打开手机,扫一扫二维码
即可通过手机访问网站
打开微信,扫一扫二维码
订阅我们的微信公众号
2023年8月1日财政部发布《企业数据资源相关会计处理暂行规定》(简称《暂行规定》),自2024年1月1日起施行。这一规定是我国首次将数据资源纳入会计核算范畴,它开启了数据资产时代。《暂行规定》第一条明确了数据资产入表的前提是企业合法拥有或控制数据资源,因而数据资产入表前必需要经过数据确权的合规审查,即确认企业对数据是合法拥有或控制的,数据合规审查作为数据资产入表的前提条件和法律保障,为实现数据资产入表、企业资产增值,激发数据交易市场的活跃发挥了不可替代的作用。
通常,数据是信息的记录,用于记录事物属性和关系,用于描述客观事物的未经加工的原始素材。
数据资源强调加工后具有经济价值,包括企业自有数据,第三方数据以及公共数据,而由数据转为数据资源,需要经过一定的清洗、加工、生产,赋予数据价值,方可称为数据资源。
数据资产强调合法拥有或控制,可计量,有价值。
由此可见,数据资产入表是指将符合资产化条件的数据计入资产负债表中,使数据成为企业的资产。
市场分析:市场分析是数据资产最常用的应用场景之一,通过对市场数据分析,企业可以了解客户需求、销售情况、流量变化等信息,进而做出制定个性化服务和科学性营销策略,以提高市场占有率和客户满意度。
风险管理:数据资产可以帮助企业进行风险管理,通过对数据的建模分析及预警管理,企业可以预警市场、客户、业务方面的风险,据此制定相应的风险管理策略,有助于提高企业安全性和稳定性。
资产增值:企业通过数据确权、数据资产评估、数据资产入表,推动数据资产化,实现资产增值,有利于企业数据资产抵押贷款,增融资、IPO,实现数据资本化。
三、企业数据资产入表前合规审查的必要性
《关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称《数据二十条》)提出“促进合规流通”,“建立数据资源持有权、数据加工使用权、数据产品经营权等分置的产权运行机制”,“完善数据全流程合规与监管规则体系”[3]。《数据二十条》为数据资产合规审查提供了政策依据。
《数据资产评估指导意见》在进行数据资产界定时,使用了“特定主体合法拥有或者控制的”的法律属性进行描述。根据本意见,数据资产进行评估入表前亦需要进行合规审查,确认该数据资产为本企业合法拥有或控制。
四、数据资产入表所面临的挑战
1.数据难以溯源
数据难以溯源是指数据类相关企业在最初的数据获取过程中,因为企业没有建立数据目录而无法获悉数据的具体来源、获取方式、获取流程、计算逻辑、数据格式、演变过程等,无法证明自己所掌握的数据是合法拥有或控制的,企业进行数据资产入表,需要有合法的数据来源,即明确数据的所有权和使用权。
我国的《网络安全法》于2017年06月01日施行,《数据安全法》于2021年09月01日施行,《个人信息保护法》于2021年11月01日施行。早在我国数据领域三大基本法施行之前,一些头部的互联网公司就已经成立并开始运行,这些互联网公司的发展处于我国数据领域法律规定的空白期,在该空白期内,其收集了海量几乎不受限制且无需支付对价的数据,但部分互联网公司对用户信息保护不到位,出现了用户信息泄露事件,并受到了一定的处罚。对互联网公司而言,海量的数据亦是巨大的资源,数据资产入表面临的一个难点是数据来源的合法性。面临海量的数据,数据溯源存在成本高、周期长、难度大的问题,但不溯源又无法解决数据来源的合法性问题,所以如何进行数据资溯源以及如何把握溯源的广度和深度,仍然缺失相关规则指引。
2.数据授权存在范围限制
《数据二十条》确立了数据资源持有权、数据加工使用权、数据产品经营权分置的产权运行机制。若企业收集数据的行为未经用户授权或者未明确告知用户采集的目的和范围,可能会引起司法纠纷甚至监管部门处罚。
从司法纠纷案例来看,数据要素市场中大量的不正当竞争案件都是企业之间的数据资源授权纠纷。在“脉脉”非法抓取使用“新浪微博”用户信息被判不正当竞争一案中,二审法院确立了个人信息抓取行为正当化的“三重授权原则”,即在“在OpenAPI开发合作模式中,第三方通过OpenAPI获取个人账户信息时应坚持“用户授权”+“平台授权”+“用户授权”的三重授权规则,该原则已成为互联网行业经营者们应当遵守的规则之一[4]。”由此可见,数据资源授权的范围存在限制可能引发司法纠纷,难以确立数据资源产权,亦就无法将该部分数据资产入表。
3.企业数据合规体系尚未建立
在网络时代,数据是数字经济的核心,是推动新经济发展的关键。数据从产生、收集、存储到后续的使用、转让、销毁等全生命周期都会面临一系列的安全风险,稍有不慎,就会出现数据违规的现象。
据裁判文书显示,某科技公司员工自写软件“淘评评”,通过淘宝商品详细信息接口和淘宝信息分享接口,批量爬取淘宝用户的数字ID、淘宝昵称、手机号码等加密信息,2019年11月-2020年7月的8个月时间里,该员工爬取淘宝用户信息共计11.8亿条,并向这些淘宝用户推广淘宝商品,从而获取一定费用,后被刑事处罚。
以上案例说明企业一旦发生数据违规,将面临相应的法律责任。从《数据安全法》第六章和《个人信息保护法》第七章相关规定可以看出,其法律责任包括行政责任和民事责任,对于构成犯罪的,更要承担刑事责任。
1.进行数据合规审查
数据来源合规主要侧重在数据采集合规,数据采集包括公开收集、自行生产、间接获取三种模式。
③间接获取是指从第三方机构获取数据,若我们不知道第三方的数据来源,怎么去审查数据采集的真实性与合法性呢?所以间接获取需审查他前手的数据来源是否合规,并要求他们做出来源合规承诺。
主要包括:企业客户数据;及企业商业秘密的,包括:财务数据、产销数据;货源数据、工艺配方、计算方法等。
注:附表来源于《数据安全技术数据分类分级规则》。
《数据安全法》第三十条规定,重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险、应急预案、技术措施及补救措施等。
数据登记确权是指经登记者申请,数据资产登记机构依据法定的程序,将有关申请人的数据资产的权属、编号、事项等记载于数据资产登记系统中,取得数据资产登记证书,并供他人查阅的行为。目前而言,数据“确权”的主流方式为数据登记,主要包括数据知识产权登记和数据产品登记。
2022年11月,《国家知识产权局办公室关于确定数据知识产权工作试点地方的通知》发布,确定北京市、上海市、江苏省、浙江省、福建省、山东省、广东省、深圳市等8个地方作为首批开展数据知识产权工作的试点地方。2023年12月,新增天津市、河北省、湖北省、湖南省等9个地方共同作为2024年数据知识产权试点地方。同时,国家知识产权局明确提出坚持建立健全数据知识产权登记管理体系。我国北京、上海、江苏、浙江等多地均已出台了数据知识产权登记平台,登记部门对数据知识产权登记申请一般只进行形式审核,为数据知识产权的登记实施提供了途径。
目前我国多地均设立了数据交易所,如北京、上海、苏州、海南等。数据交易所作为数据产品挂牌交易的平台,为各地各类数据产品提供登记申请、产品审核、产品核准、签发证书等服务,并生成唯一产品编码或标识,发放数据产品登记证书。数据产品登记是对于数据产品的初步认证,是实现数据产品确权的有效方式,为数据产品后续交易流通提供了便利条件。
一方面,企业应当结合自身实际情况,从数据采集、存储、使用、交换、归档、销毁等方面建立数据资源全生命周期合规管理机制,明确各阶段的管理要求及管理职责分工,严格履行相关法律法规中的数据合规义务,为数据资产入表扫清障碍。
另一方面,企业应当梳理数据资源,建立数据目录。数据目录应当包括数据获取方式、含义界定、算法逻辑、应用场景、负责人员、权限设置等,并根据数据资源的实际变化情况定期对数据目录进行更新和维护。企业建立起全生命周期的合规管理机制及数据目录,有利于企业实现数据资源合规管理、内部数据资产目录统一检索、快速定位和统计分析,为企业数据资产共享流通、创造价值打下坚实基础。