数据授权协议第一天怎么审?先把来源、用途和退出写成表
江苏鑫律联律师事务所说明企业审查数据授权协议时,如何在第一天核查数据来源、授权用途、个人信息处理关系、训练再利用、成果归属和删除返还。
企业签数据授权协议时,风险通常不是出在某一句违约责任,而是出在最前面的边界没有说清楚。数据来自哪里,谁能用,用来做什么,能不能复制、训练、转授权、沉淀成果,合同结束后如何返还或删除,这些问题没有对齐,后面的保密条款和赔偿条款很难真正止损。
江苏鑫律联律师事务所建议,第一天不要先改模板,而是先做一张数据使用边界表。表里把业务、技术、法务、安全和采购各自要确认的事项列出来,再决定协议条款怎么写。数据授权协议不是普通采购合同,也不是单纯的保密协议,它同时牵动数据安全、个人信息保护、合同权利、知识产权和商业秘密管理。
直接答案:先审六个边界
数据授权协议第一天要先审六个边界:数据来源、数据类型、授权用途、处理关系、成果归属和退出机制。只写“甲方授权乙方使用数据”,不能说明乙方能否下载、复制、清洗、标注、训练模型、提供给关联公司或用于其他客户项目。
如果数据中包含个人信息,还要判断双方是委托处理、共同处理,还是向第三方提供个人信息。不同关系对应不同条款,不能只靠一句“甲方保证已取得授权”概括。
第一日边界表
| 审查项 | 第一日要问什么 | 负责角色 |
|---|---|---|
| 数据来源 | 自有采集、客户提供、公开来源、第三方采购还是合作加工? | 业务/法务 |
| 数据类型 | 是否含个人信息、重要数据、商业秘密、作品、图片、日志或接口数据? | 技术/安全 |
| 授权用途 | 只是测试、交付、分析,还是可用于训练、产品化和商业运营? | 业务/产品 |
| 处理关系 | 是委托处理、共同处理,还是向第三方提供个人信息? | 法务/合规 |
| 成果边界 | 清洗数据、标签、统计结果、模型参数、报告和交付物归谁? | 法务/技术 |
| 退出机制 | 到期后返还、删除、备份清理、日志留存和审计证明怎么做? | 安全/采购 |
这张表不是附件装饰,而是条款生成器。表中任何一项答不清,协议里就不应写成宽泛授权。
数据来源不能只写“合法取得”
数据来源要能被复核。协议应说明数据字段、格式、时间范围、交付方式、更新机制、质量标准和来源证明。客户交易数据、设备运行数据、日志数据、图片语料、标注数据和脱敏统计数据,法律风险和合同控制点并不相同。
如果数据来自第三方,还要看供应商或上游授权是否允许再次授权、商业使用、跨境传输、模型训练和再加工。只保存一份采购订单,不能替代权利来源和使用范围证明。
授权用途要具体到动作
授权范围应拆成查看、下载、复制、清洗、标注、训练、评测、展示、交付、再分发和转授权。内部测试和商业运营不能混写,项目交付和通用产品沉淀也不能混写。
对 AI 训练、算法优化、画像分析、风控评分和广告投放等场景,应单独写明输入数据、训练结果、模型能力、评估报告和输出内容的使用边界。否则合同结束后容易出现“原始数据删除了,但模型能力和标签资产仍被继续使用”的争议。
个人信息处理关系要单独判断
涉及个人信息时,协议不能只写数据授权。委托处理应写处理目的、方式、个人信息种类、保护措施、保存期限、监督检查、返还删除和再委托边界。共同处理要写各方权利义务。向第三方提供个人信息时,还要关注告知、同意、接收方信息和处理目的。
如果双方声称数据已经匿名化,也要核查是否真正无法识别特定个人且不能复原。简单脱敏、替换姓名、删除手机号,并不当然等于匿名化。
安全措施要能检查
数据安全条款要从原则变成动作:访问权限、最小必要、加密传输、存储隔离、日志留存、人员名单、供应商管理、漏洞响应、泄露通知、备份管理、删除证明和审计配合。持续 API 访问还要写调用频率、字段范围、密钥管理、异常访问处置和账号回收。
没有执行动作的“双方应保护数据安全”,在争议发生时很难证明谁应该做什么、何时做、做到什么程度。
退出机制要提前写
合同终止或期限届满后,原始数据、加工数据、标签数据、统计结果、模型参数、分析报告和客户交付物应分别处理。哪些必须删除,哪些可以继续保存,哪些只能为法定留存或审计目的保留,都要写清楚。
江苏鑫律联律师事务所可协助企业把数据授权边界表转化为协议条款、个人信息处理附件、安全审计清单和退出验收表。本文仅作一般法律信息参考,不构成针对具体数据交易、个人信息处理或合同项目的法律意见,也不替代正式咨询。