闫丽萍等:理解企业数据资产入表的前提:企业合法拥有/控制数据

发布时间: 2024.03.15

引言


随着信息技术不断更新迭代,数据在推动数字经济发展的过程中发挥着愈发不可替代的作用。2022年12月19日,中共中央、国务院印发《关于构建数据基础制度更好发挥数据要素作用的意见》(简称“数据二十条”),对数据基础制度做了全面部署,其中数据产权制度的核心是建立公共数据、企业数据、个人数据确权授权机制,构建“数据资源持有权、数据加工使用权、数据产品经营权”三权结构性分置制度。其中第十八条“加大政策支持力度”中就首次明确提出了“探索数据资产入表新模式”。为进一步落实“数据二十条”的要求,2023年8月1日,财政部印发了《企业数据资源相关会计处理暂行规定》(财会〔2023〕11号)(以下简称《暂行规定》),该规定已于2024年1月1日正式施行。从国家层面而言,数据资产入表具有重要的战略意义,而对于作为独立经济主体的企业,数据资产亦愈发凸显其重要价值,依法依规做好数据资产的入表工作,将成为助推企业进一步发展的新动力。2023年9月8日,中评协发布《数据资产评估指导意见》(以下简称《指导意见》),其中明确了数据资产的定义:“数据资产是指特定主体合法拥有或者控制的,能进行货币计量的,且能带来直接或者间接经济利益的数据资源。”当中首要条件即要求必须是特定主体“合法拥有与控制”,而当前我国法律并未明确规定数据权属,因此如何理解这里的“合法拥有与控制”成为企业数据资产入表的关键。对此,本文拟结合数据资产登记实践以及相关的法律法规进行分析讨论,以期能有所启发。


 部分实践案例梳理


自《暂行规定》发布以来,我国各省市已有多家企业成功完成了数据资产入表工作。


640.png

640.png


合法拥有/控制的形式标准:数据(知识)产权登记


企业会计准则——基本准则》第二十条规定了资产的定义及确认条件:资产是指企业过去的交易或者事项形成的、由企业拥有或者控制的、预期会给企业带来经济利益的资源;同时该条款解释了何为“企业拥有与控制”:指企业享有某项资源的所有权,或者虽然不享有某项资源的所有权,但该资源能被企业所控制。因此,在《指导意见》中所规定的数据资产的“合法拥有”同样应当指的数据的“所有权”。但由于数据确权的复杂性,我国至今也未能从法律层面确定数据权益的最终归属。“数据二十条”提出构建“三权分置”的中国特色数据产权框架制度,对未来数据权益制度的构建具有重要的理论和实践指导意义。与此同时,“数据二十条”还提出“研究数据产权登记新方式。”数据产权登记是数据确权的重要部分,具有一定的权属证明功能,正如《深圳市数据产权登记管理暂行办法》所规定的:“经登记机构审核后获取的数据资源或数据产品登记证书、数据资源许可凭证,可作为数据交易、融资抵押、数据资产入表、会计核算、争议仲裁的依据。”因此,数据(知识)产权可以成为证明企业“合法拥有/控制”的形式标准。当前实践主要存在五种登记方法:

一是数据知识产权登记。数据知识产权登记制度主要借助知识产权制度进行数据权益保护。2022年11月,国家知识产权局官网发布《国家知识产权局办公室关于确定数据知识产权工作试点地方的通知》,北京市、上海市、江苏省、浙江省、福建省、山东省、广东省、深圳市8地开展数据知识产权工作试点。2023年4月,江苏省发布《江苏省数据知识产权登记管理规则(试行(征求意见稿)》;2023年5月,北京市发布《北京市数据知识产权登记管理办法(试行)》,浙江省发布《浙江省数据知识产权登记办法(试行)》;2023年9月,天津市发布《天津市数据知识产权登记办法(试行)(征求意见稿)》,广东省发布《广东省数据知识产权登记服务指引(试行)》。

二是数据资产登记。例如广东省政务服务数据管理局于2022年6月发布的《广东省公共数据资产登记与评估试点工作指引(试行)》。指引明确规定公共数据资产登记和评估各个环节的工作要求和具体流程。由广东省政务服务数据管理局对按照上述指引申请登记的数据资产进行审核、公示、登记和效果监测,对通过必要审核流程的公共数据资产予以登记并制发数据资产登记证书。同年8月,向全省首个公共数据运营服务商颁发全省首批《公共数据资产登记证书》,实现公共数据资产入市流通。

三是数据产品登记方式。2023年12月,海南省大数据管理局印发全国首部明确开展数据产品所有权确权登记的政策文件《海南省数据产品超市数据产品确权登记实施细则(暂行)》,主张对经过加工处理、数据关联对象授权清晰、数据来源可靠、可计量、具有经济社会价值的数据产品的所有权进行确权,明确申请对象对拥有的数据产品享有占有、使用、收益和依法处分的权利,使得海南数据产品具备“可计量、可控制、可收益”的特性。

四是数据资源公证方式。江西省司法厅在数据资源登记方式上另辟蹊径,通过构建省级的数据资源登记平台,率先探索依托公证法律服务资源构建数据产权法治化、智能化、智慧化运行管理机制,并于2023年8月21日成功完成全国首例数据资源公证登记。公证公信力来自于《公证法》第二条授予的法定证明权,《民事诉讼法》第七十二条还规定了公证证据的推定性和优先性。将公证法律制度的公信力融入数据资源登记还能够为后续数据资源入表提供重要参考信息。

五是数据要素的综合登记。2023年8月,贵州省发布《贵州省数据要素登记管理办法(试行)》(征求意见稿)。《办法》明确登记对象为数据资源、算法模型、算力资源以及综合形成的产品和服务等数据要素,登记主体为发起登记行为的自然人、法人和其他组织。同时,《办法》明确贵州省大数据发展管理局为主管部门,贵州省数据流通交易服务中心承担登记工作。明确规定,登记凭证具备唯一标识符,可以作为登记主体开展数据流通交易、数据资产质押贷款、数据资产入表、数据信托、争议仲裁、数据要素型企业认定、数据生产要素核算的依据。


合法拥有/控制的实质标准:具备数据处理的合法性基础


以数据(知识)产权的登记为基础的形式标准可以在一定程度上化解数据资产入表的确权难的问题,但由于相关制度实践还处于探索阶段,而且只有少部分地区在推进相关制度建设,并且标准各异,致使难以有效地全面推开后续数据资产化工作的进行。为此,我们应当进一步地审视并明确企业数据资产的“合法拥有/控制”的实质标准,为企业数据资产入表工作做好前提性准备。企业拥有/控制数据本质目的是对数据进行处理,合法拥有/控制数据实质上就是需要保证企业处理数据具有合法性基础。

企业数据不同于个人数据来源的单一性,其构成相对复杂。企业数据按照来源大致可以分为内部数据与外部数据。内部数据主要是指企业在开展自身业务活动的过程中自行产生的业务数据、管理数据,例如“成都金牛城市建设投资经营集团有限公司”的“内部智慧水务监测数据以及运营数据”“重庆巴渝数智城市运营服务有限公司”的“停车数据”。内部数据从诞生之初就由企业所掌握,因此企业对自身的内部数据具有处理的合法性基础不应存在疑问,但同时也要确保企业的数据生产和处理行为合法,不存在侵犯第三方合法权益的行为。

外部数据主要是指企业在同外界交互的过程中产生的数据。在日常的经营活动中,企业会跟各个相关方产生交互活动:企业的业务活动主要涉及客户(外部主体的一类)、业务合作伙伴;企业的管理、经营活动则会跟企业员工、政府机构、其他机构等进行交互,在交互的过程中会留存相应的信息,并通过数据予以体现。对于外部数据,按照数据获取的合意与否,又可以划分为合意流通数据与非合意流通数据。前者主要是指企业同外部主体按照合同约定或者其他在双方意思表示达成一致的情形下获取的数据;后者主要是指企业利用网络爬虫等技术手段从互联网上获取公开数据的方式。合意流通数据往往会在合同中约定数据的处理权限以及具体的处理规则,合意可以成为数据流通的合法性依据。对于非合意流通的数据类型,往往涉及公开数据的权益保护问题,实践中多体现为不正当竞争纠纷。对此,我们可以结合实践中常见的企业持有的数据进行分析讨论,以明确相关的合法性基础。企业所持有的外部数据往往包括个人信息、政府数据以及其他企业的数据。


(一) 个人信息


企业收集处理个人信息,必须履行相应的义务以获取合法性基础,且须遵循法律法规所规定的数据处理规则,以确保始终具备数据处理的合法基础。根据《个人信息保护法》的相关规定,企业收集处理个人信息必须履行充分的告知义务,需要收集个人信息的企业应制定明确的个人信息保护政策或《隐私政策》,真实、准确、完整地向用户告知企业的基本情况、个人信息收集、使用目的、范围及场景、个人信息处理方式及规则、对外共享及披露情形、个人信息主体权利保障机制、投诉处理渠道等。个人信息保护政策应公开发布且应送达个人信息主体,由用户在注册或首次运行产品时阅读并勾选同意后才可继续使用。如涉及个人信息会被用于用户画像和个性化展示的,则应在《隐私政策》中征得用户的同意,充分保障用户知情权;而在进行自动化决策前,应当就自动化决策的透明和公平性做好充分说明。另外还需注意,《个人信息保护法》要求对于收集个人敏感信息的,应取得用户的单独同意,因此企业不能采取过去的打包式的同意,而应单独提示用户勾选同意。同时,企业还需要确保个人信息的收集具有明确、合理的目的,并遵循合法正当、最小必要等原则。具体要求包括:1. 基于个人同意处理个人信息的,仅收集与实现产品或服务的业务功能直接相关的个人信息,并且限于实现处理目的最短周期、最低频次,采取对个人权益影响最小的方式;2. 数据交易提供方应当按照法律法规要求获得个人信息主体的同意或单独同意,并能够提供相关证明材料;3. 交易数据涉及个人信息处理的,应当事先进行个人信息保护影响评估或取得个人信息保护认证;4. 采取去标识化、匿名化等安全技术措施,防止未经授权的访问以及个人信息泄露、篡改和丢失。


(二) 政府数据


    政府数据的流动方式主要有三种,分别是政府数据的共享、开放以及授权运营。[1]政府数据的共享主要是政府内部之间不同层级、不同部门的数据流动;政府数据的开放以及授权运营形式则会推动数据流向企业。政府数据开放多为免费性质,例如《深圳市政府数据开放平台服务条款》规定用户权利:“现阶段,用户有权免费获取开放平台所提供的数据资源,享有数据资源的非排他使用权。”因此,通过开放方式获取的政府数据具有明确的合法性基础。政府数据的授权运营则是政府数据提供给特定市场主体进行市场化运营,其他市场主体、社会机构和个人通过“可用不可见”的方式使用政府数据。涉及主体包括数据提供方、数据运营方、数据使用方和政府数据授权运营管理机构。数据提供方依然是政府部门;数据运营方是获得授权的市场主体;数据使用方包括市场和社会主体。企业通过授权运营的方式处理数据必然需要获得明确的授权,此即为企业处理政府数据的又一合法性基础。同时,企业还须遵循政府数据授权运营所规定的相关义务:例如《上海市数据条例》规定被授权的企业必须在授权的范围内开展业务;依法履行个人隐私、个人信息、商业秘密、保密商务信息数据保护义务以及其他数据安全义务。


(三) 企业数据


一个企业还可以通过采购、共享或者授权许可的方式获取其他企业的数据,典型如通过Open API的方式实现数据的流动。通过授权方式获取数据必须严格遵循相关协议,否则可能承担相应的法律责任,司法实践中的代表性案例为“新浪微博诉脉脉案”[2],淘友公司违反《开发者协议》约定,超出授权范围大量抓取微博用户的职业信息和教育信息,最终认定被告的行为构成不正当竞争。

除此之外,企业还可以通过爬虫手段抓取互联网的公开数据,对于这部分数据,由于数据权属未能最终确认,司法实践通常也常常按照“不正当竞争”纠纷进行处理,“大众点评诉百度”案即为典例。[3]对于采用网络爬虫等自动化工具从互联网公开渠道收集的数据,企业应当注意以下两个方面:一是爬取对象。判断对象是否属于他人拥有著作权的作品(文字、图片、音视频等),是否属于他人的商业秘密,是否为未合法公开的个人信息,是否是竞争对手投入成本而形成的具有商业价值的商业资源。如果爬虫对象涉及上述内容,只能抓取合法公开或获得明确授权许可的部分,并依法对个人敏感信息进行脱敏处理,而对于他人未公开的隐私、商业秘密等内容应及时停止访问、收集并删除不慎爬取的内容。二是爬取手段。需要注意使用爬虫技术的具体行为是否违反了网站的Robots协议,是否突破、破坏了对方反爬虫技术措施,是否会对他人计算机信息系统的正常运行造成严重影响。使用爬虫技术爬取他人网站、系统内容时,应当控制访问规模、访问频次,避免给对方服务器造成较大压力,影响被访问网站、系统的正常运行。


合规建议


《暂行规定》构建了数据资产会计处理的基础框架,但对一些细节性的问题还未明确,比如数据的确权和定价,这同时也给了企业充分的自由度与空间。基于《暂行规定》的落地,我们还是得提醒企业:简单费用化数据资产的处理方式目前已不再合理合规。根据《暂行规定》给企业以下几点建议:

1. 明确数据权属。根据《关于构建数据基础制度更好发挥数据要素作用的意见》,数据资源的权属在法律上呈现多元化倾向。企业可以获得对数据资源的权利,如数据资源持有权、数据加工使用权、数据产品经营权等。虽然这些权利并非所有权,但企业可以证明其对某项数据资源的使用,并有权获得在使用期间内因使用该数据资源所产生的几乎全部经济利益,进而将数据资源纳入资产范围,实现数据资产化。

2. 提高数据治理能力,自觉建立健全企业数据合规体系。企业首先需要遵守《个人信息保护法》《数据安全法》等法律法规,做到:首先,企业获取数据的行为应当遵守相关法律法规的要求,确保不侵犯其他方的合法权益。如果法律法规对该项数据的采集要求企业获得授权,企业必须明确已取得相关主体的授权;其次,企业处理数据的行为应当坚持合法、必要的原则,不得超出数据来源方授权同意的范围处理数据;再次,企业在存储数据资源时应当确认其是否已经取得存储该等数据资源所需的相应资格、资质或许可,并且在数据资源的存储、使用过程中保证数据安全,降低发生数据信息泄露的风险;最后,企业在日常生产经营活动中必须搭建企业数据合规管理体系,明确企业内部各部门、机构在数据资源管理方面的职责,对与数据资源有关的风险进行识别、评估、监控和处置,在个人信息收集合规、企业数据存储合规、数据流转合规、数据跨境转移等方面建立对数据资源管理全流程的风险监管机制。

3. 依法合规完成信息披露。我国的数字经济增长迅速,信息技术层出不穷,关于这方面的法律法规、规范性文件等也在逐步调整和完善中,对数据资源的使用期限和范围可能会有随之变化。我们提醒公司定期需要对数据资产是否有减值的迹象进行审查,如有变动,应根据《暂行规定》的规定及时披露。







●注释(请上下滑动参阅):

[1]张会平、顾勤,政府数据流动:方式、实践困境与协同治理[J],治理研究,2022,38(03)

[2]参见北京知识产权法院(2016)京73民终588号民事判决书。

[3]参见上海市浦东新区法院(2015)浦民三(知)初字第528号判决书。


特别声明:

大成律师事务所严格遵守对客户的信息保护义务,本篇所涉客户项目内容均取自公开信息或取得客户同意。全文内容、观点仅供参考,不代表大成律师事务所任何立场,亦不应当被视为出具任何形式的法律意见或建议。如需转载或引用该文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源。未经授权,不得转载或使用该等文章中的任何内容。



— 往期推荐 —

1. 大成研究 | 闫丽萍等:“外国直接产品规则”下美对俄经济制裁的分析

2. 大成研究 | 闫丽萍等:美国对外制裁的法律逻辑简析及中国企业的应对策略 - 以俄乌战争爆发以来美国对俄发动的制裁措施为切入点

3. 大成研究 | 闫丽萍:美国延长对俄罗斯能源支付的制裁豁免期限 - 关于《俄罗斯通用许可-第8c号》的综述及适用

4. 大成研究 | 闫丽萍:经济制裁对国际仲裁的影响

5. 大成研究 | 闫丽萍:新加坡仲裁体系介绍

6. 闫丽萍:欧盟出台《电池和废电池法规》,中国电池制造业及电池应用行业如何应对?



大成能为您做什么?

联系我们 +