企业个人信息使用与保护业务的会计核算方法探析

2015-10-22孙凡

西安财经大学学报 2015年4期

孙凡

（山西财经大学会计学院，山西太原 300031）

一、引言

当前大多数行业已进入买方市场时代，客户被视为企业成功的关键，企业热衷于收集、存取、交换从客户那里得到的信息，从中洞悉客户的行为、准确地捕获他们的需求，从而更高效地支持企业的营销策略。但是，不恰当使用个人信息会削弱客户对企业的信任，导致客户不愿意进一步提供个人信息，甚至会减弱其参与企业营销活动的愿望，这对于企业乃至整个行业都是不利的。实际上，企业侵犯个人信息的案例已频频出现，犯罪团伙利用个人信息实施诈骗的活动也屡见不鲜，其他诸如二手信息的转售、政府对个人活动的随意监控、网络公开传播隐私信息等现象都普遍存在。这些事实表明了随着现代通信技术尤其是互联网的发展，个人信息安全受到空前的挑战，个人信息的使用与保护已成为社会关注的焦点问题。

从企业自身来讲，随着经济全球化的发展，要想在激烈的国际竞争中立于不败之地，一方面要具有核心竞争力，另一方面要防范经营风险。企业核心竞争力的拥有离不开战略性资产的培养与经营。企业战略性资产不仅包括由先进的生产技术和管理方法创造的内生发展优势，还包括由良好的客户关系、社会声誉和政府支持所创造的外生动力优势，而个人信息保护工作就是一项能为企业创造外生动力优势的业务。企业经营风险的防范主要在于强化和完善企业的管理工作，在目前个人信息安全呼声日益高涨的情形下，对个人隐私信息的侵犯将会使企业面临诸如法律诉讼、客户流失等经营风险。正因为如此，目前企业越来越重视个人信息的保护工作。

二、个人信息使用与保护业务的内容与特征

传统上企业对商业机密的保护工作非常重视，但对个人信息进行保护的意识淡薄。近些年来，随着个人信息安全呼声的不断提高，许多企业为了规避经营风险和获得良好的社会声誉，越来越重视个人信息的保护工作，开始构建并实施个人信息的使用与保护业务。

（一）个人信息使用与保护业务的内容

依据企业信息系统对信息进行采集、存储、加工和输出的基本工作流程以及国际社会对个人信息保护的公认准则①目前全球信息保护的主流原则是公平信息惯例（Fair Information Practices－FIPs），它是各类法律和产业标准中所体现出来的为解决隐私伤害问题而遵循的对个人权利和组织责任的规定，基本内容包括声明／意识（Notice／Awareness）、访问／参与（Access／Participation）、选择／同意（Choice／Consent）和安全性／完整性（Security／Integrity）。美国注册会计师协会和加拿大特许会计师协会在此基础上又发布了一般公认的隐私保护原则，其内容包括：A.管理原则：要求组织对其与隐私相关的政策和程序进行定义、整理、交流并确立相关责任制。B.公告原则：要求组织对其隐私相关政策和程序进行公告，包括组织收集、使用、保留和披露个人信息的目的。C.选择和确认原则：要求组织向与信息使用和披露有关的个人进行说明，告知他们拥有选择权，并获取他们默认的或者明确的同意。D.收集原则：要求组织收集的个人信息只能被用于那些在公告上列出的用途。E.使用和保存原则：要求组织按照获得个人默认或者明确同意时公告上所列的目的范围，限制使用所收集到的个人资料。F.访问原则：要求组织提供访问通道，便于个人查看并更正自己信息。G.向第三方披露原则：要求组织把个人信息披露给第三方时，只针对公告中明确列出的用途，并且要得到个人默认的或者明确的同意（法律规定的除外）。H.隐私的安全原则：要求组织要保护个人信息免遭未经授权的访问（包括物理上的和逻辑上的）。I.质量原则：要求组织针对公告中所列的用途提供准确、完整的相关个人资料。J.监测和执法原则：要求组织监测其隐私政策和程序的执行情况，并有机制处理隐私程序相关的调查和纠纷原则。，企业个人信息使用与保护业务的内容应该包括个人信息的收集、持有、使用以及对这些活动进行管理四个环节。

1.个人信息的收集环节

企业在向客户销售产品、提供服务时为了更好地生产与营销设计，需要收集各式各样的个人信息，如客户姓名、性别、年龄、身份证号等，这些信息中有相当一部分属于个人隐私信息。企业在收集个人信息时首先要遵循公告原则，即企业公告其使用个人信息的目的和隐私保护政策及程序。其次要遵循有限收集的原则，即收集范围限于能够满足企业公告中所列之目的。

2.个人信息的持有环节

企业在收集到客户的个人信息后，为了加工和使用的方便，一般要存放在企业专有的数据库中。在该环节企业要遵循安全与质量原则，即企业应从物理和逻辑层面，采取相应的措施保护个人信息免遭损毁、丢失和泄露，而且企业随时能够向有关方（内部使用者、信息提供者、政府的执法部门等）提供符合收集公告中所列目的、准确和完整的相关个人资料。

3.个人信息的使用环节

企业将个人信息用于产品或服务的规划、设计、实施等价值链活动中实现企业的目标。在该环节中，企业首先要遵循指定用途使用原则，即企业依据明确的用途并经信息提供者同意的方式使用个人信息，不作其他用途的使用。其次遵循客户查看原则，即企业应为那些已为企业提供个人信息的客户提供查看其信息的使用情况以及更正其信息的通道，并支持其完成此工作。企业有时需要把所拥有的个人信息提供给第三方，比如配合执法部门的调查，与其他组织合作等。在该种使用中首先要遵循依法披露原则，即企业有义务按照法律的规定向有关方（如执法部门等）提供其拥有的个人信息。其次要遵循准许披露原则，即企业向执法部门以外的合作单位提供个人信息时要告知信息提供者并得到其默认的或者明确的同意。

4.个人信息使用与保护业务的管理环节

企业对个人信息的安保工作进行计划、组织、领导和评价等活动。在该环节首先要遵循战略性规划原则，即从企业长远发展的视角对个人信息保护的政策和程序进行定义、整理、交流并确立相关责任制，其次要遵循监测和执法原则，即企业监测其隐私政策和程序的执行情况，并能按照相应的原则处理隐私纠纷。

以上四个环节构成企业个人信息使用与保护业务完整的流程，它们之间的关系如图1所示，个人信息的收集、持有和使用三个环节依次相连，而业务管理环节统筹这三个环节。

图1 企业个人信息使用及保护业务流程图

（二）个人信息使用与保护业务的特征

个人信息使用与保护业务的实质是企业对个人信息资源的合情、合理和合法利用，借以实现企业的经营目标，同时满足客户的需求，它的特征体现在以下几个方面。

1.目标双重性

企业开展个人信息使用与保护业务的愿景不是盲目的，至少有远近两重目标：从近期看，取得客户的信任，为其顺利开展其他业务创造条件；从远期看，取得良好的社会声誉，培育企业的战略性资产。

2.行为原则性

企业的个人信息使用与保护行为也不是随意的，要遵循特定的原则。核心原则是对个人信息的使用要让信息提供者知情并征得其同意，同时企业要对使用后果承担相应的责任。具体体现在公告、有限收集、安全与质量原则、指定用途使用、客户查访、第三方依法披露、第三方准许披露、战略性规划、监测和执法等一系列原则上。

3.措施系统性

企业开展个人信息使用与保护业务不是一蹴而就的事情，要从个人信息的收集、持有、使用以及管理各个环节采取相应的措施才能把工作做好，其中任何一个环节出现问题都会影响企业双重目标的实现，系统性的措施是确保该项工作取得预期效果的必然要求。

4.绩效评价社会性

企业开展个人信息使用与保护业务的效果应该由社会来评价，这是由其双重目标决定的。按照评价者的不同，社会性评价有三种类型：其一，由直接为企业提供过个人信息的人员进行评价；其二，由间接为企业提供过个人信息的人员进行评价，所谓间接提供是指个人为其他企业直接提供其信息，而其他企业又把该信息提供给本企业；其三，由未为企业直接或间接提供过个人信息的人员进行评价。以上这些人员的评价结果是决定其是否愿意继续为企业提供信息乃至继续与企业发生交易的重要因素。

三、个人信息使用与保护业务的会计核算方法

为了对个人信息使用与保护业务进行科学的管理，需要采用会计核算的手段。会计核算方法对会计信息生成起着决定性的作用［1］。会计核算是会计的基本环节，通过对会计主体所发生的交易或事项进行确认、计量、记录和报告等程序来实现如实反映会计对象状况的目的，主要有两种方法：价值法和事项法。

价值法是一种传统的会计核算方法，一般认为产生于会计学鼻祖帕乔利所提出的复式簿记理论。到目前为止已有五百多年的历史，为世界各国所广泛使用，非常成熟。

事项法是由索特（Sorter）于1969年首次提出的［2］。他指出会计人员基于假想的决策模型对经济事项进行价值评估是有问题的；会计人员应以低的汇总水平记录经济事项的方方面面，以使不同的用户根据其特定的需求重构这些事项。他将这种思想称为事项会计（events accounting）。在索特提出事项法会计后，学者们对其进行了持续不懈的探讨，目前事项法作为一种明确的会计思想和技术方向已存在于会计学体系中，事项理论已经对会计理论和实务产生重要影响［3］。

个人信息使用与保护工作是一项新型的企业业务活动，具有目标双重性、行为原则性、措施系统性和绩效评价社会性的特征。这些特征决定了该项业务与企业的采购、生产和销售等常规业务不同，虽然它的业务投入容易计量，但业务产出难以通过市场进行定价和交易，导致会计核算工作相对复杂。本文尝试对价值法和事项法两种方法进行比较研究，探究合适的会计核算方法。

（一）个人信息使用与保护业务的确认

会计确认是一个包含事实判断和价值判断的过程［4］。就个人信息使用与保护业务的确认来讲，事实判断能够得到客观的结果，价值判断会出现因人而异的情形，那么如何才能得到使用户满意的确认结果呢？价值法下，会计人员要预先知道用户的信息需求，并按照这种需求对个人信息使用与保护业务进行价值判断；即便对于常规业务，会计人员也很难确定每个用户的信息需求，更何况个人信息使用与保护业务是一项新型的业务活动，它的内容和性质尚不十分清晰，因此这种方法难以为每个用户提供满意的确认结果。事项法下，会计人员只需要对个人信息使用与保护业务的基本事实（经济事项）进行确认，这种确认相对容易而且能够得到可靠的结果，然后将确认结果交给用户，由用户自行对所确认的经济事项进行价值判断，获取其所需的信息。表面上看，采用事项法比价值法更能获得让用户满意的确认结果，但这是以会计人员放弃全部的价值判断工作为前提的，放弃的这部分确认工作转移到用户身上，这对于缺乏会计专业知识，难以进行价值判断的部分用户而言未必是好事。因此，将两种会计方法结合起来是可行之道，即在采用事项法提供可靠的关于基本事实确认的基础上，再采用价值法把一些各类用户共同需要的又容易得到可靠确认结果的价值判断提供给用户，而把那些不容易得到可靠确认结果的价值判断工作留给用户自行解决。

（二）个人信息使用与保护业务的计量

会计计量作为会计信息系统的核心职能，是以数量关系来确定物品或事项之间的内在数量关系，而把数额分配于具体事项的过程。可以采用价值量、劳动量或实物量等计量方式对被确认对象进行量化描述，就本文研究的问题而言，被确认的对象是企业对个人信息的安保活动，量化描述的对象分为两类：在确认过程中经事实判断所确定的经济事项和经价值判断所确定的会计事项。

经济事项是按照实际发生的原则确认的基本事实，可以按照历史成本法对其进行可靠的计量。比如可用历史成本法来计量企业为维持个人信息管理机构正常运转所需的办公经费和为职工支付的薪酬，以及企业为使用专用的设备和技术而支付的费用。会计事项是按照用户所需的财务视图确认的会计事实，这些会计事实属于价值判断的范畴，需要采用更复杂的方法对所有的会计事项进行计量。比如对于个人信息使用与保护业务中的支出类会计事项按照历史成本法是容易计量的，但对收益类会计事项的计量就存在一定的困难，因为企业个人信息使用与保护业务与企业收益没有直接的因果关系，只是存在间接的相关关系。这种相关关系体现为：有效的个人信息使用与保护业务首先有利于提高企业的声誉，良好的企业声誉可吸引客户，丰富而忠诚的客户资源可转化为企业的商誉，进而促使企业收益的增加。在这种情形下，收益类会计事项的计量需要通过会计估计或预测的手段获得相应的结果。

由此可见，对于企业个人信息保护这项新业务的计量工作而言，如果采用价值法进行会计计量，那么诸如收益类会计事项等一系列会计事项难以得到可靠的结果。而采用事项法虽能将经济事项所蕴含的数量信息真实地呈报给用户，但这些数量信息需要用户自行加工才能形成有关会计事项的数量信息，会给用户带来一定的困难。理想的计量工作是将两种方法结合起来，基于事项法为用户提供可靠的经济事项计量信息，基于价值法为用户提供会计人员对有关会计事项所做的专业判断和计量结果信息，供用户参考和选择使用。

（三）个人信息使用与保护业务的记录

会计记录是对会计确认及计量结果符号化的活动，也是会计人员对会计对象的一种主观描述活动，为了使这种主观描述具有可信性，一般采用编制凭证和登记账簿的方法进行记录。凭证是一种证据，是当事者对所发生事实的一种认定，登记账簿是会计人员按照一定的方法（如序时、分类等）对零散的凭证系统化的汇编和归档活动。

可以采用事项法或价值法对企业个人信息使用与保护业务确认和计量活动产生的结果进行记录。事项法下，会计人员只负责把经济事项的信息交给用户，由用户进行价值判断形成会计事项而服务于其决策。经济事项信息可通过经济事项凭证这个载体来记录［5］。基于个人信息使用与保护业务的内容及特征，经济事项凭证可分为个人信息的收集、持有、使用和管理四种类型，而每类凭证的内容包括经济资源、经济事件（时间、地点、原因、过程、结果等）和参与者等必要信息。价值法下，一般采用原始凭证对事实判断结果进行描述，用记账凭证对价值判断结论进行描述。这里原始凭证对应于事项法下的经济事项凭证，记账凭证则记录了编制者对个人信息使用与保护业务所引起的价值变动的理解和反映情况。

为了对零散的会计凭证进行系统化的记录，可以采用登记账簿的方法。价值法下，一般先按个人信息使用与保护业务所涉及到的会计科目设立会计账户，再对记账凭证进行序时、分类和备查登记，得到日记账或者流水账、分类账和备查账。事项法下，没有必要按照会计科目设置账户，可以按照REA会计模型［6］分别设立经济资源、经济事件、参与者三个实体账户和反映这三种实体之间的三种关系账户：即经济事件与经济资源之间的存流关系账户、经济事件之间双重关系账户以及经济事件与参与者之间的控制关系账户，将事项凭证的数据分门别类地记录在这些账户上供用户使用。

由此可见，对于个人信息使用与保护业务而言，不同的会计核算方法对应着不同的记录方式。价值法所采用的记录方式面向价值信息的提供，事项法所采用的记录方式面向事实信息的提供，将价值法和事项法结合起来，能够为用户提供较为全面的信息记录。

（四）个人信息使用与保护业务的报告

企业的个人信息使用与保护业务有助于构筑良好的客户关系，因此越来越多的公司开始披露其个人隐私保护政策以获取客户的信任。但国外学者的研究表明，不少的企业披露个人隐私保护政策只是为了传递一种正面的社会形象而实际上并未采取相应的措施；相反，他们想通过限定隐私保护的范畴来减轻自己的责任，因而所披露内容与用户的关切和需求不匹配［7－8］。

个人信息使用与保护业务报告是向企业内外部使用者提供有助于其进行交易决策所需的财务与非财务信息的集合体。财务信息应该以定量化的信息为主，从资金运动的视角准确地描述个人信息使用与保护业务事实；非财务信息兼顾定性和定量两种信息，定性化的信息可用于描述企业的个人隐私保护政策等内容，定量化的信息可从实物量、劳动量以及变化率等方面进一步地描述业务事实。

可采用价值法或事项法对个人信息使用与保护业务进行报告。对于价值法而言，前提是会计人员要明确不同使用者的价值信息需求，然而使用者的信息需求是五花八门的，一般来说，会计人员难以知晓每位使用者的信息需求，只能提供部分会计事项供部分用户使用，难以满足每位用户的需求。对于事项法而言，会计人员把以经济事项凭证的形式记录的业务事实信息报告给用户，由用户自行处理和使用这些信息，但这对那些缺乏会计专业知识的用户来说存在一定困难。如果将价值法和事项法结合起来，首先采用事项法为用户提供相关的经济事项信息，再采用价值法提供由专业的会计人员加工生成的有关会计事项信息，那么经济事项信息是“原汁原味”的也是可靠的，容易得到用户的认可和信任，会计事项信息是定制的也是相关的，可用来弥补经济事项信息的不足，提高用户对会计报告的满意度。

四、事项法与价值法核算对接的关键问题探讨

价值法核算由会计人员代替用户对经济事项进行加工处理形成会计事项，事项法核算则由用户亲自对经济事项进行加工处理形成会计事项，两者的区别是对经济事项的加工主体不同。无论是哪种方法，会计处理的结果都体现在由对经济事项进行加工而形成的会计事项上。由此可见，经济事项、会计事项以及两者之间的关系是价值法与事项法核算对接的接口。

对于个人信息使用与保护业务而言，信息使用者决策所需的价值判断信息种类和内容一方面要根据使用者的角色（如债权人、投资者、监管者等），另一方面还要根据业务本身的特点（如业务内容、方法、目的等问题）来确定，不同的信息使用者可能具有不同的关注点。例如，债权人较关心个人信息使用与保护业务对企业财务状况、损益情况和现金流量的影响，而投资者则更关心该业务对企业声誉、盈利能力及发展能力等方面的影响，监管者则比较关注该业务对企业经营管理水平等方面的影响。

这些价值判断信息种类和内容是通过会计事项体现的，会计事项是反映企业财务视图的基本元素，包含的信息量可大可小，大至诸如企业财务状况，小至一个会计账户情况，如管理费用。会计事项可按照所包含信息量的大小以及相互之间的关系进行层次分类，一种可能的分类方法如图2所示。不同的会计事项从不同的窗口反映企业个人信息使用与保护业务的财务视图，视图窗口取决于用户的需要，如财务状况事项、损益事项和现金流量事项是债权人关注的财务视图窗口，而经营管理事项是企业的监管者关注的财务视图窗口，发展能力事项则是投资者关注的财务视图窗口，等等。大窗口会计事项可以分解为若干小窗口的会计事项，反过来，若干小窗口的会计事项可以合并为一个大窗口的会计事项，也就是说，会计事项具有分解和组合功能。比如，个人信息使用与保护业务的损益事项可以分解为业务收入和业务支出两种会计事项，而该业务支出事项又可以分解为职工薪酬、管理费用和其他费用三种事项。再比如，个人信息使用与保护业务对企业盈利能力、经营协调性以及其他相关方面产生影响的事项共同组成该业务对企业发展能力产生影响的事项。

图2 个人信息使用与保护业务会计事项的分类方法

会计事项的解读需要经济事项的支持，每个会计事项由一个或多个经济事项支持。经济事项是指在个人信息使用与保护业务中发生的行动或者事件，这些行动或者事件引起了企业经济资源的变化。按照企业个人信息使用与保护业务的内容构成，可以将其分解为四大类经济事项，分别是个人信息的收集、持有、使用和对这三类事项进行管理的事项。这四类经济事项也可以继续细化为更小颗粒度的经济事项。例如，管理类经济事项还可以进一步划分为计划、组织、领导、评价等子事项，只要这些子事项符合经济事项的定义，即它们是个人信息使用与保护业务中发生的行动或者事件并引起了企业经济资源的变化，就可以成为独立的经济事项。

会计事项和经济事项之间的关系主要包括数量关系、时间顺序关系和其他逻辑关系。数量关系是指一种会计事项对应于确定数量的经济事项；时间顺序关系是指支持会计事项的经济事项之间在时间上的先后关系；其他逻辑关系是指支持会计事项的经济事项之间除数量关系、时间顺序关系之外的其他符合特定规律或要求的关系。

由经济事项形成会计事项须符合会计准则的规定，同时要依靠信息加工者的专业判断完成。例如，为了确定业务支出会计事项，需要把个人信息的收集、持有、使用和管理四种经济事项统筹起来考虑。为了确定业务收益事项，除了要考虑上述四种经济事项外，还需依赖信息加工者的专业胜任能力来判断收益是否实现，收益实现是否符合收入确认原则等问题。

五、结语

个人信息安全是人类文明发展的标志，是追求人际关系和谐不可或缺的内容，也是实现整个社会安定有序的必然要求。企业为了获得良好的社会声誉和培育战略性资产，开始规划和实施个人信息使用与保护业务，同时为了对该业务进行科学的管理，必将采用会计核算的手段。本文通过分析该业务的特点，认为采用事项法和价值法相结合的方法有助于保障会计核算信息的可靠性和相关性。两种方法结合的关键点是对经济事项和会计事项的正确划分，以及两者之间关系的准确界定。经济事项的划分要遵循真实性原则，“原汁原味”地反映业务活动。会计事项的划分要遵循相关性和可靠性的原则，从价值运动的视角反映业务活动。两者之间的关系主要包括数量关系、时间顺序关系和其他逻辑关系。

本文的不足之处在于对个人信息使用与保护业务的经济事项、会计事项的划分以及两者之间的关系只是一种逻辑上的推演和思辨，还没有进行实证检验，未来需要将这些问题进行深入的调研和论证，取得可靠的事实和数据，并在此基础上构建关于经济事项、会计事项以及两者之间的关系的标准，为该项业务的会计核算工作提供坚实的基础。

［1］史雪冰，杨海峰.提高会计信息质量的会计核算方法研究［J］.西安财经学院学报，2004（5）：40－44.

［2］SORTER G H.An “Events”approach to basic accounting theory［J］.Accounting Review，1969，44（1）：12－20.

［3］嵇建功.事项会计理论的事项概念与会计信息演进研究［J］.会计研究，2013（2）：33－37.

［4］盖地，罗斌元.会计确认的再认识及应用——基于事实判断和价值判断的认知论释义［J］.会计研究，2011（8）：3－8.

［5］张永雄.基于事项法的会计信息系统构建研究［J］.会计研究，2005（10）：29－34.

［6］MCCARTHY WE.The REA accounting model：ageneralized framework for accounting systems in a shared data environment［J］.Accounting Review，1982，57（3）：554－578.

［7］BORITZ J E.No W G E－Commerce and privacy：exploring what we know and opportunities for future discovery［J］.Journal of Information Systems，2011，25（2）：11－45.

［8］KAUFFMAN R J，LEE Y J，PROSCH M，et al.A aurvey of consumer information privacy from the accounting information systems perspective［J］.Journal of Information Systems，2011，25（2）：47－79.