1、本土化资源 国际化视野We link local legal intelligence with the world上海 Shanghai|北京 Beijing|深圳 Shenzhen|香港 Hong Kong|伦敦 London数据交易法律实务问题讲解上海市通力律师事务所主讲人：潘永建2023年7月电话:+86 21 3135 8701+86 136 2172 0830邮箱:潘永建合伙人潘永建律师是通力律师事务所公司合规业务团队负责合伙人。潘律师先后毕业于哈佛大学法学院和上海交通大学凯原法学院，分别获得法学硕士学位和法学博士学位。潘律师同时具有中国和美国纽约州两地律师执业资格。潘律师在中美两

2、国从事法律工作20余年，熟谙中美两国的商业文化和法律体制。潘律师曾在两家中国知名律师事务所工作，并在某知名跨国公司担任过总法律顾问。潘律师为中外投资人、投资机构处理有关公司兼并收购、合资经营、外商直接投资、策略性联盟及跨境交易、技术许可与特许经营、大宗品交易等方面的复杂交易。除欧美跨国公司外，潘律师代理服务的企业客户还包括各类作为初创公司、转型企业和成熟企业的国有企业和民营企业,所涉行业包括汽车、投资、能源、医疗、化工、制药、互联网、食品、制造、文化体育、消费品及房地产等。基于对商业运营的深度理解，潘律师擅长为企业提供跨境经营环境下高效务实的反垄断、反商业腐败等领域合规法律服务。潘律师已为多家

3、知名汽车业企业、制造业企业、零售业企业就其竞争法合规和商业合规政策制定与实施、内部培训与调查、危机处理和第三方合规管理等提供服务。潘律师被ALB、CBJL、Chambers、Legal500、LEGALBAND、Whos Who Legal等评为公司合规、反垄断与竞争法领域领先律师。除传统的合规服务之外，潘律师较早开始为企业的服务器境外设置、数据日志、个人信息收集与使用、数据完整性、数据集中处理等法律问题提供服务。通过多年的实践，潘律师已在网络安全与数据隐私领域积累了丰富经验。潘律师已带领团队为逾百家医疗健康、汽车、旅游、电商、零售、教育、服务、金融、先进制造业企业就其数据收集、存储、使用、移

4、转与销毁全过程建立或完善合规制度,为企业数字化营销、数字化转型、数据交易、网络安全审查等提供合规解决方案。2019年至2023年，潘律师连续五年被LEGALBAND评为中国网络安全与数据保护第一梯队领先(最佳)律师，并于2020年被LEGALBAND评为中国网络安全与数据保护十强/十五强律师。2020年至2023年，潘律师连续四年被Legal500评为数据与隐私保护中国领先律师。2020年至2023年，潘律师连续四年被Chambers and Partners推荐为“通信媒体:数据保护&隐私”领域认可的中国律师。2020年、2023年潘律师被ALB提名为“数据隐私保护亚洲杰出律师”，并于202

5、3年被ALB评为“中国十五佳网络安全和数据保护律师”。潘律师担任上海交通大学凯原法学院客座教授、上海联合产权交易所评审专家、上海自贸区合规不起诉试点项目第三方监管专家等社会职务。数据交易概述交易合同设计及交付机制1234目录数据交易的尽职调查数据资源持有企业相关工作PART 1数据交易概述A Leading PRC Legal Solution Provider52019年10月，党的十九届四中决议首次将数据列为生产要素，要求建立健全按贡献参与分配的机制。2020年4月，中共中央、国务院发布关于构建更加完善的要素市场化配置体制机制的意见，将数据“升格”为与土地、劳动力、资本、技术并列的第五大生

6、产要素，并提出要加快培育数据要素市场。2022年12月19日，中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见（“数据二十条”）正式发布，“数据二十条”提出完善和规范数据流通规则，构建促进使用和流通、场内场外相结合的交易制度体系。逐步完善关键领域关键环节的政策及标准：数据产权界定数据流通和交易数据要素收益分配公共数据授权使用数据交易场所建设数据治理数据要素流通是大势所趋A Leading PRC Legal Solution Provider62022年12月9日，财政部会计司于发布企业数据资源相关会计处理暂行规定（征求意见稿）（“暂行规定”）,“暂行规定”围绕数据资源是否可以作为

7、资产入账、数据交易的合同双方如何进行会计处理等各方最为关切的问题进行了规范，明确了数据资源适用范围，并规范其适用的会计处理原则以及披露要求。本规定适用于企业按照企业会计准则相关规定确认为无形资产或存货等资产类别的数据资源，以及企业合法拥有或控制的、预期会给企业带来经济利益的、但由于不满足企业会计准则相关资产确认条件而未确认为资产的数据资源的相关会计处理。企业可以根据实际情况，自愿披露数据资源（含未作为无形资产或存货确认的数据资源）下列相关信息：1.用于形成相关数据资源的原始数据的类型、规模、来源、权属等信息。2.原始数据数据资源数据资产数据要素的不同层次A Leading PRC Legal

8、Solution Provider7数据共享:泛指各类有偿、无偿地向其他组织（或同一组织下的不同部门）提供数据的行为。内部共享：例如，企业通过数据中台打通底层数据，将不同业务线之间所产生的数据汇聚在一起，实现共享并在此基础上加工、分析、复用。外部共享：例如，金融机构将自有数据与电商、医疗等其他行业的数据融合，实现联合建模，构建更加精准的营销和风控模型。数据交易：数据供方和需方之间以数据商品作为交易对象，进行的以货币或货币等价物交换数据商品的行为。信息安全技术 数据交易服务安全要求数据商品包括用于交易的原始数据（包括传统数据、大数据）或加工处理后的数据衍生产品。原始数据交易：例如，购买机器学习数

9、据集，用于训练人脸识别、图像分类等算法模型数据衍生产品的交易：例如，购买企业用户画像，对企业的整体经营情况进行分析和评估。数据交易相关概念A Leading PRC Legal Solution Provider8数据开放：通常指无偿地向社会公众提供政务数据，公共数据。本细则所称公共数据开放，是指公共管理和服务机构在公共数据范围内，面向社会提供具备原始性、可机器读取、可供社会化再利用的数据集的公共服务。上海市公共数据开放实施细则由上海数据交易中心运维建设的开放数据平台（）是中国开放数据资源与行业应用的门户平台，能对已有全国已上线的省级政务开放平台数据资源范围内提供资源搜索服务。数据交易相关概念

10、A Leading PRC Legal Solution Provider9数据供方（卖方）：数据交易中提供数据的组织机构。数据需方（买方）：数据交易中购买和使用数据的组织机构。数据交易服务机构：为数据供需双方提供数据交易服务的组织机构。数据合规评估服务机构数据安全服务机构数据经纪服务机构 数据交易服务平台：为数据交易提供各项服务的信息化平台。数据交易市场的不同主体A Leading PRC Legal Solution Provider10场内交易数据供应方和需求方通过第三方数据交易服务平台（如数据交易所、数据交易中心）进行数据交易。第三方交易平台将制定数据交易流程、合规性评估等方面的管理规

11、范，以保障交易的合法性、安全性。数据交易的不同模式场外交易不经过第三方交易平台进行的交易，相对较为灵活，但由于缺少第三方规则约束和监管，交易风险相对较高。可分为数据供方与需方之间的交易，以及通过专业的数据经纪服务机构（data broker）进行的交易。数据交易流程图，图源：上海数据交易所官网A Leading PRC Legal Solution Provider11数据供方将已完成确权登记的数据产品服务以某种形式形成数据交易标的(比如添加某一种可交易的数据权)后，向数据交易所提交挂牌申请数据交易撮合环节：数据需方通过数据交易所寻得所需的数据产品服务，待交易协议达成后，数据需方可按协议方式获

12、得数据交易标的数据交易所对数据交易标的(如数据产品服务权属交易标的)的交易资格进行认定，交易资格认定通过后，数据交易标的可在数据交易所进行挂牌交易确认后，数据需方获得数据交易所发放的用于证明获取交易标合法性的成交证书，同时，数据交易所将对此次数据交易进行登记备案2341汤奇峰等：数据交易中的权利确认和授予体系场内数据交易基本流程A Leading PRC Legal Solution Provider12民法典从民事基本法的高度确认了对于数据权利(权益)的保护：“法律对数据、网络虚拟财产的保护有规定的,依照其规定。”关于数据权利类型的学理观点债权说：数据的权属从本质上说是一种权利义务关系知识产

13、权说：数据可作为一种新的知识产权客体欧盟：数据库权我国：数据知识产权登记物权说：数据是一种无体物新型权利说：数据权是一种新型的权利（束），在具体的构造上，可能包含数据经营权、数据用益权等。数据的权属A Leading PRC Legal Solution Provider13数据二十条以解决市场主体遇到的实际问题为导向，创新数据产权观念，淡化所有权、强调使用权，聚焦数据使用权流通，创造性提出建立数据资源持有权、数据加工使用权和数据产品经营权“三权分置”的数据产权制度框架，构建中国特色数据产权制度体系。推动建立企业数据确权授权机制。不涉及个人信息和公共利益的数据，市场主体享有依法依规持有、使用、

14、获取收益的权益，保障其投入的劳动和其他要素贡献获得合理回报。理论基础：洛克“劳动赋权论”建立健全个人信息数据确权授权机制。对承载个人信息的数据，数据处理者按照个人授权范围依法依规采集、持有、托管和使用数据。数据的权属A Leading PRC Legal Solution Provider14财产性（大）数据个人信息（原始）加工、汇聚个人信息 数据产品竞争性财产权益、经营资源、竞争优势、商业资源、商业机会、劳动和智力成果原始个人信息数据资源企业权益采集、持有、托管和使用持有、使用、获取收益权益基础用户授权自身合法、诚信经营请求类型停止侵害（基于安全保障义务）停止侵害、损害赔偿（基于自身权益）数

15、据的权属PART 2数据交易的尽职调查A Leading PRC Legal Solution Provider16针对数据交易供需双方的调查企业基本信息主营业务、信用情况、是否存在经营风险等是否取得相应业务资质，包括相关电信业务经营许可近期（三年）受到行政处罚及有关主管监管部门调查及整改情况，特别是数据和网络安全相关情况技术保护措施数据加密技术数据脱敏技术数据泄露防护技术数据安全溯源技术隐私保护技术数据安全管理制度按规定设置安全负责人内部安全管理制度和操作规程数据安全应急预案数据分类分级第三方管理机制是否适用特别的监管要求关键信息基础设施运营者的相关规定特殊类型数据规定行业监管规定(例如医疗

16、健康行业)2341数据交易主体A Leading PRC Legal Solution Provider17法律法规对于特定的数据交易存在限制，以上海市数据条例为例，以下情形不得进行数据交易：危害国家安全、公共利益，侵害个人隐私的；未经合法权利人授权同意的；法律、法规规定禁止交易的其他情形。实践中，上海数据交易所通过“负面清单”的形式，对交易的数据内容作出限制。数据产品中不包含禁止或不宜交易数据，包括：身份信息或直接标识符；私密信息；敏感信息（含重要数据）。数据是否存在流通的障碍或限制数据的可交易性A Leading PRC Legal Solution Provider18数据应用场景是否需

17、要依法取得相关的审批网络安全审查CIIO采购网络产品和服务可能影响国家安全的平台运营者开展可能影响国家安全的数据处理活动掌握100万+个人信息的平台运营者赴国外上市数据安全审查可能影响国家安全的数据处理活动出口管制与维护国家安全和利益、履行国际义务相关的属于管制物项的数据重要数据？共享、交易、委托处理重要数据的，应当征得主管部门同意网络数据安全管理条例（征求意见稿）数据的应用场景A Leading PRC Legal Solution Provider19跨境场景的合规要求重要数据出境：CIIO：原则上境内存储+网信部门安全评估非 CIIO：网信部门安全评估，是否需境内存储有待网信部门进一步规

18、定CIIO+“处理个人信息达到规定数量”的处理者一般个人信息处理者原则上境内存储网信部门安全评估（确需对外提供）以下情形需安全评估经专业机构认证与接收方订立标准合同并向网信部门备案处理100万人以上个人信息出境10万以上个人信息，或1万人以上敏感个人信息个人信息出境：数据的应用场景PART 3交易合同设计及交付机制A Leading PRC Legal Solution Provider21买卖合同：以数据产品为标的物的买卖合同。难以直接适用：数据的所有权暂无明确规定。数据具有“非排他性”，交易完成后，出卖方仍然可能持有作为交易标的物的数据。许可合同：参照知识产权授权许可体系，构建许可合同。适

19、用于知识产权相对明确的数据。大多数场景下，交易的数据是对事物属性的客观记录，而非人们的智力成果。服务合同：将供方提供数据的行为解释为一种数据服务，从而不涉及数据买卖/转让的问题，在条款上设计上可以参照上述两种合同。数据交易合同的类型划分以大数据风控服务场景为例，数据供方的主要义务是为数据需方提供API接口的使用：需方通过API接口提交风险查询请求；供方基于数据源及数据分析能力，返回风险分析结果数据交易合同设计A Leading PRC Legal Solution Provider22相关标准中国电子技术标准化研究院数据资产评估指南中国资产评估协会资产评估专家指引第 9 号数据资产评估数据资产

20、评估指导意见（征求意见稿）全国信息技术标准化技术委员会信息技术 大数据 数据资产价值评估（征求意见稿）成本法：按照重置该项数据资产所发生的成本作为确定数据资产价值的基础，并对重置成本的价值进行调整，以此确定数据资产价值的评估方法。收益法：通过测算该项数据资产所产生的未来预期收益并折算成现值，进而确定数据资产的价值。市场法：在具有公开并活跃的交易市场的前提下，选取近期或往期成交的可比参照物价格作为参考，并调整特异性和个性化的因素，从而得到估值的方法。重点合同条款：数据的定价A Leading PRC Legal Solution Provider23数据供方的保证对于数据来源、内容、权属等合法性

21、的保证提供数据服务的行为不会违反，或导致需方违反适用法律法规数据需方的保证按照双方的约定目的、场景使用数据例如，交易去标识化个人信息的，不应擅自重新识别个人身份个人信息处理者向第三方提供匿名化信息的，第三方不得利用技术等手段重新识别个人身份。个人信息保护法一审稿重点合同条款：陈述与保证A Leading PRC Legal Solution Provider24公司间共享数据的技术机制图源：欧盟委员会Study on data sharing between companies in Europe根据欧盟委员会发布的欧洲内公司间数据共享研究（Study on data sharing betw

22、een companies in Europe），API是欧盟公司共享数据的最首选技术机制（64%）。此外，大约一半的公司使用自有网站（58%）和在线数据库/门户（46%）作为与其他公司共享数据的技术机制。数据的交付方式包括通过平台交付，数据包/数据集传输，API，登录网站/APP查看等。交付机制A Leading PRC Legal Solution Provider25数据的大规模流通严格的数据使用授权提升数据的使用价值privacypolicyInnovation交付机制84数据流通交易的“不可能三角”A Leading PRC Legal Solution Provider26交付机制

23、84个人信息保护法数据安全法等法律提出了严格的监管要求，合规成本高。数据安全事件频发，数据传输、共享过程中的安全难以保障。数据的权属界定不清晰，分享之后容易失去对数据的控制权。数据流通交易的痛点A Leading PRC Legal Solution Provider27交付机制84隐私计算隐私计算（Privacy-Preserving Computation）是指可在保证原始数据加密或者不可见的状态下、对数据进行计算和分析的一系列技术，包括安全多方计算、同态加密、可信执行环境、差分隐私、联邦学习等。Bigdata UN Global Working Group.UN Handbook on

24、Privacy-Preserving Computation TechniquesI.密码学技术：以安全多方计算、同态加密为代表，通过算法对原始数据进行加密或分割，保证数据接收方无法识别。II.可信执行环境（TEE）：基于硬件的防护能力构建一个安全区域，将需要保护的数据汇聚到该区域后进行计算。III.联邦学习(FL)：隐私计算在人工智能领域的最新应用，多个参与方之间无需共享训练数据，只传输模型参数，从而实现在原始数据不离开企业私有域的前提下，进行联合建模。在隐私计算中，原始数据不会离开持有者，各参与方只分享最终的计算结果，实现了数据持有权与使用权的分离，从而可以最大限度挖掘数据要素的价值，为数

25、据融合需求与隐私保护要求提供了解决方案。A Leading PRC Legal Solution Provider2884交付机制隐私计算本身不能解决数据来源的合规性问题，数据提供方需要根据数据的不同来源对数据的合规关注点进行梳理有助于减轻授权同意的合规负担有助于实现一定程度的匿名化有助于企业履行数据安全保护义务，证明自身没有过错有助于“数据最小化”，防止个人信息被滥用隐私计算助力合规共享A Leading PRC Legal Solution Provider29交付机制84隐私计算助力合规共享当启用了最先进的加密技术,且执行了严格的密钥管理,数据接收者无法获取解密密钥,在当前经典计算机的算

26、力下,在一定的时间期限范围内（例如，欧盟PRACTICE项目中为10年）想要破解几乎又是不可能的,则可认为构成匿名化。中国信通院隐私保护计算与合规应用研究报告共享个人信息应事先取得同意，共享去标识化处理的个人信息，且确保数据接收方无法重新识别或者关联个人信息主体的除外。推荐性国标个人信息安全规范隐私计算应与“授权同意”相结合，根据应用场景选择匿名化、基于同意或二者结合的合规基础PART 3数据资源持有企业相关工作A Leading PRC Legal Solution Provider31近期，北京、浙江、江苏多地发布数据知识产权登记相关规范登记数据对象北京市数据知识产权登记办法（试行）数据持

27、有者或者数据处理者依据法律法规规定或者合同约定收集，经过一定规则或算法处理的、具有商业价值及智力成果属性的处于未公开状态的数据集合浙江省数据知识产权登记办法（试行）依法收集、经过一定算法加工、具有实用价值和智力成果属性的数据江苏省数据知识产权登记管理规则(试行)数据资源持有人或处理者对其依法取得的数据进行实质性处理或创造性劳动获得的具有实用价值和智力成果属性的数据集涉及个人信息、公共数据要求北京市数据知识产权登记办法（试行）涉及个人数据、公共数据的，还应对数据进行必要的匿名化、去标识化等情况进行说明，确保不可通过可逆模型或者算法还原出原始数据浙江省数据知识产权登记办法（试行）涉及个人数据的，应

28、当提交依法依规采集、持有、托管和使用的证明；涉及企业数据的，需说明内部数据采集和外部数据采集；涉及公共数据的，应当提供依法依规获取的证明，包括公共数据开放利用协议或授权运营协议等。数据知识产权登记A Leading PRC Legal Solution Provider32登记流程数据知识产权登记A Leading PRC Legal Solution Provider33登记流程登记前的准备工作，通过第三方机构（平台）进行数据存证或公证第一步，通过数据知识产权登记平台提出申请。1.登记对象名称、所属行业。2.应用场景。说明数据适用的条件、范围、对象，清楚反映数据应用所能解决的主要问题；3.结

29、构规模。说明数据结构（数据字段名称、格式）以及数据规模、记录条数等；4.数据来源及数据集合形成时间，说明数据来源属于个人数据、企业数据或公共数据；5.算法规则，简要说明数据处理过程中算法模型构建等情况；6.更新频次。说明数据或者部分数据、部分数据单元的更新频率、更新期限；7.存证公证情况；对已存证的数据说明存证途径、相关存证编号、哈希算法、哈希值等，对保全证据公证的数据说明公证机构（平台）、公证书文号等。第二步，登记平台对登记申请事项进行形式审查（是否存在不予登记的情况），通过后平台会进行公示，期间他人可提出异议并提供必要证据。第三步，公示期无异议或异议不成立的，登记机构将核准申请，并以电子形

30、式签发数据知识产权登记证书，自登记公告之日起3年内有效。届满需要继续使用证书的，应在期满前1个月内办理续展登记，每次有效期为三年。数据知识产权登记A Leading PRC Legal Solution Provider34 数据分类分级是大势所趋，促进数据要素价值释放中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见企业数据资源相关会计处理暂行规定(征求意见稿)数据分类分级是企业的法定义务若分类分级不明确、未尽到数据安全保护义务的，可能直接导致行政处罚网络安全法数据安全法个人信息保护法数据分类分级：将企业所掌握的数据根据法律法规及企业自身实际情况进行分类，并在分类的基础上，根据不同

31、类别数据的重要程度及“灾害后果”严重程度，实施不同级别的管理措施，对可以访问数据的用户需符合实现业务需求的权限最小化原则，特定的用户只能拥有特定的权限，在给予的权限范围内进行操作。宏观角度：微观角度：数据分类分级A Leading PRC Legal Solution Provider35数据资产梳理结构化数据资产梳理非结构化数据资产梳理资产基本信息和相关方形成数据资产清单数据分类明确数据范围细化业务分类业务属性分类确定分类规则数据分级确定分级对象分级因素识别数据影响分析综合评估定级明确分级规则动态更新管理数据分类分级规则更新重要数据、核心数据目录更新数据分类分级清单更新数据分类分级标识更新数据分类：将相同属性或特征的数据按照一定的原则和方法进行归类，进行数据查询、识别、管理、保护和利用。数据分级：根据数据的敏感程度和数据遭到篡改、破坏、泄露或非法利用后的影响程度，按照一定的原则和方法进行定级。数据分类分级扫码前往“合规理想+”公众号