T/CI IA 062—2025
集团化企业数据资产流通及运营管理指南
Guidel ines for data asset circulat ion and operat ion management in group
enterpr ises
2025 - 12 - 11 发布 2025 - 12 - 11 实施
中国信息协会 发 布
T/C I IA 062—2025
目 次
前 言 III
引 言 IV
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
3.1 企业数据资产流通 company data asset circulation 1
3.2 企业数据资产授权运营 company authorized operation of data assets 2
3.3 权利凭证 document of title 2
4 管理框架 2
5 管理对象 3
5.1 概述 3
5.2 数据资产基本特征 3
5.3 数据资产分类 3
5.4 数据资产属性信息 3
6 管理原则 4
6.1 统一数据治理 4
6.2 统一安全管理 4
6.3 统一合规审计 4
6.4 统一权利追溯 4
6.5 统一价值计量 4
6.6 统一流通管理 4
7 管理过程 4
7.1 数据资产目录管理 4
7.2 资产管理 4
7.3 流通运营 6
7.4 数据资产合规管理 8
7.5 数据资产安全管理 8
8 管理保障 9
8.1 组织保障 9
8.2 技术保障 9
8.3 制度保障 9
I
T/C I IA 062—2025
8.4 资金保障 9
参 考 文 献 11
II
T/C I IA 062—2025
前 言
本文件按照GB/T 1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由中国信息协会提出并归口。
本文件起草单位:中航信数智科技(北京)有限公司、中国电子工程设计院股份有限公司、中央财经大学、国药数字科技(北京)有限公司、盘古云链(天津)数字科技有限公司、中电信数智科技有限公司、中国经济改革研究基金会、北京市社会科学院、福州市数字福州集团有限公司、中科智港科技发展(北京)有限公司、西南证券股份有限公司、中信建投证券股份有限公司、北京中瑞云数科技有限公司、中国石油集团工程技术研究院有限公司、北京邮电大学、中互金数据科技有限公司、北京微电子技术研究所、南方电网能源发展研究院有限责任公司、华润医药控股有限公司、云南白药集团数智科技有限公司、南京长江金融信息服务股份有限公司、北京恒盛致达科技发展有限公司、北京国际大数据交易所有限责任公司、乌鲁木齐热力(集团)有限公司、中数文化大数据(苏州)有限公司、北京金山办公软件股份有限公司、人民法治网、北京一数科技有限公司、中关村智慧城市产业技术创新战略联盟、北京国家会计学院、中国交通建设集团有限公司、黑龙江省数资数据服务有限公司、中金国际控股集团(海南)有限公司、中国数联物流信息有限公司、泛华建设集团有限公司。
本文件主要起草人:叶可、郭树行、王春涛、孙晓峰、魏文慧、李懿凌、李栋、唐勇、崔杨、李建丽、罗皓、戴藜芸、冯新岩、吴燕飞、兰岚、张琪、石兆轩、黄蓉、钟宏、 肖云、王鹏、李欣、王永平、李钢、张玉霄、杨少杰、梅运谊、杨心怡、程渤、辛路、张波、李光、陈雯、崔兴品、 董晓、党亚斌、汪小明、李建峰、杨小芸、栾明月、盛晶、杨振庭、马逸成、陆海南、张树玲、刘长杰、梁颖健、石会昌、崔志娟、杨丽、刘颖、周昕仪、杨旭东、郎佩佩、朱镇北、赵莎。
III
T/C I IA 062—2025
引 言
随着数字经济时代的到来,数据资产已成为推动企业数字化转型、实现高质量发展的核心引擎,推动着产业变革和经济发展。集团化企业作为数据资产的重要持有者和使用者,在数据资产流通及运营管理中面临着机遇与挑战并存的局面。为贯彻落实中共中央、国务院《关于构建数据基础制度更好发挥数据要素作用的意见》及财政部《关于加强数据资产管理的指导意见》的要求,汲取国际标准与国内实践经验,建立《集团化企业数据资产流通及运营管理指南》为集团化企业提供系统性、可操作的数据资产管理框架,助力企业实现数据要素价值的最大化。
本标准参考GB/T40685-2021《信息技术服务 数据资产 管理要求》,并对管理框架进行了更新。
IV
T/C I IA 062—2025
集团化企业数据资产流通及运营管理指南
1 范围
本文件确立了集团化企业数据资产流通及运营管理框架,规定了数据资产的管理对象、管理原则、管理过程、管理保障,为集团化企业数据资产流通及运营活动提供统一遵循。
本文件适用于集团化企业总部及其下属分、子公司, 以及为集团化企业数据资产流通及运营提供相关服务的第三方机构,包括数据评价机构、资产评估机构、数据交易机构、会计师事务所、律师事务所和场景开发商等,指导和规范其数据资产流通及运营管理工作。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 33174-2022 《资产管理 管理体系 GB/T 33173应用指南》
GB/T 33770.2-2019 《信息技术服务 外包 第2部分:数据保护要求》
GB/T 34960.5-2018 《信息技术服务治理第5部分:数据治理规范》
GB/T 35273-2020《信息安全技术个人信息安全规范》
GB/T 36073-2018 《数据管理能力成熟度评估模型》
GB/T 36343-2018 《数据交易平台-交易数据描述》
GB/T 36344-2018《信息技术 数据质量评价指标》
GB/T 37932-2019 《数据交易服务安全》
GB/T 40685-2021《信息技术服务 数据资产 管理要求》
GB/T 43439-2023 《信息技术服务 数字化转型成熟度模型与评估》
GB/T 43697-2024 《数据安全技术 数据分类分级规则》
中华人民共和国财政部《关于加强数据资产管理的指导意见》(财资〔2023〕141号)
国务院国资委产权局《关于优化中央企业资产评估管理有关事项的通知》(国资发产权规〔2024〕 8号)
国务院国资委产权局《中央企业估值报告审核指引》(国资发产权〔2010〕71号)
工业和信息化部关于印发《国家数据基础设施建设指引》(发改数据〔2024〕1853号)中华人民共和国财政部《数据资产全过程管理试点方案》(财资〔2024〕167号)
ISO55013:2024《资产管理—数据资产管理指南》
3 术语和定义
GB/T36343-2018和GB/T37932-2019和GB/T40685-2021以及国家数据局《数据领域常用名词解释(第一批)》、《数据领域常用名词解释(第二批)》界定的以及下列术语和定义适用于本文件。
3.1
企业数据资产流通 company data asset circulation
指集团化企业总部通过统一管理平台,对下属子分公司的数据资产进行管理,实现数据资产在集团内部及外部市场中有序流动和价值实现的过程。
1
T/C I IA 062—2025
3.2
企业数据资产授权运营 company authorized operation of data assets
指集团化企业作为数据资产持有者或合法控制者,通过签订授权协议,授予集团内特定单位或外部被授权方,在约定的范围、 目的、期限和安全框架内进行数据资产开发、利用、经营,并建立监督、考核与收益分配机制的管理活动与商业模式。
3.3
权利凭证 document of title
指能证明集团化企业对特定数据资产合法权利或权利相关状态的书面或电子证明文件,既包括企业内部依管理制度出具的、用于内部管理的凭证,也包括具备资质的登记机构依法定程序出具的、具备法律效力的凭证。
4 管理框架
集团化企业数据资产流通及运营管理框架主要包括集团战略、管理目标、管理运营域和价值实现,见图1。
图 1 集团化企业数据资产流通及运营管理框架
2
T/C I IA 062—2025
数据资产流通及运营管理以集团战略为指引,系统考量集团化企业内外部环境、技术条件及数据禀赋等特征, 以业务发展为主线,价值实现为导向,安全合规为抓手,制定覆盖集团各职能与层级的管理目标,通过管理运营域内各项活动的协同开展,推动数据资产安全有序流通与价值高效释放,充分挖掘数据资产的经济价值与社会效益,为集团数字化转型与高质量发展提供坚实支撑。
管理运营域作为集团化企业数据资产流通及运营体系的核心模块, 以释放数据资产价值、保障流通运营合规有序、助力集团战略目标实现为核心目标,围绕“管理对象、管理原则、管理过程、管理保障 ”四大要素构建管理体系框架,其中,管理对象确定了流通运营的覆盖范围与核心标的,为后续管理活动开展提供明确实施载体。管理原则明确了各环节管理活动的基本遵循与核心要求。管理过程按照管理范围的内外部属性划分为资产管理与流通运营两大模块,资产管理聚焦集团化企业内部数据资产管控,涵盖资产识别、确认、应用、盘点、变更等核心环节,保障资产完整性与可控性;流通运营聚焦企业数据资产外部交互,包括资产登记、交易流通、收益分配、生态运营等关键内容,保障数据资产流通的安全性与价值最大化。管理保障从组织、技术、制度、资金四大维度构建全方位支撑体系,为集团化企业数据资产流通及运营活动的有序开展提供全面保障,本管理运营域具体管理要求详见第5章、第6章、第7章。
5 管理对象
5.1 概述
数据资产流通及运营管理的对象为符合集团化企业数据资产定义、纳入流通管理范畴的数据资产,在运营管理过程中需遵循数据资产的基本特征进行识别和确认,依据数据资产分类进行全面盘点,通过对数据资产各类属性信息的系统记录进行管理。
5.2 数据资产基本特征
数据资产的特征包括可追溯性、可控性、可计量性和可收益性等。
a) 可追溯性:数据资产的来源、流转过程和权属关系能够被清晰追溯,且有相应的证明材料;
b) 可控制性:集团化企业能够通过合法的权属关系和管理机制对数据资产实施有效管理和支配;
c) 可计量性:数据资产的质量、成本和价值能够被可靠度量或评估;
d) 可收益性:数据资产具有明确的经济价值和应用场景,预期能够为相关主体带来经济利益,具备直接或间接促成现金或现金等价物流入的能力。
5.3 数据资产分类
数据资产按其活性特点,分为非流动性数据资产和流动性数据资产。
a) 非流动性数据资产:是指以产权交易方式进行流转的数据资产,即原始态数据资产,其市场规模小,流动性一般;
b) 流动性数据资产:是指以商品交易方式进行流转的数据资产,即衍生态数据资产,如数据产品和服务等,其市场规模大,流动性好。
5.4 数据资产属性信息
数据资产的属性信息包括基本信息、权利信息、使用信息和管理信息等。
a) 基本信息,包括数据资产名称、数据类型、数据来源、数据规模、数据结构、更新频率、数据覆盖地区、数据所属行业、存储方式等 ;
b) 权利信息:包括权利类型、权利项、持有类型、产权期限、权利限制、权利状态和权利凭证等;
c) 使用信息:包括流通渠道、应用行业领域、应用区域、应用方式、应用场景、使用频率、用户关联等 ;
d) 管理信息:包括管理部门、管理人员、职责权限、分类分级、合规审计等。
3
T/C I IA 062—2025
6 管理原则
6.1 统一数据治理
集团化企业应建立覆盖数据全生命周期的治理体系, 以确保数据资产在全集团内的一致性、可靠性和互通性,从而提升数据质量,降低治理成本,为数据资产的规模化流通与价值释放奠定坚实基础。
6.2 统一安全管理
集团化企业应构建数据资产分类分级、动态风险评估等安全管理机制,采取切实有效措施,确保数据资产安全合规使用与有序流通运营。
6.3 统一合规审计
集团化企业应构建统一数据资产合规审计体系,响应上级单位合规监管要求,将数据资产流通及运营管理活动全面纳入审计范围,确保数据资产的合法性与规范性。
6.4 统一权利追溯
集团化企业应构建“来源可溯、权责明晰、责任到人 ”的权利追溯体系,确保数据资产权属明确、状态可查,从而保障流通运营全过程中的权利关系清晰、责任分明。
6.5 统一价值计量
集团化企业应制定统一的数据资产价值计量标准与方法,为数据资产的流通运营与效益管理提供依据。
6.6 统一流通管理
集团化企业应建立集中统一的数据资产流通管理体系,制定并执行全集团一致的流通制度、流程、标准与规范,确保数据资产在安全合规的前提下,于集团内外部有序流转、高效利用与合规应用。
7 管理过程
7.1 数据资产目录管理
1、 目的
通过建立数据资源目录,加强数据资源汇集、治理,提升集团化企业数据资源质量,按照数据资产定义组织梳理,形成规范化数据资产管理台账,有效保障摸清集团化企业数据资产底数。
2、要求
a) 台账编制:围绕数据资产流通及运营编制数据资产台账,应包含资产基本信息、权利信息、使用信息、管理信息等内容 ;
b) 台账维护:应建立台账动态更新机制,实行台账版本管理并定期进行台账盘点,确保及时反映数据资产变化,保证历史可追溯及账实相符 ;
c) 质量审核:数据资产目录编制应遵循完整性、准确性、一致性、合规性、可用性的原则进行质量审核 ;
d) 审核流程:集团化企业应建立业务管理部门、技术部门、数据资产管理部门联合的多重审核机制,审核通过后按规定程序在集团备案。
7.2 资产管理
7.2.1 数据资产识别
1、 目的
通过统一、标准的流程识别数据资产及其属性信息,为集团化企业数据资产的流通管理运营提供前置依据。
2、要求
4
T/C I IA 062—2025
a) 应建立统一规范的数据资产识别流程、手段和方法,保障数据资产的全面识别和高效管理;
b) 应基于业务发展与市场需求,系统梳理现有数据资源,识别并明确数据资产及其属性信息,包括但不限于基本信息、权利信息、使用信息和管理信息;
c) 完成识别后,应及时将数据资产登记至数据资产目录,为数据资产管理及流通运营提供有效支撑;
d) 应识别数据资产的变更情况,并对相关变更信息进行及时、准确的记录。
7.2.2 数据资产确认
1、 目的
通过规范、合规的方法确认数据资产,明确数据资产的权属关系和价值,为数据资产的流通及运营提供依据。
2、要求
a) 交易或事项形成:数据资产须源自合法获取的途径,包括合法授权采集、 自主生产、购买、受让、置换等方式取得,产权链条清晰,具备可追溯性,并留存完整佐证文件;
b) 有效控制:会计主体应享有数据资源相关权利,结合身份鉴别、权限管理、加密、脱敏、审计等安全技术,防止非法窃取或滥用;
c) 可靠计量:须能采用历史成本法、公允价值法等中的一种或多种进行可靠计量,可按管理需要实施多维分类与描述,选择相应量度单位确定量值;
d) 预期价值流入:应在数据资产预计使用寿命内为业务主体带来经济利益,具备直接或间接导致现金及现金等价物流入的潜力,且能提供充分证据表明经济利益“很可能 ”流入。
7.2.3 数据资产应用
1、 目的
在安全合规前提下,识别数据资产可服务的业务场景与流通渠道,建立服务、权责与评价机制,实现经济价值与社会价值最大化。
2、要求
a) 应用分级:应依据业务需求、管理模式、管理策略及数据敏感度,对应用途径与渠道进行识别,并划分应用等级,匹配相应安全与合规保障措施;
b) 机制建设:应建立覆盖服务保障、效益评估、效果评价的管理机制,并定期输出评估报告;
c) 场景明晰:数据应用覆盖集团化企业核心业务,能够直接或间接给组织带来效益 ;
d) 动态更新:在应用场景或数据内容发生变更时,应及时更新相关策略与权限,确保数据应用的适应性与安全性;
7.2.4 数据资产盘点
1、 目的
通过周期性盘点,校验数据资产实物与目录信息的一致性,及时修正偏差,保障数据资产信息的完整、准确、可用。
2、要求
a) 计划制定:应定期编制数据资产盘点计划,明确盘点范围、对象、基准日、程序、职责分工及时间节点;
b) 组织保障:应指定盘点责任人并成立盘点小组,对盘点人员权限、职责及回避情形进行书面界定;
c) 实施与记录:盘点人员应依据计划采用人工核查、工具校验或两者结合的方式,逐项比对数据资产目录与数据资产现状,填写数据资产盘点表,形成差异清单;
d) 差异处理:应对盘点发现的缺失、冗余、错误等差异进行根因分析,在约定的工作日内完成整改、 目录更新及结果确认,并保留处理记录。
7.2.5 数据资产变更
1、 目的
建立标准化变更管理流程,确保数据资产因业务、技术或管理需求发生变更时,变更活动受控、可追溯。
2、要求
5
T/C I IA 062—2025
a) 机制建立:应制定并发布数据资产变更管理制度,明确变更触发条件、分类分级标准、角色职责及全过程管控要求;
b) 变更评审:应组建变更评审小组,对变更申请进行统一评审,评审内容包括信息完整性、业务必要性、需求符合度、影响范围及权属一致性;
c) 影响分析:应在实施前完成变更影响分析,形成数据资产变更影响分析报告,并向受影响方发布变更影响通知;
d) 实施与同步:变更获批后,应依据评审结论执行变更,并在约定的工作日内同步更新数据资产目录,确保账实一致;
e) 记录与改进:应留存完整的变更过程记录,建立变更后评估及持续改进机制,定期回顾变更效果并优化流程。
7.2.6 数据资产处置
1、 目的
通过对数据资产开展销毁、转移等处置工作,优化数据资产配置结构,降低运营管理成本,挖掘数据资产的剩余利用价值。
2、要求
a) 建立数据资产处置机制,并有效管控处置过程及风险 ;
b) 依据处置需求制定处置计划,编制处置方案 ;
c) 对处置方案开展风险评估和影响分析,并进行评审 ;
d) 依据审核通过的处置方案,执行处置并记录,对需要销毁的数据资产设定留存期。
7.3 流通运营
7.3.1 数据资产授权运营
1、 目的
通过授权运营机制,将集团内部沉淀的数据资产转化为可交易、可运营的数据产品和服务,在安全合规的前提下充分释放数据要素价值,实现数据资产的保值增值和可持续发展。
2、要求
a) 申请:数据需方提交数据资产授权运营申请,说明使用场景、安全能力、预期成效;
b) 评审:集团组织业务、法务、安全、合规、技术等部门联合评审,形成授权运营评审报告;
c) 签约:通过评审后,签订数据资产授权运营协议,明确数据范围、用途、期限、收益分配、安全责任、违约责任;
d) 实施:授权运营方在集团授权运营平台内完成数据产品和服务开发,不应超范围使用、转授权;
e) 考核:集团应定期对运营成效、数据安全、合规情况进行绩效考核,考核结果作为续约、收益结算和退出依据。
7.3.2 数据资产登记
1、 目的
通过登记申请和合规认证,明确数据资产的合法拥有或控制关系。通过生成具有唯一标识的数据资产权利凭证,为数据资产的授权运营、交易流通提供管理依据。
2、要求
数据资产登记管理应建立对数据资产的持有状态、市场价值等信息进行记录、确认和公示的过程。数据资产的登记程序应分为登记申请、合规认证、质量测评、登记审查、凭证发放、注销登记六个环节。
a) 登记申请:应明确登记申请人所需提交的申请资料内容,同时依据数据资产的具体情况进行分类分级,应确定其管理类别和级别,并明确数据资产的应用场景及应用限制 ;
b) 合规认证:数据资产合规认证应保护数据资产提供方、使用方及相关主体的权益,应对数据资产的权属、来源、质量、安全管理、制度建设等流程进行综合评估,宜由第三方律所出具合规性评估报告,确保数据资产合规认证符合相关要求 ;
c) 质量测评:应对数据资产进行多维度、系统化的质量测评,确保数据资产在规范性、完整性、准确性、一致性、时效性和可访问性等方面达到既定标准 ;
6
T/C I IA 062—2025
d) 登记审查:应按照资产管理相关要求对数据资产进行梳理,形成符合数据资产确认要求的数据资产目录,并为数据资产建立登记卡片,记录其基本信息、权属信息、使用信息、管理信息等。宜对于暂不具备确认登记条件的数据资产,先纳入资产备查簿进行管理,在完成必要的改进和完善后再进行正式登记 ;
e) 凭证发放:根据数据资产登记结果,生成并发放具有唯一标识的数据资产权利凭证,确保凭证的真实性、有效性与不可篡改性 ;
f) 注销登记:登记平台应具备完善的注销登记机制,无论是由登记主体发起的注销还是登记机构实施的撤销,都应遵循严格的流程控制与文档管理要求,确保每一步骤都有据可查,从而维护整个数据资产管理体系的权威性与公正性。
7.3.3 数据资产交易流通
1、 目的
在确保安全合规的前提下,通过规范化的交易流程、标准化的定价机制和全流程可追溯管理,促进数据要素有序流通和价值实现,为数据资产市场化运营和可持续发展提供制度保障。
2、要求
a) 基本要求
交易标的应已在集团数据资产目录登记,并具备有效权利凭证;
交易主体须通过集团数据供方和需方认证,并签署数据交易合规承诺书;
交易标的应完成统一质量评价与安全分级,不应交易未经处理的核心数据及未脱敏个人信息。
b) 扩展要求
交易文件应明确标的描述、交付方式、使用范围、限制条款、价格条款、安全责任、争议解决机制;
对涉及多方权利的数据产品,须取得全部权利主体书面同意,并在协议中载明收益分配比例;
交易价格应以集团规定的定价方式方法进行定价,需参考或依据经审核的数据资产评估结果。
c) 流程要求
交易申请:数据交易双方应通过集团统一交易平台提交数据范式交易申请表及附件(质量报告、权利凭证、评估报告等);
合规审查:平台在约定的工作日内完成标的合规性、权利完整性、价格合理性审查,并出具数据范式交易审查意见书;
合同签订:审查通过后,交易双方在平台内使用示范文本完成线上签约,生成唯一交易编号;
交付结算:平台提供数据沙箱或隐私计算环境完成“可用不可见 ”交付,资金由第三方托管账户按“交付—确认—结算 ”流程自动划转;
交易备案:平台自动生成数据范式交易备案表,并纳入集团年度合规审计。
7.3.4 数据资产收益分配
1、 目的
通过科学的价值计量体系和公平的分配机制,综合考虑数据资产的贡献比例、成本投入、市场价值等因素,实现收益的精准计量和公平分配,保障各权利主体依法享有与其投入和贡献相匹配的收益权利。
2、要求
a) 基本要求
应建立完善的收益分配与再分配机制,按照“谁投入、谁贡献、谁受益 ”原则,依法依规维护各相关主体数据资产权益。
b) 扩展要求
数据资产收益分配与再分配执行过程中,应对收益分配信息进行登记、更新和维护;
数据资产收益分配方式应有明确的制度保障或合同约定;
数据资产应描述数据资产的法律有效期限、相关合同有效期限、数据资产的更新时间、数据资产的时效性、数据资产的权利状况以及相关产品生命周期等信息。
c) 流程要求
收益计算:确定收益分配时,应考虑数据资产在产品总收益中的贡献比例,数据资产的成本因素、场景因素、市场因素和质量因素等信息;
7
T/C I IA 062—2025
收益预测:在收益法评估中,需要对数据资产未来经济收益的可预测性进行重点分析,考虑收益法的适用性。应描述数据资产的历史应用情况及未来应用前景;
风险预测:应描述数据资产收益相关市场风险、技术风险、法律风险等信息;
合同签订:交易标的合同应描述数据资产转让、许可使用、出资、质押融资、企业兼并重组、清算或司法重整等情形下合同中的收益分配条款。
7.3.5 数据资产生态运营
1、 目的
通过集团化企业与外部生态企业共同开展数据应用开发、安全、合规工作,充分发挥生态企业及第三方专业服务机构作用。
2、要求
a) 基本要求
应建立生态合作伙伴准入、评估和退出机制;
参与集团数据资产活动的生态主体,应在集团统一管理平台完成注册工作;
生态合作主体须通过集团合格数据服务认证,并签署数据服务合规承诺书。
b) 扩展要求
健全机制:可依托三方机构完善数据资产确权链条,明确数据资产的权利归属和法律地位 ;
支持创新:可与生态数据资源企业进行合作,开发适合不同业务场景的数据应用方案,打造数据资产应用标杆和典型案例 ;
价值实现:可与生态技术支持企业进行合作,基于持有数据开展数据产品开发和价值挖掘,通过收益分配机制实现生态价值的合理共享 ;
风险防控:应利用第三方机构开展必要的合规性审查及风险防范工作,防范利用数据资产进行担保,新增政府隐性债务,借授权有偿使用数据资产的名义,变相虚增财政收入等行为。
7.4 数据资产合规管理
1、 目的
秉持谨慎性原则针对数据资产流通关键环节开展可研论证和尽职调查,确保数据资产在流通管理过程中,权属清晰、流转合规。
2、要求
a) 权属登记与主体管理:应建立完善的数据资产登记制度,明确数据资产相关方身份,制定详细的登记流程,包括提交材料、审核、登记入册等环节,并定期对登记信息进行复核更新,确保数据资产权属的清晰界定和信息的时效性、准确性 ;
b) 权限控制:应根据数据资产权属关系,清晰设置合理的数据资产访问和使用权限,确保只有合法用户能够访问和使用相关数据资产,建立覆盖数据资产流通前管控、交易中监控、交易后审计的全流程安全管理机制 ;
c) 交易审核:应对数据资产的交易行为进行严格审核,确保交易的真实性和合法性,防止非法交易和数据资产滥用;要求数据资产交易双方签订正式的数据资产交易合同,明确双方的权利和义务,确保数据资产交易的合法性和安全性 ;
d) 记录与追溯:应对数据资产的交易过程进行详细记录,包括交易时间、交易对象、交易内容等信息,建立完整的交易档案管理体系,确保所有交易活动可追溯、可审计,为后续监管和审计提供依据 ;
e) 监管与报送:应定期上级监管部门报告数据资产权属管理和交易流通工作情况,包括数据资产登记情况、交易规模、收益分配、风险防控等信息,接受本级监管部门监督,确保数据资产管理工作的透明度和规范性。
7.5 数据资产安全管理
1、 目的
通过建立系统化、全流程的安全防护体系,确保数据资产在分类分级、风险评估、流通交易和应急处置等各个环节的安全可控,促进数据资产合规流通和有效利用。
2、要求
8
T/C I IA 062—2025
a) 分类分级管理:根据数据资产的重要程度、敏感性等特征建立科学的数据资产分类分级体系,明确数据资产的数量规模、类型级别、访问权限等管理要素,为数据资产的安全合规使用与有序流通运营奠定基础;
b) 动态风险评估:应建立数据资产动态风险评估机制,在对外授权使用数据资产时严格按照国家有关规定进行评估,明确风险评估结果在数据资产授权、流通等环节的应用机制,持续监测数据资产使用中的安全风险变化,严防数据资产价值应用风险;
c) 全流程流通安全管理:应构建覆盖数据资产流通前管控、交易中监控、交易后审计的全流程管理机制,确保数据资产在流通各环节的安全可控,促进数据资产的有序流通运营;
d) 应急响应与处置机制:应建立数据资产预警、应急和处置机制,对数据资产可能面临的泄露、损毁、丢失、篡改等安全威胁进行及时预警和有效处置,制定完善的应急处置预案,确保数据资产安全事件得到快速响应和妥善处理。
e) 数据资产出境管理:应对出境数据资产进行安全评估,实施分类分级管理、风险评估、加密传输和访问控制等措施,并按规定向监管单位进行申报并提交备案材料。
8 管理保障
8.1 组织保障
a) 领导小组:集团化企业应设立数据资产管理领导小组,由单位高层管理者担任组长,负责统筹决策数据资产流通管理的风险控制规划、决策和监督等重大事项;
b) 监督小组:应独立设置数据资产管理监督小组,定期开展检查与考核,确保制度落实;
c) 执行团队:应组建专职/兼职数据资产管理团队,按“一岗一责 ”原则,编制数据资产管理岗位说明书,明确责任人、替代人及联络机制;
d) 第三方评估:宜委托具备国家认可资质的第三方机构,开展数据资产评估与审计;
e) 能力培训:宜定期对数据资产管理相关干系人开展培训,培训内容应涵盖法律法规、管理制度及岗位技能等方面。
8.2 技术保障
a) 监控与审计:应在存储介质上记录所存储或交互的数据内容,包括数据交易信息和数据日志处理等,确保数据的完整性和可追溯性。数据日志处理应支持实时监控和审计功能,确保数据操作的透明性和可审计性;
b) 接入身份:宜遵循统一的数据接入技术规范、可信身份认证机制,确保接入数据流通环境下主体的合法性和唯一性;
c) 标识管理:应支持多层次结构数据标识编码,包括节点标识、数据标识和交易标识,确保数据的唯一性和可追溯性;
d) 数据计量:宜构建质量评价算法和价值评估模型,实现数据资产的质量评价与价值评估;
e) 安全管理:应采用先进的数据安全技术,如区块链、安全多方计算等,以支持数据资产的安全流通;
f) 监管报送:应利用先进的技术和工具,如自动化报送系统、数据分析工具等,提高报送效率和准确性。
8.3 制度保障
a) 管理规范:应制定数据资产管理制度,并根据实际情况持续改进;
b) 过程规范:应明确各管理过程的管理要求、标准流程及操作规范;
c) 考核机制:应建立工作考核机制,将数据资产管理工作纳入相关部门绩效考核体系;
d) 交付管控:应明确交付物的范围、 内容、形式及管理规程;
e) 预算机制:应建立经费保障机制,将数据资产管理经费预算纳入组织整体预算计划;
f) 安全机制:应制定数据资产安全管理制度和应急预案。
8.4 资金保障
a) 基础服务保障:应建立专项资金保障数据资产台账编制、数据资产登记认证、统一数据目录标识和接口标准制定、预算管理一体化系统对接等数据资产管理基础系统的开发与部署;
9
T/C I IA 062—2025
b) 数据治理保障:可通过自建或外部服务、工具采购的方式提升集团数据资产治理水平;
c) 授权运营保障:应在集团授权运营管理制度设计开发、多模式授权技术平台建设、运营监管及合规风险控制体系建设方面建立保障资金;
d) 收益分配保障:应加强在集团数据资产交易协议管理、税收管理和财务核算系统改造、智能化收益分配系统开发等方面的资金保障;
e) 风险防控保障:应安排资金制定数据资产安全管理制度和应急预案,宜考虑购买数据安全相关保险,转移潜在风险。
10
T/C I IA 062—2025
参 考 文 献
[1] 中共中央、国务院《关于构建数据基础制度更好发挥数据要素作用的意见》
[2] 中华人民共和国财政部《关于加强数据资产管理的指导意见》
[3] 国务院国资委产权局《关于优化中央企业资产评估管理有关事项的通知》
[4] 国务院国资委产权局《中央企业估值报告审核指引》
[5] 中国资产评估协会《数据资产评估指导意见》
[6] GB/T43439-2023《信息技术服务数字化转型成熟度模型与评估》
[7] GB/T36073-2018《数据资产管理能力成熟度评估模型》
[8] GB/T43697-2024《数据资产安全技术 数据资产分类分级规则》
[9] GB/T34960.5-2018《信息技术服务治理第5部分:数据治理规范》
[10]GB/T33174-2022《资产管理管理体系GB/T33173应用指南》
[11]GB_T36343-2018《数据交易平台-交易数据描述》
[12]GB_T37932-2019《数据交易服务安全》
[13]GB/T 40685-2021《信息技术服务 数据资产 管理要求》
[14]国际电信联盟标准ITU-T_F.743.21_20200813《数据管理框架》
[15]工业和信息化部YDT4243-2023《数据资产识别与梳理技术》
[16]工业和信息化部YDT4386-2023《可信数据资产服务可信数据流通评估》
[17]工业和信息化部YDT4563-2023《基于隐私学习的数据流通产品技术评估与测试方法》
[18]国家数据局关于向社会公开征求《关于促进数据产业高质量发展的指导意见》
[19]中共中央、国务院《关于加快建设全国统一大市场的意见》;
[20]四部门《关于印发国家人工智能产业综合标准化体系建设指南(2024版)的通知》
[21]国家数据资产局等部门关于印发《 “数据要素× ”三年行动计划(2024—2026年)》的通知
[22]大数据技术推进委员会《高质量数据集实践指南1.0》
[23]国家数据基础设施技术文件:数据基础设施用户身份管理和接入规范-NDI-TR-2025-03
[24]国家数据基础设施技术文件:数据基础设施数据基础设施 数据目录描述规范-NDI-TR-2025-06
评论