数据作为数字经济时代的新型的生产要素，是数字经济发展的压舱石。中共中央、国务院此前印发的《关于构建数据基础制度更好发挥数据要素作用的意见》更是提出了20条具体措施，为解放和发展数字生产力开辟新路径。而数据交易作为数据要素市场建构的关键一环，能够最大限度地释放数据的经济效益。一方面，数据市场的深度与广度在不断拓宽，另一方面，数据交易面临的合规问题也愈发复杂。在此背景下，数据交易的合规评估就显得尤为重要。

本文将聚焦场内数据交易这一新兴的数据交易模式，从场内数据交易的典型样态、场内数据交易的合规评估及要点、针对企业进行数据交易的高发风险点及合规建议这三个部分展开分析和讨论，解密场内数据交易合规评估的实践要点。

一、场内数据交易的典型样态

01、场内数据交易标的类型

根据我们目前从事场内数据交易合规评估的实践经验，场内数据交易的典型标的可分为数据产品、数据服务、数据工具以及数字资产四种类型。

1、数据产品，是对原始数据进行处理后形成的数据的集合或分析结果，包括了API数据、离线数据包、查询客户端、数据分析报告等类型。

API数据：通过应用程序接口作为数据交付方式的数据集。

离线数据包：针对特定领域、场景或功用的数据集合，以CSV、Excel、音视频等形式呈现。

查询客户端：以具备良好交互功能的客户端等前端为载体，通过开通账号权限的方式，为用户提供数据内容。

数据分析报告：对特定行业领域或应用场景下的原始数据进行加工分析形成可视化数据分析结论。

2、数据服务，提供的是数据处理服务能力，包括数据分析、数据可视化、数据合规、数据安全等服务。

数据分析服务：利用自身技术能力，通过统计、机器学习等方式对原始数据进行价值挖掘的服务。

数据可视化服务：基于大数据环境，通过图形化、交互化等方式，对数据内容进行整合归纳，直观呈现数据信息。

数据合规服务：对数据交易各个节点进行合规性的审慎核查，针对拟进行的数据交易出具专业的法律意见。

数据安全服务：对数据处理活动提供安全性保障技术支持，例如数据加密、安全存储环境等技术服务。

3、数据工具

数据工具是指可实现数据服务的软硬件工具，主要包括数据清洗工具、数据分析工具、数据可视化工具、数据存储和管理工具、数据采集工具以及数据安全工具等。

4、数字资产

数字资产（Digital Assets）是指企业或个人拥有或控制的，以电子数据形式存在的，在日常活动中持有以备出售或处于生产过程中的非货币性资产。相较于数据产品，更强调资产属性。对于数据资产的价值衡量维度，除了可用性外，还包含了鉴赏性、可流通性等消费品属性。

02、场内数据产品/交易合规评估流程

1、合规评估准备

前期组建评估团队，明确评估对象和评估范围，制定评估计划。

2、尽职调查

通过问卷调查、文件查阅、人员访谈等方式，围绕数据产品、数据交易的合规性展开尽职调查。

3、合规差距分析

与现行法律规范进行差距比较，确认数据产品或交易的合规现状，出具相应问题清单。

4、问题整改

针对评估过程中的合规差距部分，向被评估方出具整改建议，并辅助企业进行整改优化。

5、报告出具

针对整改后的数据交易或拟上架产品的合规现状，出具合规评估法律意见书。

03、数据交易合规评估与数据产品合规评估的相互关系

总体而言，数据交易合规评估中包含了对数据产品的合规评估，数据产品的合规评估是数据交易合规评估的重要组成部分。

其中，数据产品合规评估对数据产品的数据来源、数据内容、数据用途、数据的传输存储安全以及数据产品提供者的基本信息、资质等内容进行合规性评估。

在上述基础之上，数据交易的合规评估还增加了对数据交易行为的评估维度，包括对数据接收方的基本信息、资质，双方数据交易合同条款，数据交付安全性等内容进行合规性评估。

二、场内数据交易的合规评估及要点

场内数据交易的合规评估要紧紧围绕交易行为的构成进行，包括交易标的、交易主体、交易安全以及交易约定四个维度。在此基础上，如涉及数据跨境交易等特殊情形，需要进行针对性的合规评估工作。

01、评估要点一：交易标的

交易标的的评估主要围绕数据类型、内容、来源以及用途四个维度进行。

1、数据类型

针对拟交易数据的类型进行合规审查，旨在确定数据产品所含具体数据字段，判断数据性质以及需要负担的相关合规义务。

推荐审查维度：

（1）拟交易数据具体字段的性质（判断是否属于重要数据、国家核心数据、个人信息、敏感个人信息）；

（2）拟交易个人信息的情况（数据产品所涉个人信息字段内容、数量以及数据产品提供方（特定时间内）累计处理个人信息的数量）。

2、数据内容

考察数据内容目的在于确定数据产品的交付物内容是否存在违反法律法规的情况，避免数据内容包含违法违规数据、侵害他人知识产权等财产权益的数据以及原供方禁止转售或公开的数据。而根据《关于构建数据基础制度更好发挥数据要素作用的意见》，对相关方数据资源持有权、数据加工使用权和数据产品经营权的保护，将成为今后数据产品合规评估的重要维度。

3、数据来源

对于数据产品中原始数据字段来源的合法性的合规考察，在交易标的合规审查中具有非常重要的意义。数据来源不合法或不合规，将直接否决该数据产品的合规性，更无从谈起进入市场进行交易。结合我们的实践经验，我们建议可以从以下三个维度对数据来源的合法性进行充分核查：

首先，对于个人信息，核查是否具备《个人信息保护法》第13条的合法性基础之一，并履行相应的告知义务；

其次，对于非个人信息，核查是否以合法、正当的方式获取数据（例如是否存在使用爬虫等技术工具，违反网站Robot协议获取第三方网站数据等情形）；

再次，对于来源于第三方主体的数据，应对第三方数据来源的合法性，通过组织的供应商内控机制进行详细核查并进行说明。

4、数据用途

在场内数据交易中，要采取系统化的风险管理流程对数据用途进行审查和评估，比如通过比较交易合同中对数据产品使用场景和目的的约定，以及宣传物料对该数据产品的使用场景的描述，确定数据产品的预设使用场景是否违反相关法律法规的规定等。对于涉及法律有明确合规要求的数据使用方式，例如利用个人信息进行自动化推荐、应用算法推荐技术提供互联网信息服务等，需要结合对应法律条文进行重点评估。

02、评估要点二：交易主体

交易主体的合规评估主要涉及数据交易的购买方和提供方两类主体。

1、数据提供方基本情况

对数据交易提供方进行审查，旨在确认其是合法存续的民事法律主体，并且具备处理拟交易数据类型所需资质（例如处理个人征信类数据，需要依法取得中国人民银行个人征信机构许可；从事地理位置定位、地理信息上传标注和地图数据库开发等服务的，应当依法取得相应的测绘资质证书）。在此方面的合规工作要点包括但不限于以下5个方面：

▶ 数据提供方的基本信息、存续情况；

▶ 股权架构和实际控制人信息；

▶ 是否为关键信息基础设施运营者等特殊主体；

▶ 整体业务情况；

▶ 数据产品所涉行政前置许可的获取情况。

2、数据购买方基本情况

相应地，对于数据交易购买方基本情况的审查主要目的是确认数据购买方是否是合法的民事法律主体以及是否具备相应资质。因此相关的审查工作主要围绕以下内容展开：

▶ 数据购买方的基本信息、存续情况;

▶ 股权架构和实际控制人信息;

▶ 整体业务情况;

▶ 数据购买方处理数据的目的、方式、范围;

▶ 购买方使用拟交易数据的场景，是否需取得相应的资质/许可。

03、评估要点三：交易安全

数据交易安全需要从数据提供方的安全交付数据的能力以及数据在交付过程中的安全性进行考察。

1、数据提供方的安全保障能力

对于数据提供方的安全保障能力的审查包括以下维度：

物理、应用、网络环境安全：机房安全、访问权限控制、日志管理、网络监控管理、防病毒、渗透测试、防入侵与恶意代码。

存储安全：从存储介质、存储空间控制、去标识化、数据加密备份、权限管理等维度确认数据存储的安全性。

传输安全：是否通过身份验证、接口数据（如AES）加密、通道https加密的方式确保数据传输的安全性。

管理制度：内部是否建立数据安全组织及负责岗位；是否对数据建立分类分级制度进行管理；是否建立数据安全应急管理制度并制定数据安全预案；是否对员工的入职、在职、离职各阶段对员工数据处理活动进行管控等。

能力证明：是否取得等级保护证明、数据安全合规审计、数据安全能力认证等数据安全保障能力的有效性证明。

2、数据交易过程安全

数据提供方的安全保障能力还不足以保障交易安全，保障数据交易过程的安全，一方面需要从交付过程的安全进行考察，即需要确保数据由提供方传输至数据购买方这一链路的安全性，以及数据交付后，数据购买方是否能够确保数据的存储和管理安全。另一方面，还需要确认双方是否对拟进行的数据交易记录采取合理的管理措施以及数据购买方是否取得相应的数据安全能力证明等。在此基础上，实现对交付中、交付后的安全情况全面的把握，确保数据的安全交付。

04、评估要点四：交易约定

对于交易约定的评估指数据交易双方在拟签署的数据交易合同中，是否对安全保障义务、数据处理限制、安全事件应急处理等内容进行约定。这对于场内数据交易的合规评估工作来说是重要一环。作为合规评估方，针对交易双方的合同约定需重点围绕以下内容开展评估工作：

▶ 安全保障义务：是否约定双方对拟交易数据产品采取相应的安全保障措施；

▶ 限定和约束：是否明确拟交易数据产品的使用目的、方式、范围，是否针对购买方限定数据使用场景和并设置约束机制；

▶ 存储：是否明示数据交付后存储的地点、期限；

▶ 再转移：是否对数据再转移进行限制；

▶ 应急处置措施：是否约定在发生数据安全事件后，双方应采取的应急处置措施；

▶ 行使权利途径和方式：涉及个人信息的，是否对个人信息主体行使权利的途径和方式进行约定。

05、评估要点五：出境义务

在基于对数据交易是否涉及数据出境情形的判断之上，数据交易涉及数据出境时，需关注其是否履行诸如数据出境安全评估等数据出境前置义务。

这项合规审查工作需要关注的是以下维度：

▶ 交易标的是否涉及（敏感）个人信息、重要数据；

▶ 交易主体是否为特殊义务主体，如关键信息基础设施运营者、（在特定时间范围内）处理超过规定数量个人信息的数据处理者等；

▶ 交易标的是否涉及需履行境内存储义务的数据类型（如人类遗传资源、人口健康信息、个人信用信息、地图数据、网约车业务数据等类型）；

▶ 涉及个人信息的，是否满足《个人信息保护法》所要求的出境路径要求（例如，通过国家网信部门的数据出境安全评估、取得个人信息保护认证、签订个人信息出境标准合同），并履行个人信息出境场景下的个人信息保护影响评估义务。

三、企业进行数据交易的高发风险点及合规建议

01、交易主体

1、签约主体与交付主体不一致

签约主体与交付主体不一致会带来交易过程所涉主体责任分配不明的风险。

针对这项风险的合规建议是要求签约主体与交付主体之间签署合同，明确约定双方法律责任。

2、未核实数据购买主体身份

由此带来的风险是无法确保交易真实性，存在虚假交易风险。可通过要求交易对方提供主体证明文件、自行网络核查主体信息等方式核查、规避该风险。

3、缺乏相关资质或行政许可

缺乏相关资质或行政许可，可能导致拟进行的数据交易涉及违反法律规定的数据处理活动，因此应该在数据处理/交易前申请相应资质或寻求有资质的主体进行合作。

02、交易标的

针对交易标的高发风险点主要是数据来源存在瑕疵，侵犯个人信息主体权益或侵犯他人合法的知识产权等财产性权益。在《关于构建数据基础制度更好发挥数据要素作用的意见》公布后，对于数据资源持有权、数据加工使用权和数据产品经营权的侵犯将成为今后拟进行的数据交易新型风险点。

相应的合规建议包括：

◼ 涉及个人信息的，依法告知并取得个人信息主体的授权同意；

◼ 涉及自动化获取数据的，要确保所用爬虫工具遵守目标网站robots协议，并确保对爬取数据的处理未侵犯他人知识产权等财产权益；

◼ 涉及从第三方主体获取数据的，确保第三方数据来源的合法性。

03、交易安全

数据交易主体安全保障能力不足是交易安全层面上的高发风险点，可能导致在存储、交付等交易环节出现数据泄露、篡改等安全风险敞口。

为规避上述问题，在开展合规审查工作时需要注意以下方面：

◼ 安全资质层面：交易主体双方应当取得网络安全等级保护、数据安全能力认证等安全类资质；

◼ 技术安全层面：围绕数据交易全周期进行加密、身份验证、防入侵、防病毒等安全技术措施部署；

◼ 制度安全层面：交易主体双方在组织内部设立数据安全组织机构及岗位，建立诸如数据安全管理、数据分类分级、数据安全应急演练等制度。

04、交易约定

数据交易双方可能存在未约定数据接收方的安全保障义务、数据处理限制、数据安全事件应急处理的情况，这就会导致数据出售方无法证明其履行了针对拟交易数据尤其是个人信息数据的勤勉尽责义务。因此需要要求交易双方在合同中详细约定数据交易后的使用场景及相关处理限制、数据接收方应采取的安全保障措施、应急处置措施等内容，明确双方在数据交易活动中的责任承担。

作者：梁艳芬

（文中观点不代表北源律师事务所的观点或法律意见）