企业数据五大来源：确保合法与安全的关键

《数据安全法》第三十二条第一款为企业和个人在数据收集方面设定了明确的原则，即必须采取合法、正当的方式，严禁任何窃取或非法获取数据的行为。基于这一法律精神，企业获取数据的方式可以归纳为以下五种，每种方式都蕴含着特定的操作规范和法律要求。

一、自行生产数据： 企业在日常经营、科研、生产活动中产生并收集的数据

自行生产数据是企业内部运营、科研及生产活动中自然产生并收集的信息资源。这类数据主要包括APP的日活跃量、生产线上的测试数据等，它们直接源于企业的日常运作，不涉及外部的数据收集行为。在自行生产数据的过程中，企业虽无需对外部收集手段进行严格审查，但仍需确保数据本身的合法性。这意味着， 企业需建立健全的数据管理制度，对产生的数据进行科学分类，并根据数据的敏感程度和重要性，采取相应的存储和保护措施。 例如，对于核心数据，企业应实施加密存储、容灾备份和存储介质安全管理等策略，以确保数据的安全性和完整性。

二、公开收集数据： 以爬虫/RPA等方式收集数据

公开收集数据主要通过爬虫、RPA（机器人流程自动化）等技术手段，从互联网等公开渠道获取数据。在进行公开数据收集时，企业必须严格遵守法律法规， 不得危害国家安全、公共利益，也不得非法采集受监管的数据， 如重要数据、核心数据、国家秘密等。同时，数据采集方式必须合法、正当， 不得违反Robots协议或突破对方的反爬虫措施，也不得损害被抓取方的权益或妨碍其服务的正常运行。 当收集的数据涉及企业商业秘密或个人信息时，企业还需尊重信息主体的意愿，获得必要的授权同意，确保数据处理的合法性。

【相关阅读】 高德数据产品“拥堵延时指数”被擅自抓取牟利 法院一审判赔1250万元

三、直接采集数据： 通过用户自主提供、第三方组件或设备采集的数据

直接采集数据是指企业通过用户自主提供、第三方组件或设备直接获取数据的方式。在用户自主提供数据的情况下，企业需确保用户对数据的授权完整，并在隐私协议或告知声明中明确收集数据的种类、处理方式及目的等，同时取得用户的明示同意。对于涉及个人信息、未成年人信息、敏感个人信息或企业商业秘密的数据，企业还需遵循更为严格的法律规定，确保数据采集的合法性和正当性。此外，通过设备或第三方组件采集数据时，企业也需确保设备的安全性和数据安全保护能力，并遵守相关法律法规和行业标准。

四、合法间接获取数据： 通过协议购买、共享等方式获取数据

合法间接获取数据是指企业通过协议购买、数据共享等方式从其他组织或个人处获取数据。在进行数据交易时，企业应审查数据供方的数据来源是否合法、处理与交易相关数据是否具有相关授权，并确保数据本身可以进行交易。对于涉及重要数据、国家秘密等敏感信息的数据交易，企业还需取得相关部门的同意或许可。同时，在数据交易过程中，企业应遵守公平、公正的原则，不得侵犯他人的知识产权或进行不正当竞争。

五、公共数据授权运营

公共数据授权运营是指企业在政府部门的授权范围内，对公共数据进行开发利用，并提供相应的产品和服务。在进行公共数据授权运营时，企业必须严格遵守法律法规和政府部门的相关规定，确保数据的安全性和合规性。未经依法开放的公共数据不得进行交易，且公共数据及相关产品和服务的交易可能需要在政府指定的平台等处进行备案。此外，企业还需关注前手数据提供者向公司提供数据是否违反其与政府部门的在先协议约定，以避免潜在的法律风险。

内容参考整理自：9月8日北京大学数据资产与企业数字战略研修班第五期课程授课老师江翔宇课件：《 数据资产入表合规及相关法律问题》，老师简介：上海市协力律师事务所高级合伙人、法学博士 江翔宇，文章转载请添加微信：pe2048(请备注“转载”) ‍ ‍