前言
现今，越来越多的市场主体将数据资源加工、分析、整理，形成数据产品和服务（“大数据产品”）。与此同时，数据合规立法不断完善。国务院近期出台《网络数据安全管理条例》（将于2025年1月1日起施行），对现行有效的《个人信息保护法》《数据安全法》《网络安全法》等法律法规做了细化和补充。大数据产品提供者“点数成金”的同时，也应当关注并跟进数据合规相关法律要求，进一步提升合规管理要求。
大数据产品形态多样，例如信息核验类、精准营销类、信息报告类等。本系列文章将按照大数据产品形态，结合即将生效的《网络数据安全管理条例》（“《条例》”），围绕大数据产品提供者关心的问题，以问答形式梳理大数据产品实务中常见的数据合规问题并提供建议。本期就大数据产品中的信息核验类展开。
信息核验类大数据产品
信息核验类大数据产品整合多渠道数据源，主要用于核实和验证个人或企业的身份和特定信息。该产品应用场景普遍，涵盖金融、旅游、电商、游戏、物流、贸易、政务等领域。大数据产品的使用方（“大数据产品使用方”或“产品使用方”）主要使用信息核验类产品对其服务或管理对象进行身份认证和风控评估。例如，互联网平台在用户注册或登录使用平台时对用户进行姓名、手机号、身份证号等信息的多要素校验（实名认证）；银行等金融机构在开户、贷款审批、大额转账等场景下对客户身份和背景信息进行识别和尽职调查（KYC），核实和验证用户身份和其背景信息的真实性、进行风险评估。
信息核验类大数据产品的数据合规工作，需要重点把控“数据收集-数据加工和使用-数据输出”三个关键环节。
（一）数据收集环节
作为多渠道数据源信息的整合工具，信息核验类产品涉及从大数据产品提供方、大数据产品使用方和其他渠道收集数据。例如，为了提供用户身份校验服务，信息核验类大数据产品需要将大数据产品使用方所收集的用户姓名、身份证号、手机号码、人脸识别信息等个人信息，与从大数据产品提供方自身的其他经营活动中收集和产生的用户个人信息，或者从电信运营商、政务机关等第三方收集的用户个人信息进行一致性校验。

信息核验类产品在数据收集环节的合规要点有：

《条例》在上述要求的基础上，对网络数据处理者收集个人信息的义务做了细化与补充，主要包括：

对于数据收集环节的合规要求，实务中大数据产品提供方可能存在以下问题和困惑：
问题1：《条例》对个人信息收集的细化规定，信息核验类大数据产品如何落实？
答：信息的核验通常由被核验主体（例如个人或企业）向产品使用方发起，产品使用方收集个人信息等数据后，提供给大数据产品提供方进行核验（常见的个人信息收集和授权流程如下图）。

根据《条例》对个人信息收集的细化要求，一方面，大数据产品使用方应当履行“清单式”告知义务并取得被核验人的“单独同意”——获得被核验人的授权，同意大数据产品使用方收集个人信息并向大数据产品提供方提供、进行核验；另一方面，大数据产品提供方同样应当履行“清单式”告知义务和取得个人“单独同意”——获得被核验人的授权，同意大数据产品提供方将其已掌握的个人信息与大数据产品使用方提供的个人信息进行核验。
问题2：信息核验场景下大数据产品提供方与被核验人无直接交互，如何向被核验人获得授权、如何确认大数据产品使用方也已获得授权？
答：一方面，信息核验中涉及使用大数据产品提供方在其他业务场景中已收集和掌握的个人信息。大数据产品提供方需要在涉及个人信息收集的业务场景中，履行“集中公开展示”告知义务，即通过制定个人信息处理规则的方式向个人告知其将在依法获得个人单独授权的前提下，将业务中收集的个人信息用作信息核验的情况。
另一方面，大数据产品提供方需要通过合同等书面方式对产品使用方的数据收集行为合规提出要求，并对产品使用方获取个人授权的情况进行核查、验证，向产品使用方核查、验证被核验人的授权文件，以确认信息核验满足“清单式告知”和“单独同意”的要求。
为此，大数据产品提供方需要在与产品使用方的合同中约定如下要点：

问题3：信息核验产品如何满足《条例》中的“单独同意”要求？
答：信息核验产品涉及对敏感个人信息（例如身份核验中需要使用到个人的身份证件信息；风控评估中需要使用到个人的财务状况等信息）的处理，以及涉及单独的数据处理者将个人信息提供给另一单独的数据处理者（产品使用方将个人信息提供给产品提供方；产品提供方将核验结果返给产品使用方），从而应当依法取得被核验人的“单独同意”。按照《个人信息保护法》和《条例》等要求，大数据产品提供方和产品使用方均有义务获得被核验人的“单独同意”。
被核验人的“单独同意”，比较可行的是在信息核验类产品发起时，由大数据产品使用方向被核验人为自身及大数据产品提供方一并向被核验人获取。

《条例》对“单独同意”的要求，是指针对其个人信息进行特定处理而专门作出具体、明确的同意。因此，大数据产品使用方应当区别于一般个人信息处理规则或隐私政策，通过由被核验人线下单独签订的授权书获得“单独同意”，或者在互联网线上交互页面通过弹窗等显著方式向个人展示授权书，并设置个人主动点击同意等方式获得该等“单独同意”。
实践中的业务安排复杂多样，具体可以结合实际情况，参考国家标准《GB/T42572-2023信息安全技术个人信息处理中告知和同意的实施指南》第9.3条“单独同意的实施”，判断同意的形式是否符合要求。
（二）数据加工与使用环节
信息核验类产品中，大数据产品提供方需要对产品使用方提供的数据进行对比、分析等处理（“数据加工与使用”）。《条例》延续、重申了《个人信息保护法》等法律法规有关数据加工与使用的要求，主要包括：数据的加工与使用应当限于信息核验产品所需的必要范围，不得超出个人授权范围，符合与产品使用方的约定。此外，根据《条例》第16条特别规定，如网络数据处理者为国家机关、关键信息基础设施运营者提供服务，或者参与其他公共基础设施、公共服务系统建设、运行、维护的，未经委托方同意，不得访问、获取、留存、使用、泄露或者向他人提供网络数据，不得对网络数据进行关联分析。因此，如大数据产品的使用方为国家机关、关键信息基础设施运营者或者是公共基础设施、公共服务系统建设、运营、维护的委托方的，则大数据产品的提供方不得未经产品使用方同意使用数据。
对于“必要范围”的理解，实务中大数据产品提供方往往存在以下问题和困惑：
问题4：对于产品使用方提供的数据，大数据产品提供方可以用于商业营销或者大数据产品的模型训练吗？
答：对于产品使用方提供的数据，仅限于提供信息核验产品所需的必要范围内使用。对于“必要”，可以结合业务场景考虑。例如，为提供风险评估服务，大数据产品提供方对银行提供的借款人个人信息进行分析、对比，形成风险评估结果，应属“必要”；但在风险评估服务结束后再对借款人个人信息分析、画像，用作营销自身产品，或者将借款人个人信息“投喂”大模型，用作模型训练或其他产品研发的，则超出“必要”范围，大数据产品提供方应当向个人取得授权，或者对个人信息匿名化处理后再使用。
问题5：对于信息核验服务产生的服务成果（例如风险评估报告、核验结果），大数据产品提供方是否有权使用？
答：需要区分产品使用场景和服务成果类型。如果服务成果包含个人信息的，大数据产品提供方需要匿名化处理后再使用；如果服务成果包含公共数据[1]、重要数据[2]甚至国家核心数据[3]的，应当按照法律法规处理，不得用作其他用途。除上述情形外，大数据产品提供方使用服务成果，不得侵害商业秘密等合法权益、不得违反与产品使用方的约定；涉及为国家机关、关键信息基础设施运营者或者公共基础设施、公共服务系统建设、运营、维护方提供信息核验服务的，则大数据产品的提供方使用服务成果前应当征得产品使用方的同意。
大数据产品提供方可以在合法的范围内就服务成果的用途与产品使用方进行协商，在大数据产品合同中明确约定大数据产品提供方对服务成果享有的权利（例如，数据持有权、加工使用权等）。
（三）数据输出环节
信息核验产品中，大数据产品提供方需要向产品使用方输出核验结果。例如，向银行提供借款人风险评估结果；向互联网平台输出注册用户身份核验结果等。
大数据产品提供方在数据输出环节应当关注的要点有：

《条例》第12条在上述要求基础上，对数据提供做了细化和补充：

对于数据输出环节的合规要求，实务中大数据产品提供方可能存在以下问题和困惑：
问题6：《条例》有关数据提供的细化和补充，信息核验类大数据产品如何落实？
答：大数据产品提供方向产品使用方输出数据，应当关注以下要点：
与产品使用方签订大数据产品合同，明确所输出的数据成果用途、方式、范围，要求产品使用方对数据成果使用的合法合规性作出承诺，并约定数据提供方对数据成果合法合规使用的必要监督权；
甄别输出数据的类型，如果其中包含个人信息或重要数据的，大数据产品提供方应当记录处理情况并至少保存3年。
问题7：大数据产品提供方如何对产品使用方（作为数据接收方）“履行义务的情况进行监督”？
答：大数据产品提供方可以在与产品使用方签订的大数据产品合同中对使用方的数据使用行为提出合规要求，并对产品方式使用数据成果的情况进行定期回访、了解。产品合同需约定的要点有如下：
明确约定产品使用方使用信息核验产品的用途，不得超出约定使用、不得用于违法违规用途；
对产品使用方使用核验产品收集和产生的个人信息，产品使用方应当承担个人信息保护义务；
产品使用方违反上述约定的违约责任。
本期小结
不同业务形态的大数据产品有不同的数据处理安排和特点。信息核验产品中，大数据产品提供方需在与被核验人无直接业务交互的情况下，履行向被核验人“清单式”告知义务和取得“单独同意”，该等义务的履行需要大数据产品提供方和大数据产品使用方共同配合完成。下期文章中，我们将继续结合《条例》，分析精准营销类大数据产品的合规要点，涉及“自动化决策”“爬虫技术”等的合规要点，敬请期待。
注释：
[1]参考《中共中央办公厅国务院办公厅关于加快公共数据资源开发利用的意见》《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》，公共数据是指各级党政机关、企事业单位依法履职或提供公共服务过程中产生的公共数据。
[2]各地区、各部门正在制定重要数据目录和相关监管要求，大数据产品提供者应当持续关注相关地区、相关主管部门有关重要数据的监管要求和动态。
[3]国家核心数据是指，关系国家安全、国民经济命脉、重要民生、重大公共利益等的数据。
转载自北京市天元律师事务所 李晓华,郭云鹤