新闻
数据合规 | “数据入表”的关键步骤
财政部印发的《企业数据资源相关会计处理暂行管理规定》(下称《暂行规定》)已于2024年1月1日起开始实施,是落实党中央、国务院有关数字经济发展的决策部署,为数字经济健康发展提供制度性支持,推动新质生产力高质量发展的重要举措。《暂行规定》提出了“数据入表”的财会制度,数据入表,即将企业的数据资源按照特定标准和方法纳入财务报表中,是数据管理和利用中的一个关键步骤。通过数据入表,企业可以将分散的数据资源系统化、标准化,并以资产的形式体现出来,从而更好地进行管理和利用。将数据资产正式纳入企业的资产负债表,承认了数据的经济价值。这一举措使得数据的经济价值得以正式体现,增强了企业的资产总额和净资产,提高了企业在资本市场的吸引力。当数据被正式列为资产时,投资者能够清晰地了解企业的数据资产情况,增加对企业的信任和投资意愿。增强企业的授信、融资贷款能力,促进资本的流入和企业的进一步发展。此外,数据入表制度的施行,还能提升数据管理和利用效率、促进数据交易和流通、激发数据创新和应用以及增强企业竞争力等作用。
- 数据入表的方法和步骤
数据入表是将企业的数据资源按照特定标准和方法纳入财务报表中的过程。其核心在于将数据资源系统化、标准化,并通过规范化的会计处理,使其以资产形式在财务报表中体现。数据入表的方法和步骤可以概括为以下五个主要环节:
1.数据资源的盘点
数据入表的第一步是进行数据资源的全面盘点。企业需要对现有的数据资源进行全面梳理,识别出具有潜在价值的数据。数据盘点的关键在于建立详细的数据目录,涵盖数据来源、数据类型、数据量、数据质量等方面的信息。这一过程可以帮助企业明确数据资产的边界,为后续的数据评估和确权奠定基础。
2.数据使用场景的分析
在完成数据资源盘点后,企业需要分析数据的使用场景。这一步的目的是明确数据在业务流程中的应用场景和价值,确定数据的使用需求和优先级。通过分析数据的业务需求,企业可以更好地理解数据的应用价值,为数据的进一步治理和管理提供依据。
3.数据合规和确权
数据合规和确权是数据入表的关键步骤。企业需要确保数据的合法性和合规性,确认数据资源持有权、数据加工使用权和数据产品经营权。合规性要求企业在数据采集、存储、处理和使用过程中遵守相关法律法规,确保数据来源合法、内容真实、处理合规、管理严格。同时,企业需要进行数据确权,通过法律手段明确数据的产权归属,保障数据资产的合法性和可操作性。
4.数据的质量和价值评估
数据质量和价值评估是确保数据入表质量和可靠性的关键步骤。企业需要对数据进行全面的质量和价值评估,检查数据的完整性、一致性、准确性和及时性。数据质量评估的方法包括数据清洗、数据验证和数据分析等,目的是提高数据的准确性和可用性。与此同时,企业还需进行数据的价值评估,利用成本法、收益法和市场法等方法,对数据资源的经济价值进行量化分析,确保其符合入表要求。
5.数据资产的列示和披露
在完成以上步骤后,企业可以进行最终的数据入表。这一步包括对数据资产的评估、分类和记账。企业需要根据数据资源的实际情况,选择合适的会计处理方法,将数据资源纳入资产负债表中,并进行必要的信息披露。这一过程还包括对数据资产进行定期评估和更新,以确保财务报表中数据资产的准确性和及时性。
- 数据合规——数据入表的关键步骤
上文提到,数据合规是数据入表的关键步骤,企业在所有数据处理活动和管理制度中,必须遵守以《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》为核心的法律框架。第一,数据合规要求企业在数据采集、存储、处理和使用过程中遵守相关法律法规和行业标准,确保数据来源合法、使用合规,使其能合法纳入财务报表。缺乏数据合规将影响数据资产的评估和确认,甚至引发法律纠纷,给企业带来风险。第二,数据合规推动企业建立完善的数据治理体系,包括数据质量管理、数据标准化和数据验证等,确保数据真实性和准确性,使其真实反映经济价值。如果数据质量得不到保证,数据入表将失去可信度,无法为企业和投资者提供可靠信息。数据治理体系提高了数据一致性和完整性,通过数据质量管理,企业能发现和纠正数据中的错误和不一致,提升数据可靠性。这对于数据资产的评估和管理至关重要,因为高质量的数据才能准确反映其经济价值,为企业财务决策提供依据。第三,数据合规强调数据安全和隐私保护,通过严格的安全管理措施防止数据泄露和滥用。数据安全和隐私保护是数据资产化的重要基础,确保数据安全后,数据才能作为资产纳入财务报表,避免因数据泄露或不当使用带来的法律风险和声誉损失。企业需采取多种措施保护数据安全,包括数据加密、访问控制、数据备份和灾难恢复等。数据隐私保护要求企业在处理个人数据时,遵守相关法律法规,确保个人数据安全和隐私不受侵害。第四,数据合规要求企业在数据处理过程中遵循标准化管理,提高数据一致性和可比性。标准化管理使不同来源和类型的数据能统一处理和评估,为数据资产评估和入表提供可靠依据。缺乏标准化管理,数据资产的评估将变得困难,数据入表的准确性和公平性会受影响。标准化管理包括数据格式统一、数据处理流程规范和数据存储方式标准化等,简化数据处理过程,降低管理复杂性和成本,提高效率。第五,数据合规为数据入表提供必要的审计和验证机制,确保数据在入表前经过严格审查和验证。这些机制包括内部审计、外部审计和第三方验证,确保数据合法、真实、准确。内部审计由企业自身负责,检查数据的合法性和合规性;外部审计由独立机构进行,提供客观评估,增强公信力;第三方验证由专业数据服务公司进行数据质量评估,确保结果准确可靠。这些机制提高了数据入表的透明度和可信度,增强了投资者和利益相关者对企业数据资产的信任,提升企业市场形象和竞争力。
企业通过搭建全面的数据安全治理框架,才能够系统化地管理数据安全,从战略制定到具体实施的各个层面确保数据的安全性和合规性。
(一)数据的分类分级
数据分类分级是数据合规的基础,因为它直接关系到企业能否遵守相关法律法规的要求。不同类型的数据受不同的法律和法规管控,例如《个人信息保护法》对个人敏感信息处理有着特殊要求,《数据安全法》要求对国家核心数据实施更加严格的管理制度。通过对数据进行分类和分级,企业能够明确哪些数据需要特别保护,哪些数据可以公开使用,对数据进行有效管理,避免一般数据保护过当,核心数据保护不足。我们可以参考《数据安全技术数据分类分级规则》(GB/T43697-2024)文件,对数据进行分类定级。
1.数据分类
数据分类的过程主要依赖于数据的属性、行业领域以及法律法规的监管要求。具体步骤如下:
(1)确定数据范围:按照行业领域主管(监管)部门的职责,明确本行业本领域管理的数据范围。数据范围的确定是分类的基础。
(2)细化业务分类:对本行业本领域的业务进行细化分类。包括按部门职责分工、业务范围、运营模式和业务流程等维度进行分类。例如,工业领域的数据可以进一步细化为原材料数据、装备制造数据、消费品数据等。
(3)选择业务属性分类:根据具体的业务属性对关键业务的数据进行细化分类。例如,钢铁数据可以按数据描述对象分为用户数据、业务数据、经营管理数据和系统运维数据等。
(4)制定分类规则:梳理分析各关键业务的数据分类结果,根据行业领域数据管理和使用需求,制定行业领域数据分类规则。可采取“业务条线—关键业务—业务属性分类”的方式,确保分类规则科学实用且边界清晰。
2.数据分级
数据分级是为了保护数据安全,根据数据的重要程度以及一旦遭到泄露、篡改、损毁或非法获取、非法使用、非法共享,对国家安全、经济运行、社会秩序、公共利益、组织权益和个人权益造成的危害程度,将数据从高到低分为核心数据、重要数据和一般数据。定级规则如下表所示:
具体步骤如下:
(1)确定分级对象:确定待分级的数据对象,如数据项、数据集、衍生数据和跨行业领域数据等。
(2)识别分级要素:结合数据的特点,识别影响数据分级的要素,如数据的领域、群体、区域、精度、规模、深度和覆盖度等。领域、群体、区域和重要性通常属于定性描述的分级要素,而精度、规模和覆盖度则属于定量描述的分级要素。
(3)数据影响分析:分析数据一旦遭到泄露、篡改、损毁或非法获取、非法使用、非法共享,可能对国家安全、经济运行、社会秩序、公共利益、组织权益和个人权益造成的影响和危害程度。
(4)综合确定级别:根据前述分级要素和影响分析的结果,按照就高从严的原则,综合确定数据的级别。重要数据和核心数据的识别应依据国家相关标准和附录中的详细指南进行。
通过数据分类分级,企业能够识别和标记不同重要性和敏感度的数据,从而制定针对性的安全策略。例如,对高敏感度的数据实施加密、严格的访问控制和实时监控,有效防止数据泄露和滥用。同时,识别敏感个人数据有助于企业在数据处理过程中采取必要的保护措施,如数据匿名化和脱敏处理,从而降低数据被恶意使用的风险。
3.分类分级的动态持续
数据分类分级的动态管理是确保数据管理与业务需求的持续一致性和合规性的重要机制。首先,通过全面识别和梳理数据资产,确保所有数据资源都能被正确分类和定级。在这个基础上,审核审批过程则需要企业内部多部门协作,通过严格的审核和审批机制,确保分类分级的准确性,符合最新的业务需求和法律法规要求。
由于数据和业务环境是动态变化的,分类分级清单需要不断更新。这就需要建立数据分类分级的动态管理机制,以确保分类分级结果始终反映最新的业务需求和数据环境。动态管理不仅可以确保数据分类分级与当前法律法规的要求保持一致,避免因法律环境变化导致的合规风险,还能及时发现和防范数据安全风险,保护敏感数据免受泄露和滥用。此外,动态管理可以提高数据管理效率,灵活应对数据环境的变化,支持业务的持续发展和创新。
通过建立数据分类分级的动态管理机制,企业可以实现数据管理的精细化和规范化,确保数据在其生命周期内处于安全和可控状态,为企业的数据治理提供了坚实的基础。
(二)管理制度
1.企业数据合规管理层设置
在企业数据合规管理中,决策层、安全管理团队、技术和运营团队是关键组成部分,同时需要独立的监督机构对数据合规组织的运行情况进行监督。
决策层由董事会成员和高级管理人员(如CEO、CIO、CISO等)组成,负责制定整体数据合规战略和方针,确保数据治理理念及战略与企业发展战略一致。他们的职责包括确保数据合规政策和措施符合国家法律法规及行业标准,分配资源支持数据合规相关工作,审批重大数据合规计划和预算,并定期审阅和评估数据合规管理体系的有效性。
管理层则由数据合规负责人、数据保护官(DPO)和数据安全团队领导组成,根据决策层的战略和方针,制定具体的数据合规政策和程序。他们的职责包括监督和管理数据合规计划的实施,组织和协调跨部门的数据合规工作,定期向决策层汇报数据合规工作进展和存在的问题,开展数据合规培训以提高员工的合规意识和能力,以及处理和响应数据安全事件并制定应急预案。
执行层由技术团队成员(如IT工程师、数据工程师)和运营团队成员(如数据管理人员、业务流程管理人员)组成,负责实施和执行管理层制定的数据合规政策和程序。他们的具体职责包括维护和管理数据资产,确保数据的准确性、完整性和保密性,实施数据分类分级,配置和管理数据安全工具和技术,以及记录和审计数据处理活动以确保透明性和可追溯性。
监督机构由内部审计部门、风险管理部门和内控合规部门组成,负责对管理层和执行层的数据合规工作进行独立监督。其职责包括定期审查和评估数据合规管理体系的执行情况,监督数据安全工具和措施的有效性,监控和审计数据安全风险,发现并报告潜在问题,并向决策层提供独立的审计报告和改进建议。监督机构的独立性和客观性确保了整个数据合规管理体系的透明性和公正性。
2.数据安全管理制度体系架构
企业的数据安全管理制度体系架构一般分为四级,体现数据安全管理的全面性和系统性。第一级是数据安全管理办法,制定整体数据安全战略和方针,确保高层次的政策指导和责任分工;第二级是数据资产管理与安全评估规范,明确具体的数据保护对象和评估方法,确保数据处理活动的安全性和合规性;第三级是数据管理规程,细化操作步骤和方法,确保各项数据安全措施的具体落实;第四级是操作性文档和记录,涵盖申请表单、合同协议、安全报告和记录,确保所有数据管理活动的透明性和可追溯性。通过这四级架构,企业能够系统化地管理数据安全,确保从策略制定到具体实施的全方位数据保护。
(三)运营体系
IPDR(Identify,Protect,Detect,Respond)是一种数据治理安全运营体系,旨在全面提升企业数据安全管理水平。这个体系涵盖了数据安全管理的四个关键环节:
1.Identify(识别)
识别阶段是数据安全管理的基础,旨在全面了解和识别企业内部的所有数据资产和相关风险。具体措施包括:
数据资产盘点:全面梳理企业所有数据资源,明确数据种类、来源、存储位置和使用情况。
风险评估:评估数据在不同阶段和不同使用场景下的风险,识别可能的安全漏洞和威胁。
2.Protect(保护)
保护阶段是针对识别出的数据资产和风险,采取一系列措施确保数据的安全性。包括但不限于:
访问控制:实施严格的权限管理,确保只有经过授权的人员才能访问敏感数据。
数据加密:对重要和敏感数据进行加密处理,防止数据在传输和存储过程中被窃取或篡改。
数据脱敏:在使用过程中对敏感数据进行脱敏处理,减少数据泄露风险。
3.Detect(检测)
检测阶段通过持续监控和审计,及时发现数据安全事件和异常活动。主要手段包括:
日志管理:详细记录数据访问和操作日志,确保数据处理过程透明可追溯。
安全监控:部署安全监控系统,实时检测和预警异常活动和潜在威胁。
4.Respond(响应)
响应阶段是在检测到安全事件后,迅速采取措施应对和处理,减小事件带来的影响。包括:
应急预案:制定和定期演练数据安全事件应急预案,确保在事件发生时能够迅速响应。
事件处理:对数据泄露、篡改等安全事件进行分析和处理,恢复正常业务运行,并总结经验教训,改进安全措施。
(四)技术体系
数据安全的技术体系需要覆盖数据全生命周期的各个环节,从数据采集到数据删除和销毁,确保每个环节的安全性。这一体系的核心包括以下几个方面:
1.数据全生命周期安全
数据采集安全:在数据采集过程中,使用加密技术和访问控制机制,确保数据从源头开始就受到保护,防止非法获取和篡改。
数据传输安全:在数据传输过程中,通过传输层安全协议(如TLS/SSL)和虚拟专用网络(VPN)等技术,确保数据传输的保密性和完整性。
数据存储安全:对存储中的数据进行加密,并实施严格的访问控制措施,防止数据泄露和未经授权的访问。
数据使用安全:在数据使用过程中,采用数据脱敏和访问控制等技术,确保敏感数据在使用时的安全性和隐私保护。
数据提供安全:在数据提供给第三方时,通过数据共享协议和访问控制,确保数据的合法使用和安全传输。
数据公开安全:在公开数据时,确保数据的匿名化和脱敏处理,防止敏感信息泄露。
数据删除和销毁安全:在数据不再需要时,采用安全删除和物理销毁技术,确保数据无法被恢复和利用。
2.通用安全技术
加密技术:在数据存储和传输过程中使用对称加密和非对称加密技术,确保数据的保密性。
访问控制:通过角色基于访问控制(RBAC)和属性基于访问控制(ABAC),确保只有授权人员才能访问和操作数据。
日志和审计:记录所有数据访问和操作日志,确保数据处理过程透明可追溯,便于审计和追踪。
3.平台化的协同计算、安全监测与安全运营
协同计算:通过数据安全平台,实现跨部门、跨系统的数据协同计算和安全管理,提升数据利用效率和安全性。
安全监测:部署安全监测系统,实时监控数据流动和操作行为,及时发现和预警异常活动和安全威胁。
安全运营:建立安全运营中心(SOC),负责日常数据安全管理、事件响应和安全策略调整,确保数据安全管理的持续有效性。
通过覆盖全生命周期的安全技术和平台化的协同计算、安全监测与安全运营,企业能够形成完备的识别、监测与防护技术体系。这一体系不仅支撑了数据安全管理和运营体系的落地,还确保了数据在其生命周期内的安全性和合规性,保障企业数据资产的安全和有效利用。
- 结语
搭建数据安全治理框架对于数据入表的合规性和安全性至关重要。通过系统化的管理制度、全面的运营体系和先进的技术手段,企业能够确保数据在入表前经过严格的审查和验证,保障数据的合法性、真实性和准确性。这不仅有助于提升数据管理效率和业务连续性,还增强了企业的市场竞争力和可持续发展能力。数据安全治理框架的有效实施,为企业数据入表提供了坚实的基础和保障。