引 言
随着数字经济的蓬勃发展,数据作为新型生产要素的价值日益凸显。近年来,企业对于数据资产的确认、计量和管理需求不断增长,数据资源入表已成为企业释放数据要素价值、提升数字化运营能力的重要手段。所谓数据资源入表,是指将数据资源作为企业的一项资产,按照会计准则进行确认、计量和报告,并在企业的财务报表中予以体现的过程。这一过程不仅涉及会计核算,更需要在合规基础上开展,确保数据资源的合法性和可持续性。
数据合规是数据资源入表的核心前提和基础保障。企业在数据资源入表过程中必须确保数据的获取、处理、使用等各个环节符合法律法规要求。合规瑕疵可能导致数据资产价值的重大损失,甚至使企业面临行政处罚、民事赔偿或刑事责任。因此,数据合规是企业开展数据资源入表工作的首要任务。
第一部分:数据资源入表的法律框架
我国已经形成了完整的数据治理法律框架体系。其中,《中华人民共和国民法典》作为基础性法律,为数据权益保护提供了基本遵循,特别是在个人信息保护、隐私权保护、知识产权保护等方面作出了原则性规定。该法强调了个人信息、数据等数字权益的民事主体地位,为数据资源入表提供了基础法律保障。
《中华人民共和国数据安全法》则专门确立了数据安全保护的基本制度。该法规定了数据分类分级保护制度、重要数据保护制度、数据安全风险评估等要求,明确了数据处理者的安全保护义务,为数据资源入表的数据安全管理提供指引。
《中华人民共和国网络安全法》侧重规范网络空间秩序,明确了网络运营者的安全保护义务,以及关键信息基础设施的特殊保护要求。对于依托网络系统收集、存储、处理数据的企业而言,该法的合规要求直接影响着数据资源的安全性和可靠性。
《中华人民共和国个人信息保护法》则详细规定了个人信息处理的基本原则和具体规则。该法确立的告知同意、目的限制、最小必要等原则,以及个人信息主体权利保护机制,都是涉及个人数据资源入表过程中必须严格遵守的规范。
除上述法律外,各行业主管部门发布的部门规章、规范性文件,以及国家标准、行业标准等也构成了数据资源入表合规工作的重要依据。这些规范性文件往往包含更具体的操作要求和技术标准,企业需要根据自身所处行业特点予以落实。
第二部分:数据资产入表的合规流程
数据资源入表的步骤通常应当包括:数据盘点、数据治理、合规确权、会计核算/评估入表、数据产品作为生产要素进入市场流通。其中数据治理和合规确权是动态交叉的,数据治理的过程可能涵盖了合规整改的情形。本文的思路围绕数据的合规与确权展开,以合规为核心,在合规基础上进一步判断数据权益类型,进而为数据资源入表及后续数据要素流通提供必要的法律意见。
1. 数据资源盘点与识别
数据资源入表的第一步是基于数据资源入表的目的,结合企业的商业模式和数据应用场景,全面盘点、梳理和识别企业拥有的数据资源。这一过程需要遵循三个基本原则:成本可计量、现实可控制、未来有收益。成本可计量要求企业能够准确核算获取和维护数据资源的成本;现实可控制强调企业必须对数据资源具有实际控制力,能够决定数据的使用和处置;未来有收益则是对数据资源经济价值的基本要求。
2. 数据合规审查
在完成初步盘点后,企业需要开展全面的合规审查工作。这一过程包括数据内容合规、数据来源合规、数据处理合规和数据管理合规四个维度的工作。每个维度都需要系统性评估和规范,确保数据资源在法律上的合规性和有效性。这个阶段的工作质量直接决定了数据资源入表的合法性和可靠性。
3. 数据权益界定
完成合规确权后,需要对数据权益进行准确界定。根据《关于构建数据基础制度更好发挥数据要素作用的意见》(即"数据二十条"),数据权益主要包括:数据资源持有权、数据加工使用权和数据产品经营权。这种三权分置的机制有助于明确数据资源的权益边界,为后续的会计核算和管理提供依据。
第三部分:数据资源入表的关键审查要素
1. 数据内容合规审查
数据内容合规是确保数据资源合法性的基础。企业需要从三个层面开展审查:首先是确保数据内容符合法律法规的强制性要求;其次是遵循国家标准和行业标准中的规范性要求;最后是符合企业内部规章制度的管理要求。审查过程中需要特别关注数据的真实性、完整性和合法性。
2. 数据来源合规审查
数据来源合规审查需要针对不同来源采取差异化的审查策略。对于内部生成的数据,重点审查数据生成的业务流程是否合规;对于外购数据,需要严格审查供应商资质和数据授权;对于公开收集的数据,要确保收集来源合法、正当、安全且不侵犯他人权益;对于个人授权数据,必须获得充分的授权同意;对于其他方式获取的数据,则需要根据具体情况进行针对性审查。
3. 数据处理合规审查
数据处理合规涉及数据全生命周期的各个环节。在数据收集环节,要严格遵循必要性原则和“告知-同意”程序;数据存储需要确保安全性和合规性;数据使用要符合目的限制、展示限制要求;数据加工必须保障处理安全;数据传输要采取充分的保护措施;数据提供需要根据数据处理关系,区分个人信息、政务数据、重要数据审查相应规则,确保企业遵循;数据公开则要慎重评估影响。
第四部分:数据资源入表的法律风险管理
在数据资源入表过程中,企业可能面临多种法律风险,需要建立完善的风险防控机制。基于相关法律法规的规定,主要的法律风险及其责任形式包括:
1. 违法处理个人信息的法律责任
根据《个人信息保护法》的规定,违法处理个人信息将面临多层次的法律责任。在民事责任层面,如果侵害个人信息权益造成损害,个人信息处理者将承担损害赔偿等侵权责任,除非能够证明自己没有过错。值得注意的是,当侵害众多个人的信息权益时,人民检察院、法定消费者组织和国家网信部门确定的组织可以依法提起公益诉讼,加大了违法成本。在行政责任方面,监管机构可责令改正、警告,并处以罚款;情节严重的,还可能被责令暂停相关业务或吊销相关业务许可等。在最严重的情况下,违法处理个人信息还可能构成刑事犯罪,罪名包括但不限于侵犯公民个人信息罪、破坏计算机信息系统罪、非法侵入计算机信息系统罪、非法控制计算机信息系统罪、非法利用信息网络罪、帮助信息网络犯罪活动罪、侵犯商业秘密罪等。
2. 不当使用商业数据的法律责任
在商业数据使用方面,即使是在遵守数据抓取约定的情况下,如果利用抓取的数据提供足以实质性替代其他经营者的产品或服务,也可能构成不正当竞争。这类行为不仅会面临停止侵害、赔偿损失等民事责任,还可能受到市场监管部门的行政处罚。
3. 不当抓取他人公开信息的法律责任
在未经授权抓取他人公开信息的情况下,如果该行为违反诚信原则和商业道德,扰乱市场竞争秩序,损害其他经营者或消费者合法权益,可能构成不正当竞争。在互联网环境下的数据共享行为,法院在判断是否构成不正当竞争时,通常还会额外考虑:该行为是否限制消费者的自主选择权、是否未保障消费者的知情权、是否侵害消费者的隐私权,以及是否破坏了互联网环境中的公平竞争秩序等因素。
4. 未经授权复制、传播作品的法律责任
数据资源中如包含他人享有著作权的作品或作品片段,未经授权的使用可能侵犯著作权人的复制权、修改权、信息网络传播权等权项。考虑到数据资源往往涉及复杂的权利客体,建议在相关协议中设置明确的瑕疵担保和补偿条款,以降低数据接收方和数据中介的法律风险。
5. 交易违规数据的法律责任
对于数据交易,法律明确规定了禁止交易的情形,包括:未依法获得授权的数据、未经依法开放的公共数据等。违反这些规定可能面临市场监管部门或行业主管部门的行政处罚,包括责令改正、没收违法所得和罚款等。
第五部分:数据资产入表的自愿披露与透明度
1. 自愿披露内容的确定
企业在数据资源入表过程中,除了必要的强制披露外,还可以进行自愿披露以提升透明度。自愿披露的内容主要包括:
(1)数据资源的应用场景描述和分析,包括具体的业务模式、应用效果等;
(2)数据来源的合规性说明,包括数据获取方式、授权情况等;
(3)数据资源的加工投入情况,包括技术投入、人力投入等;
(4)数据应用的现状,包括运营模式、计费方式等;
(5)与重大交易相关的信息,尤其是数据资源对经营活动、投融资活动等的影响;
(6)数据相关权利的失效、限制情况,包括地域限制、领域限制等。
2. 披露的作用与影响
自愿披露具有多重积极作用:首先,可以帮助企业展示其数据资产管理和运用的透明度,增进投资者和其他利益相关方的理解和信任;其次,有助于展示企业的数据治理能力和合规水平;再次,能够凸显数据资产的价值,有利于企业获得市场认可;最后,可以促进企业内部的数据治理改进。
3. 披露前的法律审查要点
在进行自愿披露前,企业需要对拟披露内容进行全面的法律审查,重点关注:
(1)应用场景或业务模式的合法合规性;
(2)原始数据的类型、规模、来源、权属等信息的准确性;
(3)数据资源的加工维护和安全保护措施的有效性;
(4)数据产品或服务的运营模式、作价出资、流通交易等的合规性;
(5)重大交易事项中涉及的数据资源对该交易事项的影响及风险;
(6)数据资源相关权利的限制情况及其影响;
(7)披露内容是否可能涉及商业秘密或其他需要保护的信息。
结 语
数据资源入表是一项复杂的系统工程,需要企业持续投入资源完善数据合规体系。随着数字经济的深入发展,相关法律制度还将不断完善,企业需要密切关注政策变化,及时调整合规策略。只有坚持合规底线,不断提升数据治理能力,企业才能在数字经济时代实现可持续发展。这不仅是监管要求,更是实现数据价值的重要保障。
数据资源入表的合规路径
作者:区佩珊来源:广东启源律师事务所

引 言 随着数字经济的蓬勃发展,数据作为新型生产要素的价值日益凸显。近年来,企业对于数据资产的确认、计量和管理需求不断增长,数据资源入表已成为企业释放数据要素价值、提升数字化运营能力的重要手段。