2023 年 8 月 22 日，財政部《企業數據資源相關會計處理暫行規定》全文正式發布，自 2024 年 1 月 1 日起施行。2024 年被稱為數據資產入表元年，在中國數字經濟發展中將占有里程碑地位。2024 年度伊始，各行業越來越多的企業將所持有的數據資源確認為資產并計入資產負債表，爭做本行業、本地區的數據資產入表“第一單”，各種促進數據資產入表的舉措也在迅速落地。而對于數據資產入表后的金融等創新利用，也在不斷地實踐中。“入表”是會計核算的通俗叫法，會計準則又屬于國家社會規范的重要組成部分，因此數據資產的合規化使用路徑問題是我國數字資源價值挖掘和實現的關鍵。從市場主體角度，與傳統資產類型相比，數據資產具有依托性、衍生性、易變性、可復制、可加工、可共享等特性，數據資產合規入表將推動公司價值的驅動邏輯發生根本性變化。《暫行規定》的出臺無疑是一件對企業具有重要和深遠意義的大事，其時代背景是隨著大數據等信息技術、互聯網等基礎設施的不斷演進，數字經濟和產業得到飛速發展，并持續推動生產方式、生活方式和社會治理方式的深入變革，數字產業化和產業數字化日趨成為新技術、新業態、新模式發展的新動力。企業會計準則是會計領域的一項基礎制度安排，制定數據資產入表《暫行規定》是貫徹落實黨中央、國務院關于發展數字經濟的決策部署的具體舉措，也是以專門規定規范企業數據資源相關會計處理發揮會計基礎作用的重要一步。推進 企業數據資產入表不是最終目的，但是數據資產入表將促進中國企業數字化轉 型，主動擁抱數字經濟，可謂牽一發而動全身。鑒于數據資產入表是一個全新的探索，因為數據本身特殊性而產生的很多問題尚存在不同觀點，也沒有域外的豐富經驗可以借鑒，因此數據資產入表需要一定的探索時間，同時對數據資產入表基礎上的金融化利用也存在一些風險的擔憂。對于這些問題，我們認為核心關鍵是如何確認數據資產的應用場景和發揮價值以及數據交易真實可信可追溯和驗證、合規確權、成本計量可靠，如果數據資產經得住這些維度的推敲，則入表本身和傳統資產的入表沒有本質區別；而在此底層資產基礎的金融化利用則是水到渠成，相應的也能夠經得住推敲，且能夠將數據資源的流通利用形成閉環。實現這些目標，需要制度設計+技術方案+法律合規三位一體的努力，需要加快數據權屬的立法等制度設計，確保管理層面有依據；需要通過區塊鏈記錄交易和交易的價格、通過技術手段驗證數據資源的流通可信，做到技術層面有工具；需要做好數據合規確權工作，確保法律層面有證據。

在現行企業會計準則的邏輯下，數據資產入表有兩條確權路徑：

一是證明企業合法擁有擬入表的數據資源，但這在數據權屬制度缺失的當下有一定困難；

二是證明企業合法控制擬入表的數據資源，系當前數據資產入表的可行路徑，但是與企業數據合規密切相關。

數據資產入表需以數據合規基礎上的確權為基礎和前提。也即，在數據資產入表前，無論企業自身或通過中介機構，需對擬入表數據資源進行合規性評估，或稱其為入表合規，其與企業數據合規的關系我們認為可做如下理解：首先，企業數據合規是一段時間內的動態概念，指在企業生產經營過程中一切與數據有關的行為活動均需符合法律法規的要求，而入表合規是企業數據合規中某一時點上的靜態判斷，指在企業進行數據資產入表時對擬入表數據資源進行的合規性評估。其次，企業數據合規是入表合規的事實基礎和判斷依據，入表合規本質上是對數據資產入表這一時點之前企業數據合規的總結和確認，在數據資產入表前如果沒有落實企業數據合規，自然也就不存在入表合規。再次，入表合規系事實判斷，其在特定時點下不能改變和彌補，若對某一數據資源的入表合規作出否定性評價，則只能通過事后企業數據合規的完善來改變其事實前提。例如，一企業提供云服務，在未經授權的情況下即擅自備份客戶儲存在云端的數據，在對其進行處理加工后形成數據產品，并擬將相關數據產品入表。此時該數據產品的入表合規性顯然是否定的，這是由企業在利用相關數據時不符合企業數據合規要求所造成，在這一時點，入表合規的否定評價已成定局，無法改變。但倘若該企業事后獲得了相關數據主體的授權與追認，彌補了相關數據在利用時的不合規瑕疵，此時若再次對相關數據產品做入表合規評估，則會由于事實前提的改變而獲得肯定性評價，符合數據資產入表“合法擁有或控制”的要求。最后，我們認為，企業數據合規主要可以分為數據來源合規、數據處理合規、數據經營合規、數據管理合規，但具體到企業數據資產入表階段，最應當關注的是數據產品的數據來源合規與數據處理合規兩部分。

1. 數據來源合規

目前，企業獲取數據的方式主要有以下幾種：自行生產、公開收集、直接收集、間接獲取等，需要根據不同的收集方式及應用場景，具體認定相關數據來源的合法合規性。

1. 1 自行生產

企業自行生產的數據，即企業在日常經營、科研、生產等活動中產生并收集的數據，如 APP 的日常活躍量數據、企業生產線上的測試數據等。在此種情形下，由于企業獲取數據的過程中不涉及外部收集，故對相關數據的來源合規性進行審查時，可以相對弱化對數據收集手段的審查。但應注意，企業應在數據的產生和收集階段按照法律規定做好數據分類分級，并對不同種類、不同等級的數據采取不同的存儲措施，實施重要數據加密存儲、災容備份和存儲介質安全管理等措施。

1.2 公開收集

公開收集系指企業通過爬蟲、RPA 等技術手段，采集已公開的信息。此種情形下，在審查數據來源合規性時，應重點審查以下方面：

（1） 數據采集不得危害國家安全、公共利益。例如，企業不得采集受監管的數據，包括重要數據、核心數據、國家秘密、情報信息等；企業在采集數據時不得侵入國家事務、國防建設、尖端科學技術領域計算機系統；企業不得非法侵入其他特定組織的計算機系統；企業不得在未經授權的情況下侵入國家關鍵信息基礎設施采集數據。

（2） 數據采集方式需合法、正當。例如，在使用爬蟲采集公開信息時，企業不能違反目標網站的 Robots 協議或突破其設置的反爬取措施爬取數據；企業的數據抓取行為不得干擾目標網站的正常運行；若擬采集的公開數據涉及其他企業商業秘密的，需尊重信息主體的意愿，獲得企業的授權同意。

（3） 數據采集不得損害個人的合法權益，收集和處理個人應具備合法性基礎。

（4） 數據采集的目的應合法正當，不得侵犯他人知識產權、不得涉及不正當競爭。

1.3 直接采集

直接采集系企業通過用戶自主提供或通過自由設備收集的數據。

（1） 通過用戶自主提供數據的，用戶對數據的授權應當完整。例如以APP、小程序、信息表單等方式收集用戶收據的，需要在隱私協議或告知說明中明確收集數據的種類、處理方式及目的等，并獲取用戶的明示同意。以此種方式采集數據的，應重點關注以下內容：

采集的數據涉及個人信息的，需滿足個人信息采集的合法性基礎；

采集的數據涉及未滿十四周歲未成年人的，需取得其監護人的自愿、明確同意；

采集的個人信息數據敏感個人信息的，需取得單獨同意；

采集的數據涉及企業商業秘密的，應取得企業的明示授權同意。

（2） 通過自有設備采集數據的，應重點關注以下內容：

通過委托/租用/購買的第三方設備或自有設備采集數據的，均應確保設備的安全性及數據安全保護能力；

收集特殊領域數據的，需具備相關資質，例如收集道路信息的，可能需要具有測繪資質；

收集的信息涉及個人信息的，應對個人信息進行匿名化處理，或具備其他個人信息采集的合法性基礎。

1.4 間接獲取

間接獲取系指通過協議、共享等方式獲取相關數據，從交易渠道上看，可以分為場內交易和場外交易。場內交易即在各地數據交易所內進行交易，目前，大部分數交所均要求數據產品提供方對數據產品進行合規性評估。以上海數據交易所為例，數據產品需通過第三方專業機構的實質審核及數交所的形式審查 后方能掛牌交易。場外交易的情況下，目前除征信行業等特殊監管行業外，并無強制審查擬交易數據的要求，但對于數據需方來說，若擬將購入的數據確認 為數據資產，應確保其對相關數據的權利不存在瑕疵。無論場內交易還是場外交易，若數據需方擬將購入數據產品確認為數據資產，均應重點關注以下內容：

數據供方的數據來源是否合法、其處理與交易相關數據是否具有相關授權；

數據本身能否進行交易，如核心數據、國家秘密、情報信息、個人生物識別信息原則上不允許交易；

涉及重要數據的，數據供方是否取得相關部門的同意或許可，例如，全國范圍內二十年以上的氣象數據具有一定的敏感性，原則上企業只能從國家氣象局獲得該數據；

特殊需求場景下數據供方是否具有相關資質，例如，金融機構獲取個人信用信息用于征信業務的，數據供方一般需為持牌征信機構。

此外，企業如果是數據的受托處理者的，根據《個人信息保護法》，受托人應當按照約定處理個人信息，不得超出約定的處理目的、處理方式等處理個人信息；委托合同不生效、無效、被撤銷或者終止的，受托人應當將個人信息返 還個人信息處理者或者予以刪除，不得保留。未經個人信息處理者同意，受托 人不得轉委托他人處理個人信息。非個人數據的委托處理，亦應遵循類似要求。

2. 數據處理合規

企業處理數據的一般性合規要求為：合法、正當、必要、保障數據主體權利 。具體來講，應重點關注以下方面：

2.1 數據處理符合授權范圍企業處理數據的范圍應當合理，處理目的應當合法、正當。企業進行數據處理的范圍應為數據主體授權范圍和協議約定范圍，或其公示的使用規則中所承諾的數據處理范圍。企業不得將收集的數據用于非法目的，不得使用非法手段或以非法形式使用數據。若超出前述范圍處理數據，則可能構成民事違約和侵權、行政違法，經企業處理產生的數據產品等也會存在權利瑕疵。

2.2 數據處理行為分類分級管理

企業應建立數據分類分級管理體系，在處理不同類型的數據時，采用相應程度的行為規范和管理制度。尤其是當企業處理的數據涉及個人信息、重要數據、核心數據時，應確保處理行為符合相關規定。例如，企業在處理重要數據、核心數據時，相關數據應存儲在境內，非經批準不得向境外提供；企業處理涉及個人信息的數據時，應滿足《個人信息保護法》第 13 條所規定的合法性基礎。此外，《網絡安全法》第 21 條規定，“網絡運營者應當采取數據分類、重要數據備份和加密等措施”，也即企業應對所存儲的數據按照分級分類的原則，選擇安全性能、防護級別與安全等級相匹配的存儲載體對數據進行存儲和管理，對于國家規定的重要數據、核心數據應采取加密存儲措施。

2.3 建立數據處理配套安全機制

企業在處理數據時，除應符合上述要求外，還應履行《網絡安全法》《數據安全法》及相關法律法規項下對于企業的整體義務。例如，企業在數據處理的過程中應采取技術措施和其他必要措施，保障網絡安全、穩定運行，有效應對網絡安全事件，防范網絡違法犯罪活動，維護網絡數據的完整性、保密性和可用性；企業應建立健全全流程數據安全管理制度，制定內部安全管理制度和操作規程確定網絡安全負責人，落實網絡安全保護責任；建立用戶信息保護制度、網絡信息安全投訴、舉報制度；組織開展數據安全教育培訓。此外，企業還應對數據采取加密、訪問控制及風險處置措施，遵循線下法律法規對于數據安全處理的要求。數據確權問題在根本上無法回避。企業在根據《暫行規定》以歷史成本將數據資源記入資產負債表時，并無法定要求其需明確其為何種數據權屬，只要企業認為合法擁有，確信是合理合法使用即可入賬。但是在入表后其財務報告能否被審計機構認可，以及在數據資產后續的金融應用時能否被資產評估機構和金融機構認可，必然會遇到“合法擁有或控制”的確認問題，不可避免涉及數據權屬問題。在目前“數據二十條”政策性文件初步形成三權分置的思路下，是否能和如何判斷和確認是否形成三權中某一種權利，權利是否有瑕疵，在實踐中將是非常謹慎復雜的問題。“確權”的過程中除了對權利性質進行判斷，還涉及企業數據治理的合規問題，企業在進行數據資產入表前可以參照下圖對自身的數據治理體系進行初步評估，具體事項還可參照上文提及的企業數據資產入表涉及的合規問題。

1. 數據經營合規性審查

數據經營合規性審查著眼于企業在數據處理活動中整體的合規性，以確保企業在數據領域的經營業務符合法律法規的要求。監管部門對部分行業的企業在處理特定數據時具有強制性、法定性的要求、門檻及前提，以防范企業違規處理和數據安全問題的產生。依據《數據安全法》第三十四條的規定“法律、行政法規規定提供數據處理相關服務應當取得行政許可的，服務提供者應當依法取得許可。”因此，企業應明確自身的數據收集、處理等行為是否需要相應特殊資質、許可或備案。如《中華人民共和國電信條例（2016 修訂）》規定經營電信業務，必須取得國務院信息產業主管部門或者省、自治區、直轄市電信管理機構頒發的電信業務經營許可證，例如 EDI 許可證、ICP 許可證等；《中華人民共和國氣象法（2016 修正）》規定從事氣象探測的組織和個人，應當按照國家有關規定向國務院氣主管機構或者省、自治區、直轄市氣象主管機構匯交所獲得的氣象探測資料。此外，企業應定期審查自身經營范圍是否存在監管部門新的資質要求、許可或備案，緊跟相關法律法規和政策文件的動態，以確保其數據處理活動始終符合法律法規的要求。

2. 數據來源合規性審查

數據來源的合規性審查是數據治理合規性的重點問題。企業對數據來源的各種渠道均需進行評估分析，穿透審查數據來源并留存相關審查記錄。

對于從間接獲取的數據，需要求數據提供者提供相應合規證明、出具承諾或以通過合同方式盡可能約定相關權利，確保數據來源合法可追溯；

對于直接采集的數據， 應在數據主體的授權或協議范圍內處理數據，不得超過協議約定的范疇；對于自行生產的數據，應確保不存在其他利益相關方，具有數據生產全流程的有效證明；

對于公開收集的數據，企業應確保采集的手段、方式、內容合法合規，未損害其他方的利益、公共利益、商業秘密或違反行業慣例、商業道德等。

3. 數據處理合規性審查

數據處理的合規性審查關注企業數據收集后內部處理階段的行為，包括存儲、使用、加工、傳輸、提供、公開等。一方面，企業數據處理的合規性首先應當遵循現行法律法規的規定，依據《數據安全法》第八條的規定，“開展數據處理活動，應當遵守法律、法規，尊重社會公德和倫理，遵守商業道德和職業道德，誠實守信，履行數據安全保護義務，承擔社會責任，不得危害國家安全、公共利益，不得損害個人、組織的合法權益。”對于企業數據的處理，現行法律法規僅進行了原則性的規定，但目前實踐中一般要求企業應當履行數據安全保護義務，采取必要的安全保障措施，確保數據處于有效保護和合法利用的狀態，以及具備保障持續安全狀態的能力，包括數據加密、身份驗證、訪問控制等手段。另一方面，依據《數據安全法》第五十一條的規定“開展數據處理活動排除、限制競爭，或者損害個人、組織合法權益的，依照有關法律、行政法規的規定處罰。”《數據安全法》第五十二條“違反本法規定，給他人造成損害的，依法承擔民事責任。”企業數據處理應當遵循協議、授權書或其他在先法律文件的要求，對于非自行生產的數據，企業對數據處理的范圍應限于協議約定的范圍及方式，或其公示的使用規則承諾的數據處理要求。

4. 數據管理的合規性審查

現行數據領域“三駕馬車”對企業的數據管理提出了明確要求。

《數據安全法》第二十七條要求企業開展數據處理活動應當依照法律、法規的規定，建立健全全流程數據安全管理制度，組織開展數據安全教育培訓，采取相應的技術措施和其他必要措施，保障數據安全。利用互聯網等信息網絡開展數據處理活動，應當在網絡安全等級保護制度的基礎上，履行數據安全保護義務；

《網絡安全法》第十條、第二十一條、第二十五條要求網絡運營者建立完善的網絡運營保障體系，制定內部安全管理制度和操作規程，確定網絡安全負責人，落實網絡安全保護責任，制定網絡安全事件應急預案，保護網絡能夠安全、平穩運行而不受外部的干擾和破壞；

《個人信息保護法》第五十一條規定作為個人信息處理者的企業應制定內部管理制度和操作規程、對個人信息實行分類管理、采取相應的加密及去標識化等安全技術措施、合理確定個人信息處理的操作權限、定期對從業人員進行安全教育和培訓、制定并組織實施個人信息安全事件應急預案、定期對其處理個人信息情況進行合規審計、事前進行個人信息保護影響評估等。

5. 數據應用場景的合規性評估

數據的價值在流通利用的過程中體現，但數據在流通利用中存在法律法規等的限制，包括但不限于：第一，主體資格限制，如未獲得甲級測繪資質的企業不得持有高精地圖數據；第二，地域限制，如未經法定程序，不得向境外提供個人信息或重要數據；第三，行業限制，如未取得征信牌照的企業不得在征信業務中向銀行提供的信用信息等。因此，企業數據資產入表需對數據資源的流通應用場景進行評估，包括數據資源是內部使用或外部使用、數據資源是否對外提供或銷售、數據資源對外提供的下游使用場景、數據資源使用場景是否合法合規、數據資源是否涉及跨境、數據資源應用場景是否能夠為企業帶來利益等。由于企業在數據資產入表過程中的前期準備涉及各個方面，需依據現行法律法規逐一確認企業數據處理行為及數據資源的合法合規性，未來企業在將數據資產入表時，有必要自行或委托第三方對數據資源開展法律盡調。企業將持有的數據資源進行一定程度的加工，形成可對外出售或提供服務的數據產品，再以數據產品的形式入表。國內在眾多數據交易所設立后，數據產品交易依交易場所可分為場內和場外交易，擬入表的數據產品亦可基于此分為場內掛牌數據產品和場外不掛牌數據產品。數據產品場外交易的情況在目前數據交易總量中占較大比例，企業可以將符合《暫行規定》要求的自行形成未經掛牌的數據產品確認為數據資產，并計入資產負債表中。也有不少企業選擇將擬入表數據資源以數據產品的形式在數據交易所掛牌登記，同時將數據產品確認為數據資產，進而計入企業的資產負債表中，這也即上海數據交易所關于數據資產入表“數據資源化-資源產品化- 產品資產化”的思路：

數據產品是否掛牌并非入表的必須條件，但在場內數據交易場所掛牌成為不少企業的選擇，因為場內交易多數強制要求對數據產品進行合規評估，以上海數據交易所為例，秉承著“不合規不掛牌，無場景不交易”的原則，其強制要求擬掛牌的企業掛牌前對數據產品進行合規評估，以確保數據產品無權利瑕疵，這在一定程度上促使企業要通過具有國家認定資質的第三方服務機構出具 “合法控制數據資源”的審查和證明文件，本質上是對數據確權作了實質性的合法性審查，與數據資產入表合規的底層邏輯一致；其次，企業數據產品在上海數據交易所掛牌成功后，即可在其監督與撮合下就掛牌數據產品進行交易，能夠證明相關數據產品能夠為企業帶來利益流入，符合會計準則對資產的要求；再次，對于數據需方企業來說，相較于場外進行數據產品交易，在場內購入的 數據產品，在形成交易規模化后，交易的公允價格易被市場所接受、交易合規性在一定程度上獲得數交所背書，更加能夠避免外界的質疑，在成本法入表的今天，通過場內交易購入的數據資源，在成本歸集上相較場外交易更加清晰、便捷，數據產品的合規性和質量亦更有保障，因此若數據需方亦有入表需求的話，同等條件下其通過場內交易形式外購數據資源的概率將大大提升。例如北京商務中心區信鏈科技有限公司（下稱“信鏈公司”）數據資產入表項目即采用此種路徑。信鏈公司作為國家第四批高新技術企業和企業風險數字化精準識別領域的先行者，依托近年來在預付費細分領域風控類數據產品開發經驗，通過文本挖掘、知識圖譜、機器學習、行業大模型等技術，將不同來源數據進行整合和處理分析，形成用于風險監測預警分析的數據資源，按照統一數據標準，搭建統一支撐底盤，建立企業大數據的采集、處理、管理機制，實現不同渠道與企業風險相關的信息資源接入，經數據清洗、數據變換、數據規約等處理，轉換為規范的結構化數據，按照統一的信息資源目錄體系和框架設計，搭建業務庫和高危風險庫等主題數據庫，進一步開發形成“企業大數據風險管理平臺”的數據應用型產品，為監測預警、研判和處置提供支撐，其數據來源主要是公開數據，包括企業征信、司法、政府門戶、互聯網投訴、輿情五類。該數據產品在上海數據交易所的指導下，經協力所進行合規性評估后，在會計師事務所等其他中介機構協助下，成功完成數據資產核驗、質量評價、掛牌交易、入表入賬等環節。