《數據二十條》政策背景下企業征信機構數據合規的要點探討_【官網】湖南金州律師事務所-部級文明律師事務所-全國優秀律師事務所

金州動態

《數據二十條》政策背景下企業征信機構數據合規的要點探討

作者：超級管理員　時間：2023-05-24　瀏覽：264

微信圖片_20230524152022.png

近日，《中共中央國務院關于構建數據基礎制度更好發揮數據要素作用的意見》(以下簡稱“數據二十條”)對外發布，從數據產權、流通交易、收益分配、安全治理等方面構建數據基礎制度，提出20條政策舉措。“數據二十條”的出臺，將充分發揮中國海量數據規模和豐富應用場景優勢，激活數據要素潛能，做強做優做大數字經濟，增強經濟發展新動能。“數據二十條”作為全球第一份系統構建數據基礎制度的政策文件，意義重大、影響深遠，結合該政策背景以企業征信公司的數據產品運營為例，對數據生產要素的合規問題進行分析和探討。

一、數據的權屬與權益

數據權屬，是以數據為標的物的所有權，學術界對這個問題一直有不同認識，但這些年隨著數據產業發展的實踐，對于數據的權屬與權益問題的觀點也在逐漸趨同。基于傳統物權理論中的權利絕對性、排他性、永續性，對于新型的“可復制”“無形”，容許多個主體同時占有、控制的數據而言，無法當然適用“數據主體天然對自己產生的數據享有所有權”，因此，亦有觀點認為數據是一種公共資源，數據權屬于國家。“數據二十條”提出探索數據產權結構性分置制度，并主張區分公共數據、企業數據、個人數據，建立分類分級確權授權制度。這一要求是以主體為標準對數據的性質進行了界定，進而根據來源主體性質的不同對數據要素的利用進行區分。因而，界定數據作為一種財產形式的權利屬性問題是理解“數據二十條”的第一步。

以企業在金融機構留下的收支流水數據為例，其數據形成基于企業在銀行交易過程中所留下的收支記錄痕跡，這些信息條經過各銀行匯總形成的數據經過人民銀行的清洗、加工形成收支流水數據庫，對于此類大數據的權屬問題在實踐中存在著較大分歧和爭議。這些收支流水數據所記載的信息主體為各個企業，但對此類數據匯總形成的征信產品是否可以成為獨立的、可合法交易的標的物，對此有著截然相反的觀點和態度。目前我國立法尚未就數據權屬作出明確的規定和界定，但值得思考的是對數據確權并不是唯一可供探討的路徑，正如同包括上海、深圳等在內的多地的地方立法精神一樣[1]，擱置關于數據權屬問題，從確認主體對數據產品、服務享有財產權益，即享有數據權益的角度出發，明確權益主體從而延伸至如何讓數據經營者獲得授權也逐漸成為實踐中解決數據合規問題的最佳方案。

二、數據權益的歸屬

仍以企業的銀行流水數據為例，盡管相關數據的信息主體為企業，但這種數據僅是企業自身生產經營的附帶品，任何某個企業對單個數據也無法直接產生任何經濟利益，如果直接將此類數據的權屬歸屬于信息主體，那對于數據要素的開發利用而言會從制度上形成極大的壁壘和障礙，因此對此類數據完全可以通過承認加工企業擁有權益方式加以保護。“數據二十條”提出，對各類市場主體在生產經營活動中采集加工的不涉及個人信息和公共利益的數據，市場主體享有依法依規持有、使用、獲取收益的權益。在《深圳經濟特區數據條例》第四條中亦有規定，自然人、法人和非法人組織對其合法處理數據形成的數據產品和服務享有法律、行政法規及本條例規定的財產權益。與此同時，學界也認為，“數據控制者是企業數據權益的主要享有者和數據保護義務的承擔者”[2]。企業在銀行所形成的收支流水數據，企業并沒有參與流水數據的收集和整理，流水數據的實際控制人屬于金融機構，根據“數據二十條”提出的“誰投入、誰貢獻、誰受益”原則，金融機構享有企業流水數據的數據資源持有權也符合現行實踐中的數據權益歸屬的原則。

三、數據“三重授權原則”

由于我國長期以來在數據競爭方面的立法滯后，法院在面臨大量的企業之間的數據爭奪案件時通過司法創造，最終在新浪微博訴脈脈案的二審民事判決書中明確了企業數據獲取“三重授權原則”。該案中北京知識產權法院在該案二審過程中認為，數據獲取企業在通過開放平臺數據獲取協議模式獲取數據時，應當獲得“三重授權”。第一重授權是作為數據主體的用戶對數據持有企業（數據控制者）的授權，即用戶允許數據持有企業向數據獲取企業共享數據。第二重授權是作為數據共享讓渡方的數據持有企業的授權，即數據持有企業允許數據獲取企業獲取數據。在此環節，雙方主要是通過簽訂開放平臺數據獲取協議的形式明確雙方數據共享的具體范圍及各自權利義務的內容。第三重授權是數據主體對數據獲取企業的授權，即數據主體允許數據獲取企業處理、控制和使用其獲取的來自數據主體的數據。