数据流通合规审计
最后更新:2026-04-07 | 由 LLM 基于《数据二十条》《数据安全法》《个人信息保护法》及相关地方数据条例编译
关联概念:算法备案制度 | 深度合成合规 | 数据确权与流通 | 个人信息跨境传输
核心法条
- 《数据安全法》第27条:数据处理者应当建立健全全流程数据安全管理制度,定期开展数据安全风险评估(现行有效)
- 《数据安全法》第30条:重要数据处理者应当定期开展数据安全风险评估并报送评估报告(现行有效)
- 《个人信息保护法》第55条:处理敏感个人信息、自动化决策、委托处理/对外提供个人信息等情形须进行个人信息保护影响评估(现行有效)
- 《个人信息保护法》第56条:个人信息保护影响评估应当包括处理目的、处理方式对个人权益的影响及安全风险、保护措施等(现行有效)
- 《网络安全标准实践指南—网络数据分类分级指引》:原始数据与衍生数据分类(现行有效)
- 《数据二十条》(2022-12-19):数据资源持有权、数据加工使用权、数据产品经营权三权分置
- 《上海市数据条例》/《深圳经济特区数据条例》:地方数据产品交易合规要求
- 《工业和信息化领域数据安全管理办法(试行)》(2023-01-01):自动化决策透明度与公平性要求
规则沿革
| 时间节点 | 变化内容 | 依据来源 |
|---|---|---|
| 2021-06-10 | 《数据安全法》通过,确立数据分类分级+风险评估制度 | 现行有效 |
| 2021-08-20 | 《个人信息保护法》通过,确立个人信息保护影响评估制度 | 现行有效 |
| 2022-12-19 | 《数据二十条》发布,确立"三权分置"数据产权制度框架 | 指导数据流通合规 |
| 2023-01-01 | 《工业和信息化领域数据安全管理办法(试行)》实施,自动化决策合规新增要求 | 工业领域新增数据合规 |
| 2022-至今 | 地方数据条例陆续出台(上海/深圳/贵州等),数据交易合规评估要求细化 | 地方立法 |
一、数据流通合规审计的基本框架
1.1 审计目标
数据流通合规审计的核心目标是在《数据二十条》"三权分置"框架下,确保数据从产生→加工→流通→产品化的各个环节均在法律允许的范围内进行,避免权属争议、行政处罚和民事侵权风险。
1.2 审计范围
数据流通合规审计涵盖三个层次,对应《数据二十条》提出的"三权":
数据流通合规审计
├── 第一层:数据资源持有权审计(来源合法性)
├── 第二层:数据加工使用权审计(使用合法性)
└── 第三层:数据产品经营权审计(产品化合规)
1.3 三权分置对合规审计的影响
| 权利 | 审计关注点 | 核心问题 |
|---|---|---|
| 数据资源持有权 | 数据来源/保存期限/采集方式 | 数据从哪里来?是否有权持有? |
| 数据加工使用权 | 加工来源/目的限制/使用场景/安全保障 | 数据如何加工和使用? |
| 数据产品经营权 | 产品来源/实质性加工/产品合法性/个人信息处理 | 数据产品如何对外交易/流通? |
二、数据资源持有权审计
2.1 数据来源合法性评估
数据资源来源途径分为四类,审计要点各不相同:
| 来源类型 | 合规审查要点 | 法律依据 |
|---|---|---|
| 公开收集 | 收集手段合法(如遵守Robots协议);不突破技术保障措施;不采用非法入侵/控制/获取计算机信息系统数据的程序;遵循诚实信用和公认商业道德 | 《上海数据条例》第13条 |
| 自行生产 | 数据来源合法性风险较低;但仍需审查是否涉及个人信息/商业秘密 | 《数据安全法》第27条 |
| 间接获取(购买/许可/合作) | 核查购买协议/合作协议/许可使用协议是否真实存在、是否实际履行;授权链是否完整 | 《数据安全法》《个人信息保护法》第23条 |
| 直接采集(涉及个人信息) | 评估采集行为是否具备《个人信息保护法》第13条规定的7类合法性基础;是否取得单独同意 | 《个人信息保护法》第13-15条 |
2.2 数据保存期限合规
数据资源持有权应建立在数据保存期限合法的基础上,违反保存期限规定会导致持有权瑕疵。
| 数据类型 | 最短保存期限 | 依据 |
|---|---|---|
| 个人信息 | 实现处理目的所必要的最短时间 | 《个人信息保护法》第19条 |
| 反洗钱客户身份资料/交易信息 | 业务关系结束后至少5年 | 《反洗钱法》第19条 |
| 电商商品/交易信息 | 不少于3年 | 《电子商务法》第31条 |
| 互联网直播内容 | 不少于60日 | 《互联网直播服务管理规定》第16条 |
2.3 三权分置的审计要点
核心原则:持有权不排斥加工使用权。同一数据资源上可同时存在持有权人和加工使用权人,二者可以是同一主体也可以是不同主体。
审计要点:
1. 识别数据资源持有权人
2. 评估数据处理活动是否侵害持有权人合法权益
3. 确认是否存在权属争议
三、数据加工使用权审计
3.1 加工与使用权的分离
《数据安全法》第3条规定,数据处理包括收集、存储、使用、加工、传输、提供、公开等环节。加工和使用为并列关系。数据加工使用权强调"谁加工、谁使用"。
| 加工阶段 | 审计事项 |
|---|---|
| 数据分类 | 原始数据 vs. 衍生数据(脱敏/标签/统计/融合数据) |
| 数据来源 | 加工数据的取得来源是否合法 |
| 目的限制 | 数据加工使用是否符合收集/获取时约定的目的 |
| 使用场景 | 是否违反行业法规(如工信部自动化决策透明度要求) |
| 安全保护 | 是否采取加密/去标识化/匿名化等安全保护措施(《数据安全法》第29条) |
3.2 目的限制审查
| 数据类型 | 目的限制规则 |
|---|---|
| 个人信息 | 处理目的必须明确、合理;变更目的须取得单独同意 |
| 非个人信息 | 《数据安全法》未规定目的限制;但应遵守行业法规/协议约定 |
| 间接获取的数据 | 须核查协议是否限制使用目的;间接获取的协议约定即为目的边界 |
3.3 自动化决策合规
《工业和信息化领域数据安全管理办法(试行)》第16条要求:利用数据进行自动化决策的,保证决策的透明度和结果公平合理。
审计要点:
1. 决策算法/模型的透明度
2. 决策结果是否存在歧视
3. 是否提供人工干预/申诉渠道
4. 是否符合算法备案要求(参见算法备案制度)
四、数据产品经营权审计
4.1 数据产品的概念与条件
| 要素 | 要求 |
|---|---|
| 来源 | 通过对数据资源的实质性加工和创新性劳动形成 |
| 形态 | 数据API/数据集/数据分析报告/算法模型等 |
| 财产权益属性 | 数据产品和服务享有相应的财产权益 |
| 与原始数据区别 | 初级数据产品商业价值较小;高级数据产品具备独立财产权益价值 |
数据产品经营权不排斥原始数据的经营,侧重于鼓励数据处理者对原始数据进行开发利用。
4.2 数据产品合规审计要点
| 审计维度 | 审查内容 | 法律风险 |
|---|---|---|
| 实质性加工 | 数据产品是否经过实质性加工和创新性劳动 | 未经加工的交易可能被认定权属不清 |
| 产品合法性 | 数据产品不含国家秘密、情报、法律禁止获取/持有的数据 | 涉嫌危害国家安全/公共安全 |
| 禁止交易数据 | 不交易危害国家安全/公共利益、侵害隐私、未授权身份/财产/敏感数据、未经授权的企业数据/商业秘密的数据 | 《上海市数据条例》第55条 |
| 个人信息合规 | 若数据产品包含个人信息,须单独取得同意或符合法定豁免情形 | 《个人信息保护法》第23/39条 |
4.3 数据流通交易合规评估清单
| 序号 | 评估项目 | 评估方法 |
|---|---|---|
| 1 | 数据来源合法性审查 | 核查授权链、协议、采集方式 |
| 2 | 数据分类分级确认 | 根据《网络数据分类分级指引》分类 |
| 3 | 数据保存期限确认 | 核查各类数据的法定保存要求 |
| 4 | 数据加工使用目的审查 | 对比采集/获取目的与实际使用目的 |
| 5 | 数据安全保障措施审查 | 检查加密/去标识化/访问控制等技术措施 |
| 6 | 个人信息处理影响评估 | 按《个人信息保护法》第55-56条评估 |
| 7 | 数据产品合法性审查 | 审查产品信息、禁止交易数据排查 |
| 8 | 数据交易对手资质审查 | 核查对方数据处理能力与合规水平 |
| 9 | 跨境传输合规审查(如涉及) | 按《个人信息保护法》第38-43条审查 |
| 10 | 持续监控与定期复核 | 建立定期合规审查机制 |
五、个人信息保护影响评估(PIA)
5.1 必须进行评估的情形(《个人信息保护法》第55条)
| 情形 | 说明 |
|---|---|
| 处理敏感个人信息 | 生物识别、宗教信仰、医疗健康、金融账户、行踪轨迹等 |
| 利用个人信息进行自动化决策 | 算法推荐、个性化定价等 |
| 委托处理个人信息 | 委托第三方进行数据处理 |
| 向其他个人信息处理者提供个人信息 | 共享、转让个人信息 |
| 公开个人信息 | 对外披露个人信息 |
| 向境外提供个人信息 | 跨境传输 |
5.2 评估内容(《个人信息保护法》第56条)
| 内容 | 具体要求 |
|---|---|
| 处理目的和处理方式是否合法、正当、必要 | 评估是否具有合法基础,是否超出合理范围 |
| 对个人权益的影响及安全风险程度 | 评估对个人知情权/决定权/隐私权的影响 |
| 所采取的保护措施是否足以应对风险 | 评估技术措施和管理措施完备性 |
评估报告和处理情况记录应至少保存三年。
六、实务要点与风险提示
6.1 对数据流通合规审计的建议
- 建立数据资产台账:清晰界定持有权/加工使用权/产品经营权对应的数据资源
- 授权链完整:间接获取的数据须有完整的授权链和协议记录
- 目的限制:严格按照采集/获取时的约定目的使用数据,变更须取得同意
- 定期合规审计:根据《数据安全法》第27条建立定期风险评估机制
- 分类分级管理:按照国家数据分类分级标准进行管理
- 跨境传输:涉及跨境传输的须进行专项合规评估(参见个人信息跨境传输)
6.2 对数据处理者的合规指引
- 公开收集数据时不得违反法律或他人合法权益,须遵守行业规范(如Robots协议)
- 间接获取数据须核查协议真实性及实际履行情况
- 个人信息处理须具备《个人信息保护法》第13条规定的合法性基础
- 自动化决策须保证透明度和结果公平合理
- 数据安全保障措施须覆盖数据全生命周期(加密/去标识化/匿名化等)
知识库原始资料索引
学术文章
- "数据二十条"背景下数据流通合规评估与审计实务
- 梳理:劳动争议视角下涉股权激励民事案件的常见争议裁判规则
法条资源
- 《数据安全法》第27条、第29条、第30条
- 《个人信息保护法》第13条、第19条、第55条、第56条
- 《数据二十条》
- 《上海数据条例》第13条、第49条、第55条
- 《工业和信息化领域数据安全管理办法(试行)》第16条