T/ISC 0048-2024 数据确权风险控制通则

ICS35.020

CCSL70

团体标准

T/ISC0048—2024

数据确权风险控制通则

Generalrulesforriskcontrolofdatarightsconfirmation

2024-06-12发布2024-07-12实施

中国互联网协会发布

T/ISC0048—2024

目  次

前言..................................................................................II

引言.................................................................................III

1范围.................................................................................1

2规范性引用文件.......................................................................1

3术语和定义...........................................................................1

4数据确权风险控制框架.................................................................2

5数据采集存储环节确权风险控制通则.....................................................3

5.1采集存储个人数据确权风险控制要求.................................................3

5.2采集存储非个人数据确权风险控制要求...............................................4

6数据加工分析环节确权风险控制通则.....................................................5

6.1加工分析个人数据确权风险控制要求.................................................5

6.2加工分析非个人数据确权风险控制要求...............................................6

7数据使用环节确权风险控制通则.........................................................7

7.1使用个人数据确权风险控制要求.....................................................7

7.2使用非个人数据确权风险控制要求...................................................8

8数据交互/交易环节确权风险控制通则....................................................8

8.1交互/交易个人数据确权风险控制要求................................................8

8.2交互/交易非个人数据确权风险控制要求..............................................9

参考文献..............................................................................11

I

T/ISC0048—2024

前  言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由上海邮电设计咨询研究院提出。

本文件由中国互联网协会归口。

本文件起草单位：上海邮电设计咨询研究院有限公司、智研高科（北京）信息技术发展有限公司、

国科华创认证有限责任公司、杭州电子科技大学平湖数字技术创新研究院有限公司、西安交通大学、中

电数据服务有限公司、太极计算机股份有限公司、运易通科技有限公司、清华大学丘成桐数学科学中心、

数力聚（北京）科技有限公司、北京奇虎科技有限公司、中国电信数据发展中心。

本文件主要起草人：王德东、吴根生、张礼、杨小琴、赵治栋、吕秋云、沈超、蔺琛皓、李前、李

世锋、何帆、韩伟、李慧、李以斌、刘海峰、刘利、丁津泰、李乐平、杨晨光、付昆、刘革军、文天、

张志燕。

II

T/ISC0048—2024

引言

随着网络、电子商务的发展，民众的生活、学习、工作、企业的商业行为、政府的社会治理和互联

网紧密地融为一体。随之而来的数据的生产、加工、流通和分析利用成为了整个互联网发展的核心，数

据也成为推动经济发展的新要素，但是由于数据的虚拟性、多样性和可复制性，使数据的各类权属的确

定、保障存在一定的困难，出现了大量数据错误地挪用给他人加工、处理、使用甚至买卖等问题。需要

构建数据权属确定、保护、管理等一系列安全准则，以保障个人隐私安全、保护企业竞争利益以及国家

数据主权的安全。

本文件的制定是为了缓解数据确权过程中的风险，为各类数据企业在数据生命周期各环节确定数据

权属、行使数据权利提供控制风险的方法和工作指引，能够有效的保障数据处理、流通、交易的各环节

的数据安全及个人隐私保护，推动数据要素价值发挥，促进数据经济发展。

III

T/ISC0048—2024

数据确权风险控制通则

1范围

本文件确立了数据确权风险控制框架，规定了数据采集存储、加工分析、使用和交互/交易环节确

权风险控制要求。

本文件适用于组织内部处理数据时的确权安全，也适用于数据交易过程中的确权安全。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T20273-2019信息安全技术数据库管理系统安全技术要求

GB/T22239-2019信息安全技术网络安全等级保护基本要求

3术语和定义

下列术语和定义适用于本文件。

3.1

数据data

任何以电子或者其他方式对信息的记录。可以是数字、文字、字符、图像、声音等形式，记录

和描述人事物的属性、关系和行为。

3.2

数据财产权datapropertyright

民事主体对其持有的数据进行利用（处理）、收益以及依法占有、处分的对世性财产权利。

3.3

数据人格权datapersonalityright

以主体依法固有的人格利益为客体的，以维护和实现人格平等、人格尊严、人身自由为目标的权利

据。

注：数据人格权包括数据知情同意权、数据修改删除权、数据被遗忘权。

3.4

数据处理权dataprocessingright

对各种数据进行收集、存储、整理、分类、统计、加工等操作的权利。

3.5

数据使用权datausageright

使用指定数据的权利，在所有权确定的情况下，数据所有人可以将数据的使用权授予数据使用人。

3.6

数据确权dataauthentication

确定数据的权利属性，确定数据的权利主体和权利的内容，设置确定和行使数据权利的规则和程序

架构。

1

T/ISC0048—2024

注：包括确定财产权、人格权、处理权、使用权的主体和内容，确定和行使这些权利过程中的具体事项、操作规程、

工作流程等内容。

3.7

组织organization

由若干个人或群体所组成的、有共同目标和一定边界的社会实体。包括正式组织和非正式组织。

3.8

风险控制riskcontrol

风险管理者采取各种措施和方法，消灭或减少风险事件发生的各种可能性，或风险控制者减少风险

事件发生时造成的损失。

4数据确权风险控制框架

本文件从数据生命周期数据采集存储、数据加工分析、数据使用和数据交互/交易四个环节确立不

同类型数据的权属风险控制通用规则，见表1。本文件中相关技术系统均应达到GB/T22239—2019的第

三级基本要求，相关数据库系统应符合GB/T20273-2019中的要求。

数据采集存储环节是指利⽤程序或应用从外部采集数据或人为输入数据，经过数据清洗，最终存储

到系统中的过程；数据加工分析环节是指对数据进行转换、整合、分析、建模等处理的过程；数据使用

环节是指利用数据进行决策、营销、展示等支持组织管理和运营的过程；数据交互/交易环节是指两个

主体之间数据的流转，伴随着各类数据权属的转移或共享的过程。

数据分类具有多种视角和维度，主要目的是便于数据管理和使用。组织进行数据分类时，应优先遵

循国家、行业的数据分类要求，若没有，也可从组织经营维度进行数据分类。本文件中的数据分类综合

考虑了个人公民维度、行业主流数据分类标准将数据分类两大类，个人数据和非个人数据，非个人数据

包括公共数据和法人数据。数据分类分级完成后，组织应建立不同类型数据的分类分级确权授权制度，

加强数据确权风险控制。

表1数据确权风险控制框架

数据确权环节

类型数据采集存储数据加工分析数据使用数据交互/交易

规范类数据财产权、规范类数据财产权、