数据交易合规系列研究之九——自行生产数据来源的合法性探析

数据交易合规系列研究之九——自行生产数据来源的合法性探析

李旻律师团队 上海汉盛律师事务所

本系列前两篇文章，已对四种数据来源方式的合法性予以概述，并单独对公开收集数据来源的合法性进行了探析。本文将对第二种数据来源方式：自行生产数据，进行合法性来源探析，借以相关数据规范，讨论自行生产数据在数据交易过程中论证合法来源的标准，供业内人士探讨。

一、概念

在尚无明确的数据来源分类的官方文件的前提下，我们结合数据来源的方式，将其分为了四种，其中公开数据已经给予定义并进行讨论。针对自行生产数据，我们认为，应当是企业自身在经营、科研、生产过程中产生的数据。

以淘宝app为例，淘宝app的日活跃量，活跃时间点等数据是app运营时直接产生的数据，而对于不同地区网购数量数据，是app收集消费者的地址信息后，通过处理而产生的数据。在上述例子中，日活跃量的数据就是自行生产数据，不同地区网购数量数据就是直接收集数据，所以，对于同一载体，其获取的数据也可能是多种类的。对比直接收集数据，自行生产数据的特点在于，其并没有一个外部收集过程，而是由企业设备、软件运营直接反馈而出的数据。

如果要给自行生产数据一个明确的定义的话，我们认为，应当是企业在自身经营、科研、生产过程中，不涉及外部收集行为的，由设备、软件或其他载体，直接反馈出的数据。该类数据在经过简单的加工处理后，即可通过数据包或数据API接口进行数据交易。

二、工业数据和信息化数据

自行生产数据在实务中多体现为工业数据和信息化数据。

工业数据是指工业各行业各领域在研发设计、生产制造、经营管理、运行维护、平台运营等过程中产生的数据。

以国家能源集团神东煤炭为例，该公司13矿14井10145台套设备在持续不断的生产数据，在用测点267996个，存储数据1.4775万亿条，平均每天数据增长20.1667亿条。神东煤炭的生产数据库，具有重要价值，该类数据一旦上架交易，将会为煤炭行业的数字化转型提供重要参考。

信息化数据指的是电信数据和无线电数据，因在交易实务中，无线电数据较为稀少，本文将以电信数据为例。

电信数据是指在电信业务经营活动中产生和收集的数据。我们认为，该处的电信数据应当是泛电信数据的概念，包括基础电信业务和增值电信业务。通俗来说，互联网业务的部分数据也可将之归属于电信数据。

以中国三大电信运营数据为例，下图为中国三大运营商移动、联通及电信发布的2022年1月份的主要运营数据。

三、自行生产数据来源合法性要点探析

（一）数据独立来源

自行生产数据在数据交易中首先要审核的就是数据独立来源。数据独立来源可以从两个角度讨论，一是数据产生的独立，二是数据应用的独立。

数据产生的独立指的是，自行生产的数据出自企业自身经营、科研、生产，不涉及外部收集行为，以上述神东煤炭的数据为例，其生产数据来源均为企业上万台设备所产生的数据，而非通过其他手段或方式从第三方手中获取。

数据应用的独立指的，数据在产生后，数据能够独立于应用或软件程序中独立，不受应用和软件的加密手段限制，也就是说可以以常规状态储存。毕竟数据是通过应用或软件程序内部收集和处理的，该类应用或软件程序，有的企业会自行研发，而大多数的企业都是通过定制化开发或购买第三方成熟软件实现的，这就要求在定制化开发或购买软件过程中，其内部收集的自行生产的数据，企业能够独立掌握，而无需第三方的授权、许可或解密。

若该数据没有独立来源，数据在进入交易市场后，仍要受制于第三方主体或第三方应用，其数据权属将会存疑，影响该数据在交易市场的流通性，从而影响整个数据交易的活力。

（二）数据分级

很多人认为数据分级是企业内部数据合规方面的内容，不会涉及数据交易的问题。我们认为，不同等级的数据，其数据交易时审查界限是不同的，这就要求我们在数据产生及收集阶段就要做好数据分级，以确保后续数据交易过程中数据来源合法。

《工业和信息化领域数据安全管理办法（试行）》（征求意见稿）规定，根据数据遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益等造成的危害程度，工业和信息化领域数据分为一般数据、重要数据和核心数据三级。同时在第九、第十、第十一条分别详细阐述了各级别数据的定义。该文件概括性的将数据进行分类。同时又在其他文件中针对不同领域内的数据分级进行了规定，例如《重要数据识别指南》（征求意见稿）是针对重要数据保护规定；《基础电信企业数据分类分级方法》是电信行业的分类标准；《金融数据安全数据安全分级指南》则为金融行业的标准。

我们认为，不同数据等级在产生和采集时就需要做好数据分级，尤其是针对自行生产数据，因自行生产数据不存在外部收集过程，其数据在经过简单加工处理后即可以数据包的形式上架数据交易市场，若起初并未做好数据分级，则数据交易中的数据存储和数据转移就无法按照相应数据等级进行匹配审查，其上架就可能存在合法合规风险。

（三）数据储存

数据存储属于数据合规范畴的内容，本文讨论的是数据交易合规，故在此仅讨论数据交易中数据存储的问题。《工业和信息化领域数据安全管理办法（试行）》（征求意见稿）规定，存储重要数据和核心数据的，应当采用校验技术、密码技术等措施进行安全存储，不得直接提供存储系统的公共信息网络访问，并实施数据容灾备份和存储介质安全管理，定期开展数据恢复测试。存储核心数据的，还应当实施异地容灾备份。

《办法》对数据交易的影响是巨大的。存储重要数据和核心数据，需要加密并且禁止公共网络直接访问。对于以数据包和数据API形式为主的自行生产数据交易来说，该存储规定虽然一定程度上影响了交易便捷性，但是大大增加了双方的交易安全性，尤其是以API接口这种涉及长期的数据交易模式。

四、总结

我们认为，自行生产数据因为其自身的特殊性，即该类数据的获取并非外部收集的，而是企业内部自身产生的，甚至可以说是和外界封闭的。在来源合法性审查时，需要更多的关注数据本身的合法性，即数据独立、分级和存储等方面，而弱化审查收集手段的合法性。以上仅讨论了自行生产数据来源合法性的问题，并简略提及数据存储对数据交易的影响，对于数据在后续交易过程中的流通、转移、追索等方面，我们会在后文继续探讨。