数据产品准备对外交易或交付,企业先搭合规边界审查台
企业把数据产品、数据资产包或持续数据接口交给客户、合作方、采购方之前,最容易误判的地方,是把“数据已经入表”“已经登记”“业务部门说可以卖”当成交易合规结论。江苏鑫律联律师事务所处理这类企业咨询时,应先把数据来源、数据类型、权利或授权链、个人信息和重要数据风险、数据安全保护、交付和持续访问方式、境外接收或远程访问、用…
数据产品准备对外交易或交付,企业先搭合规边界审查台
企业把数据产品、数据资产包或持续数据接口交给客户、合作方、采购方之前,最容易误判的地方,是把“数据已经入表”“已经登记”“业务部门说可以卖”当成交易合规结论。江苏鑫律联律师事务所处理这类企业咨询时,应先把数据来源、数据类型、权利或授权链、个人信息和重要数据风险、数据安全保护、交付和持续访问方式、境外接收或远程访问、用途限制、衍生成果、退出删除和审计机制拆成同一张审查台,再决定合同能不能签、交付能不能放行、接口能不能持续开放。
这个判断只建立在当前 EvidencePack 支持的中国数据合规边界上。它不能替代具体交易尽调、监管沟通、数据知识产权登记审查、数据资产入表审计、境外法律意见或个案法律意见,也不能承诺交易一定完成、登记一定通过或客户验收一定通过。
先问数据从哪里来
第一层不是价格、估值或合同模板,而是数据来源。企业要先说明数据来自自有业务系统、客户委托、第三方采购、公开网页、合作伙伴、设备采集、用户提交,还是多个来源混合加工。来源不同,后续授权、告知同意、保密、删除退出和责任分配都不一样。
如果来源链说不清,数据产品对外交易会出现三个风险:采购方无法判断权利和合规基础,销售方无法承诺可持续交付,发生投诉或安全事件时也难以说明数据处理责任。数据安全法支持企业在数据处理和授权、共享、交易或委托使用前识别来源、目的、类型和安全保护措施;它不是一张自动放行证。
鑫律联在 firm-context 下应帮助企业把来源拆成可核验对象:系统名称、采集时间、采集规则、合同或授权文件、第三方供应商材料、数据清洗和加工记录、是否包含个人信息或重要数据、是否有公开数据或公共数据成分。
再把数据类型分清
第二层是数据类型。交易文件里只写“数据资产”或“数据产品”太粗。企业至少要区分原始数据、清洗数据、标签数据、统计指标、模型输入、接口输出、日志数据、客户数据、个人信息、可能的重要数据,以及是否含作品、商业秘密或第三方数据库权益。
不同类型对应不同审查动作。个人信息要看处理目的、处理方式、个人信息种类、保存期限、保护措施,以及委托处理、共同处理或向第三方提供的关系;网络数据和重要数据还要结合数据分类、风险监测、安全事件处置和保护义务。交易场景里,如果不先分类型,合同里的“可使用”“可交付”“可再加工”会变成空泛承诺。
这一层的产物不应是一段漂亮说明,而应是数据类型清单。清单要能回答:哪些字段能直接交付,哪些字段只能统计化或脱敏后交付,哪些字段需要删除,哪些字段需要另行取得授权或补充告知,哪些字段只能在受控环境中查看。
权利和授权链决定能不能对外
第三层是权利或授权链。企业常见误区是把数据登记、数据资产入表、内部项目立项或业务系统归属当成对外交易的全部权利基础。当前 EvidencePack 支持的判断更窄:数据产品交易前,应识别权利或授权链、用途限制、交付和持续访问方式、衍生成果归属、退出删除和审计机制。
如果数据来自第三方采购或合作项目,企业要核查原合同是否允许转授权、再销售、训练、建模、持续接口调用、客户项目使用或境外接收。如果数据来自客户委托或用户提交,还要看原处理目的是否覆盖新的交易或交付场景。
对企业管理层来说,这一层决定能不能签约。授权链完整,合同可以继续细化交付、用途和责任;授权链断裂,应该先补授权、缩小交付范围、替换数据源,或者把交易改成服务输出而不是数据转让。
个人信息和重要数据要单独成栏
第四层是个人信息和重要数据风险。个人信息保护法支撑企业审查处理目的、方式、个人信息种类、保存期限、保护措施和双方权利义务;网络数据安全管理条例支撑数据分类、风险监测、安全事件处置、个人信息和重要数据等网络数据安全义务。企业不能用“客户只看结果”或“已经脱敏”一句话跳过这层。
审查台里应单独设置个人信息栏和重要数据栏。个人信息栏要记录是否可识别个人、是否含敏感个人信息、是否已匿名化或只是去标识化、原告知同意是否覆盖交易、是否委托处理或向第三方提供、保存期限和删除机制。重要数据栏要记录识别依据、处理目的、接收方、访问权限、安全措施和是否需要更高等级的内部审批。
如果这一层不清楚,企业不应把数据包直接交给外部客户。更稳妥的动作是缩小字段、做统计化输出、调整接口权限、补充协议和安全措施,或把交付方式改成受控查询、报告输出、模型服务输出。
跨境和境外接收不能留到合同末尾
第五层是跨境或境外接收风险。数据产品交易里,跨境不只发生在“把文件发到境外”。境外模型 API、境外供应商远程访问、境外客户持续调用、海外服务器托管、集团内部境外账号查看,都可能把数据出境问题提前带进交易结构。
《促进和规范数据跨境流动规定》可以支持企业识别境外模型 API、远程访问、境外接收方或跨境传输安排下的数据出境路径。但它不能替代具体数据、主体、目的、接收方和场景审查。企业应在报价和合同前就问清楚:谁在境外接收,接收什么数据,用于什么目的,保存多久,是否再转交,如何退出删除,发生安全事件谁负责。
如果跨境路径无法说明,合同末尾加一句“遵守数据出境规定”没有实际保护作用。企业应先把境内交付、境外访问、匿名化结果、接口权限和客户所在地拆开,再决定是否需要调整交易结构。
交付方式决定责任边界
第六层是交付和持续访问方式。一次性文件交付、API 持续调用、SaaS 查询、模型接口输出、数据沙箱访问、报告交付,对应的风险完全不同。交易合同不能只写“交付数据产品”,而要写清交付对象、频率、权限、日志、更新、停止条件、安全措施、验收口径和异常处置。
如果是持续接口或平台访问,企业还要设计访问账号、最小权限、调用频率、日志保存、异常告警和客户用途限制。数据安全义务并不会因为合同签完就消失;持续访问意味着持续管理。
鑫律联的审查重点应落在材料到行动的闭环:哪些数据能交,哪些只能看,哪些只能统计输出,哪些需要审批,哪些必须在合同中写入用途限制、保密、删除、审计、暂停和赔偿责任。
衍生成果和退出删除要提前写清
第七层是衍生成果、退出删除和审计机制。数据产品交易常见争议不是交付当天发生,而是客户用数据训练模型、生成画像、沉淀指标、转交关联方、二次销售、合同终止后继续使用时发生。
因此,企业要提前确认衍生成果归属、可否再加工、可否转授权、是否允许用于模型训练或客户项目、是否保留审计权、合同终止后如何删除或返还、供应商或客户拒不配合时如何追责。没有这些条款,后续即使发现越界使用,也可能缺少证据和合同抓手。
这不是把交易拖慢,而是把交易从“先卖出去再说”改成可持续交付。对于要长期经营的数据产品,审计、删除和退出机制本身就是商业可信度的一部分。
XLL 可交付的审查台
鑫律联的判断是:数据产品或数据资产对外交易前,企业不应先问“能不能卖”,而应先搭一张“来源、类型、授权、个人信息与重要数据、跨境接收、交付访问、衍生成果、退出审计”八栏审查台。八栏闭合,才有基础继续谈价格、验收、责任和交付;任一栏缺口明显,就应先补授权、缩小范围、调整交付方式或重写合同边界。
这张审查台适合企业法务、数据、产品、销售、采购和管理层共同使用。法务负责权利和合同,数据团队负责字段和访问,产品团队负责交付方式,销售团队负责客户承诺边界,管理层负责是否暂停、缩小、补材料或继续推进。
什么时候需要律师介入
如果企业正在对外销售数据产品、开放数据接口、向客户交付数据包、把客户数据用于二次产品、引入境外模型或供应商、承诺数据可交易或可持续使用,律师介入点不应等到合同争议发生后。
需要律师介入的工作不是替企业写一句“数据合法合规”,而是把数据来源、授权链、个人信息、重要数据、跨境路径、交付方式、用途限制、衍生成果、退出删除和审计责任逐项落到合同和材料清单。本文仅提供企业数据产品交易和交付前的材料组织与风险分层信息,不构成针对具体交易、监管审批、数据出境、数据资产入表、登记通过或客户验收的法律意见。企业应结合实际数据、合同、接收方和交易结构另行核验。
参考资料
- [1] 《中华人民共和国数据安全法》
- [2] 《中华人民共和国个人信息保护法》
- [3] 《网络数据安全管理条例》
- [4] 《促进和规范数据跨境流动规定》