外经视角|浅谈数据交易合规要点

2022年4月10日，《中共中央、国务院关于加快建设全国统一大市场的意见》提出要加快培育统一的技术和数据市场，加快培育数据要素市场。这是数据要素又一次出现在中央顶层设计文件当中，数据商业化已成为未来市场的大势所趋。随着数据交易的日益活跃，数据交易合规性也成为数据交易主体所关注的问题。本文将从交易主体资质、标的数据合规性以及数据跨境交易三个方面，简要论述数据交易的合规要点。

一、交易主体资质审查

数据提供方和数据接收方对交易主体资质的审查重点是有所区别的。

对于数据提供方来说，其所关注的重点往往是数据接收方的数据安全能力。我们建议将以下几个方面作为企业数据安全能力的审查重点：（一）是否取得相关资质认证。目前关于企业数据安全能力的资质很多，一般IT企业常备的资质证书主要有ITSS信息技术服务标准、CS信息系统建设和服务能力评估体系、CCRC信息安全服务资质、CMMI能力成熟度模型集成资质、ISO五体系证书等。数据提供方可根据交易类型和特点，有针对性地审查数据接收方是否具备数据交易产品相关的资质。（二）是否拥有具备资质的数据安全治理人员。目前，国际国内关于数据安全从业人员认证也很多，比如CISP-DSG 注册数据安全治理专业人员认证、CCSC-数据安全方向认证、CISAW-DSP 信息安全人员认证、PIPP 个人信息保护专业人员等。（三）是否存在数据安全相关纠纷或行政处罚。审查方式包括访谈或查询相关政府部门网站，如国家网信办、工信部、市场监督管理总局等。（四）是否建立数据安全保护措施。审查方式包括访谈、要求提供相关制度、数据安全评估、演练以及开展数据安全培训的记录等材料，或要求其在交易合同中进行陈述和保证。审查标准可参照《网络安全法》、《数据安全法》、《个人信息保护法》对于网络运营者、数据或个人信息处理者的相关要求。

对于数据接收方来说，其所关注的重点则是数据提供方数据来源的合规性。数据来源合规性的审查重点在于数据的原始取得是否得到充分授权。《数据安全法》第三十二条规定，任何组织、个人收集数据，应当采取合法、正当的方式，不得窃取或者以其他非法方式获取数据。涉及个人信息的数据，《民法典》第一千零三十五条规定，处理个人信息应当遵循合法、正当、必要原则，不得过度处理，并征得该自然人或者其监护人同意。《个人信息保护法》进一步规定，处理个人信息应当采取对个人权益影响最小的方式；收集个人信息，应当限于实现处理目的的最小范围；基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出；对于敏感个人信息，还应当取得个人的单独同意。在进行数据来源合规性审查时，我们可以根据数据的获取方式采取相应的审查措施：如果数据提供方是通过与第三方企业签订协议的方式取得数据的，我们须审查在先协议，确定数据提供方是否取得第三方授权使用以及是否具有进一步对外共享或转授权的权利；如果数据提供方的数据直接来源于个人，则须审查其获取用户个人信息时与用户所订立的用户协议及隐私协议。

二、标的数据的合规性

《网络安全法》、《数据安全法》、《个人信息保护法》层面对于数据合规性的要求散见于上述法律的禁止性规定。《上海市数据条例》、《深圳经济特区数据条例》、《重庆市数据条例》（2022年7月1日施行）根据上述法律均对禁止交易的数据进行了规定，其立法思路也基本一致，主要禁止对以下几类数据进行交易：（一）危害国家安全、公共利益的数据；（二）侵害个人隐私的数据；（三）未经合法权利人授权同意的数据。因此，数据标的合规性风险主要有危害国家安全、公共利益风险、侵犯个人隐私风险、未经合法授权风险这三类。未经合法授权风险在本文第一部分关于数据来源合规性的论述中已经进行了分析，以下主要对危害国家安全、公共利益风险和侵犯个人隐私风险进行论述。

（一）危害国家安全、公共利益风险。

《数据安全法》第二十四条规定，国家建立数据安全审查制度，对影响或者可能影响国家安全的数据处理活动进行国家安全审查。《网络安全法》第三十五条规定，关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。关键信息基础设施，一般是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。因此，关键信息基础设施的运营者在进行数据交易时应特别关注国家安全审查。

《网络安全审查办法》第五条规定，关键信息基础设施运营者采购网络产品和服务的，应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的，应当向网络安全审查办公室申报网络安全审查。《网络安全审查办法》第十条进一步规定，网络安全审查重点评估相关对象或者情形的以下国家安全风险因素：（一）产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险；（二）产品和服务供应中断对关键信息基础设施业务连续性的危害；（三）产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险；（四）产品和服务提供者遵守中国法律、行政法规、部门规章情况；（五）核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险；（六）上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险，以及网络信息安全风险；（七）其他可能危害关键信息基础设施安全、网络安全和数据安全的因素。因此，关键信息基础设施运营者作为数据接收方在进行数据交易前，可结合上述几点预判该交易可能带来的国家安全风险。

（二）侵犯个人隐私风险。

《个人信息保护法》第四条规定，个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。因此，拟交易的数据产品如涉及个人信息，首先应进行匿名化处理。《个人信息保护法》第六条规定了个人信息处理的“最小必要”原则，即处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。拟交易数据产品如不符合“最小必要”原则，也可能存在侵犯个人隐私的风险。《个人信息保护法》第二十八至第三十二条对敏感个人信息的处理规则进行了特别规定，敏感个人信息是指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息；处理敏感个人信息应当取得个人的单独同意；个人信息处理者处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意。因此，如拟交易数据涉及敏感个人信息，还应审查标的数据的获取是否遵守了敏感个人信息的特殊处理规则。

三、数据跨境交易

《个人信息保护法》第四十条规定，关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的，应当通过国家网信部门组织的安全评估。

根据《数据出境安全评估办法（征求意见稿）》第四条和《网络数据安全管理条例（征求意见稿）》第三十七条的规定，涉及向境外提供以下数据的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估：（一）关键信息基础设施的运营者收集和产生的个人信息和重要数据；（二）出境数据中包含重要数据；（三）处理个人信息达到一百万人的个人信息处理者向境外提供个人信息；（四）累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息；（五）国家网信部门规定的其他需要申报数据出境安全评估的情形。

由于《数据出境安全评估办法》和《网络数据安全管理条例》尚在征求意见阶段，其中关于数据出境安全评估的详细规定仍存在不确定性，且各地目前也几乎没有关于数据出境安全评估的实践经验可供参考，如涉及跨境交易上述数据，建议数据提供方向所在地省级行业主管部门或监管机构报备并寻求数据出境安全评估指导。

综上，本文主要根据《网络安全法》、《数据安全法》、《个人信息保护法》这三大法律，网信部门的监管规定以及地方数据立法，简要分析了数据交易的主要合规风险点并提出了相应的合规建议。由于目前我国数据交易的法律制度体系尚在构建过程中，很多问题仍有待后续立法的进一步明确，建议企业密切关注相关立法动态，审慎拟定数据交易合同条款。