现行基准： 网络安全法（2017）+ 数据安全法（2021）+ 个人信息保护法（2021）

数据交易法律框架

最后更新：2026-04-06 | 由 LLM 基于知识库原始资料编译
关联概念：数据处理合法性基础 | 个人信息保护 | 数据分类分级 | 数据出境合规

核心法条

• 《数据安全法》第 7 条：国家保护个人、组织与数据有关的权益，鼓励数据依法合理有效利用，保障数据依法有序自由流动 [现行有效]
• 《数据安全法》第 19 条：国家建立健全数据交易管理制度，规范数据交易行为，培育数据交易市场 [现行有效]
• 《数据安全法》第 33 条：国家推进数据交易市场建设，支持数据交易相关服务产业发展 [现行有效]
• 《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》（"数据二十条"，2022 年 12 月 29 日）：数据产权"三权分置"、数据流通与交易制度、数据要素收益分配制度 [现行有效]
• 《个人信息保护法》第 21 条：委托处理个人信息的规则；第 23 条：向他人提供个人信息的规则 [现行有效]
• 《民法典》第 127 条：法律对数据、网络虚拟财产的保护有规定的，依照其规定 [现行有效]
• 《"数据要素×"三年行动计划（2024—2026 年）》（国数数据〔2023〕44 号）：数据要素市场化配置改革行动方案 [现行有效]

规则沿革

时间节点	变化内容	依据来源
2016-11-07	《网络安全法》首提"数据"法律概念	《网络安全法》第 76 条
2021-09-01	《数据安全法》确立数据交易管理制度框架	第 19、33 条
2022-12-29	"数据二十条"发布，系统构建数据基础制度	中发文件
2023-10-25	国家数据局成立，统筹数据基础制度建设和数据要素市场化配置	国务院机构改革方案
2023-12-31	"数据要素×"三年行动计划发布	国数数据〔2023〕44 号
2024-01-01	最高法发布数据权益司法保护指导性案例	指导性案例

一、数据交易的法律基础

1.1 数据交易的概念界定

数据交易是指数据提供方与数据需求方之间，以数据为标的的市场化流通行为。数据交易包括：

• 数据直接交易：数据资源的买卖、授权使用
• 数据服务交易：数据分析、数据挖掘、数据标注等服务
• 数据产品交易：基于数据形成的数据产品、数据应用、模型算法的转让

1.2 数据交易的法律关系

数据交易涉及多重法律关系，需要同时满足多部法律的要求：

法律维度	核心问题	法律约束
产权归属	数据的权属如何界定	"数据二十条"三权分置
个人信息保护	交易数据包含个人信息时的处理	《个保法》第 21、23 条
数据安全	交易数据涉及重要数据或核心数据	《数安法》第 19、21 条
合同法	数据交易合同的成立与效力	《民法典》合同编
反垄断反不正当竞争	数据垄断、数据壁垒问题	《反垄断法》《反不正当竞争法》

1.3 数据产权"三权分置"制度

"数据二十条"创新性地提出数据产权"三权分置"制度框架，为数据交易提供产权基础：

权利类型	内涵	权利人
数据资源持有权	对合法获取的数据资源的持有和管理权利	数据资源持有者
数据加工使用权	对数据进行加工、分析和使用的权利	数据处理器
数据产品经营权	对基于数据形成的数据产品进行经营的权利	数据产品经营者

制度意义：突破了传统"所有权"概念在数据领域的适用困境，采用"使用权"为核心，为数据流通交易提供了产权制度支撑。

二、数据交易的法律限制

2.1 数据交易的禁止性规定

《数据安全法》第 8 条及第 35 条：

• 任何组织、个人收集数据，应当采取合法、正当的方式，不得窃取或者以其他非法方式获取数据
• 法律、行政法规对收集数据的目的、方式有规定的，应当在限定的目的、方式范围内收集数据
• 禁止交易的数据：
• 非法获取的数据
• 涉及国家安全的核心数据
• 未经脱敏处理的个人敏感信息
• 未列入交易目录的重要数据
• 涉及国家秘密的数据

2.2 个人信息交易

个人信息不得作为"商品"直接买卖，但可以在符合以下条件下作为服务的一部分流通：

1. 合法性基础：取得个人同意或基于其他合法性基础（《个保法》第 13 条）
2. 告知要求：向个人告知接收方的名称（姓名）、联系方式、处理目的、处理方式和信息种类（《个保法》第 23 条）
3. 单独同意：须经个人单独同意
4. 最小化：仅限于实现目的所必需的个人信息范围
5. 安全保障：数据接收方应在上述告知范围内处理，双方须签订数据保护协议

2.3 重要数据交易

涉及重要数据的交易活动，还须遵守：

• 重要数据应当在依法设立的数据交易场所内进行交易
• 交易双方须履行数据分类分级义务
• 交易涉及数据出境的，须履行安全评估程序

三、数据交易场所与规则

3.1 数据交易所体系

中国已形成了以省级政府为主导的多层次数据交易所体系：

交易所	成立时间	特点
北京国际大数据交易所	2021	国家级定位，侧重公共数据开放
上海数据交易所	2021	国际化定位，侧重金融和商业数据
深圳数据交易所	2022	粤港澳大湾区定位，侧重跨境数据
广州数据交易所	2022	华南区域定位
浙江大数据交易中心	2023	浙江定位

3.2 数据交易的进场规则

《数据安全法》第 19 条要求"规范数据交易行为"，各地数据交易所普遍实行以下规则：

1. 登记备案：数据提供方须在交易所登记，提供数据种类、来源、更新频率等信息
2. 合规审查：交易所对上市数据进行合规性审查，确保数据来源合法
3. 分类分级：按照数据分类分级标准，标注数据的安全级别
4. 交易撮合：提供数据需求方和供应方的撮合服务
5. 结算交付：通过平台完成交易结算和数据交付
6. 争议解决：建立数据交易争议解决机制

3.3 数据交易的合同要素

典型的数据交易合同应包含以下核心条款：

1. 数据标的：数据的种类、范围、格式、更新频率
2. 来源合法性保证：数据提供方对数据来源合法性的声明和保证
3. 使用目的限制：数据接收方承诺在约定范围内使用数据
4. 数据安全义务：数据接收方的安全保障措施
5. 再流通限制：未经同意不得再向第三方提供
6. 个人信息保护责任（如涉及个人信息）：告知同意义务的分配
7. 违约责任：违反约定时的责任承担
8. 争议解决：适用法律和争议解决方式

四、数据交易的合规风险

4.1 主要法律风险

风险类型	表现形式	法律依据
数据来源非法	通过爬虫越权、非法采集等方式获取数据	《数安法》第 8 条
个人信息违规	未经同意处理个人信息	《个保法》第 13、23 条
重要数据违规	重要数据未经许可交易	《数安法》第 19、21 条
国家秘密泄露	涉及国家秘密的数据交易	《保守国家秘密法》
不正当竞争	以"实质性替代"方式获取竞争对手数据	《反不正当竞争法》第 12 条
跨境传输违规	数据交易涉及跨境传输未走安全评估	《数安法》第 31 条、《个保法》第 38-40 条

4.2 企业数据交易合规实务指南

1. 数据来源审查：确认数据的合法来源链条，保留采集/购买的凭证
2. 数据分类分级：识别数据中可能包含的个人信息、重要数据
3. 个人信息脱敏：对个人可识别信息进行脱敏或匿名化处理
4. 合规审查程序：建立数据交易的内部合规审查流程
5. 合同条款设计：在交易合同中嵌入数据保护条款
6. 持续监督：对数据接收方的使用情况进行跟踪
7. 风险评估：重要数据交易应当进行安全风险评估

五、数据交易与反垄断

5.1 数据垄断的法律挑战

大型平台通过数据集中形成的市场壁垒，成为反垄断执法的重要关注点：

• 数据集中与市场份额：通过并购获取更多用户数据，强化市场地位
• 数据壁垒与进入障碍：新进入者缺乏同等的用户数据，难以竞争
• 算法共谋：利用共享数据和算法进行隐性价格协调

5.2 反垄断法规制

《反垄断法》和《禁止滥用市场支配地位行为规定》对数据垄断的规制：

1. 平台经济领域反垄断指南（2021）：明确将数据作为评估市场支配地位的重要因素
2. 必需设施理论：在某些情况下，数据可能构成反垄断法上的"必需设施"
3. 数据可携带权的竞争价值：数据可携带权有助于降低数据锁定，促进竞争

六、数据交易的国际趋势

6.1 全球数据流通框架

• 欧盟数据治理法案（Data Governance Act）：建立欧洲数据共享框架
• 美国数据流通模式：以市场主导为原则，强调数据自由流通
• CBPR 体系（Cross-Border Privacy Rules）：APEC 框架下的跨境隐私规则

6.2 中国立场

中国坚持"数据主权+"的立场，即在保障国家数据安全的前提下推动数据有序流通。"数据二十条"和国家数据局的设立体现了这一方向。

知识库原始资料索引

法律法规

• 中华人民共和国数据安全法
• 《个人信息保护法》适用要点解读/_个人信息保护法_适用要点解读.md)
• 中华人民共和国民法典

政策文件

• 中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见（"数据二十条"）

学术研究

• 姚佳：数据利用的合法性来源与数据产品的权利归属
• 北京互联网法院课题组：数据权益知识产权司法保护的体系协调与规则创新
• 郭锋：金融法治现代化的中国道路

司法实践

• 最高人民法院首次发布数据权益司法保护专题指导性案例
• 最高法研究室负责人就数据权益指导性案例答记者问
• 方凯：如何判定政府数据开放情境下数据交易行为的法律性质

地方指引

• 润物细无声的数据合规法律问题（海泰视点）