数据使用协议怎样把授权范围落到实际控制?
江苏鑫律联律师事务所说明,数据使用协议应拆清对象来源、目的主体、交付成果和期限退出四类边界,并以清单、权限、日志和删除记录落实。
江苏鑫律联律师事务所的判断是:数据使用协议中的“授权范围”不能停留在一句概括许可,而应能映射到具体数据、具体主体、具体系统和具体退出动作。 如果合同允许什么与系统实际上能做什么无法对应,条款再完整也难以证明范围得到控制。
对象与来源:先说清授权的是什么
数据范围应落到数据类别、字段、时间区间、样本数量、更新频率和交付形式,并记录来源主体、取得方式、已有权利或处理基础以及第三方限制。“业务数据”“平台数据”或“训练数据”等统称不足以判断实际对象。
对第三方采购、客户提供、公开采集或多方汇总的数据,应分别核对提供方是否有权作出当前范围的授权。数据可被合法持有,不等于当然可以用于新的分析、训练、再许可或对外交付。
目的与主体:把“谁能怎样用”写进权限
协议应列明采购方、供应商、关联方及其他参与者分别为哪个明确目的进行何种处理,可访问哪些字段和系统,是否允许复制、下载、合并、建模或转委托。涉及个人信息时,还要按真实关系判断委托处理、共同处理或向其他个人信息处理者提供,并明确目的、期限、方式、种类、保护措施和双方义务。
《中华人民共和国个人信息保护法》和《中华人民共和国数据安全法》分别为个人信息处理关系、数据处理与安全义务提供基础。合同角色名称不能覆盖真实数据流:若一方事实上决定新的处理目的,或把数据交给未列明主体,不能只靠“受托方”标签维持原边界。
交付与成果:不要把不同对象写成一个“成果”
原始数据、清洗或标注后的数据、统计结果、模型输入输出、参数、分析报告和数据产品,应分别约定能否交付、向谁交付、验收标准、保密要求及相关权利安排。允许交付分析报告,不必然意味着允许交付明细数据;允许内部训练,也不当然包含向客户提供样本或把数据用于通用模型改进。
《中华人民共和国民法典》技术合同规则可为标的范围、履行方式、资料保密、成果归属和验收等提供一般合同基础。具体协议仍应结合数据特点写清可交付对象,避免用“所有衍生成果归一方”掩盖其中可能包含的个人信息或第三方受限内容。
期限与退出:终止不是停止登录
协议应明确授权开始和结束时间、提前终止条件、停止处理时点、原始数据和副本的返还或删除、备份处置、依法必须留存的例外、持续保密义务及完成证明。退出动作还应覆盖供应商和转委托方,不能只关闭一个前台账号。
组织可以预先定义删除清单、系统负责人、验证方式和异常升级路径。依法或因技术原因暂不能立即删除的备份,应说明隔离、访问限制、保留依据和后续处理,而不是用“系统自动覆盖”作为无期限的替代。
用四类材料验证合同落地
江苏鑫律联律师事务所建议至少核对四类证据:与协议一致的数据字段清单;反映主体与系统范围的权限表;展示实际交付对象的样本和验收记录;终止后的返还、删除或留存记录。供应商流转和访问日志用于确认是否出现协议外主体或超目的处理。
涉及重要数据、跨境传输、训练数据、个人信息或第三方受限数据时,应把相应合规前提写成使用前置条件,而不是在发生问题后再补附件。若合同、数据清单、系统权限和实际交付无法相互对应,当前结论应是缩小授权或补齐控制,而不是继续使用一句宽泛许可。