2024數(shù)據(jù)資產評估定價方法

數(shù)據(jù)資產評估定價方法目 次前言 I范圍 1規(guī)范性引用文件 1術語和定義 1縮略語 3評估過程 3評估內容 7評估應用場景 12PAGEPAGE11PAGEPAGE10數(shù)據(jù)資產評估定價方法范圍本文件規(guī)定了數(shù)據(jù)資產定價的評估框架、評估過程以及評估內容和要求。（資產在境內評估定價活動。規(guī)范性引用文件（包括所有的修改單適用于本文件。GB/T40685-2021信息技術服務數(shù)據(jù)資產管理要求GB/T37550-2019電子商務數(shù)據(jù)資產評價指標體系GB/T41479-2022信息安全技術網絡數(shù)據(jù)處理安全要求YD/T4243-2023電信網和互聯(lián)網數(shù)據(jù)資產識別與梳理技術實施指南YD/T3211-2016網絡虛擬資產數(shù)據(jù)存儲與交換技術要求DB34/T4536-2023機關事務數(shù)據(jù)資產評價規(guī)范DB14/T2443—2022政務數(shù)據(jù)資產登記目錄清單編制規(guī)范DB23/T3326—2022基于區(qū)塊鏈數(shù)據(jù)價值分析指南DB52/T1468-2019基于區(qū)塊鏈的數(shù)據(jù)資產交易實施指南DB63/T2123-2023自然資源統(tǒng)一確權登記數(shù)據(jù)共享接口規(guī)范DB3301/T0403—2023數(shù)據(jù)知識產權交易指南DB3310/T93-2022公共數(shù)據(jù)授權運營指南術語和定義以及下列術語和定義適用于本文件。3.1數(shù)據(jù)data任何以電子或者其他方式對信息的記錄。[《中華人民共和國數(shù)據(jù)安全法》;GB/T41479—2022，3.1]3.2數(shù)據(jù)資產dataasset特定主體合法擁有或者控制的、能進行貨幣計量的、且能帶來直接或者間接經濟利益的數(shù)據(jù)資源。[GB/T40685—2021，3.1，有修改]3.3數(shù)據(jù)資產評估dataassetassessment對組織內數(shù)據(jù)資產現(xiàn)狀以及質量、價值等進行定量和定性評價的活動。[GB/T40685—2021，3.9]3.4數(shù)據(jù)交易datatransaction數(shù)據(jù)供方和需方之間以數(shù)據(jù)商品或服務作為交易對象，進行的以貨幣或貨幣等價物交換數(shù)據(jù)商品或服務的行為。注1:數(shù)據(jù)商品包括用于交易的原始數(shù)據(jù)或加工處理后的數(shù)據(jù)衍生產品。注2:數(shù)據(jù)交易包括以大數(shù)據(jù)或其衍生品作為數(shù)據(jù)商品或服務的交易，也包括以傳統(tǒng)數(shù)據(jù)或其衍生品作為數(shù)據(jù)商品或服務的交易。[GB/T37932—2019，3.1]3.5數(shù)據(jù)確權datarightsconfirmation通過對數(shù)據(jù)處理者等賦權，使其對數(shù)據(jù)享有相應的法律控制手段，從而在一定程度或范圍內針對數(shù)據(jù)具有排除他人侵害的效力。3.6數(shù)據(jù)授權dataauthorization依法授權其在授權運營平臺對公共數(shù)據(jù)進行加工處理，開發(fā)形成公共數(shù)據(jù)產品并向社會提供服務的行為。3.7區(qū)塊鏈blockchain去中心化的分布式賬本技術，使用密碼學方法保證數(shù)據(jù)交換和記錄的安全性和可信度。3.8區(qū)塊鏈數(shù)據(jù)存證blockchaindataevidence利用區(qū)塊鏈上信息不可篡改特點，將數(shù)據(jù)或數(shù)據(jù)指紋寫入區(qū)塊鏈的過程。3.9匿名化anonymization個人信息經過處理無法識別特定自然人且不能復原的過程。注：個人信息經匿名化處理后所得的信息不屬于個人信息。[GB/T41479—2022，3.13]3.10重要數(shù)據(jù)importantdata一旦泄露可能直接影響國家安全、公共安全、經濟安全和社會穩(wěn)定的數(shù)據(jù)。注：重要數(shù)據(jù)包括未公開的政府信息，數(shù)量達到一定規(guī)模的基因、地理、礦產信息等，原則上不包括個人信息、企業(yè)內部經營管理信息等。[GB/T41479—2022，3.9]3.11權識assetownershipmark實物資產與無形資產按一比一映射，在區(qū)塊鏈上形成的資產權屬標識。3.12重置成本法replacementcostmethod3.13市場價值法marketvaluemethod3.14收益現(xiàn)值法presentincomevaluemethod3.15期權定價法optionValuation期權價格，包括標的資產的未來表現(xiàn)、期權期限以及期權價格的過去表現(xiàn)等。3.16權識計量法assetownershipmarkmeasuremethod以區(qū)塊鏈技術對數(shù)據(jù)資產一比一映射形成權識，以權識的市場價格對數(shù)據(jù)資產進行定價?？s略語下列縮略語適用于本文件。API：應用程序編程接口（ApplicationProgrammingInterface）SDK：軟件開發(fā)工具包（SoftwareDevelopmentKit）評估過程評估活動應該在取得客戶明確授權后啟動，該授權應該是一份明確的書面授權。（數(shù)據(jù)包的確定應該采用hash鎖定技術或區(qū)塊鏈存證技術完成。評估方案制定評估團隊1）評估團隊應包含組長1名、副組長1名，組員（相關領域業(yè)務專家）若干名，其中組長原則（或經驗技能相當于高級職稱8（或經驗技能相當于中級職稱5年。業(yè)務規(guī)則等方面的相關專業(yè)知識和技能，以及數(shù)據(jù)資產評估定價的專業(yè)知識和實踐經驗，可承擔相關的評估和配合工作。評估團隊開展數(shù)據(jù)資產評估定價業(yè)務，應當獨立進行分析和估算并形成專業(yè)意見，拒絕委托人或者其他相關當事人的干預，不得直接以預先設定的價值作為評估結論。評估范圍應根據(jù)評估目的和評估對象來確定評估內容的邊界。在某些情況下，評估對象可能不是一個特定的組織機構，而是某些數(shù)據(jù)、某個項目、某個業(yè)務、某筆交易、某個信息系統(tǒng)或是一個數(shù)據(jù)處理的生命周期等。數(shù)據(jù)處理生命周期可能跨越組織、業(yè)務、系統(tǒng)等。評估范圍根據(jù)委托方具體需求確定，可包括組織范圍、物理地域范圍、項目范圍、業(yè)務流程和業(yè)務活動范圍、信息系統(tǒng)和技術工具范圍、人員范圍、數(shù)據(jù)范圍、時間范圍等維度。評估依據(jù)應根據(jù)評估目的確定評估依據(jù)。包括適用的國家相關法律法規(guī)、監(jiān)管規(guī)定、行業(yè)準則和國際條約、規(guī)則，以及相關國際、國家及行業(yè)標準等。評估進度應對評估進度進行預期規(guī)劃，包括準備、審核、分析階段的時間及里程碑安排。以便參與各方預留時間和資源參與評估工作，保障評估活動的實施效率。評估風險應對評估活動可能引入的風險及其影響進行分析。評估風險可包括審查活動對信息泄密的風險、測試掃描活動對業(yè)務運行和數(shù)據(jù)正確性的影響、評估工作自身的局限性及約束等。應采用最小影響原則并給出應對措施。以上內容應與評估活動管理單位充分溝通，制定成文檔化的評估方案并獲得批準和實施授權。評估對象調研業(yè)務運營模式評估對象涉及的業(yè)務范圍。評估對象涉及的業(yè)務內容。評估對象涉及的業(yè)務模式。評估對象與外部組織機構合作的情況。評估對象在行業(yè)可能的內潛在應用場景。數(shù)據(jù)處理活動處理數(shù)據(jù)的類型、流程、規(guī)模。數(shù)據(jù)收集、存儲、使用、加工、傳輸、提供、公開、刪除等全生命周期處理活動的情況。評估對象在處理數(shù)據(jù)的角色和地位。管理制度及落實評估對象的數(shù)據(jù)管理組織架構。評估對象的管理制度。評估對象的技術措施。評估對象的網絡安全等級保護。評估對象的培訓教育等情況。處罰及整改評估對象及其所在組織涉及的數(shù)據(jù)資產的投訴、行政處罰、訴訟、仲裁。以往資產管理相關測評和數(shù)據(jù)資產評估的整改和糾正措施情況。評估資料收集應根據(jù)評估目的進行對評估對象相關的數(shù)據(jù)資產資料收集，包括但不僅限于如下內容：數(shù)據(jù)資產的信息屬性、法律屬性、價值屬性等。收集、存儲、處理數(shù)據(jù)的設備、人力成本，以及前期的研發(fā)成本等。與數(shù)據(jù)供應商和第三方公司簽訂的協(xié)議、合同、文件范本和實例以及對供應商的審查文件。業(yè)務介紹、分支機構及股權架構、所在組織的營業(yè)執(zhí)照以及相關行業(yè)的經營許可。國家企業(yè)信用信息公示系統(tǒng)、信息產業(yè)主管部門網站、各地行業(yè)主管部門網站、國家及地方網信部門網站以及執(zhí)行和裁判信息公開網站等?？衫霉不驅Ｓ镁W絡搜索引擎對被評估對象散布在互聯(lián)網或專用網絡上的相關信息進行查閱整理。必要時，可根據(jù)實際評估情況，要求被評估方補充資料。審核文檔審查信息系統(tǒng)研發(fā)人員、產品經理和業(yè)務設計人員。組織內部的業(yè)務負責人、技術負責人、數(shù)據(jù)管理負責人以及法律合規(guī)負責人。網絡、應用和數(shù)據(jù)運維人員以及信息安全管理人員。系統(tǒng)及數(shù)據(jù)的運營人員。分析數(shù)據(jù)資產確權分析在執(zhí)行分析過程時，需要根據(jù)數(shù)據(jù)資產評估委托方的需求進行數(shù)據(jù)資產確權分析。使用期限可以跨越一個或多個周期。數(shù)據(jù)資產使用者在一個周期內擁有的使用權配額與其對數(shù)據(jù)資產擁有的所有權比例相關。如果使用權配額足夠，通過區(qū)塊鏈將指定數(shù)據(jù)資產的使用權分配給使用者。實現(xiàn)數(shù)據(jù)資產使用者對共享數(shù)據(jù)資產的使用進行監(jiān)督和保護，并在出現(xiàn)問題時追究責任。數(shù)據(jù)資產授權分析在執(zhí)行分析過程時，需要根據(jù)數(shù)據(jù)資產評估委托方的需求進行數(shù)據(jù)資產授權分析。使用基于區(qū)塊鏈的數(shù)據(jù)資產授權裝置：信息獲取單元：獲取目標數(shù)據(jù)資產的托管信息。憑證確定單元：為目標數(shù)據(jù)資產使用者的賬戶指定第一數(shù)量目標憑證，用于流轉。合約發(fā)布單元：向區(qū)塊鏈發(fā)布第一智能合約。發(fā)布第一智能合約到區(qū)塊鏈，第一智能合約執(zhí)行的第一預定事務是：數(shù)據(jù)資產定價分析問題和風險問題事實的描述，包括所在業(yè)務、違規(guī)事實和發(fā)生場景等。違反的內部制度名稱及條款。違反的評估依據(jù)的名稱及條款。問題可能引起的風險或處罰后果。必要時，問題的嚴重性級別。整改計劃必要時，評估人員可協(xié)助評估對象所在組織針對問題進行整改計劃的制定。整改計劃應包括：問題的描述或識別信息。工作建議與整改措施。責任方或落實方。整改有效性的驗證方。計劃完成期限。評價評估報告評估工作完成后，應形成數(shù)據(jù)資產評估定價報告，報告應包括如下內容：評估背景：描述評估的目的。評估聲明：評估結果的適用范圍、約束、假設以及免責聲明。評估依據(jù)：評估所依賴的法律法規(guī)、相關標準或文件。評估范圍：評估對象的組成和評估內容和指標的描述。評估流程：評估實施活動的過程性描述。評估結論：在充分審核的基礎上，對評估對象的數(shù)據(jù)資產情況進行客觀、公正的結論性總結，可包括：數(shù)據(jù)資產評估定價總結。數(shù)據(jù)處理業(yè)務活動的評估總結。數(shù)據(jù)資產定價分析的評估總結。管理措施及落實情況的評估總結。技術保障措施及落實情況的評估總結。發(fā)現(xiàn)問題及存在風險情況總結。適用時，針對之前的數(shù)據(jù)資產定價、網絡、審查、測評、評估、行政調查中發(fā)現(xiàn)問題的整改及落實情況的總結。必要時，給予評估對象問題整改及后續(xù)持續(xù)改進的意見和建議。評估結論有效期（1）。專項意見基于特定目的的數(shù)據(jù)資產評估定價，可按被評估對象所在組織的要求出具專項分析意見，如：數(shù)據(jù)資產的使用權。數(shù)據(jù)資產的成本。是否采用成本法、收益法、市場法、期權定價法、權識計量法等。是否考量數(shù)據(jù)被引用次數(shù)、司法及社會公益價值等。備忘錄基于特定目的的數(shù)據(jù)資產評估定價，如發(fā)現(xiàn)涉及重大問題，可能對特定目的的達成產生直接影響，評估內容業(yè)務運營模式處理模式應對評估對象或所在組織的業(yè)務模式、業(yè)務流程進行充分識別，包括：組織與客戶、供應商和其它合作方的模式（提供方、接收方、共同處理等）。組織在數(shù)據(jù)處理或是交易鏈中所處的角色（收集方、使用方、交易中介方等）。組織是數(shù)據(jù)處理平臺的建設者還是運營者，或兩者兼有。不同的業(yè)務模式及角色對于數(shù)據(jù)資產的要求不同，評估方應根據(jù)識別的結果來選取后續(xù)的評估內容。系統(tǒng)平臺數(shù)據(jù)處理主體處理資質委托處理委托方評估對象委托外部機構處理數(shù)據(jù)時，應對如下內容進行審核：建立數(shù)據(jù)資產評估、定價分析、個人信息安全影響評估制度的情況。對受托方的資格審查的相關記錄。包括行政許可、授權范圍、質量管理體系等。GB/T39335—2020受托方評估對象為數(shù)據(jù)處理的受托方時，應對如下內容進行審核：必要時，對委托方的資格審查的相關記錄，包括行政許可、授權范圍、質量管理體系等。委托合同或協(xié)議中委托方確保數(shù)據(jù)來源合法的承諾和違約賠償責任。（共同處理評估對象為數(shù)據(jù)的共同處理方時，應對如下內容進行審核：自主決定數(shù)據(jù)處理目的及處理方式的主體資格。共同處理數(shù)據(jù)各方的權利、義務的約定。依法承擔相關法律責任的約定。主體變更轉移評估對象在數(shù)據(jù)處理過程中發(fā)生合并、分立、解散、破產等變化導致數(shù)據(jù)處理的主體發(fā)生轉移時，應對如下內容進行審核：通知數(shù)據(jù)來源數(shù)據(jù)（可能為組織或個人），處理方發(fā)生變化的相關信息（名稱/姓名、聯(lián)系方式等）。涉及處理個人信息的，若處理目的和方式發(fā)生變化，重新取得個人同意的相關證據(jù)。數(shù)據(jù)處理活動數(shù)據(jù)資源合規(guī)應對數(shù)據(jù)資源來源的合規(guī)情況進行評估，內容包括：數(shù)據(jù)資源來源應符合合法、正當、必要、誠信原則。數(shù)據(jù)資源應告知用戶并獲得用戶授權或依法無需獲得授權。數(shù)據(jù)資源的授權應覆蓋擬進行的數(shù)據(jù)處理活動。處理過程應對收集數(shù)據(jù)的情況進行評估，內容包括：bGB/T35272—20205.4、GB/T41479—20225.2GB/T35273—20225.1、5.2用戶授權（告知—同意）使用的展示時機、形式（顯著、醒目、非默認同意）和內容的規(guī)范性。收集內容應當與處理目的直接相關，采取對個人權益影響最小的方式，限于實現(xiàn)處理目的的最小范圍，不過度收集個人信息。應用系統(tǒng)實際收集內容與其宣稱的隱私政策、用戶協(xié)議等內容的一致性。注：對App的個人信息收集行為進行評估，宜參照GB/T41391—2022開展。存儲應對數(shù)據(jù)的存儲情況進行評估，內容包括：GB/T41479—20225.3技術保護措施的要求，如加密算法、訪問控制、安全審計、個人信息的匿名化等。存儲期限，符合評估依據(jù)要求、合同和用戶約定的有效期限。對重要系統(tǒng)和數(shù)據(jù)庫進行容災備份。數(shù)據(jù)及其副本的存儲地點滿足數(shù)據(jù)本地化存儲和分布式存儲的評估依據(jù)要求的情況。必要時，可使用第三方機構提供的數(shù)據(jù)存證服務，保證數(shù)據(jù)的真實性和完整性。使用、加工應對數(shù)據(jù)的使用和加工情況進行評估，內容包括：數(shù)據(jù)的使用和加工獲得相關方的授權文件并符合評估依據(jù)要求的證明。數(shù)據(jù)實際使用、加工的方式和范圍符合約定。注：對于隱蔽的、嵌入式或第三方SDK提供的處理過程可采用安全檢測的手段予以確認。注：宜結合GB/T41479—20225.4-5.5的要求開展。傳輸、提供應對數(shù)據(jù)的傳輸和提供情況進行評估，內容包括：7.2.1GB/T41479—20225.6-5.7SDKAPISDKAPI收集個人信息用于個性化推薦時，應取得個人單獨同意；設置易于理解、便于訪問和操作的一鍵關閉個性化推薦選項，允許用戶拒絕接受定向推送信息，允許用戶重置、修改、調整針對其個人特征的定向推送參數(shù)；允許個人刪除定向推送信息服務收集產生的個人信息，法律、行政法規(guī)另有規(guī)定或者與用戶另有約定的除外。涉及數(shù)據(jù)交易活動時：GB/T37932—20195GB/T37932—20196GB/T37932—20197應對數(shù)據(jù)交易中介服務的機構留存的交易雙方的審查、交易記錄進行審核。公開應對評估對象的數(shù)據(jù)公開行為進行評估，包括：公開前的影響評估情況。如是否對危害國家安全、公共安全、經濟安全和社會穩(wěn)定造成影響。必要時，數(shù)據(jù)公開行為和內容是否取得了相關單位的許可和授權。處理已公開的個人信息，對個人權益有重大影響的，應按評估依據(jù)要求取得個人同意。刪除、匿名化應對評估對象刪除數(shù)據(jù)和用戶注銷后的匿名化處理情況進行評估，內容包括：a)對符合GB/T41479—20225.13、GB/T35273—20208.3、8.5和評估依據(jù)要求的數(shù)據(jù)進行刪除或匿名化處理的處理記錄，評估方應從處理的內容、數(shù)據(jù)量、及時性等方面進行審查。適用時，APPGB/T35273—20208.5處理范圍包括數(shù)據(jù)本身及其全部副本。處理后的數(shù)據(jù)無法或不再繼續(xù)參與數(shù)據(jù)處理與加工的證明。適用時，拒絕刪除或注銷用戶給出反饋的情況，應包括：APP拒絕理由，如依據(jù)的法律法規(guī)、行業(yè)監(jiān)管要求等。投訴渠道和途徑。管理措施及落實責任人與責任機構應對評估對象所在組織的數(shù)據(jù)資產管理責任人和組織架構進行評估，內容包括：GB/T41479—20226.1、6.2注：履行個人信息保護職責的部門包括：國家網信部門和縣級以上地方人民政府有關部門。國家網信部門的職責是統(tǒng)籌協(xié)調個人信息保護工作。責任機構，包括機構的崗職位設置、運行經費、獨立性以及開展相關工作的運行記錄等。數(shù)據(jù)管理措施應對評估對象所在組織的數(shù)據(jù)資產管理措施的完整性、一致性、可行性、依從性等方面進行評估，評估內容可包括：管理體系，包括總體要求、機構設置及職責、基本原則等。處理流程管理，包括數(shù)據(jù)收集、使用、傳輸、提供、存儲、刪除等管理要求。數(shù)據(jù)分類分級管理：劃分數(shù)據(jù)類別、級別的原則及對應采取管理和技術措施的要求。適用時，個人信息按敏感程度的分類及保護措施。數(shù)據(jù)安全風險管理機制，包括開展數(shù)據(jù)安全風險評估、報告、共享、預警檢測等機制。GB/T41479—20226.3投訴、舉報制度，接受網絡信息安全投訴、舉報并及時處理、反饋的機制。網絡安全審查，適用時，制定并落實網絡安全審查相關的管理制度和程序。個人信息管理，包括：對個人信息訪問和操作權的要求。定期進行個人信息合規(guī)審計的要求。適用時，對個人信息安全影響評估的要求。適用時，對未成年人和兒童信息保護的管理要求。員工個人信息保護，如對員工的簡