您的位置:

金州动态

《数据二十条》政策背景下企业征信机构数据合规的要点探讨

作者:超级管理员 时间:2023-05-24 浏览:1314

微信图片_20230524152022.png


近日,《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称“数据二十条”)对外发布,从数据产权、流通交易、收益分配、安全治理等方面构建数据基础制度,提出20条政策举措。“数据二十条”的出台,将充分发挥中国海量数据规模和丰富应用场景优势,激活数据要素潜能,做强做优做大数字经济,增强经济发展新动能。“数据二十条”作为全球第一份系统构建数据基础制度的政策文件,意义重大、影响深远,结合该政策背景以企业征信公司的数据产品运营为例,对数据生产要素的合规问题进行分析和探讨。


一、 数据的权属与权益

数据权属,是以数据为标的物的所有权,学术界对这个问题一直有不同认识,但这些年随着数据产业发展的实践,对于数据的权属与权益问题的观点也在逐渐趋同。基于传统物权理论中的权利绝对性、排他性、永续性,对于新型的“可复制”“无形”,容许多个主体同时占有、控制的数据而言,无法当然适用“数据主体天然对自己产生的数据享有所有权”,因此,亦有观点认为数据是一种公共资源,数据权属于国家。“数据二十条”提出探索数据产权结构性分置制度,并主张区分公共数据、企业数据、个人数据,建立分类分级确权授权制度。这一要求是以主体为标准对数据的性质进行了界定,进而根据来源主体性质的不同对数据要素的利用进行区分。因而,界定数据作为一种财产形式的权利属性问题是理解“数据二十条”的第一步。

以企业在金融机构留下的收支流水数据为例,其数据形成基于企业在银行交易过程中所留下的收支记录痕迹,这些信息条经过各银行汇总形成的数据经过人民银行的清洗、加工形成收支流水数据库,对于此类大数据的权属问题在实践中存在着较大分歧和争议。这些收支流水数据所记载的信息主体为各个企业,但对此类数据汇总形成的征信产品是否可以成为独立的、可合法交易的标的物,对此有着截然相反的观点和态度。目前我国立法尚未就数据权属作出明确的规定和界定,但值得思考的是对数据确权并不是唯一可供探讨的路径,正如同包括上海、深圳等在内的多地的地方立法精神一样[1],搁置关于数据权属问题,从确认主体对数据产品、服务享有财产权益,即享有数据权益的角度出发,明确权益主体从而延伸至如何让数据经营者获得授权也逐渐成为实践中解决数据合规问题的最佳方案。


二、 数据权益的归属

仍以企业的银行流水数据为例,尽管相关数据的信息主体为企业,但这种数据仅是企业自身生产经营的附带品,任何某个企业对单个数据也无法直接产生任何经济利益,如果直接将此类数据的权属归属于信息主体,那对于数据要素的开发利用而言会从制度上形成极大的壁垒和障碍,因此对此类数据完全可以通过承认加工企业拥有权益方式加以保护。“数据二十条”提出,对各类市场主体在生产经营活动中采集加工的不涉及个人信息和公共利益的数据,市场主体享有依法依规持有、使用、获取收益的权益。在《深圳经济特区数据条例》第四条中亦有规定,自然人、法人和非法人组织对其合法处理数据形成的数据产品和服务享有法律、行政法规及本条例规定的财产权益。与此同时,学界也认为,“数据控制者是企业数据权益的主要享有者和数据保护义务的承担者”[2]。企业在银行所形成的收支流水数据,企业并没有参与流水数据的收集和整理,流水数据的实际控制人属于金融机构,根据“数据二十条”提出的“谁投入、谁贡献、谁受益”原则,金融机构享有企业流水数据的数据资源持有权也符合现行实践中的数据权益归属的原则。


三、 数据“三重授权原则”

由于我国长期以来在数据竞争方面的立法滞后,法院在面临大量的企业之间的数据争夺案件时通过司法创造,最终在新浪微博诉脉脉案的二审民事判决书中明确了企业数据获取“三重授权原则”。该案中北京知识产权法院在该案二审过程中认为,数据获取企业在通过开放平台数据获取协议模式获取数据时,应当获得“三重授权”。第一重授权是作为数据主体的用户对数据持有企业(数据控制者)的授权,即用户允许数据持有企业向数据获取企业共享数据。第二重授权是作为数据共享让渡方的数据持有企业的授权,即数据持有企业允许数据获取企业获取数据。在此环节,双方主要是通过签订开放平台数据获取协议的形式明确双方数据共享的具体范围及各自权利义务的内容。第三重授权是数据主体对数据获取企业的授权,即数据主体允许数据获取企业处理、控制和使用其获取的来自数据主体的数据。

640.png

从方法论的视角来观察,司法机关在创制企业数据获取“三重授权原则”时,本身就试图去构建一种以合同为基础、基于数据主体和数据持有企业充分意思自治的数据安全保护机制。“三重授权”蕴含了数据持有企业的单方授权,这对数据获取企业获取数据具有决定性意义[3]

因此,征信机构在多平台数据的流转和使用时,可以灵活运用“事前授权”+“事后追认”的授权方式,明确公示、告知信息主体的授权查询范围、征信报告内容、信息计算权重等内容,按照“三重授权原则”获取数据获取数据持有者和信息主体的授权。


四、小结

如上所述,在“数据二十条”政策背景下,涉及较多数据要素的企业征信公司在业务开展的的过程中的确存在着包括数据来源合规性和数据安全合规性方面的法律合规风险,今后还需密切关注“数据二十条”相关实施细则和其他规范性文件中对相关问题的进一步规定,以保证征信业务的合法合规运营。


[1] 《深圳经济特区数据条例》,2022年1月1日实施。

[2] 《大数据时代企业数据权益保护论》,周樨平,法学,2022年第5期,第166页。

[3] 《个人数据携带权与企业数据获取“三重授权原则”的冲突与调适》刘辉,政治与法律,2022年第7期,第117页。


Copyright © 1988-2024 湖南金州律师事务所 版权所有 ICP备案:湘ICP备20010741号 技术支持:长沙网站建设

关注我们 关注我们
电话:0731-85012988
   0731-85012987
投诉:0731-85012983