欧美数据交易法律规制的经验借鉴

崔峻岗

世界范围内并没有对数据进行权利化的明文立法规范，关于数据交易的法律规制重点仍集中于个人数据保护（personal data protection），即个人数据交易的合规体系构建。当前世界各国对于数据交易的法律规制多以隐私及个人信息为保护对象。针对大数据环境下个人数据保护的法律制度来看，目前欧盟模式和美国模式是全球最有代表性的两种模式。而针对数据交易中的经济利益的保护问题，各国目前都没有专门性的立法出台，但欧盟与美国在数据流通领域通过指令或判例对数据交易进行了一定程度上的规制。

一、欧盟对数据交易的法律规制

欧盟在数据交易领域的法律规制重点在于通过统一立法保护个人数据权利以及促进数据流通。欧盟个人数据保护立法一直走在世界前列，2018年5月生效的《通用数据保护条例》（GDPR）的出台成为近20年来欧洲数据隐私立法领域最为重要的事件，在世界范围内产生了极大影响。值得注意的是，GDPR实际上并未对数据与信息进行区分，而是将其视为一体进行保护，虽使用“数据保护权利”作为权利名称，但其保护内容实际上指向的是个人信息。

欧盟对于个人数据保护立法的迫切来源于其对人权的关注，《欧盟基本权利宪章》以欧盟宪法性文件的地位在其第8条内将个人数据保护（protection of personal data）提升到了宪法层级的高度。《欧洲人权公约》（下称《人权公约》）并非欧盟宪法性文件，但其作为一项区域性国际条约，以国际法体系的一部分约束着各缔约国。欧洲人权法院自2007年起通过若干判例将个人数据保护纳入了《人权公约》。

在法律性文件方面，1995年欧盟发布《数据保护指令》（The Data Protection directive），以指令的方式为欧盟各国进行数据保护立法提供了原则指引，該指令后为《通用数据保护条例》（GDPR）所替代，GDPR以条例（Regulation）形式创建了在欧盟各国范围内普遍适用的个人数据保护体系，旨在规范个人数据的处理以及个人数据的自由流动，并正式提出了“数据保护权”较完整地定义了个人数据权利，对个人数据进行授权，赋予了数据主体可携带权、被遗忘权、删除权等权利，并设立数据保护理事会负责监督法律的实施。

GDPR生效后，欧盟境内个人数据保护体系基本建立，从其监管对象来看，只要数据控制者的数据收集、处理行为是为欧盟境内自然人提供商品或服务、监控其活动而进行，该数据控制者便受GDPR规制，违反该条例的后果最严重将面临两千万欧元或者其全球营业额4%的罚款。从数据主体权利内容来看，其数据权利主要包括数据访问权、修改权、删除权或被遗忘权、限制处理权、移植权、反对权、自主决定权，其权利范围涵盖了数据从产生到消亡的整个过程，为数据主体提供了充分的数据自决权。面对数据控制者的侵害，GDPR还在司法救济之外为数据主体提供了行政救济措施，其第8章明确规定欧盟各成员国应设立至少一个数据保护公共机构，以监管GDPR的有效实施，该监管机构职责之一包括接受数据主体针对其数据权利受损提起的申诉，并据此获得相应民事赔偿。

欧盟的个人数据保护体系以统一立法为原则、权利构建为基础，以数据主体为中心，旨在规制数据流通过程中侵害公民人权的现象，保护个人数据处理过程中的人格利益。不论是启动时间还是法律文件数量或者更新频率，欧盟都一直走在其他区域的前方，其影响力从欧盟成员国延展至世界范围内的许多国家。

在个人数据保护外，欧盟在数据交易上的立法还体现在促进数据流通的努力上。欧盟于2000年发布的《电子商务指令》，将在线数据产品纳入电子商务交易对象，依照该指令，在线数据产品的交易受电子商务法的规制。而近年来欧盟对数据交易的关注重点在于如何促进数据自由流通。由于欧盟境内各成员国法律体系的差异化明显，在欧盟层面主要依靠指令或指南对数据流通进行指引性支持。除GDPR在其立法主旨中确认其“促进数据自由流通”之目的外，为促进欧盟境内数据的自由流通，欧盟还于2018年4月发布《欧洲数据经济中的私营部门数据共享指南》（Guidance on sharing private sector data in the European data economy），该指南对企业与企业、企业与政府之间的数据共享原则进行了讨论，旨在促进欧盟内部的非个人数据传输更加通畅。出于对数据自由流通原则的尊重，在未创设数据财产权利背景下，欧盟法院及欧盟成员国法院在一系列数据抓取纠纷案件中严格界定数据库权利，区分“有实质性投入”的数据库以及机器自动生成的数据，主张适用合同法及竞争法来规制经济利益的侵害行为。

二、美国对数据交易的法律规制

美国对于数据交易的规制主要集中在市场中的消费者的信息隐私权领域，以隐私权为基础构建个人数据保护的整体法律规制体系。美国的法律并未对数据交易（包括个人数据的交易）行为本身设置法律障碍，对数据交易的规制主要从消费者隐私信息的保护出发，要求数据交易主体在交易过程中不得侵犯个人隐私权。关于隐私权的保护依据，宪法及《隐私权法案》主要是规制政府对公民隐私权的侵犯，而在民事权利领域，在支持个人数据自由流动的大背景下，美国数据隐私权的保护具有市场性特征，个人数据保护通过隐私权“碎片化”立法以及行业自律来实现。在个人信息隐私立法层面，从美国法律位阶来看，当前美国有关数据交易规制的立法主要集中于制定法（statutory laws）层面，主要包括国会法案、行政法规及州法。截至2018年8月，美国已有近20部与隐私权或数据保护相关的专门性部门立法，同时其50个州出台了近百部与此相关的法案。

（一）宪法层面的数据隐私保护

美国宪法对数据隐私的保护被称为“有限的保护”，其宪法修正案第四条确认了人民之“人身、私人住宅、文件或者其他财产不被不合理搜查或扣押之权利，不可侵犯”，将隐私权确认为宪法权利，其后美国经判例法将隐私权确认为一项民事权利，受侵权法保护，并将上述权利对象延伸至电话记录及银行记录。虽然宪法上隐私权保护范围有扩展的趋势，但其有限性在于宪法修正案仅在个人具有“合法的隐私权期望”情况下适用，该条件将广泛的个人数据排除在了第四修正案的保护范围内。

（二）制定法层面的数据隐私保护

美国制定法层面的数据隐私保护规范是美国数据交易规制的重心所在。1974年由参众两院通过的《隐私权法案》（The Privacy Act）作为联邦层面的统一立法，旨在规范美国的个人数据使用行为。该法案对公民个人信息（也称“记录”，record）进行了较为明确的列举式定义，但该法立法目的是规制政府与个人之间的信息采集、适用等问题，其所平衡的是公共与个人之间的利益。因此对于“个人（包括法人或其他组织）—个人”的信息侵害行为，《隐私权法案》没有相关规定。

在民事领域，以《隐私权法案》为基础，美国针对不同领域隐私权保护进行细化立法，如《金融服务现代化法案》（GLB）对企业收集、使用及披露非公开个人信息进行规范;《健康保险可移动性和责任法案》（HIP）则针对医疗信息的交易规则以及信息识别、隐私保护制定详细规则，另还有《儿童网上隐私保护法》（COPPA），《电子通信隐私法》（ECPA）《宽带和其他电信服务中用户隐私保护规则（FCC）》等针对不同领域不同群体的个人隐私信息提供保护。总而言之，当前美国针对政府部门，在医疗、电信、征信等领域建立了个人隐私保护法律规制体系。

（三）数据隐私保护执法

《联邦贸易委员会法》（“FTC法”）从保护消费者的角度，通过对第5条的“不公平或欺骗性的行为”进行扩张解释，将保护消费者个人隐私的执法权归入联邦贸易委员会（FTC），由其根据相关执法依据来保护消费者的数据隐私安全。FTC作为美国主要的数据安全领域执法机构，负责执行相关法律和法规，同时对美国的各行业企业提供数据安全规范指导。近20年来，FTC通过诉讼或其他方式解决了60余起数据安全案件。2018年，在数据保护领域，对包括UBER在内的多家公司发起了65次调查处理，并采取系列行动旨在减轻消费者所受的损害，防止损失进一步扩大。

（四）州法层面的数据隐私保护

州级层面关于数据隐私保护立法数量较多，几乎美国所有的州都就个人隐私信息的保护出台了相关的法案或规则，但各州立法进度不一。走在前列的是加利福尼亚州，加州自1972年修改《加利福尼亚宪法》将隐私权纳入宪法保护范畴后，陆续出台了《在线隐私保护法案》《阳光法案》及《数字世界加利福尼亚未成年人隐私权法案》等法案，并于2018年颁布《2018年加州消費者隐私法案》（CCPA），该法案于2020年1月正式生效。根据加州有关个人隐私信息的规定来看，加州对于企业收集、使用、出售个人信息的行为并未采取禁止态度，但通过该法案给予了消费者充分的隐私保护，明确申明个人信息出售或共享行为应当获得授权，并确认该州公民有拒绝企业出售其个人信息的权利。

美国数据交易法律规制所体现出的数据流通自由主义以及碎片化立法模式是由其法律体系及市场特点决定的。但是该模式是否真正有利于美国数据交易的发展以及个人数据安全的保护，当前有争议。从近年美国立法提案情况来看，在欧盟GDPR生效以后，美国境内对于统一数据立法的呼声越来越高，例如联邦贸易委员会消费者保护局局长在2019年3月的众议院会议上提交的报告中就提议颁布联邦层面的数据安全法。而美国境内规模较大的企业鉴于美国各州标准不一的隐私权保护法律，出于企业发展目的，也极力支持效仿欧盟出台联邦层面的统一数据保护法案。

综上所述，在针对数据交易所涉及的个人信息安全问题，欧盟与美国基于其本土法律体系背景采取了完全不同的两种保护模式，即欧盟采用“权利话语”模式，基于其人权完善要求对个人数据（个人信息）进行权利化保护，美国则基于其自由市场传统，采用“市场话语”模式，以分散立法、行业自律模式，通过不断扩展隐私权内容对市场消费者的隐私信息给予保护。

欧盟在数据交易上通过合同法与竞争法对数据交易中的不正当行为进行规制的途径与美国对数据交易法律规制的态度走向一致。由于美国在联邦层面也并未就数据权属或数据交易出台任何专门性的法律，因此在数据交易中，数据控制者也无需为其对数据的使用寻求任何法律上的依据。由于普通法系采用财产权概念，在此背景下，美国的数据经纪商或者任何从事数据交易的数据控制方的数据交易行为本身便具备了天然的合法性。同时对于市场自由的追求使得美国更偏向于从经济角度，通过规制数据控制者或数据处理者的商业行为来规范数据交易。

三、欧美数据交易法律规制实践对我们的启示

一是尽快完善政府数据开放的制度，为数据交易提供大量合法的可交易数据。对政府数据开放进行顶层部署，明确统筹领导机构和各部门职责及任务，明确开放原则，对各项配套政策及措施的建立做出部署。

二是推动建立和完善数据交易标准。为数据交易过程制定安全标准，并逐步在数据采集、存储、传输、应用等环节出台相应的技术标准，开展交易数据格式标准化、数据质量认证体系、数据源追溯体系、数据交易信息披露、数据匿名化技术、市场主体考核评价等相关标准研究，同时密切关注国际标准和技术发展趋势，积极参与大数据国际标准化制定。

三是制定《数据管理和保护法》，设立单独的数据监管机构。通过制定《数据管理和保护法》，明确数据分类，界定数据交易平台为关键基础设施，进一步完善交易中的个人信息保护。数据交易市场发展迅速，其中存在的问题涉及了技术、法律等多个层次，有必要设立专门的机构进行单独监管，对数据交易市场准入进行审核，对数据中介进行资质认定、信息披露和日常评估，对数据交易中的纠纷、数据安全等进行监管。

（作者为国家发展改革委体管所助理研究员）