在前文,我们从宏观层面探讨了数据交易的主体和数据产品合规评估的要点,从中观层面讨论了企业信用、数据产品类型及用途对合规审查的影响。以上较为简略的讨论了数据交易合规的相关问题,之后进入微观层面,我们将着重分析数据产品本身,从合法性、可交易性和流通性等角度,细致讨论数据交易中可能涉及的标准和问题。本文首先讨论的是数据来源的合法性,根据数据采集的不同手段,我们将数据来源分为四类:公开收集的、自行生产的、直接采集的和间接获取的。本文将概括介绍以上四类数据来源,分析其合法性标准,同时也为之后的各类来源的细致讨论打下基础。考虑到目前大多数交易所的交易规则正在制定,尚未颁布,我们的观点和结论将结合现有的或正在制定的相关规范、标准、政策和文件,供业内人士探讨。
一、概述
数据交易作为目前热门话题,而作为数据产品交易基石的数据本身更是重中之重。我们认为,一个数据产品,除企业背景调查这类常规事项外,首先要审查的就是其数据来源的合法合规性。数据来源不合法或不合规,将直接否决该数据产品的合规性,也就更无从谈起进入市场进行交易。结合数据收集的不同手段,我们将数据的来源分为四类:公开收集、自行生产、直接采集和间接获取。
二、数据来源:公开收集
讨论该问题时,首先要明确两个概念问题,开放数据和公开数据。开放数据一般指任何人均有权获取并无条件使用的数据,而公开数据是指任何人都有权利访问,但只能在—定的条件下获取并使用的数据。其二者的区别在于能否无限制的获取并使用。
开放数据没必要讨论其来源的合法性,所以我们在此讨论的是公开数据的采集。
现今互联网领域,采集公开数据的主要手段是爬虫技术。数据爬虫是一种按照一定规则自动抓取互联网信息的程序或者脚本,通过编程模拟人类访问网站,从而自动实现对目标站点和目标信息的批量获取。
关于爬虫技术收集手段的合法性边界,我们认为可从几个角度考虑。
1. 取得数据的手段是否合法
我们认为,爬虫技术是中立的,但在使用时需要在技术的应用上对其使用的合法性进行限定,即划定爬虫技术合法使用的边界。合法的网络爬虫应当限于数据访问控制或robots协议约定的范围。
数据权利方基于其特定目的可以开放和共享数据,但是同样也有权采取措施禁止或限制对数据的访问或获取。一旦数据收集方采用爬虫技术绕开或者侵入该数据控制,则该行为是具有侵略性的,我们认为是不合法的。
如果数据权利方在robots协议或网页中告知了爬取的范围以及其他应遵守的义务,数据收集方超出了约定或告知范围,没有遵守相应义务,该行为具有违约性,我们认为这是不合法的。
2. 该数据使用目的是否合法
如果收集的目的是实质性替代被收集经营者提供的部分产品内容或服务,则我们认为是不合法的。
3. 该收集是否会造成损害
若该收集手段实质上妨碍被收集经营者的正常经营,不合理的增加运营成本,破坏其系统正常运行,则我们认为是不合法的。
三、数据来源:自行生产
自行生产的数据指的是企业自身在经营、科研、生产过程中产生的数据,包括但不限于研发数据、生产运行数据、管理数据、运维数据、业务服务数据等。该类数据在数据交易中多采用数据包或数据API接口的形式,为其他企业的研究、经营提供数据支持。因该类数据的收集来源仅涉及企业自身,故我们认为自行生产的数据来源的合规审查重点在于企业数据分类、安全和记录。
在《工业和信息化领域数据安全管理办法(试行)》(征求意见稿)中,根据数据的行业要求、特点、业务需求、数据来源和用途等因素,将数据分为了一般数据、重要数据和核心数据。在审查过程中,需要审查不同数据等级的数据安全机制,保障在数据交易过程中,不会发生数据安全问题和泄露风险。
同时,针对不同的数据类型,审查时要求提供的证明文件也是不同的,例如,针对生产数据,可能要求企业提供其生产的控制信息、工况状态、工艺参数、系统日志等;针对运营数据管理数据,则要求企业提供设备信息、数据库模型、客户数据及运维日志等。
四、数据来源:直接采集
该采集数据可分为个人信息数据采集和非个人信息采集。
针对非个人信息采集,该采集手段一定程度上与公开收集相重合,但又因为其行业的不同,故需按照相应行业数据规定审查其采集合法性,较为复杂,本文暂不讨论。
针对个人信息采集,个人信息能否交易的问题,我们认为将个人信息去标识化,切断逆向追诉个人途径,将信息转化为数据后,是可以进行交易的。
关于个人信息收集的合法性问题,除了依据《个人信息保护法》的同意、合理及最小化三个原则外,一些相关标准和规定也应当纳入作为审核依据,例如,《常见类型移动互联网应用程序必要个人信息范围》,《信息安全技术-个人信息安全规范》《信息安全技术-个人信息去标识化效果分级评估规范》《信息安全技术-移动互联网应用程序(APP)个人信息安全测评规范》《信息安全技术-个人信息处理中告知和同意的实施指南》。(上述部分标准处于征求意见或处于正在批准过程中)
五、数据来源:间接获取
该种收集手段多为数据采购或授权许可。对于该类数据来源,我们认为,不仅要审查采购协议或授权许可协议的真实性、合理性外,还需要按照上述标准,审查其所有“前手”数据来源的合法性,确保“前手”的每一手的数据收集和交易均符合规定,避免企业受到其他权利方的权益请求。
因为现行理论界对于数据确权的争议较大,而数据的间接获取又受数据确权的影响,不同的数据权属(物权、债权、知识产权等),其间接获取的审查方式不同,故本文中不多做讨论,放于日后。
六、总结
数据作为数据产品的根本,其来源合法性将直接影响着整个数据产品的合规审查。本文从四种数据采集手段简略分析了其数据产品的数据来源合法性,需要说明的是,以上仅是对我们认为的数据来源合法性审查的概述,对于上述几种方式的审查细节,我们将会在后续文章继续探讨。
数据交易合规系列研究之七——数据来源的合法性探析
作者:李旻 卓伟伟来源:汉盛律师

在前文,我们从宏观层面探讨了数据交易的主体和数据产品合规评估的要点,从中观层面讨论了企业信用、数据产品类型及用途对合规审查的影响。