前言
在数据资源入表主题的前两篇《抽丝剥茧 披沙拣金--企业视角下数据资源入表的意义及实践方案》和《他山之石--128单数据资源入表实务案例统计与剖析》中,我们围绕数据资源入表,回答了企业为什么要进行数据资源入表,以及企业应该如何进行数据资源入表的基础问题,并结合近期公开披露的数据资源入表案例,深入剖析了数据资源入表的实践路径,为企业尽可能提供了可视化的统计和分析结果。
本篇作为数据资源入表主题文章的收官篇,我们将在此前研究的基础上,进一步介绍在数据资源入表实践中,各阶段法律合规评估的工作方案,并根据我们的经验解说评估过程中所涉及的重点内容,以期为企业实际开展入表的评估工作提供参考。
一、数据资源入表实践中各阶段的法律合规要求
如在本主题文章的第一篇所介绍,企业在数据资源入表实操时总体可分为三大阶段:①前期准备阶段,即数据的资源化和产品化阶段;②实施阶段,即数据资产化阶段;③后续利用阶段,即数据资本化阶段。基于数据资源入表的特点、要求和目的,无论在哪个阶段,企业都应重视并关注法律合规的要求,具体而言:
数据的资源化和产品化阶段:本阶段法律合规性确认的重点在于梳理企业所持有数据的类型,例如是否涉及个人信息、重要数据或其他法律法规提出保护要求的数据类型,并根据商业目的、需求以及数据产品应用场景,判明数据资源化及产品化的可行性,重点内容包括分析数据产品形态、所涉业务场景、数据类型、来源、管理、清洗/加工等情况。
资产化阶段:本阶段是法律合规要求集中,在实务中明确需要进行法律合规评估的重点阶段。企业在本阶段应深入评估拟进行资产化的数据产品面临的法律合规风险,包括评估主体合法性、数据管理合法性、数据来源合法性、数据流通合法性等,梳理出相应的风险点,并有针对性地提出合规整改建议,评估意见和整改建议应以正式的书面报告呈现。
资本化阶段:在数据交易或数据资本化前,企业需要根据具体的路径,例如交易、质押、证券化等,梳理对应的合规要求,并进行差距分析、风险评估和开展整改工作。
二、工作团队的组建与法律合规评估的工作流程
(1)组建工作团队
数据资源入表是一项系统、复杂的工程,因此,在实践时需要企业建立专业化的内外部协作机制并针对性设计工作流程。如前所述,法律合规要求的确认和评估涉及数据资源入表的全流程中的各个阶段,企业应建立专门的工作团队,其中又可以进一步分为法律、会计和资产评估、业务和技术团队。在实务中,上述四个团队往往互有分工和侧重,又需要互相配合和辅助。在涉及法律合规要求的确认和评估中,往往由法律团队牵头,并形成紧密的协同配合机制,其分工和职责大致如下:
法律团队:包括企业内部法律合规部门、企业外部律师事务所(法律合规评估顾问)。法律团队是主导、协调法律合规评估开展的重要团队,其具体工作内容包括起草并分发调查清单,辅助编制数据资产目录,对企业的业务部门、财务部门、技术部门实施访谈,审阅支撑性文档,梳理合规要求,提供合规意见,并起草书面分析和评估报告,协助企业履行数据资产确权和登记手续等。
会计和资产评估团队:包括企业内部财务部门、企业外部会计师事务所及数据资产评估机构。会计和资产评估团队在数据资源入表中的主要工作,是在资产化阶段通过对会计准则和法规的研究梳理明确数据资产的会计处理方法(例如以无形资产入表或以存货入表)并计量数据资产价值。在会计和资产评估团队的工作中,既需要参照依据法律团队提供的法律合规评估意见,例如数据资产合法拥有或控制,数据资产确权等,同时也可以辅助法律团队判断相应的合规风险。
业务团队:包括企业内部各业务部门。业务团队在数据资源入表的工作中,需要向法律团队介绍业务模式和收益实现方式,业务条线下数据来源和数据类型,以及不同业务场景下对数据产品的需求、应用偏好等,辅助法律团队梳理和确认企业的涉数据事实情况。另一方面,业务团队应当与法律团队一同商议调整在合规前提下的数据产品策略及整改措施的可行性等。
技术团队:包括企业内部的技术部门、企业外部的技术公司等。技术部门需在评估过程中向法律团队介绍企业涉数据技术措施和技术管理手段实施情况,例如数据清洗和加工情况等,并在必要时需配合技术公司对各信息系统、客户端软件进行穿行测试,向外部技术公司展示技术措施和技术管理手段的有效性。
(2)评估工作流程
①. 涉数据情况尽职调查
涉数据情况尽职调查是法律合规评估中最为耗时的环节,法律团队需要尽可能全面、准确地搜集企业涉数据的事实情况,具体可采取如下方式:
制作、分发调查清单:为了解拟评估的背景信息、涉数据业务的事实情况,法律团队在评估启动阶段,应制作并向企业技术部门和业务部门分发调查清单,要求各部门回答包括涉数据业务模式、数据处理情况、数据管理制度建立和执行情况、信息系统情况、数据全生命周期技术措施等方面的情况。通常而言,调查清单的填写需要法律团队、业务团队和技术团队的协作配合和密切沟通,法律团队将根据各部门完成的调查清单形成对企业涉数据事实情况的初步摸底,并辅助企业对持有的数据资源形成《数据资源目录》。
访谈:如各部门反馈的调查清单不足以帮助法律团队完全获取事实情况时,法律团队需考虑与企业各部门的相关人员,包括高级管理人员进行谈话,以对调查清单以外的内容进行进一步了解和分析。
穿行测试:为了解与数据产品技术安全相关的最新事实情况,法律团队和技术团队可选择通过穿行测试的方式调查、验证企业数据安全保护措施的实际应用情况,例如要求企业技术部门进入数据库系统或业务系统的后台,调取系统中存有的日志、系统页面、系统截图、运行结果等内容;或要求技术部门和业务部门在测试环境下展示APP或其他用户终端的界面、用户注册流程、业务操作流程等,由法律和技术团队记录相应过程和结果。
支撑性文档审阅:法律团队通过对被支撑性文档进行查阅、分析,调查、验证本项目拟评估的涉数据事实情况。支撑性文档的范围包括被评估人针对数据和网络安全制定的各类规范、采用的常态化实践机制和实践活动,如数据安全和个人信息保护管理制度、安全评估监测制度、安全事件应急处置制度、个人信息主体行权响应机制(特别是针对自动化决策结果的投诉渠道)、未成年人保护制度、匿名化机制,已获得的数据保护有效性证明,数据业务相关合同协议。如涉及数据产品安全配置和设计文档、运行记录等偏向技术性的文档,还需要技术团队协助审阅。
②. 差距分析和风险评估
在本阶段,法律团队需根据不同的数据产品类型、所涉的不同场景、数据类型,在现行法律法规框架下检索、梳理合规要求,形成对标基准合规点清单。在此基础上,通过对标上一阶段尽职调查中掌握的事实情况,确认数据资源入表对象的合规性。如果发现梳理出事实情况与合规要求之间存在差异,应当帮助企业识别数据资产化过程中可能存在的合规风险点,并确认各风险点的风险等级,逐项商讨可行的整改合规建议。
③. 整改
在本阶段,法律团队将根据上一阶段风险评估中发现的风险点以及整改建议,协助企业实施整改。根据风险评估的情况,可能涉及的整改事项包括但不限于数据产品包含数据种类和数据字段的调整,涉数据协议、授权书、隐私政策、制度、手册的制定和修改,业务流程的合规方案设计,安全保障措施的更新和调整等。考虑到整改可能涉及业务和技术实操,本阶段可能需要业务团队、技术团队执行整改的具体要求,在这一过程中需要各团队的积极沟通和配合。
④. 再评估
整改完成后,随着时间的推移,考虑到数据业务、数据产品的形态和收益模式、处理数据类型等业务情况可能会发生变化,同时合规要求亦有可能因法律法规的出台、废止、修订发生变化,为降低合规风险,在数据资源入表完成后,仍建议企业定期进行再评估,重新识别相关合规风险。
三、法律合规评估的重点内容
(1)主体的法律合规
在主体的法律合规性方面,除了通常需要确认评估的数据资源入表企业作为一般市场主体依法设立与合法存续的基本情况外,还需要重点关注其从事数据处理业务以及相关数据产品经营活动可能涉及的主体合法合规问题。
实践中,我们通常需要关注以下几个方面的信息:
①. 主体的一般性经营证明材料,包括但不限于营业执照、信用中国报告、主营业务情况说明,内部组织架构等,以针对其作为一般市场主体的法律合规性进行评估。
②. 所处行业、特殊经营资质、特殊主体性质等,上述信息对于判断企业数据处理活动的合规基准具有关键作用,例如企业所在行业为强监管的金融行业,企业具有征信业务资质,企业属于关键信息基础设施运营者可能都会对其法律合规性评估产生重大影响。
③. 数据处理业务相关的情况,包括但不限于主要的数据处理业务、数据处理环节、涉及处理特殊数据种类、数据产品服务经营情况以及相关资质等。
④. 运营主体及其高级管理人员在数据合规领域是否存在行政处罚或诉讼的情况等,特别是目前《个人信息保护法》对于公司主体以及高级管理人员的行政处罚可能会导致相关行为被记入信用档案、相关高级管理人员被禁止从事等严重后果,为避免今后数据处理业务的开展因高管人员的行政处罚情况受阻,需要予以重点核查。
(2)数据管理的法律合规
企业应当依法建立完备的数据安全管理体系,并采取必要技术措施,保障数据安全以及数据资产的价值实现。
通常我们会关注并评估企业的以下数据管理方面:
①. 数据管理的组织架构:根据法律法规要求以及相应行业主管部门的规定,应当设置数据安全管理部门、数据安全合规审计职能部门,必要的情形下还应当设置专职的个人信息保护负责人或数据安全负责人。
②. 数据安全管理制度:应当建立覆盖数据全生命周期各环节的数据安全管理制度,制定包括但不限于数据安全管理办法、数据安全操作规程、数据安全合规指引、数据安全风险识别清单等一系列制度文件,建立包括但不限于数据分级分类保护、个人信息保护影响评估、重要数据风险评估制度等数据安全管理制度等。
③. 完善数据安全事件应急预案:应当制定数据安全事件应急预案,明确安全事件预警、报告、处置等全流程的合规要求,并定期组织演练。根据演练情况适时对应急预案进行调整。在发生安全事件时能够迅速启动应急预案并有效应对,最大程度降低对数据、相关主体以及企业的负面影响。
④. 网络安全是保障数据安全的重要一环,应当确认公司的网络安全管理水平是否达到了法律法规规定的要求:包括但不限于网络系统的网络安全等级保护定级、备案以及测评等情况。
(3)数据来源的法律合规
数据的来源通常可以大致概括为自外采集以及自身生成两个路径,其中自外采集则可能包括公开渠道获取、从其他数据处理者通过协议等方式收集,或从个人信息主体及其他数据主体授权许可以及其他来源的获取等。
①. 针对自身生成的数据,其数据来源法律合规性的问题相对较小,但是应当关注数据生成是否基于其他基础数据,特别是这些基础数据对生成数据的贡献以及对其性质的影响。
②. 针对从外采集的数据,从方式而言,需要重点关注例如通过网络爬虫等技术手段从公开渠道获取数据的法律合规性,通过协议等方式收集的有效性,或协议限制等问题。从数据种类而言,涉及个人信息应当着重评估其收集处理的合法性基础以及被授权的处理范围。针对其他数据,特别是重要数据,应当明确处理该数据的合法性依据,风险评估的适当性,安全保护措施的妥当性等。
(4)数据处理活动的法律合规
数据处理活动的评估是指针对数据全生命周期的各环节的合规操作予以确认和评估。一般数据处理活动包括了采集、加工、传输、存储、共享、销毁等环节,评估的主要参照基准为处理活动的合法性以及正当性等,例如开展的数据处理活动不得泄露国家秘密、商业秘密或个人隐私,不得损害国家利益、社会公共利益与他人合法权益等,由于篇幅有限此处不再逐一展开。但需要注意的是,入表数据如果包含不同种类的数据类型,其可能涉及的评估参照基准也不尽相同,因此在开展评估前需要就入表数据涉及的数据类型以及对应的数据处理合规要求进行梳理。
(5)数据产品的可交易性或可流通性的法律合规
数据资源入表的重要一步是数据的资源化和产品化,以充分确认数据资源预期可收益。因此,对于数据产品的可交易性或可流通性的合规评估对于数据资源的估值也具有非常重要的意义。数据产品可交易性和可流通性的合规评估主要从以下方面展开:
①. 确认数据产品及其所涉数据本身是否属于需要特殊资质、满足特殊条件方可流通的产品或数据。一旦涉及个人信息、重要数据等数据类别,其交易与流通将受到较大的限制;
②. 需确认数据产品的价值所在,是否具有流通交易的价值。这部分评估工作需要针对数据资源本身的功能,形成数据产品过程中数据处理者所投入的创造性劳动,并结合数据产品的具体应用场景以及市场需求等进行较为复杂的评估;
③. 确认数据产品的流通本身是否符合法律法规要求。这部分评估工作需结合数据产品交易合同或协议的内容展开。由于数据产品的特殊性,流通过程中,卖方需要就买方在安全、合规的前提下使用产品的情况进行一定的控制。
(6)数据产权
合法资产化的数据资源需要满足三个方面的要求:企业合法拥有和控制、成本可计量、预期可收益。在“数据产品的可交易性或可流通性”的合规评估中,我们明确“预期可收益”这一要求。而对于判断拟入表数据资源由企业拥有或控制则是另一个实务难点。
针对“企业拥有”这一判断标准,由于数据本身的可复用性、非排他性以及快速变化性等特征,并不能够生硬地套用传统的“所有权”概念进行评估。《数据二十条》中明确要求探索数据产权结构性分置制度,提出淡化所有权、强调使用权、实现数据产权分置的数据产权确权方向。因此,我们理解,只要可以满足企业对拟入表数据资源具有控制权,并通过协议安排或实质的创造性劳动等,具有合法取得收益的权利,无论企业对于数据资源的权利是数据资源持有权、数据加工使用权或是数据产品经营权的全部或部分,都不影响企业对该数据资源的资产化处理。
在实务中,由于目前数据产权体系以及确权制度的不完善,上述合规评估工作存在较大难度,需要聚焦到数据资源从采集生成到产品化全流程过程中,综合评估企业对于数据资源持有情况、加工处理情况、产品经营情况的控制能力,基于数据资源相关的相关协议、授权文件、交易记录等确认拟入表数据资源的权利完整性。
针对数据产权登记问题,各地虽然已经陆续制定了与数据确权相关的文件,但确权标准与路径却大相径庭。例如,北京、浙江等地的数据产权登记制度仍然是建立在数据知识产权的基础上,而深圳发布的《深圳市数据产权登记管理暂行办法》则是基于数据三权分置理论明确了数据资产登记制度。虽然,数据确权登记并非数据资源入表的必经程序,实践中各地不同的确权方式和准则也实际造成了数据确权登记结果可能无法在全国范围内通用的结果,但是在实践层面上,我们也观察到部分的入表案例中,企业仍在通过获取第三方出具的数据确权证书,以达到满足对于企业合法拥有或控制数据资源的形式证明要件的目的。目前包括各地建立的数据知识产权登记或数据要素综合登记平台,以及数据交易中心或交易公司等均陆续推出了协助企业完成数据资产确权工作并出具证书的相关服务。
结语
本文是天达共和数据合规团队数据要素研究系列数据资源入表主题的收官篇,随着本主题文章的圆满结束,我们希望您已数据资源入表有了更深入的理解和认识,尤其是数据资源入表中的法律合规要求的确认和评估,贯穿了数据资源入表的全流程,需要予以关注。
虽然现阶段各个企业基于不同的目的、认识所开展的数据资源入表工作,层次参差,良莠不齐,导致社会上对数据资源入表工作实质意义也存在不同看法,但考虑到数据不仅是信息时代的基石,更是推动社会进步和创新的动力,随着人工智能、大数据和云计算等技术的发展,数据要素的作用将愈发显著。我们也相信,在未来,在真正关注法律合规前提下,与市场需求、商业目的紧密结合所形成的数据资源入表工作,其价值将会进一步凸显。