文章
数据资源“入表”在即,企业更需守好数据合规与安全的闸门
发布日期:2023年9月6日
近日,财政部制定印发了《企业数据资源相关会计处理暂行规定》(财会〔2023〕11号,以下简称“《暂行规定》”),自2024年1月1日起施行。财政部相关负责人指出,《暂行规定》将有助于推动和规范数据相关企业执行会计准则,准确反映企业数据相关的业务和经济实质。同时,也将为持续深化以“数据二十条”为指引的数据要素产业配套的财务管理实践,积累数据这一新型无形资产相关会计问题研究的中国经验,有助于在国际会计准则相关研究制定等工作中更好地发出中国声音。
《暂行规定》的出台,为企业开展数据资产化实践,参与数据要素市场流通,踩下了“加速键”。Gartner认为,正式的数据会计实践,具体来说,衡量数据的价值是大多数客户实现其可用数据资产的潜在利益的重要一步。基于《暂行规定》的发布,企业需要做出哪些改变呢?
在财务端,《暂行规定》明确数据资源的入表应当按照企业会计准则执行,企业根据其持有目的、业务模式、经济利益实现方式等对于符合条件的数据资源分别按照无形资产准则、存货准则确认和计量。首先,资产确认的条件应遵循企业会计准则的规定,并未发生变化,需要以企业对数据更加精细化的管理、合理的判定和有依据的计量为前提。其次,《暂行规定》增加并明确了数据资源相应的披露要求,主要的亮点在于自愿披露的内容,即便数据资源暂时不满足入表,企业也可以披露数据资源相关的管理与应用的情况,以帮助报表使用人更充分地理解企业在数据资源领域的投入,更好地理解企业利用数据资源产生的价值。再者,中国会计准则和国际会计准则保持持续趋同,国际准则也在持续地修订中,在未来无形资产准则修订中将会就无形资产的范围、确认、计量和披露等原则性规定提出更多的理论和实践方面的探索,需要包括中国会计界在内的各方共同努力。我国会计界人士,可以将在数据领域的相关实践和经验进行总结,在国际会计准则相关研究及准则修订等方面提出相关建议。
为了避免数据资产管理与经营过程中,发生数据来源不合规、数据被篡改或发生数据泄露事件影响企业以数据的合规经营,建议企业数据管理的牵头部门协同各业务部门进行法律法规解读、数据分级分类、构建安全运营环境,同时德勤也将积极跟进法规最新进展、及时提供合规遵循要点、配合企业构建合规数据安全环境,帮助企业要合规处理并运营数据资产。
1. 法律法规解读
数据资产管理及经营作为一种数据处理活动,企业应遵守国家法律、行业法规以及企业规范要求,履行数据安全保护义务,并符合国家安全、公共利益、组织或个人合法权益。在国家《网络安全法》、《数据安全法》、《个人信息保护法》等法律指引下,并遵从企业所处行业监管部门发布的行业相关数据法规。以金融行业为例,银保监会发布了一系列行业法规,如《金融数据安全 数据生命周期安全规范》、《金融数据安全 数据安全分级指南》、《金融业数据能力建设指引》、《个人金融信息保护技术规范》等。
2. 数据分类分级
企业开展数据资产管理经营之前,应先进行涉及数据要素的数据分级分类。《数据安全法》、《个人信息保护法》等法律法规都对数据分级分类提出了明确要求,数据资产涉及多种数据类型和标签属性,当识别数据隶属于本行业发布的核心数据、重要数据目录、或已有明确的核心数据、重要数据识别规则时,应按照监管已发布的数据目录或规则,可以将该类数据分类标签化处理为一般数据、重要数据、核心数据等,经营性企业一般不会拥有影响国家安全和社会稳定的核心数据类型。
当数据资产涉及数据分类分级时,应对每类数据进行溯源并识别其来源于更多原始数据的聚合、转换、流通等方式。应根据监管要求,按识别的数据类型逐一进行该类数据合规设置与安全处理,确保数据资产已符合有序合规要求。
当数据资产涉及保密性要求时,应基于该类数据可能遭受破坏会造成的影响程度,结合其数据类型、数据内容、数据时效性、数据规模、数据来源、数据业务属性等因素,将该类数据划分为高密级、中密级、低密级和公开级。
当数据资产涉及相关数据类型为个人信息时,应根据其对数据主体权利的影响程度,细分为个人信息或敏感个人信息。当企业所处行业已发布了行业个人信息分类规则,以金融业务为例,银保监会已发布《金融行业个人信息分类规则》,则应根据规则要求,将个人金融信息类型细分为个人身份信息、个人财产信息、个人账户信息等。
当数据资产涉及的各类数据在收集、聚合、处理和流通等应用场景时,企业应建立数据台账化管理规范,以满足监管对企业拥有重要数据、个人信息等的台账化管理要求。通过数据台账化管理完成企业对自身拥有各类数据的权责界定,解决各数据资产在所属业务部门的权责归属问题。
当数据资产涉及的法律法规、行业标准、及应用场景等发生变化时,企业应及时更新该数据分类分级标准,保留更新文件的记录。数据资产将不仅仅涉及数据资产本身的数据合规问题,还包含有关资产来源历史数据,或关联的资产构建、资产转化等明细账数据,这些数据资产以及涉及的各类元数据类型应根据分级分类规则进行有序的合规管理。
3. 数据风险评估
在《数据安全法》、《个人信息保护法》、《网络数据安全管理条例(征求意见稿)》、《数据出境评估办法》等相关法律法规中,对开展数据安全风险评估工作都提出明确要求。在数据资产管理过程中,还应从数据合规与安全角度,按照数据生命周期的不同阶段开展数据风险评估,如数据采集、数据传输、数据跨境、数据存储、数据处理、数据分享和数据销毁。
a) 数据采集风险评估
评估数据资产处于数据处理阶段风险时,针对企业收集的个人信息,应评估个人信息类数据不能非法获取、满足最小化和必要性原则、获得数据主体同意并保留证据、隐私政策应简单和真实地反映个人信息采集和处理目的和方式等。当个人信息的收集,处理目的和处理方式发生变化时,应及时更新隐私政策,并重新获得用户同意。
针对企业收集的重要数据,应重点评估是否保留了重要数据的采集记录,确保每个重要数据的来源具有可追溯性,且至少保留5年记录。当重要数据属于被间接获取时,应与数据提供方签署相关协议、承诺书等方式,并明确双方的法律责任。
当数据资产处于数据采集场景下,应识别数据资产涉及到的各数据类型,并重点评估重要数据或个人信息采集的合规风险。
b) 数据存储风险评估
评估数据资产在数据存储阶段的风险时,应重点评估各类型数据的存储位置,例如存储各类数据的应用系统、数据库或文件夹、虚拟机或服务器的地理和物理位置等真实信息。并评估各类存储数据的密级、保留期限、数据分级的差异化存储要求、以及数据脱敏、敏感数据加密、用户权限最小化等安全要求。当数据存储在数据库时,应重点评估用户账号权限、访问控制、日志管理、加密处理等关键控制。当数据存储在介质时,应重点评估介质加密、用户访问和使用介质行为的记录以及定期审计等关键控制。
当数据资产处于数据存储场景下,所有数据资产以及资产涉及的资产主数据、资产明细账数据都需基于相应数据密级对应的存储加密规则完成数据加密、并确保每类数据已经设置了正确的用户访问权限等。
c) 数据传输风险评估
评估数据资产在数据传输阶段的风险时,应按照涉及数据类型的密级要求,重点评估每类数据的网络安全传输策略、传输加密、链路通道的身份鉴别、安全配置、密码算法配置、密钥管理、传输协议处理等网络加密要求。当在公司内进行数据传输时,应确保数据传输前已获得了业务责任人的审批。当对外传输数据时,应确保数据传输的发送方和接收方都已签署了数据传输协议,内容包括账号权限、访问控制、日志管理、加密处理、保密协议等要求,并且API接口已通过渗透测试。
当数据资产处于数据传输场景下,如果有第三方购买者要求先查看数据资产明细帐信息,再进行数据资产购买商谈时,数据所有方将安排潜在买家可以先远程查看数据资产的非敏感性信息再议价,则双方需通过签署协议,明确双方权利与责任后,方可进行远程数据查询,以保护数据资产所有者的权利,并通过网络加密、查询接口授权以避免查询过程存在的数据泄露风险。
d) 数据跨境风险评估
在华跨国企业以及中国企业出海,数据跨境是必须面临的挑战。评估数据资产的数据跨境传输阶段风险时,针对个人信息,应评估个人信息跨境传输的数据规模和数据量是否达到跨境申报监管要求的临界值。如已达到临界值,企业应开展数据跨境申报,获得监管部门批准方可进行跨境传输。否则企业只需执行个人信息保护影响评估(PIA),保留跨境评估记录以备监管检查。还应获得相应数据主体的同意,方可签署数据跨境传输协议。针对重要数据跨境,原则上重要数据需本地化存储,除非遇到特殊需求时,应申报监管以获得批准,重要数据跨境申报细则还待发布。
当数据资产在进行数据跨境传输时,如果涉及个人信息或者重要数据类型,应评估该类数据是否需跨境传输,如果只是用于总部经营分析用途,则无需提供具体的个人信息或重要数据进行跨境传输。如果有其他用途必须跨境,则应先完成跨境申报并获得监管批准后,方可进行跨境传输。对于与数据跨境目的无关的相关字段不应提交监管跨境审批。如果涉及重要数据或个人信息的数据跨境申报被监管拒绝,则应评估该类数据本地化存储系统的可行性。
e) 数据处理风险评估
评估数据资产在数据处理阶段的风险时,针对个人信息或重要数据,应评估个人信息是否已获得数据主体或重要数据提供方的授权同意,同时实际处理目的、方式应与签署的协议保持一致、避免数据被滥用。并且,应评估数据资产的系统环境,包括网络、终端、邮件、设备等存在数据泄漏风险,并采取数据安全措施,包括数据脱敏、水印、数据最小化授权、访问控制、例外审批、定期审计等安全举措,以免发生数据泄露事件。
当数据资产处于数据处理场景下,应根据用户权限最小化原则,设立相关系统用户访问权限,只有获得正确身份授权的用户,方可按权限访问涉及相关数据类型的详细数据信息。
f) 数据交换风险评估
评估数据资产在数据交换阶段的风险时,针对个人信息,评估数据交换来源的合法合规性,避免因第三方在未经消费者同意的情况下,将收集的数据通过加工转化为合规数据。针对重要数据,评估重要数据能否获得数据提供方的授权同意,才能考虑数据交换,进而重点评估各类型数据的密级要求,在签署合规协议、加强网络传输安全措施的数据交换风险。
当数据资产处于数据交换场景下,应重点评估数据交换技术举措的安全性,如采取数据脱敏、数据加密等其他技术,以避免数据在交换过程中,发生数据被篡改或数据泄露事件。
g) 数据销毁风险评估
评估数据资产在数据销毁阶段的风险时,应重点评估数据销毁结果是否达到监管规定的信息不可还原要求。对于存储数据的介质或者物理设备,应评估适用的介质销毁技术让介质上的数据无法恢复,如物理粉碎、消磁或多次擦写等。还应评估涉及的个人信息是否采用了匿名化技术,保证无法识别回主体自然人。
当数据资产处于数据销毁场景下,按照国家《会计法》或《档案法》等法规要求选择最长数据留存时间作为每类数据的预设保留要求,当数据保留时长超过该时点时,触发相应的个人信息匿名化或者其他类型数据的销毁操作。
4. 数据安全合规运营
数据资产存在许多不同于传统固定资产、无形资产的特性,例如数据具有流动性、多样性、时效性特点,企业只有通过数据合规与安全治理、评估潜在风险、制定数据有序化管理策略、健全安全防护技术举措,以保证数据资产的业务运营合规。
优化数据合规与安全治理
企业应选派责任领导牵头、各业务部门共同参与,协同制定数据资产的合规安全策略、制度和流程规范。随着数据资产经营的逐步规范,以及建立或接入的系统越来越多,企业应建立由业务、财务、IT等组成的合规第一道防线;数据资产经营日常执行时,落实策略与规范;应建立由内控、法务、合规等组成的安全与合规第二道防线,有序管理数资产并监控风险和预警事件;应定期由内部审计或外部审计组成安全与合规第三道防线,定期审计和收集证据,基于结果识别安全漏洞或合规风险,及时汇报管理层推动解决。
在数据资产管理与经营过程中,优化治理机制、加强审计力度、确保业务合规。
5. 有序化管理数据资产
企业应规范数据资产管理与运营的合规与安全制度、流程和人员等机制。例如在安全人员招聘或录用时,甄别人员来源、加强保密责任、签署保密协议等。例如,数据资产涉及系统应用权限时,定期更新数据库管理员密码、身份认证采用多因素认证工具等。
数据合规与安全防护是一个动态优化过程,针对不同系统与环境的特点,应结合具体业务需求及系统特性,建立数据资产的数据应急预案,保证预案的全面性和可行性。应定期进行预案演练,让参与演练的团队真正地掌握要领。还应建立安全监控与事件预警机制,及时收集安全威胁情报、关联分析问题、快速上报安全事件等。
在发送数据资产信息至数据交易中心或第三方之前,合规提供购买方详细数据资产信息。应在数据资产在数据传输或数据分享时,加强权限控制、存储加密、合规应用等安全技术举措。
6. 健全安全防护举措
当企业完成数据资产的风险评估,数据合规与安全差距分析后,还需指定未来合规安全防护举措以及安防技术系统或工具实施的路径计划,进而详细定义安全与合规涉及的技术整改任务清单,例如识别外部网络入侵威胁、消除设备功能脆弱点、渗透漏洞安全加固、防范内部数据泄露、强化外包人员运维合规、监控员工违规操作、阻断未授权非法访问、强化访问权限控制、数据加密以及数据脱敏等合规任务。在企业强化安防技术执行落地过程中,不断提升企业的网络、系统、设备、终端等安全防护水平,有效监控与预警安全事件发生,持续优化安防管控体系,为数据资产管理与经营的安全运营保驾护航。
