寓言
保管钥匙的人和拿钥匙开门的人
城北有一家档案代管公司,专门替企业客户保管档案。客户把文件送过来,签一份《代管协议》,约定档案怎么存放、谁能触碰、多久销毁。协议写得清清楚楚:代管公司可以接收、分类、上架、调取、销毁档案,但档案内容属于客户,代管公司不得另行使用。
代管公司新来了一位产品经理,翻了翻仓库里的档案,发现一个商业机会:这些档案里的行业数据,如果能做脱敏分析,可以产出一份很值钱的行业趋势报告。产品经理兴奋地去找法务,问能不能做。
法务翻开《代管协议》,逐条读了一遍,然后说:协议允许你处理这些数据——接收、存储、调取、销毁,每一步都是为了替客户保管。协议没有允许你使用这些数据——你不能把它拿来做分析、出报告、卖钱。处理和使用的边界,在这份协议里画得非常清楚。
产品经理不服气:我们替客户保管数据,顺手做个统计有什么关系?法务在会议室白板上画了两栏。左边一栏写「处理」,下面是:接收、分类、存储、调取、销毁——每一项都是客户指令下的操作。右边一栏写「使用」,下面是:分析、聚合、建模、商业化、发布——每一项都是代管公司自己的目的。两栏之间画了一条粗线。
法务解释说:DPA 规定的是你可以对数据做什么操作、在什么安全标准下操作、出了事谁负责。它是一套操作边界。数据使用权规定的是你做这些操作是为了谁的目的——是为了客户委托你保管,还是为了你自己开发产品。后者需要客户另外授权。
产品经理明白了。DPA 是保管钥匙的条件——你可以打开库房,整理货架,但不能拿货物出去卖。数据使用权是你能不能拿东西出去用的授权——它通常是单独谈判的条款,不出现在标准 DPA 模板里。
后来代管公司为有分析需求的客户单独出了一份《数据使用授权附录》,愿意开放使用权的客户另外签,不愿意的就只走标准 DPA 流程。产品路线图也被分成了两块:一块是 DPA 范围内的托管服务,一块是需要使用授权的增值分析服务。
法务在年底合规培训上讲了一句话:有钥匙和能用东西是两回事。保管协议管的是钥匙,使用授权管的是东西本身。