数据授权协议如何核查第三方来源和授权链?
涉及第三方来源数据时,应核对提供者取得和提供数据的依据、数据属性、上游授权范围与转授权限制、交付和处理关系、退出安排及证明材料,不能只写“授权使用”。
数据授权协议里只有“甲方授权乙方使用数据”一句,无法说明甲方是否有权取得第三方数据、是否有权继续提供,以及上游是否允许当前用途。
吕箐翎律师的判断是:第三方来源数据的授权链要从“数据从哪里来”一直核到“本项目准备怎样用”。提供者的取得依据、数据属性、上游授权边界、实际交付和退出责任没有逐项对应时,结论只能是授权链存在待核缺口,不能因为合同中有权利保证就直接认定数据有明确权属、属于合法来源,或者可以用于训练、交易。
先核提供者凭什么取得和继续提供
应先确认数据提供者是自行采集、受他人委托处理、从合作方取得,还是从其他渠道汇集。随后核对其取得数据时的文件是否允许继续向本项目提供。能够占有文件、管理数据库或提供下载接口,只说明其事实上控制数据,不当然说明其具有完整的下游授权权限。
提供者作出的“来源合法”“有权授权”等合同保证可以分配责任,但不能替代上游合同、授权文件、采集说明或其他能够证明取得与提供依据的材料。材料暂时无法取得时,应把缺口标记到具体数据和具体权限,而不是用一项总括保证覆盖全部数据。
把数据类型、相关权利和个人信息属性拆开
第三方数据可能同时包含事实记录、文本或图片内容、受保密约束的信息以及个人信息。审查应明确每类数据是什么,可能涉及哪些权利或合同限制,是否包含个人信息或敏感个人信息,再判断提供者现有材料实际覆盖哪一层。
《中华人民共和国个人信息保护法》要求个人信息处理具有相应基础,并根据具体关系核对处理目的、方式、种类、期限、保护措施和双方权利义务。因此,即使上游合同写有“数据授权”,也不能据此跳过个人信息处理基础与处理关系审查。
将上游授权边界与本项目用途逐项比对
上游材料应能说明授权目的、使用范围、期限、地域,以及是否允许转授权。当前项目还要明确准备如何使用:仅内部分析、提供特定服务、用于模型训练,还是作为交易标的交付。上游只允许某一目的或特定主体使用时,不能由下游协议自行扩张为其他用途或向更多主体提供。
《中华人民共和国民法典》关于技术合同的规则,可以支持核对合同标的、范围和要求、履行方式、技术资料保密、成果归属等一般边界;但下游合同写得完整,并不能补足上游没有授予的权限。期限或地域能够对应,也不代表目的和转授权限制已经同时闭合。
交付、处理和退出安排要符合真实数据流
协议应说明数据通过文件、接口还是系统访问交付,哪些主体实际接收,个人信息处理关系如何安排,以及访问控制、安全措施和审计记录由谁负责。书面上写“仅限授权方使用”,但实际账号向其他主体开放,仍说明合同与真实数据流存在差异。
还应核对数据更新由谁通知、什么情况下停止提供,以及相应的删除、返还或访问终止路径和责任如何记录。这些条款只说明双方拟怎样处理更新和退出,不证明特定删除义务已经触发,也不证明现有系统已经完成相应动作。
第一轮形成授权链对应表
可按每类第三方数据记录提供者、上游来源、取得与提供依据、数据属性、目的范围期限地域、转授权限制、当前用途、交付方式、处理关系、安全措施、更新退出安排和对应证明材料。相同事项可以由不同材料相互闭合,不要求机械地对应某一种文件名称。
如果某一项缺失,应明确是取得依据、提供权限、用途范围、转授权、处理关系还是退出责任尚未证明。补齐前只能保留授权链缺口,不能把数据提供者的承诺直接升级为权属、合法来源、训练许可或交易资格。