数据知识产权与数据入表 (上)
随着数据价值不断被认识, 法律对数据权益的保护也在不断完善。从司法层面对数据权益的保护, 到数据资产在财务报表中的入表, 法律规范与实践应用逐步并行发展, 共同勾勒出数据治理与利用的蓝图。
本文(上)将首先介绍:
一. 从数据权益保护到数据入表的法律与实践
二. 数据入表的条件
三. 数据入表的程序
本文(下)还将介绍:
四. 数据入表的实践难点
五. 第三方平台与数据入表
六. 数据入表的后续问题
一、从数据权益的保护到数据入表的法律与实践
随着数据价值在实践中日益显现, 纵然在立法层面上数据权益的界定还是一个难题, 在司法、政策和实践层面数据权益保护和数据入表渐渐显现。
(一) 数据权益的法律性质
数据权益在现代社会中扮演着越来越重要的角色, 其法律性质和保护方式成为法律界和实务界关注的焦点。以下我们将从数据权益的法律性质、数据权益与知识产权之间的区别和联系, 以及数据的不正当竞争权益三个角度分析数据权益的内涵和外延。
1. 民法中数据权益的规定
《民法典》第127条[1]规定: “法律对数据、网络虚拟财产的保护有规定的, 依照其规定”。这是一条是一项宣示性、引致性条款, 但是《民法典》或特别法中并未对数据权益作出明确的规定。
《数据安全法》[2]提出了数据分类分级保护制度, 要求根据数据的重要程度和一旦遭到篡改、破坏、泄露或者非法获取、非法利用可能对国家安全、公共利益或者个人、组织合法权益造成的危害程度, 对数据实行分类分级保护。同时, 法律还规定了数据安全风险评估、报告、信息共享、监测预警和应急处置机制, 以及对数据出境的安全管理。但是, 《数据安全法》没有从民事角度规定界定数据的权益。
《个人信息保护法》[3]则专门针对个人信息的保护, 确立了个人信息处理活动的基本原则, 包括合法、正当、必要、诚信、目的限制、最小必要、质量、责任等原则。该法律详细规定了个人信息处理者的义务, 如确保个人信息处理活动合法、保护个人信息安全、指定个人信息保护负责人、进行合规审计等。此外, 法律还赋予个人在个人信息处理活动中的权利, 包括知情权、决定权、查阅复制权、可携带权、更正补充权、删除权、解释说明权等。但是, 《个人信息保护法》仅仅是从个人人身权的角度提出个人对其个人信息的权利, 而没有涉及财产性权益。
2. 数据权益和知识产权区别和联系
数据天然不是知识产权, 但是知识产权天然是保护数据最接近的手段。
数据和知识产权所保护的智力成果尤其相似之处:
首先, 数据和知识产权都有无形资产的特性。数据和知识产权都是无形资产, 它们不具备物理形态, 但具有潜在的经济价值。这种无形性使得它们与传统的有形资产(如土地、设备)有着本质的区别。数据通过信息的收集、处理和分析产生价值, 而知识产权则通过创新、创作或发明体现其价值。尽管它们不可见、不触摸, 但都能为企业带来竞争优势和经济利益。
其次, 数据和知识产权有可分割性。数据权益和知识产权都可以被无限分割, 允许多个主体在不同时间、不同地点、不同方式下使用。例如, 一项专利可以授权给多个制造商使用, 而一个数据库可以被多个用户同时访问和分析。这种分割性为许可和共享提供了可能性, 促进了知识的传播和数据的利用, 同时也为权利持有者创造了收入来源。
再次, 数据的法律保护和知识产权都是法律拟制。无论是数据权益还是知识产权, 它们都是由法律所创设的权利类型。知识产权如专利、商标、著作权等, 是通过法律赋予创新者或创作者一定期限的专有权利, 以激励创新和创作。同样, 数据权益也是在法律框架下定义和保护的, 确保数据的收集、处理和使用符合法律规定, 保护数据主体的权益。这些权利并非自然存在, 而是社会为了促进知识进步和数据利用, 通过法律手段人为设定的。
但是, 数据权益与知识产权仍然存在不同。
一方面, 数据权益并不要求创造性。与知识产权保护的课题不同, 数据的价值在于其对事实的呈现和使用方式, 而不在于其创造性。而, 知识产权如专利和著作权, 要求作品或发明具有一定程度的创造性和原创性。专利法保护的是新的技术方案或具有独创性的作品, 而数据权益则更多关注数据能够真实反映现实, 而不强调数据本身是否为新创造或具有原创性。
其次, 数据权益也没有保密性的要求。知识产权中的商业秘密就是一个典型例子, 它要求信息必须是非公开的, 并且权利人必须采取合理的保密措施来维护其秘密性。而数据权益则不一定要求保密性, 数据可以是公开的, 也可以是已经被广泛使用和共享的。数据的价值在于其能够为使用者带来信息、洞察力或决策支持, 而不是依赖于其保密性。
3. 数据在《反不正当竞争法》下的保护
数据权益还可以通过《反不正当竞争法》保护, 包括《反不正当竞争法》第二条[4]的原则性保护和和第十二条[5]对破坏正常服务的禁止性规定。在司法实践中处理数据相关争议时, 常见的数据表现形式包括: 用户的个人信息数据、由用户行为产生的数据、平台收集的数据, 以及对这些原始数据进行进一步加工处理后得到的衍生数据。判断原告是否拥有特定的数据权益, 主要依据以下几个标准: 其是否为涉案数据的合法运营者; 是否对数据进行了经济投入和提供了经营服务, 这包括但不限于数据的收集、存储、整理、管理、分发等经营性活动; 是否为保障数据安全投入了相应的成本; 以及是否进行了对数据的衍生性利用和开发。此外, 还需考虑原告与用户之间的协议是否涉及数据权属和使用的规定, 以及原告是否能够通过这些数据获得商业利益, 从而获得市场竞争优势。
在探讨数据权益保护的条件时, 我们通常从两个维度进行分析: 一是对数据的劳动或资本投入, 二是数据本身对持有人是否具有经济价值。这两个条件在实际案例中得到了充分的体现和验证。以淘宝与美景公司的案例为例, 淘宝公司不仅在用户数据的收集和分析上投入了大量的劳动和资本, 开发出了“生意参谋”这一数据产品, 而且这些产品是通过复杂的算法和深入的数据分析得到的, 因此淘宝公司对这些数据产品中的原始数据和衍生数据拥有独立的财产性权益。同时, 淘宝公司的“生意参谋”数据产品为商家提供了市场分析和经营决策的重要参考, 具有显著的商业价值。美景公司未经授权使用这些数据产品, 破坏了淘宝公司的商业模式, 构成了不正当竞争。法院最终判决美景公司赔偿淘宝公司的经济损失, 这一判决不仅彰显了数据的经济价值, 也体现了对数据权益保护的司法支持。
(二) 数据权益和数据入表的政策推动
纵然数据权益还没有法律层面被界定, 但是在政策层面上, 国家不断推出从数据权益保护、确权登记到数据作为企业资产入表的进步。
1. 数据二十条
2022年, 《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》(简称“数据二十条”)的发布, 标志着我国在数据要素保护和利用方面迈出了重要一步。这一政策文件旨在深化开放合作, 实现互利共赢, 并积极参与数据跨境流动国际规则的制定。它根据数据价值链的不同阶段, 创新性地提出了“数据资源持有权”、“数据加工使用权”和“数据产品经营权”三权分置的产权结构, 避免了直接涉及所有权的概念。
“数据二十条”的提出, 是为了适应数据作为新型生产要素的特点, 强调数据的使用权和流通性, 而不是单纯的所有权。这样的产权结构设计, 有助于平衡数据的开放共享与保护, 促进数据的有效利用和流通, 同时确保数据安全和个人隐私的保护。通过这种结构, 数据资源的原始收集者、加工者和使用者都能在法律框架内明确自己的权益, 从而激发市场活力, 推动数字经济的发展。
此外, “数据二十条”还提出了研究数据产权登记新方式, 这将有助于明确数据产权的归属, 为数据的知识产权保护提供基础。数据产权登记制度的建立, 为数据的确权、授权、交易等提供操作规范, 这对于数据要素市场的健康发展至关重要。
2. 知识产权登记
数据知识产权登记是中国在数据要素保护和利用方面的一项重要探索。自2022年起, 国家知识产权局确定了包括北京市、上海市、江苏省、浙江省、福建省、山东省、广东省、深圳市等在内的8个地方作为开展数据知识产权工作的试点, 这些试点地方在数据知识产权登记方面进行了积极的探索和实践。随着试点工作的深入, 试点地方范围也在逐步扩大。
2024年, 国家知识产权局战略规划司发布了《关于加强数据知识产权登记证书管理工作的通知》, 对数据知识产权登记证书进行了统一管理, 包括统一证书编号、格式和内容, 这一措施旨在优化数据知识产权登记证书的管理流程, 提高登记工作的效率和规范性。
在司法实践中, 数据知识产权登记证书的效力也得到了认可。北京互联网法院发布的全国首个涉《数据知识产权登记证》效力认定案件中, 法院确认了《数据知识产权登记证》对数据持有的证明效力。这意味着数据知识产权登记可以作为原告享有数据财产权益的初步证据, 也可以作为其数据收集行为或数据合法性来源的初步证据, 这为数据权益的司法保护提供了重要依据。
3. 会计确认
数据资源入表制度是中国在数字经济发展背景下的一项重要会计改革。2023年8月21日, 财政部颁布了《企业数据资源相关会计处理暂行规定》(以下简称《暂行规定》), 该规定将于2024年1月1日起施行。其主要目的是规范企业对数据资源的会计处理, 强化相关信息披露。根据《暂行规定》, 企业在将数据资源入表时, 可以依据数据资源的持有目的、形成方式、业务模式以及与数据资源相关的经济利益的预期消耗方式, 对相关交易和事项进行会计确认、计量和报告。这一规定的实施, 标志着数据资源的入表范围得到了实质性扩大, 原本不符合存货或无形资产条件的数据资源, 只要满足企业会计准则的确认条件, 就可以被确认为资产。
与《暂行规定》颁布之前相比, 传统的会计处理仅限于存货或无形资产等能够入表的项目。新规的实施将使得企业能够更准确地反映其财务状况和经营成果, 促进数据资源的规范化管理。此外, 企业在资产负债表中需要增设“数据资源”项目, 以便清晰展示其在存货和无形资产中的价值。
概言之, 知识产权的登记彰显了数据权益的对外公示力, 数据入表的政策推动涉及数据产权制度的建立。这些政策的实施有助于企业更好地管理和利用数据资产, 推动数据要素的市场化配置, 促进数字经济的发展。随着相关政策的不断完善和实施, 数据资产将成为企业财务报表中的重要组成部分, 为企业带来新的增长动能。
(三) 数据入表的现状
截至2024年8月31日, 已有41家公司在其半年报中披露了企业数据资源, 入表总额合计13.64亿元, 显示出数据资源入表的实践还处于起步阶段, 但增长迅速。
在行业和企业性质分布方面, 数据资源入表的实践主要集中在技术密集型行业和数据驱动型企业。科技行业, 尤其是互联网公司、云计算服务提供商、大数据分析公司等, 因其业务本身依赖数据的收集、分析和应用, 往往在数据资源管理上更具备优势。金融行业, 如银行、保险公司等金融机构, 通过数据驱动的风险控制和客户分析, 积累了大量有价值的用户数据。此外, 零售和电商领域的在线零售商和平台型公司依赖海量消费者行为数据进行精准营销、库存管理等, 也是数据资源入表的重要领域。医疗行业, 尤其是涉及电子病历和健康数据分析的公司, 也在积极探索数据资源的入表。
在2024半年报中披露“数据资源”相关情况的上市公司分布在15个行业中, 其中计算机行业的上市公司最多, 有12家, 其次是交通运输行业有4家上市公司, 通信、医药生物、传媒行业、建筑装饰行业各有3家上市公司, 电力设备、国防军工、商业贸易、机械设备行业各2家上市公司, 汽车、钢铁、纺织服装、化工和非银金融行业各分布1家上市公司。这表明数据资源入表的实践正在从数字经济核心领域向传统行业渗透, 数据资产化浪潮正在形成。
(四) 数据入表的实践难点
现实中, 很多企业在准备数据资源入表过程中遇到不少困难。
第一, 认识误区。在数据资源入表的探索过程中, 一些企业似乎陷入了一种误区, 即将数据资产化简单地视为追逐潮流或尝试创新的行为, 而忽视了与企业商业目标和长期战略的深度融合。这种做法往往难以实现数据资产的有效管理和价值最大化。在2024年的半年报中, 有5家上市公司因列示错误等原因撤销了数据资源的入表, 这反映出部分企业在数据入表决策上的仓促和盲目。
数据资源入表的核心目的, 应当是助力企业更有效地挖掘和实现数据的商业价值, 提升数据资产的运营效率和变现能力, 促进企业对数据的深入开发和应用。然而, 数据本身并不直接等同于资产。企业必须拥有成熟的数据管理体系、敏锐的市场洞察力、清晰的商业应用场景, 以及持续从数据中获取经济利益的能力, 才能确保数据资源向资本化转变, 实现其价值的最大化。只有这样, 数据资源入表才能真正发挥其应有的作用和意义。
第二, 合规障碍。在数据深度挖掘与价值释放的征途中, 企业面临着来自数据来源、内容、处理、管理到经营等各个环节的安全与合规性挑战。随着数据安全和个人信息保护相关法律法规的日益完善, 企业在数据的利用和处理上必须遵循更多的法律约束。以《个人信息保护法》为例, 其对个人信息的收集、存储、使用、加工、传输、提供、公开、删除等环节均设有严格的规范。
然而, 众多企业在历史数据的积累上, 由于以往法律法规的不健全, 未能对数据的来源和使用权限进行明确记录, 导致这些数据在权属界定、合规性、安全性等方面存在模糊地带, 这对数据资产化的道路构成了障碍。为了确保数据资产化过程的顺利进行, 企业必须对现有数据进行全面的审视和合规性评估, 采取适当措施, 确保每一环节都符合最新的法律法规要求, 从而为企业的数据资产化奠定坚实的基础。
第三, 估值困难。数据资源的估值是其入表过程中的一个关键难题。与传统的有形资产不同, 如设备和土地等, 数据资源的价值评估尚未建立一个普遍接受的标准化体系, 这导致了数据资源的价值评估带有强烈的主观特性。除通常的考虑的成本和市场供求关系等因素, 数据的商业价值受其用途、时效性、完整性、稀缺性等内在因素影响。尤其是, 同样一个数据集, 不同的使用方式和使用目的下, 其价值可能有巨大差异。尽管目前已存在一些成熟的无形资产评估方法和模型, 但传统的会计估值技术, 例如历史成本法、市场比较法等, 并不完全适用于数据资源的估值。数据资源的独特性要求我们采用更为精细化和专业化的评估方法。
因此, 数据资源入表的过程需要依赖于专业人士的深入分析和判断。他们需要明确界定何为“数据资产”, 并将其与传统数据区分开来, 精准识别出哪些数据能够为企业带来经济价值, 以及这些数据价值的具体额度, 从而确保只有真正能够为企业带来经济效益的数据资源才能作为资产被纳入财务报表。这一过程不仅需要专业的技术知识, 还需要对市场动态和行业趋势有深刻的理解。
第四, 技术不到位。数据资产化进程离不开坚实的技术支撑, 这涵盖了数据采集、存储、清洗、分析及保护等关键环节。特别是在处理大规模数据管理和分析时, 企业的技术实力直接关乎数据的质量和有效性。举例来说, 企业若缺乏高效的数据治理架构和数据中台技术, 就可能面临部门间数据壁垒难以打破、形成信息孤岛的问题。同时, 对隐私计算、区块链、可信计算等前沿技术的探索和应用不足, 可能会使数据交易的基础架构隐藏着安全隐患, 这些问题都需要企业给予足够的重视和及时的解决。
第五, 安全制度缺失。构建一个周全的数据安全体系, 既需依托于加密技术、访问控制和防火墙等技术手段, 也需同步推进精细的管理流程和全面的风险控制措施, 确保数据从产生到消亡的每个环节都得到严格管控。然而, 当前不少企业在数据安全体系的构建和实施可信的安全措施方面, 仍显欠缺, 这不仅使得数据资产面临外部侵袭的威胁, 也增加了在数据交换与流通过程中发生泄露的风险。
第六, 法律不明确。数据资源的法律地位尚未完全界定, 现有的法律体系主要围绕个人信息等人格权的保护展开, 而对于企业所持有的商业数据、行业数据、用户行为数据等的权益划分则缺乏明确指导。这种模糊性在数据资产化过程中造成了挑战, 企业在数据入表时往往难以确立对数据的全面控制权。特别是当数据的生成和应用涉及多个主体, 例如公开数据或通过网络爬虫合法获取的数据, 其归属权和使用权的界定则变得更加错综复杂。
二、数据入表的条件
下面从实质要件和程序要件两个方面介绍数据资源入表的先决条件。
(一) 实质要件
根据《企业数据资源相关会计处理暂行规定》, 数据入表的适用范围为: “企业按照企业会计准则相关规定确认为无形资产或存货等资产类别的数据资源, 以及企业合法拥有或控制的、预期会给企业带来经济利益的、但由于不满足企业会计准则相关资产确认条件而未确认为资产的数据资源的相关会计处理。”
可见, 可以入表的数据资源的条件包括: (1)“合法”, 即数据的来源、使用和目的必须合法合规; (2)“拥有或控制”, 这意味着数据必须有其边界, 且企业必须对数据有实际控制力; 以及(3)价值性, 即能给企业带来价值。
1. 合规性
数据资源的合规性包括数据来源合规、使用合规和目的合规。
第一, 数据来源合规。
首先, 从数据收集手段看, 合规性要求企业所掌握的数据必须是通过合法途径获取的, 并且要遵循数据收集过程中的法律和伦理规范。合规的数据来源要求企业对数据的获取方式、收集目的和使用范围给予特别关注。这意味着数据收集必须基于合法授权, 例如, 《个人信息保护法》规定, 除非在特定法定情况下, 企业在收集个人信息之前必须获得个人的明确同意, 并且这种同意应当是在个人充分了解情况的基础上自愿和明确表示的。同时, 在确保获取方式合规的基础上, 收集和处理数据还必须有正当的理由。正当理由指的是数据收集的目的必须是明确和合法的, 遵循最小必要原则, 即只收集实现目的所必需的最少量数据。此外, 在数据处理过程中, 还应关注数据的可用性。例如, 与数据主体的合同中可能规定了数据的保密义务和使用限制, 或者法律对某些特定类型的数据(如病患数据)的使用有严格的限制。违反这些规定可能会引起违约、侵权行为, 甚至面临行政处罚和刑事责任。
其次, 企业从第三方购买或获取数据的, 应当适当评估这些第三方的数据来源的合法性。如果第三方的数据来源不合规, 数据资源将无法进行入表操作。因此, 在采购第三方数据时, 企业应进行严格的数据处理、数据权属的尽职调查, 确保对方遵守了相关的法律规定, 并且在合同中明确数据来源的合法性。
再次, 如果数据的收集涉及数据跨境流通的, 需要注意数据来源国关于数据出境的监管要求。对于跨国企业来说, 数据的跨境传输必须符合不同国家和地区的数据保护法律。例如, 根据GDPR, 企业在将数据传输到欧盟以外的国家时, 必须确保接收国的数据保护水平符合欧盟的标准。
第二, 数据使用合规。
合规使用数据不仅涵盖企业内部的数据运用, 也包括与第三方的共享、处理等各个环节。若使用不当, 数据资产化可能会遭遇法律和商业风险。
企业在使用数据时, 必须确保其使用范围和目的与收集数据时获得的授权相一致。例如, 如果企业在收集用户个人信息时声明这些数据将用于提升产品体验, 那么未经用户重新同意, 不得将数据用于其他目的, 如广告推广或数据销售。
在数据委托处理的情况下, 企业应通过合同严格限定受托方的使用范围。比如, 当企业将用户数据交给外包服务商进行分析时, 必须与这些第三方签订数据处理协议, 明确数据的使用范围、保密义务和责任分配。
数据的保留期限和销毁方法也必须遵循相关法律规定。例如, 《个人信息保护法》规定, 数据处理者不得无限制地保存个人信息, 个人信息的保存期限应为实现处理目的所必需的最短时间。
在某些情况下, 企业可以通过对个人信息进行匿名化处理来减少隐私风险, 并扩展数据的应用范围。匿名化是指对个人信息进行处理, 使其无法识别特定个人且无法复原, 从而降低数据使用时的合规性要求。
第三, 目的合规。
数据的目的合规要求企业在收集和使用数据时必须确保其目的的合法性和合规性。
一方面, 数据的使用目的本身必须合法合规, 不能用于非法目的, 例如诈骗; 不应导致违法结果, 比如泄露国家机密, 亦不能侵犯他人的合法权益, 比如使用大数据歧视性定价等。
另一方面, 数据的使用目的不能超过收集时的承诺或其他合理范围。根据《个人信息保护法》的规定, 收集个人信息应当限于实现处理目的的最小范围, 不得过度收集个人信息。这表明企业在收集数据时, 必须明确告知数据主体收集数据的目的, 并在数据主体充分知情的前提下获得其同意。任何改变处理目的的行为, 都必须重新经过个人的同意, 以确保数据处理活动的合法性和透明性。在某些情况下, 数据的使用目的也可能受到合同的限制。例如, 企业从其他第三方处获取数据时, 合同中可能会规定数据的具体用途限制。这要求企业在使用第三方数据时, 必须遵守合同约定, 不能超出约定的使用范围。
此外, 企业在使用数据时, 必须确保其使用范围和目的与数据收集时获得的授权一致。例如, 如果企业在收集用户个人信息时声明这些数据将用于改善产品体验, 那么在未重新获得用户同意的前提下, 不能将这些数据用于其他目的, 如广告或数据销售。
2. 安全性和控制力
安全性是数据资产化的另一个关键条件。作为数据资源入表的要件之一, 企业必须展示出对数据资源的全面控制能力, 这不仅包括对数据访问的直接管理, 还涉及到对数据发布、使用以及对外分享的严格监管。此外, 企业还需确保数据资源的安全性和可靠性, 以及对数据丢失风险的有效控制。具体来说, 安全性可以从以下几个方面考察:
首先, 制度建设: 企业应建立和完善一套全面的数据安全管理体系。这套体系应覆盖数据的全生命周期, 包括收集、存储、处理、访问和销毁等各个环节, 以确保数据在每个阶段都得到充分的保护。这不仅旨在防止数据的丢失或泄露, 也包括防止数据被非法篡改或未经授权的使用。有效的数据安全制度可能包括数据安全政策、数据分类与分级制度、以及数据访问控制流程等。
其次, 技术保障: 数据安全同样依赖于强大的技术支持。在数据资产化的过程中, 企业必须构建坚实的技术基础来保护数据, 这可能包括数据加密、数据备份、身份验证、多因素认证、访问控制、异常检测、防火墙、区块链和隐私计算等技术。随着云计算和远程存储技术的广泛应用, 云端数据的安全性也成为了一个不容忽视的重要方面。
再次, 风险管理: 企业需要定期对数据安全状况进行评估和审计, 识别潜在的安全风险, 并制定相应的应急预案来应对可能的数据泄露或攻击事件。风险管理还应包括对数据合规风险的管理, 比如在处理敏感个人信息时, 如何进行个人信息保护影响评估, 以及如何记录处理活动以确保符合个人信息保护法规的要求。
最后, 员工培训: 许多数据泄露事件并非由技术缺陷引起, 而是由于员工缺乏足够的安全意识。因此, 企业必须定期对员工进行数据安全培训, 确保他们理解如何保护数据, 并能够遵守企业制定的数据安全规程。
3. 资产属性
数据的价值是数据资源入表的必要前提, 这是因为数据资产化是企业将数据资源纳入财务报表的过程, 这要求数据资源必须具备一定的经济价值。数据的价值的判断包括其潜在的使用价值、可变现的能力、以及相对的稀缺性。
其一, 价值性。数据资源的价值性是其能否作为资产入表的核心。数据的价值性体现在其能够为企业创造的潜在经济利益上。例如, 通过大数据分析, 企业可以获得更精确的市场洞察, 优化供应链管理, 提升产品服务的精准度, 甚至开发出新的业务模式。这些潜在的经济利益是数据资源作为资产入表的重要依据。数据资源的价值性不仅体现在直接的经济效益上, 还体现在其对企业战略决策的支持、对产品创新的推动以及对客户体验的改善等方面。
其二, 可变现性。数据的可变现性是指企业是否能够通过出售、交换或其他方式将数据资源转化为现金或其他形式的资产。对于某些类型的数据, 例如用户行为数据或市场调研数据, 企业可以通过出售实现变现。还有一些数据资源可能具有一定的独占性, 企业可以通过许可或授权的方式将其转化为经济利益。然而, 数据的可变现性并不总是外部显化的。例如, 某些内部运营数据可能仅对企业自身具有价值, 但并不适合对外出售。在这种情况下, 企业需要证明这些数据虽然不直接变现, 但通过提升内部效率或降低运营成本, 也能为企业带来间接的经济利益。因此, 数据的可变现性并非单一维度的考量, 而是需要结合具体的商业场景进行综合评估。
其三, 稀缺性。在某些情况下, 数据的稀缺性和独占性也是评估其是否具有资产属性的重要因素。一般来说, 稀缺的资源往往具有更高的价值, 因为它们在市场中不易获得。对于企业来说, 如果其拥有的数据资源具备较高的稀缺性, 且竞争对手难以复制或获取, 这些数据就更有可能被视为具有显著的资产属性。稀缺性可以来源于数据的独特性、获取的难度、处理的复杂性或分析的深度等方面。稀缺性的数据资源往往能够为企业带来竞争优势, 帮助企业在市场中获得独特的地位。
(二) 程序要件
数据资源入表的程序要件, 指的是从原生态的数据开发成为可以入表的数据资源的核心环节, 包括数据治理、数据资产化和数据披露。
第一, 数据治理。数据治理是一个全面而系统的过程, 它确保数据资源在企业中的质量和安全性, 并保障其合规性。这一过程涉及制定一系列数据管理政策、流程和标准, 以确保数据从创建、存储、使用到销毁的每个阶段都保持高质量和一致性。
在数据资源入表的背景下, 数据治理尤为关键, 因为它帮助企业确保数据资源满足会计准则中对资产的定义和确认条件。根据《企业数据资源相关会计处理暂行规定》, 数据资源的入表需要依据其历史成本进行计量, 这意味着企业必须准确追踪和记录与数据资源获取、生产、加工和维护相关的所有成本。
为了实现这一目标, 企业需要建立一套完善的数据治理框架, 包括但不限于数据质量控制、数据安全防护、数据合规性检查以及数据价值评估。这通常涉及到数据分类、数据清洗、数据脱敏、数据整合、数据分析和数据可视化等多个环节。通过这些措施, 企业不仅能够提高数据的准确性和可靠性, 还能够确保数据资源的合法性和有效性, 从而为数据资源的入表打下坚实的基础。
此外, 良好的数据治理还有助于企业在财务报告中透明地披露数据资源的价值和相关风险, 增强投资者和其他利益相关者的信心。总之, 数据治理是数据资源入表不可或缺的一环, 它通过确保数据的质量和合规性, 支持企业在数字化转型中实现数据资产的最大化利用。
第二, 数据资产化。数据资产化是将数据资源转化为可以量化、管理和交易的资产的过程。这一过程涉及数据的收集、存储、管理、分析和应用, 旨在实现数据价值的最大化。数据资产化不仅包括技术层面的操作, 还涉及法律、经济和管理等多个维度, 以确保数据资源能够为企业带来经济利益。
在数据资产化的过程中, 首先需要对数据资源进行价值评估, 这包括对数据的潜在使用价值、可变现能力和稀缺性进行分析。数据资产的价值评估是确定其是否能够为企业带来未来经济利益的关键步骤。接下来, 企业需要对数据资源的成本进行归集和分摊, 这涉及到数据获取、处理、存储和分析等各个环节的成本核算。根据《企业数据资源相关会计处理暂行规定》(), 数据资源应当按照成本进行计量, 包括购买价款、相关税费以及数据加工过程中所发生的支出等。
数据资产化还需要依据会计准则和相关法规, 如《企业会计准则第6号——无形资产》和《企业会计准则第1号——存货》, 对数据资源进行分类和确认。这包括确定数据资源是否满足资产确认条件, 如可为企业带来经济利益、成本可计量等。企业还需要建立健全的数据资产管理制度, 包括数据的采集、处理、存储、传输、共享、披露和销毁等环节的管理, 确保数据资产的安全和合规使用。
第三, 数据披露。数据信息披露是企业透明度和责任感的重要体现, 它指的是企业在财务报告中公开其数据资源的存在、价值和相关风险。这包括数据资源的获取方式、使用情况、价值评估方法和结果, 以及可能对企业财务状况和经营成果产生影响的数据资源相关风险。数据披露提高企业的透明度, 增强投资者和其他利益相关者对企业数据资源价值和风险的理解。
数据信息披露一般包括: (1)制定披露政策, 即制定一套详细的数据信息披露政策, 明确哪些数据需要披露, 以及披露的频率和详细程度; (2)数据资源识别与分类, 即识别其持有的数据资源, 并根据其特性和用途进行分类, 以便在财务报告中正确列示; (3)数据价值评估, 即采用合适的方法对数据资源进行价值评估; (4)风险识别与管理, 即识别与数据资源相关的风险, 包括数据安全风险、合规风险等, 并在报告中披露这些风险及其管理措施。此外, 对于上市公司等可能还有其它法定的披露要求; 企业也可以在法定披露要求之外作额外披露。
三、数据入表的流程
数据资源入表, 通常按照以下程序开展。
首先, 数据界定。这一步骤涉及确定公司持有的数据范围, 这包括识别和界定公司所拥有或控制的所有数据类型和来源。接着, 需要设定初步的标准来筛选数据, 这些标准可能基于数据的相关性、重要性或其他业务特定的考量。此外, 对公司的数据资源进行全面的盘点和清算, 对数据资源进行初步的筛选和加工, 以确保只有符合公司业务需求和战略目标的数据被纳入进一步的处理流程。
其次, 数据评估。这一阶段包括质量评估和价值评估。质量评估要求对数据进行清洗、加工、整合和开发, 以确保数据资产的规范性、完整性、准确性、一致性、时效性和可访问性。这一过程通常参照《GBT36344-2018信息技术数据质量评价指标》等标准进行。价值评估则是通过市场比较法、成本法和收益法等方法对数据资产的价值进行评估, 以确定其在会计报表中的体现。
再次, 数据合规审查。这一步骤至关重要, 因为它涉及到数据的合法性、权益、安全性和流通性。合法性审查确保数据来源合法, 权益审查则关注数据可能涉及的知识产权、个人信息等权益, 并采取措施降低数据的敏感性。安全性审查关注数据处理过程中的安全管理和技术措施, 以保障数据的安全。流通性审查则是对数据流通可能遇到的障碍和风险进行评估。
接着, 数据计量。这个阶段旨在建立一个分类体系, 根据不同维度(如数据类型、业务相关性)对数据进行分类。同时, 选择适当的计量单位, 如数据质量、市场估值等, 对数据价值进行量化。
最后, 数据记账。这个阶段包括确定数据资产的会计科目和编制财务凭证。根据《企业数据资源相关会计处理暂行规定》, 根据数据资产的使用方式、途径以及是否存在权属转移, 来确定数据资产是作为无形资产还是存货进行会计处理。编制相应的会计凭证, 并将其纳入会计报表, 完成数据入表的过程。
整个过程是一个系统化的流程, 旨在确保数据的合规性、质量和价值得到准确评估, 并在会计报表中得到恰当的体现。
[1] 第一百二十七条 法律对数据、网络虚拟财产的保护有规定的, 依照其规定。
[2] 参见http://www.npc.gov.cn/c2/c30834/202106/t20210610_311888.html
[3] 参见http://www.npc.gov.cn/npc/c2/c30834/202108/t20210824_313198.html
[4] 第二条经营者在生产经营活动中, 应当遵循自愿、平等、公平、诚信的原则, 遵守法律和商业道德。
本法所称的不正当竞争行为, 是指经营者在生产经营活动中, 违反本法规定, 扰乱市场竞争秩序, 损害其他经营者或者消费者的合法权益的行为。
本法所称的经营者, 是指从事商品生产、经营或者提供服务(以下所称商品包括服务)的自然人、法人和非法人组织。
[5] 第十二条经营者利用网络从事生产经营活动, 应当遵守本法的各项规定。
经营者不得利用技术手段, 通过影响用户选择或者其他方式, 实施下列妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行的行为:
(一)未经其他经营者同意, 在其合法提供的网络产品或者服务中, 插入链接、强制进行目标跳转;
(二)误导、欺骗、强迫用户修改、关闭、卸载其他经营者合法提供的网络产品或者服务;
(三)恶意对其他经营者合法提供的网络产品或者服务实施不兼容;
(四)其他妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行的行为。
转载自上海市通力律师事务所 杨迅,夏雨薇,杨蕾,黄欣荣
本文(上)将首先介绍:
一. 从数据权益保护到数据入表的法律与实践
二. 数据入表的条件
三. 数据入表的程序
本文(下)还将介绍:
四. 数据入表的实践难点
五. 第三方平台与数据入表
六. 数据入表的后续问题
随着数据价值在实践中日益显现, 纵然在立法层面上数据权益的界定还是一个难题, 在司法、政策和实践层面数据权益保护和数据入表渐渐显现。
(一) 数据权益的法律性质
数据权益在现代社会中扮演着越来越重要的角色, 其法律性质和保护方式成为法律界和实务界关注的焦点。以下我们将从数据权益的法律性质、数据权益与知识产权之间的区别和联系, 以及数据的不正当竞争权益三个角度分析数据权益的内涵和外延。
1. 民法中数据权益的规定
《民法典》第127条[1]规定: “法律对数据、网络虚拟财产的保护有规定的, 依照其规定”。这是一条是一项宣示性、引致性条款, 但是《民法典》或特别法中并未对数据权益作出明确的规定。
《数据安全法》[2]提出了数据分类分级保护制度, 要求根据数据的重要程度和一旦遭到篡改、破坏、泄露或者非法获取、非法利用可能对国家安全、公共利益或者个人、组织合法权益造成的危害程度, 对数据实行分类分级保护。同时, 法律还规定了数据安全风险评估、报告、信息共享、监测预警和应急处置机制, 以及对数据出境的安全管理。但是, 《数据安全法》没有从民事角度规定界定数据的权益。
《个人信息保护法》[3]则专门针对个人信息的保护, 确立了个人信息处理活动的基本原则, 包括合法、正当、必要、诚信、目的限制、最小必要、质量、责任等原则。该法律详细规定了个人信息处理者的义务, 如确保个人信息处理活动合法、保护个人信息安全、指定个人信息保护负责人、进行合规审计等。此外, 法律还赋予个人在个人信息处理活动中的权利, 包括知情权、决定权、查阅复制权、可携带权、更正补充权、删除权、解释说明权等。但是, 《个人信息保护法》仅仅是从个人人身权的角度提出个人对其个人信息的权利, 而没有涉及财产性权益。
2. 数据权益和知识产权区别和联系
数据天然不是知识产权, 但是知识产权天然是保护数据最接近的手段。
数据和知识产权所保护的智力成果尤其相似之处:
首先, 数据和知识产权都有无形资产的特性。数据和知识产权都是无形资产, 它们不具备物理形态, 但具有潜在的经济价值。这种无形性使得它们与传统的有形资产(如土地、设备)有着本质的区别。数据通过信息的收集、处理和分析产生价值, 而知识产权则通过创新、创作或发明体现其价值。尽管它们不可见、不触摸, 但都能为企业带来竞争优势和经济利益。
其次, 数据和知识产权有可分割性。数据权益和知识产权都可以被无限分割, 允许多个主体在不同时间、不同地点、不同方式下使用。例如, 一项专利可以授权给多个制造商使用, 而一个数据库可以被多个用户同时访问和分析。这种分割性为许可和共享提供了可能性, 促进了知识的传播和数据的利用, 同时也为权利持有者创造了收入来源。
再次, 数据的法律保护和知识产权都是法律拟制。无论是数据权益还是知识产权, 它们都是由法律所创设的权利类型。知识产权如专利、商标、著作权等, 是通过法律赋予创新者或创作者一定期限的专有权利, 以激励创新和创作。同样, 数据权益也是在法律框架下定义和保护的, 确保数据的收集、处理和使用符合法律规定, 保护数据主体的权益。这些权利并非自然存在, 而是社会为了促进知识进步和数据利用, 通过法律手段人为设定的。
但是, 数据权益与知识产权仍然存在不同。
一方面, 数据权益并不要求创造性。与知识产权保护的课题不同, 数据的价值在于其对事实的呈现和使用方式, 而不在于其创造性。而, 知识产权如专利和著作权, 要求作品或发明具有一定程度的创造性和原创性。专利法保护的是新的技术方案或具有独创性的作品, 而数据权益则更多关注数据能够真实反映现实, 而不强调数据本身是否为新创造或具有原创性。
其次, 数据权益也没有保密性的要求。知识产权中的商业秘密就是一个典型例子, 它要求信息必须是非公开的, 并且权利人必须采取合理的保密措施来维护其秘密性。而数据权益则不一定要求保密性, 数据可以是公开的, 也可以是已经被广泛使用和共享的。数据的价值在于其能够为使用者带来信息、洞察力或决策支持, 而不是依赖于其保密性。
3. 数据在《反不正当竞争法》下的保护
数据权益还可以通过《反不正当竞争法》保护, 包括《反不正当竞争法》第二条[4]的原则性保护和和第十二条[5]对破坏正常服务的禁止性规定。在司法实践中处理数据相关争议时, 常见的数据表现形式包括: 用户的个人信息数据、由用户行为产生的数据、平台收集的数据, 以及对这些原始数据进行进一步加工处理后得到的衍生数据。判断原告是否拥有特定的数据权益, 主要依据以下几个标准: 其是否为涉案数据的合法运营者; 是否对数据进行了经济投入和提供了经营服务, 这包括但不限于数据的收集、存储、整理、管理、分发等经营性活动; 是否为保障数据安全投入了相应的成本; 以及是否进行了对数据的衍生性利用和开发。此外, 还需考虑原告与用户之间的协议是否涉及数据权属和使用的规定, 以及原告是否能够通过这些数据获得商业利益, 从而获得市场竞争优势。
在探讨数据权益保护的条件时, 我们通常从两个维度进行分析: 一是对数据的劳动或资本投入, 二是数据本身对持有人是否具有经济价值。这两个条件在实际案例中得到了充分的体现和验证。以淘宝与美景公司的案例为例, 淘宝公司不仅在用户数据的收集和分析上投入了大量的劳动和资本, 开发出了“生意参谋”这一数据产品, 而且这些产品是通过复杂的算法和深入的数据分析得到的, 因此淘宝公司对这些数据产品中的原始数据和衍生数据拥有独立的财产性权益。同时, 淘宝公司的“生意参谋”数据产品为商家提供了市场分析和经营决策的重要参考, 具有显著的商业价值。美景公司未经授权使用这些数据产品, 破坏了淘宝公司的商业模式, 构成了不正当竞争。法院最终判决美景公司赔偿淘宝公司的经济损失, 这一判决不仅彰显了数据的经济价值, 也体现了对数据权益保护的司法支持。
(二) 数据权益和数据入表的政策推动
纵然数据权益还没有法律层面被界定, 但是在政策层面上, 国家不断推出从数据权益保护、确权登记到数据作为企业资产入表的进步。
1. 数据二十条
2022年, 《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》(简称“数据二十条”)的发布, 标志着我国在数据要素保护和利用方面迈出了重要一步。这一政策文件旨在深化开放合作, 实现互利共赢, 并积极参与数据跨境流动国际规则的制定。它根据数据价值链的不同阶段, 创新性地提出了“数据资源持有权”、“数据加工使用权”和“数据产品经营权”三权分置的产权结构, 避免了直接涉及所有权的概念。
“数据二十条”的提出, 是为了适应数据作为新型生产要素的特点, 强调数据的使用权和流通性, 而不是单纯的所有权。这样的产权结构设计, 有助于平衡数据的开放共享与保护, 促进数据的有效利用和流通, 同时确保数据安全和个人隐私的保护。通过这种结构, 数据资源的原始收集者、加工者和使用者都能在法律框架内明确自己的权益, 从而激发市场活力, 推动数字经济的发展。
此外, “数据二十条”还提出了研究数据产权登记新方式, 这将有助于明确数据产权的归属, 为数据的知识产权保护提供基础。数据产权登记制度的建立, 为数据的确权、授权、交易等提供操作规范, 这对于数据要素市场的健康发展至关重要。
2. 知识产权登记
数据知识产权登记是中国在数据要素保护和利用方面的一项重要探索。自2022年起, 国家知识产权局确定了包括北京市、上海市、江苏省、浙江省、福建省、山东省、广东省、深圳市等在内的8个地方作为开展数据知识产权工作的试点, 这些试点地方在数据知识产权登记方面进行了积极的探索和实践。随着试点工作的深入, 试点地方范围也在逐步扩大。
2024年, 国家知识产权局战略规划司发布了《关于加强数据知识产权登记证书管理工作的通知》, 对数据知识产权登记证书进行了统一管理, 包括统一证书编号、格式和内容, 这一措施旨在优化数据知识产权登记证书的管理流程, 提高登记工作的效率和规范性。
在司法实践中, 数据知识产权登记证书的效力也得到了认可。北京互联网法院发布的全国首个涉《数据知识产权登记证》效力认定案件中, 法院确认了《数据知识产权登记证》对数据持有的证明效力。这意味着数据知识产权登记可以作为原告享有数据财产权益的初步证据, 也可以作为其数据收集行为或数据合法性来源的初步证据, 这为数据权益的司法保护提供了重要依据。
3. 会计确认
数据资源入表制度是中国在数字经济发展背景下的一项重要会计改革。2023年8月21日, 财政部颁布了《企业数据资源相关会计处理暂行规定》(以下简称《暂行规定》), 该规定将于2024年1月1日起施行。其主要目的是规范企业对数据资源的会计处理, 强化相关信息披露。根据《暂行规定》, 企业在将数据资源入表时, 可以依据数据资源的持有目的、形成方式、业务模式以及与数据资源相关的经济利益的预期消耗方式, 对相关交易和事项进行会计确认、计量和报告。这一规定的实施, 标志着数据资源的入表范围得到了实质性扩大, 原本不符合存货或无形资产条件的数据资源, 只要满足企业会计准则的确认条件, 就可以被确认为资产。
与《暂行规定》颁布之前相比, 传统的会计处理仅限于存货或无形资产等能够入表的项目。新规的实施将使得企业能够更准确地反映其财务状况和经营成果, 促进数据资源的规范化管理。此外, 企业在资产负债表中需要增设“数据资源”项目, 以便清晰展示其在存货和无形资产中的价值。
概言之, 知识产权的登记彰显了数据权益的对外公示力, 数据入表的政策推动涉及数据产权制度的建立。这些政策的实施有助于企业更好地管理和利用数据资产, 推动数据要素的市场化配置, 促进数字经济的发展。随着相关政策的不断完善和实施, 数据资产将成为企业财务报表中的重要组成部分, 为企业带来新的增长动能。
(三) 数据入表的现状
截至2024年8月31日, 已有41家公司在其半年报中披露了企业数据资源, 入表总额合计13.64亿元, 显示出数据资源入表的实践还处于起步阶段, 但增长迅速。
在行业和企业性质分布方面, 数据资源入表的实践主要集中在技术密集型行业和数据驱动型企业。科技行业, 尤其是互联网公司、云计算服务提供商、大数据分析公司等, 因其业务本身依赖数据的收集、分析和应用, 往往在数据资源管理上更具备优势。金融行业, 如银行、保险公司等金融机构, 通过数据驱动的风险控制和客户分析, 积累了大量有价值的用户数据。此外, 零售和电商领域的在线零售商和平台型公司依赖海量消费者行为数据进行精准营销、库存管理等, 也是数据资源入表的重要领域。医疗行业, 尤其是涉及电子病历和健康数据分析的公司, 也在积极探索数据资源的入表。
在2024半年报中披露“数据资源”相关情况的上市公司分布在15个行业中, 其中计算机行业的上市公司最多, 有12家, 其次是交通运输行业有4家上市公司, 通信、医药生物、传媒行业、建筑装饰行业各有3家上市公司, 电力设备、国防军工、商业贸易、机械设备行业各2家上市公司, 汽车、钢铁、纺织服装、化工和非银金融行业各分布1家上市公司。这表明数据资源入表的实践正在从数字经济核心领域向传统行业渗透, 数据资产化浪潮正在形成。
(四) 数据入表的实践难点
现实中, 很多企业在准备数据资源入表过程中遇到不少困难。
第一, 认识误区。在数据资源入表的探索过程中, 一些企业似乎陷入了一种误区, 即将数据资产化简单地视为追逐潮流或尝试创新的行为, 而忽视了与企业商业目标和长期战略的深度融合。这种做法往往难以实现数据资产的有效管理和价值最大化。在2024年的半年报中, 有5家上市公司因列示错误等原因撤销了数据资源的入表, 这反映出部分企业在数据入表决策上的仓促和盲目。
数据资源入表的核心目的, 应当是助力企业更有效地挖掘和实现数据的商业价值, 提升数据资产的运营效率和变现能力, 促进企业对数据的深入开发和应用。然而, 数据本身并不直接等同于资产。企业必须拥有成熟的数据管理体系、敏锐的市场洞察力、清晰的商业应用场景, 以及持续从数据中获取经济利益的能力, 才能确保数据资源向资本化转变, 实现其价值的最大化。只有这样, 数据资源入表才能真正发挥其应有的作用和意义。
第二, 合规障碍。在数据深度挖掘与价值释放的征途中, 企业面临着来自数据来源、内容、处理、管理到经营等各个环节的安全与合规性挑战。随着数据安全和个人信息保护相关法律法规的日益完善, 企业在数据的利用和处理上必须遵循更多的法律约束。以《个人信息保护法》为例, 其对个人信息的收集、存储、使用、加工、传输、提供、公开、删除等环节均设有严格的规范。
然而, 众多企业在历史数据的积累上, 由于以往法律法规的不健全, 未能对数据的来源和使用权限进行明确记录, 导致这些数据在权属界定、合规性、安全性等方面存在模糊地带, 这对数据资产化的道路构成了障碍。为了确保数据资产化过程的顺利进行, 企业必须对现有数据进行全面的审视和合规性评估, 采取适当措施, 确保每一环节都符合最新的法律法规要求, 从而为企业的数据资产化奠定坚实的基础。
第三, 估值困难。数据资源的估值是其入表过程中的一个关键难题。与传统的有形资产不同, 如设备和土地等, 数据资源的价值评估尚未建立一个普遍接受的标准化体系, 这导致了数据资源的价值评估带有强烈的主观特性。除通常的考虑的成本和市场供求关系等因素, 数据的商业价值受其用途、时效性、完整性、稀缺性等内在因素影响。尤其是, 同样一个数据集, 不同的使用方式和使用目的下, 其价值可能有巨大差异。尽管目前已存在一些成熟的无形资产评估方法和模型, 但传统的会计估值技术, 例如历史成本法、市场比较法等, 并不完全适用于数据资源的估值。数据资源的独特性要求我们采用更为精细化和专业化的评估方法。
因此, 数据资源入表的过程需要依赖于专业人士的深入分析和判断。他们需要明确界定何为“数据资产”, 并将其与传统数据区分开来, 精准识别出哪些数据能够为企业带来经济价值, 以及这些数据价值的具体额度, 从而确保只有真正能够为企业带来经济效益的数据资源才能作为资产被纳入财务报表。这一过程不仅需要专业的技术知识, 还需要对市场动态和行业趋势有深刻的理解。
第四, 技术不到位。数据资产化进程离不开坚实的技术支撑, 这涵盖了数据采集、存储、清洗、分析及保护等关键环节。特别是在处理大规模数据管理和分析时, 企业的技术实力直接关乎数据的质量和有效性。举例来说, 企业若缺乏高效的数据治理架构和数据中台技术, 就可能面临部门间数据壁垒难以打破、形成信息孤岛的问题。同时, 对隐私计算、区块链、可信计算等前沿技术的探索和应用不足, 可能会使数据交易的基础架构隐藏着安全隐患, 这些问题都需要企业给予足够的重视和及时的解决。
第五, 安全制度缺失。构建一个周全的数据安全体系, 既需依托于加密技术、访问控制和防火墙等技术手段, 也需同步推进精细的管理流程和全面的风险控制措施, 确保数据从产生到消亡的每个环节都得到严格管控。然而, 当前不少企业在数据安全体系的构建和实施可信的安全措施方面, 仍显欠缺, 这不仅使得数据资产面临外部侵袭的威胁, 也增加了在数据交换与流通过程中发生泄露的风险。
第六, 法律不明确。数据资源的法律地位尚未完全界定, 现有的法律体系主要围绕个人信息等人格权的保护展开, 而对于企业所持有的商业数据、行业数据、用户行为数据等的权益划分则缺乏明确指导。这种模糊性在数据资产化过程中造成了挑战, 企业在数据入表时往往难以确立对数据的全面控制权。特别是当数据的生成和应用涉及多个主体, 例如公开数据或通过网络爬虫合法获取的数据, 其归属权和使用权的界定则变得更加错综复杂。
下面从实质要件和程序要件两个方面介绍数据资源入表的先决条件。
(一) 实质要件
根据《企业数据资源相关会计处理暂行规定》, 数据入表的适用范围为: “企业按照企业会计准则相关规定确认为无形资产或存货等资产类别的数据资源, 以及企业合法拥有或控制的、预期会给企业带来经济利益的、但由于不满足企业会计准则相关资产确认条件而未确认为资产的数据资源的相关会计处理。”
可见, 可以入表的数据资源的条件包括: (1)“合法”, 即数据的来源、使用和目的必须合法合规; (2)“拥有或控制”, 这意味着数据必须有其边界, 且企业必须对数据有实际控制力; 以及(3)价值性, 即能给企业带来价值。
1. 合规性
数据资源的合规性包括数据来源合规、使用合规和目的合规。
第一, 数据来源合规。
首先, 从数据收集手段看, 合规性要求企业所掌握的数据必须是通过合法途径获取的, 并且要遵循数据收集过程中的法律和伦理规范。合规的数据来源要求企业对数据的获取方式、收集目的和使用范围给予特别关注。这意味着数据收集必须基于合法授权, 例如, 《个人信息保护法》规定, 除非在特定法定情况下, 企业在收集个人信息之前必须获得个人的明确同意, 并且这种同意应当是在个人充分了解情况的基础上自愿和明确表示的。同时, 在确保获取方式合规的基础上, 收集和处理数据还必须有正当的理由。正当理由指的是数据收集的目的必须是明确和合法的, 遵循最小必要原则, 即只收集实现目的所必需的最少量数据。此外, 在数据处理过程中, 还应关注数据的可用性。例如, 与数据主体的合同中可能规定了数据的保密义务和使用限制, 或者法律对某些特定类型的数据(如病患数据)的使用有严格的限制。违反这些规定可能会引起违约、侵权行为, 甚至面临行政处罚和刑事责任。
其次, 企业从第三方购买或获取数据的, 应当适当评估这些第三方的数据来源的合法性。如果第三方的数据来源不合规, 数据资源将无法进行入表操作。因此, 在采购第三方数据时, 企业应进行严格的数据处理、数据权属的尽职调查, 确保对方遵守了相关的法律规定, 并且在合同中明确数据来源的合法性。
再次, 如果数据的收集涉及数据跨境流通的, 需要注意数据来源国关于数据出境的监管要求。对于跨国企业来说, 数据的跨境传输必须符合不同国家和地区的数据保护法律。例如, 根据GDPR, 企业在将数据传输到欧盟以外的国家时, 必须确保接收国的数据保护水平符合欧盟的标准。
第二, 数据使用合规。
合规使用数据不仅涵盖企业内部的数据运用, 也包括与第三方的共享、处理等各个环节。若使用不当, 数据资产化可能会遭遇法律和商业风险。
企业在使用数据时, 必须确保其使用范围和目的与收集数据时获得的授权相一致。例如, 如果企业在收集用户个人信息时声明这些数据将用于提升产品体验, 那么未经用户重新同意, 不得将数据用于其他目的, 如广告推广或数据销售。
在数据委托处理的情况下, 企业应通过合同严格限定受托方的使用范围。比如, 当企业将用户数据交给外包服务商进行分析时, 必须与这些第三方签订数据处理协议, 明确数据的使用范围、保密义务和责任分配。
数据的保留期限和销毁方法也必须遵循相关法律规定。例如, 《个人信息保护法》规定, 数据处理者不得无限制地保存个人信息, 个人信息的保存期限应为实现处理目的所必需的最短时间。
在某些情况下, 企业可以通过对个人信息进行匿名化处理来减少隐私风险, 并扩展数据的应用范围。匿名化是指对个人信息进行处理, 使其无法识别特定个人且无法复原, 从而降低数据使用时的合规性要求。
第三, 目的合规。
数据的目的合规要求企业在收集和使用数据时必须确保其目的的合法性和合规性。
一方面, 数据的使用目的本身必须合法合规, 不能用于非法目的, 例如诈骗; 不应导致违法结果, 比如泄露国家机密, 亦不能侵犯他人的合法权益, 比如使用大数据歧视性定价等。
另一方面, 数据的使用目的不能超过收集时的承诺或其他合理范围。根据《个人信息保护法》的规定, 收集个人信息应当限于实现处理目的的最小范围, 不得过度收集个人信息。这表明企业在收集数据时, 必须明确告知数据主体收集数据的目的, 并在数据主体充分知情的前提下获得其同意。任何改变处理目的的行为, 都必须重新经过个人的同意, 以确保数据处理活动的合法性和透明性。在某些情况下, 数据的使用目的也可能受到合同的限制。例如, 企业从其他第三方处获取数据时, 合同中可能会规定数据的具体用途限制。这要求企业在使用第三方数据时, 必须遵守合同约定, 不能超出约定的使用范围。
此外, 企业在使用数据时, 必须确保其使用范围和目的与数据收集时获得的授权一致。例如, 如果企业在收集用户个人信息时声明这些数据将用于改善产品体验, 那么在未重新获得用户同意的前提下, 不能将这些数据用于其他目的, 如广告或数据销售。
2. 安全性和控制力
安全性是数据资产化的另一个关键条件。作为数据资源入表的要件之一, 企业必须展示出对数据资源的全面控制能力, 这不仅包括对数据访问的直接管理, 还涉及到对数据发布、使用以及对外分享的严格监管。此外, 企业还需确保数据资源的安全性和可靠性, 以及对数据丢失风险的有效控制。具体来说, 安全性可以从以下几个方面考察:
首先, 制度建设: 企业应建立和完善一套全面的数据安全管理体系。这套体系应覆盖数据的全生命周期, 包括收集、存储、处理、访问和销毁等各个环节, 以确保数据在每个阶段都得到充分的保护。这不仅旨在防止数据的丢失或泄露, 也包括防止数据被非法篡改或未经授权的使用。有效的数据安全制度可能包括数据安全政策、数据分类与分级制度、以及数据访问控制流程等。
其次, 技术保障: 数据安全同样依赖于强大的技术支持。在数据资产化的过程中, 企业必须构建坚实的技术基础来保护数据, 这可能包括数据加密、数据备份、身份验证、多因素认证、访问控制、异常检测、防火墙、区块链和隐私计算等技术。随着云计算和远程存储技术的广泛应用, 云端数据的安全性也成为了一个不容忽视的重要方面。
再次, 风险管理: 企业需要定期对数据安全状况进行评估和审计, 识别潜在的安全风险, 并制定相应的应急预案来应对可能的数据泄露或攻击事件。风险管理还应包括对数据合规风险的管理, 比如在处理敏感个人信息时, 如何进行个人信息保护影响评估, 以及如何记录处理活动以确保符合个人信息保护法规的要求。
最后, 员工培训: 许多数据泄露事件并非由技术缺陷引起, 而是由于员工缺乏足够的安全意识。因此, 企业必须定期对员工进行数据安全培训, 确保他们理解如何保护数据, 并能够遵守企业制定的数据安全规程。
3. 资产属性
数据的价值是数据资源入表的必要前提, 这是因为数据资产化是企业将数据资源纳入财务报表的过程, 这要求数据资源必须具备一定的经济价值。数据的价值的判断包括其潜在的使用价值、可变现的能力、以及相对的稀缺性。
其一, 价值性。数据资源的价值性是其能否作为资产入表的核心。数据的价值性体现在其能够为企业创造的潜在经济利益上。例如, 通过大数据分析, 企业可以获得更精确的市场洞察, 优化供应链管理, 提升产品服务的精准度, 甚至开发出新的业务模式。这些潜在的经济利益是数据资源作为资产入表的重要依据。数据资源的价值性不仅体现在直接的经济效益上, 还体现在其对企业战略决策的支持、对产品创新的推动以及对客户体验的改善等方面。
其二, 可变现性。数据的可变现性是指企业是否能够通过出售、交换或其他方式将数据资源转化为现金或其他形式的资产。对于某些类型的数据, 例如用户行为数据或市场调研数据, 企业可以通过出售实现变现。还有一些数据资源可能具有一定的独占性, 企业可以通过许可或授权的方式将其转化为经济利益。然而, 数据的可变现性并不总是外部显化的。例如, 某些内部运营数据可能仅对企业自身具有价值, 但并不适合对外出售。在这种情况下, 企业需要证明这些数据虽然不直接变现, 但通过提升内部效率或降低运营成本, 也能为企业带来间接的经济利益。因此, 数据的可变现性并非单一维度的考量, 而是需要结合具体的商业场景进行综合评估。
其三, 稀缺性。在某些情况下, 数据的稀缺性和独占性也是评估其是否具有资产属性的重要因素。一般来说, 稀缺的资源往往具有更高的价值, 因为它们在市场中不易获得。对于企业来说, 如果其拥有的数据资源具备较高的稀缺性, 且竞争对手难以复制或获取, 这些数据就更有可能被视为具有显著的资产属性。稀缺性可以来源于数据的独特性、获取的难度、处理的复杂性或分析的深度等方面。稀缺性的数据资源往往能够为企业带来竞争优势, 帮助企业在市场中获得独特的地位。
(二) 程序要件
数据资源入表的程序要件, 指的是从原生态的数据开发成为可以入表的数据资源的核心环节, 包括数据治理、数据资产化和数据披露。
第一, 数据治理。数据治理是一个全面而系统的过程, 它确保数据资源在企业中的质量和安全性, 并保障其合规性。这一过程涉及制定一系列数据管理政策、流程和标准, 以确保数据从创建、存储、使用到销毁的每个阶段都保持高质量和一致性。
在数据资源入表的背景下, 数据治理尤为关键, 因为它帮助企业确保数据资源满足会计准则中对资产的定义和确认条件。根据《企业数据资源相关会计处理暂行规定》, 数据资源的入表需要依据其历史成本进行计量, 这意味着企业必须准确追踪和记录与数据资源获取、生产、加工和维护相关的所有成本。
为了实现这一目标, 企业需要建立一套完善的数据治理框架, 包括但不限于数据质量控制、数据安全防护、数据合规性检查以及数据价值评估。这通常涉及到数据分类、数据清洗、数据脱敏、数据整合、数据分析和数据可视化等多个环节。通过这些措施, 企业不仅能够提高数据的准确性和可靠性, 还能够确保数据资源的合法性和有效性, 从而为数据资源的入表打下坚实的基础。
此外, 良好的数据治理还有助于企业在财务报告中透明地披露数据资源的价值和相关风险, 增强投资者和其他利益相关者的信心。总之, 数据治理是数据资源入表不可或缺的一环, 它通过确保数据的质量和合规性, 支持企业在数字化转型中实现数据资产的最大化利用。
第二, 数据资产化。数据资产化是将数据资源转化为可以量化、管理和交易的资产的过程。这一过程涉及数据的收集、存储、管理、分析和应用, 旨在实现数据价值的最大化。数据资产化不仅包括技术层面的操作, 还涉及法律、经济和管理等多个维度, 以确保数据资源能够为企业带来经济利益。
在数据资产化的过程中, 首先需要对数据资源进行价值评估, 这包括对数据的潜在使用价值、可变现能力和稀缺性进行分析。数据资产的价值评估是确定其是否能够为企业带来未来经济利益的关键步骤。接下来, 企业需要对数据资源的成本进行归集和分摊, 这涉及到数据获取、处理、存储和分析等各个环节的成本核算。根据《企业数据资源相关会计处理暂行规定》(), 数据资源应当按照成本进行计量, 包括购买价款、相关税费以及数据加工过程中所发生的支出等。
数据资产化还需要依据会计准则和相关法规, 如《企业会计准则第6号——无形资产》和《企业会计准则第1号——存货》, 对数据资源进行分类和确认。这包括确定数据资源是否满足资产确认条件, 如可为企业带来经济利益、成本可计量等。企业还需要建立健全的数据资产管理制度, 包括数据的采集、处理、存储、传输、共享、披露和销毁等环节的管理, 确保数据资产的安全和合规使用。
第三, 数据披露。数据信息披露是企业透明度和责任感的重要体现, 它指的是企业在财务报告中公开其数据资源的存在、价值和相关风险。这包括数据资源的获取方式、使用情况、价值评估方法和结果, 以及可能对企业财务状况和经营成果产生影响的数据资源相关风险。数据披露提高企业的透明度, 增强投资者和其他利益相关者对企业数据资源价值和风险的理解。
数据信息披露一般包括: (1)制定披露政策, 即制定一套详细的数据信息披露政策, 明确哪些数据需要披露, 以及披露的频率和详细程度; (2)数据资源识别与分类, 即识别其持有的数据资源, 并根据其特性和用途进行分类, 以便在财务报告中正确列示; (3)数据价值评估, 即采用合适的方法对数据资源进行价值评估; (4)风险识别与管理, 即识别与数据资源相关的风险, 包括数据安全风险、合规风险等, 并在报告中披露这些风险及其管理措施。此外, 对于上市公司等可能还有其它法定的披露要求; 企业也可以在法定披露要求之外作额外披露。
数据资源入表, 通常按照以下程序开展。
首先, 数据界定。这一步骤涉及确定公司持有的数据范围, 这包括识别和界定公司所拥有或控制的所有数据类型和来源。接着, 需要设定初步的标准来筛选数据, 这些标准可能基于数据的相关性、重要性或其他业务特定的考量。此外, 对公司的数据资源进行全面的盘点和清算, 对数据资源进行初步的筛选和加工, 以确保只有符合公司业务需求和战略目标的数据被纳入进一步的处理流程。
其次, 数据评估。这一阶段包括质量评估和价值评估。质量评估要求对数据进行清洗、加工、整合和开发, 以确保数据资产的规范性、完整性、准确性、一致性、时效性和可访问性。这一过程通常参照《GBT36344-2018信息技术数据质量评价指标》等标准进行。价值评估则是通过市场比较法、成本法和收益法等方法对数据资产的价值进行评估, 以确定其在会计报表中的体现。
再次, 数据合规审查。这一步骤至关重要, 因为它涉及到数据的合法性、权益、安全性和流通性。合法性审查确保数据来源合法, 权益审查则关注数据可能涉及的知识产权、个人信息等权益, 并采取措施降低数据的敏感性。安全性审查关注数据处理过程中的安全管理和技术措施, 以保障数据的安全。流通性审查则是对数据流通可能遇到的障碍和风险进行评估。
接着, 数据计量。这个阶段旨在建立一个分类体系, 根据不同维度(如数据类型、业务相关性)对数据进行分类。同时, 选择适当的计量单位, 如数据质量、市场估值等, 对数据价值进行量化。
最后, 数据记账。这个阶段包括确定数据资产的会计科目和编制财务凭证。根据《企业数据资源相关会计处理暂行规定》, 根据数据资产的使用方式、途径以及是否存在权属转移, 来确定数据资产是作为无形资产还是存货进行会计处理。编制相应的会计凭证, 并将其纳入会计报表, 完成数据入表的过程。
整个过程是一个系统化的流程, 旨在确保数据的合规性、质量和价值得到准确评估, 并在会计报表中得到恰当的体现。
[1] 第一百二十七条 法律对数据、网络虚拟财产的保护有规定的, 依照其规定。
[2] 参见http://www.npc.gov.cn/c2/c30834/202106/t20210610_311888.html
[3] 参见http://www.npc.gov.cn/npc/c2/c30834/202108/t20210824_313198.html
[4] 第二条经营者在生产经营活动中, 应当遵循自愿、平等、公平、诚信的原则, 遵守法律和商业道德。
本法所称的不正当竞争行为, 是指经营者在生产经营活动中, 违反本法规定, 扰乱市场竞争秩序, 损害其他经营者或者消费者的合法权益的行为。
本法所称的经营者, 是指从事商品生产、经营或者提供服务(以下所称商品包括服务)的自然人、法人和非法人组织。
[5] 第十二条经营者利用网络从事生产经营活动, 应当遵守本法的各项规定。
经营者不得利用技术手段, 通过影响用户选择或者其他方式, 实施下列妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行的行为:
(一)未经其他经营者同意, 在其合法提供的网络产品或者服务中, 插入链接、强制进行目标跳转;
(二)误导、欺骗、强迫用户修改、关闭、卸载其他经营者合法提供的网络产品或者服务;
(三)恶意对其他经营者合法提供的网络产品或者服务实施不兼容;
(四)其他妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行的行为。
转载自上海市通力律师事务所 杨迅,夏雨薇,杨蕾,黄欣荣
上一篇:已经是第一篇下一篇:管理人在破产案件中的履职智慧
本文2024-10-06 15:56:06发表“律法实务”栏目。
本文链接:https://www.cmprt.cn/article/0a05e5d63c177230.html
您需要登录后才可以发表评论, 登录 或者 注册
最新文档
最新实务
