数据交易合规
构建信任与安全的数字生态
作者:金晓萍 李恒
数据交易作为连接数据提供者与需求者的桥梁,在促进数据流动的同时,也面临着一系列的合规挑战。在当前数字化转型的大背景下,企业数据交易的合规性问题更显得尤为重要。随着《网络安全法》、《数据安全法》、《个人信息保护法》等法律法规的出台,企业不仅需要关注数据本身的合法性,还应确保数据交易活动的整体合规。本文将围绕企业数据交易合规的几个关键点展开论述。
一、数据交易的发展现状
数据交易作为数字经济的核心组成部分,近年来在我国得到了快速发展。自2010年起,随着相关政策的出台和支持,特别是2015年国务院印发的《促进大数据发展行动纲要》,我国数据交易市场逐步进入规范化和规模化发展阶段。这一时期,各地开始积极建设数据交易场所,贵阳大数据交易所的成立更是被视为一个标志性事件。据网络统计,截至2022年3月,我国已有39家由地方政府发起、主导或批准的数据交易所在大陆地区设立。贵阳大数据交易所作为国内首个此类平台,自2015年正式运营以来,不仅标志着数据交易市场的初步形成,其与京东的合作更是具有里程碑式的意义。随后几年间,包括北京、上海在内的多个城市相继成立了新的数据交易所。例如,北京国际大数据交易所、上海数据交易所以及广州数据交易所均已投入运营。
与此同时,各地政府也纷纷将建设数据交易平台纳入其数字经济发展的规划中。其中,上海数据交易所在推出之初便制定了涵盖数据交易各环节的制度框架,从交易所本身到交易主体,再到整个生态系统,均有了具体的管理办法与标准指导,为数据流通提供了坚实的制度基础。北京国际大数据交易所则致力于打造一种“数据可用不可见、数据可控可计量”的创新交易模式,并开发了IDeX系统,利用隐私计算、区块链技术、智能合约等手段,确保数据交易的安全与可追溯性。此外,山西数据交易服务平台以其专注于AI数据采集和标注的独特定位,有望发展成为全国最大的AI数据交易市场。贵州省数据流通交易平台在原有贵阳大数据交易所的基础上,进一步优化了数据资源的供应能力,推动了数据交易市场的深化发展。这些举措共同促进了我国数据交易市场向着更加规范化、专业化的方向前进。
二、数据交易的法律和监管框架
法律制度是数据交易市场蓬勃发展的重要保障,数据交易市场的健康发展也离不开相应的法律和监管框架。
(一)基础性要求
在基础性要求方面,现行法律体系对数据交易进行了基本规定。《数据安全法》作为一部重要的法律文件,明确提出“数据交易管理制度”,并对数据交易中介机构规定了义务,包括要求数据提供方说明数据来源、审核交易双方身份,并保留审核和交易记录。若未履行上述义务,则可能面临行政处罚,如罚款、吊销营业执照等。此外,《网络安全法》、《个人信息保护法》等法律亦从网络安全、数据安全和个人信息保护等角度对数据交易行为作出原则性规定。
(二)专门性要求
在专门性要求方面,地方性法规和规章中出现了许多对数据交易的探索性规定。《上海市数据条例》和《深圳经济特区数据条例》作为代表性的地方性法规,分别对数据交易的不同方面作出了详细规定。《上海市数据条例》确立了数据权利的双重属性,并明确了交易限制情形,如涉及国家安全、公共利益或个人隐私的数据不得交易,同时规定市场主体享有自主定价权。《深圳经济特区数据条例》则对数据交易主体的权利和责任进行了规定,明确了交易主体对数据产品的使用、收益和处分权利,并对个人数据授权、禁止交易事项进行了细化。
(三)标准性要求
标准性要求则涉及数据交易过程中需遵循的技术标准。相关机构发布了多项国家标准,如《信息技术数据交易服务平台交易数据描述》、《信息技术数据交易服务平台通用功能要求》、《信息安全技术数据交易服务安全要求》等。特别是《信息安全技术数据交易服务安全要求》,从交易参与方、交易对象和交易过程三个方面对数据交易行为进行安全规范,并将交易参与方细分为供应方、需求方和服务机构,分别提出了不同要求,如数据供应方须证明自己具备安全交付能力,需求方需在使用数据后及时销毁数据,禁止重新识别个人信息等。同时,该标准明确了数据交易的五项安全原则:合法合规原则、主体责任共担原则、数据安全防护原则、个人信息保护原则及交易过程可控原则。
这些要求共同构成了数据交易的法律框架,确保数据交易活动的合法性和安全性。但值得注意的是,在数据交易法律监管层面,我国尚处于探索初期,尚未形成完整的数据交易法律体系。《数据安全法》、《个人信息保护法》等相关法律法规虽已出台,但对于数据交易的具体规则,尤其是数据权利的界定,仍缺乏明确的规定。这使得企业在进行数据交易时面临一定的法律不确定性。
三、数据要素交易的合规
结合数据交易的特点,数据要素交易的合规可以分为数据产品的合规、数据交易主体的合规、交易过程的合规三个方面。
(一)数据产品的合规
数据产品的合规主要涉及两个方面:数据来源的合法性以及数据产品本身的合规性。
1.数据来源的合法性
数据交易主体在获取数据时应确保数据来源合法正当,符合《数据安全法》及其他相关法律法规的要求。具体而言,数据可分为企业自行收集的数据、公共数据或其他公开数据、授权运营数据。企业自行收集的数据需要符合授权同意、合理性、最小化等基本原则,并在作为数据产品时进行脱敏处理和去标识化处理;公共数据通常分为无条件开放、有条件开放和非开放三类,原则上以共享为主;授权运营数据的合规性可以通过审查授权链条来保证,并确保被授权方在授权范围内开发利用数据。
2.数据产品本身的合规性
数据产品的可交易性需考虑数据权属是否明确,以及数据本身是否属于可交易的范围。现行法律法规明确了不适合交易的数据类别,包括未经个人同意的一般个人信息、敏感个人信息、隐私信息(即使获取同意,还需符合个人信息保护规定)、重要数据、核心数据、国家秘密及其他通过违法行为获得的数据。交易数据产品还应确保经过适当的去标识化处理,并在可接受风险范围内,防止通过逆向计算反推出个人信息。
(二)数据交易主体的合规
数据交易主体的合规性取决于其是否遵守《网络安全法》、《数据安全法》、《个人信息保护法》等相关法律的要求。具体包括是否采取信息系统安全等级保护措施、履行网络运行安全保护义务、构建数据安全保障体系以及履行个人信息保护义务。此外,如果交易主体涉及关键信息基础设施或特殊监管行业,还需满足行业特定的合规要求。
(三)交易过程的合规
交易过程的合规直接关系到交易相关方的权益保护。数据交易机构需制定交易制度,并构建严格的风险控制和合规体系,防止侵害个人隐私、企业商业利益乃至国家安全。交易过程中需构建覆盖法人、对象、过程、合同的数据公证体系,运用CA数字认证、数字签名、区块链等技术,解决权责法律边界问题;构建数据授权机制、基于区块链的数据存证与溯源机制,提供隐私计算技术支持,并引入第三方机构进行法律审查。
综上所述,数据要素交易的合规要求是一个综合性的体系,涵盖数据产品的合法性、交易主体的合规性以及交易过程中的各项规范。通过确保这三个方面的合规性,可以有效保障数据交易活动的合法性和安全性。
四、基于交易参与者的具体合规义务界分
在数据交易中,参与者主要有三类:数据供应方、数据需求方和数据交易平台。它们各自的合规义务如下:
(一)数据供应方
1.确保数据来源合法:数据供应方需确保所提供数据的来源合法,并可用于交易。数据需经过前期尽职调查和合规性审查,确保证据齐全,并向需求方出具合规证明。
2.资质确认:供应方需要确认交易双方是否具备相应的资质,以保障交易数据的安全。
3.约束需求方使用数据:在交易合同中明确需求方获取或使用数据的范围、方式和期限,并设定不可转许可的条款。
4.确保数据交付安全:从制度和技术上确保数据传输、开放或分享过程中的安全性,防止数据被窃取、泄露或非法篡改。
(二)数据需求方
1.遵守合同约定:需求方必须遵守合同中关于数据使用的目的和限制,同时确保控制下的数据处于有效的安全保护状态。
2.授权注意义务:需求方有责任注意到交易数据是否来自合法途径,以及是否有足够的授权。
3.资质确认:需求方也需要确认交易双方是否具备相应的资质。
(三)数据交易平台
1.中介服务:提供供需双方成交的机会,并协调相关的服务,如数据资源发布、资产评估、交易登记结算等。
2.合规监管:对数据来源和交易双方的身份进行审查,保持交易记录,即使在数据交付分离的情况下也要履行监管职责。
3.制定交易规则:制定具体可行的平台交易规则和数据安全保障机制,确保交易主体的准入、目标数据的审核、交易过程的监管、交易记录的可追溯性、用户数据的保密等。
以上界分明确了数据交易中各方参与者在合规方面的具体责任,有助于保障数据交易的合法性和安全性。
五、企业建立内部数据交易合规制度体系
在建立内部数据交易合规制度体系时,企业需要特别关注以下几个方面:
(一)数据资源的分层、分类与权益剥离
1.在数据交易之前,企业应当对所拥有的数据资源进行分层、分类,并进行必要的权益剥离。
2.对数据本身及其来源进行全面的合规评估,确保数据处理遵循“可用不可见”等原则,对涉及用户个人信息的数据部分进行去标识化处理,以防侵犯公民个人信息权益。
(二)明确权益类型、用途及定价标准
1.数据提供方需要清晰界定其数据权益类型,并明确数据使用的具体场景和目的。
2.定价标准应该合理,并可参考《可信数据服务数据交易合同示范文本》等标准化合同模板来规范交易行为。
(三)适应地方交易规则差异
鉴于当前各地数据交易规则存在差异,企业需要根据具体的数据交易机构规则来梳理和调整待交易的数据,确保符合当地法律法规要求。
(四)建立数据交付安全保障机制
在通过第三方机构进行数据交付时,企业应事先建立第三方机构的资质审查机制,监控其处理行为,并明确责任分配制度,以确保数据交付过程中的安全性。
(五)开展能力建设与定期培训
加强对内部员工有关数据交易合规性的培训,特别是要针对数据交易中的规范风险点进行定期培训,提升企业整体的合规意识与能力。
综上,通过围绕企业数据交易合规的几个关键点展开论述的措施,企业可以在复杂多变的数据交易环境下,更好地规避潜在的法律风险,确保数据交易活动的合法合规,实现构建信任与安全的数字生态。
参考资料:
张宾:《企业数据合规:基础实务与专题指南》,法律出版社2023年版,第319-320页。
裴炜、陈鹏:《数据合规实务全指引:关键场景与典型行业》,法律出版社2023年版,第161-175页。
裴炜、陈鹏:《数据合规实务全指引:关键场景与典型行业》,法律出版社2023年版,第33页。