通力律师 | 数据资产入表法律实务——微观篇

以下文章来源于通力律师 ，作者通力法评

作者: 通力律师事务所 潘永建 | 朱晓阳 | 邓梓珊 | 左嘉玮 | 李佳琪

1. 与该资源相关的经济利益很可能流入企业

2. 该资源的成本或价值能够可靠地计量

1. 确认为数据资产的数据资源

2. 不符合资产定义的数据资源

3. 不符合相关确认条件而未确认为资产的数据资源

在数据资产入表的过程中, 律师的核心职责是评估数据资源是否满足“由企业拥有或者控制的”这一要件。为此, 律师需要从法律角度深入理解和分析“拥有”“控制”的内涵及其在实践中的适用。

当前, 我国在法律层面尚未明确数据确权制度, 数据权属问题存在较大分歧。特别是在大数据时代背景下, 数据资源往往并非企业独立生产, 而是通过用户、合作方等多方渠道获取。若企业以“合法拥有”(即, 对拟入表的数据资源享有所有权)作为入表路径, 可能缺乏充分的法律支撑。

1. 主体合规: 企业应当具备合法的主体资格、必要的资质和许可, 且不存在重大经营风险或法律纠纷

2. 数据资源合规: 从原始数据的采集到加工、生成数据产品或服务的整个流程, 均应当遵循相关法律法规

3. 数据安全管理能力合规: 企业应当具备良好的数据安全管理能力, 建立完善的数据管理制度和技术防护措施, 以确保数据资源的完整性、保密性和可用性

对主体合规的评估是数据入表合规评估的第一步, 律师需要从企业基本信息到具体业务资质, 再到特殊监管要求进行全面的审查。

1. 企业基本信息

• 主营业务是否与其注册的经营范围相符, 是否存在超范围经营的情况

• 查询企业的信用记录、是否存在诉讼、失信被执行情况

• 近期(三年)受到行政处罚及有关主管监管部门调查及整改情况, 特别是网络和数据安全相关情况

2. 业务资质

确认企业是否已取得必要的业务资质, 并审查其有效期限、适用范围等是否符合要求: 

• 对于某些业务领域, 企业应当获得特定的行政审批和许可, 例如征信业务需要取得征信资质

• 对于涉及电信业务的企业, 应当根据业务类型申请相应的证照, 例如EDI证、ICP证等

3. 特殊主体的监管要求

法律法规对于特殊主体提出了监管要求, 律师需注意对企业是否适用该等监管要求进行甄别。具体包括: 

• 重要互联网平台: 提供重要互联网平台服务、用户数量巨大、业务类型复杂的企业, 应当履行建立外部独立监督机构、发布个人信息保护社会责任报告等义务

• 关键信息基础设施运营者: 被认定为关键信息基础设施运营者的企业, 应当按照相关规定采取严格的安全保护措施, 例如“三同步”建设、本地化存储

• 行业监管规定: 对于医疗健康、金融、汽车等行业, 律师需重点关注行业主管部门出台的专门监管规定

• 核心数据、重要数据处理者: 国家实施数据分类分级保护制度, 涉及处理核心数据、重要数据的企业, 应当履行特别的数据安全保护义务, 例如定期开展安全风险评估并报送有关部门等

数据资源合规是数据资产入表合规评估中的核心环节, 对于拟入表的数据资源, 律师应当深入了解其处理(“处理”包括收集、存储、使用、加工、对外提供、删除等一系列操作)涉及的业务流程, 分析其从原始数据到形成数据产品或服务的全流程合规情况。

1. 一般要点

就原始数据的来源而言, 可以分为自行生产、公开收集、直接收集、间接获取等。

(1) 自行生产的数据是指企业在日常经营活动中产生的数据, 对此类数据的评估应关注“自行性”: 

• 评估企业是否具备相应的人员和技术能力, 以及是否拥有相关的知识产权, 如专利、软件著作权等

• 对于数据处理涉及的信息系统、设备等的情况, 可要求企业提供服务器处理日志作为证明

(2) 公开收集的数据通常通过网络爬虫或类似技术获取, 对此类数据的评估需考虑以下要点: 

• 是否遵守被访问网站的Robots协议

• 是否突破或绕开被访问网站设置的反爬措施

• 是否妨碍网站的正常运行(例如, 爬虫收集的网站流量不应超过网站日均流量的三分之一)

• 是否涉及爬取商业模式相同或相似主体的主营业务数据

(3) 直接收集的数据是指企业直接从数据主体(参照《银行保险机构数据安全管理办法(征求意见稿)》的定义, 数据主体是指数据所标识的自然人或者其监护人、企业、机关、事业单位、社会团体和其他组织)处收集的数据。对此类数据的评估要点包括: 

• 收集方式、收集目的等是否符合法律要求, 包括收集目的是否合理且符合业务场景

• 是否通过隐私政策、数据授权协议等方式取得数据主体的授权同意

(4) 对于通过第三方数据源间接获取的数据, 评估时主要关注“授权链条”的完整性: 

• 上游数据源是否已合法获得数据授权, 包括对外提供数据的授权

• 企业是否与上游数据源签署购买协议、合作协议或许可使用协议等

• 与上游数据源签署的协议是否对授权时间、使用范围等进行限制

2. 特定类型数据的合规评估

若数据资源(或其原始数据)涉及受到特别监管的数据, 律师应当根据数据类型开展进一步的评估。

(1) 个人信息

• 是否公开个人信息处理规则, 明示处理的目的、方式和范围

• 是否获得个人信息主体的授权同意, 包括单独同意(如需)。企业应提供同意记录作为证明

• 个人信息的处理(包括加工形成数据资源等)是否符合最小必要原则

• 依据其他合法性基础(例如合同履行所必需、法定义务所必须等)收集个人信息的, 处理是否处于该合法性基础范围内

(2) 公共数据

• 公共数据来源和获取方式是否合法, 授权链条是否完整, 是否获得数据源部门或地方数据主管部门的授权

• 授权范围是否涵盖公共数据运营(即将公共数据加工形成产品、服务, 并对外提供)

• 是否符合地方公共数据授权运营相关政策(如有)要求

• 公共数据可能对国家安全、公共利益具备一定的影响程度, 需评估是否可能构成重要数据。如是, 进一步评估企业是否遵守重要数据的处理规定

• 宜按照“原始数据不出域、数据可用不可见”的要求, 以模型、核验等产品和服务等形式向社会提供

《网络安全法》《数据安全法》《个人信息保护法》对于企业的网络安全保护、数据安全保护、个人信息保护义务进行了规定。

如上表所示, 三部法律均要求企业在组织和技术两个方面加强安全保护措施。因此, 为了确保企业对数据资源的“合法控制”, 有效预防数据泄露和滥用, 数据资产入表过程中, 律师应当从组织和技术两个层面评估企业的数据安全管理能力。根据行业实践, 采取的措施通常如下: 

1. 数据安全组织措施

• 制定全面的数据安全管理制度, 明确企业数据安全的管理目标、标准, 建立健全内部数据处理操作规程

• 按照法律规定, 设置网络安全、数据安全、个人信息保护负责人

• 制定数据安全事件应急预案, 包括应急响应的人员职责、处置流程、事件报告机制等, 确保在数据安全事件发生时能够及时应对

• 根据数据的敏感性和重要性对数据进行分类分级管理, 并依据不同数据类别、级别采取相应的安全措施

• 建立涉数据处理第三方管理机制, 包括入库评审、数据处理协议签署、监督和定期审计等

• 定期开展数据安全教育和培训, 增强员工数据保护意识

2. 数据安全技术措施

• 数据加密技术: 在数据存储和传输的各个环节, 通过算法(如AES等)将原始数据转换为密文, 确保数据在整个生命周期中的安全性

• 访问控制技术: 根据员工的权限确定对数据的访问权限, 并定期审查和更新访问权限

• 数据泄露防护技术: 通过自动化DLP解决方案对数据泄露风险进行实时监控, 识别和拦截潜在的数据泄露事件

• 数据安全溯源技术: 记录数据的处理过程(如日志记录和审计系统), 实现数据在全生命周期的可追溯性

• 隐私保护技术: 在个人信息处理过程中采取匿名化、去标识化等技术措施(如掩码、泛化等), 以减少对个人身份的识别