中国信息通信研究院发布的《中国数字经济发展研究报告(2024年)》显示,2023年我国数字经济规模达到53.9万亿元,较上年增长3.7万亿元;2023年我国数字经济占GDP比重达到42.8%,较上年提升1.3个百分点,数字经济同比名义增长7.39%,高于同期GDP名义增速2.76个百分点,数字经济增长对GDP增长的贡献率达66.45%。
可见,数据[1]作为数字经济的关键生产要素,已经成为当下经济高质量发展的重要驱动力。数据交易,是指以数据商品或者数据服务为主要标的进行等价交换的交易模式,包括数据包、数据收集、数据处理、数据分析等。如今数据交易的价值愈发得到承认和凸显,交易应用场景不断拓展,各种大数据分析模型层出不穷,数据作为一种资产和商品的交易模式也在逐步发展与成熟。
01 与数据以及数据交易有关的部分立法规范
目前,并没有专门针对数据交易的正式法律出台,相关规范体系仍待完善。数据交易的落地和实现也面临着无法可依的困难。另外,考虑到数据权属的复杂性、场内交易的困难性、个人信息的敏感性、数据的无限复制性等特征,为了降低交易风险,数据产品交易的合规评估显得尤为重要。
02 评估要点
交易前,为了保证交易的公平和主体地位的平等,数据交易主体应当通过数据合规尽职调查了解交易内容,最大化规避交易风险、减少损失。根据交易机构的管理要求和实践经验,数据交易的合规评估有以下三大要点:
1. 交易主体背景资质的尽职调查
交易主体的合规评估包括数据供方和需方彼此之间交叉进行的调查。
一方面,数据需方要对供方或者服务商进行尽职调查,主要内容有:工商登记情况;公司基本情况,例如主营业务、组织架构、部门分工、实控人、认缴/实缴资本;信用情况,例如涉诉信息、处罚信息、新闻报道等,主要审查过去三年有无数据相关行政处罚和诉讼以及其它重大涉诉和处罚;资质情况,例如增值电信业务许可证、地理测绘资质、征信资质等(根据法律规定和具体业务领域而定);数据管理情况,例如数据安全管理制度和技术保护措施、风险处理机制。
以新能源车企的无人驾驶测试数据为例,数据供方的主体资质调查还可能涉及新能源汽车项目的相关投资项目备案审查、汽车产业投资项目是否符合《汽车产业投资管理规定》的审查、新能源汽车生产企业准入资质核查、是否符合《新能源汽车生产企业及产品准入管理规定(2020修订)》[2]的审查、是否取得自动驾驶汽车测试号牌、是否具有智能网联车辆自动驾驶功能测试评价规程[3]等。
另一方面,供方也要对需方进行尽职调查,主要内容有:工商登记情况;公司基本情况,例如主营业务、组织架构、实控人等;使用数据的方式、范围和目的等;是否涉及数据出境等。
2. 交易标的“三性”的尽职调查
供需双方要对拟交易的数据产品或者服务本身进行合规评估,需针对数据来源合法性、可交易性以及可流通性展开详尽核查。其核查细节包括:数据内容的合法合规性、数据权属、数据类别、涉密级别等。
其中,数据来源合法性的调查尤为关键,而且一般会关联数据权属的确定,主要审查:数据是供方自行收集的、自行生产的还是从第三方获取的;自行收集的方式和技术手段,就相关技术是否享有合法、有效的知识产权,数据爬取方式是否合法、正当;间接获取的,是否有完整、有效、合法的购买协议、合作协议、许可协议等;供方享有所有权还是仅有使用权或者收益权,供方是否有权许可他人使用等;涉及个人信息的,供方是否取得个人同意以及是否留存有相关证明材料。
2023年8月,江苏罗思韦尔电气有限公司以其拥有的“T-BOX车联网信息数据”[4]知识产权成功向苏州银行扬州分行质押融资1000万元。因为“T-BOX车联网信息数据”涉及到车主的行车记录、位置轨迹等个人隐私,尽职调查更加关注数据来源合法性的调查,主要审查其发布的隐私政策及与用户签订的服务协议,确认其中是否清晰列明了个人信息收集、存储、使用、共享、转让、公开披露等各环节的具体操作流程,是否遵循隐私保护的设计原则,如最小化原则、透明度原则、用户控制原则等,以及针对用户隐私权利的相关保障措施。
3. 数据安全能力的尽职调查
数据具有天然的无形性和无限复制性,数据泄露也是如此,而且其速度极快、范围极广、损害极大。为了减少泄密给供需双方带来的巨大损失,彼此要进行数据安全保障措施的合规评估。
实务操作中,需首先关注企业是否设立数据安全管理部门或指定数据安全负责人,配备相应的数据技术专业人员。
还应该针对企业是否建立起相应的数据存储环境、数据安全管理制度、数据分类管理制度、数据全生命周期保护制度、技术保护措施、人员职责设置、端口权限设置、数据泄密处置机制、应急预案、合作方管理体系、安全教育和培训等进行评估与核查。其中,需要尤其关注涉及个人信息的数据,确保其符合《个人信息保护法》的规定,采取必要措施保障所处理的个人信息的安全,谨防个人信息遭篡改、破坏、泄露或非法获取、非法利用。
最后,数据交易主体是否被认定为关键信息基础设施,是否属于特殊监管行业,是否具有其他特殊监管要求等也应在数据安全能力核查中再次给予关注。
03 结语
合规评估是数据交易的前提和基础。现如今,数据交易的模式、流程以及方式都尚未成熟,缺乏制度规范。为了规避风险,交易双方应当围绕具体数据内容、数据来源、应用场景和业务领域展开详尽的合规评估。
在企业日常运营和管理中,应该提前做好数据合规管理体系的搭建,例如个人隐私数据的合法化收集、数据安全保护措施的强化。同时,需明确与上下游合作伙伴之间的数据合规要求与操作规范,以实现风险共担与责任分散。此外,应积极开展数据合规培训和教育,加强全员对数据合规性的认知与实践能力,以降低合规风险的发生概率。
另外,关于数据交易合规评估的体例和侧重点,需要结合业务领域和审查机关的要求,做到有的放矢和详略得当,针对性地开展评估工作,确定评估材料范围等。需要注意的是,尽管在交易前双方已经进行了合规评估或者尽职调查,但交易双方的权利义务还是应当通过具体的书面协议加以明确和固定。
【法条引用】
[1]《中华人民共和国数据安全法》第三条 本法所称数据,是指任何以电子或者其他方式对信息的记录。
[2]《新能源汽车生产企业及产品准入管理规定(2020修订)》第二条 在中华人民共和国境内生产新能源汽车的企业(以下简称新能源汽车生产企业),及其生产在境内使用的新能源汽车产品的活动,适用本规定。
[3]《杭州市智能网联车辆道路测试管理实施细则(试行)》第六条 测试主体是指提出在公共道路进行自动驾驶道路测试申请、按照法律法规要求组织测试及承担测试责任的单位,应符合下列条件:(一)在中华人民共和国境内登记注册的独立法人单位;(二)具备汽车及零部件制造、技术研发或试验检测等自动驾驶技术相关业务能力,包括具有自动驾驶技术及产品研发、生产能力或运营能力的整车企业、改装车生产企业、互联网企业、科研院所、高校、交通运输企业以及其他科技型企业;(三)对智能网联车辆测试时可能造成的人身和财产损失,具备足够的民事赔偿能力;(四)具有智能网联车辆自动驾驶功能测试评价规程;(五)具备对测试车辆进行实时远程监控的能力;(六)具备对测试车辆事件进行记录、分析和重现的能力;(七)法律、法规规章规定的其他条件。
[4] T-BOX(Telematics BOX)是一种车载终端设备,通过无线通信技术连接车辆与云端,也可接收来自云端的指令或数据流,为车主提供智能化服务,例如帮助车主获得行车报告、记录位置轨迹、进行故障提醒、远程启动车辆、打开空调、调整座椅至合适位置等。
