多種數(shù)據(jù)類型的規(guī)制需要。數(shù)據(jù)的分類是明晰各類數(shù)據(jù)法律屬性，進而確定數(shù)據(jù)權(quán)利屬性的基礎(chǔ)，即通過數(shù)據(jù)分類以區(qū)分不同的規(guī)制需要，從而建立有效的數(shù)據(jù)交易秩序體系。數(shù)據(jù)的分類要避免非此即彼的機械式判斷，要對數(shù)據(jù)要素進行綜合分析。

3.1.2 區(qū)分規(guī)制原則的具體內(nèi)容

對于某一數(shù)據(jù)，如果僅采用直接識別作為判斷標準，那么“個人數(shù)據(jù)”的范疇就過于狹窄，無法形成有效的保護；如果接受間接識別的標準，那么必然要面對數(shù)據(jù)之間的關(guān)聯(lián)性問題。數(shù)據(jù)之間的相互關(guān)聯(lián)，不僅有單個數(shù)據(jù)之間的聯(lián)系，還存在單個數(shù)據(jù)與多個數(shù)據(jù)以及多個數(shù)據(jù)各自之間交叉縱橫的關(guān)聯(lián)，甚至間接關(guān)聯(lián)到無窮盡的其他數(shù)據(jù)[23]。從技術(shù)角度而言，直接識別性數(shù)據(jù)的范圍可以依托識別技術(shù)無限制地得以蔓延[24]。因此，區(qū)分規(guī)制原則的分類標準需要調(diào)和規(guī)范性與實用性，具體呈現(xiàn)為綜合性、動態(tài)性和場景性。

(1)綜合性。綜合性是指在具體的分類上可以形成4個維度的認定影響因素：識別性(直接識別性、間接識別性、非識別性)、個體性(個體性、社會性)、敏感性(高敏感性、一般敏感性、非敏感性)、適當(dāng)性(屬于負面清單、不屬于負面清單)。識別性因素是指該數(shù)據(jù)能夠指向具體個人的難易程度，需要結(jié)合識別的成本、識別的難度、識別的技術(shù)條件進行綜合考慮；個體性因素是指數(shù)據(jù)與個人的相關(guān)程度，某些數(shù)據(jù)雖然不具有識別性，但是帶著強烈的個人特色，可以與其他數(shù)據(jù)相結(jié)合后指向特定的個人；敏感性因素是指數(shù)據(jù)與隱私的關(guān)聯(lián)程度；適當(dāng)性是指數(shù)據(jù)是否違反現(xiàn)行法律法規(guī)的相關(guān)規(guī)定，例如涉及國家秘密、商業(yè)秘密、知識產(chǎn)權(quán)保護等內(nèi)容的數(shù)據(jù)通常屬于負面清單的列舉范圍。缺乏適當(dāng)性以及雖然具有適當(dāng)性但在直接識別性、個體性、敏感性中包含兩個或兩個以上因素的數(shù)據(jù)，均屬于禁止交易的數(shù)據(jù)類型；符合適當(dāng)性，并在直接識別性、個體性、敏感性三者中僅包含其中一個的，屬于限制交易的數(shù)據(jù)類型。

禁止交易和限制交易兩種類型的數(shù)據(jù)都應(yīng)當(dāng)認定為與人格屬性聯(lián)系較為緊密，必須采取二元保護模式，同時課以義務(wù)保障其人格權(quán)益和財產(chǎn)權(quán)益；可經(jīng)過匿名化處理后，通過風(fēng)險級別的再識別與認定進行分類規(guī)制。同時，對這兩類數(shù)據(jù)實行數(shù)據(jù)交易許可制度，交易主體必須獲得銷售許可后才能進入市場。對于適當(dāng)性、間接識別性、社會性、非敏感性四者均滿足的數(shù)據(jù)，其對于主體的人格權(quán)益基本不存在侵害，主要表現(xiàn)為財產(chǎn)權(quán)益的損害，因此課以財產(chǎn)權(quán)益的一元保護即可。針對該類數(shù)據(jù)，為了降低市場信息的不對稱性，可以實行交易登記制度，鼓勵更多市場主體通過交易登記更好地保護自身權(quán)益，降低數(shù)據(jù)主體與數(shù)據(jù)經(jīng)營者、數(shù)據(jù)交易監(jiān)管機構(gòu)與數(shù)據(jù)經(jīng)營者之間的信息不對稱程度。

(2)動態(tài)性。有學(xué)者認為，應(yīng)當(dāng)區(qū)分直接個人信息和間接個人信息，對前者主張以財產(chǎn)規(guī)則進行保護，對后者則以責(zé)任規(guī)則和候補性合同規(guī)則進行保護[25]，并在責(zé)任體系中區(qū)分一般個人信息侵權(quán)行為和承擔(dān)損害賠償責(zé)任的侵權(quán)行為。其中，對于一般個人信息侵權(quán)行為，考慮到不存在財產(chǎn)損害要件，不應(yīng)為此承擔(dān)財產(chǎn)損害賠償責(zé)任[26]。這些學(xué)者的觀點和理論都為個人信息的分級規(guī)制提供了豐富的學(xué)理依據(jù)，但是這些研究主要采取二元化的分級標準，區(qū)分依據(jù)相對簡單，恐無法回應(yīng)數(shù)字經(jīng)濟社會中多樣化數(shù)據(jù)形態(tài)在流通交易中的制度需求。區(qū)分規(guī)制并非是數(shù)據(jù)分類因素的靜態(tài)劃分，數(shù)據(jù)之間在識別性、個體性、敏感性、適當(dāng)性等方面可能存在相互轉(zhuǎn)化的情況，一些單獨的、常規(guī)而言不具有強烈個人屬性的數(shù)據(jù)也存在向個人敏感數(shù)據(jù)轉(zhuǎn)化的可能性。正如張新寶教授所言，敏感信息是一個動態(tài)范圍，應(yīng)當(dāng)結(jié)合當(dāng)下的科技發(fā)展水平、社會發(fā)展動態(tài)等因素靈活修正其列舉類型[27]。甚至，數(shù)據(jù)的某些分類因素還可以通過合意進行變更。美國也區(qū)分規(guī)制一般信息和敏感信息，在具體規(guī)定上各州存在區(qū)別。根據(jù)美國和歐盟的隱私安全港原則，對“選擇權(quán)”問題的規(guī)定中，個人敏感信息包括醫(yī)療健康、人種種族、政治觀點、宗教信仰、貿(mào)易組織的成員資格以及與性生活相關(guān)的個人信息。相較而言，美國不但注重隱私信息的保護，還將與個人經(jīng)濟關(guān)系相關(guān)的信息納入敏感信息的范疇，對于這些信息的使用需要獲得信息主體的明示，方能“為了訴訟、醫(yī)療，以及信息主體或其他主體的重要利益”進行使用。同時，美國法律允許當(dāng)事人之間通過合意約定敏感信息的具體范圍，在立法上對敏感信息的范圍界定具有一定的彈性。

(3)場景性。數(shù)據(jù)區(qū)分規(guī)制原則的場景性，是指在3個維度的認定標準之上結(jié)合具體的場景進行審查，不能一味絕對化地進行缺乏科學(xué)性的抽象式預(yù)判，形成數(shù)據(jù)分類區(qū)分規(guī)制的階梯性基礎(chǔ)，此外，還需通過除外適用、合理使用以及場景因素的認定等規(guī)則予以修正。對于可能引發(fā)高風(fēng)險的具體場景要素，加強數(shù)據(jù)經(jīng)營者的信息披露，并為用戶提供具有可操作性和便捷性的操作手段；從法律層面規(guī)定“合理使用”的場景要素，規(guī)范敏感信息認定的標準；加重數(shù)據(jù)經(jīng)營者的風(fēng)險控制義務(wù)，當(dāng)經(jīng)營者在信息處理的過程中發(fā)現(xiàn)可能產(chǎn)生超出用戶同意范圍的不合理使用或者可能會引發(fā)高風(fēng)險問題時，應(yīng)當(dāng)就超出消費者合理期待部分的數(shù)據(jù)利用行為及其不利后果，以詳細、明確的方式告知用戶。

3.2 合理使用原則

合理使用概念的提出源于美國Folsom 訴Marsh一案，并在1976年美國《著作權(quán)法》中被法典化，發(fā)展至今已成為各國著作權(quán)法中主要的權(quán)利限制制度。著作權(quán)法中的合理使用是指在一定條件下使用受著作權(quán)法保護的作品，可以不經(jīng)著作權(quán)人的許可，也不必向其支付報酬。信息時代的數(shù)據(jù)存在兩種最為直接的利用價值，一是商業(yè)利用價值，二是公共管理價值[28]。傳統(tǒng)的隱私權(quán)保護模式側(cè)重于強調(diào)數(shù)據(jù)個人隱私權(quán)的保護，對于數(shù)據(jù)財產(chǎn)權(quán)向度的利用和交易問題思考較少。信息社會中數(shù)據(jù)法制不僅關(guān)注隱私權(quán)利保護問題，還應(yīng)在數(shù)據(jù)的收集、處理、使用等方面提供適當(dāng)?shù)囊?guī)制框架，以期使數(shù)據(jù)在受到保護的同時得到合理的開發(fā)和利用。2013年世界經(jīng)濟論壇發(fā)布的《發(fā)現(xiàn)個人數(shù)據(jù)的價值：從收集到使用》提出，個人數(shù)據(jù)的界定應(yīng)當(dāng)是動態(tài)的，要結(jié)合特定的情形，而不是對數(shù)據(jù)的形式做出預(yù)先判斷。其中，需要考慮的因素包括數(shù)據(jù)類型、收集方式、安全條件、使用方式、交換條件等。有學(xué)者認為，GDPR對隱私保護過于嚴苛的數(shù)據(jù)監(jiān)管制度，雖然初衷和導(dǎo)向是正確的，但是強制性的規(guī)定和合法原則(Rule of Per Se)的適用，實際上并不適合信息技術(shù)和數(shù)據(jù)市場的發(fā)展需要和競爭的激烈演進。從市場的角度考慮這一問題，合理原則(Rule of Reason)強調(diào)具體問題要具體分析，也許是一種更好的監(jiān)管思路。即，同意原則是個人數(shù)據(jù)處理最為基本的正當(dāng)性基礎(chǔ)，除此之外，法律還應(yīng)當(dāng)給予其他正當(dāng)利用情形以足夠的空間，以促進數(shù)據(jù)的流通，降低數(shù)據(jù)交易成本。

合理使用原則是指在符合法定事由的限度和范圍內(nèi)，可以不經(jīng)數(shù)據(jù)主體的同意即可收集、處理和使用數(shù)據(jù)。GDPR在立法中對用戶同意的例外情形以“數(shù)據(jù)控制者的正當(dāng)利益”作為自決權(quán)的權(quán)利限制，表現(xiàn)了GDPR為用戶個人權(quán)利和數(shù)據(jù)經(jīng)營者經(jīng)濟利益之間的利益均衡而做出的努力。該法在第六條“處理的合法性”中規(guī)定了同意之外的五種情形：一是為履行數(shù)據(jù)主體所參與的合同，或者是在合同確立前依數(shù)據(jù)主體的請求而進行的處理；二是數(shù)據(jù)控制者為了履行法律職責(zé)的需要；三是為保護數(shù)據(jù)主體或另一個自然人的核心利益；四是數(shù)據(jù)控制者為了公共利益或因官方權(quán)威要求而履行某項任務(wù)；五是對于數(shù)據(jù)控制者或第三方所追求的正當(dāng)利益是必要的，但這種正當(dāng)利益不得凌駕于數(shù)據(jù)主體的基本權(quán)利與自由之上，特別是兒童的基本權(quán)利與自由。雖然我國目前在立法中忽略了對數(shù)據(jù)控制者的權(quán)利保障，但在行業(yè)標準和司法裁判中已經(jīng)開始逐漸肯定數(shù)據(jù)經(jīng)營者在數(shù)據(jù)業(yè)務(wù)中享有的正當(dāng)利益，在具體方式上通過合理使用原則予以肯定。我國行業(yè)標準《信息安全技術(shù) 個人信息安全規(guī)范》也嘗試在用戶同意的情況之外設(shè)置11 種例外情形。司法裁判方面，在新浪微博訴脈脈案中，北京市知識產(chǎn)權(quán)法院認為，企業(yè)對其付出勞動而獲得的數(shù)據(jù)應(yīng)當(dāng)享有合法權(quán)利，數(shù)據(jù)對企業(yè)而言已經(jīng)成為一種商業(yè)資本，是經(jīng)營者重要的競爭優(yōu)勢和商業(yè)資源，新浪微博可以就脈脈未按約定、未獲授權(quán)、無正當(dāng)理由使用其平臺相關(guān)數(shù)據(jù)資源的行為主張合法權(quán)益。雖然該案所確立的三重授權(quán)原則在更加復(fù)雜的數(shù)據(jù)交易場景中，其適用性將面臨更大的挑戰(zhàn)，但是確認數(shù)據(jù)為企業(yè)商業(yè)資本的存在形態(tài)，從市場的競爭能力、競爭資源等角度重新檢視數(shù)據(jù)資源的意義，并基于此形成合理的數(shù)據(jù)經(jīng)營者權(quán)利體系，是合理使用原則在具體實踐中得以落實必須面臨的基本問題。

值得注意的是，合理使用原則需要避免以泛化的“創(chuàng)新”作為數(shù)據(jù)經(jīng)營者降低或規(guī)避成本的理由。事實上，減少交易成本、激活數(shù)據(jù)產(chǎn)業(yè)仍然需要從科學(xué)監(jiān)管的制度優(yōu)化中尋求根本之道。創(chuàng)新被普遍認為是抑制個人數(shù)據(jù)權(quán)益、讓利市場經(jīng)營活動的“正當(dāng)理由”。這一觀點的邏輯在于，由于技術(shù)創(chuàng)新需要與人權(quán)保護需要之間存在著矛盾與沖突的張力，規(guī)制者在創(chuàng)新與人權(quán)二者中往往以公共利益為由，默許經(jīng)營者可以不經(jīng)同意或者降低同意的要件要求，以滿足經(jīng)營者采集、處理個人數(shù)據(jù)的需要。作為對價，這種“放任”也會在一定程度上加重了數(shù)據(jù)侵權(quán)行為的發(fā)生頻率和嚴重程度。但是，創(chuàng)新與個人數(shù)據(jù)保護之間是否真的存在不可調(diào)和的矛盾，是值得進一步商榷的。實際上，對創(chuàng)新的限制力量主要來源于政府的干預(yù)行為。私營部門的創(chuàng)新活動與個人數(shù)據(jù)的人權(quán)保護之間是私權(quán)與私權(quán)之間的利益均衡問題，更多體現(xiàn)為交易成本的變動。然而，交易成本的問題完全可以通過雙方的充分博弈達致二者利益關(guān)系的均衡，在制度設(shè)計中可以以知情同意原則、合理使用制度等具體規(guī)范予以平衡，并非是完全無解的矛盾。以創(chuàng)新的公共利益之名來限制數(shù)據(jù)保護，卻并未放松數(shù)據(jù)領(lǐng)域管制的強度和限度，本身就不是激勵私營部門創(chuàng)新的根本途徑。因此，創(chuàng)新與數(shù)據(jù)保護之間的利益矛盾，更應(yīng)當(dāng)從政府部門的角度尋求解決之道，將私營部門在數(shù)據(jù)市場上的活動與行為放歸私權(quán)領(lǐng)域，促進不同利益主體之間均衡博弈的達成，掃清創(chuàng)新發(fā)展的制度障礙。

4 結(jié)語

總而言之，數(shù)據(jù)交易仍然是一個嶄新、年輕但又宏大而復(fù)雜的議題。數(shù)據(jù)交易合法性的質(zhì)疑主要來自對數(shù)據(jù)權(quán)利主體合法權(quán)益損害的擔(dān)憂。因此，如何彌合數(shù)據(jù)權(quán)利保護和數(shù)據(jù)商業(yè)化利用中交易激勵之間的沖突，是妥善解決這一憂慮的關(guān)鍵所在。面對數(shù)據(jù)交易帶來的正面和負面的雙重效應(yīng)，法律究竟應(yīng)該采取自由主義的觀念不加干預(yù)，還是遵循威權(quán)主義的規(guī)制觀念限制數(shù)據(jù)收集、使用和交易的能力，抑或在兩個極端之間依托一個相對平衡的利益均衡基點尋求第三條道路。事實上，法律需要做的是在權(quán)利保護和效益促進之間尋求一個平衡點，在權(quán)利保護的基礎(chǔ)上推動數(shù)據(jù)交易市場的發(fā)展和數(shù)據(jù)資源的自由流通，這也是中國現(xiàn)階段實現(xiàn)數(shù)據(jù)法治必須面對的現(xiàn)實問題。