《数据资源审计指引(试行)》

《数据资源审计指引(试行)》1总则1.1目的依据为规范数据资源审计工作，健全数据要素监管体系，推动数据资源合规管理、安全利用和价值释放，防范数据安全风险，保障数据资产安全完整，根据《中华人民共和国审计法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》及相关法律法规、制度规定，制定本指引。本指引所称数据资源审计，是指审计机关、内部审计机构对被审计单位占有、使用、管理的各类数据资源及其全生命周期管理活动、治理体系、安全防控、资产化管理、价值实现等开展的审计监督、评价和建言活动，是对数据要素生产、流通、利用全过程的监督保障。1.2审计目标（1）合规性目标：监督数据资源管理、开发、利用活动符合法律法规、监管要求和内部制度，纠正违法违规行为，维护数据市场秩序；（2）安全性目标：排查数据资源安全风险隐患，推动落实数据安全责任，保障核心数据、重要数据、个人信息安全，防范数据泄露、滥用、非法出境风险，维护国家数据安全、公共利益和个人合法权益；（3）资产性目标：推动完善数据资源资产化管理，摸清数据资产家底，规范数据资产核算，防止数据资产特别是国有数据资产流失；（4）效益性目标：推动数据资源优化配置，充分释放数据要素价值，提升数据开发利用的经济效益和社会效益，服务数字经济高质量发展。1.3适用范围本指引适用于各级审计机关开展国家审计、对国有及国有控股企业、公共机构的数据资源审计监督，机关、企事业单位、社会组织开展内部数据资源审计，以及社会审计机构开展相关审计服务可参照本指引执行。1.4审计原则（1）坚持依法审计，恪守审计权限，严格依照法定职责、法定权限、法定程序开展审计，严格遵守数据保密管理规定；（2）坚持安全与发展并重，统筹数据安全合规与数据价值开发，既防范安全风险，又推动合理利用，促进数据要素市场化配置；（3）坚持问题导向与系统治理结合，聚焦突出问题和重大风险，推动从制度层面、技术层面补齐短板，提升数据治理整体水平；（4）坚持全面覆盖、突出重点，覆盖数据资源全流程全领域，重点聚焦核心数据、重要数据、国有数据资源、涉及公共利益和个人权益的数据资源开展审计。2审计对象与范围2.1审计对象审计对象为被审计单位合法占有、控制、管理、使用的全部数据资源，以及与数据资源相关的治理体系、技术体系、业务活动、利益分配等事项。按照数据属性可分为：公共数据资源，即国家机关、法律法规授权的具有管理公共事务职能的组织履行法定职责收集产生的各类数据；企业数据资源，即各类市场主体在生产经营活动中收集、产生的数据；敏感数据，包括核心数据、重要数据、商业秘密、个人敏感信息等特殊管理类数据。2.2审计范围（1）覆盖数据资源从采集、存储、加工、传输、共享开放、交易利用到销毁的全生命周期所有环节；（2）覆盖被审计单位数据资源治理体系建设、制度建设、技术支撑、风险管理、资产核算等全部管理活动；（3）覆盖被审计单位自行管理、委托第三方存储加工、与第三方合作开发、跨境流动等所有场景的数据资源；（4）涵盖数据资源开发利用产生的经济效益、社会效益、生态效益等全维度价值实现情况。对外包、合作、委托场景下的数据资源，应当将合作方、受托方的相关活动纳入延伸审计范围。3审计内容3.1数据资源治理体系审计重点审计数据资源治理的组织、制度、技术支撑的健全性和有效性：（1）组织架构：检查被审计单位是否设立专门的数据资源管理机构，是否明确数据资源所有者、管理者、使用者的权责划分，是否建立符合监管要求的首席数据官制度，是否配备专业的数据管理、数据安全工作人员，是否将数据安全责任落实到具体岗位和人员，是否存在权责不清、多头管理、责任悬空等问题。（2）制度体系建设：检查是否按照《数据安全法》《个人信息保护法》等法律法规要求，建立覆盖数据全生命周期的管理制度，包括数据采集审批制度、分类分级管理制度、数据共享交易制度、数据安全防护制度、数据资产登记核算制度、数据应急管理制度、个人信息保护制度等；检查各项制度是否符合国家最新政策要求和行业监管标准，是否存在制度滞后、关键环节无制度约束、制度内容违法违规等问题；检查制度是否得到有效执行，是否存在制度形同虚设不落地的问题。（3）技术支撑体系：检查是否按照国家网络安全等级保护要求，部署数据安全防护技术措施，包括数据加密、脱敏、访问控制、入侵检测、异常行为监测等技术工具；检查是否建立数据备份与恢复机制，是否定期开展数据备份演练，是否存在数据丢失风险；检查是否对第三方数据服务商、合作方的技术安全能力进行定期评估，是否建立对第三方的安全管控机制；检查是否落实权限最小必要原则，是否对不同岗位数据访问权限进行严格管控，是否存在权限过大、离职人员权限未及时收回等问题。据行业统计，近五年发生的规模化数据泄露事件中，超过81%存在内部权限管理混乱问题，权限管控是技术支撑审计的核心重点。3.2数据资源全生命周期合规性审计按照数据流转环节逐一审计合规性：（1）数据采集环节：检查数据采集来源是否合法，是否存在窃取、购买、非法交换、私自爬取等非法获取数据的行为；检查采集范围是否符合法定或约定要求，是否存在过度采集个人信息、采集与业务无关数据等问题；检查采集个人信息是否落实告知同意规则，是否存在隐瞒采集目的、范围、用途，未经同意采集个人信息的行为；检查公共数据采集是否符合法定程序，是否违规向被采集对象收取费用；检查采购第三方数据是否审核了数据来源的合法性，是否存在采购非法来源数据的问题。据国家网信办公开数据，2021-2023年全国查处的非法采集个人信息案件超过1.2万件，非法采集是数据领域最突出的违法违规类型，是审计的核心重点。（2）数据存储环节：检查是否按照数据分类分级要求采取对应的存储防护措施，核心数据、重要数据是否按照要求存储在境内，确需向境外提供的是否完成了安全评估、备案等法定程序；检查存储设施是否通过网络安全等级保护测评，是否定期开展存储安全检测；检查敏感个人信息是否采取加密存储措施，是否存在违规将敏感数据存储在未备案的公有云、第三方存储服务器的问题；检查存储介质的管理是否规范，是否存在违规出借存储介质、废弃存储介质未做销毁处理的问题。（3）数据加工环节：检查加工活动是否符合合规要求，对个人信息进行去标识化、匿名化处理是否符合国家技术标准，是否存在去标识化后仍能复原识别个人信息且未落实保护责任的问题；是否存在利用算法加工开展大数据杀熟、歧视性对待不同群体等侵害个人权益的行为；加工生成的衍生数据是否明确权属，是否存在权属不清引发的纠纷风险。（4）数据共享与开放环节：检查公共数据开放是否符合国家开放目录要求，是否存在应当开放未开放、开放不及时，或者违规开放未脱敏的敏感数据、个人信息的问题；检查数据跨部门、跨区域共享是否履行了审批程序，是否明确了双方的安全责任，是否存在违规向其他单位、第三方提供共享数据的问题；企业之间共享数据是否获得合法授权，是否违规共享涉及国家秘密、商业秘密、个人敏感信息的数据。（5）数据交易与流转环节：检查数据交易是否在依法设立的数据交易场所进行，交易标的是否符合法律法规要求，是否存在交易禁止流通的数据、未获得合法授权的数据等问题；检查交易价格是否公允，国有数据资源交易是否按照规定进行资产评估，是否存在低价转让、无偿给关联方使用造成国有资产流失的问题；检查交易收益是否按照规定纳入单位财务统一核算，是否存在体外循环、坐收坐支、私设小金库等问题；检查个人信息交易是否符合法律规定，是否存在非法买卖个人信息的行为。据中国数据交易论坛发布的报告，2023年全国各类数据交易场所完成的数据交易规模超过815亿元，交易合规性纠纷占全部数据交易纠纷的62%，合规性审计是保障交易市场健康发展的核心环节。（6）数据销毁环节：检查超过保存期限、应当销毁的数据是否按照规定流程进行销毁，是否存在违规应当销毁不销毁、继续留存个人信息的问题；销毁敏感数据是否采取了不可逆的销毁技术措施，是否存在淘汰存储设备未做消磁、粉碎处理，导致数据泄露流入市场的问题。3.3数据安全风险管理审计重点审计风险防控的有效性：（1）分类分级管控：检查是否按照国家数据分类分级规则，完成本单位数据分类分级工作，是否准确识别界定核心数据、重要数据，是否编制数据分类分级目录，是否存在漏报、瞒报核心数据、重要数据，分类分级不准确等问题。（2）风险识别与评估：检查是否定期开展数据安全风险评估，是否建立风险台账，对识别出的风险是否及时落实整改措施；是否对重点领域、重点环节的数据安全开展常态化监测，是否存在重大风险隐患长期未整改的问题。（3）跨境数据流动管理：检查是否存在违规向境外机构、个人提供数据，违规将数据存储在境外服务器的问题；确需向境外提供数据的，是否按照规定完成了安全评估、备案、认证等法定程序，是否落实了安全保障措施。（4）应急管理：检查是否制定数据安全事件应急预案，是否定期开展应急演练，发生数据安全事件是否按照规定及时上报、处置，是否存在瞒报、迟报数据安全事件，导致风险扩大造成重大损失的问题。3.4数据资源资产化管理审计聚焦数据资产确权、登记、核算的合规性：（1）数据资产登记：检查是否按照要求对本单位所有数据资源进行全量登记，登记信息是否真实、准确、完整，是否存在隐瞒登记、少登记数据资源，导致家底不清的问题；数据资产的权属界定是否清晰，是否存在权属纠纷。（2）数据资产会计核算：检查是否按照《企业会计准则》以及相关数据资产管理规定，对符合确认条件的数据资产进行会计核算，是否将数据资产纳入单位资产负债表管理，是否准确计量数据资产的取得成本、后续增值、减值，是否存在低估、漏列数据资产，虚增或者虚减数据资产价值的问题。（3）国有数据资产管理：检查国有单位、国有企业占有管理的国有数据资源是否纳入国有资产统一监管，是否存在违规将公共数据、国有数据无偿或者低价授权给非国有主体开发牟利，是否存在内部人员利用单位数据资源谋取个人利益，造成国有数据资产流失的问题；对合作开发的国有数据资源，是否在合同中明确国有权益，是否存在国有权益被侵占的问题。3.5数据资源开发利用效益审计评价数据资源开发利用的价值实现情况：（1）公共数据资源开发利用：检查公共部门是否按照要求推进公共数据开发利用，是否支撑营商环境优化、社会治理提升、公共服务改善，是否取得预期社会效益，比如政务数据开放赋能中小微企业发展，是否有效降低了企业融资成本、制度性交易成本；是否存在大量公共数据资源沉淀闲置、未开发利用，导致价值浪费的问题；是否存在违规开发公共数据侵害个人权益、公共利益的问题。（2）企业数据资源开发利用：检查企业是否盘活存量数据资源，是否通过数据开发利用提升生产效率、降低运营成本、创新产品服务，是否实现数据价值增值；据国务院国资委2024年发布的统计数据，2023年中央企业数据要素相关业务营业收入同比增长35.7%，数据要素已经成为国有企业重要的新增收入来源，审计重点关注是否存在数据资源闲置浪费、投入产出比过低，无效投入造成资源损失的问题。（3）数据伦理与公平性：检查是否存在滥用数据资源、实施算法歧视、大数据杀熟等侵害消费者权益的行为，是否存在利用数据垄断排除、限制市场竞争的行为，是否存在违规利用数据侵害弱势群体利益的问题。4审计程序与方法4.1审计程序（1）审计准备阶段：审计机构提前告知被审计单位审计事项，收集与被审计单位数据资源相关的法律法规、政策文件、行业监管要求，梳理被审计单位数据资源管理基本情况，识别重大风险领域，编制审计实施方案，明确审计范围、内容、重点、人员分工，配置具备数据审计专业能力的审计人员，对专业性较强的事项可聘请符合资质要求的数据安全、数据资产领域专家提供技术支持。（2）审计实施阶段：要求被审计单位提供数据资源目录、管理制度、分类分级报告、风险评估报告、资产登记资料、交易合同、财务核算资料等相关材料，对提供材料的完整性真实性进行核对；运用审计方法开展核查，对审计发现的问题线索逐一核实取证，编制审计工作底稿，由被审计单位对审计证据进行确认。（3）审计报告阶段：梳理汇总审计发现的问题，围绕审计目标开展审计评价，提出审计处理意见和整改建议，按照规定程序出具审计报告。审计报告应当明确审计发现的问题、风险等级、整改要求、整改期限。（4）整改跟踪阶段：要求被审计单位在规定期限内报送整改情况，审计机构对整改情况进行核查，对未整改到位的问题依法依规督促整改，必要时开展后续审计。4.2审计方法（1）全量数据资产梳理法：运用自动化数据资产梳理工具，对被审计单位全量数据资产进行扫描梳理，形成被审计单位数据资产清单，与被审计单位提供的登记清单进行比对，核实数据资产登记的完整性。（2）全流程溯源法：选取核心数据、重要数据等重点审计对象，对数据从采集到销毁的全流程流转轨迹进行溯源，核查每个环节的合规性，发现违规流转、违规访问等问题。（3）风险矩阵评估法：围绕合规风险、安全风险、资产流失风险构建风险评估矩阵，按照风险发生可能性、影响程度划分风险等级，精准识别重大风险隐患。（4）大数据审计分析法：运用大数据、人工智能技术对数据访问日志、流转记录进行分析，识别异常访问、异常下载、异常传输等违规行为，提升审计发现问题的能力。（5）第三方复核法：对数据分类分级、数据安全风险评估等专业性较强的事项，可委托具备资质的第三方专业机构进行复核评估，其出具的专业报告可作为审计证据。（6）访谈调查法：与被审计单位数据管理、技术、业务人员进行访谈，调查治理体系运行、制度执行情况，了解存在的问题。5审计评价5.1评价标准以法律法规、政策要求、国家行业标准、被审计单位内部制度为评价依据，坚持定性评价与定量评价结合，量化评价主要采用以下核心指标：（1）数据资产完整率=已准确登记的数据资产数量÷应登记数据资产数量×100%，反映数据资产登记的完整性；（2）流程合规率=合规的流程环节数量÷总流程环节数量×100%，反映全流程合规水平；（3）风险整改完成率=已完成整改的风险隐患数量÷识别出的风险隐患总数量×100%，反映风险整改落实情况；（4）数据资源利用率=已开发利用的数据资产规模÷总数据资产规模×100%，反映数据资源开发利用程度；（5）数据资产收益率=数据资产产生的收益÷数据资产账面价值×100%，反映数据资产的经济效益水平。5.2评价等级根据审计结果，将被审计单位数据资源管理情况划分为四个等级：（1）优秀：治理体系健全完善，制度与技术支撑到位，数据资产完整准确，全流程合规，无重大风险隐患，风险整改完成率100%，数据资源利用率达到80%以上，价值发挥充分，无违法违规问题。（2）良好：治理体系比较健全，基本符合合规要求，存在少量低风险问题，风险整改完成率达到90%以上，不影响整体数据安全和价值发挥，无重大违法违规问题。（3）合格：治理体系不够健全，存在部分合规问题和中等风险隐患，已经落实整改或者具备整改条件，风险整改完成率达到70%以上，未发生重大数据安全事件。（4）不合格：治理体系缺失，存在重大违法违规问题或者重大安全风险隐患，发生