Details

浅析我国数据交易制度及数据交易合规要点(下)



数据的价值在于利用。数据流通的经济价值在我国一直被予以充分肯定和高度重视。2019年10月,党的十九届四中全会首次明确将数据作为新的生产要素参与分配;2020年4月,中共中央、国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》,将数据作为与土地、劳动力、资本、技术并列的生产要素,并提出以推进政府数据开放共享、提升社会数据资源价值、加强数据资源整合和安全保护等方式加快培育数据要素市场的要求;2021年3月,国家“十四五”规划和2035年远景目标纲要发布,利用数据发展数字经济的目标和具体要求已经融入到各个篇章;2022年12月,中共中央、国务院又联合发布了《关于构建数据基础制度更好发挥数据要素作用的意见》,为加快构建数据基础制度,充分发挥我国海量数据规模和丰富应用场景优势,激活数据要素潜能、做强做优做大数字经济,提出了二十条具体意见。数据交易是数据流通的重要表现形式,本期我们主要从交易主体、交易标的和交易安全几个角度出发,简析数据交易中的合规要点。。



四、 数据交易的合规要点

尽管面临种种困境,数据交易所场内交易的制度设计和实践经验,还是为数据商品交易提供了十分有益的合规评估操作指引。实操中,企业可以通过依法设立的数据交易平台进行数据交易,也可以由数据交易双方依法自行交易。选择场外数据交易的供需双方,亦可参考场内数据交易合规审查要点进行数据交易前的合规性审查及交易条款的设计,以确保交易的安全合规。


交易主体


数据供需双方应互相了解企业的注册登记情况、业务状况(特别是涉数据业务的基本情况),以及与数据相关的诉讼、仲裁及行政处罚情况等基本信息,以便确认供需双方具备进行数据交易的民事主体资格,并为进一步判断数据商品中数据来源的合法性、是否需要在交易合同中设计数据跨境相关条款等做准备。就交易主体本身的合规而言,还应当重点审查数据供需双方与数据商品相关的主体资质,例如是否获得了将特定行业、特定类型的数据用于数据交易的前置性行政许可。


交易标的


就交易标的,即数据商品本身的合规性而言,应当重点关注:


1) 数据的来源是否合规。若交易数据涉及个人信息,则数据供方应当向数据需方证明其个人信息的获取及共享具有满足个保法规定的合法性基础,如数据供方已就个人信息的对外提供征得了个人信息主体的知情同意;若交易数据不涉及个人信息,也应确保数据是以合法方式获取,例如使用网络爬虫技术获取数据的,应审查数据爬取是否存在违反被爬取网站的robot协议、突破或绕开被爬取网站设置的技术措施、妨碍被爬取网站的正常运行等有违法风险的行为模式;以其它方式间接获取数据的,数据供方应说明其数据来源的合法性,例如提供与数据原提供方所签订的合约证明原提供方授权数据供方运营其数据,或原提供方未限制数据供方对交易取得的数据进行转售。


2) 数据内容是否合规。应重点审查数据供方提供的数据内容是否存在危害国家安全或公共利益、侵犯他人知识产权或商业秘密的风险。


3) 数据用途是否合规。例如,数据需方不应将数据用于谋求实质性替代数据供方提供的部分产品或服务,否则有构成不正当竞争的风险;获取个人信息的,不应将去标识化或匿名化的个人信息用于对个人信息主体的重新识别。双方可通过交易合同条款对数据需方使用数据的目的、范围和方式加以明确和限制。


交易安全


供需双方的网络和数据安全能力,应当能够保证数据商品的交付、存储和使用安全。例如在《信息安全技术 数据交易服务安全要求》中,就要求通过数据交易服务平台进行交易的数据需方的数据安全能力成熟度不低于数据供方的数据安全能力成熟度。一般情况下,为交易安全,双方可重点关注:1)数据供方是否具备安全交付的技术能力,如可通过有效的身份验证、加密、访问权限控制等方式确保数据传输的安全性;2)数据需方的组织和技术措施是否能够避免交易数据毁损、泄露、被篡改或未经授权的访问,如是否建立了全流程的数据安全管理制度、数据分类分级制度、数据安全应急响应制度,是否定期组织开展相关人员的数据安全培训教育等等;3)供需双方在网络及数据安全领域是否取得了相应的能力证明,如通过信息系统的网络安全等级保护测评、ISO27001信息安全管理体系认证等。


此外,若交易数据涉及个人数据或其它较为敏感的数据,实践中数据供需方还通常选择利用隐私计算技术来实现数据“可用不可见”的流通。例如,舟山市大数据发展管理局就利用第三方隐私计算平台,整合舟山市大数据局、金塘管委会等与螺杆行业小微企业相关的数据资源,搭建了螺杆行业小微企业的信用评分模型,并将螺杆企业画像和白名单输出给定海海洋农商行,在隐私保护的基础上,为数百家企业螺杆企业解决在线智能授信问题。1

(舟山市公共数据流通应用示例2


其它合规要点


● 个人信息主体权利响应

若传输的数据为个人信息,则双方应当就如何保障个人信息主体在个保法下的各项主体权利做出明确约定。根据法律上主体责任身份的不同,数据供需双方就个人信息主体权利响应可能承担不同的法定义务。例如,若个人信息的接收方是个保法定义下单独或共同的个人信息处理者,则应当有相应的个人信息主体权利响应机制满足用户的相关权利实现,包括查阅复制权、删除权等等;若接收方仅仅是受托处理个人信息,则有协助提供方响应数据主体权利实现的义务。


● 数据出境

数据供方可以在交易合约中对数据需方使用数据的地域范围进行明确限制;数据需方确需将交易数据传输至境外使用的,数据供方亦可要求数据需方承诺遵守我国关于数据出境的相关法律法规。若数据供方未限制需方将交易数据出境,则可能触发与数据出境相关的法律强制性义务。例如,数据供方将一定数量的个人信息提供给数据需方,而此类信息可以被需方的母公司从境外访问,则此种情形下构成法律意义上的数据出境,反过来可能施加给数据供方就数据需方造成的个人信息出境而需要征得个人信息主体单独同意的额外法律义务。


结语

数据的价值在于流动和商业利用。随着我国数据领域立法的不断完善和数据交易实践的不断积累,相信不同类型数据商品交易的合规评估要点也将更加明晰。盈理数据合规团队亦将持续关注数据交易领域的法律法规及最新实践,并在今后的文章中予以分享。


注解: 

1.《数据产品交易标准化白皮书(2022年)》附件三

2.《数据产品交易标准化白皮书(2022年)》附件三