文章
在“数据基础制度”框架下,企业参与数据要素活动的解读与建议
发布日期:2022年12月23日
2022年12月19日,《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》公开发布,制度从数据产权、流通交易、收益分配、安全治理四个方面,分二十条(以下简称“数据二十条”)阐述了我国数据要素作为新型生产资料的战略定位,数据要素生产加工应用赋能实体经济,数据要素有序合规流通以及数据要素各利益相关方权属界定等基础性制度。“数据二十条”为做大做强数字经济指明了数据要素经营与流通的方向和抓手,促进了数据要素高质量加工和创新型应用,合理保障数据要素价值创造者的收益,同时又划定了数据要素涉及国家安全和个人隐私保护的安全合规红线。数据二十条对各传统行业、新经济行业以及围绕数据要素生态未来可能出现的新业态,都将产生深远而持久的影响。
结合各行业百舸争流、方兴未艾的数字化转型热潮,数据要素在企业数字化转型中发挥着基础底座和创新引领的作用。企业是数字化转型操盘实施的主体,也是数据要素生产和流通践行者。在“基础数据制度”的框架下,企业如何确定数据要素的权属,如何管理数据要素并发挥价值,如何参与数据要素流通,以及上述生产经营活动如何作到合法合规,既做到点“数”成金,又能循“规”致远。德勤中国多位专业领域专家,围绕企业如何参照“数据二十条”,开展数据要素确权、经营、流通、会计处理和合规开展解读,为企业“出谋划策”。
解读一,企业如何确定数据要素的权属
“数据二十条”中的“建立保障权益、合规使用的数据产权制度”,提出五项数据权属相关的机制,其中一项是推动建立企业数据确权授权机制。创造性提出“数据资源持有权”、“数据加工使用权”、“数据产品经营权”三权分置的结构性产权制度的框架下,使得企业在生产经营过程中,从而所事实上控制的数据,进行了清晰的分类和权属界定。采用“产生+排除”的方式,即由企业生产要经营活动中产生、收集并加工,排除涉及个人信息和公共利益的数据部分,属于企业数据的范围。企业对企业数据拥有完整的持有权、加工权和经营收益权。同时,在“个人信息数据”确权授权机制中,还是赋予企业以“数据处理者”的身份,授权使用并依法依规的权利,并提出个人信息数据在受托许可和监督下,由企业进行收集加工的可行性。
现代企业生产经营离不开数据,手机、车联网、物联网更是进一步扩大了企业获取数据的来源、类型和数量,甚至企业的“开门七件事”,也是要把“产品”、“物料”、“渠道”、“合作方”等主数据先理清摸透,再规范定义后统一分发。根据“数据二十条”对企业数据权属的定义,财务、ERP、供应链系统、销售管理系统、产品设计系统等生产经营数据,企业可以自主掌控并应用,开展经营分析和日常决策,企业做好这些数据资源的盘点、规范和维护。如需要参与数据要素流通,可通过数据产权登记机构完全确认企业数据的权属。
例如,制造业数字化转型的标志性里程碑 – 灯塔工厂,建设工业互联网操作系统,连接前端产线上部署的接入海量感 知设备,实现了生产全流程追溯、柔性配置和实时异常检测,可以大幅缩短生产周期,提升人均产能。以国内某工程机械制造商为例,其某地的灯塔工厂安装有数千个传感器和数百个联网机器人,每天产生的数据量超过30TB,汇聚于自研的工业云平台,从原材料起追踪每一台产品的生产全流程。这些数据资源为企业完成拥有,除用于自身经营外,亦可形成生产线优化的智能模型产品,或是用于设备故障预测的机器学习样本库,参与数据要素流通,为更多制造企业所用所受益,这一点也呼应了“数据二十条”中“引导行业龙头企业、互联网平台企业发挥带动作用,促进与中小微企业双向公平授权,共同合理使用数据,赋能中小微企业数字化转型”的提法。
大型国有企业生产经营过程中,沉淀了具有公共利益属性的数据资源,比如水、电、天然气、公共交通等,属于公共数据,根据“数据二十条”要求,需要通过数据产权登记方式,明确对该部分公共利益数据的合理权属,包括数据范围、来源、持有期限、持有形式等。同时,鼓励企业在合法合规的前提出,加速对公共数据的产品化和对外使用,这样就具有该类数据的加工权。当数据加工形成的产品,可以分为两类参与数据要素流通,一类是具有公共治理或公益属性的数据产品,一类是可应用于行为发展和产业发展的数据产品,可根据产品投入成本、智力深度和应用场景,有条件无偿或有条件有偿为产品消费方所使用。企业通过将数据产品在数据产权登记机构登记,即拥有了产品的经营权及收益权。
对于比较敏感的个人信息数据,“数据二十条”多次强调依法依规,这一点与《数据安全法》及《个人信息保护法》 保持了政策口径一致。 企业在对这类个人信息数据进行盘点和分级分类时, 通常需要归属于密级较高的等级,并采以和其它等级数据差异化的技术加密和保护措施。个人信息数据原始数据审慎参与数据要素流通,这也是“数据二十条”划定的红线,企业仍然可以采用脱敏加密、隐私计算等多种技术手段,将个人信息“去可识别化”或“匿名化”处理,提取出标签信息或业务洞察。这类依法依规智力加工后的数据产品,如需参与数据要素流通,其持有权、加工权和经营权可通过数据产权登记机构进行确认。这同样符合“数据二十条”中“建立健全数据要素各参与方合法权益保护制度”政策方向。
德勤中国风险咨询合伙人 何铮
解读二,企业如何开展对数据要素的管理和经营
此次“数据二十条”对于数据要素产业发展释放出政策利好,在多处明确提出了要发展数据分析、数据服务等产业,培育数据要素流通和交易服务生态,培育一批数据商和第三方专业服务机构,并从加大政策支持力度、积极鼓励实验探索方面为数据要素型企业的做大做强提供了保障。同时,“数据二十条”也强调了要建立安全可控、弹性包容的数据要素治理制度,在数据采集汇聚、加工处理、流通交易、共享利用等各环节压实企业的数据治理责任。因此,如何在满足数据安全及监管合规的前提下,提升自身数据能力、满足数据要素市场建设需求,从而把握涌现的新商业机会,是企业数据要素经营与管理需回答的新命题。
对于企业的数据要素经营与管理而言,德勤中国建议可从“数字化建设与能力输出”及“数据管理能力提升”双管齐下入手开展:
数字化建设与能力输出方面,一是持续加快企业数字化建设,充分结合自身业务数字化需求、全面提升数据应用水平,持续沉淀多样化的数据产品与服务;德勤中国过往在提供数字化服务过程中曾帮助各行业客户构建了全场景的数字化产品与服务,包括“精准营销”“智能运营”“智能风控”“智慧财务”等领域,能有效提升数字化经营管理效率。二是加强对数据交易市场及产品调研,以市场为导向,从质量、标准化、稀缺性等视角对已有数据产品进行优化提升。三是响应政策引导,积极申请成为数据供应商,参与市场标准建设,并在持续交易中识别自身优势资产、打造数字化品牌。
在企业级数据管理能力提升方面,一是从元数据管理、数据质量管理、数据标准管理等领域入手,全面提升企业的数据资产质量与标准化水平,同步满足数据要素市场的质量与标准化采集要求。二是将数据作为战略资产、着手打造企业级数据资产管理体系,全面盘点企业数据资源、构建数据资产目录,清楚可用资产有哪些、在哪里;同步开展数据资产的成本计算与价值评估,并持续对数据资产建设及应用进行运营监控,满足企业内部数据资产成效评价的同时,为数据资产的交易定价提供管理参考。三是积极参与数据管理成熟度等领域的国家及行业标准资质评估,了解能力现状及提升方向的同时,提升市场认可度。
德勤中国管理咨询分析与认知服务主管合伙人 尤忠彬
解读三,企业如何参与数据要素流通市场
“数据二十条”中第三章提到:“支持探索多样化、符合数据要素特性的定价模式和价格形成机制,推动用于数字化发展的公共数据按政府指导定价有偿使用,企业与个人信息数据市场自主定价。”数据要素定价是交易的前提,是数据要素市场化的关键环节之一。
“数据二十条”中的第四章提到:“健全数据要素由市场评价贡献、按贡献决定报酬机制”“按照‘谁投入、谁贡献、谁受益’原则”“推动数据要素收益向数据价值和使用价值的创造者合理倾斜。”在收益分配方面,更注重公平,体现效率。要兼顾数据要素在采集汇聚、加工处理、流通交易、共享利用等各环节相关主体之间的利益分配。
因此,“数据二十条”旨在鼓励推动数据提供方、数据需求方通过数据商和数据交易所,参与数据要素流通,从而获取收益。当前数据提供方主要是以政府为代表的公共数据,辅以企业与个人信息数据。需求端则涉及政务、金融、工业等各行各业。而连接供需两端的数据服务商以及提供数据交易的各级平台为数据要素的价值发挥提供了增值服务,涉及采集、处理、加工、交易、分析数据等多个细分环节。
数据要素市场的建立和数据资产的流通,有利于数据提供方深入挖掘和最大化数据价值,通过扩大数据可用的场景,充分实现数据使用价值,从而最大化数据要素价值。数据需求方通过获取数据资产实现增效、降本,实现数据资产赋能实业。数据服务商及交易所则是连接供需双方的桥梁和催化剂,通过对原始数据的采集分析实现数字产品的标准化,加速数据要素流通和价值实现,并在劳动投入贡献的过程中分享数据增值收益。
“探索多样化、符合数据要素特性的定价模式和价格形成机制”是要素流通市场形成和数据价值实现的重要基础。交易所和中介机构在这个过程中将发挥重要作用。数据定价难的根源在于数据供给及数据应用场景的非标准化,数据要素市场的各个参与方,与专业中介机构需共同协作,一是通过充分了解数据的形成过程、成本投入、以及数据需求方的应用场景,探索从数据使用价值到数据定价的动态调整机制;二是分析数据价值链贡献,按照“谁投入、谁贡献、谁受益”原则,探索并制定固定收费、提成等多种收益方式共享的收益模式。
德勤中国财务咨询服务总监 徐盈
解读四,企业数据要素相关的经营活动如何进行会计处理
有关各方在积极推动数据要素流通和交易的同时,对企业数据资源相关会计处理问题也日益关注,数据资源如何“入表”是有关各方亟待解决的重大课题之一。财政部会计司于2022年12月9日发布了《企业数据资源相关会计处理暂行规定(征求意见稿)》(以下简称“暂行规定征求意见稿”),极富时效性和实践指导意义。暂行规定征求意见稿围绕数据资源是否可以作为资产入账、数据交易的合同双方如何进行会计处理等各方最为关切的问题进行了规范,拟于2023年起施行且过渡衔接采用未来适用法。
暂行规定征求意见稿结合会计上有关资产的属性确定其适用范围,明确暂行规定征求意见稿适用于符合准则规定、可确认为相关资产的数据资源,以及不满足资产确认条件而未予确认的数据资源的相关会计处理。换言之,暂行规定征求意见稿的核算对象覆盖了符合基本准则有关资产定义的全部数据资源。此外,采取暂行规定的形式,可保持相关规定的灵活性,随着未来数据资源相关理论和实务的发展,及时跟进调整。
暂行规定征求意见稿中“明确了数据资源会计处理适用的准则”。现阶段数据资源会计处理应当按照企业会计准则执行,并按照会计上经济利益实现方式,进一步细分为“企业内部使用的数据资源”和“企业对外交易的数据资源”两类,明确两类数据资源在确认、初始计量、后续计量、收入确认等环节应当遵循的具体准则,同时,对实务反映的一些重点问题,结合数据资源业务模式等实际情况予以细化。
针对与数据资源相关的信息披露,暂行规定征求意见稿中要求企业在按照相关具体准则规定进行相应披露的同时,通过表格方式细化披露相关信息,并规定企业可根据实际情况自愿披露数据资源(含未作为无形资产或存货确认的数据资源)的相关信息,包括形成相关数据资源的原始数据的类型、规模、来源、权属等信息,以及数据资源的应用情况、应用场景和对企业创造价值的影响方式等不同维度的信息。值得关注的是,在企业对数据资源进行评估的情况下,暂行规定征求意见稿提出了较高的披露要求,这也充分体现了价值评估在数据资产会计核算中的重要地位。
虽然暂行规定征求意见稿为企业如何对数据资源进行会计处理指明了方向,但大部分数据资源可能尚未完备“入表”的相关条件。一项资源在会计上要能被企业确认为一项资产,其既要符合基本准则有关资产的定义,还需同时满足与该资源有关的经济利益很可能流入企业,且该资源的成本或者价值能够可靠地计量的条件。数据资源的特殊性使得其要满足资产确认条件将面临更多的挑战,亟待企业在建立健全其数据资产管理体系的过程中,完善相关会计处理准备支持工作,例如,完善数据确权管理机制、建立成本分摊归集机制、对数据资源的经济性评价和价值评估体系等等。此外,还需要进一步建立能全面、恰当披露数据资源相关信息的机制及系统。
德勤中国审计及鉴证专业技术部合伙人 刘世清
解读五,企业如何做到合法合规经营数据要素
安全合规是“数据二十条”里贯穿始终的要点,全文48次要求安全,16次突出合规。
首先在第一章总体要求的第一条指导思想里面就明确提出“以维护国家数据安全、保护个人信息和商业秘密为前提”,这也与网络安全法,数据安全法和个人信息保护法的精神保持一致。
在第二条工作原则中强调“探索有利于数据安全保护、有效利用、合规流通的产权制度和市场体系”,“建立数据可信流通体系,增强数据的可用、可信、可流通、可追溯水平”,把安全贯穿数据供给、流通、使用全过程。尤其再次强调加强数据分类分级管理,以及“积极参与数据跨境流动国际规则制定,探索加入区域性国际数据跨境流动制度安排。”
接着在第二章数据产权制度中,强调了“在国家数据分类分级保护制度下,推进数据分类分级确权授权使用和市场化流通交易”,合规使用成为产权制度的核心。在数据确权授权制度中,提出了“原始数据不出域、数据可用不可见”,为隐私计算等技术的广泛应用明确了方向。
在第三章数据要素流通和交易制度中,合规高效依然是重点。提出了“建立数据来源可确认、使用范围可界定、流通过程可追溯、安全风险可防范的数据可信流通体系”的原则。并再次强调数据分类分级授权,并提出建立实施数据安全管理认证制度,充分规范由数据交易所、数据商、第三方专业服务机构组成的多元生态化体系。其中第十一条对数据安全合规有序跨境流通提出了进一步详尽的要求,并针对跨境电商、跨境支付、供应链管理、服务外包等典型应用场景,提出了探索安全规范的数据跨境流动方式,探索建立跨境数据分类分级管理机制。
在第五章的数据要素治理制度中,安全可控再次成为第一要求,强调把安全贯穿数据治理全过程。对国家来说,“守住安全底线,明确监管红线,打造安全可信、包容创新、公平开放、监管有效的数据要素市场环境”,;对企业来说,坚持“宽进严管”原则,“在数据采集汇聚、加工处理、流通交易、共享利用等各环节,推动企业依法依规承担相应责任”。
德勤中国风险咨询合伙人 江玮
综上所述,安全合规是数据基础制度的基石,是整个数据市场建设每一个环节中不可或缺的要素。企业作为其中最具有活性的一环,必须结合自身实际情况,严格按照要求健全数据安全合规能力,建设数据安全合规体系,强化数据安全合规意识。以下是企业必须遵循网络安全法,数据安全法,个人信息保护法,网络安全数据条例等法律法规尽快推进的重点:
- 建立数据安全合规组织架构,明确数据安全合规责任体系,强化高层的参与和责任;
- 按照行业主管颁布的重要数据/核心数据目录和行业数据分类分级指南,建立本企业的数据分类分级制度并在流程和技术上落实;
- 加强第三方数据安全管理制度,严格规范数据的流动与共享,充分实践加密,脱敏,隐私计算,溯源认证等技术手段;
- 定期进行数据安全评估,尤其是个人信息处理和数据跨境方面,严格安全法律法规要求进行评估并对处理活动进行监控和记录;
- 在数据分类分级的基础上,建设数据确权授权机制,打造数据授权管理平台,并与企业级的访问控制系统联动。
“数据二十条”纲举目张,让参与数据要素生产、应用和流通的各类企业谋定而后动,知止而有得。激活数据要素潜能,受益企业经营,惠及万户千家。得益于国家层面的数据要素制度的创新,企业积级参与数据要素流通,将进一步推动我国数字经济的高质量发展。