以數據治理與合規助推企業數據資源入表--數據資源會計處理的約束
作者:吳衛明 2024-05-06數據資源會計處理,也被稱為“數據資產入表”是《企業數據資源相關會計處理暫行規定》對數據資源價值化體現的一種會計處理方式,也是體現數據資源價值,反映數據活動經濟實質的一種制度。然而,數據資源會計處理并不是孤立的會計處理活動,而是企業數據活動以及數據價值化在會計上的集中體現。
為了做好數據資源的會計處理,離不開數據資源的價值化規劃,以及更為基礎的數據治理與合規安排。本文旨在厘清企業數據資源會計處理與數據治理及合規的關系,以便于企業能夠提早規劃、治理優先、合規保障,推進數據資源的價值化體現,并最終實現數據資源入表。
一、數據要素流通與數據資源會計處理的政策概要
1、政策背景
隨著數字經濟的高速發展,大數據及人工智能的發展也隨之提速,而數據要素作為國民經濟基礎生產要素的地位也被國家予以高度重視,對于企業而言,數據也逐漸成為企業掌握的重要資源乃至資產。近年來,我國出臺了一系列關于數據要素流通的政策文件,如《“十四五”數字經濟發展規劃》等,這些文件對數據要素市場的發展進行了頂層設計和方向性指引,旨在充分發揮數據要素價值,推動數字經濟的高質量發展。
中共中央、國務院于2022年12月19日發布了《關于構建數據基礎制度更好發揮數據要素作用的意見》(簡稱)。“數據二十條”為我國整體數據要素產業的定位、目標、參與方和原則作出了頂層設計。
此外,為了促進數據要素的流通與數據的價值化,各地也陸續出臺了一系列具體措施。例如,《福建省促進數據要素流通交易的若干措施》提出了建立公共數據資源開發利用快審機制、推動公共數據按政府指導定價有償使用等六條措施。這些措施旨在降低數據流通成本,提高數據流通效率,推動數據要素市場的繁榮發展。
在數字經濟發展中,由于數據要素的收集、生產、加工、流通都是大數據發展帶來的新生事務,傳統的會計處理規則與之并不完全匹配,不能準確反映數據相關業務和經濟實質。為解決這一問題,財政部2023年8月1日發布了《企業數據資源相關會計處理暫行規定》(簡稱《暫行規定》),該規定自2024年1月1日起施行。
《暫行規定》適用于符合企業會計準則規定、可確認為相關資產的數據資源,以及不滿足資產確認條件而未予確認的數據資源的相關會計處理。這一政策的出臺,有助于進一步推動和規范數據相關企業執行會計準則,準確反映數據相關業務和經濟實質。“數據二十條”構建了保障權益、合規使用的數據產權制度框架,為數據資源的會計處理提供了有力支持。通過“三權分置”的數據產權制度框架,明確了數據資源持有權、數據加工使用權和數據產品經營權的歸屬和流轉方式,為數據資源的會計處理提供了清晰的產權基礎。
《企業數據資源相關會計處理暫行規定》雖然是一個對企業數據資源進行會計處理的制度,但是會計處理的前提是有關數據資源由企業合法持有或能夠為企業帶來收益,因而,數據處理的合法合規是會計處理的大前提。
2、數據資源入表的基本方式
《暫行規定》適用于企業按照企業會計準則相關規定確認為無形資產或存貨等資產類別的數據資源,以及企業合法擁有或控制的、預期會給企業帶來經濟利益的、但由于不滿足企業會計準則相關資產確認條件而未確認為資產的數據資源的相關會計處理。
按照這一規定,能夠進行入表的數據資源主要有兩類:
(1)企業使用的數據資源,符合《企業會計準則第6號——無形資產》(財會〔2006〕3號,以下簡稱無形資產準則)規定的定義和確認條件的,應當確認為無形資產。企業在編制資產負債表時,應當根據重要性原則并結合本企業的實際情況,在“存貨”項目下增設“其中:數據資源”項目,反映資產負債表日確認為存貨的數據資源的期末賬面價值;
(2)企業日常活動中持有、最終目的用于出售的數據資源,符合《企業會計準則第1號——存貨》(財會〔2006〕3號,以下簡稱存貨準則)規定的定義和確認條件的,應當確認為存貨。在“無形資產”項目下增設“其中:數據資源”項目,反映資產負債表日確認為無形資產的數據資源的期末賬面價值;在“開發支出”項目下增設“其中:數據資源”項目,反映資產負債表日正在進行數據資源研究開發項目滿足資本化條件的支出金額。
3、數據資源入表的披露要求
同時,對于數據資源進行會計處理,《暫行規定》還規定了披露原則及其他披露要求。
企業可以根據實際情況,自愿披露數據資源(含未作為無形資產或存貨確認的數據資源)下列相關信息:(1)數據資源的應用場景或業務模式。(2)用于形成相關數據資源的原始數據的類型、規模、來源、權屬、質量等信息。(3)企業對數據資源的加工維護和安全保護情況。(4)數據資源的應用情況。(5)重大交易事項中涉及的數據資源對該交易事項的影響及風險分析。(6)數據資源相關權利的失效情況及失效事由、對企業的影響及風險分析等。(7)數據資源轉讓、許可或應用所涉及的地域限制、領域限制及法律法規限制等權利限制。(8)企業認為有必要披露的其他數據資源相關信息。
二、數據資源會計處理的數據治理及合規要求
1、合法合規性是企業資產會計確認的基本前提
《暫行規定》適用于企業按照企業會計準則相關規定確認為無形資產或存貨等資產類別的數據資源,以及企業合法擁有或控制的、預期會給企業帶來經濟利益的、但由于不滿足企業會計準則相關資產確認條件而未確認為資產的數據資源的相關會計處理。
從無形資產的法律界定角度,如知識產權、土地使用權等,一般以特定的法律規定為前提。與有形物相比,無形資產權利系根據法律的擬制而產生,因而,無形資產一定是以符合法律的規定為前提。比如,知識產權中的專利權,以專利法的規定為基礎,并且需要經過專利主管機關的授權和公示登記,才能產生專利權的效力,從而具備計入企業無形資產的基礎。土地使用權則需要依據有關法律規定取得土地使用權,才具有計入無形資產的可能性。
而存貨在傳統法律意義上,如果屬于動產,同樣也應是以符合法律規定的可流通物為前提。對于限制流通物,比如麻醉藥物或者其他限制流通物,則需要考慮企業是否具有經營、存儲、流通的資質。即使是將數據資源作為存貨,前提依然是以合法持有及可以合法流通為前提。
對于數據資源而言,雖然當前并未出臺專門的法律對其權利屬性進行界定,但從無形資產及存貨入表的一般原理看,至少該數據資源的獲取、持有、利用、處置等處理環節應不違反法律法規及監管規則的規定。
針對數據處理,我國先后頒布并施行了《網絡安全法》《數據安全法》《個人信息保護法》《關鍵信息基礎設施安全保護條例》《數據出境安全評估辦法》《App違法違規收集使用個人信息行為認定方法》等法律、法規及監管規則,此外還有大量與數據處理有關的法律規則散布于其他的法律之中,加上<《信息安全技術-個人信息安全規范》等各類國家標準,構成了一個體系龐大、內容復雜、技術要求強、綜合程度高的規則體系。這些法律、法規、監管規則、國家標準,對企業的數據治理與合規提出了很高的要求,數據資源入表過程中,必然需要考慮這些規則對于數據資源合法性的影響。
2、合法合規是數據資源進行報表披露的基礎
此外,按照數據資源會計報表披露的要求,合規及完善數據治理都是進行數據資源會計處理的前提和基礎。舉例如下:
(1)數據資源的原始數據的類型、規模、來源、權屬、質量等信息的披露,其中的數據來源、數據權屬,即為法律與合規的重要內容。來源與公開采集、企業生產、業務場景中自行采集、第三方間接獲取,法律及合規的要求各有不同。僅以自行采集為例,如果企業通過APP獲取個人信息,就會受到《個人信息保護法》及有關APP獲取個人信息合規治理的監管規則的約束。而數據類型、質量,則是數據治理關注的內容。
(2)企業對數據資源的加工維護和安全保護情況。安全保護情況,雖然主要是一個技術安全性問題,但是有關法律法規將安全措施作為法律的強制性義務,并且數據的合規處理也被作為數據安全的范疇。
(3)數據資源相關權利的失效情況及失效事由。毫無疑問,權利時效問題,既可能是一個法律的強制規定問題,也可能是合同的約束問題。
(4)數據資源轉讓、許可或應用所涉及的地域限制、領域限制及法律法規限制等權利限制。這一披露內容,則需要將數據資源流通涉及的行業法律限制、地域法律限制予以充分披露。
由此可見,數據合規與數據治理是企業數據資源會計處理的大前提,而企業數據資源會計處理,則是數據合規與數據治理的結果和目標之一。
三、數據治理與數據合規的內涵
數據治理與數據合規是相伴的一對概念,數據的有效治理與合規管理是數據利用、數據要素流通、數據資源價值化及數據資源會計處理相伴生的問題。
(一)數據治理的概念與內涵
1、數據治理的概念
根據國際標準化組織IT服務管理與IT治理分技術委員會、國際數據治理研究所(DGI)的觀點,數據治理是指建立在數據存儲、訪問、驗證、保護和使用之上的一系列程序、標準、角色和指標,以期通過持續的評估、指導和監督,確保富有成效且高效的數據利用,實現企業價值。[1]
推薦性國家標準《信息技術服務—治理第5部分:數據治理規范》(GB/T34960.5-2018)第3.1條款對數據治理(data governance)做出如下界定:數據資源及其應用過程中相關管控活動、績效和風險管理的集合。
部分行業監管規則或標準,也對數據治理進行的界定。如中國銀行保險監督管理委員會(后更名為“金融監管總局”)發布的《銀行業金融機構數據治理指引》中,將數據治理界定為:銀行業金融機構通過建立組織架構,明確董事會、監事會、高級管理層及內設部門等職責要求,制定和實施系統化的制度、流程和方法,確保數據統一管理、高效運行,并在經營管理中充分發揮價值的動態過程。銀行業金融機構應當將數據治理納入公司治理范疇,建立自上而下、協調一致的數據治理體系。在中國民用航空局發展計劃司主編的行業標準《智慧民航數據治理規范-框架與管理機制》(MH/T5054-2021)中,在第2.0.1條款對數據治理(data governance)做出如下界定:數據治理是指數據資源及其應用過程中的相關管控活動,包括對數據進行處理、格式化和規范化的過程。
2、數據治理的內涵
數據治理是一個內涵豐富的概念的分析,既包括數據治理的組織架構安排,以及數據的各類管控活動,也包含數據的績效發揮以及各類風險管理。筆者認為,數據治理的內涵可以歸納為以下幾個方面:
(1)有效管理
一般認為,以下幾個方面構成有效管理的狀態:其一,數據所在的信息系統穩定、可靠,數據被有效保護,不會被刪除、毀損、破壞,已經被未經授權的訪問。其二,建立了覆蓋全面、職能完備、分工協作、約束與激勵并存的數據管理組織和架構。其三,具有完善的數據管理制度和流程體系。
(2)數據價值化
價值化是數據收集、利用的目標,也是數據治理體系的重要目標。價值化包含了數據資源的資產化、產品化乃至證券化,因為無論是數據自用,還是形成可供流通的數據產品,以及企業擁有的數據資產并計入會計報表,其核心都是產生或體現數據價值。
(3)數據合規
數據的獲取、加工與利用,都不應與法律法規及監管規則產生沖突。因此,數據合規也應作為數據治理的重要內涵。《信息技術服務—治理第5部分:數據治理規范》(GB/T34960.5-2018)指出,數據治理包括法律法規、行業監管規則和內部管控等對于數據及其應用的安全、合規要求。
2、數據治理的基本框架
《信息技術服務—治理第5部分:數據治理規范》構建了數據治理的框架。
(1)頂層設計
頂層設計是整個數據治理架構的引領,決定了數據治理規劃的科學性及適用性,包括戰略規劃、組織構建、管理架構設計。在頂層設計環節,數據治理的整體組織架構設計尤為重要。數據治理的組織架構使得企業具有了數據治理的內部機構、人員分工,從而可以驅動構建數據治理的相關制度和流程和管控措施。
對于數據治理的組織架構,《信息技術服務—治理第5部分:數據治理規范》(GB/T34960.5-2018)規定了組織構建的基本要求。其中第6.2條款指出,組織構建應聚焦責任主體及責權利, 通過完善組織機制,制定數據管理的流程和制度,至少應:a)建立支撐數據戰略的組織機構和組織機制,明確相關的原則實施和策略;b)明確決策和實施機構,設立崗位并明確角色,確保責權利的一致;c)建立相關的授權、決策和溝通機制,保證利益相關方理解、接受相應的職責和權利;d)實現決策、執行、控制和監督等職能,評估運行績效并持續改進和優化。
(2)數據治理環境
治理環境是指企業所面臨的業務、市場及利益相關方的需求,以及企業適應內外部環境變化。治理環境包括:其一,法律法規、行業監管及內部管控的環境;其二,企業的業務戰略和數據戰略,主要解決數據治理與公司業務發展的關系,并需要考慮相關方的利益;其三,市場發展、企業市場競爭地位、技術變革的影響;最后,規劃人員、經費、基礎設施等資源。
(3)數據治理域
數據治理域包含數據管理體系和數據價值體系。數據管理體系內容包括數據標準、數據質量、數據安全、元數據管理和數據生命周期管理。數據價值體系則主要包括數據資產運營和應用,從而支持數據流通、數據服務、數據洞察等需要。
(4)數據治理過程
數據治理過程中,根據數據治理的內外部環境,規劃不同數據治理域的具體治理要求。從而構建具體的制度、操作流程、行為規范、權利義務及責任劃定、約束激勵機制的建立,促成具體治理方案的落地。在數據治理過程中,制度與流程的構架和落實是治理過程的重中之重。
(二)數據合規的概念與內涵
一般語境下,合規是指企業的經營活動與法律、規則和準則相一致。合規風險,是指企業因沒有遵循法律、規則和準則可能遭受法律制裁、監管處罰、重大財務損失和聲譽損失的風險。從數據治理的大概念來看,數據合規可以被視為數據治理的重要組成部分,也可以單獨作為一個重要的體系對待。
對于數據合規體系的建設,相關法律法規有明確的規定。
1、法律的基本合規要求
(1)作為網絡運營者
數據資源要素化和價值化背景下,眾多企業的業務依托網絡辦理,因而屬于網絡運營者。《網絡安全法》對于網絡運營者建立相關制度,保障網絡運行安全及網絡數據、個人信息的安全有相應的規定。銀行業金融該機構作為網絡運營者,應制定內部安全管理制度和操作規程,確定網絡安全負責人;應當對其收集的用戶信息保密,并建立健全用戶信息保護制度。對于金融、交通等八個行業的企業而言,還可能被認定為關鍵信息基礎設施。按照《關鍵信息基礎設施安全保護條例》,運營者應當遵守特定的合規要求,比如,應當設置專門安全管理機構,并對專門安全管理機構負責人和關鍵崗位人員進行安全背景審查。
(2)作為數據處理者
需要進行數據資源會計處理的企業,其前提一定是作為數據處理者。按照《數據安全法》,企業作為數據處理者,應當依照法律、法規的規定,建立健全全流程數據安全管理制度,重要數據的處理者應當明確數據安全負責人和管理機構。
(3)作為個人信息處理者
對于部分需要進行數據資源會計處理的企業而言,如果擁有大量的個人信息。按照《個人信息保護法》,應制定內部管理制度和操作規程,對個人信息實行分類管理,制定并組織實施個人信息安全事件應急預案。對于處理不滿十四周歲未成年人個人信息的,應當制定專門的個人信息處理規則。
2、數據合規體系的基本架構
從實踐的角度看,數據合規體系在形式方面與數據治理體系具有一定的相似性。簡要概括,數據合規的內部管理架構,包括管理機構、人員、部門職責、崗位設置等;數據合規的規則體系,包括相應的制度、操作指引等;以及流程體系,即針對不同數據處理活動的審批流程、操作流程等。
此外,數據合規體系還有一個重要的組成部分,即數據合規風險庫。風險庫是指根據法律法規及規章等具有強制力的規范,以及特定行業具體的業務流程、數據處理流程而歸納出的現實風險或可能出現的合規風險。通過風險庫的設置,使得合規體系在管控措施、流程設置方面有的放矢,并能夠讓制度更加有針對性。
通過以上分析可以看出,數據合規制度在形式方面與數據治理的制度具有一定的相似性,甚至兩者具有一定的交叉與相融。
可以將數據治理的制度與數據合規制度的關系做如下簡單歸納:數據治理體系中一般會包含數據合規的制度。但也不排除部分企業將數據治理作為技術與業務管理的視角對待,并建立相應的數據治理制度,而將數據合規制度作為與數據治理并列的制度體系。無論是將數據治理與數據合規理解為包容關系還是交叉/并列關系,數據治理與合規通過相互兼容,共同支撐了企業數據資源價值化的過程,并為數據資源入表提供支撐。
四、數據治理及合規推進數據要素價值化及數據資源會計處理
數據價值化過程是一個將數據由靜態的信息記載轉化為動態的數據價值實現的過程。數據價值化包含數據的利用、數據的分析加工、數據要素價值的流動、數據產品的形成與轉移、數據資產入表。
筆者認為,一方面,數據利用、數據的分析加工、數據要素價值的流動、數據產品的形成與轉移、數據資產入表是企業數據活動的重要目標,但對于數據價值化不應孤立看待。不能為了價值化而價值化,更不能脫離數據治理與合規談數據的價值化。另一方面,數據治理與合規也必須考慮數據的價值化實現,通過前端治理與合規,為數據的價值化提供條件,不能脫離價值化的目標談數據治理與數據合規。
1、數據治理及數據合規有助于發掘數據的內在價值
數據治理與數據合規是一個摸清數據“家底”的過程,經過對于數據獲取環節的合規籌劃與數據價值場景規劃,以及數據的盤點清洗、打標、分類,有助于發掘不同類型數據的價值。對于希望實現數據價值化和數據資源會計處理的企業而言,數據收集部門與數據的價值化部門之間的信息不對稱,可能導致數據價值發掘受到影響,數據治理與數據合規是消除信息不對稱的一項工作。
僅以數據分類分級為例,數據分類分級旨在通過對于不同類別、不同重要程度、不同敏感程度的數據進行科學的劃分。不同數據類別對應不同的業務需求、市場需求以及法律合規需求,從而為區分不同業務部門、不同分工人員的數據管理權限提供依據;同理,不同的重要程度、不同的敏感程度則對應內部的不同管理層級以及外部的法律合規要求及風險,從而為企業內部不同的數據管理層級對應的數據權限分工提供依據。數據分類分級本身是立法的強制制定,數據治理過程中的數據分類分級必須符合法定的要求。
數據分類分級立法的本意在于通過對數據進行分類分級,達到數據保護與數據利用之間的平衡。數據分類分級保護對于數據資源會計處理的支撐作用主要有兩個方面:其一、通過區分數據重要程度,從而采用不同的措施對數據實施保護,對數據處理活動進行規范,提高數據安全的保護效率、提升數據利用價值。其二、通過分類分級保護制度,引導數據處理者采用不同的安全措施,以及采用嚴格的訪問控制策略,對不同類別和級別的數據實施保護。
因此,數據分類分級一方面是形成數據產品的重要支撐,另一方面,也是數據安全保護的措施之一。按照《暫行辦法》,無論是確定為無形資產還是存貨,其前提都是與特定的數據利用場景相適應的,因此,結合數據利用場景,對數據進行分類分級,是數據資源入表的重要前期準備工作。同時,按照《暫行辦法》對于數據資源的披露要求,用于形成相關數據資源的原始數據的類型、規模等信息,以及企業對數據資源的加工維護和安全保護情況,都屬于披露的內容。這個意義上看,數據治理與數據合規是數據資源入表的重要基礎。
2、數據治理與合規有助于規劃數據的價值化路徑與數據入表
數據治理的過程,既是一個對數據分門別類的過程,也是一個對不同數據進行價值區分和價值實現方式進行籌劃的過程,根據數據的分類以及數據的不同價值,結合數據的合法合規要求,可以在多個維度上規劃不同數據的價值實現路徑,這些實現路徑包括對于數據的內部利用、數據有約束的流動、數據公開流通等。
通過數據治理,摸清數據的價值化路徑、價值化路徑受到的合規約束以及夯實數據要素流通的技術底座、管理底座與合規底座,能夠促進數據的價值流通,從而為數據資源的會計處理提供“產品(即特定數據資產)”,并通過數據要素的合理流通產生市場參考價值,為數據資產的評估和會計處理提供基礎。
3、數據治理與合規有助于降低數據價值化的風險
數據價值化是數據資源轉化為數據資產的過程,意味著數據的使用、價值流通,這一過程中,會存在多種改變數據控制狀態的活動,而這些活動恰恰受到法律最為嚴格的約束。在規劃價值化的路徑時,將數據治理,特別是數據合規作為價值化實現的一個重要思考維度,能夠降低數據價值化帶來的風險。
如通過建立數據資產管理類制度、數據安全管理類制度以及數據合規處理類制度,即可在最大程度上降低數據價值化的風險,并有效支撐數據資源的會計處理。
(1)數據資產管理類制度,包括企業的數據戰略、數據資產利用策略、數據資產知識產權保護、數據資產內部跨部門協同利用等相關的管理制度。
(2)數據安全管理類制度,包括網絡安全保護、數據安全保護、個人信息安全保護,以及數據分級分類、系統及數據庫訪問控制策略、數據加密脫敏及去標識化處理等方面的制度,以及網絡與數據安全的應急預案、培訓、風險評估等相關制度。
(3)數據合規處理類制度,包括與數據的收集、加工、利用、存儲、提供、出境等數據處理活動有關的制度。
總而言之,數據資源的會計處理(數據資源入表)是體現數據活動經濟實質的一種會計處理方式,但是,僅僅依靠后端的數據資源價值化和數據資源變現的結果來進行會計處理是不夠的,更需要從前端的數據治理與數據合規入手,統籌規劃企業的數據資源價值應用、價值流動乃至數據資源入表,從而在保證安全合規的基礎上,最大限度利用數據資源價值,為企業的發展助力。
注釋:[1] 《數據治理與數據安全》,張莉主編,人民郵電出版社,2019年9月。
