数据集进入资产化和交易前,先核哪四道边界?
吕箐翎律师从数据来源、处理基础、可交付范围和跨境路径四个层面,说明企业为何不能把数据集已盘点或已入表直接等同于可以交易。
数据集被盘点、计量或纳入资产化讨论,不等于企业当然取得完整所有权,也不等于可以直接交易。
吕箐翎律师的个人判断是:企业准备把数据集用于转让、许可、联合运营、模型训练或持续接口服务时,应先把来源权利、处理基础、可交付范围、跨境路径分开核查。任何一层仍靠推定,交易条件就还没有形成。
第一道边界:数据从哪里来,企业凭什么继续使用
先按来源拆分数据集,而不是只看汇总后的数据产品名称:自有业务形成的数据、客户或用户提供的数据、合作方交付的数据、公开渠道采集的数据、采购数据和推导数据,权利与合规基础可能完全不同。
这里需要回答的不是抽象的“数据属于谁”,而是更具体的三个问题:
- 原始收集、采购或合作文件允许哪些处理目的;
- 当前企业是否有权把数据交给新的接收方,或允许其继续加工、训练和再利用;
- 数据集中是否混入第三方享有著作权、商业秘密或其他权益的材料。
《数据安全法》要求数据处理活动履行相应的数据安全保护义务。涉及个人信息时,还要按照《个人信息保护法》单独核对处理目的、方式、种类、保存期限以及委托处理、共同处理或向其他处理者提供等法律关系。不能因为数据已经汇总成“数据集”,就跳过原始来源和授权链。
第二道边界:原来的处理基础能否覆盖新的交易目的
数据最初为了履行合同、提供服务或内部管理而收集,不当然意味着可以进一步用于对外交易、模型训练或商业画像。交易用途与原用途不一致时,应重新判断处理目的、必要性、告知同意或其他适用基础,以及是否需要去标识化、限制字段或改变交付方式。
《网络数据安全管理条例》进一步要求网络数据处理者关注分类保护、风险管理以及个人信息和重要数据等边界。对企业而言,这意味着“技术上可以导出”不是“法律上可以交付”的充分理由。
如果数据集拟用于面向公众的生成式人工智能服务,训练数据来源合法性、知识产权和个人信息处理还需要结合《生成式人工智能服务管理暂行办法》另行判断。该规则只适用于其法定范围,不能反向推定所有内部模型训练都适用同一结论。
第三道边界:交易交付的到底是什么
“数据交易”至少可能包含四种不同安排:
- 一次性交付数据副本;
- 按期限开放查询或接口;
- 持续更新的数据服务;
- 允许接收方加工、训练并形成衍生成果。
这四种安排对应的复制能力、控制能力、泄露风险和退出难度不同。合同应明确数据字段和版本、允许用途、接收主体、访问方式、保存期限、再提供限制、衍生成果使用、退出删除和审计机制。若交易双方连交付对象和持续访问方式都没有说清,估值和价格并不能弥补可交付性的缺口。
第四道边界:是否存在数据出境
境外接收方取得数据副本,只是最直观的数据出境场景。使用境外模型接口、允许境外团队远程访问境内数据,或者由境外关联方持续处理,也可能需要先识别出境方式、数据类型、个人信息规模、重要数据、处理目的和再转移安排。
完成这些事实识别后,才能依据《促进和规范数据跨境流动规定》等规则,判断是否涉及安全评估、个人信息出境标准合同、个人信息保护认证或适用的便利化路径。不能脱离具体数据和出境方式,直接断言某项交易“一定需要”或“一定不需要”某一种程序。
吕箐翎律师建议先补的材料
如果现在还不能下结论,先补四类最小材料:数据来源及授权文件、字段和数据类型说明、拟议交付与后续使用说明、境内外接收和访问路径。四类材料对齐后,再判断哪些数据可以进入交易,哪些需要缩减字段、调整交付方式或暂缓。
政策层面对高质量数据集建设的持续关注,说明数据集开发利用具有现实价值;但政策动向本身不提供具体数据的权利来源,也不替代现行法律下的处理和交易审查。
主要依据
参考资料
- [1] 《中华人民共和国数据安全法》
- [2] 《中华人民共和国个人信息保护法》
- [3] 《网络数据安全管理条例》
- [4] 《促进和规范数据跨境流动规定》
- [5] 《生成式人工智能服务管理暂行办法》