(一)数据交易平台的发展

国务院早在2015年印发的《促进大数据发展行动纲要》就提出，要引导培育大数据交易市场，开展面向应用的数据交易市场试点，探索开展大数据衍生产品交易，鼓励产业链各环节市场主体进行数据交换和交易，促进数据资源流通。根据《数字规则蓝皮报告（2021年）》，2014年至2016年可谓是我国数据交易服务平台的爆发期，三年间全国各地先后成立了19家数据交易平台，但由于数据交易所的定位和模式未明，数据交易配套的法律缺位，数据交易处于小规模探索期，远没有想象中活跃。随后的三年（2017-2019年）市场则处于冷静期，由于我国数据流通与服务处于未完全合约化阶段，存在缺乏数据确权机制、缺乏交易规则及制度规范、缺乏数据的制度性供给、缺乏数据流通的多元化主体等四大障碍，这期间只出现了6家数据交易平台。直至2020年，随着我国正式将数据列为生产要素，提出推进数据要素市场化配置，各地才再次将目光转向数据汇集和流通的理想平台——数据交易所。

2021年9月1日生效的《数据安全法》第十九条明确提出，国家建立健全数据交易管理制度，确定数据交易行为的合法性，培育数据交易市场，以此作为该法第七条“鼓励数据依法合理有效利用，保障数据依法有序自由流动，促进以数据为关键要素的数字经济发展”的具体措施。

(二)数据交易平台所面临的挑战

数据交易所理应是数据交易领域的权威交易机构，为数据集中交易提供场所和设施，组织和监督数据交易，并激发要素市场活力。当前，各地为了抢占大数据先机也先后建立数据交易所，然而综观国内数据流通交易，场外点对点的数据交易依然十分频繁。如何更好地发挥数据交易所的运行效果，扩大场内交易规模，仍是数交所目前面临的一大挑战。

当前各地数据交易所的规则各不相同，国家层面直接规制数据交易行为的法律法规仍然缺位，仅仅停留在鼓励数据交易的宏观政策，配套的监管机制和市场规则也没有建立。由于数据交易具有跨地域性的特征，这将导致许多企业在通过数据交易所进行交易时，需要根据不同的平台遵守不同的规则，整个交易过程存在极大的不确定性，也增加了履约的风险和争议解决的困难程度。目前，数据交易所的角色正在逐渐从最初仅承担撮合交易的服务性功能的服务中介，到如今关注数据治理全周期，并为数据交易提供数据合规性、数据质量等第三方评估以及交易代理、数据经纪等专业服务，专业度和复杂度陡增，有必要明确数据交易所的核心职责，吸引市场主体通过数据交易所进行交易。

2021年11月，在上海希望全面赋能数字化转型的背景之下，上海数据交易所正式揭牌成立，定位为数字经济时代实现“汇天下数据而通之、聚天下数据而用之”的关键平台型基础设施。面对目前数据交易、流通、跨境等问题上的难题，上海数据交易所在全国范围内首发数商体系、数据交易配套制度、全数字化数据交易系统、数据产品登记凭证和数据产品说明书，在制度创新和理论研究方面做出了进一步探索。

上海数据交易所数据产品的挂牌交易流程确立了“不合格不挂牌，无场景不交易”的原则，采用会员制形式，在流程上大致分为挂牌数据准备、合规评估、质量评估、系统注册及材料提交和挂牌完成等五个阶段。

1、挂牌数据准备。挂牌单位（数据供给方）需准备挂牌数据，填写《挂牌数据产品详单》。

2、数据合规评估。由律师事务所就拟交易数据的合规性进行评估，向挂牌单位出具《数据产品挂牌交易的合规性评估意见》。

3、数据质量评估。在首批挂牌中，采用的是自行委托第三方评估机构进行质量评估，根据相关要求与模板出具报告。

4、系统注册并提交材料。随后，需由挂牌单位在上海数据交易所系统进行注册并提交全套材料，主要包括盖章的营业执照复印件、法定代表人身份证复印件、企业LOGO矢量图、数据产品交易服务协议、律师事务所出具的合规性评估意见，以及质量评估自评文件等。

5、审核与挂牌。经上海数交所审核通过后，即可在平台上挂牌数据产品，如存在问题的，须提交补充材料。

挂牌后，数据使用方应在存在合理使用场景的前提下对数据提出需求，并通过上海数交所的撮合，与数据供给方与数据需求方协商一致，自主确定交易价格和交易方式，签订交易合同。

数据交易合规评估大致包括以下几个步骤：（1）出具数据挂牌交易的合规评估调查清单；（2）进场访谈、调研与资料收集；（3）相关合规事项进行沟通、会议；（4）出具挂牌交易的合规性评估意见。

根据上海数据交易所的要求，律师事务所出具合规评估意见为数据产品挂牌交易前的规定动作。现根据本所律师为首批挂牌数据交易产品提供的法律服务的经验，整理出以下合规评估要点，并进行分析：

（一）关于数据提供方的背景情况

数据提供方的基本情况，包括但不限于：（1）主体信息，如注册登记情况、主要业务类型，尤其是涉及数据领域的业务概况；（2）基本信用情况；（3）涉诉和行政处罚情况，包括是否在过去三年有数据相关行政处罚和诉讼以及其它重大涉诉和行政处罚案件；（4）交易数据产品的动因、用途或目的及其可能利益相关方。此部分的目的在于确保数据交易主体具备法律所规定的从事民事活动的主体资格及行为能力，具备在上海交易所进行数据交易行为的主体资格。

此外，为了确保数据安全，数据提供方也应具备《网络安全法》、《数据安全法》等法律法规和相关标准所提出的网络数据安全保护能力。例如，《网络安全法》要求数据处理者制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任等。《数据安全法》则要求数据处理者建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。在此基础上，根据《关键信息基础设施确定指南（试行）》、《网络安全审查办法》的规定，若数据交易主体被认定为关键信息基础设施运营者，在履行一般安全保护义务的基础上，还需履行其他特殊义务，如按规定进行网络安全审查等。

（二）关于数据来源合法性审查

合法、正当的数据来源是数据产品得以交易的基本前提。《数据安全法》指出，“任何组织、个人收集数据，应当采取合法、正当的方式，不得窃取或者以其他非法方式获取数据。” 《上海市数据条例》进一步明确“自然人、法人和非法人组织可以通过合法、正当的方式收集数据。收集已公开的数据，不得违反法律、行政法规的规定或者侵犯他人的合法权益。法律、行政法规对数据收集的目的和范围有规定的，应当在法律、行政法规规定的目的和范围内收集。”

从数据交易所角度，《数据安全法》第三十三条规定：“从事数据交易中介服务的机构提供服务，应当要求数据提供方说明数据来源，审核交易双方的身份，并留存审核、交易记录”。显然对数据来源的合法性进行审查，是数据交易所的一项法定义务。

在数据交易实践中，需要考察根据数据产品所涉及数据的来源问题，诸如自行生产、公开数据收集、公共数据、授权运营、数据共享开放、数据交易等，并就不同的数据来源设计相应的合规评价标准。在上海数据交易所的合规评估实践中，着重考察以下数据来源的合法性：

1、 自行生产的数据

自行生产的数据，主要指自身行为产生和记录的数据，包括自行生产数据的类型、形态等。对此类数据，应重点考察以下事项：

(1) 数据形成所依托的平台情况；

(2) 数据研发团队与人员、设备、资源投入情况与证明材料；

(3) 数据或平台系统运行和记录形成情况；

(4) 所形成的具有独创性的算法以及相关的自主知识产权证明材料等。

2、公开收集的数据

（1）通过爬取等方式获取公开数据，对此数据提供方应当说明其合法正当，尤其是数据爬取等途径，则应确保遵循数据采集合法基础的其他来源，不涉嫌不正当竞争、侵犯商业秘密等情形。

（2） 通过数据共享开放途径获取，系指政府部门等第三方给与使用、控制等相关权益的数据；在评估时需要审查是否存在从政府部门等第三方取得的相关权益的数据情形。共享开发中的一种重要数据类型是公共数据。对于公共数据，尽管各地公共数据管理办法均明确 “以共享为原则，不共享为例外”，且鼓励市场主体和个人利用依法开放的公共数据开展科学研究、产品研发、咨询服务、数据加工、数据分析等创新创业活动，但依然需要考虑所收集的数据是否属于可以共享的、“依法开放的公共数据”。在《上海市数据条例》中就明确将公共数据分为无条件开放、有条件开放和非开放三类，对于所收集的公共数据，也需要根据具体情况分类判断。

3、授权运营的数据

授权运营，指基于第三方授权协议获取经营、收益等相关权益的数据。在合规评估时，需要审查是否存在授权第三方收集、获取经营、收益等相关权益的数据情形，并对授权范围等事项进行重点审查，佐以相关合同、授权文件等证明材料进行综合判断。需要指出的是，《上海市数据条例》第三章对公共数据授权运营进行规范，并明确公共数据可以通过授权的方式由第三方进行运营，且第三方亦可在授权的范围内进行开发并形成可交易的数据产品和服务。因此，以公共数据授权运营作为数据合法性来源的，相关授权运营的文件将是重点审查对象，且授权范围将对后续形成的数据产品中数据来源的合法性造成极大的影响。

 4、通过交易获得的数据

数据交易，指通过合法的交易方式获取的数据，对此需要审查购买协议或许可使用协议等相关文本域交易记录。尤其需要确保前手的所有购买协议或许可使用协议纳入合规评估范围之内，确保每一手交易的数据处理和加工都在合法范围内，不会对后续数据产品流通形成障碍或导致数据需求方为此承担法律责任。由于我国目前将公共数据与政务数据进行区分，对于各部委下属事业单位或科研机构所掌握的公共数据（非政务数据），各地方立法亦无法将其全部纳入规制范围，因此，对于公共数据的共享、开发与交易不宜“一刀切”，从财政经费有限性，满足市场的个性化与差异化需求维度， 公共数据应建立分层次共享、开放、授权与交易体系。

5、关于个人数据

在上海数据交易所的合规评估方案设计过程中，将“合法的直接采集，涉个人信息的数据已经获得个人同意”作为数据来源合法性的评估内容，但实际上未开放涉及个人数据的交易产品。由于个人信息具有人格属性，是否可以作为买卖交易的的对象，存在一定争议，因此，各交易所对涉及人格属性的个人数据持审慎态度，在理论上，对匿名化处理后，不具有人格属性的个人数据，可以被纳入数据交易的范畴。因此，如拟将与个人信息有关的数据作为挂牌标的，在合规层面需审查数据提供者是否满足《个人信息保护法》等法律、行政法规规定的个人信息保护义务，并要求数据提供者提供个人信息保护的合规审计报告。此外，数据提供者如存在被认定为关键信息基础设施运营者的，或数据提供者从属于医疗、金融等具有其他特殊监管要求的行业的，还可能存在其他相应的合规评估事项。

在评估数据合法性时，重点问题是数据“溯源”问题。在实务中，业界有建议对于拟参与数据交易的企业，一方面通过内部建立数据来源区分和审查制度，从数据来源这一最初环节做好数据隔离与风险排除；另一方面通过对数据授权相关协议进行全面的审查，确保相应的数据获取协议不会对后续数据产品的形成和流通形成障碍。

(三) 关于数据可交易性分析

对于数据可交易性，在合规评估意见中一般会就数据所含内容的说明进行审查，这部分内容主要源于数据提供方的介绍，但须结合相关材料、文件、系统进行表面审查。

1、关于禁止或不宜交易数据

由于我国法律未明确规定可以交易的数据范围，因而只能从负面清单中保证数据的可交易性，即数据产品中不能包含禁止或不宜交易的数据。在上海数据交易所的合规评估方案设计过程中，确提出将“数据产品中不包含禁止或不宜交易数据的说明，包括（1）身份信息或直接标识符；（2）私密信息；（3）敏感信息（含重要数据），或者对上述数据进行的处理情况”，纳入审查范围。从此角度看，对可能危害国家安全、公共利益的数据，包括未经政府主管部门同意交易的重要数据以及任何核心数据亦应包括在内。此外，数据提供者也可以通过相关行业实践、司法判例或公序良俗等补充材料，说明数据的可交易性。

2、关于数据产品的创造性劳动和实质性加工

在上海数据交易所的合规评估中，比较有亮点的是要求就创造性劳动和实质性加工进行审查，并予以说明。即：(1) 要求提供关于知识情况（创造性劳动）的说明——数据处理过程说明，包括如采用何种算法、知识进行加工。在审查过程中，须重点关注关于数据知识情况（创造性劳动）的说明，包括数据处理过程说明等相关资料。（2）要求提供关于注入劳动情况（实质性加工）的说明，包括数据处理有关佐证，如服务器日志相关材料。

上海数据交易所的合规评估对“实质性加工和创新性劳动”提出具体要求，其法律依据直接来源于《上海市数据条例》第49条的规定，即 “本市制定政策，培育数据要素市场主体，鼓励研发数据技术、推进数据应用，深度挖掘数据价值，通过实质性加工和创新性劳动形成数据产品和服务。” 可见，在上海数据交易所对挂牌交易的数据产品和服务，有其特定的价值与政策趋向。在学理上，“实质性加工和创新性劳动”其实就是“流汗原则”在数据立法政策上的体现。“流汗原则”本身是在知识产权领域产生的一项司法原则，但在反不正当竞争司法领域的数据权益保护中已然获得认可，这次是在地方立法上的重大突破。

“实质性加工和创新性劳动”，所倡导是创新精神与辛勤付出，抵制的是违背商业道德的复制与抄袭他人数据。这意味着，具备可交易性的数据产品或服务必须经过对数据的“深度加工”，而不能简单地买买原始数据。这要求数据提供者对原始数据注入劳动或投入知识，以形成能够发挥数据价值的数据产品或服务，例如：数据模型、数据分析报告、数据可视化、数据指数、数据引擎等。数据提供者在合规层面有必要对数据处理流程进行详细说明，包括但不限于采用的算法、知识、处理方法和装置（是否已申请/获得专利），并且提供相应的数据处理佐证，如服务器日志，以表明拟交易的数据产品或服务有别于原始数据。

(四)关于数据产品的流通风险基本判断

1、 关于数据使用场景的合法性

在数据交易流程中，上海数交所明确提出“无场景不交易”的原则，充分说明应用场景在数据交易中的重要性。每个拟挂牌的数据产品在设计时都应预设应用场景，以发挥数据的价值，避免无序和违法利用。因此，数据使用场景是否合法合规也属于数据挂牌交易合规评估要点之一，例如应用场景是否涉及对个人信息或商业秘密逆向识别等情形。在合规评估时，会要求数据提供方提交拟交易数据的应用场景说明，经办律师对是否存在相关法律合规风险进行审查。

2、 关于数据使用条件和约束机制是否明确

对此，主要通过对数据提供方关于数据管理的合规性制度文件、数据使用条件的控制文件、措施等材料的审查，以判断数据产品的使用目的、使用主体、使用者资质、时间限制、转让规则等数据使用条件控制和约束是否充分且合理。

3、关于安全风险预防、管理和处置措施

数据提供者应存在相应的安全风险预防、管理和处置措施。具体而言，数据提供者的数据技术措施和管理制度是否符合等级保护要求、是否制定相应的管理制度文件、是否对数据产品依托的网络服务平台进行测试和审计等。此外，若数据提供者被认定为关键信息基础设施运营者，还应将根据《网络安全法》的规定将拟挂牌的数据产品存储在中华人民共和国境内。若涉及个人信息，则存储期限应满足“时间最小化”的要求，即数据的保存时间应与使用目的保持一致。

4、关于数据跨境流通的风险

上海数交所的首批挂牌数据产品基本都是针对境内主体，《要素市场化配置综合改革试点总体方案的通知》也明确指出，要探索“原始数据不出域、数据可用不可见”的交易范式，但这依然不排除未来数据产品出现针对境外数据需求方、数据跨境流动或被境外主体访问等情形。不过，我国目前法律法规对于数据跨境流通仅有一些框架性和原则性的规定。

《网络安全法》规定，“关键信息基础设施的运营者因业务需要，确需向境外提供数据的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。”《数据安全法》规定，“其他数据处理者在境内运营中收集和产生的重要数据出境，应按照相关安全管理办法执行。”《个人信息保护法》规定，个人信息跨境需要满足“国家网信部门组织的安全评估”、“进行个人信息保护认证”、“按照国家网信部门制定的标准合同与境外接收方订立合同”、“个人信息主体单独同意”等条件。正在征求意见的《网络数据安全管理条例》和《数据出境安全评估办法》也基于数据安全管理，从各自的角度对数据跨境流动提出了监管要求。

5、关于所涉及行业的特别管控规定

我国存在提供数据处理服务的行政许可准入制度。《数据安全法》第34条规定，法律、行政法规规定提供数据处理相关服务应当取得行政许可的，服务提供者应当依法取得许可。若数据产品所涉及的行业存在特别管控规定，也应对此进行合规审查。

6、关于重要数据

对数据产品是否涉及重要数据的审查是个比较敏感的问题。《数据安全法》第21条第1款规定：“国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护”。但目前的法律法规规定中均尚未对“重要数据”作出明确的定义，仅在部分标准的征求意见稿中对“重要数据”进行了定义，具体如《信息安全技术 重要数据识别指南》（征求意见稿）中将“重要数据”定义为“以电子方式存在，一旦遭到篡改、破坏、泄露或非法获取、非法利用，可能危害国家安全、公共利益的数据。” 《网络安全标准实践指南——数据分类分级指引》中将“重要数据”定义为“一旦遭到篡改、破坏、泄露或非法获取、非法利用，可能危害国家安全、公共利益的数据。”

关于被纳入重要数据范畴的数据是否会对挂牌产品交易产生影响？由于目前法律法规规定等文件并未禁止重要数据的共享、交易，但对重要数据的安全管理提出了特别要求，如《数据安全法》第二十七条第二款、第三十条第一款规定了“重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任；应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告”等；并对重要数据的共享、交易设定了一定的限制条件，如《网络数据安全管理条例（征求意见稿）》第三十三条规定“数据处理者共享、交易、委托处理重要数据的，应当征得设区的市级及以上主管部门同意，主管部门不明确的，应当征得设区的市级及以上网信部门同意”。因此，对于涉及重要数据的挂牌产品，数据提供方须依法制定严格的合规体系并予落实，然后方可提交律师事务所合规评估。