优化营商环境背景下数据制度的完善

安晋城

(中国政法大学,北京 100088)

优化营商环境与完善数据要素法律制度(以下简称“数据制度”)都是近几年的重要议题，引发了实务界与理论界的高度关注。但是，优化营商环境与完善数据制度两者之间关系如何，这个问题却鲜有研究。本文从优化营商环境背景下完善数据制度的必要性入手，探讨在优化营商环境背景下数据制度的基本原则，论述优化营商环境背景下数据制度的主要内容。

一、 优化营商环境背景下完善数据制度的必要性

完善数据制度对于优化营商环境具有重要意义，但我国目前的数据制度尚存不足，有必要从优化营商环境的角度加以完善。

(一)作为营商环境新内涵的数据制度环境

过去十余年里，互联网和大数据技术快速发展，数字基础设施不断完善，数据本身成为一种可交易、可流通的产品，数字经济蓬勃发展、方兴未艾。传统的生产经营活动由数据赋能，呈现了新的面貌，焕发了新的活力，产业数字化转型不断深入，新业态、新模式竞相发展(1)参见国务院：《“十四五”数字经济发展规划》(国发[2021]29号)，载中华人民共和国中央人民政府网，http://www.gov.cn/zhengce/content/2022-01/12/content_5667817.htm。最后访问时间：2022年7月2日。。数字政府建设成效显著，以往在优化营商环境领域出现的棘手问题迎来了解决的契机。在新的时代背景下，有必要重新思考营商环境的外延与内涵。从外延来看，营商环境指的是市场主体在经济活动中面对的体制机制性因素和条件。数据制度环境涉及市场主体获得与利用数据的基本机制(2)《优化营商环境条例》(国令第722号)第2条规定：“本条例所称营商环境，是指企业等市场主体在市场经济活动中所涉及的体制机制性因素和条件”。，当然可以被涵盖到营商环境的定义之中。但是，从内涵来看，传统意义的营商环境主要包括便捷高效的政务环境、公平竞争的市场环境、规范公正的法治环境和诚信开放的人文环境四个方面，并未包括数据制度环境(3)参见辽宁省人民代表大会常务委员会：《辽宁省优化营商环境条例》(第十三届辽宁省人民代表大会常务委员会公告第34号)第2-5章，载辽宁省人民政府网，http://www.ln.gov.cn/qmzx/ztzl/zc/201812/t20181211_3388604.html。最后访问时间：2022年7月3日。。在数字时代背景下，此内涵未充分考虑到营商活动的新客体、新形态与新机遇。因此，有必要为优化营商环境赋予优化数据制度环境的崭新内涵。下面从三个方面具体阐述其理由。

第一，数据是数字经济时代新型营商活动的重要客体。随着数据规模的扩大和数据技术的成熟，数据要素跃升为土地、劳动力、资本和技术之外的第五大生产要素(4)参见中共中央：《关于坚持和完善中国特色社会主义制度、推进国家治理体系和治理能力现代化若干重大问题的决定》，载人民网，http://cpc.people.com.cn/n1/2019/1106/c64094-31439558.html。最后访问时间：2022年7月3日。《中国共产党第十九届中央委员会第四次全体会议公报》，载央广网，http://china.cnr.cn/news/20191101/t20191101_524840525.shtml。最后访问时间：2022年7月3日。。数据要素市场将成为未来市场不可或缺的一部分，培育壮大数据市场已经成为当前的迫切任务(5)参见中共中央、国务院：《关于构建更加完善的要素市场化配置体制机制的意见》，载中华人民共和国中央人民政府网，http://www.gov.cn/zhengce/2020-04/09/content_5500622.htm。最后访问时间：2022年7月3日。。据全球知名咨询机构国际数据公司(International Data Coporation,IDC)的测算，全球的数据量在2018年到2025年间将呈爆发式增长(6)据其测算，全球数据量将从2018的33ZB增加到175ZB，其中，1ZB=270B。See IDC,Data Age 2025:The Digitization of the World,Seagate Press 2018,p.3.。围绕数据展开的收集、聚合、加工、分析等服务将创造巨大的经济价值，所形成的数据集将成为重要的商品，提供数据服务和交易数据集将成为一种新型营商活动。既然数据将成为未来营商活动的重要客体，完善数据制度必然是未来优化营商环境的题中之义。

第二，数据是传统营商活动优化升级和效率倍增的关键。数据对传统营商活动的重塑随处可见。例如，通过分析生产数据以及应用数字孪生(Digital Twins)技术(7)它采集了现实世界中生产资料、生产流程和生产系统的相关数据，创造了一个数字模拟版本，通过在该数字模拟版本中进行数据分析、实验、试错，不断迭代优化，改进原材料的配比，改进生产流程，完善生产系统，提高生产效率。See European Commission,A European Strategy for Data,COM (2020) 66 final.，生产工艺、产品产量和质量都可以得到提升；通过分析企业经营、财务等全方位的数据，企业可以时时观察自身的运营状态，改革低效、迟缓的传统决策模式；通过分析消费数据，经营流程和存货量可以被精确地优化调整，更好地适应市场需求(8)See European Commission,A European Strategy for Data,COM (2020) 66 final.。可见，数据在优化营商活动方面还同时发挥了参谋长与指挥官的作用，未来营商环境的优劣将直接取决于企业获取数据的成本和便利度，而企业廉价便捷获取数据则依赖于一套明晰的数据制度。因此，完善数据制度是优化营商环境的必由之路。

第三，数据的利用为优化营商环境提供了重要契机。利用大数据技术，行政机关的执政能力得以提升，有助于营造便捷高效的政务环境；市场准入、融资信贷、招标投标和政府采购等方面将更加透明、公平，有助于营造公平竞争的市场环境；司法机关的审判将更加智慧、公正，有助于营造规范公正的法治环境；企业的生产过程、缔约过程、履约过程将可以全程追溯，有助于营造诚信开放的人文环境。数据是诸多优化营商环境举措现实落地的重要条件，是实现治理体系和治理能力现代化的重要依托。辽宁省营商环境建设局与大数据管理局合署办公，便彰显了营商环境建设与数据制度之间的紧密联系。因此，完善数据制度是优化营商环境能否成功的胜负手。

值得注意的是，世界银行于2022年2月4日公布了新的营商环境评估体系——宜商环境(Business Enabling Environment,BEE)(9)See World Bank,Business Enabling Environment (BEE),https://www.worldbank.org/en/programs/business-enabling-environment,last visited on May 22th,2022.。新体系将数据制度作为跨领域主题嵌入了几乎每个评估指标项之中。例如，企业准入项下，注重评估为开办企业提供数字公共服务和信息的透明度，注重评估企业注册和运营过程中数字公共服务的应用状况、企业注册和运营电子系统服务的互操作性；经营地点项下，注重评估不动产在线信息、交易等在线公共服务的可用性和可靠性；金融服务项下，注重评估数据交易及电子支付的应用等。这充分说明，在新的营商环境评估体系中，数据扮演了关键的角色。

(二)优化营商环境背景下数据制度的不足

当前，我国数据制度尚不健全，无法满足优化营商环境的需求。《个人信息保护法》虽然确立了处理个人信息的基本规则，但数据是对信息的记录，两者存在较大差别，数据依然缺乏直接的规范基础。《数据安全法》虽然鼓励数据流通，但未对数据权属、数据用益、数据流通和数据安全等关键问题制定明确的规则。我国部分省、直辖市、经济特区近年来制定了诸多数据条例。例如，辽宁省人民政府于2019年11月制定了《辽宁省政务数据资源共享管理办法》，2021年6月发布了《辽宁省大数据发展应用促进条例(草案)》；辽宁省人民代表大会常务委员会于2022年5月发布了《辽宁省大数据条例(草案)》。这些数据条例或草案为数据利用确立了基本框架，但仍存在着一些不足。

第一，数据条例未关注阻碍数据流通的症结。数字经济时代优化营商环境的关键是数据的便捷流通。当前，数据权属不清、数据流通规则不明、数据交易市场不成熟已经成为阻碍数据流通的核心症结。遗憾的是，我国目前几乎没有任何一部法规明确地规范过上述问题。例如，《辽宁省大数据条例(草案)》便重在数据技术基础设施建设，缺少数据权属、数据流通规则和市场体系建设方面的规范。

第二，数据条例以发展促进为主，监管与规范不足，无法精准地医治数据流通中的顽疾。数据流通易出现侵害相关主体权益、数据垄断、数据不公、数据泄露等问题，这些顽疾可能使数据流通有害社会。值得肯定的是，部分数据条例——如《辽宁省大数据条例(草案)》已经关注到上述问题。但是，仅有第35条、第36条和第六章涉及数据流通监管，且未设置具体规则，不足以充分发挥监管规范的作用。

第三，数据条例以公共数据和工业大数据为主，未涵盖其它数据类型，无法为各类数据流通提供全面的法律基础。从数据主体来看，数据可以分类为政府数据、企业数据和个人数据，其中，企业数据可以进一步分类为平台企业数据和普通企业数据。工业大数据属于普通企业数据项下的具体类型。显然，其他类型的企业数据和个人数据目前缺少明确的规范基础。

二、优化营商环境背景下数据制度完善的基本原则

法律原则是立法活动必须遵循的准绳，因此有必要探讨完善数据制度应遵守的基本原则。对此，国家发改委于2022年3月就数据基础制度观点公开征集意见，其中提及了高效流通、权益保护、数据平等和分类管理四项原则。本文以此为框架并进行适当调整，提出了便捷流通、全面保护、数据正义和分类规范四项原则。

(一)便捷流通原则

便捷流通指的是数据流通应保持低成本、低阻力。“高效”强调同等时间内完成更多的工作量，与之相比，“便捷”更能描述数据流通对于成本和阻力的敏感性。故本文调整高效流通为便捷流通。便捷流通是完善数据制度的首要目标。一方面，数据只有通过便捷流通才能得以聚合、组织、处理、分析、利用及再利用，其价值才能被充分发掘出来；另一方面，数据只有通过便捷流通才能优化配置到最需要数据的地方(10)Regulation (EU) 2018/1807 on a framework for the free flow of non-personal data in the European Union,Office Journal of the European Union L 30,303/59.。因此，便捷流通是数据价值链条得以建立的基石。

当今中国，数据便捷流通面临两方面阻碍。一是数据流通缺少基础性制度规则。不同于普通的有体物，数据具有有限排他性和全时复用性，数据流通依赖开放应用程序接口进行许可访问。这些特性决定了数据流通不能简单套用有体物的变动规则。另外，数据价值的充分发挥需要数据准确、及时、具有较高的质量，需要数据可以跨平台、可机读、具有互操作性(Interoperability)(11)See European Commission,Proposal for a Regulation on harmonized rules on fair access to and use of data (Data Act),COM (2022) 68 final,p.5.，否则，所流通数据的价值将大大降低。这就决定了数据流通规则与普通有体物转让具有较大差别。二是数据流通缺少足够的动力。在供给端，虽然我国大部分数据目前集中在政府和少数平台企业的手中，但是政府缺乏足够的流通能力且平台缺乏足够的流通意愿，导致我国数据供给总量偏少、类型单一，无法满足不同群体的多样需求。例如，辽宁省虽然已经建立了公共数据共享平台，但是目前囊括的数据总量较少、类型有限。在需求端，由于数据流通体系不健全，潜在的数据需求方一方面未充分了解到大数据技术的魅力，潜藏的数据需求未被充分发掘出来；另一方面，不知道应当从何处获得数据，搜寻数据往往需要付出高昂的成本。

因此，应以充分实现数据价值为目标，改善数据市场环境，破除阻碍数据供给、流通、使用的体制机制障碍，对接和引领国际高标准数字规则，提升数据流通的便捷性，促进数据的开放流动和开发利用。

(二)全面保护原则

全面保护指的是数据流通的参与方及相关方的权利和利益都应当得到充分保护。与权益保护相比，全面保护凸显了保护的全方位性。优化营商环境的核心要义就是保护商事活动各方的权益，这也是法律制度的基本功能。

权益保护具有两方面意涵。一方面，数据流通参与方的权益应得到充分保护，唯有如此，参与方才愿意参与数据流通。当前，数据流通后数据提供方和接收方各自有何权利和义务均不明确，相关利益难以得到有效保护，以致于数据流通参与方对数据流通缺乏基本的信赖。另一方面，数据流通相关方的权益应得到充分保护。数据上附着的利益比普通有体物更为复杂，牵涉到个人信息保护、商业秘密保护、公共安全等多方面的利益。若放任数据主体完全自由流通，一旦发生数据泄露将产生较强的负面影响。

为了平衡数据活动自由与他人合法利益之间的冲突和矛盾，必须周到地保护数据流通相关方的权益。

第一，数据所承载的自然人个人信息应得到充分保护。消费领域和公共领域收集的数据集一般载有大量个人信息，利用这些信息可以识别出相关自然人的身份，影响其生活安宁。敏感个人信息一旦泄露还可能影响个人的金融安全乃至人身安全。因此，含有个人信息的数据应尽可能地匿名化处理，减少数据流通对个人信息的危害。基于正当理由无法或不宜匿名化的，数据流通前应当向个人告知数据接收方，并取得个人的同意；接收方应严格在所告知的处理目的、处理方式和信息种类范围内处理个人信息。

第二，数据所承载的商业秘密应得到充分保护。工商业领域收集的数据集一般载有企业的商业秘密，因数据流通而泄露商业秘密将严重挫伤数据持有人参与流通的积极性。因此，只有在采取了严格的商业秘密保护措施的前提下，涉及商业秘密的数据才可以流通。数据流通中介人应制定保守商业秘密的具体措施，承载商业秘密的数据原则上可以免于强制共享；数据接收方应当依法保守通过数据流通知悉的商业秘密及保密商务信息，不得泄露或者非法向他人提供。

第三，数据所牵涉的公共利益应得到充分保护。关键数据的泄露会危害网络安全、舆论清朗，让犯罪分子有威胁社会治安的可乘之机，让国家利益暴露于风险之下。因此，数据流通必须以关键数据安全为前提，为关键数据的流通设置特殊规则，通过技术与制度的合力提升关键数据的安全保障能力。

(三)数据正义原则

数据正义指的是每一类主体都能享受到数据带来的时代红利。相比于数据平等，数据正义更加现实、内涵更加广博。由于不同主体在数据规模、技术能力和经济实力方面各不相同，数据分布与搜集能力存在着天然的差异。大部分数据集中在少数大型企业手中，广大初创企业、中小微企业需要付出高昂的成本才能获得，数据对于不同社会主体而言存在着天然的不平等。然而，数据对于每一类主体的生存和发展都至关重要。在承认数据分布与搜集能力不平等的前提下，必须消除数据获取与利用的不平等，避免社会因数据而K型分化(12)K型分化指的是社会的不同群体在发展机会和收入等方面上下分化，富的越富，穷的越穷，形同字母K。See Michaela Dalton,Jeffrey Groen et al,The K-Shaped Recovery:Examining the Diverging Fortunes of Workers in the Recovery from the COVID-19 Pandemic Using Business and Household Survey Microdata,19 Journal of Economic Inequality 527 (2021).，匡复数据正义，填平数据鸿沟。

数据正义主要包含以下三方面的内涵：

第一，应优化数据布局结构。当前数据集中于少数主体的现象与云计算(Cloud Computing)的发展模式息息相关。云计算天然要求将数据聚合上传至云端，云计算中心的控制者就天然地控制了大部分数据。我国目前全力推进的“东数西算”工程便是典型的云计算工程，可能进一步加速数据集中的趋势。为了遏制数据过度集中的现象，可以适当地发展边缘计算(Edge Computing)。在边缘计算的模式下，数据由用户和小企业的边缘计算设备收集、加工和存储，弱势群体对数据的控制力更强，数据布局结构也可以借此优化。消除了数据分布不均衡，就能保障各主体重新回到均衡的位置上展开竞争，恢复市场的活力。

第二，应为政府和大型平台设置主动共享数据的义务。当前，我国数据主要集中在政府和大型平台手中，其中很多数据具有不可替代性，给小企业的发展带来了负面影响。对此，许多地方数据条例都为政府设置了共享公共数据的义务，一定程度上矫正了数据不平等。但是，大型平台的数据共享义务在我国始终没有得到明确规定(13)值得注意的是，欧盟的数据治理法(Data Governance Act)已经明确规定了平台共享数据的义务。See European Commission,Proposal for a Regulation on European data governance (Data Governance Act),COM (2020) 767 final,p.7.。因此，有必要规范大型平台的数据集中行为，禁止其在数据方面自我优待，确立政府和消费者在特定情形下强制性地要求企业共享数据的权利，但应严格限制强制共享的适用场景。

第三，应保障数据流通使用的公平。数据流通在法律关系上表现为合同关系，在大型平台和政府参与的数据流通中，相关的流通协议往往是格式合同。作为强势的缔约方，平台和政府有可能在合同中添加不公平的条款。因此，应当对数据流通协议进行格式条款审查。平台和政府应当遵循公平原则确定其与接收方之间的权利义务，以显著的方式提示与接收方有重大利害关系的条款，不合理地免除或减轻己方责任、加重接收方责任、排除或限制接收方主要权利的条款应被认定为无效。即便是非格式合同，也应接受公平、合理与非歧视(Fair,reasonable and non-discriminary)的条款审查。为了消除判定标准上的模糊性，主管机关可以拟定标准合同供数据流通参与方参考使用(14)See Peter Picht & Heiko Richter,EU Digital Regulation 2022:Data Desiderata,GRUR Int.2022,395.。唯有如此，各社会主体才有真正平等使用数据的基础，全体人民才能共享数据红利。

(四)分类规范原则

分类规范指的是对不同的数据属性、不同的应用场景应进行区别规范，构建类型化、差异化的规范体系。与管理相比，规范不仅强调监管，更强调建章立制。

分类规范具有两点内涵。其一，便捷流通、权益保护和数据正义有时会相冲突，应当根据不同的数据主体统筹兼顾，适当突出或弱化上述原则的某一侧面。其二，不同应用场景下，数据在市场成熟度和行业特点方面存在较大差别。例如，交通数据、能源数据、房地产数据和金融数据在我国的收集和市场化的成熟度方面就各不相同。尽管完善数据制度的目标与宗旨在各个领域都是相同的，但实现目标的路径和方式应有所差别。

在具体的分类上，本文主张按照数据属性和应用场景形成纵横两组分类体系。纵向上，按照数据主体可以分为政府数据、平台数据、普通企业数据和个人数据。对于公共数据和平台数据，应以便捷流通和数据正义为首要原则，促进数据的共享、开放和利用，释放数据价值，兼顾保障数据安全；对于普通企业数据和个人数据，则应以权益保护为首要原则，加强其承载的商业秘密与个人信息的保护，兼顾数据的便捷流通。横向上，按照数据场景可以分为电力、水务、燃气、通信、公共交通、城市基础设施服务、能源、金融、教育等数据类型。横向的分类是开放的，只要有新的应用场景或领域出现，就会涌现出新的数据类型。不同场景的实际需求各不相同，针对有特殊需求的应用场景，应当允许并鼓励设置特别规范。

三、 优化营商环境背景下数据制度完善的主要内容

上述原则需要落实到具体制度之中。按照数据应用的基本流程与环节，可以将相关制度分为数据产权制度、数据流通制度、数据收益制度与数据安全保障制度。下面具体阐述各制度的主要内容。

(一)数据产权制度

产权明晰是数据受到保护、便捷流通的必要前提。关于数据产权，国内理论界的争议颇大(15)参见申卫星：《论数据用益权》，载《中国社会科学》202年第11期，第110-131页；龙卫球：《再论企业数据保护的财产权化路径》，载《东方法学》2018年第3期，第50-63页；冯果，薛亦飒：《从“权利规范模式”走向“行为控制模式”的数据信托》，载《法学评论》2020年第3期，第70-82页。。首先，本文不赞成无产权的数据。清晰的权利归属秩序可以遏制掠夺性的经济活动，发挥定分止争的作用。正如商鞅所言：“一兔走，百人逐之；夫卖兔者满市，而盗不敢取”(16)参见《商君书·定分》，载360文库，https://wenku.so.com/d/0fee438ca6ca7c6bc69797977930069a。最后访问时间：2022年7月4日。。没有清晰的权属，数据将像被众人竞逐的兔子一样，无人爱护，最终耗散其价值，酿成“公地悲剧”。其次，本文也不赞成不对数据赋予所有权，而只赋予占有和使用权。占有和使用只是数据所有权的部分权能，若只赋予占有和使用权，就面临着占有与使用之外的其他权能归属于谁的问题。那么，能否对每一样权能一一进行规范呢？这种想法也有较大的难度。权能是随着对数据利用不断加深而逐渐衍生出来的，立法者无法事先完美预设。赋予所有权，本质上赋予了当事人“剩余”的权利，即那些有争议的权能都归所有权人，这样可以最大化地化解纠纷。

那么，谁应该被界定为数据所有权人呢？本文赞成劳动理论，即谁收集了数据，谁就是数据的所有权人(17)参见[英]洛克：《政府论》(下篇)，叶启芳、瞿菊农译，北京：商务印书馆1964年版，第18-33页。。在价值形成方面，数据与矿产类似，零散存在的数据价值极低，只有聚合在一起作为一个数据集才能发挥价值。例如，浑河历年的水文数据集就比浑河某个时点的水文状况数据更有价值。既然数据集的价值主要产生自数据的收集、聚合和纯化过程，那么就应该为这个过程的劳动者赋予产权。这也与我国一贯的按贡献决定报酬的基本分配原则相一致，符合“谁投入、谁贡献、谁受益”的基本原则。因此，应着重保护数据集形成者的劳动收益，促进劳动者的贡献和劳动报酬相匹配，强化数据价值创造的激励导向。

数据所有权的产生需要同时具备三个要件。其一，所有权人须有数据收集权，即其须有权投入劳动收集数据。由于数据是对各类信息的记录，数据收集权产生于信息记录权。例如，只有国家才有权进行地理信息的测绘，国家就是数据收集权人。再如，《个人信息保护法》要求数据收集前应获得个人的同意，个人同意后数据收集者便可以通过个人授权获得数据收集权。其二，所有权人须有收集数据的行为。当然，所有权人可以亲自收集，也可以委托他人收集，被委托人的行为效果可以归属于委托人。例如，个人利用智能手表收集心率、血压、运动等信息的数据，利用智能家居设备收集室内温度、光照、湿度、用电量等信息的数据，个人即为该数据的所有权人。其三，数据收集人须按照数据所有权人的意思收集数据。例如，甲足球俱乐部聘请乙数据服务公司收集球员的运动数据，乙公司只是受托为他人收集，本身无成为所有权人的意思。甲俱乐部才是该项数据的所有权人。

(二)数据用益制度

数据用益制度解决的是谁有权使用数据、谁可以获取数据收益的问题。使用和收益都是所有权的固有权能。原则上，所有权人当然可以使用数据、从数据中获益，但是，如果只有所有权人才能用益的话，那么数据的价值就无法充分发挥。从理论上看，数据的使用价值和交换价值都可以与数据分离，有必要推动数据所有权、用益权、担保权等相关权利有序分离与流通。

第一，为了减少用益权和担保权设立后的纠纷，明晰当事人的权利义务，数据所有权人应当与数据用益权人、数据担保权人签订书面的许可使用协议或者权利质押协议，在协议中明确约定数据用益权与担保权的对价。为了减少他人无意间侵害数据权利的可能性，应当让数据权利可以从外部察知。可以建立数据权利登记制度，由数据主管机关建立数据登记簿。但是，数据的使用仅具有有限排他性，且具有全时复用性，因此，登记仅具有对抗效力即可。基于体系一致性，担保权的设置也可以采用登记对抗主义。

第二，政府收集的基础公共数据、公用企事业单位收集的基础数据以及由政府财政资助的科研项目所收集的基础数据，由公共财政投入收集获得，理应由全民共享，不宜采取上述市场化的权利分离方式，应通过公共数据平台向全社会免费提供。公共数据平台可以满足基本的、共同的社会需求，升级的、个性化的政府数据需求，则需要政府投入额外的成本，这部分数据应通过市场化机制进行定价。特别需要提及的是，以往签订的科研项目委托协议未考虑到相关数据的价值，导致相关项目基础数据不公开、不透明。在未来，项目数据应通过统一的平台与格式进行公开。

第三，与一般有体物不同，数据以电子化的形式存在，数据所有权人完全可以依托数据平台相互进行数据许可，以我对你的许可使用权换取你对我的许可使用权，形成数据共享池。各个数据所有权人付出一定的数据共享池运营管理费用，数据在共享池内部流通，满足了各方需求。这些数据也可以流通给数据池外部的人使用，所赚取的利益可以用来支持数据池自身的运营。

第四，由于数据是对信息的记录，相关的信息主体应该在该数据上获得优待，获得免费的、法定的数据用益权。例如，互联网企业搜集个人一段时间的网页浏览和消费记录数据，个人有权免费获得该数据的副本并使用该数据。原因在于，信息主体在数据收集过程中也有贡献，若无信息主体，就没有相应的数据。为了妥善评价不同主体的贡献度，为信息主体设置免费的、法定的数据用益权是可以考虑的方案。

(三)数据流通制度

数据用益解决的是数据权利静态归属的问题，而数据流通制度则解决数据权利动态利用的问题。当前，企业大多不愿意主动分享其收集的数据，主要原因就是缺少成熟的数据流通市场，市场的不成熟又根源于相关数据流通制度的残缺。因此，有必要顺应数字化发展趋势，为数据流通确立规范，让数据流通有法可依，为市场在数据资源配置中的决定性作用奠定法治保障的基础。

数据流通交易可以分为场内交易与场外交易两种形式。场外交易是数据提供方和需求方自行结合完成的交易，而场内交易则是由专门的交易市场撮合完成的交易。两者的规范重点略有不同。当下，应当进一步完善和规范数据流通规则，完善场内场外相结合的交易制度体系。

场外交易方面，应为数据流通提供任意性规则，同时对数据流通的不公平、不合理与歧视条款进行规范，相关理由上文已有阐述。在具体规则方面，应以数据许可合同作为基本规范原型，对其特殊的生效要件、合同类型、许可权的流通性、被许可人的分许可、许可合同的附随义务和违约责任等特殊之处进行规范。

场内交易方面，数据交易中介机构的法律地位至关重要，它建立了可信的数据交易市场，促进、保障了数据流通的顺畅进行，向数据流通参与方提供了数据流通中介服务。对此可以从两方面着手规范。一方面，为了发展并规范数据流通交易服务，加强数据在可信的市场中介商之间流通共享，可以确立数据交易中介机构具有数据受托人的法律身份，具体包括数据交易所、数据共享空间运营管理者以及上文提及的数据池运营管理者(18)See European Commission,Proposal for a Regulation on European data governance (Data Governance Act),COM (2020) 767 final,p.22.。另一方面，应确立数据受托人的权利和义务。权利方面，它具有类似所有权人的相关权利，包括占有并控制相关数据、分配数据访问权限、切断不合法的数据访问等。另外，受托人还可以收取必要的费用与报酬。义务方面，它需要提供数据流通的技术架构，为需求者提供数据利用指南，编制数据清单、供数据需求方查询提供数据访问的接口和界面；建立应用程序接口(API)许可访问机制，保障数据的互操作性，在撮合数据交易的过程中保障参与主体的利益以及公共利益。

(四)数据安全制度

数据安全关系到数据主体的权益保护，是建立可信数据共享环境的基础，是数据产权、用益和流通制度得以顺利运行的重要保障。当前，数据泄露事故频繁发生，给数据安全带来了严重威胁。由于政府在技术能力上的欠缺，单凭政府监管无法有效保障数据安全。因此，应推动形成有效市场和有为政府相结合的数据治理格局，建立政府监管、主体自律、行业监督的多方协同治理模式。

在政府监管方面，其一，政府要建立数据分级分类保护制度，编制关键数据目录，对关键数据进行重点保护。关键数据权利人在利用数据之前应当向政府报送数据安全评估报告。其二，政府要建立健全数据安全应急处置机制。发生数据安全事件后，应依照相关应急预案，采取应急处置措施，防止危害扩大，消除安全隐患，并及时向社会发布与公众有关的警示信息。其三，政府要建立安全预警监督机制，落实年度检查、定期抽查和临时检查制度，对数据主体的不法行为进行全方位监督。

在主体自律方面，实行数据安全责任制，确立数据所有权人为数据安全责任主体。在开展数据处理活动时，数据所有权人应当履行保障数据安全的义务，包括建立全流程数据安全管理制度；组织开展数据安全教育培训；采取具体技术措施，防止数据被篡改、泄露、毁损、丢失或者非法获取、非法利用；加强风险监测，对安全缺陷和漏洞及时补救等。对未履行上述义务的数据主体，追究民事赔偿责任、行政责任乃至刑事责任，保障数据主体自律义务的履行。

在行业监督方面，发挥数据行业协会和数据交易中介机构的作用。数据行业协会可以提供数据合规公证、安全评估、监测预警等服务；数据交易中介机构应建立数据流通准入机制，要求数据主体流通数据前建立严格的数据全流程合规体系，确保数据来源合法、隐私保护到位、流通交易规范。