为充分听取社会公众意见,提高《西部数据交易中心社会数据资产合规性与权利归属实质审查实施细则(试行)》的起草质量,现将《西部数据交易中心社会数据资产合规性与权利归属实质审查实施细则(试行)(征求意见稿)》全文公布,公开征求意见。
征求意见时间自2024年8月7日至2024年8月18日。提出意见请填写意见反馈表(文末)并发送至zhangmh@westdex.com.cn。
西部数据交易中心
2024年8月7日
《西部数据交易中心社会数据资产合规性与权利归属实质审查实施细则(试行)(征求意见稿)》
第一章 总则
第一条 【目的】
为贯彻实施《重庆市人民政府办公厅关于印发〈重庆市数据要素市场化配置改革行动方案〉的通知》“先行先试落实数据资源持有权、数据加工使用权、数据产品经营权结构性分置的产权运行机制,保障市场参与主体持有、使用、经营数据的权利”相关要求,根据《西部数据交易中心社会数据资产登记指引》(以下简称“指引”),制定本实施细则。
第二条 【基本要求】
(一)社会数据资产登记主体享有数据权利的同时,应依法依规保护数据安全、商业秘密和个人隐私,规范数据开发利用行为,防范化解安全风险;
(二)第三方服务机构应当依据《指引》及本实施细则要求对社会数据资产合规性及权利归属情况进行实质性审查,开展尽职调查,出具尽职调查报告及法律意见书。
第三条 【适用范围】
(一)登记主体在西部数据交易中心登记社会数据资产,第三方服务机构对社会数据资产合规性及权利归属情况进行实质性审查,适用《指引》及本实施细则。
(二)登记主体基于公共数据授权运营机制取得社会数据资产,申请社会数据资产登记,应不违反登记主体提出登记申请时生效并实施的重庆市公共数据授权运营相关规定。
第二章 社会数据资产的合规性
第四条 【安全合规原则】
安全合规是申请社会数据资产登记的前提。第三方服务机构应根据本实施细则,结合数据处理者或其委托的主体开展的数据处理活动、个人信息活动及社会数据资产产生的场景,全面、真实、审慎地审核、评估、披露、提示社会数据资产合规性,并留存工作底稿备查。
第五条 【数据保护义务】
生产社会数据资产的数据处理者应当履行《网络安全法》《数据安全法》《个人信息保护法》《重庆市数据条例》等法律法规规定的数据安全保护义务、个人信息保护义务。第三方服务机构应根据本实施细则全面、真实、审慎地审核、评估、披露、提示数据处理者或其委托的主体履行数据安全保护义务、个人信息保护义务情况,并留存工作底稿备查。
第一节 主体审查
第六条 【主体资质】
登记主体、生产社会数据资产的数据处理者或受其委托处理数据的主体的资质应当满足下列要求:
(一)系依法成立并有效存续的法人、非法人组织;
(二)具有良好的商业信誉;
(三)法定代表人、董事、监事不存在被列为失信被执行人以及其他可能对社会数据资产登记构成实质性重大不利影响的情形;
(四)不存在可能对社会数据资产登记构成实质性重大不利影响的其他情形。
第七条 【社会数据资产合规经营能力】
登记主体、生产社会数据资产的数据处理者或受其委托处理数据的主体应当满足下列持续数据合规经营能力要求:
(一)近三年内无重大网络安全和数据类违法违规记录且未出现重大网络和数据安全事故;近三年内登记主体的法定代表人、董事、监事不存在重大网络安全和数据类违法违规行为;
(二)不存在影响持续经营的重大财务风险;
(三)不存在影响持续经营的担保、诉讼以及仲裁等重大事项;
(四)不存在影响持续经营能力的其他情形。
第二节 数据安全保护体系与数据资产管理体系
第八条 【数据安全保护体系与数据资产管理体系】
生产社会数据资产的数据处理者或受其委托处理数据的主体应当履行《网络安全法》《数据安全法》《个人信息保护法》等法律法规规定的义务,建立健全全流程数据安全管理制度,采取相应的技术措施和其他必要措施保障网络安全、数据安全,确保数据处理活动符合法律法规规定。
登记主体应当按照或参照财政部关于印发《关于加强数据资产管理的指导意见》的通知(财资〔2023〕141号)等相关法律、法规、规章、规范性文件规定,逐步建立数据分类分级确权授权等数据资产管理体系。
第九条 【第三方服务机构审查要点】
针对登记主体、生产社会数据资产的数据处理者或受其委托处理数据的主体的数据安全管理体系与数据资产保护体系,第三方服务机构至少应对以下情况进行审查:
(一)数据安全管理组织建设;
(二)数据分类分级保护及管理情况;
具体可包括:
根据地区、行业主管部门制定的分类分级管理监管规定及发布的重要数据目录,制定本组织数据分类分级保护、授权,识别并维护数据资产清单,组织开展数据分级保护、数据资产分级管理工作;
(三)网络安全等级保护备案情况(利用互联网等信息网络开展数据处理活动的);
(四)数据全生命周期保护情况
具体可包括:
1. 数据收集。登记主体、生产社会数据资产的数据处理者或受其委托处理数据的主体提供产品和服务、开展经营管理等活动,直接或间接从个人、企业、外部数据供应方等外部机构获取数据,应符合合法、正当、必要、透明原则;
2. 数据传输。为数据委托处理活动或实现数据共同处理,登记主体、生产社会数据资产的数据处理者将数据发送到另一个实体,应符合合法、正当、必要原则,规避数据传输中断、篡改、伪造及窃取等风险;
3. 数据存储。登记主体、生产社会数据资产的数据处理者或受其委托处理数据的主体提供产品和服务、开展经营管理等活动,应基于合法、必要、最短存储期限原则,规避数据泄露、篡改、丢失、不可用等风险;
4. 数据使用。登记主体、生产社会数据资产的数据处理者或受其委托处理数据的主体提供产品和服务、开展经营管理等活动,以数据的访问、导出、加工、展示、开发测试、汇聚融合、公开披露、数据转让、委托处理、数据共享等方式使用数据,应确保不超出数据收集时告知数据主体的目的和范围,规避数据非授权访问、窃取、泄漏、篡改、损毁等风险;
5. 数据删除及销毁。登记主体、生产社会数据资产的数据处理者或受其委托处理数据的主体从产品和服务所涉及的系统及设备中去除数据,或采用数据擦除或者物理销毁的方式使数据无法复原,应确保符合法律法规、监管规定、内部规范及向数据主体告知的保存期限,并符合国家及行业涉密载体管理等管理规定;
(五)数据安全技术保护措施
具体可包括:
1. 定期对网络、主机、应用等层面的安全检测;
2. 采取监测、记录网络运行状态、网络安全事件的技术措施,并按照要求留存网络日志;
3. 防范计算机病毒、网络攻击等危害网络安全行为的措施;
4. 数据备份;
5. 数据加密等;
6. 数据访问和操作前对访问者进行鉴别与授权的记录和检测;
7. 对网络和应用运行状态、操作进行完整监控、预警、记录,检测保存期限;
(六)数据安全人员规范及开展数据安全教育培训情况
具体可包括:
1. 录用员工前,进行必要的背景调查;
2. 对数据安全关键岗位制定统一的保密协议;
3. 识别机构数据安全关键岗位,并与其签署数据安全岗位责任协议;
4. 在发生人员调离岗位、员工终止劳动合同时,立即完成相关人员数据访问、使用等权限的配置调整,签订保密承诺书,并明确有关人员后续的数据保护管理权限和保密责任;
5. 对允许被外部人员访问的系统和网络资源建立数据存取控制机制、认证机制,加强对外部人员的数据安全要求和培训,必要时签署保密协议;
6. 按照培训计划对员工定期开展数据安全意识教育与培训,并对培训结果进行评价、记录和归档;
7. 对数据安全管理专职与关键岗位人员定期开展数据安全意识教育和培训,并定期开展数据加密、删除等自查工作。
(七)合作方安全管理要求
具体可包括:
1. 第三方合作机构审查与评估机制,评估其数据安全保护能力是否达到国家、行业主管部门与数据处理者的要求。
2. 通过合同协议等方式,对第三方合作机构的数据使用行为进行约束;
3. 要求第三方合作机构向有关人员传达数据处理者的数据安全要求,与其签署保密协议,并对协议履行情况进行监督;
4. 对第三方合作机构进行监督,包括但不限于通过合同等方式规定受委托处理数据主体的责任和义务,定期对受委托处理数据主体进行安全检查或评估等;
5. 第三方合作机构数据中发生数据安全事件,应及时依据双方约定的方式告知登记主体、数据处理者或数据主体。
6. 对接入和涉及的第三方产品和服务进行安全管理,确保不因第三方应用接入而影响数据处理者数据安全。
(八)数据安全评估、个人金融信息安全影响评估以及内外部数据安全检查与评估制度;
(九)数据安全事件应急响应机制
具体可包括:
1. 制定应急响应与事件处置规范,建立完善的应急响应与事件处置和问责机制,做好应急预案,组织应急演练;
2. 依据国家及行业主管部门规定、事件性质、影响范围等,对安全事件进行分级管理;
3. 制定安全策略,对不同级别的安全事件进行相应处置,重大事件发生后应及时启动应急响应机制;
4. 按照主管部门有关规定,向主管部门上报数据安全事件及其处置情况;
5. 发生数据泄露事件时,及时采取补救措施,并按照合同协议等有关约定告知登记主体、数据处理者或数据主体;
(十)法律法规规定的其他数据安全、数据资产保护要求。
第三节 数据资产基本情况调查、披露
第十条 【调查社会数据资产基本情况】
第三方服务机构应审查登记主体在登记机构提交的社会数据资产登记信息及其他第三方服务机构提供的社会数据资产真实性审查报告,披露社会数据资产基本情况。
第十一条 【调查登记主体数据收集活动】
第三方服务机构应审查登记主体提供的拟登记社会数据资产相关材料及其他第三方服务机构提供的社会数据资产真实性审查报告,针对拟登记社会数据资产涉及的原始数据或衍生数据,披露登记主体、生产社会数据资产的数据处理者或受其委托处理数据的主体开展的数据收集活动,包括但不限于收集原始数据或衍生数据的类型、收集方式等。
第十二条 【调查登记主体数据加工使用活动】
第三方服务机构应审查登记主体提供的拟登记社会数据资产相关材料及其他第三方服务机构提供的社会数据资产真实性审查报告,针对拟登记社会数据资产涉及的数据加工使用活动,披露登记主体、生产社会数据资产的数据处理者或受其委托处理数据的主体对数据加工使用的知识投入情况(创造性劳动)或劳动注入情况(实质性加工),包括但不限于数据加工使用场景、目的、加工使用方法等。
第十三条 【调查登记主体生产、对外销售数据产品情况】
登记主体对外销售其生产的数据产品的,第三方服务机构应审查登记主体提供的拟登记社会数据资产相关材料及其他第三方服务机构提供的社会数据资产真实性审查报告,披露登记主体、生产社会数据资产的数据处理者或受其委托处理数据的主体对外销售数据产品的基本信息、场景、数据产品需求方使用该数据产品开展数据处理活动等情况。
第四节 社会数据资产合规性评估
第十四条 【对数据来源合法合规性评估】
第三方服务机构应基于其披露的登记主体、生产社会数据资产的数据处理者或受其委托处理数据的主体开展的数据收集活动,依据第三方服务机构自主调查、验证取得的或由登记主体提供的合同、授权书、隐私政策、穿行测试报告等证据材料,评估社会数据资产数据来源合法合规性,包括但不限于收集公开数据、自行生产数据、协议获取数据、收集个人信息等数据来源的合法合规性及数据来源的使用期限、使用限制等情况。
数据来源于公开收集的,第三方服务机构应要求登记主体提供公开收集方式的技术描述、合规方案等材料,说明其遵循的行业通行规则,并承诺没有采用侵入、非法控制计算机信息系统、非法获取计算机信息系统数据的程序,数据收集活动不干扰网络服务正常运行、不实质性替代他人产品和服务。第三方服务机构应评估并提示该等公开收集数据方式是否涉及犯罪、不正当竞争行为、侵害第三人知识产权或数据产权等情形;
数据来源于自行生产的,第三方服务机构应要求登记主体提供建设和运维的系统情况、传感器、智能设备数量和运行及平均采集规模等情况说明;
数据来源于协议获取数据的,第三方服务机构应要求登记主体提供真实、完整的授权协议、许可使用协议等证明材料;
涉及收集个人信息的,第三方服务机构应要求登记主体针对个人信息处理的合法性基础,提供证明材料。
第十五条 【对数据加工使用活动及生产销售数据产品的合法合规性评估】
第三方服务机构应基于其披露的登记主体或其委托第三方开展的数据加工使用活动及生产销售数据产品情况,依据第三方服务机构自主调查、验证取得的或由登记主体提供的产品说明书、建设和运维的系统情况等证据材料,评估登记主体、生产社会数据资产的数据处理者或受其委托处理数据的主体的数据加工使用活动或数据产品内容的合法合规性,披露相关合规风险,包括但不限于:
(一)数据加工使用活动或生产数据产品不违反最小必要原则、透明性原则与数据质量原则等法律法规规定;
(二)数据加工使用活动或数据产品内容不危害国家安全、公共安全和公共秩序,不违背公序良俗原则;
(三)所涉数据不属于且不涉及法律法规禁止处理或交易的数据;
(四)数据加工使用活动或数据产品不侵害知识产权、商业秘密等其他数据合法权利或利益;
(五)数据交易协议内容的合法性(如适用);
(六)数据加工使用活动或数据产品对个人信息去标识化或匿名化情况;
(七)其他社会数据资产涉及利害关系人的情况。
第十六条 【对数据加工使用活动或数据产品应用场景合规风险的评估与提示】
第三方服务机构应基于其披露的登记主体、生产社会数据资产的数据处理者或受其委托处理数据的主体开展的数据加工使用活动及生产销售数据产品情况,依据第三方服务机构自主调查、验证取得的或由登记主体提供的证据材料,结合数据加工使用活动或数据产品使用条件、约束机制等情况,评估并提示数据加工使用活动或数据产品应用场景风险,包括但不限于:
(一)依法需要行政许可才能开展的数据加工使用活动或交易的数据产品。如涉及重要数据处理、交易,涉及从事征信业务,涉及从事地理信息测绘活动等需取得行政许可或备案的数据处理活动或法律行为,应提示登记主体取得相关行政许可或办理行政备案;
(二)数据加工使用活动或提供数据产品涉及数据跨境的相关合规风险,应提示登记主体实施、通过相应评估或办理行政备案;
(三)其他应当审查、评估、提示的数据应用场景合规风险。
第三章 数据权利归属与行使限制
第一节 原则
第十七条 【数据权利结构性分置原则】
数据处理者对社会数据资产享有数据持有权、数据使用权、数据经营权。数据持有权、数据使用权、数据经营权互相独立。
数据处理者对社会数据资产可全部享有数据持有权、数据使用权、数据经营权。
不同登记主体就同一社会数据资产可分享数据持有权、数据使用权、数据经营权。
登记主体对社会数据资产享有数据权利的,依据《指引》及本实施细则向登记机构申请社会数据资产登记。
登记主体可根据数据处理者委托,以自己名义申请社会数据资产登记。
第十八条 【合同优先原则】
第三方服务机构应优先基于登记主体等数据处理或数据交易参与方合法有效的合同、决议等法律文件,确认社会数据资产数据权利归属、变动、行使范围、行使限制等情况。
第十九条 【数据持有权、使用权、经营权的概念】
数据持有权是指,数据处理者自行或委托他人实际控制数据,并排除他人窃取、篡改或破坏其控制数据的权利。
数据使用权是指,数据处理者基于数据资源持有权、合同约定或法律法规规定,自行或委托他人以加工、聚合、分析等方式对数据进行实质性加工或投入创新性劳动,在组织内部将数据用于提质增效、开发数据产品等数据处理目的的权利。
数据经营权是指,数据处理者基于数据资源持有权或使用权、合同约定或法律法规规定,自行或委托他人通过有偿或无偿的方式对外提供数据的权利。
第二十条 【第三方服务机构的审查】
在拟登记社会数据资产合规的基础上,第三方服务机构应依据其自主调查、验证取得的或由登记主体提供的证据材料,参考其他第三方服务机构提供的社会数据资产真实性审查报告,基于已评估、披露、提示的合规风险,根据本实施细则全面、真实、审慎地对以下社会数据资产数据权利情况进行审查、确认,并发表明确的法律意见:
(一)数据权利主体,是否涉及共同共有数据权利以及按份享有数据权利的份额;
(二)拟登记的数据权利;
(三)数据权利的期限;
(四)社会数据资产上是否设定担保;
(五)提示登记主体行使数据权利的范围或限制。
第二节 数据权利取得、变动的原因
第二十一条 【基于数据收集取得数据权利】
数据处理者对其在自身或共同参与的生产及经营活动中,自行或委托他人合法收集的数据,享有数据持有权、使用权和经营权,有权申请社会数据资产登记。
第二十二条 【基于合理爬取取得数据权利】
在不违反现行法律法规、不干扰网络服务正常运行、不实质性替代他人产品和服务的前提下,数据处理者对其自行或委托他人合理爬取的数据,享有数据持有权、使用权和经营权,有权申请社会数据资产登记。
第二十三条 【数据委托处理情形的数据权利归属】
数据处理者委托他人处理数据的,对委托处理的原始数据、过程数据、结果数据等,除合同另有约定外,受托人不享有数据持有权、使用权和经营权,不得申请登记社会数据资产。
数据委托处理活动终止或受托人解散、破产的,受托人应当按委托人要求返还、删除、匿名化或销毁数据,不得将委托其处理的数据资产用于清算、重整。
第二十四条 【数据汇聚融合情形的数据权利归属】
多个数据处理者合法共同开展数据汇聚融合、开发衍生数据的,对已融合的数据,各参与方按合同约定单独、共同或按份享有数据使用权、经营权,并申请社会数据资产登记。
对共同开发产生的衍生数据,各参与方共同享有数据持有权、使用权和经营权,均有权申请社会数据资产登记,合同另有约定的除外。
第二十五条 【开发创造衍生数据情形的数据权利归属】
数据处理者对其享有使用权的数据进行创造性劳动或实质性加工,实现数据内容实质改变,显著提升数据价值,数据处理者对形成的衍生数据享有数据持有权、使用权和经营权,有权申请社会数据资产登记。
第二十六条 【探索数据合理使用机制】
根据法律、法规、规章、规范性文件相关规定,针对科学研究、教育教学等场景,及人工智能等新产业发展,登记机构综合考虑数据使用目的、创新结果、对企业或个人权益影响等因素,探索数据合理使用及其权利归属认定机制。
第二十七条 【数据权利的转让】
数据权利人按照平等、自愿、公平、诚信原则,通过合同约定一并或部分转让数据持有权、使用权和经营权。登记主体转让其数据权利的,应根据指引及《西部数据交易中心社会数据资产流通交易实施细则》向登记机构申请社会数据资产转移登记。
第二十八条 【其他数据权利变动的原因】
因数据处理者合并、分立、解散、被宣告破产等原因导致数据权利转让、变更、消灭的,登记主体应根据指引及《西部数据交易中心社会数据资产流通交易实施细则》向登记机构申请社会数据资产变更登记、注销登记。
第四章 附则
第二十九条 【附则】
本实施细则自印发之日起施行,由登记机构负责解释、修订。
《西部数据交易中心社会数据资产合规性与权利归属实质审查实施细则(试行)(征求意见稿)》意见反馈表
↓↓了解更多资讯,请识别下方二维码↓↓
国脉集团是数据资产化专业服务机构,为数据资源拥有者提供专业、规范、合规的全流程数据资产化服务,包括培训、咨询和产品设计等,实现数据资源价值最大化。主要服务于政府数据管理机构、央国企数据运营企业、城市数据运营平台和数据富集型平台企业,打造数据资产网、数据资产研究院和产业专家网络等支撑体系,同时在营商环境与政务领域继续保持领先优势。 主要课程包括数据资产入表、数据经纪人、公共数据运营和政府CDO、数据精品等精品课程。 数据资产化服务:数据资产化战略布局、数据资产入表、数据产品开发及交易等关键任务; 数据要素×项目服务:政策扶持、案例奖项申报、金融支撑和市场变现; 数据产业园区和试验区咨询服务:园区规划、咨询、资源导入