1T/SZBA003—2023數(shù)據(jù)資產(chǎn)評(píng)估定價(jià)方法本文件規(guī)定了數(shù)據(jù)資產(chǎn)定價(jià)的評(píng)估框架、評(píng)估過(guò)程以及評(píng)估內(nèi)容和要求。本文件適用于各類組織開(kāi)展數(shù)據(jù)資產(chǎn)評(píng)估定價(jià)工作。2規(guī)范性引用文件下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。20214285-T-469信息技術(shù)大數(shù)據(jù)數(shù)據(jù)資產(chǎn)價(jià)值評(píng)估GB/T40685-2021信息技術(shù)服務(wù)數(shù)據(jù)資產(chǎn)管理要求GB/T37550-2019電子商務(wù)數(shù)據(jù)資產(chǎn)評(píng)價(jià)指標(biāo)體系GB/T41479-2022信息安全技術(shù)網(wǎng)絡(luò)數(shù)據(jù)處理安全要求GB/T37932-2019信息安全技術(shù)數(shù)據(jù)交易服務(wù)安全要求YD/T4243-2023電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)資產(chǎn)識(shí)別與梳理技術(shù)實(shí)施指南YD/T3211-2016網(wǎng)絡(luò)虛擬資產(chǎn)數(shù)據(jù)存儲(chǔ)與交換技術(shù)要求DB34/T4536-2023機(jī)關(guān)事務(wù)數(shù)據(jù)資產(chǎn)評(píng)價(jià)規(guī)范DB14/T2443—2022政務(wù)數(shù)據(jù)資產(chǎn)登記目錄清單編制規(guī)范DB23/T3326—2022基于區(qū)塊鏈數(shù)據(jù)價(jià)值分析指南DB52/T1468-2019基于區(qū)塊鏈的數(shù)據(jù)資產(chǎn)交易實(shí)施指南3術(shù)語(yǔ)和定義以及下列術(shù)語(yǔ)和定義適用于本文件。3.1數(shù)據(jù)data任何以電子或者其他方式對(duì)信息的記錄。[GB/T41479—2022，3.1]3.2數(shù)據(jù)資產(chǎn)dataasset特定主體合法擁有或者控制的、能進(jìn)行貨幣計(jì)量的、且能帶來(lái)直接或者間接經(jīng)濟(jì)利益的數(shù)據(jù)資源。[GB/T40685—2021，3.1，有修改]3.3數(shù)據(jù)資產(chǎn)評(píng)估dataassetassessmuent對(duì)組織內(nèi)數(shù)據(jù)資產(chǎn)現(xiàn)狀以及質(zhì)量、價(jià)值等進(jìn)行定量和定性評(píng)價(jià)的活動(dòng)。[GB/T40685—2021，3.9]2T/SZBA003—20233.4數(shù)據(jù)交易datatransaction數(shù)據(jù)供方和需方之間以數(shù)據(jù)商品作為交易對(duì)象，進(jìn)行的以貨幣或貨幣等價(jià)物交換數(shù)據(jù)商品的行為。注1:數(shù)據(jù)商品包括用于交易的原始數(shù)據(jù)或加工注2:數(shù)據(jù)交易包括以大數(shù)據(jù)或其衍生品作為數(shù)據(jù)商品的數(shù)據(jù)交易，也包括以傳統(tǒng)[GB/T37932—2019，3.1]3.5匿名化anonymization個(gè)人信息經(jīng)過(guò)處理無(wú)法識(shí)別特定自然人且不能復(fù)原的過(guò)程。[GB/T41479—2022，3.13]3.6個(gè)人信息personalinformation以電子或者其他方式記錄的與已識(shí)別或者可以識(shí)別自然人有關(guān)的各種信息。注1：個(gè)人信息包括姓名、出生日期、公民身份證號(hào)碼、個(gè)人生物識(shí)別信息、住址、通信通訊聯(lián)系方式、通信記錄和內(nèi)容、賬號(hào)密碼、財(cái)產(chǎn)信息、征信信息、行蹤信息、行蹤軌跡、住宿信息、健康生理[GB/T41479—2022，3.6]3.7重要數(shù)據(jù)importantdata一旦泄露可能直接影響國(guó)家安全、公共安全、經(jīng)濟(jì)安全和社會(huì)穩(wěn)定的數(shù)據(jù)。注：重要數(shù)據(jù)包括未公開(kāi)的政府信息，數(shù)量達(dá)到一定規(guī)模的基因、地理、礦產(chǎn)信[GB/T41479—2022，3.9]3.8重置成本法costmethod以重新獲取被評(píng)估的對(duì)象所需要的成本為標(biāo)準(zhǔn)，考慮該對(duì)象在這期間發(fā)生的實(shí)體性貶值(指由于設(shè)備運(yùn)行中的磨損或在自然環(huán)境中暴露造成的侵蝕，造成設(shè)備實(shí)體形態(tài)的損耗所引起的貶值)、功能性貶值(指由于技術(shù)相對(duì)落后造成的貶值)和經(jīng)濟(jì)性貶值(指設(shè)備外部因素引起的設(shè)備價(jià)值貶值)，用重置對(duì)象所需的費(fèi)用減去各項(xiàng)貶值就得到了評(píng)估對(duì)象的價(jià)值。3.9市場(chǎng)價(jià)值法marketvalue根據(jù)與被評(píng)估數(shù)據(jù)資產(chǎn)相同或類似的其他產(chǎn)品的當(dāng)前售價(jià)或歷史價(jià)格，將其作為參考并對(duì)比分析比較二者產(chǎn)品之間的異同，在此基礎(chǔ)上進(jìn)行調(diào)整，從而得到被評(píng)估數(shù)據(jù)資產(chǎn)的市場(chǎng)價(jià)值。3.10收益現(xiàn)值法incomemethod進(jìn)行數(shù)據(jù)資產(chǎn)價(jià)值評(píng)估的基本思路是將被評(píng)估的數(shù)據(jù)資產(chǎn)在有效使用期限內(nèi)預(yù)期的收益，根據(jù)一定的折現(xiàn)率將其折算到當(dāng)前條件下得到的結(jié)果。3T/SZBA003—20234縮略語(yǔ)下列縮略語(yǔ)適用于本文件。API：應(yīng)用程序編程接口（ApplicationProgrammingInterface）SDK：軟件開(kāi)發(fā)工具包（SoftwareDevelopmentKit）5評(píng)估過(guò)程5.1準(zhǔn)備5.1.1評(píng)估方案制定評(píng)估準(zhǔn)備階段應(yīng)首先制訂評(píng)估方案，評(píng)估方案的制訂是一個(gè)不斷確認(rèn)的過(guò)程，至少應(yīng)完成以下工作內(nèi)容的確認(rèn)：a)評(píng)估團(tuán)隊(duì)?wèi)?yīng)完成評(píng)估團(tuán)隊(duì)的組建，包括評(píng)估實(shí)施機(jī)構(gòu)與被評(píng)估機(jī)構(gòu)的人員數(shù)量、專業(yè)組成以及溝通機(jī)制的確認(rèn)等。評(píng)估團(tuán)隊(duì)相關(guān)各方成員應(yīng)具備可支撐評(píng)估開(kāi)展的數(shù)學(xué)、計(jì)算機(jī)、金融、法律、工程技術(shù)、安全管理、業(yè)務(wù)規(guī)則等方面的相關(guān)專業(yè)知識(shí)和技能，以及數(shù)據(jù)資產(chǎn)評(píng)估定價(jià)的專業(yè)知識(shí)和實(shí)踐經(jīng)驗(yàn)，可承擔(dān)相關(guān)的評(píng)估和配合工作。評(píng)估團(tuán)隊(duì)開(kāi)展數(shù)據(jù)資產(chǎn)評(píng)估定價(jià)業(yè)務(wù)，應(yīng)當(dāng)獨(dú)立進(jìn)行分析和估算并形成專業(yè)意見(jiàn)，拒絕委托人或者其他相關(guān)當(dāng)事人的干預(yù)，不得直接以預(yù)先設(shè)定的價(jià)值作為評(píng)估結(jié)論。b)評(píng)估范圍應(yīng)根據(jù)評(píng)估目的和評(píng)估對(duì)象來(lái)確定評(píng)估內(nèi)容的邊界。在某些情況下，評(píng)估對(duì)象可能不是一個(gè)特定的組織機(jī)構(gòu)，而是某些數(shù)據(jù)、某個(gè)項(xiàng)目、某個(gè)業(yè)務(wù)、某筆交易、某個(gè)信息系統(tǒng)或是一個(gè)數(shù)據(jù)處理的生命周期等。例如，委托方為達(dá)到境外上市或投資收購(gòu)等目的而進(jìn)行的數(shù)據(jù)資產(chǎn)評(píng)估定價(jià)，可根據(jù)實(shí)際情況對(duì)評(píng)估內(nèi)容進(jìn)行裁剪輯或補(bǔ)充。c)評(píng)估依據(jù)應(yīng)根據(jù)評(píng)估目的確定評(píng)估依據(jù)。包括適用的國(guó)家相關(guān)法律法規(guī)、監(jiān)管規(guī)定、行業(yè)準(zhǔn)則和國(guó)際條約、規(guī)則，以及相關(guān)國(guó)際、國(guó)家及行業(yè)標(biāo)準(zhǔn)等。d)評(píng)估進(jìn)度應(yīng)對(duì)評(píng)估進(jìn)度進(jìn)行預(yù)期規(guī)劃，包括準(zhǔn)備、審核、分析階段的時(shí)間及里程碑安排。以便參與各方預(yù)留時(shí)間和資源參與評(píng)估工作，保障評(píng)估活動(dòng)的實(shí)施效率。e)評(píng)估風(fēng)險(xiǎn)應(yīng)對(duì)評(píng)估活動(dòng)可能引入的風(fēng)險(xiǎn)及其影響進(jìn)行分析，如審查活動(dòng)對(duì)信息泄密的風(fēng)險(xiǎn)、測(cè)試掃描活動(dòng)對(duì)業(yè)務(wù)運(yùn)行和數(shù)據(jù)正確性的影響、評(píng)估工作自身的局限性及約束等，應(yīng)采用最小影響原則并給出應(yīng)對(duì)措施。5.1.2以上內(nèi)容應(yīng)與評(píng)估活動(dòng)管理單位充分溝通，制定成文檔化的評(píng)估方案并獲得批準(zhǔn)和實(shí)施授權(quán)。5.1.3評(píng)估對(duì)象調(diào)研應(yīng)對(duì)被評(píng)估的對(duì)象進(jìn)行充分的調(diào)研，作為后續(xù)評(píng)估工作的基礎(chǔ)。調(diào)研應(yīng)包括如下內(nèi)容：a)業(yè)務(wù)運(yùn)營(yíng)模式評(píng)估對(duì)象涉及的業(yè)務(wù)范圍、內(nèi)容、模式以及與外部組織機(jī)構(gòu)合作的情況。b)數(shù)據(jù)處理活動(dòng)4T/SZBA003—2023評(píng)估對(duì)象處理數(shù)據(jù)的類型、流程、規(guī)模以及在處理過(guò)程中所處的角色和地位，評(píng)估數(shù)據(jù)收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)、刪除等全生命周期處理活動(dòng)的情況。c)管理制度及落實(shí)評(píng)估對(duì)象的數(shù)據(jù)管理組織架構(gòu)、管理制度、技術(shù)措施、網(wǎng)絡(luò)安全等級(jí)保護(hù)、培訓(xùn)教育等情況。d)處罰及整改評(píng)估對(duì)象及其所在組織涉及的數(shù)據(jù)資產(chǎn)的投訴、行政處罰、訴訟、仲裁，以及以往資產(chǎn)管理相關(guān)測(cè)評(píng)和數(shù)據(jù)資產(chǎn)評(píng)估的整改和糾正措施情況。宜通過(guò)現(xiàn)場(chǎng)調(diào)查及發(fā)放調(diào)查單的形式來(lái)對(duì)評(píng)估對(duì)象進(jìn)行調(diào)研。5.1.4評(píng)估資料收集應(yīng)根據(jù)評(píng)估目的進(jìn)行對(duì)評(píng)估對(duì)象相關(guān)的數(shù)據(jù)資產(chǎn)資料收集，包括但不僅限于如下內(nèi)容：a)數(shù)據(jù)資產(chǎn)的信息屬性、法律屬性、價(jià)值屬性等。b)數(shù)據(jù)資產(chǎn)持有權(quán)、數(shù)據(jù)加工使用權(quán)、數(shù)據(jù)產(chǎn)品經(jīng)營(yíng)權(quán)等權(quán)屬資料、數(shù)據(jù)資產(chǎn)信息要素、財(cái)務(wù)會(huì)計(jì)信息和其他資料并進(jìn)行核查驗(yàn)證、分析整理和記錄。c)收集、存儲(chǔ)、處理數(shù)據(jù)的設(shè)備、人力成本，以及前期的研發(fā)成本等。d)與數(shù)據(jù)供應(yīng)商和第三方公司簽訂的協(xié)議、合同、文件范本和實(shí)例以及對(duì)供應(yīng)商的審查文件。e)業(yè)務(wù)介紹、分支機(jī)構(gòu)及股權(quán)架構(gòu)、所在組織的營(yíng)業(yè)執(zhí)照以及相關(guān)行業(yè)的經(jīng)營(yíng)許可。f)與數(shù)據(jù)資產(chǎn)相關(guān)的訴訟、仲裁和被執(zhí)法機(jī)關(guān)調(diào)查和處罰的相關(guān)文件，包括約談、調(diào)查通知、處罰通知、判決書(shū)等。g)評(píng)估人員可通過(guò)對(duì)公開(kāi)信息進(jìn)行查詢的方式獲取評(píng)估對(duì)象的相關(guān)信息，以對(duì)收到的資料進(jìn)行印證和補(bǔ)充。查詢渠道可包括：1)國(guó)家企業(yè)信用信息公示系統(tǒng)、信息產(chǎn)業(yè)主管部門網(wǎng)站、各地行業(yè)主管部門網(wǎng)站、國(guó)家及地方網(wǎng)信部門網(wǎng)站以及執(zhí)行和裁判信息公開(kāi)網(wǎng)站等。2)可利用公共或?qū)Ｓ镁W(wǎng)絡(luò)搜索引擎對(duì)被評(píng)估對(duì)象散布在互聯(lián)網(wǎng)或?qū)Ｓ镁W(wǎng)絡(luò)上的相關(guān)信息進(jìn)行查閱整理。必要時(shí)，可根據(jù)實(shí)際評(píng)估情況，要求被評(píng)估方補(bǔ)充資料。5.2審核5.2.1文檔審查評(píng)估人員應(yīng)對(duì)在收集資料過(guò)程中收到的相關(guān)文件進(jìn)行逐一審查，以評(píng)估相關(guān)制度、文件及落實(shí)情況是否符合評(píng)估依據(jù)的相關(guān)要求。5.2.2人員訪談必要時(shí)，作為文檔審查和安全檢測(cè)結(jié)果的補(bǔ)充，可對(duì)被評(píng)估對(duì)象涉及的相關(guān)人員進(jìn)行訪談，以核實(shí)評(píng)估對(duì)象數(shù)據(jù)資產(chǎn)的實(shí)際情況。訪談可以采取交流、討論、詢問(wèn)等形式，訪談對(duì)象可視情況包含如下人員：a)信息系統(tǒng)研發(fā)人員、產(chǎn)品經(jīng)理和業(yè)務(wù)設(shè)計(jì)人員。b)組織內(nèi)部的業(yè)務(wù)負(fù)責(zé)人、技術(shù)負(fù)責(zé)人、數(shù)據(jù)管理負(fù)責(zé)人以及法律合規(guī)負(fù)責(zé)人。c)網(wǎng)絡(luò)、應(yīng)用和數(shù)據(jù)運(yùn)維人員以及信息安全管理人員。d)系統(tǒng)及數(shù)據(jù)的運(yùn)營(yíng)人員。5.3分析5T/SZBA003—20235.3.1數(shù)據(jù)資產(chǎn)定價(jià)分析在分析過(guò)程的執(zhí)行中，應(yīng)考慮到數(shù)據(jù)資產(chǎn)不具備實(shí)物形態(tài)，且具有非貨幣性，符合無(wú)形資產(chǎn)特性，綜合運(yùn)用一種或多種定價(jià)分析方式，如成本法、收益法、市場(chǎng)法、期權(quán)定價(jià)法，基于無(wú)形資產(chǎn)的價(jià)值評(píng)估方法完成數(shù)據(jù)資產(chǎn)定價(jià)的分析。5.3.2問(wèn)題和風(fēng)險(xiǎn)在審核過(guò)程的執(zhí)行中，應(yīng)對(duì)審核的實(shí)際情況進(jìn)行及時(shí)記錄，對(duì)發(fā)現(xiàn)的問(wèn)題形成問(wèn)題記錄，并對(duì)問(wèn)題可能產(chǎn)生的風(fēng)險(xiǎn)進(jìn)行分析。問(wèn)題記錄應(yīng)包括如下內(nèi)容：a)問(wèn)題事實(shí)的描述，包括所在業(yè)務(wù)、違規(guī)事實(shí)和發(fā)生場(chǎng)景等。b)違反的內(nèi)部制度名稱及條款。c)違反的評(píng)估依據(jù)的名稱及條款。d)問(wèn)題可能引起的風(fēng)險(xiǎn)或處罰后果。e)必要時(shí)，問(wèn)題的嚴(yán)重性級(jí)別。5.3.3整改計(jì)劃必要時(shí)，評(píng)估人員可協(xié)助評(píng)估對(duì)象所在組織針對(duì)問(wèn)題進(jìn)行整改計(jì)劃的制定。整改計(jì)劃應(yīng)包括：a)問(wèn)題的描述或識(shí)別信息。b)工作建議與整改措施。c)責(zé)任方或落實(shí)方。d)整改有效性的驗(yàn)證方。e)計(jì)劃完成期限。5.4評(píng)價(jià)5.4.1評(píng)估報(bào)告評(píng)估工作完成后，應(yīng)形成數(shù)據(jù)資產(chǎn)評(píng)估定價(jià)報(bào)告，報(bào)告應(yīng)包括如下內(nèi)容：a)評(píng)估背景：描述評(píng)估的目的。b)評(píng)估聲明：評(píng)估結(jié)果的適用范圍、約束、假設(shè)以及免責(zé)聲明。c)評(píng)估依據(jù)：評(píng)估所依賴的法律法規(guī)、相關(guān)標(biāo)準(zhǔn)或文件。d)評(píng)估范圍：評(píng)估對(duì)象的組成和評(píng)估內(nèi)容和指標(biāo)的描述。e)評(píng)估流程：評(píng)估實(shí)施活動(dòng)的過(guò)程性描述。f)評(píng)估結(jié)論：在充分審核的基礎(chǔ)上，對(duì)評(píng)估對(duì)象的數(shù)據(jù)資產(chǎn)情況進(jìn)行客觀、公正的結(jié)論性總結(jié)，可包括：1)數(shù)據(jù)資產(chǎn)評(píng)估定價(jià)總結(jié)。2)數(shù)據(jù)處理業(yè)務(wù)活動(dòng)的評(píng)估總結(jié)。3)數(shù)據(jù)資產(chǎn)定價(jià)分析的評(píng)估總結(jié)。4)管理措施及落實(shí)情況的評(píng)估總結(jié)。5)技術(shù)保障措施及落實(shí)情況的評(píng)估總結(jié)。6)發(fā)現(xiàn)問(wèn)題及存在風(fēng)險(xiǎn)情況總結(jié)。7)適用時(shí)，針對(duì)之前的數(shù)據(jù)資產(chǎn)定價(jià)、網(wǎng)絡(luò)、審查、測(cè)評(píng)、評(píng)估、行政調(diào)查中發(fā)現(xiàn)問(wèn)題的整改及落實(shí)情況的總結(jié)。8)必要時(shí)，給予評(píng)估對(duì)象問(wèn)題整改及后續(xù)持續(xù)改進(jìn)的意見(jiàn)和建議。6T/SZBA003—20235.4.2專項(xiàng)意見(jiàn)基于特定目的的數(shù)據(jù)資產(chǎn)評(píng)估定價(jià)，可按被評(píng)估對(duì)象所在組織的要求出具專項(xiàng)分析意見(jiàn)，如：a)數(shù)據(jù)資產(chǎn)的使用權(quán)。b)數(shù)據(jù)資產(chǎn)的成本。c)是否采用成本法、收益法、市場(chǎng)法、期權(quán)定價(jià)法等。5.4.3備忘錄基于特定目的的數(shù)據(jù)資產(chǎn)評(píng)估定價(jià)，如發(fā)現(xiàn)涉及重大問(wèn)題，可能對(duì)特定目的的達(dá)成產(chǎn)生直接影響，可以備忘錄的形式進(jìn)行重大問(wèn)題說(shuō)明和風(fēng)險(xiǎn)揭示，以供評(píng)估對(duì)象所在組織快速了解問(wèn)題并引起重視，更有針對(duì)性的實(shí)施整改并提高效率。6評(píng)估內(nèi)容6.1業(yè)務(wù)運(yùn)營(yíng)模式6.1.1處理模式應(yīng)對(duì)評(píng)估對(duì)象或所在組織的業(yè)務(wù)模式、業(yè)務(wù)流程進(jìn)行充分識(shí)別，包括：a)組織與客戶、供應(yīng)商和其它合作方的模式（提供方、接收方、共同處理等）。b)組織在數(shù)據(jù)處理或是交易鏈中所處的角色（收集方、使用方、交易中介方等）。c)組織是數(shù)據(jù)處理平臺(tái)的建設(shè)者還是運(yùn)營(yíng)者，或兩者兼有。不同的業(yè)務(wù)模式及角色對(duì)于數(shù)據(jù)資產(chǎn)的要求不同，評(píng)估方應(yīng)根據(jù)識(shí)別的結(jié)果來(lái)選取后續(xù)的評(píng)估內(nèi)容。6.1.2系統(tǒng)平臺(tái)應(yīng)對(duì)評(píng)估對(duì)象數(shù)據(jù)處理所依附的信息系統(tǒng)和網(wǎng)絡(luò)資產(chǎn)進(jìn)行識(shí)別，形成系統(tǒng)資產(chǎn)清單。包括各類應(yīng)用系統(tǒng)、網(wǎng)站、移動(dòng)App、小程序、云平臺(tái)、區(qū)塊鏈等網(wǎng)絡(luò)系統(tǒng)，以決定安全檢測(cè)等評(píng)估所覆蓋的范圍。6.2數(shù)據(jù)處理主體6.2.1處理資質(zhì)應(yīng)對(duì)評(píng)估對(duì)象所在組織的行政許可及相關(guān)證照的完備性、運(yùn)營(yíng)主體的一致性、授權(quán)范圍、資質(zhì)有效期限與實(shí)際數(shù)據(jù)處理相關(guān)活動(dòng)的匹配性以及質(zhì)量管理體系的健全性進(jìn)行審查。如營(yíng)業(yè)執(zhí)照、增值電信業(yè)務(wù)經(jīng)營(yíng)許可證、在線數(shù)據(jù)與交易處理業(yè)務(wù)許可證、網(wǎng)絡(luò)文化經(jīng)營(yíng)許可證、網(wǎng)絡(luò)出版服務(wù)許可證、信息網(wǎng)絡(luò)傳播視聽(tīng)節(jié)目許可證、互聯(lián)網(wǎng)藥品信息服務(wù)資格證、質(zhì)量管理體系認(rèn)證等相關(guān)的許可和認(rèn)證范圍。6.2.2委托處理6.2.2.1委托方評(píng)估對(duì)象委托外部機(jī)構(gòu)處理數(shù)據(jù)時(shí)，應(yīng)對(duì)如下內(nèi)容進(jìn)行審核：a)建立數(shù)據(jù)資產(chǎn)評(píng)估、定價(jià)分析、個(gè)人信息安全影響評(píng)估制度的情況。b)對(duì)受托方的資格審查的相關(guān)記錄。包括行政許可、授權(quán)范圍、質(zhì)量管理體系等。c)與受托方簽訂的數(shù)據(jù)處理合同或協(xié)議的效力及內(nèi)容。包括依照評(píng)估依據(jù)要求和合同約定履行數(shù)據(jù)管理要求、數(shù)據(jù)處理目的、處理期限、處理方式、信息種類、保護(hù)措施、處理地點(diǎn)、銷毀、轉(zhuǎn)委托處理、分享以及雙方的權(quán)利和義務(wù)等。d)對(duì)受托方數(shù)據(jù)處理過(guò)程的監(jiān)督記錄。包括履行數(shù)據(jù)保護(hù)義務(wù)情況、處理方式及處理地點(diǎn)的正確性、是否進(jìn)行超出目的處理、處理后數(shù)據(jù)的刪除和銷毀情況等。7T/SZBA003—2023e)涉及處理個(gè)人信息的，委托前進(jìn)行個(gè)人信息安全影響評(píng)估的實(shí)施記錄并保存情況，個(gè)人信息安全影響評(píng)估活動(dòng)應(yīng)依據(jù)GB/T39335—2020開(kāi)展。6.2.2.2受托方評(píng)估對(duì)象為數(shù)據(jù)處理的受托方時(shí)，應(yīng)對(duì)如下內(nèi)容進(jìn)行審核：a)必要時(shí)，對(duì)委托方的資格審查的相關(guān)記錄。包括行政許可、授權(quán)范圍、質(zhì)量管理體系等。b)委托合同或協(xié)議中委托方確保數(shù)據(jù)來(lái)源合法的承諾和違約賠償責(zé)任。c)受托方依照評(píng)估依據(jù)要求和合同約定履行數(shù)據(jù)安全保護(hù)義務(wù)，不超出約定范圍處理方式和處理d)相關(guān)情況下（如合同無(wú)效、中止、處理完成后等）數(shù)據(jù)的返還、刪除、銷毀的相關(guān)實(shí)施和確認(rèn)記錄。6.2.3共同處理評(píng)估對(duì)象為數(shù)據(jù)的共同處理方時(shí)，應(yīng)對(duì)如下內(nèi)容進(jìn)行審核：a)自主決定數(shù)據(jù)處理目的及處理方式的主體資格。b)共同處理數(shù)據(jù)各方的權(quán)利、義務(wù)的約定。c)依法承擔(dān)相關(guān)法律責(zé)任的約定。6.2.4主體變更轉(zhuǎn)移評(píng)估對(duì)象在數(shù)據(jù)處理過(guò)程中發(fā)生合并、分立、解散、破產(chǎn)等變化導(dǎo)致數(shù)據(jù)處理的主體發(fā)生轉(zhuǎn)移時(shí)，應(yīng)對(duì)如下內(nèi)容進(jìn)行審核：a)通知數(shù)據(jù)來(lái)源數(shù)據(jù)（可能為組織或個(gè)人），處理方發(fā)生變化的相關(guān)信息（名稱/姓名、聯(lián)系方式等）。b)涉及處理個(gè)人信息的，若處理目的和方式發(fā)生變化，重新取得個(gè)人同意的相關(guān)證據(jù)。6.3數(shù)據(jù)處理活動(dòng)6.3.1數(shù)據(jù)資源合規(guī)應(yīng)對(duì)數(shù)據(jù)資源來(lái)源的合規(guī)情況進(jìn)行評(píng)估，內(nèi)容包括：a)數(shù)據(jù)資源來(lái)源應(yīng)符合合法、正當(dāng)、必要、誠(chéng)信原則。b)數(shù)據(jù)資源應(yīng)獲得用戶授權(quán)或依法無(wú)需獲得授權(quán)。c)數(shù)據(jù)資源的授權(quán)應(yīng)覆蓋擬進(jìn)行的數(shù)據(jù)處理活動(dòng)。6.3.2處理過(guò)程6.3.2.1收集應(yīng)對(duì)收集數(shù)據(jù)的情況進(jìn)行評(píng)估，內(nèi)容包括：a)收集信息的合法性基礎(chǔ)，相關(guān)資質(zhì)、行政許可、授權(quán)等。是否收集與其提供的服務(wù)無(wú)關(guān)的個(gè)人信息，是否違反評(píng)估依據(jù)要求和雙方的約定收集、使用個(gè)人信息。b)收集個(gè)人信息的授權(quán)同意情況，宜參照GB/T35272—20205.4、GB/T41479—20225.2以及評(píng)估依據(jù)要求開(kāi)展。c)收集信息行為的正當(dāng)、必要性，宜參照GB/T35273—20225.1、5.2以及評(píng)估依據(jù)進(jìn)行審核。包括：8T/SZBA003—20231)用戶授權(quán)（告知—同意）使用的展示時(shí)機(jī)、形式（顯著、醒目、非默認(rèn)同意）和內(nèi)容的規(guī)范性。2)收集內(nèi)容應(yīng)當(dāng)與處理目的直接相關(guān)，采取對(duì)個(gè)人權(quán)益影響最小的方式，限于實(shí)現(xiàn)處理目的的最小范圍，不過(guò)度收集個(gè)人信息。3)應(yīng)用系統(tǒng)實(shí)際收集內(nèi)容與其宣稱的隱私政策、用戶協(xié)議等內(nèi)容的一致性。6.3.2.2存儲(chǔ)應(yīng)對(duì)數(shù)據(jù)的存儲(chǔ)情況進(jìn)行評(píng)估，內(nèi)容包括：a)對(duì)數(shù)據(jù)及其副本存儲(chǔ)所采取的安全措施，宜參照GB/T41479—20225.3以及評(píng)估依據(jù)要求進(jìn)行審核。審核項(xiàng)應(yīng)包括：1)技術(shù)保護(hù)措施的要求，如加密算法、訪問(wèn)控制、安全審計(jì)、個(gè)人信息的匿名化等。2)存儲(chǔ)期限，符合評(píng)估依據(jù)要求、合同和用戶約定的有效期限。3)對(duì)重要系統(tǒng)和數(shù)據(jù)庫(kù)進(jìn)行容災(zāi)備份。b)數(shù)據(jù)及其副本的存儲(chǔ)地點(diǎn)滿足數(shù)據(jù)本地化存儲(chǔ)和數(shù)據(jù)跨境的評(píng)估依據(jù)要求的情況。c)必要時(shí)，可使用第三方機(jī)構(gòu)提供的數(shù)據(jù)存證服務(wù)，保證數(shù)據(jù)的真實(shí)性和完整性。6.3.2.3使用、加工應(yīng)對(duì)數(shù)據(jù)的使用和加工情況進(jìn)行評(píng)估，內(nèi)容包括：a)數(shù)據(jù)的使用和加工獲得相關(guān)方的授權(quán)文件并符合評(píng)估依據(jù)要求的證明。b)數(shù)據(jù)實(shí)際使用、加工的方式和范圍符合約定。c)未涉及相關(guān)規(guī)定禁止的數(shù)據(jù)使用和加工，如未獲得用戶授權(quán)、用戶已撤回同意、歧視性的營(yíng)銷策略、違反道德倫理等情況。6.3.2.4傳輸、提供應(yīng)對(duì)數(shù)據(jù)的傳輸和提供情況進(jìn)行評(píng)估，內(nèi)容包括：a)數(shù)據(jù)提供和接收方的審核，應(yīng)符合本標(biāo)準(zhǔn)7.2.1的要求。b)數(shù)據(jù)傳輸和提供的安全措施和協(xié)議約定，宜參照GB/T41479—20225.6-5.7以及法律和相關(guān)行業(yè)要求進(jìn)行審核。c)涉及第三方SDK或API的，應(yīng)對(duì)SDK組件或API接口進(jìn)行安全檢測(cè)，評(píng)估是否存在已知的安全漏洞以及可能引起數(shù)據(jù)泄露或未授權(quán)的數(shù)據(jù)跨境的行為。d)利用個(gè)人信息和個(gè)性化推送算法向用戶提供信息的，須對(duì)推送信息的真實(shí)性、準(zhǔn)確性以及來(lái)源合法性負(fù)責(zé)，并符合以下要求：1）收集個(gè)人信息用于個(gè)性化推薦時(shí)，應(yīng)取得個(gè)人單獨(dú)同意；2）設(shè)置易于理解、便于訪問(wèn)和操作的一鍵關(guān)閉個(gè)性化推薦選項(xiàng)，允許用戶拒絕接受定向推送信息，允許用戶重置、修改、調(diào)整針對(duì)其個(gè)人特征的定向推送參數(shù)；3）允許個(gè)人刪除定向推送信息服務(wù)收集產(chǎn)生的個(gè)人信息，法律、行政法規(guī)另有規(guī)定或者與用戶另有約定的除外。9T/SZBA003—2023e）向其他個(gè)人信息處理者提供其處理的個(gè)人信息的，應(yīng)當(dāng)向個(gè)人告知接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式和個(gè)人信息的種類，并取得個(gè)人的單獨(dú)同意。f）涉及數(shù)據(jù)交易活動(dòng)時(shí)：1）數(shù)據(jù)供方、數(shù)據(jù)需方、數(shù)據(jù)服務(wù)機(jī)構(gòu)應(yīng)符合GB/T37932—20195的相關(guān)要求；2）交易的數(shù)據(jù)對(duì)象應(yīng)符合GB/T37932—20196的相關(guān)要求；3）交易的過(guò)程應(yīng)符合GB/T37932—20197的相關(guān)要求；4）應(yīng)對(duì)數(shù)據(jù)交易中介服務(wù)的機(jī)構(gòu)留存的交易雙方的審查、交易記錄進(jìn)行審核。6.3.2.5公開(kāi)應(yīng)對(duì)評(píng)估對(duì)象的數(shù)據(jù)公開(kāi)行為進(jìn)行評(píng)估，包括：a)公開(kāi)前的影響評(píng)估情況。如是否對(duì)危害國(guó)家安全、公共安全、經(jīng)濟(jì)安全和社會(huì)穩(wěn)定造成影響。b)必要時(shí)，數(shù)據(jù)公開(kāi)行為和內(nèi)容是否取得了相關(guān)單位的許可和授權(quán)。c)處理已公開(kāi)的個(gè)人信息，對(duì)個(gè)人權(quán)益有重大影響的，應(yīng)按評(píng)估依據(jù)要求取得個(gè)人同意。6.3.2.6刪除、匿名化應(yīng)對(duì)評(píng)估對(duì)象刪除數(shù)據(jù)和用戶注銷后的匿名化處理情況進(jìn)行評(píng)估，內(nèi)容包括：a)對(duì)符合GB/T41479—20225.13、GB/T35273—20208.3、8.5和評(píng)估依據(jù)要求的數(shù)據(jù)進(jìn)行刪除或匿名化處理的處理記錄，評(píng)估方應(yīng)從處理的內(nèi)容、數(shù)據(jù)量、及時(shí)性等方面進(jìn)行審查。b)適用時(shí)，APP提供的用戶注銷用戶的方式，宜參照GB/T35273—20208.5的要求進(jìn)行審核。c)處理范圍包括數(shù)據(jù)本身及其全部副本。d)處理后的數(shù)據(jù)無(wú)法或不再繼續(xù)參與數(shù)據(jù)處理與加工的證明。e)適用時(shí)，拒絕刪除或注銷用戶給出反饋的情況，應(yīng)包括：1)通知的告知渠道，如APP通知、短信、郵件等。2)拒絕理由，如依據(jù)的法律法規(guī)、行業(yè)監(jiān)管要求等。3)投訴渠道和途徑。6.4管理措施及落實(shí)6.4.1責(zé)任人與責(zé)任機(jī)構(gòu)應(yīng)對(duì)評(píng)估對(duì)象所在組織的數(shù)據(jù)資產(chǎn)管理責(zé)任人和組織架構(gòu)進(jìn)行評(píng)估，內(nèi)容包括：a)責(zé)任人，包括背景審查、工作職責(zé)、績(jī)效考核、履行其對(duì)應(yīng)的工作職能的相關(guān)工作記錄等。可參照GB/T41479—20226.1、6.2的要求進(jìn)行審核。個(gè)人信息處理者應(yīng)公開(kāi)個(gè)人信息保護(hù)負(fù)責(zé)人的聯(lián)系方式，并將個(gè)人信息保護(hù)負(fù)責(zé)人的姓名、聯(lián)系方式等報(bào)送履行個(gè)人信息保護(hù)職責(zé)的部b)責(zé)任機(jī)構(gòu)，包括機(jī)構(gòu)的崗職位設(shè)置、運(yùn)行經(jīng)費(fèi)、獨(dú)立性以及開(kāi)展相關(guān)工作的運(yùn)行記錄等。6.4.2數(shù)據(jù)管理措施應(yīng)對(duì)評(píng)估對(duì)象所在組織的數(shù)據(jù)資產(chǎn)管理措施的完整性、一致性、可行性、依從性等方面進(jìn)行評(píng)估，評(píng)估內(nèi)容可包括：a)管理體系，包括總體要求、機(jī)構(gòu)設(shè)置及職責(zé)、基本原則等。b)處理流程管理，包括數(shù)據(jù)收集、使用、傳輸、提供、存儲(chǔ)、刪除等管理要求。T/SZBA003—2023c)數(shù)據(jù)分類分級(jí)管理：1)劃分?jǐn)?shù)據(jù)類別、級(jí)別的原則及對(duì)應(yīng)采取管理和技術(shù)措施的要求。2)適用時(shí)，個(gè)人信息按敏感程度的分類及保護(hù)措施。d)網(wǎng)絡(luò)及數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估及報(bào)送機(jī)制，按相關(guān)要求定期開(kāi)展風(fēng)險(xiǎn)評(píng)估并報(bào)送或公布結(jié)果的相并規(guī)定。e)數(shù)據(jù)安全風(fēng)險(xiǎn)管理機(jī)制，包括開(kāi)展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估、報(bào)告、共享、預(yù)警檢測(cè)等機(jī)制。f)網(wǎng)絡(luò)及數(shù)據(jù)安全應(yīng)急預(yù)案，發(fā)現(xiàn)信息安全事件時(shí)，啟動(dòng)應(yīng)急預(yù)案、采取補(bǔ)救措施、向主管部門報(bào)告、定期實(shí)施應(yīng)急演練等措施。可參照GB/T41479—20226.3的要求進(jìn)行審核。g)投訴、舉報(bào)制度，接受網(wǎng)絡(luò)信息安全投訴、舉報(bào)并及時(shí)處理、反饋的機(jī)制。h)數(shù)據(jù)出境管理，適用時(shí)，對(duì)數(shù)據(jù)出境條件、數(shù)據(jù)出境自評(píng)估及程序的要求。i)網(wǎng)絡(luò)安全審查，適用時(shí)，制定并落實(shí)網(wǎng)絡(luò)安全審查相關(guān)的管理制度和程序。j)個(gè)人信息管理，包括：1)對(duì)個(gè)人信息訪問(wèn)和操作權(quán)的要求。2)定期進(jìn)行個(gè)人信息合規(guī)審計(jì)的要求。3)適用時(shí)，對(duì)個(gè)人信息安全影響評(píng)估的要求。4)適用時(shí)，對(duì)未成年人和兒童信息保護(hù)的管理要求。5)員工個(gè)人信息保護(hù)，如對(duì)員工的簡(jiǎn)歷、體檢信息、生物識(shí)別信息的以及雇傭外籍員工的信息保護(hù)的規(guī)定。6.4.3數(shù)據(jù)管理技術(shù)措施應(yīng)對(duì)評(píng)估對(duì)象的數(shù)據(jù)資產(chǎn)安全保護(hù)的技術(shù)措施落實(shí)情況進(jìn)行評(píng)估，內(nèi)容可包括：a)定期的安全檢測(cè)，包括網(wǎng)絡(luò)、主機(jī)、應(yīng)用等層面的安全掃描和安全配置的檢測(cè)。b)采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照評(píng)估依據(jù)要求留存相關(guān)的網(wǎng)絡(luò)日志情況。c)防御措施，防范計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊等危害網(wǎng)絡(luò)安全行為的措施有效性檢測(cè)。d)數(shù)據(jù)備份，包括備份的內(nèi)容、范圍、形式（全備份、增量備份、差分備份等）、備份地點(diǎn)（本地、異地）、備份及時(shí)性以及備份有效性驗(yàn)證等。e)加密，包括加密的內(nèi)容、算法的強(qiáng)度、算法的使用（如必須使用國(guó)密算法的場(chǎng)景）、密鑰的管理措施等。f)去標(biāo)識(shí)化，適用時(shí)，對(duì)個(gè)人信息去標(biāo)識(shí)化的情況，宜參照GB/T37964—20195、6部分的要求進(jìn)行審核。g)訪問(wèn)控制，數(shù)據(jù)訪問(wèn)和操作前對(duì)訪問(wèn)者進(jìn)行鑒別與授權(quán)的記錄和檢測(cè)。h)監(jiān)控和預(yù)警記錄，對(duì)網(wǎng)絡(luò)和應(yīng)用運(yùn)行狀態(tài)、操作的監(jiān)控和預(yù)警記錄的完整性和保存期限的檢測(cè)。i)應(yīng)評(píng)估對(duì)象與合作伙伴之間的正式溝通所用的通信工具安全性，是否完全依賴第三方IM工具；有多少業(yè)務(wù)需依賴SaaS；評(píng)估對(duì)象對(duì)于自身業(yè)務(wù)數(shù)據(jù)的控制能力；評(píng)估對(duì)象是否充分利用現(xiàn)有的密碼等技術(shù)來(lái)充分保護(hù)自身的數(shù)據(jù)權(quán)益。6.4.4人員管理及安全教育應(yīng)對(duì)評(píng)估對(duì)象的人員管理及安全教育落實(shí)情況進(jìn)行評(píng)估，內(nèi)容應(yīng)包括：a)人員簽保密協(xié)議的情況，如保密內(nèi)容、保密范圍、保密期限、獎(jiǎng)懲措施等。b)人員上崗前的審查情況，如工作履歷、技術(shù)能力、人員資質(zhì)、教育學(xué)習(xí)等。T/SZBA003—2023c)人員在崗期間的安全意識(shí)、工作技能、管理制度的培訓(xùn)及培訓(xùn)有效性考核情況。d)人員離崗后