华人研究 | 企业数据资产“入表”的合法审查路径探析

2023年8月1日，财政部发布《关于印发〈企业数据资源相关会计处理暂行规定〉的通知》(财会〔2023〕11号）（以下简称“暂行规定”），适用于企业按照企业会计准则相关规定，将企业合法拥有或控制的数据资源，确认为无形资产或存货，以及由于不满足企业会计准则相关资产确认条件而未确认为资产的数据资源的相关会计处理。上述暂行规定已于2024年1月1日正式施行。

企业数据资产入表的概念，通常理解为企业按照会计准则要求，将企业合法拥有或控制的数据资源确认为资产并纳入财务报表，企业合法拥有或控制的数据资源主要来源于生产经营过程产生或合法获取。

从经济角度分析，数据资产入表有助于全面反映企业数据资源的价值，从而影响企业的资产规模和财务状况，并且可以企业在获取、处理数据经营成本纳入资产的范围，整体对企业估值及经营性融资提供重要支持。企业数据资产入表也是即2019年党的十九届四中全会首次提出的，将数据与劳动、资本、土地、知识、技术和管理并列作为重要的生产要素后，充分发挥数据生产要素属性的重要支撑。企业数据资产“入表”路径涉及数据技术安全、数据分级分类、数据资产的合规与确权、数据资产价值评估等一系列问题。

对企业数据资产“入表”法律合规性审查，目前服务市场并没有统一的规范，行业也未出具类似的合规、确权指引文件。我们以《网络安全法》《数据安全法》《个人信息保护法》及《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》（以下简称“数据二十条”）等有关规定，简要分析企业数据资产“入表”法律风险的审查要点。

1.数据资产“入表”合法性基础框架

判断企业合法拥有或持有的数据资源，可以从外部法律及政策文件和内部规章制度两个方面予以评价，确定企业合法拥有或持有的数据资源合法性规范问题。就外部法律包括法律行政法律、行业监管规定、行业准则、国际条约或规则（涉外）等方面确定外部合法性技术。就企业内部规范而言，确定企业有无按照法律规范制定相关的规章制度，取得行政许可资质、信息安全评估等。

2.数据资产“入表”的合法性审查路径

（1）企业数据产权登记审查

目前数据产权的归属问题在法律层面上存在争议，数据二十条将数据资产舍弃了所有权的思路，建立了数据资源持有权、数据加工使用权、数据产品经营权分置的产权运行机制。北京、浙江等省市发布了数据知识产权登记管理的相关规定，对符合规定的数据资源颁发数据知识产权登记证书。因企业数据资产产权登记类似于著作权登记，取得相关数据知识产权登记证书系推定合法拥有，不同意物权领域的所有权概念。

据此，对于企业已经获得相关数据证书，应当通过登记平台核验真实性，并查阅相关登记材料，进一步确定数据资产的产权是否存在争议，权利主体是否具有相关的资格资质，登记的程序是否合法等问题。

（2）企业拥有数据资源范围合法审查

《暂行规定》的适用范围载明，适用于企业按照企业会计准则相关规定确认为无形资产或存货等资产类别的数据资源，以及企业合法拥有或控制的、预期会给企业带来经济利益的、但由于不满足企业会计准则相关资产确认条件而未确认为资产的数据资源的相关会计处理。据此，企业数据资源可以分为无形资产或存货，以及企业合法拥有或控制的、预期会给企业带来经济利益的、但由于不满足企业会计准则相关资产确认条件而未确认为资产的数据资源。

法律服务对企业拥有数据资源范围合规审查中，需要进一步查明企业对数据资源是否拥有或控制，数据资源的获取、使用、处分等权利的来源是否有合法基础。对于“入表”确定的价值是否经过有资质的评估部门、会计师事务所予以评估。

（3）数据资产的分类分级审查

数据分类分级保护及关联，是数据资产管理体系的重要组成部分，与数据资产入表环节数据资产盘点（识别）共同沟通数据体系的基础工作，也是《数据安全法》规定的要求。数据资产的分类分级重点分类分级是否遵循有关法律法规及部门规定要求、是否满足相应的数据安全规定要求；分类分级维度是否便于数据管理和使用；分类分级是否符合数据安全保护的标准等等。

（4）数据来源及内容合法审查

数据来源合法是数据“合法拥有或控制”的基础，也是数据资产入表的前提条件。数据来源合法性审查的法律依据《数据安全法》第八条，《个人信息保护法》第二条，《刑法》第二百八十五条之规定。审查数据来源合法性，主要从以下几个维度考虑，是否来源于公共数据、是否来源于企业生产经营活动、是否外部方式购买、是否属于公民个人信息数据。具体而言，需要确定企业搜集数据路径是否合法、是否具有法律规定的资质、自主采集数据是否超出经营范围、采买数据交易对方是否合法、数据集是否合法完整等。

数据内容应当真实、合法，不应包含非法数据，例如不得包含非法获取的国家机密、他人商业秘密、个人信息等，不得包括危害国家安全、泄露国家秘密、颠覆国家政权、破坏国家统一的信息，也不得包括淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的信息。

（5）企业数据处理合法性审查

《数据安全法》第三条第二款之规定，数据处理的行为包括对数据的收集、存储、使用、加工、传输、提供、公开、删除等，贯穿于数据全生命周期。第八条 开展数据处理活动，应当遵守法律法规，尊重社会公德和伦理，遵守商业道德和职业道德，诚实守信，履行数据安全保护义务，承担社会责任，不得危害国家安全、公共利益，不得损害个人、组织的合法权益。即审查数据处理者是否遵循合法、正当、必要和诚信原则，数据处理的行为是否符合公开、透明的要求。

（6）数据安全管理及经营合规审查

企业数据安全管理是企业为确保数据处于有效保护和合法利用的状态，多部门协作实施的一系列活动集合。审查数据安全工作的管理规则和程序、内外部协调机制以及个人信息保护的管理制度、数据安全评估等是否健全、落实是否到位。

若企业主营业务为数据处理者，在数据经营过程中应合法、合规，需要审查企业相关政府部门的行政审批，确定企业的授权体系、内控制度，以保障数据经营的合法性。

（7）披露义务合规审查

审查企业数据资产入表是否按照《暂行规定》的要求履行适当的披露义务。披露范围、广度是否符合满足会计准则和信息透明度的必要原则。

将数据作为生产要素，是我们首次提出的重大理论创新；数据资产入表进一步将数据的要素属性发挥市场价值，为企业提供新的发展机遇，同时为法律服务提出新的挑战。

转载请注明文章来源

刘磊律师，男，汉族，中共党员，法律硕士；信息管理与信息系统本科专业，具有信息管理（数据技术）与法学复合专业背景。

资质情况：执业律师，专利代理师，中级律师职称，合肥市律师协会知产委委员，安徽华人律师事务所知产委副主任，中国法学会会员，中国知识产权研究会高级会员，合肥市国家知识产权保护示范区海外知识产权诉讼公益服务团成员。

主要业务方向：以复合专业背景优势，致力于知识产权、大数据合规及政府法律顾问等法律服务。

服务业绩：执业以来，先后担任安徽省机关事务管理局及局属事业单位、安徽省农村综合经济信息中心（安徽省农业气象中心）、合肥市气象局、合肥市蜀山区数据资源管理局、合肥蜀山自贸区局、合肥蜀山管委会、中国邮政储蓄银行安徽省分行、泸州老窖股份有限公司知识产权保护中心、五粮液集团公司知保中心等多家单位法律顾问。