《数据资产全流程合规与监管规则建设指南》征求意见稿.docx

T/XXXX—2024

5

数据资产全流程合规与监管规则体系

1范围

本文件旨在明确数据资产从产生到销毁的全生命周期内的合规与监管要求，涵盖数据的采集、处理、分析、存储、共享、使用、运营、交易及销毁等关键环节。

本文件建议适用于所有开展数据处理活动的组织和个人。这包括但不限于政府机构、教育机构、非营利组织，以及数字经济、金融科技、互联网等的各类企业和机构。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。

DB33/T1329-2023数据资产确认工作指南

3术语和定义

DB33/T1329-2023界定的以及下列术语和定义适用于本文件。3.1

数据资产dataassets

组织过去的交易或事项形成的，由组织合法拥有或控制的，为组织带来经济价值的数据资源。

[来源：DB33/T1329-2023,3.2]3.2

数据处理dataprocessing

包括数据的收集、存储、使用、加工、传输、提供、公开、删除等活动。3.3

数据处理者dataprocessor

是指在数据处理活动中自主决定处理目的和处理方式的个人或者组织。

4总则

4.1合法合规原则

6

T/XXXX-2024

合法合规原则要求所有数据资产的收集、存储、处理、传输、使用和披露都必须严格遵守国家法律法规、行业规范及国际标准，确保数据活动的合法性。

4.2数据最小化原则

数据最小化原则要求在数据收集、处理和使用过程中，仅收集实现特定目的所必需的最少量数据，减少不必要的个人数据收集和存储，降低数据泄露风险。

4.3透明性原则

透明性原则要求数据处理者向数据主体清晰、准确地披露数据的收集、使用、共享和保护情况，确保数据主体对其个人数据的控制权和知情权。

4.4安全可控原则

安全可控原则要求通过技术手段和管理措施，确保数据资产在存储、处理、传输过程中的保密性、完整性和可用性，防止数据泄露、篡改和丢失。

4.5责任明确原则

责任明确原则要求数据活动的各个参与方(包括数据控制者、数据处理者、数据主体等)对其在数据处理中的角色和责任有清晰的认识，并承担相应的法律责任。

5分级分类授权使用规范

5.1分级标准

数据的分级标准旨在根据数据的重要性、敏感性等因素，将数据划分为不同的安全等级，以便采取相应的保护措施。分级标准通常包括以下四个等级：

a)公开级：指可以无条件向公众开放的数据，这些数据通常不涉及个人隐私、商业秘密或国家安全等敏感信息。

b)内部使用级：指仅供数据处理者内部人员使用的数据，这些数据可能包含一定的业务敏感信息，但不足以构成重大风险。

c)敏感级：指涉及个人隐私、商业秘密或可能对国家安全造成一定影响的数据，需要采取额外的保护措施，限制访问权限。

d)高度敏感级：指涉及核心商业秘密、个人隐私中的敏感信息(如健康记录、财务信息)或国家安全关键数据，需要最高级别的安全保护和严格的访问控制。

5.2分类标准

数据的分类标准则根据数据的性质、用途和来源等因素，将数据划分为不同的类别，以便进行更有效地管理和利用。分级标准通常包括以下五类：

7

T/XXXX—2024

a)个人信息类：包括姓名、身份证号、联系方式、住址等能够直接或间接识别个人的数据。

b)业务运营类：涉及企业日常运营的数据，如销售记录、库存情况、财务报表等。

c)技术研发类：包括研发过程中的实验数据、技术文档、专利信息等。

d)市场客户类：关于市场趋势、竞争对手分析、客户反馈等数据。

e)合规监管类：涉及法律法规要求保留的数据，如税务记录、合规报告等。

5.3授权使用规范

针对不同等级和类别的数据，应制定详细的授权使用规范，确保数据的合法、合规使用。这些规范通常包括以下五个方面：

a)访问权限管理：根据数据的分级分类结果，为不同用户或角色分配相应的访问权限。对于敏感和高度敏感级数据，应实施严格的访问控制，如多因素认证、访问审计等。

b)数据使用审批：对于敏感数据的使用，应建立审批流程，确保数据的使用目的、方式和范围符合法律法规和企业政策要求。

c)数据共享与传输：在数据共享和传输过程中，应遵守相关法律法规和行业规范，采取必要的安全措施，如加密传输、签订保密协议等。

d)数据备份与恢复：定期备份重要数据，并建立数据恢复机制，以应对可能的数据丢失或损坏风险。

e)数据安全培训：定期对员工进行数据安全培训，增强员工的数据安全意识，确保数据的合规使用。

6数据资产全流程合规要求

6.1数据资产的收集与存储

数据资产的收集需遵循以下要求：

a)需确保数据收