万博体育全站ManBetX数据合规:全景解读数据资产交易的核心、风险和对策|实务探讨在数字化时代,数据已成为继土地、劳动力、资本、技术之外的第五大生产要素,而数据合规性则是数据价值得以实现的前提。在此背景下,笔者团队为深圳某金融科技公司一款绿色金融数据产品在深圳数据交易所申请上市流通交易提供法律尽职调查服务,并就数据交易合规性出具法律意见书(以下简称“本项目”)。
本项目作为金融科技领域数据合规交易的典型案例,涉及绿色金融、数据合规、信息技术等多个领域,涵盖了数据收集、处理、交易等多个环节的复杂合规问题,其处理过程和经验对于其他企业在数据资产交易合规管理方面具有重要的参考借鉴意义。因此,笔者团队结合律师、数据交易合规师、数据安全师等多重专业背景,对交易标的进行了从数据收集到数据销毁全生命周期的风险评估。
在此基础上,我们将风险评估、整改方案与持续合规服务相结合,形成了一套系统化数据合规评估方案,覆盖以下关键环节:A.数据资源盘点;B.数据资产治理;C.数据产品开发运营;D.数据产品流通交易。该方案不仅帮助客户全面遵守相关法律法规还优化其业务流程和数据管理策略,并为后续提供深度定制化的合规服务奠定基础。
基于上述情况,笔者结合本项目从立项、承办到交付的全流程实务,通过问答形式梳理了数据交易和数据产品合规评估的核心问题,深入剖析数据交易合规的关键要点及相关对策,期望为企业的数据合规管理和法律服务创新提供启发与助益。
(笔者注:本项目所涉数据产品已于2024年12月11日于深圳数据交易所上市,上图为数据产品详情)
数据交易是以数据产品作为交易标的,通过货币或货币等价物实现数据使用权交换并促进市场化流通的行为。
数据开放、共享与数据交易同属数据流通的三大模式,主要区别在于数据交换的主体范围以及所交换数据的属性。
数据开放主要集中于政务和社会公共数据,这些数据通常不归个人或特定集体所有,而是通过开放使用权,供社会公众或集体在法律允许范围内自由获取和使用。其中政府数据开放主要涉及公共数据资源的开放万博体育全站ManBetX,而企业数据开放则主要是指披露企业运营情况、推动政企数据融合等。
数据共享是在不改变数据所有权和管理权的前提下,提供数据访问和使用服务,旨在消除组织内部各部门之间的数据壁垒,构建统一的数据共享平台,从而加速数据资源在组织内部的流通。
自2020年3月中央国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》后,数据已逐渐成为继土地、劳动力、资本和技术之后的第五大生产要素,数据基础制度建设事关国家发展和安全大局,其重要性不言而喻。
根据国际数据公司IDC发布的《数据时代2025》预测,全球的数据量到2025年将达到惊人的175ZB之多(假如把数据量比作沙子,1ZB的沙子可以覆盖整个地球表面且厚度达几厘米)。随着大数据、云计算、人工智能等技术的快速发展,数据资源的价值日益凸显,且亟待通过流通交易予以挖掘、实现。
数据交易的主体主要有数据供方(数据卖方)、数据需方(数据买方)和数据商(数商)及/或数据交易第三方服务机构等。
(笔者注:深圳地方法规中数据商不包括第三方服务机构,上海地方法规将第三方服务机构纳入数商范畴。)
《信息安全技术 数据交易服务安全要求》(2023 征求意见稿)第4.3条规定,数据交易的客体包括API数据、数据集、数据报告、数据应用、数据工具、数据服务、其他数据等。实践中各地数据交易所的分类标准有所不同(详见下图)。
国家立法层面尚未明确列出可交易的数据类型。各地数据条例及国家标准规定了禁止交易的数据类型,具体如下:
场外交易是指在数据交易所外进行的数据流通交易方式,数据产品、合约规则等可以根据双方需求进行定制,存在交易信息不透明、交易风险高等问题。
场内交易是指通过数据交易所进行数据流通交易活动,有标准化的数据产品、合约规则,交易信息公开透明,有利于市场的健康发展。
目前上海、深圳、广州等地数据交易所的数据流通交易流程大同小异,基本分为交易前、交易中、交易后三大环节,具体包括交易前的产品登记、产品挂牌,交易中的交易签约、产品交付、交易结算,以及交易后的交易凭证、纠纷处理七个小环节(详见下图)。
在场内数据交易中,数据产品登记挂牌前必须进行合规评估,主要是围绕主体合规(数据交易主体满足资质合规、经营合规及数据风险管理等重要因素)、标的合规(交易标的满足合法性、可交易性以及实质性劳动或创新性劳动合规重要因素)以及流通合规(数据流通交易参与方履行相关合规义务,保证数据产品合规以及交易各环节行为合规)展开。
数据交易的治理架构主要包括法律、地方法规、国家标准等层面,如属于场内交易,还涉及各地数据交易所的场内交易规则。
《中华人民共和国民法典》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保》《信息安全等级保护管理办法》等万博体育全站ManBetX。
《深圳经济特区数据条例》《深圳市数据交易管理暂行办法》《上海数据条例》《重庆市数据条例》《厦门经济特区数据条例》《四川省数据条例》《吉林省大数据条例》《苏州市数据条例》《陕西省大数据条例》《贵州省数据流通交易管理办法(试行)》等。
《信息技术 数据交易服务平台交易数据描述》《信息安全技术 数据交易服务安全要求》《数据安全技术 数据分类分级规则》、《信息技术安全 重要数据识别指南》《网络安全标准实践指南——网络数据分类分级指引》《网络安全标准实践指南——大型互联网平台网络安全评估指南》等。
《深圳数据交易所交易标的上市合规审核指引》《深圳数据交易所有限公司禁止交易及谨慎交易数据识别指引》《北京国际大数据交易所有限责任公司数据交易规则(试行)》《广州数据交易所交易工作指引》《上海数据交易所数据交易规范(试行)》《上海数据交易所数据交易安全合规规范(试行)》《福建大数据交易平台数据交易管理规则(试行)》等。
笔者注:以上分别为深圳数据交易所、广州数据交易所、上海数据交易所和北京国际大数据交易所官网图片。
接受客户委托后,律师需要对数据交易所涉及的交易主体(主要指数据卖方)、交易标的(数据产品、API、数据集等)、交易标的的流通(包括场内交易或场外交易)等方面出具详尽的尽调清单(详见附图1“数据交易法律尽调清单”),采取书面审阅、平台核查、公共查询等线上线下相结合的方式进行全面的法律尽职调查,系统性梳理并量化分析交易标的上市流通可能面临的各类法律风险(包括但不限于数据来源风险、数据安全风险、隐私保护风险等),对能否流通交易发表意见,并为交易主体出具相关合规整改建议(详见附图2“数据交易合规评估法律意见书”)。
交易主体合规性至少包括以下内容:交易主体的业务情况、专业资质、特殊主体身份、股权结构、组织架构、数据安全保障能力(例如,在数据安全管理制度、流程、人员培训等方面的管理水平,以及在数据加密、访问控制、监测审计、应急响应等方面的技术措施等)、涉诉及信用情况等。
需要注意的是,交易主体的特殊主体身份主要指是否具备关键信息基础设施运营者、大型网络平台、重要数据或核心数据处理者等身份,核查依据为《网络安全法》《关键信息基础设施安全保护条例》《网络数据安全管理条例》《数据安全技术 数据分类分级规则》等法规标准,同时需结合交易主体是否收到相关主管部门的认定通知、数据产品应用场景、网络平台注册用户数、企业制定的数据分级分类/重要数据识别制度等情况予以核查并综合研判。
交易标的的底层数据来源是否合规,数据权属是否清晰,交易标的数据内容是否包含谨慎交易、禁止交易数据类型,是否满足数据质量、数据处理(例如,数据脱敏、去标识化处理)、数据安全等方面的合法合规性,预设应用场景是否合规、用途是否合理等。
需要注意的是,对于数据内容合规性的评估,需要重点核查数据产品的数据字典、产品交付形态范本(例如本项目中为pdf格式的绿色识别报告)、数据资产清单、数据分类分级及重要数据识别等制度文件。
比较常见的需整改情形包括:1)交易主体按照数据对自身的重要性来标记是否“重要数据”,而非严格按照《数据安全技术 数据分类分级规则》中关于“重要数据”的定义来区分;2)数据资产清单编排不够周密,遗漏了部分数据字段,这需要律师结合底层数据来源的相关文件(如获取途径为外购,则为数据采购合同)、数据字典等文件予以识别,并要求交易主体及时调整。
交易主体是否具备从事数据交易的合法资质,合规数据流通是否存在内外部禁止或限制要求,数据产品传输链路是否安全、是否涉及跨境,数据是否存在再利用与二次交易限制。
需要注意的是,数据产品的常见交付方式包括提供授权账号或调用API接口,交易主体在toB业务场景下有集中、高效提供数据产品的需求,故实践中调用API接口是被大量采用的交付方式。因此,对于交易标的流通安全的合规性评估,需要求交易主体对其数据产品的传输链路予以说明,并重点核查接口文档等文件,分析交易标的是否采取多层次的加密、验签等安全防护措施。
比较常见的需整改情形是,交易主体的API接口仅使用IP白名单访问控制,缺乏多因素认证(MFA),没有使用更强的OAuth2.0或JWT等身份验证机制,存在对未加密数据无法提供数据传输层面安全保障的风险。
交易标的的数据来源通常包括企业自身采集、合法公开渠道获取、购买第三方数据、或获得权利人的授权等途径。需要求交易主体相应提供主体授权文件(例如隐私政策、用户协议、数据授权书等)、爬虫策略文档及爬虫对象列表、数据采买合同或来源方授权文件,以及其他与客户、技术服务供应商签订的协议等资料。
需要注意的是,对于外购型数据资源,应当重点核查相关数据采购协议,并查找双方关于采购数据加工、处理、分析、开发后形成新智力成果(即交易标的)的知识产权等权益的安排。在当前法律法规并未就数据加工使用者与数据资源持有者之间就数据产品/服务的权益归属问题明确规则、司法实践对此也存在较大争议的情形下,我们通常建议交易主体要求底层数据资源的持有者明确放弃就交易标的主张权益,以避免影响交易标的上市交易及流通效率。
另,如底层数据资源的持有者并非最终数据权利人,我们建议要求交易主体至少获取相关主体关于企业运营合规、数据来源合规的书面承诺,如需穿透核查的,分为以下情况:1)前手数据来源于第三方授权的,律师应当审查是否获取相关数据授权文件(例如用户协议、隐私政策等);2)前手数据来源于公开收集的,律师应当审查是否获取爬取公开数据的具体方式、合法性说明、如何应对被爬主体的反爬措施说明等;3)前手数据为公共数据的,律师还应当审查公共数据授权运营相应合同,以及获取数据的行为是否符合政府采购相关规定。
我国在数据资产化价值实现路径上的探索,正逐步形成“数据资源化-数据产品化-数据资产化-数据资本化”的闭环链条。企业在将整理好的数据资源进一步加工处理,转化为具体的数据产品或服务后,接下来的重点即将数据产品或服务转化为企业的资产,并在企业内部进行管理和运营。因此,数据资产入表成为企业的题中之义。
数据资产入表是指将符合标准的数据资源确认为资产负债表中的“资产”,从而能够将相关数据资源形成数据资产的过程更加合理地反映在财务报表中,其核心关键是如何确认数据资产的应用场景和发挥价值,以及数据交易真实可信可追溯和验证、合规确权、成本计量可靠——为实现这一目标,需要制度设计+技术方案+法律合规三位一体的努力。
数据资产入表的流程主要包括数据资源盘点、数据资源治理、数据合规确权、数据资产价值评估、数据资产成本归集与摊销、数据资产列示与披露、数据产品流通运营等七大环节。对此,律师可为数据资产入表提供如下全流程专业化解决方案:
1)律师基于企业自身业务特点和组织特点设计问卷、尽调清单,对企业业务流程中的数据安全及数据处理方式、组织管理制度和技术基础等开展全面而深入的法律尽职调查;
2)根据尽职调查评估结论,向企业提出局部或重点整改方案,出具数据全生命周期的法律风险防控策略清单;
3)聚焦数据内容合规、数据来源合规、数据处理合规及数据管理合规等重点内容,针对不同类型、不同来源的数据分别展开合规评估,对企业是否享有数据资源持有权、数据加工使用权、数据产品经营权的相关权益进行确认并出具相关法律意见;
4)在充分理解数据资产的会计列示与披露类型及标准的基础上,律师将重点关注和提示企业入表数据资产在无形资产或存货等不同科目下披露范围万博体育全站ManBetX、内容和方式的潜在风险和影响,确保企业后续的数据资产入表、数据流通运营等业务合规开展。
律师可以协助企业进行数据合规体检、制定数据合规整改行动计划、落实数据合规整改措施,既避免主管部门处罚之风险,亦实现企业合规管理、上市或者投融资等目标。
律师与企业其他相关人员通过对企业进行数据合规体检后,可结合企业数据合规现状,围绕企业制订数据合规整改行动计划,对企业应当在什么时限内、按照何种优先顺序、采取何种具体措施以满足特定的数据合规要求作出安排,至少包括以下内容:1)企业现状与法律和监管要求之间的差距或不符之处;2)相应的法律规定、监管要求;3)整改工作建议与整改措施;4)对照每项具体措施分配负责落实相关措施的相关责任方;5)对整改工作进展作出时限安排。
需要强调的是,数据合规整改行动计划应当具有可操作性,不仅要契合企业实际情况,更要满足相应的合规目标。例如,在国有企业合规、企业上市、投融资项目中,较为常见的情形是企业个人信息保护工作存在不合规被处罚的风险,为实现企业合规、上市或者完成投融资之目标,企业应当在律师协助下针对尽职调查中发现的可能影响项目目标实现的个人信息保护等问题制定专项整改行动计划(详见下图4),并特别注意与项目总体安排衔接。在企业建立数据合规管理体系的项目中,数据合规整改方案需要综合考虑企业整体合规规划、业务发展、组织结构、企业信息技术系统资源多方面情况。而对于App等数据产品/业务进行可行性论证的数据合规整改项目(详见下图5),在确保符合法律和监管要求的底线的同时,还要考虑业务和商务上的可行性。
