中闻原创 | 数据产品合规评估要点研究

2020年4月9日，中共中央、国务院正式发布《关于构建更加完善的要素市场化配置体制机制的意见》，将数据与土地、劳动力、资本、技术等传统要素并列为生产要素。我们正处于数据时代。数据的流动、交易是推动数字经济的关键支撑。根据《2021上海市数字经济发展研究报告》显示：2021年上海产业数字化增加值规模超过1万亿元，数字经济GDP占比已超过50%，芯片相关企业近3年投融资事件全国居首，占总芯片行业投融资笔数的45%。可以说，发展数字经济，上海具备得天独厚的先发优势。

2021年11月25日，上海数据交易所揭牌成立仪式暨2021上海全球数商大会在沪举行，成立当日20个数据产品完成挂牌，涉及金融、交通、通信等八大类。上海数据交易所被视为实现加快数据流通交易“汇天下数据而易之、聚天下数据而用之”的关键平台型基础设施，是推动数据从资源向要素转化的重要枢纽，《Asia Times》杂志更是评价上海数据交易所的成立是“助力第四次工业革命”。但与传统的有形资产不同，数据产品极有可能涉及大量个人信息以及重要数据，一旦数据产品未能做好合规工作，企业将遭受重大损失，相关人员甚至将身陷囹圄。本文结合国内对数据安全及个人信息保护方面的法律法规，对数据交易合规要点进行分析。

法律框架

数据，作为国家基础性战略资源，是数字经济的核心和命脉。为了规范数据的生成、采集、存储、加工、分析、服务等处理，我国出台了多项法律法规及政策性文件，其中有关数据交易的法规体系可以概括为“1+3+N”的格局。

“1”是指《中华人民共和国民法典》（以下简称“《民法典》”）。《民法典》是数据交易法规体系的基石，第一百二十七条规定“法律对数据、网络虚拟财产的保护有规定的，依照其规定；”第四编人格权编第六章隐私权和个人信息保护，对个人信息收集、存储、使用、加工、传输、提供、公开等做了原则性规定。

“3”是指《中华人民共和国网络安全法》（以下简称“《网络安全法》”）、《中华人民共和国数据安全法》（以下简称“《数据安全法》”）和《中华人民共和国个人信息保护法》（以下简称“《个人信息保护法》”），这三部法律共同构建了我国数据治理的立法框架，是数据交易在网络安全、数据安全和个人信息保护方面的进一步延伸。《数据安全法》第十九条规定“国家建立健全数据交易管理制度，规范数据交易行为，培育数据交易市场。”第三十三条规定“从事数据交易中介服务的机构提供服务，应当要求数据提供方说明数据来源，审核交易双方的身份，并留存审核、交易记录”。

“N”是指一系列国家标准、部门规章和地方性法规，它们是数据交易合规体系的详细补充以及实操指引。今年深圳和上海分别颁布了《深圳经济特区数据条例》和《上海数据条例》，这两部法规是我国在数据领域综合性地方立法的“先行者”。《上海市数据条例》明确提出“本市支持数据交易服务机构有序发展，为数据交易提供数据资产、数据合规性、数据质量等第三方评估以及交易撮合、交易代理、专业咨询、数据经纪、数据交付等专业服务。”“数据交易所应当制订数据交易规则和其他有关业务规则，探索建立分类分层的新型数据综合交易机制，组织对数据交易进行合规性审查、登记清算、信息披露，确保数据交易公平有序、安全可控、全程可追溯”。

合规评估要点

上海数字交易所提出“不合格不挂牌，无场景不交易”的原则。这就要求数字产品交易中合规评估是必不可少的一环，所有要流通的数据产品挂拍之前都必须进行合规评估。合规评估是数据交易的基础，也是让场内交易的数据产品更合规、更高效的前提。笔者认为对于拟挂牌的数据产品应当从数据供方、数据需方，数据来源、隐私保护以及应用场景五个方面进行；

（一） 数据供方合规评估

所谓数据供方，是指数据交易中提供数据产品的组织或个人。该部分评估的目的在于确定数据供方是否具备从事数据交易行为的主体资格。主要包括以下方面：

1、公司基本情况。包括主要业务类型尤其是涉及数据领域的业务概况；公司信用情况；公司过去是否存在数据合规相关的诉讼、仲裁、行政处罚、投诉、安全事件等情况；是否存在与网络安全和数据保护相关的刑事风险；是否存在网络安全监管部门的调查或约谈等情况。

2、资质合规情况。《数据安全法》第三十四条规定，“法律、行政法规规定提供数据处理相关服务应当取得行政许可的，服务提供者应当依法取得许可”。法律、行政法规规定特定企业收集、处理及提供相应的数据应当具备相应的资质或者取得相应的行政许可。例如B25类信息服务业务应当具备ICP经营许可证、B21类在线数据处理与交易业务应当具备EDI经营许可证等。

（二） 数据来源合规评估

合法、正当的数据来源的方式是企业固定与构筑自身数据资产的第一步，也是数据产品得以交易的首要原则。《数据安全法》第三十二条第一款明确指出，“任何组织、个人收集数据，应当采取合法、正当的方式，不得窃取或者以其他非法方式获取数据”。《上海市数据条例》第十三条规定“自然人、法人和非法人组织可以通过合法、正当的方式收集数据。收集已公开的数据，不得违反法律、行政法规的规定或者侵犯他人的合法权益。法律、行政法规对数据收集的目的和范围有规定的，应当在法律、行政法规规定的目的和范围内收集”，第十四条也明确“自然人、法人和非法人组织对其合法取得的数据，可以依法使用、加工。法律、行政法规另有规定或者当事人另有约定的除外”。目前主流的数据来源主要有三种，分别是自行采集、网络抓取以及第三方采购。

自行采集的数据又可以分为个人信息数据和非个人信息数据，其中对个人信息数据的采集合规是关键。现行法规要求在采集个人信息时坚持同意、合理、最小化三项基本原则。同意原则是指企业采集个人信息应取得个人信息主体的同意，当然根据数据敏感程度不同，表示同意的方式也有区别；合理原则指的是采集用户相关个人数据必须有相应的服务场景；最小化原则指的是企业应当在服务所需的最小范围内采集个人数据，不应过度延伸。

所谓网络抓取，是指利用网络爬虫技术按一定的规则自动从公开网络收集数据。如果爬取对象是提供公开查询服务的网站，如上海市政府网站等，则不存在合规风险。但在大多数情况下，爬取对象是各类商业网站，这类网站一般设置了反爬声明，甚至采取了反爬技术措施，此时便需要高度重视合规问题，数据供方必须说明其合法性，否则可能涉嫌不正当竞争、侵犯商业秘密等民事纠纷或非法获取计算机系统罪等刑事风险，数据需方也将陷入非常被动的局面。

所谓第三方采购数据源，既拟挂牌的数据产品所涉及的数据来源于“上家”的授权或交易，因此合规评估应当确保每一手的数据源都在合法范围内，其中核心风险是涉及个人信息的采购。根据刑法第253条的规定：窃取或者以其他方法非法获取公民个人信息的，依照侵犯公民个人信息罪处罚。司法实践中，“购买”方式获取个人信息的属于以“其他方法非法获取”。

（三） 隐私保护合规评估

买卖公民个人信息是违法行为，根据《网络安全法》第四十二条规定“网络运营者未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。”因此“同意”和“去标识化”是数据交易的两大合法性基础。在新浪微博诉脉脉不正当竞争案中【(2016)京73民终588号】，法院明确了个人信息共享需要满足的三重授权原则，既“用户授权”+“平台授权”+“用户授权”。拟挂牌的数据产品包含海量数据，每次交易都要征求所有用户重新授权需要企业付出极高的成本，除了获取用户同意这一方法外，还可以选择对个人信息进行去标识化处理后再进行交易。常用的隐私保护技术包括数据脱敏、联邦学习、差分隐私和多方计算等。数据提供方必须说明其采用的是哪种技术，以及此种技术是否能够阻止数据需方利用多维度数据对去标识化数据进行逆向识别。

（四） 数据需方合规评估

所谓数据需方，是指数据交易中购买和使用数据产品的组织或个人。根据《数据安全法》第三十三条的规定，从事数据交易中介服务的机构应当对交易双方的身份进行审核，也就是说，不仅仅要对数据供方进行合规评估，也要对数据需方进行合规评估。笔者认为，对数据需方的合规评估应当包括以下几个方面：是否具备对交易数据实施安全保护的能力；是否有恶意泄露数据的记录；过去是否有数据相关行政处罚和诉讼以及其它重大涉诉和行政处罚案件；购买数据产品的动因、用途或目的及其可能利益相关方。

（五） 应用场景合规评估

2021年12月21日国务院办公厅印发的《要素市场化配置综合改革试点总体方案的通知》明确提出要“拓展规范化数据开发利用场景。”上海数据交易所明确提出“不合格不挂牌，无场景不交易”的原则，充分说明应用场景在数据交易中的重要性。每个拟挂牌的数据产品在设计时都是预设一个或多个应用场景，数据产品只有放在特定的应用场景中，才能发挥数据的价值。例如在上海数据交易所成立当天成交的中国电信上海公司的“翼知时空”大数据产品，该平台针对人口属性数据、网络信令数据、地理信息数据以及网络行为数据4类基础标签数据，通过多种大数据技术手段进行数据加工，再结合多种时空算法，可深度挖掘数据的社会价值和商业价值，实现人流预测、人群画像、区域价值分析等智能化能力的数据支撑，为政府及企业客户在区域态势、商业地产、品牌选址等行业方向上提供数据增值服务。

1、是否存在违法违规的风险。主要评估内容是应用场景是否存在危害国家安全、公共利益，侵害个人隐私的情形，例如应用场景是否涉及对个人信息或商业秘密逆向识别的情形，任何对数据产品的逆向识别行为都应当被绝对禁止；应用场景是否涉及数据转售、转售行为是否超出数据产品的授权范围；应用场景是否涉及直接用户画像技术，根据《信息安全技术 个人信息安全规范(GB/T 35273-2017)》（以下简称“个人信息安全规范”）的规定，除目的所必需外，个人信息控制者在使用个人信息时，应消除明确身份指向性，避免精确定位到特定个人。

2、是否存在跨境流通的风险。目前国家对重要数据的跨境仍持严监管的态度，目前法律法规仅有一些框架性和原则性的规定。《网络安全法》规定“关键信息基础设施的运营者因业务需要，确需向境外提供数据的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。”《数据安全法》规定“其他数据处理者在境内运营中收集和产生的重要数据出境，应按照相关安全管理办法执行。”《个人信息保护法》规定个人信息跨境需要满足“国家网信部门组织的安全评估”以及获得“个人信息主体单独同意”的条件。《要素市场化配置综合改革试点总体方案的通知》明确指出，要探索“原始数据不出域、数据可用不可见”的交易范式。因此，在数据跨境管控方式及数据出境安全管理制度尚未发布之前，拟挂牌的数据产品应当限制为境内交易。

3、是否存在数据泄露的风险。第一、拟挂牌的数据产品的存储地应当在境内，《网络安全法》第三十七条规定“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。”第二、在存储期限上，《个人信息安全规范》提出了“时间最小化”的要求，即信息的保存时间应与使用目的保持程度上的一致，应满足一定的必要性，在超过保存期限后，即对信息作删除或匿名化处理。第三，技术措施和管理制度都应当符合等级保护要求。

结语

在大数据时代，数据是一种国家基础性战略资源，正日益对全球生产、流通、分配、消费活动以及经济运行机制、社会生活方式和国家治理能力产生重要影响，数据可以说是第四次工业革命的“新石油”。数据交易可以促进数据资源流通，破除数据孤岛，有效支撑大数据应用的快速发展，发挥数据资源的经济价值。数据流将成为激活人流、物流、技术流、资金流、商贸物流的关键载体，数据也将实现从数据资源到数据要素到数据资产再到数据资本的转变。我们相信，随着上海数据交易所的成立以及相关管理制度的完善落实，数据交易的价值会更大程度的发挥出来，数字经济也必将进入发展的快车道。

中闻律师事务所上海办公室律师，毕业于中国人民解放军国防大学获硕士学位，范律师具备证券从业、微软认证专家、微软数据库管理员等资格。

• 业务领域：公司治理与股权业务、企业数据合规、民商事争议解决

本文仅代表作者个人观点，不可将其视为中闻律师事务所及其律师出具的正式法律意见或结论。如需转载或引用文章中的任何内容，请邮件联系我们：bd@zwlawyer.com；如您有意就该议题进一步交流或探讨，欢迎在公众号后台留言。