数据来源合法是数据“合法拥有”和“合法控制”的基础

限量版犯贱

2023-12-27

“合法”强调的是一种“法律评价，“拥有”强调的是一种事实上的权属
状态，即所获取的数据来源是合法的。“来源合法”主要以是否违反法律法规
的禁止性规定来判断的。如《数据安全法》第八条规定“开展数据处理活动，
应当遵守法律、法规，尊重社会公德和伦理，遵守商业道德和职业道德，诚实
守信，履行数据安全保护义务，承担社会责任，不得危害国家安全、公共利益，
不得损害个人、组织的合法权益”；《个人信息保护法》第二条规定“自然人
的个人信息受法律保护，任何组织、个人不得侵害自然人的个人信息权益”；
《刑法》第二百八十五条，关于非法获取计算机信息系统数据罪、非法控制计
算机信息系统罪的规定等。
数据来源的合法性可以分别从几个维度进行分析：A. 公共数据（包括不予
开放、有条件开放、无条件开放的公共数据）、B. 企业数据（包括企业的公开
数据、企业收集的非个人信息数据）、C. 个人信息数据。
A. 公共数据来源合法性规则及判断
23
近年来，我国对公共数据的合理利用有了越来越明确的法律、政策保障。
由于公共数据体量庞大，且蕴藏巨大的经济和社会价值潜力，国家鼓励社会深
度利用公共数据，创造经济价值。2022 年 12 月国家正式发布的《关于构建数据
基础制度更好发挥数据要素作用的意见》中强调，对各级党政机关、企事业单
位依法履职或提供公共服务过程中产生的公共数据，加强汇聚共享和开放开发。
关于无条件开放的公共数据。企业或个人在收集数据时除了依照法律规定
进行收集外，还需要注意政府公共数据开放平台中提供的《网站声明》《数据
开放授权许可协议》《版权声明》等内容。例如，浙江省人民政府的数据开放
平台在《浙江省数据开放平台数据开放授权许可使用协议》中约定，用户在使
用本平台数据资源所产生的成果中应注明公共数据资源来源为“浙江省数据开
放平台”，“从平台下载的日期”以及“用户义务是本许可的重要条件，如未
遵守以上要求，则根据本许可授予的权利将自动终止，用户应立即删除相关数
据并停止服务”等条款。其中，“用户义务”包括用户基于本平台公共数据资
源开发的各类应用和服务，应遵守有关法律、法规和规章的规定，不得用于任
何可能危害国家安全和社会公共利益、侵犯商业秘密和个人隐私或其他不正当
的用途；不得对本平台进行技术性破坏，不得干扰或妨害浙江省数据开放平台
提供正常的互联网服务等。因此，数据开发利用主体在使用公开的公共数据时
也是受相关公共数据开放平台的平台服务协议约束的，数据收集时如违反相关
协议条款，则可能导致数据来源不合规。
对于有条件开放的公共数据。开发利用的方式主要有两种：（1）协议许可
使用。由具备数据利用能力的个人或组织向公共管理和服务机构提出申请获取
限制开放或有条件开放的公共数据，经同意并签订数据许可使用协议后实施数
24
据加工；（2）授权运营。由公共管理和服务机构通过设立国有资本运营公司，
或直接与被授权运营主体签订特许经营协议的方式开展公共数据授权运营。在
这两种模式下，被授权的企业应严格按照授权许可协议约定的数据范围、使用
目的、开发利用方式和数据安全义务进行合理开发利用，对于超范围、超期限
使用、超出约定目的开发等行为，则会导致获取的公共数据来源不合法。
对于不予开放的公共数据。通常是依法依规予以保密的公共数据，应严格
管控此类原始公共数据直接进入市场。企业或个人不得通过技术手段进行非法
获取或利用。
B. 企业数据来源合法性规则及判断
关于获取企业公开数据的来源合法性。当前主要集中在数据收集主体利用
相关软件和技术手段在他人网站中对已公开的数据进行自动抓取（俗称“爬虫”）
上。从国内外的司法实践来看，对于数据爬取是否具备合法性的问题主要体现
为：第一，是否违反他人网站上的数据访问控制措施或协议约定的范围；第二，
公开数据的边界界定；第三，该数据的使用目的正当性；。
第一，访问合法性。备受关注的美国 hiQ 诉 LinkedIn 案件中，LinkedIn 公
司作为全球最大的职业社交网站，hiQ 公司利用用户在该网站上创建个人资料时
选择的“整个公众可见”的规则，通过从 LinkedIn 页面中抓取用户公开的职业
数据，并对该公开职业数据进行深度处理后进行销售盈利。LinkedIn 公司曾经
多次告知 hiQ 公司未经同意抓取 LinkedIn 用户公开职业数据的行为违反《美国
计算机欺诈和滥用法案》（Computer Fraud and Abuse Act，CFAA），并采取
措施阻止 hiQ 公司对其用户公开职业数据的抓取。于是，hiQ 公司向加利福利亚
北部地区法院起诉了 LinkedIn 公司，诉称 LinkedIn 公司阻止其访问用户公开
25
26
数据的行为是将数据私有财产化的不公平商业行为，是一种垄断行为，违反了
托拉斯法与加州反不正当竞争法。
地方法院经审理后，颁布了初步禁令，要求 LinkedIn 不得限制 hiQ 的资料
抓取行为，并认为 hiQ 的行为并未触犯 CFAA，接着 LinkedIn 即提出上诉，第九
巡回上诉法院在 2019 年支持地方法院的判决。其认为，一般情况下，当计算机
网络允许公众访问其数据时，根据 CFAA，用户访问该公开可用数据可能不构成
未经授权的访问。hiQ 寻求访问的数据不属于 LinkedIn 所有，也没有被 LinkedIn
使用此类授权系统标定为私人数据。LinkedIn 于 2020 年再上诉到最高法院，最
高法院则要求上诉法院重新审理解决 CFAA 的责任问题。该案在 2022 年 12 月 6
日终于尘埃落定，法院最终认定，由于 LinkedIn 的用户协议明确禁止抓取其网
站和创建虚假个人资料，hiQ 违反了 LinkedIn 的用户协议以及创建虚假个人资
料行为违法，最终裁决要求 hiQ 向 LinkedIn 赔偿 50 万美元，并在法律允许的
最大范围内通过了一项永久禁令，包括禁止：在未经同意下直接或间接通过自
动化方式访问或复制数据，根据从 LinkedIn 获取数据而产生的开发、使用、销
售等行为，永久删除所拥有、保管和控制的 LinkedIn 会员资料数据，等共计六
项禁止行为。该案的系列判决在对于收集企业公开的数据规则及认定上，在世
界范围内有一定的影响和借鉴意义。
第二，数据公开的界定。在北京微梦创科网络技术有限公司诉某科技公司
抓取微博数据案件（(2017)京 0108 民初 24512 号）中，北京市海淀区人民法院
认为，对于微梦公司未设定访问权限的数据，应属微梦公司已经在微博平台中
向公众公开的数据；例如，用户在未登录状态下即可查看的新浪微博，系博主
本身未限制他人浏览且微梦公司未通过登录规则等措施限制非用户浏览的数据，
即为微博平台中的公开数据。但对于微梦公司通过登录规则或其他措施设置了
访问权限的数据，则应属微博平台中的非公开数据。对于不公开或者半公开的
数据，要获取该数据必须获得数据权利人授权，否则不仅构成侵权，情节严重
的，还可能构成犯罪。
第三，数据使用目的正当性。在某点评软件与某科技公司不正当竞争纠纷
一案中（（2016）沪 73 民终 242 号），法院指出，Robots 协议只是关于搜索引
擎抓取网站信息的行为是否符合公认的行业准则的问题，而搜索引擎抓取网站
信息后的使用行为是否合法，应该在法律上进行明确规制，即该科技公司对于
网站信息的使用应该符合《反不正当竞争法》的相关规定。在本案中，科技公
司的搜索引擎抓取涉案信息的行为虽然没有违反 Robots 协议，但不意味着抓取
信息后任意使用点评软件平台上的点评信息的行为是合法的，科技公司应本着
诚实信用的原则，遵守公认的商业道德，合理控制来源于其他网站的信息的使
用范围和使用方式。可以看出，对于抓取的数据使用不当，也同样可能影响数
据资产确认时来源合法性判断。
关于企业收集的非个人数据来源合法性。企业收集的非个人数据包括，企
业自身经营所产生的数据如设备运行数据、管理数据等；通过设备直接采集的
水文、气候、地理测绘数据等。企业自身经营产生的数据表面上不需要讨论来
源合法的问题，但需要注意的是无论是数据资产入表，或数据资产交易流通，
登记或审查部门也可能要求企业提供其设备信息、数据库模型、客户数据及运
维日志等用以证明数据的“权属”，故企业应采取多种技术手段，对上述方式
所产生的数据保存好相关的数据收集链路证明，以备需要时能够自证数据来源。
27
而对于企业通过设备直接收集的非个人数据，此类数据来源于客观世界中，
通常并不像其他类型的数据有直接明确的主体，数据采集方通常认为无需向谁
获取授权，也不存在数据采集合法性的问题。而这也往往是企业容易忽略的问
题，因为这些数据的获取，多数均需要向相关的主管部门申请或报批，且往往
在数据采集的合法要求上，注意义务会更高，如收集该类数据时违反所属行业
的相关法律规定，则除了影响数据合法性外还可能承担相应法律责任。
例如，国家测绘地理信息局《关于规范卫星导航定位基准站数据密级划分
和管理的通知》规定，实时差分服务数据属于受控数据，采取用户审核注册的
方式提供服务，其中提供优于 1 米精度服务的，基准站数据中心管理部门审核
注册后应向省级以上测绘地理信息行政主管部门报备用户及使用目的等信息；
《测绘法》第八条规定外国的组织或个人在我国领域和我国管辖的其他海域从
事测绘活动，应当经国务院测绘地理信息主管部门会同军队测绘部门批准，并
遵守中华人民共和国有关法律、行政法规的规定，必须与我国有关部门或单位
合作进行，且不得涉及国家秘密和危害国家安全；高精地图的数据采集等测绘
活动须由具有导航电子地图资质的单位进行；国家自然资源部《关于加强自动
驾驶地图生产测试与应用管理的通知》规定自动驾驶地图的数据采集必须由导
航电子地图制作单位单独从事所涉及的测绘活动，汽车企业等合作方不能直接
参与测绘和数据采集环节；再如，《中华人民共和国气象法》规定国务院其他
有关部门和省、自治区、直辖市人民政府其他有关部门所属的气象台站及其他
从事气象探测的组织和个人，应当按照国家有关规定向国务院气象主管机构或
者省、自治区、直辖市气象主管机构汇交所获得的气象探测资料。根据以上列
28
举的相关规定，企业需要注意，应遵循自身所属行业的法律规范采集数据，否
则可能导致数据来源非法。
此外，组织拟通过交易获取的数据，应充分对拟交易数据资产进行尽职调
查，评估数据来源的合法性，避免因数据供方数据源污染导致自身权利损害.在
数据交易中对于无法判断数据来源真实性合法性的情况时，应尽可能要求对方
提供声明、承诺、保证等保障数据来源的合规性，并且在数据交易协议中尽可
能地详尽约定双方的权利义务，避免因违反数据交易协议导致数据资产价值实
现的风险不可控。
C. 个人信息数据来源合法性与个人信息确权授权机制
个人信息作为数据资产化中的重要数据要素，蕴藏着巨大的经济价值，几
乎绝大多数据资产中都包含着个人信息。2022 年 12 月国家正式发布的《关于构
建数据基础制度更好发挥数据要素作用的意见》中，明确强调“以习近平新时
代中国特色社会主义思想为指导，深入贯彻党的二十大精神，完整、准确、
全面贯彻新发展理念，加快构建新发展格局，坚持改革创新、系统谋划，以
维护国家数据安全、保护个人信息和商业秘密为前提”，并在意见中，多
次提出了要建立健全的“个人信息确权授权机制”。这意味着数据资产化
时，对包含着个人信息的数据资源，组织应有更高的注意义务。而个人信息
数据来源合法性这一法律问题上一直是备受各界关注的实务难点问题，也是本
章重点要分析的内容。
“同意”是个人信息来源合法性基础
对个人信息处理时，用户是否“同意”是个人信息处理者处理个人信息的
前提条件，也是评估“合法、正当、必要和诚信”基础原则中最为重要的问题。
29
在《民法典》前时代，基于用户“同意”处理个人信息处理是最显性的合法性
规则，也是当时最简单有效的实践。直到现在，大量明确具有法定义务或法定
职责的数据产品也仍然习惯于通过“同意”方式获取合法性基础，基于非同意
而构建合法性基础仍然需要一段时间的适应期。
但实践当中，大量的组织在该环节却难以获得用户的同意，用户通常只愿
意提供个人信息以便于产品和服务的使用，但却本能地拒绝同意组织使用所收
集的个人信息用于研发企业的数据产品，甚至将其投入市场交易以赚取利润，
毕竟用户并未有效从中获得直接或间接的经济效益。另一方面，根据法律法规
的规定，在未有合法性基础的情况下，企业也不得擅自处理个人信息，否则该
类数据产品即使投入市场也将面临负面的法律苛责，也无法通过相关部门对于
数据来源合法性的审查。
《民法典》第九百九十九条延伸规定了“为公共利益实施新闻报道、舆论
监督等行为的……可以合理使用个人信息”，第一千零三十五条规定了“但是
法律、行政法规另有规定的除外”以及“公开信息”和“维护公共利益或者该
自然人合法权益”情况下合理处理个人信息的合法性基础。《个人信息保护法》
出台又进一步扩大了合法性基础的考量，明确增加了包括订立合同、履行法定
职责等在内的 7 类合法性基础。这是《个人信息保护法》的重大创新，有力地
打破了以往完全依赖于“同意”机制获取数据处理合法性基础的桎梏，平衡和
经济效率、社会公平和个人保护之间的矛盾。
从《个人信息保护法》合法性基础的顺序编排及表达方式来看，不难得出
其极大地借鉴了 GDPR 第 6 条“处理的合法性”条款的结论。但相比较于 GDPR
第 6 条“处理的合法性”条款，我国《个人信息保护法》并没有借鉴该条下“（f)
30
数据处理者是为实现控制者或者第三方所追求的合法利益所必需……”的合法
性基础。在其范式下，企业可以基于研发企业数据产品或改善数据产品等原因，
而直接处理用户的个人信息，却无须获得用户的授权同意。
欧盟《通用数据保护条例》序言 (47)、(48) 和 (49)中将“防止欺诈”、
“直接的商业营销”、“集团内部管理”以及“网络和信息安全”四类处理行
为明确视为个人信息处理者的合法利益。2014 年 4 月 9 日，欧盟第 29 条工作组
发布的《关于第 95/46/EC 号指令第 7 条下数据控制者合法利益概念指引》将“执
行法律索赔”等列为了一项合法利益。然而，选择以“实现控制者所追求的合
法利益”作为合法性基础须实施必要的利益平衡评估，以确认其选择的合法利
益不会凌驾于更高位阶的合法利益之中。正如欧洲议会在 2021 年 3 月 25 日发
布的《关于 GDPR 实施两年后执行情况的评价报告》中所坦言：“合法利益经常
被滥用作为处理的法律依据”，兴许也正因为合法利益的确认是一项极高复杂
度的合规评估事项，也容易被聪明的市场主体滥用，我国《个人信息保护法》
并没有加以援引。
“知情告知”是授权同意的前提
根据我国目前的法律规定以及行业实践，个人信息的收集和使用以得到用
户同意授权为普遍性存在。对于单个的个人信息而言，用户是真正的控制者，
具有授权资格。企业经过协议许可拥有用户与个人信息相关的协议条款规定范
围内的使用权。但是，用户之所以会实施“同意”一定是在充分的知情权保障
条件达下达成的，否则同意的效力则可能视为无效。
我国《个人信息保护法》第十四条规定，基于个人同意处理个人信息的，
该同意应当由个人在充分知情的前提下自愿、明确作出。第四十四条另外规定，
31
个人对其个人信息的处理享有知情权、决定权，有权限制或者拒绝他人对其个
人信息进行处理；法律、行政法规另有规定的除外。因此，我国往往将知情权
和决定权合并予以考虑，知情权往往通过“告知”规则实施而得以保障，而决
定权往往通过拒绝同意、拒绝一揽子同意、撤回同意、删除权等措施而得以保
障。
《个人信息保护法》规定了知情权的基本范畴，包括（一）个人信息处理
者的名称或者姓名和联系方式；（二）个人信息的处理目的、处理方式，处理
的个人信息种类、保存期限；（三）个人行使本法规定权利的方式和程序；（四）
法律、行政法规规定应当告知的其他事项。当然，对于敏感类个人信息的处理，
可能还需要另行告知相应的影响及风险。因此，知情及同意不仅包括信息主体
对收集信息内容的知情，还包括对收集、使用的目的、方式和范围的知情及同
意。知情同意的质量，可以从信息处理者告知信息主体的“透明度”来衡量，
即一般理性用户在具体场景下，对信息处理主体处理特定信息的目的、方式和
范围知晓的清晰程度，以及作出意思表示的自主、具体、明确程度。2022 年 12
月正式发布的《关于构建数据基础制度更好发挥数据要素作用的意见》中明确
强调要建立健全个人信息数据确权授权机制。对承载个人信息的数据，推动数
据处理者按照个人授权范围依法依规采集、持有、托管和使用数据，规范对个
人信息的处理活动，不得采取“一揽子授权”、强制同意等方式过度收集个人
信息，促进个人信息合理利用。探索由受托者代表个人利益，监督市场主体对
个人信息数据进行采集、加工、使用的机制。对涉及国家安全的特殊个人信息
数据，可依法依规授权有关单位使用。
32
33
知情权模块 知情权内容
个人信息处理者
组织的名称和联
系方式
告知明确的个人信息处理者，以及个人如何联
系个人信息处理者。
处理的目的
解释个人信息处理者为什么使用个人信息主体
的个人信息并明确不同的目的，使用个人信息有很
多不同的原因,典型的目的可能包括营销、订单处理
和员工管理等。
处理的合法依据
解释个人信息处理者收集和使用个人信息主体
的个人信息和/或特殊类别数据所依赖的合法依据。
个人信息的接收
方或接收方类别
明确个人信息处理者与谁共享个人信息主体的
个人信息。
将个人信息传输
到任何第三国或
国际组织的详细
信息
如果个人信息处理者将他们的个人信息传输到
境外任何国家或组织，须履行必要的法定义务。
个人信息的
存储期限
个人信息处理者将存储个人信息的期限，如果
个人信息处理者没有特定的保留期，那么个人信息
处理者需要告诉个人信息主体个人信息处理者用于
决定保留他们信息期限的计算标准。
告诉个人信息主体，他们在个人信息处理者使
个人在处理方面
用其个人信息方面拥有哪些权利，例如查阅、副本、
享有的权利
更正/补充、删除、限制和数据可移植性。
个人信息主体可以随时撤回对个人信息处理的
撤回同意的权利
同意。
向监管机构
个人信息主体可以向监管机构投诉。
投诉的权利
说明个人信息处理者是仅根据自动处理（包括
自动化决策说明 特征分析）做出的决定，这些决定对个人有法律或
类似的重大影响。
当然，知情权并非绝对，存在如下例外情况，一是当有法律、行政法规规
定应当保密或者不需要告知的情形的，可以不向个人告知相关处理事项。二是
特定情况下可以实施事后告知，例如紧急情况下为保护自然人的生命健康和财
产安全无法及时向个人告知的，个人信息处理者可以在紧急情况消除后及时告
知。
但实践中面临知情-同意制度的难点是，通过互联网工具，如网站、APP、
小程序方式收集的个人信息，法律法规要求个人信息处理者履行知情同意原则，
但却未能明确何种方式才能有效证明组织确实已实施告知并取得了用户的同意。
而这将会影响到数据资产后续的会计确认以及交易流通，甚至也将影响数据资
产化、资本化的进程。如证监会目前针对涉及数据处理的拟上市企业，通常会
34
重点关注数据来源合法性的问题，此时个人信息授权链路将会关乎到企业上市
进程。
在实践中，组织只要能够证明用户首次进入（产品）时均会弹窗提示（该
界面是用户实施注册中不可绕过的交互，即可证明组织已履行该告知义务，而
不必证明“特定用户进入时点击了弹窗”。因此，出于该界面的证据留存考虑，
组织可以在产品发布后，第一时间通过电子存证或公证处公证等形式，完整保
存该界面，用以说明产品设计中，弹窗是必经流程，否则用户无法注册。另外，
组织也可以通过引入第三方签名服务方，对在线缔结协议的形式和内容进行固
定。
企业在产品研发和改善运营的同时，须实施必要的数据埋点设计。特别是：
1）弹窗点击环节（可生成特定 COOKIE 或信标，或者使用第三方 sdk 收集开发
者匿名设备标识符 VAID 和应用匿名设备标识符 AAID）；2）用户注册勾选隐私
政策时；3）用户点击登录产品的环节；4）重新同意环节。当实施数据埋点后，
若涉及到用户的否认，企业也可以提交服务器后台日志记录，用以证明特定用
户的点击记录，以此留存用户同意授权的痕迹。
另外，关于数据来源合法性的问题，从数据资产会计确认的角度，关于数
据权属的登记部门如何审查数据来源合法性问题，也应作为相关法律、政策、
标准文件需要关注的内容。