根据最新统计,2024年第一季度共有24家上市公司在最新财务报表中披露数据资产共计约14.95亿元。上市公司将“数据资源”和数据资源开发支出作为子科目分别披露在流动资产存货一栏或者非流动资产无形资产中,具有中国企业将数据资源转化为生产要素资产的里程碑意义。
本文旨在梳理数据资产入表国家法律法规及政策层面的支持,企业数据资产入表应当具备的条件,以及数据不合规可能给企业带来的多方面法律风险。
一、数据资源到数据要素的相关政策
二、法律法规及政策对数据、数据资源、数据资产的定义
(一)数据
2017年6月1日施行的《网络安全法》第七十六条将“网络数据”定义为“通过网络收集、存储、传输、处理和产生的各种电子数据”。2017年10月1日施行的《民法总则》第一百二十七条规定“法律对数据、网络虚拟财产的保护有规定的,依照其规定”,2021年1月1日施行的《民法典》保留了此规定,在总则编“民事权利”一章确认“数据”系应依法保护的民事权利。2021年09月01日施行的《数据安全法》第二条对“数据”更细化规定为“指任何以电子或者其他方式对信息的记录”,数据不仅限于电子数据,亦将其他方式记录的信息涵盖进数据定义。2021年11月1日施行的《个人信息保护法》在前述法律条款的法理基础上,在第四条将“个人信息”定义为“是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”。
(二)数据资源
数据资源又称“大数据资源”,此称谓见于《网络安全法》《科学技术进步法》《人民武装警察法》等法律规定中,但均未对其作出具体定义,甚至《企业数据资源相关会计处理暂行规定》亦未对其作出具体规定。
2020年11月18日,文化和旅游部办公厅关于印发《文化和旅游部政务数据资源管理办法(试行)》的通知第四条规定“本办法所称文化和旅游部政务数据资源(以下简称‘数据资源’),是指政务部门在履行职责过程中产生或获取的,以一定形式记录、保存的文字、数字、图表、图像、音频、视频、电子证照、电子档案等各类结构化和非结构化数据资源,包括直接或通过第三方依法采集的、依法授权管理的、政府购买服务的和因履行职责需要依托政务信息系统形成的数据资源等。”2023年7月1日,深圳市发展和改革委员会关于印发《深圳市数据产权登记管理暂行办法》的通知第二条定义数据资源“是指自然人、法人或非法人组织在依法履职或经营活动中制作或获取的,以电子或其他方式记录、保存的原始数据集合。”《〈中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要〉释义》一书中对“数据资源目录”的释义为“指政府按照一定的分类方法,对政务信息资源进行排序、编码、描述,便于检索、定位与获取政务信息资源”1。
由此可见,数据资源是指自然人、法人或非法人组织在依法履职或经营活动中制作或获取的,以电子或其他方式记录、保存的文字、数字、图表、图像、音频、视频、电子证照、电子档案等各类结构化和非结构化的数据集合,数据资源应当是大数据集,而非指某一类单一数据。
(三)数据资产
2023年10月1日,中国资产评估协会发布的《数据资产评估指导意见》第二条规定“本指导意见所称数据资产,是指特定主体合法拥有或者控制的,能进行货币计量的,且能带来直接或者间接经济利益的数据资源。”2021年12月12日,《国务院关于印发“十四五”数字经济发展规划的通知》中关于充分发挥数据要素作用部分阐明,支持市场主体依法合规开展数据采集,聚焦数据的标注、清洗、脱敏、脱密、聚合、分析等环节,提升数据资源处理能力,培育壮大数据服务产业。鼓励市场主体探索数据资产定价机制,规范数据交易平台和市场主体,建立健全数据资产评估、登记结算、交易撮合、争议仲裁等市场运营体系,提升数据交易效率2。
根据《企业会计准则——基本准则》(财政部令第76号)第二十条规定,资产是指企业过去的交易或者事项形成的、由企业拥有或者控制的、预期会给企业带来经济利益的资源。目前尚无法律对数据资产作出直接定义,数据资产在企业会计准则中属于无形资产,应适用财政部发布的《企业会计准则第6号——无形资产》(财会〔2006〕3号)第三条的规定,是指企业拥有或者控制的没有实物形态的可辨认非货币性资产。
通过对政策解读,数据资产系通过算法对数据资源标注、清洗、脱敏、脱密、聚合、分析等环节后,特定主体通过原始取得或者交易等方式取得能进行货币计量的,且能带来直接或者间接经济利益的数据资源。
三、数据资产化的价值
从企业所拥有资产价值的角度出发,数据资源资产化有多重价值。首先,能够确认企业使用数据资源本身的使用权,实现数据使用价值;其次,根据数据资源可共享性的特点,企业可以将合法合规的数据资产用于市场流通,实现数据直接经济价值;第三,企业通过数据资产确认,可以使数据资产作为企业增信手段,实现数据资产质押融资,实现数据资产金融价值;第四,企业可以通过对数据资产的运用,提升经营管理,优化企业资产结构,提升企业整体商业价值。
四、企业数据资产入表应当依法具备的条件
本节以企业作为主体为例,讨论数据资产入表依法应当具备的条件。根据《企业数据资源相关会计处理暂行规定》(以下简称“会计暂行规定”)第二条关于数据资源会计处理适用的准则,企业应当按照无形资产准则,《〈企业会计准则第6号无形资产〉应用指南》(财会〔2006〕18号)等规定,对确认为无形资产的数据资源进行初始计量、后续计量、处置和报废等相关会计处理。
(一)数据资源作为无形资产的确认条件
根据《企业会计准则——基本准则》(财政部令第76号)《会计暂行规定》等规定,数据资源的初始确认需要具备如下条件:
1. 持有合法化
由于数据资源可复用性、无形化、非排他性等特点,“数据二十条”为加快构建数据基础制度,暂时搁置了数据所有权的争议提法,专门确立了数据资源持有权,数据加工使用权,数据产品经营权三权分置的产权运行机制。企业所持有的数据资源无论是通过生产经营原始取得还是通过交易方式外部取得,都必须确保数据资源来源的合法性,数据合规是数据资源初始确认的重要前提。企业非法获取的数据资源,在持有权方面存在巨大争议,不能作为数据资产确认。
对于企业原始取得的数据资源而言,企业需要针对自身业务特点对持有的数据资源进行分类,如用户信息数据、企业业务数据、经营管理数据、系统运行数据、财务数据等。企业将自身所持有的数据分类之后,应根据法律法规规定建立自身的数据安全制度和数据安全体系,对数据实行分类分级保护,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。
对于企业外部交易取得的数据资源,应审慎审查该数据资源出让方获取数据资源的合法性以及是否依法取得授权对外转让该数据,确保交易数据资源的合法合规性。对于企业通过行政机构依法公开的公共数据,企业需审查获取到 公共数据是否含有“个人隐私、个人信息、商业秘密、保密商务信息”,原则上此类信息即便在依法获取后应依法予以保密,不得泄露或者非法向他人提供。
2. 预期利益化
企业拥有的数据资产无论是用于企业内部直接给企业带来经济利用价值,还是可以投放市场直接获取经营利益,数据资产必须能够或者预期能够给企业带来经济利益或可预期利益。企业应当对数据资产的寿命进行估算且应当有相应证据支持3,数据资产还需在可控期间内能反复地、连续地被使用,否则不应当被称为资产,而应被作为企业经营成本处理。
3. 价值可辨认4
数据资产需要符合无形资产定义中的可辨认性标准应当满足以下条件:第一,能够从企业中分离或者划分出来,并能单独或者与相关合同、资产或负债一起,用于出售、转移、授予许可、租赁或者交换。第二,源自合同性权利或其他法定权利,无论这些权利是否可以从企业或其他权利和义务中转移或者分离。因此,企业需要全面评估数据资源获取成本和数据资源转化为数据资产之后的实际价值。
(二)数据资源作为无形资产的初始确认
1. 企业外部获取数据
合规层面:企业外购数据必须首先审查外购数据资源的合法性且依法可交易,建议企业在外购数据前对外购数据资源及交易对象展开尽职调查,对涉及交易的数据资源的源数据采集、用途、持有、加工、处理依法评估法律风险。否则即便看似交易成功,但实际存在企业不仅无法合法使用的风险,还可能存在受到行政部门监管处罚的风险。
会计层面:企业通过外购方式取得的数据资源,应当按照取得时的实际采购成本入账,其采购成本包括购买价款、相关税费、保险费,以及数据权属鉴证、质量评估、登记结算、安全管理等所发生的其他可归属于存货采购成本的费用。
2. 企业内部数据
合规层面:首先,企业并非对企业内部产生或获取的数据资源天然具有持有权,如未经明确授权而取得的员工个人信息。企业应当建立健全内部数据管理制度,对企业内部持有的个人信息数据、生产数据、订单数据、经营管理数据、财务数据作出全面的数据合规管理制度,以对自身掌握的数据享有合法的持有权、加工使用权和经营权。企业数据管理制度应当覆盖数据全生命周期,从数据收集、存储、使用、共享披露、跨境流动到删除。其次,在企业数据合规管理制度框架下,加强对员工的数据合规培训,对于企业内部人员获取数据进行权限分级,加强对关键岗位员工入职和离职审查。第三,如集团企业存在跨公司数据处理,或者产业链公司之间需要进行数据集中采集、数据统一加工与分析,则更应当注重数据合规管理体系搭建,包括公司数据管理规范、起草与修订隐私政策、数据处理协议、个人信息主体请求响应规则等文件。
会计层面:企业通过合法授权、合法采集的数据加工取得确认为存货的数据资源,其成本包括采购成本,数据采集、脱敏、清洗、标注、整合、分析、可视化等加工成本和使存货达到目前场所和状态所发生的其他支出。
(三)数据资源作为无形资产的后续计量
由于目前我国对于数据资产入表还处于探索阶段,实务中根据不同行业,不同业务模式,数据资产作为无形资产后续计量方法不尽相同。数据资产的价值因数据资源技术、数据容量、数据类型不同而影响数据资产寿命和数据价值,比如用于精准营销的数据资源敏感度高且时效性强,使用寿命较短,用于气象数据资源可持续使用性高,使用寿命较长。《会计暂停规定》采用成本模式,可以较为客观的计量数据当前价值,容易验证且操作性强,但无法动态反映所有类型的数据资产价值变化,出于公平性考虑,建议探索针对不同数据资产采取不同的计量模式新路径,如重新评估模式。
企业应当将数据资产价值自评与数据合规全生命周期管理相结合,在数据合规体系建设的同时设计数据资源计量规则,将数据资源会计计量规则与数据采集、传输、存储、使用、交易、删除、销毁等环节结合起来,财务管理部门、数据业务部门、数据合规律师有效协同,为数据资产会计处理提供合法合规的依据,保障数据资产全面入表。
(四)数据资源作为无形资产的处置和报废
企业出售无形资产,应当将取得的价款与该无形资产账面价值的差额计入当期损益5。但是数据资产不同于土地使用权等无形资产,数据资产的可复制性,复用性高,即便企业出售了数据资产,企业仍旧可能继续持有并加工使用它,因此在企业出售数据资源无形资产时应区分出售数据资源的种类,应在合同中明晰交易各方权利义务。若数据资源无形资产预期不能为企业带来经济利益的,应当将该无形资产的账面价值予以转销6,如企业与交易方约定出售该数据资产之后不再拥有持有权、加工使用权、经营权,需彻底删除原数据,此时企业应当再将该数据资产的账面价值予以转销。
五、数据资产不合规的法律风险
数据的一切处理行为以安全为底线,数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。如果企业处理数据资产未采取合法措施,非法利用数据,不仅无法将数据资产增值,企业还可能涉及多重法律风险。
(一)刑事风险
1.非法获取国家秘密罪
企业应建立数据分类分级保护制度,关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,企业应当实行更加严格的管理制度,不得窃取、刺探、收买,否则可能构成非法获取国家秘密罪。
法律规定:
《刑法》第二百八十二条第一款
案例展示:某凯公司有着庞大的专家数据库,库里的专家超30万人。该公司的工作人员会专门围绕境内政策研究、国防军工、金融货币、高新科技、能源资源、医药卫生等重点领域和重要行业物色挑选有影响力的专家。据国家安全机关调查掌握,某凯公司大量接受境外公司对我敏感行业的咨询项目,其中一些企业与外国政府、军方、情报机关关系密切。仅2017年至2020年,某凯公司接受上百家境外公司汇款2000多次,金额高达7000多万美元。国家安全机关已经对涉事企业依法依规进行处理。韩某某,我国某大型国企高级研究员,因长期与某凯公司合作,境外窃取、刺探、非法提供国家秘密、情报罪,被判处有期徒刑6年。
2.为境外窃取、刺探、收买、非法提供商业秘密罪
企业构建自身数据合规体系的同时,应当在招聘数据岗位员工时特别注意安全背景审查,对数据业务模块员工注重数据安全培训,对于不同级别的员工授予不同权限,以保障企业自身的商业秘密安全,否则有被侵犯商业秘密的法律风险。
法律规定:
《刑法》第二百一十九条之一
案例展示:郑某某7在长某科技有限公司任职期间,对该公司的商业秘密负有保密义务。2021年8月,郑某某接受某咨询中介公司的邀请,成为该公司的行业专家顾问,郑某某违反保密约定,利用其掌握及向长某公司员工刺探的信息,以长某公司专家的名义,多次接受咨询中介公司的安排,为与长某公司业务相似或具有竞争性业务的公司提供有偿咨询。上海市浦东新区人民检察院以为境外刺探、非法提供商业秘密罪对郑某某提起公诉。上海市浦东新区人民法院以郑某某犯为境外刺探、非法提供商业秘密罪,判处有期徒刑二年六个月,并处罚金人民币一万元。一审判决后,被告人未提出上诉,一审判决已生效。
3.侵犯公民个人信息罪
公民个人信息8是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。实践中,几乎每个企业都可能会存在处理个人信息的数据问题,一旦超出合理范围造成敏感个人信息泄露,可能构成侵犯公民个人信息罪。
法律规定:
《刑法》第二百五十三条之一
案例展示9:H公司主要从事网络游戏及相关产品研发和技术咨询,韩某某任经理。2019年2月,H公司和韩某某明知用户上传数据中有大量个人信息,仍为非法交易个人信息提供平台。网站涉及确切有用的个人信息共37万余条,交易数量达3万余条。2019年2月,陈某某注册“数迈网”会员,并上传其在“某公司天猫旗舰店”就职时获取的淘宝买家姓名、手机号、收货地址等数据信息5757条,欲贩卖牟利。一审判决刑附民部分,判决被告H公司、韩某某、杨某某、管某某连带赔偿损失人民币3900元,被告黄某某在上述赔偿款3600元范围内承担连带赔偿责任;H公司关闭“数迈网”网站;H公司、韩某某等注销买卖公民个人信息所用QQ号码,并永久删除其存储的公民个人信息数据;H公司、韩某某等在国家级媒体上向社会公众赔礼道歉。一审判决后,刑事案件被告人提起上诉,二审判决维持原判。
从现在的司法实践来看,除以上罪名外,如果企业未合规处理数据资源还可能涉及《刑法》第二百八十五条第一款非法侵入计算机信息系统罪;《刑法》第二百八十五条第二款非法获取计算机信息系统数据、非法控制计算机信息系统罪;《刑法》第二百八十五条第三款提供侵入、非法控制计算机信息系统程序、工具罪;《刑法》第二百八十六条破坏计算机信息系统罪;《刑法》第二百八十六条之一拒不履行信息网络安全管理义务罪;本文不一一展开。
(二)民事风险
1. 构成不正当竞争的风险
企业通过合法经营,投入巨大的人力、物力、财力,收集、存储、加工、传输经营数据,如形成的包括用户个人信息、视频、用户评论等非独创性数据集合,这种数据聚合具有规模聚集效应,能够给公司带来巨大的经济利益,取得竞争性利益,应当属于反不正当竞争法保护的合法权益。
法律规定:
《中华人民共和国反不正当竞争法》第二条、第十七条
案例展示:某锐公司未经许可,采用技术手段或人工方式获取来源于甲APP中的5万余条视频文件、1万多个用户信息、127条评论内容并通过乙APP向公众提供。某播公司以某锐公司的前述行为构成不正当竞争为由提起诉讼。北京市海淀区人民法院一审认为,某锐公司的被诉行为构成不正当竞争,并判令赔偿某播公司经济损失500万元。某锐公司不服,提起上诉。
某锐公司作为乙APP的运营主体,采取不正当手段抓取搬运甲APP中的非独创性数据集合的实质性内容,攫取了某播公司的竞争资源,削弱了某播公司的竞争优势,损害了消费者福利,破坏了短视频行业的市场竞争秩序。被诉行为造成的损害远远大于消费者及社会公众基于该行为获得的利益。因此,某锐公司的被诉行为违反了诚实信用原则和商业道德,构成不正当竞争行为。北京知识产权法院二审判决,驳回上诉,维持原判。
2. 算法运行错误导致个人信息不实的侵权责任
互联网平台可以利用算法技术在合理范围内处理已经合法公开的个人信息,但应保证处理后个人信息准确。因算法运行错误导致个人信息不准确、不完整的,个人有权要求互联网平台承担相应侵权责任。
法律规定:
《民法典》第一千零三十六条、第一千零三十七条第一款
案例展示:2021年3月,某实业公司法定代表人梁某在某科技公司信用信息查询平台查询时10,发现梁某的《投资任职及风险报告》错误显示其在多家失信企业担任法定代表人等职务,且某实业公司的《信用报告》也被错误关联了上述信息。某科技公司辩称系由于其平台算法对与梁某同名同姓但不同身份证号的另一主体识别错误等原因造成。梁某、某实业公司诉至法院,要求某科技公司赔礼道歉,并赔偿损失及维权费用等。
广州中院生效判决认为,某科技公司对算法技术加以利用的同时,应当对其产生的危险后果承担责任。涉案信用报告因同名同姓主体的身份识别问题而出现错误,是开展征信业务应解决的基础问题。不论某科技公司是明知相关技术不能避免此类错误而不予解决,抑或因疏忽大意未注意到该类错误问题,均属于对涉案错误信息关联未尽到合理注意义务。判令某科技公司作出致歉声明,赔偿梁某等经济损失6万元以及必要支出费用3.1万元。
企业如果在处理数据时行为不当,可能引起的民事法律风险类型多种多样,包括不限于新型知识产权保护纠纷、侵害公民个人信息引发的损害赔偿责任、著作权纠纷、名誉权纠纷等。企业应根据细分行业领域,根据自身业务模式特殊性,合法获取、交易、利用数据。
(三)行政处罚风险
建议企业关注数据资产商业价值的同时也关注行政处罚风险。国家互联网信息办公室作为中央机构,负责统筹协调网络数据安全和监管工作,对于涉及网络空间中严重违法的数据处理活动有权作出行政处罚。公安机关作出的行政处罚大多数以《数据安全法》为依据。各行业领域的主管部门亦承担相应的数据安全监管职责,如;中国人民银行、银保监会以及证监会负责金融领域数据安全,卫生健康委员会和国家卫生健康委员会负责监管卫生、医疗等领域数据安全等,数据合规涉及行政层面的执法主体具有广泛性、多重性、复杂性的特点。
案例展示:2023年9月1日,国家互联网信息办公室依据《网络安全法》《个人信息保护法》《行政处罚法》等法律法规,综合考虑某学术网违法处理个人信息行为的性质、后果、持续时间,特别是网络安全审查情况等因素,对某学术网依法作出网络安全审查相关行政处罚的决定11,责令停止违法处理个人信息行为,并处人民币5000万元罚款。
六、结 语
企业从创造商业价值的角度去探索和构建数据增值模式,更要从法律合规的角度去反复考量和实践数据资产入表的工作,搭乘数字经济高质量发展的东风,发挥数据要素的乘数效应,真正挖掘企业数据资源价值,乘风而起,追云逐日。
参考资料
1.中华人民共和国国家发展和改革委员会网页《制度篇(上)|“十四五”规划和2035年远景目标纲要中的名词解释》https://www.ndrc.gov.cn/xxgk/jd/wsdwhfz/202106/t20210629_1284497_ext.html
2.中华人民共和国中央人民政府网站《国务院关于印发“十四五”数字经济发展规划的通知》https://www.gov.cn/zhengce/zhengceku/2022-01/12/content_5667817.htm
3.《企业会计准则第6号--无形资产》 财会〔2006〕3号
第五条企业在判断无形资产产生的经济利益是否很可能流入时,应当对无形资产在预计使用寿命内可能存在的各种经济因素作出合理估计,并且应当有明确证据支持。
4.《企业会计准则第6号--无形资产》 财会〔2006〕3号
第三条无形资产,是指企业拥有或者控制的没有实物形态的可辨认非货币性资产。
资产满足下列条件之一的,符合无形资产定义中的可辨认性标准:
(一)能够从企业中分离或者划分出来,并能单独或者与相关合同、资产或负债一起,用于出售、转移、授予许可、租赁或者交换。
(二)源自合同性权利或其他法定权利,无论这些权利是否可以从企业或其他权利和义务中转移或者分离。
5.《企业会计准则第6号——无形资产》 财会〔2006〕3号
第二十二条企业出售无形资产,应当将取得的价款与该无形资产账面价值的差额计入当期损益。
6.《企业会计准则第6号——无形资产》 财会〔2006〕3号
第二十三条无形资产预期不能为企业带来经济利益的,应当将该无形资产的账面价值予以转销。
7.公众号“浦东检察”《两案例入选2023年度上海市打击侵权假冒典型案例!》https://mp.weixin.qq.com/s/BFNaYrvp9ht61RKcoWn4Ww
8.《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》法释〔2017〕10号
第一条刑法第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
9.最高人民法院发布2023年人民法院反垄断和反不正当竞争典型案例之八:“刷宝APP”不正当竞争纠纷案——数据抓取不正当竞争行为的认定 案号:(2021)京73民终1011号
10.广东省高级人民法院发布广东法院个人信息保护典型案例之二:算法运行错误导致个人信息不实的责任主体认定——梁某等与某科技公司网络侵权责任纠纷案 案号:(2021)粤01民终29639号
11.国家互联网信息办公室网站 《国家互联网信息办公室对知网(CNKI)依法作出网络安全审查相关行政处罚》
https://www.cac.gov.cn/2023-09/06/c_1695654024248502.htm
以法护航数据资产入表全解析
作者:赖晓燕来源:四川明炬律师事务所

根据最新统计,2024年第一季度共有24家上市公司在最新财务报表中披露数据资产共计约14.95亿元。