法律界定是基础
用户数据资产归属的确定,首先要建立在坚实的法律基础之上。我国法律体系对数据权属的规定并非“一刀切”,而是根据数据类型、生成场景和主体关系进行差异化界定。根据《中华人民共和国民法典》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规,用户数据可分为“个人信息”和“数据产品/资源”两大类,其权属规则存在本质区别。个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,如姓名、身份证号、行踪轨迹等;而数据产品/资源则是企业基于个人信息加工、分析后形成的具有商业价值的数据集合,如用户画像、消费趋势报告等。对于个人信息,《个人信息保护法》明确“个人对其个人信息享有依法决定、查阅、复制、更正、补充、删除等权利”,这意味着个人信息的所有权归属于用户本人,企业仅可在用户授权范围内进行收集、处理和使用。例如,某电商平台收集用户的购买记录用于商品推荐,必须事先获得用户的明确同意,且不得超出授权范围将数据用于其他商业目的。这一点在2023年北京互联网法院审理的“某APP非法收集用户位置信息案”中得到印证,法院最终判决APP运营方停止侵权、赔偿用户损失,并明确“用户对其位置信息享有控制权,企业无权擅自收集和使用”。
.jpg)
对于数据产品/资源,法律并未直接规定所有权归属,而是强调“数据处理者”的权益和责任。《数据安全法》指出“数据处理者对其处理的数据安全负责”,同时鼓励“数据开发利用和数据安全技术研究,支持数据开发利用技术和数据标准体系建设”。这意味着企业对合法收集、加工后形成的数据产品/资源,享有“使用权”和“收益权”,但这一权利的行使必须以不侵犯个人信息权益为前提。例如,某社交媒体平台基于用户的社交关系链数据开发出“好友推荐算法”,该算法作为数据产品,其所有权和使用权归属于平台企业,但平台不得利用该算法强制用户添加好友,或未经用户同意将社交数据用于广告推送。实务中,我们常遇到企业将“用户数据资产”简单等同于“服务器中存储的数据”,这种认知是错误的——服务器仅是数据的载体,数据的权属取决于其生成基础和加工过程。正如中国政法大学知识产权研究中心研究员张楚教授所言:“数据权属不是‘非此即彼’的绝对权,而是一种‘分层确权’的相对权,个人对原始数据享有控制权,企业对衍生数据享有有限使用权。”
值得注意的是,法律对“数据资产”的界定仍在不断细化。2022年财政部发布的《企业数据资源相关会计处理暂行规定》明确,企业“预期会给企业带来经济利益、企业拥有或者控制的数据资源,应当作为资产计入资产负债表”。这一规定首次将数据资源纳入会计核算范畴,但前提是“企业拥有或者控制”——这意味着只有企业能够合法拥有或控制的数据资源(如经用户授权加工的数据产品、通过合法交易获得的数据等),才能被确认为资产并纳入工商登记的注册资本或出资范围。例如,某大数据公司将经用户授权脱敏后的消费数据集作为无形资产出资,必须提供用户授权书、数据脱敏证明、第三方评估报告等材料,证明其对该数据资产拥有合法权利。否则,即使数据存储在企业的服务器中,也无法被认定为法律意义上的“资产”,更不能用于工商登记中的出资。这种“法律确权先行”的原则,是企业在工商登记中确定用户数据资产归属的根本遵循。
登记实务有讲究
企业工商登记是数据资产“从法律权利到商业实践”的关键环节,但现行登记制度对数据资产的登记规则仍存在模糊地带。从实操来看,用户数据资产主要通过“经营范围”“注册资本”“出资方式”三个维度体现,但登记机关对此的审查标准并不统一,导致企业常常陷入“想登不敢登、登了怕被查”的困境。在经营范围方面,部分企业试图通过“数据处理和存储服务”“大数据分析服务”等表述涵盖用户数据资产的运营,但这种笼统的表述无法清晰反映数据资产的权属状态。例如,某创业公司在经营范围中仅填写“互联网信息服务”,未明确其用户数据资产的来源(如自采、用户授权、第三方合作等),在后续融资中被投资方质疑“数据资产来源不透明”,不得不花费大量时间补充说明。对此,我的建议是:企业在登记时,应在经营范围中具体说明数据资产的类型和权属基础,如“经用户授权的个人信息处理服务”“基于合法脱敏数据的大数据分析服务”等,避免模糊表述引发后续争议。
注册资本中的出资问题更为复杂。根据《公司法》,股东可以用货币出资,也可以用实物、知识产权、土地使用权等可以用货币估价并可以依法转让的非货币财产作价出资。近年来,部分企业尝试将用户数据资产作为“无形资产”出资,但登记机关对此的审查极为严格。我曾遇到一家人工智能企业,计划将其研发的“用户行为预测模型”(基于合法收集的用户数据训练)作价500万元作为注册资本,但当地市场监管局以“数据资产价值评估不明确、权属证明不充分”为由不予核准。最终,该企业不得不改为货币出资,另行通过技术许可方式使用该数据模型。这一案例反映出:用户数据资产作为出资,必须满足“可评估、可转让、权属清晰”三大条件,且需提供由专业评估机构出具的资产评估报告、律师事务所出具的法律意见书等材料。例如,某电商平台在增资扩股时,将“用户消费数据资产包”(含用户授权书、数据脱敏证明、第三方评估报告)作为无形资产出资,经市场监管局审核后顺利登记,评估价值达2000万元。这种“材料齐全、程序合规”的出资方式,值得同类企业借鉴。
此外,登记机关对“数据资产”的认定标准存在地域差异。在经济发达地区(如北京、上海、深圳),登记机关对数据资产的接受度较高,已形成相对成熟的审查流程;但在部分二三线城市,登记人员对数据资产仍缺乏认知,可能将其视为“虚拟资产”而拒绝登记。针对这一问题,企业可采取“差异化登记策略”:在数据资产价值较高或涉及融资需求时,优先选择登记政策宽松的地区(如自贸区、数字经济示范区)办理登记;在常规经营中,可先将数据资产作为“无形资产”在财务报表中核算,待登记政策明确后再补充登记。同时,企业应密切关注国家市场监管总局等部门出台的《数据资产登记管理办法》等文件,及时调整登记策略。例如,2023年深圳市市场监管局发布的《深圳经济数据数据要素市场化配置改革实施方案》明确提出“探索数据资产登记确权制度”,当地企业可借此机会,将数据资产纳入工商登记的“资产清单”,提升企业资产透明度。
合同约定定边界
法律和登记制度为用户数据资产归属提供了框架性指引,但具体权属边界仍需通过合同约定明确。在数字经济中,用户数据的收集、处理、使用涉及多方主体(用户、企业、合作方等),仅依靠法律规定难以覆盖所有场景,合同约定成为填补法律空白、细化权责分配的关键工具。从实务来看,合同约定主要体现在三个层面:用户协议、数据合作合同、内部管理制度。用户协议是企业与用户之间关于数据使用的“根本大法”,其核心在于“告知-同意”原则——企业必须以清晰、易懂的语言向用户说明数据收集的范围、目的、方式及使用范围,并获得用户的明确同意。例如,某社交软件的用户协议中明确“用户授予平台非独家的、免费的、可转授权的使用权,用于向用户提供服务、优化产品体验、开展合规营销活动”,这一条款既保障了用户的知情权,也为平台使用数据提供了合同依据。用户协议中的“授权范围”直接决定了企业对用户数据的使用边界,超出授权范围的使用不仅构成违约,还可能面临行政处罚。2022年上海市市场监管局对某外卖平台的处罚案例中,该平台在用户协议中未明确“将用户地址信息用于广告推送”,最终被处以50万元罚款,这一教训值得所有企业警醒。
当企业涉及数据合作(如数据共享、数据加工、数据交易)时,数据合作合同的重要性更加凸显。数据合作合同应明确约定数据的来源、权属、使用范围、保密义务、违约责任等核心条款,避免因“权属不清”引发纠纷。我曾处理过这样一个案例:某零售企业与第三方数据公司合作,约定由数据公司提供“区域消费趋势数据”,用于门店选址。合同中仅约定“数据公司保证数据来源合法”,未明确数据是否包含个人信息、是否经过脱敏处理。后续因数据中的用户联系方式被用于营销,被用户起诉,零售企业作为“共同数据处理者”承担连带责任,损失惨重。这一案例表明:数据合作合同必须对“数据权属”进行穿透式审查,要求合作方提供数据来源证明(如用户授权书、原始数据收集记录)、数据脱敏证明,并约定“权属瑕疵担保条款”——若因数据权属问题引发纠纷,由合作方承担全部责任。例如,某金融科技公司与第三方数据平台合作时,在合同中明确“数据平台保证所提供数据已获得用户合法授权,且不包含任何个人信息,若因数据权属问题导致我方被投诉或处罚,数据平台应赔偿我方全部损失”,有效规避了潜在风险。
企业内部管理制度是合同约定的“延伸保障”,也是工商登记中证明数据资产权属的重要材料。许多企业认为“只要签了合同就万事大吉”,忽视了内部管理对数据权属的巩固作用。实际上,完善的内部管理制度不仅能规范员工行为,还能在纠纷发生时作为“证据链”的一部分,证明企业对数据资产的合法控制。例如,某互联网企业制定了《数据资产管理办法》,明确“数据资产的收集、存储、使用、销毁必须经过合规审查,所有数据操作需留痕存档”,并设立了“数据资产台账”,记录每项数据资产的来源、授权文件、评估报告、使用记录等信息。当该企业在进行工商登记时,这套完整的台账体系被登记机关采纳,作为其拥有数据资产权利的证明。内部管理制度的核心在于“流程化”和“可追溯”,通过明确数据资产的管理部门、岗位职责、操作规范,确保数据资产的权属状态始终清晰可控。正如一位资深数据合规律师所言:“合同约定是‘前台’的权属声明,内部管理是‘后台’的权属保障,两者缺一不可。”
技术管理护权属
法律和合同为用户数据资产归属提供了“制度保障”,而技术手段则是“物理保障”。在数据极易被复制、篡改、泄露的数字时代,若缺乏有效的技术管理,即使法律和合同明确了权属,企业也可能因数据失控而丧失对数据资产的实际控制。技术管理对数据资产权属的保护主要体现在三个方面:数据标识、数据加密、权限控制。数据标识是“数据资产的‘身份证’”,通过为每项数据资产赋予唯一标识符(如数据指纹、哈希值),实现数据的溯源和追踪。例如,某电商平台对其收集的“用户购买记录”进行标识,生成包含“用户ID(脱敏)、数据生成时间、数据类型、授权范围”等信息的唯一编码,并将该编码与数据文件绑定。当该数据被用于生成“消费趋势报告”时,系统会自动记录数据的使用路径、修改记录、访问人员等信息,形成完整的“数据生命周期日志”。这种“标识化”管理使得企业能够清晰证明“某项数据资产的来源、流转过程和当前状态”,在发生权属争议时提供技术证据。2023年某数据泄露事件中,涉事企业通过数据标识日志迅速锁定了泄露数据的来源和责任人,避免了权属纠纷的扩大。
数据加密是“数据资产的‘安全锁’”,通过加密技术防止数据被未授权访问或篡改,确保只有合法主体才能使用数据。根据加密对象的不同,数据加密可分为“传输加密”和“存储加密”:传输加密通过SSL/TLS协议等,确保数据在传输过程中不被窃取;存储加密则通过AES、RSA等加密算法,确保数据在存储介质中不被非法读取。例如,某医疗健康平台对用户的“病历数据”采用“端到端加密”,即数据在用户设备端加密后,只有经过用户授权的医疗机构才能解密查看,平台自身也无法获取原始数据。这种加密方式不仅保护了用户隐私,也使得平台能够证明“其对原始病历数据不拥有‘解密密钥’,仅承担‘传输通道’的角色”,从而明确了数据资产的权属边界。加密技术的核心在于“权限分离”——即使数据存储在企业的服务器中,没有密钥也无法访问,这从技术上强化了企业对数据资产的“有限控制权”。需要注意的是,加密密钥的管理同样重要,企业应建立“密钥全生命周期管理制度”,避免密钥泄露导致加密失效。
权限控制是“数据资产的‘访问闸门’”,通过设置精细化的权限策略,确保不同人员只能访问其职责范围内的数据,避免因内部人员滥用导致数据资产流失。权限控制通常采用“基于角色的访问控制(RBAC)”模型,即根据用户的岗位(如数据采集员、数据分析师、数据管理员)分配不同的权限(如读取、写入、删除、导出等)。例如,某企业的数据资产管理系统规定:数据采集员仅能将收集到的用户数据上传至指定系统,且无法查看数据内容;数据分析师可对脱敏后的数据进行加工,但无法导出原始数据;数据管理员拥有最高权限,但所有操作需经双人复核并留痕。这种“最小权限原则”使得企业能够通过技术手段限制内部人员对数据资产的使用范围,即使发生员工离职,也能及时收回权限,避免数据资产被“私自带走”。我曾见过某创业公司因未设置权限控制,导致核心算法工程师离职时带走了用户训练数据,使公司业务陷入停滞,这一教训深刻说明了权限控制的重要性。此外,企业还可采用“数据水印”技术,在数据中嵌入不可见的标识信息(如用户ID、企业名称),一旦数据被非法泄露,可通过水印追踪来源,为权属维权提供技术支持。
行业案例警世人
理论探讨固然重要,但真实的行业案例更能直观展现用户数据资产归属问题的复杂性和严重性。通过分析不同行业的典型案例,企业可以吸取教训、规避风险,在工商登记和日常运营中更好地保护自身的数据资产权益。第一个案例来自电商行业:2021年,某大型电商平台A与某数据公司B签订《数据合作合同》,约定由B提供“竞品用户行为数据”,用于A的营销策略优化。合同中未明确数据的权属来源,B仅承诺“数据来源合法”。后经用户举报,该批数据包含大量未经授权的个人信息,A平台被市场监管局处以200万元罚款,并被要求下架相关营销活动。更严重的是,部分用户提起集体诉讼,要求A平台赔偿隐私损失,最终A平台额外赔偿3000万元。这一案例的教训在于:企业在数据合作中,不能仅依赖合作方的“口头承诺”,必须通过合同明确数据的权属来源,并要求合作方提供完整的授权链条证明。正如我在处理类似案件时对客户强调的:“数据合作就像‘买菜’,不仅要看菜的新鲜度(数据价值),更要看菜的来源(权属合法性),否则‘吃了有毒’(法律风险)只能自己兜底。”
第二个案例来自社交行业:2022年,某社交平台C在用户协议中新增“用户授权平台可将社交数据用于AI模型训练”的条款,但未以显著方式提示用户,也未提供“不同意则无法使用平台”的选项。后经媒体曝光,引发大量用户投诉,认为平台“强制授权”。监管部门认定C平台违反《个人信息保护法》关于“自愿同意”的规定,责令其整改并处以50万元罚款。更糟糕的是,因数据资产权属存在重大瑕疵,C平台原计划被某科技公司收购的估值从20亿元降至12亿元,收购方直接以“数据资产风险不可控”为由终止了协议。这一案例揭示了:用户协议中的“授权条款”必须遵循“明确告知、自愿选择”原则,任何形式的“默认勾选”“强制捆绑”都可能因侵犯用户权利而影响数据资产的合法性,进而动摇企业估值基础。我在帮某社交平台做合规审查时,曾建议他们将“数据用途”条款拆分成“基础服务授权”和“增值服务授权”两部分,用户可自主选择是否授权,这一做法不仅降低了法律风险,还提升了用户信任度,平台月活用户反而增长了15%。
第三个案例来自金融行业:2023年,某互联网金融平台D计划将“用户信用评分数据”作为无形资产作价1亿元增资,但在工商登记时被市场监管局要求补充提供“数据脱敏证明”“用户授权书”和第三方评估报告。由于D平台无法提供完整的用户授权链条(部分早期用户的数据收集未明确告知用途),最终该数据资产未被登记为注册资本,导致增资计划推迟。为弥补损失,D平台不得不重新与用户补签授权协议,并投入500万元进行数据合规整改,延误了3个月的业务扩张期。这一案例说明:数据资产作为出资或登记,必须提前做好“权属合规”准备,不能“临时抱佛脚”。尤其是对于历史积累的数据,企业应定期开展“数据权属梳理”,对不符合当前法律要求的数据进行脱敏、删除或补充授权,确保数据资产的“合法性”始终处于有效状态。正如一位资深企业登记官员所言:“现在不是‘先登记后整改’的时代,数据资产的权属问题,必须在登记前‘说清楚、证明白’,否则谁也帮不了你。”
风险防范未雨绸缪
用户数据资产归属的确定,不仅关乎工商登记的顺利进行,更关系到企业的长期合规经营和商业价值。面对复杂多变的法律环境和技术风险,企业必须建立“全流程、多维度”的风险防范体系,将数据资产权属管理融入企业治理的各个环节。首先,企业应建立“数据资产合规审查机制”,在数据收集、处理、使用的全流程中嵌入合规审查节点。例如,在数据收集阶段,需审查“收集目的是否明确、是否获得用户同意、收集范围是否必要”;在数据处理阶段,需审查“是否采用最小必要原则、是否进行脱敏处理、是否超出授权范围”;在数据使用阶段,需审查“是否用于约定用途、是否涉及第三方共享、是否可能侵犯用户权益”。这种“事前审查、事中监控、事后审计”的全流程管理,能够及时发现和纠正权属风险,避免“小问题”演变成“大麻烦”。我曾帮某医疗企业建立数据合规审查制度,规定“所有涉及用户数据的新业务上线前,必须通过法务、技术、业务部门的联合审查”,该制度实施后,企业未再发生一起数据权属纠纷。
其次,企业应重视“数据资产保险”这一风险转移工具。数据资产面临的风险不仅包括权属纠纷,还包括数据泄露、勒索攻击等,这些风险可能导致企业承担巨额赔偿责任。目前,国内已有多家保险公司推出“数据安全责任险”“数据资产损失险”,可覆盖因数据泄露、权属争议等造成的损失。例如,某互联网企业购买了数据安全责任险,后因第三方合作方数据泄露导致用户起诉,保险公司最终赔付了2000万元赔偿金,帮助企业渡过了难关。数据资产保险虽然不能直接解决权属问题,但能够在权属纠纷发生时提供“财务缓冲”,降低企业的经营风险。企业在选择保险产品时,应重点关注“保险范围是否包含权属争议”“赔偿限额是否充足”“免赔条款是否合理”等要素,确保保险保障的针对性和有效性。
最后,企业应加强“数据资产人才培养”,提升全员的数据权属意识。数据资产权属管理不是某个部门或某个人的责任,而是需要法务、技术、业务、财务等多部门协同的系统工程。企业应定期开展数据合规培训,让员工了解《数据安全法》《个人信息保护法》等法律法规的基本要求,掌握数据收集、处理的合规流程;同时,针对技术人员,应加强数据安全技术培训,使其掌握数据加密、脱敏、权限控制等实用技能;针对管理人员,应强化数据权属风险意识,使其在决策时充分考虑数据资产的合规性。只有当“重视数据权属”成为全员的共识和行为习惯,企业才能真正构建起防范数据资产风险的第一道防线。在加喜财税咨询,我们每年都会为客户组织“数据资产权属实务培训”,邀请法律专家、技术专家和登记官员分享经验,客户反馈“这种接地气的培训比单纯看法律条文有用得多”,员工的数据合规意识也得到了显著提升。
.jpg)
.jpg)