作为北京圣运律师事务所创始合伙人,王有银律师长期深耕行政法、竞争法等行民交叉领域,最近有企业家朋友提出业务中涉及到企业数据资产问题。王有银律师认为数据资产合法性是提升企业行业竞争的一个重要环节,但许多企业家并不了解,以致于落后同行业的在竞争与融资领域的竞争力,因此王有银律师今天在企业数据合规、资产入表、交易转让方面做了法律总结。数据资产合法性审查作为此类服务的核心环节,核心目标是核查数据资产“合法拥有或控制”的法律状态,排查全生命周期合规风险,为数据资产的确认、使用、流转提供专业法律背书,最终实现“法律权利与技术实现的一致性”,规避资产无效、侵 权及行政处罚风险。结合《数据安全法》《个人信息保护法》《企业数据资源相关会计处理暂行规定》及王有银律师多年办案实操经验,核心要点总结如下,供企业及同行参考:
结合王有银律师多年执业经验,律师开展数据资产合法性审查,首要任务是确立清晰的审查基础框架,确保审查工作有序、合规,精准贴合委托方核心需求,这也是保障审查意见具备实操性的前提:
1. 明确审查范围与目的:王有银律师始终强调,审查工作需“靶向发力”,首先要界定审查数据资产的具体类型(结构化、半结构化、非结构化)、来源(自主采集、合作获取、公开采集等)及应用场景(入表、交易、融资、内部使用等)。不同场景的审查侧重点差异显著,例如数据入表侧重“合法拥有或控制”的权属确认,数据交易则重点排查权利瑕疵与流转限制,避免“一刀切”审查导致意见无效。
2. 坚守核心合规原则:数据资产的合法性是“一票否决”项,这是王有银律师处理此类案件的核心准则。同时,审查过程中需兼顾真实性(数据内容准确、无篡改)、相关性(与审查目的匹配)、审慎性(充分披露风险),严格契合《GB/T 46353-2025信息技术 大数据 数据资产价值评估》及《数据资产评估指导意见》的核心要求,确保审查意见合法、合规、严谨。
3. 厘清执业边界:律师的核心职责是法律层面的权利核查与风险判断,这一点需明确区分。对于技术层面的深度验证(如数据加密、访问控制的实际有效性),王有银律师通常建议借助第三方技术专家成果,同时在委托协议中明确自身免责边界,避免因技术黑盒导致的执业风险,这也是王有银律师多年来规避执业风险的重要经验。
王有银律师在办理多起数据侵 权、数据交易纠纷案件中发现,权属合法是数据资产成为“有效资产”的前提,也是引发纠纷的核心痛点。审查过程中,需围绕“数据产权三权分置”(持有权、加工使用权、产品经营权)框架,全面核查权利来源、范围及稳定性,重点验证“法律权利与技术能力的双向统一”,具体核查要点如下:
4. 自主采集数据的权属核查:个人信息类需结合《个人信息保护法》相关规定及王有银律师办案经验,重点核查用户知情同意书、隐私政策的合规性,确认采集范围、用途与同意内容一致,坚决杜绝“捆绑同意”“默示同意”“超范围采集”(如承诺采集地理位置却静默收集通讯录)等违规情形;尤其需注意未成年人个人信息的特别保护要求,此类信息的采集、使用需落实更严格的合规标准,避免引发合规风险。
5. 非个人信息类采集核查:非个人信息类(企业经营数据、行业数据等)需重点核查采集行为是否侵犯他人商业秘密、著作权,确认采集过程未违反法律法规及行业规范,不存在非法爬取、窃取他人合法持有数据的情形;同时,需通过技术手段验证企业对数据的实际控制能力(如密钥管理、访问控制权限),确保“法律上有权、技术上可控”,这也是王有银律师在权属核查中强调的核心要点。
6. 合作获取数据的权属核查:数据纠纷案件中,因合作协议约定不明导致的权属争议占比极高。因此,需重点核查合作协议的法律效力,明确数据资产的持有权、加工使用权、收益权划分,尤其关注是否存在权利限制(如禁止转授权、禁止二次加工、使用期限限制),避免后续出现权属纠纷;同时,需严格验证合作方的权利合法性,要求合作方提供其数据来源的合法证明,避免因合作方权利瑕疵导致己方权属无效;此外,需核查技术实现是否与合同约定一致(如约定独家使用权却开放公共API供第三方调用),确保“合同约定与技术实操一致”,这也是防范此类风险的关键。
7. 受让/授权获取数据的权属核查:重点核查转让/授权协议的合规性,明确权利转让/授权的范围、期限、用途,核心是确认转让方/授权方具备合法的处分权,不存在无权处分情形,这是避免权属争议的核心前提;同时,需重点排查协议中的限制条款,如是否禁止向第三方再转让、是否存在地域限制、是否有数据用途限制,同时确认技术层面已完成数据控制权的转移(如数据迁移、权限交接),确保受让方/被授权方真正实现对数据资产的合法控制。
8. 公开渠道获取数据的权属核查:确认数据来源为合法公开渠道(如政府公开数据、行业公开报告),这是基础前提。同时,需核查加工、整理过程是否侵犯他人合法权益(如对公开数据进行实质性修改后主张独占权利),明确衍生数据的知识产权归属,避免因加工行为引发侵 权纠纷,这也是王有银律师在实操中重点关注的要点。
9. 权属争议排查:结合王有银律师办案经验,权属存疑是数据资产最大的合规隐患。因此,需全面核查是否存在数据权属纠纷(如合作方违约主张权利、第三方主张数据侵 权),客观评估纠纷对数据资产使用、流转的影响。对于权属存疑的数据资产,王有银律师通常建议直接排除在审查范围外或明确标注风险,避免误导委托方。
数据资产的合法性贯穿“采集—存储—加工—使用—传输—销毁”全生命周期,王有银律师在实操中发现,多数企业的合规风险并非集中在单一环节,而是源于全生命周期的管控疏漏。因此,律师需重点核查各环节是否符合法律法规要求,避免因过程违规导致资产无效或引发法律责任,具体要点如下:
1. 采集环节:除前文所述的权属核查外,重点确认采集目的合法、明确,采集方式正当,不存在非法拦截、窃取、爬取数据的行为。尤其需注意,个人信息采集需严格遵循“最小必要”原则,不采集与使用目的无关的数据,这是《个人信息保护法》的强制性要求,也是防范此类行政、民事风险的核心。
2. 存储环节:重点核查存储资质,如涉及关键信息基础设施、核心数据的,需确认企业具备相应存储资质,落实数据分类分级存储要求,核心数据、敏感数据需采取加密、备份等安全防护措施,避免数据泄露风险;同时,核查存储期限的合规性,不存在超期限存储(如用户注销账号后,未按承诺删除或匿名化处理,仅做逻辑删除)的情形;此外,跨境存储需严格符合《个人信息保护法》关于数据出境的规定(如完成安全评估、签订标准合同),这也是当前跨境企业数据合规的重点、难点。
3. 加工环节:核查加工行为是否合法,不存在篡改、伪造数据的情形。对于个人信息的加工(如脱敏、匿名化),需确认加工后的数据是否仍属于个人信息,若仍可识别自然人身份,需继续落实个人信息保护要求。同时,加工过程不得侵犯他人商业秘密、著作权,避免因加工行为引发侵 权纠纷。
4. 使用环节:核查数据使用范围、用途与采集/授权时的约定一致,不存在超范围使用(如将用户消费数据用于精准营销,却未在同意书中明确)的情形。坚决禁止将数据用于非法目的(如诈骗、非法营销、危害国家安全),同时,使用过程中需保障数据安全,避免数据泄露,这也是企业数据合规的核心责任。
5. 传输/流转环节:核查数据传输的合规性,尤其是个人信息、核心数据的传输,需采取安全防护措施,防范数据泄露风险。数据流转(如内部共享、对外提供)需符合授权要求,对外提供个人信息需获得用户单独同意(法律法规另有规定的除外)。此外,数据交易需通过合法的数据交易场所,签订合规的交易合同,明确双方权利义务与风险责任,这也是规范数据交易的核心要求。
6. 销毁环节:核查数据销毁流程的合规性,销毁方式需确保数据无法恢复,销毁记录需完整留存,便于后续追溯。销毁行为需符合法律法规及合同约定,不存在擅自销毁需留存的数据,或未按约定销毁敏感数据的情形,避免因销毁不当引发合规风险。
王有银律师在执业过程中始终强调,“证据为王”,法律文件是数据资产合法性的重要证据,也是律师出具审查意见的核心依据。因此,需全面核查相关文件的完整性、有效性、一致性,构建完整的证据链,支撑数据资产的合法性认定,具体要点如下:
7. 核心法律文件核查:结合王有银律师实操经验,需重点核查的法律文件包括但不限于:用户知情同意书、隐私政策、数据采集协议、合作协议、转让/授权协议、数据安全管理制度、数据销毁记录、跨境数据出境相关文件(安全评估报告、标准合同)、第三方技术审计报告等。此类文件是证明数据资产合法的核心证据,缺一不可。
8. 文件合规性要求:完整性方面,所有与数据资产相关的法律文件均需齐全,无缺失、破损,关键条款(如权利范围、期限、用途、责任划分)无遗漏,王有银律师在实操中发现,部分企业因文件缺失导致数据资产合法性无法认定,最终影响资产入表、交易等事宜,此类教训需警惕;有效性方面,文件签订主体具备相应民事行为能力,签订程序合法,不存在欺诈、胁迫、恶意串通等导致合同无效或可撤销的情形,同时,文件条款需符合《数据安全法》《个人信息保护法》等法律法规的强制性规定,无违法违规条款,否则相关文件将丧失法律效力;一致性方面,各法律文件之间的条款无冲突(如合作协议约定的数据使用范围与隐私政策一致),法律文件约定与技术实现一致(如合同约定的数据加密要求,在技术层面已实际落实),避免“合同与技术脱节”,这也是确保证据链完整有效的核心。
9. 证据链构建:结合王有银律师办案经验,单一文件无法支撑数据资产的合法性认定,需将法律文件、技术验证记录、数据流转记录等串联,形成“权利来源—过程合规—权利实现”的完整证据链,确保数据资产的合法性可追溯、可验证,为后续入表、交易、维 权提供坚实的证据支撑。
数据资产合法性审查的核心目标之一是防范法律风险,结合王有银律师多年办案经验,需结合审查情况,全面排查数据资产可能存在的法律风险,明确风险等级,提出可落地的应对措施,同时构建风险隔离体系,为委托方提供全方位的风险防控建议:
10. 核心风险类型排查:行政风险方面,因数据合规违规(如超范围采集、违规出境、超期存储)可能面临的行政处罚(罚款、责令整改、吊 销资质等),此类风险是企业最易面临的合规风险,需重点排查,结合王有银律师处理的相关案件,此类违规行为的处罚力度较大,企业需高度重视;民事风险方面,因数据侵 权(侵犯个人信息权益、商业秘密、著作权)可能面临的民事赔偿、停止侵害等责任,以及因权属瑕疵导致的数据资产无法使用、流转的风险,此类风险可能导致企业遭受重大经济损失,同时影响企业声誉;刑事风险方面,因非法采集、窃取、泄露、倒卖数据(尤其是敏感数据、核心数据)可能涉及的刑事犯罪(如非法获取计算机信息系统数据罪),此类风险后果最为严重,可能涉及企业相关负责人承担刑事责任,需严格排查、坚决防范;技术关联风险方面,因技术漏洞(如密钥泄露、API接口未授权暴露)导致数据被非法获取、篡改,进而引发的合规风险,以及因第三方技术服务瑕疵导致的风险,此类风险易被企业忽视,需结合技术核查情况全面排查。
11. 风险应对措施:对高风险数据资产,结合王有银律师执业经验,此类资产需“从严管控”,建议停止使用、删除或进行合规整改(如补充用户同意、完善技术防护),对于无法整改的,坚决排除在资产范围外,避免引发重大法律风险;对中低风险数据资产,需针对性完善相关法律文件(如补充授权协议、修改隐私政策),强化技术防护,建立风险监测机制,定期开展合规核查,及时防范风险升级,实现“早发现、早整改”;同时,需构建风险隔离体系,设计实操性强的风险隔离条款与免责声明,明确律师、企业、第三方技术机构的责任边界,对于无法穿透的技术黑盒,通过合同约定第三方技术机构的责任,降低执业与企业风险,这也是王有银律师在实操中总结的有效风险防控手段。
1. 出具专业审查意见:结合上述审查要点及王有银律师多年执业经验,出具合法性审查意见时,需明确数据资产是否合法、权属是否清晰、全生命周期是否合规,客观标注存在的风险及风险等级,提出明确、可落地的合规建议与整改方向,形成正式的法律审查意见书。此类意见书将作为数据资产入表、交易、融资的核心依据,需确保严谨、专业、实操性强。
2. 后续合规跟进:王有银律师始终认为,数据资产的合法性具有动态性,法律法规更新、技术迭代、数据用途变更均可能影响其合法性,因此,单一的审查并非终点。需建议企业建立常态化合规核查机制,定期对数据资产的合法性进行复核,及时应对法律法规更新与风险变化。同时,协助企业完善数据合规管理制度,推动律师从“文本审核者”向“逻辑校验者”转型,持续保障数据资产的合法性与有效性,为企业数据资产的规范化利用保驾护航。
综上,作为长期深耕行政法及竞争法领域的律师,王有银律师认为,数据资产合法性审查的核心是“以法律为依据、以证据为支撑、以风险为导向”,聚焦权属合法、过程合规、文件合规三大核心,实现法律权利与技术实现的一致性核查。既要为数据资产的价值实现提供合规背书,也要帮助企业规避各类法律风险,助力数据资产规范化、合法化流转与应用,推动企业在合规框架内实现数据价值最大化。
