企业咨询

●涉及的企业经营领域包括但不限于境内外基金、保理等金融类公司,仓储物流,房地产开发、工程建设,医疗类等

● 商事合规咨询


强监管时代的个人金融信息合规体系:

新规概要、场景解析及体系建设—以保险公司为视角

文/朱幸 律师

重庆静昇律师事务所 合伙人

网络安全与数据合规法律事务部 部长

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png


数据交易:新要素流通背景下,如何构建合规体系,又如何让合规要点落地

文/朱幸 律师

重庆静昇律师事务所 合伙人

网络安全与数据合规法律事务部 部长

概述

笔者在数据使用,行为界定-技术场景-合规路径三维解读中提到的”数据使用“,侧重于数据的企业自用。而本文要提及的”数据交易“,是涉及数据价值挖掘和实现作为市场化目标,是以数据作为交易对象的流通体系,是数据处理全生命周期的活动中最为复杂的一个环节。

2019年《关于坚持和完善中国特色社会主义制度推进国家治理体系和治理能力现代化若干重大问题的决定》首次将数据增列为生产要素;2020年《关于构建更加完善的要素市场化配置体制机制的意见》进一步推进数据要素市场化配置。从数据要素到数据要素市场化,体现出国家在数字经济时代,围绕数据展开的顶层战略。

image.png

(上述图表来源于贵阳大数据交易所:2014-2020年中国大数据交易市场规模及增长率)

数据,在其被正式确定为新要素,以及提出要素市场化之前,已经历了很长一段时间探索,数据交易市场规模不断扩大(如上图表),在新要素流通背景下,有必要系统探讨一下合规体系的构建问题。

数据交易涉及很多复杂的法律问题,如:数据权益的归属、数据交易的利益分成等。考虑到“数据”本身法律属性的特殊,前述问题将在很长一段时间处于“悬而未决”的探索阶段。

本文无意对上述未统一之法律问题进行解读,而是更侧重于从目前的规范框架、交易实践,以及参与交易的各角色(数据供方、数据需方、数据交易服务平台、数据交易服务机构等)提供切实的合规体系设想,以供落地参考。

合规体系

数据交易受哪些规范影响——数据交易的规范框架

image.png

image.png

要点(Points)

目前规范框架主要从法律、政策、部门规范性文件、地方性法规以及标准五个层面进行规范。

法律、政策层面:已确定数据交易的法律可行性,并确定数据交易管理制度、数据交易行为、数据交易市场为三大数据发展及监管重点,有数据交易中介服务机构法定要求,即:要求数据提供方说明数据来源+审核交易双方的身份+留存审核交易记录。

部门规范性文件及地方性法规层面:规范细化至数据交易、信息披露、自律监管等治理规则,以及资产评估、登记结算、交易撮合、争议仲裁等运营体系,强调个人数据、商业秘密和重要数据的保护。

标准层面:从数据描述、平台功能及服务安全等方面进行规范

哪些数据的交易要格外注意——数据交易的数据范围

image.png

要点(Points)

关于个人信息保护的告知-同意要求,可参考:数据法课堂12 I 重磅加餐-个信保护新时代,企业如何踏上合规正步?中合规要点表格《要点五:"告知-同意“的合规体系—— 7大适用场景及合规要点》。

关于数据脱敏:虽然《网络安全法》和《民法典》对非个人信息的定义均为:“经加工无法识别特定个人且不能复原”,但实践中完全匿名化的立法设想已被广泛的数据技术所突破。从目前监管来看,允许必要的去标识化达到无法识别出个体为实践较为可行之方案,至于“不能复原”在实践层面只能是一个相对概念,具体可参考:数据法 小课堂05 I 指标模块—数据脱敏,这味技术与规制间的“调和剂”。

关于公共数据:在本文中,公共数据本身的共享和公开并不属于“数据交易“的范畴,其规范要点是避免不予公开或有条件公开的公共数据被用于交易,公共数据(或称政务数据)的分类分级及取用可参考数据法15 | 重庆公共数据分类分级指南:问答-要点-路径(附分类分级行动及数据取用合规清单)。

数据交易各阶段的合规要点——数据交易的合规体系

image.png

合规要点

除了交易双方依法自行交易之外,数据交易主要通过平台模式进行,国内典型的数据交易平台,如政府主导性的交易平台(如贵阳大数据交易所、上海数据交易中心等)、产业联盟主导的交易平台(如中关村数海大数据交易平台等)、企业主导的交易平台(如数据堂、京东万象、九次方等)。在前述数据交易的平台模式下,将涉及以下法律主体:数据供方、数据需方、数据交易服务平台、数据交易服务机构。交易各方主体的基本法律框架见下图表:

image.png

(上述图表来源于《信息安全技术 数据交易服务安全要求GB∕T 37932-2019》)

数据供方在数据交易的合规要点

image.png

image.png

要点(Points)

关于数据交易标的的合法性、真实性、完整性:数据交易中,用于交易的数据来源的合法性、真实性、完整性是数据质量的基本保证,也是数据需方以及数据交易服务机构重点关注的要点,考虑到数据本身的无限复制的技术特点。对于上述“三性”,一般依赖于二层面。

“技术+法律“形式审查方式:包括从技术层面查明数据来源时间、来源载体、技术保护手段等,以及从法律层面查明形式上是否侵犯国家核心数据、重要数据,以及个人数据(信息)、企业商业秘密等。对于交易可能涉及范围、规模巨大的个人信息的,必要时可展开个人信息安全风险评估等措施。

笔者认为:数据作为交易标的,有的具有时效性要求,不宜对数据来源性作过分严苛的实质性审查,否则会影响数据交易本身的价值挖掘功能。实践中要通过担保、纠纷解决等事后救济机制来完善。

“供方承诺声明”方式:承诺及声明内容一般包括但不限于:数据来源合法性证明材料、数据满足法律法规和政策要求、数据质量评估说明、遵守交易规则、接受监督、数据流通后果承担等。

关于数据交易标的的准确性:有效界定交易数据的特征和范围,能够有效避免数据供需双方对交易标的产生争议,是数据交易得以长期持续的基础,实践中可参考《信息技术数据交易服务平台交易数据描述GB∕T36343-2018》,对交易协议中的数据名称、关键词、所属行业、数据种类、数据内容、数据价格等要素进行准确界定。

数据需方在数据交易的合规要点

image.png

数据交易服务平台在数据交易的合规要点

image.png

image.png

要点(Points)

关于数据交易服务平台的功能要求:可参考《信息技术数据交易服务平台通用功能要求GB/T 37728-2019》从”用户管理“、”交易管理“、”平台管理“等方面进行技术功能配置。

数据交易服务机构在数据交易的合规要点

image.png

image.png

结语

相比其他要素(土地、劳动力、资本、技术)而言,数据要素具有鲜明的区分特点,这也导致数据交易存在较多存在法律问题,如:数据权益归属不清晰、数据交易主体职能不明确、数据交易范围和内容如何确定、数据定价机制如何有效构建、数据质量标准如何统一、如何在数据交易中保护个人信息并确保数据安全……以上法律问题将在持续存在,并由立法界、实务界不断推进完善、优化。

考虑到数据交易中存在的诸多法律问题,目前国家法律政策及地方性法规层面,仅作出原则性规范,具体规范要求一般通过行业交易自律公约、交易平台规则,以及交易合同等具体细则进行规则探索。下一步,笔者也将结合主要公约、规则等进行解读。

既然是新要素,我们要容忍其成长的空间,笔者也将持续关注,并对相关问题进行研究,提出有效落地的法律建议,供数据交易各方参考!


扫一扫在手机打开当前页