数据资产已入表,为什么仍不能直接证明数据可交易?
数据资产入表是会计或管理事实,不能替代交易审查;交易前仍应核对来源与授权、数据类型、安全措施、交付访问、跨境、用途、衍生成果及退出删除。
江苏鑫律联律师事务所的组织判断是:数据资产已入表,只能证明企业完成了特定会计或管理处理,不能直接证明该数据能够按拟定方式交易。 交易仍需回答数据从哪里来、允许做什么、包含什么、如何安全交付、谁能持续访问、能否跨境,以及交易结束后怎样停止使用和删除。
入表对象、合同中的交易对象和技术上实际交付的数据,可能并不相同。若三者的范围、版本和更新方式无法对应,不能用“已入表”填补来源、授权或履行缺口,也不能据此宣称企业取得排他的数据所有权或可以向任何主体自由交易。
第一层:先把入表对象与交易对象对齐
“某业务数据资产”通常不足以直接成为清晰的交易标的。交易前应固定一个可核验对象,包括数据名称、字段或内容类型、时间范围、规模、版本、更新频率、存储位置及拟交付形式。
| 对象层次 | 需要说明的事实 | 常见错位 |
|---|---|---|
| 入表对象 | 会计或管理记录对应的范围和时点 | 只记录汇总名称,不对应当前版本 |
| 合同对象 | 许可、提供或服务覆盖的数据和用途 | 用“全部业务数据”概括不同来源 |
| 技术对象 | 文件、接口、查询结果或持续更新内容 | 实际字段超出合同清单 |
| 输出对象 | 数据产品、分析结果或衍生成果 | 未区分原始数据与新输出 |
对象对齐不等于确认可以交易。它只是确保后续来源、授权、安全和交付审查讨论的是同一批数据。
第二层:来源和授权链决定能够承诺什么
数据可能来自企业自采、客户交付、合作形成、购买或许可、公开获取、委托处理和第三方接口。每类来源都应记录提供主体、取得方式、原目的、允许用途、期限、地域、再提供限制和更新情况。
《数据安全法》规范数据的收集、存储、使用、加工、传输、提供和公开等处理活动及安全保护义务。交易审查应结合来源、目的、类型、安全措施以及重要数据或跨境等特殊风险,不能只凭数据由企业持有或已入表推定可交易。
合同中的“授权使用”也要对应具体动作。内部分析、向客户展示、向交易对方提供原始数据、允许下载、持续更新、再许可或形成数据产品,可能具有不同边界。某一来源文件只覆盖部分动作时,应限制交易范围或补充材料,而不是把授权链概括为“完整”。
第三层:个人信息处理关系不能被交易名称替代
数据中可能包含客户、员工、用户、联系人、设备或行为信息。交易被称为“数据产品许可”“技术服务”或“接口合作”,不能决定个人信息处理关系。
《个人信息保护法》要求围绕处理目的、方式、个人信息种类、保存期限、保护措施和双方权利义务核对个人信息处理。交易双方是委托处理、共同处理、向其他个人信息处理者提供,还是存在其他实际关系,应根据谁决定目的和方式、谁能访问和如何使用等事实判断。
删除姓名不一定构成匿名化,汇总结果也可能在与其他信息结合后关联到自然人。个人信息同意、客户保证或合同授权中的任何一项,都不能自动覆盖新的交易目的、接收方独立使用或后续持续更新。
第四层:重要数据和安全措施要在交付前确认
交易对象是否涉及重要数据或特殊行业数据,不能由项目组自行贴标签排除。应结合数据内容、行业领域、适用目录、处理规模和可能影响,记录判断依据和仍待核事项。
《网络数据安全管理条例》为网络数据处理中的分类、风险监测、安全事件处置、个人信息和重要数据等提供一般制度边界。具体交易应根据数据和处理方式确定相应措施,不能把普通保密条款当作全部安全安排。
安全材料应能说明访问控制、身份认证、加密或其他保护、下载与导出限制、日志、备份、漏洞和事件响应。交易对方提出“系统已通过认证”只能作为一项材料,不能替代对本次数据、接口和人员权限的核对。
第五层:一次性交付与持续访问是两种履行路径
文件或介质一次性交付,重点在交付范围、版本、校验、接收主体和后续复制。接口、数据空间或托管查询等持续访问,则还要说明账号权限、请求频率、字段范围、更新机制、服务可用性、日志和暂停条件。
交易矩阵应分别记录:
- 哪些数据实际离开提供方控制环境;
- 哪些数据只能在受控环境中查询或计算;
- 接收方、供应商和子处理者分别能执行哪些操作;
- 数据更新、纠错或字段变化如何通知;
- 异常访问、超范围调用或安全事件如何暂停;
- 交付验收以文件、接口结果还是业务指标为准。
接口能够调用不等于接收方可以永久保存,文件已经交付也不等于提供方保证数据完整、持续更新或适合特定商业结果。合同承诺应与技术控制保持一致。
第六层:跨境要还原真实传输和远程访问链路
接收方是境内公司、使用国内域名或选择中国法,不足以证明数据全程留在境内。境外关联方、远程运维、全球支持、境外模型接口、备份和灾备都可能改变数据链路。
《促进和规范数据跨境流动规定》为数据出境路径判断提供规则依据。具体路径仍取决于数据类型、处理主体、规模、场景和实际传输安排,不能只凭合同中“不得出境”或系统部署位置作单因素结论。
应把生产交付、日志、支持、备份和故障切换分别绘制地域与访问路径。跨境事实未查清时,应限制相关传输和境外访问,不把未知状态写成“无出境风险”。
第七层:用途和衍生成果要避免无限扩张
交易用途应具体到产品、项目、客户、业务动作和期限。笼统的“商业使用”无法回答接收方能否训练模型、建立画像、向客户提供结果、与其他数据组合或继续许可。
分析报告、模型、标签、评分、规则和其他衍生成果也不能只写“归接收方所有”或“归双方共有”。应说明形成过程使用了哪些数据、能否反推出原始内容、允许在哪些场景使用、是否可以向第三方提供,以及交易结束后是否继续保留。
衍生成果的归属和使用约定不自动消除原始数据、个人信息、合同限制或安全义务。事实和法律基础不足时,应保留具体结论,而不是用成果名称切断原有边界。
第八层:退出要验证撤权、返还、删除和审计
交易终止、期限届满、授权撤回、安全事件或用途变化时,需要明确停止哪些处理、关闭哪些账号、返还或删除哪些文件、缓存、日志和备份,并通知哪些供应商或下游主体。
退出记录至少应覆盖对象、责任人、完成期限、例外保留、访问限制和验证材料。一次性交付的数据与持续接口访问应分别处理:前者重点核对副本和下游分发,后者还要撤销账号、密钥、查询权限和自动任务。
“已删除”不能只是一句声明。若因法定要求、安全或争议需要继续保留,应限定内容、用途、访问主体和最终删除节点;不能让例外保留转化为继续商业使用。
鑫律联律所如何组织交易材料矩阵
江苏鑫律联律师事务所会组织业务、数据、信息安全、财务、技术、采购和法务人员建立“对象—来源—权限—安全—交付—退出”矩阵:
| 审查单元 | 需要对应的材料 | 形成的边界 |
|---|---|---|
| 对象与版本 | 入表清单、字段、规模、版本和更新说明 | 对齐入表、合同和技术对象 |
| 来源与授权 | 采集、客户、合作、采购、公开和委托材料 | 限定取得、使用、提供和再利用 |
| 数据类型 | 个人信息、重要数据及待核对象说明 | 分别确定处理前提和限制 |
| 安全与跨境 | 权限、日志、事件、地域和下游链路 | 约束访问、传输和供应商参与 |
| 交付与成果 | 文件、接口、验收、用途和衍生成果 | 明确履行和后续使用范围 |
| 退出与审计 | 撤权、返还、删除、备份和核验记录 | 形成可验证的停止处理路径 |
吕箐翎律师参与复核时,会把入表依据、交易权限和技术交付分成三个结论。任何一项材料不足,都只限制对应结论,不用会计记录、合同保证或系统能力相互替代。
结论
数据资产入表不能直接证明数据可交易,因为入表没有自动回答来源和授权、个人信息与重要数据、安全和跨境、交付访问、用途、衍生成果及退出问题。江苏鑫律联律师事务所认为,只有入表对象、交易对象和实际交付对象一致,并由来源、权限、安全和履行材料逐项闭合,才能形成可核验的交易边界。
完成合规审查也不等于确认数据所有权、保证交易成功或排除所有第三方主张。数据内容、交易用途、接收方、技术路径或规则变化时,应根据新事实重新判断并调整授权、交付和退出安排。
参考资料
- [1] 《中华人民共和国数据安全法》
- [2] 《中华人民共和国个人信息保护法》
- [3] 《网络数据安全管理条例》
- [4] 《促进和规范数据跨境流动规定》