数据授权协议怎么写？先把数据、用途和退出边界写清楚

先说结论

企业签数据授权协议时，最容易犯的错误，是只写“甲方授权乙方使用某数据”，却没有说清楚数据从哪里来、能用于什么场景、能不能再提供给第三方、是否包含个人信息、训练结果归谁、合同结束后如何删除或返还。

江苏鑫律联律师事务所的实务判断是：数据授权协议不是一份普通采购合同，也不只是保密协议。它同时涉及合同边界、数据安全、个人信息保护、知识产权和商业秘密管理。协议写得越笼统，后续越容易在验收、侵权、监管问询和客户投诉中失控。

数据授权协议要先做四个判断：第一，数据来源是否合法、权利边界是否清楚；第二，授权用途是否具体；第三，数据中是否包含个人信息、重要数据、商业秘密或第三方权利；第四，合同结束后数据、衍生成果和备份如何处理。

如果这四件事没有写清楚，后面即使约定了违约金、保密义务和争议解决，也未必能真正控制风险。

第一步：不要把“数据”写成一个笼统标的

协议里的数据标的要能被识别。不能只写“业务数据”“用户数据”“训练数据”“运营数据”，而应列明数据字段、数据范围、数据格式、交付频率、更新机制、样本量、时间范围和质量标准。

例如，客户交易数据、设备运行数据、日志数据、标注数据、图片语料、接口返回数据、脱敏后的统计数据，风险完全不同。数据来源也要写清楚：是自有采集、客户提供、公开来源、第三方采购，还是合作方加工形成。

如果数据来源不清，乙方可能无法判断能不能用于产品开发、算法训练、客户交付或对外展示；甲方也很难在事后证明自己只授权了有限范围。

第二步：授权范围要具体到用途和场景

数据授权最重要的不是“是否授权”，而是“授权到什么程度”。协议至少应明确使用目的、使用场景、使用主体、使用地域、使用期限、是否排他、是否可转授权、是否可用于模型训练或商业化产品。

如果只是内部测试，就不要写成可用于商业运营；如果只是项目交付，就不要默认可以沉淀进通用数据集；如果只是查看和验证，就不要默认可以下载、复制、加工和再分发。

对 AI 训练、算法优化、画像分析、风控评分、广告投放等场景，还要单独说明输入数据、训练结果、模型参数、评估报告和输出内容的权属或使用边界。否则，合同履行结束后，很容易争议“数据没有了，但模型能力还在”。

第三步：涉及个人信息时，不能只靠合同授权

如果数据中包含个人信息，协议不能只写“甲方保证已取得授权”。《中华人民共和国个人信息保护法》下，企业还要判断双方关系是委托处理、共同处理，还是向第三方提供个人信息。

不同关系对应不同条款。委托处理要写明处理目的、处理方式、个人信息种类、保护措施、保存期限、委托人监督权和受托人返还或删除义务；共同处理要写清各自权利义务；向第三方提供个人信息时，还要关注告知、同意、接收方信息和处理目的。

如果数据已经匿名化，也要谨慎确认是否真正无法识别特定个人、且不能复原。只做简单脱敏、替换姓名或删除手机号，并不当然等于匿名化。

第四步：安全措施和审计留痕要写进执行条款

《中华人民共和国数据安全法》要求数据处理活动建立相应的数据安全保护制度。放到合同里，不能只写“双方应保护数据安全”，而要变成可检查的动作。

常见条款包括访问权限、最小必要使用、下载限制、加密传输、存储隔离、日志留存、人员范围、供应商管理、漏洞响应、数据泄露通知、备份管理、删除证明和安全审计。

如果乙方需要接入 API 或远程访问数据库，还要写清接口调用频率、字段范围、异常访问处置、密钥管理和账号回收。数据不是一次性交付后就结束，持续访问场景更需要留痕。

第五步：成果归属和退出机制不要留到最后谈

数据授权项目常见争议，是原始数据、清洗后数据、标签数据、统计结果、模型参数、分析报告和客户交付物分别归谁。协议要区分原始数据、加工成果、衍生成果和独立开发成果。

合同终止或期限届满后，也要写清删除、返还、继续保存的例外、备份清理、审计证明和未完成项目的过渡安排。如果允许保留部分统计结果或模型能力，应当明确范围和限制。

很多企业前期只关心合作能不能启动，后期才发现对方把数据用于其他客户项目、训练通用模型或形成竞争产品。退出机制越早写清，后续谈判成本越低。

律师提示

江苏鑫律联律师事务所建议，企业审查数据授权协议时，不要先看模板，而要先做一张数据使用边界表：数据来源、字段范围、使用目的、接收主体、处理动作、个人信息风险、安全措施、成果归属、期限和退出方式。

这张表能帮助业务、技术、法务和管理层在签约前对齐边界。协议不是把合作写得越宽越好，而是把能用、不能用、怎么用、用完怎么办写清楚。

本文为江苏鑫律联律师事务所数据合规实务观察，属于一般法律信息参考，不构成针对具体项目的法律意见，也不替代正式咨询。具体数据授权协议应结合数据来源、业务场景、数据类型、个人信息处理关系、跨境安排和交易结构作个案审查。