《数据二十条》将数据分为公共数据、企业数据、个人数据。根据《数据二十条》以及各地政府的数据条例和公共数据运营相关的行政法规和规章,公共数据是指对各级党政机关、企事业单位依法履职或提供公共服务过程中产生的数据。在公共数据运营这样的背景下讨论本问题,涉及的另一层的问题则是,因各地公共数据的运营均应按照“原始数据不出域、数据可用不可见”的要求运营公共数据,因此在公共数据运营方谈及的公共数据,一般已经不是原始数据或仅经过初步治理的公共数据资源,而是在公共数据授权使用或有条件共享开放的环节中涉及的公共数据产品。
根据各地省市的数据条例或者公共数据运营相关的行政法规和规章,公共数据可在合法合规安全的前提下,对外进行授权使用或者开放共享。特别是,很多省市地方政府将公共数据基于分级分类授权的规则,规定了有条件授权使用和开放和共享的机制。然而,数据二十条也规定了,在鼓励公共数据在保护个人隐私和确保公共安全的前提下,公共数据运营主体应按照“原始数据不出域、数据可用不可见”的要求,以模型、核验等产品和服务等形式向社会提供。
那么在这样的基础制度下,对于位于境外的主体(特别需要境内公共数据运用训练模型的境外企业),是否也可以成为公共数据授权使用或开放共享的对象呢?这是一个比较复杂的问题并且也需要根据公共数据授权运营主体的具体的运营模式而进行具体个案分析。对于上述问题,目前现有法律法规并没有禁止性的规定,因此在符合法律合规和安全等要求的前提下,境外的主体通过可行的技术方式也可以获得境内的公共数据。
从法律角度来说,就公共数据的对外授权使用或共享开放领域,境外主体应注意和考虑以下几个重点的数据合规问题:
首先,根据《促进和规范数据跨境流动规定》(简称“《规定》”),境外主体获得境内的公共数据属于数据出境范畴。因此,对于这类公共数据的出境情形,应结合具体的场景和产品按照《规定》履行相应的数据出境合规义务。
其次,对于拟出境的公共数据,建议还要进行数据安全的审查,即应判断出境的公共数据是否含有核心数据、国家秘密、重要数据、涉及国家安全等敏感信息。如果存在,则不得出境或者需完成数据安全审查和整改后再出境。此外,根据数据安全法的相应规定,即使境外主体合法合规地获得了公共数据,也可能设计数据本地存储、出口管制等其他法律合规要求和限制性要求。对于上述的合规问题的具体细节,可参考本合规实务的相应部分,在此不做赘述。
再次,如果公共数据中含有个人信息,那么相应的个人信息因数据出境本身超出了原始公共数据采集和获取时的目的和范围,因此数据提供方还应注重履行个人信息保护法的相应合规要求,例如对个人进行告知和获得对出境的单独同意等。具体可以参考本合规实务相应的问题答复内容。
当然,我们也可以预见,这样的告知和获取同意需要有效的渠道,往往在公共数据领域比较难以获得。此外,公共数据运营企业与境外主体还应签署对数据提供方和数据本身有充分保护度的数据授权或开放共享协议(如果在出境渠道方式上,数据提供方应适用标准合同出境,那么应按照标准合同的要求签署协议)。例如,处于对公共数据使用范围的保护目的,协议中可明确约定未经提供方同意,境外主体不得随意转让、共享、授权数据给第三方使用的条款,以保护公共数据的安全使用。
另外,由于在公共数据授权使用或公开共享领域,公共数据运营主体应严格按照“原始数据不出域、数据可用不可见”的要求进行数据运营,因此境外主体也有可能涉及需通过采用隐私计算、沙箱等技术方式,在公共数据运营的平台上去获得其需要的数据或数据结果。为此,境外主体可能需要向公共数据运营方提供其数据模型,因此也可能涉及境外主体在其管辖权领域数据跨境的合规问题,以及在数据模型与“可用不可见”的数据进行碰撞之后,以及再以合法安全的方式获取碰撞后的数据的合规出境问题。
因公共数据的出境既涉及公共数据领域的数据合规问题,也涉及数据出境的合规问题,因此我们也建议公共数据运营主体和境外主体在遇到类似问题时尽早全面咨询专业的法律顾问。
来源:环球律师事务所等团队
扫一扫
5564
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
