​数据要素研究系列文章:纲举目张--数据资源入表实践中的法律合规评估方法及重点内容

作者:叶鹏

观点

前言

在数据资源入表主题的前两篇《抽丝剥茧 披沙拣金--企业视角下数据资源入表的意义及实践方案》和《他山之石--128单数据资源入表实务案例统计与剖析》中,我们围绕数据资源入表,回答了企业为什么要进行数据资源入表,以及企业应该如何进行数据资源入表的基础问题,并结合近期公开披露的数据资源入表案例,深入剖析了数据资源入表的实践路径,为企业尽可能提供了可视化的统计和分析结果。

本篇作为数据资源入表主题文章的收官篇,我们将在此前研究的基础上,进一步介绍在数据资源入表实践中,各阶段法律合规评估的工作方案,并根据我们的经验解说评估过程中所涉及的重点内容,以期为企业实际开展入表的评估工作提供参考。

一、数据资源入表实践中各阶段的法律合规要求

如在本主题文章的第一篇所介绍,企业在数据资源入表实操时总体可分为三大阶段:①前期准备阶段,即数据的资源化和产品化阶段;②实施阶段,即数据资产化阶段;③后续利用阶段,即数据资本化阶段。基于数据资源入表的特点、要求和目的,无论在哪个阶段,企业都应重视并关注法律合规的要求,具体而言:

二、工作团队的组建与法律合规评估的工作流程

(1)组建工作团队

数据资源入表是一项系统、复杂的工程,因此,在实践时需要企业建立专业化的内外部协作机制并针对性设计工作流程。如前所述,法律合规要求的确认和评估涉及数据资源入表的全流程中的各个阶段,企业应建立专门的工作团队,其中又可以进一步分为法律、会计和资产评估、业务和技术团队。在实务中,上述四个团队往往互有分工和侧重,又需要互相配合和辅助。在涉及法律合规要求的确认和评估中,往往由法律团队牵头,并形成紧密的协同配合机制,其分工和职责大致如下:

(2)评估工作流程

①. 涉数据情况尽职调查

涉数据情况尽职调查是法律合规评估中最为耗时的环节,法律团队需要尽可能全面、准确地搜集企业涉数据的事实情况,具体可采取如下方式:

②. 差距分析和风险评估

在本阶段,法律团队需根据不同的数据产品类型、所涉的不同场景、数据类型,在现行法律法规框架下检索、梳理合规要求,形成对标基准合规点清单。在此基础上,通过对标上一阶段尽职调查中掌握的事实情况,确认数据资源入表对象的合规性。如果发现梳理出事实情况与合规要求之间存在差异,应当帮助企业识别数据资产化过程中可能存在的合规风险点,并确认各风险点的风险等级,逐项商讨可行的整改合规建议。

③. 整改

在本阶段,法律团队将根据上一阶段风险评估中发现的风险点以及整改建议,协助企业实施整改。根据风险评估的情况,可能涉及的整改事项包括但不限于数据产品包含数据种类和数据字段的调整,涉数据协议、授权书、隐私政策、制度、手册的制定和修改,业务流程的合规方案设计,安全保障措施的更新和调整等。考虑到整改可能涉及业务和技术实操,本阶段可能需要业务团队、技术团队执行整改的具体要求,在这一过程中需要各团队的积极沟通和配合。

④. 再评估

整改完成后,随着时间的推移,考虑到数据业务、数据产品的形态和收益模式、处理数据类型等业务情况可能会发生变化,同时合规要求亦有可能因法律法规的出台、废止、修订发生变化,为降低合规风险,在数据资源入表完成后,仍建议企业定期进行再评估,重新识别相关合规风险。

三、法律合规评估的重点内容

(1)主体的法律合规

在主体的法律合规性方面,除了通常需要确认评估的数据资源入表企业作为一般市场主体依法设立与合法存续的基本情况外,还需要重点关注其从事数据处理业务以及相关数据产品经营活动可能涉及的主体合法合规问题。

实践中,我们通常需要关注以下几个方面的信息:

①. 主体的一般性经营证明材料,包括但不限于营业执照、信用中国报告、主营业务情况说明,内部组织架构等,以针对其作为一般市场主体的法律合规性进行评估。

②. 所处行业、特殊经营资质、特殊主体性质等,上述信息对于判断企业数据处理活动的合规基准具有关键作用,例如企业所在行业为强监管的金融行业,企业具有征信业务资质,企业属于关键信息基础设施运营者可能都会对其法律合规性评估产生重大影响。

③. 数据处理业务相关的情况,包括但不限于主要的数据处理业务、数据处理环节、涉及处理特殊数据种类、数据产品服务经营情况以及相关资质等。

④. 运营主体及其高级管理人员在数据合规领域是否存在行政处罚或诉讼的情况等,特别是目前《个人信息保护法》对于公司主体以及高级管理人员的行政处罚可能会导致相关行为被记入信用档案、相关高级管理人员被禁止从事等严重后果,为避免今后数据处理业务的开展因高管人员的行政处罚情况受阻,需要予以重点核查。

(2)数据管理的法律合规

企业应当依法建立完备的数据安全管理体系,并采取必要技术措施,保障数据安全以及数据资产的价值实现。

通常我们会关注并评估企业的以下数据管理方面:

①. 数据管理的组织架构:根据法律法规要求以及相应行业主管部门的规定,应当设置数据安全管理部门、数据安全合规审计职能部门,必要的情形下还应当设置专职的个人信息保护负责人或数据安全负责人。

②. 数据安全管理制度:应当建立覆盖数据全生命周期各环节的数据安全管理制度,制定包括但不限于数据安全管理办法、数据安全操作规程、数据安全合规指引、数据安全风险识别清单等一系列制度文件,建立包括但不限于数据分级分类保护、个人信息保护影响评估、重要数据风险评估制度等数据安全管理制度等。

③. 完善数据安全事件应急预案:应当制定数据安全事件应急预案,明确安全事件预警、报告、处置等全流程的合规要求,并定期组织演练。根据演练情况适时对应急预案进行调整。在发生安全事件时能够迅速启动应急预案并有效应对,最大程度降低对数据、相关主体以及企业的负面影响。

④. 网络安全是保障数据安全的重要一环,应当确认公司的网络安全管理水平是否达到了法律法规规定的要求:包括但不限于网络系统的网络安全等级保护定级、备案以及测评等情况。

(3)数据来源的法律合规

数据的来源通常可以大致概括为自外采集以及自身生成两个路径,其中自外采集则可能包括公开渠道获取、从其他数据处理者通过协议等方式收集,或从个人信息主体及其他数据主体授权许可以及其他来源的获取等。

①. 针对自身生成的数据,其数据来源法律合规性的问题相对较小,但是应当关注数据生成是否基于其他基础数据,特别是这些基础数据对生成数据的贡献以及对其性质的影响。

②. 针对从外采集的数据,从方式而言,需要重点关注例如通过网络爬虫等技术手段从公开渠道获取数据的法律合规性,通过协议等方式收集的有效性,或协议限制等问题。从数据种类而言,涉及个人信息应当着重评估其收集处理的合法性基础以及被授权的处理范围。针对其他数据,特别是重要数据,应当明确处理该数据的合法性依据,风险评估的适当性,安全保护措施的妥当性等。

(4)数据处理活动的法律合规

数据处理活动的评估是指针对数据全生命周期的各环节的合规操作予以确认和评估。一般数据处理活动包括了采集、加工、传输、存储、共享、销毁等环节,评估的主要参照基准为处理活动的合法性以及正当性等,例如开展的数据处理活动不得泄露国家秘密、商业秘密或个人隐私,不得损害国家利益、社会公共利益与他人合法权益等,由于篇幅有限此处不再逐一展开。但需要注意的是,入表数据如果包含不同种类的数据类型,其可能涉及的评估参照基准也不尽相同,因此在开展评估前需要就入表数据涉及的数据类型以及对应的数据处理合规要求进行梳理。

(5)数据产品的可交易性或可流通性的法律合规

数据资源入表的重要一步是数据的资源化和产品化,以充分确认数据资源预期可收益。因此,对于数据产品的可交易性或可流通性的合规评估对于数据资源的估值也具有非常重要的意义。数据产品可交易性和可流通性的合规评估主要从以下方面展开:

①. 确认数据产品及其所涉数据本身是否属于需要特殊资质、满足特殊条件方可流通的产品或数据。一旦涉及个人信息、重要数据等数据类别,其交易与流通将受到较大的限制;

②. 需确认数据产品的价值所在,是否具有流通交易的价值。这部分评估工作需要针对数据资源本身的功能,形成数据产品过程中数据处理者所投入的创造性劳动,并结合数据产品的具体应用场景以及市场需求等进行较为复杂的评估;

③. 确认数据产品的流通本身是否符合法律法规要求。这部分评估工作需结合数据产品交易合同或协议的内容展开。由于数据产品的特殊性,流通过程中,卖方需要就买方在安全、合规的前提下使用产品的情况进行一定的控制。

(6)数据产权

合法资产化的数据资源需要满足三个方面的要求:企业合法拥有和控制、成本可计量、预期可收益。在“数据产品的可交易性或可流通性”的合规评估中,我们明确“预期可收益”这一要求。而对于判断拟入表数据资源由企业拥有或控制则是另一个实务难点。

针对“企业拥有”这一判断标准,由于数据本身的可复用性、非排他性以及快速变化性等特征,并不能够生硬地套用传统的“所有权”概念进行评估。《数据二十条》中明确要求探索数据产权结构性分置制度,提出淡化所有权、强调使用权、实现数据产权分置的数据产权确权方向。因此,我们理解,只要可以满足企业对拟入表数据资源具有控制权,并通过协议安排或实质的创造性劳动等,具有合法取得收益的权利,无论企业对于数据资源的权利是数据资源持有权、数据加工使用权或是数据产品经营权的全部或部分,都不影响企业对该数据资源的资产化处理。

在实务中,由于目前数据产权体系以及确权制度的不完善,上述合规评估工作存在较大难度,需要聚焦到数据资源从采集生成到产品化全流程过程中,综合评估企业对于数据资源持有情况、加工处理情况、产品经营情况的控制能力,基于数据资源相关的相关协议、授权文件、交易记录等确认拟入表数据资源的权利完整性。

针对数据产权登记问题,各地虽然已经陆续制定了与数据确权相关的文件,但确权标准与路径却大相径庭。例如,北京、浙江等地的数据产权登记制度仍然是建立在数据知识产权的基础上,而深圳发布的《深圳市数据产权登记管理暂行办法》则是基于数据三权分置理论明确了数据资产登记制度。虽然,数据确权登记并非数据资源入表的必经程序,实践中各地不同的确权方式和准则也实际造成了数据确权登记结果可能无法在全国范围内通用的结果,但是在实践层面上,我们也观察到部分的入表案例中,企业仍在通过获取第三方出具的数据确权证书,以达到满足对于企业合法拥有或控制数据资源的形式证明要件的目的。目前包括各地建立的数据知识产权登记或数据要素综合登记平台,以及数据交易中心或交易公司等均陆续推出了协助企业完成数据资产确权工作并出具证书的相关服务。

结语

本文是天达共和数据合规团队数据要素研究系列数据资源入表主题的收官篇,随着本主题文章的圆满结束,我们希望您已数据资源入表有了更深入的理解和认识,尤其是数据资源入表中的法律合规要求的确认和评估,贯穿了数据资源入表的全流程,需要予以关注。

虽然现阶段各个企业基于不同的目的、认识所开展的数据资源入表工作,层次参差,良莠不齐,导致社会上对数据资源入表工作实质意义也存在不同看法,但考虑到数据不仅是信息时代的基石,更是推动社会进步和创新的动力,随着人工智能、大数据和云计算等技术的发展,数据要素的作用将愈发显著。我们也相信,在未来,在真正关注法律合规前提下,与市场需求、商业目的紧密结合所形成的数据资源入表工作,其价值将会进一步凸显。


作者

作者动态

作者其他文章

相关领域

Copyright © 1998-2018 天达共和律师事务所 京ICP备11012394号
联系我们 关注公众号
联系我们