《数据资源审计指引(试行)》

《数据资源审计指引(试行)》一、总则（一）制定目的为规范数据资源审计行为，健全数据资源监督体系，推动落实数据要素市场化配置改革要求，保障数据安全，保护个人信息权益，促进数据资源合规开发利用和国有数据资产保值增值，根据《中华人民共和国审计法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》《企业数据资源相关会计处理暂行规定》等法律法规和政策规定，制定本指引。（二）适用范围本指引适用于各级审计机关对各级党政机关、事业单位、国有及国有控股企业（以下统称“被审计单位”）占有、使用、管理的公共数据、国有数据资源开展的审计活动。其他单位开展内部数据资源审计，可参照本指引执行。（三）审计目标1.合规性目标：推动被审计单位落实数据资源全生命周期管理合规要求，纠正各类违法违规行为，规范数据资源管理秩序。2.安全性目标：排查数据资源安全风险隐患，督促落实数据安全保护责任，防范数据泄露、滥用、违规出境等风险，保障国家安全、公共利益和个人信息权益。3.效益性目标：推动盘活闲置数据资源，提升数据开发利用的经济效益和社会效益，促进数据资产保值增值，充分发挥数据要素作用。4.治理性目标：推动被审计单位完善数据资源治理体系，健全管理制度，提升数据治理能力，助力构建完善的数据要素基础制度体系。（四）审计原则1.坚持依法审计：严格按照法定职责、法定权限、法定程序开展审计，恪守审计权力边界，遵守数据安全和保密管理规定。2.坚持安全与发展并重：统筹数据开发利用和数据安全保护，既督促防控安全风险，又推动数据合规流通利用，助力数据要素市场健康发展。3.坚持全生命周期监管：覆盖数据从采集、存储到开发利用、销毁退出全流程，实现全链条监督无盲区。4.坚持“三个区分开来”：准确把握改革创新中的容错界限，对合规履行决策和审查程序、不存在主观恶意、未谋取私利的探索性失误，依规从轻处理，鼓励数据要素领域改革创新。二、审计对象与主要内容（一）审计对象本次审计对象为被审计单位占有、使用、管理的各类数据资源，以及围绕数据资源开展的治理体系建设、全生命周期业务活动、安全防护、开发利用、会计核算、资金使用等全部管理活动；其中公共数据指党政机关、事业单位依法履行法定职责、提供公共服务过程中产生和收集的数据，国有数据指国有企业基于国有资本、公共资源投入产生和合法取得的数据。（二）主要审计内容1.数据资源治理体系建设审计（1）管理制度与组织建设情况。核查被审计单位是否根据国家法律法规和监管要求，制定完善本单位数据资源管理办法、数据分类分级规则、数据安全管理制度、个人信息保护制度、数据应急处置预案等内部制度；是否对接国家和行业数据标准，建立符合本单位实际的数据标准体系；是否明确数据资源管理的责任主体，按要求设立专门数据管理机构、配备专职管理人员，落实首席数据官制度；是否建立数据资源管理内部控制、内部监督机制，定期开展内部数据安全检查。（2）数据权属与资产核算管理情况。核查党政机关、事业单位是否建立公共数据确权授权机制，明确公共数据的使用权、收益权归属；国有企业是否按照《企业数据资源相关会计处理暂行规定》要求，对合法取得的数据资源进行确权认定，准确区分无形资产类数据资源和存货类数据资源，按规定完成会计核算和报表列示；核查是否存在应入账未入账的数据资产，造成国有数据资产账外流失；是否存在违规虚增数据资产价值、利用数据资产会计处理调节利润等问题；核查数据资产权属是否清晰，是否存在权属纠纷，对外授权使用数据资源是否履行合规审批程序。（3）数据基础能力建设情况。核查被审计单位是否按要求完成数据资源化梳理改造，建立统一规范的数据资源目录并定期更新；是否建设符合安全要求的数据存储、处理基础设施，建立数据中台、数据质量管理体系；是否建立数据质量问题溯源、整改机制，持续提升数据准确性、完整性、时效性。2.数据资源全生命周期流程合规性审计（1）数据采集环节合规性。核查数据采集是否符合法定职责和授权范围，是否存在超范围采集、强制采集非必要信息、违法违规采集敏感信息等问题；采集个人信息是否依法取得个人同意，公开透明告知采集使用规则，符合最小必要原则；采集核心数据、重要数据是否按规定履行审批备案程序；通过第三方渠道获取的数据，是否核查了第三方数据来源的合法性，留存了合法授权证明文件，是否使用来源不合法的数据开展业务；公共数据采集是否遵循“一数一源”要求，是否存在重复采集、多头采集，增加市场主体和群众办事负担的问题；采集过程是否完整留存操作日志，做到全流程可追溯。（2）数据存储与日常管理合规性。核查数据存储是否符合分类分级保护要求，核心数据、重要数据是否按要求存储在境内合规服务器，确需向境外提供的是否按规定履行安全评估、审批程序；数据存储基础设施是否符合网络安全等级保护2.0要求，按规定完成等级保护测评，是否落实加密存储、访问控制、异地备份等安全措施；废弃存储介质是否按要求进行不可逆数据销毁，是否存在违规丢弃造成数据泄露的问题；数据目录更新是否及时，是否存在数据错配、分类分级不准确的问题；数据质量管控是否到位，是否存在大量数据错误、缺失、更新不及时，影响数据使用的问题。（3）数据共享开放合规性。核查党政机关、事业单位公共数据是否按要求接入全国一体化政务数据共享平台，是否存在以数据归部门所有为由拒不共享、违规设置共享限制等问题，是否存在越权共享、违规向第三方提供共享数据的问题；数据开放是否符合法定开放范围，拟开放的非公共数据是否履行合规审查程序，开放的公共数据是否按要求完成去标识化、匿名化脱敏处理，是否存在违规开放未脱敏的敏感信息、个人隐私信息、涉密信息的问题；开放数据是否建立持续动态监控机制，发现安全风险及时撤回处置。（4）数据交易流通合规性。核查进入市场交易流通的数据是否属于法定可交易范围，核心数据、重要数据是否违规进入交易市场；公共数据、国有数据交易是否按要求进入依法设立的公共数据交易场所开展，是否存在私下违规交易问题；交易前是否按规定开展合规审查、安全评估，确认数据来源合法、权属清晰；交易收益是否按规定纳入财政预算管理或者单位营业收入核算，是否存在违规截留交易收益、设立账外账、利用数据交易谋取部门或者个人利益、进行利益输送等问题；数据交易合同是否明确双方数据安全责任，对后续开发利用的权利义务作出明确约定。（5）数据开发利用合规性。核查被审计单位开发利用数据资源是否符合公共利益，是否存在违规利用大数据实施“杀熟”、价格歧视、不公平竞争等侵害消费者权益的行为；公共数据开发利用是否落实公共数据授权运营管理要求，是否存在未经授权擅自运营公共数据、侵占国有数据资产收益的问题；开发利用过程中是否持续落实个人信息保护要求，是否存在违规向第三方共享用户个人信息的问题。（6）数据出境与销毁退出合规性。核查拟出境数据是否符合《数据出境安全评估办法》要求，应当申报安全评估的是否按要求完成评估，是否存在通过拆分项目、分散传输、物理携带、存储至境外云服务器等方式规避评估违规出境的问题；需要退出销毁的数据是否按规定流程履行审批，实施不可逆销毁，是否残存可还原数据，是否存在违规处置造成数据流出的问题；用户注销账号、终止服务后，是否按要求对用户个人信息进行删除或者匿名化处理，符合法律法规要求。3.数据资源安全风险防控审计（1）分类分级保护落实情况。核查被审计单位是否按国家要求完成数据分类分级，准确识别本单位的核心数据、重要数据，是否落实核心数据、重要数据专人专管、定期风险评估制度；是否严格落实个人信息保护要求，建立个人信息影响评估制度，处理敏感个人信息是否依法取得个人单独同意，是否存在过度处理、违规向第三方提供个人信息等侵害个人权益的问题。（2）安全防护能力建设情况。核查是否按要求落实网络安全等级保护、数据安全保护义务，建立数据安全监测预警机制，定期开展系统漏洞扫描、渗透测试，及时处置安全隐患；是否制定数据安全事件应急预案，定期开展应急演练，发生数据泄露、篡改、丢失等安全事件后，是否按要求及时上报监管部门，开展应急处置，及时告知受影响用户，是否存在瞒报、漏报事件的问题。（3）第三方合作风险管控情况。核查开展数据业务外包、与第三方合作开发数据产品过程中，是否对第三方的安全资质、合规能力进行审查，在合同中明确约定双方数据安全责任，是否存在违规将核心数据、重要数据交由第三方存储、处理的问题，是否对第三方的数据处理活动开展持续监督。（4）数据安全审查落实情况。涉及重大数据业务调整、重要数据系统建设、大规模数据出境等事项，是否按要求开展数据安全审查，是否存在未审查就开展业务造成重大安全隐患的问题。4.数据资源开发利用效益审计（1）公共服务效益。核查公共数据共享开放是否有效打破“数据孤岛”，支撑“一网通办”“跨省通办”改革，是否提升政务服务效率，降低市场主体办事成本，是否解决了群众反映强烈的办事难、办事慢问题，是否达到项目预期绩效目标。（2）资产经济效益。核查国有企业数据资产开发利用情况，是否盘活存量闲置数据资源，开发的数据产品是否产生预期经济效益，数据资产是否实现保值增值，是否存在大量数据资源闲置浪费，财政投入或者国有资本投入的数据项目长期无法落地产生效益，造成国有资金浪费的问题。（3）公共治理效益。核查数据资源在支撑宏观调控、市场监管、社会治理、应急管理等公共治理领域的作用发挥情况，是否能够及时为政府决策提供准确有效的数据支撑，是否提升公共治理的精准性和效率。（4）资金投入效益。核查各级财政投入、国有资本安排的数据平台建设、数据资源开发项目资金使用是否合规，是否存在截留挪用、虚列支出等问题，是否存在重复建设数据平台、造成资金和资源浪费的问题。三、审计组织实施程序（一）审计准备阶段1.开展审前调查。审计组应当收集与被审计单位数据资源管理相关的法律法规、监管要求、政策文件，了解被审计单位数据资源规模、分类分级情况、管理架构、业务流程，梳理潜在重大风险领域，确定审计重点。2.编制审计实施方案。根据审前调查结果编制审计实施方案，明确审计范围、审计内容、人员分工、时间安排、质量控制要求；针对数据资源审计的专业性要求，应当配备熟悉数据管理、数据安全、信息技术的专业审计人员，必要时按照规定程序聘请外部专业机构或者专家提供技术支持。3.下达审计通知。按照法定程序向被审计单位下达审计通知书，明确要求被审计单位提供数据资源目录、制度文件、会计核算资料、安全评估报告、交易合同等相关资料，配合审计开展工作。（二）审计实施阶段1.资料提交与承诺。要求被审计单位对提供的所有资料的真实性、完整性、合法性作出书面承诺，明确不得隐瞒、篡改、销毁相关数据资料。2.现场核查与取证。按照审计实施方案开展现场审计，针对不同审计事项采取对应的审计方法获取审计证据，核查问题线索；涉及调取核心数据、敏感数据开展审计工作的，应当严格遵守国家保密和数据安全管理规定，履行审批程序，采用符合安全要求的存储处理方式，审计工作结束后及时销毁审计工作中获取的敏感数据副本，不得违规留存。3.沟通确认问题。审计过程中对发现的问题线索应当及时与被审计单位相关负责人沟通，核实情况，充分听取被审计单位的解释说明，确保问题认定准确。（三）审计报告阶段1.整理审计证据，汇总审计发现问题，起草审计报告征求意见稿，按照规定程序征求被审计单位的意见。2.根据被审计单位反馈意见修改完善审计报告，按照法定程序出具正式审计报告，审计报告应当明确审计发现问题、整改要求、改进建议，表述清晰准确。四、常用审计方法（一）资料核查法：核查被审计单位提供的制度文件、审批记录、数据目录、会计账目、交易合同、安全评估报告、等级保护测评报告、应急处置记录等资料，核查制度建设、流程合规性、资产核算的合规性。（二）数据比对分析法：将被审计单位报备的数据分类分级目录、开放共享清单、采集字段清单与实际存储的原始数据进行比对，排查超范围采集、分类分级错误、违规开放等问题；通过关联分析数据交易记录与财务收支记录，核查交易收益是否如实入账，是否存在利益输送问题；利用大数据技术全量排查采集的个人信息字段，识别非必要过度采集个人信息问题。（三）技术检测法：利用专业信息安全技术工具，检测数据存储系统的安全漏洞、访问控制措施落实情况，对开放的脱敏数据开展重标识风险检测，验证脱敏处理是否符合安全要求，核查数据存储加密措施是否到位。（四）风险评估法：对照国家数据安全风险评估规范，结合被审计单位数据规模和敏感程度，对被审计单位的数据安全风险进行分级，识别重大风险点。（五）访谈调研法：访谈被审计单位数据管理岗位、业务岗位工作人员，了解内部制度落实情况，面向数据主体、服务对象开展问卷调查，了解个人信息权益保护情况和数据服务满意度。（六）绩效评估法：对比数据项目立项时设定的绩效目标，从经济效益、社会效益两个维度评估数据开发利用的实际效果，计算投入产出比，识别资金浪费、效益低下问题。五、审计评价（一）审计评价应当以审计证据为依据，客观公正反映被审计单位数据资源管理的实际情况，区分不同情况作出评价，不得超出审计范围作出评价。（二）审计评价分为三个等级：1.优秀：数据资源治理体系健全完善，全生命周期流程全部合规，无重大违法违规问题，数据安全风险可控，开发利用效益达到或者超过预期目标。2.合格：存在少量一般违法违规问题，无重大数据安全风险，不影响数据资源整体安全和开发利用，能够按要求完成整改。3.不合格：存在重大违法违规问题，存在重大数据安全隐患，或者发生重大数据安全事件，造成国有资产流失、危害国家安全或者公共利益，开发利用未达到基本要求。（三）审计评价应当从治理体系建设、流程合规性、安全风险防控、开发利用效益四个维度分别评价，综合得出总体评价结论。六、审计整改与结果运用（一）整改责任落实。被审计单位是审计发现问题整改的责任主体，主要负责人是整改第一责任人，应当在审计报告要求的期限内完成整改，向审计机关报送整改报告，附上相关整改证明材料。审计机关应当对整改情况进行跟踪检查，必要时开展审计整改“回头看”，督促整改到位。（二）审计结果运用。1.审计结果作为被审计单位绩效考核、领导干部考核评价、国有资产保值增值评价的重要依据；2.对审计发现的制度性漏洞，推