独家:沪上三大律师解读“三驾马车”下的数据合规与上海数商体系创新

大数据 算力智库 2022/01/21 15:53

引 言

当下,数据已是继技术、劳动力、资本、土地之外的“第五要素”。去年,美国数据交易量高达2700亿美元,我国则在545亿人民币左右。但不可忽视,全球20%的数据量由中国创造,数据如何转化为资源红利新的增长点,成为我国的必答题。另一方面,自2021年《网络安全法》、《数据安全法》和《个人信息保护法》数据合规领域的三驾马车崛起,奠定了数据合规元年。


随着中央法律法规和各地方数据条例的相继出台,数据交易“确权难、定价难、互信难、入场难、监管难”的五难问题也愈发受到关注。2021年11月,上海数据交易所正式揭牌,从制度创新上首发数商体系,全新构建“数商”新业态,涵盖数据交易主体、数据合规咨询、质量评估、资产评估、交付等多领域。《上海市数据条例》也第五十三条明确提出:“本市支持数据交易服务机构有序发展,为数据交易提供数据资产、数据合规性、数据质量等第三方评估以及交易撮合、交易代理、专业咨询、数据经纪、数据交付等专业服务。”

自法律角度,当前环境下,如何让数据在合法合规的范围内充分流动?算力智库在采访了三位深耕数据合规领域的专业律师后认为,数据合规在现下仍处于经验有限阶段,我们既需要关注理论层面的法律法规和制度创新,也要关注实践层面的合规需求和合规困境,更要积极参与到地区试点的新尝试中去。



已有16个兄弟省份的数据交易平台在先,上海的数商体系新在哪里?


当前的数据作为一种核心要素资源,只有在流通和交易后才能转化为数字资产并释放其内在价值。理论上而言,数据交易完全可以在个体之间进行场外交易,但大规模、常态化的数据交易在通过专业交易平台后可增加互信度,提高交易的效率和成功率。

正基于此,继贵阳、北京之后,上海数据交易所得以建立。从制度创新角度而来,上海数据交易所通过一系列创新安排,力图破解数据交易的“五难”问题。全国首发数商体系便是上海数据交易所的亮点之一。

(一)律师事务所作为“数商”机构的合规审查

从“数商”涵盖的范围可以看出,对于拟在上海数据交易所挂牌数据产品的企业而言,其至少需要经过质量评估、资产评估、合规审查、材料提交、数据产品挂牌、交易文件达成、产品交付等一系列过程。

从目前的公开信息来看,由律师事务所进行的合规审查是一个“必选动作”。作为首批入选律所机构中的代表性数商机构,中伦律师事务所合伙人律师樊晓娟表示,在整个交易环节,律师需要对拟上市数据产品的合规审查进行多主体、全流程、分类别的综合性审查。

多主体是指对交易主体均需进行合规审查,包括拟挂牌的企业主体(数据产品的卖方)和数据产品的买方,例如在对数据产品的买方进行合规审查时,需要审查其是否具有购买该数据的法定权限,其是否是在约定的范围内使用已购数据,是否具有预设的合规应用场景。

全流程是指对持有和使用数据的企业的全生命周期进行合规,即对数据的来源、数据的持有者、数据产品本身、挂牌交易行为等都需要进行合规性审查,如对数据来源的审查,需通过区块链技术、隐私计算和数据水印等方式来追溯数据来源,以此审查公共数据的爬取、数据的间接购买是否合法合规。

分类别则是指对不同的数据产品和交易主体需进行分类审查,如金融领域的关键数据提供者需进行备案登记,以此符合网络安全法和个人信息保护法规定的义务要求,而金融数据的分类分级处理也要回溯到不同的金融交易场景中,以此对不同金融场景的数据做出更切实的分类保护。

(二)“三驾马车”是律师多层面尽调数据交易合规性的基础

数据交易所为企业进行数据交易提供了一个可信平台,但企业在交易所进行数据交易前,应当认真对数据进行合规尽调,对拟交易相对方的数据合规情况进行充分的摸底调查。

对此,北京盈科(上海)律师事务所刘磊律师认为,数据交易前的合规审查应重视多层面审查,即既需要关注制度层面,也需要关注组织和技术层面。组织层面,需要考察企业的组织架构、企业意识,特别是董监高对数据保护的义务认知;技术层面则需要律师从法律角度来考察技术措施的合法合规性,特别是对网络数据的爬取方面是否符合现行法律规定;制度层面则是律师工作的重要领域,其关系到数据合规尽调工作如何执行问题。

在此方面,刘磊律师表示,第一,“三驾马车”作为我国数据合规领域的奠基法,一定是交易前合规尽调的首要法律基础文件;

第二,不同领域的企业尽调工作应当有所区分,对于关键基础信息数据、重要数据的尽调工作一定是比一般数据的尽调更为充分详尽的。对于一般的数据尽调,需考虑的问题包括数据来源、数据脱敏处理、数据存储地点、数据对内和对外的流转情况及使用情况和流转目的以及数据删除、销毁处理的情况等;

第三,无论是对任何企业的数据合规问题进行尽调,都要对其数据交易的全流程、各主体进行充分尽调,这包括对数据交易流程尽调,即对交易对手方从数据收集、存储、使用、传输、共享披露等数据处理的各环节进行合法合规性审查,也需要评估数据受让方参与数据交易的动机、资质、安全使用措施以及预计应用场景的合规性。


数据合规难掩之困境


数据的流通和交易目前仍处于探索阶段,无论是拟挂牌交易的数据产品审查方面,还是在数据的跨境流通审查方面,当前都还缺乏具体的细则指引,由此给数据流通带来实践中的“知易行难”困境。

(一)数据溯源的合规困境

对于拟参与数据交易的企业而言,一方面是构建常态化的数据来源区分和审查体系,从数据来源这一最初环节做好数据隔离与风险排除;另一方面是采取必要的技术,并对数据授权的相关协议进行全面的审查,确保相应的数据获取协议不会对后续数据产品的形成和流通形成障碍。故而,数据“溯源”的具体核查方式以及核查程度便成为一个值得探讨的话题。

对此,中伦律师事务所合伙人律师樊晓娟认为,目前法律上并没有明确规定,原始数据经多次流转后,买方需要对数据产品来源的合法性具体需要审查多少层。法律同样没有规定的是,如上游数据来源存在瑕疵时,下游买方在对数据进行进一步加工或脱敏后,经过多少层,交易链条上的数据才能被认为是再次合法化了?

刘磊律师和樊晓娟律师均认为,此类问题有点类似于《民法典》中的善意取得制度。依据《民法典》第311条,“无权处分人将不动产或动产转让给受让人,符合受让时善意、价格合理、依法定形式完成物权变动的,受让人取得该不动产或者动产所有权。”在数据交易领域,对于数据来源的合法性追溯义务需要依据具体情况具体分析,如对于涉及个人隐私的数据,企业在将数据进行交易前审查义务应强于其他非关键信息数据。同时,在判断企业对数据来源是否尽到应有的审查义务时,也需要结合数据类型、交易价格和交易形式而定。

(二)数据跨境的合规困境

在数据的跨境流通方面,盈科(上海)刘磊律师表示,跨境数据流动问题非常复杂。在对接欧美发达国家时,其处于强势地位,拥有技术优势,且易受政治因素影响。相比之下,“一带一路”平台可为我国在数据规则体系建设方面提供国际话语权和更多合作机会,即我国在践行《数据安全法》第11条有关鼓励国际数据安全治理交流合作的规定时,可积极助力“一带一路”沿线国家制定与该国国情相符的数据保护规则。

观韬中茂律师事务所合伙人律师王渝伟认为,数据的跨境流通可以分为境外数据引进来和境内数据流出去。对于境外数据引进来,基于数据作为数字经济时代的重要资源,各国的限制都很少。

王律师指出,在我国,多数是对类似新闻媒体、CD等可携带物入境按照《进出口商品检验法》等法律规定予以审查,对于数据方面的入境审查目前尚无明确的法律规定。而对于境内数据的流出,各国都有相对严格的法律规定。无论是GDPR的出台还是滴滴事件的发生,我国从中央到地方开始对数据安全愈发重视,从近年出台的多部法律法规也能看出数据出境的安全管理制度在不断完善,具体包括:

2017年我国实施的《网络安全法》第37条规定了数据出境安全评估制度,但范围只限定在“关键信息基础设施的运营者在我国境内运营中收集和产生的个人信息和重要数据”,2021年出台的《数据安全法》第31条规定,关键信息基础设施的运营者在我国境内运营中收集和产生的重要数据的出境安全管理,适用《网络安全法》的规定;其他数据处理者在我国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。该规定一定程度上弥补了《网络安全法》对其他数据出境的安全管理缺陷。

此外,《个人信息保护法》第40条也规定,关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在我国境内收集和产生的个人信息存储在境内。确向境外提供的,应当通过国家网信部门组织的安全评估。即,重要数据应秉持非必要不出境,出境需评估的原则。

2021年10月29日发布《数据出境安全评估办法(征求意见稿)》,该办法第4条规定关键信息基础设施的运营者收集和产生的个人信息和重要数据、大量数据、敏感数据等国家网信部门规定的需要申报数据出境安全评估的应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。第5条规定,“数据处理者在向境外提供数据前,应事先开展数据出境风险自评估,重点评估以下事项:(一)数据出境及境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;(二)出境数据的数量、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;(三)数据处理者在数据转移环节的管理和技术措施、能力等能否防范数据泄露、毁损等风险;(四)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;(五)数据出境和再转移后泄露、毀损、簒改、滥用等的风险,个人维护个人信息权益的渠道是否通畅等;(六)与境外接收方订立的数据出境相关合同是否充分约定了数据安全保护责任义务。”

2021年11月14日国家互联网信息办公布《网络数据安全管理条例(征求意见稿)》,该条例单设了数据出境安全管理一章,旨在对数据出境这一事项的整体流程进行事前、事中、事后的全面安全保护。如在数据出境前需进行安全影响评估,出境时数据经营者需履行安保义务和备案登记、报告义务等,出境后如发生纠纷应及时实施跨境追责,防止风险扩大化。

中伦律师事务所合伙人律师樊晓娟则表示,尽管数据跨境目前在全球范围依然是一个较为敏感的话题,但上海临港片区即将推动的低风险领域数据跨境流动试点也可能使数据跨境流动在我国有进一步推动。

据樊律师介绍,“临港片区将率先在金融科技、工业互联网等领域形成一整套低风险数据目录,使得有数据交易需求的企业可以知晓自己持有的数据是否属于可跨境交易数据,同时,上海地区也将推动长三角协同创新,建设全国一体化算力网络长三角国家枢纽节点,推动政务服务和城市运行管理实现长三角区域协同。临港新片区也将借助政策的东风探索建设国家数据跨境流动试验示范区,建设以产业集聚、展示交易为一体的跨境便捷交互的‘国际数据港’。”


区域探索创新是数据合规优选项


(一)区域数据保护规范类型化

尽管当前我国已有近13个省市都跟随中央政策,积极尝试出台了地方性立法规范,但从使用范围来看,这些地方性制度规范可具体分为三类:

一是以贵阳、福建等为代表的大数据条例,主要面向公共数据(也称为政务数据)领域,即各级行政机关和公共服务企业在履行职责过程中积累到的大量数据;

二是以浙江和广东为代表的的数字经济条例,其中《浙江省数字经济促进条例》首次从法律制度层面对数字经济做出明确界定,为地区企业进行数字化转型提供了制度指引。而《广东省数字经济促进条例》主要聚焦在“工业数字化”“农业数字化”“服务业数字化”,体现了广东数字经济和产业发展的重点和特色;

三是以上海、深圳为代表的数据条例,除了涉及公共数据以外,还涵盖了个人数据的相关规定,适用领域更为广泛,对数据的交易、流转也更为关注。其中《上海市数据条例》对公共数据和个人数据的流转、开放、共享以及相关单位和政府部门的权利与义务作了具体规定;而《深圳经济特区数据条例》内容则涵盖了个人数据、公共数据、数据要素市场、数据安全等方面,是国内数据领域首部基础性、综合性立法。

(二)上海探索数据交易先锋化

在数据交易的制度创新和实践探索方面,上海数据交易所率先针对数据交易全过程提供一系列制度规范,涵盖从数据交易所、数据交易主体到数据交易生态体系的各类办法、规范、指引及标准,确立了基本原则,让数据流通交易有规可循、有章可依,明确将“不合规不挂牌,无场景不交易”作为数据交易的基本原则。

此外,《上海市数据条例》中也有针对数据交易的专门规定。关于这个“专门规定”,对比国家出台的“三法”与其他省份出台的一些规范性文件,樊晓娟律师认为,上海的特色化在于以下几点:

第一,《上海数据条例》将数据定价导向为市场行为,通过市场手段来调节数据的价格,以此发挥数据资产价值,这是较为创新的;

第二,公共数据授权运营的思路是对公共数据使用的创新之举。在市场上的流动也能够使得公共数据更好的造福市场;

第三,上海强调了浦东新区在数据交易领域的特殊作用,希望将浦东新区打造为重点交易区域;

第四,临港新区做出的低风险跨境数据目录的尝试,对希望进行跨境数据交易的企业来说会有一个引导作用;

第五,上海地区将推动长三角协同创新,建设全国一体化算力网络长三角国家枢纽节点,推动政务服务和城市运行管理实现长三角区域协同,此举有利于公共数据率先在长三角流动。

盈科(上海)刘磊律师则表示,和深圳对比,上海浦东新区试点数据交易存在更大的可行性,主要原因在于上海存在大量的科技、金融等存在数据交易需求的企业,同时,上海作为全球领先的国际金融中心,拥有绝对领先于开放、包容的营商环境。而上海数据交易所的正式成立、《上海数据条例》的实施以及临港片区对智能网联汽车、电子商务、金融等领域数据跨境流通的推动,都为上海数据交易注入了很多鲜活的血液。

但是,刘磊律师也强调,现阶段让数据充分的流动起来,以此使其发挥应有的价值,无疑已成为中央和地方层面的共识。但是,目前大量的中小企业都担心数据交易将使得行业领先者进一步垄断行业,而合规审查具体细则也还有待进一步完善,无论是上海还是深圳,让数据真正成为重要资产,频繁合规的流动起来还需要各方付诸努力。


延 伸 阅 读

近年数据相关立法索引:

2013年7月,工信部发布《电信和互联网用户个人信息保护规定》,就电信业务经营者和互联网信息服务提供者在对互联网用户个人信息的收集和使用方面做出规范。

2017年6月,《网络安全法》开始实施,作为第一部网络安全领域的法律,该法对网络运行、网络信息及关键信息基础设施的运行等方面做出规定。同年,最高法、最高检就侵犯公民个人信息罪发布了《侵犯公民个人信息刑事案件适用法律若干问题的解释》,细化和明确了该罪的一些概念和标准。

2018年5月,欧盟出台的《通用数据保护条例》(General Data Protection Regulation,GDPR)正式生效,作为“史上最严个人信息保护法案”, 该条例更新了欧盟成员国以及任何与其进行交易或持有欧盟公民数据的企业必须安全存储和管理个人数据的方式。其在引发国际热议的同时也促进了我国在数据立法和监管上的步伐。

2019年初,工信部等部门共同推动《开展APP违法违规收集使用个人信息专项治理的公告》的专项治理行为;2019年11月,工信部、公安部等联合印发《APP违法违规收集使用个人信息行为认定方法的通知》,就认定APP违法违规收集、使用个人信息行为进行了清单式列举,为行政执法工作提供了具体指引。

2020年10月,市监局和国家标准委员会联合发布GB/T35273-2020《信息安全技术个人信息安全规范》,从数据处理全流程的活动原则和安全要求上作出全面规定。

2021年,《民法典》的正式实施再次将个人信息保护落实到新高度,同年8月,最高法出台《关于审理使用人脸识别技术处理个人信息相关民事案件适用若干问题的规定》成为第一个针对特定个人信息(人脸)保护作出的司法解释;同年9月,《数据安全法》正式实施,数据安全被列为影响国家主权、安全和发展利益的重要问题,该法首次提出数据分级分类保护制度,并对数据处理者规定了安全保护义务;同年11月,《个人信息保护法》开始施行,该法对个人信息的收集、使用做出了进一步规定。此外,截止到2021年底,我国上海、深圳、北京、福建、山东、广东、安徽、浙江、吉林、山西、海南、天津以及贵州共13个省市都相继颁布了地方性数据条例。鉴于以上系列法律、法规的出台,2021年也被称为“数据合规”元年。