ICS35.030CCSL80PricingMethodforDataAssetEvalT/SZBA003—2023 2規(guī)范性引用文件 3術(shù)語和定義 4縮略語 35評估過程 36評估內(nèi)容 77評估應(yīng)用場景 12IT/SZBA003—2023本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由深圳市信息服務(wù)業(yè)區(qū)塊鏈協(xié)會歸口。本文件起草單位：大有云鈔科技（北京）有限公司、深圳職業(yè)技術(shù)大學(xué)、中國科學(xué)院深圳先進(jìn)技術(shù)研究院、中國電子技術(shù)標(biāo)準(zhǔn)化研究院、國家工業(yè)信息安全發(fā)展研究中心、中國信息經(jīng)濟(jì)學(xué)會數(shù)字經(jīng)濟(jì)政策研究專委會、浙江大學(xué)網(wǎng)絡(luò)空間安全學(xué)院、金蝶國際軟件集團(tuán)有限公司、深圳前海微眾銀行股份有限公司、深信服科技股份有限公司、北京中金浩資產(chǎn)評估有限責(zé)任公司、上海靖予霖律師事務(wù)所、山東數(shù)據(jù)交易有限公司、廣東省電信規(guī)劃設(shè)計院有限公司、中國移動通信集團(tuán)設(shè)計院有限公司、廣州民航信息技術(shù)有限公司、深圳榮燦大數(shù)據(jù)技術(shù)有限公司、江西開創(chuàng)數(shù)碼科技有限公司、北京紅棗科技有限公司、立旃（上海）科技有限公司、濮熠數(shù)字技術(shù)（上海）有限公司、上海征鏈信息技術(shù)有限公司、貴州博士產(chǎn)業(yè)技術(shù)研究院有限公司、貴州省智慧產(chǎn)業(yè)技術(shù)研究院有限公司、深圳竹云科技股份有限公司、中國移動通信有限公司政企客戶分公司、山東省數(shù)據(jù)要素創(chuàng)新創(chuàng)業(yè)共同體、中山大學(xué)、北京交通大學(xué)、深圳知識產(chǎn)權(quán)大數(shù)據(jù)中心、西安交通大學(xué)管理學(xué)院、深圳數(shù)寶數(shù)據(jù)服務(wù)股份有限公司、深圳大學(xué)中國質(zhì)量經(jīng)濟(jì)發(fā)展研究院、京東科技信息技術(shù)有限公司、新疆天山職業(yè)技術(shù)大學(xué)、深圳市非凡數(shù)通科技有限公司、湖南和信區(qū)塊鏈研究院、深圳金賦科技有限公司、四川啟?？丝萍加邢薰?、北京數(shù)據(jù)元通科技有限公司、云安全聯(lián)盟大中華區(qū)、上海麟羿信息科技有限公司、上海曠行科技有限公司、上海瑞麒維網(wǎng)絡(luò)科技有限公司、云鈔初源生物科技（西安）有限公司、湖南鏈城數(shù)據(jù)服務(wù)有限公司、湖南智慧政務(wù)區(qū)塊鏈科技有限公司、貴州智慧云大數(shù)據(jù)產(chǎn)業(yè)研究院有限公司、天水上心同生物科技有限公司、貴州智慧大健康產(chǎn)業(yè)有限公司、清遠(yuǎn)市北江區(qū)塊鏈研究院、天津華夏金信資產(chǎn)評估有限公司深圳分公司、深圳鏈協(xié)發(fā)展集團(tuán)有限公司、深圳市信息服務(wù)業(yè)區(qū)塊鏈協(xié)會。本文件主要起草人：李立中、易海博、王春暉、姜奇平、蔡躍洲、曲強(qiáng)、潘妍、王晨輝、程文彬、于小麗、譚敏、種法輝、許智鑫、楊夢琦、肖銀飛、鄧偉平、姜力銘、張家銘、馬新明、楊磊、季慧麗、劉心田、張宇光、范修偉、華崇鑫、劉偉麗、卞靜、王偉、翁淵、曾哲君、黃旭斌、寧李艷、郎曉夫、劉國棟、呂元宇、江杰、佟輝、李欣、韓正野、高婷、魏帆、李軍、楊海東、趙璽、劉項楊、高崇明、李寧波、林梓鵬、龍璽爭、任泳然、唐博、范佳、馮武、羅智杰、王毅、賴長江、李晶、池贊學(xué)、趙亮、李卓、查小龍、盧建國、肖瑤、單玉芬、楊敢、馬敏耀、鄭珂威、蔣寒、謝緯、肖瑞強(qiáng)、王超、曾強(qiáng)生、藍(lán)云、劉德遠(yuǎn)、曾人杰、韓月、劉遠(yuǎn)騏、張蕾、鄭定向。1T/SZBA003—2023數(shù)據(jù)資產(chǎn)評估定價方法本文件規(guī)定了數(shù)據(jù)資產(chǎn)定價的評估框架、評估過程以及評估內(nèi)容和要求。本文件適用于中華人民共和國范圍內(nèi)各類組織開展數(shù)據(jù)（公共數(shù)據(jù)、企業(yè)數(shù)據(jù)、個人數(shù)據(jù)）資產(chǎn)在境內(nèi)評估定價活動。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T40685-2021信息技術(shù)服務(wù)數(shù)據(jù)資產(chǎn)管理要求GB/T37550-2019電子商務(wù)數(shù)據(jù)資產(chǎn)評價指標(biāo)體系GB/T41479-2022信息安全技術(shù)網(wǎng)絡(luò)數(shù)據(jù)處理安全要求YD/T4243-2023電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)資產(chǎn)識別與梳理技術(shù)實施指南YD/T3211-2016網(wǎng)絡(luò)虛擬資產(chǎn)數(shù)據(jù)存儲與交換技術(shù)要求DB34/T4536-2023機(jī)關(guān)事務(wù)數(shù)據(jù)資產(chǎn)評價規(guī)范DB14/T2443—2022政務(wù)數(shù)據(jù)資產(chǎn)登記目錄清單編制規(guī)范DB23/T3326—2022基于區(qū)塊鏈數(shù)據(jù)價值分析指南DB52/T1468-2019基于區(qū)塊鏈的數(shù)據(jù)資產(chǎn)交易實施指南DB63/T2123-2023自然資源統(tǒng)一確權(quán)登記數(shù)據(jù)共享接口規(guī)范DB3301/T0403—2023數(shù)據(jù)知識產(chǎn)權(quán)交易指南DB3310/T93-2022公共數(shù)據(jù)授權(quán)運(yùn)營指南3術(shù)語和定義以及下列術(shù)語和定義適用于本文件。3.1數(shù)據(jù)data任何以電子或者其他方式對信息的記錄。[《中華人民共和國數(shù)據(jù)安全法》;GB/T41479—2022，3.1]3.2數(shù)據(jù)資產(chǎn)dataasset特定主體合法擁有或者控制的、能進(jìn)行貨幣計量的、且能帶來直接或者間接經(jīng)濟(jì)利益的數(shù)據(jù)資源。[GB/T40685—2021，3.1，有修改]3.3數(shù)據(jù)資產(chǎn)評估dataassetassessment對組織內(nèi)數(shù)據(jù)資產(chǎn)現(xiàn)狀以及質(zhì)量、價值等進(jìn)行定量和定性評價的活動。2T/SZBA003—2023[GB/T40685—2021，3.9]3.4數(shù)據(jù)交易datatransaction數(shù)據(jù)供方和需方之間以數(shù)據(jù)商品或服務(wù)作為交易對象，進(jìn)行的以貨幣或貨幣等價物交換數(shù)據(jù)商品或服務(wù)的行為。注1:數(shù)據(jù)商品包括用于交易的原始數(shù)據(jù)或加工注2:數(shù)據(jù)交易包括以大數(shù)據(jù)或其衍生品作為數(shù)據(jù)商品或服務(wù)的交易，也包括以傳[GB/T37932—2019，3.1]3.5數(shù)據(jù)確權(quán)datarightsconfirmation通過對數(shù)據(jù)處理者等賦權(quán)，使其對數(shù)據(jù)享有相應(yīng)的法律控制手段，從而在一定程度或范圍內(nèi)針對數(shù)據(jù)具有排除他人侵害的效力。3.6數(shù)據(jù)授權(quán)dataauthorization依法授權(quán)其在授權(quán)運(yùn)營平臺對公共數(shù)據(jù)進(jìn)行加工處理，開發(fā)形成公共數(shù)據(jù)產(chǎn)品并向社會提供服務(wù)的行為。3.7區(qū)塊鏈blockchain去中心化的分布式賬本技術(shù)，使用密碼學(xué)方法保證數(shù)據(jù)交換和記錄的安全性和可信度。3.8區(qū)塊鏈數(shù)據(jù)存證blockchaindataevidence利用區(qū)塊鏈上信息不可篡改特點，將數(shù)據(jù)或數(shù)據(jù)指紋寫入?yún)^(qū)塊鏈的過程。3.9匿名化anonymization個人信息經(jīng)過處理無法識別特定自然人且不能復(fù)原的過程。[GB/T41479—2022，3.13]3.10重要數(shù)據(jù)importantdata一旦泄露可能直接影響國家安全、公共安全、經(jīng)濟(jì)安全和社會穩(wěn)定的數(shù)據(jù)。注：重要數(shù)據(jù)包括未公開的政府信息，數(shù)量達(dá)到一定規(guī)模的基因、地理、礦產(chǎn)信[GB/T41479—2022，3.9]3.11權(quán)識assetownershipmark實物資產(chǎn)與無形資產(chǎn)按一比一映射，在區(qū)塊鏈上形成的資產(chǎn)權(quán)屬標(biāo)識。3.12T/SZBA003—2023重置成本法replacementcostmethod以重新獲取被評估的對象所需要的重置成本為標(biāo)準(zhǔn)，考慮該對象在當(dāng)前狀態(tài)下對照原始狀態(tài)發(fā)生的功能性貶值(指由于技術(shù)相對落后造成的貶值)和經(jīng)濟(jì)性貶值(指由外部因素引起的價值貶值)，用重置對象所需的費(fèi)用減去各項貶值就得到了評估對象的價值。3.13市場價值法marketvaluemethod根據(jù)與被評估數(shù)據(jù)資產(chǎn)相同或類似的其他產(chǎn)品的當(dāng)前售價或歷史價格，將其作為參考并對比分析比較二者產(chǎn)品之間的異同，在此基礎(chǔ)上進(jìn)行調(diào)整，從而得到被評估數(shù)據(jù)資產(chǎn)的市場價值。3.14收益現(xiàn)值法presentincomevaluemethod進(jìn)行數(shù)據(jù)資產(chǎn)價值評估的基本思路是將被評估的數(shù)據(jù)資產(chǎn)在有效使用期限內(nèi)預(yù)期的收益，根據(jù)一定的折現(xiàn)率將其折算到當(dāng)前條件下得到的結(jié)果。3.15期權(quán)定價法optionValuation綜合考量內(nèi)在價值和時間價值兩個因素進(jìn)行數(shù)據(jù)資產(chǎn)定價，期權(quán)定價模型使用多種因素來評估期權(quán)價格，包括標(biāo)的資產(chǎn)的未來表現(xiàn)、期權(quán)期限以及期權(quán)價格的過去表現(xiàn)等。3.16權(quán)識計量法assetownershipmarkmeasuremethod以區(qū)塊鏈技術(shù)對數(shù)據(jù)資產(chǎn)一比一映射形成權(quán)識，以權(quán)識的市場價格對數(shù)據(jù)資產(chǎn)進(jìn)行定價。4縮略語下列縮略語適用于本文件。API：應(yīng)用程序編程接口（ApplicationProgrammingInterface）SDK：軟件開發(fā)工具包（SoftwareDevelopmentKit）5評估過程5.1準(zhǔn)備評估活動應(yīng)該在取得客戶明確授權(quán)后啟動，該授權(quán)應(yīng)該是一份明確的書面授權(quán)。被評估數(shù)據(jù)包應(yīng)該是一個具有確定邊界的靜態(tài)數(shù)據(jù)包（含有可能危害國家安全、公共安全、經(jīng)濟(jì)安全和社會穩(wěn)定等重要數(shù)據(jù)的，必須參照《中華人民共和國數(shù)據(jù)安全法》等法律法規(guī)處理數(shù)據(jù)包的確定應(yīng)該采用hash鎖定技術(shù)或區(qū)塊鏈存證技術(shù)完成。被評估數(shù)據(jù)包應(yīng)該是被評估機(jī)構(gòu)合法擁有或控制的數(shù)據(jù)集，宜完成數(shù)據(jù)確權(quán)，且已經(jīng)通過合法、安全手段傳輸?shù)皆u估機(jī)構(gòu)。5.1.1評估方案制定評估準(zhǔn)備階段應(yīng)首先制訂評估方案，評估方案的制訂是一個不斷確認(rèn)的過程，至少應(yīng)完成以下工作內(nèi)容的確認(rèn)：a)評估團(tuán)隊1）應(yīng)完成評估團(tuán)隊的組建，包括評估實施機(jī)構(gòu)團(tuán)隊人員數(shù)量、專業(yè)組成以及與被評估機(jī)構(gòu)的溝通機(jī)制的確認(rèn)等。4T/SZBA003—20232）評估團(tuán)隊?wèi)?yīng)包含組長1名、副組長1名，組員（相關(guān)領(lǐng)域業(yè)務(wù)專家）若干名，其中組長原則上應(yīng)有高級職稱（或經(jīng)驗技能相當(dāng)于高級職稱），在數(shù)據(jù)領(lǐng)域工作經(jīng)驗不少于8年；副組長原則上應(yīng)有中級以上職稱（或經(jīng)驗技能相當(dāng)于中級職稱在數(shù)據(jù)領(lǐng)域工作經(jīng)驗不少于5年。3）評估團(tuán)隊成員應(yīng)具備可支撐評估開展的數(shù)學(xué)、計算機(jī)、金融、法律、工程技術(shù)、安全管理、業(yè)務(wù)規(guī)則等方面的相關(guān)專業(yè)知識和技能，以及數(shù)據(jù)資產(chǎn)評估定價的專業(yè)知識和實踐經(jīng)驗，可承擔(dān)相關(guān)的評估和配合工作。4）評估團(tuán)隊開展數(shù)據(jù)資產(chǎn)評估定價業(yè)務(wù)，應(yīng)當(dāng)獨立進(jìn)行分析和估算并形成專業(yè)意見，拒絕委托人或者其他相關(guān)當(dāng)事人的干預(yù)，不得直接以預(yù)先設(shè)定的價值作為評估結(jié)論。b)評估范圍1）應(yīng)根據(jù)評估目的和評估對象來確定評估內(nèi)容的邊界。2）在某些情況下，評估對象可能不是一個特定的組織機(jī)構(gòu)，而是某些數(shù)據(jù)、某個項目、某個業(yè)務(wù)、某筆交易、某個信息系統(tǒng)或是一個數(shù)據(jù)處理的生命周期等。數(shù)據(jù)處理生命周期可能跨越組織、業(yè)務(wù)、系統(tǒng)等。3）評估范圍根據(jù)委托方具體需求確定，可包括組織范圍、物理地域范圍、項目范圍、業(yè)務(wù)流程和業(yè)務(wù)活動范圍、信息系統(tǒng)和技術(shù)工具范圍、人員范圍、數(shù)據(jù)范圍、時間范圍等維度。c)評估依據(jù)1）應(yīng)根據(jù)評估目的確定評估依據(jù)。2）包括適用的國家相關(guān)法律法規(guī)、監(jiān)管規(guī)定、行業(yè)準(zhǔn)則和國際條約、規(guī)則，以及相關(guān)國際、國家及行業(yè)標(biāo)準(zhǔn)等。d)評估進(jìn)度1）應(yīng)對評估進(jìn)度進(jìn)行預(yù)期規(guī)劃，包括準(zhǔn)備、審核、分析階段的時間及里程碑安排。2）以便參與各方預(yù)留時間和資源參與評估工作，保障評估活動的實施效率。e)評估風(fēng)險1）應(yīng)對評估活動可能引入的風(fēng)險及其影響進(jìn)行分析。2）評估風(fēng)險可包括審查活動對信息泄密的風(fēng)險、測試掃描活動對業(yè)務(wù)運(yùn)行和數(shù)據(jù)正確性的影響、評估工作自身的局限性及約束等。3）應(yīng)采用最小影響原則并給出應(yīng)對措施。5.1.2以上內(nèi)容應(yīng)與評估活動管理單位充分溝通，制定成文檔化的評估方案并獲得批準(zhǔn)和實施授權(quán)。5.1.3評估對象調(diào)研應(yīng)對被評估機(jī)構(gòu)進(jìn)行充分的調(diào)研，充分了解評估對象，作為后續(xù)評估工作的基礎(chǔ)。宜通過現(xiàn)場調(diào)查及發(fā)放調(diào)查單的形式來對評估對象進(jìn)行調(diào)研。調(diào)研應(yīng)包括如下內(nèi)容：a)業(yè)務(wù)運(yùn)營模式1）評估對象涉及的業(yè)務(wù)范圍。2）評估對象涉及的業(yè)務(wù)內(nèi)容。3）評估對象涉及的業(yè)務(wù)模式。4）評估對象與外部組織機(jī)構(gòu)合作的情況。5）評估對象在行業(yè)可能的內(nèi)潛在應(yīng)用場景。b)數(shù)據(jù)處理活動1）處理數(shù)據(jù)的類型、流程、規(guī)模。2）數(shù)據(jù)收集、存儲、使用、加工、傳輸、提供、公開、刪除等全生命周期處理活動的情況。T/SZBA003—20233）評估對象在處理數(shù)據(jù)的角色和地位。c)管理制度及落實1）評估對象的數(shù)據(jù)管理組織架構(gòu)。2）評估對象的管理制度。3）評估對象的技術(shù)措施。4）評估對象的網(wǎng)絡(luò)安全等級保護(hù)。5）評估對象的培訓(xùn)教育等情況。d)處罰及整改1）評估對象及其所在組織涉及的數(shù)據(jù)資產(chǎn)的投訴、行政處罰、訴訟、仲裁。2）以往資產(chǎn)管理相關(guān)測評和數(shù)據(jù)資產(chǎn)評估的整改和糾正措施情況。5.1.4評估資料收集應(yīng)根據(jù)評估目的進(jìn)行對評估對象相關(guān)的數(shù)據(jù)資產(chǎn)資料收集，包括但不僅限于如下內(nèi)容：a)數(shù)據(jù)資產(chǎn)的信息屬性、法律屬性、價值屬性等。b)數(shù)據(jù)資產(chǎn)持有權(quán)、數(shù)據(jù)加工使用權(quán)、數(shù)據(jù)產(chǎn)品經(jīng)營權(quán)等權(quán)屬資料、數(shù)據(jù)資產(chǎn)信息要素、財務(wù)會計信息和其他資料并進(jìn)行核查驗證、分析整理和記錄。c)收集、存儲、處理數(shù)據(jù)的設(shè)備、人力成本，以及前期的研發(fā)成本等。d)與數(shù)據(jù)供應(yīng)商和第三方公司簽訂的協(xié)議、合同、文件范本和實例以及對供應(yīng)商的審查文件。e)業(yè)務(wù)介紹、分支機(jī)構(gòu)及股權(quán)架構(gòu)、所在組織的營業(yè)執(zhí)照以及相關(guān)行業(yè)的經(jīng)營許可。f)與數(shù)據(jù)資產(chǎn)相關(guān)的訴訟、仲裁和被執(zhí)法機(jī)關(guān)調(diào)查和處罰的相關(guān)文件，包括約談、調(diào)查通知、處罰通知、判決書等。g)評估人員可通過對公開信息進(jìn)行查詢的方式獲取評估對象的相關(guān)信息，以對收到的資料進(jìn)行印證和補(bǔ)充。查詢渠道可包括：1)國家企業(yè)信用信息公示系統(tǒng)、信息產(chǎn)業(yè)主管部門網(wǎng)站、各地行業(yè)主管部門網(wǎng)站、國家及地方網(wǎng)信部門網(wǎng)站以及執(zhí)行和裁判信息公開網(wǎng)站等。2)可利用公共或?qū)Ｓ镁W(wǎng)絡(luò)搜索引擎對被評估對象散布在互聯(lián)網(wǎng)或?qū)Ｓ镁W(wǎng)絡(luò)上的相關(guān)信息進(jìn)行查閱整理。必要時，可根據(jù)實際評估情況，要求被評估方補(bǔ)充資料。5.2審核5.2.1文檔審查評估人員應(yīng)對在收集資料過程中收到的相關(guān)文件進(jìn)行逐一審查，以評估相關(guān)制度、文件及落實情況是否符合評估依據(jù)的相關(guān)要求。必要時，作為文檔審查和安全檢測結(jié)果的補(bǔ)充，可對被評估對象涉及的相關(guān)人員進(jìn)行訪談，以核實評估對象數(shù)據(jù)資產(chǎn)的實際情況。訪談可以采取交流、討論、詢問等形式，訪談對象可視情況包含如下人員：a)信息系統(tǒng)研發(fā)人員、產(chǎn)品經(jīng)理和業(yè)務(wù)設(shè)計人員。b)組織內(nèi)部的業(yè)務(wù)負(fù)責(zé)人、技術(shù)負(fù)責(zé)人、數(shù)據(jù)管理負(fù)責(zé)人以及法律合規(guī)負(fù)責(zé)人。c)網(wǎng)絡(luò)、應(yīng)用和數(shù)據(jù)運(yùn)維人員以及信息安全管理人員。d)系統(tǒng)及數(shù)據(jù)的運(yùn)營人員。5.3分析6T/SZBA003—20235.3.1數(shù)據(jù)資產(chǎn)確權(quán)分析在執(zhí)行分析過程時，需要根據(jù)數(shù)據(jù)資產(chǎn)評估委托方的需求進(jìn)行數(shù)據(jù)資產(chǎn)確權(quán)分析。a)接收數(shù)據(jù)資產(chǎn)的使用請求，包括使用者權(quán)識和使用期限，并確定數(shù)據(jù)資產(chǎn)對應(yīng)的使用權(quán)統(tǒng)計周b)使用期限可以跨越一個或多個周期。c)使用者權(quán)識通過區(qū)塊鏈確定數(shù)據(jù)資產(chǎn)使用者在一個或多個周期內(nèi)擁有的使用權(quán)配額，并評估這些配額是否足夠。d)數(shù)據(jù)資產(chǎn)使用者在一個周期內(nèi)擁有的使用權(quán)配額與其對數(shù)據(jù)資產(chǎn)擁有的所有權(quán)比例相關(guān)。e)如果使用權(quán)配額足夠，通過區(qū)塊鏈將指定數(shù)據(jù)資產(chǎn)的使用權(quán)分配給使用者。f)實現(xiàn)數(shù)據(jù)資產(chǎn)使用者對共享數(shù)據(jù)資產(chǎn)的使用進(jìn)行監(jiān)督和保護(hù)，并在出現(xiàn)問題時追究責(zé)任。5.3.2數(shù)據(jù)資產(chǎn)授權(quán)分析在執(zhí)行分析過程時，需要根據(jù)數(shù)據(jù)資產(chǎn)評估委托方的需求進(jìn)行數(shù)據(jù)資產(chǎn)授權(quán)分析。a)使用基于區(qū)塊鏈的數(shù)據(jù)資產(chǎn)授權(quán)裝置：1)信息獲取單元：獲取目標(biāo)數(shù)據(jù)資產(chǎn)的托管信息。2)憑證確定單元：為目標(biāo)數(shù)據(jù)資產(chǎn)使用者的賬戶指定第一數(shù)量目標(biāo)憑證，用于流轉(zhuǎn)。3)合約發(fā)布單元：向區(qū)塊鏈發(fā)布第一智能合約。b)針對目標(biāo)數(shù)據(jù)資產(chǎn)賬戶，通過轉(zhuǎn)賬交易來轉(zhuǎn)移一個或多個目標(biāo)憑證，以指定第一數(shù)量目標(biāo)憑證用于流轉(zhuǎn)。c)發(fā)布第一智能合約到區(qū)塊鏈，第一智能合約執(zhí)行的第一預(yù)定事務(wù)是：當(dāng)?shù)谝粩?shù)據(jù)資產(chǎn)賬戶持有的目標(biāo)憑證的當(dāng)前數(shù)量達(dá)到第二數(shù)量時，生成授權(quán)信息并將其存儲至區(qū)塊鏈。授權(quán)信息包括資源描述信息和第一指示信息，第一指示信息用于指示持有第一數(shù)據(jù)資產(chǎn)賬戶的第一交易的發(fā)起方的第一用戶賬戶具有目標(biāo)資源的使用權(quán)。5.3.3數(shù)據(jù)資產(chǎn)定價分析在執(zhí)行分析過程時，需要考慮到數(shù)據(jù)資產(chǎn)不具備實物形態(tài)，且具有非貨幣性質(zhì)，符合無形資產(chǎn)特性。為完成數(shù)據(jù)資產(chǎn)的定價分析，可以綜合運(yùn)用重置成本法、市場價值法、收益現(xiàn)值法、期權(quán)定價法和權(quán)識計量法等一種或多種定價分析方式，根據(jù)無形資產(chǎn)的價值評估方法對數(shù)據(jù)資產(chǎn)進(jìn)行定價。5.3.4問題和風(fēng)險在執(zhí)行審核過程中，應(yīng)對審核的實際情況進(jìn)行及時記錄，對發(fā)現(xiàn)的問題形成問題記錄，并對問題可能產(chǎn)生的風(fēng)險進(jìn)行分析。問題記錄應(yīng)包括如下內(nèi)容：a)問題事實的描述，包括所在業(yè)務(wù)、違規(guī)事實和發(fā)生場景等。b)違反的內(nèi)部制度名稱及條款。c)違反的評估依據(jù)的名稱及條款。d)問題可能引起的風(fēng)險或處罰后果。e)必要時，問題的嚴(yán)重性級別。5.3.5整改計劃必要時，評估人員可協(xié)助評估對象所在組織針對問題進(jìn)行整改計劃的制定。整改計劃應(yīng)包括：a)問題的描述或識別信息。b)工作建議與整改措施。7T/SZBA003—2023c)責(zé)任方或落實方。d)整改有效性的驗證方。e)計劃完成期限。5.4評價5.4.1評估報告評估工作完成后，應(yīng)形成數(shù)據(jù)資產(chǎn)評估定價報告，報告應(yīng)包括如下內(nèi)容：a)評估背景：描述評估的目的。b)評估聲明：評估結(jié)果的適用范圍、約束、假設(shè)以及免責(zé)聲明。c)評估依據(jù)：評估所依賴的法律法規(guī)、相關(guān)標(biāo)準(zhǔn)或文件。d)評估范圍：評估對象的組成和評估內(nèi)容和指標(biāo)的描述。e)評估流程：評估實施活動的過程性描述。f)評估結(jié)論：在充分審核的基礎(chǔ)上，對評估對象的數(shù)據(jù)資產(chǎn)情況進(jìn)行客觀、公正的結(jié)論性總結(jié)，可包括：1)數(shù)據(jù)資產(chǎn)評估定價總結(jié)。2)數(shù)據(jù)處理業(yè)務(wù)活動的評估總結(jié)。3)數(shù)據(jù)資產(chǎn)定價分析的評估總結(jié)。4)管理措施及落實情況的評估總結(jié)。5)技術(shù)保障措施及落實情況的評估總結(jié)。6)發(fā)現(xiàn)問題及存在風(fēng)險情況總結(jié)。7)適用時，針對之前的數(shù)據(jù)資產(chǎn)定價、網(wǎng)絡(luò)、審查、測評、評估、行政調(diào)查中發(fā)現(xiàn)問題的整改及落實情況的總結(jié)。8)必要時，給予評估對象問題整改及后續(xù)持續(xù)改進(jìn)的意見和建議。9)評估結(jié)論有效期（最長不應(yīng)該超過1年）。5.4.2專項意見基于特定目的的數(shù)據(jù)資產(chǎn)評估定價，可按被評估對象所在組織的要求出具專項分析意見，如：a)數(shù)據(jù)資產(chǎn)的使用權(quán)。b)數(shù)據(jù)資產(chǎn)的成本。c)是否采用成本法、收益法、市場法、期權(quán)定價法、權(quán)識計量法等。d)是否考量數(shù)據(jù)被引用次數(shù)、司法及社會公益價值等。5.4.3備忘錄基于特定目的的數(shù)據(jù)資產(chǎn)評估定價，如發(fā)現(xiàn)涉及重大問題，可能對特定目的的達(dá)成產(chǎn)生直接影響，可以備忘錄的形式進(jìn)行重大問題說明和風(fēng)險揭示，以供評估對象所在組織快速了解問題并引起重視，更有針對性的實施整改并提高效率。6評估內(nèi)容6.1業(yè)務(wù)運(yùn)營模式6.1.1處理模式應(yīng)對評估對象或所在組織的業(yè)務(wù)模式、業(yè)務(wù)流程進(jìn)行充分識別，包括：a)組織與客戶、供應(yīng)商和其它合作方的模式（提供方、接收方、共同處理等）。8T/SZBA003—2023b)組織在數(shù)據(jù)處理或是交易鏈中所處的角色（收集方、使用方、交易中介方等）。c)組織是數(shù)據(jù)處理平臺的建設(shè)者還是運(yùn)營者，或兩者兼有。不同的業(yè)務(wù)模式及角色對于數(shù)據(jù)資產(chǎn)的要求不同，評估方應(yīng)根據(jù)識別的結(jié)果來選取后續(xù)的評估內(nèi)容。6.1.2系統(tǒng)平臺應(yīng)對評估對象數(shù)據(jù)處理所依附的信息系統(tǒng)和網(wǎng)絡(luò)資產(chǎn)進(jìn)行識別，形成系統(tǒng)資產(chǎn)清單。包括各類應(yīng)用系統(tǒng)、網(wǎng)站、移動App、小程序、云平臺、區(qū)塊鏈等網(wǎng)絡(luò)系統(tǒng)，以決定安全檢測等評估所覆蓋的范圍。6.2數(shù)據(jù)處理主體6.2.1處理資質(zhì)應(yīng)對評估對象所在組織的行政許可及相關(guān)證照的完備性、運(yùn)營主體的一致性、授權(quán)范圍、資質(zhì)有效期限與實際數(shù)據(jù)處理相關(guān)活動的匹配性以及質(zhì)量管理體系的健全性進(jìn)行審查。如營業(yè)執(zhí)照、增值電信業(yè)務(wù)經(jīng)營許可證、在線數(shù)據(jù)與交易處理業(yè)務(wù)許可證、網(wǎng)絡(luò)文化經(jīng)營許可證、網(wǎng)絡(luò)出版服務(wù)許可證、信息網(wǎng)絡(luò)傳播視聽節(jié)目許可證、互聯(lián)網(wǎng)藥品信息服務(wù)資格證、質(zhì)量管理體系認(rèn)證等相關(guān)的許可和認(rèn)證范圍。6.2.2委托處理委托方評估對象委托外部機(jī)構(gòu)處理數(shù)據(jù)時，應(yīng)對如下內(nèi)容進(jìn)行審核：a)建立數(shù)據(jù)資產(chǎn)評估、定價分析、個人信息安全影響評估制度的情況。b)對受托方的資格審查的相關(guān)記錄。包括行政許可、授權(quán)范圍、質(zhì)量管理體系等。c)與受托方簽訂的數(shù)據(jù)處理合同或協(xié)議的效力及內(nèi)容。包括依照評估依據(jù)要求和合同約定履行數(shù)據(jù)管理要求、數(shù)據(jù)處理目的、處理期限、處理方式、信息種類、保護(hù)措施、處理地點、銷毀、轉(zhuǎn)委托處理、分享以及雙方的權(quán)利和義務(wù)等。d)對受托方數(shù)據(jù)處理過程的監(jiān)督記錄。包括履行數(shù)據(jù)保護(hù)義務(wù)情況、處理方式及處理地點的正確性、是否進(jìn)行超出目的處理、處理后數(shù)據(jù)的刪除和銷毀情況等。e)涉及處理個人信息的，委托前進(jìn)行個人信息安全影響評估的實施記錄并保存情況，個人信息安全影響評估活動應(yīng)依據(jù)GB/T39335—2020開展。受托方評估對象為數(shù)據(jù)處理的受托方時，應(yīng)對如下內(nèi)容進(jìn)行審核：a)必要時，對委托方的資格審查的相關(guān)記錄，包括行政許可、授權(quán)范圍、質(zhì)量管理體系等。b)委托合同或協(xié)議中委托方確保數(shù)據(jù)來源合法的承諾和違約賠償責(zé)任。c)受托方依照評估依據(jù)要求和合同約定履行數(shù)據(jù)安全保護(hù)義務(wù)，不超出約定范圍處理方式和處理d)相關(guān)情況下（如合同無效、中止、處理完成后等）數(shù)據(jù)的返還、刪除、銷毀的相關(guān)實施和確認(rèn)記錄。6.2.3共同處理評估對象為數(shù)據(jù)的共同處理方時，應(yīng)對如下內(nèi)容進(jìn)行審核：a)自主決定數(shù)據(jù)處理目的及處理方式的主體資格。b)共同處理數(shù)據(jù)各方的權(quán)利、義務(wù)的約定。c)依法承擔(dān)相關(guān)法律責(zé)任的約定。9T/SZBA003—20236.2.4主體變更轉(zhuǎn)移評估對象在數(shù)據(jù)處理過程中發(fā)生合并、分立、解散、破產(chǎn)等變化導(dǎo)致數(shù)據(jù)處理的主體發(fā)生轉(zhuǎn)移時，應(yīng)對如下內(nèi)容進(jìn)行審核：a)通知數(shù)據(jù)來源數(shù)據(jù)（可能為組織或個人），處理方發(fā)生變化的相關(guān)信息（名稱/姓名、聯(lián)系方式等）。b)涉及處理個人信息的，若處理目的和方式發(fā)生變化，重新取得個人同意的相關(guān)證據(jù)。6.3數(shù)據(jù)處理活動6.3.1數(shù)據(jù)資源合規(guī)應(yīng)對數(shù)據(jù)資源來源的合規(guī)情況進(jìn)行評估，內(nèi)容包括：a)數(shù)據(jù)資源來源應(yīng)符合合法、正當(dāng)、必要、誠信原則。b)數(shù)據(jù)資源應(yīng)告知用戶并獲得用戶授權(quán)或依法無需獲得授權(quán)。c)數(shù)據(jù)資源的授權(quán)應(yīng)覆蓋擬進(jìn)行的數(shù)據(jù)處理活動。6.3.2處理過程收集應(yīng)對收集數(shù)據(jù)的情況進(jìn)行評估，內(nèi)容包括：a)收集信息的合法性基礎(chǔ)，相關(guān)資質(zhì)、行政許可、授權(quán)等。是否收集與其提供的服務(wù)無關(guān)的個人信息，是否違反評估依據(jù)要求和雙方的約定收集、使用個人信息。b)收集個人信息的授權(quán)同意情況，宜參照GB/T35272—20205.4、GB/T41479—20225.2以及評估依據(jù)要求開展。c)收集信息行為的正當(dāng)、必要性，宜參照GB/T35273—20225.1、5.2以及評估依據(jù)進(jìn)行審核。包括：1)用戶授權(quán)（告知—同意）使用的展示時機(jī)、形式（顯著、醒目、非默認(rèn)同意）和內(nèi)容的規(guī)范性。2)收集內(nèi)容應(yīng)當(dāng)與處理目的直接相關(guān)，采取對個人權(quán)益影響最小的方式，限于實現(xiàn)處理目的的最小范圍，不過度收集個人信息。3)應(yīng)用系統(tǒng)實際收集內(nèi)容與其宣稱的隱私政策、用戶協(xié)議等內(nèi)容的一致性。存儲應(yīng)對數(shù)據(jù)的存儲情況進(jìn)行評估，內(nèi)容包括：a)對數(shù)據(jù)及其副本存儲所采取的安全措施，宜參照GB/T41479—20225.3以及評估依據(jù)要求進(jìn)行審核。審核項應(yīng)包括：1)技術(shù)保護(hù)措施的要求，如加密算法、訪問控制、安全審計、個人信息的匿名化等。2)存儲期限，符合評估依據(jù)要求、合同和用戶約定的有效期限。3)對重要系統(tǒng)和數(shù)據(jù)庫進(jìn)行容災(zāi)備份。b)數(shù)據(jù)及其副本的存儲地點滿足數(shù)據(jù)本地化存儲和分布式存儲的評估依據(jù)要求的情況。c)必要時，可使用第三方機(jī)構(gòu)提供的數(shù)據(jù)存證服務(wù)，保證數(shù)據(jù)的真實性和完整性。使用、加工應(yīng)對數(shù)據(jù)的使用和加工情況進(jìn)行評估，內(nèi)容包括：T/SZBA003—2023a)數(shù)據(jù)的使用和加工獲得相關(guān)方的授權(quán)文件并符合評估依據(jù)要求的證明。b)數(shù)據(jù)實際使用、加工的方式和范圍符合約定。c)未涉及相關(guān)規(guī)定禁止的數(shù)據(jù)使用和加工，如未獲得用戶授權(quán)、用戶已撤回同意、歧視性的營銷策略、違反道德倫理等情況。傳輸、提供應(yīng)對數(shù)據(jù)的傳輸和提供情況進(jìn)行評估，內(nèi)容包括：a)數(shù)據(jù)提供和接收方的審核，應(yīng)符合本標(biāo)準(zhǔn)7.2.1的要求。b)數(shù)據(jù)傳輸和提供的安全措施和協(xié)議約定，宜參照GB/T41479—20225.6-5.7以及法律和相關(guān)行業(yè)要求進(jìn)行審核。c)涉及第三方SDK或API的，應(yīng)對SDK組件或API接口進(jìn)行安全檢測，評估是否存在已知的安全漏洞以及可能引起數(shù)據(jù)泄露或未授權(quán)的數(shù)據(jù)使用的行為。d)利用個人信息和個性化推送算法向用戶提供信息的，須對推送信息的真實性、準(zhǔn)確性以及來源合法性負(fù)責(zé)，并符合以下要求：1）收集個人信息用于個性化推薦時，應(yīng)取得個人單獨同意；2）設(shè)置易于理解、便于訪問和操作的一鍵關(guān)閉個性化推薦選項，允許用戶拒絕接受定向推送信息，允許用戶重置、修改、調(diào)整針對其個人特征的定向推送參數(shù)；3）允許個人刪除定向推送信息服務(wù)收集產(chǎn)生的個人信息，法律、行政法規(guī)另有規(guī)定或者與用戶另有約定的除外。e)向其他個人信息處理者提供其處理的個人信息的，應(yīng)當(dāng)向個人告知接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式和個人信息的種類，并取得個人的單獨同意。f)涉及數(shù)據(jù)交易活動時：1）數(shù)據(jù)供方、數(shù)據(jù)需方、數(shù)據(jù)服務(wù)機(jī)構(gòu)應(yīng)符合GB/T37932—20195的相關(guān)要求；2）交易的數(shù)據(jù)對象應(yīng)符合GB/T37932—20196的相關(guān)要求；3）交易的過程應(yīng)符合GB/T37932—20197的相關(guān)要求；4）應(yīng)對數(shù)據(jù)交易中介服務(wù)的機(jī)構(gòu)留存的交易雙方的審查、交易記錄進(jìn)行審核。公開應(yīng)對評估對象的數(shù)據(jù)公開行為進(jìn)行評估，包括：a)公開前的影響評估情況。如是否對危害國家安全、公共安全、經(jīng)濟(jì)安全和社會穩(wěn)定造成影響。b)必要時，數(shù)據(jù)公開行為和內(nèi)容是否取得了相關(guān)單位的許可和授權(quán)。c)處理已公開的個人信息，對個人權(quán)益有重大影響的，應(yīng)按評估依據(jù)要求取得個人同意。刪除、匿名化應(yīng)對評估對象刪除數(shù)據(jù)和用戶注銷后的匿名化處理情況進(jìn)行評估，內(nèi)容包括：a)對符合GB/T41479—20225.13、GB/T35273—20208.3、8.5和評估依據(jù)要求的數(shù)據(jù)進(jìn)行刪除或匿名化處理的處理記錄，評估方應(yīng)從處理的內(nèi)容、數(shù)據(jù)量、及時性等方面進(jìn)行審查。b)適用時，APP提供的用戶注銷用戶的方式，宜參照GB/T35273—20208.5的要求進(jìn)行審核。c)處理范圍包括數(shù)據(jù)本身及其全部副本。d)處理后的數(shù)據(jù)無法或不再繼續(xù)參與數(shù)據(jù)處理與加工的證明。T/SZBA003—2023e)適用時，拒絕刪除或注銷用戶給出反饋的情況，應(yīng)包括：1)通知的告知渠道，如APP通知、短信、郵件等。2)拒絕理由，如依據(jù)的法律法規(guī)、行業(yè)監(jiān)管要求等。3)投訴渠道和途徑。6.4管理措施及落實6.4.1責(zé)任人與責(zé)任機(jī)構(gòu)應(yīng)對評估對象所在組織的數(shù)據(jù)資產(chǎn)管理責(zé)任人和組織架構(gòu)進(jìn)行評估，內(nèi)容包括：a)責(zé)任人，包括背景審查、工作職責(zé)、績效考核、履行其對應(yīng)的工作職能的相關(guān)工作記錄等?？蓞⒄誈B/T41479—20226.1、6.2的要求進(jìn)行審核。個人信息處理者應(yīng)公開個人信息保護(hù)負(fù)責(zé)人的聯(lián)系方式，并將個人信息保護(hù)負(fù)責(zé)人的姓名、聯(lián)系方式等報送履行個人信息保護(hù)職責(zé)的部注：履行個人信息保護(hù)職責(zé)的部門包括：國家網(wǎng)信部門和縣級以上地方人b)責(zé)任機(jī)構(gòu)，包括機(jī)構(gòu)的崗職位設(shè)置、運(yùn)行經(jīng)費(fèi)、獨立性以及開展相關(guān)工作的運(yùn)行記錄等。6.4.2數(shù)據(jù)管理措施應(yīng)對評估對象所在組織的數(shù)據(jù)資產(chǎn)管理措施的完整性、一致性、可行性、依從性等方面進(jìn)行評估，評估內(nèi)容可包括：a)管理體系，包括總體要求、機(jī)構(gòu)設(shè)置及職責(zé)、基本原則等。b)處理流程管理，包括數(shù)據(jù)收集、使用、傳輸、提供、存儲、刪除等管理要求。c)數(shù)據(jù)分類分級管理：1)劃分?jǐn)?shù)據(jù)類別、級別的原則及對應(yīng)采取管理和技術(shù)措施的要求。2)適用時，個人信息按敏感程度的分類及保護(hù)措施。d)網(wǎng)絡(luò)及數(shù)據(jù)安全風(fēng)險評估及報送機(jī)制，按相關(guān)要求定期開展風(fēng)險評估并報送或公布結(jié)果的相并規(guī)定。e)數(shù)據(jù)安全風(fēng)險管理機(jī)制，包括開展數(shù)據(jù)安全風(fēng)險評估、報告、共享、預(yù)警檢測等機(jī)制。f)網(wǎng)絡(luò)及數(shù)據(jù)安全應(yīng)急預(yù)案，發(fā)現(xiàn)信息安全事件時，啟動應(yīng)急預(yù)案、采取補(bǔ)救措施、向主管部門報告、定期實施應(yīng)急演練等措施。可參照GB/T41479—20226.3的要求進(jìn)行審核。g)投訴、舉報制度，接受網(wǎng)絡(luò)信息安全投訴、舉報并及時處理、反饋的機(jī)制。h)網(wǎng)絡(luò)安全審查，適用時，制定并落實網(wǎng)絡(luò)安全審查相關(guān)的管理制度和程序。i)個人信息管理，包括：1)對個人信息訪問和操作權(quán)的要求。2)定期進(jìn)行個人信息合規(guī)審計的要求。3)適用時，對個人信息安全影響評估的要求。4)適用時，對未成年人和兒童信息保護(hù)的管理要求。5)員工個人信息保護(hù)，如對員工的簡歷、體檢信息、生物識別信息的以及雇傭外籍員工的信息保護(hù)的規(guī)定。6.4.3數(shù)據(jù)管理技術(shù)措施應(yīng)對評估對象的數(shù)據(jù)資產(chǎn)安全保護(hù)的技術(shù)措施落實情況進(jìn)行評估，內(nèi)容可包括：a)定期的安全檢測，包括網(wǎng)絡(luò)、主機(jī)、應(yīng)用等層面的安全掃描和安全配置的檢測。T/SZBA003—2023b)采取監(jiān)測、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照評估依據(jù)要求留存相關(guān)的網(wǎng)絡(luò)日志情況。c)防御措施，防范計算機(jī)病毒、網(wǎng)絡(luò)攻擊等危害網(wǎng)絡(luò)安全行為的措施有效性檢測。d)數(shù)據(jù)備份，包括備份的內(nèi)容、范圍、形式（全備份、增量備份、差分備份等）、備份地點（本地、異地）、備份及時性以及備份有效性驗證等。e)加密，包括加密的內(nèi)容、算法的強(qiáng)度、算法的使用（如必須使用國密算法的場景）、密鑰的管理措施等。f)去標(biāo)識化，適用時，對個人信息去標(biāo)識化的情況，宜參照GB/T37964—20195、6部分的要求進(jìn)行審核。g)訪問控制，數(shù)據(jù)訪問和操作前對訪問者進(jìn)行鑒別與授權(quán)的記錄和檢測。h)監(jiān)控和預(yù)警記錄，對網(wǎng)絡(luò)和應(yīng)用運(yùn)行狀態(tài)、操作的監(jiān)