数据安全⑧数据权益有边界，企业收集和使用如何做到合规

数据以内容产生的不同，可以分为原生数据和衍生数据；站在数据场景的角度，与数据有关的主体又可以分为数据主体、数据控制者和数据处理者。在具体的商业场景中，由于数据采集者、处理者、运营者、交易者等多个主体混杂在各个交易流程中，背后隐藏着多种商业诉求，很容易发生争议。本文结合实践经验，浅析不同主体对数据享有的权益及各主体间的数据权益边界，为企业提供些许数据合规参考。

一、中国现有法律法规、规范对数据权益的规定

从以上表格可以看出，现有的针对数据权益归属的规定，散见于多部法律及规范性文件中，在法律层面，以指导性为主，或针对某一行为进行规制，缺少更为细化或完整的法律体系。这意味着，在数据权益的划分上，针对除个人敏感信息、国家安全信息等特殊数据以外的其他数据，商业合作者之间有非常大的空间，通过条款约定来设定数据权益边界，划分数据权益的归属。 

二、案例辨析

通过对现有法律、法规、规范和近几年司法实务中的案例进行分析和梳理，可以看到，《民法典》对个人信息和隐私权赋予了人格权属；《数据安全法》对数据权益进行了原则性规定，但并未明确数据的权益属性；仅有《深圳经济特区数据条例》直接赋予了数据产品和服务以财产性权益；而《禁止网络不正当竞争行为规定》（征求意见稿）和《反不正当竞争法司法解释》（征求意见稿）则是以法律为企业对合法拥有的数据提供法律保护的规定，侧面肯定了企业享有数据权益。

而通过对近几年司法实务中的案例梳理，可以看到，数据权益纠纷主要发生主体为企业和企业之间、个人和企业之间；企业和企业之间的数据权益纠纷可概括为数据抓取纠纷、数据占有纠纷和数据产品权益纠纷，其案由主要为不正当竞争纠纷；个人和企业之间的纠纷可概括为隐私权纠纷、违规收集个人信息纠纷等，其案由主要为侵权责任纠纷。

此外，司法裁判并未明确企业主体或个人主体对数据的财产归属，而是以企业或个人主体对原生数据和衍生数据享有竞争性利益、人格利益、财产性权益等进行保护。具体而言，有以下几种情况：（1）经用户授权而收集并进行商业利用的数据可以为该企业创造经济效益，是企业重要且受法律保护的商业资源；（2）企业对记录网络用户信息的原始网络数据只能依双方约定享有使用权，但企业大数据产品的数据内容是经过网络运营者的分析过滤、提炼整合等大量劳动投入和匿名化处理的结果，企业对此享有独立于用户的财产性权益；（3）经企业收集、加工、分析、编辑、整合的数据具有实用性并能够为权利人带来经济利益，企业对此享有财产性权益；（4）企业对数据产品付出了人力、物力、财力，经过长期经营积累而形成，企业对数据产品享有竞争性财产权益。

三、衍生数据的权益边界

（一）与衍生数据有关的几类特殊商业主体

1、平台经营者

《电子商务法》将电子商务经营者分为三类，包括电子商务平台经营者、平台内经营者以及通过自建网站、其他网络服务销售商品或者提供服务的电子商务经营者。电子商务平台经营者，是指“在电子商务中为交易双方或者多方提供网络经营场所、交易撮合、信息发布等服务，供交易双方或者多方独立开展交易活动的法人或者非法人组织”，简而言之，就是搭建平台、吸引商家和客户在平台上完成交易或商业信息流通的“庄家”。

平台经营者同时触碰交易各方的原生数据，同时，在各方交易过程中有条件通过数据训练算法、建立模型，形成销售战略、市场分析等衍生数据，在数据生态链中处于优势地位。很多平台经营者在平台成熟以后，把商业赋能的相关业务作为另一块核心主业进行拓展，这与平台经营者在商业模式上的天然优势是有直接关系的。

2、外包服务商

在电子商务的生态中，外包服务商是一个重要的群体，他们在市场拓展、平台搭建、信息处理等方面拥有技术研发和服务能力，能够为电子商务经营者提供支持。外包服务商在提供服务的过程中，一定会触碰到电子商务经营者的数据，并开展数据处理的相关活动。外包服务商不是原生数据的权益人，但在提供外包服务的过程中，会形成衍生数据。这里面产生了两个问题：第一，如何界定衍生数据在原生数据拥有者与外包服务商之间的权益边界和归属，第二，如何防止外包服务商超过合法性、正当性和必要性采集和使用原生数据。针对这两个问题，各方可以结合各自商业诉求和合同地位，在博弈的过程中，通过协议的约定来明确各自的权责义务。

3、数据供应商

企业为了实现商业目的，除了聘请外包服务商提供专业技术支持以外，还会向数据供应商购买数据。数据供应商的数据来源比较复杂，其中包含平台经营者等自身掌握海量数据的原始权益人，也有通过爬虫技术从多个平台采集数据再进行整合转售的淘金者。在现有法律框架下，对于数据供应商的资质许可和行业规范没有具体规定，市场处于鱼龙混杂的状态，基于数据流通的去标识化和匿名化的处理原则，购买者无法对购买的数据进行溯源，如果数据供应商提供的数据来自于不合法或有瑕疵的渠道，而双方又未在合同中对此进行约定，则购买者可能因未尽到审查义务，而产生因选择数据供应商不当而被追诉数据侵权责任的风险。

（二）衍生数据的权益边界探究

1、关于数据来源

衍生数据的产生，依赖于原生数据，源头的清洁是衍生数据权益合法性的前提和基础。以提供算法的外包服务商为例，在算法研究和测试过程中，会涉及个人信息和数据的采集和运用，如何保障数据来源的合法合规性，是非常重要的一个核心问题。常见的数据采集方式，主要包括委托第三方供应商（受托方）采集和自行采集两种。针对第一种，委托方需要针对供应商数据来源的合法合规性提出明确要求，包括要求供应商提供与被采集方之间签订的授权文件等，以确保供应商就所采集数据获得被采集方的有效授权。授权文件应当明确被采集信息的使用目的、方式、范围及被授权人/数据使用方情况等内容，并获得被采集人的明示同意。此外，委托方也可以通过在与供应商的委托采集协议中设定供应商承诺和委托方免责条款，由供应商保证数据来源的合法合规性，并承担数据违规时的法律责任。

有一些从事数据算法研究的企业，会使用本企业员工的生物信息，用于验证算法精度和效果，这种做法在一定程度上能够降低授权的成本和数据合规风险。但，即使针对本企业员工，必要的授权文件仍然需要，书面明确告知个人信息收集、 使用的目的、方式和范围，经被采集人同意后进行采集，并按照被采集人授权个人信息的使用目的、方式和范围进行使用和处理，这是针对个人信息处理的底线原则。

除此之外，涉及到个人信息收集，脱敏处理也是一个重要的合规保障。通过制定编号规则、以编号代替个人标识，针对住址等敏感属性信息进行省略或简化处理等方式去除个性化特征，并在后续传送和保存的过程中采用加密机制，都可以有效降低数据来源层面的合规风险。

以下是旷视科技在其补充法律意见书中，针对发审委关于数据合规的问询，以业务场景作为切入点的回复表格，可以参考：

2、关于数据归属

在数据归属层面，有些数据处理企业的商业模式是“来料加工”型，通过接受数据主体的委托，针对数据主体的具体商业场景进行数据采集和处理，并向数据主体交付成果。在这种服务模式下，数据处理企业不存在超出定向服务目的而使用衍生数据的需求，一般会在双方的委托协议中把衍生数据的所有权归属于数据主体。这样的方式可以降低数据处理企业在数据合规上的成本，既然对数据权益没有诉求，也就不需要额外承担数据合规的风险。

但，对于多数以数据处理为主营业务的企业，在衍生数据的权益归属上是有商业诉求的，通过协议来设定权益边界，是获取衍生数据权益的最直接手段。针对数据采集对象，通过事前告知被采集人或其监护人采集内容以及采集目的、方式等规则，征得被采集人或其监护人同意后，由被采集人按发行人具体要求主动提供，在被采集人或其监护人授权许可范围内，采集的业务数据的知识产权和由此研发的产品归属采集人，能够实现采集人对于衍生数据的所有权益。类似的设置，在外包服务商与委托方、数据采购方与数据供应商等法律关系中同样适用，落实到具体的数据权益归属，最终取决于各方的行业地位、市场优势和价值取向，这种通过约定方式划定数据边界的方式，在现有法律框架下并非强制。

3、关于数据共享

有一些集团型的巨无霸企业，会成立专门的数据处理企业来开展细分领域的业务，甚至具备了上市的条件，此时对于数据是否在关联企业间存在共享的质疑，将成为这类企业数据合规的一个非常大的挑战。从已有的上市问询（如京东科技和蚂蚁金服等）来看，针对数据池的分享问题，是监管部门关注的一个重点。数据池的数据组成，包含了原生数据和衍生数据，涉及到衍生数据的共享，在完成去标识化等脱敏处理后，通过协议约定是能够最大限度实现数据分享的合规要求的。但，涉及到数据池中的原生数据，则需要建立隔离制度，否则会影响到衍生数据的合法性。需要在数据源头、即原生数据上设置隔离。一方面，关联企业需要各自建立彼此独立的数据平台，在数据采集、处理、存储等环节均进行独立操作，避免发生交集和混同，在数据边界上划分清楚；另一方面，关联企业之间、以及关联企业与各自的用户之间，需要进行整体统筹的数据安排，关联企业通过签署合作协议，遵守各自的数据使用和管理相关制度，同时在进行数据共享时需要符合各自与数据主体的约定，不存在侵害数据主体合法利益的情况。 

四、强监管态势下企业数据合规建议

笔者认为，从立法趋势和司法案例来看，在未来相当长的一段时间内，数据所有权的定义都将处于现在这样一种状态，立法可能不会界定数据的绝对权利及其归属，更有可能是从竞争法、知识产权法的层面来对数据使用者或控制者进行相关保护。由此，对于企业数据合规，笔者提出以下建议：

第一，设置适合企业技术特征、市场定位的商业模式。企业处于数据流通的不同环节，合规成本和风险侧重点是不同的，由此配置的数据合规文件也会有所不同。企业需要在推出产品以前，即对数据合规问题进行预先评估，否则在商业模式成熟、市场客户稳定以后如果再进行数据合规的整改，不仅成本高昂，企业也可能因为合规的缺陷直接丧失持续经营能力，为时晚矣。

第二，企业收集、使用数据应获得用户的授权。合法获得用户授权收集的数据是企业合法享有原生数据资源、衍生数据和数据产品等数据权益的基础，无论是《民法典》《个人信息保护法》还是尚处于征求意见中的《禁止网络不正当竞争行为规定》（征求意见稿）和《反不正当竞争法司法解释》（征求意见稿），都强调了获得用户授权在数据全生命周期管理中的重要性。

第三，企业抓取第三方开放数据应注意用户授权、平台授权，应审慎考虑是否与其存在竞争关系并遵循“最少、必要”原则，不应超过必要限度，不应对竞争秩序造成破坏。

第四，企业使用公共数据应避免对原生数据主体的名誉或商誉等合法权益造成损害。

第五，以数据为核心竞争力的企业，应当注重内部数据合规体系的建设，对数据进行分级管理，针对不同的岗位和职级设置数据权限，对于业务数据的调取形成可追溯的流程化管理，针对数据供应商、外包服务商等商业合作伙伴，建立白名单和准入制度，在业务合同中设置数据保护条款，通过全方位立体的保障性措施，最大限度维护企业数据的安全性。

数据的流动性和商业属性，让数据成为一种新型财富，在竞争与合作的过程中，如何划分数据权益的边界、如何确定数据权益归属，是企业数据合规的一个基础性问题。企业需要及早布局，设置护城河和防火墙，通过商业模式设计、内部制度建设、外部协议安排等多种方式，抢占数据高地，方能在大数据时代保持竞争优势，最大限度实现信息交互过程中的商业价值。 

[作者金代文、赵越来自北京炜衡（上海）律师事务所，本文选自江天骄、姚旭主编的《复旦-炜衡数据安全联合报告》，课题组其他成员还有：王蕾、陆滨、金代文、 赵越等。该报告由复旦发展研究院开设的咨政实践类课程研究成果转化而来，调研过程中得到北京炜衡(上海)律师事务所的大力支持。复旦大学网络空间国际治理研究基地主任、发展研究院教授沈逸与北京炜衡（上海）律师事务所高级合伙人顾靖担任课题研究顾问。]