数据资源入表的数据合规审查要点——基于财政部的最新问答解读
PART/1 《数据资源会计处理实施问答》解读
2024年10月31日,财政部会计司发布《数据资源会计处理实施问答》。该实施问答主要明确了开发阶段的支出需要同时满足“技术上具有可行性、具有使用或出售的意图、存在市场或具有有用性、有能力完成开发并有能力使用或出售、支出能够可靠地计量”五个条件,才能确认为无形资产。具体而言:
问:对于企业内部数据资源研究开发项目的支出,应当如何对其开发阶段有关支出资本化的条件进行判断?
答:企业内部数据资源研究开发项目的支出,根据《企业数据资源相关会计处理暂行规定》(财会〔2023〕11号)、《企业会计准则第6号——无形资产》(财会〔2006〕3号)、《<企业会计准则第6号——无形资产>应用指南》(财会〔2006〕18号)等有关规定,应当区分研究阶段支出与开发阶段支出。
研究阶段的支出,应当于发生时费用化处理计入当期损益。开发阶段的支出,同时满足下列条件的,才能确认为无形资产:
(一)完成该数据资源无形资产以使其能够使用或出售在技术上具有可行性。
(二)具有完成该数据资源无形资产并使用或出售的意图。
(三)数据资源无形资产产生经济利益的方式,包括能够证明运用该数据资源无形资产生产的产品存在市场或数据资源无形资产自身存在市场,数据资源无形资产将在内部使用的,应当证明其有用性。
(四)有足够的技术、财务资源和其他资源支持,以完成该数据资源无形资产的开发,并有能力使用或出售该数据资源无形资产。
(五)归属于该数据资源无形资产开发阶段的支出能够可靠地计量。
该实施问答系对《企业数据资源相关会计处理暂行规定》(财会〔2023〕11号)等规定的进一步细化,为拟开展数据资源入表的企业进一步明确相关要求。
PART/2 企业开展数据资源入表的意义
01、优化企业财务报表指标
在数据资源入表前,企业因外购数据或者在数据处理过程中发生的有关支出一般都只能费用化,计入损益表中,但是在数据资源入表后,符合条件的数据支出可以资产化,使得企业的财务报表发生较大变化,能够更加全面地反映企业的财务状况和资产结构。
例如2024年8月15日,中国联通半年报披露,报表中显示数据资源科目金额8476.39万元。2024年10月23日,中国联通披露第三季度报显示,中国联通数据资源科目金额从8476.39万元环比增加到20403.74万元,环比增加1.19亿元。中国联通成为A股数据资源入表金额最大的企业。中国联通的总经理接受采访表示到2024年年底入表金额要达到5亿元人民币。
02、提升企业信用和融资能力
数据资源入表的过程中,企业可依据入表的数据资源进行融资,融资的方式包括但不限于质押贷款、数据信托、资产证券化等方式。根据主流财经媒体披露信息及其他公开资料不完全统计,截至2024年9月底,依据数据资源融资的企业有102家,例如:2024年9月,山东省土地发展集团有限公司将“业财资税智能管控数据”“客商价值管理数据” 向中国银行进行融资,融资金额为2400万元 。2024年8月,黄冈国有资本投资运营集团有限公司将“停车分布模型”数据向光大银行黄冈分行融资,融资金额为1000万元。因此,企业数据资源入表有利于改善企业的融资条件,获取银行贷款。
PART/3 数据资源入表的数据合规审查要求
数据资源入表本身为企业的内部动作,并无法律和监管规定要求企业采取强制性动作,只需企业自身判断确认其数据资源的权属,即可将数据资源对应的成本计入资产负债表。但已入表的数据资源需经得住企业审计的审核要求,同时在进一步入表的数据资源金融化利用时,在对相关数据资源进行评估时,企业需要向资产评估机构提供证明对其实现合法控制。律师可通过对数据内容、数据来源、数据处理的合规审查证明企业对相关数据的合法控制,律师审查关注要点具体如下:
01、数据内容合规
在评估企业对相关数据是否合法控制时,律师必须深入分析数据内容的合规性。这不仅包括对数据的真实性、完整性进行细致的审查,还涉及对数据合法性的严格评估。企业需确保数据内容的真实准确,并且符合现行法律法规的要求。此外,律师还需评估数据应用的具体场景是否合法,确保数据的使用不会违反相关法律法规。最后,企业应确保数据的使用遵循最小且必要的原则,即在满足业务需求的前提下,尽量减少对个人信息及其他非必要数据的获取和使用,以保护数据主体的合法权益。
02、数据来源合规
律师需要重点审核入表数据的来源是否合规,数据来源的方式一般可分为:
1. 通过APP、小程序等自行收集数据
通过APP、小程序等收集个人信息等数据时,需依据《个人信息保护法》《App违法违规收集使用个人信息行为认定方法》《常见类型移动互联网应用程序必要个人信息范围规定》等规范,重点审核收集个人信息是否进行充分告知,是否取得用户个人的授权同意。例如,收集个人信息时没有隐私政策、首次运行时未通过弹窗等明显方式提示隐私政策、隐私政策难以访问、在征得用户同意前就开始收集个人信息、用户明确表示不同意后频繁征求用户同意等行为均属于违法收集个人的情形,如对上述情况下获取的数据进行数据资源入表,则企业对该数据不符合合法控制的要求。
2. 通过爬虫爬取数据
实践中存在大量通过爬虫爬取数据的情况,通过爬虫爬取数据时,需遵守Robots协议等网站明确公开的协议,避免爬取平台禁止爬取的数据,如果平台已明确发出停止数据爬取的相关通知说明,则应暂停数据爬取行为,及时采取对策。另外,爬取数据需要在合理的限度内,不应在短时间内频繁爬取,不应侵入、破坏平台的反爬措施。不应随意爬取个人信息、企业商业秘密。因使用爬虫无法避免采集到非必要个人信息或者未依法取得个人同意的个人信息,应当删除个人信息或者进行匿名化处理。同时尽量避免爬取构成直接竞争关系企业的平台数据,避免被爬取方依据《反不正当竞争法》提起诉讼的风险。
3. 通过第三方获取数据
数据还可能通过向第三方购买、第三方委托处理、第三方提供等方式获取,企业应当对第三方数据来源合法性进行审核并要求合作方出具数据合法性承诺函进行保证;与合作方签署数据购买/提供/委托处理协议,在相关协议中明确数据使用目的、范围、安全保护要求等内容。
除了以上常见的数据来源方式及合规审核,实务中还存在通过对原始数据进行加工、分析、挖掘形成的数据以及通过传感器或物联网设备等收集的数据,律师亦需要结合的具体场景判断数据来源的合法合规。
03、数据处理合规
数据处理包括数据的收集、使用、存储、加工、传输、提供、公开、删除八大环节。具体关注要点如下:
1.数据收集
数据的收集应遵守合法、正当等基本原则,也应按照数据的法律属性判断收集数据应该遵循的规则,如收集的为个人信息,应符合《个人信息保护法》对个人信息的收集要求,收集的为商业秘密,应符合《反不正当竞争法》关于收集商业秘密的要求。
2.数据使用
数据使用是将所收集的数据按照业务及商业目的予以利用的过程,使用的方式可以是直接利用原始数据,也可以是使用加工后的数据。一般数据使用要求合法使用及依约使用,即数据使用时应该在法律法规规定的目的和范围内使用数据,并按照相关数据使用授权协议或其他协议的约定使用。
针对个人信息的使用,应制定最小授权的访问控制策略,重要操作内部设置审批流程;在展示个人信息时,采取去标识化处理,履行数据展示限制义务;显著区分个性化展示的内容和非个性化展示的内容,并应当同时提供不针对其个人特征的选项,履行个性化展示义务;履行自动化决策机制等义务。
3.数据提供
如果向其他主体提供数据,则应签署数据提供协议,明确各方的权利义务。向境外提供数据的,需依据《促进和规范数据跨境流动规定》《数据出境安全评估办法》等法律法规结合向境外提供的数据类型、数量、境外接收地等多因素选择采取数据出境安全评估、个人信息保护认证(跨境)或个人信息出境标准合同备案。
4.数据公开
数据公开属于企业处理所控制数据的一种方式,数据不能随意公开,如公开个人信息的,应注意取得个人单独同意并在事前进行个人信息保护影响评估;公开重要数据的,应当评估可能带来的安全风险;商业秘密、国家秘密,除非取得数据相关主体的同意或有关机关依职权公开,否则相关数据不能随意公开。
5.数据存储、删除
数据存储一般应注意存储安全,包括存储地域、安全保护措施、内部访问权限、加密存储、去标识化存储等要求。并且数据存储过程中还应该对数据进行分级分类管理,将重要数据与一般数据进行区分,存储时采取不同的安全措施。个人信息存储期限应当为实现处理目的所必要的最短时间,超过存储期限的应该对个人信息进行删除或匿名化处理。删除个人信息从技术上难以实现的,应当停止除存储和采取必要的安全保护措施之外的处理。
6.数据加工、传输
数据的加工是数据使用的重要支持措施,通过对数据的清洗、提取、融合、分析等方式,提升数据利用价值,数据加工义务一般是指企业需采用多种技术手段以降低数据加工过程中的数据泄漏风险。数据传输一般要求企业履行传输前审查、评估、授权,对数据传输通道加密、数据内容加密,对传输方式控制、流量控制,对存储介质管控等义务。
04、数据安全管理合规
企业开展数据资源入表时,一般要求企业的数据安全管理符合法律法规的基本要求,律师在合规审查时需重点关注企业的数据安全管理制度、数据安全管理机构、数据分类分级管理、人员安全管理、合作外包管理、安全应急管理等情况。例如审核企业是否建立数据安全组织架构,明确参与部门的职能,是否根据法律法规要求指定数据安全负责人或个人信息保护负责人,是否制定数据安全相关制度并在内部正式发布、推动有效执行并定期监督修订。
总之,对于企业来说,律师开展数据合规审查工作是确保其数据资源能够顺利入表的重要依据和前提条件。这一过程涉及对企业内部数据管理流程、数据收集、存储、使用、传输、加工等各个环节的全面审查,以确保企业数据处理活动符合相关法律法规的要求。通过律师的专业审查,企业能够识别潜在的数据合规风险,从而避免因数据处理不当而引发的法律纠纷和经济损失。此外,数据合规审查还能帮助企业建立健全数据管理制度,提升数据安全防护水平,增强客户和合作伙伴的信任,进而提升企业的整体竞争力和市场形象。