数据资源入表的企业合规自查要点 - 北京市兰台律师事务所

数据资源入表的企业合规自查要点

发布日期：

2026-04-13

近年来，中国政府高度重视数据要素市场的培育与发展。2020年，中共中央、国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》，首次将数据列为与土地、劳动力、资本、技术并列的第五大生产要素。随后，2022年12月发布的《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》（简称“数据二十条”）进一步提出了数据产权、流通交易、收益分配、安全治理等基础制度安排，明确了数据资源持有权、数据加工使用权、数据产品经营权“三权分置”的产权运行机制。

2024年1月1日起施行财政部印发《企业数据资源相关会计处理暂行规定》（以下简称“暂行规定”），明确了企业数据资源的确认、计量、列示和披露要求，为企业数据资源入表提供了直接的会计依据。为企业提升资产规模，降低资产负债率，并为数据资产质押融资、证券化等金融创新奠定基础。

尽管会计标准已经明确，但在实务操作中，企业面临着严峻的法律挑战。与传统的固定资产或无形资产不同，数据资源具有非实体性、易复制性、权属复杂性及强监管性等特点。

首先，权属界定难。数据往往涉及多方主体，包括个人用户、数据采集者、数据加工者及数据平台等。如何在法律上清晰界定企业对所持数据的权利边界，是入表的前提。若权属不清，数据资源可能面临被主张侵权的风险，导致资产价值归零。

其次，合规风险高。数据处理活动受到《数据安全法》《个人信息保护法》等法律法规的严格监管。若数据来源非法、处理过程违规或存在安全漏洞，不仅无法入表，还可能引发行政处罚甚至刑事责任。

最后，价值评估难。数据资源的价值高度依赖于应用场景及合规状态。同样的数据集，在合规状态下可能估值很高，但在违规状态下则可能成为“负资产”。因此，法律合规审查不仅是数据资源入表的门槛，更是价值评估的核心依据。数据资源入表，法律合规是前置条件，财务核算是后置结果。没有合法确权的数据是“毒资产”，不仅不能增值，反而可能成为企业的潜在风险。本文将深入探讨数据资源入表的法律前置条件，并为企业提供入表前的内部核查的合规要点，协助企业在数据资本化的浪潮中行稳致远。

一、数据资源的法律界定与入表意义

要理解数据资源入表，首先必须厘清“数据”、“数据资源”与“数据资产”在法律与会计层面的定义差异，并构建完整的规范体系认知。

数据（Data）根据《中华人民共和国数据安全法》第三条规定：“本法所称数据，是指任何以电子或者其他方式对信息的记录。”这是一个最基础的技术与法律概念，涵盖了所有形式的信息记录，包括原始日志、用户行为轨迹、传感器读数等。在此阶段，数据尚未经过加工，法律属性模糊，可能包含个人信息、商业秘密甚至国家秘密，不具备直接的资产属性。

数据资源（Data Resource）在《暂行规定》中，数据资源是指“企业合法拥有或控制的，能进行货币计量，且预期带来经济利益的数据”。这一概念强调了“合法拥有或控制”及“预期经济利益”。在法律层面，这意味着企业必须通过合法途径获取数据，并具备一定的控制能力（如技术保护措施、合同约束等）。数据资源是数据资产的前身，只有经过合规治理且满足资产确认条件的数据资源，才能转化为数据资产。

数据资产（Data Asset）这是一个经济学与法学交叉的概念。在会计语境下，数据资产是指确认为“无形资产”或“存货”的数据资源。在法律语境下，数据资产意味着企业对该数据享有排他性的财产权益（尽管目前法律尚未明确赋予数据完全的物权属性，但通过“三权分置”实现了类似效果）。

数据资产的核心特征包括：（1）合法性：来源及处理过程符合法律法规；（2）可控性：企业能够实际控制该数据，排除他人非法使用；（3）价值性：能够为企业带来现金流入或减少现金流出；（4）可计量性：成本或价值能够可靠计量。并非所有数据、数据资源都能成为数据资产，只有能够入表的数据资源才能具备成为数据资产的条件。涉及国家核心数据、未脱敏的个人信息、公共数据、来源非法的爬取数据，无论其商业价值多高，在法律上均不具备入表资格。企业在盘点数据时，必须首先进行法律合规性筛选。

企业为什么要费力做数据资源入表？其商业与法律价值主要体现在以下三个维度：

1.财务维度：优化报表结构与融资能力

数字经济发展中，企业的数据已经逐步成为是核心生产要素。传统会计处理往往将数据相关的研发投入费用化，导致资产被低估，利润被摊薄。但是通过数据资源入表，可以将符合条件的数据资源确认为资产，同步企业可以：

·增加资产总额：改善资产负债率，提升信用评级。

·平滑利润波动：将部分研发支出资本化，减少当期费用，提升净利润。

·拓宽融资渠道：入表后的数据资源可以作为企业的数据资产质押物进行融资、投资。

2.法律维度：强化权属保护与风险隔离 入表过程本身就是对数据权属的一次法律梳理。为了满足入表要求，企业必须厘清数据来源、授权链条及权利边界。这一过程有助于：

·确权固权：通过合同、技术措施及登记手段，强化企业对数据的控制力。

·风险隔离：识别并清理存在法律瑕疵的数据，避免未来发生侵权诉讼时波及核心资产。

·合规背书：入表所需的法律意见书及合规审计报告，可作为企业合规经营的有力证明。

3.资本维度：提升企业估值与交易便捷

在IPO或并购重组中，入表的数据资源能让投资者更清晰地看到企业的核心价值。

·估值支撑：数据资源作为无形资产，可直接提升企业估值。

·问询应对：科创板及创业板对数据合规性问询日益严格。提前入表并完成合规审查，有助于顺利通过上市审核。

·交易便利：在并购交易中，入表后数据资产可作为独立的交易标的，便于估值及交割。

二、数据资源入表的三个阶段

数据入表过程本身涵盖了多个不同阶段，根据数据资源利用的状态，企业可以进行“三次入表”，分别为底层数据资源初次入表、增值数据产品的二次入表以及金融资产转化的三次入表。从三次入表我们可以清晰的看到数据从资源化、资产化及资本化的全过程。

1.初次入表：底层资产的入表

初次入表主要指企业将已经实际形成的底层原始数据资源，依照《暂行规定》的要求，首次纳入会计层面的企业资产库。

2.二次入表：增值产品的入表

底层数据资源在经过加工和应用之后，必然形成新的附加值。二次入表就是将这部分增值以货币形式体现在财务报表中。数据资源的增值途径是多种多样的，通过应用、加工形成的新的数据产品、新增的数据库等都可以再次进行入表处理，形成企业新的资产。

3.三次入表：金融资产转化的入表

三次入表是指当数据资源通过交易或其他方式转化为货币计量的金融资产后，将其纳入财务报表的过程。主要体现在对数据资源进行信贷融资、投资入股、证券化后的入表处理。也是数据资源最终资本化的结果，充分体现了企业对数据资源充分利用和变现过程。

根据青岛数据资源登记评价中心2026年3月发布的《数据资源入表年度发展报告2025》提供的数据，在可以统计的已经完成数据资源入表的A股上市公司中，数据资源金额不足总资产的千分之一，且大部分为“无形资产”，以“存货”入表的占比仅为0.87%。由此可见，大部分企业目前对于数据资源的开发、利用大多局限在一次入表的水平，企业对自身数据资源的利用还有很远的路要走。

三、数据资源入表的会计分类与法律前置条件

根据《暂行规定》，数据资源入表主要有两种会计路径：无形资产和存货。不同的路径，对应的法律合规要求及权利特征也有所不同。企业需根据数据的具体用途及商业模式选择合适的路径。

（一）两种入表类型的法律特征与适用场景

1.无形资产路径

根据《企业会计准则第6号——无形资产》，无形资产是指企业拥有或者控制的没有实物形态的可辨认非货币性资产。在确认数据资源为无形资产时，必须满足可辨认的四个标准，即（1）相关数据资源可以从企业中分离或划分出来，并能单独或者与相关合同、资产或负债一起，用于出售、转移、授权许可、租赁或者交换；（2）数据资源源自合同性权利或其他法定权利，无论这些权利是否可以从企业或者其他权利和义务中转移或分离；（3）与该些数据资源的有关经济利益很可能流入企业；且（4）数据资源的成本是可以可靠计量的。确权为无形资产的数据资源应在企业内部使用或通过许可、授权的方式允许他人在约定范围内使用。例如，企业利用数据优化内部管理流程、提升生产效率、训练内部AI模型等。合规关注要点就是企业是否拥有数据的持有权和使用权，审查核心重点在于“控制”，即企业能够排他性地使用该数据，并禁止他人未经授权使用。

2.存货路径

根据《企业会计准则第1号——存货》，存货是指企业在日常活动中持有以备出售的产成品或商品、处在生产过程中的在产品等。确认数据资源为存货时需要满足以下两个条件：（1）与该存货有关的经济利益可能流入企业；（2）该存货的成本可以可靠地计量。企业对数据资源的利用如果是对外出售则应以存货入表。例如，企业将清洗后的数据集、API接口、数据报告等作为产品对外销售。此时的数据资源就通过入表形成了数据产品，合规关注的要点就是企业是否拥有数据产品的经营权，审查核心重点在于“可交易性”，即企业有权将该数据产品转让给第三方，且转让不违反法律法规及合同约定。

（二）数据资源入表的三大法律前置条件

财务确认资产需要满足“与该资源有关的经济利益很可能流入企业”和“该资源的成本或者价值能够可靠地计量”。在法律层面，与之对应着三个前置条件，缺一不可。

条件一：数据来源合法性——入表的“入场券”。这是入表的最基本要求，企业必须证明数据的采集、获取途径合法。根据《数据安全法》第三十二条：“任何组织、个人收集数据，应当采取合法、正当的方式，不得窃取或者以其他非法方式获取数据。”因此，涉及个人信息的，需获得单独同意或授权；涉及公共数据的需经过政府授权运营协议确认；涉及第三方采购的，需审查供应商的权利链条，确保无侵权瑕疵；如果是通过爬虫行为采集的数据，需遵守robots协议，不得突破技术防护措施。企业有义务对其数据来源合法性进行全面说明，并采取一定措施保证或证明数据来源合法性问题。

条件二：明确的权利持有权——入表的“核心”。企业必须证明依据《暂行规定》明确其对数据资源拥有控制权，能够排除他人干涉。数据资源具有非排他性，法律上需通过技术措施和合同条款来构建“事实上的控制”。一方面，企业通过加密、访问控制、水印等技术手段，证明企业能实际控制数据，同时企业也要与员工、供应商、用户签订的协议中，是否明确约定数据归属及使用限制。对于可以确权的的数据资源，根据各地数据交易所的登记规则，获得登记证书，以便作为权属证明。

条件三：流通安全性——入表的“底线”。数据资源必须符合国家数据安全标准，不涉及禁止或限制交易的内容。企业应根据《数据安全法》的相关规定，完成对数据资源的分类分级管理，识别是否包含“核心数据”或“重要数据”。涉及个人信息的，还需要根据《个人信息保护法》要求获得“同意”，并完成脱敏处理。同时企业通过数据安全风险评估，确保无重大安全隐患。若存在安全漏洞，不仅无法入表，还可能被监管叫停业务。因此数据资源入表之前企业需要建立全面的数据合规管理的体系，并对数据采集、脱敏、清洗、标注、整合、权属规则、安全管理、审核批准、交易流通等建立一套完整的标准，确保相关入表后的数据资产可以依法流通和安全利用。

四、数据资源入表的企业合规自查要点

数据资源入表不仅仅是某个节点的合规动作，而是一个数据资产全流程的合规管理过程。结合实务经验，我们总结数据资源入表前企业合规审查要点，企业可据此进行初步自查。

（一）数据内容合规自查

1.合规性审查：审查数据的收集、存储、使用和传输是否符合法律法规的要求；数据内容是否违反法律法规禁止收集、传播；

2.真实性审查：核实数据的来源是否合法，是否经过验证和审查。检查数据是否存在虚假、错误或误导性信息。

3.完整性审查：评估数据是否完整，是否存在缺失或损坏的情况。

（二）数据来源合规自查

1.通用审查要点

·是否确保了数据来源的合法性、正当性与安全性。

·是否存在侵害第三方权益情形，尤其是从公开渠道获得的数据。

·第三方够得的数据需要核查交易主体的资质和授权、标的数据是否存在超范围授权使用、交易主体相关义务及责任等。

·是否建立了数据可追溯机制，完整记录了数据的原始提供者、收集时间、方式及流转记录。

2.内部生成数据来源合规自查

核查数据生成符合企业战略规划，数据生成目的明确且符合企业合规流程。

·核查数据生成的技术手段及方法是否可靠、安全。

·核查企业是否建立了有效的数据质量管理体系，保证数据的准确、完整、一致和及时。

·核查企业是建立了内部审查部门和岗位，定期对数据生成活动进行监督和审计。

3.外购数据来源合规自查

·供应商经营情况、对数据采集、处理和销售资质进行核查。

·供应商应对数据来源合法性进行说明，数据采集过程是否符合法律法规及道德标准。

·供应商是否拥有合法的数据使用授权，授权时间及范围条款，是否对企业使用数据存在限制。

4.公开收集数据来源合规自查

·确认公开收集数据的具体目的合法且未超出必要范围。

·数据是否来自政府公开平台、合法新闻媒体等正规公开渠道？是否核实了来源的真实性。

·若使用网络爬虫技术，是否遵守了Robots协议？是否未对服务器造成过度负担？是否未侵犯网站著作权或构成不正当竞争？

·收集过程中是否采取了足够的隐私保护措施，确保未非法获取个人隐私信息？

·是否对数安全性采取了保函措施，避免数据未经授权被访问、篡改或丢失。

·是否对公开收集的数据进行了质量评估（准确性、时效性），并排除了错误或过时数据？

5.个人授权数据来源合规自查

·对个人授权进行真实性核查，是否验证了授权过程中的身份认证信息，确非冒名顶替或伪造？或获得了相关承诺或保证。

·确认授权行为符合《个人信息保护法》规定，涵盖了数据使用的所有必要方面。

·确认授权在有效期内，不存在被撤销或变更的情况。企业也已经提供了便捷的撤回授权渠道。

·建立了完善的审查记录制度，并对授权文件进行了妥善存档（保留期限符合业务要求）。

（三）数据处理合规审查

1.数据收集

·数据收集应遵循合法、正当、诚信及权责一致原则。

·收集的个人信息类型、频率及数量是否与业务功能直接关联且为“最小必要”？

·是否已取得个人信息主体的授权同意（特别是未成年人需取得监护人同意）？是否保留了《隐私政策》及《用户协议》签署记录。

·收集个人敏感信息（如生物识别、医疗健康等）前，是否取得了单独的明示同意？是否进行了个人信息保护影响评估？

2.数据存储

·个人信息的保存期限是否为实现目的所必需的最短时间？是否符合特定行业法定存储期限（如网约车不少于2年、医疗病历不少于30年等）？

·是否采取了去标识化、加密存储、物理/逻辑隔离等措施？是否实施了最小授权的访问控制策略？

·是否遵守了数据本地化存储要求（如关键信息基础设施运营者、医疗、金融等数据需境内存储）？

·对于超过存储期限或停止运营的产品数据，是否及时进行了删除或匿名化处理？

3.数据使用

·是否建立了最小授权的访问控制策略？重要操作（批量修改、下载）是否有内部审批流程

·使用范围是否未超出收集时声明的目的？如超出是否重新征得同意？

·如利用数据进行自动化决策（如信贷审查、定向推送），是否公示了基本原理？是否提供了拒绝自动化决策的选项？是否进行了个人信息安全影响评价？

·个性化展示是否显著区分？是否提供了非个性化展示选项及关闭个性化展示的功能？

4.数据加工

·是否建立了数据清洗、转换、分析的管理制度？是否采取了测试环境与生产环境隔离措施？

·融合合规：数据汇聚融合前是否进行了风险评估？如融合后超出原授权范围，是否重新获取了授权？

·衍生数据：是否对汇聚融合后产生的衍生数据重新开展了分类分级保护？

5.数据传输

·是否采取了传输通道加密、数据内容加密、接口安全认证等措施？

·如涉及向境外提供数据，是否履行了数据出境安全评估、标准合同备案或个人信息保护认证义务？是否取得了个人的单独同意？

6.数据提供

·向第三方提供数据前，是否进行了安全影响分析和风险评估？

·是否评估了接收方的数据保护能力？是否签署了数据处理协议，明确双方权利义务？

·委托第三方处理时，是否明确了处理目的、期限、方式，并监督其处理行为？

7.数据公开

·数据公开是否尊重社会公德、商业道德，未侵害国家、社会及他人权益？

·公开前是否采取了脱敏处理等技术措施？是否建立了风险监测机制。

·原则上不公开披露个人信息，确需披露的（如涉及公共利益），是否已取得个人明示同意并进行安全影响评估。

（四）数据管理合规审查

·是否制定了数据安全管理制度（包括分类分级、访问控制、应急响应、合作方管理等）？

·是否设立了数据安全管理机构，明确了数据安全负责人及决策机制？

·关键岗位人员录用前是否进行了背景调查？

·是否与涉及数据服务的人员签订了保密协议？人员离岗时是否及时终止了系统权限？

·是否定期开展数据安全意识及技能培训？

·是否建立了合作方/外包服务机构的安全评估机制？

·服务合同中是否包含数据安全保护条款、违约责任及赔偿条款？

·外包人员访问权限是否限于最小必要范围？是否对外包服务过程进行了监督审计？

·是否制定了数据安全事件应急预案？是否定义了事件类型及处置流程？

·是否建立了投诉举报渠道？近三年是否有安全事件记录及处置报告？

（五）多主体数据合作合规审查

·是否核实了数据提供方（如数据中介、供应商）的身份及数据来源的合法性？

·是否确认了数据接收方具备相应的数据安全保障能力？

·合同中是否明确约定了数据处理的目的、方式、范围及各方权利义务？

·是否存在“不公平条款”（如单方面限制救济、不合理免除责任、阻碍数据退出等）？

·是否包含瑕疵担保和补偿性条款（针对包含作品片段或多重权利属性的数据）？

结语

数据资源入表是企业数字化转型的里程碑，但绝非终点。它标志着数据从“技术资源”正式迈向“经济资本”。然而，这一过程充满了法律挑战与合规风险。

作为企业掌舵者，必须认识到：数据资源入表，合规先行。只有建立在合法权属、安全合规基础上的数据资源，才能真正成为企业的核心竞争力和资本增值引擎。

作为法律专业人士，我们的角色也在发生转变。我们不仅是风险的防控者，更是资产价值的发现者和架构师。通过专业的法律服务，我们协助企业厘清数据资源的权属、规避风险、优化结构，最终实现数据资产价值的最大化。

本系列文章将持续深入探讨数据资本化的各个维度。下一篇，我们将聚焦于数据确权的核心难题，深入探讨《数据确权“三权分置”的律师解读与商业落地路径》，解析如何在没有物权法保护的情况下，通过合同与技术构建数据产权护城河。

敬请关注。

【免责声明】本文仅代表作者个人观点，基于截至2025年的法律法规及实务经验撰写，不构成正式法律意见或投资建议。数据资源入表涉及复杂的专业判断，企业在实操前请咨询专业律师、会计师及评估师。法律法规可能随时更新，请以最新官方文件为准。

【互动环节】您的企业在数据盘点过程中遇到了哪些权属难题？对于数据合规成本资本化有何看法？欢迎在评论区留言，我们将选取典型问题在后续文章中解答。添加韩玲律师微信hanlinglvshi，对数据资源入表合规审查进行详细咨询，有机会获得完整版《企业数据资源自查清单》。

作者：韩玲

上一篇:兰台商规丨国家金融监督管理总局官方问答典型问题梳理及分析下一篇:股权激励协议特殊条款的效力审查