在上篇中（数据交易合规系列（上）—数据交易制度的基本介绍），我们对数据交易的基本概念、规范基础、数据交易机构的现状以及数据交易目前所遇到的主要难点进行了介绍，帮助读者快速对数据交易进行初步了解。但数据交易最终还是要进入实践阶段，只有数据真正通过交易流通起来，才能创造更大价值，而数据交易在实务中不可避免地有许多合规要点需要交易双方注意。

作为一种大数据时代的全新交易类型，数据交易的模式、体系、流程等都尚未成熟，数据交易机构、交易主体以及相关服务商仍在合力探索数据交易的最优架构。结合当前多家数据交易机构的流程以及法律法规要求，我们认为，数据交易主体应当在交易前和交易中两个重要阶段把握数据交易的合规问题，并通过交易前的数据合规尽职调查及评估对数据交易风险进行最大化规避，在数据交易过程中，通过全面、合理的数据交易协议安排来保障数据交易的全流程合规。

不同于普通的商品交易，数据产品并不能很直观地感受，也无法通过查看产品说明等确定产品的价值和质量。因而在数据供需双方开展正式的数据交易之前，为了便于双方在知己知彼的基础上就具体的合作内容进行洽谈，通常会对对方进行数据合规方面的尽职调查。通过数据合规尽职调查可以对数据交易的风险及效益做出合理评估，及时发现交易过程中的潜在法律风险，从而通过后续的协议安排尽可能避免法律风险转化成违法责任。一般来讲，数据合规尽职调查可以从以下几个方面展开：

首先，对交易主体的调查，包括数据需求方和数据提供方相互之间的尽职调查和评估。数据需求方需要对数据提供方进行尽调，至少需要包含如下内容：①对数据提供方的信用情况进行调查，例如近三年内是否受到过与数据安全、个人信息保护相关的行政处罚或者发生过重大涉诉案件，必要时应要求数据提供方出具近三年无数据保护违法违规相关的重大行政处罚或涉诉涉刑案件承诺书。②对数据提供方的资质情况进行调查，包括数据提供方是否具有符合数据交易场景所必需的资质，如根据法律规定特定数据的采集、处理需要具备特定的资质(如增值电信业务许可证、地理测绘资质、征信资质等)，数据需求方可以要求数据提供方提供相应的资质证明文件复印件。③对数据提供方主体类型进行调查，需要判断数据提供方是否被认定为关键信息基础设施运营者，是否属于特殊监管行业或承担特殊数据合规义务等。

同时，数据提供方也要对数据需求方进行调查，主要目的是确认购买数据的一方是否是合法的民事法律主体以及是否具备相应资质，以防患于未然。主要包括对数据需求方的基本情况和拟交易数据的使用情况进行调查。具体包括数据需求方的工商信息及存续情况、股权架构和实际控制人等信息、整体业务情况、使用拟交易数据的场景以及具体处理拟交易数据的目的、方式、范围等进行全面了解。此处要格外注意数据需求方的数据使用场景是否涉及特殊监管，例如是否涉及拟交易数据产品的跨境传输问题，虽然数据跨境传输目前有三种可选择的途径，但仍对企业数据合规提出更高要求，涉及更多资料和审批流程，数据提供方应多加关注。

其次，对拟交易的数据产品的相关评估，确保数据交易产品本身合法法规。尽管目前法律未正面规定可进行交易的数据清单，但可从负面清单角度对不符合法律法规的数据交易进行排除，这便需要在尽职调查过程中对拟交易数据产品的合法合规性进行全面评估，包括对数据来源的合法性、数据内容的合法性、数据规模以及数据类别、级别是否涉及具体的特殊合规义务等进行评估。

针对数据来源合法性的调查非常关键，数据来源违法或违规，将直接使该数据产品丧失可交易性。各交易主体均应关注该数据产品的原始来源，尤其是数据需求方，在进行调查的时候，可以要求数据提供方对自身提供的数据产品数据的来源加以说明并留存相关核查记录，确保拟交易的数据来源合法可追溯。具体而言，可以围绕：数据是其自行产生的数据还是公开收集或经其他方式取得的数据，是否获得权利人授权（评估授权路径以及授权的有效性）或主管部门批准，是否涉及个人隐私、商业秘密或涉及国家安全、公共利益，以及该产品是单一数据来源还是综合数据来源，综合数据来源要对每一数据来源进行核查等等方面展开。同时，不同行业对数据收集、处理有宽严不一的标准，还应结合所属具体行业的要求与规定确认数据提供方开展的数据收集、处理等活动是否合法合规。

最后，应对数据交易环境进行评估，保证交易数据全链路安全，降低数据流通风险。数据提供方和数据需求方均需要对对方的数据安全保障能力进行评估，双方均应当符合《网络安全法》、《数据安全法》等法律法规的要求，建立数据安全保护体系，对于涉及个人信息的数据，还应符合《个人信息保护法》的要求，谨防个人信息泄露、篡改或丢失。具体而言，在进行尽职调查时，包括但不限于如下维度：网络环境（机房安全、访问权限控制、防病毒、渗透测试、防入侵与恶意代码）、存储环境（存储介质、存储空间控制、去标识化、数据加密备份、权限管理）、传输环境（身份验证、接口数据 (如AES)加密、通道https加密）、管理制度（专门数据安全部门及岗位、数据分类分级管理制度、数据安全应急管理制度、员工数据处理活动管控）以及能力证明（等级保护证明、数据安全合规审计、数据安全能力认证）等。

基于上述交易前的尽职调查和交易评估，在数据交易进行过程中，双方往往需要通过数据交易协议来对交易所涉的关键事项进行明确约定。而考虑到数据交易不同于传统买卖，数据供需双方关注的重点并非在于数据本身在物理介质层面的转移或者排他性使用，而是如何实现数据的共享，也即数据提供方如何将符合需求的数据产品顺利交付给数据需求方。事实上，在很多针对数据衍生产品，例如数据处理服务、数据模型工具等数据产品进行交易的场景中，数据产品的提供更类似于一种提供服务。基于此，在对数据交易协议具体条款进行安排时，可以参考传统买卖协议、知识产权许可协议的条款，但仍应结合数据交易的独特之处，例如数据产品的特点、类型、所处行业、使用场景等对协议条款进行更具针对性、更加合理化的设计。

第一，对数据交易标的进行界定。双方应对数据产品的类型、内容、范围、规模、来源、格式、质量、一次性提供还是持续更新等内容进行约定，明确供需双方的数据交易标的。针对数据产品本身所具有的特殊性，可通过样例的形式对数据产品进行说明。

第二，对数据交易双方的权利义务进行设定。例如，需要对数据产品的合规和质量进行约定，对拟交易数据进行必要的去标识化或匿名化处理的义务进行规定，以及结合具体场景，对拟交易数据的范围、是否涉及更新及更新频次、是否可转让或公开、是否有使用限制以及是否可以跨境传输等具体问题进行约定。对数据提供方来讲，要对拟交易数据的使用场景和数据需求方的数据安全保障义务进行约定，以及明确第三方是否可以访问或使用该数据产品、具体的范围限制等等；针对数据产品的用途，不仅要对数据需求方所明示的使用目的进行必要的真实性、合理性判断，同时也应要求数据需求方做出相应的合法使用承诺；此外，还应要求数据需求方在按照数据交易约定方式完成数据使用后，应及时销毁交易数据、不得存有备份，并提供数据销毁证明文件。

第三，对数据产品的交付和价格进行确定。由于数据产品本身就存在定价难的问题，在估值定价方面往往因供需双方的具体交易场景而异，个性化、定制化程度较高，并不像标准化产品一样有可供参考的价格体系，因此需要数据提供方和数据需求方双方对于具体交易中的特定数据产品的价格进行明确约定，例如针对该产品的固定价格及具体的参考定价标准或是计次收费的标准等等。另外，还需要对数据产品的交付方式进行约定，例如是否需要特定的硬件或软件条件来保证数据产品交付过程中的环境安全，或者是否需要采用特定加密或传输技术以确保数据安全，或者是否需要通过第三方平台进行“数据可用不可见”的交付模式等等。

第四，数据权属条款。类似于技术开发合同中的权利归属条款，即哪方享有技术开发成果的知识产权，在数据交易中，数据提供方向数据需求方交付数据属于共享还是让渡，共享数据意味着数据交付后双方均持有数据，让渡数据意味着数据提供方交付数据后不再持有数据,相应地,数据产品交付成果的使用权、转让权和收益权的归属在“共享”和“让渡”两种模式下有所不同；以及数据需求方在交易数据的基础上进行分析、加工、整理、融合而形成了具有市场价值的衍生数据或数据衍生产品，该衍生数据或数据衍生产品的持有权、加工使用权、经营权归属于哪方主体。目前的司法实践中，一般认为数据处理者投入人力、物力、财力对数据进行收集、加工、整理后，其对该等数据享有财产性权益。如各大互联网平台对其依法获取的各类数据以及在这些数据基础上开发的数据衍生产品具有相应的数据权益，其他主体非授权使用可能会因侵犯其数据权益而构成不正当竞争。因而，数据供需双方应在数据交易协议中明确交易数据及数据衍生产品的持有权、加工使用权、经营权等权属。

第五，数据供需双方作出的陈述及保证条款。在数据交易协议安排中，陈述与保证条款是必不可少的重要组成部分。对于数据需求方而言，可以要求数据提供方对自身所承担的义务做出陈述与保证，例如数据提供方保证数据的收集和处理符合相关法律法规的要求，其所交易数据的获取渠道和方式合法、权利清晰无争议，其享有所交易数据产品的经营权，数据交易行为不会侵害其他第三方的合法权益；对于数据提供方来说，可以要求数据需求方接收及使用该数据产品不会超出协议约定的用途、不会违反适用的法律法规、亦不会违反其与第三方签署的相关在先协议。诸如此类的陈述及保证条款一定程度上可以降低数据需求方的法律风险隐患，也能激励数据提供方确保所提供的数据产品的合法合规。

第六，数据安全突发状况的应急处置条款。主要是为了一方数据在交付或是交付后遭遇难以预料的突发状况，例如黑客攻击或是数据泄露等，由于数据一旦发生泄漏，所造成的损害一般是不可逆的，因而除了要在事前对数据安全保障义务进行约定，最大程度降低数据安全隐患，还要对事后的应急处置方案进行设计，例如数据交付后发生数据泄漏时，数据需求方应及时排查并通知数据提供方，告知泄露原因、泄露范围、采取的补救措施以及后续整改方案等，数据提供方可据此决定是否继续履行或提前终止合同。

第七，违约责任条款。 对于数据交易协议而言，数据提供方拟实现之合同目的是获得数据交易的对价；而数据需求方所在乎的是数据产品能否按照约定如实、准确、完整地完成送达，送达方式是否安全，数据的质量、范围是否符合约定等。

因此，为防止任意一方合同目的无法实现，或因发生数据泄露等安全事件导致一方遭受财产损害、或是一方违反合同义务条款的情形发生时，守约方无合同明确的责任承担约定条款作为权利主张的抓手，因此应事先就已方较为重视与在意的部分与情形设置相应的违约责任条款。例如，基于数据产品无形性、易复制性的特点，如供需双方对交易不满，数据产品可能无法实现“退货”，数据需求方可能会留有备份，对此，数据供应方可以在合同中要求数据需求方及时删除该等数据及信息，并出具删除证明且不得留有备份，并设定违反前述约定的相应罚则。

此外，在一些数据交易中，并非仅仅数据产品的简单交付，还可能涉及到数据交易结构的设计、数据合法性评估、数据质量评估、数据定价咨询以及数据加工处理等，不可避免其他服务商会参与到数据交易的环节中来，尤其是场内交易的数据产品，因而，数据交易双方还可能与第三方服务商建立合作关系并签署合作协议，形成较为复杂的一系列合作协议。该系列合作协议应注意约定清楚各方各自承担的权利义务边界，避免出现各协议中约定相互矛盾的条款，以防在潜在争议发生时出现因约定不明而产生对已方不利的情况和结果。

本文第一、二部分就数据交易前的尽调和数据交易中的协议安排进行了简要分析，除了上述法律风险注意事项外，在数据交易中企业还应关注以下合规风险：

第一，避免交易法律法规或基于协议约定禁止交易的数据及数据产品、服务。

结合《数据安全法》、《个人信息保护法》及各省多地制定的数据条例等法律法规的规定，禁止交易的情形大致归为以下几类：（1）危害国家安全、公共利益的；（2）侵犯他人合法权益（如知识产权、商业秘密等权利）、个人隐私的；（3）交易的数据产品和服务包含个人数据未依法获得授权的；（4）交易的数据产品和服务包含未经依法开放的公共数据的；以及（5）法律、法规规定禁止交易的其他情形。此外，对于与数据上游供应方所签订的合同中存在数据禁止转售或公开约定内容的数据，也应被禁止进行再次交易。

实践中，面对数据流通不畅的掣肘，企业可能会采用爬虫软件等技术手段获取数据，然而如该手段不合法，则可能会被认定为“非法获取数据”，并进而影响后续数据交易的合法性以及数据交易协议的效力。对于如采用爬虫工具等技术手段突破企业技术防护措施获取数据的，就刑事责任层面可能涉嫌构成非法获取计算机信息系统数据罪、非法控制计算机信息系统罪或非法侵入计算机信息系统罪等；如获取的数据类型中含有商业秘密或是国家秘密的，则可能构成侵犯商业秘密罪、非法获取国家秘密罪；如获取国家秘密向境外提供的，还可能会触犯为境外窃取、刺探、收买、非法提供国家秘密、情报罪；如涉及个人信息的，则可能构成侵犯公民个人信息罪等。此外，就民事责任层面，该等行为也可能涉及不正当竞争或侵犯个人隐私等。如数据需求方不对数据的内容、范围以及数据来源的合法、合规性加以审查即直接使用具有法律及权利瑕疵的数据产品，则可能会产生数据交易协议无效或是数据需求方因使用该等瑕疵数据产品而侵犯其他权利人的合法正当权益的风险。

鉴于获取数据手段的合法合规性及数据内容对交易的合法、顺利推进具有决定性影响，因此我们建议，在数据交易前，数据需求方应着重核实数据提供方拟交易的数据的获取渠道及有无获得权利人授权、是否包含个人数据、重要数据，及是否可能涉及个人隐私、商业秘密、国家秘密等进行核实与确认，并可要求数据提供方提供相应的证明文件和承诺函。在设计数据交易协议时，也应添加上文所提及的数据供应方陈述与保证条款。在供需双方的数据传输环节，还可对数据进行必要脱敏、加密传输或利用隐私计算等技术手段实现可用不可见，以降低数据泄露、被非法利用的风险。

此外，企业还应注意一个误区，普遍认为网络上公开的数据可以不受限制地爬取使用，不会侵犯第三方的数据权益，然并非如此，如企业爬取了公开的个人信息，其处理目的明显违反自然人公开时的初始目的，则可能侵犯自然人的个人信息权益；如企业爬取其他主体公开的数据而形成自身的服务功能或模块，则可能因为提供替代性服务损害了其他主体的利益而构成不正当竞争。

第二，基于交易对象的数量、类型以及交易主体的身份等因素，可能会触发额外的审批或许可义务。

如本文第一部分所述，如果数据交易涉及数据跨境传输，在符合《数据出境安全评估办法》第四条规定的四个情形之一的，则将会触发数据出境安全评估申报义务。《数据安全法》第二十五条亦规定，“国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制”，故，如所交易的数据属于出口管制物项的数据，或将触发《出口管制法》项下出口许可证的申请。此外，如所交易的数据有特殊行业监管要求的，则可能会触发行业主管部门审批要求。

因此，我们建议，在产生业务需求的初始，即应将数据交易可能触发的额外审批或许可义务作为是否推进业务合作的考量因素之一，并相应评估该等额外审批或许可义务对业务合作的影响。如确定将推进业务合作，即可在数据交易协议中约定该额外审批/许可的通过/取得即为数据交易协议的生效前置条件，以降低审批不通过/许可未取得对数据需求方产生的成本负担以及业务合作造成的影响。同时，我们建议在数据交易协议中一并明确该额外审批/许可义务产生的准备费用的负担主体与审批配合义务的相关要求，以便于业务合作的有序推进，减少因前期协议约定不明而导致后续双方就该部分内容产生争议进而相互推脱的情形。

第三，在交易过程中及交易后，亦应密切关注数据安全并采取相应保护措施，减少数据事件发生的可能性及数据安全事件所带来的影响。

由于企业“内鬼”作案或外部攻击而导致的数据泄露事件时有发生。如2022年6月，某国内学习软件的数据库被公开售卖，超1.7亿条用户信息疑遭泄露。最高人民检察院于今年3月30日发布的个人信息保护检察公益诉讼典型案例（共8个）中亦有4个案例涉及个人信息泄露事件或个人信息泄露隐患。发生此类数据安全事件，不仅会给企业造成重大的财产和声誉损失，也会危害到个人信息权益的保护、甚至会危及公共利益和国家安全。

对此，《数据安全法》规定了关于数据处理活动应遵循的数据安全保护义务，包括对数据应采取分类分级保护、建立健全全流程数据安全管理制度、组织开展教育培训，采取相应的技术措施和其他必要措施等，以保障数据安全。同时，在数据处理活动中应当加强风险监测，发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施；发生数据安全事件时，应当立即采取处置措施，按照规定及时告知用户并向有关主管部门报告。《个人信息保护法》亦规定了对于个人信息的安全保障要求，包括但不限于对个人信息进行分类管理、采取相应的加密、去标识化等安全技术措施，制定并组织实施个人信息安全事件应急预案等。

由于数据交易涉及数据的收集、存储、传输与使用等数据处理活动，故应遵守《数据安全法》和《个人信息保护法》等相关法律法规规定项下的数据安全保护义务，不仅在数据交易前应确保制定有企业数据安全管理制度与流程，且在数据交易过程中及交易后，亦应密切关注数据安全并采取相应保护措施，如通过数据加密、权限管控、定期进行系统漏洞扫描与加补丁等方式进行数据保护。在交易相对方发生数据安全事件后，另一方在知晓该等数据安全事件后亦应积极、及时作出相应的补救措施以避免自身损失以及个人信息权益、数据安全风险等的进一步扩大。