作者丨陈际红 吴佳蔚 李佳笑
数据因流通而产生价值。数据资源入表锚定数据价值、大模型落地应用产生训练数据的巨大需求,催生数据流通交易市场活跃涌动。保证数据要素流动循环的合规底色既是监管关注的重点,也是现有规则体系下数据流动利用的实践痛点。在数据流通交易过程中,如何进行数据来源合规审查、有效利用合同等法律工具实现主体间权利义务分配成为关键问题。
一、如何对数据来源进行合规审查
保证数据来源的合规性是数据流通交易过程的起点,否则相关合规风险也会随着数据流转而传递。司法实践中也明确了数据接收方应当对接收数据的合法合规性负有审慎注意义务,如明知或应当知道数据侵犯相关主体正当权益仍予以接收并使用的,应当与数据提供者承担共同侵权责任。[1]因此,有效开展数据来源合规审查对于保证业务开展的连续性和稳定性、降低合规风险具有重要意义。
(一)基于多风险维度的合规审查
数据来源合规审查并非是是与否的绝对性判断,而是综合数据内容、数据质量、数据稀缺性等相关因素叠加商业逻辑所进行的风险决策,因此应当保持较为灵活的合规审查思路和审查工具设计,以实现业务发展与合规的平衡。我们理解,可以从以下方面着手开展数据来源合规审查工作:
* 建立合规审查流程。合理设定触发数据来源合规审查的具体情形以及对应的业务节点、责任人员,留存数据合规审查记录,保证合规审查机制的有效落实,有效降低合规风险。
* 明确合规红线。基于风险维度的审查思路,梳理法律法规的相关要求以及结合企业内部的合规管理要求,设定合规审查红线,并将其作为合规审查的优先项;当出现触发合规审查红线的情形,则应拒绝接入相关数据,实现明确合规底线,提高审查效率的效果。合规审查红线可以根据数据源(即出售方)类型、数据类型、数据收集手段等方面予以全面考量。
* 数据来源的分类分级。推进数据合规审查工作过程中,可以考虑建立数据来源分类分级审查规则,风险评价指标可结合采购业务场景、数据源的情况等予以综合确定。例如数据源类型、数据主体类型、数据类型、数据来源业务场景、数据应用业务场景等因素都会对数据来源合规审查的风险等级判断产生影响;其中,对于高风险数据源应当予以审慎审查。
* 实现穿透审查。数据来源的合规审查应当坚持穿透性原则,对于多主体间流转、数据处理活动复杂的数据源审查应当穿透至底层数据,重点关注收集和提供过程中获得授权同意等的完整性、连续性。例如业务交互场景下收集和产生的数据是否可以用于其他目的,就需通过审查协议文本等确认数据源对数据所享有权益的具体范围。
(二)数据来源合规审查的具体规则
1、数据类型的合规性
针对数据类型的合规审查应当包括两个层面:首先,数据类型不应当为法律法规所禁止流通交易的类型[2]。其次需结合数据收集场景和数据应用场景判断是否有特定的禁止性要求,例如《征信业管理条例》禁止征信机构采集个人的宗教信仰、基因、指纹、血型、疾病和病史信息等个人信息,即征信业务场景下禁止前述数据类型的流通交易,实践中需结合相关监管规定予以分别确定。
常见的禁止流通交易的数据类型如下。
表1 禁止流通交易的数据类型
2、数据收集手段的合规性
《网络安全法》《数据安全法》《个人信息保护法》均明确了数据收集应当采取合法、正当的方式,取得业务开展所必需的行政许可等基本要求[6],同时《刑法》也明确规定了收集数据的禁止性手段[7],因此数据收集活动的合法性判断的关键即为数据收集手段的合法性判断,如果数据收集手段违法违规,那么据此收集的数据应当拒绝接入。
以下常见的违法违规的数据收集手段供参考。
表2 违法违规数据收集手段
3、数据处理活动的合规性
明确数据来源合规审查的底线性要求后,也需结合法律法规的规定对来源数据进行系统性合规审查,以下合规审查关键要点供参考。
* 合法正当
审查业务开展所具备的相应资质以明确业务及对应数据处理活动的合规性,较为常见的包括增值电信业务经营许可证、金融许可证、支付业务许可证、药品经营许可证、个人征信机构许可等。
审查数据来源合法正当的证明文件,例如隐私政策、服务协议、数据授权协议等。实践中需要重点关注交叉业务场景下数据收集的合法性问题,例如电商平台开展互联网贷款引流业务,需要首先对业务性质进行判断,是否为开展互联网贷款业务、征信业务、助贷业务,是否具备相应资质;其次是此业务场景下的数据收集是否满足相关监管要求规定,如前述“2.数据收集手段的合规性”的说明,如果无经营资质开展相关业务收集相关个人信息,甚至可能会因涉及非法侵犯公民个人信息罪而面临刑事法律风险。
对于数据来源的合规审查应当穿透至底层数据,如果整个数据流转过程涉及多个主体、多个环节,则需要审查全链条授权情况(例如相关主体签订的数据处理协议等),其中授权主体、授权范围应当清晰、准确、完整。
审查数据对外提供合法性证明文件,此处需要在数据来源合法性审查的基础上,对其中涉及对外提供的授权范围或限制条件予以重点关注,以保证买受方数据采购行为的合法正当性。例如授权协议内容中仅约定数据源获得了使用的权限而无对外提供的权限,则可能会导致相关出售方向买受方提供数据的行为无法满足合规性要求;如采购数据后进一步对外提供,也需重点关注授权范围是否可以涵盖相应情形,避免限制后续的加工处理。
* 数据质量
如采购数据为原始数据,需结合数据来源业务场景穿透至底层数据收集、传输的真实、准确、及时性进行审查,包括但不限于数据收集方式、更新频率、传输方式等;
如采购数据为衍生数据,需要求数据源对数据收集及加工整理的规则进行说明,并审查其所采取的数据质量管理措施。
* 数据安全
需要审查数据源数据安全管理合规的落实情况,包括但不限于数据安全组织机构设置情况、数据安全管理制度制定和实施情况、数据安全事件发生及应对情况、数据安全事件应急预案及流程设置情况、数据处理活动风险评估及审计情况,此部分可要求数据源提供相关制度文件或合规承诺函等进行说明;
需要审查数据源技术措施合规的落实情况,数据源需结合数据处理活动全生命周期对保证数据安全的措施进行说明,可提供相关备案、认证材料。
* 行权响应
需要审查数据源对数据发生错误、遗漏等情况的响应流程及机制是否可以满足及时响应的需求。
考虑到个人信息、企业数据、公共数据以及公开数据等数据类型的特点以及所适用监管要求的区分,应针对不同的数据类型制定更为清晰的审查规则。实践中也有企业将数据源的经营情况、社会信用情况等作为合规性审查的相关指标,以降低商业合作的风险。数据来源合规审查的要点也可结合实际需求予以灵活把握。
二、如何设计数据交易合同
尽管针对数据交易合同的理论研究仍在探索中,但实务中已在积极开展数据流通交易实践。数据交易作为平等民事主体间的民事法律行为,利用合同等法律工具可以明确交易内容以及相关方的权利义务范围,既可以通过法律约束实现交易的稳定性,也是落实《网络安全法》《数据安全法》《个人信息保护法》等法律法规要求的体现。我们整理数据交易合同设计要点如下,供参考使用。
(一)数据交易合同的基本要素
基于数据交易的特殊性,数据交易合同较难以直接套用《民法典》买卖合同、技术合同等有名合同的具体规则,因此需要在符合法律法规的情况下,结合交易的实际情况,明确所需约定的具体内容。
根据目前数据交易相关立法,整理数据交易合同所需要包含的要素如下。
表3 数据交易合同要素整理
数据交易合同的目的在于厘清相关方的交易内容以及对应的权利义务,综合前述规定同时结合业务开展过程中的实际需求,我们理解,数据交易合同所需要体现的内容应当至少包括术语和定义、数据交易主体、数据交易内容、数据处理关系、数据安全及个人信息保护陈述与保证、知识产权及数据权益、保密条款、违约责任、不可抗力、争议解决、通知送达、合同效力及期限等。
(二)数据交易内容的明确约定
数据交易内容是合同的关键部分,此部分约定内容应当至少包括数据交易客体、交付方式和形式、交付期限、交付质量、验收标准、交付用途及范围、交易价格及计费方式、到期后数据处理方式等。
就数据交易客体来看,实践中一般包括数据产品、数据服务、数据工具等。鉴于法律法规针对特定数据类型规定了交易与流通的限制,因此首先应当明确排除数据交易客体不得涉及禁止交易与流通的数据类型,例如国家秘密或非法获取的个人信息[14],否则将会直接导致合同无效的法律效果。其次,对于特定监管的个人信息、重要数据,甚至行业监管更为细分的测绘数据、基因数据、信用信息等,应当根据具体的监管要求确定交易的客体对象。
就数据交付方式和形式来看,可能会涉及原始数据、加工形成的衍生数据、算法模型、软件系统等,会通过物理介质、API/SDK接口、系统部署等多种形式实现交付,具体需结合业务实际予以约定。
就交付质量和验收标准来看,数据交易项下数据的真实性、准确性、完整性、及时性将会对采购数据的目的实现产生直接影响;原始数据以及基于原始数据加工整理所形成的衍生数据的交付质量保证、及抽查核验等验收标准也会有所区别,也应当在合同中进行约定。
就数据交付用途及范围,以及到期数据处理方式来看,主要明确采购方就本次数据交易项下所对应的具体权利义务范围。数据的可复制性、非排他性决定了数据要素价值实现的路径并非拥有或者控制数据本身,而是在于对数据的处理和应用,因此明确交易数据的具体用途、范围及期限、以及到期后采购方对数据处理活动,可以保证交易项下数据相关权益边界的清晰,同时也实现出售方和采购方商业合作上的利益平衡。
(三)数据处理活动及相关权利责任义务
基于现行监管框架,数据交易所形成的民事法律关系与数据处理活动法律关系并非同一问题,例如业务模式的委托并不当然构成数据处理活动的委托处理。考虑到数据处理活动受到《网络安全法》《数据安全法》《个人信息保护法》等专门性监管,未落实相关合规义务将会面临行政层面的法律风险,因此为避免引起歧义,我们建议在数据交易合同中通过独立的数据处理条款、或另行签订数据处理协议的方式对数据处理关系进行明确,即明确是否为委托处理、共同处理、独立处理。为保证周延性,可结合数据处理活动生命周期维度明确数据处理的目的、范围、方式,包括但不限于数据的收集、使用、加工处理、提供、跨境、存储与删除等具体环节的责任义务分配以及合规性承诺与保证。同时应当结合前述数据处理活动明确相关主体的权利责任义务。
(四)数据安全及个人信息保护陈述与保证
目前数据基础制度细则有待明确、监管趋势动态调整、业务模式灵活变化的情况下,难以通过合同实现所有细节的全部约定,那么利用陈述与保证条款可以为交易相关方提供兜底性和灵活性的合规保护。我们理解可至少包括以下两部分内容:
* 数据来源的合规性承诺,出售方应当就本次数据交易所涉及的数据类型、收集方式、可以在交易目的下对外提供等符合法律法规规定的情况进行合规性承诺;
* 数据交易相关方针对因监管环境、技术方案等变化,而对数据交易所可能产生的影响的应对和配合进行合规性承诺。
(五)数据权益的合理分配
可复制性、非排他性决定了数据可以被无限利用,因此对于交易相关主体而言,通过合同实现数据权益的有效分配至关重要。结合实践经验,我们理解需至少关注以下三部分内容:
* 交易标的及对应内容所涉及的数据权益,此部分一般体现在“数据交易内容”条款之中;
* 交易过程所产生的数据及对应权益,例如提供数据产品或服务过程中的接口调取记录数据,或可衍生形成新的数据产品/或权益,因此建议交易相关主体对此部分的数据权益及数据安全责任予以约定;
* 基于交易标的所形成的衍生数据及对应权益,对于数据的后续开发利用至关重要,因此在数据交易合同中也应当予以体现。
相关内容的处理与传统知识产权合同条款的安排或有交叉,需谨慎处理相应标的和对应权益的归属安排,体现数据产品/服务这一特殊交易标的的特点。
除前述主要条款外,数据交易活动的特点决定了数据交易合同也需结合实际情况予以通盘考虑,例如跨境数据交易活动下的法律适用和管辖问题,也一定程度上增加了合同设计的难度。
解决数据确权授权、数据来源合规审查以及数据交易合同设计等关键问题对于实现探索数据要素循环通路,明晰合规底色具有重要意义,是构建可信且可持续数据生态的基础。数据流通交易应以合规为起点,实现开发利用之目的,从而真正打通数字经济的良性循环。
[注]
[1] 重庆光某摩托车制造有限公司与广州三某摩托车有限公司侵犯商业秘密纠纷案,
https://mp.weixin.qq.com/s/eCtT4xGXlhk_oYhH-KAWLA,最后访问时间2024年1月28日。
[2] 例如《上海市数据条例》第五十五条、《长春市数据交易管理办法》第十五条规定了禁止数据交易的情形。
[3]《保守国家秘密法》第十三条。
另外,《数据安全法》第二十一条规定关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于“国家核心数据”,因此,“国家核心数据”可能涉及国家秘密范围。
[4] 《反不正当竞争法》第九条,《最高人民法院关于审理侵犯商业秘密民事案件适用法律若干问题的规定》第一条。
[5] 《民法典》第一千零三十二条。同时我们根据司法案例对常见个人隐私的类型进行了部分列举。关于一项信息是否构成个人隐私往往是场景化的判断,例如在微信群中散布手机号码、工作信息等也可能会被认定为侵犯隐私权。因此在进行是否涉及个人隐私判断时,需要重点考虑是否合法正当公开、是否获得授权同意。参考(2021)京0108民初39401号民事判决书,(2020)黔05民终4767号民事判决书,(2020)京02民终7646号民事判决书,(2023)湘0626民初563号民事判决书等。
[6] 《网络安全法》第四十一条,《个人信息保护法》第十条,《数据安全法》第三十二条、第三十四条。
[7] 《刑法》第二百五十三条之一、第二百八十五条、第二百八十六条、第二百八十七条之一。
[8] 《民法典》第四百七十条。
[9] 《贵州省数据流通交易管理办法(试行)》第二十七条。
[10] 《广西数据交易管理暂行办法》第十八条。
[11] 《天津市数据交易管理暂行办法》第二十二条。
[12] 《深圳市数据交易管理暂行办法》第二十条。
[13] 《长春市数据交易管理办法》第二十三条。
[14] 参见(2020)津01民终3291号民事判决书。
作者简介
陈际红 律师
北京办公室 合伙人
业务领域:网络安全和数据保护,知识产权权利保护,反垄断和竞争法
行业领域:金融创新和金融科技,电信和互联网,信息和智能技术
吴佳蔚 律师
北京办公室
非权益合伙人
业务领域:网络安全和数据保护,知识产权权利保护
李佳笑 律师
北京办公室 知识产权部
声明:本文来自中伦视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。