数据资产被称为“21世纪的石油”，但是数据资产要发挥“石油能源”的作用，需要经历从数据到数据资源再到数据资产的一系列转化，财政部2023年8月1日关于印发《企业数据资源相关会计处理暂行规定》的通知（财会〔2023〕11号，日期2024年1月1日施行）打通了转化链条，展示为下图：

数据资源入表是对数据资源进行资产转化的通道，会影响企业的资产规模、财务成本、经营利润和税收，进而导致企业的资产负债率、利润率、净资产收益率等财务指标发生调整。

本文从法律服务角度对数据合规法律审核进行评析。

一、数据资产产权体系尚未确立

数据是以电子或者其他方式对信息的记录，数据资产是财务范畴概念，被赋予资产属性，并非法律上物权、债权、股权、知识产权及其他各种无形财产权的客体，因此，财政部2023年12月31日发布的《关于加强数据资产管理的指导意见》（财资〔2023〕141号，以下简称“141号文”）文件以“谁投入、谁贡献、谁受益”的原则确立各相关主体数据资产权益，采取数据资源权利分置（数据资源持有权、数据加工使用权和数据产品经营权）的方式，为数据资产产权确权和保护提供了路径。

《数据安全法》第七条规定“国家保护个人、组织与数据有关的权益，鼓励数据依法合理有效利用，保障数据依法有序自由流动，促进以数据为关键要素的数字经济发展”，该条文仅对数据有关的权益作了概括性规定。从141号文的精神，数据有关的权益主要包括数据资源持有权、数据加工使用权和数据产品经营权，但这三项“权利”不属于法律权属，有待数据资产产权体系的进一步完善。

虽然数据资产产权体系尚未确立，但并不意味着数据资源的确权无法可依，数据资源三权分置的“持有权”“加工使用权”“经营权”归入《民法典》的相关民事财产权利主要基于法律对数据信息的保护或合同债权。举例来说，“数据持有权”的权利基础为《反不正当竞争法》第九条第四款规定的技术信息和经营信息里的数据信息，这些数据信息受到法律保护即是行使数据持有权的基础；“数据加工使用权”是权利人针对数据加工使用基于所签署的承揽合同和/或许可使用合同约定而取得的债权，该债权明确且合法有效的情况下必然受到法律保护，其外观即是权利人有权对数据进行的包括加工和使用等在内的处分。

二、数据合规法律审查的要点

数据合规法律审查的目的对数据资源进行确权，结合财政部2023年8月1日关于印发《企业数据资源相关会计处理暂行规定》的通知（财会〔2023〕11号，以下简称“11号文”），数据资产入表是企业按照企业会计准则相关规定确认为无形资产或存货等资产类别的数据资源，以及企业合法拥有或控制的、预期会给企业带来经济利益的、但由于不满足企业会计准则相关资产确认条件而未确认为资产的数据资源进入资产负债表。笔者认为，数据合规法律审查的要点包括三部分：

1. 数据资产满足《企业会计准则第6号－－无形资产》第九条确认为无形资产的条件的，重点审查该无形资产数据持有权和数据加工使用权的合法合规性；

2. 数据资产满足《企业会计准则第1号－－存货》第四条确认存货的条件的，重点审查该数据资源的数据产品经营权的合法合规性；

3. 数据资产虽为企业合法拥有或控制的、预期会给企业带来经济利益的、但由于不满足企业会计准则相关资产确认条件的数据资源开发支出，重点审查该支出的合法合规性。

三、数据合规法律审查的方法

1. 数据资产持有权的审查，结合前述，数据资产持有权的法律基础是法律对企业技术信息和经营信息当中的数据信息的保护，因此，需要对数据信息在创建、收集、传输、存储、处理、管理和外购取得过程中是否存在违反《民法典》《数据安全法》和《个人信息保护法》的情形进行审查，特别是企业外购取得的数据资源，除对供应方的法律主体，数据资产来源和处分权进行审查外，仍应当对外购数据资源的创建、收集、传输、存储、处理、管理进行尽职调查并审查。如外购的数据资源为已经被确认为无形资产入表的数据资产，则可以只审审查外购数据资源与原《数据合规法律意见书》的一致性和匹配性。

2. 数据资产加工使用权和经营权的审查，除对数据持有的合法合规性外，还应重点核查当事人之间签订的《加工承揽合同》/《使用许可合同》/《买卖合同》是否合法有效以及合同约定中有关权利限制的是否影响到无形资产和存货的认定条件的满足。

3. 企业内部数据资源研究开发项目支出的审查，需要审查相关支出的账目处理，区分研究阶段支出与开发阶段支出。研究阶段的支出，应当于发生时计入当期损益。开发阶段的支出需要审查是否满足无形资产认定的有关条件。

四、其他应当审查的事项

除前述需要审查的事项外，笔者认为，还应关注数据是否存在已向第三方共享的情形，是否符合敏感个人信息的处理规则，以及是否存在数据出境活动。对于数据的第三方共享应当审查数据共享的方式、形式等是否影响数据资源持有权、数据加工使用权和数据产品经营权；对于含有或可能含有敏感个人信息的数据资源，应当重点审查数据的脱敏、清洗、标注、整合、分析、可视化等加工过程中产生的文件化信息，以印证该部分数据资源的合法合规性。

另外，根据11号文件的要求，需要审查数据资源是否在该文件施行前已经费用化计入损益。

还需要特别注意的是，根据《数据出境安全评估办法》。数据出境活动除数据处理者将在境内运营中收集和产生的数据传输、存储至境外，还包括数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以访问或者调用，这种情况下应当审查数据信息是否申报数据出境安全评估及数据出境安全评估结果。

律师出具《数据合规法律意见书》前在进行数据合规法律审核过程中除了尽调审核外，还应发挥能动性，主动通过梳理和调整数据来源合法性、权属性质、应用权限、应用限制等方式对客户进行协助。

作者：陈德宁