随着大数据、云计算、人工智能、区块链等技术的不断发展,数据在经济中的价值不断体现,数据在中国经济中的作用逐渐被政府和企业重视起来。政府陆续出台了一系列政策文件,如2020年4月9日,中国中央发布的《关于构建更加完善的要素市场化配置体制机制的意见》,将数据与土地、劳动力、资本、技术并列为五大生产要素,明确提出了要加快培育数据要素市场。2022年12月2日,中共中央发布的《关于构建数据基础制度更好发挥数据要素作用的意见》,明确了数据基础制度体系基本架构,为激活数据要素潜能,做强做优做大数字经济,增强经济发展新动能,提供了一列指引。根据数据主体的不同,可将数据分为三类:个人数据、公共数据、企业数据。本文简要总结数据要素企业关于该三种数据类型数据来源的合法性问题,供大家参考。数据来源是数据要素市场的起点,数据来源的合法合规是数据处理、使用、交易合法合规的前提与基础。截至目前,我国在数据安全合规方面陆续出台了《网络安全法》、《数据安全法》、《个人信息保护法》三部较为重要的法律,该三部法律初步搭建了数据安全合规层面的法律框架。在数据采集方面,上述法律对企业数据合规方面的要求简摘如下:作为专门的数据处理公司,数据要素企业主要业务围绕数据的采集、存储、使用、加工、提供及交易等开展一系列的数据经营活动,其作为生产资料的数据来源一般为直接采集、公开数据收集、自行生产以及间接获取等。以下结合相关案例,就不同类型下的数据来源分类讨论合法性审查要点。根据《个人信息保护法》的规定,“个人信息数据指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息数据的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。”《信息安全技术 个人信息安全规范》(标准号:GB/T 35273-2020)第5.4条款规定,收集个人信息时的授权同意。对个人信息控制者的要求包括:a.收集个人信息,应向个人信息主体告知收集、使用个人信息的目的、方式和范围等规则,并获得个人信息主体的授权同意。b.收集个人敏感信息前,应征得个人信息主体的明示同意,并应确保个人信息主体的明示同意是其在完全知情的基础上自主给出的、具体的、清晰明确的意愿表示。c.收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意。d.收集年满14周岁未成年人的个人信息前,应征得未成年人或其监护人的明示同意;不满14周岁的,应征得其监护人的明示同意。e.间接获取个人信息时:(1)应要求个人信息提供方说明个人信息来源,并对其个人信息来源的合法性进行确认;(2)应了解个人信息提供方已获得的个人信息处理的授权同意范围,包括使用目的,个人信息主体是否授权同意转让、共享、公开披露、删除等;(3)如开展业务所需进行的个人信息处理活动超出已获得的授权同意范围的,应在获取个人信息后的合理期限内或处理个人信息前,征得个人信息主体的明示同意,或通过个人信息提供方征得个人信息主体的明示同意。个人数据采集方式主要有以下几种方式:(1)直接采集方式,包括经过用户授权同意后由用户自行上传、直接在运营的平台进行个人数据采集,或者以其他方式进行直接采集;(2)公开收集的方式,如通过自动化访问方式(如网络爬虫技术等)采集个人信息主体向社会已经公开的个人数据或者其他合法公开披露的信息中的个人数据,该等收集方式一般不需要取得个人用户的授权同意,但应当在合理范围内使用;(3)通过第三方间接获取方式,如从供应商处采购、互换企业数据、购买大数据、由第三方提供数据等方式,该等方式一般无法直接取得个人用户的授权同意,因此往往需要穿透核查其“源头”数据的真实性、合法性,是否享有数据的所有权或获得相关数据主体的授权许可,相关授权许可是否存在使用范围、主体或期限等方面的限制等。案例:HT公司,于2021年7月13日在上交所科创板注册生效HT公司主营业务为训练数据的研发设计、生产及销售;其数据主要来源于公司及原料数据采集供应商主动收集数据。原料数据采集供应商按照公司的采集要求寻找匹配的终端人员,组织其使用公司研发的技术、平台、工具等,为公司提供数据采集服务。在个别业务中,由于采购量较小,作为补充性采购,公司也存在少量直接采集数据的情形。案例:LD公司,于2021年9月28日在深交所创业板注册生效LD公司主营业务为公共事务和商业领域的客户提供数据分析与决策支持服务。其业务所用数据包括独立采集数据和大数据,其中独立采集数据包括样本调查数据(由公司自行采集或向供应商采购取得)、交互数据(公司在线自行采集)、巡查数据(由公司自行采集或向供应商采购取得);大数据包括外购大数据(向供应商采购取得)和客户内部大数据(客户提供)。
公共数据是指由国家机关、事业单位、经依法授权的具有管理公共事务职能或者提供公共服务的组织,在履行公共管理职责或者提供公共服务过程中产生、采集、制作或者获取,并通过电子信息形式保存、记录的各类数据。2021年中共中央发布的《十四五年规划和2035年远景目标纲要》明确提出了要加强公共数据开放共享,开展政府数据授权运营试点,鼓励第三方深化对公共数据的挖掘利用。在相关政策的引导下,很多地区逐渐建成关于公共数据的开放共享平台,如北京、上海、广东、深圳等,旨在加强公共数据的开放共享。与以个人信息为内容的个人数据不同,对于公共数据的获取一般不涉及取得原始数据主体的授权同意问题。国家鼓励市场主体对公共数据的利用和挖掘,但公共数据的采集、利用等行为仍需遵守基本的注意义务,防止因不当使用破坏正常的市场秩序及损害国家利益、社会利益和其他主体的合法权益,特别是原始数据主体合法权益。比如,如果不正当的采集公共数据,可能会构成《反不正当竞争法》第12条所述的“利用技术手段,妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行的行为”,可能要面临着“由监督检查部门责令停止违法行为,处十万元以上五十万元以下的罚款;情节严重的,处五十万元以上三百万元以下的罚款”的法律后果。从实践来看,公共数据的采集方式主要分为:(1)直接采集,如通过科学技术手段直接采集天文、地理等客观的数据;(2)公开收集,一般指的是通过自动化访问方式(如网络爬虫技术等)采集信息主体已公开的信息;(3)自行生产,一般指的是企业在生产、经营等活动中产生的数据;(4)间接获取,如从政府合作、信息授权、对外采购等。案例:ZC公司,于2022年7月15日在深交所创业板注册生效ZC公司是专注于大宗商品市场数据监测、交易价格评估及行业数据分析的专业服务提供商。其主营业务为资讯服务和咨询服务。(1)资讯服务,主要帮助客户全面了解能源、化工、农业、金属等大宗商品领域最新市场动态,通过专业、及时的市场分析,为客户决策提供参考和依据;(2)咨询服务,是指公司行业研究专家根据客户的个性化需求为客户提供高端定制报告服务,为其生产经营和投资交易决策提供专业依据。(1)信息授权,公司与中国石化化工销售有限公司等2,107家大宗商品生产、贸易企业签订了《信息授权使用协议》,协议约定授权ZC公司在其资讯、咨询等平台及相关数据库、软件、产品中使用授权方相关信息;(2)政府合作,主要合作模式为与国家发改委价格监测中心、以及其他具有管理公共事务职能或者提供公共服务的组织对某些数据进行监测、分析;(3)信息交流,主要通过通讯软件交流等方式,向与公司建立联系的万余家大宗商品行业的市场参与者进行信息交流并采集信息;(4)公开信息收集,主要为根据业务需要对公开披露的信息进行采集、整理和加工;
案例:TR公司,于2022年3月30日在北交所注册生效TR公司主营业务为遥感与测绘地理信息数据服务和空间信息系统开发应用集成服务。根据其招股说明书,其数据来源于政府类项目客户已有的提供基础信息资料、自有测绘或者外购和租赁设备采集、自行采集、自行加工、外购大数据等。
根据中国信通院的《数据要素白皮书(2023)》,企业数据可以分为:(1)企业自行采集、记录客观现象所得到的数据;(2)企业在生产经营活动中,采集与用户的交互记录所得到的数据;(3)企业基于已产生的数据,在赋予数据全新价值过程中得到的数据。相应的,企业数据采集的方式主要包括以下:(1)面向数据主体直接采集,如企业通过自身运营的APP或者软件收集用户数据;(2)通过自动化访问等方式采集;(3)从第三方处间接收集数据,如从供应商处采购、互换企业数据、购买大数据等。根据企业收集数据类型的不同也会涉及到其他类型数据的合规问题,如收集数据包括个人数据、公共数据等,由此会衍生出不同的侧重要点,这里不做重复赘述。但通常来讲,对于企业数据来源合规问题上,监管部门一般会重点关注该公司采集企业数据的具体方式,各种方式获取数据的占比,如何确保数据来源合法性及有效性,数据使用目的是否合法合规,以及就公司的相关数据制度是否能够有效保障数据安全及业务合法合规等。案例:HH公司,于2023年10月17日在上交所科创板注册生效HH公司主营业务系基于自主研发的领先智能文字识别及商业大数据核心技术,为全球C端用户和多元行业B端客户提供数字化、智能化的产品及服务。其数据来源主要为(1)直接采集,如在获取用户通过弹窗方式明示同意隐私政策后,用户自主上传或输入;(2)数据与数据互换,指以公司现有的数据换入供应商提供的数据;(3)广告与数据互换,指以启信宝APP或网页版的广告服务换入供应商提供的数据;(4)自动化访问获取数据,指从互联网等公开网站进行自动化采集数据。
案例:LD公司,于2021年9月28日在深交所创业板注册生效LD公司主营业务为公共事务和商业领域的客户提供数据分析与决策支持服务。其业务所用数据包括独立采集数据和大数据,其中,(1)独立采集数据包括样本调查数据(由公司自行采集或向供应商采购取得)、交互数据(公司在线自行采集)、巡查数据(由公司自行采集或向供应商采购取得);(2)大数据包括外购大数据(向供应商采购取得)和客户内部大数据(客户提供)。
从前文可以看出,数据要素板块企业在发行上市时通常会被监管机构问询到关于数据来源方面合法性的问题,不管企业以何种方式获取的数据以及获取何种数据,均需要确认其数据来源的合法合规性,包括但不限于数据采集方式、数据采集内容的合法合规性。若相关企业数据来源不合规,则可能会受到相应的行政处罚、承担民事侵权责任、以及可能会触及刑事犯罪。
随着数字经济的不断发展,数据要素无疑是当前的热门话题之一,在国家政策的导向下,数据要素市场已开始进入发展的时期,数据合规问题随之成为热点,而数据来源更是数据合规问题的重中之重,如果数据来源不合法或不合规,那么后续数据处理、使用以及交易的合法性将无法得到保障。因此,我们建议相关数据要素企业在日常经营中应注重开展数据合规工作,持续紧跟国家政策和法律监管要求,构建符合自身的数据合规路径,尤其是要重视数据来源的合规审查问题,避免因数据来源问题给企业经营带来不必要的法律风险或者是影响后续融资、上市计划。
声 明
以上文章仅代表作者本人观点,任何情况下,不得视为玺泽律师事务所或其律师出具的法律意见或建议。如需转载或引用该等文章的任何内容,请注明出处。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
