1、數據資産(chǎn)入表的法律要求與風險

數據資産(chǎn)入表同樣屬于數據的處理(lǐ)行為(wèi)之一。任何數據處理(lǐ)活動，均需要以保障自身合法合規性作(zuò)為(wèi)活動開展的基礎。目前，我國(guó)《個人信息保護法》以及《數據安(ān)全法》等相關法律法規，均對于數據的處理(lǐ)提出了強制性的要求數據資産(chǎn)的入表必須開展在滿足法律法規強制性要求的基礎之上，否則可(kě)能(néng)會導緻法律風險。

1.個人信息保護與數據安(ān)全實踐層面，個人信息保護與數據安(ān)全的法定要求極為(wèi)細緻。在數據資産(chǎn)入表的工(gōng)作(zuò)項下，最為(wèi)明确的風險點即為(wèi)數據來源合規性、數據内容合規性、數據處理(lǐ)合規性。

第一，數據來源合規性要求。數據來源的合規性基于個人信息保護以及非個人信息類型的數據的不同，有(yǒu)所區(qū)别也有(yǒu)所聯系。從共性的角度而言，數據來源可(kě)以源自于企業自行收集、産(chǎn)生，也可(kě)以源自于受托處理(lǐ)、上下遊供應商(shāng)的數據提供。在數據來源環節，重要的風險把控即為(wèi)數據處理(lǐ)的合法性基礎，該等合法性基礎可(kě)以是《個人信息保護法》第十三條規定的合法性基礎，也可(kě)以是《數據安(ān)全法》中(zhōng)第四十條國(guó)家機關委托第三方進行數據處理(lǐ)的合法性基礎。這些合法性的基礎可(kě)以體(tǐ)現為(wèi)互聯網信息服務(wù)的前端隐私政策，或者是受托處理(lǐ)數據過程中(zhōng)具(jù)備明确權利義務(wù)邊界的委托協議。唯有(yǒu)具(jù)備合法性基礎，才可(kě)以進一步論證後續在數據資産(chǎn)入表過程中(zhōng)企業對數據的合法權益，如持有(yǒu)權、加工(gōng)權或者運營權。

第二，數據内容合規性要求。數據内容合規性要求源自于《網絡安(ān)全法》對于内容審查，以及《個人信息保護法》對于數據應用(yòng)“最小(xiǎo)必要”的原則性要求。數據内容合規性審查的要點包括數據真實性核查、完整性核查、準确性核查一緻性核查、時效性核查以及可(kě)訪問性核查六個方面。

第三，數據處理(lǐ)合規性要求。數據處理(lǐ)合規性要求強調對于數據的處理(lǐ)和應用(yòng)滿足法律法規要求。舉例而言，對于數據的應用(yòng)和處理(lǐ)，不得超出原本的合法性基礎。對于個人信息的應用(yòng)，不得超出原本通過隐私政策等文(wén)件所獲取用(yòng)戶知情同意的範圍。對于授權運營的公(gōng)共數據，不得超出授權文(wén)件已經授權的目的、範圍和方式。又(yòu)比如，通過協議模式受托處理(lǐ)第三方委托的數據或者個人信息的，應當遵循協議條款以及法律強制性規定，不得違背協議或者法律的要求。以及再比如《個人信息保護法》第五十五條規定下，需要開展個人信息保護影響評估的，應當事前開展個人信息保護影響評估。

2.數據管理(lǐ)合規

數據管理(lǐ)合規，也是數據治理(lǐ)能(néng)力在數據合規中(zhōng)的體(tǐ)現與要求。按照我國(guó)《網絡安(ān)全法》《數據安(ān)全法》《個人信息保護法》等相關法律法規的要求，各類數據處理(lǐ)者、個人信息處理(lǐ)者、網絡運營者，應當建立健全全流程數據安(ān)全管理(lǐ)制度。在《個人信息保護法》中(zhōng)，明确地以法定義務(wù)的形式提出了這些個人信息保護的舉措包括:制定内部管理(lǐ)制度和操作(zuò)規程;對個人信息實行分(fēn)類管理(lǐ):采取相應的加密、去标識化等安(ān)全技(jì )術措施;合理(lǐ)确定個人信息處理(lǐ)的操作(zuò)權限，并定期對從業人員進行安(ān)全教育和培訓;制定并組織實施個人信息安(ān)全事件應急預案等。進一步來說，還包括開展個人信息保護審計，開展個人信息保護影響評估，定期發布個人信息保護社會責任報告，明确指定個人信息保護負責人等。

2、數據資産(chǎn)入表的權屬核查方法

對于企業内部業務(wù)活動産(chǎn)生的數據，工(gōng)作(zuò)人員需要追溯數據産(chǎn)生的流程和環節。具(jù)體(tǐ)來說，可(kě)以通過查看業務(wù)系統的日志(zhì)記錄，來确定數據是由哪些部門、哪些業務(wù)操作(zuò)産(chǎn)生的。同時，工(gōng)作(zuò)人員需要核實企業是否通過合法的業務(wù)活動獲得這些數據，并且是否投入了足夠的人力、物(wù)力進行數據的收集、整理(lǐ)和存儲。舉例而言，企業通過自身的銷售系統收集的銷售數據，工(gōng)作(zuò)人員需要檢查銷售合同中(zhōng)是否有(yǒu)關于數據所有(yǒu)權歸屬企業的條款。又(yòu)或者企業通過經營互聯網信息服務(wù)收集的個人信息，是否通過隐私政策獲得有(yǒu)效授權，這也是核查的要點之一。

如果數據是從外部獲取的，工(gōng)作(zuò)人員需要審查數據獲取的合法性。具(jù)體(tǐ)來說，工(gōng)作(zuò)人員需要檢查數據采購(gòu)合同、數據處理(lǐ)協議等文(wén)件，明确數據的來源渠道是否合法合規例如，企業從數據供應商(shāng)處購(gòu)買的數據，工(gōng)作(zuò)人員需要核實購(gòu)買合同中(zhōng)對于數據權屬的約定，是否是獨家使用(yòng)、是否可(kě)以二次加工(gōng)等權利界定。對于通過數據共享合作(zuò)獲取的數據，工(gōng)作(zuò)人員需要查看合作(zuò)協議中(zhōng)雙方關于數據權屬的分(fēn)配條款，确保企業對共享數據的使用(yòng)符合約定

從數據的類型來說，以下特定類型的數據，需要采取的核查重點有(yǒu)較為(wèi)明顯的區(qū)分(fēn):

個人信息:在涉及個人信息的數據資産(chǎn)時，工(gōng)作(zuò)人員需要檢查是否符合《個人信息保護法》的規定，企業對個人信息的處理(lǐ)是否取得了個人的同意，是否在合法的目的範圍内使用(yòng)等。個人信息主體(tǐ)的知情同意是否合法，往往需要結合具(jù)體(tǐ)的業務(wù)場景來判斷。舉例而言，對于直接取得個人信息的，工(gōng)作(zuò)人員需要根據互聯網信息服務(wù)的前端功能(néng)設置來具(jù)體(tǐ)判斷。而間接取得個人信息的，則還需要考慮上遊個人信息的處理(lǐ)者是否可(kě)以确保自身将個人信息提供給另一方處理(lǐ)已經獲得了個人信息主體(tǐ)的有(yǒu)效同意。

涉知識産(chǎn)權類數據:涉及知識産(chǎn)權類的數據需要遵循知識産(chǎn)權相關法律法規的要求。如果數據資産(chǎn)是經過企業的創造性加工(gōng)處理(lǐ)，如通過數據分(fēn)析算法得出的具(jù)有(yǒu)創新(xīn)性的分(fēn)析報告、數據模型等，可(kě)能(néng)涉及著作(zuò)權等知識産(chǎn)權。工(gōng)作(zuò)人員需要檢查企業是否對這些數據資産(chǎn)進行了知識産(chǎn)權保護，如申請軟件著作(zuò)權、專利等，以進一步确認權屬的合法性。

公(gōng)共數據:公(gōng)共數據系各級黨政機關、企事業單位依法履職或提供公(gōng)共服務(wù)過程中(zhōng)産(chǎn)生的數據。對于公(gōng)共數據的開發利用(yòng)，合法性基礎來自各類行政機關或者履行公(gōng)共職能(néng)單位的完整授權。目前，各省市均有(yǒu)開展對于公(gōng)共數據授權運營的地方性法規建設，特定的數據資産(chǎn)入表活動開展，還需要根據項目的具(jù)體(tǐ)情況參考地方性法規開展

重要數據:重要數據是我國(guó)法定的數據類型，一般受制于更加嚴格的法律義務(wù)。拟入表數據若是屬于行業監管部門或者其他(tā)政府主管部門明文(wén)規定為(wèi)重要數據的，在數據入表工(gōng)作(zuò)開展前，已經自行或者委托有(yǒu)資質(zhì)的數據安(ān)全服務(wù)機構進行安(ān)全風險評估，評估結果認為(wèi)該等數據交易不存在危害國(guó)家安(ān)全、公(gōng)共利益的情形的，才可(kě)進一步開展數據資産(chǎn)入表工(gōng)作(zuò)。而法律法規規定特定數據的入表或者相關處理(lǐ)需要征得相關部門同意的，應當取得相關部門的同意。