在有关制度提供的数据资产化路径逐渐清晰的同时,企业对数据资产的管理也必须在合法的轨道上进行。本文从数据入表的视角出发,对法律法规和会计处理规则提出的,在主体经营及数据来源、数据处理、数据管理、数据应用等各方面的合规要求及合规评估审查的关注重点进行阐述。
确权与合规是数据入表乃至数据资产管理的基础和前提。财政部于2023年12月31日印发的《关于加强数据资产管理的指导意见》(“《指导意见》”)中,将数据资产管理的前两项基本原则确定为“安全与合规利用”和“权利分置”。《指导意见》将数据资产的依法合规管理和数据资产的权责关系明晰视为数据入表的主要任务之一,要求保护依法收集、生成、存储、管理数据资产过程中各类主体的权益,并提出在《关于构建数据基础制度更好发挥数据要素作用的意见》(“数据二十条”)指导下构建分类科学的数据资产产权体系。
我们在针对“数据二十条”以及《企业数据资源相关会计处理暂行规定》(“《暂行规定》”)的分析(《国枫观察 | 数据入表前路初探》)中,初步归纳了在数据入表背景下,法律层面可能存在的数据确权问题。因为“数据资产权责关系”目前仅能参考“数据二十条”进行确认,而在合规层面,我国《网络安全法》《数据安全法》《个人信息保护法》“三驾马车”为首的数据法律体系则已经基本建成,实践中,针对数据资产管理“依法合规”的相关要求以及各类数据所适用的法律、行政法规所规定的权限、程序等问题,法律合规层面的要求可能更加明晰。
因此,虽然在数据入表的实际工作中,律师针对拟入表数据可能同时论证其权利分置与合规性,但由于“数据二十条”在法律效力与层级上的地位尚不明确,且现有数据交易场所的法律地位和权威性亦不明确,从数据入表的视角出发,律师作为专业的独立第三方对数据资源合法、合规的评估意见,可能有助于为企业和会计师开展数据资源入表核算提供更清晰、更直接、更有力的法律支持。并且,在入表以数据确权登记作为数据权属确认方式的情形下,律师出具的合规性评估意见也可以作为数据确权登记的有力支撑。
基于上述,本文拟讨论在数据入表的视角下,数据资源在主体经营及数据来源、数据处理、数据管理、数据应用等各方面,如何达到在《暂行规定》及会计准则强调的“合法拥有或控制”条件中,“合法”一词对拟入表数据资源提出的合规要求。
类似各地数据交易所对于数据产品挂牌交易活动中,主体需要具备对拟入表数据进行数据处理、开展相关业务活动的资质和条件(例如特殊行业的经营许可)。在此基础上,在数据资产管理活动的合法合规评价上,对于企业在数据治理活动中具有合法经营能力、经营风险有效控制、主营业务与数据具有较强关联性、不存在与数据资产管理活动有关的权属纠纷、担保、诉讼或仲裁以及重大违法违规行为等主体层面的合规要求,自不待言。
此外,拟入表数据的来源也应合法、合规,避免后续处理活动成为“毒树之果”。例如,涉及个人信息的,其数据收集行为应当具有合法性基础,例如最常见的基于个人信息主体授权,在此情形下应当满足向个人收集其信息的告知同意规则、个人信息收集的最小必要原则等要求;如数据来源于公共数据或其他公开数据,则其在公开收集的情况下应当履行必要的注意义务,对于获取方式(例如使用爬虫收集他人网站公开数据的,不应违反对象网站的Robots协议等)和数据源的权限限制(例如开源数据库虽然具有公共属性,但其授权范围可能因许可证不同而有所区别等)等需要特别关注;在协议授权的情况下,则需要符合合同对于数据相关权利和义务的约定,并额外审查数据提供方的数据来源合法性。
数据资产入表对于企业全生命周期的数据合规提出高要求,在数据处理环节,主要聚焦企业数据收集后内部处理阶段的行为,需要逐一审查数据存储、加工、提供等行为的合法性,确保企业各内部职能部门切实履行数据处理合规义务,避免因数据处理的不合规因素影响拟入表数据的权属以及数据资产业务模式的实现。由于目前数据立法活动和司法实践仍在早期尚有待发展完善,数据处理合规义务方面的瑕疵对于数据入表的具体影响存在一定程度上的不确定性,因此,整体而言,我们倾向于建议拟入表企业对于各项合规要求采取谨慎的态度。
总体来说,数据处理的各环节需遵守合法性、正当性、必要性三项原则,即数据处理行为符合取得同意时所做承诺、处理数据的目的明确及合理、处理数据的方式具有必要性。除前述三大合规义务外,数据处理各环节亦具有例如以下的合规关注要点。
1、数据存储
数据存储是指将包括个人信息和非个人信息在内的各类数据保存到一定的介质上以方便访问和查阅。数据存储环节的合规要点主要体现在存储期限、存储位置和存储方式三方面。在数据保存的期限上,部分监管部门就特定领域数据规定了保存的最长期限和最短期限。一方面,个人信息的存储时间应遵循最小必要原则和相应承诺,也不得超过必要期限存储。例如根据《征信业管理条例》,涉及个人的不良信息不得保存超过5年;另一方面,提供游戏、电商等运营服务的主体具有长期保存业务数据的义务,不得在规定期限内删除。例如,根据《网络游戏管理暂行办法》,网络游戏运营企业在服务过程中产生的购买记录、交易记录、账务记录等各类数据,必须存储至少180日以供监管部门调阅。又例如,根据《电子签名法》、《反洗钱法》等规范性文件,电子签名认证信息、金融交易客户身份资料和交易记录等数据需要至少保存5年。数据存储的安全性可能影响对会计上“合法持有或控制”的确认。例如,如果企业未依法对数据存储的数据库设置合理的访问权限和加密措施,致使存储的数据被实际泄露或篡改或存在重大风险,则数据被企业实际持有或控制的结论难以令人信服。
此外,根据一些特殊行业和特殊数据(如个人信息)的监管规则,在中国境内开展业务收集和产生的数据,根据“本地化原则”应存储于中国境内的服务器。如相关数据储存在云上,企业在选择云存储服务时尤其需要注意服务提供者的服务器是否位于境外,将数据存储于云存储服务商的境外服务器亦属于数据跨境数据传输的一种形式,需要满足相应的额外合规义务。与此同时,企业在分类分级、权限控制等存储保护手段外,还需采取有效措施,为相关主体提供更正所保存数据内容等响应行权的渠道。
2、数据加工使用
数据加工使用是指将收集、存储后的数据进行大模型训练、数据建模、数据分析等处理,以满足业务层面的相应要求。不同行业、不同场景下,数据加工使用的合规要求有所不同。以大模型训练为例,企业一方面需要采取有效措施增强训练数据的真实性、准确性、客观性、多样性,另一方面,应避免将可能属于个人信息和商业秘密的数据用于模型训练。在用户画像与个性化展示的场景下,企业需事先进行个人信息保护影响评估并留存记录,保证决策的透明、公平、可解释性,通过自动化决策向用户进行商业营销的,应主动提示自动化决策并提供非个性化服务的选择。
3、数据提供
数据区别于其他生产要素的优势在于,数据的非排他性和易复制性决定了其价值能够在流动和分享提供中体现。但相应地,数据的这些特性也加剧了数据流转中的各类权属和安全风险。因此,法律法规对于数据流动环节的合规性尤为关注,这也是合规评估中需重点关注的部分。数据提供是指将数据交由第三方处理,企业除在《个人信息保护法》第55条下,因向其他个人信息处理者提供个人信息而应承担事前进行个人信息保护影响评估的义务以外,相关数据提供行为在数据公开、委托处理、数据交易和数据跨境等不同场景下,还将导致企业承担各类额外的合规义务,具体如下:
根据《信息安全技术 个人信息安全规范》(GB/T 35273-2020),数据公开披露是向社会或不特定人群发布信息的行为。个人信息在原则上不应公开披露,即便取得个人信息主体的告知同意,也不应公开生物识别信息、种族、民族、政治观点、宗教信仰等敏感个人信息或相应的分析结果。除了上市企业和行政机关等主体外,其他主体通常不具有公开数据的法定义务。比如根据《深圳经济特区数据条例》等公共数据利用和监管规则,行政机关的公共数据应以公开为原则,不公开为例外。此外,需要注意的是,对公开数据的利用仍需合法、正当、不得损害国家利益、社会利益和其他主体合法权益,特别是不能损害原始数据权利人的合法权益,这一原则在我国的司法实践中已经有所体现:在(2020)浙01民终4847号判决书中,法院审判观点认为,例如从事互联网征信等公共数据聚合展示业务的企业,应在收集、利用和整合数据的活动中负有基本的注意义务,且应坚持数据来源合法、注重信息时效、保障信息质量、敏感信息校验等数据利用的基本原则。
委托处理也是极为常见的一类数据提供方式,《网络数据安全管理条例(征求意见稿)》将委托处理定义为“数据处理者委托第三方按照约定的目的和方式开展数据处理活动”。就数据处理者而言,其一方面需要就委托情况本身征得数据来源主体的同意,并就数据处理事项与被委托方进行明确约定。另一方面,需要履行数据合规注意义务,就被委托方的数据合规能力和履行情况定期进行审计调查,并承担因被委托方过失所造成损害的连带赔偿责任。而就被委托方而言,其应仅在委托方的授权范围内开展数据处理活动,并在委托到期后返还或删除全部数据。例如,数据处理者委托第三方进行数据清洗的情形下,受托进行数据处理的第三方不得将所获数据用于人工智能训练等其他用途。
数据交易则是指供需双方之间以数据商品作为交易对象,以货币或货币等价物交换数据产品的行为。数据产品既可能是原始收集的数据,亦可能是经加工后的数据。需要注意的是,《数据安全法》《个人信息保护法》等规范性文件明确禁止危害公共利益、侵犯他人权益等情形的场内外数据交易。与委托处理类似,交易双方可视需求先期互相开展尽职调查和评估,调查对方的资质、授权、涉诉情况,确保供方的数据来源合规、需方的数据处理合规。并且,需方应严格遵守签署的数据交易协议,在未经书面同意的情况下不得将数据转售给第三方。另外,双方还应就交易环境进行评估,保障数据在交易过程中的安全,降低数据流通风险,例如,通过数据交易所等数据交易服务平台进行场内数据交易的,可能需要根据交易所要求,对标《信息安全技术 数据交易服务安全要求》(GB/T 37932-2019)等标准,履行更高的数据交易过程的安全注意义务。
特别地,无论是委托还是交易,将数据提供给非中国大陆的境外主体,均应满足有关数据跨境传输的额外合规义务。一方面,境内主体将数据传输至境外的行为应属开展业务所必须,在可以不通过跨境传输数据也能完成相同业务的情况下,不应将数据传输至境外;另一方面,境内主体与境外主体应就数据处理和数据安全进行“充分约定”,明确境外主体所需承担的责任、法律管辖等事项。在不满足特定场景个人信息跨境合规豁免的情形下,境内主体需根据跨境个人信息的种类和数量,选择安全评估、保护认证和标准合同等路径跨境传输。
根据《信息技术 数据资产管理要求》(GB/T 40685-2021)的数据资产安全合规管理原则,企业进行数据资产管理,开展数据入表活动,对其“拥有或控制”的相应数据进行管理的,应当符合《网络安全法》《数据安全法》《个人信息保护法》以及适用于特定领域的例如《工业和信息化领域数据安全管理办法(试行)》等规定,针对该等管理活动建立完善的数据合规内控制度和组织、管理体系:
1、数据管理健全、成熟
当数据成为企业的重要资产后,企业需要建立健全、成熟的数据管理制度从而实现对该等资产的有效控制,通过数据管理制度保护数据不被非法访问、篡改或泄露,使数据资产具有完整性和明确的边界。通过成熟的数据管理制度,企业不仅能够更好地识别、评估和管理与数据相关的风险,减少潜在的经济损失和声誉损害,还能提高数据管理的效率,减少冗余和错误,确保数据的一致性和准确性。在数据资产管理活动中,无论是为了满足法律合规要求还是为了开展有效的资产管理,企业建立健全、成熟的数据管理制度都是应有之义。
在隐私保护领域,美国会计师协会(American Institute of Certified Public Accountants, Inc.)及加拿大会计师协会(Canadian Institute of Chartered Accountants)基于GAPP(Generally Accepted Privacy Principles,一般公认隐私准则)和CMM(Capability Maturity Model,能力成熟度模型),开发出了常用的隐私保护能力成熟度评价模型AICPA/CICA PMM(Privacy Maturity Model)。该模型为隐私计划的成熟度评估提供了有效的可用手段,使用者同时可借助模型确定计划应当推进的下一步并根据内外部基准衡量计划推进的项目进展。在PMM中,一个组织的隐私计划成熟度被分为5个等级:[1]
而在我国的《数据管理能力成熟度评估模型》(GB/T 36073-2018)标准下,组织的数据管理能力成熟度的5个发展等级则被划分为初始级、受管理级、稳健级、量化管理级和优化级,在这一2018年制定的标准中,已经使用了将数据作为资产的表述,并在发展等级中低层级的第2个“受管理级”和第3个“稳健级”即要求,组织应当将数据视为资产,并对其进行标准化管理。
在数据资产管理的视角下,针对数据合规管理的要求同样需要相关企业的内部数据管理制度健全且拥有一定的成熟度。根据各法条中普遍针对数据管理制度的“建立健全”的表述,法定合规管理要求的制度成熟度在隐私保护方面可对标PMM有关隐私实践的第3层“已定义”的级别,即在数据资产合规管理的制度建设上,企业应当拥有全面完整的制度文本,且相关制度应当能够被有效的实施;而在数据管理方面,“稳健级”的“建立规章制度”、“参加管理培训和配备数据管理人员”等表述也符合法律法规对企业提出的制度建设要求。通过成熟度分级,企业可以参照模型描述和指引,建设符合法律合规要求的数据管理制度。但是,不同企业的组织结构、数据资产类型、数据处理方式等决定了不同企业的数据管理制度在法律和公司等多个层面上的要求均存在不同,因此,企业也应当意识到,并非所有数据管理措施均需要被要求达到成熟度模型的最高级别。
2、技术控制明确、合理
在法律法规指出企业应在其数据管理活动中采取技术措施、实行权限控制的同时,大多数法律法规并未明确该等制度建设应当达到何种程度,但因其在保障数据安全、维持业务连续性以及数据质量管理等影响数据资产的关键因素上均不可或缺,企业建立明确、合理的技术控制制度对于数据资产管理活动合规开展而言至关重要。
明确、合理的技术控制主要体现在四大领域:数据加密、数据最小化、安全和系统。数据加密在个人信息层面应体现为“混淆”,即作为数据资产的个人信息应当经过例如脱敏、令牌化、随机化、加噪、散列等处理使之变得模糊或让人难以理解,在数据资产层面则可通过匿名数字凭证、假名化、混合网络、安全多方计算、差分隐私和同态加密等方式实现。
在数据最小化的维度上,除个人信息的收集符合最小必要原则外,在数据管理上更应限于与完成特定目的直接相关和必要的程度对数据进行处理和传输。例如,通过颗粒化、数据隔离、数据删除和去身份化以及数据聚合的方式,在满足需求的同时,能够对数据进行一定程度的控制。在安全层面,技术控制措施主要用于防止未经授权的访问。除加密等措施外,企业还应建立物理和虚拟系统的访问控制、对数据丢失的管理、数据销毁、数据审计、数据测试等相关制度。
在系统设计上,可通过例如在个人信息方面最重要的理念和方法论之一的“Privacy by Design”(PbD)[2]实现系统上的管理。在数据资产管理的技术控制系统设计上,该等制度理念也可适用于除个人信息外的其他类型数据,在数据收集和处理方案的设计阶段即将数据保护措施纳入其中。这一理念的实现方式包括隐私增强技术(Privacy-enhancing technologies, PETs)[3]等,通过这类系统,可实现数据输入输出、数据收集信息消除、数据隐藏或屏蔽、数据集拆分等不同类型的数据技术控制。
3、事件响应及时、有效
在对数据进行处理,充分发挥其经济价值的同时,实现对数据资产有效管理也要求企业制定及时、有效的数据泄露事件计划,从而应对潜在的数据泄露。事前制定的一个出色的事件响应计划,能够在满足法律合规要求的同时尽可能降低数据泄露事件对企业造成的负面影响。
数据泄露事件的响应计划一般分为(1)培训;(2)计划制定;(3)人员管理(4)保险;(5)供应商管理,共五大方面。(1)通过培训,企业能够从整体上提高组织的安全性,降低数据泄露相关风险;(2)在正式制定计划的阶段,鉴于严重或长期数据泄露的危害将不亚于重大灾害,应将数据事件响应计划融入企业的业务连续性计划(Business Continuity Plan),将数据泄露事件与火灾、自然灾害(如地震、台风、洪水)和恐怖袭击等重大灾害一同开展桌面演练、紧急联系表和检查单更新、应急预算制定等计划监督和维护;(3)人员管理要求企业在事件响应计划中拥有明确的负责人并保证其在进行事件响应时获得不同职能部门的利益相关者和团队的支持;(4)因传统保单通常不包括数据泄露相关风险,企业可以考虑额外投保网络责任保险等能够覆盖数据泄露相关费用的新型保险为事件响应提供资金支持;(5)在使用供应商的情况下,企业很可能在供应商导致的数据泄露事件中承担相关义务,因此,企业应当充分了解供应商的数据控制情况以及他们对数据泄露事件的响应准备程度。
如前文所述,数据资产入表应以合规、安全为前提,并根据企业持有模式、形成方式、应用场景等分为无形资产或存货入表。在当前缺乏统一分类标准,仅有少量入表案例公布的背景下,我们初步认为,数据资产主要存在两类应用场景:(1)将数据用于内部用途,支持生产经营和管理;或(2)将数据用于外部服务,为客户提供数据服务。企业需要关注不同应用场景下的对于数据应用的具体限制,包括但不限于主体资格限制、地域限制、行业限制、数据内容限制、服务方式限制、出境限制等等。在不同具体场景下,对数据应用的合规性审查应有不同关注要点,所对应的资产入表方式亦有不同,以下试举几例。
1、内部用途使用业务场景
(a)人工智能客服训练:某医药生物企业在产品推广过程中,采集优秀销售和运营员工与客户间的聊天记录等文字、声音、视频等数据,用于训练人工智能销售助手24小时自动回复客户,并自动生成潜在客户画像,辅助销售人员提高接待能力与业务转化率,强化销售人员的专业能力与产品信息更新速度。该数据资产仅用于企业内部使用和对外服务,且数据持有权权属不发生转移,在入表操作中应认定为无形资产。
(b)个性化人工智能健康服务:某医药生物企业在提供体检服务过程中,搜集了大量的结构化体检数据,覆盖人脑、肺结节、儿童骨龄等各类影像数据,将该类数据用于训练人工智能并推出健康评估和管理服务,提供个性化健康管理方案。该类数据亦不属于企业日常活动中持有、最终目的用于出售的数据,在入表操作中亦应认定为无形资产。
2、提供外部服务业务场景
(c)某平台型互联网服务企业为其入驻商家用户提供业务数据分析和经营建议服务,基于企业收集的大量消费用户在网站上的行为路径、停留时间、行为习惯、页面转化率等数据,以及大量商家用户的流量来源渠道等数据,为商家用户提供业务数据分析和运营策略优化建议。在数据资产入表的视角下,该类数据用于对外服务,且数据持有权权属不发生转移,应当认定为无形资产。
数据资产是新兴的资产类型,因此存在权属理论待发展、分类标准不清晰、法律合规要求较粗放等多方面挑战。在开展以数据入表为例的数据资产管理活动时,企业需要如何看待和应对前述挑战,可能是在较长的将来一直存在的话题。
截至目前,数据入表的相关法律法规制度尚未完善。今年第一季度虽有25家上市公司在公开披露的财报中列示“数据资产”,但其中超过四分之一[4]的上市公司发布更正公告、取消数据入表,这些企业的入表成果仍待进一步观察和验证。我们将会持续关注数据入表的立法趋势、已入表企业的入表成果及监管机构问询口径,也期待本系列有关数据资产的各类分析和思考,能够在数据资产管理的实践中得到进一步发展。