数字化时代，企业应如何对数据供应商开展尽职调查？

扫描分享

本文共字，预计阅读时间。

数字化时代，数据是重要的生产要素，而企业应如何选择数据供应商，以及如何保障业务合作的合法有效、风险可控，成为棘手的现实难题。

特别是反欺诈、大数据风控等领域，供应商的数据污染将导致决策失效。如某放贷公司故意将正常履约用户标记为逾期用户，并将相应数据传输至第三方数据服务公司。当其他放贷公司查询第三方数据服务公司时，发现该用户为逾期用户而因此拒贷。对于借款用户而言，其除了在上述放贷公司能够续借成功外，在其他平台均被拒贷。对于第三方数据服务公司而言，其接受了标记错误的数据且向其客户提供查询服务将导致其客户决策失效并蒙受直接或间接的经济损失。并且，由于大数据自动决策（风控黑箱）日益成熟，目前的金融机构逐渐开始依赖第三方数据服务公司的风控数据服务（金融机构的征信数据并不能完全反映用户的真实信用状况，部分用户在非金融机构的多头借贷情况严重），且数据服务公司的服务输出更多以评分或评级的方式提供给其客户，导致在整个数据流里，数据污染问题难以稽查以及更正成本较高。

因此，对于企业而言，其不仅要对重要合作的数据供应商开展尽职调查，还要追溯数据供应商的数据来源以及其上游数据供应商的相关情况（数据生命周期）。

再以短信营销公司的手机号码数据问题为例。通过公开信息获取手机号码的一般方式为：根据《电信网码号资源管理办法》及其附件《电信网码号资源分类管理目录》，我国电话号码为11位，其中各段有不同的编码方式，前3位为移动通信网号(MAC)，第4-7位为归属位置识别码(H0)，第8-11位为用户号码。我国移动通信网号用于区分三大运营商，归属位置识别码按照地域进行分配，用户号码则随机生成。基于电话号码编制规则，电话号码段获取具体过程如下:(1)MAC为网络公开信息，通过公开检索即可获得，并能区分出运营商;(2)H0也为公开信息，通过公开检索可获得所有号段及归属位置识别码;(3)用户号码可通过序列号段进行补充。如已知MAC为137，四位H04509，即可自动序列生成13745090000、13745090001、13745090002........13745099999，共10,000个手机号码。

业内普遍的手机号码数据获取方式包括算法随机生成、公共网络爬取、脱敏数据批量采购，但也存在例如通讯录越权爬取、黑客攻击、内部员工泄露等以及相关黑灰产等，且由于合规路径获取数据的成本较高，导致业内存在大量违法交易/交换与手机号码相关的公民个人信息。如企业明知数据供应商的数据来源违法依然非法获取/购买的，则将涉嫌构成侵犯公民个人信息罪或掩饰、隐瞒犯罪所得罪。且即使企业不明知上述情形，但经黑灰产多次转手的数据一般污染严重，如为提高卖价，往数据里添加大量假数据以增加数量并使其混淆无法区分。

但不管如何，就目前的法律环境与市场竞争而言，企业无法做到绝对的数据合规，我们只能基于不同的业务场景，在商业利益与合规成本间需求相对优解，并对可预期的法律风险进行动态控制与防范。

《数据供应商尽职调查清单》示例：

网络安全一般义务

企业是否制定符合《网络安全法》的网络安全制度、落实网络安全负责人以及相应执行情况
网络安全相关技术措施（包括内部以及外部采购）
网络日志监控并至少留存六个月的相关情况
数据分类分级管理
安全应急预案
产品/服务是否符合国标的强制性要求
是否为其产品、服务持续提供安全维护（包括内部以及外部采购）
是否通过等保，等保等级是否与企业业务/产品相适应
数据来源是否合法合规（溯及数据最上游）
数据加密技术措施及处理情况
保险合作情况
是否有任何网络安全以及数据方面的不良记录（刑事立案、行政处罚等）

网络安全特别义务（关键信息基础设施运营者）

确保支持业务稳定、持续运行的性能（关键信息基础设施“三同步”原则：同步规划、同步建设、同步使用）
设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查
网络安全相关技术措施（包括内部以及外部采购）
网络日志监控并至少留存六个月的相关情况
数据分类分级管理
应急预案
定期进行安全教育，技术培训和技能考核
重要系统和数据库容灾备份
采购产品和服务，通过国家安全审查，签订安全保密协议
每年对网络安全和风险进行一次检测评估，并将结果和改进报送相关部门
个人数据和重要数据境内存储
保险合作情况
是否有任何网络安全以及数据方面的不良记录（刑事立案、行政处罚等）

合作前数据合规尽调

绘制双向数据流转图（数据全生命周期），包括企业与数据供应商间的数据流情况，以及数据供应商的数据流情况
数据流图表所涉及的数据应包括存储在服务器、网络、第三方数据中心以及云、办公设备(台式机、笔记本电脑、U 盘、移动硬盘、手机以及其他设备)，联网设备以及工业控制系统中的数据等任何与公司业务相关的数据；
区分数据合作中的个人信息、敏感个人信息以及其他涉及知识产权、商业秘密等重要数据；
与数据供应商的合作涉及开放访问的系统权限，权限范围与级别等
与数据供应商的合作与公司生效的隐私政策以及用户协议是否冲突
与数据供应商的合作是否违反任何适用的法律法规或部门规章
数据业务合作合同的相关权利义务安排

合作中数据合规尽调

合作前绘制的双向数据流转图是否真实有效执行
企业的数据收集使用的合规情况
数据供应商的数据收集使用的合规情况
数据处理后是否无法识别特定个人且不能复原，是否存在可反向识别或复原公民个人信息并使用上述信息的情形
数据授权是否符合三重授权原则
是否存在数据供应商的转授权情形
是否存在将数据用于未经授权的用途的情形
是否存在任一方可单方解除合同的情形
保密义务履行情况

对数据业务合作合同尽调的重点审查内容：

对数据库的合同保护及相关法律保护（版权、商业秘密或其他权益）
数据的所有权（基础数据的所有权人、利用获得授权的数据得出的新数据或其他衍生作品的所有权等）
授权许可（授权范围、权利限制、使用用途、转授权、竞争对手排除、数据合并限制以及其他权利义务等）
匿名化（合作仅限于经匿名化处理的数据、严禁反向识别或复原公民个人信息以及严禁使用上述信息、严禁将数据用于未经授权的用途以及其他权利义务等）
保密责任（信息披露限制、安全保密措施要求、涉及转授权的，则要求有权访问数据库或获取数据的第三方，应遵守与本数据业务合作同等的保密义务）
数据水印（约定可通过增加伪数据、不可见字符、可替换数据、单一分发源数据等方式，对数据流进行追溯）
单方解除权
费用（结算方式、价格保护）
审计（指定、时间、次数、费用承担）
保证条款
免责条款
违约责任