查看原文
其他

刘冰:论数据资产化的法律障碍及破解路径|中法评 · 专论

刘冰 中国法律评论
2024-09-23


刘冰

    华北电力大学人文与社会科学学院副教授


数据资产化面临数据资产产权规则模糊、数据安全与隐私法律保护不足、数据资产会计准则依据和数据资产评估法律规范缺失等法律障碍。针对数据资产化面临的法律问题,可依据数据资产产权二元界定原则、资产评估价值贡献原则和数据资产安全保护原则,创建保障数据顺利资产化的基础法律制度,完善数据资产产权保护制度和数据安全与隐私法律保护制度,建立数据资产企业会计准则制度、数据资产流通法律制度和数据资产市场监管制度。




本文首发于《中国法律评论》2023年第2期专论栏目(第51-63页),原文16000余字,为阅读方便,脚注从略。如需引用,可参阅原文。购刊请戳这里。


  • 本文系国家社科基金一般项目“破产重整中的公司治理问题研究”(22BFX091)的阶段性成果。



目次


一、引言

二、数据资产化的重要价值

(一)数据资产之再定义(二)数据资产化的价值

三、数据资产化的法律障碍

(一)数据资产产权规则不明(二)数据安全与隐私法律保护不足(三)数据资产会计准则依据缺失(四)数据资产评估法律规范缺失

四、数据资产化的法律路径

(一)数据资产化的法律原则(二)数据资产化的基础法律制度

五、结语



引言


近些年我国数字经济规模不断扩大,《中国互联网发展报告2022》指出,“2021年,中国数字经济规模达45.5万亿元,总量稳居世界第二”。以数字经济为核心,政府制定了大量支持、促进、规范其发展的战略规划及政策,包括云计算、大数据、物联网等子领域。鉴于数字经济的体量及政策积累,2022年12月19日印发的中共中央、国务院《关于构建数据基础制度更好发挥数据要素作用的意见》提出“建立合规高效、场内外结合的数据要素流通和交易制度”,数据作为与土地、劳动力、资本、技术等传统要素并列的新型生产要素,只有流通和交易才能发挥经济价值。


农业经济、工业经济、数字经济发展的背后是生产要素的发展,农业经济以土地和劳动力为主要生产要素,工业经济以技术和资本为主要生产要素,数字经济的关键生产要素是数据。市场经济下数据像其他生产要素一样,追求合理且高效的配置,实现经济效益最大化。数据要素的配置离不开要素市场,尤其是数据资产市场。但数据资产化障碍重重,导致数据独立参与经济活动能力受限,一直“附着”在其他产业之上,没办法摆脱现行经济框架,搭建数字经济内生循环机制,成为独立的经济形态。


从经济史的角度看,资产的属性、范畴、种类等一直在发展和创新,经历了不断扩张和深化的过程,早期资产主要表现为土地、房屋、厂房设备、汽车、贵金属等实物资产;随着经济社会发展,在实物资产基础上又出现了无形资产,比如知识产权、品牌、专利等。到了数字经济时代,数据作为最重要生产要素,资产化趋势不可阻挡,且需求与日俱增。我国在产业数字化、政务数字化过程中积累了大量数据,为管理、应用及开发这些数据,在硬件、软件、技术和管理创新上投入了大量资本。


如果数据不能资产化,这些投入不能直接体现在数据资产成本中,长此以往“资本沉没”,没有正向经济反馈,必然会限制数据技术创新体系发展。数据成为资产,表面看是经济问题,背后则是一系列法律问题,只有妥善解决数据资产化过程中遇到的各类法律障碍,数据资产才能成为受法律保护的资产。


数据资产化的重要价值


(一)数据资产之再定义


探讨数据资产,首先要清楚数据的基本特征。以往对数据的理解是信息层面的,数据是对客观事物的记录,是基础生产资料。


但大数据背景下我们讨论的数据,通常具备四项特征:一是存储量极大。伴随互联网及大数据技术的持续创新,数据量呈现几何级数增长,全球互联网巨头公司的数据量基本达到了EB量级,未来随着5G\6G的深入应用,数据规模还会增大。二是更新速度快。数据频繁更新,是大数据区别于传统数据的重要特征。三是数据类型多。数据分类多,比如与人有关的数据包括个人信息、信用数据等,与事有关的数据包括网约车流量数据、外卖日客流量数据等,按照存储形式可包括结构化数据、半结构化数据、非结构化数据,还有不同权属的私有数据、公共数据等。四是技术依赖高。虽然数据量级大,但可提取、可使用的有效信息并不多,依靠数据算法进行提取,一样的数据采取不同的处理技术,所体现出的价值差距较大,数据价值高度依赖数据技术。


数据特征自然延伸至数据资产,成为数据资产的特征。了解数据资产特征有利于我们进一步讨论数据资产的定义。


大数据技术标准推进委员会发布的《数据资产管理实践白皮书(6.0版)》给出的定义是:“数据资产(DataAsset)是指由组织(政府机构、企事业单位等)合法拥有或控制的数据,以电子或其他方式记录,例如文本、图像、语音、视频、网页、数据库、传感信号等结构化或非结构化数据,可进行计量或交易,能直接或间接带来经济效益和社会效益。在组织中,并非所有的数据都构成数据资产,数据资产是能够为组织产生价值的数据,数据资产的形成需要对数据进行主动管理并形成有效控制。”白皮书是从数据价值的角度对数据资产作出定义,技术层面忽略了《企业会计准则》中的资产认定体系,没有全面反映出数据资产的特点。


从资产定义来看数据资产,《企业会计准则——基本准则》第20条给出的资产定义是:“资产是指企业过去的交易或者事项形成的、由企业拥有或者控制的、预期会给企业带来经济利益的资源。”一种资源符合会计准则认定体系中资产定义的同时,还要同时符合两个确认条件,才能被认定为资产:一个是与资源有关的经济利益可能流入企业;另一个是资源的成本或价值能够可靠地计量。假设数据资源是企业会计准则认可的一种资产,可以列入企业资产负债表中,反推数据资产应具备这几点特征:第一,企业过去交易或事项形成的;第二,企业拥有或控制的;第三,可能给企业带来经济利益;第四,成本或价值可以准确评估。


综上所述,从数据价值看数据资产,与从资产定义看数据资产,矛盾主要集中于数据资产成本与价值的不确定性上。资产概念经过长期发展,与经济社会方方面面的管理与规则深度融合,突破面临很多难题。但是我们必须承认未来是数字经济时代,须秉持开放、接纳的思维研究数据资产的独特性。不能一味固守传统资产定义,而忽略数据资产的特点,违背数据发展规律。


因此,笔者认为从资产化的角度,数据资产可被定义为:组织(政府单位、企事业单位等)过去交易或事项形成,由组织合法拥有或控制,可能带来经济效益,成本与价值可评估的数据资源。


该定义在白皮书数据资产定义基础上做了两点变通:一是删除了社会效益,只强调数据资产的经济效益。数据资产化的动力和目标是交易,只有可能带来经济效益才能促进交易,进而实现数据资产化。二是使用“可评估”一词,与“准确评估”最大的区别在于,可评估是一种场景评估,根据数据资产应用场景进行资产评估,依据价值贡献采取动态、综合的评估方法,而非针对数据本身的价值进行评估,摆脱了成本、市场和收益等传统资产评估方法所依据的逻辑。


(二)数据资产化的价值


数据资产化对数字经济发展至关重要,是数据规范交易的必要条件,是企业与政府海量数据赖以流通的基础,否则企业与政府拥有再多的数据也是“孤岛”。一座一座“孤岛”不能打通,数据价值无法最大化,一方面影响企业与政府对数据技术持续投入的热情,另一方面影响数字经济持续发展。


1.促进数据要素流通


数据资产化是数据要素流通的重要基础,数据要素可以随着资产交易而交易,通过建立数据资产市场逐步形成多方主体参与、多层次的数据要素市场。这种联动关系,可以从三个方面解释:


一是数据的特点决定数据要素不能商品化流通。数据要素不能通过简单的商品化进行交易,原因在于其很难成为标准化商品,消费者购买商品是为了获取商品的使用价值,商品只有先证明自己有使用价值,才能被消费者购买,但数据要素很难直接表现出具体的使用价值。市场中所谓的数据产品,类似于“数据盲盒”,使用价值不明确。


二是数据的特点决定数据要素可以资产化流通。以现在的数据存储量看,只有政府、企业、事业单位等主体,具备生产、识别和使用数据的能力,为数据要素跳过商品化,直接资产化流通提供了主体优势。


三是数据资产市场与数据要素市场高度重合。数据要素不能通过商品市场交易,但可以通过资产市场交易,或者特殊主体之间共享而流通。又因特殊主体之间的共享范围有限,在数据资产充分交易之下,数据资产市场逐渐与要素市场高度重合,成为数据要素市场的重要组成部分。


2.促进数据要素市场形成


数据较于土地、劳动力、资本和技术生产要素而言,市场化配置手段还不成熟,数据要素市场建设很难一蹴而就,须循序渐进、由点及面逐步推进,可以数据资产市场建设为“切入点”。在数据资产化的前提下,探索数据资产有效定价机制,形成稳定且高效的数据市场监管体系,建设公平且充分竞争的数据资产交易市场,最终实现数据要素以资产的形式在市场合规流转。另外,数据资产市场发育过程中,可以催生出一系列基础设施。例如,数据资产交易所、数据资产评估机构、数据资产安全审查机构、定价机制、主要监管部门等。这些基础设施不仅数据资产市场可以使用,较之范围更大的数据要素市场也可以使用。


综上所述,笔者认为数据要素的价值及未来值得期待,可通过建设合法且规范的数据资产市场,促进数据要素市场的创建。


3.促进大数据技术创新


未经“雕琢”的数据只是一组无序的数字,没有任何价值,只有数据技术才能从庞杂晦涩的数据中挖掘出价值并管理好。国内只有少数几家互联网科技企业有实力、有动力建立自己的数据技术体系,并持续在数据收集设备、存储设备、处理设备等硬件创新上投入。数据资产化后,企业与企业之间、政府与企业之间、政府与政府之间通过数据资产流通,占有更多的数据资源,数据应用场景进一步丰富,促进数据技术进一步发展。反过来数据技术越成熟,企业对数据资产的利用方式也更多元、更简便,它们之间是一种相互促进的关系。


数据资产化的法律障碍


(一)数据资产产权规则不明


数据资产化的前提之一是数据资产的产权清晰。清晰的产权是促进数据资产流通,构建数据资产市场的重要基础,但目前数据资产产权模糊问题一直困扰数据资产化进程。数据资产产权规则不明,主要表现为两个方面。


1.产权确权规则不明


目前学界主要是以权利主体确定数据所有权,大致可分为个人、企业、政府三类:


第一类,个人数据。从宪法到民法典,再到司法解释及法律规范,可以找到保护个人信息或个人数据的法律依据。个人对与个人信息相关的基础数据拥有绝对的所有权,只有在法律允许且不损害个人信息安全的前提下,其他主体才可以有限地占有、使用、共享及收益。


第二类,企业数据。企业在提供服务时可以采集个人数据和其他企业数据,企业的各类业务也可以生产大量的数据,企业规模越大,数据处理能力越强,除个人基础数据外,经过企业技术加工过的数据归企业所有。另外,虽然企业没有个人基础数据的所有权,但企业基于占有所产生的财产性权益,也属于产权范畴。


第三类,政府数据。政府数据具有公共性,一般情况下所有权归政府所有,因为政府采集数据的目的是公共管理的需要,与社会公共利益高度相关,在保护个人信息和企业数据安全的基础上,可以限制个人信息自决权的行使。


以权利主体确定数据所有权的规则,看似简单明了,但对数据资产产权的确权而言,规则不清且很难适用。因为通常情况下数据在各类“模拟场景”下产生,包括个人数据、企业数据和政府公开数据等各类数据。多种数据复合而成的数据资产,其产权不等同于单一主体数据所有权的简单相加。而且,以权利主体确定数据所有权本身存在一定的逻辑问题,传统所有权理论以物的物理排他性为基础,但数据的物理性很难表现出排他性,再将所有权的分析框架套用在数据上,显然不符合多种单一数据叠加在一起的复合数据特点。


2.产权流通规则不明


数据可无限复制的特点导致“产权无法稀释”。哈罗德·德姆塞茨(Harold Demsetz)提出完整产权和不完整产权的分类:完整产权是指所有权,不完整产权是指所有权的一部分。完整和不完整产权的分类有助于我们理解所有权与产权的区别,产权并非物权,而是依附在特定客体上的权利,这种权利可以表现为所有权、占有权、支配权、收益权和处置权等。主体可以根据发生的经济关系,选择使用特定客体上的附着权利,随之主体拥有的产权减少。


假设一个企业对机械设备拥有所有权,那事实上企业拥有机械设备的一系列产权,包括使用、转让、出租、处置等,其中任何一项权利都构成一项产权。企业将设备租赁给另一个企业,获得租金收益,相应地失去设备的使用权。但数据的可无限复制特点导致占有、使用、收益、处分等行为不会让数据产权减少。“产权无法稀释”意味着产权人的权利不受限制和约束,或者说限制和约束的成本较高,因此数据资产不能依据传统产权交易方式流通,其流通的方法、规则及制度保障尚待进一步明确。


(二)数据安全与隐私法律保护不足


1.法律保护现状


数据安全的内涵包括“有效保护”“合法利用”和“保障持续安全状态的能力”。本质上个人信息安全属于数据安全范畴,但为保护个人隐私权,笔者将数据安全与隐私并列。数据安全与隐私问题已超越单一部门法调整范畴,其法律保护体系为解决数据安全与隐私问题而建立,具有鲜明的领域法特征,不再追求体系完整和逻辑自洽。数据安全与隐私法律保护体系已大体形成,总结如下:


第一,融入传统部门法。《宪法》《刑法》《刑事诉讼法》《民事诉讼法》《未成年人保护法》《消费者权益保护法》等法律修订过程中均涉及了数据安全与隐私保护方面的内容。《民法典》在人格权编下,采用专章规定隐私权和个人信息保护,重视程度可见一斑。在已经成熟、稳定的传统部门法体系中融入数据安全与隐私相关的内容,从不同的方面予以规范,在没有形成完善的、系统的数据法律规范体系之前,利用传统部门法体系是较为可靠的办法。


第二,在新创立的部门法律中重点保护。《网络安全法》《个人信息保护法》《数据安全法》《电子商务法》等新创设的部门法,从各自立法目的、调整范围、规范方法出发,对数据安全与隐私提供了或点或面的法律保护。例如,《数据安全法》规范的主要对象是数据处理活动,在数据收集、存储、加工、使用、提供、交易、公开等行为中贯彻数据安全保护工作基本原则、协调机制、各方主体维护安全的职责、数据跨境流动等相关法条的规定。


第三,贯彻执行数据安全与隐私保护法律的各类规章与规范。保护数据安全与隐私需将抽象的法条落地执行,摒弃传统法律被动保护的方式,要求相关义务人采取积极、主动的保护措施。例如,《网络安全法》第42条的规定,“网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息”。再如,《信息安全技术个人信息安全规范》《信息安全技术公共及商用服务信息系统个人信息保护指南》从技术标准角度规范网络运营者履行保护个人信息安全义务。


2.对数据资产化的阻碍


从立法强度看,我国对数据安全与隐私十分重视。《民法典》《个人信息保护法》侧重于从私法角度赋予民事主体享有数据安全与隐私保护的权利,《数据安全法》《网络安全法》侧重于从公法角度规定数据处理者、网络运营者等主体数据安全与隐私保护义务。但它们都没有给出解决数据资产安全与隐私合规问题的方案,导致数据资产化面临两方面障碍。


一方面,数据资产安全检测与认证法律机制不足。1997年我国成立了中国信息安全测评中心,在信息安全漏洞分析、应用软件安全、产品安全检测、系统隐患分析和测评装备研发等方面,为国家信息安全领域提供技术保障。2006年又成立了中国网络安全审查技术与认证中心,该中心依据《网络安全法》《网络安全审查办法》等法律法规,对网络安全技术进行认证。2018年3月15日,国家认证认可监督管理委员会、工业和信息化部、公安部、国家互联网信息办公室四部委联合发布了关于16家《承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录(第一批)的公告》,对重点网络关键设备等硬件进行安全检测和评估。


我国一直在努力解决网络信息安全问题,却忽略了信息技术向数据技术转换背景下的“安全新问题”。数据安全风险不同于传统的信息安全风险,大数据技术、数据存储设备等新技术、新设备、新架构的出现,使以往“离散”的安全保护措施不再那么有效。虽然,国家鼓励、促进数据安全检测评估、认证等机构与服务市场的发展,但目前仅有原则性的法律条文,尚未有具体的法律规范体系保障数据资产安全检测与认证机制合法合规。


另一方面,数据资产隐私数据合规评估法律机制不足。2013年经济合作与发展组织(OECD)发布的《隐私保护和个人数据跨境流通指南》(修订版)中提到“数据控制者对其控制的个人数据负责,无论该数据存储于何处”,“数据控制者应当基于隐私风险评估提供适当的安全保障”。该指南修订迄今近10年了,提出的基本原则仍然极具参考价值。但《个人信息保护法》《民法典》中仅强调了静态的个人信息处理者及共同处理者的保护义务,并未明确如何从内防范、外评估的角度,解决数据资产中隐私数据“合法利用”问题,更未提及隐私数据合规评估机构、程序及报告的法律效力。另外,值得强调的是个人隐私法律保护是数据资产保护的底线,但如何平衡隐私数据保护与流通之间的关系,是数据资产化面临的一个重要问题。


综上所述,数据资产化有一个重要前提,即数据整体安全和其中的隐私数据安全。数据安全检测更侧重于数据资产安全保护所采取的硬件、软件、技术等整体安全环境的评估;隐私数据合规评估更侧重于具体的、微观的企业利用数据资产过程中的隐私数据合规问题。只有解决了数据安全环境保护及隐私数据合规利用问题,才能实现数据合法合规资产化的目标。


(三)数据资产会计准则依据缺失


数据资产化成功的重要标志是,数据以资产的形式体现在企业资产负债表中,如实反映企业数据资产情况;但在财政部发布的我国企业会计准则体系中,数据资产的确认、计量和披露信息缺少相关的依据,无法记入企业财务报表中。缺失主要表现为:


第一,确认标准缺失。《企业会计准则——基本准则》第22条规定:“符合资产定义和资产确认条件的项目,应当列入资产负债表;符合资产定义、但不符合资产确认条件的项目,不应当列入资产负债表。”数据资产既不符合一般的资产定义和确认条件,也不符合《企业会计准则第6号——无形资产》(以下简称《会计准则6号》)规定的无形资产定义和确认条件。数据资产没有实物形态,不具有可辨认性,且成本不能“可靠”计量。


第二,计量方法缺失。表面看数据资产应属于无形资产,但无形资产的计量方法却无法用于计量数据资产。初始计量中自行开发的无形资产,成本包括企业内部研究开发项目阶段的支出和达到预定用途前发生的支出总额。无形资产可以一次性计量支出成本,但企业收集原始数据的成本很难准确计量,最初企业开发目标是不同场景的业务,而不是数据,计量数据资产初始开发成本较困难。后续计量中,无形资产根据使用寿命进行摊销,使用寿命自无形资产可供使用时起,至不在作为无形资产确认时止,“使用寿命不确定的无形资产不应摊销”,企业每个会计期间对无形资产使用寿命及摊销方式进行复核。


数据资产的使用寿命取决于数据的生命周期,生命周期终止,数据被删除后数据资产也将不复存在。一般情况下,根据数据收集目的,确定数据存储时间,数据大量聚集后进一步处理,尤其在数据隐私计算及技术保护后,数据的存储时间是否仍然按照原数据存储时间确定,尚未有明确规定。另外,存储时间并不代表数据的使用寿命,数据资产的使用寿命与存储时间之间的关系尚不明确。


第三,信息披露缺失。数据资产无法体现在企业资产负债表中,自然没办法披露与资产相关的信息,尤其是会计准则要求无形资产应当披露的信息。例如,资产期初和期末账面余额,累计摊销额及减值准备累计金额,使用时间情况,摊销方法,是否用于担保,投入数据资产的研究开发支出金额等信息。这些披露信息并不完全适用于数据资产,数据资产的使用寿命、摊销方式、研发成本与无形资产存在许多不同。由于数据资产没有一个公开、透明、可信的信息披露制度,导致企业很难凭此资源获得广泛的融资。


(四)数据资产评估法律规范缺失


数据资产评估与传统资产评估相比,在评估人员、评估机构和监督管理等方面存在显著不同,以《资产评估法》为代表的现行资产评估法律规范体系很难给予足够的法律保障。


第一,评估人员。《资产评估法》规定国家可以根据经济社会发展需要确定评估师专业类别,针对性地加强评估师专业性。对此,有关部门根据资产特点,颁布专业要求更高的评估师资格及管理办法。例如,国土资源部颁布了《矿产储量评估师执业资格制度暂行规定》,建设部颁布了《注册房地产估价师管理办法》。


另外,为了进一步明确及落实评估师责任,2021年7月1日,中国资产评估协会颁布了《资产评估机构首席评估师管理办法》,其中第1条规定“为了防范执业风险,规范资产评估机构首席评估师的管理,明确首席评估师的职责和权限,发挥首席评估师在资产评估机构执业质量控制中的作用”,在评估机构建立首席评估师执业质量负责制。但从目前的评估师法律规范体系看,没有针对数据资产特点的评估师管理办法或资格管理办法颁布,首席资产评估师管理办法中也未提及数据资产首席评估师在安全审查及隐私保护等方面应承担什么样的特殊责任。


第二,评估机构。《资产评估法》中提到评估机构应当采用合伙或公司形式,并办理工商登记,向有关评估行政管理部门备案。从设立程序看,传统资产评估机构与普通公司相比,只多一个备案环节,可见国家对其采取较为宽松监管态度。但笔者认为数据资产评估机构情况特殊,应设立较高的准入门槛,理由有三:


首先,数据资产对评估机构的安全条件要求较高。数据安全的重要性不言而喻,一旦泄露可能给国家、社会、个人造成不可逆的经济及其他损失,因此对资产评估机构的人员、软硬件等基础安全条件要求较高。其次,数据资产对评估机构技术水平要求较高。数据资产的价值受算法、使用目的等多因素影响,只有具备一定的技术水平,才能给出为市场认可、相对公允的数据资产评估值。最后,数据资产对评估机构管理能力要求较高。评估机构除承担日常管理之外,还要从事涉及数据资产安全及重大泄露应急等方面的管理。


第三,监督管理。《资产评估法》第五章、第六章规定了传统资产评估行业监管框架,国务院有关评估行政管理部门组织制定评估行业的基本准则和监督管理办法,具体监督职责由设区的市级以上评估行政管理部门履行,监管部门对评估人员、评估机构和评估行业进行监督管理,评估行业协会对评估机构和评估人员自律管理。鉴于数据资产评估人员、评估机构、行业协会的专业性、技术性、安全性要求极高,现行监管框架并不适用于数据资产评估,理由有三:


首先,数据资产评估监管横跨多个部门,须依靠各部门合作共同制定监管准则,仅靠评估行政管理部门力有不逮。其次,我国大数据技术、数字经济发展并不均衡,有的地区评估行政管理部门有能力对数据资产评估进行监管,但大部分并不具备监管能力。最后,评估行业协会可以定期对会员出具的评估报告进行检查,但并不适用于数据资产,因为其中有可能涉及个人隐私、国家安全的数据资产。


数据资产化的法律路径


(一)数据资产化的法律原则


1.数据资产产权二元界定原则


各国都在尝试给数据确权,但并不成功。例如,欧盟的《一般数据保护条例》和欧盟《非个人数据自由流动框架条例》试图确立“个人数据”和“非个人数据”二元确权模式:“个人数据”权利归属于自然人,“非个人数据”企业享有生产者权。而事实上数据组合性非常强,即使能区分出个人数据与非个人数据,价值也大打折扣。美国数据确权的思路与欧盟不同,采取了实用主义路径,将个人信息及隐私数据置于传统的“信息隐私权”保护框架下,鼓励数据流通,利用技术手段赋能数据确权。我国可以参考美国的做法,在数据安全与隐私保护框架之下,建立一个清晰、简单的数据产权界定原则。


本文第一部分结论中提到,数据资产是“组织拥有或控制”,“拥有”法律上可对应所有权,“控制”即控制权。从控制权的权利来源看,可分为基于所有权的控制权和基于合同的控制权,与此对应的是数据资产的所有权控制模式和合同控制模式。所有权控制模式的产权最饱满,所有者可以占有、使用、收益和处分数据资产,所有者拥有绝对的排他性控制权,拆分出任何一项权利,都可形成对应的产权。源自合同的控制权模式较为复杂,产权取决于合同内容,并且不以占有数据资产为必要条件,权利与所涉数据资产可能分离。


例如,企业对数据资产没有所有权,但企业有允许其他企业使用该数据资产的权利,那么该企业对数据资产享有一定的产权,权利与客体可以分离。笔者认为无论企业采取何种控制模式,无论数据多么复杂,最终产权均来源于所有权或合同权利,可以通过分析控制数据资产的权利来源,界定数据资产的产权,至于其中涉及的数据安全与隐私问题可以通过其他方式解决。


2.数据资产评估的价值贡献原则


传统无形资产价值的评估基本方法是市场法、收益法、成本法及其衍生方法,应用于数据资产评估存在一定的局限性:


第一,市场法是以存在活跃的市场为基础的一种评估方法。虽然我国贵州、江苏多地成立了数据资产交易所,但交易平台尚不成熟,没有进行大量的、全面的资产交易,数据资产交易市场并不活跃。第二,收益法是以无形资产收益可预测性为基础的一种评估方法。数据资产收益有时无法衡量,比如智能交通数据,通过行人、车辆的实时定位数据分析交通畅通、拥堵情况而发挥价值,对提高交通效率的经济收益不能准确预测。数据资产在不同场景下贡献的收益不同,全面计算或者预测收益难度比较大。第三,成本法是以无形资产重置成本为基础的一种评估方法。数据资产一般为生产经营中的衍生产物,没有对应的直接成本,且间接成本不易分摊。例如,用户在百度搜索引擎中留下的查询信息等数据,集成的成本分散于网站建设、运营、推广等一系列成本中,难以推算分摊比例。


针对三种基本评估方法存在的问题,中国资产评估协会于2019年12月31日发布的《资产评估专家指引第9号——数据资产评估》(以下称《资产评估9号》),试图根据数据资产非实体性、依托性、多样性、可加工性、价值易变性等基本特征、一些行业数据特征和数据资产商业模式,对市场法、收益法和成本法的使用进行变通。《资产评估9号》将影响三种基本评估方法的因素量化为系数,本质上仍将数据资产视为静态资产,没有摆脱传统资产评估思路,想要尽可能“固定”资产,以便评估或交易。但数据资产是一种关联性极高的动态资产,独立评估相对比较困难,可以通过计算数据资产对最终经济价值的贡献,来推算数据资产的价值。


3.数据资产的安全保护原则


数据资产安全保护原则贯穿于数据资产化全过程,主要涉及两类主体的安全保护义务:一是数据资产控制者。现实中控制的方式不同,采取的安全保护措施不同,但安全保护义务内容是一致的,即为数据资产提供必需的、持续的安全环境,避免数据资产受到非法侵害,发生安全事故。二是数据资产评估机构和交易所。鉴于数据资产的可复制性,评估机构和交易所自接触数据资产之日起,至数据资产评估及交易记录或档案删除时为止,应负有相应的安全保护义务。另外,数据资产安全保护原则可以进一步细化为数据资产分类分级安全保护原则,依据数据行业性特点和安全级别采取不同的安全保护措施,建立数据内部安全管控和外部安全监管体系,否则仅靠数据资产流通过程中的安全保护很难达到好的效果。


(二)数据资产化的基础法律制度


数据资产化是数字经济发展到一定阶段的必然结果;法律对数据资产化的影响巨大,可以加速、减慢,甚至阻碍数据成为合法资产。法律的作用在于提供一个良性循环的、合理引导的数据规范体系。数据从收集到集聚成“数据池”成为资源,再到成为数据资产,在市场中交易、共享、开放等,法律可为其提供合法合规路径,让市场主体有规可循、有法可依,共同建立一个规范的、可持续发展的数字经济体系。因此,我们完善和构建数据资产化法律保障体系时,应从数字经济发展规律的宏观视角,思考数据成为合法资产到底需要什么样的法律保障,或者什么样的法律规范体系可以支持、引导与规范数据资产化过程。


1.完善数据资产产权保护制度


如前所述,数据资产产权界定建立在数据产权清晰、明确的基础上,但数据确权规则一直存有争议,尚未定论。从数据资产化的角度看,笔者认为数据可以采取分类确权方式,将单个数据分为基础数据和衍生数据。所谓基础数据是指已识别或可识别自然人的各种信息,不包括匿名化处理的信息,基础数据归自然人所有,基础数据因受限于个人隐私等权利的限制,很难进行资产化。企业可以依据收集合同或服务合同获得利用自然人基础数据的权利,利用过程中产生的“非识别性”数据为衍生数据,所有权归数据处理者,衍生数据大量积累后可以形成原始数据资产。


但基础数据与衍生数据的分类方式不适用于政务数据或公共数据,政府为了公共管理收集、存储、使用、加工、传输、提供、公开、共享涉及的各类自然人、企业数据,除非特殊规定,否则属于政府所有,形成的数据资产也有别于企业数据资产。


笔者认为应在数据确权规则基础之上,依据数据资产产权界定原则,建立数据资产产权保护制度。具体建议如下:


第一,数据资产产权确定规则。原始数据资产产权的权利最为饱满,体现为所有权。在不侵害自然人基础数据所有权的基础上,企业对衍生数据及匿名化处理的自然人基础数据所形成的数据资产拥有所有权。数据资产流通中产权界定依赖于合同中的权利内容,但该权利内容必须体现为一定的经济价值或财产性,才可能形成新的产权。


第二,数据资产产权保护措施。前文提到由于数据资产与无形资产的区别,不能直接套用无形资产产权保护方式。《著作权法》《商标法》《专利法》中的申请、注册、登记等保护措施不适用于数据资产,数据资产不具备类似知识产权的专属性。笔者认为依据产权二元界定原则,可以采取两套产权保护措施:


一套是原始数据资产。权利来源于所有权的数据资产可以采用备案的方式保护,具体设想是初始收集、处理数据的企业,在预期会发生一定量级的数据聚集时,应向数据行政管理部门提交业务模式、收集数据范围(必要且合理)、数据安全与隐私保护方案等基础材料进行备案。随后每个季度提交关于数据资产变化的季度报告,每个自然年度提交年度报告,持续报备数据资产情况。


另一套是流通数据资产。权利来源于合同的数据资产可以进一步分为交易所流通和其他方式流通:交易环节由交易所调取原始数据资产备案资料审查,根据交易双方提交的交易对象、目的、技术、安全与隐私保护方案等基础材料,判断交易是否存在侵害个人、企业、社会和国家利益等情况。如果没有发现侵权及安全问题,达成交易后交易所留存所有与数据资产相关的基础材料。购买数据资产一方,应向数据行政管理部门履行备案手续,其中特别说明数据资产来源情况。其他流通方式须向数据行政管理部门备案,提供数据安全检测与隐私数据合规评估报告,数据资产交易双方基本信息和用途、技术保障等信息。


第三,数据资产产权保护限制。对数据资产产权的保护不是绝对的,必要时可以限制。一是个人信息安全与隐私权保护。个人信息泄露及不当利用,易引起个人隐私侵害、电信诈骗等衍生违法犯罪行为,导致自然人人身财产权利受到侵害。因此,数据资产产权的合法性必须建立在充分保护个人信息安全及隐私的基础上。二是合理利用与社会公共利益。只有合法、合规、合理开发、利用数据所形成的产权,才受法律保护,以不减损社会公共利益为衡量标准。三是特殊数据资产产权的限制。例如,能源数据安全直接影响国家能源安全,能源数据资产产权属于国家或国有部门所有,不再遵循一般的数据资产产权确权规则。


2.完善数据安全与隐私法律保护制度


数据安全检测可以评估数据资产是否处于有效保护和合法利用状态下,数据控制者是否具备提供持续安全状态的能力,解决数据资产化过程中的安全与隐私问题。对此,具体建议如下:


第一,数据安全检测机构。虽然数据安全检测、评估、认证工作与以往的网络安全检测技术、评估与认证标准等不同,但从实际情况看,国家公布的网络关键设备和网络安全专用产品安全认证及安全检测任务名录中的机构,有丰富的安全检测工作经验与严格的内部管理,相较于成立专门的数据安全检测机构而言,扩充这些机构的工作范围,更有利于我国快速建立数据安全检测、评估及认证体系。


第二,数据安全检测程序。当一家企业控制的数据达到一定规模后,可以主动向国家批准的数据安全检测机构申请检测、评估与认证,取得数据安全合格评估报告。该报告是数据资产合法合规的证明材料之一,也是数据资产价值评估的前提。如果在安全检测过程中发现数据安全存在重大泄露、入侵等风险,安全检测机构有义务通知、监督企业完善数据安全保障相关工作。如果企业拒不采取措施,检测机构可以出具数据安全不合格评估报告,一旦被认证为不合格,企业使用数据资源将受到相关的限制。


第三,数据安全问题处置。发现数据被非法利用,可能涉及重大数据安全事故,可以根据安全事故级别采取相应的应急处置,对企业采取罚款、吊销营业执照等行政措施,给其他自然人及企业造成的损失应当赔偿,涉及违法犯罪的可以追究法定代表人等主要责任人的刑事责任。


另外,从流通角度看隐私数据收集、存储、利用是否合规,可进行外部机构评估。具体建议如下:


一是隐私数据合规评估机构。由数据资产交易所和评估机构对隐私数据追踪,评估企业收集、存储、利用、开发自然人基础数据和相关衍生数据过程中,是否侵害个人隐私权。隐私数据合规是数据资产合法流通的前提,只有数据控制者充分履行了隐私数据保护义务,才允许其进行数据资产交易、共享或公开。因此,不宜将隐私数据合规评估设定为资产评估的前置程序,但可以将其设置为流通的前置程序,防止数据资产流通后没办法对侵害隐私的行为追责。


二是违法责任。隐私数据合规评估中发现存在一般侵权情形,可以责令数据控制者停止侵害、合规处置。若发现数据控制者严重侵害自然人隐私权,尤其是未成年人的隐私,数据资产交易所或评估机构可以报警处理,履行监督职责。


3.建立数据资产企业会计准则制度


笔者认为可以创建《企业会计准则第43号——数据资产》,规范数据资产的确认、计量和相关信息披露。具体建议如下:


第一,数据资产的确认。鉴于数据资产的虚拟性、附着性,价值受数据技术影响较大,暂时无法可靠计量其全部成本,数据资产的确认条件可以设置为:(1)与数据资产有关的经济利益可能流入企业;(2)数据资产安全与隐私保护相关的成本能够可靠地计量,数据资产价值可评估。


第二,数据资产的计量。自行收集的数据资产,成本包括:(1)数据资产收集、存储、利用所必需的硬件、软件、技术开发及维护等费用;(2)数据资产备案所需费用;(3)数据安全检测报告、隐私合规评估报告等费用;(4)其他必要费用。购买数据资产的成本,“包括购买价款、相关税费以及直接归属于使该项资产达到预定用途所发生的其他支出”。企业可以采取反映数据资产预期实现经济利益方式的数据资产摊销方法。后续计量中可以预计数据资产有效使用时间或使用次数,其摊销金额在有效期内合理摊销,摊销金额为其成本扣除预计残值的金额,预计数据残值为零、无法确定有效使用时间或使用次数的数据资产不做摊销。


第三,与数据资产相关的信息披露。数据资产相关信息披露内容主要为:(1)数据资产期初和期末账面余额、累计摊销额及减值准备累计金额;(2)数据资产有效使用时间、使用次数的估计情况,有效期间不确定的数据资产,要说明不确定的依据;(3)数据资产的摊销方式;(4)用于担保的数据资产账面价值、当期摊销额等;(5)计入当期损益和确认为数据资产的安全保障支出金额。


4.建立数据资产流通法律制度


本部分笔者探讨的是,数据资产有对价的市场流通规则,不讨论无偿的政务数据公开等情形。数据资产市场化流通,主要涉及三个环节:


第一,数据资产评估。首先,设立独立、专业的数据资产评估机构。鉴于数据资产的复杂性和专业性,不宜再由传统资产评估机构进行评估,可在数据行政管理部门下设立数据资产评估机构,并选拔、培训、考核专业的数据资产评估人员。其次,提供与数据资产评估相关的服务。数据资产评估机构不仅可以提供资产评估服务,还可以提供隐私数据合规评估服务,及其他与数据资产评估相关的衍生服务。最后,围绕数据资产价值贡献模式设计多样化的评估方法。数据资产利用方式不同,所产生的经济效益自然不同,可以根据贡献方法,评估出数据资产的实际经济贡献比例、金额,并以此为依据确定资产评估价格。


第二,数据资产流通。我国建立数据资产流通市场,可以采取交易所流通模式,设想如下:一是资产交易场所。可以根据地区、行业数据资产情况设计,采取撮合交易或公开竞价等流通规则。二是流通安全审查。数据资产可能涉及个人隐私、商业秘密、国家安全,交易所需要审查交易相对方是否具备管理数据资产的能力,能否为数据资产提供持续安全保护。此外,要重点审查交易相对方股东情况,是否存在特殊数据资产出境风险。三是资产流通备案。无论是交易、共享、允许访问,只要数据资产控制权发生了实质性变化,都需要办理备案手续,具体可以包括两个方面,一方面是流通手续备案,包括但不限于流通合同、交易双方基本情况、合同履行情况、待完成的合同义务等信息;另一方面是获取方要履行数据资产备案手续,并持续报告资产利用、变化等情况。


第三,法律责任。数据资产流通中,交易所只作资料审查,不作实质性审查,一旦发现流通双方提交材料存在虚假记载、误导性陈述和重大遗漏的,交易所可以通知提交者补正资料,如果拒不补正,交易所有权拒绝该数据资产交易备案。如果审查时交易所发现流通方存在重大违法犯罪事实,交易所可以与数据行政管理部门启动联合追责程序,追究相关主体的法律责任。


法律责任可以进一步分为财产性责任和安全性责任。所谓财产性责任是指数据资产流通双方提供虚假、伪造的证据材料,仅是为了经济利益,可以根据双方过错情况,确定赔偿责任。如果发现流通双方非法利用数据资产、侵害自然人隐私、数据流出境外等危害个人、社会及国家安全的情况,交易所、数据行政管理部门可以联合其他相关部门,启动应急处置,追究当事人的民事、行政和刑事责任。另外,数据安全检测机构、评估机构提供虚假文件的,应承担相应的法律责任。


5.建立数据资产市场监管制度


以往我国网络信息安全治理采取的是“主体责任+监管责任”的治理框架,《数据安全法》沿用了这一框架。其中第6条体现了我国数据安全监管职责的垂直监管职责划分,涉及各地区、各部门,工业、电信、交通、金融、自然资源、卫生健康、教育、科技等多行业和社会领域。


数据资产市场监管思路可以参照网络信息安全、数据安全的监管,采取垂直监管模式,具体建议如下:


(1)数据行政管理部门。该部门可以作为数据资产市场主要监管部门研究、制定、颁布数据资产市场管理办法、数据资产流通管理办法等规范性文件,引导数据合法合规资产化,规范数据资产流通方式。(2)数据资产交易所。数据资产达到一定规模,为了保障个人信息安全、社会公共利益、国家安全等,应在数据资产交易所完成流通,交易所履行安全等监管职责。(3)数据资产安全检测机构。该机构负责对数据资产存储、利用环境的安全检测、评估、认证工作,除此之外履行安全监管职责。如果数据控制者没有拿到安全检测机构的合格评估报告,数据资产不能进行资产评估和流通,安全检测报告是数据资产计入企业财务会计报表的前提。(4)数据资产评估机构。表面看资产评估机构仅从事价格评估,但数据资产价格受很多因素影响,比如隐私数据是否合规、数据资产价值贡献模式。评估机构为了准确评估,解决其他问题时,担负着一定监管者的职责,如果发现数据控制者侵害自然人隐私权、数据资产被非法利用等情况,可以采取一定的措施。


结语


如果数据资产化以数据资产被记入企业资产负债表为成功标志,从表外到表内的背后是一个漫长的大数据发展史。伴随互联网、云计算、元宇宙、算法等技术的发展,数据量呈爆发式增长,再沿用以往个人信息或个人数据的利用与保护思维,有悖数字经济发展趋势。


数据已经成为一类基础生产要素,不能再视为管理系统的“衍生物”。我国数据增长速度惊人,作为一种宝贵资源,如果不能资产化,一方面会阻碍数据要素进入经济的深度,“数据孤岛”将可能普遍化,数据效能会大打折扣;另一方面不利于解决因数据海量增长而引申出的数据隐私和安全保护问题。因此,尽快解决数据资产化的法律障碍,对促进数字经济发展至关重要。


编者按



  • 数据权利的制度构建


数据作为新型生产要素,是数字化、网络化、智能化的基础,已快速融入生产、分配、流通、消费和社会服务管理等各环节,深刻改变着生产方式、生活方式和社会治理方式。数据基础制度建设事关国家发展和安全大局。为此,中法评本期专论聚焦数据权利的制度构建。


中共中央、国务院《关于构建数据基础制度更好发挥数据要素作用的意见》提出的数据资源持有权、数据加工使用权、数据产品经营权三权分置是我国数据财产权设计的最新顶层方案,但其法律意蕴尚未阐明。对外经济贸易大学法学院副教授许可《从权利束迈向权利块:数据三权分置的反思与重构》一文认为,“数据三权分置”正确舍弃了权利球模型,在权利束进路下形成了“新三权”(数据排他权、许可权、处分权)。但更为妥当的权利块理论,立足于公共数据和非公共数据的二分,以及数据控制者与其他任何人、与数据流通相对方、与法定第三方、与国家等四种关系,在尽可能涵盖多元主体、多元利益的同时,化解了开放权利束难题,并以结构化方式有效应对不同权利间的交叠与冲突,大幅降低数据交易流通的制度成本,最终构建了与我国一系列数据法律制度无缝衔接的数据财产权体系。


中南财经政法大学知识产权研究中心专职研究员刘鑫《企业数据知识产权保护的理论证立与规范构造》一文主张,保护对象的一致性和运行机制的契合性构成了企业数据知识产权保护的合理性基础。制度实施的充分法律经验和客体引入的立法成本优势则形成了企业数据知识产权保护的可行性依据。但是,现行制度在保护范围与方式上的局限性却引发企业数据知识产权保护的解释论困境。对此,须通过构建专门性企业数据知识产权规则的立法论探索加以克服。在此基础上,为进一步实现企业数据知识产权保护的体系化,还应从企业数据的应用场景出发,建构全链条的知识产权保护架构,并通过公、私法规范的高效互动,协调好企业数据知识产权保护与个人数据保护、数据安全保障之间的关系,形成多元共治的规范体系。


《中国互联网发展报告2022》指出,2021年中国数字经济规模达45.5万亿元,总量稳居世界第二。数据资产化需求与日俱增,但数据资产化面临产权规则模糊、数据安全与隐私法律保护不足、数据资产会计准则依据和数据资产评估法律规范缺失等法律障碍。华北电力大学人文与社会科学学院副教授刘冰的《论数据资产化的法律障碍及破解路径》一文,针对数据资产化面临的法律问题,认为可依据数据资产产权二元界定原则、资产评估价值贡献原则和数据资产安全保护原则,创建保障数据顺利资产化的基础法律制度,完善数据资产产权保护制度和数据安全与隐私法律保护制度,建立数据资产企业会计准则制度、数据资产流通法律制度和数据资产市场监管制度。



点图即可购刊包邮

《中国法律评论》

基 本 信 息

定价:408.00元

出版:法律出版社

期刊号:CN10-1210/D

出版时间:2022年

册数:全年6册装


点击上图即可购买

2023年《中国法律评论》(全六册)



点击阅读原文,即可购刊包邮~


中国法律评论

我刊由中华人民共和国司法部主管、法律出版社有限公司主办。国家A类学术期刊,中文社会科学引文索引(CSSCI)来源期刊,中国人文社会科学期刊AMI综合评价核心期刊。我刊秉持“思想之库府,策略之机枢”之理念,立足于大中华,聚焦中国社会的法治问题,检视法治缺失与冲突,阐释法律思想,弘扬法律精神,凝聚法律智慧,研拟治理策略,为建设法治中国服务,为提升法治效能服务,为繁荣法学服务。



《中国法律评论》投稿邮箱:

chinalawreview@lawpress.com.cn

中法评微信公众号投稿邮箱:

stonetung@qq.com


刊号:CN10-1210/D.

订刊电话:010-83938198

订刊传真:010-83938216

继续滑动看下一个
中国法律评论
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存