数据权益界定和确认的法律问题

2025-02-05

在数字化转型加速推进的时代背景下，数据已跃升为关键的生产要素，深度渗透至经济社会的各个层面。我国数据要素流通及数据资产入表实践尚处于萌芽与探索的关键阶段，相应法律制度的构建与完善仍在持续演进之中。“数据二十条”的出台，创新性地提出以三权分置为基础，即“根据数据来源和数据生成特征，分别界定数据生产、流通、使用过程中各参与方享有的合法权利，建立数据资源持有权、数据加工使用权、数据产品经营权等分置的产权运行机制”。这一举措为数据权益的确认和规范提供了重要的政策指引，对推动数据要素市场的健康发展具有深远意义。本文基于数据资产入表相关法律实务经验，深度剖析数据权益确认所涉法律问题，以期为相关实践提供参考。

一、数据权益确认及界定依据

律师在开展相关工作时，需在充分尽调基础之上，对标的企业是否享有数据资源持有权、数据加工使用权及数据产品经营权进行精准确认。这不仅关系到企业自身的数据资产安全和商业利益，也影响着整个数据市场的交易秩序和公平竞争环境。

数据权益界定的依据涵盖但不限于《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《数据二十条》以及其他相关法律法规、规章、地方性规章与政策文件等。现阶段，数据权益的确认主要围绕数据资源持有、数据加工使用及数据产品经营三项权益展开论证。这三项权益相互关联又各有侧重，共同构成了数据权益的核心内容。数据资源持有权是数据权益的基础，决定了企业对原始数据的掌控和管理能力；数据加工使用权是提升数据价值的关键，通过对数据的深度处理和分析，挖掘数据的潜在价值；数据产品经营权则是实现数据商业价值的重要途径，将加工后的成果推向市场，实现数据的经济收益。

二、数据资源持有权确认

（一）数据来源审查：合法性基石的筑牢

数据来源的合规性，乃确认企业数据持有、加工及经营等权属的基石，确保数据来源合法是数据确权的前置必要条件。数据来源主要可分为企业内部生成数据、企业外购数据、企业通过技术手段收集的公开数据、第三方授权数据及以其他方式获取的数据。不同来源的数据，其审查要点和法律风险各不相同，需要律师进行细致深入的审查。

1.标的企业自行生产的数据：此类数据系企业在日常生产经营活动中产生并收集所得。审查要点如下：

（1）全方位搜集与深度核查企业数据生产及收集全程的关键证明材料，诸如详实的人员技术投入凭证、精准的数据产生活动记录资料及系统日志等关键信息载体。这些材料是证明企业对数据拥有合法所有权的重要依据，能够清晰展示数据的产生过程和企业在其中的投入与贡献。

（2）细致核查该数据是否由企业独立生产，有无多方合作情形，是否存在其他利益相关方，以及是否存在侵犯第三方合法权益之情形。若存在合作生产数据的情况，需要明确各方在数据产生过程中的权利义务关系，避免因权属不清引发纠纷。

2.企业直接收集的用户数据：即企业在生产经营活动中直接收集的用户数据，涵盖个人与企业用户信息。当数据溯源至用户端时，审查要点涵盖多个关键层面：

（1）认真检查用户注册协议、隐私政策等文件，确认其中是否明确规定标的企业对用户数据的获取范围、使用目的和方式等条款，确保标的企业在用户授权范围内持有数据资源。

（2）严格核查收集用户数据是否具备合理目的，且是否遵循最小必要原则，以最短周期、最低频次及对用户权益影响最小的方式进行收集，仅收集与实现产品或服务业务功能直接相关的个人信息。

（3）对于因特定目的收集个人信息的情形，必须符合法律强制性规定，严禁收集涉及他人知识产权、商业秘密或其他非公开信息的数据。

3.企业合法收集的公开数据：以企业通过爬虫技术等自动化工具采集公开数据为例，审查此类数据来源合规性时，重点关注以下内容：

（1）深入核查数据采集目的是否合法，不得危害国家安全、公共利益和第三方合法权益，亦不得违反公序良俗。若采集行为严重干扰其他企业正常合法经营，违背诚实信用原则与公认商业道德，则极有可能构成不正当竞争。

（2）严格审查采集手段、方式及内容的合法性与合规性。若系通过用户自主提供数据，应确保取得用户明示同意；若系通过爬虫技术采集，应严格遵守相关法律法规及行业自律规定，尊重爬取对象网站的爬虫协议及规则，事前对网络服务性能、功能可能产生的影响进行充分评估，避免干扰网络服务正常功能或妨碍系统正常运行。

4.企业获授权运营或购买的第三方数据：针对此类数据，需对数据交易的主体、标的及协议内容进行逐项审查：

（1）主体审查：详细核实授权/出售方是否具备该项交易的主体资格，是否拥有对标的数据的处分权。

（2）标的审查：审查授权/出售的合法交易主体资格及对标的数据的处分权能；标的审查聚焦于数据来源合法性、权属清晰度及可交易性判定。

（3）协议审查：着重确认协议内容的合法有效性、第三方权益关联状况，以及数据及衍生权利归属的明确约定，确保数据处理行为严守数据主体授权、协议约定及法律法规限定范围。

（二）管理权益确认：数据安全防护网的织就

基于收集的工作底稿，对标的企业在数据存储、维护及安全保护等方面的管理权益进行确认。深入审查标的企业的数据管理制度，包括数据存储架构、备份策略、安全防护措施等，确保标的企业构建了稳固的数据资源管理能力体系，能够切实保障数据的完整性、可用性与保密性。具体而言，律师可从以下关键方面进行审查：

1.数据存储期限：审查标的企业对于个人信息的保存期限是否为实现个人信息主体授权使用目的所必需的最短时间，有无超出收集使用规则中明示的存储期限；是否符合所处特定行业关于存储期限的法律法规及规范性文件要求，例如网约车平台采集的个人信息和生成的业务数据，存储期限不得少于两年。针对超出存储期限的数据，企业应及时启动删除或销毁程序并进行相应的记录，确保数据生命周期管理合规有序。

2.数据存储安全措施：检查标的企业收集个人信息后，是否进行去标识化、匿名化处理，降低数据信息被篡改、破坏、泄露或者非法获取、非法利用等风险；是否依据数据分类分级制度，针对不同类别级别的数据采取差异化数据存储措施；是否实施权限管控机制，以最小授权原则保障个人信息数据得到有效保护，防止被非授权访问或处理；是否针对存储介质提供有效的技术和管理手段，进行加密处理，防范因介质不当使用引发的数据泄露风险；是否建立数据备份恢复操作规程，防范数据丢失，确保数据的可用性与完整性；是否构建数据安全应急响应体系，制定如数据泄露、滥用等突发事件的应急预案。

3.数据存储地点：依循标的企业处理数据的类型、所处行业及其性质，判断其是否需履行本地化存储义务。例如，国家机关处理的个人信息、关键信息基础设施收集和产生的重要数据、汽车重要数据、网约车平台收集的个人信息和生成的业务数据、医疗机构产生的人口信息及健康医疗信息等，均有数据存储在境内的明确要求，即数据本地化存储要求。

4.配套监管与审计机制：企业内部是否制定监管与审计制度，是否定期开展数据质量评估检测，是否引入第三方审计机构对数据处理活动进行合规检查和审计。

（三）使用权益确认：合规使用边界的厘定

依据标的企业业务需求与法律法规限制，确认标的企业对数据资源的使用范围。严格审查标的企业内部使用数据的流程，确保数据使用环节具备清晰明确的授权链路与规范操作指引，有效遏制数据滥用风险。

1.基本原则：律师应依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等相关法律法规，审查标的企业是否遵循数据使用的基本原则，包括合法、正当、必要原则。针对个人信息的使用，还应遵循使用规则公开透明原则、去标识化处理原则以及按照约定使用原则。

2.访问控制：审查标的企业是否对被授权访问人员建立最小授权访问控制措施；针对个人信息关键操作是否设置严格内部审批流程，是否实施岗位分离制衡措施，是否完整留存所有审批记录，确保数据访问权限管理严密有序。

3.使用目的限制：律师需严格审查标的企业，若超出范围使用个人信息，是否再次征得个人信息主体的明示同意。

4.个性化展示审查：若标的企业产品或服务涉及个性化展示，律师应审查展示内容生成逻辑、是否借助个人信息与算法实施定向推送行为，以及是否将人脸识别数据作为汇聚融合关键关联点等核心问题。高度关注“大数据杀熟”等不合理差别待遇现象，防范数据驱动的不公平商业行为。

三、数据加工使用权确认

数据加工作为重塑原始数据价值、提升数据应用效能的关键环节，涵盖编辑、处理、整理、清洗、转换等操作，旨在深度契合数据分析、挖掘及业务决策需求。

（一）加工使用授权审查：合法授权源头把控

1.对于标的企业拟加工使用的数据，应严格审查其是否具备合法的授权来源。若标的企业对自有数据资源独立进行加工，需检查其内部决策文件，以确认其有权对数据进行加工处理；若标的企业委托第三方对数据进行加工，应审查双方签订的协议，确保协议中明确各方数据持有的合规性、加工使用权限、加工目的、加工成果的归属等条款。

2.当对外部数据进行加工时，同样应当审查标的企业与第三方的协议，确保协议中对各方数据持有的合规性、加工使用的权限、加工目的、加工成果的归属等条款作出清晰约定。

（二）加工过程合规性：技术与管理规范双维校验

1.全面审查标的企业或第三方的数据加工算法、技术手段以及所使用的软硬件等工具是否符合法律法规规定。

2.审查标的企业或第三方对加工过程中产生的中间数据的管理措施，确保中间数据全流程处于安全合规管控状态。

3.在涉及个人信息的数据加工场景中，严格遵循《个人信息保护法》等相关法规要求。企业授权第三方加工数据时，应在协议中明确隐私保护专项条款，强化数据加工过程中的隐私保护机制，有效规避潜在隐私泄露风险。

（三）加工使用范围确定：合法合规边界明晰

数据加工使用权的行使必须符合《数据二十条》中的使用合法性要求，即在明确使用目的和限制范围的前提下进行数据加工。标的企业在授予加工使用权时，需详细限定数据的具体用途，特别是在涉及敏感信息和个人数据的场景中，需避免权利滥用。

（四）加工成果权益：增值数据权属锚定

明确数据加工后的成果归属权。加工使用权的行使通常会生成新的数据形态或增值信息（如分析结果、模型输出等），这些增值数据的权属归属需在确权文件中予以明确。例如，某企业对客户行为数据进行分析，生成的数据报告或行为模型可视为增值数据，在权属上应与原始数据资源有所区分。对于增值数据，标的企业可根据业务需求决定是否延展加工使用权，但在合同或政策框架中需清晰规定增值数据的归属及其用途，确保权利边界不被模糊。

四、数据产品经营权确认

数据产品经营权赋予数据持有者或加工者对数据产品的商业化运作权利，是数据从资源转变为商品的关键环节。通过经营权的确立，数据持有方可以合法地将加工后的数据资源转化为数据产品，并实现市场流通或收益分配。

（一）产品定义与合法性：商业基石的夯实

要求标的企业清晰明确数据产品的定义与应用场景，深入审查数据产品的生产过程、商业用途及数据流通模式，以确保数据产品的合法销售和二次利用。

（二）经营权利来源：权益根基的溯源

审查标的企业对数据产品经营的权益来源。依据标的企业内部研发记录、知识产权注册等文件，确定其自主研发生产数据产品的情况，进而确认其享有的经营权益；对于合作开发数据产品的情形，应依据合作协议约定，明确各方在经营中的权利与义务关系，如涉及经营权转移，合同应对数据产品的最终用途和流通范围加以限制。

（三）市场准入与合规：市场门槛的跨越

明确数据产品进入市场所需的资质与许可要求。根据不同行业和地区的规定，仔细检查标的企业是否取得相应的经营许可，数据产品是否符合质量标准、安全标准等要求，确保数据产品能够合法进入市场流通与交易。

（四）收益分配：利益共享的均衡

在多方参与的数据产品开发项目中，数据产品的收益分配是经营权确权的重要内容。企业应在确权文件中约定各方的收益分配机制，以避免后续的权属争议。

针对前述尽职调查中发现的问题，律师需出具《风险整改报告》为企业提供精准的整改策略与路径指引。在企业完成整改任务后，出具《数据确权法律意见书》，为标的企业提供法律背书。由此，数据资源持有权、加工使用权及产品经营权的精准界定与规范确认，不仅为数据确权实践提供深度指引，更为数据资产商业化运营筑牢坚实的法律根基。

本文作者：

声明：

本文由德恒律师事务所律师原创，仅代表作者本人观点，不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容，请注明出处。