正文字数共计2635字,大约花费8分钟阅读时间。
一、数据确权概述
数据确权,简言之,即确认数据的权属理论上,一般认为数据确权是指通过对数据处理者等赋权,使其对数据享有相应的法律控制手段,从而在一定程度或范围内针对数据具有排除他人侵害的效力。(王利明,2024)按照《企业会计准则——基本准则》,数据确权是确认企业对数据的合法拥有或者控制。
数据资产入表从宏观上可以分为“数据资源化、数据资产化、数据资本化”三个阶段,数据确权问题是贯穿三个阶段的基础。无产权不流通,没有清晰的权属,后续的所有资产化、资本化的行为均无所依托。
“数据二十条”在数据确权问题上采用了务实的路径,回避了所有权的争议,聚焦数据流通,创造性提出建立“数据资源持有权、数据加工使用权和数据产品经营权”的“三权分置”理论。因此,当下律师所采用的数据确权方法论,均是以“数据二十条”三权分置为基础,即确认企业是否拥有数据资源持有权、数据加工使用权和数据产品经营权。
需要说明的是,数据确权仍具有极大的争议,一是理论上没有形成通说,各类学说之间仍然无法互相说服。
二是仅有“数据二十条”政策支持而无法律法规基础,导致权利细节与应用场景缺少支撑。例如,一旦进入司法场景,相关政策能否直接引用作为裁判依据?
三是数据确权的配套机制尚未形成,确权后数据的更新、摊销、管理未有成熟机制。
二、数据确权中“合法拥有或者控制”的理解
数据确权解决的是企业对数据“合法拥有或者控制”问题,这是会计准则关于资产认定的条件之一。
《企业会计准则——基本准则》对资产的认定必须满足以下几个条件:
(1)企业过去的交易或者事项形成的;
(2)由企业拥有或者控制的;
(3)预期会给企业带来经济利益的资源;
(4)与该资源有关的经济利益很可能流入企业;
(5)该资源的成本或者价值能够可靠地计量。
《数据资产评估指导意见》也明确,数据资产是指特定主体合法拥有或者控制的,能进行货币计量的,且能带来直接或者间接经济利益的数据资源。
“合法拥有或者控制”是一种法律判断,按照会计准则第二十条,是指“企业享有某项资源的所有权,或者虽然不享有某项资源的所有权,但该资源能被企业所控制。”《企业会计准则——基本准则》系基础性规定,《企业数据资源相关会计处理暂行规定》未对“合法拥有和控制”作单独解释,需引用《基本准则》。结合“数据二十条”,“合法拥有或者控制”可以作如下理解:
1、“合法拥有”即享有所有权,如企业对自身经营产生权属清晰的经营性数据,可以按最完整的权利——所有权处理。但从理论上看,此种权利究竟是哪一种权利?是物权、知识产权、个人信息权或者其他权利?由于法律层面未对数据权进行明晰的定性,这容易导致确认所有权后权属无法进一步释明的问题。
也有人提出,此处的“拥有”系指“拥有数据三权”,但这又与《基本准则》第二十条指向所有权相冲突。建议在实务中回避此类细节争议,将“拥有或者控制”作为一个整体对待。
2、“合法控制”可以参照数据二十条的“数据资源持有权、数据加工使用权和数据产品经营权”,解释为对数据的“持有、加工、使用、经营”。“合法控制”回避了所有权问题,同时聚焦数据财产性权利,可以解决数据流通的障碍。
“合法控制”还包括企业能够承担相应的责任或风险,因此数据合规也是确权中必不可少的内容。企业建立完善的数据合规管理机制,采用完备的数据合规技术,可以进一步证明企业对数据的“控制”方式与风险承受程度,因此,在数据确权时也需要对企业数据合规体系进行证明。
需要特别提示的是,“数据三权”最大的特点是“不排他”,即:多个主体均有可能享有“数据三权”,无须向所有权那样证明自己对权利的专有性。
但相应的,律师如何证明在特定场景下,客户可以取得相关的“持有、加工、使用、经营”权利,是一件充满法律智慧的事情,甚至需要律师从商业逻辑、应用场景、法律规范三个视角为客户进行设计“获权途径”,这也是律师确权服务的增值点。
三、数据确权的程序
(一)
数据确权的启动
数据确权的启动,建议在数据资产入表第一个环节“数据资源盘点摸底与可行性分析”就开始进行,由律师事务所配合数据咨询公司同步展开。
实践中,有数据咨询公司单独盘点数据资源并选定入表数据资产,到了后面的环节,律师发现无法确权,这容易导致返工或重复劳动。
因此,我们认为,在数据资源盘点阶段律师应当提前界入,在《数据资产入表可行性方案》中对拟入表数据进行初步确权判断,共同对数据场景进行分析,确保后续工作可以正常开展。
(二)
数据确权的实施
1、开展尽职调查
数据确权与其他非诉法律业务一样,同样需要开展尽职调查。需要向企业发放《尽职调查清单》,并搜集相关证明材料。
《尽职调查清单》的内容包括:企业数据业务情况、企业数据生命周期的合规情况、企业数据管理体系、企业采用的数据治理技术与数据安全保障措施等。针对有交易需求的数据资产,还需要对交易这一场景进行设计。
2、梳理证明材料
关于数据来源的证明材料,对于自行产生的数据,主要是企业数据产生的相关记录、日志、存储证明等;对于外部数据(购买、授权或共享等),主要是相关的法律文件、协议、授权书等。
关于企业数据合规的证据材料,主要从“法律、技术、管理”三个维度结合数据生命周期进行搜集。即企业在数据采集、存储、传输、处理、使用、交换、销毁七个环节,制定了何种管理制度,采用了何种法律措施与技术手段,是否符合法律法规、规范性文件及技术标准的要求。
此外,基于数据资产入表的不同需求,针对有交易需求的客户,还要对数据交易场景本身的合规进行证明,包括交易对手、交易目的、交易方式、数据可交易性等等。
3、绘制数据权属血缘图
对于比较复杂的数据,即一个数据集或数据产品中有多种不同的数据的,律师可以参照数据治理中的“数据血缘图”绘制“数据权属血缘图”,厘清数据权利汇集走向,对每个小单元的数据集分别判断权属。
4、进行风险整改
针对尽职调查中发现的问题,律师需要出具《风险整改报告》提示客户进行风险整改,否则可能无法出具确权报告。
如:在“合法控制”场景下,律师应当证明其“持有、加工、使用、经营”的合法性,如基于特定的委托、授权或许可事项,或者基于履行合同要求,或者基于公共管理职责等。许多企业对于相关证明材料疏于管理或缺乏,律师此时还面临设计场景获得“数据三权”的问题。
又如:若企业对数据未建立完整的数据合规体系,或采用并不合规的数据治理技术,律师同样需要提示法律风险、监督整改,并对整改后的方案重新进行评估。只有在数据合规的前提下,才能够确保其“持有、加工、使用、经营”的财产性权利没有瑕疵。
(三)
数据确权的完成
律师在完成尽职调查和风险整改,并搜集到完整的证据材料后,需要撰写并提交《数据确权法律意见书》,以此作为数据确权的证明。
目前,数据确权是否要进行登记?从法律上看答案是否定的。主要是没有法律规定,并且登记机关也不是政府机构,往往是商业性的数据交易中心或平台。(详细分析见《专栏丨数据资产入表确权与合规指南之(二):数据资产确权的探索与争议》)
最重要的是,无论是何种登记机构,均以律师出具的法律意见书作为确权与合规的支撑材料,一旦产生法律风险或责任时,也由律师事务所承担。因此,目前通用的数据确权,实际上还是由律师通过法律意见书的方式完成。
从商业上看,数据登记具有一定的展示效果,企业往往需要相关证书来增信,目前各地的登记模式均不相同,律师可以结合企业需求,选择最合适的登记模式。
本栏目的作者及其团队是重庆市少有的具有网络安全与数据安全背景的交叉学科团队,负责人赵长江律师系法学博士、副教授、硕士生导师(法学、网络空间安全),距今为止执业20年,长期从事企业合规治理、网络与数据安全、数据法领域的研究。
担任重庆市首席法律咨询专家、中国互联网安全大会行业专家委员会专家、重庆市互联网信息办公室专家顾问、重庆市知识产权研究会理事、中国通信学会网络空间安全战略与法律委员会委员、重庆市网络空间安全法治研究基地执行主任、北京网络安全大会虎符杰出专家组专家等。同时担任重庆市委网信办、市检察院、市版权局、市知识产权局、市公安局、计算机应急中心等多个部门及联合实验室专家顾问。
出版《网络安全法》等教材和专著,主持和主研了十余项国家级和省部级交叉学科项目。前期团队完成的相关数据合规法律服务已经成熟,具备了推广的条件。
联合撰写作者:
重庆邮电大学 余翔
本文作者
声明:
本文由德恒律师事务所律师原创,仅代表作者本人观点,不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容,请注明出处。
往期文章链接:
专栏丨爬虫研究之(二):网络爬虫入罪的实证分析与保护边界争议
专栏丨数据资产入表确权与合规指南之(一):数据资产入表的政策解读与基本步骤
专栏丨数据资产入表确权与合规指南之(二):数据资产确权的探索与争议
