数字化转型网数据专题将关注数据治理、数据质量管理、数据架构、主数据管理、数据仓库、元数据管理、数据备份、数据挖掘、数据分析、数据安全、大数据、数据合规、等数据相关全产业链相关环节。
数据资产入表是指将满足资产确认条件的数据资源确认为企业的资产,并纳入企业的财务报表中。在目前数据资产入表的实操案例中,主要途径有企业自有数据资源入表、数据产品或服务形式入表和非同一控制下的企业合并等。无论何种形式的数据资产,无论是在数据资产入表前还是数据资产入表阶段,企业都应当关注数据资产入表的合规性评估,确保其数据资产的来源、收集、存储、处理和使用等各个环节都符合国家相关法律法规的要求,这包括但不限于《网络安全法》《数据安全法》《个人信息保护法》以及特定领域的法规。
一、企业数据资产入表的法律合规
当前, 我国在法律层面尚未明确数据确权制度, 数据权属问题存在较大分歧。《数据二十条》中提出了数据资源持有权、数据加工使用权、数据产品经营权三权结构性分置,虽为数据权属认定提供了方向,但三权如何理解、边界如何划分尚不明晰。数据确权对数据资产的厘清、数据资源的有效配置至关重要,数据合规将成为数据资产入表需要破解的难题。结合《企业数据资源相关会计处理暂行规定》(财会〔2023〕11号),企业数据资产入表的基础是合法拥有与控制数据资源,因此数据资源的法律合规认定是企业数据资产入表的重要前提。
1.数据来源合规
企业获取数据来源主要包括自身生产运营产生、获取授权取得、从第三方购买取得等方式。企业无论通过何种途径取得数据资源,应当遵守国家相关法律法规、政策,不得侵犯任何第三方的合法权益,均需要梳理获取数据方式、方法的合法合规性。企业常因第三方包括上游数据提供方、中游的数据代理商、下游的数据接受方的违法行为而受到牵连。如在企业采购数据的过程中,一方面需要审查数据提供方的数据来源是否合法,是否获得合法授权,另一方面也需要对双方之间数据协议的合法合规性进行审查等,确保数据来源合法合规。
2.数据内容合规
企业存储控制的数据内容应当符合国家法律法规的规定。国家秘密依法受法律保护,不得违法采集、存储涉及国家秘密的数据;对于个人信息等重要数据,需要严格遵守《个人信息保护法》等相关规定;涉及商业秘密的信息,不得窃取、违法获取。
3.数据处理合规
数据的处理包括收集、存储、使用、加工、传输、提供等各种措施、环节。企业进行数据处理活动,应当遵守法律、法规,尊重社会公德和伦理,基于合法、正当、必要原则开展数据处理活动,严格履行数据安全保护义务,不得危害国家安全、公共利益,不得侵害任何第三方的合法权益。
4.数据管理合规
《中华人民共和国数据安全法》第二十一条规定:“ 国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。”
企业应当建立数据合规相关管理制度,构建企业合规管理体系,并根据数据重要程度、影响力、不同来源等因素对数据进行分级分类管理,对不同级别、类型的数据采取不同的授权审核审批、监督机制。
5.数据经营合规
根据数据安全相关规定,法律、行政法规规定提供数据处理相关服务应当取得行政许可的,企业需依法获得相应的资质、行政许可。此外,对于数据的经营、处理方式应获得数据提供方充分授权,建立完善的数据安全保护体系,保障数据经营业务不危害国家安全、公共利益以及侵犯任何第三方的合法权益。企业要根据企业自身经营规模、组织体系、业务内容分析和评估数据风险的来源建立风险处置机制,根据不同的公共服务基础信息数据领域、能源安全数据领域、数据跨境领域、个人信息保护领域等有针对性进行安全合规管理,建立全周期合规监督体系。
二、不同数据资产入表形式下的法律合规审查重点
针对以上三种不同的企业数据资产入表的形式,法律视角下应有不同的合规审查的角度和办法。具体分析如下:
(一)企业自用数据资源入表合规审查
企业自用数据资源主要包括两方面,一方面是生产经营中自行产生的数据,因不涉及外部收集,对相关数据的来源合规性审查相对弱化。但应注意特殊领域的特别要求,收集特殊领域数据时,应确保收集方具备相关资质和收集方式符合法律规定的程序要求。如:对于工业数据处理,工业企业同样需要根据《工业和信息化领域数据安全管理办法》,将本单位重要数据和核心数据向地方行业监管部门备案,如未备案其数据收集行为也是不合规的。另一方面是,企业公开收集的数据,需要重点审查数据来源合规性。即企业通过爬虫、RPA 等技术手段,采集已公开的信息。此时因数据来源于公开途径,可重点审查以下方面:
1.审查数据采集是否危害国家安全、公共利益。重点审查企业是否采集了受监管的数据,包括重要数据、核心数据、国家秘密、情报信息等;企业在采集数据时是否侵入国家事务、国防建设、尖端科学技术领域计算机系统;是否在未经授权的情况下侵入国家关键信息基础设施采集数据;是否非法侵入其他特定组织或企业的计算机系统。
2.收集和处理个人数据应符合《个人信息保护法》等法律法规规定。企业在通过APP、小程序、信息表单等方式收集用户收据时,首先应详细列明完整的用户数据授权,其次,应在隐私协议或告知说明中明确告知收集数据的种类、处理方式及目的等,并获取用户的明示同意。特别需要关注的是,如用户涉及未满十四周岁未成年人的,需审查是否取得其监护人的自愿、明确同意;如涉及敏感个人信息采集的,需审查是否取得单独同意。
3.审查数据采集是否侵犯他人知识产权、是否涉及不正当竞争情形。 企业采集的公开数据涉及其他企业商业秘密的,需审查是否获得商业秘密权利人的授权同意。如果采集的数据侵犯了他人的商业秘密,不仅构成反不正当竞争行为,还可能涉及侵犯商业秘密犯罪。
4.审查数据采集方式和目的需合法、正当。在审查数据收集方式是否合法时,例如通过委托/租用/购买的第三方设备或自有设备采集数据的,必须确保设备的安全性及数据安全保护能力。
(二)数据产品形式入表的合规审查
企业将持有的数据资源进行一定程度的加工,形成可对外出售或提供服务的数据产品,再以数据产品的形式入表。在国内众多数据交易所设立后,数据产品交易依交易场所可分为场内交易和场外交易,拟入表的数据产品亦可基于此分为场内挂牌数据产品和场外不挂牌数据产品。
针对场内交易数据产品,基于数据提供方被交易所要求提供数据合规性评估,因此对此种方式采集数据的合规性审查相对弱化。目前,大部分数交所均要求数据产品提供方对数据产品进行合规性评估。以上海数据交易所为例,数据产品需通过第三方专业机构的实质审核及数交所的形式审查后方能挂牌交易。
对于场外交易数据产品,目前除征信行业等特殊监管行业外,并无强制审查拟交易数据的要求,但对于数据需方来说,若拟将购入的数据确认为数据资产,应确保其对相关数据的权利不存在瑕疵。其合规性审查应着重从以下几方面进行:
1.数据供方的数据原始来源是否合法、数据提供方是否有权出售或授权使用这些数据,审查数据采购协议中是否明确数据的知识产权归属,包括买方获得的权利类型(如使用权、处理权、分发权等),以及权利的地域范围和时间期限。避免采购的数据侵犯他人知识产权、隐私权或者违反相关法律法规而收集的数据;
2.审查采购的数据中是否包含个人信息或敏感信息,并确保数据的采集、存储、处理和传输符合适用的数据保护法规(如GDPR、国内的个人信息保护法等);
3.审查数据本身能否进行交易,如核心数据、国家秘密、情报信息、个人生物识别信息原则上不允许交易;当涉及重要数据的交易和采集时,需要确认供方是否获得了相关部门的同意或许是必要的合规步骤。例如,在金融机构获取个人信用信息用于征信业务时,应审查数据供方是否为持牌征信机构,确保具备相应的资质和监管部门的许可。
(三)“非同一控制下的企业合并”产生的数据资产入表合规审查
目前财务制度上,如果企业采用《国际财务报告准则》编制财务报告,那该企业可将符合资产确认条件的数据资产根据其持有目的、业务模式等标准确认为无形资产或存货。
在非同一控制下企业合并的情形中,当收购价款高于标的公司可辨认净资产时,二者的差额随之即被计入无形资产中。即,某一公司出于获取大量数据的目的,收购持有数据资源的企业时,基于企业合并所得到的数据就会被体现在数据资产中。那么在其合并过程中,对数据资产的审查,主要从权力外观的合规性入手,即审查持有数据资产的原企业是否合法拥有或控制并表数据资产,是否符合《企业会计准则——基本准则》第二十条第三款的规定,即:由企业拥有或者控制,是指企业享有某项资源的所有权,或者虽然不享有某项资源的所有权,但该资源能被企业所控制。
企业数据合规是数据资产入表合规的事实基础和判断依据,入表合规本质上是对数据资产入表这一时点之前企业数据合规的总结和确认。因此,在数据资产入表前,首当其冲是企业数据合规,此后才是按照现行会计准则,三种主流数据资产入表途径的合规性审查。
声明:本文来自北大法宝智慧法务研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表数字化转型网立场,转载目的在于传递更多信息。如有侵权,请联系我们。数字化转型网www.szhzxw.cn
数字化转型网数据专题包含哪些内容
数字化转型网数据专题将关注数据治理、数据质量管理、数据架构、主数据管理、数据仓库、元数据管理、数据备份、数据挖掘、数据分析、数据安全、大数据、数据合规、等数据相关全产业链相关环节。
数字化转型网数据专题包含: 数字化转型网(www.szhzxw.cn)
1、数据相关外脑支持:100+数据相关专家、100+数据实践者、1000+相关资料
2、数据研习社:与全球数据相关专家、实践者共同探讨相关问题,推动产业发展!
3、国际认证培训:目前已引进DAMA国际认证CDMP,其他国内外认证也在逐步引进中
4、典型案例参考:与数字化转型网数据要素X研习社社员一起学习典型案例,共探企业数据落地应用
本文由数字化转型网(www.szhzxw.cn)转载而成,来源于北大法宝智慧法务研究院;编辑/翻译:数字化转型网默然。
