《第十二屆北京市律師協會：律師辦理數據資源入表法律業務操作指引（2024）（79頁）.pdf》由會員分享，可在線閱讀，更多相關《第十二屆北京市律師協會：律師辦理數據資源入表法律業務操作指引（2024）（79頁）.pdf（79頁珍藏版）》請在三個皮匠報告上搜索。

1、律師辦理數據資源入表法律業務操作指引（2024）第十二屆北京市律師協會數字經濟與人工智能領域法律專業委員會2024 年 10 月 27 日-1-前言為推動數據資源入表法律服務規范化，進一步提升北京律師在數字經濟領域的法律服務能力，根據中華人民共和國民法典中華人民共和國數據安全法中華人民共和國網絡安全法中華人民共和國個人信息保護法以及相關法律法規，編制了律師辦理數據資源入表法律業務操作指引（2024）（以下簡稱指引或“本指引”），經第十二屆北京市律師協會數字經濟與人工智能領域法律專業委員會主任會議討論通過。為了便于使用，現就有關問題說明如下：一、“數據資源入表”還是“數據資產入表”本指引采用“數

2、據資源入表”的表述更多指的是一個管理和評估的過程，它可能包括尚未滿足資產確認條件的數據，適用于更廣泛的數據管理和評估場景。作為律師在業務操作中的指導原則，律師在提供法律評估后，是否能夠將數據資源納入財務報表，需由會計師進行最終確認。為了避免對不同專業機構職責范圍的誤解或混淆，除非另有明確說明，本指引中提到的“數據資源入表”指的是將數據資源正式納入財務報表的過程。二、適用范圍數據資源入表面臨諸多疑難待決問題，其中合規確權首當其沖。在法律師辦理數據資源入表法律業務操作指引（2024）-2-律沒有解決數據權利歸屬問題的情形下，企業釋放數據價值的過程中，首先要明確其數據屬于政策框架內所定義的哪種權益之

3、后，方可對數據進行深加工和應用，將數據作為資產納入財務報表中。本指引以幫助企業完成數據資源入表前的合規確權為目的，為律師從事相關法律業務提供參考。三、構成指引全文一百五十二條，涵蓋了數據合規確權的核心內容，包括：數據內容合規、數據來源合規、數據處理合規、數據管理合規、數據權益界定、多數據主體合作、數據確權登記、數據資產列示與披露前法律判斷等相關內容。四、性質指引為推薦性使用。其他數據合規領域法律服務亦可以參考使用。五、迭代在指引的編制過程中，數字經濟領域的產業實踐和政策法規發展迅速，呈現出日新月異的態勢。盡管在實踐中仍存在諸多挑戰，但作為數字經濟這一新興領域和業態的首批法律專業指引，我們將持續

4、關注并跟蹤政策法規的變化以及行業的發展動態，在后續版本中不斷更新內容，以確保指引的時效性和適用性。六、特別聲明數據資源入表是一個多主體參與的動態持續過程，律師的工作范圍僅-3-限于對法律意見基準日的數據合規確權相關內容發表法律意見，不對有關技術、安全、會計、審計及資產評估等非法律專業事項發表意見。如法律意見中涉及前述非法律專業事項內容，律師僅能實現形式審查，可以引用有關機構出具的專業文件和公司或有關人士出具的說明，該引用不應視為律師對引用內容的真實性和準確性做出任何明示或默示的保證，對于該等內容律師并不具備查驗和作出判斷的合法資格，不得就該事項發表獨立專業意見。法律意見基準日后數據資產發生變化

5、的，應當另行審查和出具法律意見。-4-第一章 總則 6第二章 業務受理及盡調內容 9 第一節 業務受理 9 第二節 盡調內容 11 第三節 工作底稿編制及歸檔 11第三章 標的企業情況 14第四章 數據內容合規審查 15第五章 數據來源合規審查 18 第一節 數據來源合規概述 18 第二節 內部生成數據來源合規審查 19 第三節 外購數據來源合規審查 21 第四節 公開收集數據來源合規審查 22 第五節 個人授權數據來源合規審查 24 第六節 其他方式獲取數據來源合規審查 25第六章 數據處理合規審查 27 第一節 數據處理概述 27 第二節 數據收集 27 第三節 數據存儲 32 第四節 數

6、據使用 35 第五節 數據加工 39目錄-5-第六節 數據傳輸 41 第七節 數據提供 43 第八節 數據公開 48第七章 數據管理合規審查 49 第一節 數據管理合規審查要點 49 第二節 數據管理合規審查實施方法 55第八章 數據權益確認 58第九章 多主體數據合作合規審查 61 第一節 合作方及合作情況 61 第二節 合作合同合規審查 63第十章 數據確權登記（非入表前置條件）66 第一節 數據產權登記 66 第二節 數據知識產權登記 68 第三節 其他登記類型 69第十一章 數據資產列示與披露前法律判斷 70 第一節 數據資產列示與披露前法律判斷的必要性 70 第二節 不同科目的數據資

7、產披露前法律判斷 72 第三節 自愿披露內容的法律判斷 73第十二章 法律風險及特別提示 74第十三章 附則 78CONTENTS-6-第一章 總則第一條【編制目的】為幫助律師辦理數據資源入表業務，為出具數據合規確權相關法律意見提供基本操作規范，根據中華人民共和國網絡安全法中華人民共和國數據安全法中華人民共和國個人信息保護法及其他相關法律法規、規范性文件和行業標準的要求，遵循北京市司法行政機關和北京市律師協會制定的律師執業規則，特編制本指引。第二條【適用范圍】本指引適用于數據資源入表（以下稱“數據資源入表”或“入表”）過程中，對委托方指定的標的企業持有或處理的數據的合規確權出具法律意見，以作為

8、數據資源入表時的決策參考。從事其他數據合規業務時，亦可參考本指引。本指引不應作為判斷律師是否勤勉履行委托合同項下律師義務、或是否勤勉開展相關數據資源合規確權工作的依據。第三條【釋義】1（一）標的企業：委托方擬進行數據資源入表的企業或主體。（二）數據：任何以電子或其他方式對信息的記錄。（三）數據資產2：由個人或企業擁有或控制的，能為企業帶來未來經濟利益的，以物理或電子方式記錄的數據資源。其中，滿足入表條件的會計準則的資產確認還應當符合成本可計量的要求。1.本章僅列示本指引通用的定義。2.除非特別說明，本指引中的“數據資產”是指初步判斷已經具備入表條件的數據資源。-7-3.“數據資源入表”通常指的

9、是將企業在運營過程中積累的各種數據記錄，進行登記、分類、評估和管理的過程，其范圍較“數據資產入表”更廣泛，涵蓋所有數據的管理和評估過程，包括尚未滿足資產確認條件的數據。4.“資產確認和分類”指對符合資產定義且滿足確認條件的數據資源進行分類，主要分為存貨和無形資產兩大類。存貨是指企業日?；顒又谐钟?、最終目的用于出售的數據資源；無形資產則是指企業擁有或控制的、能夠產生經濟效益的非實物資源。5.“成本歸集與計量”指根據數據資源的生命周期階段確定資產確認時點，并合理歸集和分攤成本，以確保成本的完整性和準確性。6.“后續計量和終止確認”指對于確認為無形資產的數據資源，企業需要在其使用壽命內進行攤銷，并在

10、資產負債表日進行減值測試。對于存貨類數據資源，企業在出售時應將其成本結轉為當期損益。7.“列示和披露”指企業在編制資產負債表時，應在“存貨”“無形資產”“開發支出”項目下增設“數據資源”項目，反映數據資源的期末賬面價值。同時，企業還應根據實際情況自愿披露數據資源的應用場景、業務模式、原始數據類型來源、加工維護和安全保護情況等相關信息。（四）數據資源入表3：指將數據資源作為企業的一項資產，按照會計準則進行確認、計量和報告，并在企業的財務報表中予以體現。通常包括：合規性和風險管理、資產確認和分類4、成本歸集和計量5、后續計量和終止確認6、列示和披露7。（五）數據處理：指對數據進行收集、存儲、使用、

11、加工、傳輸、提供、公開等行為。（六）數據持有權/數據資源持有權：指自行持有或委托他人代為持有合法獲取的數據，其他人不得非法竊取、篡改、泄露或者破壞權利人持有的數據的權利。（七）數據使用權/數據加工使用權：指通過加工、聚合、分析等方式，將數據用于優化生產經營、形成衍生數據等的權利。（八）數據經營權/數據產品經營權：指通過轉讓、許可、出資或者設-8-立擔保等有償或無償的方式對外提供數據的權利。（九）網安法：指中華人民共和國網絡安全法。（十）數據安全法：指中華人民共和國數據安全法。（十一）個人信息保護法：指中華人民共和國個人信息保護法。（十二）民法典：指中華人民共和國民法典。（十三）數據二十條：指

12、2022 年 12 月中共中央、國務院發布的關于構建數據基礎制度更好發揮數據要素作用的意見。第四條【一般要求】數據資源入表是將能夠給企業創造收益的數據資源按照財政部發布的企業數據資源相關會計處理暫行規定（財會202311 號）的相關規定納入表內核算的過程，“合法持有或控制”是數據資源入表的核心前提。若被認定為資產的數據資源存在合規問題，將會對會計處理的準確性、恰當性帶來負面影響，甚至影響企業的資產化應用。第五條【法律服務限制】律師事務所僅提供法律服務，盡管在法律盡職調查中不可避免地與數據相關的技術、安全、會計、評估等方面存在交互關系，律師事務所與相關專業服務機構應獨立審查與分工協作，僅在法律相

13、關領域發表獨立意見。如法律意見中涉及前述非法律專業事項內容，對有關數據合規涉及的技術、安全、會計、評估等領域內容，律師僅能完成對標的企業提供的書面材料的形式審查或借助工具予以表面核查或抽查，律師可以引用有關機構出具的專業文件和企業或有關人士出具的說明，但該引用不應視為律師對引用內容的真實性和準確性做出任何明示或默示的保證，對于-9-該等內容律師并不具備查驗和作出判斷的合法資格，無法也不能發表獨立專業意見。第六條【重視數據應用場景】數據在不同行業和應用場景中可能表現出顯著的多樣性，律師應深入分析標的企業所在的行業背景及其數據應用的具體場景，以確保法律判斷的準確性和適用性。第七條【數據資源入表步驟

14、】以釋放數據價值、促進數據要素流通為目的的數據資源入表的步驟通常應當包括：數據盤點、數據治理、合規確權、會計核算/評估入表、數據產品作為生產要素進入市場流通。其中數據治理和合規確權是動態交叉的，數據治理的過程可能涵蓋了合規整改的情形。第八條【本指引核心】本指引圍繞數據的合規與確權展開，以合規為核心，在合規基礎上進一步判斷數據權益類型，進而為數據資源入表及后續數據要素流通提供必要的法律意見。第二章 業務受理及盡調內容第一節 業務受理第九條【溝通委托需求】擬提供法律服務的律師可以通過面談、電話、郵件、問卷等方式，對委托人需求及其所處的市場、行業等情況進行了解，明確盡職調查的目標、范圍、時間表和預算

15、。第十條【審查利益沖突】擬提供法律服務的律師事務所應當在正式立案、與委托人簽署委托協議前進行利益沖突檢索和審查，對于法律法規明-10-確規定不得同時接受對立雙方或者利益沖突各方委托的，不得接受委托。如已經或擬同時接受可能會有利益沖突的其他方辦理無事實爭議具體性事務的委托，應當向委托人說明，并取得相關委托人的書面同意。第十一條【簽署委托合同】辦理數據資源入表法律業務，應當由提供法律服務的律師事務所事先與委托人簽訂書面委托合同。該委托合同通常包括以下內容：（一）委托范圍及要求；（二）法律盡職調查所需資料與信息的提供；（三）工作期限；（四）工作成果的形式及提交方式；（五）報酬、費用及其支付方式和期限

16、；（六）違約責任；（七）責任限制；（八）風險提示；（九）其他。第十二條【組建服務團隊】辦理數據資源入表法律業務，應當根據法律服務的范圍、深度和廣度組建相應規模的服務團隊。服務團隊應包括執業律師，可以包括實習律師及具有一定專業基礎的助理人員，并選定一名執業律師為項目負責人。鑒于數據資源入表業務的交叉性，建議團隊配備具有財務和/或計算機等相關專業背景及經驗的成員。-11-第二節 盡調內容第十三條【盡調內容】一般性數據資源入表法律盡職調查通常包括以下內容：（一）標的企業情況；（二）數據內容合規審查；（三）數據來源合規審查；（四）數據處理合規審查；（五）數據管理合規審查；（六）數據權益界定；（七）多主

17、體數據合作合規審查；（八）其他。承辦律師可根據標的企業實際情況及盡職調查報告的使用目的適當調整盡職調查內容。第十四條【盡調清單】服務團隊應當根據數據資源入表法律業務項目的具體情況編制盡職調查法律文件清單，并可根據對委托人的具體調查情況編制補充盡職調查文件清單，明確要求委托人或其他當事人嚴格按照客觀、真實、準確、完整的原則提供清單所列明的相關文件，同時要求委托人或其他當事人書面承諾所提供資料不存在虛假、誤導性陳述或重大遺漏情況。第三節 工作底稿編制及歸檔第十五條【工作底稿的內容】工作底稿應全面反映律師在辦理入表-12-業務的工作過程和結果，可以參照常見非訴業務工作底稿要求，包括但不限于以下內容：

18、（一）委托協議及相關補充協議；（二）盡職調查材料；（三）法律分析及研究報告，包括對相關法律法規、政策的解讀和適用分析；（四）內部討論記錄、備忘錄及工作筆記；（五）與客戶及其他相關方的溝通記錄，如郵件、函件、會議紀要等；（六）法律意見書、律師工作報告及其他法律文件的草稿和定稿；（七）其他與業務相關的重要文件和資料，尤其關注涉及數據盤點、治理的相關資料或第三方專業報告。第十六條【工作底稿編制原則】工作底稿的編制應遵循以下原則：（一）真實性：工作底稿中的內容必須真實可靠，不得虛構、篡改或隱瞞重要信息。（二）完整性：應全面收集與業務相關的文件和資料，確保工作底稿能夠完整反映業務的全過程。（三）一致性：

19、應將電子底稿與文檔同時刻錄光盤或在數據庫中以只讀文件形式單獨保存。（四）準確性：工作底稿中的信息應準確無誤，對事實的描述和法律分析應客觀、準確。-13-（五）規范性：工作底稿的格式和內容應符合一定的規范要求，便于整理、查閱和管理。（六）保密性：對于涉及客戶商業秘密和個人隱私的工作底稿，應嚴格遵守保密規定，采取必要的保密措施。工作底稿的編制應按照業務流程和時間順序進行，確保各環節的工作記錄清晰可查。對于重要的文件和資料，應注明來源和取得時間，并由相關人員簽字確認。第十七條【工作底稿歸檔】工作底稿應在業務辦結后及時歸檔。歸檔時間一般不得超過業務辦結后的三個月。歸檔工作應由承辦律師負責，檔案管理人員

20、協助。歸檔前，承辦律師應對工作底稿進行全面整理和審查，確保工作底稿符合歸檔要求。工作底稿的歸檔應按照以下程序進行：（一）分類整理：將工作底稿按照業務類型、文件性質等進行分類整理，編制目錄。（二）裝訂成冊：將整理好的工作底稿裝訂成冊，注明案號、業務名稱、歸檔時間等信息。采用刻錄光盤等方法保存電子文檔的，建議對保存內容計算哈希值并單獨保存。（三）移交檔案：將裝訂好的工作底稿移交檔案管理人員，辦理移交手續，填寫移交清單。（四）檔案管理人員應對接收的工作底稿進行再次審查，確保歸檔文-14-件完整、準確、規范。如發現問題，應及時通知承辦律師進行整改。（五）工作底稿的保管期限應根據業務性質和重要程度確定。

21、一般情況下，非訴業務工作底稿的保管期限不少于五年。（六）檔案管理人員應定期對工作底稿進行清理和整理，對超過保管期限的工作底稿，按照規定程序進行銷毀。第三章 標的企業情況第十八條【主要調查內容】對標的企業基本情況進行盡職調查時，包括但不限于以下內容：（一）標的企業的基本登記信息；（二）標的企業的主營業務情況；（三）數據資源入表所涉及業務的情況；（四）標的企業的數據合規管理情況。第十九條【基本登記信息】對標的企業的基本登記信息進行盡職調查時，應著重于對標的企業的主體資格、企業類型、注冊資本（包括實繳資本）、成立時間、經營期限、經營范圍、股權（投資）結構與控股股東及實際控制人、治理結構等方面進行審查

22、。第二十條【主營業務情況】對標的企業的主營業務情況進行盡職調查時，應著重于對標的企業的主營業務及相關資質、客戶范圍等進行審查，并重點關注入表相關數據及其未來應用場景與主營業務的關聯關系，是否可持續及具有強關聯關系。-15-第二十一條【入表涉及業務的情況】對標的企業入表所涉及的業務進行盡職調查時，應著重于對所涉業務是否已經履行了特定的程序及有效期限，如主管機關的審批、取得必要的經營資質、企業決策機構的批準等；相關數據作為數據資源入表時是否有法律法規或政策上的限制等方面進行審查。第二十二條【數據合規管理情況】對標的企業的數據合規管理情況進行盡職調查時，應著重于對標的企業的數據內容合規、數據來源合規

23、、數據處理合規及數據管理合規進行審查。對前述內容進行審查時的要點，請參考本指引第四章至第七章的相關內容。第四章 數據內容合規審查第二十三條【數據資源的盤點】基于數據資源入表的目的，結合企業的商業模式和數據應用場景，對數據資源進行盤點、梳理和識別，本著成本可計量、現實可控制、未來有收益的原則，形成數據資源盤點或分析報告。第二十四條【審查依據】（一）法律法規。包括但不限于網安法數據安全法個人信息保護法、地方性法規、規章等在開展盡職調查時現行有效的相關法律法規及規范性文件等。（二）國家標準、行業標準（如：GB/T 43697-2024數據安全技術 數據分類分級規則、GB/T 36344 信息技術 數

24、據質量評價指南）和規范、重要國家政策、地方政策。-16-（三）企業內部規章制度，即企業制定的數據管理政策、隱私政策等。第二十五條【審查內容】（一）合規性審查：審查數據的收集、存儲、使用和傳輸是否符合法律法規的要求。（二）真實性審查：核實數據的來源是否合法，是否經過驗證和審查。檢查數據是否存在虛假、錯誤或誤導性信息。（三）完整性審查：評估數據是否完整，是否存在缺失或損壞的情況。第二十六條【審查要點】（一）個人信息合規審查要點1.在收集、使用和共享個人信息時是否符合法律法規的規定，是否取得了用戶的明確授權。2.對個人信息進行的分類、分級管理，是否采取了必要的保護措施。3.個人信息泄露事件的應急響應

25、機制是否健全。（二）企業數據合規審查要點1.標的企業業務數據的收集、使用和披露是否符合法律法規和合同約定。2.是否建立了完善的數據隱私政策和用戶授權機制。（三）公共數據合規審查要點1.數據來源合規性：確認公共數據的收集主體是否在其法定職責范圍內進行數據收集及依據。-17-2.數據收集的方式：是否遵守法律法規規定、是否取得了數據主體的合法授權及授權范圍。3.授權主體適格性：授權主體必須是具有法定授權資格的部門或機構；授權主體是否在其權限范圍內進行授權，是否超越法定職權進行授權行為。4.被授權方資質：評估被授權方的技術能力和安全保障能力；被授權方的信譽、經營狀況、過往行政處罰情況，以及是否有能力履

26、行公共數據運營職責。5.授權范圍及期限：授權運營的公共數據是否明確界定了數據的類型、內容、格式等；被授權方使用目的及用途是否在授權規定的范圍內；公共數據的使用是否在授權期限內。第二十七條【應用場景的數據內容審查】（一）內部應用場景審查1.內部數據使用場景合規性，如數據分析、決策支持、業務優化等。2.評估數據收集、使用是否遵循“最小且必要原則”，是否存在數據濫用風險。3.內部數據安全管理措施，如訪問控制、數據加密、備份恢復等。（二）外部合作應用場景審查1.與外部合作伙伴的數據共享和合作場景合規性。2.合作協議中關于數據保護的條款合規性。3.新興技術應用場景合規性審查。-18-4.分析新興技術應用

27、帶來的數據安全挑戰和風險。（三）不同應用場景下數據質量影響評估1.數據質量評估主要從規范性、完整性、準確性、一致性、時效性和可訪問性六個維度展開。2.律師辦理入表法律業務時應當重視數據應用場景對數據質量的要求，同樣的數據在不同場景下對上述六個指標的需求有所差異。第五章 數據來源合規審查第一節 數據來源合規概述第二十八條【數據來源合規】數據來源的合規是指標的企業在獲取和收集數據時，應當遵循相關法律法規、行業規范及道德準則，確保數據取得的合法性、正當性和安全性。第二十九條【數據獲得的渠道】數據的獲取主要包括以下幾種渠道：內部生成數據、外購數據、公開收集數據、個人授權數據以及其他方式獲取的數據。第三

28、十條【數據來源合規審查的合法性依據】審查數據來源合規的依據主要包括以下內容：（一）數據收集應符合現行法律法規，尤其是數據相關的法律法規的要求，包括但不限于網安法數據安全法個人信息保護法等。值得注意的是，各垂直領域應考慮不同行業或領域現行專門的法律法規。（二）數據收集應避免侵害第三方的權益，尤其是從公開渠道獲取的-19-數據：屬于公共數據源的，應盡基本審慎的義務審查數據來源主體的收集行為是否符合法律法規及行業規范，以及標的企業獲取、處理、使用數據集的行為是否符合公共數據源的協議或規則；屬于爬取數據的，應審查爬取行為是否具備正當性，不得侵犯其他方的人身權和財產權（包括知識產權）。（三）通過從第三方

29、購買、授權等數據交易方式外購數據的，應當審查數據交易合同是否違反國家強制性法律規定，明確數據來源，審查交易主體的必要資質和授權、標的數據的授權使用范圍、交易主體的網絡與數據安全要求，以及出現風險事件的責任承擔等條款，確保數據來源的合法性、正當性、安全性。第三十一條【數據的可追溯性】確保數據能夠追溯是合規審查的重要方面，主要包括來源記錄和數據流轉記錄。來源記錄能夠確保數據追根溯源，記錄內容包括數據的原始提供者、收集時間和收集方式等信息。來源記錄有助于在出現問題時快速確定責任主體和解決問題。數據流轉記錄能夠載明數據在多個主體之間流轉情況，記錄內容包括每一次流轉的目的、接收方和授權情況等。流轉記錄有

30、助于確保數據在整個生命周期中的合規性。第二節 內部生成數據來源合規審查第三十二條【內部生成數據】內部生成數據是指標的企業內部業務活動、運營過程、管理決策等所產生的數據集合。這些數據反映了標的企業-20-的特定業務流程、客戶群體、產品和服務的特點以及管理模式等方面的情況。內部生成數據包括但不限于以下內容：業務交易數據、客戶信息數據、生產運營數據、財務數據、人力資源數據、研發數據等。第三十三條【內部生成數據來源合規審查】內部生成數據來源合規審查，主要從以下方面進行合規審查：（一）數據生成依據審查：檢查數據生成是否基于標的企業合規的業務流程和操作規范。確保數據是在遵循相關法律法規、行業標準以及企業內

31、部制度的前提下產生的。（二）數據生成目的審查：確認數據生成的目的明確、合規且符合標的企業的目標和戰略規劃，審查是否存在為了不正當目的而生成數據的情況。（三）數據生成過程審查：評估數據生成過程中的技術手段和方法是否可靠、安全8。同時，審查數據生成過程中是否存在干預或篡改數據的風險。確保數據生成過程中的數據生成人員具備相應的資質和權限，且嚴格按照操作規范和流程執行。（四）數據質量管理審查：檢查標的企業是否建立有效的數據質量管理體系，包括數據質量標準、監控機制和糾錯程序等，確保生成數據的準確、完整、一致和及時。同時，評估數據質量問題對業務決策和合規性的潛在影8.對數據生成技術方法和可靠性的評估可能超

32、出了法律的專業判斷，除審閱企業自身材料外，建議參考第三方技術服務商提供的專業技術評估意見。律師在給出整體合規意見時，應當注意參考其他專業判斷在法律相關范圍給意見。-21-響，對于發現的數據質量問題，審查是否已及時采取糾正措施并對相關責任人進行了必要的問責。（五）內部審計與監督機制審查：確認標的企業是否設立了獨立的內部審查部門或崗位，負責定期對數據生成活動進行監督和審計。同時，檢查內部審計的范圍、頻率和方法是否足以發現潛在的合規問題，審計報告能否得到管理者的重視并及時處理，審計建議落實的情況如何。第三節 外購數據來源合規審查第三十四條【外購數據】外購數據是指標的企業從外部供應商、數據提供商處購買

33、或獲取的數據資源。第三十五條【外購數據來源合規審查】外購數據來源合規審查至關重要，它能確定企業所獲取的數據是否合法、是否符合道德規范。律師應從以下方面進行合規審查：（一）供應商的調查：對數據供應商進行全面調查，包括其公司信息、業務范圍、信譽度和市場口碑等。了解供應商的經營歷史，確認其是否存在法律糾紛或不良記錄，這有助于評估其可靠性和合規性。同時，核實供應商是否具有合法的數據采集、處理和銷售資質。（二）數據來源合法性審查：要求供應商明確說明數據的來源渠道。審查數據是否來自合法的途徑。對于來源不明或存在疑問的數據，應謹慎對待，避免潛在的法律風險。同時，審查數據采集過程是否符合相關法律法規和道德標準

34、。-22-（三）數據使用授權的審查：確認供應商是否擁有合法的數據使用授權，并有權將這些權利轉讓或許可給購買方。審查授權文件的條款和范圍，有效控制購買方在使用數據時引發法律糾紛的風險。同時，注意授權的時效性和地域范圍。確保數據的使用授權在有效期內，并且適用于購買方的業務范圍和運營地區。（四）數據質量評估：對外購數據的質量進行評估，包括數據的準確性、完整性、一致性和時效性等方面。要求供應商提供數據質量報告或相關證明材料，以便購買方了解數據的質量狀況。另外，可以通過抽樣檢查、數據分析等方式，對數據質量進行進一步驗證。如果發現數據質量存在問題，應與供應商協商解決辦法。（五）合同條款審查：在與數據供應商

35、簽訂合同之前，仔細審查合同條款，確保合同中明確規定了數據的來源、質量、使用授權、保密義務、違約責任等關鍵事項。注意合同中的免責條款和爭議解決條款，確保購買方的合法權益得到充分保護。第四節 公開收集數據來源合規審查第三十六條【公開收集數據】公開收集數據是指標的企業通過公開的渠道和方式，主動獲取各類數據的行為，包括通過互聯網平臺、政府公開數據平臺、公共數據庫、線下公開活動等收集數據。第三十七條【公開收集數據來源合規審查】公開收集數據來源合規審查是確保數據收集行為合法、正當且安全的重要環節。律師應從以下方面-23-進行合規審查：（一）明確數據收集的目的和范圍：在開始審查之前，首先要明確收集數據的具體

36、目的以及所涉及的范圍，這有助于確定審查的重點和方向，確保收集的數據僅用于合法、正當且明確的用途，并且不超出必要的范圍。（二）審查數據來源的合法性：確認數據是否來自公開渠道，包括政府公開數據平臺、合法的新聞媒體網站、學術研究機構的公開數據庫、公共論壇和社交媒體平臺等。對于聲稱來自公開渠道的數據，要仔細核實其來源的真實性和可靠性。同時，檢查數據收集是否遵循了相關平臺或渠道的使用規則和條款，以免引發法律糾紛。（三）評估數據收集方法的合規性：如果是通過網絡爬蟲等技術手段收集數據，要審查其是否遵守了相關的法律法規和技術規范。對網絡爬蟲的使用可能涉及侵害個人信息權、侵犯網站內容著作權以及違反技術保護措施、

37、Robots 協議、對服務器造成過度負擔等涉嫌非法利用他人數據獲取競爭優勢的不正當競爭行為，均需要謹慎評估和處理。同時，對于通過人工方式收集的數據，要確保收集過程符合倫理道德標準，并且獲得了被調查者的知情同意。特別是在涉及敏感信息或個人隱私的情況下，更要加強保護措施，確保數據收集的合法性和正當性。（四）審查數據的質量和準確性：盡管公開收集的數據來源較為廣泛，但數據的質量和準確性可能參差不齊。在合規審查過程中，要對數據進行一定的質量評估，檢查數據是否存在錯誤、重復、缺失或不一致等問題。對于-24-質量較差的數據，要謹慎使用或采取相應的處理措施。同時，需要考慮數據的時效性，對于過時的數據，要進行更

38、新或標注，以免影響決策的準確性。（五）關注數據隱私和安全問題：在公開收集數據的過程中，可能會涉及個人隱私信息。要審查數據收集和處理過程中是否采取了足夠的隱私保護措施，確保個人隱私不被泄露或濫用。同時，評估數據的安全性，防止數據遭到未經授權的訪問、篡改或丟失。確保數據存儲和傳輸的環境具備相應的安全防護措施。（六）建立內部審查機制和流程：為了確保公開收集數據來源的合規性，企業或組織應建立健全內部審查機制和流程。明確負責數據合規審查的部門或人員，制定詳細的審查標準和操作指南，定期對數據收集活動進行審查和監督。同時，要加強員工的培訓和教育，增強員工的數據合規意識和風險防范能力。第五節 個人授權數據來源

39、合規審查第三十八條【個人授權數據】個人授權數據是指個人主體在明確知曉數據使用目的、范圍、方式等情況下，自愿給予標的企業使用其相關數據的許可而產生的數據。第三十九條【個人授權數據來源合規審查】對于個人授權數據，律師應從以下方面進行合規審查：（一）授權的真實性審查：確認個人確實進行了授權操作，而非他人冒名頂替或偽造授權?？梢酝ㄟ^驗證授權過程中的身份認證信息、電子簽名-25-等方式來確保授權的真實性。同時，審查授權的方式是否符合法律規定和相關標準。（二）授權的合法性審查：檢查授權行為是否符合相關法律法規的要求。個人信息保護法通常規定了個人信息收集、使用和處理的基本原則和規則，審查時應確保授權行為未違

40、反前述法律規定。同時，核實授權是否涵蓋了數據使用的所有必要方面，且符合業務的實際需求。（三）授權的有效性審查：確認授權是否在有效期內。個人授權通常具有一定的期限限制，審查時應確保數據的使用在授權有效期內進行。同時，審查授權是否存在被撤銷或變更的情況。個人有權隨時撤銷或變更其授權，標的企業應向個人提供明確的撤銷或變更授權的方式并及時更新個人授權情況，律師審查時也應抽樣核實個人信息的最新的授權狀態。（四）數據來源的可靠性審查：盡管個人進行了授權，但仍需審查數據的來源是否可靠。同時，對數據的完整性和準確性進行審查。確保獲取的個人授權數據是完整的，沒有被篡改或丟失，并且數據的準確性能夠得到保證。（五）

41、審查記錄和存檔：建立完善的審查記錄制度，記錄對個人授權數據來源合規審查的過程和結果，包括審查的時間、人員、發現的問題及處理措施等。同時，對審查記錄和相關的授權文件進行妥善存檔，以備日后查詢和審計。存檔的期限應符合法律法規和業務的要求。第六節 其他方式獲取數據來源合規審查第四十條【其他方式獲取的數據】其他方式獲取數據是指除了外購-26-數據、公開收集數據和個人授權數據之外，標的企業通過各種非常規或特定途徑獲取數據的方式，包括但不限于合作交換、數據挖掘與分析、傳感器和物聯網設備收集、競賽和眾包模式等。第四十一條【其他方式獲取數據來源合規審查】對于其他方式獲取的數據來源，律師應從以下方面進行合規審查

42、：（一）合作與交換：審查合作協議或交換協議，明確雙方的數據權利和義務，確保數據的提供和使用符合法律法規及協議約定。核實合作方或交換方的數據來源合法性，要求其提供相關證明材料，如數據采集的授權文件等。（二）數據挖掘與分析：對于從企業自身數據挖掘得到的數據，審查數據采集和存儲的合規性，確保原始數據的獲取和處理符合相關規定。若涉及對公開大數據集的二次分析，確認數據集的公開性質和使用許可，遵守相應的使用條款和限制。（三）傳感器和物聯網設備收集：審查傳感器和物聯網設備的數據采集機制，確保其符合隱私政策和相關法規。評估數據傳輸和存儲的安全性，防止數據泄露或被濫用。（四）競賽和眾包：在競賽和眾包活動中，明確

43、參與者提交數據的所有權和使用權限，制定相應的規則和條款，確保數據來源清晰、合法。同時，對參與者提交的數據進行審查，排除可能存在侵權或違法的數據。（五）其他：根據其他未列舉獲取方式的特性進行針對性合規審查。-27-第六章 數據處理合規審查第一節 數據處理概述第四十二條【數據處理者】數據處理者是指在數據處理活動中自主決定處理目的和處理方式的自然人、法人或非法人組織。第二節 數據收集第四十三條【數據收集】數據收集是指產生、獲取數據的行為，從數據來源的角度，可以將數據收集行為劃分為從數據處理者內部系統中新產生的數據和從數據處理者外部系統采集的數據。第四十四條【數據收集的一般原則】律師應當審查標的企業數

44、據收集是否遵守合法原則、正當原則、誠信原則、權責一致原則。第四十五條【特定行業/領域數據的收集原則】對于從事特定行業/領域的標的企業，律師應當審查：（一）汽車行業數據收集的特別原則有：車內處理原則、默認不收集原則、精度范圍適用原則、脫敏處理原則。（二）醫療健康行業數據收集的特別原則有：1.從健康醫療大數據的角度，要堅持以人為本、創新驅動的原則，堅持規范有序、安全可控的原則，支持開放融合、共建共享的原則；2.從人類遺傳資源信息的角度，收集行為要符合倫理原則（尊重人類遺傳資源提供者的隱私權，取得其事先知情同意，并保護其合法權益）、禁止買賣人類遺傳資源；-28-3.從人口健康信息角度，還要遵循“一數

45、一源、最少夠用”原則。（三）金融行業數據收集的特別原則有：合法正當原則、目的明確原則、選擇同意原則、最小夠用原則、全程可控原則、動態控制原則、權責一致原則。（四）其他行業特別原則。第四十六條【個人信息收集必要性的審查】標的企業因自身業務需要直接收集個人信息時，律師應根據標的企業的商業模式及業務功能等審查標的企業收集數據是否符合必要性原則，應符合：（一）收集的個人信息的類型應與企業的產品或服務的業務功能有直接關聯（直接關聯是指沒有上述個人信息的參與，產品或服務的功能無法實現）；（二）自動采集個人信息的頻率應是實現產品或服務的業務功能所必需的最低頻率；（三）間接獲取個人信息的數量應是實現產品或服務

46、的業務功能所必需的最少數量。第四十七條【個人信息收集授權同意的審查】標的企業因自身業務需要直接收集個人信息時，律師應審查標的企業是否已事前取得個人信息主體的授權同意，具體審查內容包括：（一）標的企業是否向個人信息主體告知收集、使用個人信息的目的、方式、范圍和規則等，并獲得個人信息主體的授權同意。收集不滿十四周歲-29-未成年人個人信息前，是否取得未成年人的父母或其他監護人的單獨同意；（二）個人信息主體授權是否為有效授權，個人信息收集過程中是否存在強制收集的情形，個人信息收集界面是否未提供跳過或拒絕等選項；（三）標的企業是否完整保留了個人信息主體簽署的 隱私政策 和 用戶服務協議，相關條款約定是

47、否合法、合規，內容是否符合國家標準及行業標準；（四）如產品或服務提供多項需收集個人信息的業務功能時，標的企業是否存在強迫個人信息主體接受產品或服務所提供的業務功能及相應的個人信息收集請求的情形；（五）如個人信息主體未給予授權同意的情形下，標的企業是否存在以個人不同意處理其個人信息或者撤回同意為由，拒絕提供產品或者服務的情形；（六）未取得個人信息主體的授權同意而收集個人信息的，是否符合法定例外情形。第四十八條【收集個人敏感信息的審查】標的企業因自身業務直接收集個人敏感信息時，律師應當審查：（一）標的企業是否就個人敏感信息收集取得個人信息主體的明示同意；個人信息主體的明示同意是否是其在完全知情的基

48、礎上自主給出的，是否有具體的、清晰明確的意愿表示；（二）標的企業是否按照最小必要原則明確收集個人敏感信息；-30-（三）標的企業是否僅在用戶使用業務功能期間收集該業務功能所需的敏感個人信息；（四）標的企業收集個人敏感信息前，是否已完成個人信息保護影響評估。第四十九條【收集個人生物識別信息的審查】標的企業收集個人生物識別信息時，律師應當審查：（一）標的企業是否單獨向個人信息主體告知收集、使用個人生物識別信息的目的、方式和范圍，以及存儲時間等規則，是否征得個人信息主體的單獨明示同意；（二）如涉及人臉數據，是否按照規定公布人臉識別數據處理規則；（三）標的企業收集個人生物識別信息是否具有特定的目的和充

49、分的必要性；（四）標的企業收集個人生物識別信息前，是否已完成個人信息保護影響評估；（五）標的企業如涉及人臉數據，是否在識別過程中持續告知數據主體驗證目的，并通過語言、文字等向數據主體進行提示；（六）標的企業是否僅收集生成人臉特征所需的最小數量、最少圖像類型的人臉圖像；（七）標的企業是否采取安全措施保證人臉識別數據的真實性、完整性和一致性，防止人臉識別數據在收集過程中泄漏或篡改。-31-第五十條【間接收集個人信息的審查】標的企業間接收集個人信息時，律師應當審查：（一）標的企業是否制定外部數據采購及審查的相關制度，是否對數據資源提供方的安全保障能力及數據安全風險進行評估，是否對個人信息來源合規性進

50、行審查；（二）數據資源提供方是否與收集方簽署合作協議，明確雙方數據安全的責任與義務；（三）數據資源提供方已獲得的個人信息處理的授權同意范圍，包括處理目的、處理方式和個人信息的種類，是否能夠涵蓋數據資源提供方向收集方提供共享信息的范圍，個人信息主體是否授權同意轉讓、共享、公開披露、刪除該個人信息數據等；（四）對于業務開展中所需進行的個人信息處理活動超出個人信息主體授權同意范圍的，標的企業是否在獲取個人信息后的合理期限內或處理個人信息前，直接或通過數據資源提供方征得個人信息主體的明示同意。第五十一條【違法收集個人信息的審查】律師應當審查標的企業是否存在違法收集個人信息的情形，包括：（一）以欺詐、誘

51、騙、誤導的方式收集個人信息；（二）隱瞞產品或服務所具有的收集個人信息的功能；（三）從非法渠道獲取個人信息。第五十二條【收集非個人信息的審查】收集非個人信息應注意審查：-32-（一）數據處理者是否取得收集相關數據的資質；（二）收集信息的類型、收集使用的目的、收集方式是否符合相關法律法規、規范性文件的規定；（三）如果與第三方合作收集數據的，應關注是否就數據的使用、收益等作出了明確約定。第三節 數據存儲第五十三條【數據存儲】數據存儲是指數據處理者在提供產品或服務、開展經營管理等活動時，通過磁盤、磁帶、云存儲設備等存儲媒體，在一定期限內持久化保留、保存數據的行為。第五十四條【數據存儲期限的審查】關于數

52、據存儲期限，律師應當審查：（一）標的企業對于個人信息的保存期限是否為實現個人信息主體授權使用的目的所必需的最短時間，是否超出收集使用規則中明示的存儲期限；（二）數據存儲的期限是否符合所處特定行業關于存儲期限的法律法規及規范性文件的要求，如：1.網約車平臺采集的個人信息和生成的業務數據，保存期限不少于兩年；2.住院電子病歷保存期限不少于三十年，互聯網診療病歷保存期限不少于十五年，其中圖文對話、音視頻保存期限不少于三年；3.藥品網絡零售商對處方、在線服務記錄的保存期限不少于五年且不-33-少于藥品有效期滿后一年；4.平臺經營者對數據信息的保存期限不少于三年；5.互聯網直播提供者對使用者發布內容和日

53、志的保存期限不少于六十日，對網絡交易活動的視頻的保存期限不少于三年；6.證券登記結算機構對文件和資料的保存期限不少于二十年，證券公司對客戶資料等信息的保存期限為至少二十年；7.征信機構對個人不良信息的保存期限為五年，超過五年的應當刪除；（三）對于超過存儲期限的數據，標的企業是否及時進行刪除或匿名化處理。第五十五條【數據存儲安全的審查】律師可從數據存儲的行為結構出發，對存儲媒介安全、存儲系統安全、事故預防機制三個角度把握和管理。第五十六條【個人信息存儲安全措施的審查】關于個人信息存儲安全措施，律師應當審查：（一）標的企業在收集個人信息后，是否進行去標識化處理，是否將可用于恢復識別個人的信息與去標

54、識化后的信息分開存儲并加強訪問和使用的權限管理；（二）標的企業是否采用物理或邏輯隔離方式分別存儲人臉識別數據和個人身份信息等；（三）標的企業是否直接存儲原始個人生物識別信息；-34-（四）標的企業是否采取數據存儲相關安全管控措施，是否按照數據分類分級制度，針對不同類別級別的數據采取差異化數據存儲措施；（五）標的企業是否實施權限管控機制，采用最小授權保障個人信息數據被有效保護，防止被非授權訪問或處理；（六）標的企業是否針對存儲介質提供有效的技術和管理手段，防止對介質的不當使用而引發的數據泄露風險，并對存儲介質訪問和使用行為進行記錄和審計；（七）標的企業是否建立數據備份恢復操作規程，保障數據的可用

55、性和完整性；（八）標的企業終止運營其產品或服務時，是否將收集的個人信息進行刪除或匿名化處理。第五十七條【數據存儲地點的審查】關于數據存儲地點，律師應當審查：（一）根據標的企業處理數據的類型、標的企業所處行業及其性質，判斷其數據存儲是否需履行本地化儲存義務；（二）審查標的企業數據儲存的地點與方式（自行存儲或委托第三方存儲），判斷儲存地點是否合法、合規。第五十八條【數據存儲的本地化要求】國家機關處理的個人信息、關鍵信息基礎設施收集和產生的重要數據、汽車重要數據、網約車平臺收集的個人信息和生成的業務數據、醫療機構產生的人口信息及健康醫療信息等-35-都有數據存儲在境內的要求，即數據的本地化存儲要求。

56、但也允許在特殊情況下，在取得監管部門審批同意或履行必要的法定義務后，向中華人民共和國境外提供數據。第五十九條【個人信息刪除的審查】關于個人信息刪除義務，律師應當審查：（一）標的企業是否主動刪除、受托人是否履行刪除義務、標的企業在無法刪除時的處置措施。（二）如果刪除個人信息從技術上難以實現，標的企業應當停止除存儲和采取必要的安全保護措施之外的處理。第四節 數據使用第六十條【數據使用】數據使用是一個集合性的概念。廣義上看，數據一經收集即被利用，狹義上看，數據使用可理解為數據處理者對所收集的數據進行利用的行為。如個人信息的使用，包括個人信息的訪問、展示，用戶畫像的使用，個性化展示的使用，以及所收集的

57、個人信息的匯聚融合，信息系統自動決策機制的使用。第六十一條【數據使用的基本原則】律師應當根據網安法數據安全法個人信息保護法等相關法律法規審查標的企業是否遵守的數據使用原則，包括合法、正當、必要的原則，針對個人信息的使用，還包括使用規則公開透明原則和按照約定使用原則。第六十二條【訪問控制措施的審查】關于標的企業對個人信息訪問-36-的控制措施，律師應當審查：（一）標的企業是否對被授權訪問人員建立最小授權的訪問控制策略，使其只能訪問職責所需的最小必要的個人信息，且僅具備完成職責所需的最少的數據操作權限；（二）標的企業是否對個人信息的重要操作（如進行批量修改、拷貝、下載等重要操作）設置內部審批流程；

58、（三）標的企業是否對數據安全管理人員、數據操作人員、審計人員的角色進行分離設置；（四）標的企業對于因工作需要授權特定人員超權限處理個人信息的情形，是否經內部審批，并記錄在冊。第六十三條【展示限制措施的審查】標的企業涉及通過界面展示個人信息的，律師應當審查標的企業是否采取去標識化等處理措施，降低個人信息在展示環節的泄露風險。第六十四條【使用目的限制的審查】關于標的企業個人信息使用目的，律師應當審查：（一）標的企業使用個人信息時是否超出與收集個人信息時所聲稱的目的具有直接或合理關聯的范圍；如超出范圍使用個人信息的，是否再次征得個人信息主體的明示同意；（二）對于標的企業收集的個人信息進行加工處理而產

59、生的信息，如能夠單獨或與其他信息結合識別特定自然人身份或者反映特定自然人活動情-37-況的，標的企業在使用該等數據時是否遵循收集個人信息時獲得的授權同意范圍。第六十五條【自動化決策合規義務的審查】標的企業利用數據進行自動化決策的，律師應當審查：（一）標的企業是否公示自動化決策的基本原理、目的和主要運行機制，是否向個人提供拒絕自動化的選項；（二）標的企業利用數據進行自動化決策、數據分析，是否存在對交易條件相同的交易相對人實施差別待遇的情況，法律法規及規范性文件允許例外的除外；（三）標的企業運營信息系統具備自動決策機制且能對個人信息主體權益造成顯著影響的，是否在規劃設計階段或首次使用前開展個人信息

60、安全影響評估，并依評估結果采取有效的保護個人信息主體的措施；（四）標的企業是否在使用過程中定期（至少每年一次）開展個人信息安全影響評估，并依評估結果改進保護個人信息主體的措施；（五）標的企業是否存在基于人臉識別數據生成用戶自身畫像和統計分析；是否存在基于人臉識別數據自身進行個性化推薦的情況；（六）標的企業不應使用人臉識別數據作為匯聚融合的直接關聯點；（七）標的企業是否向個人信息主體提供針對自動決策結果的投訴渠道，并支持對自動決策結果的人工復核。第六十六條【個性化展示的審查】標的企業產品或服務涉及個性化-38-展示的，律師應當審查：（一）標的企業業務功能涉及個性化推薦時，是否顯著區分個性化展示和

61、非個性化展示的內容；（二）標的企業業務功能利用用戶個人信息和算法進行定向推送，是否同時提供不基于任何個人信息，展示普遍推送商品的功能；（三）標的企業通過其產品或服務基于用戶個人信息進行個性化展示時，是否為用戶提供退出或關閉個性化展示模式的選項；（四）當用戶退出或關閉個性化展示模式時，是否向用戶提供刪除或匿名化定向推送活動所基于的個人信息的選項；（五）標的企業利用個人信息進行個性化展示時，是否能確保用戶可自主控制用于個性化展示的個人信息類型；（六）用戶是否可以通過選擇用于個性化展示的個人信息類型，控制個性化展示與用戶本身的相關程度。第六十七條【個人信息使用合規義務的審查】對于標的企業是否履行個人

62、信息使用的合規義務，律師應當審查：（一）用戶畫像的合規義務：用戶畫像系指使用所收集的個人信息，對該等個人信息主體的某些特性進行分析和評估，形成用戶標簽的數據處理活動。用戶畫像常見的應用場景包括應用于產品開發和行業分析、精準營銷活動和定向推送。如果直接將用戶畫像提供給第三方，仍需遵循知情、同意原則，如果間接用戶畫像無法還原個人特征的，符合“匿名化”的特征，不-39-受知情、同意原則的約束。達到群體性畫像要求的，符合“匿名化”特征。（二）個性化推薦的合規要求：個性化推薦是指基于特定個人信息主體的網絡瀏覽歷史、興趣愛好、消費記錄和習慣等個人信息，向該個人信息主體展示信息內容、提供商品或服務的搜索結果

63、等活動。對個性化推薦活動的合規治理方向，要求個人信息處理者，向個人進行信息推送、商業營銷的，應當同時提供不針對其個人特征的選項，或向個人提供便捷的拒絕方式。以算法推薦技術開展個性化推薦的，還要依據相關規定，履行相應的合規義務。（三）自動化決策的合規義務：自動化決策是指通過計算機程序自動分析、評估個人的行為習慣、興趣愛好或者經濟、健康、信用狀況等，并進行決策的活動。自動化決策的常見應用場景有小額信貸審查、保險核保、信用評價、勞動用工管理、平臺用戶管理。自動化決策要堅持決策透明、結果公平公正的原則，對個人信息有重大影響的自動化決策要設置人工干預機制，還要開展個人信息安全影響評估。（四）其他應注意的

64、合規義務：個人信息處理者還應注意使用個人信息時的去標識化問題、合理關聯問題、最小使用問題、超范圍使用問題。是否存在基于人臉識別數據自身進行個性化推薦的情況、不應使用人臉識別數據作為匯聚融合的直接關聯點等。注意“大數據殺熟”的“不合理”差別待遇問題。第五節 數據加工第六十八條【數據加工】數據加工主要是指將原始數據進行編輯、-40-處理、整理、清洗、轉換等操作，以便更好地滿足數據分析、數據挖掘、業務決策等需求的數據處理過程，以提高數據質量和應用，發揮數據的價值效用。第六十九條【數據加工一般性合規義務的審查】關于數據加工的一般性合規義務，律師應審查：（一）標的企業是否構建數據模型、數據目錄；（二）標

65、的企業是否開展數據轉換、匯聚、清洗、分析等加工活動；（三）標的企業是否制定數據清洗、數據分析等管理辦法，建立數據加工評價機制、數據操作日志記錄及監控審計等技術措施；（四）標的企業是否采取測試環境、開發生產環境資源隔離、業務系統身份鑒別及訪問控制、數據操作日志及監控審計等技術措施。第七十條【數據加工匯聚與融合合規義務的審查】關于數據匯聚與融合合規義務，律師應當審查：（一）標的企業是否在數據融合之前，根據融合后可能產生的數據內容、處理目的、范圍、對個人的影響等對可能的個人信息風險進行評估，并對處理情況進行記錄；（二）標的企業數據融合是否超出數據收集時所聲明的使用范圍，如超出，是否重新獲得信息主體的

66、授權，如涉及個人信息，是否征得個人信息主體同意；如涉及敏感個人信息，是否取得用戶的單獨同意；（三）標的企業是否對匯聚融合后產生的衍生數據重新開展數據安全-41-定級工作，根據敏感程度分類分級，并采用相應級別的安全保護措施。第七十一條【加工健康醫療數據合規義務的審查】標的企業加工健康醫療數據的，律師應審查：（一）標的企業是否遵循醫療倫理原則；（二）標的企業是否公開個人信息處理規則并取得自然人的個人同意；（三）標的企業是否履行保證質量義務。第七十二條【加工政務數據合規義務的審查】標的企業加工政務數據的，律師應當審查：（一）標的企業是否建立健全數據加工處理機制；（二）標的企業是否履行保證質量義務、審

67、批和監督義務。第六節 數據傳輸第七十三條【數據傳輸】數據傳輸是一個技術層面的概念，是指將數據從一個位置傳輸到另一個位置的過程，數據傳輸通常通過傳輸協議來實現，在傳輸的過程中可能通過加密保護傳輸數據的隱私和安全。第七十四條【數據傳輸合規的審查】關于數據傳輸，律師應當審查：（一）標的企業是否根據傳輸的數據類型、級別和應用場景，制定安全策略、操作規程并采取保護措施；（二）標的企業是否采取數據傳輸相關安全管控措施（如傳輸通道加密、數據內容加密、數據接口傳輸安全、數據傳輸終端身份鑒別等）確保數據傳輸介質和環境安全，保障重要數據和敏感個人信息傳輸過程的安全性，防范-42-未經授權訪問和數據泄露；（三）標的

68、企業與數據接收方之間是否簽署書面合同就數據傳輸應采取的安全措施明確約定。第七十五條【重點監管行業數據傳輸合規義務的審查】如標的企業涉及金融領域、工信領域、健康醫療領域的數據傳輸，律師應當依據該領域有關標準和規范進行特殊的合規審查。第七十六條【數據出境的審查】9對于標的企業是否存在數據出境行為及其是否履行合規義務，律師應當審查：（一）標的企業是否存在向境外提供在中國境內運營中收集和產生的數據的行為；（二）相關數據是否屬于禁止、限制出境的數據；（三）標的企業內部是否建立健全數據出境相關技術和管理措施；（四）標的企業是否向個人履行充分告知義務，告知內容包括境外接收方的名稱、聯系方式、處理目的、處理方

69、式、個人信息的種類以及個人向境外接收方行使個人信息權利的方式和程序等事項；是否取得個人單獨同意；（五）標的企業是否事前進行個人信息安全影響評估；（六）標的企業向境外提供重要數據和核心數據的，是否對數據接收方進行數據安全保護能力的評估與核實；9.有關數據跨境傳輸更詳細的內容，請參見北京市律師協會律師辦理數據出境法律業務操作指引（2024）。-43-（七）標的企業是否為關鍵信息基礎設施運營者向境外提供重要數據或個人信息，或者非關鍵信息基礎設施運營者向境外提供個人信息數量是否達到國家網信部門規定規模；符合條件的標的企業是否就數據出境通過所在地省級網信部門向國家網信部門申報數據出境安全評估；（八）如標

70、的企業不涉及關鍵信息基礎設施運營者、重要數據且向境外提供個人信息未達到一定規模的，標的企業是否與境外接收方訂立個人信息出境標準合同或者通過個人信息保護認證；（九）標的企業數據出境行為是否滿足相關法律法規、規范性文件規定免于數據出境安全評估、個人信息保護認證、個人信息出境標準合同備案的相關例外情形；（十）標的企業是否按照法律法規規定期限存留相關日志記錄和數據出境審批記錄；（十一）相關數據出境行為是否符合所在行業的其他監管規定。第七節 數據提供第七十七條【數據提供】數據提供暫時沒有完全統一的定義，與數據收集、存儲、使用、加工、傳輸等都屬于數據處理活動。針對數據提供方與接收方之間的法律關系不同，可將

71、數據提供分為數據共享（向第三方數據處理者提供）、委托處理、轉讓、共同處理四種主要情形，還包括數據遷移及數據交換等其他數據提供情形。第七十八條【數據提供通用性合規義務的審查】關于數據提供的通-44-用性合規義務，律師應當審查：（一）標的企業是否評估數據對外提供行為的風險，是否開展安全影響分析和風險評估；（二）標的企業是否評估數據接收方的數據合規能力，如數據接收方是否滿足網絡安全等級制度、是否采取加密措施和訪問控制、是否制定了安全制度和數據安全事故的應急響應方案；（三）標的企業與數據接收方是否簽署數據處理協議，就處理數據的類型、處理目的、處理方式等問題進行明確。第七十九條【政務數據提供合規義務的審

72、查】關于政務數據提供的合規義務，律師應當審查：（一）被提供的政務數據是否為國家機關在履行職責中知悉的個人隱私、個人信息、商業秘密、保密商務信息，該等數據應予以保密，不得泄露或者非法向他人提供。（二）如標的企業為政務數據的受托處理方，是否存在擅自留存、使用、泄露或向他人提供政務數據的行為。第八十條【重要數據提供合規義務的審查】關于重要數據提供的合規義務，律師應當審查：（一）被提供的數據是否為重要數據。重要數據是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國家安全、公共利益的數據，可以參考相關法律法規或規范性文件關于重要數據的定義及有關部門制定的-45-重要數據目錄進行界定。（二）如

73、涉及重要數據出境，標的企業是否向中央網絡安全和信息化委員會辦公室或其他主管部門申報數據安全評估。第八十一條【個人信息提供合規義務的審查】關于個人信息提供的合規義務，律師應當審查：（一）標的企業是否獲得個人信息主體的知情同意；（二）標的企業是否開展了影響評估；（三）如涉及向境外提供個人信息的，標的企業是否開展出境安全評估并使用個人信息出境標準合同。第八十二條【委托處理的審查】如標的企業委托第三方處理個人信息時，律師應當審查：（一）標的企業是否制定服務供應商評估、管理制度，是否對數據接收方進行事先的數據處理合規技術檢測、調研評估其數據保護制度完備情況，并在其提供服務的過程中進行數據處理合規技術抽樣

74、檢查或通過其他方式監督驗證其數據保護能力；（二）標的企業與受托方是否簽署委托協議，是否明確約定委托處理的目的、期限、處理方式、個人信息的種類、保護措施以及雙方的權利和義務等；（三）標的企業作出委托行為，是否超出已征得個人信息主體授權同意的范圍或是否屬于法律規定可豁免同意的情形；-46-（四）標的企業委托處理之前是否進行個人信息安全影響評估；（五）受托方是否嚴格按照標的企業的要求處理個人信息；（六）受托方是否存在再次委托的情況，是否就再委托情況事先征得標的企業的授權；（七）受托方是否協助委托方積極響應個人信息主體提出的權利請求；（八）受托方是否發生過安全事件，是否向標的企業反饋；（九）委托關系解

75、除時受托方是否繼續存儲相關個人信息；（十）標的企業是否對受托方進行監督；（十一）標的企業在向第三方提供數據過程中，是否定期對數據共享接口進行安全審計；（十二）標的企業對于委托處理個人信息的情況是否準確記錄和存儲。標的企業委托第三方處理其他數據的，律師可以參照本條第一款審查。第八十三條【數據共享與轉讓的審查】標的企業共享、轉讓個人信息時，律師應當審查：（一）標的企業轉讓、共享個人信息之前是否進行個人信息安全影響評估，是否依評估結果采取有效的保護個人信息主體的措施；（二）標的企業是否已按照法律規定向個人信息主體告知共享、轉讓個人信息的目的、數據接收方的類型以及可能產生的后果，并事先征得個人信息主體

76、的授權同意；符合法律法規、規范性文件規定的例外情形的除外；（三）如共享、轉讓涉及個人敏感信息的，是否事先向個人信息主體-47-告知涉及的個人敏感信息類型、數據接收方的身份和數據安全能力，并事先征得個人信息主體的明示同意；（四）共享、轉讓是否涉及生物識別信息，接收方是否具備相應數據安全能力；是否就生物識別信息轉讓、共享單獨取得個人信息主體的明示同意；（五）標的企業是否與接收方簽署協議約定數據接收方的責任和義務；（六）標的企業是否準確記錄和存儲個人信息的共享、轉讓情況，包括共享、轉讓的日期、規模、目的，以及數據接收方基本情況等；（七）標的企業是否對數據接收方進行監督，對于接收方違反法律法規及協議約

77、定處理個人信息的行為，是否采取相關措施控制或消除個人信息面臨的安全風險。標的企業共享、轉讓其他數據時，律師可以參照本條第一款審查。第八十四條【共同處理】標的企業與第三方為共同處理個人信息時，律師應當審查：（一）標的企業是否披露各個人信息共同處理者的身份，并明確各方是個人信息共同處理者；（二）標的企業是否與第三方簽署合同確定應滿足的個人信息安全要求，以及在個人信息安全方面自身和第三方應分別承擔的責任和義務；（三）標的企業是否向個人信息主體明確告知第三方身份以及在個人信息安全方面自身和第三方應分別承擔的責任和義務。-48-標的企業與第三方為共同處理其他數據時，律師可以參照本條第一款審查。第八節 數

78、據公開第八十五條【數據公開】數據公開是指向社會或不特定人群發布數據，使得相關數據處于可被不特定的主體獲取、知悉、訪問之狀態的行為。數據公開可能對國家安全、社會公共利益、個人人格尊嚴或生命財產安全帶來重要影響。國家制定政務數據開放目錄，從政務數據公開后的受眾范圍上看，有共享政務數據、可開放政務數據、不宜開放共享的政務數據。第八十六條【數據公開通用性合規義務的審查】關于數據公開的通用性合規義務，律師應當審查：（一）標的企業數據公開是否尊重社會公德和倫理、是否遵守商業道德和職業道德，是否侵害國家、社會和他人的合法權益；（二）標的企業數據公開是否采取相應的技術措施，保障數據的安全，確保公開的數據受到保

79、護；（三）標的企業是否開展對數據公開行為的風險監測，是否在發現數據安全缺陷、漏洞等風險時，立即采取補救措施。第八十七條【特定行業數據公開的審查】關于特定行業數據，除審查標的企業是否遵守數據公開的通用性合規義務外，律師應對其行業合規要求進行審查，比如工業和信息化領域數據的公開、疾病防治與健康管理領域數據的公開、金融行業數據的公開，都有單獨的管理辦法或安全規范進行區-49-分、審查數據的公開合規問題；政務數據的公開應遵守公正、公平、便民、及時準確的原則，還要制定政務數據開放目錄、構建政務數據開放平臺。第八十八條【個人信息公開披露的審查】個人信息原則上不應公開披露，如標的企業經法律授權或具備合理事由

80、確需公開披露時，律師應當審查：（一）標的企業是否事先開展個人信息安全影響評估，并依評估結果采取有效的保護個人信息主體的措施；（二）標的企業是否向個人信息主體告知公開披露個人信息的目的、類型，并事先征得個人信息主體明示同意；（三）公開披露涉及個人敏感信息的，信息披露前是否向個人信息主體告知涉及的個人敏感信息的內容；是否準確記錄和存儲個人信息公開披露的情況；（四）標的企業是否涉及公開披露個人生物識別信息；公開披露中國公民的種族、民族、政治觀點、宗教信仰等個人敏感數據的分析結果的情況。第七章 數據管理合規審查第一節 數據管理合規審查要點第八十九條【一般審查要點】數據管理合規審查的要點包括：數據安全管

81、理制度、數據安全管理機構、數據分類分級管理、人員安全管理、合作外包管理、安全應急管理等。利用互聯網等信息網絡開展數據處理活動，應一并對所涉及的信息網絡的合規情況（包括但不限于網絡安全等級保護制-50-度的落實情況等）進行審查。第九十條【數據安全管理制度審查要點】針對標的企業數據安全管理制度的建設及落實情況，應重點審查：（一）數據安全總體策略、方針、目標和原則制定情況；（二）數據安全管理工作規劃或工作方案制定情況；（三）數據分類分級、數據安全評估、數據訪問權限管理、數據全生命周期管理、數據安全應急響應、數據合作方管理、數據脫敏、數據加密、數據安全審計、數據資產管理、大數據平臺安全等制度建設情況；

82、（四）關鍵崗位的數據安全管理操作規程建設情況；（五）制度內容與國家和行業數據安全法律法規和監管要求的符合情況；（六）網絡安全責任制、數據安全責任制落實情況，網絡安全和數據安全事件責任查處情況；（七）數據安全管理制度的制定、評審、發布流程建設情況；（八）數據安全管理制度的定期審查和更新情況；（九）制度發布范圍是否覆蓋全面，發布方式是否正規、有效；（十）數據安全管理制度落實情況，是否具備操作規程、記錄表單等制度落實證明材料；（十一）制度落實監督檢查機制等。第九十一條【數據安全管理機構審查要點】針對標的數據安全管理-51-機構的建設情況，應重點審查：（一）數據安全管理機構和職能設置情況；（二）數據安

83、全負責人和職能設置情況；（三）單位高層人員參與數據安全決策情況；（四）對標的企業內部的數據安全管理執行情況、數據操作行為等進行安全監督的情況；（五）數據安全人員和資源投入情況與組織數據安全保護需求適應性等。第九十二條【數據分類分級管理審查要點】針對標的企業數據分類分級制度的建設及保護情況，應重點審查：（一）數據分類分級保護制度建設情況，是否符合國家、行業和地方的數據分類分級規范要求；（二）數據分類分級管理情況，及核心數據和重要數據目錄建立及維護情況；（三）是否在相關制度中明確了數據分類管理、分級保護策略，數據分類分級保護措施是否落實在數據訪問權限申請、保護措施部署等方面；（四）數據分類分級變更

84、和審查流程情況；（五）個人信息分類分級管理情況；（六）是否對處理的個人信息和重要數據進行明確標識；（七）按照數據級別建設覆蓋全流程數據處理活動的安全措施情況；-52-（八）數據分類分級標識或數據資產管理工具建設情況，是否具有自動化標識能力，是否具有數據標識結果發布、審查等能力；（九）按照相關重要數據目錄或規定，評估重要數據并進行重點保護的情況；（十）按照相關核心數據目錄或規定，評估核心數據并進行嚴格管理的情況等。第九十三條【人員安全管理審查要點】對標的企業的人員安全管理審查包括對人員錄用情況、保密協議簽訂情況、人員轉崗離崗管理情況、人員數據安全培訓情況四部分內容。針對人員錄用情況，應重點審查：

85、（一）重要崗位員工錄用前背景調查情況；（二）數據處理關鍵崗位人員錄用，對其數據安全意識或專業能力進行考核的情況。針對保密協議簽訂情況，應重點審查：（一）員工工作紀律和工作要求中是否明確規定員工禁止的數據安全相關行為；（二）是否與所有涉及數據服務的人員簽訂安全責任承諾或保密協議，與數據安全關鍵崗位人員簽訂數據安全崗位責任協議；（三）在重要崗位人員調離或終止勞動合同前，是否明確并告知其繼續履行有關信息的保密義務要求，并簽訂保密承諾書。-53-針對人員轉崗離崗管理情況，應重點審查：（一）在人員轉崗或離崗時，是否及時終止或變更完成相關人員數據操作權限，并明確有關人員后續的數據保護管理權限和保密責任；（

86、二）對終止勞動合同的人員，是否及時終止并收回其系統權限及數據權限，明確告知其繼續履行有關信息的保密義務要求。針對人員數據安全培訓情況，應重點審查：（一）數據安全培訓計劃制定、更新情況；（二）開展數據安全意識教育培訓，并保留相關記錄情況；（三）是否對數據安全崗位人員每年至少進行一次數據安全專項培訓，對關鍵崗位人員進行定期數據安全技能考核情況。第九十四條【合作外包管理審查要點】對標的企業合作外包管理的審查包括合作方管理機制、合作協議約束、外包人員訪問權限等內容。針對合作方管理機制建設情況，應重點審查：（一）數據合作方安全管理機制建設情況，如對合作方或外包服務機構的選擇、評價、管理、監督機制；（二）

87、是否對數據合作方或外包服務機構的安全能力進行評估；（三）對外包服務機構、人員履行安全責任義務的監督檢查情況；（四）外包人員現場服務安全管理情況；（五）對外包服務商的技術依賴程度，對委托處理數據的控制和管理能力。-54-針對合作協議約束情況，應重點審查：（一）服務合同、承諾及安全保密協議情況，是否通過合同協議等方式對接收、使用標的企業數據的合作方的數據使用行為進行約束；（二）是否在合作協議中明確了數據處理目的、方式、范圍，安全保護責任、數據返還或銷毀要求、保密約定及違約責任和處罰條款等；（三）合作協議中，標的企業與合作方、外包服務商間的數據安全責任界定情況。針對外包人員訪問權限管理情況，應重點審

88、查：（一）外包人員對數據與系統的訪問、修改權限是否限于最小必要范圍；（二）能夠在測試環境下或使用測試數據完成的，是否向外包人員開放了生產環境權限或真實數據；（三）外包人員數據導出操作或數據外發操作的監督管理情況；（四）外包人員對敏感數據的訪問及操作能否被實時監督或監測；（五）數據外包服務賬號及訪問權限管理情況；（六）外包人員遠程訪問操作系統或數據的情況。第九十五條【安全應急管理審查要點】針對標的企業數據安全應急管理情況，應重點審查：（一）近三年發生的網絡安全或數據安全事件信息及其處置、記錄、整改和上報情況，如事件名稱、影響對象、發生時間和頻次、發生原因、外部威脅、事件級別、處置措施、整改措施等

89、，重大事件需提供事件調查評估報告；-55-（二）數據安全事件應急預案制定和修訂情況，是否定義數據安全事件類型，明確不同類別級別事件的處置流程和方法；（三）數據安全應急響應及處置機制建設情況，發生數據安全事件時是否立即采取處置措施，是否按照規定及時告知用戶并向有關主管部門報告；（四）數據安全事件應急演練情況；（五）數據處理活動安全風險監測情況，發現數據安全缺陷、漏洞等風險時，是否立即采取補救措施；（六）安全事件對個人、其他組織造成危害的，是否將安全事件和風險情況、危害后果、已經采取的補救措施等通知利害關系人，無法通知的是否采取公告等其他方式告知；（七）如標的企業是面向社會提供服務的數據處理者，是

90、否建立便捷的數據安全相關投訴舉報渠道，以及近三年的數據安全投訴舉報處置、記錄和整改情況，是否存在侵害用戶個人信息合法權益的情況。第九十六條【數據管理合規審查參考】律師在審查標的企業的數據管理合規情況時，除上述審查要點外，還可以參考相關國家標準、行業標準中的相關規定。第二節 數據管理合規審查實施方法10第九十七條【確定法律依據】檢索并確定相關法律法規、國家標準10.數據資源合規審查的各環節均可參照本節方法實施。-56-和行業標準對標的企業的數據管理合規的要求。第九十八條【收集資料】為開展數據管理合規審查，從標的企業收集相關資料，包括但不限于以下內容：（一）數據安全總體策略、方針、目標和原則；（二

91、）數據安全管理工作規劃或工作方案；（三）數據分類分級、數據安全評估、數據訪問權限管理、數據全生命周期管理、數據安全應急響應、數據合作方管理、數據脫敏、數據加密、數據安全審計、數據資產管理、大數據平臺安全等制度；（四）關鍵崗位的數據安全管理操作規程、與員工簽訂的保密協議、數據安全培訓相關記錄；（五）相關數據所涉及的各項信息系統的網絡安全等級保護備案證明、相關安全資質或評級文件，信息系統的架構圖、網絡拓撲圖、設備清單等技術文檔；（六）標的企業內審或第三方評估機構出具的網絡安全審計、審查或安全測評、風險評估報告；（七）標的企業與數據合作方、外包服務商等第三方之間簽訂的涉及數據的服務合同、數據共享使用

92、協議。第九十九條【調查問卷】設計針對標的企業員工的問卷調查，了解員工對數據管理合規的認識、遵守相關法律法規的情況等。發放問卷并收集，進行統計分析。-57-第一百條【文檔審查】對收集的文檔進行審查，對標的企業數據管理的總體框架、數據管理責任界定、已識別的數據管理合規風險及其應對措施有效性進行綜合評估。第一百一條【人員訪談】與標的企業的高層管理人員、數據安全負責人、IT 部門人員等進行訪談，了解標的企業的數據管理的戰略、決策過程和執行情況，并詢問標的企業員工對數據安全政策的知曉度和遵守情況，以確認相關戰略、安全政策等是否落實到位。第一百二條【對第三方審查】審查標的企業與數據合作方、外包服務商等第三

93、方之間的合作關系，評估該等第三方的數據安全管理水平。檢查標的企業對數據合作方、外包服務商等第三方的數據安全要求和監督、審計機制。第一百三條【測試】調查實施階段，應通過開展穿行測試、符合性測試等測試方法，對標的企業進行審查，保證調查結果準確性。必要時，可以與具備相關從業資質的第三方機構聯合開展相關測試。第一百四條【風險分析】匯總調查中發現的數據管理合規風險，分析其潛在影響和發生概率。第一百五條【做出結論】根據分析結果，對標的企業的數據管理體系有效性、適當性進行評價?；诜治鼋Y果，提出具體的改進建議，包括完善相關管理制度、加強人員培訓、改進技術措施等。第一百六條【溝通反饋】與標的企業進行溝通，匯報

94、調查結果和-58-建議，解答標的企業的疑問。根據標的企業的反饋意見，對報告進行必要的修改和完善。第八章 數據權益11確認第一百七條【數據權益確認及界定依據】在前期充分盡調的基礎上，律師對標的企業是否享有數據資源持有權、數據加工使用權、數據產品經營權的相關權益進行確認。數據權益界定的依據包括但不限于依據網安法數據安全法個人信息保護法數據二十條以及其他相關法律法規、規章、地方性規章、政策文件等確認相關權益。律師可參考數據二十條所提出的“根據數據來源和數據生成特征，分別界定數據生產、流通、使用過程中各參與方享有的合法權利，建立數據資源持有權、數據加工使用權、數據產品經營權等分置的產權運行機制”。目前

95、針對數據權益的確認主要圍繞數據資源持有、數據加工使用、數據產品經營三項權益論證。第一百八條【數據資源持有權確認】（一）數據來源審查對于標的企業內部生成的數據，根據標的企業內部業務流程、系統記錄等，審查標的企業對數據的初始來源合法性。11.鑒于目前尚無明確的數據法律權屬，本章使用“數據權益”以保持與“數據二十條”數據三權分立、強調數據合法有序流動的政策初衷相一致，同時又與具有法定含義的權利相區分。-59-對來源于其他主體的數據，審查是否有相關授權協議。當數據源于用戶，應檢查用戶注冊協議、隱私政策等文件，確認是否明確規定了標的企業對用戶數據的獲取范圍、用途限制等條款，確保標的企業在用戶授權范圍內持

96、有數據資源。（二）管理權益確認1.根據收集的工作底稿確認標的企業在數據存儲、維護、安全保護等方面的管理權益。審查標的企業的數據管理制度，包括數據存儲架構、備份策略、安全防護措施等，確保標的企業對數據資源形成有效的管理能力，能夠保障數據的完整性、可用性和保密性。2.確定標的企業在應對數據合規要求方面的管理責任，在數據跨境傳輸、數據分類分級、存儲刪除等數據全生命周期管理方面的措施，以確認標的企業對數據資源管理的全面性。（三）使用權益確認根據標的企業業務需求和法律法規限制，確認標的企業對數據資源的使用范圍。審查標的企業內部使用數據的流程，確保在使用數據資源時有明確的授權和操作規范，防止濫用數據的情況

97、發生。第一百九條【數據加工使用權確認】（一）加工使用授權審查1.標的企業擬加工使用的數據，應審查是否有合法的授權來源。對標的企業自有數據資源獨立進行加工的，應檢查標的企業內部決策文件，確認-60-有權對數據進行加工處理；標的企業委托第三方對數據進行加工的，應審查雙方簽訂的協議中明確了各方數據持有的合規性、加工使用權限、加工目的、加工成果的歸屬等條款。2.對外部數據進行加工的，應當審查標的企業與第三方的協議，確保協議中約定了各方數據持有的合規性、加工使用的權限、加工目的、加工成果的歸屬等條款。（二）加工過程合規性1.審查標的企業或第三方的數據加工算法、技術手段、使用的軟硬件等工具是否符合法律法規

98、之規定。2.審查標的企業或第三方對加工過程中產生的中間數據的管理措施，確保中間數據的安全和合規性。（三）加工使用范圍確定：根據標的企業業務和協議約定，確定數據加工使用權范圍的合規性、一致性。（四）加工成果權益：明確數據加工后的成果歸屬權。標的企業獨立完成加工，成果歸標的企業所有；與其他主體合作加工，應根據合作協議確定成果的共享、分配等權益。第一百一十條【數據產品經營權確認】（一）產品定義與合法性：要求標的企業明確數據產品的定義和應用場景，審查數據產品的生產過程，確認合法合規。（二）經營權利來源：審查標的企業對數據產品經營的權益來源。依-61-據標的企業內部研發記錄、知識產權注冊等文件確定標的企

99、業自主研發生產數據產品，確認標的企業享有的經營權益；合作開發數據產品的，應依據合作協議約定確定各方在經營中的權利和義務關系。（三）市場準入與合規：確定數據產品進入市場所需的資質和許可要求。根據不同行業和地區的規定，檢查標的企業是否取得相應的經營許可，數據產品是否符合質量標準、安全標準等要求，確認數據產品能夠合法進入市場流通、交易。第九章 多主體數據合作合規審查第一節 合作方及合作情況第一百一十一條【參與方】按照數據流轉過程中參與方的作用，將參與方劃分為四方：數據提供方、數據接收方、數據中介、監督機構及平臺，其在數據交易和流轉過程中的職能包括：（一）數據提供方 通常是數據的持有人，包括具有法定義

100、務或在合同約定的情況下有權或有義務使用和提供數據的自然人、法人或其他組織，需要保證數據來源合法合規，數據的收集和處理遵循了數據保護要求，對數據進行分類分級和標識，以確保不包含國家秘密和商業秘密，敏感數據得到有效保護，并且對數據的來源和準確性負責。（二）數據接收方 指接收數據提供方數據的自然人、法人或其他組織，其接收數據的目的通常與其業務屬性、所處行業、業務領域、產品、工藝、技術和目標市場相關，包括主動與數據提供方締約而接收數據，以及用戶向-62-數據持有人提出請求后或根據法律規定或者合同約定向接收方提供數據。數據接收方需要按照數據提供方的需求建立與數據安全性和敏感度相適應的數據安全保護措施，包

101、括加密傳輸、安全存儲和訪問控制等，并應當確保數據的使用合法合規并在相關合同約定或允許的范圍內，并在數據生命周期結束后按照法律或合同的約定銷毀。（三）數據中介 指提供技術基礎設施和專業知識，以支持與數據有關的合同簽訂、履行及數據互操作性，充當協調人，能在數據共享、訪問或匯集數據等過程中協助各方完成數據交易的自然人或法人。數據中介通常為數據提供方和接收方提供前沿、創新的技術支持及解決方案，以實現數據提供方和接收方之間的數據共享、處理和使用，其可能同時負有數據控制者和處理者的角色。（四）監督機構及平臺 指對數據使用和交易進行監管及提供交易平臺的一方，而非國家有關權力機構或監管機構，其需要根據相應的數

102、據保護法規和政策制定具體的操作流程或者交易所規則。第一百一十二條【最低限度的技術、組織和安全措施】數據交易和流轉中，所有參與方應當建立與數據重要性和敏感度相適應的技術、組織和安全措施。數據泄露可能發生在數據流轉的任何一個環節中，參與方在選擇締約方過程中應當充分考慮到措施的“短板”效應，實施和部署最低標準技術、組織和安全措施的參與方決定了措施的整體高度。第一百一十三條【復雜作品客體權利的確認】進行共享的數據如果-63-包含構成作品或者作品的片段，需要盡力核實權利主體的情況，包括權利主體的身份、是否獲得權利主體的授權進行二次使用和披露。如盡力核實后仍然無法確認的，應當在合同中約定瑕疵擔保和補償性條

103、款，降低數據接收方和數據中介的法律責任，并反向督促數據的原始提供方以合法方式獲得原始數據。第一百一十四條【復雜客體數據權益的確認】在完成數據資源清理后，或者在數據集的分級分類過程中，如果發現待交易和共享的數據集包含具有多重權利屬性，如包含企業數據、個人信息、產品數據、安全數據等，則需要參照相關法律規定以及本指引其他章節的規定進行逐一確認，確保參與方有權對相關的數據集進行處分。第二節 合作合同合規審查第一百一十五條【締約自由】基于合同自由原則，各方應在數據采集、傳輸、共享、處理過程中遵循平等協商、締約自由原則。此類合同在通用合同條款之外，還可以包括技術和組織措施、數據安全措施。第一百一十六條【公

104、平、合理、無歧視】參與方在締約過程中應當遵守中華人民共和國反壟斷法相關規定，按照公平、合理、無歧視的原則進行數據交易和共享。第一百一十七條【使用性質不公平條款】如果合同條款的使用性質嚴重偏離了數據訪問和使用的良好商業慣例，違反了誠信和公平交易，則該合同條款是不公平的。-64-第一百一十八條【目的或效力不公平條款】如果合同條款的目的或效力是為了下列目的，則應推定該合同條款是不公平的：（一）不適當地限制在不履行合同義務情況下的救濟方式或在違反這些義務情況下的賠償責任，或加重對其單方面適用該條款的企業的賠償責任；（二）允許單方面施加條款的一方以嚴重損害另一締約方合法利益的方式訪問和使用另一締約方的數

105、據，特別是當此類數據包含商業敏感數據或受商業機密或知識產權保護時；（三）阻止被單方面施加條款的一方在合同期內使用該方提供或生成的數據，或將該數據的使用限制在該方無權使用、獲取、訪問或控制該數據或以適當方式利用該數據的價值的范圍內；（四）阻止被單方面施加條件的一方在合理期限內終止協議；（五）阻止被單方面施加條款的一方在合同期內或合同終止后的合理期限內獲得由該方提供或生成的數據的副本；（六）使單方面施加該條款的一方能夠在不合理的短時間通知內終止合同，同時未考慮到另一締約方轉向替代和類似服務的任何合理可能性以及這種終止所造成的經濟損害，但有重大理由這樣做的除外；（七）使單方面施加該條款的一方能夠實質

106、性地改變合同中規定的價格或與數據的性質、格式、質量或數量有關的任何其他實質性條件。第一百一十九條【格式條款】如果合同條款是由締約一方提供的格式條款，而締約另一方雖經談判仍不能對條款內容施加影響，則該條款應視-65-為本條所指的單方面規定的格式條款。提供格式條款一方不合理地免除或者減輕其責任、加重對方責任、限制對方主要權利的，或排除對方主要權利的，該格式條款無效。第一百二十條【區分定義】要注意到相同法律概念在各法域下的差異，例如，我國個人信息保護法下個人信息處理者指是指在個人信息處理活動中自主決定處理目的、處理方式的組織、個人，而在歐盟通用數據保護條例下將控制者和處理者區分開來，并賦予不同的權利

107、和義務。第一百二十一條【合同必要條款】數據交易、共享合同通常包括以下條款：目的和范圍、數據所有權和權利、保密性和安全性、數據訪問權限及方式、數據質量和完整性、遵守道德準則和法規、責任賠償、爭議解決。涉及數據跨境時，律師應當關注不同法域的合同權利義務的差別。第一百二十二條【技術合同無效的情形】包含下列情形的數據合作合同可能會被認為屬于民法典第八百五十條所稱的“非法壟斷技術”而認定為無效：（一）限制當事人一方在合同標的技術基礎上進行新的研究開發或者限制其使用所改進的技術，或者雙方交換改進技術的條件不對等，包括要求一方將其自行改進的技術無償提供給對方、非互惠性轉讓給對方、無償獨占或者共享該改進技術的

108、知識產權；（二）限制當事人一方從其他來源獲得與技術提供方類似技術或者與其競爭的技術；-66-（三）阻礙當事人一方根據市場需求，按照合理方式充分實施合同標的技術，包括明顯不合理地限制技術接受方實施合同標的技術生產產品或者提供服務的數量、品種、價格、銷售渠道和出口市場；（四）要求技術接受方接受并非實施技術必不可少的附帶條件，包括購買非必需的技術、原材料、產品、設備、服務以及接收非必需的人員等；（五）不合理地限制技術接受方購買原材料、零部件、產品或者設備等的渠道或者來源；（六）禁止技術接受方對合同標的技術知識產權的有效性提出異議或者對提出異議附加條件。第十章 數據確權登記12（非入表前置條件）第一百

109、二十三條【目的】本章旨在說明律師辦理入表法律業務時，審查標的企業擬入表的數據是否已經完成了數據確權登記，并不重點闡述數據確權登記類型及其自身需要的核查內容及流程。對于已經完成數據產權登記的，律師可以作為對標的企業數據合規確權的參考。第一節 數據產權登記第一百二十四條【數據產權】目前我國尚未在法律層面明確數據產權制度，學界較為主流的觀點是采取“所有權”與“用益權”兩權分離12.數據確權登記并非數據資源入表的必要或前置條件，律師在辦理數據資源入表法律服務時，可以一并審查標的企業數據確權的相關情況，作為數據合法合規性審查的輔助手段。律師亦可以在辦理數據資源入表法律業務時，根據不同要求一并完成數據確權

110、的相關登記。-67-的模式。數據二十條也體現了“來源者數據所有權+處理者數據用益權”兩權分離的模式。數據二十條提出的“建立數據資源持有權、數據加工使用權、數據產品經營權等分置的產權運行機制”，實際上暗含著一種分層確權的思路。第一百二十五條【數據產權登記效力】數據確權登記，目前也僅僅是數據持有者將自己的確權申請提交第三方平臺進行登記，第三方平臺進行形式審查后，予以登記，甚至發放確權證書。但第三方平臺的登記行為，并不能起到法律意義上對申請者數據權益的法律確認，僅僅是一種存證性質。目前，已經有很多第三方平臺受理數據持有者提出的數據資源持有權、數據加工使用權、數據產品經營權的登記申請，并發放確權登記證

111、書。第一百二十六條【數據產權登記審查要點】律師在審查數據知識產權登記時，應當重點審查申請人13擬申請登記的數據資源來源，審查其來源是否合規，取得的數據權益的方式和使用情況，辦理產權登記的數據是否實際由申請人使用，是否存在擬入表的數據的產權登記主體為關聯方或者其他主體控制、占有、使用的情況，是否存在抵押、質押等權利受到限制的情況，是否存在糾紛或者潛在糾紛的情況。13.本章“申請人”是指向第三方機構申請數據產權登記的權利人，與標的企業/委托人可能競合。-68-第二節 數據知識產權登記第一百二十七條【數據知識產權】民法典規定的八類知識產權種類中只有“法律規定的其他客體”可能包含數據知識產權。雖然國家

112、知識產權局辦公室以發文14的方式確定多地區知識產權局做數據知識產權登記試點工作，但從法律位階上講，“數據知識產權”仍然只是一種“類知識產權”。第一百二十八條【數據知識產權登記審查要點】（一）申請人是否取得數據知識產權登記的證書以及證書的有效期；（二）申請人取得數據知識產權登記的批準主體，如各地數據交易所、各地的知識產權局等；（三）申請人取得數據知識產權登記的方式是否合法合規，是否按照批準主體制定的相關規范履行相應的程序；（四）申請人是否就數據知識產權登記事宜委托第三方機構出具合規意見、評估報告等；14.（國知辦函規字2022990 號）文件國家知識產權局辦公室關于確定數據知識產權工作試點地方的

113、通知，首批確定北京市、上海市、江蘇省、浙江省、福建省、山東省、廣東省、深圳市等 8 個地方作為開展數據知識產權工作的試點地方。（國知辦函規字20231064 號）文件國家知識產權局辦公室關于確定 2024 年數據知識產權試點地方的通知，新增天津市、河北省、山西省、安徽省、河南省、湖北省、湖南省、貴州省、陜西省等 9 個地方共同作為 2024 年數據知識產權試點地方。北京市數據知識產權登記管理辦法(試行)規定：數據知識產權的登記對象，是指數據持有者或者數據處理者依據法律法規規定或者合同約定收集，經過一定規則或算法處理的、具有商業價值及智力成果屬性的處于未公開狀態的數據集合。從這一規定可以看出，數

114、據要達到知識產權的標準，要有商業價值、智力成果、尚未公開的特征。-69-（五）申請人擬入表的數據是否已全部辦理知識產權登記；（六）申請人已取得的數據知識產權登記是否存在抵押、質押等權利受到限制的情況；（七）申請人已辦理數據知識產權登記的數據是否與第三方存在權屬糾紛的情況，包括與第三方存在不正當競爭糾紛的情況；（八）申請人已辦理數據知識產權登記的數據是否實際由申請人控制、使用，是否存在關聯方或其他主體控制、占用、使用的情況。如有，是否簽署相關授權使用文件；（九）申請人的數據知識產權標的是否涉及登記機構或國家法律法規、行業慣例中負面清單的內容。第三節 其他登記類型第一百二十九條【數據資源公證登記】

115、2023 年 8 月，江西省數據資源登記平臺正式上線，推出數據資源公證登記服務。該平臺采用全鏈路合規公證模式，為數據資源權益的確認提供了新的途徑。第一百三十條【數據要素綜合登記】數據要素綜合登記涵蓋初始登記、交易登記、信托登記、變更登記、注銷登記、撤銷登記及續證登記等多個環節。完成登記后，登記主體可部分或全部享有“三權分置”的數據產權及相應的合法財產性權益。2023 年 11 月，貴州省大數據發展管理局頒布貴州省數據要素登記服務管理辦法（試行），數據要素綜合登記正式實施。-70-第十一章 數據資產15列示與披露前法律判斷第一節 數據資產列示與披露前法律判斷的必要性第一百三十一條【列示】企業在編

116、制資產負債表時，應當根據重要性原則并結合本企業的實際情況，在存貨、無形資產、開發支出科目下增設“其中：數據資源”項目，反映資產負債表日確認為該科目項下數據資源的期末賬面價值或支出金額。第一百三十二條【披露】數據資產的披露是企業在財務報告和信息披露文件中向財務信息使用者提供其數據資源及經濟價值相關信息的重要方式，數據資源的披露有強制披露和自愿披露兩種方式。第一百三十三條【入表科目及選擇邏輯】根據數據資源的持有目的、形成方式、業務模式，以及與數據資源有關的經濟利益的預期消耗方式等，可以將數據資源確認為無形資產、存貨或開發支出16。從法律角度而言，判斷數據資源計入無形資產或存貨的依據是，在對外服務或

117、者交易的過程中，數據或數據產品權屬是否發生轉移。開發支出屬過渡性科目，反映資產負債表日正在進行數據資源研究的開發項目滿足資本化條件的支出金額，在滿足特定條件時可以作為無形資產15.本章所稱“數據資產”是指即將作為資產進入財務報表及附注的數據資源，對這類數據資源作列示和披露前的法律判斷，為免和未經識別的數據資源相混淆而特意僅在本章使用。16.根據企業會計準則第 6 號無形資產應用指南，企業內部數據資源研究開發項目的支出，應當區分研究階段支出與開發階段支出。研究階段的支出，應當于發生時計入當期損益。開發階段的支出，滿足無形資產準則第九條規定的有關條件的，才能確認為無形資產。-71-處理。故本指引不

118、對開發支出做法律判斷。第一百三十四條【法律與會計交叉】法律維度側重于數據資源的合規與確權，會計維度側重于數據資源的會計核算及計量。對于不同科目下的數據資產，合規要求會有差異，不同列示類型和披露標準對企業數據資產價值及未來資產變化影響較大。第一百三十五條【法律判斷原則】律師應當在理解數據資產的會計列示與披露類型及標準的基礎上，重點關注和提示標的企業入表數據資產在不同科目下披露范圍、內容和方式的潛在風險和影響。數據資源作為無形資產表明，或因該資產為企業所擁有并能夠據此通過對外提供服務或對內提高效率與效益而帶來增量經濟利益。無形資產入表的合規要求相對寬松，律師應當重點關注數據資源的持有權，確保標的企

119、業在日常經營中能夠有效控制、合法使用或流動相關數據資源。數據資源作為存貨入表，數據17持有權發生了轉移，律師應當重點關注和審查合規鏈條及權屬的完整性，對數據資源的持有權、數據產品經營權進行審查，其合規要求較無形資產更高。第一百三十六條【數據資產創新應用】數據資源入表后在增信、作價入股、信托管理、質押融資和證券化等創新應用方面發揮重要作用。不同17.納入存貨的“數據”應當被廣義理解為已經具有法律上特定物意義的商品，一經出售所有權轉移，出讓方應當具有相關權利無瑕疵的擔保責任。-72-類別的數據資產18能夠應用的領域不同，律師應根據應用場景、數據限制以及披露要求等作出合規性判斷。值得注意的是，對于

120、2024 年以前形成的、可以識別為數據資產的、不能入表的數據資源仍然可以評估作價后予以創新應用。第二節 不同科目的數據資產披露前法律判斷第一百三十七條【數據資產作為無形資產披露前的審查要點】（一）對有限使用壽命的數據資源，披露其使用壽命估計和攤銷詳情之前，應綜合考慮數據資源的法定有效期、合同有效期等因素，以法律角度評估其預計使用壽命的準確性。（二）對使用壽命不確定的數據資源，在披露其賬面價值和使用壽命不確定的判斷依據之前，應結合數據資源的法定有效期、合同有效期、行政許可有效期等因素，從法律角度評估其使用壽命不確定性的依據。（三）對使用權受到限制的數據資源，在披露其賬面價值和當期攤銷額等信息之前

121、，應結合數據權益界定的路徑、數據類型、范圍、期限和限制依據、限制內容、限制期限等信息，從法律角度評估數據資源的權利限制狀況。（四）對被用作擔保的數據資產，在披露其賬面價值和當期攤銷額等信息之前，要結合主債權的金額、期限、債務人的償債能力，以及數據權益18.包括確認為無形資產的、仍為開發支出的、作為存貨的以及僅能自愿披露的情形。-73-的路徑、類型、范圍、期限和限制等信息，從法律角度評估數據資源的權利限制狀況。第一百三十八條【數據資產作為存貨披露前的審查要點】（一）對使用權受到限制的數據資產，應綜合考量數據權益界定的路徑、數據類型、范圍、期限以及限制依據、限制內容、限制期限等要素，從法律角度對數

122、據資源的使用權限制狀況進行評估。（二）對被用作擔保的數據資產，在公布作為擔保物的數據資源的賬面價值等信息之前，要綜合考量主債權的金額、期限、債務人的償債能力，以及數據權益的路徑、類型、范圍、期限及限制等要素，從法律角度對數據資源的使用權限制狀況進行評估。第三節 自愿披露內容的法律判斷第一百三十九條【自愿披露內容及作用】自愿披露內容主要涵蓋數據資源的應用場景描述和分析、來源的合規性、加工投入、應用現狀、與重大交易事項相關的信息、相關權利失效情況、權利限制情況的信息，以及其他企業認為有必要披露的相關信息。自愿披露內容可以幫助企業展示其數據資產管理和運用的透明度，增加投資者和利益相關方對企業的信任和

123、理解，幫助投資者和潛在投資者更好地理解企業數據資源的規范治理和經濟價值。第一百四十條【自愿披露前審查要點】（一）應用場景或業務模式的合法合規性。-74-（二）原始數據的類型、規模、來源、權屬等信息。（三）數據資源的加工維護和安全保護情況。（四）相關數據產品或服務的運營模式、作價出資、流通交易、服務計費方式等。（五）重大交易事項中涉及的數據資源對該交易事項的影響及風險分析，重大交易事項包括但不限于企業的經營活動、投融資活動、質押融資、關聯方及關聯交易、承諾事項、或有事項、企業/業務重組、債務重組、資產置換等。（六）數據資源相關權利的失效情況及失效事由，以及該情形對企業的影響及風險分析等。（七）數

124、據資源轉讓、許可或應用所涉及的地域限制、領域限制及法律法規限制等權利限制。（八）企業認為有必要披露的其他數據資源相關信息的法律審查。第十二章 法律風險及特別提示19第一百四十一條【違法處理、不當使用個人信息的法律責任】違法處理個人信息的，需要承擔個人信息保護法規定的法律責任，包括但不限于責令改正、警告、罰款，承擔責任的人員包括直接負責的主管人員和其他直接責任人員。19.數據資源入表業務涉及主體眾多，不同主體的不同行為可能產生不同的法律責任，本章主要列舉與數據行為可能相關的主要責任類型，同時就律師辦理此類業務潛在的自身風險予以提示。-75-處理個人信息侵害個人信息權益造成損害的，個人信息處理者不

125、能證明自己沒有過錯的，應當承擔損害賠償等侵權責任。根據個人信息保護法關于公益訴訟的相關規定，個人信息處理者侵害眾多個人的信息權益的，人民檢察院、法律規定的消費者組織和由國家網信部門確定的組織可以依法向人民法院提起訴訟。第一百四十二條【不當使用其他經營者的商業數據的法律責任】在遵守數據抓取約定的情況下，利用抓取的數據提供足以實質性替代其他經營者提供的相關產品或者服務，構成不正當競爭，需要承擔相關法律責任。第一百四十三條【未經授權復制、傳播作品的法律責任】進行數據共享的數據如果包含構成作品的或者作品片段的，未經授權的使用可能會侵害著作權中的復制權、修改權、信息網絡傳播權等權項。從著作權侵權角度而言

126、，復雜客體的數據權屬核實通常是不可能或者不現實的，因此有必要在合同中約定瑕疵擔保和補償性條款，降低數據接收方和數據中介的法律責任。第一百四十四條【交易違規數據的法律責任】市場主體合法處理數據形成的數據產品和服務，可以依法交易，但是交易的數據產品和服務中包含未依法獲得授權的數據的、未經依法開放的公共數據的，或者其他法律法規規定禁止交易的情形的，可能由市級市場監督管理部門或者行業主管部門責令改正、沒收違法所得，并處以罰款。第一百四十五條【不當抓取他人公開信息的民事法律責任】未經授-76-權抓取他人公開信息在特定情況下可能會被認為構成違反中華人民共和國反不正當競爭法第二條的行為，司法裁判中確立的第二

127、條適用規則為：（一）中華人民共和國反不正當競爭法第二章及中華人民共和國專利法中華人民共和國著作權法等知識產權專門法對該市場競爭行為未作出特別規定；（二）該市場競爭行為擾亂市場競爭秩序、損害其他經營者或者消費者合法權益；（三）該市場競爭行為因違反誠信原則和商業道德而具有不正當性。在互聯網環境下的數據共享行為，司法機構可能還將額外考慮其他因素，包括：（一）該競爭行為所采用的技術手段確實損害了消費者的利益，例如：限制消費者的自主選擇權、未保障消費者的知情權、侵害消費者的隱私權等；（二）該競爭行為破壞了互聯網環境中的公開、公平、公正的市場競爭秩序，從而引發惡性競爭或者具備這樣的可能性；（三）對于互聯網

128、中利用新技術手段或新商業模式的競爭行為，應首先推定具有正當性，不正當性需要證據加以證明。第一百四十六條【侵犯公民個人信息的刑事法律責任】違法向他人出售或提供個人信息的，需要承擔刑事法律責任，具體而言：（一）中華人民共和國刑法第二百五十三條之一規定，違反國家有關規定，向他人出售或者提供公民個人信息，情節嚴重的，處三年以下有-77-期徒刑或者拘役，并處或者單處罰金；情節特別嚴重的，處三年以上七年以下有期徒刑，并處罰金。（二）違反國家有關規定，將在履行職責或者提供服務過程中獲得的公民個人信息，出售或者提供給他人的，依照前款的規定從重處罰。竊取或者以其他方法非法獲取公民個人信息的，依照第一款的規定處罰

129、。（三）單位犯前三款罪的，對單位判處罰金，并對其直接負責的主管人員和其他直接責任人員，依照該款的相關規定處罰。第一百四十七條【其他刑事法律責任】各參與方應當嚴格審查數據來源，其他與數據收集、使用、處理、共享相關的刑事法律責任，包括但不限于：侵犯公民個人信息罪，破壞計算機信息系統罪，非法侵入計算機信息系統罪，非法控制計算機信息系統罪，提供侵入、非法控制計算機信息系統程序、工具罪，非法利用信息網絡罪，幫助信息網絡犯罪活動罪，拒不履行信息網絡安全管理義務罪，竊取、收買、非法提供信用卡信息罪，非法獲取計算機信息系統數據罪，侵犯商業秘密罪等。第一百四十八條【中介機構法律責任】數據合規確權的法律意見存在虛

130、假記載、誤導性陳述或重大遺漏的，可能與委托人承擔連帶賠償民事賠償責任，但是能夠證明自己沒有過錯的除外。嚴重不負責任，出具的證明文件有重大失實，造成嚴重后果的，可能承擔刑事責任。涉及公眾公司、特定行業等強監管的，律師事務所及律師或因未勤勉盡責而受到行政處罰。第一百四十九條【特別提示】數據資源入表具有大量市場需求的同-78-時也將積聚潛在風險，律師事務所作為出具法律意見的中介機構應當重視其中的責任風險，建議在從事入表相關法律業務時，除了辦理法律業務本身外，重點關注：委托人類型、標的企業入表目的、數據入表后的用途及其合理性、是否有獨立的第三方數據技術與安全專業意見、對引用的涉及技術與安全、會計、評估等內容不越界發表意見。第十三章 附則第一百五十條【生效】本指引自發布之日起執行。第一百五十一條【效力】本指引僅作為北京市范圍內的律師從事數據資源入表法律業務的參考，對其他涉及數據合規確權法律業務亦可部分參照適用，但均不具有強制性。第一百五十二條【解釋】本指引解釋權歸北京市律師協會數字經濟與人工智能領域法律專業委員會所有。