工商注册与税务登记，用户数据权属如何划分？

# 工商注册与税务登记，用户数据权属如何划分？ ## 引言 在数字经济蓬勃发展的今天，数据已成为企业的核心生产要素，而工商注册与税务登记作为企业生命周期的“起点”，产生了大量涵盖身份信息、经营数据、财务状况等核心内容的用户数据。这些数据到底归谁所有？是企业、是政府部门，还是数据主体（企业负责人或实际控制人）？这个问题看似简单，却涉及法律、经济、技术多重维度，困扰着无数企业、财税服务机构和监管部门。 去年，我遇到一位做跨境电商的客户，他的企业因为税务系统数据异常被约谈，而问题根源竟是一家第三方财税平台在未经授权的情况下，将其工商注册信息和税务申报数据打包出售给了营销公司。客户愤怒又无奈：“我注册公司和报税，怎么数据就成了别人的‘商品’？”类似的案例在财税行业屡见不鲜——有的企业因工商年报数据被政府部门用于“信用画像”而质疑隐私侵犯，有的创业者因税务数据被共享给金融机构而担心商业秘密泄露，甚至有基层税务人员向我吐槽：“我们连哪些数据能对外、哪些不能对外，都拿捏不准，更别说企业了。” 这些现象背后，是工商注册与税务登记数据权属界定模糊的深层矛盾。一方面，政府部门需要数据提升监管效率、优化营商环境；另一方面，企业作为数据产生和使用方，渴望对自身数据拥有控制权以保障安全和挖掘价值；而数据主体（如企业法人）则担心个人信息被滥用。这种“三权分立”的困局，不仅让企业在数据合规中“步步惊心”，也制约了数据要素的市场化配置。那么，究竟该如何科学划分工商注册与税务登记的用户数据权属？本文将从法律界定、数据类型、权属主体、使用边界、安全责任五个维度，结合行业实践与专业经验，尝试厘清这一核心问题。

法律界定模糊

当前，我国关于数据权属的法律框架仍处于“碎片化”状态，尚未形成针对工商注册、税务登记数据的专门性规定。《民法典》虽然提出“数据、网络虚拟财产受法律保护”，但未明确“数据权属”的具体归属规则；《数据安全法》强调“保障数据安全，促进数据开发利用”，却未界定“谁有权使用、谁负责管理”；《个人信息保护法》对“个人信息”的权属有所涉及，但工商税务数据中既有企业信息（非个人信息），也有企业负责人等自然人的个人信息，交叉地带极易引发争议。这种法律层面的“半空白”状态，直接导致权属划分缺乏刚性依据。以企业工商注册为例，企业提交的《公司登记（备案）申请书》包含法人身份证、注册资本、经营范围等信息，其中法人身份证属于《个人信息保护法》保护的“敏感个人信息”，而注册资本、经营范围则属于企业“经营信息”。当这两类数据存储在工商系统时，究竟应优先适用个人信息保护规则，还是企业财产权规则？法律没有明确答案。实践中，不同地区的法院甚至可能作出相反判决——有的认为工商部门作为“数据处理者”对数据拥有管理权，有的则认为企业作为“数据来源”享有使用权，这种“同案不同判”的现象，进一步加剧了权属界定的不确定性。

从立法逻辑看，现有法律更侧重于“数据安全”而非“数据权属”。例如，《税收征收管理法》第二十五条规定“税务机关应当依法为纳税人、扣缴义务人的商业秘密和个人隐私保密”，但未明确税务数据的“所有权”归属；《企业信息公示暂行条例》要求企业通过国家企业信用信息公示系统公示年度报告，却未说明公示后的数据权属是否转移给社会公众。这种“重义务轻权利”的立法倾向，导致实践中政府部门往往以“行政管理需要”为由主张数据控制权，而企业则基于“数据产生”事实主张所有权，双方缺乏对话的法律基础。正如某高校法学院教授在《数据权属研究》中指出的：“当数据既具有公共管理价值，又具有商业利用价值时，单纯依靠‘所有权’思维已无法解决问题，需要构建‘分层确权+共享共治’的新模式。”

在基层执法中，法律模糊性还带来了“选择性执法”的风险。我曾协助某区税务局处理过一起数据纠纷：一家餐饮企业因税务系统将其“营业额数据”共享给文旅局用于“餐饮消费券发放”而起诉，认为税务部门越权使用数据。税务局则辩称这是“跨部门协同监管”的必要举措。最终法院以“税务部门未明确告知数据用途，违反‘最小必要原则’”判决税务局败诉。这个案例暴露出的问题很典型——即使法律没有明确禁止，政府部门在使用数据时也需遵循“权责法定”原则，否则极易侵犯企业权益。而现实中，许多基层工作人员对“哪些数据能用、怎么用”的理解，往往依赖于内部红头文件或“惯例”，缺乏统一标准，这无疑加剧了权属划分的混乱。

数据类型差异

工商注册与税务登记产生的数据并非“铁板一块”，根据性质可分为基础身份数据、经营过程数据、衍生分析数据三类，不同类型数据的权属逻辑也截然不同。基础身份数据主要包括企业名称、统一社会信用代码、注册地址、法定代表人等“静态信息”，这类数据是企业“身份证明”的核心，类似于自然人的“身份证信息”，其权属应优先保障数据主体（企业）的控制权。例如，企业有权要求工商部门更正错误的注册地址，也有权在注销后请求删除部分敏感信息（如法人身份证号）。但在实践中，部分工商部门为了“数据完整性”，往往长期保存企业注销信息，导致企业担心“僵尸数据”被滥用。去年，我帮一家注销企业处理遗留问题时，发现其工商注册信息仍被某第三方平台用于“企业名录”展示，多次投诉无果后，我们只能通过律师函才迫使平台删除——这暴露出基础身份数据“企业控制权”的虚置问题。

经营过程数据是企业经营活动中的“动态记录”，包括税务登记时的财务报表、纳税申报表、发票开具记录等，这类数据直接反映企业的经营状况和财务风险，具有极高的商业价值。与基础身份数据不同，经营过程数据的产生涉及“企业自主申报”和“政府被动接收”双重环节：一方面，数据是企业财务核算、税务申报的“副产品”，企业天然对其拥有“原始权益”；另一方面，数据存储在税务系统，政府部门为履行税收征管职责，必须对这些数据进行“二次处理”。这种“双重来源”特性，使得经营过程数据的权属划分尤为复杂。例如，企业纳税申报表中的“销售额”数据，企业认为这是核心商业秘密，不应对外公开；但税务部门则认为，这类数据是税收征管的重要依据，需用于税源分析和风险评估。我曾遇到一家高新技术企业，其研发费用加计扣除的详细数据被税务部门“脱敏”后提供给科技局用于“企业创新评价”，企业虽支持政策初衷，但担心数据被进一步滥用——这反映出经营过程数据在“企业权益”与“公共利益”之间的张力。

衍生分析数据是政府部门或第三方机构基于基础身份数据和经营过程数据加工形成的“结果性数据”，如企业信用评分、行业税收趋势报告、区域经济运行分析等。这类数据的“原始素材”来源于企业和政府，但经过“创造性劳动”后，其权属是否发生转移？实践中存在两种对立观点：一种认为“衍生数据归加工者所有”，如税务部门通过大数据分析形成的“纳税信用A级企业名单”，应属于税务机关的“智力成果”；另一种则认为“衍生数据仍与原始数据相关联”，企业对其原始数据产生的衍生成果享有“权益分享权”。例如，某市税务局曾与商业银行合作推出“银税互动”产品，将企业纳税信用数据转化为贷款授信额度，银行向税务局支付“数据服务费”。这笔费用究竟应归税务局（加工者）、企业（原始数据提供者），还是双方共享？双方为此争论不休，最终不得不通过“协议分成”解决。这种“一事一议”的权属分配模式，虽能解决个案问题，却缺乏普适性规则，不利于衍生数据的规模化利用。

权属主体多元

工商注册与税务登记数据的权属主体并非“单极”，而是企业、政府部门、数据主体（企业负责人/实际控制人）、第三方服务机构构成的“多元共同体”，各方基于不同诉求对数据主张权利，这种“多头共治”格局让权属划分更加复杂。企业作为“数据生产和使用的主要载体”，自然对自身数据拥有最强烈的权益诉求。从商业角度看，企业的客户名单、供应链数据、财务报表等直接关系到核心竞争力，若这些数据被非法获取或滥用，可能导致企业市场份额流失甚至经营危机。我曾服务过一家外贸企业，其报关数据（属于税务登记数据的延伸）被竞争对手通过非法渠道购买，导致客户被恶意抢夺，企业损失惨重。事后我们报案才发现，数据泄露的源头竟是某报关行的工作人员——这说明，企业不仅要防范外部侵权，更要警惕内部数据管理漏洞，而“数据权属清晰”是建立内部数据管理制度的前提。

政府部门（工商、税务等）是“数据的收集者和监管者”，其核心诉求是“提升行政效能”与“保障公共利益”。工商部门需要企业数据维护市场秩序，如通过“国家企业信用信息公示系统”公示企业信息，让“老赖”无处遁形；税务部门需要税务数据加强税收征管，如通过“金税四期”系统监控企业纳税行为，打击偷逃税。但政府部门的“数据权力”并非无限，必须遵循“比例原则”——即数据收集和使用应限于“行政管理必要范围”，不得过度扩张。例如，某地工商局曾要求企业提交“法定代表人社交媒体账号密码”作为注册条件，引发舆论哗然，最终被叫停。这个案例说明，政府部门不能以“管理方便”为由，随意侵犯企业数据权益。实践中，部分基层工作人员存在“数据本位主义”思维，认为“数据在我手里，我就能用”，这种观念亟需纠正——政府部门的“数据权力”本质是“公权力”，必须以法律为边界，而非部门利益为导向。

数据主体（企业法定代表人、实际控制人等）是“个人信息的提供者”，其权益诉求主要集中在“隐私保护”与“知情同意”上。工商注册时，企业需提交法人身份证、手机号、住址等个人信息；税务登记时，可能还需提供财务负责人办税人员的信息。这些个人信息若被泄露或滥用，不仅可能引发电信诈骗、身份盗用等风险，还可能导致个人名誉受损。例如，我曾遇到一位企业法人，其个人信息被不法分子冒用注册了多家“空壳公司”，导致他被列入“经营异常名录”，征信受损，贷款受阻。处理这个案子时我们发现，问题出在工商部门与第三方数据服务商的合作中——服务商违规存储了法人的身份证照片，且未采取加密措施。这个案例警示我们：即使数据存储在政府部门，也不能忽视数据主体的个人信息权益，必须建立“个人信息-企业数据”的分层保护机制。

第三方服务机构（如财税代理、会计师事务所、科技公司等）是“数据的使用者和加工者”，其权益诉求集中在“数据获取便利性”与“商业价值挖掘”上。在“互联网+财税”时代，越来越多的企业通过第三方平台办理工商注册和税务登记，这些平台在提供服务过程中，会接触大量企业数据。例如，某财税APP可以帮助企业一键报税，但同时也收集了企业的财务数据、开票信息等。这些数据对平台而言，既是“服务工具”，也是“商业资源”——平台可能通过数据挖掘为企业提供财税咨询，也可能将其打包出售给第三方。我曾调研过一家知名财税平台，其用户协议中有一条“用户同意平台将非敏感数据用于产品优化”的条款，但“非敏感数据”的定义模糊，企业根本不知道哪些数据会被使用。这种“霸王条款”在行业并不少见，反映出第三方服务机构在数据权属问题上的“机会主义”倾向——既想享受数据带来的商业价值，又不愿承担相应的合规责任。

使用边界不明

权属不清必然导致使用边界模糊，而工商注册与税务登记数据的使用边界问题，集中体现在“政府内部共享”“对外公开”“商业利用”三个场景中，每个场景都存在“越界”风险。政府内部共享是最常见的“边界争议点”。例如，市场监管部门（原工商部门）与税务部门之间的数据共享，本应是“优化服务、提升效率”的举措——如市场监管部门可通过税务数据核实企业注册资本实缴情况，税务部门可通过工商数据识别“空壳公司”。但在实践中，部分地方政府为了“数据政绩”，要求各部门“无条件共享所有数据”，甚至将企业税务数据用于“招商引资考核”“干部绩效评估”等非行政管理目的。我曾协助某市税务局梳理数据共享清单，发现共享数据中竟包含“企业研发费用明细”“企业所得税优惠项目”等高度敏感信息，这些数据若被其他部门滥用，可能导致企业商业秘密泄露。最终我们通过“限定共享范围、明确使用用途、建立追溯机制”三步走，才将风险控制在可接受范围内——这个案例说明，政府内部共享必须遵循“最小必要”原则，避免“数据大锅饭”。

对外公开是数据使用的另一敏感场景。根据《政府信息公开条例》，企业工商注册信息中的“企业名称、统一社会信用代码、法定代表人、注册资本”等基础信息属于“主动公开范围”，但“经营范围、股东信息、财务数据”等是否应公开，则存在较大争议。实践中，部分地方政府为了“优化营商环境”，将企业“纳税信用等级”“行政处罚记录”等数据全部公开，甚至通过“信用中国”等平台向社会公示。这种“一刀切”的公开方式，虽然增强了社会监督，却也可能给企业带来“过度曝光”的风险。例如，一家初创企业因“纳税信用B级”（可能是因为刚成立、收入较少）而被银行拒绝贷款，企业主委屈地说：“我们愿意公开信息，但能不能别把‘暂时的信用不足’当成‘永久的不良记录’？”这个案例反映出，数据公开需建立“分级分类”机制——对基础信息全面公开，对敏感信息“依申请公开”，对核心信息“不予公开”，在“透明度”与“保护度”之间找到平衡点。

商业利用是数据使用中最具争议的场景，也是企业最关心的“利益分配”问题。当工商税务数据被用于商业目的时，其产生的收益应如何分配？是全部归数据加工者（如政府部门或第三方平台），还是与数据提供者（企业）共享？实践中存在三种模式：一是“政府主导型”，即政府部门将数据授权给企业使用，收取“数据使用费”，如某省税务局与银行合作“银税贷”，银行向税务局支付数据服务费，但企业未获得分成；二是“企业自主型”，即企业自主将自身数据（如纳税信用数据）提供给第三方，如企业主动将“A级纳税信用”公示在官网，吸引客户；三是“共享共治型”，即企业、政府、第三方按比例分享数据收益，如某市试点“数据信托”，由专业机构管理企业数据，收益按“企业40%、政府30%、第三方30%”分配。我个人更倾向于“共享共治型”——因为数据既是企业的“私有财产”，也是政府的“公共资源”，只有让各方共享收益，才能形成“数据利用-价值创造-收益反哺”的良性循环。但现实中，由于权属不明，这种模式还处于探索阶段，多数企业只能被动接受“数据被利用、收益被垄断”的现状。

安全责任不清

权属与责任相辅相成，工商注册与税务登记数据权属模糊的另一个直接后果，是数据安全责任“无人认领”。当数据泄露、滥用或丢失时，企业、政府部门、第三方机构之间往往相互推诿，导致数据主体权益无法得到及时救济。例如，2023年某省税务系统发生大规模数据泄露，超过10万企业的纳税申报信息被黑客窃取并在暗网出售。事件曝光后，企业指责税务部门“系统安全防护不足”，税务部门则称“是第三方服务商的运维漏洞”，而服务商又表示“企业未及时更新安全补丁”——这种“责任踢皮球”的现象，让企业维权陷入困境。最终，在监管部门介入下，三方才达成“共同赔偿”协议，但此时企业的商业损失已经无法挽回。这个案例暴露出的问题很深刻：数据安全责任不是“选择题”，而是“必答题”，必须建立“权责对等”的责任分配机制，否则谁都不愿为数据安全“买单”。

从责任类型看，数据安全责任可分为行政责任、民事责任、刑事责任三层，但现实中三层责任都存在“认定难”问题。行政责任层面，监管部门对数据泄露事件的处罚往往“高举轻落”——如对税务部门的罚款通常不超过10万元，对企业或第三方的罚款更低，与数据泄露造成的损失相比“九牛一毛”。民事责任层面，企业起诉政府部门或第三方机构时，面临“举证难”和“赔偿低”双重困境：一方面，企业很难证明数据泄露与损害结果之间的因果关系（如客户流失是否真的由数据泄露导致）；另一方面，即使胜诉，赔偿金额也往往仅限于“直接损失”，无法覆盖“商誉损失”“预期利益”等间接损失。刑事责任层面，虽然《刑法》有“侵犯公民个人信息罪”“非法获取计算机信息系统数据罪”等罪名，但实践中对“数据权属不明”的案件，司法机关往往持谨慎态度——例如，若某平台使用企业税务数据但企业“默许”，是否构成“非法获取”？法律没有明确答案，导致很多案件“以罚代刑”。这种“责任软约束”，无疑降低了各方对数据安全的重视程度。

建立数据安全责任体系，需从“预防-响应-追责”三个环节入手。预防环节，要明确“数据安全责任人”——企业需设立“数据安全官”，政府部门需指定“数据安全管理机构”，第三方机构需建立“数据安全内控制度”，将安全责任落实到人。响应环节，要建立“数据泄露应急机制”——一旦发生泄露，责任人需在24小时内通知监管部门和数据主体，采取补救措施（如冻结数据、通知用户改密），并定期提交“事件调查报告”。追责环节，要实行“过错推定原则”——即由数据控制者（如政府部门、第三方平台）证明自己已尽到安全义务，否则需承担赔偿责任。我曾帮某区税务局设计过“数据安全责任清单”，将“系统访问权限管理”“数据加密存储”“第三方机构审计”等10项责任细化到具体岗位，并规定“每季度开展一次安全演练，每年进行一次第三方评估”——这种“清单化管理”模式，让安全责任从“模糊要求”变为“具体行动”，有效降低了数据泄露风险。

## 总结与前瞻 工商注册与税务登记数据权属划分，本质是数字时代“私权保护”与“公共利益”的平衡艺术。通过前文分析可以看出，当前权属困境的核心症结在于：法律界定模糊导致“无据可依”，数据类型差异导致“一刀切”不适用，权属主体多元导致“利益难协调”，使用边界不明导致“权力易滥用”，安全责任不清导致“风险无人担”。破解这一困境，需构建“法律确权-分类管理-多元共治-责任兜底”的综合体系：在法律层面，出台《数据权属条例》，明确工商税务数据的“基础信息归企业、衍生数据共享、公共利益数据优先”的确权原则；在管理层面，建立“基础身份数据-经营过程数据-衍生分析数据”的分类保护机制，对不同类型数据采取不同的使用和共享规则；在共治层面，成立由企业、政府、专家、第三方机构组成的“数据治理委员会”，协调各方利益诉求；在责任层面，强化“权责对等”，让数据控制者对数据安全承担“无限责任”，倒逼其加强管理。 从长远看，随着数据要素市场化配置改革的深入推进，工商注册与税务登记数据的价值将远超“行政管理”范畴，成为驱动产业升级、优化资源配置的核心动力。但数据价值的释放，以“权属清晰”为前提。正如我在财税行业近20年的感悟：数据就像“水”，权属清晰了，才能“疏堵结合”——既防止“洪水猛兽”（数据滥用），又能“灌溉良田”（价值利用）。未来，随着区块链、隐私计算等技术的发展，“数据可用不可见”的共享模式或许能成为解决权属矛盾的新路径——即在不转移数据所有权的前提下，通过技术手段实现数据的“安全流通”与“价值共享”。但这仍需法律、技术、管理的协同创新，任重而道远。 ## 加喜财税的见解总结 在加喜财税12年的服务实践中，我们深刻体会到工商注册与税务登记数据权属划分的复杂性。我们认为，数据权属的核心是“控制权”与“受益权”的平衡：企业应对自身基础数据和经营数据拥有“绝对控制权”，包括修改、删除、授权使用的权利；政府部门可在“最小必要”范围内收集和使用数据，但需明确数据用途并接受监督；第三方机构获取数据应基于企业“知情同意”，且收益需与企业共享。我们建议企业建立“数据资产台账”，定期梳理自身数据资产，明确权属边界；同时，政府部门应加快数据标准化建设，推动数据“分类分级”公开，为权属划分提供技术支撑。只有权属清晰，数据才能从“负担”变为“财富”，真正赋能企业发展。