2023数据交易安全港白皮书

版权声明 本报告版权属上海数据交易所有限公司所有，并受法律保护。转载、编撰或其他方式使用本报告文字或观点，应注明来源《数据交易安全港白皮书》。违反上述声明者，将追究其相关法律责任。 编写组（排名不分先后） 吴蔽余、戴昕、朱恬逸、吴峻 编写单位（排名不分先后） 北京⼤学法学院上海数据交易所 ⽬录 Contents 报告要点 ...................................................................................... . 国外数据交易实践简介 ..................................................................... . 我国数据交易实践简介 .....................................................................  ⼆、数据交易现状解析：竞争挑战与法律⻛险....................................... . 数据交易主体⾯临的竞争性⻛险 ......................................................... . 数据交易主体⾯临的法律⻛险 ..........................................................  三、数据交易所的未来定位：独特服务优势探索.................................. . 点对点交易：场外交易的核⼼优势分析 .............................................. . 场内交易的优越之处：与场外交易的对⽐分析 .....................................  四、上海数据交易所“安全港规则”的理论构建.................................. . 合规技术层⾯的安全港规则 ............................................................. . 作为数据交易制度⽀撑的安全港规则 ................................................. .. 安全港规则的功能优势 ................................................................ .. 安全港规则设计的难点 ................................................................ .. 安全港规则设计的原则 ................................................................  . 落地路径：创新容错机制与安全港规则 .............................................. . 安全港规则激活数据交易的制度价值 ................................................. . 数据交易所的蓝图规划：安全港规则的愿景 ........................................  六、安全港适⽤前景：案例分析与规则应⽤........................................ . 某公司及其业务简介...................................................................... . 某公司在数据交易中的问题与安全港规则的适⽤ ................................. 七、结论.....................................................................................参考⽂献..................................................................................... 报告要点 “安全港规则”（译自英文“safe harbor rules”，也常被译作“避风港规则”）。目前在我国，包括《个人信息保护法》《数据安全法》《网络安全法》等在内的数据领域基础性法律，已建构出一个强调风险预防、损害问责的原则性制度框架。但由于法律中的许多规定较为笼统，市场主体对更高法律确定性和责任可预期性的需求尚待满足。 安全港规则旨在为数据交易市场主体提供一个清晰、明确的合规路径，在提升数据交易活动自身安全性的同时，也为交易提供相应的法律保障，从而促进交易规模的扩大、体量的释放和活跃度的提升。具体而言，安全港规则将以数据交易所场内交易的安全保障和技术服务条件为基础，设置更为明确的市场主体合规路径，为后者提供可操作的合规要求和合规方案，从而既降低交易自身带来的数据风险，又为交易主体带来更为确定的合规预期。根据目前的设想，数据交易安全港规则包含“2+2”框架。首先，“合规技术”与“法律规则”相结合，不仅将使用区块链存证、AI智能检测、隐私计算等合规技术手段确保数据交易安全可信，也将引入合规、透明、可操作的法律规则，明确安全港的适用条件、免责后果。其次，“主动投入”与“预期免责”相结合，安全港要求企业满足特定的资质、合规条件，并进行可信披露，主动投入相关成本进行“驶入”安全港的动作，从而获得免责预期：在监管部门的授权下、在数据交易场所建构的可信空间内开展交易，可以避免因为事先未曾预料的风险而事后被追责。 安全港规则并不意味着放任市场自由。对于“驶入”安全港的数据交易活动，权威机关仍然有责任和权力对其进行监管。权威机关还可以通过定期审核、随机抽查等方式，确保市场主体真正遵循安全港规则，从而确保数据交易的合规性、透明性和公正性。安全港规则在交易所以集中、透明的方式施行，会更有助于规则倡导的合规交易模式产生溢出效应。相对规范、安全的场内数据交易模式，基于披露机制，可对场外交易产生引导作用，成为更大范围内市场主体在进行数据交易活动时协调行为的聚焦点。即使市场主体因种种原因，不选择或无法选择进行场内交易，也可参照场内交易所适用的安全港规则的要求规划自身行为。这种参照不仅对自行探索合规的企业有价值，对整体层面的风险控制也有价值。 上海数据交易所针对案例中展示的市场需求和痛点，建构了包含下列具体措施的数据交易安全港：其一，智能接入，基于企业主动申请和特定场景（特别是创新容错场景）主动接入，对流通交易数据进行智能分类分级、按需接入安全港。其二，可信交易，在合规技术保障下，在监管部门授权、监管、验收等流程下按照特殊规则在港内交易。其三，风险响应，在安全港港内交易，如果存在侵权投诉、情势变更等风险警示情形，及时启动中止交易、信息披露等响应机制，并保障市场主体取得与前期合规投入、创新容错政策相适应的责任豁免。其四，反馈迭代，成立数据交易合规委员会，对安全港规则进行动态调整，并与行业主管部门、监管部门、司法部门进行定期沟通反馈，根据安全港运行情况和需求情况迭代完善相应规则。 《数据交易安全港白皮书》（“《白皮书》”）开创性地提出应运用“安全港规则”这一制度工具，提升交易主体参与数据交易活动的积极性，释放数据交易动能，并更为高效、平衡地推动数据要素配置过程中安全保障和价值创造两大政策目标的实现。在数据交易的场景中，安全港规则以一套“2+2”框架为主要内容，即“合规技术”与“法律规则”相结合，“主动投入”与“预期免责”相结合。将数据交易所等专业、可信、高效的中介交易场景探索打造成为安全港规则的核心制度适用场景，不但有助于提升数据交易活动的整体安全性，而且有助于市场主体有效管理其在参与创新性、具有高价值产出的数据交易活动时面临的法律风险，降低其不确定性，从而提升市场主体参与交易的积极性和整体交易活跃度。 《白皮书》将在检视当前国内和国际数据交易市场现状的基础上，分析数据交易市场进一步发展所面临的与竞争环境和法律环境有关的核心障碍与挑战。在各方积极寻求数据交易进一步破局的大背景下，应当看到，以上海数据交易所为代表的数据交易中介平台类机构，其提出和开展的多项数据交易安全合规探索，均体现出交易所场内交易在兼顾安全性和效率性方面所具有的独特优势。据此，结合对安全港规则一般制度原理的阐释，《白皮书》提出，安全港规则是将数据交易实践向前推进的一种可行思路，而数据交易所应被建设成为安全港规则的核心制度适用场景。对于具备相应技术和服务条件，有能力高效保障场内交易相对场外交易安全优势的数据交易所，有关部门应考虑在政策层面为其中的场内交易活动提供基于安全港规则的合规效力，从而促进更大规模的数据交易活动以更安全的方式开展，使得数据要素在流通中获得更高的整体配置效率。 ⼀、国内外数据交易实践简介 1.1国外数据交易实践简介 数据交易并非互联网时代的独有现象，它的根源追溯到远早于数字化浪潮的时代。实际上，数据的交换和利用在商业活动中一直占据着核心地位，无论是古代商人通过手稿记录和交换贸易信息，还是工业时代通过统计数据优化生产流程，1数据交易始终是推动知识发展和经济增长的重要力量。然而，互联网时代的到来加速了数据交易的速度与规模，使其成为日常商业活动中不可或缺的一部分。 随着科技的不断发展，数据交易的概念和实践也经历了深刻的变革。特别是在1970年代左右，随着电子技术的普及，海外特别是美国的数据交易开始步入电子化时代，这一变化使得数据交易的模式和效率都发生了质的飞跃。具体来看，美国的数据交易模式主要分为三种类型，各自有着不同的运作机制和参与主体。 第一种是C2B分销模式，这种模式下的数据平台直接与消费者打交道，用户主动向平台提供自己的个人数据。而作为交换，平台会提供商品、服务、现金回报，或者是优惠、折扣和积分等形式的利益，从而吸引用户分享自己的数据。 第二种是B2B集中销售模式，这里的数据平台起到连接数据提供方和数据购买方的桥梁作用。这一模式更接近于数据市场的概念，类似于中国对数据交易所的构想。在这个模式中，平台为双方提供撮合服务，确保交易的正规化和合规化。参与方必须通过平台的审核，他们可以自主定价，设定销售期限和使用条件，而平台则负责确保交易的顺畅和安全。 第三种数字经纪人模式是对前一模式的扩展。中介性数据平台在这里充当数据经纪的角色，它们从个人用户那里收集数据，并将这些数据转让给其他企业使用。这种模式的运作涉及复杂的数据流转和处理过程，要求平台在确保数据质量、保护个人隐私以及遵守相关法律法规等方面有着更高的标准和能力。 通过这三种模式，不难看出，数据平台在美国数据交易中扮演着极为重要的角色。他们不仅是数据交易的促成者，更是维护交易安全、保护交易主体数据相关利益、公民个体数据隐私权益乃至国家安全等一般社会利益的关键力量。随着数字经济的不断发展，这些模式的创新和完善将对全球的数据交易实践产生深远的影响。 在美国的数据交易实践中，虽然也有学者曾经主张建立全国的数据交易市场来进行个人数据的公开交易，2但是美国的数据交易实践的主流，仍然是数据经纪人（data broker）模式。这一模式的核心在于数据经纪公司的运作，这些公司精于从各种途径搜集和加工用户数据，并将其转化为商业智能或营销工具出售给企业。美国联邦贸易委员会对数据经纪人的定义凸显了这些机构在现代商业中的角色——它们是搭建企业与消费者之间桥梁的专家，但同时也引发了一系列隐私与监管的问题。3 在美国，政府