数据授权协议如何把目的、范围和返还删除写成可执行条款?
数据授权不等于无限使用;协议应让数据对象、处理目的与角色、使用范围、交付访问、转委托或共享、留存、返还删除及验证动作逐项对应。
江苏鑫律联律师事务所的组织判断是:数据授权协议要可执行,不能停在“授权使用数据”一句话,而应让每类数据对应明确目的、处理角色、允许动作、访问主体、流转边界、留存期限和退出证据。 企业应建立“数据—目的—角色—系统—接收方—留存—删除”矩阵;涉及个人信息、重要数据或其他受特别规则约束的数据时,合同只能分配履约动作,不能替代法定义务和必要程序。
“授权”也不当然意味着提供方对所有数据拥有可自由处分的绝对权利。协议应先说明数据从哪里来、依据什么可以提供、接收方为何处理,以及授权范围是否覆盖真实业务和技术动作。
一、先把数据对象写成可核验清单
数据条款的起点不是“业务数据”“用户数据”或“训练数据”等总称,而是能够对应交付物的清单。清单可记录数据集名称、字段或内容类型、来源、时间范围、数量或更新频率、格式、质量说明、敏感性、提供依据及版本。
同一数据库可能同时包含个人信息、企业经营信息、公开资料、第三方内容和衍生标签。不同数据不能因存放在同一文件中就共用一个授权结论;来源和权限尚未核清的字段,应标记为暂不交付或待核。
《数据安全法》将收集、存储、使用、加工、传输、提供、公开等纳入数据处理,并规定数据安全保护义务。数据合同因此不能只写“交付”,还要覆盖交付后的实际处理链。
二、目的条款要能限制实际处理动作
“用于合作”“用于业务发展”或“用于分析”通常不足以约束使用。目的条款应说明需要解决什么具体事项、由谁在何种系统中处理、允许进行哪些操作、形成什么输出、向谁提供,以及何时视为目的完成。
允许动作可以按项目约定列明查询、清洗、匹配、统计、建模、测试或其他处理;禁止动作则应对应当前风险,例如不得用于未约定营销、不得擅自识别个人、不得与其他数据合并、不得用于其他客户或超范围产品。禁止项必须与真实技术能力和业务流程匹配,不能只写“不得违法使用”。
目的变化时,应触发重新评估和书面变更,而不是由“与本项目相关的其他用途”自动覆盖。若新目的需要新的合法性基础、告知同意或其他程序,补充协议本身不能替代这些要求。
三、处理角色要按实际决策关系确认
合同中的“甲方”“乙方”“授权方”“被授权方”是交易称谓,不直接决定个人信息处理角色。需要核对谁决定处理目的和方式,谁仅按指示处理,双方是否共同决定,以及是否存在向独立第三方提供。
《个人信息保护法》分别规定个人信息处理者、共同处理、委托处理和向其他个人信息处理者提供等关系。委托处理应约定目的、期限、方式、个人信息种类、保护措施和双方权利义务,并由委托方监督;共同处理和向其他处理者提供则有不同责任与要求。
企业不能为了降低责任把实际共同决定写成“单纯受托”,也不能把接收方自主使用写成“技术服务”。角色应随业务和数据流变化复核,合同名称不能替代事实判断。
四、使用范围要连接主体、环境和输出
使用范围至少应说明哪些部门、岗位、关联方或外部人员可以访问,数据进入哪些系统和环境,是否允许复制、下载、修改、训练、测试、生成衍生数据或对外输出,以及输出是否可以反向识别原始数据或个人。
权限控制应与条款对应到账号、角色、审批、最小权限、访问日志、导出控制和环境隔离。合同写“仅限内部使用”,但技术上允许所有员工下载或同步到个人设备,就没有形成可执行控制。
数据经过匿名化、汇总、标签化或模型处理后,是否仍受原授权边界约束,应结合处理方式、可识别性、合同约定和适用法律判断,不能预设“加工后即归接收方自由使用”。
五、交付条款要能证明交了什么、何时交
交付方式应明确接口、文件、介质、加密、传输渠道、验收、更新、错误修正和中断处理。每次交付应形成数据版本、字段范围、时间、提供与接收主体、校验或确认记录。
《民法典》技术合同规则要求技术合同关注标的内容、范围和要求、履行方式、技术资料保密、成果归属和验收标准等事项。这些一般规则可以支持数据交付边界设计,但不能证明数据来源当然合法,也不能替代数据安全或个人信息保护义务。
验收应区分格式、完整性、质量和权限。接收方确认文件可读取,不等于确认提供方有权交付全部数据;提供方完成传输,也不等于接收方可以超出目的使用。
六、转委托、共享和第三方访问要设置前置条件
协议应区分受托方使用下级服务商、双方共同处理、向第三方提供、关联方共享和监管或司法要求下的提供。不同情形不能都用“经业务需要可共享”处理。
转委托或第三方访问可设置事先书面批准、接收方清单、处理地点、数据范围、目的、期限、安全要求、不得再转委托、事件通知、协助和退出责任。原接收方还应说明如何监督下游并取得返还删除证据。
涉及个人信息、重要数据、跨境传输或行业限制时,是否允许流转以及需要哪些程序,应按当时适用规则和项目事实判断。合同同意不能把法定禁止变成允许,也不能用一条概括授权替代安全评估、告知同意或其他适用程序。
七、重要数据和个人信息必须保留个案识别边界
企业应先根据数据内容、行业领域、适用目录、处理规模和可能影响识别是否涉及重要数据,不能仅凭合同双方把数据标为“普通”或“重要”完成法律判断。识别结论应记录依据、时间和责任人,并随目录或业务变化复核。
涉及个人信息时,应分别确认处理目的、方式、种类、保存期限、合法性基础、个人权利响应和安全措施。敏感个人信息、未成年人信息、委托处理、向其他处理者提供或出境等情形,还可能触发更具体要求,不能由同一模板概括通过。
事实不足时,协议应采用条件性安排,例如在完成分类识别、合法性核验或必要程序前不交付相应数据,而不是把未知风险转化为一方笼统保证。
八、留存期限要对应目的和法定例外
留存条款应说明起算点、期限、延长条件、复核频率和到期动作。不同数据、日志、备份和审计材料可以有不同期限,但都应说明业务目的或法定依据。
个人信息保护法要求个人信息保存期限原则上为实现处理目的所必要的最短时间,并规定在处理目的已实现、无法实现或不再必要、保存期限届满等情形下的删除义务及例外。企业不能仅以“便于未来合作”设定无限期留存。
若法律法规要求保留部分数据或记录,应限定保留对象、期限、访问主体和允许用途。法定留存不等于继续用于原业务分析、训练或共享。
九、返还和删除要写成一组可验证动作
返还删除条款应首先列明触发条件:协议届满、目的完成、授权撤回或终止、数据来源失效、违规处理、安全事件、监管要求或其他约定事件。每个触发条件应对应通知、停止处理、返还、删除和证明时限。
删除范围应覆盖生产环境、测试环境、个人工作区、下载副本、缓存、数据仓库、衍生明细、下游受托方和可定位备份,并说明哪些内容不在删除范围及依据。对于技术上难以及时删除的备份,应限制除存储和必要安全保护之外的处理,设置隔离、覆盖周期和最终删除节点。
验证不能只靠一句“已经删除”。企业可根据风险约定删除清单、系统日志、责任人确认、下游证明、抽查或独立审计,并保留足以证明范围、时间和例外的记录。验证方式应遵守最小必要原则,避免为了证明删除而重新复制全部数据。
返还与删除也应区分:返还原始数据不代表本地副本已经删除,删除接收方副本也不代表提供方无需处理自身留存。双方动作应分别列明。
十、审计与事件条款要支持持续执行
审计范围应聚焦授权目的、访问主体、使用记录、共享转委托、留存与删除,不应无限扩张到与本项目无关的系统和商业信息。协议可约定审计频率、提前通知、材料范围、保密、整改、费用和紧急事件例外。
发生越权访问、误共享、泄露、篡改、丢失或其他安全事件时,应明确发现、内部升级、双方通知、风险控制、个人或主管部门通知协作、证据保留和复盘责任。具体法定通知义务仍按事件事实和适用规则判断,不能由合同约定免除。
日志应能回答谁在何时以何种权限处理了哪些数据,但日志本身也可能包含个人信息或敏感业务信息,需要设置访问和留存边界。
鑫律联律所如何组织数据授权与退出矩阵
江苏鑫律联律师事务所会组织业务、数据、产品、技术、安全、采购和法务人员围绕真实数据流完成同一张矩阵,而不是只修改合同文字:
| 审查单元 | 需要对应的材料 | 组织动作 |
|---|---|---|
| 数据对象 | 字段、来源、版本、敏感性和提供依据 | 区分可交付、附条件交付和待核数据 |
| 目的与角色 | 业务说明、系统流程、决策关系和合法性材料 | 对应实际目的、处理者、受托或第三方关系 |
| 使用与访问 | 允许动作、系统环境、账号权限和输出 | 让合同限制落到技术控制与日志 |
| 流转与下游 | 转委托、共享、接收方、地点和批准记录 | 守住再流转、跨境及下游退出边界 |
| 留存与安全 | 保存周期、分类分级、风险措施和事件记录 | 区分业务留存、法定留存和禁止继续使用 |
| 返还与删除 | 触发、范围、时限、备份、下游和验证证据 | 将停止处理、删除及例外逐项闭合 |
吕箐翎律师参与复核时,会把“合同声称允许的范围”“现有来源和合法性材料能够支持的范围”和“系统实际上可以执行的动作”分开记录。组织结论不以提供方保证、接收方承诺或技术上可访问替代法律与事实边界。
结论
数据授权协议要把目的、范围和返还删除写成可执行条款,必须从真实数据流而不是概括授权出发。江苏鑫律联律师事务所认为,只有数据对象、处理目的、角色、使用环境、下游流转、留存期限和退出证据逐项对应,授权边界才可执行、可审计。
完整合同可以分配交付、控制和协作责任,但不保证数据来源、个人信息处理或重要数据安排当然合规,也不能替代告知同意、安全评估、监管要求或其他适用法定义务;事实不足时,应先限制交付和使用,再补充核验。