歐美數據交易法律規制的經驗借鑒

崔峻崗

世界范圍內并沒有對數據進行權利化的明文立法規范，關于數據交易的法律規制重點仍集中于個人數據保護（personal data protection），即個人數據交易的合規體系構建。當前世界各國對于數據交易的法律規制多以隱私及個人信息為保護對象。針對大數據環境下個人數據保護的法律制度來看，目前歐盟模式和美國模式是全球最有代表性的兩種模式。而針對數據交易中的經濟利益的保護問題，各國目前都沒有專門性的立法出臺，但歐盟與美國在數據流通領域通過指令或判例對數據交易進行了一定程度上的規制。

一、歐盟對數據交易的法律規制

歐盟在數據交易領域的法律規制重點在于通過統一立法保護個人數據權利以及促進數據流通。歐盟個人數據保護立法一直走在世界前列，2018年5月生效的《通用數據保護條例》（GDPR）的出臺成為近20年來歐洲數據隱私立法領域最為重要的事件，在世界范圍內產生了極大影響。值得注意的是，GDPR實際上并未對數據與信息進行區分，而是將其視為一體進行保護，雖使用“數據保護權利”作為權利名稱，但其保護內容實際上指向的是個人信息。

歐盟對于個人數據保護立法的迫切來源于其對人權的關注，《歐盟基本權利憲章》以歐盟憲法性文件的地位在其第8條內將個人數據保護（protection of personal data）提升到了憲法層級的高度?！稓W洲人權公約》（下稱《人權公約》）并非歐盟憲法性文件，但其作為一項區域性國際條約，以國際法體系的一部分約束著各締約國。歐洲人權法院自2007年起通過若干判例將個人數據保護納入了《人權公約》。

在法律性文件方面，1995年歐盟發布《數據保護指令》（The Data Protection directive），以指令的方式為歐盟各國進行數據保護立法提供了原則指引，該指令后為《通用數據保護條例》（GDPR）所替代，GDPR以條例（Regulation）形式創建了在歐盟各國范圍內普遍適用的個人數據保護體系，旨在規范個人數據的處理以及個人數據的自由流動，并正式提出了“數據保護權”較完整地定義了個人數據權利，對個人數據進行授權，賦予了數據主體可攜帶權、被遺忘權、刪除權等權利，并設立數據保護理事會負責監督法律的實施。

GDPR生效后，歐盟境內個人數據保護體系基本建立，從其監管對象來看，只要數據控制者的數據收集、處理行為是為歐盟境內自然人提供商品或服務、監控其活動而進行，該數據控制者便受GDPR規制，違反該條例的后果最嚴重將面臨兩千萬歐元或者其全球營業額4%的罰款。從數據主體權利內容來看，其數據權利主要包括數據訪問權、修改權、刪除權或被遺忘權、限制處理權、移植權、反對權、自主決定權，其權利范圍涵蓋了數據從產生到消亡的整個過程，為數據主體提供了充分的數據自決權。面對數據控制者的侵害，GDPR還在司法救濟之外為數據主體提供了行政救濟措施，其第8章明確規定歐盟各成員國應設立至少一個數據保護公共機構，以監管GDPR的有效實施，該監管機構職責之一包括接受數據主體針對其數據權利受損提起的申訴，并據此獲得相應民事賠償。

歐盟的個人數據保護體系以統一立法為原則、權利構建為基礎，以數據主體為中心，旨在規制數據流通過程中侵害公民人權的現象，保護個人數據處理過程中的人格利益。不論是啟動時間還是法律文件數量或者更新頻率，歐盟都一直走在其他區域的前方，其影響力從歐盟成員國延展至世界范圍內的許多國家。

在個人數據保護外，歐盟在數據交易上的立法還體現在促進數據流通的努力上。歐盟于2000年發布的《電子商務指令》，將在線數據產品納入電子商務交易對象，依照該指令，在線數據產品的交易受電子商務法的規制。而近年來歐盟對數據交易的關注重點在于如何促進數據自由流通。由于歐盟境內各成員國法律體系的差異化明顯，在歐盟層面主要依靠指令或指南對數據流通進行指引性支持。除GDPR在其立法主旨中確認其“促進數據自由流通”之目的外，為促進歐盟境內數據的自由流通，歐盟還于2018年4月發布《歐洲數據經濟中的私營部門數據共享指南》（Guidance on sharing private sector data in the European data economy），該指南對企業與企業、企業與政府之間的數據共享原則進行了討論，旨在促進歐盟內部的非個人數據傳輸更加通暢。出于對數據自由流通原則的尊重，在未創設數據財產權利背景下，歐盟法院及歐盟成員國法院在一系列數據抓取糾紛案件中嚴格界定數據庫權利，區分“有實質性投入”的數據庫以及機器自動生成的數據，主張適用合同法及競爭法來規制經濟利益的侵害行為。

二、美國對數據交易的法律規制

美國對于數據交易的規制主要集中在市場中的消費者的信息隱私權領域，以隱私權為基礎構建個人數據保護的整體法律規制體系。美國的法律并未對數據交易（包括個人數據的交易）行為本身設置法律障礙，對數據交易的規制主要從消費者隱私信息的保護出發，要求數據交易主體在交易過程中不得侵犯個人隱私權。關于隱私權的保護依據，憲法及《隱私權法案》主要是規制政府對公民隱私權的侵犯，而在民事權利領域，在支持個人數據自由流動的大背景下，美國數據隱私權的保護具有市場性特征，個人數據保護通過隱私權“碎片化”立法以及行業自律來實現。在個人信息隱私立法層面，從美國法律位階來看，當前美國有關數據交易規制的立法主要集中于制定法（statutory laws）層面，主要包括國會法案、行政法規及州法。截至2018年8月，美國已有近20部與隱私權或數據保護相關的專門性部門立法，同時其50個州出臺了近百部與此相關的法案。

（一）憲法層面的數據隱私保護

美國憲法對數據隱私的保護被稱為“有限的保護”，其憲法修正案第四條確認了人民之“人身、私人住宅、文件或者其他財產不被不合理搜查或扣押之權利，不可侵犯”，將隱私權確認為憲法權利，其后美國經判例法將隱私權確認為一項民事權利，受侵權法保護，并將上述權利對象延伸至電話記錄及銀行記錄。雖然憲法上隱私權保護范圍有擴展的趨勢，但其有限性在于憲法修正案僅在個人具有“合法的隱私權期望”情況下適用，該條件將廣泛的個人數據排除在了第四修正案的保護范圍內。

（二）制定法層面的數據隱私保護

美國制定法層面的數據隱私保護規范是美國數據交易規制的重心所在。1974年由參眾兩院通過的《隱私權法案》（The Privacy Act）作為聯邦層面的統一立法，旨在規范美國的個人數據使用行為。該法案對公民個人信息（也稱“記錄”，record）進行了較為明確的列舉式定義，但該法立法目的是規制政府與個人之間的信息采集、適用等問題，其所平衡的是公共與個人之間的利益。因此對于“個人（包括法人或其他組織）—個人”的信息侵害行為，《隱私權法案》沒有相關規定。

在民事領域，以《隱私權法案》為基礎，美國針對不同領域隱私權保護進行細化立法，如《金融服務現代化法案》（GLB）對企業收集、使用及披露非公開個人信息進行規范;《健康保險可移動性和責任法案》（HIP）則針對醫療信息的交易規則以及信息識別、隱私保護制定詳細規則，另還有《兒童網上隱私保護法》（COPPA），《電子通信隱私法》（ECPA）《寬帶和其他電信服務中用戶隱私保護規則（FCC）》等針對不同領域不同群體的個人隱私信息提供保護?？偠灾?，當前美國針對政府部門，在醫療、電信、征信等領域建立了個人隱私保護法律規制體系。

（三）數據隱私保護執法

《聯邦貿易委員會法》（“FTC法”）從保護消費者的角度，通過對第5條的“不公平或欺騙性的行為”進行擴張解釋，將保護消費者個人隱私的執法權歸入聯邦貿易委員會（FTC），由其根據相關執法依據來保護消費者的數據隱私安全。FTC作為美國主要的數據安全領域執法機構，負責執行相關法律和法規，同時對美國的各行業企業提供數據安全規范指導。近20年來，FTC通過訴訟或其他方式解決了60余起數據安全案件。2018年，在數據保護領域，對包括UBER在內的多家公司發起了65次調查處理，并采取系列行動旨在減輕消費者所受的損害，防止損失進一步擴大。

（四）州法層面的數據隱私保護

州級層面關于數據隱私保護立法數量較多，幾乎美國所有的州都就個人隱私信息的保護出臺了相關的法案或規則，但各州立法進度不一。走在前列的是加利福尼亞州，加州自1972年修改《加利福尼亞憲法》將隱私權納入憲法保護范疇后，陸續出臺了《在線隱私保護法案》《陽光法案》及《數字世界加利福尼亞未成年人隱私權法案》等法案，并于2018年頒布《2018年加州消費者隱私法案》（CCPA），該法案于2020年1月正式生效。根據加州有關個人隱私信息的規定來看，加州對于企業收集、使用、出售個人信息的行為并未采取禁止態度，但通過該法案給予了消費者充分的隱私保護，明確申明個人信息出售或共享行為應當獲得授權，并確認該州公民有拒絕企業出售其個人信息的權利。

美國數據交易法律規制所體現出的數據流通自由主義以及碎片化立法模式是由其法律體系及市場特點決定的。但是該模式是否真正有利于美國數據交易的發展以及個人數據安全的保護，當前有爭議。從近年美國立法提案情況來看，在歐盟GDPR生效以后，美國境內對于統一數據立法的呼聲越來越高，例如聯邦貿易委員會消費者保護局局長在2019年3月的眾議院會議上提交的報告中就提議頒布聯邦層面的數據安全法。而美國境內規模較大的企業鑒于美國各州標準不一的隱私權保護法律，出于企業發展目的，也極力支持效仿歐盟出臺聯邦層面的統一數據保護法案。

綜上所述，在針對數據交易所涉及的個人信息安全問題，歐盟與美國基于其本土法律體系背景采取了完全不同的兩種保護模式，即歐盟采用“權利話語”模式，基于其人權完善要求對個人數據（個人信息）進行權利化保護，美國則基于其自由市場傳統，采用“市場話語”模式，以分散立法、行業自律模式，通過不斷擴展隱私權內容對市場消費者的隱私信息給予保護。

歐盟在數據交易上通過合同法與競爭法對數據交易中的不正當行為進行規制的途徑與美國對數據交易法律規制的態度走向一致。由于美國在聯邦層面也并未就數據權屬或數據交易出臺任何專門性的法律，因此在數據交易中，數據控制者也無需為其對數據的使用尋求任何法律上的依據。由于普通法系采用財產權概念，在此背景下，美國的數據經紀商或者任何從事數據交易的數據控制方的數據交易行為本身便具備了天然的合法性。同時對于市場自由的追求使得美國更偏向于從經濟角度，通過規制數據控制者或數據處理者的商業行為來規范數據交易。

三、歐美數據交易法律規制實踐對我們的啟示

一是盡快完善政府數據開放的制度，為數據交易提供大量合法的可交易數據。對政府數據開放進行頂層部署，明確統籌領導機構和各部門職責及任務，明確開放原則，對各項配套政策及措施的建立做出部署。

二是推動建立和完善數據交易標準。為數據交易過程制定安全標準，并逐步在數據采集、存儲、傳輸、應用等環節出臺相應的技術標準，開展交易數據格式標準化、數據質量認證體系、數據源追溯體系、數據交易信息披露、數據匿名化技術、市場主體考核評價等相關標準研究，同時密切關注國際標準和技術發展趨勢，積極參與大數據國際標準化制定。

三是制定《數據管理和保護法》，設立單獨的數據監管機構。通過制定《數據管理和保護法》，明確數據分類，界定數據交易平臺為關鍵基礎設施，進一步完善交易中的個人信息保護。數據交易市場發展迅速，其中存在的問題涉及了技術、法律等多個層次，有必要設立專門的機構進行單獨監管，對數據交易市場準入進行審核，對數據中介進行資質認定、信息披露和日常評估，對數據交易中的糾紛、數據安全等進行監管。

（作者為國家發展改革委體管所助理研究員）