通商研究 | 数据资产法律问题研究:数据资产入表前提探析
学术
其他
2024-11-18 17:03
北京
![]()
![]()
2022年12月,中共中央、国务院发布《关于构建数据基础制度更好发挥数据要素作用的意见》(下称“数据二十条”)提出,“数据作为新型生产要素,是数字化、网络化、智能化的基础,已快速融入生产、分配、流通、消费和社会服务管理等各环节,深刻改变着生产方式、生活方式和社会治理方式”;在2024年国务院《关于2023年国民经济和社会发展计划执行情况与2024年国民经济和社会发展计划草案的报告》中,明确提出实施“数据要素×”行动计划,要有序开发利用数据要素,加快完善数据产权、流通交易、收益分配、安全治理等制度规则,制定支持数字经济高质量发展政策措施。数据作为数字经济时代生产要素的重要性越发凸显,有关制度规则的建设也正有序按照规划进行。而数据一旦融入生产、流通和分配,则自然会产生“资产”的属性,即为特定主体所拥有和控制,并预期为该等主体带来经济利益。2023年8月,财政部发布《企业数据资源相关会计处理暂行规定》(下称“《暂行规定》”)应运而生,明确企业数据资源相关会计准则的适用和会计科目的列示和披露要求,该规定自2024年1月1日起施行,标志着数据资产入表元年的开启。2024年上半年,合计有44家上市公司在半年报中披露了数据资产,涉及总体金额合计32.3亿元。根据《暂行规定》,其适用范围为 “企业按照企业会计准则相关规定确认为无形资产或存货等资产类别的数据资源,以及企业合法拥有或控制的、预期会给企业带来经济利益的、但由于不满足企业会计准则相关资产确认条件而未确认为资产的数据资源的相关会计处理”,而无论是无形资产、存货还是未被确认为资产的数据资源,其前提都是企业的“合法拥有或控制”且“预期产生经济利益”。本文结合已有法律法规及我们数据合规法律服务实践经验,对于该等前提涉及的合规问题进行简要分析。《数据安全法》规定“国家建立数据分类分级保护制度”。而从数据要素流通、应用、收益分配的角度,以数据分类分级为基础的数据治理是厘清数据来源、数据权属的重要前提,也是数据主体明确其对数据进行收集、控制、使用的行为边界的基础,进而构成确定数据资源价值的根本性前提。就数据分类而言,数据二十条界定了公共数据、企业数据和个人数据三个类型:“公共数据”系各级党政机关、企事业单位依法履职或提供公共服务过程中产生,数据二十条鼓励在保护个人隐私和确保公共安全的前提下,按照“原始数据不出域、数据可用不可见”的要求,以模型、核验等产品和服务等形式向社会提供,对不承载个人信息和不影响公共安全的公共数据,推动按用途加大供给使用范围,依法依规予以保密的公共数据不予开放;“企业数据”系各类市场主体在生产经营活动中采集加工的不涉及个人信息和公共利益的数据,市场主体享有依法依规持有、使用、获取收益的权益,保障其投入的劳动和其他要素贡献获得合理回报,加强数据要素供给激励;“个人信息数据”系承载了个人信息的数据,推动数据处理者按照个人授权范围依法依规采集、持有、托管和使用数据,规范对个人信息的处理活动,不得采取“一揽子授权”、强制同意等方式过度收集个人信息,促进个人信息合理利用。在数据二十条界定的公共数据、企业数据、个人信息数据的基础上,2024年10月1日生效的《数据安全技术 数据分类分级规则》(GB/T43697—2024)(下称“《数据分类分级规则》”)给出了数据分类分级的通用规则,用于指导各行业领域、各地区、各部门和数据处理者开展数据分类分级工作。根据该《数据分类分级规则》,数据分类可根据数据管理和使用需求,结合已有数据分类基础,灵活选择业务属性将数据细化分类。同时,该《数据分类分级规则》结合《数据安全法》将数据分为核心数据、重要数据和一般数据,并明确一般数据根据其一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,对经济运行、社会秩序、公共利益或个人、组织合法权益等造成的危害程度,将一般数据从低到高分为1级、2级、3级、4级共四个级别。结合该规则,我们总结不同级别数据的分级依据及其所对应应用边界如下:基本级别 | 应用边界 |
核心数据 | 关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。 |
重要数据 | 重要数据处理者应当按照规定对其数据处理活动定期开展风险评估。 |
一般数据 | 4级 | 在受控范围内经过严格审批、评估后可共享或传播。 |
3级 | 由授权的内部机构或人员访问,如将数据共享到外部,需满足相关条件并获得相关方的授权。 |
2级 | 通常在组织内部、关联方共享和使用,相关方授权后可向组织外部共享。 |
1级 | 可对外公开发布、转发传播,但需考虑公开的数据量及类别,避免由于类别较多或者数量过大被用于关联分析。 |
就数据获取方式而言,通常分为直接获取和间接获取,两种获取方式项下包含不同的具体获取方式,各种具体数据获取方式所适用的数据类型亦存在差异。而不同的数据获取方式又决定了数据上附着的相关法益的不同、企业对数据使用的边界不同。根据我们的实践经验,通常的数据获取方式和其基本的利用前提如下:主要获取方式 | 主要涉及数据类型 | 基本的利用前提 |
直接获取 | 自行生产 | 企业数据 | 原则上可自行利用 |
用户自主上传或自动采集 | 个人信息数据 | 符合《个人信息保护法》的规定 |
通过第三方SDK采集 |
设备直接采集 |
间接获取 | 数据共享、转让、采购 | 企业数据、个人信息数据 | 个人信息数据: 符合《个人信息保护法》的规定 企业数据:不侵犯其他企业的合法权利 公共数据:符合公共数据授权使用要求 |
公开搜集 | 数据爬取 | 公共数据、企业数据、个人信息数据 |
数据开放 |
《暂行规定》明确可入表的数据资源应为企业“合法拥有和控制”。根据我们的经验,如下重点合规问题将导致企业无法“合法拥有和控制”相关数据资源或利用数据资源产生合理的经济收益。数据确权应首先排除无法合法拥有和控制的数据,包括非法获取的数据、获取行为具有不正当性的数据,亦包括因数据所负载信息涉及国家或第三方利益而无法主张基于经济目的的绝对拥有和控制,具体如下:① 未经授权收集的个人信息
《个人信息保护法》规定,个人信息处理者取得个人同意方可处理个人信息,且该同意应当由个人在充分知情的前提下自愿、明确作出,处理敏感个人信息应当取得个人的单独同意。获取个人信息未经个人授权和同意,违反获取个人信息的基本原则,当然无法进行数据确权。对于违法违规收集使用个人信息的认定,可以参考《App违法违规收集使用个人信息行为认定方法》等规范性文件、标准的规定。《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》规定,未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的“提供公民个人信息”;违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的,属于刑法第二百五十三条之一第三款规定的“以其他方法非法获取公民个人信息。就数据接收方而言,其从第三方获取个人信息,即第三方向其“提供”个人信息;根据《个人信息保护法》,个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。因此,对于间接获取个人信息,需要在上游个人信息处理者获取个人信息以及个人信息处理者对外提供个人信息两个层面均确保合法合规,否则,即存在构成非法获取个人信息的情形。随着技术发展和互联网空间内数据的极大丰富,自动化的数据爬取技术也成为获取数据的手段之一。但是,如未经授权,利用技术手段获取自身无权获取的数据,涉嫌触犯《刑法》第二百八十五条第二款规定的“非法获取计算机信息系统数据罪”和《刑法》第二百八十六条所规定的“破坏计算机信息系统罪”;而即使是通过技术手段爬取已公开的数据,如果其造成计算机信息系统不能正常运行,后果严重的,亦将涉嫌触犯“破坏计算机信息系统罪”。《网络数据安全管理条例》也明确规定,网络数据处理者使用自动化工具访问、收集网络数据,应当评估对网络服务带来的影响,不得非法侵入他人网络,不得干扰网络服务正常运行。而根据《刑法》第六十四条[1]的精神,犯罪所得的数据,相关主体无权利用。① 违反“公开透明”、“合法必要”原则获取的个人信息《个人信息保护法》规定,处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息;处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式;收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。个人信息处理者违反该等原则规定,其对于个人信息的处理缺乏合法性依据,自然无权正当地拥有和控制。对于数据爬取,除关注其是否触犯《刑法》的规定外,还需关注是否涉及不正当竞争。根据相关司法案例(如[2021]京73民终1011号等),即使数据爬取行为未触犯刑法,但若存在未遵守Robots协议等不正当行为,则通过该等手段获取的数据仍无法为企业所“合法拥有和控制”。《保守国家秘密法》规定,国家秘密是关系国家安全和利益,依照法定程序确定,在一定时间内只限一定范围的人员知悉的事项,该法亦规定:一切国家机关和武装力量、各政党和各人民团体、企业事业组织和其他社会组织以及公民都有保密的义务;任何危害国家秘密安全的行为,都必须受到法律追究。《反不正当竞争法》规定,商业秘密是指不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息。《最高人民法院关于审理侵犯商业秘密民事案件适用法律若干问题的规定》规定,商业秘密还包括:与技术有关的结构、原料、组分、配方、材料、样品、样式、植物新品种繁殖材料、工艺、方法或其步骤、算法、数据、计算机程序及其有关文档等信息;与经营活动有关的创意、管理、销售、财务、计划、样本、招投标材料、客户信息、数据等信息,包括客户的名称、地址、联系方式以及交易习惯、意向、内容等信息。对于企业获取的其他主体的商业秘密,企业依法具有保密之义务和责任,不可随意利用。考虑到企业数据资源入表以通过分配、流通产生价值为前提,我们认为对于负载了国家秘密、其他主体商业秘密的数据应当审慎对待,原则上不应将其纳入可入表的数据资源。《网络数据安全管理条例》规定“委托处理,是指网络数据处理者委托个人、组织按照约定的目的和方式开展的网络数据处理活动”,其进一步规定国家机关委托他人建设、维护电子政务系统,存储、加工政务数据,应当经过严格的批准程序,并应当监督受托方履行相应的数据安全保护义务,受托方应当依照法律、法规的规定和合同约定履行数据安全保护义务,不得擅自留存、使用、泄露或者向他人提供政务数据。《个人信息保护法》规定,个人信息处理者委托处理个人信息的,应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托人的个人信息处理活动进行监督;受托人应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息;委托合同不生效、无效、被撤销或者终止的,受托人应当将个人信息返还个人信息处理者或者予以删除,不得保留;未经个人信息处理者同意,受托人不得转委托他人处理个人信息。基于上述,受托处理数据(包括个人信息)的受托一方,并不具有决定数据处理目的和方式的权利,且一旦委托终止,负有将相关数据删除、返还之义务,自然不拥有和控制相关数据。《暂行规定》明确可以入表的数据资源为企业按照企业会计准则相关规定确认为无形资产或存货等资产类别的数据资源,以及企业合法拥有或控制的、预期会给企业带来经济利益的、但由于不满足企业会计准则相关资产确认条件而未确认为资产的数据资源。而无论是存货、无形资产的会计准则,还是《暂行办法》所规定的未确认为资产但可入表的数据资源,均需满足“预计带来经济利益”。因此,如果企业对于数据利用活动受限、无法带来预计经济利益的,或该等经济利益在法律上将受到负面评价,进而导致企业最终承担相应的赔偿、处罚责任,则该等经济利益亦非切实可由企业所有之经济利益,无法满足入表要求。亦即,预期经济利益的产生,应以合法性为基础,企业应注意关注数据利用活动所受到的各种限制,包括但不限于:对于基于个人信息主体同意而处理的个人信息,《个人信息保护法》规定,个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。据此,对个人信息的收集和使用应严格限制在个人授权和同意的范围内;如果预计可以带来经济利益的个人信息处理活动超出了个人信息主体的授权和同意,则该等处理活动缺乏法律依据,其产生的经济利益自然亦缺乏合法性依据。《个人信息保护法》规定,个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;个人明确拒绝的除外。个人信息处理者处理已公开的个人信息,对个人权益有重大影响的,应当依照本法规定取得个人同意。因此,对于企业通过公开搜集方式获取的已公开个人信息,应严格限制在合理范围内使用,不得对个人权益造成重大影响,超出合理范围收集和使用的公开个人信息缺乏合法性基础。(3)可能损害社会/国家利益/组织或个人利益的数据利用活动根据“核心数据”“重要数据”划分规则,其一旦遭到篡改、破坏、泄露或者非法获取、非法利用,会对国家安全、公共利益造成危害。《数据安全法》规定,加强对“重要数据”保护,对“核心数据”实行更加严格的保护。《网络数据安全管理条例》专章规定“重要数据安全”。因此,如果企业拟入表数据资产系“重要数据”,则应严格落实“重要数据”安全保护要求;若涉及“核心数据”,则面临更高的安全保护要求。在判断其是否可以入表时,应尤其关注其利用方式是否符合法律法规的规定。唯有符合法律法规规定的重要数据、核心数据产生的经济利益,方可在入表时予以考量。② 可能对个人信息主体合法权利、公序良俗造成负面影响的数据利用行为《民法典》规定,民事主体从事民事活动,不得违反法律,不得违背公序良俗;个人信息中的私密信息,适用有关隐私权的规定。如拟入表的数据资源对应的预期经济利益来源于违反前述《民法典》基本原则、损害个人隐私等合法权益的,相关“经济利益”在法律上应当受到否定性评价,亦不应纳入入表的数据资源。根据《暂行规定》,数据资产入表的前提是企业“合法拥有和控制”且“预计可以产生经济利益”,因此在进行企业数据资产入表工作时,应当首先考量企业是否合法拥有相关数据、其对于数据资源的利用是否受限;并仅可在解决该等前提性条件后,方可进行数据资产入表的下一步工作。
[1] 《刑法》第六十四条“【犯罪物品的处理】犯罪分子违法所得的一切财物,应当予以追缴或者责令退赔;对被害人的合法财产,应当及时返还;违禁品和供犯罪所用的本人财物,应当予以没收。没收的财物和罚金,一律上缴国库,不得挪用和自行处理。”
邹丹莉 北京办公室
zoudanli@tongshang.com
本文和其内容仅代表作者本人观点,不视为通商律师事务所或其律师的法律意见或建议。如您需要法律意见或专业分析,请咨询有资格的专业人士,或者联系您于通商的日常联系律师。转载请获得授权并注明作者和出处“通商律师事务所”。
![]()
![]()
