从资产要素之定义重新审视“数据资产”

史学智 阳镇

概念厘清

（一）数据的定义

探讨“数据资产”，我们首先要理解什么是数据。维基百科中把数据（Data）定义为通过观测得到的数字性的特征或信息。但是，这个概念并不准确。广义来看，数字可以是数据；狭义来看，数字是具有数量意义的符号，基于数字能够进行代数运算。而数据是我们利用某些约定的方式对客观世界进行记录和表达的产物，可以是定性的，也可以是定量的，数字只是其中的一种呈现方式。除了数字以外，我们还可以通过文本、图形、声音等格式对数据加以呈现。因此，数据与数字并不等同。同样，数据与信息也是两个不同的概念。数据是信息的表现形式和载体，数据经过加工处理后得到信息；信息依赖数据来表达，同时又赋予数据以含义。当然，数据本身也可以成为信息。除了数据与数字、数据与信息外，我们还要进一步区分数据与信号。信号也可以是信息的载体，信号在既有知识经验框架或手册下经过转换形成信息。但是，信号与数据最大的差别在于，信号主要表现为信息发送和接收的载体，而数据主要是信息存储的载体，故我们可以把信号认为是结构化的数据形式。考虑到在新业务模式下，数据主要以电子化的方式呈现。因此，我们进一步将数据的定义狭义化，认为数据是对客观世界进行的电子化的记录和表达。

（二）资产的定义

理解了什么是数据后，我们要接着弄清楚什么是资产。需要明确的一点是，本文涉及的资产要素的定义以新概念框架为基准。国际会计准则理事会（IASB）在2018年发布的新修订的《财务报告概念框架》中把财务报表要素之“资产”定义为“由于过去事项所导致的、由主体控制的现时经济资源”，其中，“经济资源是指有潜力产生经济利益的权利”。与之不同，旧的财务概念框架中则把资产要素定义为“由于过去事项而由主体控制的、预期会导致未来经济利益流入主体的资源”。两者最大的区别在于，旧概念框架的关注点在于经济利益的最终流入，而新概念框架则淡化了对经济利益流入可能性的标准，明确定义资产是经济资源，将资产聚焦于主体控制的权利，实现了资产的实质由实物资产向权利的转变（陆建桥，2018）。这一点对于我们后面具体分析“数据资产”概念是非常重要的。

基于上述分析，如果粗糙地把数据和资产的定义组合在一起，我们可以简单地认为数据资产就是以电子化形态对客观世界进行记录和表达的资产。但是，在对数据资产进行定义时我们首先应该解决的问题是到底能不能把数据作为一项资产？其次才是解决如何对数据资产进行定义的问题。数据是资产，听起来似乎很有道理，实则经不起推敲。而现有很多文献在探讨所谓的数据资产时，往往都忽略了这一点，直接就把数据默认为一项资产去探讨它的确认和计量问题，这是不恰当甚至是严重错误的。

数据资产化的基本前提

首先，数据满足“由过去事项所导致的”这一界定。对于企业来说，大部分数据是由过去的生产经营活动带来的。但是，由企业过去事项所产生的数据却未必是企业所控制的现时经济资源。假设我们把数据当作一项资产，那么根据资产要素的定义，数据资产必须是由主体控制的有潜力产生经济利益的权利。由此引出的一系列问题是，产生经济利益的权利是以何种形式存在的？仅仅是使用权是否足够？谁是控制权利的主体？是企业，还是每一条数据对应的个体？如果是企业，那么企业是否真的有权力控制数据，尤其是涉及个体隐私的部分？如果是个体，那么个体的数据是否真的具有价值？再者，数据如何为控制它的主体带来经济利益？尽管大众普遍认可数据的商业价值，国内目前出现了不少的数据交易中心，比如贵阳大数据交易所、上海数据交易中心、京东万象、数据宝等专业机构或平台，但是否所有数据都能够带来经济利益也是值得商榷的。因此，数据资产化有三个重要前提，一是清晰地定义控制的主体，二是明确主体控制的权利，三是判断数据产生经济利益的潜力。

本文主要从企业主体的角度出发探讨数据是否能够被定义为一项资产。

（一）企业控制的数据类型

要验证上述条件，我们首先要回答的问题是企业是否有权力（power）控制数据，以及控制的是什么样的权利（rights）？前者等价于判断企业的控制是否合法合规，而后者主要是限定权利的范围。根据概念框架，控制至少需要满足三个要求，一是企业有能力直接使用这项数据，二是企业有能力从中获取可变的回报，三是企业行使上述两种权利是合法的。当企业同时满足这三个要求时，我们认为企业控制与数据相关的权利。需要額外指出的是，控制具有排他性，当一家企业对数据拥有控制权时，一定不存在任何其他企业对该数据也同时拥有控制权，这意味着控制主体的单一性。

1. 权利的表现形式

权利可能表现为多种形式。和法律中的权利与义务的关系不同，新概念框架指出，一个主体拥有的权利可能对应于另一个主体的义务，也可能并不与之相对应。与另一个主体的义务相对应的权利包括收取现金、接受货物或服务、以优惠条件与另一方交换经济资源，或者在未来某一特定的不确定事项发生时从另一方的经济资源转让义务中获利等权利；而不与另一方的义务相对应的权利主要包括使用有形资产或者无形资产等权利。由于权利的行使离不开对数据的使用，而行使权利的最终目的又是为了获取经济利益。因此，我们将与数据相关的权利归纳为“直接使用权”和“收益权”，对应于上一段中提到的“企业有能力使用这项数据”且“有能力从中获取可变的回报”两个要求。

企业如果有能力通过“收现”、“收货”、“交换”或“使用资产”中的一种或多种方式确保自身能够使用数据并获取收益，则说明企业控制了与数据相关的直接使用权和收益权，满足控制的要求（需要指出的是，控制权并不等于所有权，这意味着企业控制的某类数据的所有权可能是归属于其他方的）。

2. 权利实现的途径

假定企业有能力行使对数据的直接使用权和收益权，进一步地，我们需要判断企业是否有权力去行使这两项权利。而企业是否有权力控制数据首先涉及到数据的权利归属问题。在法学界，已经有很多学者对数据的权属问题展开了讨论，但也并未达成共识。

由于不同类型的数据其权利归属是不同的，因此，企业并不是对所有类型的数据都有权力控制。目前，有关数据类型最主流的划分方式是按照数据的产生主体（输出主体）将其划分为个人数据、政府数据和商业数据三类。所谓个人数据，是指“与个人相关、能够识别个人身份的数据”，由于个人数据中包含了与姓名权、隐私权相关的人格权的内容，故其权属应当属于个人，而与企业无关。所谓政府数据，是指“政务部门在履职过程中获取或制作的数据”。其中，就公开的政府数據而言，由于公众对其享有知情权、访问权、使用权等，故其权属应当属于公众，但其中若涉及到个人数据仍应当归属于个人；就非公开政府数据而言，其权属应归属于国家，仍与企业无关。由此来看，只有商业数据的直接使用权和收益权可能归属企业，这意味着企业有权力控制的只可能是商业数据。

那么，判断企业是否有权力对商业数据实现上述两项权利有两种渠道，一是看企业是否能够通过合同、立法等手段确保自己行使法定权利的能力，二是看企业是否能够通过其他方式，如创造不属于公有领域的专有技术，确保自己行使权利的能力。根据王融（2016），企业可以通过“知识产权”、“商业秘密”和“市场竞争合法权益”三个法学层面的权利来确保自己有权力实现对数据的直接使用权和收益权。一方面，就企业自身在生产经营过程中产生的、与其他主体无关的商业数据而言，“权力”的判断就相对容易。具体来看，如果是企业发明或发现的具有独创性的成果而言，企业可以通过知识产权的方式来实现经济利益，其实质就等价于我们所说的通过创造专有技术的方式获取控制；如果是涉及企业商业秘密的数据，那么根据《关于禁止侵犯商业秘密行为的规定》、《反不正当竞争法》等商业秘密保护规定，企业也是有权力获取相应的权利的，即使这些数据并不受注册专利或者知识产权的保护，其实质等价于通过国家立法的方式获取控制。但是，控制的排他性也意味着一旦商业秘密遭泄露，其他企业也有能力对该数据行使直接使用权和收益权时，那么企业虽然有权力控制数据，但不再有能力去控制这些商业数据。另一方面，就其他主体在企业生产经营过程中产生、由企业信息系统呈现的商业数据而言，“权力”的判断就相对困难，因为涉及到其他主体的隐私问题，我们无法简单的将上述几种方式带入验证。众所周知，很多大型互联网企业，诸如阿里巴巴、腾讯、百度等，掌握了大量的与用户身份信息、支付交易、社交网络、位置轨迹以及日志浏览相关的可能涉及用户隐私权的数据。这些数据依托于互联网平台产生，既来源于用户的输入行为，又来源于平台信息系统的加工处理和输出行为，产生权益交叉问题。尤其是在个人信息隐私保护问题下，企业对于用户数据的使用权和收益权是受限的，那么企业究竟是否有权力控制这些数据并且有能力行使对数据的直接使用权和收益权？要回答这个问题，我们必须将商业数据再分解为“原生数据”和“衍生数据”（杨立新和陈小江，2016）。其中，衍生数据还可以被进一步拆分为经匿名化处理且不可复原的衍生数据，以及未经匿名化处理或经匿名化处理但可复原的数据（后文统称未经匿名化处理的数据）。

杨立新和陈小江（2016）将原生数据定义为“不依赖于现有的数据而产生的数据”，将衍生数据定义为“原生数据被记录、储存后，经过算法加工、计算、聚合而成的系统的、可读取、有使用价值的数据”。原生数据接近于前文所说的对客观世界进行记录和表达，而衍生数据实际上是在此基础上进行了加工处理，更接近于我们所说的信息。如果是商业原生数据，那么实际上只是企业平台对于用户信息电子化的记录和表达，数据本身涉及用户的隐私。如果是未经匿名化处理的商业衍生数据，那也只是企业平台通过某些算法对已记录的用户数据进行加工后的表达，经过一些复原处理后仍能恢复为原生数据，无法将用户隐私完全抹去。因此，我们无法直接判断这两类数据的权属究竟归属于企业还是用户。本文认为一个可行的方法是区分数据的所有权和使用权。一方面，从源头来看，这两类数据是可以追溯到每一个用户的，企业只是负责采集存储和输出这些数据，因此，原生数据或未经匿名化处理的数据的所有权应当归属于每一个与之对应的用户；另一方面，大部分互联网平台的相关服务都是“免费”提供给用户使用的，企业为采集存储和输出数据投入了大量的资源，没有企业平台的技术及算法处理，用户的每一条数据可能毫无价值可言。因此，原生数据或未经匿名化处理的数据的使用权应当归属于企业。但是，这种使用权应当是合法的，企业只能在获得用户授权的前提下对用户数据进行采集和存储，并通过协议约定的方式将这两类数据内部自用或者间接地为其他方提供服务（数据不传输给其他方，只有企业自身可以读取和使用），而不能将这两类数据直接提供给其他方或用来交易，否则将造成用户隐私泄露等不良后果甚至严重的社会问题。如果是经匿名化处理且不可复原的衍生数据，那么所有权和使用权的讨论不再必要。我们既可以同前面一样认为经匿名化处理且不可复原的衍生数据的所有权归属于用户、使用权归属于企业，也可以认为其所用权和使用权都归属于企业，因为衍生数据经不可复原的匿名化处理后已经隐藏了用户ID，无法再追溯到其对应的每一个用户，所有权也就无从谈起。2017年6月1日实施的《网络安全法》实际上为企业控制这类数据的合法化提供了法律依据，其中第四十二条明确指出“未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。”