張 敏

隨著數據利用廣度和深度的持續(xù)拓展，數據資源作為新的生產要素成為新的經濟增長點，數據利用中引發(fā)的倫理問題愈發(fā)凸顯。在數據倫理的研究上，戴維斯和帕特森認為所有企業(yè)都應針對數據確立自身適用的道德規(guī)范，明確數據對自身的價值，重視數據中所涉及的身份、隱私、歸屬以及名譽，在技術創(chuàng)新與風險之間保持必要的平衡。①See Kord Davis &Doug Patterson,Ethics of Big Data,O'Reilly Media,2012.目前學術界對大數據倫理問題及其危害基本達成了一致，普遍認為數據權利、隱私、權限、安全與數字鴻溝是目前大數據時代的主要倫理問題。②參見宋吉鑫、魏玉東、王永峰：《大數據倫理問題與治理研究述評》，《理論界》2017 年第1 期。在對數據倫理的法學研究上，有學者提出數據科技治理中，除認真對待法律外，還必須從科技研發(fā)、推廣與使用等環(huán)節(jié)系統(tǒng)性地植入倫理規(guī)則，使倫理成為法律創(chuàng)新的指南針，從而實現法律與倫理的有效對接。③參見黎四奇：《數據科技倫理法律化問題探究》，《中國法學》2022 年第4 期。有學者認為要想系統(tǒng)有效地解決數據倫理問題，需要從法律理念的確立、權利的配置、規(guī)制模式的選擇三個角度相應予以構建。④參見劉巖、宋吉鑫：《大數據倫理問題中的權利沖突及法律規(guī)制——以個人信息權為中心》，《遼寧大學學報（哲學社會科學版）》2018 年第6 期。而有關數據交易中倫理問題的法學研究成果則較少。本文在對數據倫理問題進行梳理整合的基礎上，結合數據交易實踐，提出數據交易中的倫理問題可以從三個維度展開：一為數據交易中的安全倫理；二為數據交易中的自由倫理；三為數據交易中的利益?zhèn)惱?。在對數據交易中的倫理問題進行研究的基礎上，結合理論與實踐，提出相應的法律規(guī)制建議。

一、數據交易中的安全倫理

（一）數據交易中的安全倫理的內涵

安全倫理是與自然人的生命健康權、人格權等人的生命健康安全相關的倫理問題。在數據倫理方面，個人信息安全是學者們普遍關注和認可的倫理問題，現有研究中無論表述為個人信息、隱私還是個人數據，其實質都是個人信息安全。個人信息的形式表現為電子形式或者書面，具有可識別性和關聯(lián)性的特征，匿名化處理后的信息因不具備可識別性亦不屬于個人信息。在數據諸多倫理問題中，安全倫理，即個人信息安全問題具有典型性和核心性。①參見劉巖、宋吉鑫：《大數據倫理問題中的權利沖突及法律規(guī)制——以個人信息權為中心》，《遼寧大學學報（哲學社會科學版）》2018 年第6 期。

“數據交易是指轉讓方（供方）將原始數據或數據產品相關權利轉讓給數據受讓方（需方）數據受讓方支付對價的營利性商事活動?！雹趶埫簦骸稊祿▽W》，中國政法大學出版社2023 年版，第219 頁。在數據交易中，安全倫理問題主要指數據交易中個人信息的安全。數據作為生產要素，在數據經濟發(fā)展歷程中，無論是產業(yè)數字化還是數字產業(yè)化，都依賴于數據要素的充分供給和數據價值的發(fā)揮，也依賴于數據在要素市場上充分流動得以實現。作為數據供給最為有效、最為重要的數據交易，是數據利用中的重要環(huán)節(jié)。通過數據交易，供應方可以提供原始數據用于交易，也可以對數據進行加工后再交易，需求方可以在獲取數據后直接利用，也可以對數據進行再加工后利用。數據要素的市場需求勢必帶來數據交易的蓬勃發(fā)展，數據利用和個人信息保護之間的平衡問題也會更加突出，進而面臨個人信息保護的安全倫理問題。

（二）數據交易中有違安全倫理的具體表現

“作為商事交易，大數據交易具有商事交易的交易雙方地位平等、交易自由的基本特征，同時也因大數據交易平臺的存在而具有主體復雜、權利義務不清晰的特殊性”③張敏：《交易安全視域下我國大數據交易的法律監(jiān)管》，《情報雜志》2017 年第2 期。，交易標的是原始數據或數據產品兩種類型。如交易標的是原始數據，其中可能與個人信息毫無關聯(lián)，也可能包括了匿名或去標識化的個人信息；如交易標的是數據產品，也可能包括以個人信息為基礎進行加工形成的數據產品。數據交易可能無法與個人信息完全脫離，因而數據交易中有違安全倫理問題主要表現在兩個方面：一是個人信息的非法收集；二是個人信息的泄露。

1.個人信息的非法收集

數據交易中個人信息的非法收集，指的是數據交易的原始數據或數據產品，在首要環(huán)節(jié)收集數據時，存在著對個人信息收集范圍不當的問題，以及在收集個人信息過程中未能做到對“知情—同意”原則的貫徹。

（1）對個人信息收集的范圍不當。通常情況下，數據產品的供應方，可能是原始數據的收集者，也可能是原始數據的加工者。既包括原始數據的收集者自行收集數據后用于交易，也包括未參與原始數據收集，通過共享、開放、交易等各種方式獲取數據后的加工。原始數據的收集者和加工者在收集和加工原始數據過程中，如未堅持最小必要原則，則會存在違法收集或者過度收集等行為。實踐中，各公司通過各種方式過度收集數據的情況比比皆是。例如，在滴滴公司被罰80.26 億元事件中，滴滴公司存在的違法收集行為主要包括違法收集用戶手機相冊中的截圖信息、過度收集用戶剪切板信息、應用列表信息，過度收集乘客人臉識別信息、年齡段信息、職業(yè)信息、親情關系信息以及地址信息、司機學歷信息等。①滴滴公司存在的違法收集行為，參見國家互聯(lián)網信息辦公室有關負責人就對滴滴全球股份有限公司依法作出網絡安全審查相關行政處罰的決定答記者問.http://www.cac.gov.cn/2022-07/21/c_1660021534364976.htm，2022 年11 月6 日訪問。數據交易是以營利為目的的商事交易活動，原始數據是數據交易標的形成的基礎，數據的資產性、價值性促使收集者只有更全面收集數據才能獲得更多的數據資源，才能在數據交易中獲取更多的利益。盡管從歐盟的《通用數據保護條例》到我國的《數據安全法》《個人信息保護法》均要求數據收集應當堅持最小必要原則，但在巨大的利益驅動之下，原始數據的收集者在收集包含個人信息的原始數據的過程中，不但無法秉持最小必要原則，反而通過強制許可、不告知、默認等各種方式過度收集，進而導致對個人信息收集的范圍不斷擴大，侵害個人信息主體權益，引發(fā)數據交易中的安全倫理問題。

（2）在收集和處理個人信息的過程中未能完全貫徹“知情—同意”原則?！爸椤狻痹瓌t是指在一般性使用下處理個人數據需征得數據主體知情同意，知情同意的方式包括明示同意和默示同意。基于公共利益和公共安全的考量，各國立法均采用了例外的方式予以明確規(guī)定，歐盟的《通用數據保護條例》規(guī)定了六類“知情—同意”原則的例外情形，我國《個人信息保護法》也有類似的規(guī)定。國內學界基本認可在數據處理上要堅持“知情—同意”原則，即在收集和處理數據的過程中，告知數據主體所收集和處理的數據被收集、存儲、公開的目的、方式、用途等。一方面，部分數據收集和處理者在收集和處理數據時未能按照前述要求向作為被收集者的數據主體如實告知；另一方面，作為被收集者的數據主體的交易習慣、文化水平和認識能力的參差不齊，使得相當一部分數據主體是在未能清晰了解數據被收集、存儲、公開的目的、方式、用途等的情況下便“同意”了數據收集和處理者對自身個人信息的收集和處理。由此造成了“知情—同意”原則適用的不充分、不全面，導致數據交易中個人信息的非法收集。

2.個人信息的泄露

數據交易中個人信息的泄露是指在數據交易過程中導致的個人信息泄露，個人信息泄露來自交易標的，泄露環(huán)節(jié)包括尚未進入交易環(huán)節(jié)的個人信息泄露，交易過程中的個人信息泄露，以及交易后的個人信息泄露。數據交易中個人信息的泄露主要體現為三種情況，其一，大量數據集合“去匿名化”導致數據交易中的個人信息的可識別性；其二，非法買賣個人信息導致個人信息泄露；其三，數據安全技術支撐和數據安全管理不足造成個人信息泄露。

（1）大量數據集合導致數據“去匿名化”現象。個人信息的重要特征是可識別性和關聯(lián)性，即通過信息可以識別到某個特定的自然人。匿名化實質上就是去除個人信息的關聯(lián)性或可識別性的標識，使其無法關聯(lián)或識別到個人。但隨著識別技術的快速發(fā)展，使得原本不具有可識別性的一些信息匯集成為具有可識別性的“信息集合”，在大數據背景下傳統(tǒng)的可識別的信息范圍被大大擴展。①參見劉巖、宋吉鑫：《大數據倫理問題中的權利沖突及法律規(guī)制——以個人信息權為中心》，《遼寧大學學報（哲學社會科學版）》2018 年第6 期。能夠作為數據交易標的的數據應當是經過“清洗”和匿名化處理的數據，“清洗”和匿名化使得這部分數據喪失可識別性，從而不再與特定的自然人相關聯(lián)，進而實現對自然人人身權益的保護。但是，應當注意的是大量經過“清洗”和匿名化處理的數據，為了開展數據交易，需要通過大量匯集成原始數據集合或加工形成數據產品，這種重新加工匯集的數據產品反而可能會使這部分數據重新具有可識別性，從而識別到個人信息主體，即出現個人信息的“去匿名化”，進而對特定自然人的人格利益造成威脅。

（2）非法買賣個人信息現象的存在?！捌脚_交易模式成為實現數據有效流動和充分發(fā)揮要素價值的重要模式，通過平臺監(jiān)管是實現數據安全與自由流通的雙重價值目標的有效方式”②張敏：《包容審慎監(jiān)管：數據交易的平臺監(jiān)管進路研究》，《河北學刊》 2023 年第1 期。。盡管大多數的數據交易是在數據交易平臺上進行的，數據交易平臺作為第三方平臺能夠對數據交易雙方的數據交易行為進行一定的監(jiān)管，我國《數據安全法》明確了數據交易中介服務對數據來源、交易雙方的監(jiān)管義務，但如何實現有效監(jiān)管，則是學術界和實務部門所面臨的難題。實踐中，數據交易平臺通過制定平臺交易規(guī)則等行業(yè)規(guī)范的方式實行具體監(jiān)管，監(jiān)管的深度和廣度遠遠不夠。由于匿名化不徹底仍具有可識別性和關聯(lián)性的數據，其交易相較于數據交易平臺上的數據交易更為隱蔽也更難監(jiān)管，這就給一些掌握個人信息的數據占有者以可乘之機，使他們能夠通過此種方式出賣個人信息，侵害自然人的人格權益。另外，現實中還存在著少數由交易雙方進行直接交易的數據交易，這種情況徹底脫離了行業(yè)監(jiān)管，使得非法買賣個人信息情況更是無法監(jiān)控。

（3）數據安全技術支撐和數據安全管理不足造成個人信息泄露。數據交易平臺的安全運行，不僅依賴于數據交易平臺的數據安全技術支撐和數據安全管理，也依賴于數據交易中供應方和需求方的數據安全技術支撐和數據安全管理制度。數據交易中數據交易平臺、供應方和需求方均需要具備存儲和傳輸數據的硬件和軟件條件，以避免黑客攻擊造成個人信息泄露。在數據的存儲和傳輸的過程中，數據交易平臺、供應方和需求方的數據安全技術支撐不足，無法充分防護黑客攻擊、數據挖掘、網絡爬蟲等非法行為，因而造成個人信息泄露。此外，如數據交易平臺、供應方和需求方數據安全管理能力不足、制度不健全、實施不充分，數據交易平臺、供應方和需求方的任一主體，交易前、交易中、交易后的人員環(huán)節(jié)，均有可能造成個人信息泄露。

二、數據交易中的自由倫理

關于倫理學上的自由的定義，斯賓諾莎在其《倫理學》一書中指出：“凡是僅僅由自身本性的必然性而存在、其行為僅僅由它自身決定的東西叫做自由（Libera）。反之，凡一物的存在及其行為均按一定的方式為他物所決定，便叫做必然（Necessaria）或受制（Coata）?！雹賉荷蘭] 斯賓諾莎：《倫理學》，賀麟譯，商務印書館2017 年版，第4 頁。轉引自張睿謙：《實踐、必然與歷史：理解馬克思自由觀的三個基本要素》，《湖南第一師范學院學報》2023 年第1 期。從倫理學視角討論的自由，更多的是行為自由，從這種意義上來說，自由對于行為主體而言，是自我決定。其更豐富的意涵如作者書中所指出的“自由倫理學所言的自由，是擁有正常利益需求的作為個體之人的自由，是指當事人能夠出于自身的需求、信念和原則行事，即便是為此需要克服阻礙（例如，抗拒多數人的決斷）或者承擔風險”。②甘紹平：《自由倫理學》，貴州大學出版社2020 年版，第5 頁，轉引自成海鷹：《人工智能時代論自由——基于〈自由倫理學〉的思考》，《太原理工大學學報（社會科學版）》2022 年第2 期。

（一）數據交易中的自由倫理的內涵

數據交易是數據商業(yè)化應用的重要形式。數據交易中的自由倫理的內涵指在數據交易中，各主體能夠自由利用數據。具體體現為：一方面，數據交易供應方和數據交易需求方能夠依照意思自治在一個足夠自由的數據市場上進行數據交易，自由的數據交易市場的構建需要良好的政策引導和成熟的交易規(guī)則；另一方面，數據主體能夠自由利用自己的數據，即數據主體能夠享有個人信息自決權。“個人信息自決權”最早由德國法院的判例確認，是指當事人擁有的對其自身相涉的數據自行決定披露與使用的終極掌控的權利。信息主體可以自由地決定其信息何時、何地、以何種方式被收集、儲存和利用，包括利用的主體是誰，可以再轉給何人，為了何種目的等內容。③參見鄒珊、傅思宇、羅玨等：《GDPR 數據主體同意制度剖析及應對策略——以谷歌案為例》，《成都理工大學學報（社會科學版）》2020 年第1 期。

數據主體個人信息自決權的實現，不僅包含數據主體在數據被收集時的“知情—同意”自由，而且包含數據主體對數據后續(xù)利用的“知情—同意”自由。在數據被收集時，數據主體應當做到知情、明確、特定、自由的同意。第一，收集者應當向數據主體明示所收集的數據的范圍和用途，保障數據主體在知情的前提下作出是否同意的意思表示；第二，數據主體同意數據利用，應當是以積極行為作出同意的意思表示，而非沉默等不作為方式；第三，數據主體的同意僅在依據特定目的被授予時才有效，即收集者收集的數據必須具有用于特定數據處理的目的，這也被稱為目的限制；第四，數據主體在表示同意時，能否作出真實的意思表示而享有真正的選擇自由，可否自由拒絕和撤回其同意而免遭不利后果，是鑒別其同意是否“自由作出”的標準。④同注③。

（二）數據交易中有違自由倫理的具體表現

數據交易中有違自由倫理主要表現為：數據商業(yè)化應用中，收集、處理數據的企業(yè)及其他組織居于主導地位，數據主體無法自由使用數據，甚至在數據的收集、處理和利用過程中的知情權和同意權都非常有限，個人自由無法實現。

其一，在數據收集的過程中，數據主體的自由意志表達有限，其自由倫理無法體現。以目前使用APP 的通常情況為例，用戶下載APP 之后會彈窗顯示是否同意APP 的《用戶協(xié)議》和《隱私政策》。若選擇“否”則用戶無法正常使用APP，由此用戶只能選擇“是”以達成自己正常使用APP 的目的，而能夠正常使用的前提條件是允許APP 對自身瀏覽數據、身份信息等數據的收集。此外，盡管大多數APP 都會提示用戶閱讀《隱私政策》和《用戶協(xié)議》后再決定是否使用APP，但從時間成本以及專業(yè)性欠缺角度考慮，絕大多數用戶使用APP 并不會點開或者即使點開之后也不會詳細閱讀這些文件，用戶對自己被采集的信息范圍認知有限，再者即便用戶不贊同信息被采集，出于使用APP 的需要，也需要“同意”《隱私政策》及《用戶協(xié)議》。以“谷歌案”為例，為了能夠訪問其Google 賬戶，用戶必須同意Google 提供的格式條款，包括同意Google 收集和處理其個人數據，然后才能更改個性化廣告自定義選項的設置。該操作實為變相強制用戶同意Google 的隱私政策，違反了同意“自由作出”的要求。Google 對個人信息保存期限使用的諸如“保留信息直至刪除”“超過期限的信息”“您刪除Google 賬戶之前的信息”“由于特定原因，信息會長時間保存”等規(guī)定十分模糊，沒有明確的保存時間或確定該期限的標準。①參見鄒珊、傅思宇、羅玨等：《GDPR 數據主體同意制度剖析及應對策略——以谷歌案為例》，《成都理工大學學報（社會科學版）》2020 年第1 期。這種強制授權的情況致使被迫同意APP 對自身瀏覽數據、身份信息等數據的收集，數據主體對信息自決的自由意志根本無法實現。

其二，在數據商業(yè)利用的過程中，數據主體的個人自由也無法實現。一方面，數據收集者可以自行利用收集的個人數據，例如購物平臺APP 使用“畫像”技術通過分析用戶的瀏覽記錄等，對用戶的性別、年齡、職業(yè)、消費需求等進行分析，以能夠向用戶精準推送用戶可能需要的商品。另一方面，數據收集者收集數據主體的個人數據后，將數據進行加工、處理，數據主體在此過程中并不了解自身的數據會被進行何種加工和處理。對原始數據進行加工、處理完畢后形成的衍生數據也稱為數據產品，數據處理者可以通過數據交易將數據產品投入數據交易市場，用以換取更大的經濟利益。而在數據交易的過程中，交易的磋商和接洽完全是數據交易供應方和數據交易需求方達成，并沒有數據主體的介入。也就是說，數據主體并不了解自身數據被采集、處理、利用后的最終流向。是廣告?zhèn)€性化服務的操作信息被分散到幾個文檔中，使得用戶無法知道這一操作涉及哪些服務、網站和應用程序，也不知道其中嵌入和組合的數據量且未向用戶提供其用于個性化廣告的個人數據來源的明確信息。數據主體在數據的利用過程中，尤其是原始數據加工后形成的數據產品，如何加工、如何處理、如何交易、如何使用，數據主體的知情權和同意權都非常有限，其對數據享有的自由倫理更是無法實現。

三、數據交易中的利益?zhèn)惱?/h2>

利益是指在一定的社會形式中由人的活動實現的滿足主體需要的客觀存在，它是倫理學的客觀基礎。從倫理學的視角看利益，其核心問題就是正確調節(jié)個人利益與社會整體（共同體）利益的關系。②參見李建華：《倫理學是利益均衡之學》，《上海師范大學學報（哲學社會科學版）》2022 年第2 期。

（一）數據交易中的利益?zhèn)惱淼膬群簲祿?/h3>

數據交易是一種經濟活動，因此在數據交易中需要關注各方利益關系。利益?zhèn)惱硎菙祿灰讉惱淼囊粋€重要維度。盡管數據交易活動有著諸如發(fā)揮數據經濟價值、促進經濟繁榮、便利人民生活等社會性目標，這些目標的存在使得數據交易的主體有著一定的共同利益。但是，考慮到數據交易具有復雜性，各方利益主體因其在數據交易中分工和地位的不同，利益并不完全一致。因此有效協(xié)調交易活動中的各方利益、各種利益關系也是數據倫理所要解決的基本問題之一。數據利益?zhèn)惱淼暮诵氖钦_調節(jié)數據交易中各主體利益與社會整體利益的關系，要求實現數據交易中各主體利益與社會整體利益的均衡。均衡是一種調節(jié)方式，其調節(jié)的特殊性在于，由“有利方”或“多利方”向“不利方”或“少利方”平衡，從而避免“窮者更窮”“弱者更弱”。①參見李建華：《倫理學是利益均衡之學》，《上海師范大學學報（哲學社會科學版）》2022 年第2 期。

數據交易提供的數據要素關系到數字經濟的發(fā)展，關系到社會整體利益。一方面，數據作為新的生產要素，是社會財富的新的源泉，數據的價值在流動中實現。數據交易作為數據流動的重要方式，在數據交易的過程中，數據價值得到實現，社會財富得以增長，社會經濟得以繁榮和發(fā)展，這些會帶來全社會的數據紅利，增加全社會的整體利益。另一方面，數據利用便利人民的生活，在改善民生、增強人民福祉方面發(fā)揮了重要作用。如實踐中“畫像”技術的發(fā)展和成熟使得各種購物軟件、網站推薦等實現精準推送，節(jié)約用戶瀏覽的時間成本；智慧出行產品為用戶選擇出行路徑提供了準確的指引，為社會大眾的交通出行提供了極大的便利。

數據交易中供應方、需求方、交易平臺各主體也有其各自利益。數據交易的供應方收集、加工數據形成數據產品，收集、加工等數據活動使得數據上附著更多的價值，供應方在數據交易中將這些附著價值轉換為經濟利益，實現自身財富的增長，利益目標得以實現。數據交易的需求方則通過數據交易對獲取需要的數據產品進行利用，利用方式包括以數據產品為生產資料進行再加工，也包括將數據產品用于管理以強化管理能力，還包括將數據產品用于生活消費滿足生活需求。無論何種利用方式，均可以使得數據產品發(fā)揮更多的價值，實現數據需求方的價值目標。數據交易平臺，通過為數據交易雙方提供服務而獲得了相應的經濟收入，其利益目標也能得以實現。

（二）數據交易中有違利益?zhèn)惱淼木唧w表現

數據交易是數據商業(yè)價值的實現。在數據交易中，因數據交易所產生的收益歸數據供應方所有，而數據主體作為原始數據的生產者并不能在數據交易中獲得經濟利益，這就造成了數據交易中數據主體、數據供應方和數據需求方三方利益不平衡的問題。歸根結底，這一問題的產生是因為數據權屬不明確。數據權屬問題關乎數據市場化配置及報酬定價，直接決定了數據的流動、分享，影響數據背后的利益分配、數據安全和數據產業(yè)發(fā)展。②參見彭輝：《數據權屬的邏輯結構與賦權邊界——基于“公地悲劇”和“反公地悲劇”的視角》，《比較法研究》2022 年第1 期。

在數據權屬的法律規(guī)定上，我國當前的數據立法并未厘清數據保護和利用過程中的權屬界定這一關鍵問題。《中華人民共和國民法典》規(guī)定了對數據的保護，但并未明確數據權屬歸屬③《中華人民共和國民法典》第127 條規(guī)定，法律對數據、網絡虛擬財產的保護有規(guī)定的，依照其規(guī)定。；《網絡安全法》側重網絡空間中數據使用安全的規(guī)范;《數據安全法》雖然提出建立健全數據交易管理制度以規(guī)范數據交易行為，但更多的是強調數據安全指引，并未涉及數據權益劃分。①參見李巖：《“虛擬財產權”的證立與體系安排——兼評〈民法總則〉第127 條》，《法學》2017 年第9 期。

在數據權屬確定上，學術界存在著諸多觀點。有學者認為用戶個體數據的權利配置應歸于其本人，強調只有獲得用戶的“知情同意”，平臺公司才有權開展數據收集、加工與整理，從而形成對用戶數據的“絕對保護”模式。②參見石丹：《大數據時代數據權屬及其保護路徑研究》，《西安交通大學學報（社會科學版）》2018 年第3 期。但此種過于絕對保護的模式并不能完全契合數據時代的需求，增加了數據收集、處理的成本，在一定程度上會遏制數據經濟發(fā)展的活力。另有學者認為數據保護與利用的框架體系的構建必須從以用戶為中心向以平臺為中心轉移，平臺對于所獲得的數據應享有完整的所有權。但這種模式則會對數據主體的個人信息保護，尤其是隱私權保護帶來較大的挑戰(zhàn)。持“共有說”觀點的學者則認為在數據產業(yè)的權利配置層面上，應兼顧各方對于數據產業(yè)價值的貢獻，不能簡單賦權用戶所有或平臺所有。但此種認知和理解仍未突破既有模式的困局，在實踐中很難實現個人信息保護和數據經濟價值發(fā)揮的平衡，要么過分強調個人信息保護，要么過分強調數據經濟價值的發(fā)揮。持“國家所有說”的學者認為強調國家對數據相關權益的保護義務及其落實，以適應當下“數據經濟”市場化變革的時代要求，解決資源的合理使用與公平分配問題，實現公共利益保障和數據經濟高效發(fā)展。但賦予國家所有則必然導致國家壟斷全部數據資源，競爭關系瓦解，市場消失，對技術創(chuàng)新和公共福祉的增加產生抑制性后果，這與要素市場開放所秉持的“推動數據資源的市場化流通”的宗旨相悖。③參見彭輝：《數據權屬的邏輯結構與賦權邊界——基于“公地悲劇”和“反公地悲劇”的視角》，《比較法研究》2022 年第1 期。

在數據交易中，數據交易的供應方獲取數據主體的原始數據，對原始數據進行加工、整理，并進行“清洗”，形成的數據產品具有商業(yè)屬性。作為數據主體的個人對原始數據中所包含的個人信息有保護的需要，而作為數據交易供應方則對數據產品有商業(yè)化利用的需要。數據交易中，個體之間的利益平衡，即數據主體和數據收集、處理者的利益平衡，是開展數據交易以及其他數據利用活動開展的不可避免的需要解決的核心問題。同時，如何平衡社會公共利益和個人利益之間的關系，協(xié)調實現社會公共利益與數據主體、數據供應方和數據需求方等個體的利益平衡，也是數據交易中需要直面解決的利益?zhèn)惱韱栴}。

四、數據交易中的數據倫理問題的法律規(guī)制建議

數據安全倫理、數據自由倫理和數據利益?zhèn)惱?，構成了數據倫理的三大維度。數據交易中數據倫理的失序有必要納入法治的軌道，通過科學立法予以規(guī)范，通過嚴格執(zhí)法予以約束，通過公正司法予以保障，通過全民守法予以實施。

（一）建立數據交易中的數據倫理審查機制

數據交易的運行模式主要是以數據交易平臺為核心建立的交易模式，數據交易平臺作為中介機構承擔著一定的監(jiān)管職責①《中華人民共和國數據法》第33 條規(guī)定：“從事數據交易中介服務的機構提供服務，應當要求數據提供方說明數據來源，審核交易雙方的身份，并留存審核、交易記錄。”；同時，作為數據處理者，數據交易平臺又承擔著數據安全責任。因而，由數據交易平臺建立數據交易中的數據倫理審查機制，對數據交易中的數據安全倫理、數據自由倫理進行全面監(jiān)管，既存在必要性又存在著可行性。

1.數據交易平臺應建立數據倫理審查機構。倫理審查機制主要是科研機構倫理審查機制，是基于社會公眾對各類非人道地對待人類受試者或實驗動物的科研行為的道德關注而設立的。②參見李建軍、王添：《科研機構倫理審查機制設置的歷史動因及現實運行中的問題》，《自然辯證法研究》2022 年第3 期。1974 年，美國建立了對生物醫(yī)學和行為研究中的人類受試者進行保護的國家委員會，以期明確涉及人類受試者研究活動開展的基本倫理原則，并對如何保護生物醫(yī)學及行為研究中的人體受試者提出切實可行的建議。該委員會1979 年發(fā)布的《貝爾蒙報告: 保護研究中人類受試者的倫理原則和方針》提出，要將尊重人、有益或有利性、公平作為進行人體實驗的基本價值原則和研究規(guī)范，并就這些倫理原則如何應用于知情同意、評估風險和利益、受試者選擇等做出明確規(guī)范③［美］馬修·薩爾加尼克：《計算社會學: 數據時代的社會研究》，趙紅梅、趙婷譯，中信出版社2019 年版，第304-305 頁。轉引自李建軍、王添：《科研機構倫理審查機制設置的歷史動因及現實運行中的問題》，《自然辯證法研究》2022 年第3 期。。

數據交易平臺作為數據交易的核心機構，應當積極承擔數據倫理責任，建立相應的數據倫理審查機構，通過機構明確職權、支撐倫理審查工作，構建完善數據倫理審查機制。數據倫理審查機構的人員構成，應由數據交易平臺人員、交易雙方人員以及相應的專家構成，全面承擔進行數據倫理審查的職責。

2.數據倫理審查機構主要審查數據交易是否符合安全倫理和自由倫理。安全倫理和自由倫理是數據交易中的個人信息保護問題。這一問題在數據交易中具有典型性。數據倫理審查機構充分應用知情同意原則，解決數據交易中的數據自由倫理問題和安全倫理問題。

數據倫理審查機構首先要審查交易的數據是否包含個人信息或來源于個人信息架構后的數據產品。如用于交易的數據中包含個人信息，應要求數據提供方清洗、脫敏后再用于交易。其次，審查用于交易的數據涉及的個人信息收集時，是否充分保障數據主體的知情權，是否告知數據主體所收集數據的目的、范圍、用途、方式和權利救濟等事項。同時，審查數據主體的“同意”是否是知情、明確、特定、自由的；數據主體作出“同意”的意思表示是否建立在對數據收集的目的、范圍、用途、方式等有明確認知的基礎上；“同意”是通過明示還是默示、沉默的方式作出；數據收集者收集的數據是否用于特定數據處理的目的。數據主體在表示同意時，是否能夠作出真實的意思表示而享有真正的選擇自由，是否允許數據主體自由拒絕和撤回其同意而免遭不利后果。④參見鄒珊、傅思宇、羅玨等：《GDPR 數據主體同意制度剖析及應對策略——以谷歌案為例》，《成都理工大學學報（社會科學版）》2020 年第1 期。

3.數據倫理審查機構審查方式應以形式審查為主、實質審查為輔，以常態(tài)審查為主、臨時抽檢為輔。數據倫理審查機構是數據交易平臺建立的內部機構，并非具有監(jiān)管職責的監(jiān)管機構，就其人員、能力都不足以承擔全面深入的數據倫理審查，因而數據倫理審查方式應以形式審查為主。在數據交易前進行審查，要求數據提供方出具書面材料，確認其提供的數據不會侵犯個人信息權益，如有來源于個人信息的數據產品，已經按知情同意原則充分告知數據主體并取得了數據主體的同意。這一形式審查應采用常態(tài)檢查的方式，針對每一筆交易的數據逐一進行。

同時，數據倫理審查機構還可以采用臨時抽檢的方式，對擬交易的數據進行實質審查，以作為常態(tài)審查的補充。實質審查時，可以秉持穿透原則，一方面穿透數據提供方直接到數據主體，另一方面穿透數據產品直接到原始數據狀態(tài)的個人信息，以核實數據提供方是否按照知情同意履行義務。當然，對于數據倫理審查機構能否實際做到實質審查，還取決于數據交易平臺的技術核查能力，需要相應的技術以保證實質審查的實現。

（二）通過明確數據權屬解決數據利益?zhèn)惱韱栴}

在數字經濟快速發(fā)展的時代背景下實現發(fā)展和保護的平衡，解決數據利益?zhèn)惱韱栴}顯得尤為重要。從法律層面對數據交易中的利益?zhèn)惱韱栴}加以明確是必然選擇也是題中應有之義。

在數據交易中，因數據交易所產生的收益歸數據供應方所有，而數據主體作為原始數據的生產者并不能在數據交易中獲得經濟利益，這就造成了數據交易中利益不平衡的問題。平衡數據交易中的各方利益關系，是推動數據交易穩(wěn)定向前發(fā)展的前提。解決數據交易中的利益?zhèn)惱韱栴}，關鍵在于明確數據權屬。當前立法上對數據權屬并未有明確規(guī)定，學界也對此眾說紛紜。

明確數據權屬，既要考慮到數據主體提供原始數據所應有的利益，也應考慮到在原始數據加工、處理成為數據產品的過程中數據處理者投入的勞動力、資金和技術等成本，注重數據處理者經濟利益的維護。由此看來，“共有說”觀點更能體現此種利益平衡理論，這部分學者認為在數據產業(yè)的權利配置層面上，應同時兼顧各方對于數據產業(yè)價值的貢獻，不能簡單賦權用戶所有或平臺所有。但也有人指出此種觀點的短處在于實踐中很難做到實現利益平衡，要么過分強調個人信息保護，要么過分強調數據經濟價值的發(fā)揮。①參見彭輝：《數據權屬的邏輯結構與賦權邊界——基于“公地悲劇”和“反公地悲劇”的視角》，《比較法研究》2022 年第1 期。因此，要通過立法，不斷完善相應的法律法規(guī)，對數據權屬予以明確，依據數據兼具人身屬性和財產屬性的特點，在立法上強調數據主體的人格利益保護，肯定數據主體和數據處理者依貢獻分別對原始數據和數據產品享有財產權益。

（三）推動公益訴訟以實現數據倫理的司法救濟

在司法中推動利用公益訴訟，實現個人信息收集時“知情—同意”原則的落實，對個人信息侵權行為進行有效打擊，保障數據主體的人格權益。2021 年4 月22 日，最高人民檢察院發(fā)布檢察機關個人信息保護公益訴訟典型案例，為個人信息保護提供了新的路徑。公益訴訟的主要目的是維護公共利益，《民事訴訟法》第58 條規(guī)定：“對污染環(huán)境、侵害眾多消費者合法權益等損害社會公共利益的行為，法律規(guī)定的機關和有關組織可以向人民法院提起訴訟?！边@一“列舉+開放”式規(guī)定為公益訴訟介入其他損害社會公共利益案件提供了可能的規(guī)范依據。個人信息具有公共屬性，表現為社會成員通過個人信息與他人建立廣泛聯(lián)系、個人信息是重要的生產要素和個人信息是社會管理的基礎與重要工具三個方面，因此，對個人信息的侵害不僅僅是對權利人權益的侵害，更是對社會公共利益的損害。

利用公益訴訟手段保護個人信息，符合司法實踐。無論利用公法保護還是私法保護，都具有一定的局限性。就前者而言，通常情況下，大規(guī)模侵害個人信息的損害后果并不嚴重，難以達到啟動公法保護程序的要求，公力救濟功能的發(fā)揮就很有限。即便侵害個人信息的行為造成比較惡劣的后果，構成行政處罰或刑事責任，也達不到從社會層面救濟受害人的效果，因為承擔行政或者刑事責任的罰金通常是上繳國家。①參見張新寶、賴成宇：《個人信息保護公益訴訟制度的理解與適用》，《國家檢察官學報》2021 年第5 期。就后者而言，面對網絡運營商，用戶個人的認知、技術等能力弱，處在不平等的地位，私益保護已經無法解決這一社會性問題。網絡信息侵權具有特殊性，一次侵權行為往往涉及上億條信息主體，單條個人信息所承載的價值較低，個人面臨訴訟程序啟動受限的問題。高技術手段使得侵權隱蔽、處理迅速、極易刪改，還導致舉證困難、侵權主體難確定等諸多問題。公益訴訟能夠平衡個人信息保護領域用戶個人的不平等地位，彌補私益救濟的不足。②參見薛天涵：《個人信息保護公益訴訟制度的法理展開》，《法律適用》2021 年第8 期。