作者:金茂律师事务所 万波 律师 张月勤 律师助理
前言
2021年11月,在上海全面赋能数字化转型的背景之下,上海数据交易所正式揭牌成立,定位为数字经济时代实现“汇天下数据而通之、聚天下数据而用之”的关键平台型基础设施。面对当前数据交易、流通和跨境等方面的难题,上海数据交易所在制度创新和理论研究方面做出了进一步的探索,推出了全国首个数商体系、数据交易配套制度、全数字化数据交易系统、数据产品登记凭证和数据产品说明书等。
上海数据交易所确立了“不合格不挂牌,无场景不交易”的原则,并采用会员制度。数据产品的挂牌交易流程大致分为五个阶段,包括挂牌数据准备、合规评估、质量评估、系统注册及材料提交和挂牌完成等。
其中,数据合规评估阶段应当由律师事务所就拟交易数据的合规性进行评估,向挂牌单位出具《数据产品挂牌交易的合规性评估意见》,经由数据交易所审核通过后方可挂牌数据产品。
数据来源的合法性是数据交易合规评估中的一个重要风险控制要求。在数据挂牌前的合规评估中,必须着重审核数据交易产品的来源是否合法,主要包括审核数据的原始获取和交易是否都获得了充分的授权,并且是否存在在先协议限制等要点。
金茂于2022年成为上海数据交易所的签约数商,笔者也当选了上海市数商协会第一届理事会理事,笔者团队迄今已为“高速通”、“路径通”、“励销搜客宝”以及携程、银联商务等数据产品挂牌提供相关服务,基于为这些数据交易所挂牌的数据产品提供合规评估服务的经验,于本文中简要探讨数据来源合法性审查的要点。
一、数据产品合规的法律法规要求
数据来源的合法性是数据交易的一个重要风险控制要求。在数据挂牌前的合规审查中,必须着重审核数据交易产品的来源是否合法,主要包括审核数据的原始获取和交易是否都获得了充分的授权,并且是否存在在先协议限制等要点。
在国家立法层面,《数据安全法》规定:“任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。”
涉及到个人信息的数据产品交易则会面临更为严格的合法性审查。《个人信息保护法》规定在个人信息交易中,信息处理者应该遵守“告知-同意”原则,例如向个人信息主体告知数据接收方的名称或姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。同时,对个人信息处理的目的、方式、种类、存储的时间和地点、共享等内容进行处理利用需要获得个人的授权。如果违反了这些规定,将侵犯个人在个人信息处理活动中的权利,即应当认定该数据来源不合法。
从数据交易所的角度,对数据来源的合法性进行审查,是数据交易所的一项法定义务。《数据安全法》第三十三条规定:“从事数据交易中介服务的机构提供服务,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录”。
在地方立法层面,《上海市数据条例》进一步规定:“自然人、法人和非法人组织对其合法取得的数据,可以依法使用、加工。法律、行政法规另有规定或者当事人另有约定的除外。
二、上海数据交易所合规评估的实践
上海数据交易所根据法律法规的要求,为入库数商制定了一套交易指引及规范,其中涉及数据合规评估的规范及指引有《上海数据交易所数据产品合规评估指引(试行)》(以下简称“《合规评估指引》”)、《上海数据交易所数据交易合规管理规范(试行)》(以下简称“《合规管理规范》”)等。
根据上述指引及结合相关法规要求,在数据交易合规评估的实践中,需要根据数据产品所涉及数据的不同来源,诸如自行生产、公开数据收集、公共数据、授权运营、数据共享开放、数据交易等,就不同的数据来源设计相应的合规评价标准。另外,若数据产品涉及个人信息,则应当参考涉个人信息数据产品的相关合规评估指引。
根据上海数据交易所可交易数据产品说明书及相关规范指引中对数据来源的分类,数据来源主要分为公开收集、自行生产、协议获得、其他。下文将根据数据的不同来源,分类讨论合法性审查的要点。
三、数据挂牌前的数据来源合法性审查要点
(一)公开收集
公开收集数据主要包括两种方式,一种是通过共享开放途径获取开放数据,另一种是通过数据爬取等方式获取公开数据。开放数据是指任何人均有权获取并无条件使用的数据,例如政府依法开放的公共数据;而公开数据是指任何人都有权利访问,但只能在一定条件下获取并使用的数据。
开放数据的来源合法性不言自明,在评估时主要要审查是否存在从政府部门等第三方取得相关数据权益的情形,以及所收集的数据是否属于可以共享的、依法开放的公共数据,以此来保障收集开放数据的合法性。
而通过数据爬取等方式获取公开数据则需要进行重点评估。由于多数网站为了维持正常运营,都会限制或禁止爬取内容,因此公开收集数据的合法性存在天然的风险,进而对数据产品的合法性和可流通性产生影响,因此需要对数据爬取等方式的合规性进行严格评估。
目前,公开爬取数据的合法性在法律方面并没有明确规定,而在司法实践中也缺乏统一、简明的判例。因此,为了避免数据产品挂牌后出现数据采集合规纠纷,数据交易所通常会采用严格的审查方式来审核公开收集数据的合法性。在进行合规评估时,建议对数据爬取的合法性进行严格审查及整改。结合相关判例及上海市杨浦区人民检察院等部门发布的《企业数据合规指引》,建议的审查维度包括:
1. 爬虫软件本身及数据爬取行为的合规性
审查爬虫软件及爬取行为是否合规的要素包括:
1)审查被爬取网站是否具备Robots协议,爬虫软件是否遵守被爬取网站的Robots协议内容。
虽然Robots协议并未经标准化组织备案,也不是法律意义上的合同,只是互联网行业普遍遵守的规则,公认的行业准则,但在相关的案例中,爬虫软件是否遵守了Robots协议是法院审查爬取行为是否合法合规的重要因素之一。例如百度诉360不正当竞争纠纷案【(2013)一中民初字第2668号】中,法院认为,Robots协议是技术规范,并非法律意义上的协议;Robots协议系网站服务商或所有者在自行编写,属于单方宣示;无论他人爬虫是否遵守,Robots协议不是强制禁止访问的技术措施;Robots协议已经成为了一种国内外互联网行业内普遍通行、普遍遵守的技术规范;《自律公约》并非法院可以直接参照适用的法律法规或规章,但其反映和体现了行业内的公认商业道德和行为标准,法院对于《自律公约》所体现出的精神予以充分考虑。
另外,参照《网络数据安全管理条例(征求意见稿)》第十七条第二款,“自动化工具访问、收集数据违反法律、行政法规或者行业自律公约、影响网络服务正常功能,或者侵犯他人知识产权等合法权益的,数据处理者应当停止访问、收集数据行为并采取相应补救措施。”该款将行业自律公约与法律行政法规并列,设置为审查爬虫行为的准则之一。
2)爬取行为是否突破网站的防护措施,例如网站运营方设置的身份验证、权限设置、加密规则等。
突破网站防护措施爬取数据,避开或突破计算机信息系统的安全保护措施,未经许可进入计算机系统,可能被认定为《刑法》第二百八十五条所规定的非法侵入计算机信息系统罪,或第二百八十六条所规定的破坏计算机信息系统罪中的侵入和破坏行为。
3)爬取频率是否合理,是否给被爬取网站的运行造成过度负担,妨碍网站的正常运营。
参照《网络数据安全管理条例(征求意见稿)》第十七条第一款,“数据处理者在采自动化工具访问、收集数据时,应当评估对网络服务的性能、功能带来的影响,不得干扰网络服务的正常功能”及《数据安全管理办法(征求意见稿)》第十六条,“网络运营者采取自动化手段访问收集网站数据,不得妨碍网站正常运行;此类行为严重影响网站运行,如自动化访问收集流量超过网站日均流量三分之一,网站要求停止自动化访问收集时,应当停止”之规定,数据爬取收集流量不得超过网站日均流量的三分之一。
2. 爬取的数据来源及内容的合规性
审查爬取数据是否合规主要看爬取的数据来源是否为公开数据,数据中是否包含个人信息,是否存在侵犯知识产权的可能性等。
1)侵犯个人信息权益:
根据《个人信息保护法》的相关规定,不得未经个人同意授权,收集自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个身份的各种信息,或超范围过度收集个人信息,所爬取的个人信息涉及隐私的,还可能侵犯隐私权。
2)侵犯知识产权:
例如“网络爬虫非法抓取电子书”犯侵犯著作权罪案【(2020)京0108刑初237号】中,法院认为,鼎阅公司、直接负责的主管人员覃某某等12名被告人以营利为目的,未经著作权人许可,利用爬虫软件爬取并复制发行他人享有著作权的文字作品,情节特别严重,其行为均已构成侵犯著作权罪,应予惩处。
3. 爬取数据的用途的合规性
审查数据爬取用途的合规性主要关注数据爬取行为是否构成不正当竞争。主要包括:
1)爬取方与被爬取方之间是否存在竞争关系,如百度与大众点评不正当竞争纠纷案中【(2016)沪73 民终242 号】,法院认为,被告利用网络爬虫技术大量无偿获取竟争对手数据并用于同类或类似的网站、APP,对被抓取对象形成实质性替代,构成不正当竞争。
2)爬取行为是否会损害被爬取方的合法利益,如浙江蚂蚁小微金融服务集团股份有限公司等诉苏州朗动网络科技有限公司商业诋毁及不正当竞争纠纷案中【(2020)浙 01民终 4847号】,法院认为,被告爬取公共数据进行商业化利用的过程中,未尽必要注意义务导致原始数据主体合法权益受损,构成不正当竞争。
3)爬虫行为是否具有不正当性,即爬虫的技术细节对不正当竞争的影响,如北京微梦创科网络技术有限公司与云智联网络科技(北京)有限公司不正当竞争纠纷案中【(2017)京0108 民初24512号】,法院认为,被告未经许可利用爬虫技术抓取数据,无视被爬对象设置的Robots协议,绕过、破坏反爬措施,构成不正当竞争。
综上,尽管公开收集数据具有先天的合规劣势,但并非为立法及司法所完全禁止。若交易主体希望此类产品得以顺利挂牌,则应当注意爬取行为具备正当目的、爬取行为适度合理、并未严重损害网站运营,同时建立配套合规审查措施。
(二)自行生产
自行生产的数据是指,企业在经营、科研、生产等内部活动中所产生的数据,包括但不限于研发数据、生产运行数据、管理数据、运维数据以及业务服务数据等。该类数据的特点是不涉及外部收集行为,而是由交易主体自有的设备、软件或其他载体直接反馈出的数据,并且在经过一定的加工处理后,可以以数据包或API接口的形式进行数据交易,为其他企业的经营、研究提供数据支持。
举例来说,淘宝APP的日活跃量和活跃时间点等数据是该应用程序在运营过程中直接产生的数据,属于自行生产的数据。而消费数量、消费类型、消费区域等消费统计数据,则是淘宝直接收集消费者的消费信息后,再进行处理而产生的数据。因此,对于同一主体而言,数据处理的场景越复杂,其所获取的数据类型也可能会有所不同。
再以中国三大电信运营商的电信数据为例,下图为移动、联通及电信发布的2023年3月份的主要运营数据。该等数据就属于三大电信运营商在经营过程中自行生产的数据。
针对不同的数据类型,评估时要求提供的证明文件也是不同的,例如,针对生产数据,可能要求企业提供控制信息、工况状态、工艺参数、系统日志等;针对运营数据或管理数据,则要求企业提供设备信息、数据库模型、客户数据及运维日志等。
因该类数据的收集来源仅涉及企业自身,故自行生产的数据来源合规审查重点在于:数据来源是否独立、是否进行数据分级分类、数据存储的安全性是否有保障等要点。
1. 数据是否为独立来源
数据独立来源可分为数据生产的独立来源和数据应用的独立来源两种。
数据生产的独立来源指数据出自企业自身经营、科研和生产等活动,而非从第三方手中获取,也不涉及外部收集行为。
数据应用的独立来源指数据在产生后,能够独立于应用或软件程序,并不受加密手段限制。该类数据通过应用或软件程序内部收集和处理,对应的应用和软件程序有的企业是自行开发的,而多数企业则是通过定制化开发或直接购买第三方软件。因此,在定制化开发或购买软件过程中,企业应该能够独立掌握其内部收集的自行生产数据,而不需要第三方的授权、许可或解密。
如果数据缺乏独立来源,数据产品在进入交易市场后,将仍然受到第三方主体或第三方加密程序的限制。这将导致数据的所有权存在争议,从而影响数据产品的可交易性。
2. 数据分级
不同等级的数据,其数据交易时审查界限是不同的,这就要求交易主体在数据产生及收集阶段就要做好数据分级,以确保后续数据交易过程中数据来源合法。
根据《工业和信息化领域数据安全管理办法(试行)》第八条的规定,根据数据遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益等造成的危害程度,工业和信息化领域数据分为一般数据、重要数据和核心数据三级。同时第九条、第十条、第十一条分别详细阐述了各级别数据的定义。
《办法》概括性地将数据进行分类,同时其他法规及标准文件中针对不同领域内的数据分级作出了规定,例如《重要数据识别指南》(征求意见稿)、《基础电信企业数据分类分级方法》、《金融数据安全数据安全分级指南》等。
若挂牌主体在最初生产数据时并未做好数据分级分类的前置合规工作,则数据交易中的数据存储和数据转移就无法按照相应数据等级进行对应的合规审查,可能导致拟挂牌的数据产品存在相当的合规及流通风险。
3. 数据储存
《工业和信息化领域数据安全管理办法(试行)》规定,存储重要数据和核心数据的,应当采用校验技术、密码技术等措施进行安全存储,并实施数据容灾备份和存储介质安全管理,定期开展数据恢复测试。
综上,自行生产数据的特殊性要求在合规评估时更注重数据本身的合法性,而非像外部收集数据一样强调收集手段的合法性。在审查自行生产数据的来源合法性时,应更加关注数据的独立性、分级分类和存储安全等要素。
(三)直接采集
直接采集获取数据,包含经用户同意由用户自主上传或自动采集、经用户同意通过第三方组件采集以及通过设备直接采集三种方式。此类方式具有直接性,获取的数据通常最接近真实情况、最为原始、种类庞杂,范围包括用户注册信息、登录信息、个人生物信息、蓝牙信息、设备信息、日志信息、网络状态、第三方注册信息、第三方登录信息等数据,以及信号、地理、气候等特殊行业的数据。
1. 以上三种采集方式的共同点在于都需要重点审核用户授权
根据《个人信息保护法》第17条,数据处理者者在采集用户数据前,应当以显著方式、清晰易懂的语言真实、准确、完整地向用户告知:(1)采集者的姓名、联系方式;(2)采集以及处理目的和方式、处理的个人信息种类、保存期限;(3)个人行使本法规定权利的方式和程序等。此类告知通常以数据采集者的用户隐私政策、用户协议等方式予以呈现,合规评估时应当对以上条款予以关注。
另外,部分特殊类型数据在采集时应当具备特殊的形式要件。例如,根据《个人信息保护法》第28条规定,对于生物识别信息、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息以及不满十四周岁未成年人的个人信息的采集及处理必须获得用户的单独同意,若与缺乏该单独同意则应当认为授权不完善。再如《征信业管理条例》第14条第2款规定,征信机构若要采集个人的收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息,告知内容中还需包括提供该信息可能产生的不利后果,并获得用户的书面同意。
最后,针对企业信息的采集,虽然不如个人信息受到较强监管,但由于可能涉及商业秘密,评估是应当对是否签订保密协议及是否取得企业授权进行重点审查。
2. 通过第三方组件(SDK)采集
对于通过第三方SDK获取的数据,除了审查用户授权的完整性外,还需要审查交易主体对第三方组件的安全性控制。
根据GB/T 35273—2020《信息安全技术 个人信息安全规范》,对于此类情形,交易主体可通过以下方式实现对第三方组件的控制监管:
建立第三方产品或服务接入管理机制和工作流程,必要时应建立安全评估等机制设置接入条件;与第三方产品或服务提供者通过合同等形式明确双方的安全责任及实施的个人信息安全措施;向个人信息主体明确标识产品或服务由第三方提供;妥善留存平台第三方接入有关合同和管理记录,确保可供相关方查阅;要求第三方根据本标准相关要求向个人信息主体征得收集个人信息的授权同意,必要时核验其实现的方式;要求第三方产品或服务建立响应个人信息主体请求和投诉等的机制,以供个人信息主体查询、使用;监督第三方产品或服务提供者加强个人信息安全管理,发现第三方产品或服务没有落实安全管理要求和责任的,及时督促整改,必要时停止接入;产品或服务嵌入或接入第三方自动化工具(如代码、脚本、接口、算法模型、软件开发工具包、小程序等)的,宜采取以下措施:a) 开展技术检测确保其个人信息收集、使用行为符合约定要求;b) 对第三方嵌入或接入的自动化工具收集个人信息的行为进行审计,发现超出约定的行为,及时切断接入。
3. 设备直接采集
设备直接采集数据,是指可以使用科学技术直接采集的客观世界数据,如水文、气候和地理测绘数据等。这些数据通常没有特定的数据主体,也不涉及数据权益,因此数据采集也无需获得授权,只需通过一定的设备即可采集数据。
然而,需要注意的是,尽管这些数据的数据主体并不特定,但这并不意味着采集行为不受法律法规约束。相关数据所涉及的行业、国家利益以及交易主体的企业性质和资质等多方因素都有可能影响合规评估的结果。
例如,根据《外商投资准入特别管理措施(负面清单)》,禁止境外投资者投资大地测量、海洋测绘、测绘航空摄影、地面移动测量、行政区域界线测绘,禁止投资导航电子地图编制,禁止投资区域性的地质填图、矿产地质、地球物理、地球化学、水文地质、环境地质、地质灾害、遥感地质等调查。
根据《测绘法》第2条第2款规定,测绘是指“对自然地理要素或者地表人工设施的形状、大小、空间位置及其属性等进行测定、采集、表述,以及对获取的数据、信息、成果进行处理和提供的活动”。第8条则规定外国的组织或个人在我国领域和我国管辖的其他海域从事测绘活动,应当经国务院测绘地理信息主管部门会同军队测绘部门批准,并遵守中华人民共和国有关法律、行政法规的规定,且必须与我国有关部门或单位合作进行,且不得涉及国家秘密和危害国家安全。
对于智能网联汽车在运行、服务和道路测试过程中对车辆及周边道路设施空间坐标、影像、点云及其属性信息等测绘地理信息数据进行采集、存储、传输和处理的行为,自然资源部在《关于促进智能网联汽车发展维护测绘地理信息安全的通知》中明确其属于《中华人民共和国测绘法》规定的测绘活动,故也应当依照测绘法律法规政策进行规范和管理。
因此,如果数据产品的数据来源是由供方自行采集的测绘数据等数据,并且交易主体的股权结构中涉及境外资本,则评估时应特别关注。
综上所述,针对用户自主输入上传或同意采集的数据,需要重点审查用户授权的完整性和完备性;对于通过第三方SDK收集用户数据的情况,除了用户授权外,还需要审查交易主体是否对第三方SDK具有完整的内部控制制度;对于可以使用设备直接采集的数据,不能仅因其无特定数据主体而放松审核力度,应综合考虑国家利益、所涉行业、交易主体性质等多方因素来审查数据来源的合规性。
(四)间接获取
与公开收集、自行生产和直接采集相比,间接获取数据时,数据产品的交易主体更多地依赖第三方主体进行数据收集工作,交易主体通过数据交易或授权许可掌握源数据后进行数据产品的加工生产。由于该类数据来源涉及到他方数据主体权益、数据权属和数据流通等问题,再加上现行数据立法对数据权益规定环节的缺失,因此该类数据产品的数据交易合规评估也较为复杂。
对于此种数据来源,审核数据采购协议或数据授权许可协议的真实性、合法性是必须的。此外,还需要根据上述标准,穿透审查其所有“前手”数据来源的真实性和合法性,确保前手的每一手数据收集和交易都符合规定,避免数据产品挂牌交易后,企业受到其他权利方的权益请求。但考虑到数据极大的流通性,实践中可能无法对其所有前手按照严格的合规标准进行审查。因此,评估时可以折中采用数据前手供方向交易主体提供数据权益承诺的方式代替,但该种方式需要满足承诺的“连续性”,否则仍可能需要对未承诺前手进行合规审查。
针对数据提供方的数据权益承诺,除承诺不会侵犯第三方主体权益外,还需根据不同的数据来源进行不同内容的承诺。对于公开收集的数据,承诺的侧重点在于数据爬取或收集是否违反数据访问控制或robots协议,是否破坏收集网站的正常运行等。对于自行生产的数据,承诺的侧重点在于数据是否为数据提供方独立生产,其数据是否按要求进行存储及数据安全问题等。对于直接采集的数据,承诺的侧重点在于采集个人信息主体的充分授权、单独或书面同意,以及非个人信息是否属于国家禁止采集或限制采集信息等。对于间接获取的数据,承诺的侧重点在于其交易行为不会侵犯数据主体和前手主体的数据权益,且是在前手交易或授权范围内进行处分等。
(五)涉及个人信息的数据产品的特殊合规评估要求
以数据产品涉及的数据类型为标准,可以分为涉及个人信息数据产品和非涉及个人信息数据产品。
针对涉及个人信息数据产品中,个人信息能否交易的问题,根据相关法规及上海数据交易所的指引,将个人信息去标识化,切断逆向追诉个人途径,将信息转化为数据后,是可以进行交易的。
涉及个人信息的数据产品主要包括:公开收集的数据、自行生产(从个人信息主体直接采集)的数据和通过交易等流通方式间接获取的数据等,合规评估的要点如下:
1. 获取已公开的个人信息
根据《个人信息保护法》第13条、第27条,针对在合理范围内处理已公开的个人信息,不需取得个人同意,个人明确拒绝的除外。特别需要注意的是,即使是公开收集的个人信息数据,仍应当在已公开的合理范围内处理。
对个人权益有重大影响的,应当依照《个人信息保护法》的规定取得个人同意,并且评估数据处理是否侵犯名誉权等人格权。
2. 直接采集的个人信息
1)单独处理
根据《个人信息保护法》第13条、第14条、第17条、第29条、第30条,单独处理的情形下,数据产品包含直接采集的个人信息的,应判断供方是否取得个人的同意,涉及敏感个人信息的,判断该同意是否单独、具体、明确,法律另有规定的除外。
2)共同处理
根据《个人信息保护法》第20条,共同处理的情形下,应评估数据供方是否取得个人信息主体同意,尤其是关于共同处理的告知与同意,共同处理者之间关于个人信息处理行为的约定为内部约定。
3. 合法间接获得的数据
由于间接获取的个人信息是无法获得个人直接授权同意的,根据上海数据交易所的相关规定,仅仅基于间接获取的个人信息而生产的数据产品不得交易。
若间接获取的数据中包括个人信息的,则应当注意从共享、委托处理等具体获得或者处理类型判断其合法性基础。对于任何的间接获取形式的审查,均应当坚持直接性的审查原则,即应当追溯信息的直接来源者,对数据来源的合法性基础是否符合《个人信息保护法》的规定做穿透审核,对个人信息来源的合法性进行严格评估。
另外,根据《个人信息保护法》第13条、第17条,经过处理的个人信息,经过实质性加工和知识性投入形成的数据产品时,应当将数据产品需方的相关信息告知个人,包括:名称、姓名、联系方式、处理目的、方式和信息种类,并取得个人信息主体单独同意。
涉及个人信息的数据来源合法性审查中,除了依据《个人信息保护法》的同意、合理及最小化三个原则外,一些相关标准和规定也应当纳入作为审核依据,例如,《常见类型移动互联网应用程序必要个人信息范围》,《信息安全技术-个人信息安全规范》《信息安全技术-个人信息去标识化效果分级评估规范》《信息安全技术-移动互联网应用程序(APP)个人信息安全测评规范》《信息安全技术-个人信息处理中告知和同意的实施指南》等。
四、总结
数据产品场内交易是当前的热门话题,而数据来源本身的合法性是数据产品场内交易的基础和重中之重。如果数据来源不合法或不合规,则该数据产品的挂牌交易将无从谈起。在评估数据产品的合法性时,重点问题是数据“溯源”。在实践中,建议企业在启动数据挂牌合规评估之前,应建立内部数据来源区分和审查制度,从数据来源这一最初环节做好数据隔离和风险排除,以免前置合规的缺失对后续数据产品的形成、流通和获取收益造成障碍。