以数据治理与合规助推企业数据资源入表--数据资源会计处理的约束
作者:吴卫明 2024-05-06数据资源会计处理,也被称为“数据资产入表”是《企业数据资源相关会计处理暂行规定》对数据资源价值化体现的一种会计处理方式,也是体现数据资源价值,反映数据活动经济实质的一种制度。然而,数据资源会计处理并不是孤立的会计处理活动,而是企业数据活动以及数据价值化在会计上的集中体现。
为了做好数据资源的会计处理,离不开数据资源的价值化规划,以及更为基础的数据治理与合规安排。本文旨在厘清企业数据资源会计处理与数据治理及合规的关系,以便于企业能够提早规划、治理优先、合规保障,推进数据资源的价值化体现,并最终实现数据资源入表。
一、数据要素流通与数据资源会计处理的政策概要
1、政策背景
随着数字经济的高速发展,大数据及人工智能的发展也随之提速,而数据要素作为国民经济基础生产要素的地位也被国家予以高度重视,对于企业而言,数据也逐渐成为企业掌握的重要资源乃至资产。近年来,我国出台了一系列关于数据要素流通的政策文件,如《“十四五”数字经济发展规划》等,这些文件对数据要素市场的发展进行了顶层设计和方向性指引,旨在充分发挥数据要素价值,推动数字经济的高质量发展。
中共中央、国务院于2022年12月19日发布了《关于构建数据基础制度更好发挥数据要素作用的意见》(简称)。“数据二十条”为我国整体数据要素产业的定位、目标、参与方和原则作出了顶层设计。
此外,为了促进数据要素的流通与数据的价值化,各地也陆续出台了一系列具体措施。例如,《福建省促进数据要素流通交易的若干措施》提出了建立公共数据资源开发利用快审机制、推动公共数据按政府指导定价有偿使用等六条措施。这些措施旨在降低数据流通成本,提高数据流通效率,推动数据要素市场的繁荣发展。
在数字经济发展中,由于数据要素的收集、生产、加工、流通都是大数据发展带来的新生事务,传统的会计处理规则与之并不完全匹配,不能准确反映数据相关业务和经济实质。为解决这一问题,财政部2023年8月1日发布了《企业数据资源相关会计处理暂行规定》(简称《暂行规定》),该规定自2024年1月1日起施行。
《暂行规定》适用于符合企业会计准则规定、可确认为相关资产的数据资源,以及不满足资产确认条件而未予确认的数据资源的相关会计处理。这一政策的出台,有助于进一步推动和规范数据相关企业执行会计准则,准确反映数据相关业务和经济实质。“数据二十条”构建了保障权益、合规使用的数据产权制度框架,为数据资源的会计处理提供了有力支持。通过“三权分置”的数据产权制度框架,明确了数据资源持有权、数据加工使用权和数据产品经营权的归属和流转方式,为数据资源的会计处理提供了清晰的产权基础。
《企业数据资源相关会计处理暂行规定》虽然是一个对企业数据资源进行会计处理的制度,但是会计处理的前提是有关数据资源由企业合法持有或能够为企业带来收益,因而,数据处理的合法合规是会计处理的大前提。
2、数据资源入表的基本方式
《暂行规定》适用于企业按照企业会计准则相关规定确认为无形资产或存货等资产类别的数据资源,以及企业合法拥有或控制的、预期会给企业带来经济利益的、但由于不满足企业会计准则相关资产确认条件而未确认为资产的数据资源的相关会计处理。
按照这一规定,能够进行入表的数据资源主要有两类:
(1)企业使用的数据资源,符合《企业会计准则第6号——无形资产》(财会〔2006〕3号,以下简称无形资产准则)规定的定义和确认条件的,应当确认为无形资产。企业在编制资产负债表时,应当根据重要性原则并结合本企业的实际情况,在“存货”项目下增设“其中:数据资源”项目,反映资产负债表日确认为存货的数据资源的期末账面价值;
(2)企业日常活动中持有、最终目的用于出售的数据资源,符合《企业会计准则第1号——存货》(财会〔2006〕3号,以下简称存货准则)规定的定义和确认条件的,应当确认为存货。在“无形资产”项目下增设“其中:数据资源”项目,反映资产负债表日确认为无形资产的数据资源的期末账面价值;在“开发支出”项目下增设“其中:数据资源”项目,反映资产负债表日正在进行数据资源研究开发项目满足资本化条件的支出金额。
3、数据资源入表的披露要求
同时,对于数据资源进行会计处理,《暂行规定》还规定了披露原则及其他披露要求。
企业可以根据实际情况,自愿披露数据资源(含未作为无形资产或存货确认的数据资源)下列相关信息:(1)数据资源的应用场景或业务模式。(2)用于形成相关数据资源的原始数据的类型、规模、来源、权属、质量等信息。(3)企业对数据资源的加工维护和安全保护情况。(4)数据资源的应用情况。(5)重大交易事项中涉及的数据资源对该交易事项的影响及风险分析。(6)数据资源相关权利的失效情况及失效事由、对企业的影响及风险分析等。(7)数据资源转让、许可或应用所涉及的地域限制、领域限制及法律法规限制等权利限制。(8)企业认为有必要披露的其他数据资源相关信息。
二、数据资源会计处理的数据治理及合规要求
1、合法合规性是企业资产会计确认的基本前提
《暂行规定》适用于企业按照企业会计准则相关规定确认为无形资产或存货等资产类别的数据资源,以及企业合法拥有或控制的、预期会给企业带来经济利益的、但由于不满足企业会计准则相关资产确认条件而未确认为资产的数据资源的相关会计处理。
从无形资产的法律界定角度,如知识产权、土地使用权等,一般以特定的法律规定为前提。与有形物相比,无形资产权利系根据法律的拟制而产生,因而,无形资产一定是以符合法律的规定为前提。比如,知识产权中的专利权,以专利法的规定为基础,并且需要经过专利主管机关的授权和公示登记,才能产生专利权的效力,从而具备计入企业无形资产的基础。土地使用权则需要依据有关法律规定取得土地使用权,才具有计入无形资产的可能性。
而存货在传统法律意义上,如果属于动产,同样也应是以符合法律规定的可流通物为前提。对于限制流通物,比如麻醉药物或者其他限制流通物,则需要考虑企业是否具有经营、存储、流通的资质。即使是将数据资源作为存货,前提依然是以合法持有及可以合法流通为前提。
对于数据资源而言,虽然当前并未出台专门的法律对其权利属性进行界定,但从无形资产及存货入表的一般原理看,至少该数据资源的获取、持有、利用、处置等处理环节应不违反法律法规及监管规则的规定。
针对数据处理,我国先后颁布并施行了《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》《数据出境安全评估办法》《App违法违规收集使用个人信息行为认定方法》等法律、法规及监管规则,此外还有大量与数据处理有关的法律规则散布于其他的法律之中,加上<《信息安全技术-个人信息安全规范》等各类国家标准,构成了一个体系庞大、内容复杂、技术要求强、综合程度高的规则体系。这些法律、法规、监管规则、国家标准,对企业的数据治理与合规提出了很高的要求,数据资源入表过程中,必然需要考虑这些规则对于数据资源合法性的影响。
2、合法合规是数据资源进行报表披露的基础
此外,按照数据资源会计报表披露的要求,合规及完善数据治理都是进行数据资源会计处理的前提和基础。举例如下:
(1)数据资源的原始数据的类型、规模、来源、权属、质量等信息的披露,其中的数据来源、数据权属,即为法律与合规的重要内容。来源与公开采集、企业生产、业务场景中自行采集、第三方间接获取,法律及合规的要求各有不同。仅以自行采集为例,如果企业通过APP获取个人信息,就会受到《个人信息保护法》及有关APP获取个人信息合规治理的监管规则的约束。而数据类型、质量,则是数据治理关注的内容。
(2)企业对数据资源的加工维护和安全保护情况。安全保护情况,虽然主要是一个技术安全性问题,但是有关法律法规将安全措施作为法律的强制性义务,并且数据的合规处理也被作为数据安全的范畴。
(3)数据资源相关权利的失效情况及失效事由。毫无疑问,权利时效问题,既可能是一个法律的强制规定问题,也可能是合同的约束问题。
(4)数据资源转让、许可或应用所涉及的地域限制、领域限制及法律法规限制等权利限制。这一披露内容,则需要将数据资源流通涉及的行业法律限制、地域法律限制予以充分披露。
由此可见,数据合规与数据治理是企业数据资源会计处理的大前提,而企业数据资源会计处理,则是数据合规与数据治理的结果和目标之一。
三、数据治理与数据合规的内涵
数据治理与数据合规是相伴的一对概念,数据的有效治理与合规管理是数据利用、数据要素流通、数据资源价值化及数据资源会计处理相伴生的问题。
(一)数据治理的概念与内涵
1、数据治理的概念
根据国际标准化组织IT服务管理与IT治理分技术委员会、国际数据治理研究所(DGI)的观点,数据治理是指建立在数据存储、访问、验证、保护和使用之上的一系列程序、标准、角色和指标,以期通过持续的评估、指导和监督,确保富有成效且高效的数据利用,实现企业价值。[1]
推荐性国家标准《信息技术服务—治理第5部分:数据治理规范》(GB/T34960.5-2018)第3.1条款对数据治理(data governance)做出如下界定:数据资源及其应用过程中相关管控活动、绩效和风险管理的集合。
部分行业监管规则或标准,也对数据治理进行的界定。如中国银行保险监督管理委员会(后更名为“金融监管总局”)发布的《银行业金融机构数据治理指引》中,将数据治理界定为:银行业金融机构通过建立组织架构,明确董事会、监事会、高级管理层及内设部门等职责要求,制定和实施系统化的制度、流程和方法,确保数据统一管理、高效运行,并在经营管理中充分发挥价值的动态过程。银行业金融机构应当将数据治理纳入公司治理范畴,建立自上而下、协调一致的数据治理体系。在中国民用航空局发展计划司主编的行业标准《智慧民航数据治理规范-框架与管理机制》(MH/T5054-2021)中,在第2.0.1条款对数据治理(data governance)做出如下界定:数据治理是指数据资源及其应用过程中的相关管控活动,包括对数据进行处理、格式化和规范化的过程。
2、数据治理的内涵
数据治理是一个内涵丰富的概念的分析,既包括数据治理的组织架构安排,以及数据的各类管控活动,也包含数据的绩效发挥以及各类风险管理。笔者认为,数据治理的内涵可以归纳为以下几个方面:
(1)有效管理
一般认为,以下几个方面构成有效管理的状态:其一,数据所在的信息系统稳定、可靠,数据被有效保护,不会被删除、毁损、破坏,已经被未经授权的访问。其二,建立了覆盖全面、职能完备、分工协作、约束与激励并存的数据管理组织和架构。其三,具有完善的数据管理制度和流程体系。
(2)数据价值化
价值化是数据收集、利用的目标,也是数据治理体系的重要目标。价值化包含了数据资源的资产化、产品化乃至证券化,因为无论是数据自用,还是形成可供流通的数据产品,以及企业拥有的数据资产并计入会计报表,其核心都是产生或体现数据价值。
(3)数据合规
数据的获取、加工与利用,都不应与法律法规及监管规则产生冲突。因此,数据合规也应作为数据治理的重要内涵。《信息技术服务—治理第5部分:数据治理规范》(GB/T34960.5-2018)指出,数据治理包括法律法规、行业监管规则和内部管控等对于数据及其应用的安全、合规要求。
2、数据治理的基本框架
《信息技术服务—治理第5部分:数据治理规范》构建了数据治理的框架。
(1)顶层设计
顶层设计是整个数据治理架构的引领,决定了数据治理规划的科学性及适用性,包括战略规划、组织构建、管理架构设计。在顶层设计环节,数据治理的整体组织架构设计尤为重要。数据治理的组织架构使得企业具有了数据治理的内部机构、人员分工,从而可以驱动构建数据治理的相关制度和流程和管控措施。
对于数据治理的组织架构,《信息技术服务—治理第5部分:数据治理规范》(GB/T34960.5-2018)规定了组织构建的基本要求。其中第6.2条款指出,组织构建应聚焦责任主体及责权利, 通过完善组织机制,制定数据管理的流程和制度,至少应:a)建立支撑数据战略的组织机构和组织机制,明确相关的原则实施和策略;b)明确决策和实施机构,设立岗位并明确角色,确保责权利的一致;c)建立相关的授权、决策和沟通机制,保证利益相关方理解、接受相应的职责和权利;d)实现决策、执行、控制和监督等职能,评估运行绩效并持续改进和优化。
(2)数据治理环境
治理环境是指企业所面临的业务、市场及利益相关方的需求,以及企业适应内外部环境变化。治理环境包括:其一,法律法规、行业监管及内部管控的环境;其二,企业的业务战略和数据战略,主要解决数据治理与公司业务发展的关系,并需要考虑相关方的利益;其三,市场发展、企业市场竞争地位、技术变革的影响;最后,规划人员、经费、基础设施等资源。
(3)数据治理域
数据治理域包含数据管理体系和数据价值体系。数据管理体系内容包括数据标准、数据质量、数据安全、元数据管理和数据生命周期管理。数据价值体系则主要包括数据资产运营和应用,从而支持数据流通、数据服务、数据洞察等需要。
(4)数据治理过程
数据治理过程中,根据数据治理的内外部环境,规划不同数据治理域的具体治理要求。从而构建具体的制度、操作流程、行为规范、权利义务及责任划定、约束激励机制的建立,促成具体治理方案的落地。在数据治理过程中,制度与流程的构架和落实是治理过程的重中之重。
(二)数据合规的概念与内涵
一般语境下,合规是指企业的经营活动与法律、规则和准则相一致。合规风险,是指企业因没有遵循法律、规则和准则可能遭受法律制裁、监管处罚、重大财务损失和声誉损失的风险。从数据治理的大概念来看,数据合规可以被视为数据治理的重要组成部分,也可以单独作为一个重要的体系对待。
对于数据合规体系的建设,相关法律法规有明确的规定。
1、法律的基本合规要求
(1)作为网络运营者
数据资源要素化和价值化背景下,众多企业的业务依托网络办理,因而属于网络运营者。《网络安全法》对于网络运营者建立相关制度,保障网络运行安全及网络数据、个人信息的安全有相应的规定。银行业金融该机构作为网络运营者,应制定内部安全管理制度和操作规程,确定网络安全负责人;应当对其收集的用户信息保密,并建立健全用户信息保护制度。对于金融、交通等八个行业的企业而言,还可能被认定为关键信息基础设施。按照《关键信息基础设施安全保护条例》,运营者应当遵守特定的合规要求,比如,应当设置专门安全管理机构,并对专门安全管理机构负责人和关键岗位人员进行安全背景审查。
(2)作为数据处理者
需要进行数据资源会计处理的企业,其前提一定是作为数据处理者。按照《数据安全法》,企业作为数据处理者,应当依照法律、法规的规定,建立健全全流程数据安全管理制度,重要数据的处理者应当明确数据安全负责人和管理机构。
(3)作为个人信息处理者
对于部分需要进行数据资源会计处理的企业而言,如果拥有大量的个人信息。按照《个人信息保护法》,应制定内部管理制度和操作规程,对个人信息实行分类管理,制定并组织实施个人信息安全事件应急预案。对于处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。
2、数据合规体系的基本架构
从实践的角度看,数据合规体系在形式方面与数据治理体系具有一定的相似性。简要概括,数据合规的内部管理架构,包括管理机构、人员、部门职责、岗位设置等;数据合规的规则体系,包括相应的制度、操作指引等;以及流程体系,即针对不同数据处理活动的审批流程、操作流程等。
此外,数据合规体系还有一个重要的组成部分,即数据合规风险库。风险库是指根据法律法规及规章等具有强制力的规范,以及特定行业具体的业务流程、数据处理流程而归纳出的现实风险或可能出现的合规风险。通过风险库的设置,使得合规体系在管控措施、流程设置方面有的放矢,并能够让制度更加有针对性。
通过以上分析可以看出,数据合规制度在形式方面与数据治理的制度具有一定的相似性,甚至两者具有一定的交叉与相融。
可以将数据治理的制度与数据合规制度的关系做如下简单归纳:数据治理体系中一般会包含数据合规的制度。但也不排除部分企业将数据治理作为技术与业务管理的视角对待,并建立相应的数据治理制度,而将数据合规制度作为与数据治理并列的制度体系。无论是将数据治理与数据合规理解为包容关系还是交叉/并列关系,数据治理与合规通过相互兼容,共同支撑了企业数据资源价值化的过程,并为数据资源入表提供支撑。
四、数据治理及合规推进数据要素价值化及数据资源会计处理
数据价值化过程是一个将数据由静态的信息记载转化为动态的数据价值实现的过程。数据价值化包含数据的利用、数据的分析加工、数据要素价值的流动、数据产品的形成与转移、数据资产入表。
笔者认为,一方面,数据利用、数据的分析加工、数据要素价值的流动、数据产品的形成与转移、数据资产入表是企业数据活动的重要目标,但对于数据价值化不应孤立看待。不能为了价值化而价值化,更不能脱离数据治理与合规谈数据的价值化。另一方面,数据治理与合规也必须考虑数据的价值化实现,通过前端治理与合规,为数据的价值化提供条件,不能脱离价值化的目标谈数据治理与数据合规。
1、数据治理及数据合规有助于发掘数据的内在价值
数据治理与数据合规是一个摸清数据“家底”的过程,经过对于数据获取环节的合规筹划与数据价值场景规划,以及数据的盘点清洗、打标、分类,有助于发掘不同类型数据的价值。对于希望实现数据价值化和数据资源会计处理的企业而言,数据收集部门与数据的价值化部门之间的信息不对称,可能导致数据价值发掘受到影响,数据治理与数据合规是消除信息不对称的一项工作。
仅以数据分类分级为例,数据分类分级旨在通过对于不同类别、不同重要程度、不同敏感程度的数据进行科学的划分。不同数据类别对应不同的业务需求、市场需求以及法律合规需求,从而为区分不同业务部门、不同分工人员的数据管理权限提供依据;同理,不同的重要程度、不同的敏感程度则对应内部的不同管理层级以及外部的法律合规要求及风险,从而为企业内部不同的数据管理层级对应的数据权限分工提供依据。数据分类分级本身是立法的强制制定,数据治理过程中的数据分类分级必须符合法定的要求。
数据分类分级立法的本意在于通过对数据进行分类分级,达到数据保护与数据利用之间的平衡。数据分类分级保护对于数据资源会计处理的支撑作用主要有两个方面:其一、通过区分数据重要程度,从而采用不同的措施对数据实施保护,对数据处理活动进行规范,提高数据安全的保护效率、提升数据利用价值。其二、通过分类分级保护制度,引导数据处理者采用不同的安全措施,以及采用严格的访问控制策略,对不同类别和级别的数据实施保护。
因此,数据分类分级一方面是形成数据产品的重要支撑,另一方面,也是数据安全保护的措施之一。按照《暂行办法》,无论是确定为无形资产还是存货,其前提都是与特定的数据利用场景相适应的,因此,结合数据利用场景,对数据进行分类分级,是数据资源入表的重要前期准备工作。同时,按照《暂行办法》对于数据资源的披露要求,用于形成相关数据资源的原始数据的类型、规模等信息,以及企业对数据资源的加工维护和安全保护情况,都属于披露的内容。这个意义上看,数据治理与数据合规是数据资源入表的重要基础。
2、数据治理与合规有助于规划数据的价值化路径与数据入表
数据治理的过程,既是一个对数据分门别类的过程,也是一个对不同数据进行价值区分和价值实现方式进行筹划的过程,根据数据的分类以及数据的不同价值,结合数据的合法合规要求,可以在多个维度上规划不同数据的价值实现路径,这些实现路径包括对于数据的内部利用、数据有约束的流动、数据公开流通等。
通过数据治理,摸清数据的价值化路径、价值化路径受到的合规约束以及夯实数据要素流通的技术底座、管理底座与合规底座,能够促进数据的价值流通,从而为数据资源的会计处理提供“产品(即特定数据资产)”,并通过数据要素的合理流通产生市场参考价值,为数据资产的评估和会计处理提供基础。
3、数据治理与合规有助于降低数据价值化的风险
数据价值化是数据资源转化为数据资产的过程,意味着数据的使用、价值流通,这一过程中,会存在多种改变数据控制状态的活动,而这些活动恰恰受到法律最为严格的约束。在规划价值化的路径时,将数据治理,特别是数据合规作为价值化实现的一个重要思考维度,能够降低数据价值化带来的风险。
如通过建立数据资产管理类制度、数据安全管理类制度以及数据合规处理类制度,即可在最大程度上降低数据价值化的风险,并有效支撑数据资源的会计处理。
(1)数据资产管理类制度,包括企业的数据战略、数据资产利用策略、数据资产知识产权保护、数据资产内部跨部门协同利用等相关的管理制度。
(2)数据安全管理类制度,包括网络安全保护、数据安全保护、个人信息安全保护,以及数据分级分类、系统及数据库访问控制策略、数据加密脱敏及去标识化处理等方面的制度,以及网络与数据安全的应急预案、培训、风险评估等相关制度。
(3)数据合规处理类制度,包括与数据的收集、加工、利用、存储、提供、出境等数据处理活动有关的制度。
总而言之,数据资源的会计处理(数据资源入表)是体现数据活动经济实质的一种会计处理方式,但是,仅仅依靠后端的数据资源价值化和数据资源变现的结果来进行会计处理是不够的,更需要从前端的数据治理与数据合规入手,统筹规划企业的数据资源价值应用、价值流动乃至数据资源入表,从而在保证安全合规的基础上,最大限度利用数据资源价值,为企业的发展助力。
注释:[1] 《数据治理与数据安全》,张莉主编,人民邮电出版社,2019年9月。