数治长文 | 企业数据资产入表合规问题拆解和举例

“入表”是会计核算的通俗叫法,会计准则又属于国家社会规范的重要组成部分,因此数据资产的合规化使用路径问题是我国数字资源价值挖掘和实现的关键。

企业数据资产入表合规问题拆解和举例
出处:企业数据资产入表合规指引(2024)

2023 年 8 月 22 日,财政部《企业数据资源相关会计处理暂行规定》全文正式发布,自 2024 年 1 月 1 日起施行。2024 年被称为数据资产入表元年,在中国数字经济发展中将占有里程碑地位。2024 年度伊始,各行业越来越多的企业将所持有的数据资源确认为资产并计入资产负债表,争做本行业、本地区的数据资产入表“第一单”,各种促进数据资产入表的举措也在迅速落地。而对于数据资产入表后的金融等创新利用,也在不断地实践中。

“入表”是会计核算的通俗叫法,会计准则又属于国家社会规范的重要组成部分,因此数据资产的合规化使用路径问题是我国数字资源价值挖掘和实现的关键。从市场主体角度,与传统资产类型相比,数据资产具有依托性、衍生性、易变性、可复制、可加工、可共享等特性,数据资产合规入表将推动公司价值的驱动逻辑发生根本性变化。

一、数据资产入表的底层逻辑

《暂行规定》的出台无疑是一件对企业具有重要和深远意义的大事,其时代背景是随着大数据等信息技术、互联网等基础设施的不断演进,数字经济和产业得到飞速发展,并持续推动生产方式、生活方式和社会治理方式的深入变革,数字产业化和产业数字化日趋成为新技术、新业态、新模式发展的新动力。

企业会计准则是会计领域的一项基础制度安排,制定数据资产入表《暂行规定》是贯彻落实党中央、国务院关于发展数字经济的决策部署的具体举措,也是以专门规定规范企业数据资源相关会计处理发挥会计基础作用的重要一步。推进 企业数据资产入表不是最终目的,但是数据资产入表将促进中国企业数字化转 型,主动拥抱数字经济,可谓牵一发而动全身。

鉴于数据资产入表是一个全新的探索,因为数据本身特殊性而产生的很多问题尚存在不同观点,也没有域外的丰富经验可以借鉴,因此数据资产入表需要一定的探索时间,同时对数据资产入表基础上的金融化利用也存在一些风险的担忧。

对于这些问题,我们认为核心关键是如何确认数据资产的应用场景和发挥价值以及数据交易真实可信可追溯和验证、合规确权、成本计量可靠,如果数据资产经得住这些维度的推敲,则入表本身和传统资产的入表没有本质区别;而在此底层资产基础的金融化利用则是水到渠成,相应的也能够经得住推敲,且能够将数据资源的流通利用形成闭环。

实现这些目标,需要制度设计+技术方案+法律合规三位一体的努力,需要加快数据权属的立法等制度设计,确保管理层面有依据;需要通过区块链记录交易和交易的价格、通过技术手段验证数据资源的流通可信,做到技术层面有工具;需要做好数据合规确权工作,确保法律层面有证据。

在现行企业会计准则的逻辑下,数据资产入表有两条确权路径:一是证明企业合法拥有拟入表的数据资源,但这在数据权属制度缺失的当下有一定困难;二是证明企业合法控制拟入表的数据资源,系当前数据资产入表的可行路径,但是与企业数据合规密切相关。

二、数据资产入表涉及的合规问题

数据资产入表需以数据合规基础上的确权为基础和前提。也即,在数据资产入表前,无论企业自身或通过中介机构,需对拟入表数据资源进行合规性评估,或称其为入表合规,其与企业数据合规的关系我们认为可做如下理解:

首先,企业数据合规是一段时间内的动态概念,指在企业生产经营过程中一切与数据有关的行为活动均需符合法律法规的要求,而入表合规是企业数据合规中某一时点上的静态判断,指在企业进行数据资产入表时对拟入表数据资源进行的合规性评估。

其次,企业数据合规是入表合规的事实基础和判断依据,入表合规本质上是对数据资产入表这一时点之前企业数据合规的总结和确认,在数据资产入表前如果没有落实企业数据合规,自然也就不存在入表合规。

再次,入表合规系事实判断,其在特定时点下不能改变和弥补,若对某一数据资源的入表合规作出否定性评价,则只能通过事后企业数据合规的完善来改变其事实前提。

例如,一企业提供云服务,在未经授权的情况下即擅自备份客户储存在云端的数据,在对其进行处理加工后形成数据产品,并拟将相关数据产品入表。此时该数据产品的入表合规性显然是否定的,这是由企业在利用相关数据时不符合企业数据合规要求所造成,在这一时点,入表合规的否定评价已成定局,无法改变。但倘若该企业事后获得了相关数据主体的授权与追认,弥补了相关数据在利用时的不合规瑕疵,此时若再次对相关数据产品做入表合规评估,则会由于事实前提的改变而获得肯定性评价,符合数据资产入表“合法拥有或控制”的要求。

最后,我们认为,企业数据合规主要可以分为数据来源合规、数据处理合规、数据经营合规、数据管理合规,但具体到企业数据资产入表阶段,最应当关注的是数据产品的数据来源合规与数据处理合规两部分。

1. 数据来源合规

目前,企业获取数据的方式主要有以下几种:自行生产、公开收集、直接收集、间接获取等,需要根据不同的收集方式及应用场景,具体认定相关数据来源的合法合规性。

1. 1 自行生产

企业自行生产的数据,即企业在日常经营、科研、生产等活动中产生并收集的数据,如 APP 的日常活跃量数据、企业生产线上的测试数据等。在此种情形下,由于企业获取数据的过程中不涉及外部收集,故对相关数据的来源合规性进行审查时,可以相对弱化对数据收集手段的审查。但应注意,企业应在数据的产生和收集阶段按照法律规定做好数据分类分级,并对不同种类、不同等级的数据采取不同的存储措施,实施重要数据加密存储、灾容备份和存储介质安全管理等措施。

1.2 公开收集

公开收集系指企业通过爬虫、RPA 等技术手段,采集已公开的信息。此种情形下,在审查数据来源合规性时,应重点审查以下方面:

(1) 数据采集不得危害国家安全、公共利益。例如,企业不得采集受监管的数据,包括重要数据、核心数据、国家秘密、情报信息等;企业在采集数据时不得侵入国家事务、国防建设、尖端科学技术领域计算机系统;企业不得非法侵入其他特定组织的计算机系统;企业不得在未经授权的情况下侵入国家关键信息基础设施采集数据。
(2) 数据采集方式需合法、正当。例如,在使用爬虫采集公开信息时,企业不能违反目标网站的 Robots 协议或突破其设置的反爬取措施爬取数据;企业的数据抓取行为不得干扰目标网站的正常运行;若拟采集的公开数据涉及其他企业商业秘密的,需尊重信息主体的意愿,获得企业的授权同意。
(3) 数据采集不得损害个人的合法权益,收集和处理个人应具备合法性基础。
(4) 数据采集的目的应合法正当,不得侵犯他人知识产权、不得涉及不正当竞争。

1.3 直接采集

直接采集系企业通过用户自主提供或通过自由设备收集的数据。

(1) 通过用户自主提供数据的,用户对数据的授权应当完整。例如以APP、小程序、信息表单等方式收集用户收据的,需要在隐私协议或告知说明中明确收集数据的种类、处理方式及目的等,并获取用户的明示同意。以此种方式采集数据的,应重点关注以下内容:

  • 采集的数据涉及个人信息的,需满足个人信息采集的合法性基础;
  • 采集的数据涉及未满十四周岁未成年人的,需取得其监护人的自愿、明确同意;
  • 采集的个人信息数据敏感个人信息的,需取得单独同意;
  • 采集的数据涉及企业商业秘密的,应取得企业的明示授权同意。

(2) 通过自有设备采集数据的,应重点关注以下内容:

  • 通过委托/租用/购买的第三方设备或自有设备采集数据的,均应确保设备的安全性及数据安全保护能力;
  • 收集特殊领域数据的,需具备相关资质,例如收集道路信息的,可能需要具有测绘资质;
  • 收集的信息涉及个人信息的,应对个人信息进行匿名化处理,或具备其他个人信息采集的合法性基础。

1.4 间接获取

间接获取系指通过协议、共享等方式获取相关数据,从交易渠道上看,可以分为场内交易和场外交易。场内交易即在各地数据交易所内进行交易,目前,大部分数交所均要求数据产品提供方对数据产品进行合规性评估。以上海数据交易所为例,数据产品需通过第三方专业机构的实质审核及数交所的形式审查 后方能挂牌交易。

场外交易的情况下,目前除征信行业等特殊监管行业外,并无强制审查拟交易数据的要求,但对于数据需方来说,若拟将购入的数据确认 为数据资产,应确保其对相关数据的权利不存在瑕疵。

无论场内交易还是场外交易,若数据需方拟将购入数据产品确认为数据资产,均应重点关注以下内容:

  • 数据供方的数据来源是否合法、其处理与交易相关数据是否具有相关授权;
  • 数据本身能否进行交易,如核心数据、国家秘密、情报信息、个人生物识别信息原则上不允许交易;
  • 涉及重要数据的,数据供方是否取得相关部门的同意或许可,例如,全国范围内二十年以上的气象数据具有一定的敏感性,原则上企业只能从国家气象局获得该数据;
  • 特殊需求场景下数据供方是否具有相关资质,例如,金融机构获取个人信用信息用于征信业务的,数据供方一般需为持牌征信机构。

此外,企业如果是数据的受托处理者的,根据《个人信息保护法》,受托人应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息;委托合同不生效、无效、被撤销或者终止的,受托人应当将个人信息返 还个人信息处理者或者予以删除,不得保留。未经个人信息处理者同意,受托 人不得转委托他人处理个人信息。非个人数据的委托处理,亦应遵循类似要求。

2. 数据处理合规

企业处理数据的一般性合规要求为:合法、正当、必要、保障数据主体权利 。具体来讲,应重点关注以下方面:

2.1 数据处理符合授权范围

企业处理数据的范围应当合理,处理目的应当合法、正当。企业进行数据处理的范围应为数据主体授权范围和协议约定范围,或其公示的使用规则中所承诺的数据处理范围。企业不得将收集的数据用于非法目的,不得使用非法手段或以非法形式使用数据。若超出前述范围处理数据,则可能构成民事违约和侵权、行政违法,经企业处理产生的数据产品等也会存在权利瑕疵。

2.2 数据处理行为分类分级管理

企业应建立数据分类分级管理体系,在处理不同类型的数据时,采用相应程度的行为规范和管理制度。尤其是当企业处理的数据涉及个人信息、重要数据、核心数据时,应确保处理行为符合相关规定。例如,企业在处理重要数据、核心数据时,相关数据应存储在境内,非经批准不得向境外提供;企业处理涉及个人信息的数据时,应满足《个人信息保护法》第 13 条所规定的合法性基础。

此外,《网络安全法》第 21 条规定,“网络运营者应当采取数据分类、重要数据备份和加密等措施”,也即企业应对所存储的数据按照分级分类的原则,选择安全性能、防护级别与安全等级相匹配的存储载体对数据进行存储和管理,对于国家规定的重要数据、核心数据应采取加密存储措施。

2.3 建立数据处理配套安全机制

企业在处理数据时,除应符合上述要求外,还应履行《网络安全法》《数据安全法》及相关法律法规项下对于企业的整体义务。

例如,企业在数据处理的过程中应采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性;企业应建立健全全流程数据安全管理制度,制定内部安全管理制度和操作规程确定网络安全负责人,落实网络安全保护责任;建立用户信息保护制度、网络信息安全投诉、举报制度;组织开展数据安全教育培训。

此外,企业还应对数据采取加密、访问控制及风险处置措施,遵循线下法律法规对于数据安全处理的要求。

三、入表前数据治理合规核查

数据确权问题在根本上无法回避。企业在根据《暂行规定》以历史成本将数据资源记入资产负债表时,并无法定要求其需明确其为何种数据权属,只要企业认为合法拥有,确信是合理合法使用即可入账。但是在入表后其财务报告能否被审计机构认可,以及在数据资产后续的金融应用时能否被资产评估机构和金融机构认可,必然会遇到“合法拥有或控制”的确认问题,不可避免涉及数据权属问题。在目前“数据二十条”政策性文件初步形成三权分置的思路下,是否能和如何判断和确认是否形成三权中某一种权利,权利是否有瑕疵,在实践中将是非常谨慎复杂的问题。

“确权”的过程中除了对权利性质进行判断,还涉及企业数据治理的合规问题,企业在进行数据资产入表前可以参照下图对自身的数据治理体系进行初步评估,具体事项还可参照上文提及的企业数据资产入表涉及的合规问题。

1. 数据经营合规性审查

数据经营合规性审查着眼于企业在数据处理活动中整体的合规性,以确保企业在数据领域的经营业务符合法律法规的要求。监管部门对部分行业的企业在处理特定数据时具有强制性、法定性的要求、门槛及前提,以防范企业违规处理和数据安全问题的产生。依据《数据安全法》第三十四条的规定“法律、行政法规规定提供数据处理相关服务应当取得行政许可的,服务提供者应当依法取得许可。”

因此,企业应明确自身的数据收集、处理等行为是否需要相应特殊资质、许可或备案。如《中华人民共和国电信条例(2016 修订)》规定经营电信业务,必须取得国务院信息产业主管部门或者省、自治区、直辖市电信管理机构颁发的电信业务经营许可证,例如 EDI 许可证、ICP 许可证等;《中华人民共和国气象法(2016 修正)》规定从事气象探测的组织和个人,应当按照国家有关规定向国务院气主管机构或者省、自治区、直辖市气象主管机构汇交所获得的气象探测资料。

此外,企业应定期审查自身经营范围是否存在监管部门新的资质要求、许可或备案,紧跟相关法律法规和政策文件的动态,以确保其数据处理活动始终符合法律法规的要求。

2. 数据来源合规性审查

数据来源的合规性审查是数据治理合规性的重点问题。企业对数据来源的各种渠道均需进行评估分析,穿透审查数据来源并留存相关审查记录。

  • 对于从间接获取的数据,需要求数据提供者提供相应合规证明、出具承诺或以通过合同方式尽可能约定相关权利,确保数据来源合法可追溯;
  • 对于直接采集的数据, 应在数据主体的授权或协议范围内处理数据,不得超过协议约定的范畴;对于自行生产的数据,应确保不存在其他利益相关方,具有数据生产全流程的有效证明;
  • 对于公开收集的数据,企业应确保采集的手段、方式、内容合法合规,未损害其他方的利益、公共利益、商业秘密或违反行业惯例、商业道德等。

3. 数据处理合规性审查

数据处理的合规性审查关注企业数据收集后内部处理阶段的行为,包括存储、使用、加工、传输、提供、公开等。一方面,企业数据处理的合规性首先应当遵循现行法律法规的规定,依据《数据安全法》第八条的规定,“开展数据处理活动,应当遵守法律、法规,尊重社会公德和伦理,遵守商业道德和职业道德,诚实守信,履行数据安全保护义务,承担社会责任,不得危害国家安全、公共利益,不得损害个人、组织的合法权益。”对于企业数据的处理,现行法律法规仅进行了原则性的规定,但目前实践中一般要求企业应当履行数据安全保护义务,采取必要的安全保障措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力,包括数据加密、身份验证、访问控制等手段。

另一方面,依据《数据安全法》第五十一条的规定“开展数据处理活动排除、限制竞争,或者损害个人、组织合法权益的,依照有关法律、行政法规的规定处罚。”《数据安全法》第五十二条“违反本法规定,给他人造成损害的,依法承担民事责任。”企业数据处理应当遵循协议、授权书或其他在先法律文件的要求,对于非自行生产的数据,企业对数据处理的范围应限于协议约定的范围及方式,或其公示的使用规则承诺的数据处理要求。

4. 数据管理的合规性审查

现行数据领域“三驾马车”对企业的数据管理提出了明确要求。

  • 《数据安全法》第二十七条要求企业开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行数据安全保护义务;
  • 《网络安全法》第十条、第二十一条、第二十五条要求网络运营者建立完善的网络运营保障体系,制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任,制定网络安全事件应急预案,保护网络能够安全、平稳运行而不受外部的干扰和破坏;
  • 《个人信息保护法》第五十一条规定作为个人信息处理者的企业应制定内部管理制度和操作规程、对个人信息实行分类管理、采取相应的加密及去标识化等安全技术措施、合理确定个人信息处理的操作权限、定期对从业人员进行安全教育和培训、制定并组织实施个人信息安全事件应急预案、定期对其处理个人信息情况进行合规审计、事前进行个人信息保护影响评估等。

5. 数据应用场景的合规性评估

数据的价值在流通利用的过程中体现,但数据在流通利用中存在法律法规等的限制,包括但不限于:第一,主体资格限制,如未获得甲级测绘资质的企业不得持有高精地图数据;第二,地域限制,如未经法定程序,不得向境外提供个人信息或重要数据;第三,行业限制,如未取得征信牌照的企业不得在征信业务中向银行提供的信用信息等。

因此,企业数据资产入表需对数据资源的流通应用场景进行评估,包括数据资源是内部使用或外部使用、数据资源是否对外提供或销售、数据资源对外提供的下游使用场景、数据资源使用场景是否合法合规、数据资源是否涉及跨境、数据资源应用场景是否能够为企业带来利益等。

由于企业在数据资产入表过程中的前期准备涉及各个方面,需依据现行法律法规逐一确认企业数据处理行为及数据资源的合法合规性,未来企业在将数据资产入表时,有必要自行或委托第三方对数据资源开展法律尽调。

四、数据产品或服务入表合规举例

企业将持有的数据资源进行一定程度的加工,形成可对外出售或提供服务的数据产品,再以数据产品的形式入表。国内在众多数据交易所设立后,数据产品交易依交易场所可分为场内和场外交易,拟入表的数据产品亦可基于此分为场内挂牌数据产品和场外不挂牌数据产品。

数据产品场外交易的情况在目前数据交易总量中占较大比例,企业可以将符合《暂行规定》要求的自行形成未经挂牌的数据产品确认为数据资产,并计入资产负债表中。也有不少企业选择将拟入表数据资源以数据产品的形式在数据交易所挂牌登记,同时将数据产品确认为数据资产,进而计入企业的资产负债表中,这也即上海数据交易所关于数据资产入表“数据资源化-资源产品化- 产品资产化”的思路:

数据产品是否挂牌并非入表的必须条件,但在场内数据交易场所挂牌成为不少企业的选择,因为场内交易多数强制要求对数据产品进行合规评估,以上海数据交易所为例,秉承着“不合规不挂牌,无场景不交易”的原则,其强制要求拟挂牌的企业挂牌前对数据产品进行合规评估,以确保数据产品无权利瑕疵,这在一定程度上促使企业要通过具有国家认定资质的第三方服务机构出具 “合法控制数据资源”的审查和证明文件,本质上是对数据确权作了实质性的合法性审查,与数据资产入表合规的底层逻辑一致;其次,企业数据产品在上海数据交易所挂牌成功后,即可在其监督与撮合下就挂牌数据产品进行交易,能够证明相关数据产品能够为企业带来利益流入,符合会计准则对资产的要求;再次,对于数据需方企业来说,相较于场外进行数据产品交易,在场内购入的 数据产品,在形成交易规模化后,交易的公允价格易被市场所接受、交易合规性在一定程度上获得数交所背书,更加能够避免外界的质疑,在成本法入表的今天,通过场内交易购入的数据资源,在成本归集上相较场外交易更加清晰、便捷,数据产品的合规性和质量亦更有保障,因此若数据需方亦有入表需求的话,同等条件下其通过场内交易形式外购数据资源的概率将大大提升。

例如北京商务中心区信链科技有限公司(下称“信链公司”)数据资产入表项目即采用此种路径。信链公司作为国家第四批高新技术企业和企业风险数字化精准识别领域的先行者,依托近年来在预付费细分领域风控类数据产品开发经验,通过文本挖掘、知识图谱、机器学习、行业大模型等技术,将不同来源数据进行整合和处理分析,形成用于风险监测预警分析的数据资源,按照统一数据标准,搭建统一支撑底盘,建立企业大数据的采集、处理、管理机制,实现不同渠道与企业风险相关的信息资源接入,经数据清洗、数据变换、数据规约等处理,转换为规范的结构化数据,按照统一的信息资源目录体系和框架设计,搭建业务库和高危风险库等主题数据库,进一步开发形成“企业大数据风险管理平台”的数据应用型产品,为监测预警、研判和处置提供支撑,其数据来源主要是公开数据,包括企业征信、司法、政府门户、互联网投诉、舆情五类。该数据产品在上海数据交易所的指导下,经协力所进行合规性评估后,在会计师事务所等其他中介机构协助下,成功完成数据资产核验、质量评价、挂牌交易、入表入账等环节。

本文摘编自中国经济信息社、中国信通院华东分院、上海资产管理协会资产管理与人工智能联合创新实验室(AIAM Lab)、上海市协力律师事务所联合发布的《企业数据资产入表合规指引(2024)》。

在文末扫码关注官方微信公众号“idtzed”,回复“入”直通 AIGC+X 个人信息保护营、数据安全营、数据合规营,@老邪 免费获取。

在此声明以上观点和内容,仅代表原作者和出处,与数治网DTZed 无关,如有出错或侵犯到相关合法权益,请通过电邮与我们联系:cs@dtzed.com。

欢迎先注册登录后即可下载检索数据资产等相关标准、白皮书及报告。更多高质量纯净资料下载,进入公众号菜单“治库”。