第三方数据审核取不了款 数据资产入表合规性审查，在法律上应如何进行把控？

数据资产正逐步成为企业最为宝贵的资产之一，然而，数据资产入表涉及到很多环节，首先涉及的是法律上的合规性审查、数据资产的确权，法律上的合规问题是在前期就应做好的梳理工作，以规避潜在风险，提高数据资产入表的效率。究竟在入表前，法律上的合规审查工作具体包括哪些？

数据入表之数据来源合规性审查法律要求

在数据资产入表前，无论企业自身或通过中介机构，需对拟入表数据资源进行合规性评估，评估内容包括数据来源、数据处理、数据经营、数据管理等各个环节是否合规，但具体到企业数据资产入表阶段，最应当关注的是数据来源与数据处理合规两部分，主要依据《网络安全法》、《数据安全法》和《个人信息保护法》以及特定领域的法规审查数据的收集是否符合关于个人信息保护、数据安全方面的合规要求。基于数据来源不同，在不同的情形下，数据来源的合规性审查的侧重点也有所不同：

（一）对企业自行生产的数据，即企业在日常经营、科研、生产等活动中产生并收集的数据，如 APP 的日常活跃量数据、企业生产线上的测试数据等。因不涉及外部收集，对相关数据的来源合规性进行审查相对弱化。

（二）在企业公开收集信息的情形下，需要重点审查数据来源合规性。即企业通过爬虫、RPA 等技术手段，采集已公开的信息。此时因数据来源于公开途径，应重点审查以下方面：

1、审查数据采集是否危害国家安全、公共利益。

重点审查企业是否采集了受监管的数据，包括重要数据、核心数据、国家秘密、情报信息等；企业在采集数据时是否侵入国家事务、国防建设、尖端科学技术领域计算机系统、否在未经授权的情况下侵入国家关键信息基础设施采集数据；是否非法侵入其他特定组织或企业的计算机系统。

重要数据包括：（一）对政治、国土、军事、经济、文化、社会、科技、电磁、网络、生态、资源、核安全等构成威胁，影响海外利益、生物、太空、极地、深海、人工智能等与国家安全相关的重点领域；（二）对工业和信息化领域发展、生产、运行和经济利益等造成严重影响；（三）造成重大数据安全事件或生产安全事故，对公共利益或者个人、组织合法权益造成严重影响，社会负面影响大；（四）引发的级联效应明显，影响范围涉及多个行业、区域或者行业内多个企业，或者影响持续时间长，对行业发展、技术进步和产业生态等造成严重影响；（五）经工业和信息化部评估确定的其他重要数据。

核心数据包括：（一）对政治、国土、军事、经济、文化、社会、科技、电磁、网络、生态、资源、核安全等构成严重威胁，严重影响海外利益、生物、太空、极地、深海、人工智能等与国家安全相关的重点领域；（二）对工业和信息化领域及其重要骨干企业、关键信息基础设施、重要资源等造成重大影响；（三）对工业生产运营、电信网络和互联网运行服务、无线电业务开展等造成重大损害，导致大范围停工停产、大面积无线电业务中断、大规模网络与服务瘫痪、大量业务处理能力丧失等；（四）经工业和信息化部评估确定的其他核心数据。

对于计算机信息系统的保护，《刑法》第285条专门规定了非法侵入计算机信息系统罪、非法获取计算机信息系统罪。该条规定的非法侵入计算机信息系统罪的犯罪对象分别是国家事务计算机信息系统、国防建设计算机信息系统、尖端科学技术领域的计算机信息系统。《非法侵入计算机信息系统罪大数据报告》显示，国家事务计算机信息系统一般包括:（1）政府机构行政办公、业务系统；（2）公安机关的交警大队网站、交警警务云平台以及交通管理、登记系统（如交管12123平台）等；（3）公安机关的其他警务系统（如户籍管理系统、指挥中心系统）等、司法机关办公系统（以纪检监察网站为主）；（4）事业单位（如银行征信查询系统、高校教育考试网站等）。

在最高检颁布的指导案例——谭房妹非法获取计算机信息系统数据案（检例第68号）中，被告使用了“小黄伞”软件针对某电商平台账号进行非法撞库和接入打码平台，突破计算机信息系统安全保护措施、绕过验证码识别防护措施，非法获取了计算机信息系统数据。因此，在企业使用自身开发的软件对外采集数据时，应重点关注所使用的软件是否存在非法侵入计算机信息系统的功能，防止存在刑事合规问题。

2、收集和处理个人数据应具备合法性基础，审查数据采集是否损害个人的合法权益。

例如以APP、小程序、信息表单等方式收集用户收据的，需要审查用户对数据的授权是否完整，企业是否在隐私协议或告知说明中明确收集数据的种类、处理方式及目的等，并获取用户的明示同意。特别需要关注的是，如用户涉及未满十四周岁未成年人的，需审查是否取得其监护人的自愿、明确同意；如涉及敏感个人信息采集的，需审查是否取得单独同意；

例如：作为社交媒体、电子商务网站（如亚马逊、淘宝等）在收集用户信息时，需要确保用户同意并明确告知使用目的。因此在审查数据来源是否合规时，需要通过审查用户注册时的隐私政策和用户协议来确定是否征得了个人的同意；

例如：对涉及采集人脸信息的企业，需要审查是否在采集人脸信息时征得了自然人或者其监护人的单独同意；对于在宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所使用人脸识别技术进行人脸采集，审查其目的是否用于维护公共安全，如果用于其他目的，审查是否单独经过了自然人同意，如果未经授权或同意，则人脸采集构成侵害自然人人格权益的行为；采集的数据涉及个人信息的，需满足个人信息采集的合法性基础；

3、审查数据采集是否侵犯他人知识产权、是否涉及不正当竞争情形。

企业采集的公开数据涉及其他企业商业秘密的，需审查是否获得商业秘密权利人的授权同意。例如公司通过网络爬虫技术，抓取了另一个公司的数据库中的所有信息，如产品设计、生产流程、销售策略、产品价格、客户信息等，然后用这些信息来提升自己的竞争力。而这些被采集的信息，具有特定的商业价值，并在多数情况下构成企业的商业秘密。如果采集的数据侵犯了他人的商业秘密，不仅构成反不正当竞争行为，还可能涉及侵犯商业秘密犯罪。

4、审查数据采集方式和目的需合法、正当。

以搜索引擎网络爬虫技术为例，爬虫行为通过访问信息系统，获取信息系统记录的信息，可能包括公民个人信息或其他商业信息。很多网站为了防范非正常用户（通常是竞争对手或其他商业用户）获取数据，一般采取措施实施反爬虫。在企业使用爬虫采集公开信息时，需要审查企业是否违反目标网站的 协议或突破其设置的反爬取措施爬取数据；企业的数据抓取行为是否干扰目标网站的正常运行；如果企业绕开反爬虫技术获取信息，不仅涉及不正当竞争的行为，还有可能涉及犯罪。

在审查数据收集方式是否合法方面，例如通过委托/租用/购买的第三方设备或自有设备采集数据的，均应确保设备的安全性及数据安全保护能力；

收集特殊领域数据时，应确保收集方具备相关资质和收集方式符合法律规定的程序要求。以电信数据为例，任何企业如果想收集和处理电信数据，必须取得电信业务经营许可证，以确保企业具有合法开展电信业务的资质。如果一个没有电信业务经营许可证的企业擅自收集电信数据，可能涉及非法经营问题。对于无线电数据，其处理者的资质要求更为严格。无线电频率和台（站）的使用单位必须获得无线电管理机构的许可，才能进行数据采集和处理。未经许可而擅自设置无线电台（站）并收集数据，将对国家电波秩序造成严重干扰，将面临严厉的法律惩罚。

在工业数据处理方面，一家工业企业若想处理生产运行中产生的数据，同样需要根据《工业和信息化领域数据安全管理办法》，将本单位重要数据和核心数据向地方行业监管部门备案。即使一家企业在研发设计或生产制造过程中产生了大量数据，如果没有按规定进行备案，其数据收集行为也是不合规的。

（三）在企业通过协议购买、共享等方式获取相关数据情形下，应区分情形并重点审查以下几个方面：

如企业是通过在各地数据交易所内进行数据的采购，基于数据提供方被交易所要求提供数据合规性评估，因此对此种方式采集数据的合规性审查相对弱化。目前，大部分数交所均要求数据产品提供方对数据产品进行合规性评估。以上海数据交易所为例，数据产品需通过第三方专业机构的实质审核及数交所的形式审查 后方能挂牌交易。

如企业是通过与提供方签订协议购买的场外交易采集数据，目前除征信行业等特殊监管行业外，并无强制审查拟交易数据的要求，但对于数据需方来说，若拟将购入的数据确认为数据资产，应确保其对相关数据的权利不存在瑕疵。若数据需方拟将购入数据产品确认为数据资产，均应重点审查：

1、数据供方的数据原始来源是否合法、数据提供方是否有权出售或授权使用这些数据，审查数据采购协议中是否明确数据的知识产权归属，包括买方获得的权利类型（如使用权、处理权、分发权等），以及权利的地域范围和时间期限。避免采购的数据侵犯他人知识产权、隐私权或者违反相关法律法规而收集的数据；

2、审查采购的数据中是否包含个人信息或敏感信息，并确保数据的采集、存储、处理和传输符合适用的数据保护法规（如GDPR、中国的个人信息保护法等）；

3、审查数据本身能否进行交易，如核心数据、国家秘密、情报信息、个人生物识别信息原则上不允许交易；当涉及重要数据的交易和采集时，需要确认供方是否获得了相关部门的同意或许是必要的合规步骤。例如，在金融机构获取个人信用信息用于征信业务时，应审查数据供方是否为持牌征信机构，确保具备相应的资质和监管部门的许可。