2022年6月22日,中央全面深化改革委员会第二十六次会议审议通过《关于构建数据基础制度更好发挥数据要素作用的意见》,要建立数据产权制度,推进公共数据、企业数据、个人信息相关数据分类分级确权授权使用,建立数据资源持有权、数据加工使用权、数据产品经营权等分置的产权运行机制,健全数据要素权益保护制度。要建立合规高效的数据要素流通和交易制度,完善数据全流程合规和监管规则体系,建设规范的数据交易市场。要建立合规高效的数据要素流通和交易制度,完善数据全流程合规和监管规则体系,建设规范的数据交易市场。
第二十六次深改委会议后数据交易的顶层设计已然基本明确,上海、深圳各地对数据交易市场和数据交易规则的探索如火如荼。但是相关的数据流通和数据交易法律设计和落地依然需要完善,并非2021年的《数据安全法》《个人信息保护法》所能完全覆盖。
2021年生效的《数据安全法》第三十三条规定,从事数据交易中介服务的机构提供服务,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。该条为数据交易中的数据提供方的审查提供了基本法律要求。本文认为数据交易无论通过场外方式还是通过数据交易所场内或其它方式进行,对数据提供方及其数据产品的合规审查都是数据交易合规的重点。
part 01 数据交易中对数据提供者合规审查的一般性要求
(一)数据提供者资质的审查
1. 业务资质的审查
数据处理者应当具有数据处理的业务资质。《数据安全法》第三十四条规定「法律、行政法规规定提供数据处理相关服务应当取得行政许可的,服务提供者应当依法取得许可。」
如《电信条例》第九条规定,经营基础电信业务,须取得《基础电信业务经营许可证》;经营增值电信业务,须取得《跨地区增值电信业务经营许可证》或《增值电信业务经营许可证》。
《互联网信息服务管理办法》第七条规定,从事经营性互联网信息服务,应当办理互联网信息服务增值电信业务经营许可证。国家互联网信息办公室《移动互联网应用程序信息服务管理规定》第五条规定,通过移动互联网应用程序提供信息服务,应当依法取得法律法规规定的相关资质。
在实务中,通常数据提供者需要根据经营范围、数据种类、具体业务模式和技术部署等,取得相应特定行政许可。除明确规定需要取得行政许可的业务之外,监管部门的一些规定实际也创设了行政许可要求,如国家互联网信息办公室关于《网络数据安全管理条例(征求意见稿)》第四十三条规定「日活用户超过一亿的大型互联网平台运营者平台规则、隐私政策制定或者对用户权益有重大影响的修订的,应当经国家网信部门认定的第三方机构评估,并报省级及以上网信部门和电信主管部门同意。」《区块链信息服务管理规定》第十一条规定,区块链信息服务提供者应当在提供服务之日起十个工作日内履行备案手续,通过国家网信办区块链信息服务备案管理系统进行备案。
2. 数据提供者的网络安全等级保护测评
2017年《中华人民共和国网络安全法》第二十一条明确规定,国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。此后,《密码法》《数据安全法》《个人信息保护法》《关键信息基础设施保护条例》《网络产品安全漏洞管理规定》等法律法规相继出台,等保工作成为衡量企业信息安全的重要标准,同时也是国家基本信息安全制度要求。
等级保护是对数据产生的机构的安全管理的要求,虽然不可证明其提供的数据本身的合规属性,但是可以证明其数据产生的业务系统边界的安全。
依据现行监管要求,所有网络运营者、所有网络系统均应当属于网络安全等级保护范围,依据公安部《关于落实网络安全保护重点措施深入实施网络安全等级保护制度的指导意见》,所有网络系统均被纳入等级保护定级范围,包括基础网络、业务专网、信息系统、云平台、工控系统、物联网、采用移动互联技术的系统、大数据等。
《网络安全法》第二十一条规定,国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。作为网络运营者的数据提供者不仅应落实网络安全技术保护措施,还应落实网络安全保护管理制度,否则可能违反网络安全保护义务,依据《网络安全法》第五十九条的规定被处以行政处罚「网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。」
目前法律上尚未对所有网络运营者均需做等保测评的要求,但是实践中存在模糊之处,例如网络运营者的范围难以界定,对于相关法律法规明确需要确定等级保护标准的网络运营者,操作上必须按照相关规定和标准严格执行做等保测评,而如主张非网络运营者等亦应做出评估排除风险,因此对于涉及数据处理的企业,如果涉及数据交易,建议均通过相关等保测评机构对自身进行定级。
(二)数据来源的合规审查
1. 数据类型
目前法律上未明确规定可以进行交易的数据类型,尚无可以进行交易的数据类型的正面清单,但可从负面清单角度分析可以交易的数据类型。目前可交易的数据产品不应包含(并非同一维度的分类,而仅仅是基于负面清单的角度):
- 未经权利人同意的个人信息相关数据(取得权利人合法同意的个人信息相关数据能否交易应无禁止);
- 可能危害国家安全和公共利益的数据,包括任何核心数据以及未经政府主管部门同意交易的重要数据;
3. 其它法律法规禁止交易的数据。
(1)个人信息相关数据
个人信息相关数据在商业环境中是具有较高价值的数据类型,如何在保护隐私权、人格权基础上实现个人信息相关数据的有效合规利用是一个难题也是一个必须解决的问题。《个人信息保护法》生效后,不合规的个人信息相关数据交易将面临法律的严厉处罚。
众多法律规范或标准均提及关于个人信息相关数据交易或转让的问题,尽管表述存在差异,但均可归纳为未经过合法权利人授权同意的个人信息禁止交易。数据接收方应审查数据提供方所提供之数据是否包含未经合法权利人授权同意的个人信息,但由于巨大的授权成本,实践中往往无法获得全部个人信息主体的授权。
《个人信息保护法》第四条规定:「个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。」实践中,一般认为如数据提供者的数据提供的数据为匿名化数据,则理论上应成为可以交易的数据无疑。
但是匿名化的界定和实现在实践中争议很大,导致的法律后果不确定性也很大。而去标识化的思路严格来说并不能完全等同于匿名化,数据接收方依然可能识别到个人,仍然需要取得个人信息主体的单独同意,基于去标识化思路的数据交易存在法律风险。
鉴于数据交易的特点,例如数据的可复制性、个人信息相关数据交易的法律不确定性等问题,要推动数据交易尤其是个人信息相关数据交易的合法合规前提下的快速发展,一方面需要在法律层面的制度构建,解决数据权属等疑难问题,另外一方面需要通过隐私计算等技术手段辅助解决数据交易的一些难点问题,实现数据的可用不可见。
在交易双方或多方在处理个人信息相关数据的场景中,可采用征得数据主体(个人)的「同意」,或实现「匿名化」两种合规路径。
其中,如采取「同意」路径,需告知相关个人明确的数据处理行为征得同意并备案存证。如采用「匿名化」路径,则在数据流通过程中,数据相关处理方(包括:提供方、加工方、使用方等机构)需保障全过程中的数据处理行为满足数据「无法识别特定个人且不能复原」的法律要求,并留存相关存证以达到匿名化的效果证明。
因此采取匿名化合规路径的参与方,可使用特定技术、标准、或互相兼容的技术框架,在各自数据管理范围内(数据域内)执行数据去标识化处理,并证明全过程中各方数据处理行为(提供、加工、传输、使用等)均在可证明的匿名化情况下实施,达到流通过程满足合规性要求。
(2)重要数据及核心数据
2021年《数据安全法》提出了国家建立数据分类分级保护制度,确定了重要数据和核心数据概念,各地区、各部门确定重要数据具体目录,并强调对列入的数据进行重点保护。
2021年《网络数据安全管理条例(征求意见稿)》和2022年《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》,均对重要数据和核心数据进行定义。随后2022年《重要数据识别规则》发布,对重要数据的识别因素进行列举。
《网络数据安全管理条例(征求意见稿)》第五条第二款:「国家对个人信息和重要数据进行重点保护,对核心数据实行严格保护。」
依此,重要数据可交易范围大于核心数据,交易受限程度大于一般数据,核心数据应不能成为数据交易的对象。
所交易数据若包含重要数据,数据接收方应审查以下内容:
第一,是否取得相关部门的同意或许可。重要数据可能涉及国家安全、经济运行、社会稳定、公共健康和安全等方面,所以数据提供者在交易重要数据前,应征得主管部门的同意或许可,确有必要或可能涉及国家秘密的,应当经过国家保密行政管理部门的审核,排除国家机密范围后,再进行交易;
第二,是否进行数据安全风险评估。数据安全风险评估主要以发现国家关键信息基础设施行业数据安全方面的大风险、大隐患为主要目的,在数据识别、法律遵从、数据处理、支撑环境和特殊场景数据跨境流动安等方面开展风险评估。第三,是否超出协议约定的范围。重要数据提供者与接收方之间应通过数据交易协议或其他方式,明确约定处理数据的目的、范围、处理方式,数据安全保护措施等,不得超出约定的目的、范围、处理方式处理重要数据。
(3)公共数据
公共数据秉承共享和开放原则,不允许直接交易。例如《上海数据条例》第三十八条规定,公共管理和服务机构之间共享公共数据,应当以共享为原则,不共享为例外。公共数据应当通过大数据资源平台进行共享。第四十一条规定,本市以需求导向、分级分类、公平公开、安全可控、统一标准、便捷高效为原则,推动公共数据面向社会开放,并持续扩大公共数据开放范围。
2021深圳市发布的《深圳经济特区数据条例》第六十七条规定,交易的数据产品和服务包含未经依法开放的公共数据禁止交易。因此公共数据不应该直接被交易,但是含有公共数据的数据产品和服务在公共数据系依法开放时可以进行交易。
此外,授权运营应也是公共数据合法交易的一种渠道,根据《上海数据条例》第四十六条还对公共数据授权运营做出规定,规定通过公共数据授权运营形成的数据产品和服务,可以依托公共数据运营平台进行交易撮合、合同签订、业务结算等;通过其他途径签订合同的,应当在公共数据运营平台备案。
2. 数据来源的合法
《数据安全法》第三十二条第一款明确指出,「任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。」
在数据交易的情境下,数据来源的方式「合法、正当」是企业固定与构筑自身数据资产的第一步,也是数据产品得以交易的首要原则。《上海市数据条例》第十三条规定「自然人、法人和非法人组织可以通过合法、正当的方式收集数据。收集已公开的数据,不得违反法律、行政法规的规定或者侵犯他人的合法权益。法律、行政法规对数据收集的目的和范围有规定的,应当在法律、行政法规规定的目的和范围内收集」,第十四条也明确「自然人、法人和非法人组织对其合法取得的数据,可以依法使用、加工。法律、行政法规另有规定或者当事人另有约定的除外。」
合法的数据来源包括:公开数据收集,指通过爬取等方式获取公开数据,应当说明其合法正当;自行生产,应当其系统运行和记录形成情况;合法间接获取,应当提供购买协议或许可使用协议等;合法的直接采集,涉个人信息的数据已经获得个人同意,或者遵循数据采集合法基础的其他来源,例如数据产品的数据来源于企业与政府大数据中心通过公共数据授权运营合作方式获得。
此外,数据提供者不仅需审查直接数据提供者的数据来源是否合法合规,如数据提供者的数据系间接采集,则也应当穿透审查数据提供者之数据提供者的数据来源合法性,向上穿透审查以保证上层的数据采集、处理、加工都在合法范围内。
(三)数据提供者的数据处理合规审查
1. 数据提供者可以处理的数据
《民法典》第一千零三十五条第二款规定,个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。《数据安全法》第三条规定,数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。《数据安全法》第三十二条规定,应当在法律、行政法规规定的目的和范围内收集、使用数据。《个人信息保护法》第五条规定,处理个人信息应当采用合法、正当的方式。
从上述法律规定来看,数据处理的概念均包括收集、存储、使用、加工、传输、提供、公开等。数据接收者应全面审查数据提供者提供的数据授权相关协议,确保相应的数据获取协议不会对后续数据产品的形成和流通形成障碍。
数据接收者应审查数据提供者提供的数据是否属于在先数据授权相关协议的范畴,是否超过数据权利主体的授权范围。《信息安全技术网络数据处理安全要求》GB/T 41479 第5.2 条规定,从个人信息主体以外的其他途径获得个人信息的,应了解个人信息来源、个人信息提供方已获得的个人信息处理授权同意范围,并按照该文件的要求履行安全保护义务。因此数据接收者应谨慎甄别并核实个人信息提供方的授权真实性及个人信息处理授权同意范围,避免因提供方侵犯个人信息主体合法权益而承担连带责任。
2. 数据提供者处理数据时的保障措施
数据接收者除本文「一、一般场景下对数据提供者的合规审查」的审查以外,还应当关注数据提供者的数据安全保护能力,审查数据提供者是否全面履行了《网络安全法》《数据安全法》《个人信息保护法》及相关的现行有效的法规项下对于企业的整体义务,企业应当构建起以组织为保障、以制度为贯穿、以安全为基石的数据保护体系,包括设立专人负责、建立管理制度和流程、搭建安全防范机制等。
如《网络安全法》第二十一条、《数据安全法》第二十七条、《个人信息保护法》第五十一条都强调数据处理者应当采取措施确保数据处理活动符合法律、行政法规的规定,并防止未经授权的访问以及数据泄露、篡改、丢失,包括但不限于:网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;采取数据分类、重要数据备份和加密等措施;建立健全全流程数据安全管理制度;组织开展数据安全教育培训;采取相应的技术措施和其他必要措施,保障数据安全;建立风险数据安全管理的策略与标准,采取有效技术措施,保障借款人风险数据在采集、传输、存储、处理和销毁过程中的安全等。
part 02 特殊法定场景下的数据提供者合规审查的进一步要求要点
(一)数据交易所、数据交易中心等场内(类场内)交易场景中的数据提供者审查
目前国内的数据交易场所建设如火如荼,除了以数据交易所命名有国家层面相关政策支持的数据交易场所之外,很多省市也在建设在法律依据、交易模式等方面较为模糊的数据交易中心,本文将其视为场内或准场内数据交易。但是多数场内模式的数据交易平台交易规则均明确要求挂牌交易的数据提供方需要请第三方中介机构对数据产品合规性进行评估。
以上海数据交易所为例,根据相关公开信息,其试运行阶段数据产品交易的流程大致为:数据提供者通过合规评估的数据集或数据服务在上海数据交易所经审核后公开挂牌,数据需求方应当依照场景需要对挂牌数据进行点选,供需双方自主确定交易价格和交付方式,通过上海数据交易所签订交易合同后进行交易,交易合同应载明数据内容、应用场景、交易价格、交付方式等。对于数据提供者的合规评估主要由数据提供者聘请外部律师事务所等中介机构进行,首先需关注公司基本情况,确定数据交易主体具备法律所规定的从事民事活动的主体资格及行为能力,具备进行数据交易行为的主体资格。
其次需关注数据提供者所提供的数据产品是否具有合法来源。再次,需关注该数据产品的可交易性,审查其知识投入情况及注入劳动情况。此外,需在具体场景下关注数据产品的流通风险。实质上场内数据交易的数据提供者的评估和场外数据交易并无实质区别,只是场内交易在合规评估的具体标准相对更高。
(二)征信场景下的数据提供者审查
根据《征信业务管理办法》,征信业务,是指对企业和个人的信用信息进行采集、整理、保存、加工,并向信息使用者提供的活动。信用信息,是指依法采集,为金融等活动提供服务,用于识别判断企业和个人信用状况的基本信息、借贷信息、其他相关信息,以及基于前述信息形成的分析评价信息。该办法还规定,从事个人征信业务的,应当依法取得中国人民银行个人征信机构许可;从事企业征信业务的,应当依法办理企业征信机构备案;从事信用评级业务的,应当依法办理信用评级机构备案。
无论企业征信机构还是个人征信机构,对外提供征信产品的实质上是在对外有偿提供数据产品,某种程度上是一种受强金融监管的特殊数据交易。
1.征信机构对数据提供者的审查
数据提供者,是指向征信机构提供数据的主体。
(1)数据提供者为个人
如征信机构单独采集个人的信息,需要确认采集对象是否为数据权利主体,采集范围是否属于授权范围之内,是否不当采集了法律禁止采集的内容,如《征信业管理条例》第十四条规定,禁止征信机构采集个人的宗教信仰、基因、指纹、血型、疾病和病史信息以及法律、行政法规规定禁止采集的其他个人信息。征信机构不得采集个人的收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息。但是,征信机构明确告知信息主体提供该信息可能产生的不利后果,并取得其书面同意的除外。
(2)数据提供者为企业
《征信业务管理办法》第九条规定,信息提供者向征信机构提供信用信息的,征信机构应当制定相关制度,对信息提供者的信息来源、信息质量、信息安全、信息主体授权等进行必要的审查。
因此,征信机构应当参照上述「一般场景下对数据提供者的合规审查」,对征信信息的信息提供者进行必要的审查。在通过信息提供者采集信用信息的场景中,征信机构往往通过信息提供者取得个人同意,征信机构应当确认信息提供者是否向信息主体履行了告知义务。
此外,征信机构应当依据《征信业务管理办法》第十条的要求,与信息提供者通过协议等形式明确信息采集的原则以及各自在获得客户同意、信息采集、加工处理、信息更正、异议处理、信息安全等方面的权利义务和责任。
2. 数据使用者对征信机构的审查
数据使用者,是指从征信机构获取数据的主体,征信机构此时也是数据提供者的角色。征信业务是持牌业务。《征信业务管理办法》第四条规定「从事个人征信业务的,应当依法取得中国人民银行个人征信机构许可;从事企业征信业务的,应当依法办理企业征信机构备案;从事信用评级业务的,应当依法办理信用评级机构备案。」数据使用者应当首先确认提供征信信息的机构是否为合规持牌机构。
2021年7月,人民银行征信管理局要求网络平台机构在与金融机构开展引流、助贷、联合贷等业务合作中,不得将个人主动提交的信息、平台内产生的信息或从外部获取的信息以申请信息、身份信息、基础信息、个人画像评分信息等名义直接向金融机构提供,业界将其称之为网络平台与金融机构之间个人信息的「断直连」。
《征信业务管理办法》第五条规定「金融机构不得与未取得合法征信业务资质的市场机构开展商业合作获取征信服务。」
如果数据使用者(主要是金融机构和类金融机构)从不具有征信牌照的机构获得征信范围的信息,则可能受到监管部门的处罚。其次,审查征信机构的信息采集方式,是否存在《征信业务管理办法》第八条规定的欺骗、胁迫、诱导;向信息主体收费;从非法渠道采集等以侵害信息主体合法权益的方式采集的情形。数据使用者应审查个人征信机构采集个人信用信息的方案,确保个人征信机构采集个人信用信息,采取合法、正当的方式,遵循最小、必要的原则,不存在过度采集。
此外,数据使用者应要求征信机构提供相应的证据或承诺表明其已采取合理措施,保障其提供信息的准确性,其整理、保存、加工信用信息,已遵循客观性原则,未存在篡改原始信息的情形。
part 03 对于数据提供者和数据接收者的初步建议
(一)应关注数据来源的合规性
应重视数据的合规采集、收集,存在完善的数据处理相关记录及合规证明材料。由于各行各业的数据收集标准、规定各不相同,应结合所属行业的要求与规定确认开展的数据收集活动是否合规。
如数据提供者并非所提供数据的原始来源,则应当穿透审查数据来源并留存相关审查记录,且要求被审查方提供相应合规证明并出具承诺,确保获取的数据来源合法可追溯。此外,应注意数据获取方式与企业实际应用场景相符,在数据采集时规范签署方式,避免存在「一揽子」授权或《隐私政策》不规范或超范围收集数据等情况。
(二)应采取有效的数据安全保障措施
《数据安全法》对于数据安全制度的建立与数据安全保障措施的采取提出了法律层面的要求。企业应根据业务的发展不断更新、调整制度,根据《数据安全法》明确规定的数据安全与发展的原则性规定和管理要求以及《个人信息保护法》对于个人信息的处理规则等,结合企业内部实际情况,建立企业内部员工个人信息相关数据和企业数据的全生命周期保护机制。
同时应建立事后反馈、问题跟踪、宣传教育的制度,以促进企业长期合规发展。
双方也都应通过技术处理措施调整数据处理方法并依据技术手段对其数据处理全流程进行记录,保障数据来源合法以及处理全流程清晰、可追溯。
(三)数据提供者应确定数据合规评估标准并及时更新
数据接收方如长期有数据需求,可以根据所需数据所在行业及领域、数据采集的目的、数据的方式及类别建立针对数据提供者的合规评估标准。结合现有的数据安全及个人信息保护法律法规、国家行业标准,制作评估数据提供者业务、安全控制等信息的评估表,根据数据提供者的具体情况和数据采购的具体场景选择适用于该领域数据提供者的评估标准。
(四)数据接收方应定期审查数据提供者的合规情况
对数据提供者应当按照法律法规要求(如有)开展定期或不定期回访、定期审计或审查,以监督数据提供者是否满足标准或根据检查中发现的问题及时要求改进。
数据接收方可以要求在协议或合同中约定事后评估标准、频次,要求数据提供者配合提供相应材料,为数据接收方的审查提供便利条件,用于验证数据处理是否符合数据安全及个人信息保护法律法规的要求和标准以及企业根据自身业务提出的要求。 - 江翔宇,法学博士,上海市协力律师事务所高级合伙人;上海市法学会金融法研究会理事、上海金融业联合会金融法治研究会理事、ITL智能投研技术联盟研究发展部负责人(志愿者);上海仲裁委员会仲裁员、上海国际仲裁中心仲裁员;先后在金融监管部门、外资证券公司、政府基金和头部互联网企业负责法律合规管理工作。律师助理管心竹对本文亦有支持。
- 宋璟、邸丽清、杨光、都婧,载《中国信息安全》2021年第9期。
- 具体请见作者撰写的《2022数据交易合规法律报告》,链接地址为https://mp.weixin.qq.com/s/GmAT-XmdzcoLuI9Mbv1QdA。
