数据合规贯穿数据资产入表全流程的必要性丨专业研究

      2024年1月1日起，财政部《企业数据资源相关会计处理暂行规定》正式施行。据此，我国正式进入数据资产入表元年。2024年刚进入第二季度，市场的反应速度就已经超乎我们的想象，各行业越来越多的企业意欲将其所持有的数据资源确认为资产，并计入资产负债表，争做本行业、本地区的数据资产入表“第一单”。与此同时，各种促进数据资产入表的举措和入表后的金融创新也正在加速推进和落地。

      笔者带领团队自去年起，深入钻研数据资产化理论知识，并主动搭建数据资源相关服务生态，深度参与一些企业的数据产品挂牌、数据资产入表项目的实践工作。然而，作为律师，站在法律与合规的视角下，笔者发现了一个普遍存在且亟待解决的问题——企业深知数据合规对数据资产化的必要价值，但在具体数据资产入表项目中，合规服务却仅是以交付“合规评估法律意见书”的形式存在，在整个项目中仅占据着比例较小的一个环节——这一认知与行动上的矛盾，是笔者在本文中予以提出的问题，并试图在此基础上，提炼出合规在数据资产入表全流程中的必要性之要点。

一、数据资产入表的现状

      1.数据资产入表主体：国企先行，多行业关注

      数据资产入表是国家在数据要素市场建设中的重要举措。根据2024年初披露的已实现数据资产入表的企业统计，并结合笔者团队接洽的客户咨询，我们发现，目前国有企业为已经进行数据资产入表和关注数据资产化的“主力军”，这可能与国家和各地方的鼓励政策有关。同时，国有企业所持有和控制的数据多数为具有公共属性的数据资源，其相较于多数私营企业持有的数据类型来说，更容易实施数据资产入表。当然，以“高新技术企业”“专精特新企业”为主的私营企业，也已关注或投入到数据资产入表相关的工作中来。

      从行业分布来看，数据资产的入表已经涵盖了信息技术、汽车、港口、电力、塑料等多个行业和领域。首批数据资产入表的上市公司分布在13个行业，其中计算机行业有7家，交通运输、建筑装饰、钢铁和传媒等行业也各有2家。此外，医药生物、轻工制造、公用事业等行业也有公司开始将数据资产纳入财务报表。这更进一步显示出数据已成为各行各业的重要生产要素。

      2.拟入表主体的现实难题与顾虑

      （1）数据资产权属确认难

      数据资源本身具有集合性、易复制性、多样性、易变性的特点，而数据资源价值的实现又依赖于大规模高质量数据且适当的使用场景。从收益上看，数据资产从形成、使用到流通通常牵涉个人、企业等多元主体，目前多由数据资产处理或经营者取得收益，而数据来源主体能否基于个人数据享有收益权仍存在争议；从处分上看，数据资源的收集、使用、处理均受到数据来源主体授权行为的制约。故无论从数据资源自身特点、价值实现还是权利主体上，数据确权及产权制度的建立难度都很大，相应的数据资产的价值实现也就非常复杂。

      （2）数据资产估值难、定价难

      目前，主流的估值方法为成本法、收益法和市场法。而这三种方法均有其风险性。就成本法而言，很多企业的大量数据是在生产经营中自然产生的，无额外的成本支出，因此以成本作为估值依据可能会导致数据资产价值被低估；就收益法而言，其底层逻辑是要通过预测数据资产未来的收益，并将其折现至现值的方式进行估值，这就涉及对未来市场环境、技术发展、行业竞争等因素的主观判断，而目前数据要素市场仍处于建设阶段，数据资产的价值存在较大的不确定性；就市场法而言，其底层逻辑是要参考市场上已经形成的同类数据资产的交易价格进行估值，然而目前数据资产市场尚未成熟，缺乏充分的交易信息和定价信息作为评估标本，很难准确地确定数据资产的公允价值。

      这一难点也成了企业的顾虑，其中资本市场中的主体尤甚。截至5月14日，在一季报中披露数据资源入表情况的25家上市公司中，已有7家上市公司发出更正报告，取消了数据资源入表这一事项。在数据资产入表中，若实际估值与企业账面入账价值之间存在较大差异，会导致企业财务报表的真实性和准确性受到影响，进而可能影响投资者和利益相关者对企业的评价。

      （3）数据资产入表企业内部各部门协同分工难

      由于数据资源具有多种形式、多次衍生、价值易变和零成本复制等特点，因此在将数据资产纳入财务报表时，相关的确认和计量过程较为复杂。以数据资产“初始计量”流程为例，成本归集和分摊涉及无形资产、存货确认条件的判断等相关工作，需要业务、财务、IT 部门的专业人员共同理清数据生产链路，明确每一阶段的分割节点标志。这需要建立畅通的企业内部各部门协同关系和实现路径规划，对企业而言，难度很大。

      同时，企业还需要结合外部律师事务所、数据商、会计师事务所、第三方评估机构的服务，仅在配置外部服务商这一环节，对于企业来说就是一大挑战。

二、数据合规在数据资产入表全流程实践路径中的要点提炼

      1.数据资产入表的底层逻辑与合规必要性论证

      数据资产入表与传统资产入表之间的本质区别就在于入表的标的——数据资产具有特殊性。如果能够确认数据资产的应用场景和未来的持续性价值，保障数据交易的真实可信和可追溯，确保成本计量可靠性等维度与传统资产入表统一标准，则会大大降低数据资产入表的难度和风险。为了实现这一目标，就要从制度、技术、法律三方面协同努力。

      根据《暂行规定》，首先可以明确的一大前提是，能够入表的数据资产一定是企业合法拥有或合法控制的。然而，在先行的数据确权的立法制度下，证明企业合法拥有的拟入表数据资源存在一定困难和风险，因此，证明企业合法控制拟入表的数据资源，就成为现阶段数据资产入表的可行性路径。

      在这一逻辑下，我们不难建立一个基础的共识，即数据资源的合规性是企业数据资产入表的底座和依据，而这一“地基”是否足够坚实，就建立在企业数据合规体系建设本身是否具备一定基础。

      （1）在数据资产入表之前，数据治理合规审查具有必要性。

      第一，企业必须遵循相关法律和合规监管要求，确保数据的收集、存储和使用符合法律要求，同时进行风险评估，识别可能存在的合规风险，如数据泄露、隐私侵犯等，为后续整体的入表制度设计提供合规制度保障的基础。

      第二，企业必须根据数据的敏感性和重要性，对数据进行分类和标签化，并依据所在行业不同的合规要求对数据资产目录进行梳理和分类分级，为能够入表的数据资产识别做基础的前提工作。

      第三，企业需要根据法律法规要求和风险评估结果，制定详细的数据合规策略。这包括数据收集、存储、处理、传输和使用的各个环节，确保企业在数据资产入表之前就建立起完整的合规体系。

      （2）在数据资产入表之中，数据合规评估具有必要性。

      第一，确保数据的质量为必要环节。合规能对数据质量进行有效控制，确保入表数据准确、完整、可靠，避免因为数据质量问题导致的合规风险。

      第二，对原始数据进行清洗和脱敏处理，去除冗余、错误和敏感信息，是降低数据泄露和隐私侵犯的风险，提高数据的安全性的必要措施。

      第三，需要建立合规审计和监控机制，以实现对数据的处理过程的实时监控，确保数据的合规性得到保障。

      （3）在数据资产入表之后，数据合规持续监测具有必要性。

      第一，企业需要建立持续合规监测机制，定期对数据资产进行合规性评估，确保数据的处理和使用始终符合法律法规要求。

      第二，在数据产品交易等数据资产持续产生价值的环节，企业必须具备应对数据风险的应急方案和处置能力，明确应对措施和责任人，确保风险得到及时控制和处理。

      2.数据资产入表的合规要点提炼

      （1）数据来源合规

      ?企业自身收集的非个人信息数据

      对于企业自身经营所产生的数据，如设备运行数据、管理数据等表面上不需要审核来源合法的问题，但仍然需要企业提供其设备信息、数据库模型、客户数据及运维日志等以证明数据权属；对于企业通过设备直接收集的非个人数据，此类数据通常没有直接明确的获取授权的主体，但仍需审查访问或爬取数据的合法性，数据公开边界的界定和使用目的的正当性。

      ?企业外部交易获取的数据

      应充分对拟交易数据资产进行尽职调查，评估数据来源的合法性，避免因数据供方数据源污染导致自身权利损害。在数据交易中对于无法判断数据来源真实性合法性的情况时，应尽可能要求对方提供声明、承诺、保证等保障数据来源的合规性，并且在数据交易协议中尽可能地详尽约定双方的权利义务，避免因违反数据交易协议导致数据资产价值实现的风险不可控。

      ?个人信息数据

      企业应提供有效证明进行数据资源的合规性审查，如要求企业通过弹窗点击环节（可生成特定 COOKIE 或信标，或者使用第三方 sdk 收集开发者匿名设备标识符 VAID 和应用匿名设备标识符 AAID）等环节实施数据埋点，提交服务器后台日志记录，用以证明特定用户的点击记录，以此留存用户同意授权的痕迹。

      （2）数据经营合规

      ?企业整体经营情况合规

      企业数据经营合规应着眼于企业数据处理活动的整体流程，这需要建立在数据合规律师或法务合规部门对该企业商业模式、业务线、数据流的整体把控和信任的基础之上。不同的行业监管部门可能对于其行业内企业存在特定性、强制性的数据合规要求。

      ?企业经营资质合规情况

      企业应明确自身的数据收集、处理等行为是否需要相应的特殊资质、满足备案或许可的要求。例如，《中华人民共和国电信条例（2016修订）》规定的经营电信业务，必须取得国务院信息产业管理部门或者省级电信管理机构办发的电信业务许可经营证（ICP许可证等）。

      （3）数据处理合规

      数据处理的合规性审查应关注企业数据收集后内部处理阶段的行为，包括存储、使用、加工、传输、对外提供、共享、公开等。在这一过程中，需要依据不同的处理行为单独判断合规要求。实践中，一般要求企业应当履行数据安全保障义务，采取必要的安全保障措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力，包括数据加密、身份验证、访问控制等手段。同时，企业应关注其所持有或控制的特殊数据的处理合规，如个人信息、个人敏感信息或未成年人信息、重要数据等。

      （4）数据管理合规

      数据管理的合规性应当首先从企业的组织架构中判断，其是否符合《网络安全法》《数据安全法》《个人信息保护法》的要求；其次，企业在不同数据流转和应用过程中，所承担的数据处理主体角色会有所变化，其相应的数据安全保护义务的范围和权利义务也会产生变化；再次，要注意企业是否有关于数据安全和管理的相关制度、应急响应预案，或是否满足定期合规审计、评估的要求；最后，要关注企业是否将数据管理合规落实到“人”，这一部分需要注意企业员工的数据合规安全教育和培训，只有数据处理相关的员工掌握合规要求和操作规范，才能保障数据合规管理制度的落地和有效。

      （5）数据应用场景合规

      数据的价值在流通利用的过程中持续释放，如果仅仅对数据资产入表，而后没有产生新增的、持续性的价值，那么入表资产则会成为泡沫。同时，只要数据在“动”，就会产生相关数据处理行为和数据产品的应用。因此，企业数据资产入表时，需要对数据资源的流通和应用场景进行合规评估，包括数据资源是内部使用还是外部使用、数据资源是否对外提供和销售、数据资源对外提供的下游使用场景、该场景是否合法合规、是否涉及数据跨境等，都需要从主体资格、数据类型、地域限制、行业限制等不同维度进行判断，从而得出较为稳固的结论。

三、入表的数据资产如何持续产生价值

      实事求是地说，数据资产入表不一定能实现数据资源价值，仅能代表着相关入表数据具备经济价值，但并不代表一定能实现价值。只有保持数据的有效流动，才能真正持续地实现数据价值，进而对企业资产进行赋能，否则将不会产生核心价值。

      1.入表的数据资产价值创造难点

      在数据资产入表的过程中，企业也必须确保其数据资产的会计处理遵循会计准则。然而，增设一个科目并非易事。

      数据连续不断产生和迭代，入表却是年度资产的概念，如何在连续不断的数据价值中进行归集确认，就成为难点之一。

      同时，入表的数据资产是“自用”还是“对外销售”，还是两者兼而有之，这决定了将其安置到“存货”还是“无形资产”的科目中。此时，如何将不同形态的数据产品，依据数据来源、种类进行涉及，确认法律属性，以同时保障其价值释放和财务计量，就成为难点之二。前文所列的取消数据资产入表的7家上市公司，就都曾将数据资源纳入“存货”一栏。

      2.数据产品挂牌不是数据资源入表的必经之路，但仍是优先推荐选项

      数据产品挂牌并非入表的前置程序或必须条件，原则上，只要满足财政部关于数据资源入表的基本准则的要求，即可完成入表，不必一定经过数据交易所挂牌。但由于数据来源的多样性和数据本身的复杂特点，会计在入表时审核起来非常困难，基于审慎原则，通常需要前端合规维度的验证与背书，而此时，数交所对拟挂牌的数据产品本身的合规性审查，就是一个强有力的证明方式。

      同时，在数据交易所挂牌，即可认为是在一个安全、监督、可信的场域内完成的数据产品交易行为。当交易形成规模化后，交易的公允价格更容易被市场接受，此时数据资源的价值评估和质量评估就都更有便捷性和保障性。在上述基础之上，企业的数据资产入表则会有水到渠成之意，入表后数据产品的流通价值也更好进一步计量，甚至在未来进一步的数据资产化路径中，同等条件下可能产生更多数据资产价值管理上的创新。