EN
×

打开手机,扫一扫二维码
即可通过手机访问网站

×

打开微信,扫一扫二维码
订阅我们的微信公众号

数据资产入表之数据合规审查的难点及路径探析

2024-09-02199

2023年8月1日财政部发布《企业数据资源相关会计处理暂行规定》(简称《暂行规定》),自2024年1月1日起施行。这一规定是我国首次将数据资源纳入会计核算范畴,它开启了数据资产时代。《暂行规定》第一条明确了数据资产入表的前提是企业合法拥有或控制数据资源,因而数据资产入表前必需要经过数据确权的合规审查,即确认企业对数据是合法拥有或控制的,数据合规审查作为数据资产入表的前提条件和法律保障,为实现数据资产入表、企业资产增值,激发数据交易市场的活跃发挥了不可替代的作用。


本文将从数据相关概念、数据资产入表合规审查的必要性、所面临的挑战以及合规审查的路径进行探析,以帮助读者朋友更好的理解数据入表的合规审查。

一、相关概念

(一)数据
根据我国《数据安全法》的定义,数据,是指任何以电子或者其他方式对信息的记录[1]

通常,数据是信息的记录,用于记录事物属性和关系,用于描述客观事物的未经加工的原始素材。


(二)数据资源
2023年10月,财政部指导、中国资产评估协会制定的《数据资产评估指导意见》(中评协〔2023〕17号)明确了,“数据资源是指经过加工后,在现时或者未来具有经济价值的数据[2]。”

数据资源强调加工后具有经济价值,包括企业自有数据,第三方数据以及公共数据,而由数据转为数据资源,需要经过一定的清洗、加工、生产,赋予数据价值,方可称为数据资源。


(三)数据资产
《数据资产评估指导意见》明确 “数据资产,是指特定主体合法拥有或者控制的,能进行货币计量的,且能带来直接或者间接经济利益的数据资源。”

数据资产强调合法拥有或控制,可计量,有价值。


(四)数据资产入表
财政部印发的《企业数据资源相关会计处理暂行规定》第三条规定,企业在编制资产负债表时,需增设“数据资源”项目,另应当按照相关企业会计准则及本规定等,在会计报表附注中对数据资源相关会计信息进行披露。

由此可见,数据资产入表是指将符合资产化条件的数据计入资产负债表中,使数据成为企业的资产。


二、数据资产的应用场景

市场分析:市场分析是数据资产最常用的应用场景之一,通过对市场数据分析,企业可以了解客户需求、销售情况、流量变化等信息,进而做出制定个性化服务和科学性营销策略,以提高市场占有率和客户满意度。  

 

风险管理:数据资产可以帮助企业进行风险管理,通过对数据的建模分析及预警管理,企业可以预警市场、客户、业务方面的风险,据此制定相应的风险管理策略,有助于提高企业安全性和稳定性。


资产增值:企业通过数据确权、数据资产评估、数据资产入表,推动数据资产化,实现资产增值,有利于企业数据资产抵押贷款,增融资、IPO,实现数据资本化。


三、企业数据资产入表前合规审查的必要性


《关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称《数据二十条》)提出“促进合规流通”,“建立数据资源持有权、数据加工使用权、数据产品经营权等分置的产权运行机制”,“完善数据全流程合规与监管规则体系”[3]。《数据二十条》为数据资产合规审查提供了政策依据。

《数据资产评估指导意见》在进行数据资产界定时,使用了“特定主体合法拥有或者控制的”的法律属性进行描述。根据本意见,数据资产进行评估入表前亦需要进行合规审查,确认该数据资产为本企业合法拥有或控制。


四、数据资产入表所面临的挑战


1.数据难以溯源

数据难以溯源是指数据类相关企业在最初的数据获取过程中,因为企业没有建立数据目录而无法获悉数据的具体来源、获取方式、获取流程、计算逻辑、数据格式、演变过程等,无法证明自己所掌握的数据是合法拥有或控制的,企业进行数据资产入表,需要有合法的数据来源,即明确数据的所有权和使用权。  

 

我国的《网络安全法》于2017年06月01日施行,《数据安全法》于2021年09月01日施行,《个人信息保护法》于2021年11月01日施行。早在我国数据领域三大基本法施行之前,一些头部的互联网公司就已经成立并开始运行,这些互联网公司的发展处于我国数据领域法律规定的空白期,在该空白期内,其收集了海量几乎不受限制且无需支付对价的数据,但部分互联网公司对用户信息保护不到位,出现了用户信息泄露事件,并受到了一定的处罚。对互联网公司而言,海量的数据亦是巨大的资源,数据资产入表面临的一个难点是数据来源的合法性。面临海量的数据,数据溯源存在成本高、周期长、难度大的问题,但不溯源又无法解决数据来源的合法性问题,所以如何进行数据资溯源以及如何把握溯源的广度和深度,仍然缺失相关规则指引。


2.数据授权存在范围限制


《数据二十条》确立了数据资源持有权、数据加工使用权、数据产品经营权分置的产权运行机制。若企业收集数据的行为未经用户授权或者未明确告知用户采集的目的和范围,可能会引起司法纠纷甚至监管部门处罚。   


从司法纠纷案例来看,数据要素市场中大量的不正当竞争案件都是企业之间的数据资源授权纠纷。在“脉脉”非法抓取使用“新浪微博”用户信息被判不正当竞争一案中,二审法院确立了个人信息抓取行为正当化的“三重授权原则”,即在“在OpenAPI开发合作模式中,第三方通过OpenAPI获取个人账户信息时应坚持“用户授权”+“平台授权”+“用户授权”的三重授权规则,该原则已成为互联网行业经营者们应当遵守的规则之一[4]。”由此可见,数据资源授权的范围存在限制可能引发司法纠纷,难以确立数据资源产权,亦就无法将该部分数据资产入表。


3.企业数据合规体系尚未建立


在网络时代,数据是数字经济的核心,是推动新经济发展的关键。数据从产生、收集、存储到后续的使用、转让、销毁等全生命周期都会面临一系列的安全风险,稍有不慎,就会出现数据违规的现象。


据裁判文书显示,某科技公司员工自写软件“淘评评”,通过淘宝商品详细信息接口和淘宝信息分享接口,批量爬取淘宝用户的数字ID、淘宝昵称、手机号码等加密信息,2019年11月-2020年7月的8个月时间里,该员工爬取淘宝用户信息共计11.8亿条,并向这些淘宝用户推广淘宝商品,从而获取一定费用,后被刑事处罚。   


2023年,上海某公司数据存在未授权访问漏洞,部分数据被窃并传输到境外,上海市网信办将相关情况通报涉事企业并要求立即核查整改,但该科技公司未进行及时有效整改且擅自将涉事数据库一删了之,意图逃避处罚,被当地网信办罚款8万元。

以上案例说明企业一旦发生数据违规,将面临相应的法律责任。从《数据安全法》第六章和《个人信息保护法》第七章相关规定可以看出,其法律责任包括行政责任和民事责任,对于构成犯罪的,更要承担刑事责任。


五、数据资产入表合规审查的路径探析

1.进行数据合规审查


1)数据来源合规

数据来源合规主要侧重在数据采集合规,数据采集包括公开收集、自行生产、间接获取三种模式。


①公开收集来一般采用数据爬取的方式,这就需要审查企业的爬虫软件本身及爬取行为的合规性,主要包括:被爬取的网站是否具有Robots协议;爬虫软件有没有遵守该协议;爬取行为有没有突破网站运营方设置的身份验证、权限设置、加密规则;爬取的频率是否合理,有没有造成被爬取网站运行负担,妨碍正常经营。
②直接采集侧重审查:采集行为是否已向用户告知,是否经过用户同意;是否侵犯公民个人隐私,是否会产生信息泄露。

③间接获取是指从第三方机构获取数据,若我们不知道第三方的数据来源,怎么去审查数据采集的真实性与合法性呢?所以间接获取需审查他前手的数据来源是否合规,并要求他们做出来源合规承诺。


2)数据内容合规
数据内容合规主要体现在,不能违反以下情形:
①危害国家安全和社会稳定的情形
主要包括:反对宪法所确定的基本原则的;危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;损害国家荣誉和利益的;煽动民族仇恨、民族歧视,破坏民族团结的;破坏国家宗教政策,宣扬邪教和封建迷信的;散布谣言,扰乱社会秩序,破坏社会稳定的;散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪等情形。
②涉及特定个人权益的情形
主要包括:侮辱或者诽谤他人的;捏造损害他人名誉的;可直接识别到特定个人的身份数据(身份号码、社保号、驾驶证等),可直接识别到特定个人的敏感数据(姓名、性别、民族等),可直接识别到特定个人的财产数据等情形。
①涉及特定企业权益的情形

主要包括:企业客户数据;及企业商业秘密的,包括:财务数据、产销数据;货源数据、工艺配方、计算方法等。


3)数据存储合规    
①进行数据分类分级等级保护
日前,国家标准GB/T 43697-2024《数据安全技术数据分类分级规则》正式发布,给出了数据分类分级的通用规则,该标准将于2024年10月1日起正式实施。该标准明确了数据分类与分级的基本原则,包括业务相关性、数据敏感性、风险可控性等。具体而言,数据分类应根据业务特点和数据属性进行划分,如个人信息、商业秘密、国家秘密等;数据分级则应根据数据的敏感性、重要性和潜在风险进行划分,如一般数据、重要数据、核心数据等,根据数据分类分级,配套相应的安全风险控制措施。

表格.JPG

注:附表来源于《数据安全技术数据分类分级规则》。

②定期开展数据存储安全评估

《数据安全法》第三十条规定,重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险、应急预案、技术措施及补救措施等。


2.进行数据登记确权    

数据登记确权是指经登记者申请,数据资产登记机构依据法定的程序,将有关申请人的数据资产的权属、编号、事项等记载于数据资产登记系统中,取得数据资产登记证书,并供他人查阅的行为。目前而言,数据“确权”的主流方式为数据登记,主要包括数据知识产权登记和数据产品登记。


1)数据知识产权登记

2022年11月,《国家知识产权局办公室关于确定数据知识产权工作试点地方的通知》发布,确定北京市、上海市、江苏省、浙江省、福建省、山东省、广东省、深圳市等8个地方作为首批开展数据知识产权工作的试点地方。2023年12月,新增天津市、河北省、湖北省、湖南省等9个地方共同作为2024年数据知识产权试点地方。同时,国家知识产权局明确提出坚持建立健全数据知识产权登记管理体系。我国北京、上海、江苏、浙江等多地均已出台了数据知识产权登记平台,登记部门对数据知识产权登记申请一般只进行形式审核,为数据知识产权的登记实施提供了途径。


2)数据产品登记

目前我国多地均设立了数据交易所,如北京、上海、苏州、海南等。数据交易所作为数据产品挂牌交易的平台,为各地各类数据产品提供登记申请、产品审核、产品核准、签发证书等服务,并生成唯一产品编码或标识,发放数据产品登记证书。数据产品登记是对于数据产品的初步认证,是实现数据产品确权的有效方式,为数据产品后续交易流通提供了便利条件。   


3.引导企业建立数据资源合规管理机制

一方面,企业应当结合自身实际情况,从数据采集、存储、使用、交换、归档、销毁等方面建立数据资源全生命周期合规管理机制,明确各阶段的管理要求及管理职责分工,严格履行相关法律法规中的数据合规义务,为数据资产入表扫清障碍。


另一方面,企业应当梳理数据资源,建立数据目录。数据目录应当包括数据获取方式、含义界定、算法逻辑、应用场景、负责人员、权限设置等,并根据数据资源的实际变化情况定期对数据目录进行更新和维护。企业建立起全生命周期的合规管理机制及数据目录,有利于企业实现数据资源合规管理、内部数据资产目录统一检索、快速定位和统计分析,为企业数据资产共享流通、创造价值打下坚实基础。


综上所述,数据作为数字经济的关键生产要素,数据资产也将成为重要的社会资产之一。数据合规审查,是从法律制度层面明确数据的权利内容。如果数据来源不合规,权属无法确定,范围存在限制,则数据入表的合法性难题就无从破解,因而,数据合规审查是数据入表的前提条件和法律保障。

[1] 《数据安全法》第3条第1款
[2] 《数据资产评估指导意见》第2条
[3] 《关于构建数据基础制度更好发挥数据要素作用的意见》第2条、第3条、第8条
[4] 赵丹:沈澄.数据抓取不正当竞争纠纷的司法审查要素考察与反思[J].科技与法律(中英文).2023年第2期


作者:赵华萍
  • 打开微信,扫一扫二维码
    订阅我们的微信公众号

天驰君泰律师事务所 版权所有 | 免责声明 | 私隐保护声明 | 京ICP备15006147号-2 | 律谷科技出品