通力律师 | 数据资产入表法律实务——微观篇

1. 与该资源相关的经济利益很可能流入企业

2. 该资源的成本或价值能够可靠地计量

1. 确认为数据资产的数据资源

2. 不符合资产定义的数据资源

3. 不符合相关确认条件而未确认为资产的数据资源

在数据资产入表的过程中, 律师的核心职责是评估数据资源是否满足“由企业拥有或者控制的”这一要件。为此, 律师需要从法律角度深入理解和分析“拥有”“控制”的内涵及其在实践中的适用。

当前, 我国在法律层面尚未明确数据确权制度, 数据权属问题存在较大分歧。特别是在大数据时代背景下, 数据资源往往并非企业独立生产, 而是通过用户、合作方等多方渠道获取。若企业以“合法拥有”(即, 对拟入表的数据资源享有所有权)作为入表路径, 可能缺乏充分的法律支撑。

1. 主体合规: 企业应当具备合法的主体资格、必要的资质和许可, 且不存在重大经营风险或法律纠纷

2. 数据资源合规: 从原始数据的采集到加工、生成数据产品或服务的整个流程, 均应当遵循相关法律法规

3. 数据安全管理能力合规: 企业应当具备良好的数据安全管理能力, 建立完善的数据管理制度和技术防护措施, 以确保数据资源的完整性、保密性和可用性

对主体合规的评估是数据入表合规评估的第一步, 律师需要从企业基本信息到具体业务资质, 再到特殊监管要求进行全面的审查。

1. 企业基本信息

• 主营业务是否与其注册的经营范围相符, 是否存在超范围经营的情况

• 查询企业的信用记录、是否存在诉讼、失信被执行情况

• 近期(三年)受到行政处罚及有关主管监管部门调查及整改情况, 特别是网络和数据安全相关情况

2. 业务资质

确认企业是否已取得必要的业务资质, 并审查其有效期限、适用范围等是否符合要求: 

• 对于某些业务领域, 企业应当获得特定的行政审批和许可, 例如征信业务需要取得征信资质

• 对于涉及电信业务的企业, 应当根据业务类型申请相应的证照, 例如EDI证、ICP证等

3. 特殊主体的监管要求

法律法规对于特殊主体提出了监管要求, 律师需注意对企业是否适用该等监管要求进行甄别。具体包括: 

• 重要互联网平台: 提供重要互联网平台服务、用户数量巨大、业务类型复杂的企业, 应当履行建立外部独立监督机构、发布个人信息保护社会责任报告等义务

• 关键信息基础设施运营者: 被认定为关键信息基础设施运营者的企业, 应当按照相关规定采取严格的安全保护措施, 例如“三同步”建设、本地化存储

• 行业监管规定: 对于医疗健康、金融、汽车等行业, 律师需重点关注行业主管部门出台的专门监管规定

• 核心数据、重要数据处理者: 国家实施数据分类分级保护制度, 涉及处理核心数据、重要数据的企业, 应当履行特别的数据安全保护义务, 例如定期开展安全风险评估并报送有关部门等

数据资源合规是数据资产入表合规评估中的核心环节, 对于拟入表的数据资源, 律师应当深入了解其处理(“处理”包括收集、存储、使用、加工、对外提供、删除等一系列操作)涉及的业务流程, 分析其从原始数据到形成数据产品或服务的全流程合规情况。

1. 一般要点

就原始数据的来源而言, 可以分为自行生产、公开收集、直接收集、间接获取等。

(1) 自行生产的数据是指企业在日常经营活动中产生的数据, 对此类数据的评估应关注“自行性”: 

• 评估企业是否具备相应的人员和技术能力, 以及是否拥有相关的知识产权, 如专利、软件著作权等

• 对于数据处理涉及的信息系统、设备等的情况, 可要求企业提供服务器处理日志作为证明

(2) 公开收集的数据通常通过网络爬虫或类似技术获取, 对此类数据的评估需考虑以下要点: 

• 是否遵守被访问网站的Robots协议

• 是否突破或绕开被访问网站设置的反爬措施

• 是否妨碍网站的正常运行(例如, 爬虫收集的网站流量不应超过网站日均流量的三分之一)

• 是否涉及爬取商业模式相同或相似主体的主营业务数据

(3) 直接收集的数据是指企业直接从数据主体(参照《银行保险机构数据安全管理办法(征求意见稿)》的定义, 数据主体是指数据所标识的自然人或者其监护人、企业、机关、事业单位、社会团体和其他组织)处收集的数据。对此类数据的评估要点包括: 

• 收集方式、收集目的等是否符合法律要求, 包括收集目的是否合理且符合业务场景

• 是否通过隐私政策、数据授权协议等方式取得数据主体的授权同意

(4) 对于通过第三方数据源间接获取的数据, 评估时主要关注“授权链条”的完整性: 

• 上游数据源是否已合法获得数据授权, 包括对外提供数据的授权

• 企业是否与上游数据源签署购买协议、合作协议或许可使用协议等

• 与上游数据源签署的协议是否对授权时间、使用范围等进行限制

2. 特定类型数据的合规评估

若数据资源(或其原始数据)涉及受到特别监管的数据, 律师应当根据数据类型开展进一步的评估。

(1) 个人信息

• 是否公开个人信息处理规则, 明示处理的目的、方式和范围

• 是否获得个人信息主体的授权同意, 包括单独同意(如需)。企业应提供同意记录作为证明

• 个人信息的处理(包括加工形成数据资源等)是否符合最小必要原则

• 依据其他合法性基础(例如合同履行所必需、法定义务所必须等)收集个人信息的, 处理是否处于该合法性基础范围内

(2) 公共数据

• 公共数据来源和获取方式是否合法, 授权链条是否完整, 是否获得数据源部门或地方数据主管部门的授权

• 授权范围是否涵盖公共数据运营(即将公共数据加工形成产品、服务, 并对外提供)

• 是否符合地方公共数据授权运营相关政策(如有)要求

• 公共数据可能对国家安全、公共利益具备一定的影响程度, 需评估是否可能构成重要数据。如是, 进一步评估企业是否遵守重要数据的处理规定

• 宜按照“原始数据不出域、数据可用不可见”的要求, 以模型、核验等产品和服务等形式向社会提供

《网络安全法》《数据安全法》《个人信息保护法》对于企业的网络安全保护、数据安全保护、个人信息保护义务进行了规定。

如上表所示, 三部法律均要求企业在组织和技术两个方面加强安全保护措施。因此, 为了确保企业对数据资源的“合法控制”, 有效预防数据泄露和滥用, 数据资产入表过程中, 律师应当从组织和技术两个层面评估企业的数据安全管理能力。根据行业实践, 采取的措施通常如下: 

1. 数据安全组织措施

• 制定全面的数据安全管理制度, 明确企业数据安全的管理目标、标准, 建立健全内部数据处理操作规程

• 按照法律规定, 设置网络安全、数据安全、个人信息保护负责人

• 制定数据安全事件应急预案, 包括应急响应的人员职责、处置流程、事件报告机制等, 确保在数据安全事件发生时能够及时应对

• 根据数据的敏感性和重要性对数据进行分类分级管理, 并依据不同数据类别、级别采取相应的安全措施

• 建立涉数据处理第三方管理机制, 包括入库评审、数据处理协议签署、监督和定期审计等

• 定期开展数据安全教育和培训, 增强员工数据保护意识

2. 数据安全技术措施

• 数据加密技术: 在数据存储和传输的各个环节, 通过算法(如AES等)将原始数据转换为密文, 确保数据在整个生命周期中的安全性

• 访问控制技术: 根据员工的权限确定对数据的访问权限, 并定期审查和更新访问权限

• 数据泄露防护技术: 通过自动化DLP解决方案对数据泄露风险进行实时监控, 识别和拦截潜在的数据泄露事件

• 数据安全溯源技术: 记录数据的处理过程(如日志记录和审计系统), 实现数据在全生命周期的可追溯性

• 隐私保护技术: 在个人信息处理过程中采取匿名化、去标识化等技术措施(如掩码、泛化等), 以减少对个人身份的识别

通力合规团队运用其全面的能力和经验, 为国内外企业客户提供覆盖他们经营所涉及的各项合规法律服务, 除反垄断、反不正当竞争、反腐败反商业贿赂、白领犯罪等传统合规业务之外, 也包括数据安全和隐私保护、出口管制与贸易制裁以及安全健康环保等新兴合规业务。通力合规团队不仅擅长帮助企业建设合规制度体系以降低风险, 而且能为企业应对行政检查等突发事件提供务实有效服务。

END

好书推荐

关注我们

关于通力律师事务所

通力律师事务所(“通力”)始创于1998年,是一家以专业化分工、一体化运营为特点,专注于商业领域法律服务的中国领先律师事务所。现已在上海、北京、深圳、香港和伦敦设有办公室,业务足迹遍布全球,客户涵盖欧美亚非等诸多国家和地区，并与全球主流律师事务所均建立了紧密的合作关系，随时回应客户需求，为跨国交易提供值得信赖的法律服务。

为满足客户在合规领域快速增长的法律服务需求,通力律师事务所配备了一支经验丰富的合规服务团队。团队中既有曾在世界五百强企业及中国知名企业任职的法务总监和合规负责人，前刑事执法官员，前行政执法官员,也有在互联网、医药健康、汽车及零部件、日用消费品、能源化工以及金融保险等合规重点监管行业具备行业知识和服务经验的律师,同时还包括在反垄断、反腐败和反商业贿赂等合规领域具有民事、刑事及行政诉讼经验的争端解决律师。

通力合规团队运用其全面的能力和经验,为国内外企业客户提供覆盖他们经营所涉及的各项合规法律服务,除反垄断、反商业腐败、反不正当竞争、政府监管等传统合规业务之外,也包括数据安全和隐私保护、白领犯罪、经济犯罪以及安全健康环保等新兴合规业务。通力合规团队不仅擅长帮助企业建设合规制度体系以降低风险,而且能为企业应对行政检查等突发事件提供务实有效服务。

关于ACFE

国际注册舞弊审查师协会（ACFE）成立于1985年，由Joseph T.Wells博士（CFE、CPA）创立，是世界上最大的反舞弊组织，也是反舞弊培训和教育的内容和考试提供方。ACFE与180多个国家的90,000多名会员一起，正在全球范围内努力减少商业舞弊，并持续提供更有效打击舞弊所需的培训和各种资源。

反舞弊培训的积极效果是深远的。显然，打击舞弊的最佳方法是教育任何参与打击舞弊的人如何有效的预防、发现和调查舞弊行为。ACFE通过教育、团结和支持全球反舞弊团体，以更有效地打击舞弊行为，减少了全球范围内的商业舞弊行为，激发了公众对行业诚信和客观的信心。

ACFE为会员提供专业认证的机会。国际注册舞弊审查师（CFE）证书是世界各国企业和政府机构的首选推案，它有力的证明持证者在有关舞弊防范和调查等方面具有的理论基础和实务背景。CFE是反舞弊专家，获得CFE资格表明他们在金融交易和舞弊计划、法律、调查和舞弊预防与威慑这四个关键领域具有专业水平。

ACFE的成员包括会计师、内部审计师、舞弊调查人员、执法人员、律师、商业领袖、风险/合规专业人士和教育工作者等，他们都可以获得专业培训、理论工具和实务资源。无论他们是专门从事舞弊防范或调查的专业人士，还是仅仅想获得更多反舞弊方面的知识和经验，ACFE都能帮助他们实现自己的目标。

关于ACFE China

ACFE China由ACFE中国区北京、上海、广州、深圳分会联合发起,是一家有温度、有内容 、多元化 、国际化的专业反舞弊组织。

ACFE China始终秉承“以合规/舞弊风险管理为导向，注重提高会员合规意识、舞弊防范和调查取证的专业知识和技能，增强“跨行业的专业信息交流和共享”的工作理念，始终坚持“国内人才国际化，国际证书本土化”的工作目标，更好的为企业和个人赋能，为广大“合规、反舞弊”领域的同仁们创造更加专业、国际化的交流、共享平台。

关于威普爱生

深圳市威普爱生教育咨询有限公司（简称“威普爱生”）是一家致力于国际高端职业教育培训与咨询服务的教育机构，秉承“基于职场需求的人才培训与服务”的朴实教育理念，帮助更多的国内专业人士拓展国际视野、提升专业技能、巩固职场竞争力。目前，威普爱生为国际注册舞弊审查师协会（ACFE）亚太中国区唯一指定授权培训供应商。

自公司成立以来，先后开设财务类、金融类、法律类、合规类、医疗类、护理类、IT管理与安全、国际学位等课程及服务，基本覆盖了各个领域的专业知识和职场需求。现阶段已和国内外知名专业联盟及协会达成战略合作授权，并与海内外高校建立合作招生和课程教学的紧密联系，为国内专业人士在简历优化、背景提升、职业进阶等方面提供了强有力的选择和保障。

点击下方 阅读原文 获取ACFE考试评估资格