T/CI 646-2024 数据资产 数据确权合规指南

​​《数据资产数据确权合规指南》（T/CI 646-2024）主要内容总结​​

​​1. 范围与目的​​

• 适用于各类组织在数据收集、存储、加工、使用等环节的数据确权活动。
• 旨在明确数据归属、权限及责任，促进数据安全流通与价值释放。

​​2. 核心术语定义​​

• ​​组织数据​​：不涉及个人信息和公共利益的经营数据（如日志、销售记录）。
• ​​个人信息与敏感个人信息​​：可识别自然人身份的信息，需额外保护。
• ​​数据确权​​：确认数据资源持有权、加工使用权、产品经营权等权益的行为。

​​3. 数据确权原则​​

• ​​合法性​​：符合法律法规，尊重数据主体权益。
• ​​责任明确​​：数据持有者、使用者对数据安全与合规负责。
• ​​安全合规​​：确权不超范围，保障数据安全。
• ​​可追溯性​​：数据流动全程可追踪、审计。
• ​​促进流通​​：在安全前提下推动数据共享与价值转化。

​​4. 数据主体分类维度的确权合规​​

• ​​组织数据​​：
  • 需验证数据来源合法性（如资质证书、合规记录）。
  • 按敏感度分类（如商业秘密），明确使用范围与期限。
  • 评估加工过程中的创新性投入（如算法、模型）。
• ​​个人信息​​：
  • 需获得个人同意（敏感信息需单独同意）。
  • 实施安全措施（防泄露、篡改）、透明度管理（记录数据流向）。
  • 定期审计合规性，建立权益响应机制（如查阅、删除权）。

​​5. 数据加工程度维度的确权合规​​

• ​​原始数据​​：
  • 分类分级，明确权利主体（如通过资产登记制度）。
  • 通过协议约定使用权限（范围、期限），定期审计合规性。
• ​​衍生数据​​：
  • 明确多源数据的权利分割（如使用权、经营权）。
  • 评估独特性、稀缺性，签订多方协议界定权益。

​​6. 数据生命周期维度的合规考虑​​

• ​​收集环节​​：
  • 第三方收集需审查其安全资质，实施加密措施。
  • 数据溯源定位，定期风险评估。
• ​​存储环节​​：
  • 分类分级存储，建立备份恢复机制及应急预案。
• ​​加工使用环节​​：
  • 第三方加工需合规（如等保认证），定期安全评估。
• ​​流通环节​​：
  • 跨境流通需通过安全评估（核心数据禁止出境）。
  • 加密传输，定期审查流通风险。

​​7. 附录A（规范性）：创新性投入建议​​

• ​​投入审查​​：
  • 研发人员、硬件、数据资源成本归集（需合同、发票等证明）。
• ​​合法性要求​​：
  • 数据来源合法（无欺诈、侵权内容），算法模型已备案。
• ​​共创场景权责​​：
  • 多方主体按投入比例约定权益，明确安全管理责任（如“谁持有谁负责”）。

​​8. 参考文献与标准依据​​

• 引用《GB/T 40685-2021 数据资产管理要求》《GB/T 43697-2024 数据分类分级规则》等国家标准。

​​9. 其他信息​​

• ​​发布与实施​​：2024年12月24日由中国国际科技促进会发布。
• ​​起草单位​​：蚂蚁科技集团、高校、律所、数据交易中心等50余家机构参与。

​​核心价值​​

该标准为组织提供了数据确权的全流程合规框架，覆盖不同数据类型、加工阶段及生命周期，强调权责明晰、安全可控，旨在平衡数据保护与流通需求，推动数据要素市场化发展。