数治入门 | 数据资产化过程中的合规审查与登记实施

在整个数据的生命周期内,确保企业的数据管理和操作过程遵循相关法律法规、行业标准和内部控制要求,特别是要关注合法性、正当性、规范性和有效性。

数据资产化过程中的合规审查与登记实施
出处:数据资产化实践指南(2024年)

数据蕴藏巨大的经济社会价值,是数字经济的关键生产要素,随着数字技术广泛应用、数据应用场景日益丰富、数实融合发展加速演进,进一步加强数据治理,积极推进数据应用赋能,是企业适应时代发展趋势,提升竞争力的必由之路。数据资产化过程对于帮助企业系统性地实现数据的治理和应用,助力企业高效推进数字化转型、重塑业务模式和竞争优势具有重要意义。

如在《商业银行要让“数尽其用” 从图说数治金字塔 1.0 开始》一文中提到的数治金字塔 1.0 模型,数据历经“资源化”-“资产化”-“要素化”为新质生产力形成注入创新动力,各行业企业在“数据驱动”-“敏捷运营”-“数字创新”三步转型中逐渐步入未来产业,促使数字经济在双螺旋结构中循环上升。

一、数据资产化过程

数据资产化的一般过程包括业务数据化、数据资源化、数据产品化,考虑到数据资本化是数据资产价值释放的重要体现,本文将数据资本化纳入数据资产化过程。通过这四个阶段,使企业合法拥有或控制的数据完成“原始数据—数据资源—数据资产”的形态演变,实现数据资产创新应用和数据资产增值,为企业创造直接或间接的经济利益。数据价值的实现反过来可以促进企业进一步推动业务数据化,提高数据治理能力,提升整体数据质量,为数据价值释放提供更好基础。

图 1-1 数据资产化实施路径示意图

(一)业务数据化

业务数据化主要是指企业通过各种技术手段,建立信息化、数字化、自动化和智能化的业务流程的过程。主要目标是积累和沉淀数据资源,通过管理和技术手段不断提升数据质量,全面提高企业数据感知能力、采集和获取数据能力,为企业内部管理、业务运营和数据资源化提供数据支持。

在这一阶段,企业生产、经营、管理活动中产生出原始数据(如产品数据、客户记录、销售记录、采购记录、人事记录、财务数据和库存数据等),应用数据采集技术、大数据技术、物联网、人工智能、云计算等技术手段,通过数据采集、数据存储、数据质量管理、数据应用(聚焦生产经营)等过程,转化为可存储、可操作的数据。

(二)数据资源化

数据资源化是指企业将直接或间接地获取、采集的原始数据进行必要的加工整理和归集,形成可重用、可应用、可获取的数据资源的过程。该阶段是数据资产化的必要前提,主要目标是将原始数据转变数据资源,使数据具备一定的潜在价值。

在这一阶段,应用大数据技术、人工智能、云计算、数据安全技术、可视化技术等技术手段,通过数据盘点、数据分类分级、数据清洗、数据加工等过程,将企业沉淀或控制的数据转化为能够为企业产生一定价值的数据集合。

(三)数据产品化

数据产品化是指数据资源持有方自行或授权给外部机构,以数据使用方需求为导向,对数据资源进行实质性的劳动投入和创造,形成可供内外部用户使用的、以数据为主要内容的、可辨认的服务或产品的过程。该阶段是数据资产化的关键步骤,主要目标是将数据资源依据实际需求加工为具有明确应用场景、可交易、价值可计量的数据产品。

在这一阶段,围绕有一定规模、一定价值的数据资源,应用大数据技术、人工智能、隐私计算、区块链、数字水印、密码学等技术手段,通过数据合规审查、数据质量评估、数据价值评估、数据资产登记、数据流通存证等过程,依据市场实际需求和应用场景进行产品开发,最终形成符合数据应用要求的数据产品。

(四)数据资本化

数据资本化是指通过有效利用数据资产,将其转化为具有实际经济价值的资本,并实现保值、增值、流通的过程。企业可以通过数据资产质押融资、数据资产增信贷款、数据资产作价入股等方式盘活数据资产。通过数据资本化实现数据产品创新和应用、数据资产增值和数据交易变现,充分挖掘和释放数据价值,更好服务企业发展。

二、数据合规审查

数据合规是指在整个数据的生命周期内(包括数据的采集、存储、处理、传输、使用等环节),确保企业的数据管理和操作过程遵循相关法律法规、行业标准和内部控制要求,特别是要关注数据来源的合法性、数据处理的正当性、数据交易的规范性和数据保护的有效性,从而保障个人、企业乃至国家的权益。数据合规审查是指企业为了确保数据合规而进行的一系列评估、分析和改进活动,目的是审查和评估企业生产、采集、存储、处理、分享和销毁数据的实践是否符合相关的数据保护法律、法规、政策和标准。

1. 实施路径

数据合规性审查需要一套完整的数据合规审查框架,明确数据审查范围和标准,后续其他建设内容以及执行阶段的各项内容均需要围绕这一体系开展。

图 1-2 数据合规审查路径

一般而言,企业数据合规审查的实施路径参考如下:

(1) 准备阶段。主要工作包括:

①组建专业团队或引入第三方团队,具备开展数据合规审查的法律、技术、业务规则等相关的知识和技能;
②根据合规审查目的确定审查范围,包括组织范围、数据范围、业务流程和业务活动范围等;
③确定合规审查的依据,包括相关的法律法规、监管规定、行业准则和国际条约;
④明确审查过程中使用的工具,包括检查表、基线检查工具、安全扫描及测试工具、安全审计工具等;
⑤调研合规审查的对象,包括业务运营模式、所处理数据的类型以及规模等;
⑥在调研的基础上收集审查对象的相关资料,包括业务介绍、合同文件、制度规章、处罚通知、判决书、数据安全风险评估报告等。

(2) 执行阶段。主要工作包括:

①文档审查,对准备阶段收集到的相关资料进行审查,判断其是否符合相关的法律法规的要求;
②数据审查,对明确范围内的数据真实性、来源合法性等进行审查,判断是否符合数据资产化建设的需要;
③审查相关实际运行的网络、信息系统的安全技术保障措施是否有效;
④按需对合规审查对象涉及到的相关人员进行访谈,以核实审核对象数据安全合规的实际情况。在执行阶段,应该及时记录审查时的实际情况以及发现的问题,以便后续审查结果分析。

(3) 结果分析。审查结果分析应重点关注合规性问题,包括所违反的法律法规、监管制度、内部制度的名称及条款、可能引起的风险及其严重性级别。必要时,制定相应的整改计划,包括问题的描述、整改措施、责任方或落实方、整改有效性的验证方。

(4) 结果评价。在审查的工作完成后,应形成相应的分析报告,报告的内容包括数据合规审查的目的、审查结果的适用范围、审查所依据的法律法规及监管规定、合规审查所发现的问题以及相应的整改建议。必要时,可以基于特定目的出具专项分析意见,例如数据分级分类管理的专项意见、数据出境的专项意见。

2. 实施价值

数据合规审查确保企业遵守相关的法律法规和行业标准,识别并降低处理数据过程中的风险,同时保护个人隐私,避免无效的数据产品加工生产行为。数据合规审查不仅有助于降低可能的法律和财务风险,提高数据安全和运营效率,还能增强客户及利 益相关方的信任,从而支撑业务增长和创新。具体而言,数据合规审查的价值包括:

(1) 降低企业风险。数据合规是数据要素流通的硬性要求。数据合规审查可以确保企业在数据生产、采集、存储、处理和使用过程中遵循相关法律法规和监管要求,从而降低因违规行为导致的罚款、法律诉讼和声誉损失等风险。

(2) 增强社会信任。通过数据合规审查,保证数据要素流通的合规性,防止数据滥用和非法获取,保障个人与机构的权利不受侵害。健全的数据治理机制不仅有助于提升数据安全水平,还有助于促进公众对数字经济的信任和参与,进而形成一个更加公平、安全的信息社会。

(3) 提高数据治理水平。数据合规审查涉及对企业数据的盘点、溯源,以及对数据处理流程的规范和监控。上述功能能够确保数据的准确性、完整性和可审计性,为数据资产的价值评估和入表提供更加可靠的审查依据。

(4) 促进跨境数据流通。在全球化背景下,数据合规审查有助于企业在国际市场中开展安全合规的数据跨境传输,以满足国家跨境数据安全保护要求。

三、数据资产合规登记

数据资产合规登记是在数据资产权属信息确认的基础上,对数据资产的权利进行登记的行为。资产登记应遵循依法合规、规范统一、分级管理、公开透明、便捷高效、安全可信的原则。中共中央、国务院印发《关于构建数据基础制度更好发挥数据要素作用的意见》,提出建立数据资源持有权、数据加工使用权、数据产品经营权“三权分置”的数据产权制度框架,为有效推进数据合规登记提供了指导。

1. 实施路径

以广东省数据资产合规登记为例,实施路径如下:

(1) 权益主体的确认。主体包括数据来源者和数据处理者。 数据来源者指在数据产生过程中提供或创造数据的个人或组织, 享有获取或复制转移由其促成产生的数据的权益。数据处理者是指对数据的收集、存储、使用、加工、传输等数据处理活动中自主决定处理目的、处理方式的组织或个人。主体的权益一般包括数据资源持有权、数据加工使用权、数据产品经营权等。

(2) 数据来源合规审核。确保登记主体数据来源的合法合规,且有权进行数据资产的登记。“数据二十条”区分了公共数据、企业数据和个人数据这三类数据的授权运营机制,根据数据资产所涉及数据的不同类型,按照不同的数据来源执行相应的合规审核标准。

(3) 登记主体的身份认证。个人实名认证可采用人脸识别、 短信验证、银行卡验证等方式;机构法人可通过法人身份验证、对公银行账号汇款等方式。

(4) 数据资产确权存证。对数据的来源、数据来源者的权益、数据的使用场景、适用条件及使用细节约定、禁用范围,以及数据处理者的权益、数据加工授权协议,实质性加工和创新性劳动相应的证明材料等相关信息进行确认和存证,以锁定证据和提供 合法性参考和背书。

(5) 根据登记主体的实际情况,在完成数据资产确权后,可以在登记机构对数据资产进行登记。以广州数据交易所登记为例, 数据资产登记的流程为:

①登记主体应当通过数据资产登记平台填写相应的登记申请表,并向登记机构提交有关材料;
②由数据交易所进行初审工作,出具初审意见;
③针对涉及特殊类型数据的产品,初审通过后,由数据交易所提请广东数据资产登记合规委员会进行复审,并出具合规性审核意见;
④复审通过的,通过数据资产登记平台向社会公示;
⑤公示期满无异议的,由广东省政务服务和数据管理局颁发《数据资产登记凭证》。

2. 实施价值

数据资产合规登记通过对登记主体的背景、数据来源、使用场景、技术安全等方面的合规性进行审查,确保数据资产的真实性、合规性、可信度,为后续数据流通、数据融合开发、数据交易、数据资源入表提供依据,有助于实现数据资产的安全流通。实施数据资产合规登记有以下价值:

(1) 明确数据资源权属关系。数据合规登记可保证数据资产的真实性、合规性、可信度,保障数据入表和交易流通的安全合规,有助于推动数据要素的流通和价值释放。

(2) 加快数据资源入表。完善数据资产化各相关主体的权益配置,推动相关主体做好利益分配,满足数据资源入表的条件,促进数据资产入表。

(3) 数据交易的必要路径。资产确权是数据安全流通、合规利用的重要基础,资产登记可解决数据确权、交易入场、互信、监管等难题,为数据流通赋予一定的公信力,从而提高市场参 与者的信任度,在数据交易中起着先导性和全局性的作用。

(4) 支持数据要素市场统一监管。资产登记遵循依法合规、规范统一、分级管理、公开透明、便捷高效、安全可信的原则。对于企业则可摸查企业范围内数据资产家底。对于政府则可辅助政府部门监管,对全国数据要素的信息进行汇总和统计,实现可统计、可普查。

图 1-3 广东省数据资产合规登记凭证(示例)

展望未来,随着企业对数据价值的认识加深,数据要素市场将迎来更加广阔的发展空间。企业应紧紧抓住这一历史机遇,推进企业数字化进程,加强数据资产管理能力建设,充分挖掘和利用数据价值,构筑竞争新优势,驱动企业高质量发展。

本文摘编自广东数字政府研究院、广州数据交易所、粤港数据安全与隐私保护联合实验室、广州芳禾数据有限公司在广东省政务服务和数据管理局指导下联合编制的《数据资产化实践指南(2024年)》。

往期数据资产热门内容和下载推荐:

这数据资产化的八大趋势与展望 你会怎么看?
数据资产化作为数据要素价值实现的重要方式,一系列支持性政策不仅持续完善了数字经济的顶层设计,也强力推动了数字技术和实体经济的深度融合,为经济发展增添了新的活力。

数治长文 | 企业数据资产入表合规问题拆解和举例
“入表”是会计核算的通俗叫法,会计准则又属于国家社会规范的重要组成部分,因此数据资产的合规化使用路径问题是我国数字资源价值挖掘和实现的关键。

数治x医疗健康:公立医院科研数据资产化实现探析
由于数据权属不清、医疗数据开放共享法律政策规范不完善、医疗机构信息化建设技术不足等问题,导致其蕴含的价值也无法被挖掘,严重掣肘医疗数据的开发再利用。

数治入门 | 数据资产化第一步:数据如何转化为资产
数据资产也越来越成为一个重要议题:数据资产与传统资产有何不同?数据资产的价值如何体现?影响数据资产的因素有哪些?进一步地,关于数据资产有哪些可能的估值方法?

一图读懂数据资产赋能业务发展的底层逻辑
在这按白皮书图录全面了解其中数据资产赋能业务发展的核心逻辑,结合企业数据资产管理的典型方法和实践案例,以及有关活动职能、保障措施、实践步骤等重点讨论。

在此声明以上观点和内容,仅代表原作者和出处,与数治网DTZed 无关,如有出错或侵害到相关合法权益,请通过电邮与我们联系:cs@dtzed.com。

在文末扫码关注官方微信公众号“idtzed”,发送“入”直通相关数治x行业共建群、AIGC+X 成长营,@老邪 每周免费领取法规、标准、图谱等工具包。

欢迎先注册登录后即可下载检索数据资产等相关标准、白皮书及报告。更多高质量纯净资料下载,在文末扫码关注官方微信公众号“idtzed”,进入公众号菜单“治库”。

一条评论