数据资产合规全景解读

数据资产法律合规全景解读——基于数据资产登记、交易和入表马清泉律师•《中小企业合规管理体系有效性评价》•《数据经纪人服务质量管理体系实施指南》数据资产的政策法规与未来趋势分析•要构建以数据为关键要素的数字经济。•促进数据高效流通使用、赋能实体经济，统筹推进数据产权、流通交易、收益分配、安•发展新质生产力是推动高质量发展的内在要会议/文件主要内容首次将数据纳入生产要素范畴，与土地、劳动、资本、技术等《关于构建更加完善的要素市场化配置体制机制的意见》正式把数据作为生产要素单独列出，提出要加快数据要素市场强调要建立健全数据要素市场规则，加快建立数据流通交易等《关于构建数据基础制度更好发挥数据要素作用的意见》提出要建立合规高效、场内外结合的数据要素流通和交《企业数据资源相关会计处理暂行规定》正式确定并规范企业数据资源相关会计处理，强化相关信息披《“数据要素×”三年行动计划（2024-通过推动数据在多场景应用，提高资源配置效率，创造新产业●数据●《数据安全法》第三条：本法所称数据，是指任何以电子或者其他方式对信息的记录。●资产：●财政部《企业会计准则——基本准则》(2014)规定：“资产是指企业过去的交易或者事项形成的、由企业拥有或者控制的、预期会给企业带来经济利益的资源。”●数据资产：主体合法拥有或者控制，能持续发挥作用并且能带来直接或者间接经济利益的数据资源。●合规●《中央企业合规管理办法》第三条：本办法所称合规，是指企业经营管理行为和员工履职行为符合国家法律法规、监管规定、行业准则和国际条约、规则，以及公司章程、相关规章制度等要求。●数据合规●企业及其员工对于数据处理的行为需符合国际条约、国内法律法规规章、其他规范性文件、行业准则、商业惯例、社会道德以及企业章程、规章制度的要求。●2022年12月19日，中央全面深化改革委员会第二十六次会议审议通过的《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》（简称“数据二十条”）正式对外发布。“数据二十条”中出现关键词：●“依法”24处●“合规”16处●本规定适用于：1.企业按照企业会计准则相关规定确认为无形资产或存货等资产类别的数据资源；2.企业合法拥有或控制的；3.预期会给企业带来经济利益的；4.但由于不满足企业会计准则相关资产确认条件而未确认为资产的数据资源。数据资产安全、个人信息保护与数据资产开发利用的关系。据资产化；对可开发利用的数据，支持合规推进数据资产化，进一步发挥数据资产价值。的相关权益。理和公共服务职能的组织（以下统称公共管理和服务机构）将其依法履职或提供公共服务过程中持有或控制的，预期能够产生管理服务潜力或带来经济利益流入的公共数据资源，作为公共数据资产纳入资产管理范畴。行政法规规定的权限、程序进行，不得超出履行法定职责所必需的范围和限度。法律《网络安全法》《个人信息保护法》《数据安全法》《民法典》《刑法》行政法规《政府信息公开条例》《关键信息基础设施安全保护条例》《未成年人网络保护条例》《商用密码管理条例》规章《汽车数据安全管理若干规定（试行）》《数据出境安全评估办法》《生成式人工智能服务管理暂行办法》地方层面地方性法规《上海市数据条例》《深圳经济特区数据条例》《河北省数字经济促进条例》地方规章《上海市数据交易场所管理实施暂行办法》其他文件纲领性文件《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》标准实施文件《工业数据分类分级指南（试行）》《网络安全标准实践指南——网络数据分类分级指引》《数据安全法》《网络安全法》《个人信息保护法》《网络安全审查办法》《民法典》《数据安全法》《网络安全法》《个人信息保护法》《网络安全审查办法》《个人信息出境标准合同办法》《个人信用信息基础数据库管理暂行办法》《个人信息出境标准合同办法》《个人信用信息基础数据库管理暂行办法》《信息安全技术人脸识别数据安全要求》《关于银行业保险业数《数据出境安全评估办法》《个人金融信息保护技术规范》《车联网信息服务数据安全技术要求》《电力行业网络安全管理办法》《汽车数据安全管理若干规定》数据资产登记的实施流程与合规风险●数据产品是一种将原始数据经过一系列处理流程，转化为具有特定功能、价值和应用形式的信息服务或工具。●数据产品是数据资产价值实现的核心载体，通过将数据转化为易于理解、使用便捷且具有实用价值的信息，为用户在决策支持、业务优化、市场分析、科研创新等方面提供有力支撑。●数据产品的形式可分为产品和服务，前者如数据+算法+服务终端，后者是实现数据交付服务，如APP、网页查询、API、SaaS、VPN等。●数据资源形成数据产品需要明确数据服务对象（内部客户、外部客户）、进行数据加工处理以及数据产品的设计。●数据加工处理包括标签化、建立数据模型、文本处理、自然语言处理（NLP）或图像/声音处理等，根据特定需求，进行数据解析配置、建立主题库和服务终端等工作，最终形成“封装”的数据产品。1.数据的来源2.数据的性质3.数据的使用4.法律法规5.数据非排他性1.关于公司的基础背景调查2.关于公司的数据安全能力3.数据产品来源合法性4.数据产品内容合规性5.数据产品的可流通性核心数据/重要数据/一般数据/个人信息/个人敏感信息。数据产品本身及其核心数据/重要数据/一般数据/个人信息/个人敏感信息。数据产品本身及其数据产品所使用的数据性质据风险别公司的数据风险数据产品不属于法律禁止获取、持有和对外提供的数据行业数据产品应用行业类型数据产品不属于法律禁止获取、持有和对外提供的数据行业数据产品应用行业类型数据产品主要服务应用场景数据产品主要服务应用场景数据处理与建模数据处理与建模数据资产交易的架构设计与合规风险第一波：2015-2017●国务院印发《促进大数据发展行动纲要》，提出“引导培育大数据交易市场，开展面向应用的数据交易市场试点”。●代表：贵阳大数据交易所、上海数据交易中心、华东（江苏）大数据交易平台第二波：2019年-至今●党的十九届四中全会，首次明确数据作为生产要素之一●代表：北京国际大数据交易所、上海数据交易所●2021年3月31日，北京国际大数据交易所成立●建立集数据登记、评估、共享、交易、应用、服务于一体的数据流通机制●2021年11月25日，上海数据交易所成立●建立数商新生态●覆盖数据交易主体、数据合规咨询、质量评估、资产评估、交付等多领域●供需双方场外一对一的对接●垂直行业领域内市场主体之间●行业上市下游、跨行业（可绕开数据交易平台）●数据服务商开展一对多的数据交易活动●自有数据、网络爬虫采集数据●建立自身数据交易销售渠道●提供数据解决方案、数据集、定制服务●数据堂、企查查、天眼查●“数据黑市”●“买料”：买数据●“料商”：贩卖数据的人●2017年，黑产人员150万人，2021年，近200万人成立时间机构地区成立时间机构地区●基础性要求●《数据安全法》●《民法典》●《个人信息保护法》●专门性要求●《上海市数据条例》●《深圳经济特区数据条例》●标准性要求●《信息技术数据交易服务平台交易数据描述》●《信息技术数据交易服务平台通用功能要求》●《信息安全技术数据交易服务安全要求》•交易主体可信•交易目的特定•交易记录可查•交易范围可控•交易主体可信•交易目的特定•交易记录可查•交易范围可控•提升安全保护措施•数据安全专员管理•落实安全风险评估•安全事件及时响应•数据来源合法•数据权利共存•数据权利有限•增值处理利益保护•个人信息收集使用告知同意•个人信息他用用户可选择退出•个人信息使用匿名化处理•脱敏信息禁止再识别•数据交付安全机制•交付数据安全保障•数据交付安全机制•交付数据安全保障•数据包模式•API模式•数据托管模式•禁止交易数据类型•个人信息数据交易•交易数据质量要求•数据供应方•数据需求方•数据交易平台•数据交易服务机构数据提供方•确保目标数据来源合法且可交易•确认双方的必要资质•合理确定需求方使用数据的约束条•确保数据交付的安全合规数据需求方•遵守交易合同约定•数据用途、使用限制•确认资质、合法来源数据交易平台•合规监管职责•目标数据来源•交易双方身份主要模式●数据包模式●传统商品买卖交易模式●数据原始性、完整性校验●API模式●在线数据的许可使用●开放应用程序接口（API接口）●数据使用权可持续、数据共享●数据存储设备软硬件稳定性要求高●数据托管模式●贵阳大数据交易中心、浙江大数据交易中心●约定的交付环境●托管平台收取费用合规义务●数据包交付模式●数据脱敏处理●个人信息、商业信息、国家社会利益数据资源不可直接交易●API模式●网络安全隐患●身份认证、未授权访问●数据篡改、敏感数据泄露●防火墙、白名单、加密传输通道●数据托管模式●遵循交易平台的使用规则•《数据安全法》：•收集、存储、使用、加工、传输、提供、公开等。•《个人信息保护法》：•收集、存储、使用、加工、传输、提供、公开、删除等。•数据处理的链条即可视为数据生命周期的内涵。l数据传输范围合规环节一：存储中的数据环节一：存储中的数据环节三：使用中的数据l数据接收方适格性l存储行为的合规l存储期限的合规l存储地点的合规环节二环节二：传输中的数据使用数据的目的和范围合规使用中数据的质量监控机制技术伦理与法律规范，算法合规●●交易主体调查●数据资产调查●数据全生命周期调查●数据合规制度调查●数据安全隐患调查数据资产入表的财务逻辑与合规风险•2023年8月，财政部印发《企业数据资源相关会计处理暂行•数据资产入表的专业术语是数据资产会计核算。在《暂行规定》出台之前，很多企业的数据产品研究和开发阶段所产生•在无形资产或者存货项目下面，以“其中：数据资源”二级对无形资产、存货的数据资源相关会计信息进•《暂行规定》最大的亮点是强调数据资源相关信息披露。从数据资产入表的角度看，基础会计工作的重要性体现在以下几个第一是审慎的从成本的角度梳理数据资产的规模，一方面提升全社第二是提高企业数据资产信息披露的质量，企业可以通过梳理内部满足资产确认条件、真正有发展潜力的数据产品来提高数据资产的第三是提升报表质量，减少数据要素型企业与投资者之间信息不对称，进一步推进数据资产创新应用，帮助企业吸引投资、优化财务《暂行规定》的出台将影响拥有大量“数据资源”的行居民用水、航天、交通、卫生、地理信息系统等企业，也包括对数据有需求的金融、地产、工业制造业•《会计处理暂行规定》将“入表”的数据资源进一步区分为“企业使用的数据资源”和“企业日常活动中持有、最终目的用于出售的数据资源”两类，并分别规定了两类数据资源适用的会计处理准则。无形资产/存货无形资产/存货区分计入“无形资产”还是“存货”案例A：传统药品零售企业转型为医药O2O电商平台，在销售药品的同时，提供健康服务的附加服务（用药指导、寻医问药等拉近“人、货、场“的温度，打造线上线下产业化新零售生态。需要药品-病症之间的关系数据，满足以药品查病症、用药指导、顾客画像、以病找药等需求。案例B：某快递公司，通过收集收派员、个人用户、企业客户、楼盘/社区信息等海量数据形成自己的数据资源，将数据资源卖给商家，让商家利用大数据技术基于地理位置的商业环境进行分析，结合小区的属性特征，更清楚掌握消费者购买偏好和人群画像信息，更好的进行O2O运营、精准营销，定位目标客户。数据合规：数据来源合规、数据内容合规、数据处理合规、数据流通合规、数据管理合规、数据经营合规、数据披露涉及数据资产体系、数据资源目录、数据资产账户、数据资产血缘分析、数据在披露方面分为强制披露与自愿披露，涉及所有权、使用权、数据资源研究开发支出，以及数据资源应用场景与业务数据资源化该阶段是将无序、混乱的原始数据开发为有序、有使用价值的数据资源，包括数据采集、整理、分析等行数据资产化该阶段指基于应用场景及商业目的，将数据资源进行加工，形成可交易的数据产品。通过在该阶段拥有场 数据资本化 该阶段即数据资产化阶段发展后期，数据资产被进一步赋予金融属性。数据资本化主要有两种方式，即数信息属性：数据名称、数据结构、数据规模、数法律属性：授权主体、权利路径、权利类型、权价值属性：覆盖地域、所属行业、应用场景、数成本因素：前期费用、直接成本、间接成本、机场景因素：使用范围、商业模式、市场前景、财市场因素：交易市场、活跃程度、市场参与者、质量因素：数据准确性、一致性、完整性、规范关于数据资产法律风险合规应对建议02技术能力评估操作审计个人信息保护技术工具数据识别接口安全管理02技术能力评估操作审计个人信息保护技术工具数据识别接口安全管理数据防泄漏01基础性评估01基础性评估组织建设组织建设机构人员制度保障权限管理安全审计合规评估教育培训合规文化分类分级合作方管理应急响应举报投诉数据合规官数据合规官制度流程制度流程人员能力人员能力数据存储03数据全生命周期评估数据存储03数据全生命周期评估数据采集数据采集数据使用数据使用数据传输数据传输数据销毁数据共享数据销毁数据共享合规行合规行为准则数据合规义务风险诊断数据合规风险数据合规风险识别评估数据资产盘点与审查制定完善数据合规制