如前所述,
现阶段数据资产入表的主要路径有哪些?
数据资产入表确权如何证明?
数据资产入表需以数据合规基础上的确权为基础和前提 。也即,在数据资产入表前,无论企业自身或通过中介机构,需对拟入表数据资源进行合规性评估,或称其为入表合规, 其与企业数据合规的关系我们认为可做如下
理解:
首先, 企业数据合规是一段时间内的动态概念, 指在企业生产经营过程中一切与数据有关的行为活动均需符合法律法规的要求,而入表合规是企业数据合规中某一时点上的静态判断, 指在企业进行数据资产入表时对拟入表数据资
源进行的合规性评估。
其次, 企业数据合规是入表合规的事实基础和判断依据,
入表合规本质上是对数据资产入表这一时点之前企业数据合规的总结和确认
, 在数据资产入表
前如果没有落实企业数据合规, 自然也就不存在入表合规。
再次,入表合规系事实判断, 其在特定时点下不能改变和弥补,若对某一数据资源的入表合规作出否定性评价, 则只能通过事后企业数据合规的完善来改变其事实前提 。例如,一企业提供云服务,在未经授权的情况下即擅自备份客户储存在云端的数据,在对其进行处理加工后形成数据产品,并拟将相关数据产品入表。此时该数据产品的入表合规性显然是否定的, 这是由企业在利用相关数据时不符合企业数据合规要求所造成, 在这一时点, 入表合规的否定评 价已成定局,无法改变。但倘若该企业事后获得了相关数据主体的授权与追认,弥补了相关数据在利用时的不合规瑕疵, 此时若再次对相关数据产品做入表合规评估, 则会由于事实前提的改变而获得肯定性评价, 符合数据资产入表“合
法拥有或控制 ”的要求。
最后,我们认为,企业数据合规主要可以分为数据来源合规 、数据处理合规、数据经营合规、数据管理合规,但具体到企业数据资产入表阶段, 最应当
关注的是数据产品的数据来源合规与数据处理合规两部分。
(一) 数据来源合规
目前,企业获取数据的方式主要有以下几种:
自行生产、公开收集、直接收集 、间接获取等
,需要根据不同的收集方式及应用场景, 具体认定相关数据来源的合法合规性 。
-
自行生产
企业自行生产的数据, 即企业在日常经营 、科研 、生产等活动中产生并收集的数据,如APP的日常活跃量数据、企业生产线上的测试数据等。在此种情形下,由于企业获取数据的过程中不涉及外部收集,故对相关数据的来源合规性进行审查时,可以相对弱化对数据收集手段的审查 。但应注意,企业应在数据的产生和收集阶段按照法律规定做好数据分类分级,并对不同种类、不同等级的数据采取不同的存储措施, 实施重要数据加密存储 、灾容备份和存储介质
安全管理等措施。
2.公开收集
公开收集系指企业通过爬虫 、RPA等技术手段,采集已公开的信息。此种
情形下,在审查数据来源合规性时,应重点审查以下方面:
( 1) 数据采集不得危害国家安全 、公共利益 。
例如,企业不得采集受监管的数据, 包括重要数据、核心数据、国家秘密、情报信息等;企业在采集数据 时不得侵入国家事务、国防建设、尖端科学技术领域计算机系统;企业不得非法侵入其他特定组织的计算机系统;企业不得在未经授权的情况下侵入国家关
键信息基础设施采集数据。
(2) 数据采集方式需合法、正当 。
例如,在使用爬虫采集公开信息时,企业不能违反目标网站的 Robots协议或突破其设置的反爬取措施爬取数据;企业的数据抓取行为不得干扰目标网站的正常运行;若拟采集的公开数据涉及其他
企业商业秘密的,需尊重信息主体的意愿, 获得企业的授权同意。
(3) 数据采集不得损害个人的合法权益,收集和处理个人应具备合法性基
础。
(4) 数据采集的目的应合法正当,不得侵犯他人知识产权、不得涉及不正
当竞争。
3.直接采集
直接采集系企业通过用户自主提供或通过自由设备收集的数据。
( 1)
通过用户自主提供数据的, 用户对数据的授权应当完整。例如以APP 、小程序、信息表单等方式收集用户收据的,需要在隐私协议或告知说明中明确收集数据的种类、处理方式及目的等,并获取用户的明示同意。以此种
方式采集数据的, 应重点关注以下内容:
采集的数据涉及个人信息的,需满足个人信息采集的合法性基础;采集的数据涉及未满十四周岁未成年人的,需取得其监护人的自愿、明确同意;采集的个人信息数据敏感个人信息的,需取得单独同意;采集的数据涉及企业商业
秘密的, 应取得企业的明示授权同意。
(2)
通过自有设备采集数据的, 应重点关注以下内容:
通过委托/租用/购买的第三方设备或自有设备采集数据的,均应确保设备的安全性及数据安全保护能力;收集特殊领域数据的,需具备相关资质,例如收集道路信息的,可能需要具有测绘资质;收集的信息涉及个人信息的,应对个
人信息进行匿名化处理,或具备其他个人信息采集的合法性基础。
4.间接获取
间接获取系指通过协议、共享等方式获取相关数据,从交易渠道上看,可以分为场内交易和场外交易 。场内交易即在各地数据交易所内进行交易,目前,大部分数交所均要求数据产品提供方对数据产品进行合规性评估。以上海数据交易所为例,数据产品需通过第三方专业机构的实质审核及数交所的形式审查后方能挂牌交易。场外交易的情况下,目前除征信行业等特殊监管行业外,并无强制审查拟交易数据的要求,但对于数据需方来说,若拟将购入的数据确认
为数据资产, 应确保其对相关数据的权利不存在瑕疵。
无论场内交易还是场外交易,若数据需方拟将购入数据产品确认为数据资产, 均应重点关注以下内容:数据供方的数据来源是否合法 、其处理与交易相关数据是否具有相关授权;数据本身能否进行交易, 如核心数据 、国家秘密、情报信息、个人生物识别信息原则上不允许交易;涉及重要数据的,数据供方是否取得相关部门的同意或许可, 例如,全国范围内二十年以上的气象数据具
有一定的敏感性,原则上企业只能从国家气象局获得该数据;特殊需求场景下数据供方是否具有相关资质,例如,金融机构获取个人信用信息用于征信业务的,数据供方一般需为持牌征信机构。
此外,企业如果是数据的受托处理者的,根据《个人信息保护法》,受托人应当按照约定处理个人信息, 不得超出约定的处理目的 、处理方式等处理个人 信息;委托合同不生效 、无效 、被撤销或者终止的,受托人应当将个人信息返 还个人信息处理者或者予以删除, 不得保留 。未经个人信息处理者同意, 受托
人不得转委托他人处理个人信息 。非个人数据的委托处理, 亦应遵循类似要求。
(二) 数据处理合规
企业处理数据的一般性合规要求为:合法 、正当 、必要 、保障数据主体权
利 。具体来讲, 应重点关注以下方面:
-
数据处理需符合授权范围
企业处理数据的范围应当合理, 处理目的应当合法 、正当 。企业进行数据处理的范围应为数据主体授权范围和协议约定范围, 或其公示的使用规则中所承诺的数据处理范围 。企业不得将收集的数据用于非法目的,不得使用非法手段或以非法形式使用数据 。若超出前述范围处理数据,则可能构成民事违约和
侵权、行政违法,经企业处理产生的数据产品等也会存在权利瑕疵。
2.数据处理行为需分类分级管理
企业应建立数据分类分级管理体系,在处理不同类型的数据时,采用相应程度的行为规范和管理制度。尤其是当企业处理的数据涉及个人信息 、重要数据 、核心数据时,应确保处理行为符合相关规定 。例如,企业在处理重要数据、核心数据时,相关数据应存储在境内,非经批准不得向境外提供;企业处理涉及个人信息的数据时, 应满足《个人信息保护法》第13条所规定的合法性基
础。
