随着数字经济的发展，企业数据处理活动成为现代企业经营活动的常态，数据资源的持有也成为企业价值的重要体现。为了准确反映数据相关业务和经济实质，推动数据要素价值的发挥，财政部于2023年8月1日发布了《企业数据资源相关会计处理暂行规定》（简称《暂行规定》），该规定自2024年1月1日起施行。

在《暂行规定》适用于企业按照企业会计准则相关规定确认为无形资产或存货等资产类别的数据资源，以及企业合法拥有或控制的、预期会给企业带来经济利益的、但由于不满足企业会计准则相关资产确认条件而未确认为资产的数据资源的相关会计处理。

但是由于数据资源不同于传统的有形资产或无形资产，在实际执行中，对于“企业合法拥有或控制”的理解仍存在一定的难点。

本文拟对于“企业合法拥有或控制”的法律含义进行初步探究，以利于数据资源会计处理的合规性。

1、一般意义上的理解

“拥有”或“控制”严格意义上讲，都不属于法律概念。从中文的一般语义来看，“拥有”：通常指的是某人或某实体对某物或某种权利具有所有权或其他排他的权利。所有权是指对某物的独占权，包括使用、收益、处分等权利。

而“控制”：则更多地涉及到对某物的管理、支配或引导。控制并不意味着拥有所有权，但它可以确保某种行为按照预期实施。

在某些情况下，拥有和控制可能存在一定的重叠。例如，当企业“拥有”一项无形资产时，它同时也“控制”了这项资产的使用权和经济利益。

2、《会计准则》对“拥有或控制”的理解

在会计准则中，对资产的“拥有或控制”是指企业享有某项资源的所有权，或者虽然没有所有权，但在实际上取得了控制权，能够自主使用、依法处置并享有和承担与该法人财产相关的利益或风险。

具体地，根据《企业会计准则——基本准则》第三章，第二十条至第二十二条的规定，资产是指企业过去的交易或者事项形成的、由企业拥有或者控制的、预期会给企业带来经济利益的资源。其中，“拥有”指的是企业享有某项资源的所有权，而“控制”则是指企业虽然没有某项资源的所有权，但该资源能被企业所控制。预期在未来发生的交易或者事项不形成资产。

从前述分析不难看出，“拥有或控制”虽然不是一个法律概念，但是却与相关有形物品或无形资产的法律状态和属性紧密相关。

按照传统的规则，存货和无形资产在进行会计确认的时候，其各自对应的权利属性是明确的。比如，对于生产型企业或贸易企业而言，其存货通常属于法律上的“动产”，属于《民法典》的物权范畴。法律对于其占有、使用、收益、处分的权利界定非常清晰，其权利属性也是明确的。无形资产对应的权利，则分别由《民法典》、《专利法》、《商标法》、《著作权法》及《土地管理法》等法律予以确定。然而，对于数据资源对应的权利，法律却并无明确的界定，其法律属性不够清晰。

1、现有法律对于“数据”所涉权利的界定

（1）一般规定

随着大数据应用的发展，法律对于“数据”所涉权利属性的探讨就一直没有停止过。既有认为数据属于一种新型权利类型的，也有认为数据属于知识产权的。

我国现行法律并未对数据所涉权利进行明确的界定，我国《民法典》第一百二十七条规定：“对数据、网络虚拟财产的保护有规定的，而且依照其规定”，《民法典》虽然将“数据”和“网络虚拟财产”并行列举，但并未明确将“数据”规定为某种财产权利。

《数据安全法》对于数据也并未直接设定权利，而是采用了“数据处理”这一表述，将数据的“收集、存储、使用、加工、传输、提供、公开”等作为数据处理的具体方式。

（2）个人信息

数据权利的界定，还需要考虑个人信息数据。我国《民法典》将个人信息与隐私权纳入了人格权编，并且对个人信息与隐私权做了专章规定。

《民法典》对于隐私做了权利界定，规定了隐私权受法律保护，但是并未对个人信息的权利进行界定。虽然个人信息受法律保护，但法律并未将个人信息设定为独立的权利类型。对于个人信息中的私密信息，根据《民法典》的规定，适用有关隐私权的规定。

我国《个人信息保护法》采用了“个人信息权益”这一概念。《个人信息保护法》第一条对于立法宗旨的概括即包括“保护个人信息权益”。第二条则规定，自然人的个人信息受法律保护，任何组织、个人不得侵害自然人的“个人信息权益”。

并且，《民法典》及《个人信息保护法》对于个人信息，采用的是围绕个人信息的处理创设具体权利义务，并通过明示告知、授权同意的约定及强制性规则体系进行规范。

（3）公共数据

在推进公共数据开放、鼓励社会力量进行开发利用过程中，将不可避免会触及公共数据的权属问题，部分地方公共数据立法的征求意见稿中曾经出现过将政务数据列入“特殊国有资产”的表述，但最终未采用此类表述。另一方面，对于公共数据中的大量个人信息，对于此类数据，法律也很难为其设定独立的权利类型。

（4）企业数据

对于企业数据而言，一类是商事主体，按照法律规定应予公开或者业务活动中自然公开的数据，此类数据，一般被认为各方均有合理使用的权利，对于不合理的使用，也通常可以通过反不正当竞争法予以规制；另一类是企业采取保密措施的数据，这一类数据则可以通过商业秘密予以保护。

综上，由于数据的复杂性，法律将数据的拥有或控制设定为特定的民事权利，具有一定的难度。

2、有关政策对于“数据”所涉权利的界定

由于法律对于数据权利并未专门进行界定，为了解决数据特性复杂、数据交易存在的确权难、定价难、互信难、监管难等问题，2022年12月19日，中共中央、国务院发布《关于构建数据基础制度更好发挥数据要素作用的意见》（该意见共二十条，因此又称“《数据二十条》”）。《数据二十条》并未直接对数据权利进行界定，而是创造性的采用了“三权分置”的方法，明确提出将数据所涉权利分为数据持有权、数据使用权和数据收益权三种权利内容，该三种权利内容可以由同一主体享有，也可以分别赋予不同的主体行使。同时，《数据二十条》还创造性地构建了数据资源持有权、数据加工使用权、数据产品经营权等分置的产权运行机制，以推进数据市场“共同使用、共享收益”的新模式，构建一个清晰、明确的数据产权制度框架，以促进数据要素的高效流通和合理使用。

根据上述法律法规及政策的规定，可以看出，数据本身并不涉及“所有权”概念，会计准则中所说的“拥有”一词，如果理解为法律上的“所有权”概念，则并不能准确界定数据的权利状态。同理，会计准则中提到的“控制”一词，如何与数据处理活动中的各个环节相对应，也将成为数据所涉权利界定的难点。

1、“拥有”或“控制”的界定

按照会计准则及《暂行办法》，对于数据资源的拥有或控制，是进行会计处理的前提条件，但是如何认定企业“拥有”或“控制”数据资源，则是操作过程中的一个难点。

（1）对拥有的认定

如上所述，“拥有”不是一个严格意义上的法律概念，与所有权不同，拥有本身也不是一种权利，而是一种状态，表明了对某种权利或者某种财产的占有和控制状态。

我国与财产有关的法律中，仅在《民法典》表述技术转让的过程中，用到了“拥有”一词。《民法典》第八百六十二条规定，技术转让合同是合法“拥有”技术的权利人，将现有特定的专利、专利申请、技术秘密的相关权利让与他人所订立的合同。技术许可合同是合法“拥有”技术的权利人，将现有特定的专利、技术秘密的相关权利许可他人实施、使用所订立的合同。从这一规定可以看出，此处“拥有”的客体是“专利”、“专利申请”、“技术秘密”的相关权利。

需要注意的是，《民法典》第八百六十二条仅针对技术转让和技术许可合同，且客体为专利、专利申请、技术秘密的相关权利，拥有可以理解为拥有上述几类知识产权的权利。

如果将“拥有”一词广义理解为权利人对于某种权利的持有状态，则其客体应为法律规定的权利。比如，对房屋拥有所有权，或者对专利拥有专利权。

但是，从《暂行办法》的规定看，虽然有“拥有”数据的表述，但法律上并不能找到对应的规定。如果法律并未对某种客体进行权利界定，则“拥有”的表述对于该类客体将难于适用。比如，对于个人信息而言，法律并未将其界定为权利，此时对于个人信息主体和个人信息处理者，如何界定“拥有”的主体，就会成为一个难题。需要进行数据资源会计处理的主体是企业，企业作为个人信息处理者，在其业务场景中收集了大量的个人信息，如果将企业作为个人信息的拥有者，将会与个人信息作为人格权的排他性产生冲突。再如，通过公开方式获取的数据，如通过爬虫等自动化程序从互联网获取的数据，由于数据本身的公开性，数据的发布者对于数据也拥有某种权益，此时，将数据的收集者界定为拥有者，也存在与发布者权利的冲突问题。

因此，笔者认为，在数据领域认定“拥有”，应从特定数据是否具有排他性来看待。以企业数据为例，企业公开的数据，由于发布方和收集方没有排他性，因此，均不宜于认定为“拥有”。但是，对于企业生产环节中，自行产生的数据，比如经营数据、设备运行数据等，如果采取的保密措施，则可以比照商业秘密而产生排他性，即可认定“拥有”。

对于个人信息，企业虽然合法收集，但个人信息可以被个人授权诸多企业使用，不具有排他性，因而不宜认定企业“拥有”个人信息。但是如果该等个人信息加工分析后，形成了某些统计性质的数据，则可以认定为企业“拥有”数据。

（2）关于“控制”的认定

“控制”与“拥有”相比，并没有排他性的要求，而是更加突出实际“占有”或“存储”的状态，并且应具有支配数据的能力或资格。从这个意义上看，“拥有”必然会“控制”，但“控制”则并不一定会“拥有”。

比如，推荐性国家标准《信息安全技术  个人信息安全规范》中，界定了“个人信息控制者”，即有能力决定个人信息处理目的、方式等的组织和个人。这一界定，与《个人信息保护法》第七十三条规定的“个人信息处理者”基本类似，该条款规定，个人信息处理者，是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。也就是说，“控制”的含义类似于“处理”，也有支配的含义。

此上述法律及国家标准可以看出，“控制”并不关注“排他”，而是关注实际的支配。数据处理者拥有的数据可能是自行采集、也可能是个人授权、或者是第三方提供，依据法律或者协议约定，该企业能够自主决定数据的使用方式、使用目的，就可以初步认定为企业对数据实施了“控制”。

当然，这一“控制”是受到诸多法律限制的。比如，对于个人信息而言，用户的授权仅限于提供服务期间，则此项控制的期间只能基于该期限认定。如果个人信息的使用方式、目的有明确限制，则控制范围也仅限于该特定方式、范围内。

由于“控制”的认定较为复杂，文章篇幅有限，仅能做部分示例，具体还应结合数据的产生方式、获取方式、数据的使用目的即方式限制、数据存储期限等诸多因素加以综合认定。

（3）“持有”不代表拥有或控制数据

在数据处理中，实际持有数据，并不代表“拥有”或“控制”数据，比如在数据的受托处理环境下，受托方虽然持有数据，但并不能认定为“控制”。

2、合法性界定

合法性的认定，是一个更为复杂的问题。从前述分析不难看出，拥有或控制环节，基本上贯穿了数据的生命周期。合法拥有或控制数据，意味着企业应确保数据生命周期的合法、合规。具体包括数据收集合法、存储合法、使用合法、加工合法、传输合法、提供合法、公开合法，合法性包含了一整套复杂的认定规则。

我们仅以个人信息获取的合法性为例予以说明，收集是处理个人信息的首要环节，也是个人信息数据的合法性基础。收集个人信息，是个人信息处理者与用户形成交互的首个环节，个人信息处理的知情同意往往在收集环节完成，对于后续如何保存、利用、对外提供、加工、公开个人信息，均需要在收集环节取得个人的同意。

《个人信息保护法》规定处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。以及处理个人信息应当遵循公开、透明原则，公开个人信息处理规则，明示处理的目的、方式和范围。仅是其中的最小必要原则，又会涉及到一系列复杂的规范，如关于APP收集个人信息的规则等。此外，对于用户的知情同意，《网络安全法》《民法典》及《个人信息保护法》《消费者权益保护法》规定了详细的规则。个人信息处理者应将个人信息的处理目的、处理方式，处理的个人信息种类、保存期限及其他法律规定的事项告知个人，并取得个人的同意。此外，对于特定事项，还应当取得个人的单独同意。对于不满14周岁的未成年人，其个人信息属于敏感个人信息，应当制定专门的规则。

除了个人信息外，测绘及地理信息数据、健康医疗数据、人类遗传资源信息数据，以及其他部分领域的数据，在收集环节，也有各自的法律限制。

加上存储、使用、加工、传输、提供、公开以及个人信息删除环节的法律规则，合法性的判断需要面对复杂的法律规则体系，也是数据资源进行会计处理过程中的至关重要的环节。

综上，尽管会计准则和《暂行办法》对于数据资源的合法拥有和控制进行了规定，但对于如何理解“合法拥有或控制”，则需要根据有关法律法规及监管规则、国家标准进行深入的研判。这不仅是数据资源确权的基础，也是进行数据资源入表的基本前提。