《企業數據資源會計處理》中“合法擁有或控制”的法律理解
作者:吳衛明 2024-05-07隨著數字經濟的發展,企業數據處理活動成為現代企業經營活動的常態,數據資源的持有也成為企業價值的重要體現。為了準確反映數據相關業務和經濟實質,推動數據要素價值的發揮,財政部于2023年8月1日發布了《企業數據資源相關會計處理暫行規定》(簡稱《暫行規定》),該規定自2024年1月1日起施行。
在《暫行規定》適用于企業按照企業會計準則相關規定確認為無形資產或存貨等資產類別的數據資源,以及企業合法擁有或控制的、預期會給企業帶來經濟利益的、但由于不滿足企業會計準則相關資產確認條件而未確認為資產的數據資源的相關會計處理。
但是由于數據資源不同于傳統的有形資產或無形資產,在實際執行中,對于“企業合法擁有或控制”的理解仍存在一定的難點。
本文擬對于“企業合法擁有或控制”的法律含義進行初步探究,以利于數據資源會計處理的合規性。
一、擁有或控制的內涵
1、一般意義上的理解
“擁有”或“控制”嚴格意義上講,都不屬于法律概念。從中文的一般語義來看,“擁有”:通常指的是某人或某實體對某物或某種權利具有所有權或其他排他的權利。所有權是指對某物的獨占權,包括使用、收益、處分等權利。
而“控制”:則更多地涉及到對某物的管理、支配或引導。控制并不意味著擁有所有權,但它可以確保某種行為按照預期實施。
在某些情況下,擁有和控制可能存在一定的重疊。例如,當企業“擁有”一項無形資產時,它同時也“控制”了這項資產的使用權和經濟利益。
2、《會計準則》對“擁有或控制”的理解
在會計準則中,對資產的“擁有或控制”是指企業享有某項資源的所有權,或者雖然沒有所有權,但在實際上取得了控制權,能夠自主使用、依法處置并享有和承擔與該法人財產相關的利益或風險。
具體地,根據《企業會計準則——基本準則》第三章,第二十條至第二十二條的規定,資產是指企業過去的交易或者事項形成的、由企業擁有或者控制的、預期會給企業帶來經濟利益的資源。其中,“擁有”指的是企業享有某項資源的所有權,而“控制”則是指企業雖然沒有某項資源的所有權,但該資源能被企業所控制。預期在未來發生的交易或者事項不形成資產。
二、數據資源法律屬性界定的難點
從前述分析不難看出,“擁有或控制”雖然不是一個法律概念,但是卻與相關有形物品或無形資產的法律狀態和屬性緊密相關。
按照傳統的規則,存貨和無形資產在進行會計確認的時候,其各自對應的權利屬性是明確的。比如,對于生產型企業或貿易企業而言,其存貨通常屬于法律上的“動產”,屬于《民法典》的物權范疇。法律對于其占有、使用、收益、處分的權利界定非常清晰,其權利屬性也是明確的。無形資產對應的權利,則分別由《民法典》、《專利法》、《商標法》、《著作權法》及《土地管理法》等法律予以確定。然而,對于數據資源對應的權利,法律卻并無明確的界定,其法律屬性不夠清晰。
1、現有法律對于“數據”所涉權利的界定
(1)一般規定
隨著大數據應用的發展,法律對于“數據”所涉權利屬性的探討就一直沒有停止過。既有認為數據屬于一種新型權利類型的,也有認為數據屬于知識產權的。
我國現行法律并未對數據所涉權利進行明確的界定,我國《民法典》第一百二十七條規定:“對數據、網絡虛擬財產的保護有規定的,而且依照其規定”,《民法典》雖然將“數據”和“網絡虛擬財產”并行列舉,但并未明確將“數據”規定為某種財產權利。
《數據安全法》對于數據也并未直接設定權利,而是采用了“數據處理”這一表述,將數據的“收集、存儲、使用、加工、傳輸、提供、公開”等作為數據處理的具體方式。
(2)個人信息
數據權利的界定,還需要考慮個人信息數據。我國《民法典》將個人信息與隱私權納入了人格權編,并且對個人信息與隱私權做了專章規定。
《民法典》對于隱私做了權利界定,規定了隱私權受法律保護,但是并未對個人信息的權利進行界定。雖然個人信息受法律保護,但法律并未將個人信息設定為獨立的權利類型。對于個人信息中的私密信息,根據《民法典》的規定,適用有關隱私權的規定。
我國《個人信息保護法》采用了“個人信息權益”這一概念。《個人信息保護法》第一條對于立法宗旨的概括即包括“保護個人信息權益”。第二條則規定,自然人的個人信息受法律保護,任何組織、個人不得侵害自然人的“個人信息權益”。
并且,《民法典》及《個人信息保護法》對于個人信息,采用的是圍繞個人信息的處理創設具體權利義務,并通過明示告知、授權同意的約定及強制性規則體系進行規范。
(3)公共數據
在推進公共數據開放、鼓勵社會力量進行開發利用過程中,將不可避免會觸及公共數據的權屬問題,部分地方公共數據立法的征求意見稿中曾經出現過將政務數據列入“特殊國有資產”的表述,但最終未采用此類表述。另一方面,對于公共數據中的大量個人信息,對于此類數據,法律也很難為其設定獨立的權利類型。
(4)企業數據
對于企業數據而言,一類是商事主體,按照法律規定應予公開或者業務活動中自然公開的數據,此類數據,一般被認為各方均有合理使用的權利,對于不合理的使用,也通常可以通過反不正當競爭法予以規制;另一類是企業采取保密措施的數據,這一類數據則可以通過商業秘密予以保護。
綜上,由于數據的復雜性,法律將數據的擁有或控制設定為特定的民事權利,具有一定的難度。
2、有關政策對于“數據”所涉權利的界定
由于法律對于數據權利并未專門進行界定,為了解決數據特性復雜、數據交易存在的確權難、定價難、互信難、監管難等問題,2022年12月19日,中共中央、國務院發布《關于構建數據基礎制度更好發揮數據要素作用的意見》(該意見共二十條,因此又稱“《數據二十條》”)。《數據二十條》并未直接對數據權利進行界定,而是創造性的采用了“三權分置”的方法,明確提出將數據所涉權利分為數據持有權、數據使用權和數據收益權三種權利內容,該三種權利內容可以由同一主體享有,也可以分別賦予不同的主體行使。同時,《數據二十條》還創造性地構建了數據資源持有權、數據加工使用權、數據產品經營權等分置的產權運行機制,以推進數據市場“共同使用、共享收益”的新模式,構建一個清晰、明確的數據產權制度框架,以促進數據要素的高效流通和合理使用。
根據上述法律法規及政策的規定,可以看出,數據本身并不涉及“所有權”概念,會計準則中所說的“擁有”一詞,如果理解為法律上的“所有權”概念,則并不能準確界定數據的權利狀態。同理,會計準則中提到的“控制”一詞,如何與數據處理活動中的各個環節相對應,也將成為數據所涉權利界定的難點。
三、如何界定數據資源的“合法擁有或控制”?
1、“擁有”或“控制”的界定
按照會計準則及《暫行辦法》,對于數據資源的擁有或控制,是進行會計處理的前提條件,但是如何認定企業“擁有”或“控制”數據資源,則是操作過程中的一個難點。
(1)對擁有的認定
如上所述,“擁有”不是一個嚴格意義上的法律概念,與所有權不同,擁有本身也不是一種權利,而是一種狀態,表明了對某種權利或者某種財產的占有和控制狀態。
我國與財產有關的法律中,僅在《民法典》表述技術轉讓的過程中,用到了“擁有”一詞。《民法典》第八百六十二條規定,技術轉讓合同是合法“擁有”技術的權利人,將現有特定的專利、專利申請、技術秘密的相關權利讓與他人所訂立的合同。技術許可合同是合法“擁有”技術的權利人,將現有特定的專利、技術秘密的相關權利許可他人實施、使用所訂立的合同。從這一規定可以看出,此處“擁有”的客體是“專利”、“專利申請”、“技術秘密”的相關權利。
需要注意的是,《民法典》第八百六十二條僅針對技術轉讓和技術許可合同,且客體為專利、專利申請、技術秘密的相關權利,擁有可以理解為擁有上述幾類知識產權的權利。
如果將“擁有”一詞廣義理解為權利人對于某種權利的持有狀態,則其客體應為法律規定的權利。比如,對房屋擁有所有權,或者對專利擁有專利權。
但是,從《暫行辦法》的規定看,雖然有“擁有”數據的表述,但法律上并不能找到對應的規定。如果法律并未對某種客體進行權利界定,則“擁有”的表述對于該類客體將難于適用。比如,對于個人信息而言,法律并未將其界定為權利,此時對于個人信息主體和個人信息處理者,如何界定“擁有”的主體,就會成為一個難題。需要進行數據資源會計處理的主體是企業,企業作為個人信息處理者,在其業務場景中收集了大量的個人信息,如果將企業作為個人信息的擁有者,將會與個人信息作為人格權的排他性產生沖突。再如,通過公開方式獲取的數據,如通過爬蟲等自動化程序從互聯網獲取的數據,由于數據本身的公開性,數據的發布者對于數據也擁有某種權益,此時,將數據的收集者界定為擁有者,也存在與發布者權利的沖突問題。
因此,筆者認為,在數據領域認定“擁有”,應從特定數據是否具有排他性來看待。以企業數據為例,企業公開的數據,由于發布方和收集方沒有排他性,因此,均不宜于認定為“擁有”。但是,對于企業生產環節中,自行產生的數據,比如經營數據、設備運行數據等,如果采取的保密措施,則可以比照商業秘密而產生排他性,即可認定“擁有”。
對于個人信息,企業雖然合法收集,但個人信息可以被個人授權諸多企業使用,不具有排他性,因而不宜認定企業“擁有”個人信息。但是如果該等個人信息加工分析后,形成了某些統計性質的數據,則可以認定為企業“擁有”數據。
(2)關于“控制”的認定
“控制”與“擁有”相比,并沒有排他性的要求,而是更加突出實際“占有”或“存儲”的狀態,并且應具有支配數據的能力或資格。從這個意義上看,“擁有”必然會“控制”,但“控制”則并不一定會“擁有”。
比如,推薦性國家標準《信息安全技術 個人信息安全規范》中,界定了“個人信息控制者”,即有能力決定個人信息處理目的、方式等的組織和個人。這一界定,與《個人信息保護法》第七十三條規定的“個人信息處理者”基本類似,該條款規定,個人信息處理者,是指在個人信息處理活動中自主決定處理目的、處理方式的組織、個人。也就是說,“控制”的含義類似于“處理”,也有支配的含義。
此上述法律及國家標準可以看出,“控制”并不關注“排他”,而是關注實際的支配。數據處理者擁有的數據可能是自行采集、也可能是個人授權、或者是第三方提供,依據法律或者協議約定,該企業能夠自主決定數據的使用方式、使用目的,就可以初步認定為企業對數據實施了“控制”。
當然,這一“控制”是受到諸多法律限制的。比如,對于個人信息而言,用戶的授權僅限于提供服務期間,則此項控制的期間只能基于該期限認定。如果個人信息的使用方式、目的有明確限制,則控制范圍也僅限于該特定方式、范圍內。
由于“控制”的認定較為復雜,文章篇幅有限,僅能做部分示例,具體還應結合數據的產生方式、獲取方式、數據的使用目的即方式限制、數據存儲期限等諸多因素加以綜合認定。
(3)“持有”不代表擁有或控制數據
在數據處理中,實際持有數據,并不代表“擁有”或“控制”數據,比如在數據的受托處理環境下,受托方雖然持有數據,但并不能認定為“控制”。
2、合法性界定
合法性的認定,是一個更為復雜的問題。從前述分析不難看出,擁有或控制環節,基本上貫穿了數據的生命周期。合法擁有或控制數據,意味著企業應確保數據生命周期的合法、合規。具體包括數據收集合法、存儲合法、使用合法、加工合法、傳輸合法、提供合法、公開合法,合法性包含了一整套復雜的認定規則。
我們僅以個人信息獲取的合法性為例予以說明,收集是處理個人信息的首要環節,也是個人信息數據的合法性基礎。收集個人信息,是個人信息處理者與用戶形成交互的首個環節,個人信息處理的知情同意往往在收集環節完成,對于后續如何保存、利用、對外提供、加工、公開個人信息,均需要在收集環節取得個人的同意。
《個人信息保護法》規定處理個人信息應當具有明確、合理的目的,并應當與處理目的直接相關,采取對個人權益影響最小的方式。收集個人信息,應當限于實現處理目的的最小范圍,不得過度收集個人信息。以及處理個人信息應當遵循公開、透明原則,公開個人信息處理規則,明示處理的目的、方式和范圍。僅是其中的最小必要原則,又會涉及到一系列復雜的規范,如關于APP收集個人信息的規則等。此外,對于用戶的知情同意,《網絡安全法》《民法典》及《個人信息保護法》《消費者權益保護法》規定了詳細的規則。個人信息處理者應將個人信息的處理目的、處理方式,處理的個人信息種類、保存期限及其他法律規定的事項告知個人,并取得個人的同意。此外,對于特定事項,還應當取得個人的單獨同意。對于不滿14周歲的未成年人,其個人信息屬于敏感個人信息,應當制定專門的規則。
除了個人信息外,測繪及地理信息數據、健康醫療數據、人類遺傳資源信息數據,以及其他部分領域的數據,在收集環節,也有各自的法律限制。
加上存儲、使用、加工、傳輸、提供、公開以及個人信息刪除環節的法律規則,合法性的判斷需要面對復雜的法律規則體系,也是數據資源進行會計處理過程中的至關重要的環節。
綜上,盡管會計準則和《暫行辦法》對于數據資源的合法擁有和控制進行了規定,但對于如何理解“合法擁有或控制”,則需要根據有關法律法規及監管規則、國家標準進行深入的研判。這不僅是數據資源確權的基礎,也是進行數據資源入表的基本前提。
