平安夜里说平安——“数据资产”的误区与合规条件
目前似乎各界已经对于数据成为一种独特的“资产”达成了共识。“谁掌握数据,谁就掌握了未来”,“数据就是第一生产力”,“洞悉先于人,数据赢天下”等已经成为市场广为人知的商业口号。数据价值挖掘、数据资产管理随之成为当下最热门的话题,只需“百度一下”,便能收获各类挖掘数据价值、管理数据资产的“良方妙策”。但从法律技术的角度来看,对于数据资产的价值管理,仍有诸多的疑问。
例如
在数据权属/权益尚未明确界定的前提下,未确权的数据何以成为“资产”?
对于数据的物理控制与数据“资产”之间有多长的距离?
数据的质量控制是构成数据“资产”的充分条件吗?
合法合规收集的数据其商业化的合规路径有哪些?
在2019年的“平安夜”,我们一同换个思路来共同探求数据资产的真实面目,确保在数据资产变现的道路上一路平安。
数据资产的定义与价值内涵?
目前已有国家标准明确提供了数据资产的定义:“数据”指关于客体的知识的可再解释的形式化表示,以适用于通信、解释或处理[1];“资产”指对组织有潜在价值或实际价值的物品、事物或实体[2];“数据资产”指以数据为载体和表现形式,且能够持续发挥作用并带来经济利益的数字化资源[3]。然而,企业要挖掘数据资产的价值,不能止步于定义,更需要从“资产”的共性和数据的特性两个方面出发,深刻理解数据资产的核心问题
1、“资产”的共性——数据的经济价值
首先,“资产”强调资源对企业具有潜在或实际价值,能为企业带来稳定、持续的经济利益。获取数据并不等于获取资产:数据作为资产的价值往往始于积累,即通过数据规模的不断增长赋予数据新的用途。
数据价值往往体现在内部和外部两个方面。数据的内部价值主要通过数据在企业生产运营中的作用体现。例如,对一个人长期的消费记录进行统计分析,可获得其众多的消费特征,如其消费偏好、消费习惯,甚至可以通过其消费的商品类别、消费金额等推断这个人的身份、年龄等;持有这些数据的企业,则可以通过对数据进行统计分析,实现人群属性画像,从而进行自身产品的精准营销、产品设计或是提升服务;此时,数据已经开始具备参与企业生产运营过程的能力,具备提升经营效率、优化产品结构、实现营业创收的价值,即数据已具备了成为企业资产的条件。而数据的外部价值更为企业和投资者所关注,除了利用数据统计分析来提供企业运营效率、提升自身产品/服务的质量和转化率,企业还可以利用自身掌握的数据来开拓新的商业模式、打通多个产品线的关联,甚至可以发展出金融风控、基于数据的技术输出、为第三方产品广告营销提供策略等直接变现的模式,让数据变为可“流通”的资产。
但为确保数据能够转型成为带来持续经济利益的资产,企业必须早在数据的获取与积累阶段即确保数据的合法合规,明确数据正当使用的范围。例如,在获取个人信息时,企业即应征得个人信息主体的关于收集数据的同意,并获得后续将数据逐步提炼为资产的每个数据处理场景的充分授权。若数据从源头和用途上不合法合规,则无论如何通过数据积累来赋予其新的用途,得到的成果不仅无法有效地应用于企业的生产运营,成为企业的资产,还可能成为企业的重大合规隐患。
2、“数据”的特性——“数据资产”的权益边界
其次,相比于传统意义的有形资产,“数据”具备可复制性和易流通性的特点,承载相同信息的数据,可以在物理上被多个主体所复制、持有或控制。这使得数据资产的权属/权益问题变得扑朔迷离:数据究竟应归数据的源头生产者所有,还是归处理数据的平台所有,还是应被个人信息的主体所有?
现有法律法规还未就数据权属的认定做出定论。在理论研究领域,最高人民法院曾将《大数据时代数据权利保护研究》作为2018年度司法重大研究课题,召集多方专家展开论证探讨,提出建立综合数据权利保护机制,包括立法、司法和行政执法等。[4]但由于数据牵涉多方利益和价值考量,截至目前各界也尚未就数据权属认定,甚至数据权属是否存在等问题达成一致。
然而,企业依然可以在司法实务层面找到一些关键的前提问题的解答:企业究竟对其数据资产享有什么法律所保护的利益?近几年常有企业对他人擅自使用其所持有数据的行为发起的不正当竞争诉讼,在此类案件中法院肯定了企业通过其自身经营活动长期积累的数据信息可以构成重要的竞争优势和商业资源。例如,“新浪诉脉脉”案中,法院认为新浪微博经其用户授权而收集并进行商业利用的数据可以为该企业创造更多的经济效益,是企业重要且受法律保护的商业资源[5];“淘宝诉安徽美景”案中,法院认为虽然企业对记录网络用户信息的原始网络数据只能依其与用户的约定享有使用权,但淘宝大数据产品的数据内容是经过网络运营者的分析过滤、提炼整合等大量劳动投入和匿名化处理的结果,企业对此享有独立于用户的财产性权益[6];“谷米诉元光”案中,法院认为经企业收集、加工、分析、编辑、整合的数据具有实用性并能够为权利人带来经济利益,企业对此享有财产性权益,受到《反不正当竞争法》的保护[7]。
不难看出,无论是从数据的经济价值出发,还是从数据资产的权益视角出发,数据资产的形成与价值挖掘均应重视两个的前提问题:(1)重视对数据的分级分类和分析整合,不断提升数据的经济价值;(2)数据在全生命周期的收集、处理均合法合规。同时,在数据权属/权益尚不明朗的情况下,需要利用现行法律法规的工具来搭建固定数据资产的框架,比如软件著作权、数据库权利、商业秘密等。(详见下图)
图1 数据成为资产的基本前提
数据资产的实现前提
1、数据内外部价值的逻辑
行业经常提到的企业“大数据能力”,除要求企业具备收集、获取海量数据的能力外,更须建立在企业能够充分挖掘和探索海量数据“价值”的基础之上——而后者才是构成数据资产的根本前提。通常而言,数据“价值”的挖掘往往要求企业从数据采集阶段做起,依循数据处理的不同环节和流程,建立层层递进的数据挖掘逻辑,自内而外有效实现数据的有效梳理和应用。
图2 数据的“价值”挖掘[8]
如上图所示,结合数据整体的生命周期,对于数据的“价值”挖掘一般而言主要可以分为内部价值挖掘和外部价值变现。
内部价值挖掘阶段,可分四个步骤:(1)数据采集层:企业通过自身业务、互联网公共渠道获第三方等各方渠道实时获取数据;(2)数据处理层:按照一定规则对数据进行加工、清洗和结构化处理,去除冗余、杂质,严格把控数据质量;(3)数据服务层:构成底层数据库与前端数据技术开发的桥梁,为前端技术开发提供数据提取、查询、交换、共享的通道;以及(4)数据分析层:重点利用所提取的底层数据,进行数据相关技术的开发,如进行算法训练、完善数据分析模型等。在外部价值变现阶段,则需要企业在内部数据及技术开发体系建立的基础上,结合企业的市场定位开发不同类型的产品,服务于不同类型的目标客户,为企业营利创收。而同时,企业对外的产品与业务服务又可同时为企业收集、获取大量的原始数据,反哺企业内部的数据累积,形成由内而外的价值循环。例如,电子商务平台通过收集海量用户的商品浏览记录和交易记录,结合用户提交的性别、年龄等身份信息,通过整合、分析这些信息的关联关系,构建不同消费群体的画像,在帮助平台了解自身消费者构成的基础上,形成数字化的营销产品并向平台上的商家提供精准触达的营销服务,不仅能够帮助商家与平台有效创收,还能进一步带动消费者留下更多的交易记录,以助平台实现消费者数据的不断更新与利用,完成营销产品功能的优化验证。
可以看出,数据外化价值的挖掘能够直接帮助企业实现内部数据的商业变现,为企业带来“货真价实”的营业收入。但不容忽视的是,如果企业在内部的数据挖掘工作上出现“无效率”、“不到位”的情况,例如出现数据处理和流转上的管控断层或者在数据质量把控上不过关,则必然影响到数据的可用性,那么数据外化价值的实现则必然失去生长根基。因此,做好内部数据处理流程的管控,是企业有效掌控数据“资产”的必要前提和必需工作。
2、数据资产价值的衡量要素与前提
如前所述,无论是对于企业内部的数据价值挖掘,还是对于外部的数据商业变现而言,对企业所持有数据的有效梳理和引用,对数据管理流程进行严格把控,将是实现企业“数据资产”价值最大化的有效方式。而判断企业数据的数据管控工作是否有效,最直接的判断因素则是关注数据自身的质量问题。但需要强调,在数据安全和数据合规呼声日益高涨的当下,仅仅关注数据质量对于企业持续发掘并长期维持数据价值而言远不足够。如因缺乏安全与合规意识导致数据泄露或数据使用违规,不仅不利于数据价值的持续维护,甚至导致企业数据被污染,对企业整体数据资产造成毁灭性打击。
① 基本条件——数据本身的质量
一般而言,数据的价值直接体现为数据的信息含量。信息含量越丰富,则越能从中提炼尽可能多的有指示意义的信息,帮助企业判断数据中隐含的人、事、物及各自之间的关联关系。但是,数据信息含量的指示意义必需建立在数据本身的准确性上,而准确性又与数据的真实性、时效性、完整性紧密关联。对于缺乏准确性的数据,由于无法从中提炼正确的信息,即使信息含量再多也终究徒劳。
图3 数据准确性的保障要素
② 基本保障——基于数据安全的分级分类
数据价值的实现离不开对于数据本身的安全保障。网络作为数据的普遍载体,其安全性是数据处理安全的重要基础。我国《网络安全法》对于网络运营者在建设、运营网络或者通过网络提供服务的安全要求予以明确,在数据处理上,明确要维护网络数据的完整性、保密性和可用性。此外,《网络安全法》进一步指出网络运营者应采取数据分类、重要数据备份和加密等措施履行其安全保护义务,并对不履行该等安全保护义务的行为设置了相应的罚则,如根据《网络安全法》第五十一条,对拒不改正或导致危害网络安全的网络运营者处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。另外,如企业面对监管部门责令还拒不采取改正措施,导致严重后果的,还可能触犯《刑法》下拒不履行信息网络安全管理义务罪,受到刑事处罚。
从履行网络安全保护义务角度出发,基于安全的数据分类构成网络运营者履行其法定义务的应有之意。而另一方面,企业采取的数据保护措施也将切实为其挖掘、实现数据价值的过程提供有效的安全防线。一旦企业疏于履行该等义务,导致发生数据泄露事件或存在数据安全隐患的,将直接导致企业遭受执法机关的行政乃至刑事调查,承担相应法律责任。皮之不存,毛将焉附,因得不到足够安全保障的数据,其价值的挖掘和实现也将大打折扣。此外,对于企业通过分析整合数据来提升其经济价值并将数据转型为数据资产,数据的分级分类起到了基础性的关键作用。
由于企业收集或处理的数据往往种类繁多,且敏感程度不同,不同类型和敏感程度的数据则必然存在安全保障上的不同层次的需求。为此,除对数据进行分类外,还应针对不同类型、不同敏感程度的数据识别各自的安全级别,对不同安全级别的数据实施恰当的安全保护措施。虽然我国在数据的分类分级上尚未形成统一的法律规范要求,但部分国家标准或行业标准(及征求意见稿)提供了数据资产分类分级的详细指引,如金融行业《证券期货业数据分类分级指引》、《信息安全技术 大数据安全管理指南》等对企业建立分类分级制度仍具有较强的参考意义。
③ 价值前提——数据的合规保障
司法实践以个别判例方式,在反不正当竞争法意义上肯定了企业对其付出努力所获得或持有的“数据资产”主张一定的财产性权益,但这并不意味着这些数据资产可由企业任意使用其控制的数据。如前文所述,数据在其全生命周期的处理均合法合规,是挖掘数据资产价值的大前提。
数据的非竞争性、非排他性一方面便利了数据的自由流动,另一方面也降低了企业获取、使用数据的违法成本。倘若企业手中的数据系通过违法手段获得,或者在收集、使用过程中侵犯了法律所保护的正当权益,则不仅使得企业落入违法禁地,还将极大减损其数据资产的巨大价值。例如,前段时间陷入刑事调查风波的多家大数据公司,均涉嫌以非法手段获取个人信息而陷入查封扣押、停业倒闭的窘境。
我国《网络安全法》确立了我国网络安全领域网络信息安全保护的总领规则。从数据层面,《网络安全法》着重强调了个人信息的安全保护,这与我国几乎同期发布的《民法总则》所强调的自然人的个人信息受法律保护相互呼应。除此之外,我国《网络安全法》对于个人信息以外的另一类数据——重要数据也给予特定规则(主要是出境规则)上的关注。当然,在网络安全语境下,不同行业领域,特别是敏感行业内对于行业数据使用、处理的特别规定也须引起企业足够重视。最后,数据之上还可能隐含他人享有的或因国家强制性规定所保护的合法权益,不当使用也会引发民事侵权、行政违法甚至刑事责任的风险。下表对数据所可能包含的受法律保护的客体进行了概要梳理:
图4 数据处理的合规重点
留给企业的平安夜功课
1、基于合规与价值的分类分级——厘清数据合规脉络及数据的价值
一般企业都已经在对标行业基本要求的基础上,制定适用于自身情况的数据分类标准。但大多数企业的数据分类分级仅仅考虑到数据安全,比如将数据分类为高度机密、机密及一般等三类,而忽略了“数据资产”中合规性和价值的分级分类要素,导致后期对于数据资产进行合规性评估以及数据资产估值时往往无从下手。
实践中,企业应全面梳理自身不同类别、不同来源的各项数据,并将数据的业务属性、安全属性、合规义务以及价值因素同时纳入考量,根据自身实际情况建立数据分级机制。下图展示了数据分类分级的一般逻辑。诚然,对于企业特别是集团企业而言,因业务条线纷繁且彼此交错关联,在数据分类识别及分级管控上要更为复杂,并不能一蹴而就。企业应更多基于自身业务特点,在参考相关国家及行业标准的基础上,有步骤地实现不同业务条线的数据分类梳理。
图5:数据分类分级过程概要
2、数据融合互通
由于全球数据合规趋严的形势,数据的商业化利用和价值挖掘势必面临更为艰巨的挑战。一方面,数据合规性要求的逐步上升导致可用或容易利用的数据类型和范围急剧减少;另一方面,在“数据引领未来”的意识带动下,企业对于所持数据的自我保护意识愈发强烈,进一步加剧了企业之间对于数据资源的争夺。随着企业获取外部数据成本日益提高,企业对于自有数据的深度挖掘显得尤为重要。而如前所述,不同业务数据的互通融合,特别是同时运营多种类业务的企业在集团层面将其各业务线所处理、控制的数据进行打通与融合,将成为企业最大化发掘、应用数据价值的有效途径。数据融合互通的本质目的在于利用企业多渠道、多元化的数据,形成更加完善的用户画像,帮助企业基于客户需求精准开发潜力产品,有效实现商业推广。但在数据融合过程中,企业也将不可避免地涉及大量个人信息、重要数据等行业监管数据的收集与处理。因此,数据的安全与合规保障,是数据融合互通工作中不可或缺的价值视角;特别是对于各业务中收集的个人信息,企业如何确保在数据融合互通的场景下获得个人信息主体对数据在整体系统中进行处理的有效授权,是数据融合互通合规问题的重中之重。未来我们也将通过专门的文章来详细阐述数据融合互通的路径和合规要点。
不可否认的是,数据资产化是数据经济时代的必经之路,未来数据资产估值、甚至数据资产的证券化可能也指日可待。但和所有资产管理的前提一样,数据的合规性和资产中价值因素如何分析及固定将是企业首要考虑的问题。考虑到近期国家各执法机构对于个人信息保护、金融信息利用等数据合规的频繁执法活动,企业在进一步累积数据资产的同时,要重点关注数据资产的合规性,隔离外部数据风险并充分挖掘企业内部数据价值。
总而言之,数据资产确实是企业在数据经济时代的竞争力表现之一,但同时不合规的数据不仅无法形成资产,更有可能为企业的长期发展“埋雷”。在企业谋求商业利益的同时,应当就数据全流程的合规、数据商业化的合法性等问题审慎分析,以免半路“夭折”。毕竟唯有平安,才能到达成功的彼岸。
[1] 《GB/T 5271.1-2000 信息技术 词汇 第1部分:基本术语》,国家质量技术监督局,2000年发布。
[2] 《GB/T 33172-2016 资产管理 综述、原则和术语》,国家质量监督检验检疫总局,2016年发布。
[3] 《GB/T 37550-2019电子商务数据资产评价指标体系》,国家市场监督管理总局,2019年发布。
[4] 最高人民法院2018年度司法研究重大课题《大数据时代数据权利保护研究》开题论证会成功举行,https://www.tsinghua.edu.cn/publish/law/3567/2019/20190318135047670983257/20190318135047670983257_.html
[5] 见北京知识产权法院(2016)京73民终588号民事判决书。
[6] 见杭州市中级人民法院(2018)浙01民终7312号民事判决书。
[7] 见深圳市中级人民法院(2017)粤03民初822号民事判决书。
[8] 图示参考艾瑞咨询,《艾瑞:大数据产业持续繁荣,数据资产管理需求升级》,http://report.iresearch.cn/content/2017/12/272131.shtml。
本文作者
宁宣凤
合伙人
合规业务部
susan.ning@cn.kwm.com
宁宣凤律师是合规业务部负责人,宁律师的主要执业领域为网络安全与数据合规。宁律师曾为多家国内外知名企业提供数据合规尽职调查、风险评估、合规体系建设等法律服务。作为国内最早涉足该类法律实务的律师之一,宁律师在为客户提供网络安全与数据合规法律咨询服务方面有着丰富的经验。
吴涵
合伙人
合规业务部
wuhan@cn.kwm.com
吴涵律师的主要执业领域为网络安全与数据合规。吴律师曾多次协助客户进行自查并完善网络安全和数据合规体系,为客户提供网络安全和数据合规培训等。项目涉及金融支付与清算、保险、网约车平台、消费电子、互联网广告、日化等行业。
陈胜男
律师
合规业务部
林云汉
律师
合规业务部
感谢关注金杜研究院