汉盛法评|数据交易合规系列研究之十一——间接获取数据来源的合法性探析
根据数据采集手段的不同,我们将数据来源分为四类:公开收集的、自行生产的、直接采集的和间接获取的。在之前文章中,我们已经探析了前三种数据来源的合法性标准。本文将会讨论最后一种:间接获取数据来源的合法性。相比于公开收集、自行生产和直接采集,间接获取并不生产或采集数据,间接获取数据的处理者更多的依赖他方主体的数据收集工作,通过数据交易或授权许可掌握数据后设计全新的数据产品。该种类来源的数据,因为涉及他方数据主体权益、数据权属和数据流通等问题,再加上现行数据立法的缺失,所以该种数据来源产品的数据交易合规审查更为复杂。
一、间接获取的方式 间接获取数据来源多通过数据交易或授权许可得以实现。 数据交易的间接获取模式,往往采用数据包的形式,数据提供方通过数据交易所或其他方式与数据需求方进行交易。因数据本身的特殊性,打破了物的专有性与权利专有性之间的关联,所以虽然通过交易,数据的传输已经完成,但该数据仍然可能为多人占有、使用,因此,关于数据包的交易问题,在现今法律体系下,可以通过数据交易平台,来约束交易数据的多次转移,但该模式需要满足一个条件,即所有数据交易均通过数据交易平台完成,一旦双方进行私下交易,则只能通过合同约定来约束数据提供方为或不为一定的行为,例如约定数据包独占或排他使用,则数据提供方不得将数据包转售他人或自行使用。 授权许可的间接获取模式,往往采用数据API接口或其他可直接访问数据库的方式。数据提供方开放数据库访问权限或对接权限,供数据的需求方通过计算机语言访问数据。双方可通过访问时限或访问次数进行收费。 企业在通过上述方式获取数据后,将数据进行分析、总结及创造性设计,成为一套新的数据产品进行上架交易。但该种类的数据产品,其数据源并非独立,而是通过他方主体进行获取,这就导致在讨论该数据产品的数据来源,会涉及数据权属问题。相比于另外三种来源的数据产品,只要其生产或收集手段合规,其数据产品的数据权属往往不是重点审查问题,因为可以粗略的将其归结为“一手数据”。而间接获取的数据,往往已经是“二手数据”,其交付标准,权属转移认定等均是需要考虑的问题。但现今为止,关于数据的权属问题存在很大争议,在法律尚未有明确的规定的情况下,通过数据交易所进行数据交易是能够避免交付风险的有效方式,否则只能通过双方之间的合同约定进行约束,即写明数据权益的转移节点、数据交付的方式,及数据交付风险承担等问题。 二、数据交易前手问题 因间接获取数据来源并非“一手数据”,甚至可能是“三手数据”或“多手数据”。在审查购买协议或许可协议的同时,为确保数据来源合法合规,有必要将其所有前手纳入合规审查范围。但考虑到数据的流通性,无法对其所有前手按照严格的合规标准进行审查,如若执行,一方面影响数据的流通,阻碍数据交易,另一方面,需花费巨大的审查成本,同时也无法保证前手数据主体的配合。由此,我们认为,在审查这类数据来源的数据产品时,除了较为明显和重大的数据违规外,可以采用数据提供方数据权益承诺的方式代替,但该种方式需要满足前手承诺的连续性,否则仍需要对未承诺前手进行合规审查。 针对数据提供方数据权益承诺,除承诺不会侵犯第三方主体权益外,仍需根据不同数据来源进行不同内容的承诺。 针对公开收集的数据,承诺的侧重点在于:数据爬取或收集是否违反数据访问控制或robots协议,是否破坏收集网站的正常运行等。 针对自行生产的数据,承诺的侧重点在于:数据是否为数据提供方独立生产,其数据是否按要求进行存储及数据安全问题等。 针对直接采集的数据,承诺的侧重点在于:采集个人信息主体的充分授权、单独或书面同意,及非个人信息是否属于国家禁止采集或限制采集信息等; 针对间接获取的数据,承诺的侧重点在于:其交易行为不会侵犯前手主体的数据权益,且是在前手交易或授权范围进行处分等。 三、跨境流通 间接获取数据来源的数据产品,相比于其他数据来源的产品,更有可能涉及数据的跨境流通问题,因为其数据均是通过他方主体获取,双方交易主体均有可能涉及境内外资主体或境外主体。同时,国内也正在积极建立跨境数据交易问题,北京大数据交易所的数据托管服务平台是国内首个可支持企业数据跨境流通的数据托管服务平台,深圳数据交易有限公司也已与香港生产力促进局达成合作,推进首批跨境数据交易,可见,跨境数据交易也逐步成为数据交易热点之一。 我们认为,凡是数据产品跨境问题,不仅仅涉及数据产品的合规审查,还涉及境外接收方的审查。除了国家安全评估外,企业自身也需对跨境产品进行审查,主要有以下方面: 1. 该跨境数据的数量、范围、种类、敏感程度及处理目的; 2. 数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险; 3. 数据提供方在数据流通过程中的安全保障措施是否完备,能否有效防止数据泄露、损毁等风险; 4. 境外接收方的数据安全保障措施是否完备,能否保证出境数据转移或二次转移中流通风险、存储风险。 5. 与境外接收方订立的数据出境合同是否充分约定数据安全保障义务。 以下为跨境数据交易可能涉及的规范文件: 《网络安全法》、《数据安全法》、《个人信息保护法》、《个人金融信息保护技术规范》、《网络安全审查办法》、《网络数据安全管理条例(征求意见稿)》、《数据出境安全评估办法(征求意见稿)》、《数据安全管理办法(征求意见稿)》、《个人信息出境安全评估办法(征求意见稿)》、《个人信息和重要数据出境安全评估办法(征求意见稿)》、《数据出境安全评估指南(征求意见稿)》 四、总结 间接获取数据来源的数据产品,其数据源自于其他三种手段收集的数据所形成的数据产品,所以在合规审查时,不仅要审查该间接获取数据的合规性,还需审查该数据来源的合规性,即附带审查可能涉及其他三种手段收集数据的合规性。只有确保每一手交易数据都在合法范围内,才不会对后续该类数据产品的流通造成阻碍,也能够有效避免数据需求方的侵权风险。
相关研究
-
11-052020
工程量清单项目特征描述不准确导致的争议及规避措施
工程量清单项目的特征决定了工程实体的实质内容,直接决定了工程实体的自身价值(价格),应予以详细而准确的表述和说明。 -
05-292020
企业赴美上市指南
美国的资本市场是以投资人选择为导向,以注册制为原则,赴美上市成功的关键在于企业的基本面和投资人的认可。 -
10-292020
《民法典》《九民纪要》下合同不成立、无效、被撤销或确定不发生效力的情形和法律后果简析
本文重点参考《<民法典>理解与适用》及《<九民纪要>理解与适用》中的观点,并简析《民法典》《九民纪要》下,合同不成立、无效、被撤销或确定不发生效力的情形和法律后果。 -
02-192020
《治安管理处罚法》五十一条第一款第一项不宜随意适用
这段时间,各地均采取了非常严格的防控措施,两高也相继出台文件,要求严打防控期间的种种破坏防疫工作的违法行为。我们也看到很多媒体在一些短视频平台或者微博这样的社交媒体上,发布一些破坏社会秩序、以及不服执法人员管控的视频,最终这些人都受到了法律的制裁。 -
04-222020
建设工程项目部印章对合同效力的影响及使用时的注意事项
本文将对盖章行为不规范引起的合同效力问题进行分析,主要讨论盖章主体没有权限以及使用未经备案公章盖章的行为效力。
沪公网安备 31011502009353号