成全在线观看免费完整的,成全影视大全免费追剧大全,成全视频高清免费播放电视剧好剧,成全在线观看免费完整,成全在线观看高清全集,成全动漫视频在线观看完整版动画

在上篇中（數據交易合規系列（上）—數據交易制度的基本介紹），我們對數據交易的基本概念、規范基礎、數據交易機構的現狀以及數據交易目前所遇到的主要難點進行了介紹，幫助讀者快速對數據交易進行初步了解。但數據交易最終還是要進入實踐階段，只有數據真正通過交易流通起來，才能創造更大價值，而數據交易在實務中不可避免地有許多合規要點需要交易雙方注意。

作為一種大數據時代的全新交易類型，數據交易的模式、體系、流程等都尚未成熟，數據交易機構、交易主體以及相關服務商仍在合力探索數據交易的最優架構。結合當前多家數據交易機構的流程以及法律法規要求，我們認為，數據交易主體應當在交易前和交易中兩個重要階段把握數據交易的合規問題，并通過交易前的數據合規盡職調查及評估對數據交易風險進行最大化規避，在數據交易過程中，通過全面、合理的數據交易協議安排來保障數據交易的全流程合規。

不同于普通的商品交易，數據產品并不能很直觀地感受，也無法通過查看產品說明等確定產品的價值和質量。因而在數據供需雙方開展正式的數據交易之前，為了便于雙方在知己知彼的基礎上就具體的合作內容進行洽談，通常會對對方進行數據合規方面的盡職調查。通過數據合規盡職調查可以對數據交易的風險及效益做出合理評估，及時發現交易過程中的潛在法律風險，從而通過后續的協議安排盡可能避免法律風險轉化成違法責任。一般來講，數據合規盡職調查可以從以下幾個方面展開：

首先，對交易主體的調查，包括數據需求方和數據提供方相互之間的盡職調查和評估。數據需求方需要對數據提供方進行盡調，至少需要包含如下內容：①對數據提供方的信用情況進行調查，例如近三年內是否受到過與數據安全、個人信息保護相關的行政處罰或者發生過重大涉訴案件，必要時應要求數據提供方出具近三年無數據保護違法違規相關的重大行政處罰或涉訴涉刑案件承諾書。②對數據提供方的資質情況進行調查，包括數據提供方是否具有符合數據交易場景所必需的資質，如根據法律規定特定數據的采集、處理需要具備特定的資質(如增值電信業務許可證、地理測繪資質、征信資質等)，數據需求方可以要求數據提供方提供相應的資質證明文件復印件。③對數據提供方主體類型進行調查，需要判斷數據提供方是否被認定為關鍵信息基礎設施運營者，是否屬于特殊監管行業或承擔特殊數據合規義務等。

同時，數據提供方也要對數據需求方進行調查，主要目的是確認購買數據的一方是否是合法的民事法律主體以及是否具備相應資質，以防患于未然。主要包括對數據需求方的基本情況和擬交易數據的使用情況進行調查。具體包括數據需求方的工商信息及存續情況、股權架構和實際控制人等信息、整體業務情況、使用擬交易數據的場景以及具體處理擬交易數據的目的、方式、范圍等進行全面了解。此處要格外注意數據需求方的數據使用場景是否涉及特殊監管，例如是否涉及擬交易數據產品的跨境傳輸問題，雖然數據跨境傳輸目前有三種可選擇的途徑，但仍對企業數據合規提出更高要求，涉及更多資料和審批流程，數據提供方應多加關注。

其次，對擬交易的數據產品的相關評估，確保數據交易產品本身合法法規。盡管目前法律未正面規定可進行交易的數據清單，但可從負面清單角度對不符合法律法規的數據交易進行排除，這便需要在盡職調查過程中對擬交易數據產品的合法合規性進行全面評估，包括對數據來源的合法性、數據內容的合法性、數據規模以及數據類別、級別是否涉及具體的特殊合規義務等進行評估。

針對數據來源合法性的調查非常關鍵，數據來源違法或違規，將直接使該數據產品喪失可交易性。各交易主體均應關注該數據產品的原始來源，尤其是數據需求方，在進行調查的時候，可以要求數據提供方對自身提供的數據產品數據的來源加以說明并留存相關核查記錄，確保擬交易的數據來源合法可追溯。具體而言，可以圍繞：數據是其自行產生的數據還是公開收集或經其他方式取得的數據，是否獲得權利人授權（評估授權路徑以及授權的有效性）或主管部門批準，是否涉及個人隱私、商業秘密或涉及國家安全、公共利益，以及該產品是單一數據來源還是綜合數據來源，綜合數據來源要對每一數據來源進行核查等等方面展開。同時，不同行業對數據收集、處理有寬嚴不一的標準，還應結合所屬具體行業的要求與規定確認數據提供方開展的數據收集、處理等活動是否合法合規。

最后，應對數據交易環境進行評估，保證交易數據全鏈路安全，降低數據流通風險。數據提供方和數據需求方均需要對對方的數據安全保障能力進行評估，雙方均應當符合《網絡安全法》、《數據安全法》等法律法規的要求，建立數據安全保護體系，對于涉及個人信息的數據，還應符合《個人信息保護法》的要求，謹防個人信息泄露、篡改或丟失。具體而言，在進行盡職調查時，包括但不限于如下維度：網絡環境（機房安全、訪問權限控制、防病毒、滲透測試、防入侵與惡意代碼）、存儲環境（存儲介質、存儲空間控制、去標識化、數據加密備份、權限管理）、傳輸環境（身份驗證、接口數據 (如AES)加密、通道https加密）、管理制度（專門數據安全部門及崗位、數據分類分級管理制度、數據安全應急管理制度、員工數據處理活動管控）以及能力證明（等級保護證明、數據安全合規審計、數據安全能力認證）等。

基于上述交易前的盡職調查和交易評估，在數據交易進行過程中，雙方往往需要通過數據交易協議來對交易所涉的關鍵事項進行明確約定。而考慮到數據交易不同于傳統買賣，數據供需雙方關注的重點并非在于數據本身在物理介質層面的轉移或者排他性使用，而是如何實現數據的共享，也即數據提供方如何將符合需求的數據產品順利交付給數據需求方。事實上，在很多針對數據衍生產品，例如數據處理服務、數據模型工具等數據產品進行交易的場景中，數據產品的提供更類似于一種提供服務。基于此，在對數據交易協議具體條款進行安排時，可以參考傳統買賣協議、知識產權許可協議的條款，但仍應結合數據交易的獨特之處，例如數據產品的特點、類型、所處行業、使用場景等對協議條款進行更具針對性、更加合理化的設計。

第一，對數據交易標的進行界定。雙方應對數據產品的類型、內容、范圍、規模、來源、格式、質量、一次性提供還是持續更新等內容進行約定，明確供需雙方的數據交易標的。針對數據產品本身所具有的特殊性，可通過樣例的形式對數據產品進行說明。

第二，對數據交易雙方的權利義務進行設定。例如，需要對數據產品的合規和質量進行約定，對擬交易數據進行必要的去標識化或匿名化處理的義務進行規定，以及結合具體場景，對擬交易數據的范圍、是否涉及更新及更新頻次、是否可轉讓或公開、是否有使用限制以及是否可以跨境傳輸等具體問題進行約定。對數據提供方來講，要對擬交易數據的使用場景和數據需求方的數據安全保障義務進行約定，以及明確第三方是否可以訪問或使用該數據產品、具體的范圍限制等等；針對數據產品的用途，不僅要對數據需求方所明示的使用目的進行必要的真實性、合理性判斷，同時也應要求數據需求方做出相應的合法使用承諾；此外，還應要求數據需求方在按照數據交易約定方式完成數據使用后，應及時銷毀交易數據、不得存有備份，并提供數據銷毀證明文件。

第三，對數據產品的交付和價格進行確定。由于數據產品本身就存在定價難的問題，在估值定價方面往往因供需雙方的具體交易場景而異，個性化、定制化程度較高，并不像標準化產品一樣有可供參考的價格體系，因此需要數據提供方和數據需求方雙方對于具體交易中的特定數據產品的價格進行明確約定，例如針對該產品的固定價格及具體的參考定價標準或是計次收費的標準等等。另外，還需要對數據產品的交付方式進行約定，例如是否需要特定的硬件或軟件條件來保證數據產品交付過程中的環境安全，或者是否需要采用特定加密或傳輸技術以確保數據安全，或者是否需要通過第三方平臺進行“數據可用不可見”的交付模式等等。

第四，數據權屬條款。類似于技術開發合同中的權利歸屬條款，即哪方享有技術開發成果的知識產權，在數據交易中，數據提供方向數據需求方交付數據屬于共享還是讓渡，共享數據意味著數據交付后雙方均持有數據，讓渡數據意味著數據提供方交付數據后不再持有數據,相應地,數據產品交付成果的使用權、轉讓權和收益權的歸屬在“共享”和“讓渡”兩種模式下有所不同；以及數據需求方在交易數據的基礎上進行分析、加工、整理、融合而形成了具有市場價值的衍生數據或數據衍生產品，該衍生數據或數據衍生產品的持有權、加工使用權、經營權歸屬于哪方主體。目前的司法實踐中，一般認為數據處理者投入人力、物力、財力對數據進行收集、加工、整理后，其對該等數據享有財產性權益。如各大互聯網平臺對其依法獲取的各類數據以及在這些數據基礎上開發的數據衍生產品具有相應的數據權益，其他主體非授權使用可能會因侵犯其數據權益而構成不正當競爭。因而，數據供需雙方應在數據交易協議中明確交易數據及數據衍生產品的持有權、加工使用權、經營權等權屬。

第五，數據供需雙方作出的陳述及保證條款。在數據交易協議安排中，陳述與保證條款是必不可少的重要組成部分。對于數據需求方而言，可以要求數據提供方對自身所承擔的義務做出陳述與保證，例如數據提供方保證數據的收集和處理符合相關法律法規的要求，其所交易數據的獲取渠道和方式合法、權利清晰無爭議，其享有所交易數據產品的經營權，數據交易行為不會侵害其他第三方的合法權益；對于數據提供方來說，可以要求數據需求方接收及使用該數據產品不會超出協議約定的用途、不會違反適用的法律法規、亦不會違反其與第三方簽署的相關在先協議。諸如此類的陳述及保證條款一定程度上可以降低數據需求方的法律風險隱患，也能激勵數據提供方確保所提供的數據產品的合法合規。

第六，數據安全突發狀況的應急處置條款。主要是為了一方數據在交付或是交付后遭遇難以預料的突發狀況，例如黑客攻擊或是數據泄露等，由于數據一旦發生泄漏，所造成的損害一般是不可逆的，因而除了要在事前對數據安全保障義務進行約定，最大程度降低數據安全隱患，還要對事后的應急處置方案進行設計，例如數據交付后發生數據泄漏時，數據需求方應及時排查并通知數據提供方，告知泄露原因、泄露范圍、采取的補救措施以及后續整改方案等，數據提供方可據此決定是否繼續履行或提前終止合同。

第七，違約責任條款。 對于數據交易協議而言，數據提供方擬實現之合同目的是獲得數據交易的對價；而數據需求方所在乎的是數據產品能否按照約定如實、準確、完整地完成送達，送達方式是否安全，數據的質量、范圍是否符合約定等。

因此，為防止任意一方合同目的無法實現，或因發生數據泄露等安全事件導致一方遭受財產損害、或是一方違反合同義務條款的情形發生時，守約方無合同明確的責任承擔約定條款作為權利主張的抓手，因此應事先就已方較為重視與在意的部分與情形設置相應的違約責任條款。例如，基于數據產品無形性、易復制性的特點，如供需雙方對交易不滿，數據產品可能無法實現“退貨”，數據需求方可能會留有備份，對此，數據供應方可以在合同中要求數據需求方及時刪除該等數據及信息，并出具刪除證明且不得留有備份，并設定違反前述約定的相應罰則。

此外，在一些數據交易中，并非僅僅數據產品的簡單交付，還可能涉及到數據交易結構的設計、數據合法性評估、數據質量評估、數據定價咨詢以及數據加工處理等，不可避免其他服務商會參與到數據交易的環節中來，尤其是場內交易的數據產品，因而，數據交易雙方還可能與第三方服務商建立合作關系并簽署合作協議，形成較為復雜的一系列合作協議。該系列合作協議應注意約定清楚各方各自承擔的權利義務邊界，避免出現各協議中約定相互矛盾的條款，以防在潛在爭議發生時出現因約定不明而產生對已方不利的情況和結果。

本文第一、二部分就數據交易前的盡調和數據交易中的協議安排進行了簡要分析，除了上述法律風險注意事項外，在數據交易中企業還應關注以下合規風險：

第一，避免交易法律法規或基于協議約定禁止交易的數據及數據產品、服務。

結合《數據安全法》、《個人信息保護法》及各省多地制定的數據條例等法律法規的規定，禁止交易的情形大致歸為以下幾類：（1）危害國家安全、公共利益的；（2）侵犯他人合法權益（如知識產權、商業秘密等權利）、個人隱私的；（3）交易的數據產品和服務包含個人數據未依法獲得授權的；（4）交易的數據產品和服務包含未經依法開放的公共數據的；以及（5）法律、法規規定禁止交易的其他情形。此外，對于與數據上游供應方所簽訂的合同中存在數據禁止轉售或公開約定內容的數據，也應被禁止進行再次交易。

實踐中，面對數據流通不暢的掣肘，企業可能會采用爬蟲軟件等技術手段獲取數據，然而如該手段不合法，則可能會被認定為“非法獲取數據”，并進而影響后續數據交易的合法性以及數據交易協議的效力。對于如采用爬蟲工具等技術手段突破企業技術防護措施獲取數據的，就刑事責任層面可能涉嫌構成非法獲取計算機信息系統數據罪、非法控制計算機信息系統罪或非法侵入計算機信息系統罪等；如獲取的數據類型中含有商業秘密或是國家秘密的，則可能構成侵犯商業秘密罪、非法獲取國家秘密罪；如獲取國家秘密向境外提供的，還可能會觸犯為境外竊取、刺探、收買、非法提供國家秘密、情報罪；如涉及個人信息的，則可能構成侵犯公民個人信息罪等。此外，就民事責任層面，該等行為也可能涉及不正當競爭或侵犯個人隱私等。如數據需求方不對數據的內容、范圍以及數據來源的合法、合規性加以審查即直接使用具有法律及權利瑕疵的數據產品，則可能會產生數據交易協議無效或是數據需求方因使用該等瑕疵數據產品而侵犯其他權利人的合法正當權益的風險。

鑒于獲取數據手段的合法合規性及數據內容對交易的合法、順利推進具有決定性影響，因此我們建議，在數據交易前，數據需求方應著重核實數據提供方擬交易的數據的獲取渠道及有無獲得權利人授權、是否包含個人數據、重要數據，及是否可能涉及個人隱私、商業秘密、國家秘密等進行核實與確認，并可要求數據提供方提供相應的證明文件和承諾函。在設計數據交易協議時，也應添加上文所提及的數據供應方陳述與保證條款。在供需雙方的數據傳輸環節，還可對數據進行必要脫敏、加密傳輸或利用隱私計算等技術手段實現可用不可見，以降低數據泄露、被非法利用的風險。

此外，企業還應注意一個誤區，普遍認為網絡上公開的數據可以不受限制地爬取使用，不會侵犯第三方的數據權益，然并非如此，如企業爬取了公開的個人信息，其處理目的明顯違反自然人公開時的初始目的，則可能侵犯自然人的個人信息權益；如企業爬取其他主體公開的數據而形成自身的服務功能或模塊，則可能因為提供替代性服務損害了其他主體的利益而構成不正當競爭。

第二，基于交易對象的數量、類型以及交易主體的身份等因素，可能會觸發額外的審批或許可義務。

如本文第一部分所述，如果數據交易涉及數據跨境傳輸，在符合《數據出境安全評估辦法》第四條規定的四個情形之一的，則將會觸發數據出境安全評估申報義務?！稊祿踩ā返诙鍡l亦規定，“國家對與維護國家安全和利益、履行國際義務相關的屬于管制物項的數據依法實施出口管制”，故，如所交易的數據屬于出口管制物項的數據，或將觸發《出口管制法》項下出口許可證的申請。此外，如所交易的數據有特殊行業監管要求的，則可能會觸發行業主管部門審批要求。

因此，我們建議，在產生業務需求的初始，即應將數據交易可能觸發的額外審批或許可義務作為是否推進業務合作的考量因素之一，并相應評估該等額外審批或許可義務對業務合作的影響。如確定將推進業務合作，即可在數據交易協議中約定該額外審批/許可的通過/取得即為數據交易協議的生效前置條件，以降低審批不通過/許可未取得對數據需求方產生的成本負擔以及業務合作造成的影響。同時，我們建議在數據交易協議中一并明確該額外審批/許可義務產生的準備費用的負擔主體與審批配合義務的相關要求，以便于業務合作的有序推進，減少因前期協議約定不明而導致后續雙方就該部分內容產生爭議進而相互推脫的情形。

第三，在交易過程中及交易后，亦應密切關注數據安全并采取相應保護措施，減少數據事件發生的可能性及數據安全事件所帶來的影響。

由于企業“內鬼”作案或外部攻擊而導致的數據泄露事件時有發生。如2022年6月，某國內學習軟件的數據庫被公開售賣，超1.7億條用戶信息疑遭泄露。最高人民檢察院于今年3月30日發布的個人信息保護檢察公益訴訟典型案例（共8個）中亦有4個案例涉及個人信息泄露事件或個人信息泄露隱患。發生此類數據安全事件，不僅會給企業造成重大的財產和聲譽損失，也會危害到個人信息權益的保護、甚至會危及公共利益和國家安全。

對此，《數據安全法》規定了關于數據處理活動應遵循的數據安全保護義務，包括對數據應采取分類分級保護、建立健全全流程數據安全管理制度、組織開展教育培訓，采取相應的技術措施和其他必要措施等，以保障數據安全。同時，在數據處理活動中應當加強風險監測，發現數據安全缺陷、漏洞等風險時，應當立即采取補救措施；發生數據安全事件時，應當立即采取處置措施，按照規定及時告知用戶并向有關主管部門報告。《個人信息保護法》亦規定了對于個人信息的安全保障要求，包括但不限于對個人信息進行分類管理、采取相應的加密、去標識化等安全技術措施，制定并組織實施個人信息安全事件應急預案等。

由于數據交易涉及數據的收集、存儲、傳輸與使用等數據處理活動，故應遵守《數據安全法》和《個人信息保護法》等相關法律法規規定項下的數據安全保護義務，不僅在數據交易前應確保制定有企業數據安全管理制度與流程，且在數據交易過程中及交易后，亦應密切關注數據安全并采取相應保護措施，如通過數據加密、權限管控、定期進行系統漏洞掃描與加補丁等方式進行數據保護。在交易相對方發生數據安全事件后，另一方在知曉該等數據安全事件后亦應積極、及時作出相應的補救措施以避免自身損失以及個人信息權益、數據安全風險等的進一步擴大。