數據資源“入表”在即，企業更需筑牢數據合規防線。但企業主企業購買數據、獲取數據到底是否合法合規，入表如何防范合規風險？上周三，億信華辰邀請到北京鑫諾律師事務所高級合伙人、管委會副主任武婕將和大家分享《數據入表法律合規實務和實施路徑建議》，解答企業主為什么要做數據合規以及如何防范數據合規風險等關鍵問題。

01、數為什么要做數據合規

1.數據合規是啟動數據資源的先決條件
今天是在數據資產入表的背景下講數據合規，其實數據合規和數據入表是獨立的兩件事。

數據入表是今年的新政策，擁有數據資產的企業都很開心，但早在幾年前，就出現很多與此相關的詞，比如數據登記、數據流通、數據交易等。之前市場上數據交易實際非常活躍，只是在沒有交易所的時候沒有公開。很多企業之間已經形成了很成熟的數據的交易與流通。數據合作、數據入場，甚至近幾年全球關注的數據出境，都是數據交易領域的發展和延伸。

但未來無論你手上有多少有價值的數據資產，只要想讓企業的資源去完成對外的，不管是交流、買賣還是出境，就必須先完成數據合規，否則可能觸及一些法律紅線。數據合規是啟動數據資源的先決條件。在數據入表的政策背景下，也能看到數據入表的第一步也是數據合規，只有完成了合規，才能將數據在財務報表上進行價值體現。

2.三部立法開啟數據監管與合規新時代
數據合規第一點就是確認數據來源的正當性。完成正當性的確認，才擁有相應的數據權利，才能進行相關處理。以前數據沒有法律法規，沒有被定性，也無法確定它到底合不合法，但現實中也被使用著，確實也能帶來很多收益。但一旦想讓它穩定地在市場中流通，它的權屬是必須明確的。數據合規在具體實務中，關鍵的其實都是數據來源的審查。

2021年有三部重要的法律完成了立法工作：《網絡安全法》、《數據安全法》和《個人信息保護法》。這三部法律正式確定了數據相關法律框架，也是法律合規的基本依據。

《個人信息保護法》非常重要，是具體指導數據合規和企業日常使用數據的法律。這個立法是因為目前數據市場還未完全建立起來，無法自上而下的立法，所以就選擇了一個最簡單最實用的方法，就是自下。先去設立一些紅線和底線，把紅線設立完后，對于紅線之外能干的目前是空白狀態，在這樣的法律框架下，目前還是處在一個比較靈活的空間。《個人信息保護法》70多條，其核心內容就是為什么要做數據合規，就是把手上這些拿過來的數據做合法性的確認，確認是合法來源，是屬于企業擁有的數據資產。個人同意是數據合規里很重要的一部分，因為需要保護的數據大部分是個人數據，目前企業大部分走的是不正當競爭的立法范疇。

《個人信息保護法》第四條明確指出“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息”。什么是匿名化處理，就是盡管擁有很多個人數據，但始終看不到數據最后能夠綁定的是哪個個人。也就是說如果公司自己有匿名化處理專業技術，在目前法律下是可以自由使用這些數據的。所以只要不觸碰法律明確規定的紅線，企業在做數據相關的業務時就沒太大風險了。只要企業的數據是獲得了合法授權，并明確后面怎么用，就基本上沒有太大法律問題。

《個人信息保護法》是數據合規的根本。這部法的發條和要義較多，主要梳理了7大核心權利：知情同意權、撤回權、公開權、查閱復制權、刪除權、有權知曉信息處理者的相關信息、自動化決策控制權。知情同意權是如果企業有了相關的數據，但在未經個人同意的情況下，是不太能動這些數據的。還有一個很重要的是撤回權，比如我作為用戶把一部分信息給到了APP、公司或平臺，但我可以隨時撤回，如果我要求撤回授權，那平臺就不能再拿著這個數據進行相應開發。

3.數據資源具有特殊性
（1）權屬不清

數據資源區別于一般的動產、不動產、現金，它具有一個很大的特殊性，即權屬不清。比如很多互聯網企業擁有很多數據，但此數據到底是屬于提供數據的個人還是屬于企業呢？畢竟數據是企業收集、開發、應用的。傳統資產的權屬肯定是能說清楚的，哪怕是約定共同擁有、按份擁有，它也都是能明確的。唯獨數據資產權屬目前全球都沒有一個精準的概念。

關于數據資源的權屬，有一個三權分置的劃分方式：數據資源的持有權、數據加工使用權和數據產品經營權。如果企業沒有完成數據合規，對于權屬沒有精準確定的話，數據資產后續無論是入表確認還是資產交易，都無法繼續進行。

（2）高敏感性和高后果性

因為目前數據相關的法律不多，但違反這些法律的后果是超出很多企業想象的，尤其是《個人信息保護法》。

比如現在網信辦會定期對所有平臺進行輪查，大概是每三個月做一次合規審查的通報。而且目前行政監管非常嚴格，民營企業、事業單位和政府部分全都在監管范圍內。比如某市的交管部門因為交管APP涉及到過度采集而被罰款。

數據相關的刑事責任在法條里有將近10條罪名，其中最常見的就是侵犯公民個人信息罪。大概從2018年開始，全國做了很多大范圍針對販賣個人數據的專項整治活動，現在每年定期國家在全國范圍內也會開展相關專項活動。

現在對數據領域的監管叫做越來越嚴，司法圈里也能明確感受到每年的變化，比如案例增加、法律解釋精細度提升等。而現在很多企業主或者平臺方，手上拿著很多數據但卻沒有相關的敏感性。舉個身邊的例子，有個小姑娘前陣子被抓了，起因就是她以前也是在相關數據推送的公司工作，可能是從私下的網站或者是別人手上拿到了大概7萬條公民個人的身份證號信息，她就在某個群里說了一下這個事然后說有興趣來找我，后來被人舉報，被判了一年多。這是一個很小的例子，企業更不用說，每年因為相關問題被抓的特別多。

4.數據合規一把手負責
目前在數據相關法律中有一個不同于其他領域的特殊立法，即數據合規一把手負責制。企業完成數據合規的第一步就是要設計專門數據合規負責人崗位，整個崗位建議直接的法定代表人或者主要管理者來擔任。因為一旦出現違規情況，不僅企業會受罰，企業相關責任人也會負一定責任。眾所周知國內最大數據處罰案例是滴滴，不僅企業被罰了80億，當時的滴滴CEO和總經理都各罰了100萬。

02、怎樣做到數據合規

我們結合上海數據交易所、深圳數據交易整理的數據合規內容，給大家搭建了一個數據合規實施框架。

1.  主體合規
這一部分主要看企業是不是合法主體，是否具備相應的合規經營能力。只要是正常經營主體，具備相關備案和證書，比如電商需要有EDI經營許可證、涉及到區塊鏈新興技術的企業需要有相關區塊鏈的備案等，這其實也屬于網絡安全范疇。

2.  數據內容合規
目前這塊的審查沒辦法做到特別業務化、特別具體，它整體是看數據內容本身是否設計國家機密、公共數據等，是否有侵犯他人權益，以及內容本身會不會帶違法性的內容。

3.  數據來源合規
這是數據合規過程需要耗費較長時間的部分。數據來源合規是數據合規框架里的重中之重。因為來源是目前法律重點考量和審核的地方，只要將來源說清楚，來源不存在問題，那么后續基本也不會出太大問題。

目前數據主要有4個來源：一是收集公開數據，包括爬蟲數據；二是自行生產數據，也就是我們自行創造的數據；三是協議獲取數據，比如買賣或者合作獲取的數據；四是收集個人信息數據。這四個來源中，自行生產、協議獲取一般都不會出太大問題，因為來源是合法的；最敏感的是收集公開數據和個人信息數據，因為公開數據中可能包含或者隱藏了個人信息數據。獲得個人信息數據沒有得到相關個人的同意，或者是否進行了過度收集，比如通過技術竊取用戶手機里其他應用的數據、圖片或行動軌跡等，這些部分的審核是要花最長時間的。

4.  數據全生命周期合規
個人信息處理的范圍，從收集、加工使用、傳輸以及到最后的刪除，全都包含在《個人信息保護法》法律框架內。所以在做數據合規時，也會涉及到數據收集是否合規、數據存儲是不是按照相關技術要求存儲、是否在規定期限內銷毀數據等等。

5.  數據合規管理體系搭建
這一部分也非常重要，要做數據合規繞不開合法性審查。合法性審查就是切片一個時間點，去審查在那個時間點上的主體、數據內容、數據來源等是否合法。合法性審查并不是一個動態的審查，而是一個一個的固態的切片狀態。但是在整個合規體系搭建中，企業要動態處于合規狀態中，不僅僅靠這種靜態的片面審查，而是要有一套完整且合理的管理體系。所以要真正去做數據合規的話，這一塊也是目前很多企業做數據合規時頭疼的部分。比如某些企業可能一般的管理體系還沒完善，再要去單獨搭數據合規管理體系還是有一定難度。

數據合規管理體系建設包含的一個重要部分是企業要實現動態的自內而外的合規狀態，相應的組織建設必不可少。企業可以結合自身實際情況來進行組織建設，比如對于央國企業和大型企業來說，可能需要成立獨立的數據合規部門；對于小型企業來說，那就是專門需要一個專人來負責數據合規事項。組織建設還包括建設完組織后要對相關的人定期進行各種培訓，及時更新數據合規相關知識。此外，管理體系建設還包括違規處罰機制、定期審計機制等。要搭建這么龐大的體系確實不容易，數據合規如果要往深了做是可以做到很深的，但至少企業的組織結構上應該是有相應調整的，數據合規不能處于沒人管的狀態。

第二個很重要的部分就是數據分級分類管理。法律規定所有數據要先完成分級分類管理后才能進行后續使用。這是比較技術的工作，客觀來說并不是每一個企業都具有把自己龐大數據進行分級分類和安全管理的一個能力。像億信華辰這目前就可以提供相應的產品和服務，幫助大家實現數據分級分類和數據治理。

此外管理體系中應有數據全生命周期管理規范、數據安全事件應急響應機制等。

所以簡單來說，數據合規是由合法性審查和相關管理體系搭建這兩部分組成。企業做數據合規可以列出清單自查，清單可包括有沒有明確組織架構、有沒有明確部門、有沒有明確相關管理、法務等人員配備、有沒有指定企業數據安全負責人是誰、有沒有定期內部發布相關制度并生效以及定期監督修訂管理等。

以上只是數據合規的相關介紹。目前億信華辰可以為客戶提供數據資產入表及數據資產交易等一站式解決方案，包括：咨詢規劃、數據資產管理、會計審計、法律咨詢、安全監管等服務能力。如有需求，歡迎聯系~