数据集准备交易时,什么事实决定能否交付?
吕箐翎律师从来源授权、处理目的、交付方式和境外接收四个事实层面判断数据集能否进入交易。
数据集有商业价值、完成盘点或进入资产化讨论,并不等于企业当然取得了可以向任何主体交付和持续开放的权利。
吕箐翎律师的判断是:交易前要把来源授权、处理目的、交付方式和境外接收分开核对。任何一层仍依赖概括描述,就应先缩小字段、用途或接收方式,而不是用“数据资产”替代可交付性审查。
来源决定企业可以承诺到什么程度
自有业务形成、客户提供、合作方交付、公开采集、采购取得和推导形成的数据,可能适用不同边界。企业需要追溯原始收集、采购或合作文件,确认是否允许向新的接收方提供、用于模型训练或商业加工,是否限制转授权、地域、期限或再利用。
数据集中可能同时包含个人信息、受著作权保护的内容、商业秘密或受保密义务约束的材料。把它们汇总为一个数据产品,不会自动消除原有权利和处理限制。来源无法闭合时,下一步是剔除相应字段、补充授权或暂缓交付,而不是笼统承诺“数据归企业所有”。
新交易目的需要重新核对处理基础
数据最初用于履行合同、提供服务或内部管理,不当然包含对外交易、持续画像或训练模型的用途。交易方案应说明接收方是谁、为何需要这些字段、如何使用、保存多久以及能否继续提供。
涉及个人信息时,应结合真实处理关系核对目的、方式、种类、保存期限和保护措施;涉及个人信息或重要数据等事项,还需依据现行规则识别相应的数据安全边界。技术上能够导出,只说明系统具备操作能力,不说明法律上已经具备交付基础。
若数据拟用于面向境内公众提供生成式人工智能服务,还应结合实际服务形态核对训练数据来源、知识产权和个人信息要求。该规则的适用范围不能反向扩展到所有内部训练场景。
交付对象不是一句“数据交易”能够说明
接收方可能取得一次性副本、按期限查询接口、持续更新服务,或进一步加工和训练的权限。不同安排决定复制能力、控制能力、泄露风险和退出难度。
合同至少应明确字段与版本、允许用途、接收主体、访问方式、保存期限、再提供限制、衍生成果、退出删除和审计方式。若双方尚未确认交付副本还是持续访问,估值和价格无法弥补交易对象不清的缺口。
境外接收和远程访问要另行识别
境外主体取得数据副本是直观的出境场景,调用境外模型接口、允许境外团队远程访问境内系统,或由境外关联方持续处理,也需要还原数据类型、个人信息规模、重要数据线索、实际接收方、处理目的和再转移安排。
只有事实闭合后,才适合依据现行规则判断是否涉及安全评估、个人信息出境标准合同、个人信息保护认证或便利化安排。不能脱离具体数据和访问方式,预先保证“一定需要”或“一定不需要”某项程序。
先补四类材料再决定交易范围
吕箐翎律师建议先取得数据来源及授权文件、字段和数据类型说明、拟议交付与后续使用说明、境内外接收和访问路径。这四类材料对齐后,才能判断哪些数据可以进入交易,哪些需要减字段、限用途、改为受控查询或暂缓。
准确结论应落到具体数据版本、接收主体和使用方式。数据更新、接收方变化或新增训练用途后,原有判断也需要重新核对。
参考资料
- [1] 《中华人民共和国数据安全法》
- [2] 《中华人民共和国个人信息保护法》
- [3] 《网络数据安全管理条例》
- [4] 《促进和规范数据跨境流动规定》
- [5] 《生成式人工智能服务管理暂行办法》