作者：北京市京师（重庆）律师事务所 张伟律师/黄川育律师

本文由京师（重庆）律所律师原创，仅代表作者本人观点，如需转载或引用本文内容，请注明出处及作者，违者必究。

我国数据资源丰富，2022年中国数据经济规模达50.2万亿元，数据产量达8.1ZB，位居全球第二位。相较于劳动力、资本、土地等传统生产要素，数据通过高效率、低成本的加工、流通中，其价值将会产生更强的乘数效应。

2022年“数据二十条”（《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》）从生产要素高度系统部署数据要素价值释放的国家级专项政策文件。“数据二十条”确立了数据基础制度体系的“四梁八柱”，提出了以促进数据合规高效流通使用、赋能实体经济为主线，建立数据资源持有权、数据加工使用权和数据产品经营权“三权分置”的数据产权制度框架，构建中国特色数据产权制度体系。

2023年财政部和中国资产评估协会相继印发了《企业数据资源相关会计处理暂行规定》、《数据资产评估指导意见》，标志着将数据资源能够进行会计处理和信息披露。数据资源入表将进一步推动数据要素市场的快速流通。数据产品的商业价值逐渐被企业认可，成为企业发展过程中不可忽视的关键要素。针对这一情况，国家发改委、中央网信办和部分省级政府批准设立了相关数据交易所，围绕数据产品交易服务，提供了全流程上架交易服务。

在这一时代背景下，优秀企业利用其数据治理的优势，形成市场需要的数据产品进行上架时，就需要对其数据产品合规性进行审查，主要包括数据来源合法性、数据清洗脱敏有效性、数据加工领先性、数据传输安全性、数据交易合规性等内容。笔者在这里抛砖引玉，向数据供应方、数据需求方提出相关合规建议。本章就针对数据来源合法性进行论述。

一、数据来源合法性优先

数据流转方式包括收集、清洗加工、使用、展示、传输、销毁等各全生命周期。一个企业的数据必然先存在收集，才可能实施下一步。数据虽是一种可无限复制的增值式新兴事物，根据“数据二十条”，数据全链条上应当存在数据资源持有权、数据加工使用权和数据产品经营权的数据产权，其他方获取数据就应当支付一定许可费用，从而促进数据的增值和交易。加之，《个人信息保护法》、《数据安全法》等相应法律出台，对个人信息、重要数据等数据流动进行了必要限制，如企业无所顾忌的收集数据必然会受到法律规制，导致数据来源在根本上不具有合法性，数据交易就无从谈起。

我们在针对数据产品进行合规审查时，首先必须确定其数据产品利用的数据来源。数据来源合法性是数据产品审查的基石。数据来源主要包括企业自有数据、企业通过第三方授权使用数据、企业通过自动化方式爬取数据、企业委托第三方收集数据（包括共同收集）等方式。每种收集方式都存在相应的风险点。

二、企业数据分类分级

在说明各种方式收集前，又必须要先提出企业数据分类分级的概念。《信息安全技术 数据安全能力成熟度模型》(GB/T 37988-2019)指出数据分级常用方法：按特性分级，基于价值(公开、内部、重要核心等)、基于敏感程度(公开、秘密、机密、绝密等)、基于司法影响范围(大陆境内、跨区、跨境等)。结合《信息技术-大数据-数据分类指南》（GB/T 38667-2020）数据分类是根据数据的属性或特征，按照一定的原则和方法进行区分和归类，以便更好地管理和使用数据。数据分类不存在唯一的分类方式，会依据企业的管理目标、保护措施、分类维度等形成多种不同的分类体系。

值得注意的是，以上数据分类方法仅仅针对通用型企业，对于特殊企业还应当按照其特殊的标准进行分类分级，如《基础电信企业数据分类分级方法》（YD/T 3813-2020），《网络安全标准实践指南-网络数据分类分级指引》（TC260-PG-20212A），《金融数据安全 数据安全分级指南》（JR/T 0197-2020）,《工业数据分类分级指南（试行）》等。各行业需要参照其适用。

企业数据分类分级是企业进行数据资产管理的首要动作。不论是对数据资产进行编目、标准化，还是数据的确权、管理，或是提供数据资产服务，进行有效的数据分类分级都是首要任务。数据分类分级可以从业务角度或数据管理的方向考量，包括行业维度、业务领域维度、数据来源维度、共享维度、数据开放维度等。同时，数据分类分级也有助于企业对数据进行治理，根据全球数据管理协会DAMA对数据治理的定义，数据治理有利于摒弃低质量数据，留存高质量数据，实现数据资产价值的获取。

三、企业自有产生数据风险防范

企业自有数据是指企业在生产经营过程中获取的第一手数据。大多数公司的自有数据就是数据库里面的用户产生的业务数据或者是通过日志收集一些用户的行为数据。企业自有数据收集通常来源于三方面：第一方面，企业自己产生的数据，比如制造数据中的具体型号、加工工艺等；第二方面，企业与第三方交互产生的数据（不包括客户），比如交易数据中供货黑名单；第三方面，企业与客户交互产生的数据，比如客户姓名，送货地址等。

针对第一方面数据，属于企业自身的第一手原始数据，原则上由企业自有处置和利用。但该项数据可能存在落入重要数据（核心数据）、个人信息的情况。对于个人信息，可能涉及到员工向企业提交的个人信息，这时候企业留存了该项数据就可能产生个人信息，甚至是个人敏感信息滥用或泄露的风险。一般而言，针对数据产品不应加入员工个人信息数据，如果确需加入员工个人信息数据，应当按照《信息安全技术 个人信息安全规范》（GB/T 35273-2020）（以下简称“《个人信息安全规范》”）相关授权同意标准，取得提前的授权同意之后才能作为数据产品的数据源进行使用。针对是否属于个人信息或个人敏感信息，也同样建议参照该规范附录进行识别。当然部分行业也由自己归属的个人信息或个人敏感信息确定方法，如《个人金融信息保护技术规范》(JR/T 0171-2020)、《信息安全技术健康医疗数据安全指南》（GB/T 39725-2020）、《车辆网信息服务 用户个人信息保护要求》（YD/T 3746-2020）等中的个人信息内容。

对于企业数据落入重要数据情况，原则上应当根据各行业主管部门要求认定重要数据。根据《数据安全法》第二十一条规定：“国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护。关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据，实行更加严格的管理制度。各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。”一般而言除非涉及系国家安全、国民经济命脉、重要民生、重大公共利益等算作核心数据，而不论是重要数据还是核心数据，原则上都应该由相应地区和相关行业主管部门认定为准。企业应当结合该地区和该行业进行检索确定，并根据《信息安全技术 重要数据处理安全要求》进行数据管理。而且部分行业已经出台了相应重要数据规定，比如《金融数据安全 数据安全分级指南》（JR/T 0197-2020）、《汽车数据安全管理若干规定（试行）》等。

四、结语

综上所述，对于企业自行产生数据的数据来源审查，主要在于两方面：第一，是否涉及个人信息和个人敏感信息，针对这一项严格按照《个人信息安全规范》附录进行识别。一旦识别出部分数据属于个人信息和个人敏感信息，就需要按照个保法和《个人信息安全规范》附录要求，通过弹窗等方式特别提醒方式告知用户收集了其相应数据（并需界定该数据收集是否是应用场景所必须），该数据是否会传输给第三方，是否关闭基于行为数据的个性化推荐和投诉建议渠道等。归入个保法个人信息影响评估的企业需要进行PIA评估个人信息的影响程度；第二，结合不同行业标准性文件确定企业是否自行产生了重要数据和核心数据，该数据留存、使用是否安全，是否进行分级分类和隔离管理；第三，针对个人信息和重要数据，加工脱敏后是否难以认定为个人信息和重要数据，且数据是否存在跨境（包括港澳台），是否对跨境数据进行报备。

京师（重庆）律所数据团队已完成在北数所、上数所、西数所20余项数据产品上架合规和数据合规专项服务，联合京师（上海）律所共同完成某国家国资委旗下行业大数据公司数据资产确权服务。

律师团队

张伟律师：法律硕士，北京市京师（重庆）律师事务所企业服务中心特殊资产事务中心主任，两江新区律协破产事务中心副主任，拥有多年不良资产和重整清算实务工作经验，在企业数据合规认证、风险评估、数据经纪等专项领域也多有涉猎。主导多个危困企业救治和退出业务，管理处置多个不良资产债权项目。

黄川育律师：执业律师，重庆市企业合规促进会数字专委会委员，DPO（General Data Protection）认证数字合规官，北京市京师（重庆）律师事务所大数据中心骨干律师。曾担任审查20余项数据产品审查上架，为多家大型企业提供数据合规专项服务。先后为某国家国资委旗下行业大数据公司，多家新型网络科技公司等提供合规审查。部分数据产品已分别在上海数据交易所、北京国际大数据交易所、西部数据交易中心等多家数据交易中心上架。在数据合规审查、风险评估、争议仲裁等方面具备丰富的实务经验。