《数据资产安全合规管理规范》征求意见稿

Q/LB.□XXXXX-XXXX前言本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。本文件由安徽省财政厅提出并归口。本文件起草单位：安徽省财政厅、上海锦天城（合肥）律师事务所、安徽大学、安徽大湖律师事务所、安徽江聿律师事务所、安徽省公安厅、数据空间研究院、安徽省发展和改革委员会、农业农村部大数据发展中心、安徽省质量和标准化研究院、阜阳市财政局。本文件主要起草人：

引言在数字经济时代，数据资产已成为推动经济社会发展的核心要素。安徽省在行政事业单位数据资产管理过程中形成的“资产管理—授权运营—交易流通—收益分配”四位一体管理路径，为全省数据资产管理提供了先进经验。本文件立足安徽省实践，提炼行政事业单位试点经验，覆盖数据资产全生命周期管理环节，明确适用于安徽省行政区域内各类组织的安全合规控制要求，并嵌入评估功能，支持组织自评、第三方审计及监管检查，旨在防范安全风险，促进数据资产依法合规流通，服务数字安徽建设。数据资产安全合规管理规范范围本文件规定了安徽省行政区域内组织在数据资产管理过程中涉及资产管理、授权运营、交易流通、收益分配等环节的安全合规控制要求，包括术语和定义、基本原则、安全合规控制要点、安全合规审查与持续改进、评估报告与信息披露要求。本文件适用于安徽省行政区域内各类组织（包括但不限于行政事业单位、企业、社会团体、民办非企业单位等）开展数据资产管理工作。参与数据资产授权运营、加工处理、交易流通的运营主体和第三方机构等可参照执行。规范性引用文件本文件没有规范性引用文件。术语和定义下列术语和定义适用于本文件。数据资产组织合法持有或控制的，能进行货币计量的，且能带来经济利益或社会效益的数据资源。数据产品运营主体基于授权数据资产，通过加工处理形成的，可满足特定需求的数据加工品和数据服务。运营主体经组织规范授权，依法依规对授权范围内的对数据资产进行开发、产品经营和技术服务的法人组织。授权运营组织通过法定或合同约定程序，将数据资产授权给符合条件的运营主体进行治理、开发，并向市场公平提供数据产品和技术服务的活动。安全合规审查对数据资产管理活动是否符合法律法规、标准及内部制度进行的检查验证。安全合规评估依据标准指标和方法，对数据资产管理安全合规状况进行系统测量、分析和评定的过程。基本原则全程管控原则安全合规控制覆盖数据资产全生命周期各环节，实现无遗漏、全链条管控。权责明晰原则明确组织、运营主体、第三方机构等各方安全责任边界，做到责任可追溯、可追究。最小必要原则数据采集、处理、共享等环节的范围、方式、权限，限定在实现管理目的的最小必要范围内。原始数据可控原则通过技术与管理措施，确保原始数据始终处于有效监管，严格落实“原始数据不出域”要求。安全可信原则采用符合国家要求的技术手段和可信环境，保障数据资产管理过程及产品的安全性、完整性、可追溯性。动态监管与持续改进原则建立监测、审计、评估、反馈机制，根据法律法规变化、技术发展持续优化控制措施。安全合规控制要点资产管理环节数据资产确认组织应按以下要求开展数据资产确认工作，确保资产合法合规纳入管理：合法性来源审查：确认的数据资产须具备合法来源依据，严禁将非法获取、来源不明的数据资源确认为数据资产。分类分级标识：依据国家及本省数据分类分级相关标准，对确认的数据资产进行科学分类和安全定级，明确标注敏感数据类型及其安全级别。价值与风险初步评估：同步评估数据资产的经济利益或社会效益潜能，以及数据泄露、滥用等潜在安全风险，形成初步评估记录，作为后续管理策略制定的依据。数据资产登记与台账管理组织应建立规范的登记与台账管理机制，确保资产信息真实、完整、可追溯：登记信息完整性：通过指定管理系统（行政事业单位优先使用安徽省数据资产智能管理平台）登记数据资产信息，包括但不限于资产编号、名称、分类分级、来源、数量、存储位置、权属信息、使用状态等，信息需随资产状态变化动态更新。敏感信息标注：对涉及国家秘密、商业秘密、个人信息等敏感数据资产，在登记信息中单独标注，明确管控要求。数据资产证书申领：行政事业单位拟对外授权运营的数据资产，应在安徽省数据资产智能管理平台申请获取数据资产证书，作为权属证明及对外授权使用的核心凭证；企业可根据自身管理需求或合作场景要求，自行规范权属凭证管理。台账动态管理：建立并持续维护数据资产台账，定期与登记系统数据核对，确保台账信息与资产实际状态一致，实现资产全生命周期轨迹可查。数据资产存储与维护安全组织应落实存储安全责任，构建符合安全要求的存储环境：安全存储配置：采用加密存储、访问权限分级管控、数据备份与容灾恢复等技术措施，存储环境需符合网络安全等级保护相应级别要求，定期开展安全测评。介质安全管理：数据存储介质的保管、使用、维修、报废等环节需建立登记制度，明确责任主体，防止介质丢失、被盗或违规使用导致数据泄露。日常维护管控：定期对存储系统进行安全巡检、漏洞修复和性能优化，记录维护操作日志，确保维护过程合规可控。数据资产处置安全合规控制组织应规范数据资产处置流程，防范处置过程中的安全风险与资产流失：处置决策程序：数据资产处置需经内部集体决策，行政事业单位需报主管部门审核、同级财政部门审批后实施。处置方式选择：根据数据资产类型、安全等级及敏感程度，采用安全脱敏、彻底销毁、合规迁移等处置方式，确保处置后数据无法被非法恢复或利用；涉及涉密数据资产的，需按保密规定执行专门处置流程。处置备案管理：处置完成后，及时更新数据资产台账、核销资产卡片，留存处置方案、安全审计报告、第三方评估意见等资料备案，主动接受监督检查。授权运营环节授权安全合规评估组织在数据资产授权运营前，应完成安全合规评估，为授权决策提供依据：评估实施要求：鼓励组织在开展数据资产授权运营前进行安全合规评估，行政事业单位必须委托具备资质的第三方机构进行评估，不得自行评估替代。评估核心内容：包括但不限于数据资产来源、权属的合法性与清晰性；分类分级的准确性；拟授权内容、范围、应用场景的必要性与合规性；数据资产本身的安全风险等级；保障“原始数据不出域”的技术可行性；运营主体潜在合规风险等。评估报告应用：评估完成后形成正式评估报告，明确评估结论与风险防控建议，未经评估或评估不合格的，不得开展授权运营。授权决策与协议签订组织应规范授权决策流程，通过协议明确各方权责边界：内部决策与审批：组织需履行内部决策程序，形成决策纪要；行政事业单位授权运营须经主管部门审核、同级财政部门审批，未经审批不得授权。运营主体遴选：按照市场化原则或内控制度确定运营主体，运营主体应具备以下条件：数据安全技术能力达标、合规管理体系健全、无重大行政处罚或违法犯罪记录、信誉良好，能够满足授权运营的安全保障要求。授权运营方案制定：组织应与运营主体共同编制授权运营方案，明确应用场景限制、数据加工处理规则、技术路线、安全保障措施、风险应急预案、运营期限等核心内容。协议签订要求：组织需与运营主体签订安全保密协议和授权运营协议。安全保密协议需明确原始数据管控要求、运营主体保密义务、安全审计权限等；授权运营协议需明确授权范围、数据产品合规标准、双方安全责任、收益分配意向、协议终止后的数据处理方式、违约责任等，确保权责明晰、过程可控。产品开发与合规审查组织应加强对数据产品开发全过程的监督，确保产品合规安全：开发环境管控：组织可要求运营主体保障开发环境符合网络安全等级保护要求，落实环境隔离、权限分级管控、操作日志审计等机制，禁止在非安全环境中处理敏感数据。开发过程安全：监督运营主体建立数据开发全流程安全管控机制，采用加密、脱敏、隐私计算等技术手段保护数据安全，明确开发人员访问权限，建立操作追溯机制，防止数据泄露或滥用。数据产品合规审查：鼓励组织对数据产品进行独立安全合规评估；行政事业单位应督促运营主体委托第三方机构评估并出具法律意见书，组织需对评估结果及法律意见书进行备案，未经合规审查或审查不合格的，不得进入交易流通环节。交易流通环节价值评估组织应规范数据资产及数据产品价值评估流程，确保定价依据合理：评估机构资质：委托的第三方评估机构需具备相应专业资质、技术能力和独立性，无不良执业记录。评估方法适用：评估应采用符合数据资产特性的合理方法，明确评估假设、参数选取依据及计算过程，不得采用无依据的评估方法。评估结果应用：价值评估报告作为数据产品定价的重要参考，需留存备查，同时可结合市场实际情况动态调整定价依据。定价组织应指导运营主体遵循市场化原则定价，确保定价合规透明：定价基本原则：定价需符合价格法律法规，综合考虑数据产品开发成本、价值评估结果、同类型产品市场行情、用户业务规模、数据更新频率及时效性等因素，不得恶意低价竞争或垄断高价。参考价格管理：组织可对运营主体制定交易参考价格的过程进行指导，运营主体需留存定价依据，并报组织备案，确保定价过程可追溯、可核查。交易组织应选择合规交易渠道，保障交易过程安全可控：上市登记要求：组织可要求运营主体在依法设立的数据交易所完成数据产品上市登记，获取上市登记凭证。交易渠道优先：数据产品交易优先通过数据交易所等场内平台开展；确需场外交易的，须完成安全合规评估与价值评估，签订书面交易协议，且交易内容不得违反数据要素流通负面清单。交易安全保障：交易过程需采用安全可靠的平台及加密传输协议，保障交易数据的机密性、完整性和不可抵赖性，留存交易记录备查。收益分配环节收益分配协议组织应按公平公正原则，明确收益分配规则：分配原则适用：严格遵循“谁投入、谁贡献、谁受益”原则，通过价值评估厘清组织、运营主体等相关方的投入占比及贡献程度，合理确定收益分配比例。协议核心内容：签订专门收益分配协议，明确成本核算标准、收入确认方式、收益分配机制、支付时限及方式、税务处理责任等，避免分配争议。收益合规管理组织应规范收益管理，确保收支合规：收益处理要求：组织需按国家相关规定处理数据资产收益，优先用于数据资产安全管理、技术升级、合规审查等配套工作；行政事业单位收益需纳入政府非税收入管理，按国库集中收缴制度足额缴库，企业收益需按财务制度及税法规定进行核算与申报。禁止性行为：严禁任何组织或个人违规操纵收入、截留挪用收益、虚构收益，不得通过数据资产授权运营违规新增债务；行政事业单位不得借授权运营名义变相虚增财政收入，不得延迟缴库或坐支收益。安全合规审查与持续改进常态化安全合规审查组织应建立覆盖全流程的常态化审查机制，主动排查合规风险，确保管理行为持续合规：审查范围界定：需覆盖数据资产管理全环节，重点审查授权运营协议履行情况、数据产品合规性、运营主体行为、收益管理等核心内容。审查方式选择：可结合内部审计、委托第三方机构评估、利用智能管理平台监控等方式，形成“自查+外审+智能监控”的多元审查体系。审查重点把控：聚焦“原始数据不出域”落实情况、数据使用边界、安全措施有效性、收益分配合规性等关键节点，发现问题立即暂停相关操作并及时整改。应急管理与事件处置组织应建立数据资产安全事件专项应急机制，确保突发事件快速、合规处置：应急预案：需编制专门的数据资产安全事件应急预案，明确事件分级标准、处置流程、报告机制、补救措施、资源保障等内容。演练与更新：每年至少开展1次实战化应急演练，演练后形成评估报告，梳理流程漏洞；当国家法律法规更新、数据资产类型调整或发生实际安全事件时，需及时修订预案，确保预案适用性。持续改进机制组织应建立“复盘-评估-优化”的闭环改进机制，不断提升数据资产管理合规水平：全流程复盘总结：在数据资产全过程管理结束后，组织应及时“回头看”，从安全合规、流程效率、价值实现等多维度进行复盘总结。评估联动与优化：委托具备资质的第三方机构开展数据资产管理全流程合规评估，获取包含安全合规评价的专业意见；结合复盘结论与第三方评估意见，统筹修订数据资产管理制度、优化管理流程、升级安全保障措施，确保改进措施贴合实际需求。信息反馈与落地：建立内外部协同的信息反馈机制，鼓励内部人员、运营主体、合作方等相关方反馈安全合规风险或改进建议，对反馈内容及时核实，合理建议纳入改进计划并推动落地，形成管理改进的良性循环。评估报告与信息披露要求安全合规评估报告内容本报告聚焦数据资产从确认、登记、授权运营、交易流通到收益分配的全生命周期安全合规评估，区别于单一授权运营环节评估，核心内容应包括：数据资产基本情况：名称、类型、来源、分类分级、安全等级、登记状态，以及资产在全生命周期关键节点的流转状态信息。评估过程与方法：评估目的、范围、依据标准、采用方法、评估团队。评估发现与结果：数据资产自身安全风险状况，以及全流程中各环节关联的风险。管理流程安全合规符合性情况：全生命周期各环节是否符合安全合规要求的具体判定。隐患、漏洞与不合规项：全流程中存在的安全隐患、管理漏洞及不合规行为。风险分析与评级：结合全流程关联性，分析问题对后续环节的传导影响，按发生概率、影响程度对发现问题进行风险等级评估，说明评级依据。整改建议：针对全流程问题和风险，提出具体、可操作的整改建议，明确责任主体和时限要求，覆盖制度、流程、技术等维度。评估结论：对数据资产全生命周期管理流程在评估范围内的整体安全合规状况给出明确结论，对存在重大风险的环节特别提示，说明结论适用范围。评估证据索引：列出支撑评估结论的关键证据清单，对于易失的即时信息，应通过截图、录屏、公证等方式固定证据。信息披露组织披露数据资产登记、数据产品上市、交易等信息时，需遵循“依法合规、最小必要、统一平台”原则，严格遵守国家信息公开、商业秘密及个人