上海瀛东律师事务所在数据资产交易的法律业务中进行了许多探索和创新,是上海市数商协会首届理事单位;入库上海数据交易所,并获得上海数据交易所颁发的“数据合规评估服务商”证书。
在2023年4月15日举办的“数法融生 智领未来——第七届新兴法律服务业高峰论坛”上,上海瀛东律师事务所高级合伙人、互联网法律事务部主任张楠围绕数据资产交易的背景、数据交易的发展及瀛东律师事务所在数据资产交易中的实践经验进行了分享。
张楠
上海瀛东律师事务所高级合伙人、互联网法律事务部主任
各位尊敬的来宾:
大家下午好!在今天的论坛上,大家分享了很多有关ChatGPT等人工智能领域的信息。我也和郑戈教授一样,和ChatGPT玩了个游戏,我问了它很多关于自己专业知识的法律问题,果不其然,它是在一本正经地胡说八道。
于是,我又让ChatGPT给我写一份关于我的简历。我把我自己写的简历贴到对话框中,请它浓缩成100个字,并且要突出我的专业性。结果,他写出了一个我完全不认识的人的简历,他说是我一位香港的律师,非常专业,尤其是在知识产权、数据等方面,促进了中国数据法律服务的发展。
如果大家有ChatGPT账号的话,也可以试试看。当你让它帮你写简历,并要突出专业性时,他往往会把你描述成一个非常不一样的自己。
所以,我认为ChatGPT本质上还是一个闲聊的软件,还没有达到能代替某一个工种的状态。从这个角度而言,目前其实有非常多的人工智能应用正在出现。那么今天我要分享的是人工智能的再底层——数据。
无论是哪一项人工智能,一定要解决的问题就是大量数据的采集和使用。下面,我将利用我们已有的关于数字资产交易的经验,与大家分享一下关于数据交易领域法律服务的一些经验。
我来自上海瀛东律师事务所。瀛东创立于2013年,目前团队规模有两百余人,已跻身上海本土规模Top20的综合性律师事务所行列。
瀛东在数字法律服务领域具有一定的专业优势,是上海市数商协会首届理事单位,已入库上海数据交易所,并获得“数据合规评估服务商”证书。
01
数据资产交易的背景
谈到数据,我们要先解决一个问题,就是它的背景。谈到数据化转型,不得不提我国在2015年9月发布的《促进大数据发展行动纲要》,其中指出要培育大数据交易市场。此外,2020年4月9日发布的《关于构建更加完善的要素市场化配置体制机制的意见》,又提出了 “土地、劳动力、资本、技术、数据五大生产要素的改革方向和相关体制机制的建设要求”。
基于这个规定,国资委发布了《2020年国有企业数字化转型典型案例》,将案例类型分为以下8类。很多国有企业已经围绕这8个类别,进行了数据化转移。大家可以发现,这些数据化转型无非都体现了一个数据确权、形成数据资产以及数据交易的过程,也就是说,形成数据交易是一种数据化转型的体现方式。
我们知道法律人其实很喜欢做一些定义。关于什么是数据、什么是数据资产,在2023年1月《数据资产管理实践白皮书(6.0 版)》中,将其定义为:“数据是企业资源的具体表现形式和重要载体,在万物互联的时代,数据将渗透至企业设计、生产、管理、服务和运营的全流程,对企业资源获取和配置的优化过程即是利用数字化手段重塑企业发展模式和竞争优势的过程。通过业务数据化,应用数据采集、传输、加工等技术,推动业务全面线上;通过数据业务化,实现数据智能决策,驱动业务创新。”
同时,在2022年的《关于构建数据基础制度更好发挥数据要素作用的意见》里指出,“数据作为新型生产要素,是数字化、网络化、智能化的基础,已快速融入生产、分配、流通、消费和社会服务管理等各环节,深刻改变着生产方式、生活方式和社会治理方式。”强调了数据是一个生产要素。这都表明,数据其实是存在一定的属性以及有一定价值的。
关于数据资产的定义,《数据资产管理实践白皮书》将其定义为“由企业拥有或者控制的,能够为企业带来未来经济利益的,以物理或电子的方式记录的数据资源,如文件 资料、电子数据等。在企业中,并非所有的数据都构成数据资产,数据资产是能够为企业产生价值的数据资源”。《信息技术服务治理第5部分:数据治理规范》认为数字资产是“组织拥有和控制的、能够产生效益的数据资源”。《信息技术服务数据资产管理要求》将其定义为“合法拥有或者控制的,能进行计量的,为组织带来经济和社会价值的数据资源”。
在各类白皮书及规范制度中,虽然有一些描述的不同,但总体都体现了数据资产的可交易属性。国家也注意到数据交易的重要性,提出了要“打破数据的孤岛”。
在法律的业务领域,随着人工智能的不断发展,数据交易也在不断推进中。数据需要完成交易,让许多数据人工智能的公司可以合法合规地获得数据,进行交易。
02
数据交易的发展
2014年,上海数交所成立,2015年,贵阳大数据中心成立。近年来,我国的数据行业和数据交易产业发展非常迅猛。比如像“企查查”之类的数据公司,已经把它们海量的数据都挂牌到了数据交易所,通过进行数据交易,获得额外的收益。
以上是我们现有的数据交易规模。我们也要看到,在数据交易蓬勃发展的情况下,也存在很多问题。国家信息中心国家电子政务外网管理中心于2023年3月24日,发布了《统筹规范交易场所加快数据流通》,指出:数据交易场外市场比场内市场活跃,“数据黑产”亟须整治。所谓的“数据黑市”就是说它并不存在于规范的数据交易所,而是散落在很多非规范的场景里,这些数据存在的不合法、不合规、不真实的情况,会给数据交易造成很大的影响。正因为国家注意到这些情况,也相应颁布了一些规定,比如《数据安全法》第十九条规定:“国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场。”
此外,正如郑教授前面提到的,我国刚出台的《生成式人工智能服务管理办法(征求意见稿)》 也提到人工智能获取的数据,应该是合法合规,应该是真实的。
那么,我们法律人、我们律师可以在这一领域做什么呢?其实我们可以利用我们的专业性、合规性,去引导市场进行真实、合规的数据交易。
03
数智化律所建设中律所需求的观察与思考
基于此,我给大家分享一下瀛东在数据交易过程中的一些实践。这是一张数据交易图:这里有一个供方,他有一些资源,可以完成采集评估,挂牌之后,再由需方去买。
那么在这个过程中,律师能做什么呢?目前阶段,我们一般会协助公司完成数据资产,第二是协助公司进行数据资产的挂牌交易。
在日常的调研中我们发现,非常多的企业手上有很多数据,但是这些数据都是数据库,企业不敢去用,或者是不懂怎么去用。那么,律师首先可以告诉他们,我们将如何协助你把手上这些数据形成数据资产,包括通过对数据进行集合、分类等方式形成数据资产、数据产品。随后,我们可以通过两种方式:一种是做数据评估,不把它进行交易,只放在公司内部,成为我们的无形资产;另外一种就是形成数据资产在数据交易所进行挂牌交易。
在进行数字资产挂牌的过程中,律师能做什么?首先,我们会对数据来源进行确认,然后将这些数据进行“分类分级”管理。数据来源的确认无非就是基于几条红线的规范。这里涉及的法律法规较多,我围绕几条比较重要的进行说明:
第一,《数据安全法》里提到数据的采集应当是合法的。
第二,《上海市数据条例》里也提到的,数据的获取应该是通过合法正当途径的,所以就要求提供数据的公司所持有的数据也是合法正当的。
其实这里还会产生第二个问题。早年间,大家对于数据及数据确权的问题并不重视;对于数据的归属权,以及它应该由哪一个法律去规范是存在争议的。虽然我确实是合法持有某些数据,但我能不能去使用这些数据,还是存在疑问的。比如说,早年大众点评出现的数据纠纷,到底他们手上的数据是应该作为商业秘密去保护,还是作为无形资产保护,还是作为软件著作权去保护?甚至后来还有人提出,这是一个非常多权利并在一起的“权利树”。
举例来说,前年字节跳动在北京被诉,原告用户的理由是:“我在注册字节跳动的时候,已经明确拒绝软件访问我的手机通讯录,但是我在使用软件时,它给我推送‘你的某个朋友也注册了抖音,你们要不要加个关注?’”原告认为,我已经明确拒绝你访问我的手机通讯录了,你怎么可能会知道这个人是我的朋友呢?字节跳动的抗辩理由是,我们其实并没有访问过你的手机通讯录,但是你的朋友披露了他的通讯录,你恰好就在这个通讯录里面,所以我们就通过大数据帮你匹配上了。
法院最终的判决是什么?法院仍然判决字节跳动存在侵权,但是他的理由是,字节跳动的数据存储行为是有争议的。也是因为这个原因,会使大家在使用数据时,哪怕仅仅是持有数据,都会有所顾虑。
现在,《关于构建数据基础制度更好发挥数据要素作用的意见》提出,要建立数据资源持有权、数据加工使用权、数据产品经营权等分置的产权运行机制,健全数据要素权益保护制度。这就意味着,虽然我不是这个数据的原始取得者,但是基于这些权利的指导,我可以进行一系列操作。
接下来,当律师确认这些数据是真实、合理持有并可以使用的之后,下一步就是进行分级分类处理。分类分级处理一般会有以下5种:①公开数据收集;②自行生产;③合法间接获取;④合法的直接采集;⑤其他来源。其中的“其他来源”其实是有争议的,比如说现在一些通过“爬虫”等技术手段爬取的一些数据,到底能不能算是真实合法的获取手段呢?大家也可以进一步讨论。
分类有一些大原则:“分级分类”和“分类分级”,这是两个先后顺序,其实在法律里面都出现过。现在,在数据的管理上基本采用的是“分类分级”,先分类后分级。现在上海数交所也要求,先完成分类,再完成分级。
“分类”方式现在有很多不同的。一个是基于数据的加工程度不同。原始的数据、进行脱敏、标签、统筹或者融合的数据等,这是基于不同数据进行分类的一种方式。
另外一种“分类”方式是基于《网络安全标准指实践指南》,数据分为公共数据、个人信息以及法人数据。这种分类数据的方式,在“数据二十条”里体现过,我们现在一般都会按照这种方式去进行分类。比如个人数据和法人数据。
个人数据:《个人信息保护法》对“个人数据”进行了专门的规范。要强调是,个人信息中还要再进行细致的分类,其中可能会存在个人的敏感信息,包括金融账户、生物信息等,尤其比如“个人的医疗信息”等数据,这些信息的披露要求会更高一些。
法人数据:法人数据是业务经营产生的,现在大部分出现在数交所交易的数据都是法人数据,它的相关操作会稍微简便一点。
在完成了数据分类之后,律师就要对数据进行分级。分级主要是区分一般数据、重要数据、核心数据。分完级之后,核心数据就属于不可使用的。和分类一样,数据的分级也有好几种不同的规范标准,涉及核心数据、重要数据等的规范较多。以下这几个类别可以给大家分享。
通过《信息安全技术网络数据分类分级要求(征求意见稿)》及《网络安全标准实践指南数据分类分级指引(征求意见稿)》这两张图,我们可以更好、更直观地去确认什么是核心数据,什么是重要数据。
大家要注意,核心数据一旦泄露,会对国家的整体安全造成严重、不可逆的影响。而重要数据可能会对国家安全产生一般的影响。
其余就是公开数据、敏感数据和内部数据。
而完成分类分级之后,我们还要注意到,许多数据中涉及海外数据。实按照现有的规范,国家还是鼓励使用海外数据的。海外数据是指我们在服务海外国家时,一些数据来自国外但在我们本土的服务器上储存的情况。碰到海外数据,要关注这些数据的来源地,比如如果这些数据来自欧盟,那么我们可能要注意GSP规范;如果数据来自于美国,就要注意美国数据管理,因为他们有“长臂管辖权”,可能还会管辖到我们这里。
在完成数据评估,产生数据产品之后,律师要做下一件事,就是协助公司完成一些数据交易。在交易中,除了前面提及的合法性审查(数据必须有一个合法的来源),我们在审核时,还要关注这个企业是不是完成了数据相关的监管管理,有没有相关的规范、章程,保证其数据存储的安全性。基于这个,我们可能还要注意企业的机房管理制度、个人保护制度,是否有数据合规官等问题,从而确保这些数据的披露不会对其已使用、已存储的数据造成影响。
最后,我想和大家分享两个在数据交易中特别敏感的内容:
一、脱敏后的个人信息,因为有时候我们拿到的数据其实是已经是脱敏过的信息,我们认为,它是可以进行交易的。但是按照《个人信息保护法》中的规定,个人信息是脱敏后的信息,其实我们在使用前,是需要再进行一次影响评估的。
二、这些重要的数据,你是不是已经完成了风险报告?只有拿到这个报告,这些数据在数交所进行挂牌交易才是比较安全的。
另外关于一些金融数据,现在非常多企业掌握的数据许多是涉及金融数据的,想把这些金融数据进行交易,而市场上也是非常欢迎这类数据。在这种情况下,我们会对这些数据进行一次类似于分级的处理,确认其中有哪些属于涉及国家安全、公众安全和个人隐私的。当然,这并不是一个确定的分级。完成分类分级之后,其实还会进行一次调整。有数据可能是融合的,那么级别就会上升;比如说对其进行了一些脱敏处理,它的级别就会有所下降。
总体而言,目前基于技术的发展,国家的规范化及全球的共识,数据作为最底层的生产要素,其关注度会越来越高。数据交易作为数据发展中的一个重要表现,未来将会成为一个较大的“蓝海市场”。
未来,我希望可以与大家继续围绕数据、数据交易、数据安全管理规范等议题进行更深入的沟通。
谢谢大家!
END