数据要素市场下个人数据交易的证成与实现

阳雪雅

2022 年10 月16 日，党的二十大报告指出：建设数字中国，加快发展数字经济，促进数字经济和实体经济深度融合。发展数字经济的关键就是建立健全数据流通制度。立法和实践探索更多指向公共数据或者企业数据的流通，个人数据流通存在制度供给严重不足，这将直接影响我国数据要素市场的培育和发展。个人数据流通是指向他人提供数据或使他人接触或使用数据的行为，包括个人数据的开放、共享、互换、交易等方式。①参见高富平：《数据流通理论：数据资源权利配置的基础》，《中外法学》2019 年第6 期。

不可否认，我们正在经历的移动互联网时代所累积的数据矿藏中最有价值的部分都集中于个人数据。②参见王融：《论个人信息保护与市场竞争的互动关系——从个人信息保护视角观察》，《竞争政策研究》2020 年第2 期。但学者更多聚焦于企业数据流通研究③参见何金海：《企业数据流通的实践困境与破解路径》，《西南金融》2022 年第11 期；王轶、张浩：《借鉴欧盟数据中介制度 促进我国数据流通利用》，《数字经济》2022 年第5 期；李依怡：《论企业数据流通制度的体系构建》，《环球法律评论》2023 年第2 期；刘建臣：《企业数据赋权保护的反思与求解》，《南大法学》2021 年第6 期；丁晓东：《论企业数据权益的法律保护——基于数据法律性质的分析》，《法律科学》2020 年第2 期。，对个人数据流通研究较少，而个人数据交易是非常重要的流通方式。基于此，本文试图破解个人数据交易的可能与可行，从而为个人数据交易提供指引。

一、数据要素市场下个人数据交易的理论掣肘与现实困境

个人数据交易具有动态性与非排他性，数据交易当事人处于持续性数据收集或传输关系之中，任何一方均不能排他控制个人数据。这些特性使得数据交易不能被界定为数据买卖，数据处理也不能被简单地理解为数据合同的履行行为。①参见林洹民：《个人数据交易的双重法律构造》，《法学研究》2022 年第5 期。可见，个人数据交易与传统物品交易不同，并非进行所有权流转。

（一）理论掣肘

个人数据是否能交易与交易是否可行并不是同一个问题，理论界对这两个问题都存在争议，理论的模糊影响了个人数据交易的规则建构。有观点认为，个人数据理论上和实践中似无交易的必要。②参见姚佳：《数据要素市场化的法律制度配置》，《郑州大学学报（哲学社会科学版）》2022 年第6 期。个人数据不能交易的理由主要包括：个人数据的性质与特征不适宜交易，用户与数据经营者之间 “免费”的运营模式很难支撑个人数据主体再向数据经营者索取经济利益。③参见李振燎：《数据权体系初解——以“权力—权利”为范式》，《信息安全与通信保密》2020 年第1 期。个人数据的不易损耗性、可多人使用的特征使个人数据具有准公共物品的性质，准公共物品更多表现为产权公有而不是产权私有，即个人数据不适合自然人享有个人数据产权，则自然人将个人数据进行交易就很难产生。

理论上也有观点认为，个人数据即使性质和特征可以交易，但是个人数据交易仍旧不可行。理由一，个人数据完全由个人决定交易，则个人数据流动的成本增加，不利于数据流通与分享。理由二，从个人数据的产生来看，个人数据来自个人的信息。但是，个人数据的产生有的基于自然人自己提供，如姓名、财务信息等。有的基于国家管理而产生，如身份证号、住址等。有的基于生理特征而产生，如指纹信息、相貌信息、基因信息等。有的基于外在因素识别自然人而产生，如邮箱地址、域名地址、设备信息等。个人数据与物、智力成果具有很大不同，后者的权利归属有劳动说、先占说、资本说，但是个人数据的产生非常多样化，很难以一种标准确立权利归属。特别是某些个人数据本身就具有一定的社会性，社会的发展呈现为信息不断传递和传播的过程，如果个人数据一律通过交易实现流动，则退回到信息保密时代，不符合社会的发展。

欧盟GDPR 赋予数据主体个人数据自决权，从宪法意义阐发个人数据的人格属性，对个人数据交易比较谨慎。当然，欧盟将个人数据提到如此高的保护地位既有历史因素影响，又有现实考量。历史上政府对个人数据滥用的阴影，现实中欧盟面对美国和中国网络经济的急速发展，如何能在数据竞争中有更多的发展空间，数据立法则是重塑欧盟数据标准的重要路径。

欧盟的GDPR 也影响了我国个人数据的立法，《民法典》人格权编直接将个人数据纳入其中。本文不对个人数据与个人信息做严格区分，如无特别说明，两者指称同一。从立法体例观之，我国的个人数据属于人格权范畴，即使很多学者都认可个人数据既有人格权属性，又有财产权属性，对于人格权属性的个人数据，学者还是比较一致地认为不能交易。特别是《民法典》确立了个人数据的人格权的体系地位，个人数据交易的自由会受到很大的限制。

（二）现实困境

我国个人数据交易并非发轫于数据用户与企业之间，更多的是在企业之间进行交易。由于个人数据交易的立法缺失，大量的个人数据交易无法在白市进行交易，而是在灰市和黑市交易。根据现行交易规定，个人数据交易须征得用户同意，交易成本增加，很多企业并没有通过个人数据交易合同来获得用户的个人数据，而是直接通过企业隐私政策的方式取得用户同意，从而获得个人数据的使用权。对于企业数据，企业一般通过转让、合并等方式将个人数据进行交易。由于企业数据中会存在个人数据，对于这部分个人数据，企业隐私政策往往单方面规定，只要征得了用户对个人数据的第一次授权，企业后续将个人数据给关联企业或者企业合并、分立、破产发生企业组织形式变更而产生的个人数据的流动，并不需要用户的二次同意。可见，用户与企业之间的个人数据流动，在形式上是通过企业隐私政策的方式调整，并没有个人数据交易的空间，隐私政策自身的不足也制约了个人数据交易发展。不可否认，企业将个人数据进行交易，如果没有完善的制度约束，极容易损害个人数据权利主体利益。①See Nicola Jentzsch,“Secondary Use of Personal Data: A Welfare Analysis”,44 Eur.J.Law Econ.165 (August 2017).

我国合法的个人数据交易主要发生在大数据交易所，或者通过专门的数据公司进行交易。为了规避未征得数据用户同意的规范风险，实践中交易的个人数据一般是被清洗过的数据，或者去标识化的数据。对于这样的数据，法律风险可以降低，但个人数据价值也不能充分发挥。

由于个人数据物理上的特性与传统物有很大区别，能多人同时使用，又不会造成损耗，因此个人数据交易并不是转让人一定丧失对个人数据的利用。如数据卖方支持数据买方使用加密数据，但是不能对数据进行截流或者其他企图获得源数据的操作，就是数据所有权和使用权的分离。②参见周源：《中国大数据被黑市垄断，正规玩家年收入不到50 亿》，https://money.163.com/18/0119/17/D8HHP6UG00258105.html，2020年8 月10 日访问。数据买方不需要数据卖方上传数据，可以对卖方数据库访问，双方通过技术记录和监控每一次数据交易行为，这样的数据交易成本比较低，但个人数据泄露及衍生的违法犯罪现象也容易发生，个人数据交易乱象亟需法律规制。现有规范更多侧重对个人数据滥用的违法后果规制③See A.B.Menezes Cordeiro,“Civil Liability for Processing of Personal Data in the GDPR”,5 Eur.Data Prot.Law Rev.424 (2019).，对个人数据交易调整较少。

虽然个人数据蕴含着巨大的商业价值，但数据只有充分流动才能将数据价值最大化发挥。可是网络服务企业即使获得较多的个人数据，也不愿意将个人数据进行共享，因为缺乏个人数据交易的激励机制，这就形成了越来越多的数据孤岛，个人数据的整合作用未有效发挥。很明显，现在部分数据公司或者大数据交易中心的交易量并不能全面反映我国个人数据交易需求量，甚至有部分数据公司为了获得更多的经济效益，违法进行个人数据交易。实践中个人数据交易问题丛生，这就亟需建立个人数据交易规则。

二、数据要素市场下个人数据交易的理论破解

部分理论对个人数据交易持否定态度，最核心的观点就是个人数据交易有侵害个人隐私权的风险，基于此再衍生其他理由。但是允许个人数据交易并不与违法的个人数据交易划等号，首先是敏感的个人数据不允许交易，其次是未经自然人授权同意的个人数据也不能交易。

虽然个人数据权益脱胎于隐私权，放置于人格权，但是信息社会下数据要素的重要性日益凸显，个人数据的财产价值越来越明显。传统人格权区分为物质型人格权、精神型人格权、标表型人格权。不能市场化利用的人格权主要针对的是前两种类型，对于标表型人格权商业化利用相对比较容易。当然由于人格权本身的标签，即使是标表型人格权其商业化利用也避免自然人将人格权转让，使自然人彻底客体化。如我国《民法典》第992 条规定，人格权不得放弃、转让或者继承。《民法典》第993 条规定，民事主体可以将自己的姓名、名称、肖像等许可他人使用，但依照法律规定或者根据其性质不得许可的除外。《民法典》第1018 条规定，自然人有权许可他人使用自己的肖像，这里并未直接使用“转让”，肖像权仍属于自然人，通过许可使用合同可以将肖像权的使用权能、收益权能让渡给其他主体。

我国对个人数据保护采用了二元模式，个人数据中的私密信息适用有关隐私权的规定，没有规定的，适用有关个人数据保护的规定。个人数据符合一定条件可以处理，个人数据的处理包括个人数据的收集、存储、使用、加工、传输、提供、公开等。很明显，数字化社会个人数据的处理已经突破了人格权一般不能被商业化利用的可能，但如何流动，还存在很大的探讨空间。反对自然人自主决定个人数据交易的理论桎梏了个人数据交易的发展。交易理论的基础应当存在供需市场和稀缺资源，个人数据的产生是个体特征的呈现。过去个人数据并不存在有效的供给市场，稀缺性不明显，因此个人数据交易市场很难形成。但是现在个人数据的重要价值毋庸置疑，供需市场已经形成，个人数据并未实现共享，稀缺性特质也已呈现，从这个角度来看，个人数据交易存在现实基础。

从数据伦理角度来看，具有隐私性质的个人数据不能交易，非隐私性质的个人数据应当可以交易。但是个人数据交易则是遵循现有路径，通过数据权利主体的授权同意，由数据控制者进行处理，在同意框架下消解了自然人数据权利主体的交易可能。该路径是否真的能达到效率最优可以进一步分析。如果完全由企业独享个人数据利益并不符合帕累托改进或者希克斯定理。根据帕累托改进，如果一种制度在改进一部分群体利益的同时，另一部分群体的利益并未受损，则该制度就是帕累托改进。数据权利主体自然人将个人数据无偿让渡给数据经营者，对于数据经营者利益能最大化，但是对于数据权利主体不仅有个人数据违法受侵害可能，而且数据价值极容易产生垄断，形成数据鸿沟，并不利于数据产业的发展。即使通过希克斯定理分析，禁止数据权利主体自然人将个人数据进行交易也不是最优的选择。根据希克斯定理，权利应当拍卖给出价最高的主体，毫无疑问，数据经营者应当是出价最高的主体，但是希克斯定理还强调出价最高的经营者应当给对方进行补偿，然而在数据权利主体与数据经营者之间并不存在利益补偿机制，可见现行做法也并未实现希克斯定理。如果放开数据权利主体对个人数据的交易，则数据权利主体能较为自由地选择数据控制者，这样也能避免数据鸿沟带来的数据垄断和数据闭锁。

当然，选择哪些类型的个人数据进行交易等内容还需要进一步完善，但是允许数据主体交易个人数据并不必然效率低下。反对的理由认为，一对一进行数据交易增加数据交易成本，不利于数据流通与共享。此观点实际上是将是否允许自然人进行个人数据交易与个人数据如何交易两个问题混淆在一起。肯定自然人个人数据交易并不否定数据经营者的缔约权，如果单条个人数据价值过低，交易也不容易发生，如果自然人对个人数据进行交易增加了数据经营者的成本，数据经营者可以对数据服务收费。不可否认，“免费”已经成为网络服务的主要经营模式，一旦打破势必会影响网络服务经营者的常规运营模式。因此，允许个人数据进行交易并非在任何情形下都适用，如果是免费接受网络服务，则个人数据的让渡虽然是无偿的，但是在相应范围的网络服务，数据经营者收集个人数据则是自然人支付的对价，从这个角度来看，个人数据交易已经发生，只不过通过服务按个人数据的方式进行。但是对于经营者超越经营范围、超目的使用个人数据，个人数据交易应当被允许。不过应当允许并不代表个人数据交易一定现实发生，还需要相应的制度保障，本文后面再详述。

反对自然人进行个人数据交易的重要理由还包括个人数据的准公共物品特征不适宜私有，应当公有。本文也认为，静态地将个人数据权属化并非好的选择，数据控制者在符合法律规定条件下可以对个人数据交易并没有争议，但是对于自然人将个人数据交易施加理论上的限制不妥当，如果单纯以个人数据的人格权属性和个人数据的准公共物品特征并不能证明个人数据一定不能交易，从经济效率的角度禁止自然人对个人数据进行交易不能带来效率最大化。

三、数据要素市场下个人数据交易多元化模式划分

根据科斯定理，如果成本为零，权利无论配置在哪一方，效益都是最大化。但是对于个人数据的分析就不能简单套用科斯定理，如果将个人数据收集或处理配置给自然人，即自然人决定个人数据如何收集或处理，其利益完全由自然人享有，该配置效益很难最大化。首先，自然人对个人数据收集或处理存在有限理性，基于对损失的畏惧，权利所有人往往会索要过高的价格，个人数据交易很难实现。其次，将个人数据碎片化为自然人单独控制，很难发挥大数据的功效，个人数据的利用效率也会大打折扣。另外，个人数据的无形性特征使之可以共享，因此个人数据如果适用物权绝对性理论反而不利于其价值最大化发挥。当然个人数据收集或处理涉及很多环节，简单地把个人数据权利绝对地配置给自然人不可取，但完全配置给企业也不妥，至少从个人数据的源头产生入手，区分个人数据权利主体有一定可取之处。①参见阳雪雅：《论个人信息的界定、分类及流通体系——兼评〈民法总则〉第111 条》，《东方法学》2019 年第4 期。然而，无论个人数据属于哪个主体，个人数据都是基于自然人而产生的，因此即使企业收集或处理个人数据，也需要考虑不损害自然人利益。

其实用户与网络经营者一对一订立个人数据授权合同，考虑到交易成本，在现有技术、市场条件下还很难全面实现。因此单个用户通过合同的方式与网络服务提供者进行交易谈判，将自身的网络行为数据以一定的价格授权给服务商使用的可能性并不大。①参见梅夏英、朱开鑫：《论网络行为数据的法律属性与利用规则》，《北方法学》2019 年第2 期。但是企业隐私政策的合同说有利于促成统一的隐私政策转化为不同用户与网络经营者制定差别性的隐私协议，从而使用户更易于自主控制个人数据。②参见阳雪雅：《论个人信息的界定、分类及流通体系——兼评〈民法总则〉第111 条》，《东方法学》2019 年第4 期。

个人数据交易按是否有中介组织的介入，可以分为一对一交易模式、第三方机构服务的交易模式和大数据中心的交易模式。一对一的交易模式是指自然人将个人数据进行交易或者其他企业将个人数据进行交易。现有理论和实践更多通过同意机制解决个人数据的流动，即只要征得自然人数据主体同意，数据控制者就能使用个人数据。企业将个人数据进行流动，根据三重授权原则，也需要征得数据主体的同意。但是同意机制掩盖了数据自然人的利益诉求，并不能激励数据主体的个人数据交易，同时对于已经有一定个人数据资源的网络企业，其也缺乏动力进行个人数据流动，个人数据闭锁市场更容易形成。真正有质量的个人数据市场很缺乏，大数据交易中心的个人数据更多聚焦于匿名数据，未能充分发挥个人数据的经济价值，如何将个人数据盘活，成为数据流动制度中必须解决的问题。

对于一对一的个人数据交易市场，首先应尊重数据主体意愿，其次要对个人数据定价。企业通过隐私政策收集自然人的基本信息，该信息也是自然人获得网络服务的对价。如自然人在某购物网站购物，企业收集用户的姓名、手机号、地址是基于服务而合理收集，但是如果收集用户的通讯录、上网痕迹等信息则有可能过度收集，企业应取得个人的单独授权，还可以建立单独付费的通道，从而约束企业等数据控制者滥用个人数据行为。

2020 年7 月30 日，北京互联网法院裁判微信读书软件侵害个人数据案具有一定的典型意义。原告黄某主张在其不知情的情形下，微信读书软件自动关注微信好友，默认向未关注的微信好友公开读书信息等。北京互联网法院裁判认为：被告未对原告显著告知，侵害了原告的个人数据权益，被告应停止侵害，书面赔礼道歉，赔偿原告公证费，驳回原告其他诉讼请求。单纯从经济效益的角度衡量，原告进行诉讼的成本非常高，该案件仅仅确立了个人数据受保护的条件，但是保护力度还是非常薄弱。企业对个人数据处理的动力是来自个人数据具有的商业价值，虽然有学者认为单个数据价值比较低，只有集合成大数据才有处理的价值③参见程啸：《论大数据时代的个人数据权利》，《中国社会科学》2018 年第3 期。，但是在“消费者就是上帝”的社会，对单个消费者的精准分析也是企业生财之道，个人数据的价值日益明显。

当然，将个人数据的价值完全赋予任何一方独享都不利于个人数据交易市场的形成，也不利于实现个人数据价值的最大化。网络服务经营者提供免费的网络服务时收集的自然人的个人数据就是对价，但是对于超出网络服务范围外的个人数据的收集，则可以向消费者提供有偿获取个人数据的路径。企业层面缺乏有偿获取个人数据的激励机制，形成赢者通吃的局面，越是大的网络企业获取的个人数据越多。由于个人数据缺乏估值市场，数据控制者并没有动力单独交易个人数据，而是更倾向于将个人数据研发出产品进行销售。要素市场上个人数据的交易价值被大大低估，个人数据产品的溢价又容易被少数网络企业获得，数据要素并没有公平实现流动，会直接阻碍数据要素市场的发展。

随着竞争的加剧，很多网络企业开始细分市场，通过会员制等付费方式给消费者提供更优质的网络服务，免费的网络服务是获取用户流量的方式，但是网络服务发展到一定阶段，无偿与有偿都将存在，如果网络服务者超出网络服务范围过度收集自然人的个人数据，消费者可以要求网络服务者对这部分个人数据提供对价。

一对一的个人数据交易还可能发生在企业之间。对于企业之间通过个人数据合同交易数据，关注的重点就在于企业获得个人数据是否合法。根据隐私政策规定，企业如果将个人数据向第三方企业流动，须征得自然人数据主体的同意。在个人数据价值赋能的基础上，对于敏感型的个人数据应严格禁止交易，对于非敏感的个人数据可以进一步区分。如果企业未对该个人数据支付对价，在征得自然人数据主体同意的基础上，自然人可以选择是否流转该个人数据，如果有个人数据对价，该对价应在扣除企业成本的基础上，由自然人享有对价包括网络服务或者金钱等其他形式。由于该个人数据，前手企业并未支付对价，则自然人应在符合一定条件下享有数据携带权，即自然人有权选择将企业提供的服务范围外的个人数据进行交易，但是一旦将个人数据有偿转让出去，该个人数据携带权将会受到交易买受人企业的限制。在理顺个人数据价值的基础上，个人数据携带权也能充分行使，既能激励数据自然人流动个人数据，也能避免个别数据控制者形成数据垄断。

现阶段，企业之间数据流动还包括数据控制者企业开放数据接口，允许企业获取数据。应用程序接口API 是指软件系统不同组成部分衔接的约定。在数据通过API 进行共享或转让的过程中，数据提供方开放API，以便于数据的需求方能通过计算机语言访问数据。这种模式并不需要数据提供方将数据全部复制后一次性地提供给需求方，而是实现了按需访问数据，可以按照访问的次数或市场定价进行收费。①参见何渊主编：《数据法学》，北京大学出版社2020 年版，第160 页。

企业之间最容易产生纠纷的情形就是数据需求企业未征得个人数据处理者同意，大量爬取网络企业的数据，也就是网络爬虫。网络爬虫作为一种颇具争议的收集数据方式，也引发了一系列诉讼。②参见“淘宝诉美景公司案”“百度与大众点评不正当竞争纠纷案”等。网络爬虫的原理是通过网页的链接地址来寻找网页，从网站某一个页面开始，读取网页的内容，找到在网页中的其他链接地址，然后通过这些链接地址寻找下一个网页，这样一直循环下去，直到按照某种策略把互联网上所有的网页和数据都抓取完为止。③同注①。很明显，网络爬虫不可能取得所有数据控制主体和数据自然人的同意，对于爬虫企业与非爬虫企业产生争议的案例都是基于数据利益而产生，如果是非竞争行业争议较少，但是属于竞争范围，就会产生争端。现有判例更多考量企业之间的竞争利益，较少考虑个人数据权利主体的利益。①See Parks,Andrew M,“Unfair Collection: Reclaiming Control of Publicly Available Personal Information from Data Scrapers”,120 Mich.L.Rev.913 (2022).虽然在“新浪微博诉脉脉不正当竞争案”中法院提出三重授权原则②参见许可：《数据保护的三重进路——评新浪微博诉脉脉不正当竞争案》，《上海大学学报（社会科学版）》2017 年第6 期。，但是自然人授权在数据爬虫中操作成本很高，因为自然人无法获知哪些企业爬虫。如果个人数据交易市场建立，爬虫企业通过对个人数据支付对价，则个人数据交易链条将变得十分清晰，规范的爬虫市场也能建立。当然未解决的问题十分突出：如何对个人数据估价？支付对价的方式如何从技术上建立？本文后面将对此详述。

第二类是第三方服务平台的个人数据交易，由于个人数据交易立法的缺失，一些数据公司的个人数据交易往往在违法边缘进行。特别是个人数据自然人很难全链条掌握个人数据交易的动态，个人数据第三方服务平台则能为个人数据交易提供合作机会，该平台不同于大数据交易中心，个人数据自然人、个人数据控制者、个人数据需求者都可以在该平台发布供求信息，该平台的法律地位是中介组织，为个人数据交易搭建桥梁。

无论我们是否承认，个人数据交易已经发生，由于缺乏立法指引，个人数据交易更多地在灰色市场或者黑色市场进行。对于个人数据自然人，个人数据价值被严重低估，而且缺乏透明的交易程序，极容易衍生违法甚至犯罪行为。对于个人数据控制者，很多违法数据交易是内鬼造成，扰乱了个人数据交易市场。对于个人数据需求者，个人数据交易成本大幅增加，个人数据的合规成本也隐含其中，这直接制约了个人数据的有效利用，个人数据交易的第三方服务平台具有建立的必要性。对于大数据中心的个人数据交易，由于现在很多数据都是匿名数据交易，缺乏可识别性，并不属于本文探讨范围。

四、数据要素市场下个人数据交易的实现

（一）个人数据交易的权利基础：个人数据持有权或使用权交易

长期以来，理论界普遍认为数据权属不清晰制约个人数据交易，实践似乎也契合了该结论，个人数据交易确实不甚发达。为了厘清个人数据权属，法律融贯主义提供了思考基础③参见蔡琳：《融贯论的可能性与限度——作为追求法官论证合理性的适当态度和方法》，《法律科学》2008 年第3 期。，通过法律规范中的原则、规则和标准去对接个人数据权属，进而提出个人数据所有权说、个人数据共有权。④See HU Ying,“Private and Common Property Rights in Personal Data”,33 SAcLJ 173 (2021).但是传统的权属视角并不能完全适用个人数据，体系自洽和逻辑自洽的融贯主义在个人数据领域不敷适用。

虽然个人数据交易的基础——个人数据权属不甚清晰，但是《个人信息保护法》赋予个人对个人信息处理的控制权，在一定程度上也能促进个人数据交易。不过企业通过制定一揽子隐私政策使个人信息处理并不透明，个人对隐私政策的同意容易异化成损害自己数据利益的工具。为了平衡个人与企业的数据利益，形式上或者实质上改进隐私政策①参见王俐智：《隐私政策“知情同意困境”的反思与出路》，《法制与社会发展》2023 年第2 期。、赋予个人数据权利主体同意的撤回权②参见万方：《个人信息处理中的“同意”与“同意撤回”》，《中国法学》2021 年第1 期。、否认个人数据权利主体同意的承诺效力③参见姚佳：《知情同意原则抑或信赖授权原则——兼论数字时代的信用重建》，《暨南学报（哲学社会科学版）》2020 年第2 期；高富平：《同意≠授权——个人信息处理的核心问题辨析》，《探索与争鸣》2021 年第4 期。等观点都是在强化个人对个人数据的控制权，从而实现个人数据交易。

由于网络平台企业主要控制个人数据，基于数据垄断，个人数据交易很难发生，个人也很难获取个人数据交易的利益。有学者提出通过对访问权的构造，使具有合法利益的消费者和具有创新能力的企业能够获得对数据的访问权。④参见王洪亮、叶翔：《数据访问权的构造——数据流通实现路径的再思考》，《社会科学研究》2023 年第1 期。也有学者提出为了构建数据开放体系，赋予对个人数据进行改进和完善的主体获得数据持有者权，这样在保护个人数据正当合法利益的前提下，数据流通更容易实现。⑤参见高富平：《论数据持有者权——构建数据流通利用秩序的新范式》，《中外法学》2023 年第2 期。

可见，基于个人数据的复杂性，个人数据权属不应受制于传统民法思路——对个人数据进行静态绝对化赋权。为了促进个人数据交易，有学者从权利束视角⑥参见王利明：《论数据权益：以“权利束”为视角》，《政治与法律》2022 年第7 期。、关系视角⑦参见戴昕：《数据界权的关系进路》，《中外法学》2021 年第6 期。、权利块视角⑧参见许可：《从权利束迈向权利块：数据三权分置的反思与重构》，《中国法律评论》2023 年第2 期。、“谁取得、谁控制、谁使用”的开放主义“赋权”⑨同注⑤。等视角去理解。《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》（以下简称“数据二十条”）提出的三权分置是我国数据财产权设计的最新顶层方案，该理论淡化所有权、强调使用权，突破传统大陆法系财产权架构。个人数据交易并不能完全照搬所有权交易，个人数据的非排他性、非竞争性的特征决定了个人数据交易的共时性，个人数据发生持有权或者加工使用权有偿流转就是个人数据交易。数据二十条提出的数据资源持有权、数据加工使用权、数据产品经营权中的个人数据交易也只能发生在前两种权利交易，数据产品本身已经不是个人数据，就不会存在个人数据交易，但是同样会存在个人数据保护。

综观之，物权的支配性、债权的相对性、知识产权的独创性等权利特性并不能完全对接个人数据。个人数据虽然也具有私权性，但是促进个人数据的流动背后体现了个人数据的社会性和公共性。以私权权属概念理解个人数据并不全面，个人数据交易前提虽然是确权，但是应避免数据确权的误区⑩参见周汉华：《数据确权的误区》，《法学研究》2023 年第2 期。，并不一定确立所有权，其逻辑起点是谁有权交易，谁有权获得利益。首先，个人数据权利主体是个人数据的来源者，个人数据作为生产要素，正如劳动力对于自然人，个人有权出卖劳动力，个人也有权决定个人数据交易。个人数据与劳动力不同之处在于个人数据能与自然人分离，单独流动发生价值。个人数据合法持有者在合法合规的情形下能进行个人数据交易。高富平教授提出，为了实现数据的开放，数据持有者并不能阻断数据接收者对数据的流通。⑪同注⑤。不可否认，从法律融贯主义界定个人数据权属已经逐渐转移到基于个人数据实用性而淡化所有权理论，强调个人数据的流通与利用。另外，按照“谁投入、谁贡献、谁受益”标准，有权对个人数据加工使用的主体可以流通个人数据，当然也可以基于自己的投入获取一定利益。

但是，仅仅依靠个人数据供给方与个人数据接收方双方交易，很难形成规模化的个人数据交易市场。一方面，个人数据单独价值比较低，交易双方缺乏交易动力；另一方面，个人数据处理者往往是网络平台企业，基于数据垄断容易产生数据闭锁效应，交易也很难发生。因此，企业之间数据爬取较容易发生。司法实践并未一刀切禁止数据爬取，而是通过反不正当竞争法、知识产权法等既有规定去规制。现有个人数据交易主要表现为两种情形：通过当事人合意实现，或者通过数据爬取等方式实现。基于个人数据的特殊性，个人数据交易市场并不发达，个人数据交易的实现还需要制度创新。

简言之，数据的价值在于流动，不能因为个人数据的特殊性禁止个人数据交易。在对个人数据进行分层分类保护的基础上，还需要制度保障个人数据持有权、个人数据使用权交易。

（二）个人数据交易的制度创新：个人数据托管

现有个人数据交易或者通过当事人自主达成协议，或者通过第三方数据中介进行交易。由于个人数据特殊性，主要表现为基于数据主体的知情同意或存在法定事由的交易，交易规模和交易质量都有待提高。我国第三方中介服务的交易模式更多基于匿名数据或者去标识的个人数据进行交易，不利于挖掘个人数据价值。虽提及数据信托交易的学者较多，但在我国仍处于理论设想阶段①参见翟志勇：《论数据信托：一种数据治理的新方案》，《东方法学》2021 年第4 期；冯果、薛亦飒：《从“权利规范模式”走向“行为控制模式”的数据信托——数据主体权利保护机制构建的另一种思路》，《法学评论》2020 年第3 期；冉从敬、唐心宇、何梦婷：《数据信托：个人数据交易与管理新机制》，《图书馆论坛》2022 年第3 期。，具体适用存在诸多障碍。②参见邢会强：《数据控制者的信义义务理论质疑》，《法制与社会发展》2021 年第4 期。完善数据中间商模式以及鼓励建立数据中介机构等多元化的第三方数据服务机构可以在一定程度上弥补交易数量和交易质量的问题③参见倪楠：《欧盟模式下个人数据共享的建构与借鉴——以数据中介机构为视角》，《法治研究》2023 年第2 期；李振华、王同益：《数据中介的多元模式探析》，《大数据》2022 年第4 期。，但个人数据交易不足并不能完全通过既有理论和制度实现，必须从顶层设计进行突破。

英美法系在传统数据经纪人的基础上，进一步总结出数据信托的交易模式④See Jack M.Balkin,“The Fiduciary Model of Privacy”,134 Harv.L.Rev.11 (2020).，这也是学者们希冀从该理论创新交易模式的突破。欧盟对个人数据交易也进行了有益探索，有学者提出了个人信息管理系统（PIMS）。⑤See Heleen Janssen & Jatinder Singh,“Personal Information Management Systems”,11 Internet Policy Rev.1,2 (2022).欧洲数据保护监督机构 (The European Data Protection Supervisor）已经开始推动PIMS 建设。⑥See Narayani Anand,“Personal Data Exchanges-Towards an Equitable Fourth Industrial Revolution”,7 NLIU Law Rev.18,42 (2018).个人数据信息管理系统就是第三方对个人数据托管，数据受托人与数据企业进行谈判和交易，并按照数据主体的指示，代表其允许这些数据企业访问和使用个人数据。⑦参见塞巴斯蒂安·洛塞等编：《数据交易：法律·政策·工具》，曹博译，彭诚信主编，上海人民出版社2021 年版，第301 页。

数据二十条规定，对承载个人信息的数据，推动数据处理者按照个人授权范围依法依规采集、持有、托管和使用数据，探索由受托者代表个人利益，监督市场主体对个人信息数据进行采集、加工、使用的机制。可见，个人数据托管路径成为个人数据交易理论和实践的新动向。个人数据交易托管具有以下优越性：

1.具有可信度的第三方托管可以减轻个人数据的交易成本，尤其是可以为个人数据需求方提供便捷效率的交易程序。国外已经有很多公司在进行托管云这方面的实践。专业的数据处理公司可以为数据供给方提供数据托管方面的服务，同时利用托管云来为数据需求方提供专业的技术分析服务，尤其是帮助服务者免受个人数据收集违规的困扰。①See Konstantinos Stylianou,“An Evolutionary Study of Cloud Computing Services Privacy Terms”,27 J.Comput.Inf.Law 101 (Summer 2010).另外，云计算这种新型技术，可以让云服务不断分层，托管云就是介于私有云和公有云之间产生出来的新的“云层”，大大减少了被服务公司收集、分析、储存个人数据的成本，让被服务公司对自身掌握的数据有更高的转换效力。

2.具有可信度的第三方托管可以避免数据交易的复杂性。当第三方托管是由公共机构或者政府提供的话，或者第三方托管是由政府认证的，数据交易程序就会变得很简单，因为第三方托管可以代替政府降低个人数据交易中的风险。

3.具有可信度的第三方托管可以有助于释放个人数据的交易价值。个人数据持有者常常因为单个数据的价值低而低估个人数据价值。个人数据的交易价值通常由个人数据需求方决定，但是个人数据需求方并不完全清楚待交易的数据价值。第三方托管在释放个人数据时，对个人数据不是“一次性”发放，而是分批释放个人数据的价值，防止个人数据交易的价值浪费。

4.具有可信度的第三方托管可以搁置数据交易中权属争议。相较于个人数据信托，个人数据托管更有可操作性，也更容易在法律规则或者标准制定中实现。

5.具有可信度的第三方托管可以有效化解数据中的“阿罗信息悖论”难题。根据阿罗信息悖论，个人数据交易双方需要就个人数据交易的价值进行商讨和谈判，商讨和谈判的内容是对个人数据的价值进行有效磋商，但是个人数据价值一旦被公开，就相当于对方免费获得了这些数据。对于无偿交易的个人数据，阿罗信息悖论的影响是很小的。但是，对于有偿交易的个人数据，第三方托管的存在可以缓解个人数据交易双方的信任危机，托管方可以帮助当事人判断个人数据的交易价值。

6.第三方托管有助于化解个人数据信息介质消失导致的个人数据灭失的困境。数据是信息的介质，介质就有消失的可能，然而第三方托管相当于为个人数据的交易提供了一个副本，便于监管机构查询。

（三）个人数据交易的技术支持：区块链技术

区块链是利用已加密保护的链条式区块结构和分布式节点共识算法，来执行数据验证、存储、更新的一种分布式去中心化的计算范式。②参见赵丰、周围：《基于区块链技术保护数字版权问题探析》，《科技与法律》2017 年第1 期。在区块链搭建的数据交易平台上，数据提供者在完成数据确权的基础上，交由系统完成真实性、完整性与有效性的验证，并形成去中心化的数据列表，供所有节点查阅、下载与应用。当数据交易双方达成合作，交易信息将被上传至区块链，被系统记载并告知所有节点，交易信息将被所有节点记录与保存，以保证交易更加智能。根据交易双方的合作意愿，以代码形式存在的合约将在条件满足时自动执行，以实现数据的买卖、租赁、借用、交换等。①参见杜均：《区块链+：从全球50 个案例看区块链的应用与未来》，机械工业出版社2018 年版，第219 页。可见，区块链技术能打破数据孤岛，形成一个开放共享的数据生态系统。

目前我国个人数据保护的规定还比较概括、粗疏，但是个人数据保护的基本原则已经初步确立，主要包括：个人数据同意原则、目的特定原则、信息真实准确原则等。然而，同意原则、目的特定原则在实践中往往流于形式，甚至很难实现②《欧盟一般数据保护条例》第5 条规定了合法性、合理性、透明性、目的限制、数据最小化、准确性、限期储存等原则；我国《网络安全法》第41 条规定：“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。”，其困境主要体现为两个方面：（1）个人数据主体无法获知个人数据后续如何使用？同意原则容易阻碍个人数据的有效利用，宽松的同意原则有使个人数据滥用的危险。可见仅仅赋予个人数据主体同意权，现有一对一的交易模式不改变，个人数据自然人与个人数据使用者的利益关系就难以平衡。（2）个人数据的无限性、重复使用性、价值不易损耗性等特征使其在收集、处理过程中容易形成多元信息主体。由于个人数据透明机制的缺乏，个人数据违法使用的制度约束成本较低，个人数据滥用的风险也很高。

基于个人数据收集、处理过程中存在的制度困境，区块链技术能在一定程度上进行改善，区块链便于查询个人数据的主体。一方面，个人数据权利人将个人数据记录在区块链上，区块链可以证明信息的存在，方便对信息进行查询；另一方面，个人数据权利主体可以更有效地利用大数据，防止其他主体滥用个人数据。区块链权利人在区块链上有自己的公钥，当需要交易时，可以由控制权利的持有者使用私钥进行签名。区块链同时允许多元主体发生交易行为，例如，可以设置成两个人联合签名才能进行一笔交易。③参见华劼：《区块链技术与智能合约在知识产权确权和交易中的运用及其法律规制》，《知识产权》2018 年第2 期。区块链本身具有自我监管的特点，其主要贡献是为分布式社会系统和分布式人工智能研究提供了一套行之有效的去中心化的数据结构、交互机制和计算模式④参见袁勇、王飞跃：《区块链技术发展现状与展望》，《自动化学报》2016 年第4 期。，能有效地降低滥用个人数据的风险。

区块链技术处于发展阶段，但是它在个人数据交易方面具有极大的应用前景，它能解决以下问题：（1）有利于个人数据权利人对个人数据的控制权。因为私钥由个人数据权利人掌握，没有私钥，个人数据无法交易。（2）便于厘清个人数据收集、处理的法律关系，为个人数据作为有价值的资产提供了交易平台。（3）易于建立个人数据利用的激励机制。区块链的智能合约可以记录交易请求，将交易金额实时分配给交易参与人，最后将成功创建的智能合约通过弹性计算服务器更新存储于后台的分布式关系型数据库，完成交易的结算服务流程。

可见，借助区块链技术，个人数据自然人可以清晰地了解经营者利用个人数据的情况，自然人与经营者信息不对称的状况可以得到一定改善。不过当下区块链技术并不成熟⑤参见陈奇伟、聂琳峰：《技术+法律：区块链时代个人信息权的法律保护》，《江西社会科学》2020 年第6 期。，如何将技术更好地支持个人数据交易则非常关键。①See Daniel Eszteri,“Developing Blockchain-Based Distributed AI for Personal Data Protection”,Pro Futuro: A Jovo Nemzedekek Joga,vol.2020,no.1,2020,pp.9-27.

（四）个人数据交易的实现保障：定价规则

个人数据交易，数据定价成为不可回避的问题，其他学科探讨较多②参见熊巧琴、汤珂：《数据要素的界权、交易和定价研究进展》，《经济学动态》2021 年第2 期；蔡莉、黄振弘、梁宇，等：《数据定价研究综述》，《计算机科学与探索》2021 年第9 期。，法学关注相对较少。有观点认为，数据权益定价平衡选用市场法、重置成本法和收益现值法作为数据权益定价的基础。③参见包晓丽、齐延平：《论数据权益定价规则》，《华东政法大学学报》2022 年第3 期。但是，对个人数据如何定价并未提供具体建议。基于理论和实践探索，全国首个数据经纪人撮合交易定价器在广州海珠发布，但该定价器是为数据资产设计，也不能直接对个人数据定价。

在现有制度下，企业之间交易个人数据更容易，企业通过API 接口交易数据、企业之间定制数据或者直接打包销售数据，企业可以根据数据量、数据类型、数据的重要性、数据对企业竞争的替代性等因素来确定价格，个人数据定价由市场调整具有一定合理性。然而，个人与企业进行个人数据定价则较为困难，由自然人与企业协商确定价格，该方案虽然能体现意思自治，但是估价成本非常高，网络经济的特殊性就在于其吸纳用户能力很强，其用户又不确定，具体谈判确定价格并不现实。另外，可以通过第三方服务平台代表自然人对个人数据进行谈判确定价格，但现在的大数据交易所交易更多的是公共数据、企业数据，对个人数据交易相对比较谨慎，而且公共数据、企业数据中的个人数据往往是匿名数据，按照《个人信息保护法》，匿名数据不是个人数据。

个人数据的定价标准从会计学角度有成本法、重置法等，不过这些定价标准都是针对传统意义上的物，而个人数据的价值并不是恒定不变，甚至不同个人数据在不同场景下的价值也有很大差异。对于自然人交易其个人数据，可以考虑其他市场的参考价格。由于正常市场交易的缺乏，很多个人数据通过黑市或者灰市进行交易，这两种交易市场不利于个人数据合理有序的流动。然而，交易价格具有一定的参考价值，即使单条个人数据的交易价格也许很低，但企业释放个人数据部分红利给自然人，也能激励自然人将自己的个人数据进行交易，逐步完善个人数据交易市场。

自然人进行交易的个人数据主要是非敏感型个人数据。非敏感的个人数据又可以分为自然人自己提供的原始数据，如姓名、身份证号、手机号等；自然人借助企业的设备或者技术等服务产生的个人数据，如QQ 号、微信号等。已经加工分析过的个人数据等，往往通过算法体现出来。由于不同个人数据的性质和凝聚的价值不同，并不是所有的个人数据都能被自然人自由交易。对于第一类自然人自己提供的原始数据，有的是自然人自己产生的，有的是国家基于管理需要而为自然人提供的，并未凝聚企业的投入，因此第一类个人数据被交易，购买个人数据方应支付对价。不过实践中这些数据往往是自然人参与网络活动需要提供的一些信息，也可以作为接受网络服务的隐性对价，但是个人数据的溢价主要被网络平台企业和其他商家获得，个人数据权利主体应当享有收益权。④参见孙祯锋：《论数据主体的个人数据收益权》，《深圳社会科学》2023 年第3 期。对于借助企业设备或技术而存在的个人数据，往往通过用户协议分配权利与义务，自然人并不能随意转让个人数据。对于企业加工分析的个人数据，自然人无权进行交易。

由于企业与用户缺乏个人数据交易，个人很难获得个人数据收益，如用户的浏览痕迹数据，从企业投入来看可以忽略不计，企业通过用户的浏览痕迹能进行个性化服务，或者企业将浏览痕迹出售给广告商，但浏览痕迹的相应收益，个人被排除在外，这并不公平。反之，企业对个人数据做出了贡献，企业也应当获得个人数据收益。如一些大V 的关注人数很多，大V 的账号就具有很高的商业价值，不仅能带来广告收入，还能直接对粉丝进行销售等。正因为这些个人数据存在企业平台的成本，大V 将这些个人数据进行交易，极有可能会影响企业的竞争利益，因此个人交易个人数据还要考虑对前手企业平台的补偿。当然前手企业为了避免类似商业风险，也有可能提前与用户订立个性化的用户协议，确定个人数据价格。

概言之，个人数据定价在由市场调整的基础上，根据个人数据类型不同，须综合考量个人数据成本、个人数据来源、个人数据再利用获得的收益、利用场景、社会价值等因素。个人数据交易是个人数据定价的前提，个人数据定价规则又能保障个人数据交易，而且公平的定价规则还能激励个人数据交易。

五、结 语

数据要素市场下，无论是否承认个人数据交易，都不能回避数据交易中个人数据的重要价值。特别是数据二十条明确了数据资源持有权、数据加工使用权、数据产品经营权，拓宽了个人数据交易的权属思维。因此，对个人数据交易的认识不能局限于物权思维，而是要转换到数据法思维，个人数据交易不仅会存在多主体共享共用，而且个人数据交易还可以通过个人数据托管、区块链技术、特殊的定价机制实现。未来对个人数据交易研究需要强化激励机制与安全机制研究，特别是加强通过第三方服务平台的个人数据交易研究①See Regis Lanneau,“Online Platforms and the Future of Regulation”,13 J.Indian Law Soc.35 (2022).，寻找能够协调数据保护和数据经济利益的解决方案。②参见塞巴斯蒂安·洛塞等编：《数据交易：法律·政策·工具》，曹博译，彭诚信主编，上海人民出版社2021 年版，第304 页。