“数据二十条”:把握数据要素的治理脉络
发布时间:2023-01-10
文 | 史宇航 汇业律师事务所 顾问
一、背景
2022年12月底,《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》(“数据二十条”)正式发布,标志着我国对数据治理的顶层设计已经基本完成,数据治理工作即将迈入新的阶段。
虽然“数据二十条”并不是一份法律文件,但后续的立法、执法预期会向“数据二十条”所规划的方向靠拢。“数据二十条”会成为制定法律法规、开展执法活动的基线。对于企业来说,“数据二十条”尽管可能不会带来短期、直接的影响,但对企业长期数字化布局与数字化发展战略等长线工作具有参考价值,可以帮助企业抓住数据要素治理的脉络。
二、勾勒数据权益
“数据二十条”勾勒出数据产权的基本框架。在当前《民法典》《数据安全法》等法律法规中,对数据究竟有哪些权益并未规定,仅有一些语焉不详的表述,导致数据有权益更多是依赖合同中的约定,或是在竞争中依靠司法裁判来确定边界,存在较大的不确定性。
“数据二十条”设置了权益分置的产权运行机制,暂将数据权益一分为三:数据资源持有权、数据加工使用权、数据产品经营权。此外,“数据二十条”还明确市场主体享有依法依规持有、使用、获取收益的权益:
目前这三项权益还仅停留在名称阶段,权益的内涵与外延仍需要更多地研究并且在实践中进行探索。但是,数据权益的三分也不仅只具有理论上的意义,实则可以帮助企业更好地发掘数据权益。
特别是在涉及数据交互的对外合作中,企业可以将数据权益三分法对权利进行更加细致的拆分。比如,在委托处理等数据流动的场景下,受托方可能也会具有数据资源持有权;而电商平台可能会利用累积的数据具有数据产品经营权;提供数据处理服务的技术供应商可能会有数据加工使用权,不一而足。
这也启发我们,企业在未来起草数据权益条款时,可以参照此分类更清晰地对数据权益的归属进行约定,更好地保护自己的合法权益。此外,在围绕数据要素展开的的尽职调查中,专业机构也可以从资源持有权、加工使用权与产品经营权三方面给予关注,关注被调查的公司是否具备相应的权益,能否把相关权益作为交易的客体。
三、确权的问题
所谓确权,即通过何种方式确定权利归属,比如不动产、专利、注册商标等需要以登记的方式来确认权利归属。但数据是以数据库的形式存储在硬件设备中,因此对数据保护法律问题的研究应该紧密结合数据库的基本原理。
在构建数据库时,一个核心问题是:何种用户有权对数据库中的数据进行何种操作。即不同的用户会具有不同的权限,而权限一般包括访问、添加、删除、修改、删除等操作。
比如管理员通常会具有数据库的最高的权限,可以对其他用户对数据库的操作进行限制,而管理员权限并不一定排他,一个数据库具有多个最高权限的管理员账户也很常见。所以,对于数据来说,“控制”是一个比“所有”更为重要的概念。这也是“数据二十条”使用数据持有权,而非数据所有权的原因。
在实践中,数据确权却不是一件易事,对数据的确权往往需要刨根问底。比如需要关注:
1.生成数据的设备的所有权是否会影响数据权益归属?
2.使用软件的知识产权授权是否对数据归属另有约定?
3.是否有任何合同对数据归属进行了约定?
4.账号的申请主体与数据持有人是否为同一主体?
5.对数据进行了什么处理?数据处理的法律基础是什么?
6.开展数据处理与经营范围是否一致?
7.是否具有相应的增值电信许可证?
8.……
四、数据要素治理展望
在“数据二十条”发布后,我们可以对未来数据治理的重点进行以下预判:
1.数据产权登记:各地会开始试点探索数据产权登记制度,以对数据进行确权。目前很多地方正在运行的数据交易所其实就在做这方面的探索。
2.数据托管制度:个人面对平台企业进行个人信息维权时始终过于弱小,在托管制度下,个人可能可以选择委托第三方机构,对自己的个人信息权益进行保护。而开展托管业务的范围,估计会有消费者保护协会等组织,检察机构也可能提供公益诉讼方面的支持。
3.反垄断执法:利用算法与数据的垄断行为会被列为打击的重点,这也要求算法会有更高的透明度。
4.数据交易的规则将统一:不同数据交易所的交易规则可能会互联互通,互相认可挂牌的数据。
5.数据跨境规则:《全球数据安全倡议》会成为后续数据相关国际条约的基础。《数据安全法》《个人信息保护法》中的各项制度将逐步落实。
6.基础制度建设:等级保护将继续成为基础制度,数据要素需要在等保基础上进行交易。此外,数据要素生产流通使用全过程的合规公证、安全审查、算法审查、监测预警等制度将逐步建立。后续会推出禁止数据流通和交易的负面清单。
五、企业把握数据要素趋势的关键控制点
企业数据要素的流转,离不开对企业本身情况的考察。无论是入驻数据交易所,还是直接到数据交易,持有数据企业本身的资质、信誉、管理制度、技术措施都会成为考察项目。
因此对于企业来说,应当:
1.盘点数据资源。做好自身数据资源的动态盘点,将各业务场景下所处理的各类数据纳入统一的管理范围中。而内外环境的不断变化,也要求数据资源的盘点应当是动态的。在此基础上,对数据分类分级,有效识别不同数据的不同风险及合规义务。
2.内化数据管理机制。成立责任领导机制,建立跨部门的数据保护委员会,将管理制度嵌入到企业的日常流程,比如将隐私政策、数据处理协议、个人信息保护影响评估、出境自评估等日常合规控制点与业务融合。并且做好培训,方便员工理解。
3.做好危机管理。网络(数据)安全事件是企业数据保护的最大挑战之一,并且往往会引发舆情,因此围绕安全事件的预案、演练需要成为企业的必修课。此外,网络产品的安全漏洞也是防不胜防,合规有效的漏洞处置机制将会为数据保护增加一道安全阀。
4.将合规义务纳入自己IT资源规划。无论是中国企业业务出海,还是海外跨国公司进入中国,对IT资源的规划已经远超传统IT部门的职责范围,需要考虑诸多的合规因素。比如公司的VPN如何合规在中国境内使用;公司的网络流量如何路由;是否要在当地部署服务器以保存当地用户的信息,以及是否需要在当地任命DPO;等等……