上周,一位做食品加工的老客户张总急匆匆地跑到我办公室,手里攥着一份《数据安全风险告知书》,满脸愁容地问我:“王会计,咱们公司去年在市场监管局办了营业执照,税务也登记了,最近总接到各种推销电话,连我们车间设备采购清单都有人知道,是不是登记时那些信息被人泄露了?这事儿到底归谁管?我们自己的数据,到底说了算不算?”说实话,这问题真把我问住了——干了20年会计,给企业跑过无数执照税务登记,还真没仔细琢磨过这些“填个表、交个材料”背后的数据权属问题。随着数字经济时代到来,企业注册信息、财务数据、经营记录这些“老熟人”,早已不是纸面上的几张纸,而是变成了能被多方获取、流转、利用的“数字资产”。市场监管局和税务部门在登记过程中收集的用户数据,到底属于谁?企业能不能决定这些数据怎么用?出了问题找谁负责?这些问题,不仅关系企业切身利益,更关乎政府公信力和数字经济的健康发展。今天,咱们就掰开揉碎,好好聊聊这个“老生常谈却又常谈常新”的话题。
.jpg)
法律框架梳理
要谈数据权属,得先搞清楚“法律依据在哪”。咱们国家的数据法律体系,这几年可是“搭得飞快”。从《民法典》到《数据安全法》《个人信息保护法》,再到《税收征收管理法》,层层叠叠的规定,看似覆盖全面,但真用到“市场监管局税务登记数据”这个具体场景,却发现有点“像雾像雨又像风”。《民法典》第127条首次明确“数据、网络虚拟财产受法律保护”,但没说清楚“怎么保护”;《数据安全法》第30条要求“开展数据处理活动应当依照法律、行政法规的规定,建立健全全流程数据安全管理制度”,可“全流程”具体包含哪些环节,谁对哪个环节负责,语焉不详;《个人信息保护法》倒是细,强调“处理个人信息应当取得个人同意”,但“企业”算不算“个人信息”主体?市场监管局收集的“企业统一社会信用代码”“经营范围”,算不算“敏感个人信息”?这些模糊地带,让实操中常常出现“各部门各执一词,企业左右为难”的尴尬局面。
再说说专门针对登记环节的规定。市场监管总局的《市场主体登记管理条例实施细则》第15条明确,登记机关应当“及时将登记信息推送至信用信息共享平台”,但“推送”的边界在哪里?能不能“二次利用”?税务总局的《税务登记管理办法》第12条要求税务机关“对税务登记证件实行定期验证和换证制度”,验证时收集的“财务负责人信息”“银行账户”,除了用于税务管理,能不能用于“企业信用评价”?这些规定,更多强调的是“政府部门怎么用”,却很少明确“企业对数据享有什么权利”。我记得2019年给一家建材公司办税务登记时,税务人员要求提供“法人及股东身份证复印件”并“留存电子档”,我当时就问:“这些电子档你们存多久?会不会共享给其他部门?”对方回答:“按规定存档,共享有流程。”可“什么流程”“共享范围”,谁也说不清楚。这种“模糊授权”,本质上让企业陷入了“数据被动提供”的困境——不提供吧,登记办不了;提供吧,又担心“泼出去的水收不回”。
更复杂的是“公共数据”与“企业数据”的界线问题。市场监管局和税务部门收集的数据,很多是“履行公共管理职能必需”的,比如企业名称、地址、注册资本,这些数据天然带有“公共属性”,理应被社会监督和利用;但另一方面,这些数据又是由企业“主动提供”的,包含了企业的经营策略、股东信息等“商业秘密”,明显具有“私有属性”。比如某地市场监管局曾将“餐饮企业后厨监控视频”接入“明厨亮灶”平台,初衷是保障食品安全,但有餐馆老板抗议:“我们后厨操作流程属于商业秘密,凭什么让所有消费者看到?”这就涉及到“公共管理需求”与“企业数据权益”的平衡。法律上,目前对“公共数据”的界定是“政府部门在履行职责过程中制作或者获取的,以一定形式记录、保存的文字、数据、图表、音像等信息”,但“以一定形式记录”是否包含“企业提供的原始数据”?“公共利用”是否需要“企业额外授权”?这些问题,现有的法律条文都没给出明确答案,导致实践中“公说公有理,婆说婆有理”。
数据采集归属
数据权属的“第一站”,往往是从“采集”环节开始的。市场监管局税务登记时,企业需要填写《市场主体登记申请书》《税务登记表》,提供营业执照副本、法人身份证、经营场所证明、财务核算制度等材料。这些材料上的信息,比如“企业名称”“统一社会信用代码”“注册资本”“经营范围”“银行账号”“财务负责人联系方式”,都是由企业“主动提供”的。那么,从“提供”的那一刻起,这些数据的权属就“转移”给政府部门了吗?我的看法是:未必。数据不同于传统财产,它的“所有权”和“使用权”往往是分离的。企业提供数据,本质上是“基于信任的委托管理”,而非“所有权的让渡”。就像你把钥匙交给物业保管,物业有权帮你开门,但不能随便用你家的客厅开派对。
这里有个关键概念叫“数据原始控制权”。《个人信息保护法》里提到“个人对其个人信息享有查阅、复制、更正、补充、删除等权利”,虽然法律条文没直接写“企业”,但法理是相通的——数据的“原始提供者”理应享有对数据的“控制权”。举个例子,2021年我给一家新注册的电商公司办税务登记时,发现税务系统自动带出了“经营范围”为“日用百货销售”,但客户实际想做“跨境电商”。我赶紧联系税务窗口修改,工作人员却说:“系统数据是市场监管局共享过来的,我们改不了,得你们去市场监管局变更登记。”你看,市场监管局采集的“经营范围”数据,税务部门直接用了,但企业想改个信息,却得“两头跑”——这说明“采集时的数据权属”如果不清,后续的“数据控制权”就会变成“空中楼阁”。企业作为数据的“原始提供者”,至少应该拥有“对自身原始数据的修改权、更正权”,否则“数据失真”的风险就会转嫁给企业。
还有一个容易被忽视的细节:“采集范围”的边界问题。市场监管局和税务部门在登记时,有没有权力“超出登记必需”收集数据?比如,市场监管局要求企业提供“法人配偶身份证”,税务部门要求提供“股东近三年银行流水”,这些信息与“市场主体资格确认”和“税务登记”有多大关系?《数据安全法》明确要求“收集数据应当限于实现处理目的的最小范围,不得过度收集”,但“最小范围”怎么界定?实践中,有些地方确实存在“奇葩证明”——办个食品经营许可证,要提供“房东房产证+结婚证+孩子出生证明”,美其名曰“关联审查”,实则是“数据捆绑采集”。这种“过度采集”,本质上是对企业数据权益的侵害。我2018年遇到过一家餐饮企业,因为拒绝提供“厨师健康证以外的家庭成员信息”,被市场监管局拖延了半个月才办出执照,最后还是我们帮企业写了《情况说明》,强调“采集范围超出法定职责”,才解决了问题。这说明,“采集环节的权属”,首先要解决的是“采集边界合法性问题”——政府部门不能打着“管理方便”的旗号,随意“伸手”要数据。
存储权责划分
数据采集完了,接下来就是“存储”。市场监管局和税务部门的海量登记数据,都存在各自的系统里——市场监管局有“国家企业信用信息公示系统”,税务部门有“金税三期”系统。这些数据存放在政府部门的“自有服务器”还是“第三方云平台”?存储期限是“永久保存”还是“定期删除”?出了数据泄露事故,责任谁来扛?这些问题,直接关系到“存储环节的数据权属”。《数据安全法》第21条规定“国家建立健全数据分类分级保护制度”,但具体到“税务登记数据”,属于“一般数据”还是“重要数据”?存储期限有没有明确规定?目前来看,还真是个“空白地带”。
先说“存储介质”的权责问题。如果数据存储在政府部门自建的系统里,那“存储责任”自然由政府部门承担;但如果委托了第三方云服务商(比如阿里云、腾讯云)存储,情况就复杂了。2022年某地税务局曾因为“云服务商服务器被攻击,导致10万条企业税务登记信息泄露”,被企业集体起诉。法院最终判决:税务局作为“数据委托存储方”,未对第三方云服务商的安全资质进行严格审查,承担主要责任;云服务商承担次要责任。这个案例说明,“存储环节的权责”不能简单“外包”——政府部门虽然是“数据存储的受益者”,但更是“数据安全的第一责任人”。我接触过一些基层税务人员,他们总说“系统是省局统一部署的,我们只管用”,这种“甩锅心态”要不得——数据存储的安全责任,不会因为“系统不是自己建的”就自动消失。
再说说“存储期限”的问题。企业注销后,登记数据要存多久?《税收征收管理法》规定“账簿、记账凭证、报表、完税凭证、发票、出口凭证以及其他有关涉税资料应当保存10年”,但“登记资料”属于“涉税资料”吗?市场监管局的企业登记档案,根据《档案法》,是“永久保存”吗?如果企业注销后,它的“统一社会信用代码”数据还在系统里,会不会被用于“大数据分析”或者“商业推送”?我2017年处理过一家注销公司的后续问题:该公司注销三年后,仍能通过“企业名称+统一社会信用代码”在市场监管局系统查到“存续”状态,导致合作方误以为公司“未注销”,差点影响合作。后来我们找了市场监管局档案科,才得知“注销数据”需要“定期归档,系统同步有延迟”——这说明“存储期限”不明确,会导致“数据僵尸化”,既占用系统资源,又可能侵害企业权益。理想的“存储权责划分”,应该是“分类存储、定期清理”:对于“注销企业数据”,设置“短期保存+匿名化处理”机制;对于“存续企业数据”,明确“数据更新频率”和“安全保管期限”,让企业知道“我的数据在系统里能存多久,怎么被管理”。
共享使用边界
数据光“采集存储”还不够,还得“共享使用”——现在推行的“多证合一”“一网通办”,本质上就是打破部门壁垒,让市场监管局、税务、社保、银行等数据“跑起来”。但“共享”的边界在哪里?哪些数据能共享?共享给谁?共享后怎么监管?这些问题,直接关系到“数据权属”在流转中的“安全阀”。《税收征收管理法》第6条明确“税务机关应当依法为纳税人、扣缴义务人的情况保密”,但“保密”是否意味着“不能共享”?《市场主体登记管理条例》第16条说“登记机关应当将登记信息及时推送至信用信息共享平台”,但“及时”是多久?“共享平台”能不能再往下共享?这些“模糊地带”,让“数据共享”变成了“双刃剑”——用好了是“便民利企”,用不好就是“数据滥用”。
先说说“共享范围”的“最小必要”原则。理论上,数据共享应该“以履行职责为限”,比如税务部门需要市场监管局的“企业注册信息”来确认“纳税人资格”,市场监管部门需要税务部门的“纳税信用等级”来实施“分级分类监管”,这些共享是“合理且必要的”。但实践中,有些地方的“数据共享清单”长得吓人——比如某地政务服务平台要求企业授权“共享经营范围、股东结构、银行流水、社保缴纳记录、环保处罚记录等20项数据”,美其名曰“一表申请、全程网办”,实则是“数据大锅饭”。我2020年给一家高新技术企业做研发费用加计扣除备案时,发现税务系统自动获取了市场监管局的“专利信息”,这本是好事,但企业负责人担心:“我们的专利技术是核心竞争力,万一被竞争对手通过共享平台看到怎么办?”这种担忧,恰恰反映了“共享范围”失控的风险——政府部门不能为了“管理效率”,就牺牲“企业数据权益”。理想的做法是“清单式管理”:明确哪些数据必须共享(如统一社会信用代码、企业名称),哪些数据可以依申请共享(如专利信息、股东信息),哪些数据禁止共享(如未公开的商业秘密),让企业“心中有数”。
再说说“共享对象”的“资质审查”问题。数据共享不是“谁要给谁”,接收方必须具备“合法使用资质”。比如,市场监管部门把“企业登记信息”共享给“银行”,是为了方便企业开户;共享给“法院”,是为了执行判决;但如果共享给“商业调查公司”,就明显超出“履职必需”了。2021年某地市场监管局就曾因为“将企业联系方式共享给第三方催收公司”,被企业起诉侵犯“隐私权”,最终被判赔偿。这个案例说明,“共享对象”必须“严格把关”——政府部门在共享数据前,应该对接收方的“主体资格”“使用目的”“安全措施”进行审查,签订《数据共享协议》,明确“数据用途范围”“保密义务”“违约责任”,不能搞“一共享了之”。我帮企业处理过类似纠纷:一家公司的客户信息被合作的市场调研公司“二次共享”给竞争对手,我们通过调取《数据共享协议》,发现协议里没写“禁止二次共享”,最后只能吃“哑巴亏”——这提醒我们,企业在签订“数据授权”合同时,一定要明确“禁止转授权”条款,别让“共享”变成“数据裸奔”。
安全责任主体
数据安全是数据权属的“底线”。如果数据泄露、篡改、滥用,谈何“权属”?《数据安全法》明确“数据处理者对其数据处理活动负责”,但“市场监管局税务登记数据”涉及多个部门,谁是“数据处理者”?出了问题,责任怎么划分?这些问题,直接关系到“数据安全责任”能否“落地”。实践中,我们经常看到“九龙治水”的乱象——数据泄露了,市场监管局说“是税务系统的问题”,税务部门说“是市场监管局共享的数据有问题”,最后企业像“皮球一样被踢来踢去”。这种“责任真空”,必须通过“明确责任主体”来填补。
首先,“数据安全责任”要“谁采集、谁负责”。市场监管局采集的“企业注册信息”,存储在市场监管系统,那市场监管局就是“第一责任人”;税务部门采集的“税务登记信息”,存储在税务系统,税务部门就是“第一责任人”。不能因为“数据共享了”,就把责任推给对方。比如2022年某地发生“企业登记信息泄露”事件,导致大量企业接到诈骗电话,调查发现是“市场监管局工作人员违规拷贝数据所致”——最终,市场监管局被通报批评,相关工作人员被处分,这就是“谁采集、谁负责”的体现。我常说:“数据就像孩子,生下来就得养到老。”政府部门不能只“采集”不“负责”,更不能“共享”后就当“甩手掌柜”。对于“共享数据”,接收方也应该承担“安全使用责任”——比如税务部门接收市场监管局的“企业注册信息”后,如果因为“系统漏洞”导致泄露,税务部门同样要担责,因为“接收”就意味着“控制”。
其次,“第三方服务商”的安全责任要“合同约定”。现在很多政府部门的数据存储、处理都委托给了第三方云服务商、技术公司,这些“第三方”的安全责任,不能靠“口头约定”,必须通过《数据安全服务协议》明确。协议里应该写清楚:第三方要“符合国家网络安全等级保护标准”,要“定期进行安全审计”,要“发生数据泄露时24小时内通知政府部门”,还要“承担因第三方原因导致的数据泄露损失”。我2023年给一家财税服务商做合规培训时,就强调过:“你们帮企业代报税,接触到了企业的财务数据,必须在合同里写明‘数据加密存储’‘禁止用于其他业务’‘泄露全额赔偿’,否则出了问题,你就是‘背锅侠’。”现实中,有些第三方服务商为了“降低成本”,用“廉价服务器”存储数据,或者“内部人员权限管理混乱”,导致数据泄露——这些风险,都可以通过“合同约定”来规避。
最后,“企业自身”的安全责任也不能少。虽然政府部门是“数据安全的主要责任人”,但企业作为“数据的原始提供者”,也有义务“配合安全管理”。比如,企业要确保提供给市场监管局税务部门的“信息真实准确”(不能提供虚假地址、虚假法人),要“及时更新变更信息”(比如法人变更、地址变更后要主动去登记机关备案),还要“妥善保管自己的登录密码和授权凭证”(不能随便把“电子营业执照”的密码告诉别人)。我遇到过一家企业,因为“法人手机丢失未及时报停”,导致不法分子用“手机验证码”登录“电子营业执照”系统,修改了企业信息,差点造成资金损失——这说明,“数据安全”不是政府部门的“独角戏”,企业也要当好“第一道防线”。只有“政府负责、第三方尽责、企业配合”,才能织密“数据安全防护网”。
企业维权路径
聊了这么多“权属问题”,万一企业真的遇到“数据权益被侵害”,比如“信息泄露”“违规共享”“数据滥用”,该怎么维权?总不能“打落牙齿往肚里吞”吧。其实,企业的“数据维权路径”有很多,关键是要“懂法律、留证据、找对门”。我干了20年会计,处理过不少企业数据纠纷,总结下来,维权无外乎“协商投诉、行政救济、司法诉讼”这三条路,每条路都有“门道”。
最直接的“维权第一步”,是“与涉事部门协商”。如果企业发现“市场监管局或税务部门违规使用数据”,比如“未经同意公示企业未公开信息”“把数据提供给无关第三方”,可以先找“数据采集部门”的“政务服务中心窗口”或者“政策法规科”反映问题,要求“书面说明情况”“停止侵害”“删除数据”。记得2019年,一家咨询公司发现“市场监管局官网公示了他们的‘股东出资额’”(这家公司股东协议约定‘出资额不公开’),我们帮企业写了《情况说明》,附上《股东协议》复印件,直接去了市场监管局的“档案科”,第二天网站就把信息撤下来了——很多时候,基层工作人员“不是故意违规”,而是“对数据权属规定不熟悉”,企业“有理有据地沟通”,就能快速解决问题。协商的好处是“成本低、效率高”,坏处是“缺乏强制力”,如果部门“拒不配合”,就得走下一步。
如果协商不成,“维权第二步”是“向上一级部门投诉”。比如,对“区市场监管局”的处理不满意,可以投诉到“市市场监管局”;对“区税务局”不满意,可以投诉到“市税务局”;对“政府部门”整体不满意,还可以投诉到“省级政务服务和数据管理局”(负责统筹数据管理工作)或者“网信办”(负责网络安全和数据安全监管)。投诉时,要提交“书面投诉材料”,写明“事实经过、侵害行为、诉求依据”,并附上“证据材料”(比如泄露信息的截图、违规共享的合同、与部门的沟通记录)。2021年,一家外贸企业因为“税务部门将其‘出口退税信息’共享给‘第三方催收公司’,导致企业被骚扰”,我们帮企业向“省税务局”提交了投诉,省税务局很快成立“专项调查组”,查明是“基层税务人员违规操作”,对相关人员进行了处分,并要求“第三方删除数据”。投诉的好处是“有层级监督”,能“引起上级重视”,坏处是“周期可能较长”,需要企业“耐心跟进”。
如果投诉还是解决不了,“维权第三步”就是“司法诉讼”。企业可以依据《民法典》《数据安全法》《个人信息保护法》,向法院提起“侵权责任纠纷”诉讼,要求“停止侵害、消除影响、赔礼道歉、赔偿损失”。诉讼的关键是“证据收集”——要证明“政府部门或第三方存在数据侵权行为”“企业遭受了实际损失”“侵权行为与损失之间存在因果关系”。比如,2022年一家软件公司因为“市场监管局泄露其‘源代码信息’(企业登记时提供了‘软件著作权证明’,包含源代码摘要)”,导致核心技术被剽窃,我们帮企业收集了“登记时的材料清单”“泄露信息的传播记录”“第三方鉴定机构的技术评估报告”,向法院起诉,最终法院判决“市场监管局赔偿经济损失50万元,并公开道歉”。诉讼的好处是“具有强制执行力”,能“获得经济赔偿”,坏处是“成本高、耗时长”,需要企业“有充足的证据和决心”。我常对企业说:“数据维权就像‘打官司’,平时就要‘留好底’——登记时保留‘材料提交清单’,沟通时‘用书面形式’,发现异常时‘及时截图存证’,这样才能‘有备无患’。”
未来趋势前瞻
聊完了“现状”,咱们再往前看一步:随着数字经济的发展,“市场监管局税务登记数据”的权属问题,未来会怎么演变?在我看来,至少有三个趋势值得关注:一是“数据权属立法会越来越细”,二是“数据价值化会催生新规则”,三是“企业数据意识会越来越强”。这些趋势,既带来挑战,也带来机遇。
第一个趋势:“数据权属立法会越来越细”。现在的问题是“法律原则多、具体规则少”,未来可能会出台“政务数据权属管理办法”“登记数据实施细则”等专项规定,明确“登记数据的权属划分、共享规则、安全标准”。比如,可能会规定“企业原始数据归企业所有,政府部门享有‘依法使用权’”“共享数据必须‘企业授权+政府备案’”“数据泄露实行‘双罚制’(罚部门+罚个人)”。我猜测,用不了三五年,“数据权属”就会像“知识产权”一样,有专门的“法律体系”和“裁判规则”。这对企业来说是“好事”——规则越细,维权越有依据;对政府部门来说,也是“压力变动力”——倒逼“规范用数、安全管数”。
第二个趋势:“数据价值化会催生新规则”。现在大家谈“数据”,更多是“安全”和“权属”,未来“数据作为生产要素”的价值会越来越凸显。比如,“企业纳税数据”可以用来“信用贷款”,“经营数据”可以用来“市场分析”,“登记数据”可以用来“产业规划”。但这些“数据价值”的实现,必须以“明确权属”为前提。未来可能会出现“数据信托”“数据资产质押”等新业态——企业可以把“非敏感的登记数据”委托给“数据信托机构”,由机构负责“加工、分析、交易”,收益归企业所有;或者用“数据资产”向银行申请质押贷款。我2023年去上海调研时,就看到有企业用“连续三年的纳税信用数据”获得了“数据质押贷款500万元”——这说明,“数据权属”清晰了,“数据”才能真正变成“资产”。这对企业来说,是“新的增长点”;对财税服务行业来说,也是“新的蓝海”——我们可以帮企业做“数据价值评估”“数据合规管理”,让“沉睡的数据”活起来。
第三个趋势:“企业数据意识会越来越强”。以前很多企业觉得“数据登记是小事,权属是虚的”,但随着“数据泄露”事件频发、“数据维权”案例增多,企业会越来越重视“数据权益”。未来,企业在办理登记时,可能会主动问:“这些数据你们存多久?共享范围是啥?安全措施有哪些?”甚至会聘请“数据合规顾问”帮忙审核《数据共享协议》。我预测,三五年后,“数据合规”会成为企业“标配”——就像现在企业要“请会计、报税”一样,未来企业要“管数据、护权益”。这对我们财税人来说,也是“能力升级”的机会——不能只懂“税务登记流程”,还要懂“数据安全法规”“数据权属规则”,才能更好地服务企业。
加喜财税见解总结
在加喜财税招商企业服务客户的12年里,我们深刻体会到:市场监管局税务登记中的用户数据权属,不仅是“法律问题”,更是“企业生存发展的根基问题”。数据权属不清,企业就可能陷入“信息泄露、权益受损、信任危机”的被动局面;数据权属明确,企业才能放心“让数据跑起来”,享受“数字红利”。因此,我们建议企业:一是“登记时擦亮眼”,仔细阅读《数据收集告知书》,明确“采集范围、存储期限、共享边界”;二是“存好证据链”,保留“材料提交清单、沟通记录、系统截图”,万一出问题能“有据可查”;三是“主动学法规”,关注《数据安全法》《个人信息保护法》等最新规定,做“懂数据的明白人”。对政府部门而言,我们期待“更细化的数据权属规则”“更透明的数据共享机制”“更严格的安全责任追究”,让企业在“数字时代”既能“方便办事”,又能“安心发展”。数据是企业的“数字资产”,更是数字经济的“血液”——只有“权属清晰、流转有序、安全可控”,才能让“数据”真正成为企业发展的“助推器”。
.jpg)
.jpg)
.jpg)