数据交易的风险识别与规范架构 | 数据交易的法律逻辑与风险控制系列文章之二
2022-11-25 10:24:00 作者:李晶晶、陈昊东
一、数据交易发展的底层逻辑
数据交易近期成为社会和政府的关注点,可以主要从两个层面进行剖析:宏观方面,数据要素市场不断成熟,对刺激社会经济的发展发挥着重要作用,数字经济发展的长效成果不断显现,数据产业基础发展具备长期动力支持;微观方面,数据交易具有促进高价值数据的汇聚连接和开放共享,让人民群众和企业切实享受到使用数据资源,最大限度激活数据价值的作用。同时,其对于推动数据要素市场化配置改革,推进数字产业创新和数字经济发展具有深远意义。
数据交易活动涉及数据产品的生产、交易、交付等场景,其中对于数据合规的要求是交易双方重点予以关注的事项。本文将围绕数据交易中所涉及的合规风险展开论述。
二、数据交易流程的风险识别
通常对数据交易流程中的法律风险进行识别和控制,主要围绕数据产品挂牌环节的“产品数据来源基础信息”、数据交易流程中的“产品交易限制规则”与“合同文本的义务与责任”三方面展开。
(一)产品数据来源基础信息
第一,对于数据产品的合规性审查,要明确的是数据资源的类型。根据重要国家标准、行业标准等规范性文件的要求进行对构成数据产品的源数据进行分级分类,确定其中是否包含敏感个人数据、重要数据、核心数据等禁止交易或要求重点保护的特殊类型的数据。若源数据存在禁止交易的数据,则需要着重对交易行为和主体的合法性进行斟酌。若源数据存在要求重点保护的数据,则需要明确数据产品的生产流程是否对源数据进行了达标的脱敏或加密处理,保证其去标识化或匿名化程度可达到无可被定位到的任何敏感信息(个人地理信息、生物信息等)。
第二,要关注源数据的采集方式是否合法合规。数据采集方式决定了数据处理的合法性基础,而不同的合法性基础又决定了具体的合法合规要求。一方面,从数据处理的合法性基础观察。对个人信息进行合法地处理的情况一般分为两类:“基于同意的处理”(Processing Based on Consent)和“基于法定许可的处理”(Processing Based on a Legal Permission)。数据采集时应当根据具体的场景为数据处理选择适当的合法依据。例如,但基于同意对数据进行处理,则必须满足“充分知情”、“自愿”和“明确”三个要件。否则,即便该自然人做出了“同意”,不能作为处理个人数据的正当性依据;另一方面,在数据采集环节,需要注意的风险点是采集的手段是否合法合规。如通过SDK及爬虫技术进行的数据采集时,则需要对其技术的使用进行合规性审查。以防止出现SDK提供商缺乏隐私政策、存在未告知的恶意行为、采集活动中使用的SDK存在安全漏洞,或者采用的SDK超范围收集个人信息、SDK可实现的数据保护功能无法达到其提供商的隐私政策,以及SDK提供商与使用者的承诺流于表面等合规风险。同时,在对源数据采集时,要明确其在(合作的第三方)采集时是否存在突破或绕开技术防范措施的行为等恶性行为。概括而言,数据处理所涉及的个人数据处理和服务符合数据安全和隐私保护要求,不存在侵犯任何第三方合法权益的情况。
第三,要关注源数据是否确权。目前在技术与法律领域,数据的确权都无法得到完美的解决。因此,在数据交易中,一方面尤其需要注意对合同、授权协议、发票、支付流水、等文本内容进行保存,保证产权界定清晰,符合交易条件;另一方面,则需要对第三方机构出具的合规评审材料、质量评审材料,以及数据交易所出具的数据产品登记公示文件保存以留痕。要达到数据来源的证明材料齐备,保证来源可溯、合法、合规,以控制因授权链的证明瑕疵无引发的风险。
第四,要关注产品数据来源。其中需要重点关注的内容是采集目标源、采集渠道的合法合规。明确数据的来源渠道是为了确定数据来源是否存在非法交易、非法提供等情况。而基于采集目标源定位数据的来源主体,一方面是为了明确数据的类型、性质,以确定数据需要受到的保护程度;另一方面,则是需要因数据主体的类型以确定数据来源主体是否具备收集、存储、处理数据的资质或职权,并根据数据主体确定授权程序与使用许可要求。
(二)产品交易限制规则
除了从数据产品自身是否合法合规的角度进行审查,还需要从数据交易的场景出发,对交易中的主体、客体、行为、场景、限制文本等规范进行识别,以此规避数据产品在交易中可能出现的风险。
第一,要明确数据产品的使用是否需要具备授权。此要求一般由数据产品的源数据的性质和数商与数据需求方达成的协议的约定提出,其目的在于对交易的数据产品以及产品数据来源的数据主体提供相应的保护措施。因此,需要在交易前明确数据产品在使用时是否需要被查询对象授权。
第二,需要明确数据产品的禁用场景,其中包括禁止使用的条件、范围、使用方式、使用目的等。列出即负面场景清单,可以在数据产品交易后防止因使用导致的数据合规的风险。例如,部分数据禁止用于精准营销的用途、禁止基于商业化的目的使用等。
第三,需要明确数据产品的可使用主体,即数据产品交易后,允许使用数据产品的对象主体。部分数据因行业标准文件等规范性文件的规定,对使用方的资质有一定要求。例如部分数据提供商在提供数据产品时,要求数据需求方满足一定要求或对其存在特定的限制等。
第四,需要确定数据产品的使用者是否满足数据产品的资质要求,例如仅限于持牌金融机构使用的数据、仅限境内企业主体使用的数据、仅限政务主体单位使用的数据等。
第五,当数据产品为共有数据产品时,即申请登记的数据产品由多家单位共同合作生产的,则需要确定申请登记的数据产品是为申报主体独有产品,还是与其他单位共有。此种情况下,可由全体参与单位共同协商确定一名申请人作为代表申请登记,也可由任意一方在不损害其他方利益的前提下独立申请登记;
第六,需要明确数据产品交易后,允许使用数据的时长。一般可分为三档。一是仅允许实时使用,即仅限当次调用有效、数据不可缓存;二是允许在服务合同规定期限内使用,到期后数据不可继续存储;三是无使用时间的限制。
第七,需要明确交易或服务合同中是否有不得转让的规则,例如“仅本合同需方使用,不可转让”的表述。此外,还要观察交易合同、服务协议中是否还存在其他使用限制规则。
(三)合同文本的权利义务
从合同文本规定的义务、责任中,对数据交易中风险进行识别同样也是数据交易合规中必不可少的重要环节。本文选取作为数商入场进行数据交易流程中最为核心的交易文件,即《数商合作协议》与《数据产品承诺函》,对其进行分析。参考上海数据交易所相关文件的定义,其所打造的全链数商生态包括数据供给商、数据需求商和第三方数据服务商。本文所讨论主体为“数据供给商”(下称“数商”),即为需方提供数据产品及数据应用解决方案等服务来获取收益的企事业单位。数商参与数据交易,需获得数据交易所的入场凭证,并提交数据产品,经第三方机构进行合规评审、质量评估等审核流程后挂牌交易。以下从交易与数据产品两个层面对相关核心交易文件涉及关键条款进行解读。
1、在交易层面,文本的要求可大致归类为“交易主体”“交易平台”“交易行为”三大层面:
在交易主体层面,其必须保证自身具备履行数据交易协议的资质,可以合法从事大数据资产交易或本协议项下的数据产品、服务。
在交易平台层面,其须要依据交易所的运行规则以及相关要求进行数据交易的流程。例如其须遵守与数据交易平台协议的保密义务、其须对在交易平台建立实名制账户以及账户的使用行为及安全性负责、不得将与数据交易平台协议约定的任何权利义务转让给第三方、数据交易平台要求的数据安全、数据合规能力的建设等。
在交易行为层面,则须要根据《网络安全法》、《数据安全法》、《个人信息保护法》等有关法律、法规、部门规章、规范性文件、标准文件等,并严格按照数据交易平台规定的《数据交易规则及规范》、《数商管理办法》、《数商合作协议》等相关规定开展数据交易活动,并保证提交数据交易所的申请挂牌的数据产品相关合同或订单真实有效。
2、在产品层面,其需要保证数据产品符合交易条件,包括数据产品的合规性和产权归属。
数据产品的合规性方面,可以从数据产品的交易时点切入。将合规要求拆分为:交易前,对数据来源的合法性(禁止交易的数据类型)、数据采集的合法性(不存在数据造假、未经授权非法获取、超出授权范围非法使用、违法采集或非法使用的情况)、数据处理的合规性(符合数据安全和隐私保护要求,不存在侵犯任何第三方合法权益的情况)重点关注。交易后,对数据使用的规范性、是否符合法定、约定要求,也须重点关注。
在数据产品的产权归属方面,则须要基于授权协议、交易合同等文本文件对数据授权链进行完整的证明,保证授权及产权的完整性、时效性。
三、数据交易规范的逻辑架构
数据交易活动的开展的底层逻辑是:在保障权利与数据安全的情况下,对可开发范围内的数据资源进行利用。对此逻辑进行分析,可提炼出一个目的“开发数据资源”,和两个基本要求:“个人信息权利保障”和“数据安全保障”。基于“一个目的,两个要求”,可从两大角度对数据交易活动把控:交易层和数据层。
交易层,其作用在于控制数据交易活动中的“交易”行为,并将交易的主体限制在一定范围之内,以达到开放有度、交易有序的效果。
数据层,其主要从数据生命周期的角度切入,在各个环节对数据所接触的主体、涉及的行为、要求的义务责任分配进行细致地规定,以期平衡数据资源的开发与安全。从下图中可了解数据交易合规的要求与背后的逻辑:
(一)交易层
交易层可分为四个环节:交易许可、交易主体、交易内容、交易手段。此四个环节则对应着以下四方面的规定:主体要求、内容要求、手段要求、程序要求。
在程序要求环节,其作用是对即将进入市场交易的数据产品进行审查,从入口端对数据产品的质量、合规进行把控。数据产品开发完成后,在数据交易所上架前需要按照各数据交易所的要求提交材料,进行审查和登记。
在主体要求环节,其作用是限定参与数据收集、处理交易的主体范围,以保障主体质量可控、风险可控。一方面,在数据产品的数据源为授权使用的公共数据的情况,则要求政府的数源部门和企业在收集公共数据时,应当基于本部门职权范围或依据授权范围对数据进行收集和处理。另一方面,要求数据处理者具备相应的运营资质才能对数据进行处理和运营。从职权和资质两方面对数据收集的合理性和数据处理的合理性进行证明。
在内容要求环节,其作用是限定可交易的对象范围,以在数据交易的过程中保障数据主体权利。其对数据的可交易性作出了规定,数据处理者和交易主体所处理的数据必须来源合法合规,且具备一定的合法性基础才能进行处理和交易。
在手段要求环节,其作用是限定数据的使用范围,以对数据交易进行规范。其要求数源部门或企业采取对个人权益影响最小的方式对数据进行收集、处理,不过度收集个人数据。同时,应当基于明确、合理的目的对个人信息进行处理,法律有规定的,应当在法律、行政法规规定的目的和范围内收集、使用数据。
(二)数据层
数据层内可分为两个环节:环境要求、行为要求。
环境要求可细分为两个要求,分级分类和保护措施。分级分类要求是指,数据处理者应当按照相关制度对数据实行分类分级保护或管理。其作用有三:一是明确了数据处理者对于数据保护的义务;二是有利于对不同类型的数据进行管理调用;三是对潜在的风险进行防控管理,有针对性地落实保护措施;保护措施要求,即要求数据处理者应当采取相应的技术措施和其他的必要措施,确保数据安全,防止数据篡改、泄露、毁损、丢失或者非法获取、非法利用。其作用在于保障数据的全生命周期处于必要的保护措施之下,明确数据处理者保障数据安全的义务。
行为要求可细分为四个要求,收集合法、处理合规、流程安全、行权响应。收集合法,即要求数据处理者在收集数据活动中无法律禁止的行为,在处理个人信息时应当满足合法性基础;处理合规,即要求数据处理者在对数据进行处理时,需要满足合法性基础,遵循最小必要原则,落实保护措施,不违反禁止性规范等;流程安全,即要求数据全生命周期中对数据进行存储和传输的主体履行对数据的保护义务;行权响应,即要求数据处理者对个人信息保护影响进行评估,提供必要的可供数据主体实行自身权利的路径和措施。
四、数据交易合规概览
总体而言,数据交易的法律逻辑主要围绕数据交易中的数据流展开,对涉及的主体、场景以及主体行为进行规范。其核心目的在于通过规范主体行为、建设机制、改善环境、限定范围等方式保护数据交易中所涉及数据的安全性,进而保障数据主体的权益。将此逻辑体系结合到数据交易实务中,则需要关注以下关键要素:
一是,数据交易中所涉及的授权链,其中需要关注的是各地数据交易所的数据产品入场上架的程序和文件。数据产品涉及公共数据、政府数据的,还需要明确数据产品的生产是否符合当地公共数据开放利用授权模式及规定。
二是,明确现行有效法律法规、规范性文件、部门规章、标准文件等规定明确数据交易规范,并将其与交易层数据层各环节进行匹配,明确数据交易中的合规要求及标准。
三是,须明确数据产品的合规性审查的审查要点,其大致可分为三大环节:交易授权的完整性、原始数据的合法性、数据产品的可交易性。分别对行为(数据处理、交易行为)、主体(交易主体、交易对象)、客体(源数据、数据产品)进行检视。
四是,确保源数据、数据产品的合法合规性和授权链的完整性、合法合规性能够通过文件材料得到确认和证明。还要在业务开展前获得相关许可、批准、备案等手续且保证其在协议履行期内持续有效。
五是,明确数据交易中所涉及各主体的义务和责任的分配,探明主体行为合规路径,并通过合同进行风险的隔离,以防止因交易关系导致风险的转移。
参考文献
[1]张力炜,江翔宇.数据产品的合规要点与建议——从上海数据交易所首批挂牌数据产品合规审核说起[J].中国远洋海运,2022(04):38-40.
特别声明:
大成律师事务所严格遵守对客户的信息保护义务,本篇所涉客户项目内容均取自公开信息或取得客户同意。全文内容、观点仅供参考,不代表大成律师事务所任何立场,亦不应当被视为出具任何形式的法律意见或建议。如需转载或引用该文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源。未经授权,不得转载或使用该等文章中的任何内容。
律师简介
