海外实务指引│数据海外知识产权保护

近日，北京市知识产权公共服务中心（北京市知识产权维权援助中心）开展以“数据海外知识产权保护”为主题的海外知识产权保护问题研讨。两位嘉宾分别围绕数据合规与跨境的挑战与应对思考、数据交易与境外常见数据交易模式进行交流。以下为授课专家发言要点，供学习参考。

议题一：数据合规与跨境的挑战与应对思考

发言人/作者：杨淼 北京金山云网络技术有限公司知识产权与数据合规高级总监、DPO

一、数据合规体系

我国从个人信息保护、网络安全等不同角度，以民、刑保护相结合的方式进行数据合规体系建设，对数据安全进行多方位的保护。

（一）数据的分级分类管理

企业对数据风控管理不能采用“一刀切”的方式，而应该对数据进行分级分类管理，对数据进行针对性保护，这是数据合规的关键步骤。

企业进行数据分级分类管理的前提是数据识别，即根据企业基本信息、业务线条基本信息、系统和平台基本信息、数据存储环境基本信息等编制数据资源目录清单和数据资产清单。其次，制定分级策略和分类策略。根据数据的业务属性和自身属性、影响对象和影响程度、最高字段级别以及最高表级别等编制分级分类指南。最后，将企业数据进行分类，并在每一类别内将数据细分为一级数据（可公开数据）、二级数据（一般数据）、三级数据（内部数据、重要数据）以及四级数据（敏感数据、关键数据），形成数据资产分类分级清单，并以此作为风控管理的凭证。

（二）公共数据的特殊性

公共数据不可随意处理，不同主体对应着不同的处理方案。具体来看：①对于数据主体，即数据描述的主体，如人、组织等，应在征得其同意的情况下开放数据。②对于采集数据的数据提供者，应当按照主体意愿和法律法规的规定使用数据。③数据（申请）使用者应当合法合规使用数据。④对于数据归集、存储、开放平台管理者等数据保管者来说，应当根据数据安全等级要求存储数据，按照分级分类要求开放数据。

（三）数据合规的构建及思考

1.多维度设计体系

结合安全设计（技术）、合法设计（法律）、人文设计（伦理）等多维度完善合规体系。具体地：（1）技术层面保护：数据和个人信息流转利用的持续风险监测与处置推演等；（2）组织层面保护：全生命周期的数据和个人信息管理流程（特别是合法、正当、必要性论证）、面对国内外司法执法机关的数据提供与批准机制、内外部人员的教育培训等；（3）内容层面保护：数据、数据技术、数据应用的价值与伦理评判等。

2.风控策略

首先应当遵守法律、合规监管，免受处罚；其次，布局为先，将数据合规融入公司整体合规体系，进行常态化建设。

3.落地关键

数据合规落地的关键在于深耕相关法律，构建全球格局，并且定岗定责、定岗定人，责任到人。将防御措施纳入常态化建设范畴对冲政治经济风险和不确定性。

数据合规体系应重点关注新业务和全周期的数据监管、数据合规的全球标准、成本控制综合效益以及敏捷迭代等问题，依据法规指令和管理标准，利用技术工具，依托公司管理和运营，通过第三方认证、声明以及合约等形式构建完整的数据合规体系。

二、数据跨境

（一）跨国公司的数据合规

域内外数据合规无论是适用范围、跨境前提、境内存储以及个人信息分级分类管理等均存在较大差异。跨国公司应重点关注两类政策：一是面向员工、用户、消费者等自然人主体的隐私政策；二是面向客户、供应商、合作伙伴等商业主体的标准协议。

跨国公司的数据跨境合规进程包括：

1.合规框架初步搭建：从制度、组织、管理、应急等管控体系搭建符合全球主流数据法要求的公司级合规框架；

2.地区风险重点规避：全球范围内选取重点交易区域，将跨境审批流程嵌入数据跨境合规体系；

3.高危业务识别管控：实现营销、客服、人力资源、财务、采购等重点业务、流程和关键岗位、场景的管理全覆盖。

（二）数据跨境的途径和方式

1.安全评估

《数据出境安全评估办法》第四条规定，数据处理者向境外提供数据，有下列情形之一的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估：（1）数据处理者向境外提供重要数据；（2）关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息；（3）自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息；（4）国家网信部门规定的其他需要申报数据出境安全评估的情形。

2.标准合同、认证

个人信息出境标准合同坚持自主缔约与备案管理相结合、保护权益与防范风险相结合，保障个人信息跨境安全、自由流动。标准合同借鉴了欧盟监管机关依据《通用数据保护条例》（GDPR）发布的最新版标准合同（SCC），但同时根据《个人信息保护法》的要求体现了颇多原创性规定。

个人信息跨境传输认证是一种国内外通行的第三方评价制度，通常由具有专业能力的第三方机构依据一定的标准和技术规范，对产品、服务或者企业的管理体系、人员能力做出评价，社会可依据评价结果判断企业。

数据跨境的本地化存在以下四种不同的规定：①无任何限制：可以自由进行跨境传输；②本地化存储：除非本地镜像存储，否则不得跨境传输；③本地处理：不仅需要在本地存储，主要的数据处理活动也需要再境内进行；④禁止跨境：数据的收集、存储、处理和销毁均在境内，不得跨境。企业需要根据不同国家的不同法律、法规，结合当地司法环境，做最为稳妥的数据跨境保护策略。

三、企业数据合规体系建设

（一）数据合规体系的构建

企业数据合规综合体系构建包括组织架构及管理、制度建立及落地、人员安排及培训、技术执行及管控四个方面。首先，企业应当明确数据合规管理组织架构，制定数据合规战略，通盘考虑数据安全与隐私合规，实现体系化融合。其次，建立详细的合规管理制度，精简高效并抓住核心风险，明确流程定义及责任划分。再次，明确责任分工及责任制度，建立奖惩制度，加强培训和管理，提升安全和隐私合规意识。最后，运用技术手段加强公司数据合规的技术能力和管控能力（包括防泄漏、安全、自动化、行为审计等）。

（二）数据合规和跨境合规的企业工作模型

其中，管理体系包括组织架构、制度保障、教育培训、审计和应急响应等内容。技术措施包括数据识别、个人信息保护、接口安全管理、操作审计以及数据防泄露。

议题二：数据交易与境外常见数据交易模式

发言人/作者：李瑞 中伦律师事务所北京办公室合伙人

一、数据确权背景

数据要素产权的清晰界定是数据要素市场化配置实现的基础条件，数据要素权属不清是培育数据要素市场的首要制约因素。数据要素产权不清晰直接影响了数据资产定价、数据共享开放、数据交易、数据安全、隐私保护等环节，不仅导致数据资源配置效率低下，而且扰乱了公平竞争的市场秩序。只有产权清晰的数据，才能使所有权和使用权相分离，数据才能顺利进入要素市场，从而确定交易权和收益权。

2022年12月19日，中共中央、国务院《关于构建数据基础制度更好发挥数据要素作用的意见》（“数据二十条”）正式颁布，从数据产权、流通交易、收益分配、安全治理等方面构建了我国的数据基础制度。“数据二十条”对此创造性地提出建立数据资源持有权、数据加工使用权和数据产品经营权“三权分置”的数据产权制度框架，从而淡化所有权，强调使用权，聚焦数据使用权流通。

二、从北数所看我国数据交易内容

北数所的数据产品类型包括数据服务、数据API、数据包以及数据报告，主要的服务内容包括：数据信息登记服务、数据产品交易服务、数据运营管理服务、数据资产金融服务以及数据资产金融科技服务。具体服务内容如下：

第一，数据登记服务。北京市政府部门将数据目录中的公共数据通过无条件开放和授权开放形式向北数所有序汇聚，企业可在北数所内免费或有条件使用数据登记平台数据开发数据产品。

第二，数据产品交易服务。数据产品范围包括商业数据、数据分析工具、数据解决方案等。交易类别有数据产品所有权交易、数据产品使用权交易、数据产品收益权交易、数据产品跨境交易。

第三，数据运营管理服务。制定数据中介服务机构运营管理制度，严格数据中介服务机构准入，培育专业的数据中介服务商和代理人。建立全链条数据运营服务体系，为市场参与者提供数据清洗、法律咨询、价值评估、分析评议、尽职调查等服务。

第四，数据资产金融服务。探索开展数据资产质押融资、数据资产保险、数据资产担保、数据资产证券化等金融创新服务。提供质押标的处置变现、风险代偿和评价估值服务。

第五，数据资产金融科技服务。通过大数据、云计算、人工智能、区块链等技术，发挥交易平台线上交易、智能评估、智能撮合、风险提示等功能。

三、欧美国家的数据交易

（一）欧美国家的数据确权背景

与国内相比，无论是欧洲国家还是美国对数据权属问题的讨论均比较少，但这并不意味着该国家或者地区不进行数据知识产权的交易。在不讨论数据权属的情况下，欧美国家对于数据交易通常仅作形式上的审查，同时采用技术手段将数据知识产权作为商业秘密，达到保护数据安全的目的。

应当注意的是，欧美国家重视数据实用性，不重视数据确权的做法对于促进数据流通具有积极促进作用，但欧美国家仅依靠采用技术手段保护数据安全的做法仍然存在一定的安全隐患。例如，美国的综合平台Factual汇聚了部分国家的免费数据供用户查询使用，但通过对免费数据的统计分析，可能会威胁国家安全。

（二）常见的交易平台

1.第三方中介平台（C2C）

第三方数据拥有者将原始数据挂到数据交易市场上公开出售，数据需求方按照约定价格（买断数据/按小时计费、平台会员费）购买后，可以在数据交易平台上获得离线的数据包或者实时API，若最终成功交易，平台收取一定佣金后返还销售收入给第三方数据拥有者。这类型数据交易平台代表有RapidAPI（美国）、Streamr（瑞士）。

2.第三方中介平台（B2B）

数据拥有者与数据交易平台合作，先将数据提供给平台，平台经过整合后再将数据通过离线数据包或者实时API的方式出售给数据需求方。该模式下数据拥有者并不直接接触数据需求方与之进行交易，而是通过数据交易平台进行，因此数据交易平台掌握着更大的话语权。此类交易平台代表有BDEX（美国）、DAWEX（法国）、CARUSO、Quandl。

3.综合平台（B2B）

数据拥有者和数据需求方不会直接接触，而是通过数据交易平台进行最终撮合。不同的是，交易的产品不仅仅包括离线的数据包或者实时的API，还包括数据产品和数据综合解决方案，可以直接应用到数据需求方的商业模型上，价值量更大。综合平台（B2B）涉及到的价值链环节更多，因此也能产生更多的价值。此类交易平台代表有Factual（美国）等。

从价值量上来说，综合平台（B2B）涉及到的价值链环节更多，因此也能产生更多的价值，其次是第三方中介平台（B2B），最后是第三方中介平台（C2C）。

整理：北京智睿海外知识产权研究院

（来源：北京市知识产权公共服务中心）

（免责声明：此文章来源于网络，版权归作者所有，若有版权问题请作者尽快告知我们，我们将尽快删除相关内容，表示歉意！）