數(shù)據(jù)資產(chǎn)發(fā)現(xiàn)制度第一章總則第一條本制度依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護(hù)法》等相關(guān)國家法律法規(guī)，參照行業(yè)數(shù)據(jù)資產(chǎn)管理的先進(jìn)實踐標(biāo)準(zhǔn)，結(jié)合公司數(shù)字化發(fā)展戰(zhàn)略及內(nèi)部風(fēng)險防控需求，為規(guī)范數(shù)據(jù)資產(chǎn)全生命周期管理，明確各級組織與人員的職責(zé)權(quán)限，防范數(shù)據(jù)安全風(fēng)險，提升數(shù)據(jù)資產(chǎn)價值應(yīng)用，特制定本制度。第二條本制度適用于公司各部門、下屬單位及全體員工，涵蓋公司經(jīng)營管理的全部場景，包括但不限于業(yè)務(wù)系統(tǒng)數(shù)據(jù)采集、存儲、傳輸、使用、共享、銷毀等環(huán)節(jié)，以及數(shù)據(jù)資產(chǎn)盤點、評估、應(yīng)用、監(jiān)管等全流程管理。第三條本制度中下列術(shù)語含義：（一）“數(shù)據(jù)資產(chǎn)專項管理”是指公司為實現(xiàn)數(shù)據(jù)資產(chǎn)價值最大化，通過制度規(guī)范、技術(shù)保障、組織協(xié)同等方式，對數(shù)據(jù)資產(chǎn)的合規(guī)性、安全性、可用性及價值應(yīng)用進(jìn)行系統(tǒng)性管控的活動。（二）“數(shù)據(jù)安全風(fēng)險”是指因數(shù)據(jù)管理不善、技術(shù)漏洞、人為操作失誤或外部攻擊等原因，導(dǎo)致數(shù)據(jù)泄露、篡改、丟失、濫用或服務(wù)中斷，可能引發(fā)的法律責(zé)任、經(jīng)濟(jì)損失或聲譽損害等潛在威脅。（三）“數(shù)據(jù)合規(guī)”是指公司在數(shù)據(jù)采集、處理、傳輸、共享等過程中，嚴(yán)格遵守國家法律法規(guī)及行業(yè)監(jiān)管要求，保障數(shù)據(jù)主體合法權(quán)益，避免違法違規(guī)行為。第四條數(shù)據(jù)資產(chǎn)專項管理應(yīng)遵循以下原則：（一）全面覆蓋原則。確保公司所有數(shù)據(jù)資產(chǎn)納入管理體系，實現(xiàn)全流程、全要素、全覆蓋的管控。（二）責(zé)任到人原則。明確各級組織及人員的職責(zé)權(quán)限，建立“誰主管誰負(fù)責(zé)、誰使用誰負(fù)責(zé)”的責(zé)任體系。（三）風(fēng)險導(dǎo)向原則。聚焦高風(fēng)險領(lǐng)域與環(huán)節(jié)，優(yōu)先配置資源，實施差異化管控措施。（四）持續(xù)改進(jìn)原則。定期評估管理有效性，動態(tài)優(yōu)化制度流程與技術(shù)手段，適應(yīng)內(nèi)外部環(huán)境變化。第二章管理組織機(jī)構(gòu)與職責(zé)第五條公司主要負(fù)責(zé)人對公司數(shù)據(jù)資產(chǎn)專項管理負(fù)總責(zé)，統(tǒng)籌決策、資源保障及整體風(fēng)險防控；分管領(lǐng)導(dǎo)為直接責(zé)任人，負(fù)責(zé)具體組織協(xié)調(diào)、制度落實及監(jiān)督考核。第六條設(shè)立數(shù)據(jù)資產(chǎn)專項管理領(lǐng)導(dǎo)小組，由公司主要負(fù)責(zé)人牽頭，分管領(lǐng)導(dǎo)任副組長，各部門負(fù)責(zé)人、下屬單位代表及技術(shù)專家組成。領(lǐng)導(dǎo)小組職責(zé)包括：（一）統(tǒng)籌公司數(shù)據(jù)資產(chǎn)專項管理戰(zhàn)略與政策制定；（二）審批重大數(shù)據(jù)資產(chǎn)處置、共享及應(yīng)用決策；（三）監(jiān)督評估各層級管理責(zé)任落實情況；（四）協(xié)調(diào)跨部門、跨單位的數(shù)據(jù)資產(chǎn)協(xié)同管理。第七條成立數(shù)據(jù)資產(chǎn)專項管理辦公室（以下簡稱“辦公室”），掛靠在信息技術(shù)部，作為領(lǐng)導(dǎo)小組日常執(zhí)行機(jī)構(gòu)。辦公室主要職責(zé)包括：（一）制定、修訂并解釋本制度及配套實施細(xì)則；（二）組織開展數(shù)據(jù)資產(chǎn)盤點、分類分級及價值評估；（三）監(jiān)督技術(shù)防護(hù)措施落實，定期開展安全檢測；（四）受理數(shù)據(jù)安全事件，協(xié)調(diào)應(yīng)急響應(yīng)處置。第八條牽頭部門（信息技術(shù)部）職責(zé)：（一）統(tǒng)籌數(shù)據(jù)資產(chǎn)管理制度的宣貫與培訓(xùn)；（二）主導(dǎo)數(shù)據(jù)資產(chǎn)技術(shù)平臺建設(shè)與運維；（三）制定數(shù)據(jù)資產(chǎn)風(fēng)險監(jiān)測指標(biāo)體系；（四）定期向領(lǐng)導(dǎo)小組匯報管理進(jìn)展。第九條專責(zé)部門（合規(guī)部、法務(wù)部、內(nèi)審部）職責(zé)：（一）合規(guī)部負(fù)責(zé)數(shù)據(jù)合規(guī)性審核，監(jiān)督數(shù)據(jù)授權(quán)使用；（二）法務(wù)部負(fù)責(zé)數(shù)據(jù)資產(chǎn)法律風(fēng)險防控，參與爭議解決；（三）內(nèi)審部負(fù)責(zé)管理效果獨立評估，提出優(yōu)化建議。第十條業(yè)務(wù)部門/下屬單位職責(zé)：（一）落實本領(lǐng)域數(shù)據(jù)資產(chǎn)管理要求，開展日常風(fēng)險自查；（二）建立數(shù)據(jù)資產(chǎn)臺賬，明確數(shù)據(jù)采集、使用、銷毀等操作規(guī)范；（三）配合完成數(shù)據(jù)資產(chǎn)盤點與價值評估工作；（四）及時上報數(shù)據(jù)安全事件，落實整改措施。第十一條基層執(zhí)行崗責(zé)任：（一）嚴(yán)格遵守數(shù)據(jù)操作規(guī)程，簽署崗位合規(guī)承諾書；（二）發(fā)現(xiàn)數(shù)據(jù)異常或潛在風(fēng)險時，立即上報至直接主管；（三）參與數(shù)據(jù)安全培訓(xùn)，掌握應(yīng)急響應(yīng)基本流程。第三章專項管理重點內(nèi)容與要求第十二條數(shù)據(jù)資產(chǎn)盤點與確權(quán)管理應(yīng)建立動態(tài)更新的數(shù)據(jù)資產(chǎn)清單，明確數(shù)據(jù)類型、來源、持有部門、安全等級等要素，定期開展數(shù)據(jù)確權(quán)評估，防止資產(chǎn)流失或權(quán)屬不清。第十三條數(shù)據(jù)分類分級管控按數(shù)據(jù)敏感程度分為核心、重要、一般三級，實施差異化管控措施：核心數(shù)據(jù)僅授權(quán)少數(shù)人員訪問，重要數(shù)據(jù)需履行審批程序，一般數(shù)據(jù)僅作統(tǒng)計分析用途。第十四條數(shù)據(jù)采集與傳輸安全（一）業(yè)務(wù)操作合規(guī)標(biāo)準(zhǔn)：采集個人信息需取得明確授權(quán)，傳輸敏感數(shù)據(jù)必須加密處理；（二）禁止性行為：嚴(yán)禁通過即時通訊工具傳輸核心數(shù)據(jù)，禁止未授權(quán)跨網(wǎng)段傳輸；（三）風(fēng)險防控重點：防范數(shù)據(jù)采集過程中的“一充多錄”，監(jiān)控傳輸鏈路是否存在中間人攻擊。第十五條數(shù)據(jù)存儲與備份管理（一）合規(guī)標(biāo)準(zhǔn)：核心數(shù)據(jù)存儲應(yīng)采用高安全級別介質(zhì)，建立異地災(zāi)備機(jī)制；（二）禁止行為：嚴(yán)禁將敏感數(shù)據(jù)存儲在個人電腦或非監(jiān)管系統(tǒng)；（三）風(fēng)險防控：定期檢測存儲介質(zhì)物理安全，驗證備份有效性。第十六條數(shù)據(jù)共享與開放管理（一）合規(guī)標(biāo)準(zhǔn)：第三方共享需簽訂數(shù)據(jù)協(xié)議，明確使用范圍與期限；（二）禁止行為：嚴(yán)禁向無資質(zhì)單位提供核心數(shù)據(jù)，禁止以營利為目的擅自開放；（三）風(fēng)險防控：建立共享數(shù)據(jù)臺賬，實時監(jiān)控使用情況。第十七條數(shù)據(jù)銷毀與殘留清理（一）合規(guī)標(biāo)準(zhǔn)：永久銷毀前需經(jīng)業(yè)務(wù)部門確認(rèn)，技術(shù)部門監(jiān)督介質(zhì)物理銷毀；（二）禁止行為：禁止將已銷毀數(shù)據(jù)存儲在可恢復(fù)介質(zhì)，禁止銷毀記錄不完整；（三）風(fēng)險防控：使用專業(yè)銷毀工具，驗證殘留數(shù)據(jù)無法恢復(fù)。第十八條數(shù)據(jù)應(yīng)用與脫敏處理（一）合規(guī)標(biāo)準(zhǔn)：分析應(yīng)用需去除個人標(biāo)識，建立模型開發(fā)倫理審查機(jī)制；（二）禁止行為：嚴(yán)禁基于原始數(shù)據(jù)進(jìn)行用戶畫像營銷，禁止使用數(shù)據(jù)訓(xùn)練歧視性算法；（三）風(fēng)險防控：定期審計模型輸出結(jié)果，防止數(shù)據(jù)泄露或不當(dāng)使用。第十九條技術(shù)防護(hù)措施要求（一）合規(guī)標(biāo)準(zhǔn)：部署防火墻、入侵檢測系統(tǒng)，核心數(shù)據(jù)采用零信任架構(gòu)；（二）禁止行為：禁止未授權(quán)使用虛擬專用網(wǎng)絡(luò)（VPN），禁止系統(tǒng)弱口令；（三）風(fēng)險防控：每季度開展?jié)B透測試，及時更新安全補丁。第四章專項管理運行機(jī)制第十二條制度動態(tài)更新機(jī)制（一）每年至少開展一次制度評審，根據(jù)《網(wǎng)絡(luò)安全法》等法律法規(guī)修訂情況調(diào)整條款；（二）業(yè)務(wù)場景變更時，信息技術(shù)部應(yīng)在30日內(nèi)提出制度修訂建議；（三）修訂后的制度需經(jīng)領(lǐng)導(dǎo)小組審議通過，并印發(fā)至全體員工。第十三條風(fēng)險識別預(yù)警機(jī)制（一）每季度開展數(shù)據(jù)安全風(fēng)險排查，重點關(guān)注數(shù)據(jù)泄露、濫用、篡改等場景；（二）建立風(fēng)險數(shù)據(jù)庫，對高風(fēng)險項進(jìn)行分級預(yù)警，發(fā)布至相關(guān)責(zé)任部門；（三）對重大風(fēng)險項，領(lǐng)導(dǎo)小組應(yīng)在7日內(nèi)組織專項治理。第十四條合規(guī)審查機(jī)制（一）將數(shù)據(jù)合規(guī)審查嵌入業(yè)務(wù)流程，新系統(tǒng)上線前必須通過合規(guī)評估；（二）簽訂數(shù)據(jù)授權(quán)協(xié)議時，合規(guī)部需參與審核，確保條款合法有效；（三）違反“未經(jīng)審查不得實施”規(guī)定的，相關(guān)責(zé)任部門負(fù)責(zé)人將承擔(dān)管理責(zé)任。第十五條風(fēng)險應(yīng)對機(jī)制（一）一般風(fēng)險由業(yè)務(wù)部門自行處置，重大風(fēng)險啟動領(lǐng)導(dǎo)小組協(xié)調(diào)；（二）緊急事件需立即上報至分管領(lǐng)導(dǎo)，技術(shù)部門在2小時內(nèi)啟動應(yīng)急響應(yīng)；（三）處置結(jié)果需經(jīng)辦公室復(fù)核，并納入年度風(fēng)險統(tǒng)計。第十六條責(zé)任追究機(jī)制（一）違規(guī)情形包括：擅自共享核心數(shù)據(jù)、未履行數(shù)據(jù)授權(quán)程序、應(yīng)急響應(yīng)遲緩等；（二）處罰標(biāo)準(zhǔn)：情節(jié)輕微的給予通報批評，重大問題將取消評優(yōu)資格；（三）聯(lián)動考核：將數(shù)據(jù)合規(guī)情況納入部門績效考核，與年度獎金掛鉤。第十七條評估改進(jìn)機(jī)制（一）每年12月31日前提交管理效果評估報告，重點分析風(fēng)險發(fā)生率、處置效率等指標(biāo)；（二）評估結(jié)果作為制度優(yōu)化依據(jù)，連續(xù)兩年未達(dá)標(biāo)的管理措施應(yīng)立即調(diào)整；（三）引入第三方機(jī)構(gòu)開展獨立審計，確保評估客觀公正。第五章專項管理保障措施第十八條組織保障（一）各級領(lǐng)導(dǎo)干部應(yīng)簽署年度數(shù)據(jù)安全責(zé)任書，明確分管領(lǐng)域風(fēng)險清單；（二）建立數(shù)據(jù)資產(chǎn)專項管理聯(lián)席會議制度，每月召開例會協(xié)調(diào)問題。第十九條考核激勵機(jī)制（一）將數(shù)據(jù)合規(guī)納入部門年度評優(yōu)標(biāo)準(zhǔn)，優(yōu)秀部門負(fù)責(zé)人可獲專項獎勵；（二）對發(fā)現(xiàn)重大風(fēng)險隱患的員工，給予等同于項目獎金的獎勵；（三）連續(xù)三年考核不達(dá)標(biāo)的部門，取消下一年度信息化預(yù)算。第二十條培訓(xùn)宣傳機(jī)制（一）管理層培訓(xùn)：每半年開展一次合規(guī)履職培訓(xùn)，內(nèi)容涵蓋最新法規(guī)與案例；（二）一線員工培訓(xùn)：新員工入職前必須完成數(shù)據(jù)操作規(guī)范考核；（三）發(fā)布《數(shù)據(jù)資產(chǎn)合規(guī)手冊》，定期推送風(fēng)險警示案例。第二十一條信息化支撐（一）建設(shè)數(shù)據(jù)資產(chǎn)管理平臺，實現(xiàn)資產(chǎn)自動識別與動態(tài)監(jiān)測；（二）采用區(qū)塊鏈技術(shù)記錄數(shù)據(jù)操作軌跡，提升不可篡改性；（三）開發(fā)數(shù)據(jù)合規(guī)審計工具，自動比對操作記錄與權(quán)限配置。第二十二條文化建設(shè)（一）每年4月開展數(shù)據(jù)安全月活動，組織主題競賽與知識問答；（二）簽訂全員數(shù)據(jù)合規(guī)承諾書，懸掛宣傳標(biāo)語強(qiáng)化意識；（三）設(shè)立“數(shù)據(jù)保護(hù)先鋒”獎項，表彰先進(jìn)典型。第二十三條報告制度（一）風(fēng)險事件上報：重大事件須在4小時內(nèi)提交初步報告，48小時內(nèi)完成詳細(xì)報告；（二）年度報告：12月15日前提交全年管理情況，包括風(fēng)險處置結(jié)果、制度執(zhí)行