数据资产入表合规要求与应对策略
在当今的数字经济时代,数据已成为企业竞争的新优势,是推动生产方式、生活方式和治理方式深刻变革的关键力量。数据作为拥有长期使用寿命的无形资产,其重要性和价值日益凸显。然而,尽管数据资产在企业运营中发挥着举足轻重的作用,但它们却常常缺席企业的资产负债表。这一现象背后的原因,主要在于企业价值评估对于不可预测性和模糊性的规避,以及数据成本核算、折旧、使用方式、获取成本以及合规等五大关键因素的影响。
事实上,如果将价值合理地分配给数据资产,它们完全有可能在企业的资产负债表中找到一席之地。AT&T在2011年以27亿美元的价格将客户名单作为一种无形资产列入其资产负债表的举动,就是一个有力的证明。这一案例不仅凸显了数据资产的价值,也揭示了数据资产入表的可能性和必要性。
数据资产作为数字经济的重要组成部分,其发展速度之快、辐射范围之广、影响程度之深前所未有。它们正在重组全球要素资源、重塑全球经济结构,并改变着全球的竞争格局。因此,推动数据资产入表,不仅有助于企业更全面地反映其资产状况,也有助于提升数据资产的管理和利用效率。
到2024年初,数据资产入表的整体顶层设计已经初步形成,而“合规化”则是数据资产入表最重要的前置性要求。这是因为,
如果数据的安全性和隐私合规性不佳,数据很快就会从资产变成负债。
与有形资产相比,数据等无形资产的资产负债转换率要高得多。剑桥分析公司因脸书数据泄露问题而迅速走向破产的案例,就深刻地揭示了这一点。
因此,要确保数据资产能够顺利入表,并为企业带来实际的利益,就必须首先解决数据合规的问题。以下,我们将从
区分数据资产与数据资源、盘点数据资产形成数据资产表、符合基本数据处理要求以及建立数据合规管理体系等四个方面,详细解析数据合规的要求。
一、区分数据资产与数据资源
明确数据资产的具体内涵,是数据资产入表的先行性要求。尽管《企业数据资源相关会计处理暂行规定》(简称《暂行规定》)并未直接给出数据资产的定义,但它对数据资源的适用范围进行了明确的规定,这为我们理解数据资产提供了重要的线索。
根据《暂行规定》,一方面,适用于企业按照企业会计准则的相关规定确
认为无形资产或存货等资产类别的数据资源,可以被视为数据资产的一部分。
另一方面,
也适用于企业合法拥有或控制的、预期会给企业带来经济利益的数据资源,尽管这些资源未满足资产确认条件,但它们的潜在价值仍然不容忽视。
这种明确界定确保了不同类型的数据资源都能在会计处理中得到合适的对待,为数据资源的会计准确性提供了基础。由此可见,《暂行规定》从“可认定”和“不可认定”两个层面对数据资产做出了全面的定义,基本涵盖了所有的数据资源。
而《数据资产评估指导意见》则进一步延续了这种思路,明确数据资产为“特定主体合法拥有或者控制的,能进行货币计量的,且能带来直接或者间接经济利益的数据资源”。这一定义更加具体和明确,为我们识别和界定数据资产提供了清晰的指导。
构成数据资产有三方面的要求:
一是被企业合法拥有或控制,数据来源合法是前提;二是能够为企业带来经济利益;三是可被计量。
因此,对于企业来说,识别和界定哪些数据资源可以被视为数据资产变得至关重要。
并非所有数据资源均可入表,数据资源是一个几乎涵盖了所有企业数据的概念,它不仅包括可资产化的数据,也包括不可资产化的数据。只有那些经过企业的清洗和加工,具备商业价值的数据资源,才有可能转换为数据资产,并最终被列入企业的资产负债表。
二、盘点数据资产形成数据资产表
盘点数据资产并形成数据资产表,不仅是提高数据管理效率和合规性的基础,也是数据资产入表的关键步骤。这一过程的复杂性和重要性都不容忽视。
通常情况下,企业应当组建一个由IT、数据管理、法律和业务部门代表组成的数据资产盘点团队。这个团队将负责全面、准确地盘点企业内部的数据资产,包括数据库、文件、报告、日志等各种形式的数据。
在盘点过程中,团队需要详细记录每项数据资产的详细信息,如数据类型、数据量、存储位置、负责人、访问权限等。这些信息对于理解数据资产的价值和风险至关重要。
基于数据资产盘点的结果,企业可以形成一份包括数据资产的详细目录、描述、价值评估、管理责任等信息在内的数据资产表。这份表格将为企业提供一个全面、清晰的数据资产视图,有助于企业更好地管理和利用这些数据资产。
数据资产表应定期更新,以反映数据资产的最新状态。通过盘点和更新数据资产表,企业不仅可以掌握数据资产的数量、种类、存储以及数据流等关键信息,还可以进一步了解这些数据资产之间的关系和价值。
例如,在盘点过程中,企业可能会发现一些数据冗余和质量问题。这些问题不仅会影响数据的准确性和一致性,还可能降低数据资产在入表中的价值。因此,企业需要对这些数据进行进一步的清洗和整合,以提高其质量和价值。
更为重要的是,通过企业内部跨部门的数据治理协作,可以促进数据资产的权责进一步明确,构建更加高效和协同的内部数据治理体系。这将有助于企业更好地管理和利用数据资产,实现数据资产的最大化价值。
三、符合基本数据处理要求
数据处理符合基本的法律要求,是数据资产合法性的重要判断依据。为了确保数据资产的合法性和合规性,企业必须确保其数据处理活动符合相关的法律法规要求。
数据合规应基于数据的完整生命周期,贯穿数据的收集、存储、加工、流通、删除等环节。
在每个环节,企业都需要采取相应的措施来确保数据的合规性。
在收集环节,
企业应确保所收集的数据符合“告知同意”的要求,并满足“最小必要”原则。这意味着企业只能收集实现服务目的所必需的最少数据,并确保这些数据是在用户明确同意的情况下收集的。
在传输环节,
企业应采取加密方式进行传输,并进行相应的操作权限设定和验证。这将有助于确保数据在传输过程中的安全性和保密性。
在用户响应环节,
企业应提供便捷的同意撤回、删除个人信息等途径,并确保这些操作不会对用户造成任何歧视或不便。例如,企业不应因用户撤回同意或删除个人信息而停止提供服务或降低服务质量。
在数据存储环节,
企业应确保采取了相应的加密和访问控制措施,并根据不同数据采取不同的存储方式。同时,企业还应建立相应的容灾备份机制,以确保数据在存储过程中的安全性和可用性。
在加工环节,
企业应保证个人信息的去标识化,并不得超出授权范围进行数据处理。如果需要超出授权范围进行处理,企业应重新获得用户的明确授权。
在流通环节,
企业应对数据供需双方进行资质审查,并签署相关协议来明确合同双方的数据流通方式、数据权属以及数据使用范围和限制等内容。同时,企业还应实时监控数据流,以确保数据的合规使用。
在删除环节,
企业应确保在保存一定期限后再进行数据删除,并确保删除的数据被完全删除且无法恢复。这将有助于避免数据安全风险,并保护用户的隐私权益。
开展数据生命周期治理不仅有助于企业提升数据管理的效率和效果,确保数据质量;还有助于企业满足日益严格的数据合规要求,降低因数据问题带来的业务风险;从而进一步提高数据资产入表的价值和可靠性。
四、建立数据合规管理体系
建立完备的数据合规管理体系,是数据资产入表的基础性要求。这一体系的建立,需要企业在多个层面进行深入的考虑和规划。
首先,根据数据生命周期的各个环节,企业应形成相应的数据处理管理体系。这一体系应涵盖数据的收集、加工、存储等一系列处理要求,并根据企业的规模和特点,建立详细程度不同的制度规范。例如,企业可以制定从体系、办法到操作手册逐渐细化的三级管理体系,以确保数据处理的合规性和一致性。
其次,企业应建立相应的组织结构管理体系。这一体系应包括企业内部的数据管理组织架构、最高负责人、具体管理部门以及相应的人员组织等。同时,企业还应制定数据安全应急措施,以应对可能的数据安全事件。在建立这一体系的过程中,企业应特别重视员工的培训和教育,加强员工对数据合规的认识和意识,并定期开展数据安全和数据合规的培训活动。
最后,企业应形成与数据处理体系和组织结构管理体系相匹配的技术管理体系。这一体系应包括企业对现有数据资源进行处理过程中的加密、防火墙、云存储等技术手段,以及企业采取的各种技术措施进行数据的持续维护和监控。例如,企业应部署自动化的数据监控工具,持续检测数据质量问题,并及时采取防护措施来保护数据资产的安全。同时,企业还应定期进行数据备份和灾难恢复演练,以确保在数据丢失或系统故障的情况下能够快速恢复数据,保障业务的连续性。
总之,数据资产入表将成为企业资产管理的重要内容,而数据合规是数据资产的法律基础。围绕着数据资产入表的目标,企业需不断提高数据合规管理的专业性和系统性,以数据合规为基础,通过技术创新和管理创新,实现数据资产的管理和价值最大化。一方面,企业须关注并适应国家对数据资产管理的政策导向和法规要求,积极响应政策变化,确保数据资产入表的合法性和合规性。另一方面,在数据资产入表的大趋势下,企业通过符合数据合规基本要求并建立健全的数据资产管理体系,可以实现数据资源的合规化,从而推动数据资源向数据资产的转换,进而实现数据资产的合理利用和数据的价值释放。
