数据资产合规管理 白皮书 (2024年) 北京金诚同达(西安)律师事务所二〇二四年六月 版权声明 本报告版权属于北京金诚同达(西安)律师事物所,并受法律保护。如转载、摘编本报告观点的,需注明:来源自北京金诚同达 (西安)律师事物所。违反上述声明者,本所将追究相关法律责任。 前言 响应国家《数据要素×”三年行动计划(2024—2026年)》,北京金诚同达(西安)律师事务所特别编制《数据资产合规管理白皮书(2024年)》。 本白皮书的编制,是为了帮助企业实现数据资产管理,理清法律合规风险;帮助企业完善内部数据管理,提升数字化水平;帮助企业完成数据资产入表,提高企业资产额;帮助企业进行数据交易,赋能实体经济增长;帮助盘活数据资产,扩大融资渠道等。 本白皮书希望通过整理一些定义和难点,来解决数据资产化实际遇到的法律以及其他方面的难题,特别针对于一些数字化水平较高,具有盘活数字资产的需求但又不知该从何入手的国有和民营企业。同时,对于想要提高自身数字化管理水平,通过数据来提升自身生产力的企业也具有一定的参考意义。也适合一些数据产业研究者、相关行业从业者和对于数据与法律具有学习与钻研热情的爱好者进行阅读。 目录 一、什么是数据?5 1、数据的定义5 2、数据与软件、代码和字段的区别6 3、数据的分类6 4、数据的价值8 二、什么是数据资产?10 1、数据资产的定义10 2、数据资产与数字资产的区别与联系11 3、数据资产与数据产品12 三、什么是数据资产管理?14 1、数据资产管理的定义14 2、与数据资产管理相关的规定15 3、如何实现数据资产管理17 4、国有企业数据资产管理的保护20 四、数据资源入表23 1、为什么要数据资源入表23 2、如何实现数据资源入表23 3、对于数据资源入表的税务处理27 五、数据交易与数据资本化28 1、数据的场内交易与数据场外交易28 2、数据资产化与其他数据金融产品30 一、什么是数据?1、数据的定义 数据,是指对客观事件进行记录并可以鉴别的符号,是对客观事物的性质、状态以及相互关系等进行记载的物理符号或这些物理符号的组合。它是可识别的、抽象的符号。数据是信息的表现形式和载体。所以数据在法律上被定义为:是指任何以电子或者其他方式对信息的记录(《数据安全法》第三条),该定义对数据进行了广义的解释,包括电子数据、纸质所记载的数据等。在计算机系统内部,数据以二进制单元(0、1)为表现形式。 从以上定义我们可以看出,数据本身并不产生价值,因其所记录的信息产生了价值。作为有价值的信息载体,数据具有可复制性、非均质性、可替代性与时效性——即数据所记录的信息的价值不因被复制而减少或消失;数据所记载的信息的价值不能用数量等统一标准来衡量,不同的数据所记载的信息在不同的场景拥有不同的价值;数据作为载体,可以被其他数据所替代;数据所记录的有价值的信息,其价值有可能会因为时间而贬损。 根据DIKW(Data、Information、Knowledge、Wisdom)金字塔模型可知,人们可以通过阅读数据上记载的信息,经过分析加工产生知识,最后形成智慧。所以在高度信息化的社会,人们每天的经 济社会活动产生了大量的数据,其中,有价值的信息被加工分析成了知识,最终汇聚成智慧,从而进一步指导个人的进步与社会经济的发展。对应在计算机领域,这也就是数据分析,即对数据的采集汇聚和分析,从而提取对人更有价值的信息的一般思路。 2、数据与软件、代码和字段的区别 软件,是指与计算机系统操作有关的一系列按照特定顺序组织的计算机数据和指令的集合,其具有能够围绕人的需求处理信息的数据结构和描述程序功能需求以及程序如何操作和使用所要求的文档。在计算机系统里,如果把数据当作血液,那软件就是血管。 代码,是指用开发工具所支持的语言写出来的源文件,是一组由字符、符号或信号码元以离散形式表示信息的明确的规则体系。数据是计算机程序所处理的对象,而代码是操作这些数据的指令。在某些情况下,代码和数据也可以相互转换。 字段又叫数据项,是指标记实体属性的命名单位。它是可以命名的最小信息单位,又称为数据元素或初等顶。字段是数据的表现方式之一。 3、数据的分类 数据的分类方式多种多样。在数据资产化的语境下,我们着重探讨一下个人数据、商业数据以及公共数据这种数据分类方式的内涵。 个人数据:是指载有可识别特定自然人信息的数据,不包括匿名化处理后的数据。匿名化,是指个人信息经过处理无法识别特定自然人且不能复原的过程。是数据挖掘中隐私保护的最主要的一种技术手段。目前,还没有技术手段能够使个人数据达到完全匿名化、不能复原的程度,但技术手段可以大幅度提高个人信息保护的水平。 对于个人数据,因其记录了属于特定自然人的信息,按照《个人信息保护法》的规定,自然人对记载了其个人信息的数据享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理;法律、行政法规另有规定的除外。 商业数据:是指一个产业的价值链上各个重要环节的历史数据和即时数据的集合,其内容包括商业机构内部数据、分销渠道数据、消费市场数据等。商业数据主要来源于具有盈利性质的法人和非法人组织。 公共数据:是指由公共管理和服务机构在依法履行公共管理职责或者提供公共服务过程中产生、处理的数据。这些数据主要来源于三类部门:政府数据,即各级政府行政机关在依法履职过程中采集和产生的各类数据资源,如政务数据。运行经费由政府财政保障的社团组织和事业单位,在依法履职过程中采集和产生的各类数据资源。公共服务企业,如水务、电力、燃气、通信、公共交通等,在运营过程中产生的数据。公共数据不仅涵盖政务数据,还包括很多行业平台、互联网平台在提供公共服务过程中收集、产生的涉及 公共利益的各类数据。 个人数据、商业数据与公共数据虽然各有区分,但是相互之间也存在交集。比如商业数据与公共数据的主要分别是数据是具有盈利属性还是具有公共利益的属性,商业数据可以用来交易,但当其具有了一定公共利益属性,比如记载了有关公共安全的信息,完全也可以被视为同时属于公共数据。 数据资产化,底层是保护记载着个人信息的个人数据,保护记载着商业秘密的商业数据,保护记载了国家安全、公共安全的公共数据这些合法、合规义务,在此基础上,促进商业数据的交易和流通,促进公共数据的开放,使得数字经济最大限度赋能实体产业才是数据资产化的题中之义。 4、数据的价值 根据上文数据的定义可得知,数据的价值来源于其所记载的信息价值。信息的价值在不同的场景下价值不尽相同,所以离开了场景,数据价值更加无从谈起。这些场景总体可分为外部和内部两种。 在数据流通的外部场景中,实体社会的发展个人或企业产生积累了大量的数据,伴随着产业经济,总有一些场景比如产业下游对产业上游会产生一定的信息需求。上游数据通过下游厂商支付一定的对价的手段流通到了下游,从而更好的指导其经济行为,这也就是数据交易的雏形。当产业产生规模化效应,一部分的数据价值产 生的场景也逐步走向了聚合统一,从而产生了数据交易的市场。 在数据流通的内部场景中,例如企业的各个部门之间,需要部分数据的流通共享,才能更好的赋能业务增长。这也就是数据内部价值产生的场景。目前,数据资源入表也就是在企业内部通过财务报表的形式体现出了数据在内部场景下的价值。 总而言之,就是因为数据产生价值的场景不统一,在每个场景下的价值也不尽相同,所以给数据价值统一确定一个标准是一件相当有难度的事情。但是,我们不能就此认为数据所记录的信息就是没有任何价值的。在数据市场进一步扩大发展的情况下,根据产业聚合下统一的场景来确定数据的价值,也并非一件完全不可完成的事情。 二、什么是数据资产? 1、数据资产的定义 数据资产,是指由个人或企业拥有或控制的,能够为企业带来未来经济利益的,以物理或电子的方式记录的数据资源。它包括但不限于数字信息、文字信息、图像信息、语言信息、数据库等。 从这个定义我们就能看出,数据资产:a.可以被个体拥有或者控制;b.能够带来一定的经济利益;c.数据资产可以被完整记录。所以,区分数据是否是数据资产的关键在于:a.是否可以证明数据资产的所有权、使用权或者处分权,是否可以证明数据资产如何被个体所控制;b.是否存在一定的场景使数据资产产生价值,其价值该被如何证明;c.数据资产被记录的真实性、准确性、一致性、完整性与其他特性该如何保证。数据资产如何确认对应到数据资源入表,也就是数据确权,数据资产评估,数据质量评估这些基础流程的起源。 根据国家数据局《全国数据资源调查报告(2023年)》所述,2023年,全国数据生产总量达到32.85泽字节(ZB),这相当于 1000多万个中国国家图书馆的数字资源总量。与此同时,调查发现:在2023年全年生产的数据量中,只有2.9%被存储,这意味着一些数据在源头就被抛弃;另外,在存储数据中,一年未使用的数据占 10 比约为四成,这说明不少数据被存储后不再被读取和复用。综上可知,我国目前存在大量的数据、数据资源可以转换成为数据资产。 2、数据资产与数字资产的区别与联系 数字资产,泛指所有以数字形式存在并可在互联网上交易转移的虚拟资产,包括加密货币、区块链代币、数字艺术品、虚拟房地产等。它们的本质是一串代码或数字凭证,代表着所有权和价值,可在区块链等分布式账本上进行点对点转移和流通1。 数据资产与数字资产的主要区别在于数据资产本身没有价值,因其所承载的信息内容从而产生价值,但数字资产本身就是有价值的。所以在数字资产领域,数字本身的所有权或者版权的重要性一定要比数据资产高的多。而数据资产的权利来源,毋宁说来源于数据本身,不如说来源于数据与其他个体产生的关系。所以,将数据资产放在传统物权和知识产权领域去进行规制,会存在一定的难度。这也就是为什么《个人信息保护法》不能划分在物权法和知识产权法法域的理由,也是《关于构建数据基础制度更好发挥数据要素作用的意见》(又叫“数据二十条”)强调数据使用权,提出建立数据资源持有权、数据加工使用权和数据产品经营权的“三权分置”— —与传统物权和知识产权对数字资产或者对其他虚拟资产规定都不尽相同的原因。 同样,在数据资产的领域,保护记载着个人信息的个人数据, 1引用自《数据资产和数字资产的区别》,SuperTech超厉害科技 保护记载着商业秘密的商业数据,保护记载了国家安全、公共安全的公共数据这些法定义务也是基于数据与其他个体的关系产生的。在计算机系统里的数据当然也是数字的一种,不能说传统物权与知识产权对它没有法律效力,但因其的可复制性与可替代性,在数据流通产生的巨大信息红利面前,可以认为在保护好个人、企业、社会公众和国家利益的基础上,利用法律政策手段促进数据流通与共享,淡化数据本身的所有权,确实是激发数字经济、释放数据价值、利国利民的创新性举措。 3、数据资产与数据产品 产品,是指被人们使用和消费,并能满足人们某种需求的任何东西。数据产品,就是指将原始数据加工成能供人们使用和消费,并满足人们其他需求的产品。常见的数据产品,有经过脱敏的API实时数据,数据集,数据分析报告等。 根据“数据二十条”的规定: a. 在保障安全前提下,推动数据处理者依法依规对原始数据进行开发利用,支持数据处理者依法依规行使数据应用相关权利,促进数据使用价值复用与充分利用,促进数据使用权交换和市场化流通。审慎对待原始数据的流转交易行为。 b. 鼓励公共数据在保护个人隐私和确保公共安全的前提下,按照“原始数据不出域、数据可用不可见”的要求,以模型、核验等产品和服务等形式向社会提供,对不承载个人信息和不影响公共安全的公共数据,推动按用途加大供给 使用范围。 c. 支持第三方机构、中介服务组织加强数据采集和质量评估标准制定,推动数据产品标准化,发展数据分析、数据服务等产业。 d. 加大个人信息保护力度,推动重点行业建立完善长效保护机制,强化企业主体责任,规范企业采集使用个人信息行为。创新技术手段,推动个人信息匿名化处理,保障使用