一文读懂：数据资产入表的相关政策、主要路径、确权证明以及合规问题｜iLaw

数据资产入表的相关政策、主要路径、确权证明以及合规问题

一、引言

随着数字经济的蓬勃发展，数据已成为现代经济活动中的核心生产要素之一。企业如何有效管理和利用数据资源，直接关系到其竞争力和市场地位。近年来，随着数据资产化趋势的加速，数据资产入表成为企业关注的焦点。本文将深入探讨数据资产入表的相关政策、主要路径、确权证明以及合规问题，为企业实践提供全面指导。

二、数据资产入表的相关政策

三、数据资产入表《暂行规定》的主要内容与基本要求

1. 数据资产的定义与分类

《暂行规定》明确了数据资产的定义和分类标准。根据规定，企业使用的数据资源如果符合无形资产或存货的定义和确认条件，则可以作为资产入表。具体来说，无形资产是指企业长期持有并用于生产商品、提供劳务、出租或经营管理的非货币性资产；存货则是指企业在日常活动中持有以备出售的产成品或商品、处在生产过程中的在产品、在生产过程或提供劳务过程中耗用的材料和物料等。

2. 会计处理与计量方法

《暂行规定》要求企业按照会计准则的相关规定进行数据资产的会计处理。对于无形资产类数据资产，企业应按照无形资产准则进行初始计量、后续计量和摊销；对于存货类数据资产，则应按照存货准则进行初始计量和发出成本的确定。在计量方法上，《暂行规定》明确了成本法的应用，即以企业为获取数据资产所付出的实际成本作为账面价值。

3. 信息披露要求

为确保数据资产入表的透明度和可比性，《暂行规定》对数据资产的信息披露提出了明确要求。企业应在财务报表中详细披露数据资产的类别、成本构成、摊销方法、减值情况等信息，并鼓励企业自愿披露更多与数据资产价值和应用场景相关的信息。这些披露要求有助于外部投资者和利益相关者更好地了解企业的数据资产状况和经营成果。

四、数据资产入表的主要路径

1.以数据资源形式直接入表

企业可以直接将符合无形资产或存货定义的数据资源确认为资产并入表。这种方式适用于企业自行生产或采购的数据资源，如数据库、客户信息等。在会计处理上，企业需按照无形资产或存货准则进行初始计量和后续计量，并在财务报表中详细披露相关信息。

2.以数据产品或服务形式入表

企业也可以将数据资源开发成数据产品或服务的形式进行入表。这种方式要求企业具备较强的数据处理和产品开发能力，能够将原始数据转化为具有市场竞争力的数据产品或服务。在入表过程中，企业需对数据产品的成本构成、收入确认和摊销方法等进行详细核算和披露。

3. 非同一控制下企业合并造成的数据资产入表

在某些情况下，企业可能通过收购或合并其他企业来获取数据资产。在这种情况下，被收购企业的数据资产将按照相关会计准则的要求进行评估和确认，并纳入合并财务报表中。这种方式要求企业具备较强的资本运作和财务管理能力，以确保合并过程的顺利进行和数据资产的准确计量。

五、数据资产入表的确权证明

1. 合法拥有路径的挑战

目前，我国尚未在法律层面明确数据确权制度，传统所有权体系难以直接应用于数据资源。因此，企业在证明对数据资源的合法拥有权方面面临较大挑战。知识产权体系虽然在一定程度上提供了保护数据资源的手段，但其保护范围有限且难以覆盖所有数据资源类型。此外，数据知识产权登记制度尚处于试点阶段，其效力和认可度有待进一步提升。

2. 合法控制路径的可行性

鉴于合法拥有路径的挑战性，企业更多地将目光投向合法控制路径。合法控制意味着企业能够在实际生产经营活动中自主利用数据资源并承担相应的风险和责任。企业可以通过建立完善的系统日志、数据合规管理体系、技术安全保障机制以及内部审计流程等方式来证明其对数据资源的实际控制力。这些措施不仅有助于企业加强数据资源的内部管理和利用效率提升竞争力；还有助于企业在与外部利益相关者进行交易和合作时提供有力的权属证明。

3. 确权证明的实践程序

在实践中，企业可以采用多种方式来证明对数据资产的合法控制权。

首先是企业自证方式，即企业根据自身对法律的理解和对数据资源的掌握情况自行出具权属证明。然而这种方式的说服力相对较弱且难以获得第三方机构的认可；

其次是数据登记方式，即通过参与数据知识产权登记或数据产权登记等官方或行业认可的登记项目来获得具有一定公信力的权属证明；

最后是第三方评估方式，即聘请具有专业资质的律师事务所、会计师事务所等第三方中介服务机构对数据资源的权属状况进行合规评估并出具法律评估意见。这种方式具有较高的专业性和权威性能够显著提升数据确权的可信度并降低企业面临的法律风险。

六、数据资产入表涉及的合规问题

企业数据合规主要可以分为数据来源合规 、数据处理合规、数据经营合规、数据管理合规，但具体到企业数据资产入表阶段， 最应当关注的是数据产品的数据来源合规与数据处理合规两部分。

（一） 数据来源合规

目前，企业获取数据的方式主要有以下几种：自行生产、公开收集、直接收集 、间接获取等，需要根据不同的收集方式及应用场景， 具体认定相关数据来源的合法合规性 。

1. 自行生产

企业自行生产的数据， 即企业在日常经营 、科研 、生产等活动中产生并收集的数据，如APP的日常活跃量数据、企业生产线上的测试数据等。在此种情形下，由于企业获取数据的过程中不涉及外部收集，故对相关数据的来源合规性进行审查时，可以相对弱化对数据收集手段的审查 。但应注意，企业应在数据的产生和收集阶段按照法律规定做好数据分类分级，并对不同种类、不同等级的数据采取不同的存储措施， 实施重要数据加密存储 、灾容备份和存储介质安全管理等措施。

2.公开收集

公开收集系指企业通过爬虫 、RPA等技术手段，采集已公开的信息。此种情形下，在审查数据来源合规性时，应重点审查以下方面：

（ 1） 数据采集不得危害国家安全 、公共利益 。

例如，企业不得采集受监管的数据， 包括重要数据、核心数据、国家秘密、情报信息等；企业在采集数据 时不得侵入国家事务、国防建设、尖端科学技术领域计算机系统；企业不得非法侵入其他特定组织的计算机系统；企业不得在未经授权的情况下侵入国家关键信息基础设施采集数据。

（2） 数据采集方式需合法、正当 。

例如，在使用爬虫采集公开信息时，企业不能违反目标网站的 Robots协议或突破其设置的反爬取措施爬取数据；企业的数据抓取行为不得干扰目标网站的正常运行；若拟采集的公开数据涉及其他企业商业秘密的，需尊重信息主体的意愿， 获得企业的授权同意。

（3） 数据采集不得损害个人的合法权益，收集和处理个人应具备合法性基础。

（4） 数据采集的目的应合法正当，不得侵犯他人知识产权、不得涉及不正当竞争。

3.直接采集

直接采集系企业通过用户自主提供或通过自由设备收集的数据。

（1） 通过用户自主提供数据的， 用户对数据的授权应当完整。例如以APP 、小程序、信息表单等方式收集用户收据的，需要在隐私协议或告知说明中明确收集数据的种类、处理方式及目的等，并获取用户的明示同意。以此种方式采集数据的， 应重点关注以下内容：

采集的数据涉及个人信息的，需满足个人信息采集的合法性基础；采集的数据涉及未满十四周岁未成年人的，需取得其监护人的自愿、明确同意；采集的个人信息数据敏感个人信息的，需取得单独同意；采集的数据涉及企业商业秘密的， 应取得企业的明示授权同意。

（2） 通过自有设备采集数据的， 应重点关注以下内容：

通过委托/租用/购买的第三方设备或自有设备采集数据的，均应确保设备的安全性及数据安全保护能力；收集特殊领域数据的，需具备相关资质，例如收集道路信息的，可能需要具有测绘资质；收集的信息涉及个人信息的，应对个人信息进行匿名化处理，或具备其他个人信息采集的合法性基础。

4.间接获取

间接获取系指通过协议、共享等方式获取相关数据，从交易渠道上看，可以分为场内交易和场外交易 。场内交易即在各地数据交易所内进行交易，目前，大部分数交所均要求数据产品提供方对数据产品进行合规性评估。以上海数据交易所为例，数据产品需通过第三方专业机构的实质审核及数交所的形式审查后方能挂牌交易。场外交易的情况下，目前除征信行业等特殊监管行业外，并无强制审查拟交易数据的要求，但对于数据需方来说，若拟将购入的数据确认为数据资产， 应确保其对相关数据的权利不存在瑕疵。

无论场内交易还是场外交易，若数据需方拟将购入数据产品确认为数据资产， 均应重点关注以下内容：数据供方的数据来源是否合法 、其处理与交易相关数据是否具有相关授权；数据本身能否进行交易， 如核心数据 、国家秘密、情报信息、个人生物识别信息原则上不允许交易；涉及重要数据的，数据供方是否取得相关部门的同意或许可， 例如，全国范围内二十年以上的气象数据具有一定的敏感性，原则上企业只能从国家气象局获得该数据；特殊需求场景下数据供方是否具有相关资质，例如，金融机构获取个人信用信息用于征信业务的，数据供方一般需为持牌征信机构。

此外，企业如果是数据的受托处理者的，根据《个人信息保护法》，受托人应当按照约定处理个人信息， 不得超出约定的处理目的 、处理方式等处理个人 信息；委托合同不生效 、无效 、被撤销或者终止的，受托人应当将个人信息返 还个人信息处理者或者予以删除， 不得保留 。未经个人信息处理者同意， 受托人不得转委托他人处理个人信息 。非个人数据的委托处理， 亦应遵循类似要求。

（二） 数据处理合规

企业处理数据的一般性合规要求为：合法 、正当 、必要 、保障数据主体权利 。具体来讲， 应重点关注以下方面：

1. 数据处理需符合授权范围

企业处理数据的范围应当合理， 处理目的应当合法 、正当 。企业进行数据处理的范围应为数据主体授权范围和协议约定范围， 或其公示的使用规则中所承诺的数据处理范围 。企业不得将收集的数据用于非法目的，不得使用非法手段或以非法形式使用数据 。若超出前述范围处理数据，则可能构成民事违约和侵权、行政违法，经企业处理产生的数据产品等也会存在权利瑕疵。

2.数据处理行为需分类分级管理

企业应建立数据分类分级管理体系，在处理不同类型的数据时，采用相应程度的行为规范和管理制度。尤其是当企业处理的数据涉及个人信息 、重要数据 、核心数据时，应确保处理行为符合相关规定 。例如，企业在处理重要数据、核心数据时，相关数据应存储在境内，非经批准不得向境外提供；企业处理涉及个人信息的数据时， 应满足《个人信息保护法》第13条所规定的合法性基础。

此外，《网络安全法》第21条规定，“网络运营者应当......采取数据分类、重要数据备份和加密等措施”，也即企业应对所存储的数据按照分级分类的原则，选择安全性能、防护级别与安全等级相匹配的存储载体对数据进行存储和管理，对于国家规定的重要数据 、核心数据应采取加密存储措施。

3.是否建立数据处理配套安全机制

企业在处理数据时，除应符合上述要求外，还应履行《网络安全法》《数据安全法》及相关法律法规项下对于企业的整体义务。

例如，企业在数据处理的过程中应采取技术措施和其他必要措施，保障网络安全 、稳定运行，有效应对网络安全事件，防范网络违法犯罪活动，维护网络数据的完整性、保密性和可用性；企业应建立健全全流程数据安全管理制度，制定内部安全管理制度和操作规程确定网络安全负责人，落实网络安全保护责 任；建立用户信息保护制度 、网络信息安全投诉、举报制度；组织开展数据安全教育培训。

此外， 企业还应对数据采取加密 、访问控制及风险处置措施， 遵循线下法律法规对于数据安全处理的要求。