2019年10月,党的十九届四中全会首次提出把数据作为一种新的生产要素。随后,党中央、国务院陆续出台了多项数据要素市场化建设重大政策文件,部署加快培育数据要素市场的有关任务。
2022 年 6 月,中央全面深化改革委员会第二十六次会议,审议通过了《关于构建数据基础制度更好发挥数据要素作用的意见》,进一步明确数据治理和发展的顶层设计,是全国乃至全球都具有里程碑意义的重要事件。
中共中央、国务院在《关于加快建设全国统一大市场的意见》更进一步提出了“加快培育数据要素市场,建立健全数据安全、权利保护、跨境传输管理、交易流通、开放共享、安全认证等基础制度和标准规范”的要求。
在前述国家政策的推动鼓励下,数据交易从概念逐步落地,部分省市和相关企业在数据定价、交易标准等方面进行了有益的探索。随着数据交易类型的日益丰富、交易环境的不断优化、交易规模的持续扩大,我国数据变现能力也显著提高。2019-2021 年我国数据交易市场规模呈现快速增长趋势,2021 年数据交易市场规模达 463.0 亿元。
2022年12月,中共中央、国务院《关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称“数据二十条”)出台,系统性布局了数据基础制度体系的“四梁八柱”,其中明确指出着力建立数据产权制度、数据流通和交易制度、数据收益分配制度以及数据要素治理制度。自此我国各地几十家数据交易机构也陆续展开积极部署。
值得注意的是,数据作为一种新型的无形资产,在产品化以及挂牌交易过程中也面临中很多法律合规的要点和难点。本文笔者就从数据交易的定义、数据交易相关法律规定以及合规内容展开阐述。
一、 何为数据交易?
数据交易作为市场经济条件下促进数据要素市场流通的基本方式,《信息安全技术数据交易服务安全要求》(GB/T 37932-2019)对其定义为:数据交易是指数据供方和需方之间以数据商品作为交易对象,进行的以货币交换数据商品,或者以数据商品交换数据商品的行为。
在数据产品交易市场主要包括数据供方(卖方)、数据需方(买方)、第三方数据交易服务机构或者数据交易服务平台等三大类主体。
上海数据交易中心首席执行官汤奇峰在《数据交易中的权利确认和授予体系》中介绍了数据产品交易基本流程为:
第一步:数据供方将数据产品/服务以某种形式成为数据交易标的(比如加以某一可交易数据权作为数据交易标的)后,向数据交易所提交挂牌申请;
第二步:数据交易所对数据交易标的(如数据产品/服务权属交易标的)的交易资格进行认定;然后,交易资格认定通过后,数据交易标的就可以在数据交易所进行标的挂牌;
第三步:进入数据交易撮合环节,数据需方通过数据交易所这个中间平台寻得所需的数据产品/服务,待交易协议达成后,数据需方即可按协议方式获得数据交易标的;
第四步:交易确认后,数据需方获得数据交易所发放的用以证明获取交易标的合法性的成交证书,同时,数据交易所会对此次数据交易做登记备案。
前述流程用下图总结:
(来源:上海数据交易所官网)
二、数据挂牌交易——不合规不挂牌,无场景不交易
数据挂牌交易作为一种数据交易方式,对于数据产品的审查是非常严格的。以北京国际大数据交易所、上海数据交易所为代表的新型数据交易机构为例,它们在数据交易的制度创新和实践探索方面,明确将“不合规不挂牌,无场景不交易”作为数据交易的基本原则,即法律合规是数据挂牌交易的前提条件,数据产品需要经过合规评估和审核,确保其合规性,才会被允许挂牌交易。
三、数据挂牌交易前,如何有效做好法律合规?
如前所述,法律合规是数据挂牌交易前非常重要的前置条件。目前与数据交易相关的法律法规除了有《中华人民共和国个人信息保护法》、《中华人民共和国数据安全法》、《中华人民共和国网络安全法》外,还包括了《网络安全审查办法》、《中华人民共和国国家安全法》、《数据出境安全评估办法》、《中华人民共和国保守国家秘密法》、《电信和互联网用户个人信息保护规定》、《中华人民共和国广告法(2021修正)》、《中华人民共和国反不正当竞争法(2019修正)》等;
此外全国各地也纷纷响应国家政策并出台了相应的数据条例,如上海市发布了《上海市数据条例》,北京市发布了《北京市数字经济促进条例(征求意见稿)》,深圳市发布了《深圳经济特区数据条例》,广东省发布了《广东省数字经济促进条例》,浙江省发布了《浙江省数字经济促进条例》,江苏省发布了《江苏省数字经济促进条例》,重庆市发布了《重庆市数据条例》,山东省《山东省大数据发展促进条例》,吉林省发布了《吉林省促进大数据发展应用条例》,安徽省发布了《安徽省大数据发展条例》,河南省发布了《河南省数字经济促进条例》等等。
笔者汇总并分析了近期全国各地相关的数据交易政策以及数据交易所采取的审查指引后发现,各地对于数据挂牌交易前的合规要求是大致相似的。接下来笔者结合之前的工作经验,以上海数据交易所最新发布的《数据交易安全合规指引》为例,总结了目前司法实践中数据产品交易中主要的合规要点。
(一)主体资质合规
主体资质是数据挂牌交易的准入门槛,需要同时满足主体资格合规以及经营能力合规两大条件。
对于主体资格来讲:
首先,数据交易主体资质应当是依法成立并有效存续的法人、非法人组织;具有良好的商业信誉,近一年内无重大数据类违法违规记录且未出现重大网络和数据安全事故;法定代表人、董事、监事不存在重大数据类违法违规行为、被列为失信被执行人以及其他可能对数据交易活动构成实质性重大不利影响的情形;以及不存在可能对数据交易活动构成实质性重大不利影响的其他情形。
对于经营能力来讲:
数据交易主体应当满足持续合规经营能力要求,即不存在影响持续经营的重大财务风险;不存在影响持续经营的担保、诉讼以及仲裁等重大事项;以及不存在影响持续经营能力的其他情形。
(二)具有有效的数据安全管理体系
满足了主体资质意外,数据交易主体也需要建立完善的全流程数据安全管理体系,具体包括如下要点:
1、数据安全管理组织建设
数据交易主体应当搭建数据安全阻止架构,明确各个参与部门的职能,结合《数据安全法》、《网络安全法》、《个人信息保护法》等相关法律法规指定数据安全负责人或者个人信息保护负责人,并制定数据安全保护相关的管理制度,如数据安全应急管理制度、数据安全风险监测制度、数据安全风险评估制度等。
2、数据分级分类保护及管理
数据交易主体应当根据国家法律法规及行业标准,对数据实行分级分类管理,形成目录清单并采取相匹配的保护和管理措施。
3、数据全生命周期安全管理
数据全生命周期涵盖了数据收集、数据存储、数据传输、数据使用加工、数据提供共享、数据销毁等各个环节,数据交易主体应当针对不同的类型与级别的数据,做好全流程安全管理,保障数据的保密性、完整性、可用性与合规性。
4、数据安全人员要求及数据安全培训
数据交易主体应当提高数据安全人员能力,定期开展数据安全集中教育培训,并进行相关的考核,并对对关键数据岗位人员做好保密措施,及时进行考核并建立问责机制。
5、数据安全技术保护措施
数据交易主体应当通过技术工具建立数据管理台账,有效识别并管理数据,采取加密存储、身份鉴别和访问控制等安全保护措施,并通过技术手段对网络入侵防护采取有效控制措施。
6、数据安全事件应急相应机制
数据交易主体应当制定数据安全事件应急响应机制,并定期开展数据安全应急演练。
7、数据交易主体合作方安全管理
数据交易主体应当对合作方(包括但不限于软件开发商、产品供应商、系统集成商、设备维护商和服务提供商等)采取安全评估工作, 并签订相应的保密协议。
(三)数据来源合法
数据来源合法性要求主要体现在公开收集数据、自行生产数据、协议获取数据及个人信息收集四个方面。
1、公开收集数据的要求
数据交易安全合规指南针对公开收集数据的收集对象、收集内容、收集方式提出了严格的合规要求,数据交易主体收集对象应当为公开的网站或可访问的计算机信息系统,收集内容不得涉及个人信息、商业秘密、他人受著作权法保护的作品等,收集方式应当合法合规,不得存在破解网站加密规则、伪造身份认证、非法获取权限、爬虫抓取等不正当措施。
2、自行生产数据的要求
自行生产的数据应当具备独立性,涉及其他相关利益相关方时不得存在侵权或权属不清晰的情形,在数据收集等阶段也不得侵犯第三方的合法权益。
3、协议获取数据的要求
数据交易主体针对协议获取的数据,应当要求数据提供方在协议中对数据来源做出合法性成都,并明确数据使用的安全保护要求等,涉及到特殊资质、行政许可、认证和备案情况也需要提供佐证材料。
4、个人信息收集的要求
数据交易主体应当对个人信息进行严格保护,建立个人信息保护制度,评估个人信息对外提供的相关风险,取得个人信息主体的同意,并通过隐私政策、授权协议向个人信息主体告知处理个人信息的种类、收集各类个人信息的具体情况及停止收集的方式和途径、处理各类个人信息的目的、用途、方式、个人信息保存地点、保存期限、向个人告知接收方的名称或姓名、联系方式、处理目的、处理方式和个人信息的种类
(四) 数据产品可交易性合规
数据产品的可交易性是指在前述数据来源合法的前提下,该类数据形成的数据产品具有合法性、可控性和流通性,不存在禁止交易的数据。具体合规要点如下:
1、数据产品内容
数据交易主体应当根据法律、法规或国家有关规定要求对数据产品内容进行合规性审核,不存在含有危害国家安全、违反公序良俗或侵害他人合法权益的违法信息。
2、实质性加工和创新性劳动
数据交易供方应说明数据产品的知识投入情况和注入劳动情况。数据处理过程中包括对原始数据进行必要的数据脱敏、清晰、标注、整合、分析,通过算法应用、深度融合等方法形成数据产品。
3、重要数据的合规性要求(如有)
如涉及重要数据,事前需开展数据安全风险评估,风险评估包含以下内容:
(1) 数据交易需方处理数据的目的、方式、范围等合法、正当、必要;
(2) 数据被泄露、毁损、篡改、滥用的风险,以及对国家安全、经济发展、公共利益带来的风险;
(3) 明确数据交易需方数据安全责任和义务
(4) 数据交易需方具备履行数据安全保护义务的能力;
(5) 数据交易过程中安全管理和技术措施等能够防范数据泄露、毁损、篡改、滥用等风险;
(6) 主管部门要求评估的其他内容。
4、数据产品应用场景与适用条件(如有)
如法律法规对数据产品的交易具有特殊限制条件,应当从其规定。如:金融机构采购个人征信信息,应当从具有从事个人征信业务资质的机构采购;将人类遗传资源信息向境外组织、个人及其设立或者实际控制的机构提供或者开放使用的,中国信息所有者应当向科技部事先报告并提交信息备份。
5、数据产品出境合规要求(如有)
数据交易供方向境外提供数据产品,需要符合以下要求:
(1) 需要申报数据出境安全评估的,应当按照国家网信部门要求,通过所在地省级网信部门向国家网信部门申报数据出境安全评估,并履行数据安全保护责任和义务;
(2) 无需向国家网信部门申报数据出境安全评估,但涉及个人信息出境的,应当遵照法律法规规定的数据出境要求开展数据出境活动,并履行法律法规及相关政策规定的其他义务。
6、数据交易协议内容合规
数据交易协议需要包含以下条款:交易数据的用途、使用范围、交付方式、使用期限、安全义务、交易价格、保密约定、争议解决等,并要求数据交易双方签署的数据交易协议不侵犯他人的合法权益。
结语
数据作为一种新的生产要素,在国家政策的大力扶持下,数据要素市场将迎来巨大发展。对于企业而言,数据资产将与企业的有形资产和其他无形资产共同成为企业的重要资产。而数据交易能够加快企业数据产品化、资产化的进程,衡量企业数据资产的市场价值,在赋能数字化转型的同时为企业带来更大的经济利益。
同时需要注意的是,目前数据交易市场中数据侵权、数据泄露等交易风险事件频发,数据想要顺利挂牌交易,从交易前的企业主体资质、数据安全管理体系、数据来源合法、数据产品可交易性等数据合规尽职调查,到交易时的数据交易协议条款的拟定,都有赖于有效的法律合规。
本文笔者结合目前出台的法律法规与相关政策,梳理了数据交易各个环节的实务操作流程及合规注意要点,希望能够帮助企业有效规避数据交易过程中的法律风险,为企业数据产品的顺利挂牌交易保驾护航。
参考文献:
1. 《数据产品交易标准化白皮书(2022年)》
2. 《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》
3. 国家发展和改革委员会:《加快构建中国特色数据基础制度体系,促进全体人民共享数字经济发展红利》
4. 田杰棠,刘露瑶.交易模式、权利界定与数据要素市场培育[J].改革,2020(07):17-26.
5. GB/T 37932-2019 信息安全技术 数据交易服务安全要求[S].
6. Spiekermann M. Data marketplaces: Trends and monetisation of data goods[J]. Intereconomics, 2019, 54(4): 208-216.
7. 汤奇峰,邵志清,叶雅珍.数据交易中的权利确认和授予体系[J].大数据,2022,8(03):40-53.
8. 《上海数据交易所数据交易安全合规指引》
9. 《上海数据交易所数据交易合规注意事项清单(第一版)》
文章作者
电话:(021)80379999
邮箱:liubin@ilandlaw.com
地址:上海市浦东新区银城中路68号时代金融中心27层
加入我们:liubin@ilandlaw.com