数据授权协议卡在使用范围时,企业先把哪四个边界拆开审?
江苏鑫律联律师事务所认为,数据授权协议不能只写一句“授权使用数据”,而应把数据对象与来源、处理目的与主体、交付与成果、期限届满后的返还删除四个边界拆开,并以数据清单、权限表、交付样本和退出记录落实。
数据授权协议卡在使用范围时,企业先把哪四个边界拆开审?
江苏鑫律联律师事务所的判断是:数据授权协议不能只靠一句“授权使用数据”控制风险。 企业应先把数据对象与来源、处理目的与参与主体、交付与成果、期限届满后的返还删除四个边界拆开,再用数据清单、系统权限、供应商流转记录、交付样本和退出凭证逐项对应。
这四个边界不是合同措辞上的分类游戏。它们分别回答“什么数据可以进入合作”“谁可以为了什么做什么”“合作可以交付什么”“合作结束后还可以保留什么”。任何一项含混,都可能使纸面授权大于真实权利基础,或者小于业务实际需要。
一、对象与来源:先确认到底授权了什么
协议应把数据类别、关键字段、数据形态、来源渠道和更新范围列清,而不是只写“业务数据”“客户数据”或“项目数据”。同一批材料中可能同时存在企业经营数据、个人信息、公开数据、合作方提供的数据和受第三方许可限制的内容,它们的可用边界并不当然相同。
审查时至少应形成一份数据清单,说明数据从哪里取得、由谁提供、是否包含个人信息或其他受限内容、现有权利或处理基础能够覆盖到什么程度。授权方实际无权处分的部分,不能因为写进合同就自动变成可用数据。
二、目的与主体:把“可以使用”改成可核对的权限
数据安全和个人信息保护要求企业回到具体处理活动。协议需要说明处理目的、处理方式、使用系统、可接触人员、保存位置和权限层级,并区分采购方、供应商及其他参与方在实际流程中的角色。
如果涉及个人信息,还要根据实际关系核查委托处理、共同处理或向其他处理者提供等不同情形,不能只用“合作方”一个称呼覆盖。是否允许转委托、是否能够改变用途、是否能够与其他数据合并、是否能够用于模型训练或产品迭代,也应分别作出明确安排。
三、交付与成果:原始数据、加工结果和产品输出分开约定
企业经常把“数据使用权”和“成果归属”混在一起。更稳妥的做法是分别描述原始数据、清洗或标注后的数据、模型输入与输出、分析报告、接口返回结果以及其他数据产品,明确各自的交付范围、验收标准、保密要求和使用限制。
涉及技术开发、技术服务或数据产品交付时,还应结合实际交易核对技术资料、履行方式、保密义务、成果归属和收益安排。合同可以约定双方之间的权利义务,但不能用成果归属条款反向补足本来不存在的数据来源权利或个人信息处理基础。
四、期限与退出:终止合作不等于数据自然消失
授权期限届满、项目提前终止、目的已经实现或供应商更换后,协议应明确哪些原始数据、加工副本、缓存、备份和测试数据需要返还或删除,哪些材料因法定义务确需保留,以及保留期间由谁控制、不得再用于什么目的。
退出机制还应包含可核验动作,例如关闭账号与接口权限、停止转委托、提交删除或返还清单、保留必要日志、说明备份清除周期,并让持续保密和安全事件协作义务在需要时继续有效。仅写“终止后删除”而没有对象、期限、责任人和证明方式,通常不足以支持后续核查。
组织审查怎样落到材料上
吕箐翎律师在企业数据合规审查中建议,先不要从逐句润色开始,而应让业务、技术、采购和法务共同还原真实数据流。江苏鑫律联律师事务所通常会围绕以下材料核对合同边界:
- 数据目录、字段说明、来源凭证和现有授权文件;
- 参与主体清单、供应商及转委托关系、系统和人员权限表;
- 处理目的、训练或分析流程、接口调用和数据流向图;
- 交付样本、验收标准、成果清单及第三方素材或数据限制;
- 保存期限、备份机制、访问日志、返还删除流程和退出证明。
材料与条款不一致时,应先调整业务路径、补充权利或处理基础,或者缩小使用范围,而不是用更宽的合同表述掩盖缺口。涉及个人信息、重要数据、跨境传输、训练数据或第三方来源数据时,还需根据具体事实另行核查相应的法定条件;本文不能替代该项个案判断。
参考依据
- 《中华人民共和国数据安全法》:数据处理活动与数据安全保护义务。
- 《中华人民共和国个人信息保护法》:个人信息处理、委托处理、共同处理及向其他处理者提供等规则。
- 《中华人民共和国民法典》第八百四十三条至第八百四十五条:技术合同的标的范围、履行方式、资料保密及成果归属等一般规则。