4月27日,「贵阳发布」微信公号宣布:全国首笔个人数据合规流转交易在贵阳大数据交易所场内完成,此笔交易各环节全程接受监督管理,是贵阳大数据交易所促进个人数据合规使用、规范交易、合法收益的创新实践,探索B2B2C(网络购物商业模式)数据交易全新商业模式,让个人数据实现可持有、可使用、可流通、可交易、可收益,从而为数字经济高质量发展和人力资源市场注入新活力。
在这宗数据交易中,个人用户在知情且明确授权的情况下,委托好活(贵州)网络科技有限公司(简称“好活”)利用数字化、隐私计算等技术采集个人简历数据,并进行加工处理,以保障个人隐私和确保数据的可用性和不可见性。通过贵阳大数据交易所的“数据产品交易价格计算器”和好活的简历价格计算模型及应用场景,对个人简历数据进行交易估价参考。
在该项目中,个人用户授权好活经营其个人简历,将其转化为数据产品,数据中介机构贵州吾道律师事务所对该款数据产品进行法律审查并出具法律意见书。好活将该个人数据产品上架在贵阳大数据交易所上,在就业服务场景下,用工单位可在平台上购买个人简历数据。最终,个人用户通过平台获得其个人简历数据产品交易的收益分成,实现边找工作边挣钱的目标。
贵数所个人数据合规流转的交易流程图▵
作为最重要、最具有应用价值和流通价值的数据要素之一,个人数据兼具的财产属性和人身属性使其难以被简单的交易规则所概括。而随着《个人信息保护法》《数据安全法》等基础法律制度的健全完善,以及“数据二十条”中对于数据资源持有权、数据加工使用权和数据产品经营权“三权分置”数据产权制度的明确,个人数据的应用流通将成为行业趋势。
目前各大数据交易所交易的对象仍主要是商业市场数据,除贵数所外,都暂未涉及个人信息相关数据。此次交易不仅是业务创新尝试,还为国家在个人数据合规流转、流通交易方面提供了经验样板。具体而言,涉及个人数据交易的 几个重点法律问题 如下:
1、交易数据的类型:个人原始信息VS个人数据集
个人原始信息是指用户在网站注册或者使用服务时提供的个人基本信息,如姓名、性别、年龄、联系方式等,这些信息通常是散乱的、不具备可分析性的。而个人数据集是指经过加工和处理后,形成有结构、可分析、可挖掘的数据集,如消费记录、健康数据、社交媒体数据等。个人数据集比个人原始信息更有商业价值,因为它们能够为企业提供更加精准的营销、服务和决策支持等。然而,个人数据集也更容易引发隐私问题,因其可能包含大量敏感信息,如医疗记录、财务记录等。
2、交易标的:数据产品VS数据服务
数据产品是指通过对个人数据集的加工和加值,形成的可以直接提供给终端用户使用的数据产品,如基于消费者个人偏好数据集开发的个性化推荐产品、基于个人信用评估数据集开发的信用风险评估产品等。而数据服务则是指企业或平台以提供数据服务的方式来实现个人数据价值的实现,如数据咨询服务、数据分析服务、数据安全服务等。个人数据服务通常是以定制化的方式提供给企业或组织使用,以满足不同行业和企业的不同需求。
3、权利类型:数据资源持有权、数据加工使用权和数据产品经营权
数据资源持有权指的是对数据的所有权或拥有权,即数据的原始来源者或授权者拥有的权利。数据加工使用权指的是在持有数据资源的前提下,对数据进行加工、处理、分析等行为的权利。数据产品经营权则指的是在持有数据资源和进行加工使用的前提下,将数据产品推向市场、开展营销等经营行为的权利。这些权利涉及的主体包括个人用户、数据加工处理方和数据产品经营方。个人用户拥有数据资源持有权,数据加工处理方拥有数据加工使用权,数据产品经营方则拥有数据产品经营权。在个人数据交易中,这些权利的分配与转移将直接影响到数据交易的合法性和合规性。
4、合规审查要点:来源合法、目的合法,制度完善、有安全保障措施、有个人信息主体行权途径
第一,数据来源必须合法,即应从个人信息主体明示授权或合法来源获取,且不得存在侵犯个人信息权益的情形。
第二,交易目的必须合法,即不得违反法律法规、社会公共利益、公共道德或侵犯他人合法权益。
第三,交易中应有完善的制度和管理规定,包括明确的数据使用规则、风险管控机制和责任追究机制。
第四,应采取必要的安全保障措施,确保个人数据的保密性、完整性和可用性。
第五,应为个人信息主体留有行权途径,包括信息主体访问、修改、删除、注销等权利。
5、法律意见书的结论:数据来源合法、具备可交易性及流通性、交易不违反现行法律和行政法规的强制性规定
个人数据交易法律意见书是律师事务所为交易各方提供的法律意见和建议。该意见书结论主要包括三个方面的要点:首先,个人数据的来源必须合法,否则交易将不符合法律要求。其次,数据必须具备可交易性及流通性,即数据产品能够被市场接受并流通交易。最后,交易不能违反现行法律和行政法规的强制性规定。这些结论都需要律师根据国家相关法律法规和政策进行调研和分析,从而为个人数据交易提供法律支持和保障。
6、高频风险点:数据泄露、数据滥用、场外交易
风险点一是数据泄露,是指未经授权而意外或故意披露个人数据、导致个人信息被第三方获取;可能会导致个人隐私受到侵犯,例如身份盗窃、诈骗等。
风险点二是数据滥用,是指数据被未经授权的第三方使用、用于未经授权的行为;可能会导致数据主体的个人隐私、财产权和商业利益受到损害。
风险点三是场外交易,是指在个人数据交易平台以外进行的交易,这些交易可能没有经过平台的审查和监管;可能导致数据的来源不明,买卖双方无法得到法律保护,从而面临一系列的风险。
7、新技术应用——隐私计算
个人数据交易大量涉及用户个人隐私信息,为保护用户隐私,隐私计算技术被引入到数据加工处理中。隐私计算技术是一种加密计算技术,可在保证数据安全性的前提下,实现数据的计算和共享。与传统计算方式不同的是,隐私计算技术在不泄露原始数据的情况下进行计算,只输出计算结果,保障了数据的安全性和隐私性。在个人数据交易中,隐私计算技术可以应用于数据的加密、脱敏处理等环节,避免了敏感信息的泄露和滥用,为个人数据交易提供了更高的安全性和可靠性保障。
1、个人数据交易将成为未来数据交易市场的重要组成部分
首先,随着技术进步,数据的加密和保护能力将进一步提高,数据安全将更有保障,从而推动个人数据交易市场的发展。其次,数据交易的需求(包括市场调研、广告投放、金融风控等领域的需求)将会不断增加,个人数据交易的规模和市场份额也将进一步扩大。最后,随着监管环境的进一步完善,个人数据交易的风险和隐患将会得到有效控制,从而更好地保护用户的权益和隐私。
2、多主体高效合作的交易机制将成为数据要素市场的主流
数据交易所、科技公司、律师事务所等主体之间的合作将不断加强,其中数据交易所是数据交易的平台和中介,为双方提供数据交易的服务。科技公司可以为数据交易所提供技术支持和数据加工处理的能力,从而帮助交易双方更好地理解和利用数据。律师事务所则可以提供法律咨询和法律支持,帮助交易双方确保交易合法合规。
3、技术与法律融合将进一步解决数据交易的具体合规问题
一方面,数据安全、隐私保护等技术手段的不断创新将为个人数据交易提供更加高效、安全的交易方式,例如隐私计算、区块链等技术应用;另一方面,法律法规也在不断完善,对于个人数据的收集、使用、存储等方面都有了更加明确的规定,例如《个人信息保护法》等新出台的法律,这些法律将进一步保护数据主体的合法权益。
4、智能合约或将解决数据交易中多个主体的收益分配难题
智能合约是一种基于区块链技术的自动化合约,具有不可篡改、透明、自动执行等特点,可以在个人数据交易中发挥重要作用。未来,交易的参与主体将更加多元化,涉及的利益分配问题也将更加复杂。在这种情况下,智能合约可以为数据交易中的各方提供更加公正、透明、高效的交易合约,并通过自动化执行合约中约定的各项规定,解决数据交易中多个主体的收益分配难题。
1、建立合规管理体系
首先,制定详细的个人数据交易政策和规定,明确数据交易的范围、流程、目的和法律法规要求,并确保其符合相关法律法规和行业标准。其次,建立数据分类和风险评估机制,对涉及个人数据的交易进行风险评估和分类,以便采取相应的安全措施。再次,建立培训和教育机制,加强员工对个人数据保护和合规管理的认识和意识,提高员工保护个人数据的能力和水平。
2、加强数据安全保障措施
其一,对数据进行分类管理,明确敏感信息和非敏感信息,对敏感信息进行特殊处理和加密保护。其二,建立访问控制和权限管理机制,限制数据的访问范围和权限,只授权给有权使用的人员或机构。其三,加强数据传输的安全管理,采用加密传输技术,确保数据传输过程中的安全。其四,建立数据备份和恢复机制,确保数据的可靠性和完整性,及时备份重要数据,避免数据丢失。
3、建立完善风险预警与应急处置机制
在交易前,企业应当对可能存在的风险进行预警,对数据的来源、处理、使用等环节进行全面评估,并建立风险评估模型。在交易过程中,企业需要设立风险监测与应急响应机制,及时发现和处理可能出现的风险和问题。一旦出现风险和问题,企业需要立即启动应急处置机制,采取有效措施及时处理和解决问题,并做好记录和报告工作。同时,企业还需要定期评估和完善风险预警与应急处置机制,不断提高自身的应对能力和水平,确保个人数据交易的合规性和安全性。
4、进行安全审计与监督
一方面,对数据交易的全流程进行安全审计,识别和解决潜在的安全问题和漏洞,确保数据的完整性和机密性得到保护。另一方面,建立专门的监督机构和专业团队,负责监督和管理数据交易,确保数据的合法性和安全性。
5、探索权利类型化保护与分配制度多元化
在权利类型方面,企业需要注意不同数据交易场景下的权利归属,以及个人数据主体的权利是否得到了保障。例如,在数据产品经营场景中,应当明确数据产品的经营权属,避免数据产权纠纷。在权利分配制度方面,可以探索采用智能合约等技术手段,实现权利的自动分配和执行,从而降低纠纷风险;此外,企业也可以制定相应的分配规则和标准,以确保数据交易过程中各方的权益得到充分保障。
数据安全与合规是当代企业生存发展的关键。2022年5月19日,苹果公司发布了一支《Data Auction》的iphone用户隐私安全宣传片。该宣传片不仅反映了个人数据的商业价值,更传达出数据安全与合规重要性的内涵。伴随着数字经济的进一步发展,个人数据作为大数据的基础,其经济价值愈发明显,个人数据交易也将成为未来数据交易市场的重要组成部分。当代企业应当把握数字经济发展新浪潮,推动数据安全与合规建设,助力企业在数字经济新时代发展之路上行稳致远。
来源:电商法律圈
作者:张韬、郭子訸
编辑:谭琳
责编:王晓彤 刘鹏飞