数据作为数字经济时代的新型的生产要素,是数字经济发展的压舱石。中共中央、国务院此前印发的《关于构建数据基础制度更好发挥数据要素作用的意见》更是提出了20条具体措施,为解放和发展数字生产力开辟新路径。而数据交易作为数据要素市场建构的关键一环,能够最大限度地释放数据的经济效益。一方面,数据市场的深度与广度在不断拓宽,另一方面,数据交易面临的合规问题也愈发复杂。在此背景下,数据交易的合规评估就显得尤为重要。
本文将聚焦场内数据交易这一新兴的数据交易模式,从场内数据交易的典型样态、场内数据交易的合规评估及要点、针对企业进行数据交易的高发风险点及合规建议这三个部分展开分析和讨论,解密场内数据交易合规评估的实践要点。
根据我们目前从事场内数据交易合规评估的实践经验,场内数据交易的典型标的可分为数据产品、数据服务、数据工具以及数字资产四种类型。
1、数据产品,是对原始数据进行处理后形成的数据的集合或分析结果,包括了API数据、离线数据包、查询客户端、数据分析报告等类型。
API数据:通过应用程序接口作为数据交付方式的数据集。
离线数据包:针对特定领域、场景或功用的数据集合,以CSV、Excel、音视频等形式呈现。
查询客户端:以具备良好交互功能的客户端等前端为载体,通过开通账号权限的方式,为用户提供数据内容。
数据分析报告:对特定行业领域或应用场景下的原始数据进行加工分析形成可视化数据分析结论。
2、数据服务,提供的是数据处理服务能力,包括数据分析、数据可视化、数据合规、数据安全等服务。
数据分析服务:利用自身技术能力,通过统计、机器学习等方式对原始数据进行价值挖掘的服务。
数据可视化服务:基于大数据环境,通过图形化、交互化等方式,对数据内容进行整合归纳,直观呈现数据信息。
数据合规服务:对数据交易各个节点进行合规性的审慎核查,针对拟进行的数据交易出具专业的法律意见。
数据安全服务:对数据处理活动提供安全性保障技术支持,例如数据加密、安全存储环境等技术服务。
3、数据工具
数据工具是指可实现数据服务的软硬件工具,主要包括数据清洗工具、数据分析工具、数据可视化工具、数据存储和管理工具、数据采集工具以及数据安全工具等。
4、数字资产
针对整改后的数据交易或拟上架产品的合规现状,出具合规评估法律意见书。
在上述基础之上,数据交易的合规评估还增加了对数据交易行为的评估维度,包括对数据接收方的基本信息、资质,双方数据交易合同条款,数据交付安全性等内容进行合规性评估。
02
场内数据交易的合规评估要紧紧围绕交易行为的构成进行,包括交易标的、交易主体、交易安全以及交易约定四个维度。在此基础上,如涉及数据跨境交易等特殊情形,需要进行针对性的合规评估工作。
交易标的的评估主要围绕数据类型、内容、来源以及用途四个维度进行。
1、数据类型
针对拟交易数据的类型进行合规审查,旨在确定数据产品所含具体数据字段,判断数据性质以及需要负担的相关合规义务。
推荐审查维度:
(1)拟交易数据具体字段的性质(判断是否属于重要数据、国家核心数据、个人信息、敏感个人信息);
(2)拟交易个人信息的情况(数据产品所涉个人信息字段内容、数量以及数据产品提供方(特定时间内)累计处理个人信息的数量)。
2、数据内容
考察数据内容目的在于确定数据产品的交付物内容是否存在违反法律法规的情况,避免数据内容包含违法违规数据、侵害他人知识产权等财产权益的数据以及原供方禁止转售或公开的数据。而根据《关于构建数据基础制度更好发挥数据要素作用的意见》,对相关方数据资源持有权、数据加工使用权和数据产品经营权的保护,将成为今后数据产品合规评估的重要维度。
3、数据来源
对于数据产品中原始数据字段来源的合法性的合规考察,在交易标的合规审查中具有非常重要的意义。数据来源不合法或不合规,将直接否决该数据产品的合规性,更无从谈起进入市场进行交易。结合我们的实践经验,我们建议可以从以下三个维度对数据来源的合法性进行充分核查:
首先,对于个人信息,核查是否具备《个人信息保护法》第13条的合法性基础之一,并履行相应的告知义务;
其次,对于非个人信息,核查是否以合法、正当的方式获取数据(例如是否存在使用爬虫等技术工具,违反网站Robot协议获取第三方网站数据等情形);
再次,对于来源于第三方主体的数据,应对第三方数据来源的合法性,通过组织的供应商内控机制进行详细核查并进行说明。
4、数据用途
在场内数据交易中,要采取系统化的风险管理流程对数据用途进行审查和评估,比如通过比较交易合同中对数据产品使用场景和目的的约定,以及宣传物料对该数据产品的使用场景的描述,确定数据产品的预设使用场景是否违反相关法律法规的规定等。对于涉及法律有明确合规要求的数据使用方式,例如利用个人信息进行自动化推荐、应用算法推荐技术提供互联网信息服务等,需要结合对应法律条文进行重点评估。
-
数据提供方的基本信息、存续情况; -
股权架构和实际控制人信息; -
是否为关键信息基础设施运营者等特殊主体; -
整体业务情况; -
数据产品所涉行政前置许可的获取情况。
-
数据购买方的基本信息、存续情况; -
股权架构和实际控制人信息; -
整体业务情况; -
数据购买方处理数据的目的、方式、范围; -
购买方使用拟交易数据的场景,是否需取得相应的资质/许可。
数据交易安全需要从数据提供方的安全交付数据的能力以及数据在交付过程中的安全性进行考察。
1、数据提供方的安全保障能力
对于数据提供方的安全保障能力的审查包括以下维度:
物理、应用、网络环境安全:机房安全、访问权限控制、日志管理、网络监控管理、防病毒、渗透测试、防入侵与恶意代码。
存储安全:从存储介质、存储空间控制、去标识化、数据加密备份、权限管理等维度确认数据存储的安全性。
传输安全:是否通过身份验证、接口数据(如AES)加密、通道https加密的方式确保数据传输的安全性。
管理制度:内部是否建立数据安全组织及负责岗位;是否对数据建立分类分级制度进行管理;是否建立数据安全应急管理制度并制定数据安全预案;是否对员工的入职、在职、离职各阶段对员工数据处理活动进行管控等。
能力证明:是否取得等级保护证明、数据安全合规审计、数据安全能力认证等数据安全保障能力的有效性证明。
2、数据交易过程安全
-
安全保障义务:是否约定双方对拟交易数据产品采取相应的安全保障措施; -
限定和约束:是否明确拟交易数据产品的使用目的、方式、范围,是否针对购买方限定数据使用场景和并设置约束机制; -
存储:是否明示数据交付后存储的地点、期限; -
再转移:是否对数据再转移进行限制; -
应急处置措施:是否约定在发生数据安全事件后,双方应采取的应急处置措施; -
行使权利途径和方式:涉及个人信息的,是否对个人信息主体行使权利的途径和方式进行约定。
在基于对数据交易是否涉及数据出境情形的判断之上,数据交易涉及数据出境时,需关注其是否履行诸如数据出境安全评估等数据出境前置义务。
这项合规审查工作需要关注的是以下维度:
-
交易标的是否涉及(敏感)个人信息、重要数据;
-
交易主体是否为特殊义务主体,如关键信息基础设施运营者、(在特定时间范围内)处理超过规定数量个人信息的数据处理者等;
-
交易标的是否涉及需履行境内存储义务的数据类型(如人类遗传资源、人口健康信息、个人信用信息、地图数据、网约车业务数据等类型);
-
涉及个人信息的,是否满足《个人信息保护法》所要求的出境路径要求(例如,通过国家网信部门的数据出境安全评估、取得个人信息保护认证、签订个人信息出境标准合同),并履行个人信息出境场景下的个人信息保护影响评估义务。
03
企业进行数据交易的高发风险点及合规建议
缺乏相关资质或行政许可,可能导致拟进行的数据交易涉及违反法律规定的数据处理活动,因此应该在数据处理/交易前申请相应资质或寻求有资质的主体进行合作。
-
涉及个人信息的,依法告知并取得个人信息主体的授权同意; -
涉及自动化获取数据的,要确保所用爬虫工具遵守目标网站robots协议,并确保对爬取数据的处理未侵犯他人知识产权等财产权益; -
涉及从第三方主体获取数据的,确保第三方数据来源的合法性。
-
安全资质层面:交易主体双方应当取得网络安全等级保护、数据安全能力认证等安全类资质; -
技术安全层面:围绕数据交易全周期进行加密、身份验证、防入侵、防病毒等安全技术措施部署; -
制度安全层面:交易主体双方在组织内部设立数据安全组织机构及岗位,建立诸如数据安全管理、数据分类分级、数据安全应急演练等制度。
数据交易双方可能存在未约定数据接收方的安全保障义务、数据处理限制、数据安全事件应急处理的情况,这就会导致数据出售方无法证明其履行了针对拟交易数据尤其是个人信息数据的勤勉尽责义务。因此需要要求交易双方在合同中详细约定数据交易后的使用场景及相关处理限制、数据接收方应采取的安全保障措施、应急处置措施等内容,明确双方在数据交易活动中的责任承担。