1、數(shù)據(jù)資產(chǎn)入表的法律要求與風險

數(shù)據(jù)資產(chǎn)入表同樣屬于數(shù)據(jù)的處理行為之一。任何數(shù)據(jù)處理活動，均需要以保障自身合法合規(guī)性作為活動開展的基礎。目前，我國《個人信息保護法》以及《數(shù)據(jù)安全法》等相關法律法規(guī)，均對于數(shù)據(jù)的處理提出了強制性的要求數(shù)據(jù)資產(chǎn)的入表必須開展在滿足法律法規(guī)強制性要求的基礎之上，否則可能會導致法律風險。

1.個人信息保護與數(shù)據(jù)安全實踐層面，個人信息保護與數(shù)據(jù)安全的法定要求極為細致。在數(shù)據(jù)資產(chǎn)入表的工作項下，最為明確的風險點即為數(shù)據(jù)來源合規(guī)性、數(shù)據(jù)內(nèi)容合規(guī)性、數(shù)據(jù)處理合規(guī)性。

第一，數(shù)據(jù)來源合規(guī)性要求。數(shù)據(jù)來源的合規(guī)性基于個人信息保護以及非個人信息類型的數(shù)據(jù)的不同，有所區(qū)別也有所聯(lián)系。從共性的角度而言，數(shù)據(jù)來源可以源自于企業(yè)自行收集、產(chǎn)生，也可以源自于受托處理、上下游供應商的數(shù)據(jù)提供。在數(shù)據(jù)來源環(huán)節(jié)，重要的風險把控即為數(shù)據(jù)處理的合法性基礎，該等合法性基礎可以是《個人信息保護法》第十三條規(guī)定的合法性基礎，也可以是《數(shù)據(jù)安全法》中第四十條國家機關委托第三方進行數(shù)據(jù)處理的合法性基礎。這些合法性的基礎可以體現(xiàn)為互聯(lián)網(wǎng)信息服務的前端隱私政策，或者是受托處理數(shù)據(jù)過程中具備明確權利義務邊界的委托協(xié)議。唯有具備合法性基礎，才可以進一步論證后續(xù)在數(shù)據(jù)資產(chǎn)入表過程中企業(yè)對數(shù)據(jù)的合法權益，如持有權、加工權或者運營權。

第二，數(shù)據(jù)內(nèi)容合規(guī)性要求。數(shù)據(jù)內(nèi)容合規(guī)性要求源自于《網(wǎng)絡安全法》對于內(nèi)容審查，以及《個人信息保護法》對于數(shù)據(jù)應用“最小必要”的原則性要求。數(shù)據(jù)內(nèi)容合規(guī)性審查的要點包括數(shù)據(jù)真實性核查、完整性核查、準確性核查一致性核查、時效性核查以及可訪問性核查六個方面。

第三，數(shù)據(jù)處理合規(guī)性要求。數(shù)據(jù)處理合規(guī)性要求強調(diào)對于數(shù)據(jù)的處理和應用滿足法律法規(guī)要求。舉例而言，對于數(shù)據(jù)的應用和處理，不得超出原本的合法性基礎。對于個人信息的應用，不得超出原本通過隱私政策等文件所獲取用戶知情同意的范圍。對于授權運營的公共數(shù)據(jù)，不得超出授權文件已經(jīng)授權的目的、范圍和方式。又比如，通過協(xié)議模式受托處理第三方委托的數(shù)據(jù)或者個人信息的，應當遵循協(xié)議條款以及法律強制性規(guī)定，不得違背協(xié)議或者法律的要求。以及再比如《個人信息保護法》第五十五條規(guī)定下，需要開展個人信息保護影響評估的，應當事前開展個人信息保護影響評估。

2.數(shù)據(jù)管理合規(guī)

數(shù)據(jù)管理合規(guī)，也是數(shù)據(jù)治理能力在數(shù)據(jù)合規(guī)中的體現(xiàn)與要求。按照我國《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》等相關法律法規(guī)的要求，各類數(shù)據(jù)處理者、個人信息處理者、網(wǎng)絡運營者，應當建立健全全流程數(shù)據(jù)安全管理制度。在《個人信息保護法》中，明確地以法定義務的形式提出了這些個人信息保護的舉措包括:制定內(nèi)部管理制度和操作規(guī)程;對個人信息實行分類管理:采取相應的加密、去標識化等安全技術措施;合理確定個人信息處理的操作權限，并定期對從業(yè)人員進行安全教育和培訓;制定并組織實施個人信息安全事件應急預案等。進一步來說，還包括開展個人信息保護審計，開展個人信息保護影響評估，定期發(fā)布個人信息保護社會責任報告，明確指定個人信息保護負責人等。

2、數(shù)據(jù)資產(chǎn)入表的權屬核查方法

對于企業(yè)內(nèi)部業(yè)務活動產(chǎn)生的數(shù)據(jù)，工作人員需要追溯數(shù)據(jù)產(chǎn)生的流程和環(huán)節(jié)。具體來說，可以通過查看業(yè)務系統(tǒng)的日志記錄，來確定數(shù)據(jù)是由哪些部門、哪些業(yè)務操作產(chǎn)生的。同時，工作人員需要核實企業(yè)是否通過合法的業(yè)務活動獲得這些數(shù)據(jù)，并且是否投入了足夠的人力、物力進行數(shù)據(jù)的收集、整理和存儲。舉例而言，企業(yè)通過自身的銷售系統(tǒng)收集的銷售數(shù)據(jù)，工作人員需要檢查銷售合同中是否有關于數(shù)據(jù)所有權歸屬企業(yè)的條款。又或者企業(yè)通過經(jīng)營互聯(lián)網(wǎng)信息服務收集的個人信息，是否通過隱私政策獲得有效授權，這也是核查的要點之一。

如果數(shù)據(jù)是從外部獲取的，工作人員需要審查數(shù)據(jù)獲取的合法性。具體來說，工作人員需要檢查數(shù)據(jù)采購合同、數(shù)據(jù)處理協(xié)議等文件，明確數(shù)據(jù)的來源渠道是否合法合規(guī)例如，企業(yè)從數(shù)據(jù)供應商處購買的數(shù)據(jù)，工作人員需要核實購買合同中對于數(shù)據(jù)權屬的約定，是否是獨家使用、是否可以二次加工等權利界定。對于通過數(shù)據(jù)共享合作獲取的數(shù)據(jù)，工作人員需要查看合作協(xié)議中雙方關于數(shù)據(jù)權屬的分配條款，確保企業(yè)對共享數(shù)據(jù)的使用符合約定

從數(shù)據(jù)的類型來說，以下特定類型的數(shù)據(jù)，需要采取的核查重點有較為明顯的區(qū)分:

個人信息:在涉及個人信息的數(shù)據(jù)資產(chǎn)時，工作人員需要檢查是否符合《個人信息保護法》的規(guī)定，企業(yè)對個人信息的處理是否取得了個人的同意，是否在合法的目的范圍內(nèi)使用等。個人信息主體的知情同意是否合法，往往需要結合具體的業(yè)務場景來判斷。舉例而言，對于直接取得個人信息的，工作人員需要根據(jù)互聯(lián)網(wǎng)信息服務的前端功能設置來具體判斷。而間接取得個人信息的，則還需要考慮上游個人信息的處理者是否可以確保自身將個人信息提供給另一方處理已經(jīng)獲得了個人信息主體的有效同意。

涉知識產(chǎn)權類數(shù)據(jù):涉及知識產(chǎn)權類的數(shù)據(jù)需要遵循知識產(chǎn)權相關法律法規(guī)的要求。如果數(shù)據(jù)資產(chǎn)是經(jīng)過企業(yè)的創(chuàng)造性加工處理，如通過數(shù)據(jù)分析算法得出的具有創(chuàng)新性的分析報告、數(shù)據(jù)模型等，可能涉及著作權等知識產(chǎn)權。工作人員需要檢查企業(yè)是否對這些數(shù)據(jù)資產(chǎn)進行了知識產(chǎn)權保護，如申請軟件著作權、專利等，以進一步確認權屬的合法性。

公共數(shù)據(jù):公共數(shù)據(jù)系各級黨政機關、企事業(yè)單位依法履職或提供公共服務過程中產(chǎn)生的數(shù)據(jù)。對于公共數(shù)據(jù)的開發(fā)利用，合法性基礎來自各類行政機關或者履行公共職能單位的完整授權。目前，各省市均有開展對于公共數(shù)據(jù)授權運營的地方性法規(guī)建設，特定的數(shù)據(jù)資產(chǎn)入表活動開展，還需要根據(jù)項目的具體情況參考地方性法規(guī)開展

重要數(shù)據(jù):重要數(shù)據(jù)是我國法定的數(shù)據(jù)類型，一般受制于更加嚴格的法律義務。擬入表數(shù)據(jù)若是屬于行業(yè)監(jiān)管部門或者其他政府主管部門明文規(guī)定為重要數(shù)據(jù)的，在數(shù)據(jù)入表工作開展前，已經(jīng)自行或者委托有資質(zhì)的數(shù)據(jù)安全服務機構進行安全風險評估，評估結果認為該等數(shù)據(jù)交易不存在危害國家安全、公共利益的情形的，才可進一步開展數(shù)據(jù)資產(chǎn)入表工作。而法律法規(guī)規(guī)定特定數(shù)據(jù)的入表或者相關處理需要征得相關部門同意的，應當取得相關部門的同意。