|
前言 在数字经济全面渗透生产、生活与治理的时代,数据已被我国国务院列为与土地、劳动力、资本、技术并列的“第五大生产要素”。
它既是推动企业创新与产业升级的重要引擎,也是法律与合规风险的高敏感领域。 近年来,我国相继颁布《数据安全法》《个人信息保护法》《网络安全法》等核心法律,监管思路从单点执法转向全生命周期、全链路、全场景穿透审查;
国际上,欧盟GDPR、美国CCPA、日本APPI等法规不断迭代,全球数据治理正进入趋严与细化的新阶段。 本概述由上海锦天城(重庆)律师事务所高级合伙人李章虎律师及团队撰写,以数据全生命周期为主线,覆盖从生成、采集、传输、存储、处理、共享、交易到销毁的八大环节,结合我国法律体系与国际法规对比,辅以典型案例与实务建议,力求为企业法务、数据保护官(DPO)、信息安全团队及管理层提供可落地、可审计、可持续执行的合规指引。 第一 数据全生命周期概述1.1 数据全生命周期的法律与商业价值背景在数字经济成为全球经济增长核心驱动力的背景下,数据已被我国国务院明确列为与土地、劳动力、资本、技术并列的“第五大生产要素”。
企业在生产经营、市场拓展、技术创新和风险控制中,数据不再只是支撑性资源,而是直接创造价值、形成竞争优势的核心资产。然而,数据的价值属性与风险属性高度并存: 在商业层面,数据的高流动性与可复制性,使其能够快速跨行业、跨地域产生规模效应; 在法律层面,数据的可复制、易泄露、难追溯特点,使得侵权、合规违规、数据安全事件的风险显著上升。 因此,围绕数据全生命周期的法律风险管理,已从传统的IT部门职责转变为公司治理的重要组成部分,成为董事会、法务部门、信息安全部门的共同任务。 1.2数据全生命周期的八大阶段综合我国《数据安全法》、欧盟《通用数据保护条例》(GDPR)、美国《加州消费者隐私法案》(CCPA)等法规,以及企业实践经验,数据的生命周期可分为八大核心阶段: 1.2.1数据生成(Creation)来源:传感器采集、用户输入、第三方购买、网络抓取等。 法律关注点:合法性基础(同意、合同、法律授权)、数据类型识别。 1.2.2数据采集(Collection)采集方式:自动化采集、人工录入、API调用。 法律关注点:告知与同意、最小必要原则、敏感数据单独同意。 1.2.3数据传输(Transfer)范围:内部系统传输、第三方对接、跨境传输。 法律关注点:加密、传输安全、跨境合规路径(安全评估、合同、认证)。 1.2.4数据存储(Storage)形式:本地服务器、云平台、混合存储。 法律关注点:分级分类存储、境内存储要求、云服务合同责任划分。 1.2.5数据处理(Processing)活动:清洗、脱敏、分析、建模、AI训练。 法律关注点:用途限制、匿名化标准、算法透明、反歧视。 1.2.6数据共享(Sharing)形式:部门间共享、与合作伙伴共享、向监管报送。 法律关注点:共享协议、用途与范围限制、第三方安全保障。 1.2.7数据交易与公开(Trading & Disclosure)活动:数据产品销售、开放API、科研开放数据集。 法律关注点:个人信息不得买卖、知识产权确权、商业秘密保护。 1.2.8数据销毁(Disposal)活动:用户注销、到期删除、介质报废。 法律关注点:彻底删除、销毁记录、第三方验证。 1.3数据分类与分级的法律意义我国法律体系已建立了分类+分级的双重管理框架,不同类别和等级的数据对应不同的法律义务: 1.3.1按性质分类个人信息(PIPL 第4条):可识别自然人身份的信息。 敏感个人信息(PIPL 第28条):包括生物识别、医疗健康、金融账户、行踪轨迹等。 重要数据(《数据安全法》第21条):一旦泄露可能危害国家安全、公共利益的数据。 核心数据:涉及国家安全、国民经济命脉、重大公共利益的数据。 1.3.2按重要性分级一般数据 → 重要数据 → 核心数据(安全要求逐级递增) 分级影响:存储要求、跨境流动条件、安全评估范围。 案例提示:2022年,滴滴因未经评估将重要数据出境,被国家网信办处罚人民币80.26亿元,成为数据分级管理的典型案例。 1.4国内外法律监管环境概览 | | | | | [size=12.0000pt]《数据安全法》《个人信息保护法》《网络安全法》 | [size=12.0000pt]网信办、工信部、公安部 | [size=12.0000pt]数据分级分类、安全评估、境内存储、跨境评估 | | | [size=12.0000pt]各成员国数据保护机构(DPA) | [size=12.0000pt]合法性基础、数据主体权利、跨境传输标准合同 | | [size=12.0000pt]CCPA(加州)、州级数据保护法 | | [size=12.0000pt]消费者知情权、删除权、拒绝出售权 | | [size=12.0000pt]《个人信息保护法》 | [size=12.0000pt]个人信息保护委员会 | [size=12.0000pt]跨境传输告知与同意、匿名加工信息管理 |
1.5全生命周期合规管理的重要性企业如果只在单一环节(如采集、跨境传输)做合规,而忽视其他阶段,将导致以下风险: 合规断链风险:某环节缺失合规措施导致整体违法; 监管穿透风险:我国监管趋向“穿透式”审查数据全链条; 跨境阻断风险:未满足境外监管标准导致数据无法出境; 商誉损害风险:数据安全事件引发用户信任危机。 因此,数据全生命周期的法律风险管理,应当是制度化、流程化、可审计的持续活动,而非一次性合规项目。 1.6案例分析国内案例:某大型电商平台因采集环节违规抓取用户通信录信息,被罚款并责令整改,最终通过建立统一的同意管理平台,实现采集合规化。 国际案例:2018年Facebook-Cambridge Analytica事件,涉及未经同意采集与滥用个人数据,最终导致50亿美元罚款和全球范围内的立法趋严。 1.7本书后续章节衔接本部分确立了数据全生命周期的基本框架与法律关注要点。
从第二章开始,将进入各阶段的详细法律风险剖析与实务防控措施,确保企业在数据的生成、流动、利用与退出各环节均有可落地的合规路径。 第二 数据生成与采集环节的法律风险2.1 阶段概述数据生成与采集是数据全生命周期的起点,决定了后续处理、利用、交易的合法性基础。在我国法律框架下,该环节的核心要求可概括为 “合法来源 + 合规获取 + 明确用途”。一旦起点违法,后续环节即使技术与管理措施完备,也难以消除风险。例如,未经授权获取的个人信息,即便经过匿名化处理,仍可能被认定为违法所得。 2.2 数据生成的主要方式及法律关注点2.2.1主动生成(内部生产)形式:企业自主研发系统产生的运营数据、设备运行日志等。 法律关注点:确保生成过程中未侵害他人权益(如算法模型未侵权)。 2.2.2被动生成(用户行为)形式:用户在使用产品或服务过程中产生的行为数据、偏好数据。 法律关注点:需明确告知用户数据收集目的、方式、范围,并取得有效同意。 2.2.3第三方获取形式:从合作伙伴、数据交易平台购买或交换数据。 法律关注点:第三方必须具备合法采集资质,合同中需约定合规义务与责任。 2.2.4自动化抓取(爬虫技术)法律关注点:不得违反网站 robots 协议,不得构成对竞争对手的反不正当竞争法第12条所禁止的“抓取并使用数据资源”。 2.3 数据采集环节的合规要求依据《个人信息保护法》(PIPL)及相关法规,数据采集必须满足以下条件: 2.3.1合法性基础(Legal Basis)明确的用户同意(包括敏感个人信息的单独同意) 履行合同必要性 履行法定职责或义务 保护自然人生命健康财产安全等紧急情况 2.3.2告知义务(Transparency)告知内容包括:采集目的、方式、类型、存储期限、联系方式等 告知应使用清晰易懂语言,不得默认同意、捆绑同意 2.3.3最小必要原则(Data Minimization)仅收集实现目的所必需的数据,不得过度采集 2.3.4敏感个人信息处理要求单独同意 必须有特定、明确的目的和充分必要的理由 2.4 典型法律风险风险一:未取得有效同意表现:默认勾选、隐蔽条款、一次性笼统授权 案例:2021年某头部应用因默认勾选收集用户通讯录,被工信部点名并下架整改 风险二:过度采集 表现:为营销目的采集超出业务必要范围的数据 案例:某在线教育平台被发现采集学生摄像头画面和麦克风数据,超出教学必要范围,遭到行政处罚 风险三:采集方式违法 表现:通过网络爬虫批量抓取他人网站数据 案例:最高法“脉脉案”〔(2020)最高法民终406号〕认定未经许可抓取竞争对手数据构成不正当竞争 风险四:第三方数据来源不合规 表现:购买的数据源于黑灰产 案例:某银行购买外部“精准客户名单”,后被发现该名单来源于非法倒卖个人信息,银行被追究责任 2.5 法规条文要点(我国大陆) | | | [size=12.0000pt]《个人信息保护法》 | | [size=12.0000pt]采集需有合法性基础并履行告知义务 | [size=12.0000pt]《个人信息保护法》 | | [size=12.0000pt]处理敏感个人信息需单独同意 | | | [size=12.0000pt]数据采集应符合法律法规规定,不得侵害国家安全、公共利益、个人合法权益 | [size=12.0000pt]《反不正当竞争法》 | | [size=12.0000pt]禁止通过技术手段抓取、使用网络数据资源扰乱市场秩序 |
2.6 风险防控措施(落地清单)2.6.1技术层面部署同意管理系统(Consent Management Platform, CMP) 在APP/网站端实现分级授权与可撤回功能 对第三方SDK、API调用进行合规扫描 2.6.2管理层面制定数据采集清单与最小化原则审查制度 与第三方签订数据合规协议(含数据来源合法性声明、违规赔偿条款) 定期开展数据采集合规审计 2.6.3应急层面一旦发现非法数据来源,立即停止处理并通知相关监管部门与用户 建立“数据回溯与销毁”机制 2.7 国际对比与趋势GDPR(欧盟):强调“合法性基础”与“数据主体权利”,过度采集可被处以高额罚款(最高2000万欧元或全球营业额4%) CCPA(美国加州):赋予消费者“拒绝出售个人信息”的权利 趋势:全球监管趋严,数据采集透明化、最小化和可撤回性将成为企业标配 2.8 小结数据生成与采集环节是数据合规的“第一道闸门”,李章虎律师认为,企业应当建立从采集规划 → 用户告知 → 同意管理 → 审计追溯的全流程管理体系。
合规不是阻碍业务的“绊脚石”,而是赢得用户信任与减少法律风险的核心资产。 第三 数据传输与跨境流动的法律风险3.1 阶段概述数据传输环节涵盖了企业内部系统间的数据流动、与外部合作伙伴的数据交换、以及跨境数据传输等场景。
该环节的核心法律目标是确保数据在流动过程中安全、可控、可追溯,并在跨境传输时满足不同法域的合规要求。 在我国,数据跨境流动被视为涉及国家安全、公共利益的重要事项,监管原则是“能不出境就不出境,必须出境要评估”。
而在欧盟、美国等地,跨境流动则主要围绕数据主体权利、隐私保护和合规传输机制展开。 3.2 数据传输的主要类型3.2.1内部传输同一企业不同部门、不同业务系统之间的数据交换 法律关注点:内部访问权限控制、数据脱敏、最小化传输 3.2.2外部传输(境内)与供应商、外包服务商、业务合作伙伴的数据对接 法律关注点:合同约束、接收方安全资质、传输加密 3.2.3跨境传输将数据发送到境外服务器、境外集团公司、境外合作伙伴 法律关注点:跨境安全评估、标准合同、认证机制、境外法律环境适配 3.3 法规要求(我国大陆)3.3.1 传输安全《数据安全法》第31条:重要数据传输应采取加密等必要措施 《网络安全法》第37条:关键信息基础设施运营者(CIIO)在境内收集和产生的重要数据和个人信息,应在境内存储 3.3.2 跨境传输合规路径(《个人信息保护法》第38条)安全评估(由国家网信办组织) 适用对象:关键信息基础设施运营者、处理达数量门槛的个人信息处理者等 个人信息保护认证(由国家认定的专业机构实施) 签订标准合同(由国家网信办制定标准文本)并向网信办备案 法律法规规定的其他条件 3.3.3 特殊限制核心数据原则上不得出境 重要数据出境须通过安全评估 敏感个人信息出境需取得数据主体单独同意,并告知风险 3.4 典型法律风险风险一:未经安全评估直接跨境传输 表现:将包含重要数据的业务系统直接部署在境外云平台 案例:滴滴出行因涉及出境传输超过1亿条个人信息且未进行安全评估,被处罚人民币80.26亿元(2022年) 风险二:传输过程中数据泄露 表现:内部系统调用API未加密,导致数据在传输链路中被截获 案例:某银行因API接口未加密导致数百万条客户信息被黑客窃取 风险三:接收方安全管理不到位 表现:外包商或境外合作伙伴未按合同要求保护数据,发生泄露 案例:某跨境电商与境外呼叫中心合作,后者员工倒卖客户个人信息,平台被追究连带责任 风险四:未满足境外法规要求表现:向欧盟传输数据时未符合GDPR的合法传输机制 案例:美国Meta因跨境数据传输未满足GDPR要求,被欧盟罚款12亿欧元(2023年) 3.5 国际对比 | | | [size=12.0000pt]我国[size=12.0000pt](PIPL) | [size=12.0000pt]安全评估、认证、标准合同 | [size=12.0000pt]数据出境安全评估、网信办备案 | | [size=12.0000pt]仅向具备充分数据保护水平的国家传输;或采用SCC/Binding Corporate Rules | [size=12.0000pt]标准合同条款(SCC)、具有约束力的公司规则(BCR) | | [size=12.0000pt]无统一联邦跨境限制,但需履行隐私政策告知与合同约束 | [size=12.0000pt]企业内部政策、合同义务 | | [size=12.0000pt]境外接收方须确保同等保护水平,并取得本人同意 | [size=12.0000pt]合同约束、隐私声明 |
3.6 风险防控措施(落地清单)3.6.1技术层面传输全程加密(TLS/SSL/VPN/IPSec) API调用采用鉴权机制(OAuth、Token) 建立数据水印与传输日志系统,便于溯源 3.6.2管理层面制定跨境数据传输清单,标明数据类型、传输对象、合规路径 对境外接收方开展数据安全尽职调查(包括法律环境、技术能力) 与外部合作方签订数据保护协议(DPA),明确违约责任与赔偿 3.6.3合规层面对重要数据、核心数据进行境外传输前安全评估并备案 对跨境传输涉及的个人信息,取得数据主体的明确、单独同意 定期复核跨境传输合规性,更新合同与备案 3.7 小结李章虎律师认为,数据传输尤其是跨境流动,是企业数字化运营中法律风险与业务需求的高敏感交叉点。我国的监管思路强调数据主权与国家安全,欧盟则以数据主体权利保护为核心,美国则较为分散。
企业需要构建“跨境前评估 + 传输中保护 + 传输后追溯”的闭环体系,确保在全球运营中的数据流动既合规又高效。 第四 数据存储环节的法律风险4.1阶段概述数据存储环节是数据全生命周期中的核心枢纽,既是合规管理的基石,也是数据安全事件的高发地带。
无论是个人信息、重要数据还是核心数据,一旦存储环节发生泄露、篡改、丢失,后果可能波及法律责任、商誉、运营安全,甚至国家安全。 在我国法律体系中,数据存储不仅受到《数据安全法》《个人信息保护法》《网络安全法》的约束,还受到行业监管规章(如银保监会、央行、工信部等)和标准(如GB/T 35273-2020《个人信息安全规范》)的制约。 4.2数据存储的主要方式4.2.1本地部署(On-premises)企业自建机房或服务器存储数据 优点:可控性强,数据不依赖外部服务 风险:硬件维护成本高、容灾能力有限 4.2.2云存储(Cloud Storage)通过第三方云服务商存储 优点:弹性扩展、运维成本低 风险:数据与物理控制权分离,增加外部泄露风险 4.2.3混合存储(Hybrid Storage)本地与云结合,按数据敏感等级分层存储 风险:数据分布复杂,管理难度增加 4.3我国法律与监管要求4.3.1 境内存储要求《网络安全法》第37条:关键信息基础设施运营者(CIIO)在境内运营中收集和产生的个人信息和重要数据,应在境内存储。 《数据安全法》第31条:国家对重要数据实行严格管理,必须依法存储和备份。 4.3.2 数据分级分类存储《数据安全法》第21条:建立数据分类分级保护制度,根据数据的重要程度和对国家安全、公共利益、个人合法权益的影响程度确定保护级别。 4.3.3 存储安全措施《个人信息保护法》第51条:采取加密、去标识化、访问控制等安全措施。 GB/T 35273-2020:要求对敏感个人信息存储采用强加密,分离存储密钥。 4.4典型法律风险风险一:未落实分级分类存储 表现:将核心数据、重要数据与一般业务数据混存,缺乏分级安全措施 案例:2021年某大型国企因未分级存储导致重要数据泄露,被处以数百万元罚款 风险二:云服务合同缺失关键条款 表现:未明确云服务商的数据安全义务、数据主权归属、泄露责任 案例:某电商平台因云服务商遭遇网络攻击导致数据泄露,因合同未约定赔偿责任,平台自担全部损失 风险三:加密和备份不足 表现:未对敏感数据加密存储,未建立定期备份与异地灾备 案例:某医院因服务器故障导致三年历史病历数据丢失,被判承担医疗纠纷举证不利责任 风险四:存储位置不合规 表现:重要数据存储在境外服务器,违反境内存储要求 案例:滴滴案中,部分业务数据被存储在境外,成为处罚理由之一 4.5国际对比 | | | [size=12.0000pt]我国[size=12.0000pt](DSL、PIPL) | [size=12.0000pt]境内存储、分级分类管理、加密、备份 | [size=12.0000pt]强调国家安全与数据主权 | | [size=12.0000pt]无强制境内存储,但要求安全存储与访问控制 | [size=12.0000pt]以数据主体权利保护为核心 | [size=12.0000pt]美国(HIPAA、GLBA 等) | [size=12.0000pt]医疗、金融等特定领域要求加密存储、灾备 | | [size=12.0000pt]新加坡(PDPA) | [size=12.0000pt]要求采取合理安全措施,不强制境内存储 | [size=12.0000pt]监管灵活,但重视安全标准 |
4.6风险防控措施(落地清单)4.6.1技术层面对敏感数据采用AES-256或同等强度加密 建立多活容灾体系与异地备份 部署入侵检测与防火墙 4.6.2管理层面制定数据分级分类管理制度,并在存储架构中落实 定期进行云服务商安全评估与合同审查 建立存储访问日志审计机制 4.6.3合规层面确认存储位置符合境内存储要求 对涉及跨境存储的业务,提前启动合规评估与备案 将数据安全管理纳入年度内部审计 4.7小结李章虎律师认为,数据存储环节是数据合规体系的“定海神针”,其法律风险主要集中在位置合规、分级管理、安全技术措施与合同条款四个方面。企业应当将存储合规视为数据治理的底线要求,并与传输、处理环节形成无缝衔接的安全闭环。 第五 数据处理与利用的法律风险5.1 阶段概述数据处理与利用是企业释放数据价值的核心环节,涵盖清洗、归类、分析、建模、可视化、AI训练等过程。这一阶段的数据往往已脱离原始采集环境,被重新组合、分析并产生新的商业价值。
但与此同时,处理环节存在着用途超限、身份重识别、算法歧视、知识产权侵权等高风险情形。 在法律层面,我国《个人信息保护法》《数据安全法》对数据处理的合法性、目的限定、最小必要原则提出了明确要求,欧盟 GDPR 还要求可解释性与公平性,美国及其他法域则针对特定行业(金融、医疗等)设定了额外的处理规则。 5.2 数据处理的主要类型5.2.1数据清洗与结构化去除冗余、修正错误、统一格式 风险:清洗过程若未加密,可能导致中间数据泄露 5.2.2数据分析与挖掘用户画像、消费预测、风险建模 风险:超出原始采集目的使用数据,违反“用途限定原则” 5.2.3数据建模与AI训练使用数据训练机器学习模型 风险:训练数据含有受版权保护的内容(版权侵权) 训练结果可被逆向还原出个人信息(重识别风险) 算法偏见与歧视 5.2.4数据可视化与报告生成通过图表、仪表盘展示分析结果 风险:汇总信息仍可能泄露敏感模式(如地理热力图暴露特定区域用户密度) 5.3 我国法律要求5.3.1 用途限定与最小必要原则《个人信息保护法》第6条:处理个人信息应有明确合理目的,并限于实现该目的的最小范围 《数据安全法》第27条:数据处理活动应当合法、正当,不得危害国家安全、公共利益 5.3.2 敏感个人信息的处理要求《个人信息保护法》第29条:处理敏感个人信息需有特定目的、充分必要理由,并取得单独同意 5.3.3 自动化决策与算法透明《个人信息保护法》第24条:自动化决策应保证透明度、公平合理,不得对个人在交易条件等方面实行不合理差别待遇 要求企业提供拒绝或解释的渠道 5.4 典型法律风险风险一:超范围利用表现:采集时用于服务运营,处理时用于广告投放 案例:某互联网平台因将用户位置数据用于精准广告投放,被监管部门认定为超范围利用并罚款 风险二:重识别风险 表现:将匿名化数据与其他数据集匹配,重新识别个人身份 案例:Netflix 匿名化数据集被研究人员与 IMDb 数据匹配,成功识别出多名用户 风险三:算法歧视 表现:基于性别、种族、地区的偏见,导致决策结果不公平 案例:美国 COMPAS 算法预测黑人被告再犯风险高于白人,被批评存在种族歧视 风险四:知识产权侵权 表现:使用未经授权的受版权保护数据训练模型 案例:2023年,美国多位作家起诉AI公司未经许可使用其作品训练语言模型 5.5 国际对比 | | | [size=12.0000pt]我国[size=12.0000pt](PIPL、DSL) | [size=12.0000pt]目的明确、最小必要、单独同意 | [size=12.0000pt]算法透明、公平决策 | | [size=12.0000pt]合法性基础、数据最小化、可解释性 | [size=12.0000pt]明确数据主体反对权、可携权 | | | [size=12.0000pt]医疗(HIPAA)、金融(GLBA) | [size=12.0000pt]加拿大(PIPEDA) | [size=12.0000pt]明确目的、限制收集与使用 | [size=12.0000pt]允许用于合理目的但需告知 |
5.6 风险防控措施(落地清单)5.6.1技术层面在处理前进行数据脱敏、匿名化 对AI训练数据集建立溯源与版权管理系统 部署算法可解释性工具,定期检测偏见 5.6.2管理层面建立数据利用审批流程,审查处理目的与采集目的是否一致 设立敏感数据二次利用评估机制 制定AI伦理与算法合规政策 5.6.3合规层面在隐私政策中明确列出数据处理目的与方式 对涉及自动化决策的业务,提供拒绝选项与人工干预通道 定期进行第三方合规审计 5.7 小结数据处理与利用阶段,是企业价值创造与法律风险的交汇区。合规管理的核心是“三问”: 数据是否在采集时已告知并获得同意? 处理目的是否超出了采集时的范围? 处理过程是否对个人权利或公共利益造成不当影响? 企业应在处理与利用环节,既追求商业价值,又要守住法律底线与社会责任。 第六 数据共享与开放的法律风险6.1 阶段概述数据共享与开放是推动数据价值流通的重要方式,可促进产业协同、科研创新与公共治理。在企业实践中,这一阶段常见于: 内部共享:跨部门、跨子公司数据调用 外部共享:与合作伙伴、供应商、客户、监管机构交换数据 开放发布:向公众或特定群体开放数据集、API 接口、统计报告等 然而,共享与开放一旦缺乏制度化管控,就可能成为数据泄露、滥用、违规的高发区。尤其是涉及个人信息、重要数据、商业秘密的共享与开放,若未严格履行审查与安全措施,将直接引发法律责任。 6.2 数据共享的法律边界6.2.1最小必要与目的限定《个人信息保护法》第6条:处理个人信息应有明确、合理目的,限于实现目的的最小范围。 数据共享应仅限于实现业务或法律义务所必需的范围,不得“顺便”扩大用途。 6.2.2合法性基础内部共享可基于合同履行、法定职责等 对外共享须取得数据主体同意,或基于法律授权 6.2.3敏感数据的特别保护敏感个人信息共享需单独同意 重要数据、核心数据共享须经安全评估,部分情况需报网信办审批 6.2.4合同与审查机制对外共享应签订数据共享协议(Data Sharing Agreement, DSA) 协议应明确数据范围、用途、存储期限、安全责任与违约责任 6.3 数据开放的法律边界数据开放不同于共享,开放意味着数据面向更广泛、不特定的公众使用,其法律风险更高: 个人信息保护:必须经过脱敏、匿名化处理,并确保不可逆重识别 商业秘密保护:不得开放涉及企业竞争优势的机密信息 公共数据开放:需遵守《促进大数据发展行动纲要》等政策和地方政府开放平台规则 开放许可协议:明确数据使用的范围、方式与限制(如ODC、CC等许可协议) 6.4 典型法律风险风险一:未经同意或授权共享表现:将用户数据直接提供给广告商或合作伙伴 案例:2022年,某App被监管部门认定为“在用户不知情情况下向第三方SDK传输个人信息”,被处以百万级罚款 风险二:共享后缺乏用途控制表现:合作方将共享数据用于合同约定之外的用途 案例:某银行与第三方征信机构共享客户数据,后者将其用于营销,银行被追究连带责任 风险三:开放数据重识别风险表现:开放数据集中包含可与其他数据匹配的唯一标识 案例:美国马萨诸塞州医保开放数据集被研究人员结合投保人信息重识别 风险四:重要数据非法出境表现:通过开放API接口,使重要数据被境外服务器调用 案例:某跨境平台因未对API调用地域限制,导致重要数据被境外批量抓取,触发数据出境调查 6.5 我国法律要求 | | | [size=12.0000pt]《个人信息保护法》 | [size=12.0000pt]第21条、第25条 | [size=12.0000pt]对外共享应取得同意,开放应经匿名化处理 | | [size=12.0000pt]第31条、第36条 | [size=12.0000pt]重要数据共享应进行安全评估 | [size=12.0000pt]《保守国家秘密法》 | | | [size=12.0000pt]《反不正当竞争法》 | | [size=12.0000pt]商业秘密不得非法披露、使用或允许他人使用 |
6.6 国际对比 | | | [size=12.0000pt]数据可携权、数据主体明确同意;对开放数据的再利用有限制 | | [size=12.0000pt]各州分散立法;开放政府数据以透明原则为主,但涉及隐私需单独保护 | [size=12.0000pt]澳大利亚(Privacy Act) | [size=12.0000pt]对开放数据要求进行去识别化审查并持续监测 |
6.7 风险防控措施(落地清单)6.7.1技术层面共享前进行数据脱敏、去标识化处理 对开放API设置调用频率、地域与权限限制 建立共享数据的全程追踪与日志审计系统 6.7.2管理层面制定数据共享与开放管理制度 对外共享需通过法务与数据安全双重审查 对合作方定期开展合规评估 6.7.3合规层面签订数据共享协议/开放许可协议 对涉及重要数据的开放,提前进行安全评估与备案 建立数据重识别风险评估与预防机制 6.8 小结数据共享与开放是数据要素市场化流通的重要推动力,但同时也是合规风险的集中爆发点。李章虎律师认为,企业应坚持“以安全促流通,以合规保价值”的原则,通过技术、制度与合同三位一体的防控体系,确保数据在共享与开放过程中既能发挥经济与社会价值,又不触碰法律红线。 第七 数据交易与变现的法律风险7.1阶段概述数据交易与变现是数据从资源转化为经济收益的关键环节,形式包括: 通过数据交易所或数据要素市场出售或交换数据产品 在平台上有偿提供数据访问或分析服务 以数据为基础开发增值产品或算法模型并销售 将数据打包进入数据资产化与融资过程 该环节法律风险极高,因为它涉及数据的权属、合规流通、安全保护、跨境流动等多重监管要求。
一旦交易过程缺乏合规审查,可能触发个人信息保护法、数据安全法、反不正当竞争法、知识产权相关法律等多部法律的处罚。 7.2我国法律框架下的数据交易合规要求7.2.1 数据不得违法来源《数据安全法》第27条:不得窃取或者以其他非法方式获取数据,不得买卖非法数据。 《个人信息保护法》第44条:禁止非法买卖、提供个人信息。 7.2.2 数据确权与权属管理对数据资源进行权属界定(个人信息权、企业数据控制权、数据产品著作权/数据库权等) 明确交易标的的知识产权归属及转让范围 7.2.3 数据交易场所与资质地方已设立多个数据交易所(如上海、北京、广州),要求交易双方通过平台进行合规登记 交易数据需通过安全评估(涉及重要数据、跨境数据时尤为关键) 7.2.4 合同与安全保障《数据交易合同》应明确:数据内容、范围、使用限制、保密义务、违约责任、技术安全要求 对交易过程实施加密传输、链路追踪与交付验证 7.3 数据变现的主要模式与风险点7.3.1直接出售数据集风险:个人信息交易违法、商业秘密泄露 7.3.2出售数据分析结果风险:分析结果仍可能泄露敏感信息或被重识别 7.3.3出售基于数据训练的模型或算法风险:训练数据侵权、模型被逆向推导出原始数据 7.3.4数据资产化融资风险:资产估值依赖数据真实性与合法性,一旦数据来源违法将导致融资合同无效 7.4典型法律风险风险一:非法买卖个人信息表现:交易包含未经同意的个人数据 案例:2022年,某科技公司通过暗网交易平台出售1亿条用户信息,被认定为侵犯公民个人信息罪,负责人获刑 风险二:交易数据来源不合法表现:数据从黑灰产获取,未尽来源审查义务 案例:某银行购买的客户名单被查明来源于非法倒卖个人信息,银行被行政处罚 风险三:跨境交易未履行安全评估表现:向境外客户出售重要数据,未进行网信办评估 案例:某制造企业因向境外合作方出售工业传感器数据,被认定为重要数据出境违规 风险四:知识产权争议表现:交易数据包含未经授权的第三方数据库内容 案例:某数据分析公司因出售包含爬取内容的数据库,被判赔偿原网站运营方经济损失 7.5 国际对比 | | | [size=12.0000pt]中国[size=12.0000pt](DSL、PIPL) | [size=12.0000pt]严格禁止非法来源数据交易,重要数据需安全评估 | [size=12.0000pt]地方设立数据交易所,推动数据要素市场化 | [size=12.0000pt]欧盟(GDPR、Data Governance Act) | [size=12.0000pt]数据交易须满足合法性基础和数据主体权利保护 | [size=12.0000pt]鼓励数据中介机构受监管运营 | | [size=12.0000pt]无统一联邦法,部分州禁止出售特定类型数据 | [size=12.0000pt]CCPA赋予消费者拒绝出售个人信息权 | | [size=12.0000pt]鼓励数据交易,但需遵守PDPA的同意和安全原则 | [size=12.0000pt]政府推动可信数据交换框架(TDE) |
7.6风险防控措施(落地清单)7.6.1技术层面使用区块链等技术对交易数据进行溯源与确权 采用加密传输与水印技术,防止交易数据被篡改或非法复制 部署数据交付验证系统(Delivery Verification System) 7.6.2管理层面建立数据交易合规审查制度,审查交易标的、来源、权属 对跨境交易启动安全评估与备案程序 对交易相对方进行尽职调查(KYC+数据安全能力评估) 7.6.3合规层面通过合法数据交易平台进行交易 签订完备的数据交易合同,包含使用限制、禁止转售条款 定期复核交易数据的使用情况,防止用途偏离合同约定 7.7 小结数据交易与变现是数据价值实现的高地,也是法律风险的集中地带。企业应在交易前确保来源合法、权属清晰、合同完备、安全可控,在交易过程中落实加密、溯源、交付验证,在交易后保持用途追踪与违规处置。只有建立全链条的合规与风控机制,才能在数据要素市场化浪潮中稳健发展。 第八 数据销毁与归档环节的法律风险8.1 阶段概述数据销毁与归档是数据全生命周期的收尾环节,也是合规闭环的关键一环。 数据销毁:指在数据达到保留期限、用途已实现或数据主体要求删除时,通过技术与管理手段彻底清除数据,使其不可恢复。 数据归档:指将仍有保留价值但不再用于日常业务的数据,转移至长期存储介质并限制访问。 这一阶段往往被企业忽视,导致“名义删除”却可恢复、销毁过程缺乏记录、归档数据被非法调用等风险。从法律视角看,销毁与归档直接关联数据主体权利保障、合同履行、合规审计以及法律责任的解除。 8.2 我国法律要求8.2.1 数据销毁的法律依据《个人信息保护法》第47条:个人信息处理者应当在目的实现、保存期限届满等情形下,主动删除个人信息;删除应彻底、不可恢复,并记录删除情况。 《数据安全法》第27条: 数据处理者应采取措施防止数据泄露、被窃取、篡改、丢失,包括安全销毁。 8.2.2 数据归档的合规要求《档案法》:涉及国家机关、企事业单位的重要文件、数据应依法归档保存。 《个人信息保护法》:归档数据不得超出原有处理目的使用。 行业监管规定(如金融、医疗):规定了特定数据的最短保存期限(如银行交易记录不少于20年)。 8.3 典型法律风险风险一:名义删除表现:系统中标记“已删除”,但实际数据仍保留在数据库或备份中,可恢复。 案例:某社交平台用户注销后,个人资料依旧在服务器保留,被媒体曝光后引发监管调查。 风险二:销毁过程无记录表现:企业未留存销毁操作日志与第三方销毁证明,导致无法证明合规性。 案例:某外包数据销毁公司违规出售已接收的硬盘数据,委托企业因缺乏审计记录被连带问责。 风险三:归档数据被违规调用表现:归档系统缺乏访问控制,被员工调用用于营销或外部交易。 案例:某金融机构归档的历史交易数据被客服部门擅自调出并出售,造成重大泄露事件。 风险四:未及时响应删除请求表现:用户提出删除个人信息的请求,但企业以技术或流程为由长期拖延。 案例:2023年,有App因用户多次申请删除个人信息而长期未处理,被工信部通报。 8.4 国际对比 | | | [size=12.0000pt]中国[size=12.0000pt](PIPL、DSL) | [size=12.0000pt]到期删除、彻底销毁、保留销毁记录;归档不得超范围使用 | [size=12.0000pt]行业有特定最低保存期限要求 | | [size=12.0000pt]赋予“被遗忘权”,到期或撤回同意必须删除;归档需限权访问 | [size=12.0000pt]可为公共利益、科研等目的保留 | | [size=12.0000pt]无统一联邦法;医疗(HIPAA)等行业规定保存和销毁标准 | [size=12.0000pt]允许出于合规、诉讼保存例外 | | [size=12.0000pt]要求删除或匿名化,归档需采取访问限制措施 | [size=12.0000pt]特定业务领域要求定期销毁 |
8.5 风险防控措施(落地清单)8.5.1技术层面采用物理销毁(碎片化硬盘、焚烧介质)与逻辑销毁(多次覆盖擦除)相结合 对归档数据启用加密存储与访问控制 部署自动化销毁任务调度,定期扫描过期数据 8.5.2管理层面制定《数据销毁与归档管理制度》,明确责任人、流程与审批环节 与第三方销毁服务商签订合规合同并留存销毁证明 建立归档数据调用审批制度,调用日志至少保存3年 8.5.3合规层面按法律及行业规定设定数据保留期限 针对个人信息,建立用户删除请求响应机制(建议≤15个工作日完成) 在隐私政策中向用户公开数据保留与销毁规则 8.6 小结数据销毁与归档看似生命周期的终点,实则是数据合规的关键关口: 销毁合规,才能避免历史遗留数据泄露与法律责任延续; 归档合规,才能在保留价值的同时防止违规使用。 企业应将销毁与归档纳入年度数据合规审计,并与采集、传输、存储、处理等环节形成全链路闭环,确保数据从生成到销毁全程合规可追溯。 第九章 未来展望随着数字经济的深化,数据将成为贯穿经济、社会、科技全链条的战略资源。未来三至五年,李章虎律师认为,数据法律体系将呈现以下趋势: 从保护走向治理:数据不仅要安全,还要流通、要素化、可持续利用; 从单一法规走向协同立法:网络安全、人工智能、数字贸易规则将与数据法协同; 从企业合规走向产业合规生态:行业协会、数据交易所、技术联盟将参与合规标准制定与落地; 从国内标准走向国际对接:跨境数据流动的规则与互认机制将决定国际竞争格局。 数据合规并不是阻碍企业创新的枷锁,而是确保创新能够长久、安全、可持续的制度保障。真正的领先企业,不仅在产品和技术上创新,更在合规和治理上树立标杆。希望本概述成为企业、法务、技术与监管者之间的桥梁,让数据在法律的护航下,安全地释放其无限潜能。
| 
发表于 2025-8-11 17:50:02
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享