GB∕T 37932-2019 信息安全技術(shù) 數(shù)據(jù)交易服務(wù)安全要求

信息安全技術(shù)數(shù)據(jù)交易服務(wù)安全要求2019-08-30發(fā)布中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)GB/T37932—2019 I Ⅱ l2規(guī)范性引用文件 3術(shù)語(yǔ)和定義 4安全概述 24.1參考框架 24.2數(shù)據(jù)交易安全原則 35數(shù)據(jù)交易參與方安全要求 35.1數(shù)據(jù)供方安全要求 35.2數(shù)據(jù)需方安全要求 5.3數(shù)據(jù)交易服務(wù)機(jī)構(gòu)安全要求 6交易對(duì)象安全 66.1禁止交易數(shù)據(jù) 66.2數(shù)據(jù)質(zhì)量要求 66.3個(gè)人信息安全保護(hù) 66.4重要數(shù)據(jù)安全保護(hù) 67數(shù)據(jù)交易過(guò)程安全 67.1交易申請(qǐng) 67.2交易磋商 7.3交易實(shí)施 77.4交易結(jié)束 Ⅱ數(shù)據(jù)正日益對(duì)全球生產(chǎn)、流通、分配、消費(fèi)活動(dòng)以及經(jīng)濟(jì)運(yùn)行機(jī)制、社會(huì)生活方式和國(guó)家治理能力產(chǎn)生重要影響。數(shù)據(jù)交易可以促進(jìn)數(shù)據(jù)資源流通，破除數(shù)據(jù)孤島，有效支撐數(shù)據(jù)應(yīng)用的快速發(fā)展，發(fā)揮數(shù)據(jù)資源的經(jīng)濟(jì)價(jià)值。然而，數(shù)據(jù)交易面臨諸多安全問(wèn)題和挑戰(zhàn)，影響了數(shù)據(jù)應(yīng)用的進(jìn)一步健康發(fā)展。為規(guī)范數(shù)據(jù)資源交易行為，建立良好的數(shù)據(jù)交易秩序，促進(jìn)數(shù)據(jù)交易服務(wù)參與者安全保障能力提升，本標(biāo)準(zhǔn)將對(duì)數(shù)據(jù)交易服務(wù)進(jìn)行安全規(guī)范，增強(qiáng)對(duì)數(shù)據(jù)交易服務(wù)的安全管控能力，在確保數(shù)據(jù)安全的前提下，促進(jìn)數(shù)據(jù)資源自由流通，從而帶動(dòng)整個(gè)數(shù)據(jù)產(chǎn)業(yè)的安全、健康、快速發(fā)展。1信息安全技術(shù)數(shù)據(jù)交易服務(wù)安全要求本標(biāo)準(zhǔn)規(guī)定了通過(guò)數(shù)據(jù)交易服務(wù)機(jī)構(gòu)進(jìn)行數(shù)據(jù)交易服務(wù)的安全要求，包括數(shù)據(jù)交易參與方、交易對(duì)象和交易過(guò)程的安全要求。本標(biāo)準(zhǔn)適用于數(shù)據(jù)交易服務(wù)機(jī)構(gòu)進(jìn)行安全自評(píng)估，也可供第三方測(cè)評(píng)機(jī)構(gòu)對(duì)數(shù)據(jù)交易服務(wù)機(jī)構(gòu)進(jìn)行安全評(píng)估時(shí)參考。2規(guī)范性引用文件下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T22239—2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求GB/T25069—2010信息安全技術(shù)術(shù)語(yǔ)GB/T35273—2017信息安全技術(shù)個(gè)人信息安全規(guī)范GB/T35274—2017信息安全技術(shù)大數(shù)據(jù)服務(wù)安全能力要求GB/T36343—2018信息技術(shù)數(shù)據(jù)交易服務(wù)平臺(tái)交易數(shù)據(jù)描述GB/T37988—2019信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型3術(shù)語(yǔ)和定義GB/T25069—2010和GB/T36343—2018界定的以及下列術(shù)語(yǔ)和定義適用于本文件。數(shù)據(jù)交易datatransaction數(shù)據(jù)供方和需方之間以數(shù)據(jù)商品作為交易對(duì)象，進(jìn)行的以貨幣或貨幣等價(jià)物交換數(shù)據(jù)商品的行為。注1:數(shù)據(jù)商品包括用于交易的原始數(shù)據(jù)或加工處理后的數(shù)據(jù)衍生產(chǎn)品。注2:數(shù)據(jù)交易包括以大數(shù)據(jù)或其衍生品作為數(shù)據(jù)商品的數(shù)據(jù)交易，也包括以傳統(tǒng)數(shù)據(jù)或其衍生品作為數(shù)據(jù)商品的數(shù)據(jù)交易。數(shù)據(jù)供方datasupplier數(shù)據(jù)交易中提供數(shù)據(jù)的組織機(jī)構(gòu)。數(shù)據(jù)需方dataacquirer數(shù)據(jù)交易中購(gòu)買(mǎi)和使用數(shù)據(jù)的組織機(jī)構(gòu)。幫助數(shù)據(jù)供方和需方完成數(shù)據(jù)交易的活動(dòng)。2數(shù)據(jù)交易服務(wù)機(jī)構(gòu)datatransactionserviceprovider為數(shù)據(jù)供需雙方提供數(shù)據(jù)交易服務(wù)的組織機(jī)構(gòu)。數(shù)據(jù)交易服務(wù)平臺(tái)datatransactionserviceplatform為數(shù)據(jù)交易提供各項(xiàng)服務(wù)的信息化平臺(tái)。在線數(shù)據(jù)交付onlinedatadelivery數(shù)據(jù)供方通過(guò)網(wǎng)絡(luò)向數(shù)據(jù)需方交付數(shù)據(jù)的模式。離線數(shù)據(jù)交付offlinedatadelivery數(shù)據(jù)供需雙方在達(dá)成數(shù)據(jù)交易協(xié)議后，由數(shù)據(jù)供方通過(guò)離線方式將數(shù)據(jù)從供方提供給需方的交付模式。托管數(shù)據(jù)交易custodiandatadelivery數(shù)據(jù)供需雙方在達(dá)成數(shù)據(jù)交易協(xié)議后，由供方將數(shù)據(jù)拷貝到數(shù)據(jù)交易服務(wù)機(jī)構(gòu)指定的數(shù)據(jù)托管服務(wù)平臺(tái)，需方在數(shù)據(jù)托管服務(wù)平臺(tái)內(nèi)使用數(shù)據(jù)，數(shù)據(jù)不發(fā)生轉(zhuǎn)移的交付模式。數(shù)據(jù)交易過(guò)程dataexchangingprocess數(shù)據(jù)供需雙方依托數(shù)據(jù)交易服務(wù)平臺(tái)針對(duì)具體的數(shù)據(jù)交易對(duì)象，進(jìn)行的一次完整和具體的數(shù)據(jù)交易行為。注：數(shù)據(jù)交易過(guò)程一般分為交易申請(qǐng)、交易磋商、交易實(shí)施和交易結(jié)束等環(huán)節(jié)。重要數(shù)據(jù)importantdata我國(guó)機(jī)構(gòu)和個(gè)人在境內(nèi)收集、產(chǎn)生的不涉及國(guó)家秘密，但與國(guó)家安全、經(jīng)濟(jì)發(fā)展以及公共利益密切相關(guān)的數(shù)據(jù)。注：重要數(shù)據(jù)通常指公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域構(gòu)在開(kāi)展業(yè)務(wù)活動(dòng)中收集和產(chǎn)生的，不涉及國(guó)家秘密，但一旦泄露、篡改或?yàn)E用將會(huì)對(duì)國(guó)家安全、經(jīng)濟(jì)發(fā)展和社會(huì)公共利益造成不利影響的數(shù)據(jù)(包括原始數(shù)據(jù)和衍生數(shù)據(jù))。[GB/T35274—2017,定義3.13]4安全概述4.1參考框架數(shù)據(jù)交易是供需雙方對(duì)原始數(shù)據(jù)或加工處理后的數(shù)據(jù)依照交易過(guò)程進(jìn)行的活動(dòng)。通過(guò)數(shù)據(jù)交易服務(wù)機(jī)構(gòu)進(jìn)行的數(shù)據(jù)交易服務(wù)參考框架如圖1所示。數(shù)據(jù)交易涉及數(shù)據(jù)供方、數(shù)據(jù)需方和數(shù)據(jù)交易服務(wù)機(jī)構(gòu)。數(shù)據(jù)交易服務(wù)機(jī)構(gòu)依托數(shù)據(jù)交易服務(wù)平臺(tái)，為數(shù)據(jù)供需雙方提供數(shù)據(jù)交易服務(wù)。從數(shù)據(jù)交易服務(wù)機(jī)構(gòu)角度出發(fā)，數(shù)據(jù)交易過(guò)程一般包括交易申請(qǐng)、交易磋商、交易實(shí)施和交易結(jié)束四個(gè)環(huán)節(jié)。常見(jiàn)的數(shù)據(jù)交付模式包括在線模式、離線模式和托管模式。3數(shù)據(jù)交易服務(wù)機(jī)構(gòu)交易過(guò)程交易申請(qǐng)交易實(shí)施交易申請(qǐng)交易實(shí)施交易磋商數(shù)據(jù)需方結(jié)束數(shù)據(jù)交易服務(wù)平臺(tái)圖1數(shù)據(jù)交易服務(wù)參考框架4.2數(shù)據(jù)交易安全原則數(shù)據(jù)交易應(yīng)遵循以下原則：a)合法合規(guī)原則：數(shù)據(jù)交易應(yīng)遵守我國(guó)關(guān)于數(shù)據(jù)安全管理的相關(guān)法律法規(guī)，尊重社會(huì)公德，不得損害國(guó)家利益、社會(huì)公共利益和他人合法權(quán)益。b)主體責(zé)任共擔(dān)原則：數(shù)據(jù)供需雙方及數(shù)據(jù)交易服務(wù)機(jī)構(gòu)對(duì)數(shù)據(jù)交易后果負(fù)責(zé)，共同確保數(shù)據(jù)交易的安全。c)數(shù)據(jù)安全防護(hù)原則：數(shù)據(jù)交易服務(wù)機(jī)構(gòu)應(yīng)采取數(shù)據(jù)安全保護(hù)、檢測(cè)和響應(yīng)等措施，防止數(shù)據(jù)丟d)個(gè)人信息保護(hù)原則：數(shù)據(jù)供需雙方和數(shù)據(jù)交易服務(wù)機(jī)構(gòu)應(yīng)采取個(gè)人信息安全保護(hù)技術(shù)和管理措施，避免個(gè)人信息的非法收集、非法獲取、非法出售、濫用、泄露等安全風(fēng)險(xiǎn)，切實(shí)保護(hù)個(gè)人權(quán)益。e)交易過(guò)程可控原則：應(yīng)確保數(shù)據(jù)交易參與方的真實(shí)可信、交易對(duì)象合法、數(shù)據(jù)交付過(guò)程可控和交易的非否認(rèn)性，做到安全事件可追溯、安全風(fēng)險(xiǎn)可防范。5數(shù)據(jù)交易參與方安全要求5.1數(shù)據(jù)供方安全要求數(shù)據(jù)交易服務(wù)機(jī)構(gòu)應(yīng)確保數(shù)據(jù)供方滿足以下要求：a)為一年內(nèi)無(wú)重大數(shù)據(jù)類(lèi)違法違規(guī)記錄的合法組織機(jī)構(gòu)。b)完成在數(shù)據(jù)交易服務(wù)機(jī)構(gòu)的注冊(cè)，并經(jīng)數(shù)據(jù)交易服務(wù)機(jī)構(gòu)審核通過(guò)，才允許參與數(shù)據(jù)交易業(yè)務(wù)。c)數(shù)據(jù)供方應(yīng)證明其具備向數(shù)據(jù)需方安全交付數(shù)據(jù)的能力。d)向數(shù)據(jù)交易服務(wù)機(jī)構(gòu)提供書(shū)面的安全承諾，內(nèi)容包括但不限于：交易數(shù)據(jù)來(lái)源合法性證明材料、交易數(shù)據(jù)滿足法律法規(guī)和政策要求、對(duì)交易數(shù)據(jù)質(zhì)量評(píng)估說(shuō)明、遵守?cái)?shù)據(jù)交易安全原則、愿意接受數(shù)據(jù)交易服務(wù)機(jī)構(gòu)安全監(jiān)督、愿意對(duì)數(shù)據(jù)流通后果負(fù)責(zé)等。e)遵守?cái)?shù)據(jù)交易服務(wù)機(jī)構(gòu)的安全管理制度和流程。5.2數(shù)據(jù)需方安全要求數(shù)據(jù)交易服務(wù)機(jī)構(gòu)應(yīng)確保數(shù)據(jù)需方滿足以下要求：4a)為一年內(nèi)無(wú)重大數(shù)據(jù)類(lèi)違法違規(guī)記錄的合法組織機(jī)構(gòu)。b)完成在數(shù)據(jù)交易服務(wù)機(jī)構(gòu)的注冊(cè)，并經(jīng)數(shù)據(jù)交易服務(wù)機(jī)構(gòu)審核通過(guò)，才允許參與數(shù)據(jù)交易業(yè)務(wù)。c)證明具備對(duì)交易數(shù)據(jù)實(shí)施安全保護(hù)的能力。d)提供書(shū)面的數(shù)據(jù)交易和使用安全承諾，內(nèi)容包括但不限于：滿足法律法規(guī)和政策要求、遵守?cái)?shù)據(jù)交易安全原則、愿意接受數(shù)據(jù)交易服務(wù)機(jī)構(gòu)安全監(jiān)督、遵守與數(shù)據(jù)供方約定的數(shù)據(jù)安全要求、對(duì)所持有數(shù)據(jù)提供充分的安全保護(hù)、未經(jīng)明確授權(quán)不公開(kāi)或轉(zhuǎn)交數(shù)據(jù)給第三方等。e)按照供需雙方約定的使用目的、范圍、方式和期限使用數(shù)據(jù)，禁止進(jìn)行個(gè)人信息的重新識(shí)別。f)在按照數(shù)據(jù)交易約定方式完成數(shù)據(jù)使用后，應(yīng)及時(shí)銷(xiāo)毀交易數(shù)據(jù)。g)遵守?cái)?shù)據(jù)交易服務(wù)機(jī)構(gòu)的安全管理制度和流程。5.3數(shù)據(jù)交易服務(wù)機(jī)構(gòu)安全要求數(shù)據(jù)交易服務(wù)機(jī)構(gòu)應(yīng)滿足以下基本要求：a)得到我國(guó)行政或主管部門(mén)的授權(quán)或許可。b)為一年內(nèi)無(wú)重大數(shù)據(jù)類(lèi)違法違規(guī)記錄的境內(nèi)合法組織機(jī)構(gòu)。c)具備承擔(dān)數(shù)據(jù)交易服務(wù)相對(duì)應(yīng)的安全保障能力。d)將從事境內(nèi)數(shù)據(jù)交易服務(wù)的數(shù)據(jù)交易服務(wù)平臺(tái)部署在我國(guó)境內(nèi)。e)對(duì)數(shù)據(jù)供方提供的數(shù)據(jù)來(lái)源合法性證明材料聲明進(jìn)行審核。f)對(duì)數(shù)據(jù)違規(guī)使用行為進(jìn)行監(jiān)測(cè)。g)制定并執(zhí)行交易違規(guī)處罰規(guī)則。h)未經(jīng)授權(quán)不擅自使用數(shù)據(jù)供方或需方的數(shù)據(jù)或數(shù)據(jù)衍生品。i)至少滿足GB/T37988—2019中的三級(jí)要求。5.3.2組織安全管理要求5.3.2.1安全管理制度和規(guī)程數(shù)據(jù)交易服務(wù)機(jī)構(gòu)應(yīng)滿足以下要求：a)制定數(shù)據(jù)交易服務(wù)安全管理策略，說(shuō)明數(shù)據(jù)交易安全總體目標(biāo)、范圍、原則和安全框架等。b)建立數(shù)據(jù)交易服務(wù)安全管理制度，包括但不限于：交易參與方安全管理制度、數(shù)據(jù)安全管理制度、個(gè)人信息安全保護(hù)制度等。c)為數(shù)據(jù)交易管理人員或操作人員執(zhí)行的管理或業(yè)務(wù)操作建立操作規(guī)程。d)定期對(duì)數(shù)據(jù)交易服務(wù)安全管理策略、制度和規(guī)程進(jìn)行評(píng)審，并及時(shí)進(jìn)行更新。e)建立和執(zhí)行針對(duì)數(shù)據(jù)供方和需方的安全管理制度和流程。f)建立供需方的信用管理機(jī)制。5.3.2.2安全相關(guān)組織機(jī)構(gòu)和人員數(shù)據(jù)交易服務(wù)機(jī)構(gòu)應(yīng)滿足以下要求：a)建立數(shù)據(jù)交易安全領(lǐng)導(dǎo)小組，由機(jī)構(gòu)最高管理者或授權(quán)代表?yè)?dān)任組長(zhǎng)。b)建立數(shù)據(jù)交易安全管理職能部門(mén)，設(shè)立安全管理負(fù)責(zé)人崗位，明確安全責(zé)任。c)設(shè)立數(shù)據(jù)交易安全管理員、個(gè)人信息安全管理員等崗位，定義各個(gè)崗位的安全職責(zé)，并配備一定數(shù)量的崗位人員。d)對(duì)數(shù)據(jù)交易重要崗位人員進(jìn)行安全審查和技術(shù)考核，確保無(wú)違法違規(guī)記錄。5e)與數(shù)據(jù)交易重要崗位人員簽署安全保密協(xié)議，與重要崗位人員簽署崗位責(zé)任協(xié)議。f)對(duì)數(shù)據(jù)交易各類(lèi)崗位人員制定和實(shí)施培訓(xùn)計(jì)劃，培訓(xùn)內(nèi)容包括安全意識(shí)、專(zhuān)項(xiàng)技能等，具備與崗位要求相適應(yīng)的安全管理知識(shí)和專(zhuān)業(yè)技術(shù)水平。g)對(duì)第三方人員進(jìn)行安全管理，對(duì)于可能接觸交易數(shù)據(jù)的第三方人員，簽署安全保密協(xié)議。5.3.3數(shù)據(jù)交易服務(wù)平臺(tái)安全要求數(shù)據(jù)交易服務(wù)平臺(tái)應(yīng)滿足以下要求：a)符合GB/T22239—2019中第3級(jí)的相關(guān)安全要求。b)提供對(duì)數(shù)據(jù)泄露進(jìn)行處置的緊急預(yù)案。c)采用的密碼技術(shù)遵循相關(guān)國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)。數(shù)據(jù)交易服務(wù)平臺(tái)應(yīng)滿足以下要求：a)分別為數(shù)據(jù)供方、需方提供安全的上傳或下載接口，強(qiáng)身份認(rèn)證機(jī)制，傳輸鏈路加密等保護(hù)措施，確保數(shù)據(jù)傳輸?shù)陌踩?。b)對(duì)交易數(shù)據(jù)實(shí)施加密存儲(chǔ)、訪問(wèn)控制等安全措施，防止數(shù)據(jù)泄露或非法使用。c)實(shí)現(xiàn)數(shù)據(jù)源和數(shù)據(jù)操作的可追溯性，以及交易的非否認(rèn)性。d)在托管數(shù)據(jù)交付模式下，為數(shù)據(jù)需方提供隔離安全環(huán)境，對(duì)數(shù)據(jù)需方在數(shù)據(jù)使用環(huán)境中運(yùn)行的相關(guān)程序和產(chǎn)生的數(shù)據(jù)結(jié)果進(jìn)行審核。e)在托管數(shù)據(jù)交付模式下，對(duì)交易數(shù)據(jù)進(jìn)行安全存儲(chǔ)和備份，確保數(shù)據(jù)的保密性、完整性和可用性。f)當(dāng)數(shù)據(jù)供方撤銷(xiāo)托管數(shù)據(jù)時(shí)，清除剩余信息，并且不可恢復(fù)。數(shù)據(jù)交易服務(wù)平臺(tái)應(yīng)滿足以下要求：a)允許對(duì)數(shù)據(jù)交易的參與方、對(duì)象、關(guān)鍵過(guò)程設(shè)置人工干涉功能。b)人工干涉的內(nèi)容中至少應(yīng)包括：交易參與方審核、交易審核、交易暫停、交易撤銷(xiāo)、交易恢復(fù)。c)處理數(shù)據(jù)供方或數(shù)據(jù)需方的仲裁要求，并要求被訴方提供應(yīng)對(duì)證據(jù)。數(shù)據(jù)交易服務(wù)平臺(tái)應(yīng)滿足以下要求：a)對(duì)每筆數(shù)據(jù)交易操作進(jìn)行記錄，生成數(shù)據(jù)交易日志。b)數(shù)據(jù)交易日志至少包括以下信息：交易唯一標(biāo)識(shí)、交易時(shí)間、交易供方、交易需方、交易數(shù)據(jù)標(biāo)c)安全保存數(shù)據(jù)交易日志、數(shù)據(jù)來(lái)源合法性等文件至少6個(gè)月。d)只允許授權(quán)審計(jì)員訪問(wèn)數(shù)據(jù)交易日志，支持對(duì)數(shù)據(jù)交易日志進(jìn)行查詢(xún)和分析。e)允許數(shù)據(jù)供方和數(shù)據(jù)需方查詢(xún)與自己數(shù)據(jù)交易相關(guān)的日志信息，并允許導(dǎo)出。f)提供數(shù)據(jù)交易日志訪問(wèn)接口給國(guó)家監(jiān)管部門(mén)或第三方審計(jì)機(jī)構(gòu)。對(duì)于提供托管數(shù)據(jù)交付模式的數(shù)據(jù)交易服務(wù)機(jī)構(gòu)，應(yīng)遵循GB/T35274—2017來(lái)建設(shè)和運(yùn)維數(shù)據(jù)6安全托管服務(wù)平臺(tái)。6交易對(duì)象安全6.1禁止交易數(shù)據(jù)數(shù)據(jù)交易服務(wù)機(jī)構(gòu)應(yīng)根據(jù)我國(guó)相關(guān)法律法規(guī)，制定禁止交易的數(shù)據(jù)目錄，目錄至少應(yīng)包括：a)受法律保護(hù)的數(shù)據(jù)。b)涉及個(gè)人信息的數(shù)據(jù)，除非獲得了全部個(gè)人數(shù)據(jù)主體或未成年人的監(jiān)護(hù)人的明示同意，或者進(jìn)行了必要的去標(biāo)識(shí)化處理以達(dá)到無(wú)法識(shí)別出個(gè)體的程度。c)涉及他人知識(shí)產(chǎn)權(quán)和商業(yè)秘密等權(quán)利的數(shù)據(jù)，除非取得權(quán)利人明確許可。d)從非法或違規(guī)渠道獲取的數(shù)據(jù)。e)與原供方所簽訂的合約要求禁止轉(zhuǎn)售或公開(kāi)的數(shù)據(jù)。f)其他法律法規(guī)明確禁止交易的數(shù)據(jù)。6.2數(shù)據(jù)質(zhì)量要求數(shù)據(jù)交易服務(wù)機(jī)構(gòu)應(yīng)確保交易數(shù)據(jù)滿足以下質(zhì)量要求：a)數(shù)據(jù)供方應(yīng)向數(shù)據(jù)交易服務(wù)機(jī)構(gòu)提供交易數(shù)據(jù)獲取渠道合法，權(quán)利清晰無(wú)爭(zhēng)議的承諾或證明材料。b)數(shù)據(jù)供方應(yīng)向數(shù)據(jù)交易服務(wù)機(jī)構(gòu)提供擁有交易數(shù)據(jù)完整相關(guān)權(quán)益的明確聲明。c)數(shù)據(jù)供方應(yīng)向數(shù)據(jù)交易服務(wù)機(jī)構(gòu)提供數(shù)據(jù)真實(shí)性的明確聲明。d)數(shù)據(jù)供方應(yīng)對(duì)交易數(shù)據(jù)進(jìn)行分類(lèi)，并對(duì)交易數(shù)據(jù)進(jìn)行安全風(fēng)險(xiǎn)評(píng)估，出具安全風(fēng)險(xiǎn)評(píng)估報(bào)告。e)數(shù)據(jù)供方應(yīng)明確交易數(shù)據(jù)的限定用途、使用范圍、交易方式和使用期限。f)數(shù)據(jù)供方應(yīng)按照GB/T36343—2018的要求對(duì)交易數(shù)據(jù)進(jìn)行準(zhǔn)確描述，明確數(shù)據(jù)類(lèi)別等內(nèi)容，描述內(nèi)容滿足準(zhǔn)確性、真實(shí)性要求。g)數(shù)據(jù)交易服務(wù)機(jī)構(gòu)應(yīng)對(duì)交易數(shù)據(jù)描述和樣本的準(zhǔn)確性、真實(shí)性進(jìn)行審核。h)數(shù)據(jù)交易服務(wù)機(jī)構(gòu)應(yīng)對(duì)交易數(shù)據(jù)的安全風(fēng)險(xiǎn)評(píng)估報(bào)告進(jìn)行審核，確保數(shù)據(jù)可交易。i)數(shù)據(jù)交易服務(wù)機(jī)構(gòu)應(yīng)對(duì)交易數(shù)據(jù)分類(lèi)結(jié)果進(jìn)行審核。6.3個(gè)人信息安全保護(hù)數(shù)據(jù)交易服務(wù)機(jī)構(gòu)應(yīng)確保數(shù)據(jù)交易在個(gè)人信息安全保護(hù)方面滿足以下要求：a)滿足GB/T35273—2017中第8章關(guān)于個(gè)人信息的委托處理、共享、轉(zhuǎn)讓、公開(kāi)披露安全要求。b)要求數(shù)據(jù)供方對(duì)交易數(shù)據(jù)進(jìn)行個(gè)人信息安全風(fēng)險(xiǎn)評(píng)估，提供個(gè)人信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告。c)數(shù)據(jù)對(duì)個(gè)人信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告進(jìn)行審核，確保數(shù)據(jù)可交易。6.4重要數(shù)據(jù)安全保護(hù)數(shù)據(jù)交易服務(wù)機(jī)構(gòu)應(yīng)確保交易數(shù)據(jù)在重要數(shù)據(jù)安全保護(hù)方面滿足以下要求：a)滿足GB/T35274—2017中5.6.2的增強(qiáng)要求。b)要求數(shù)據(jù)供方對(duì)交易數(shù)據(jù)進(jìn)行重要數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估，提供重要數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估報(bào)告。c)對(duì)重要數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估報(bào)告進(jìn)行審核，確保數(shù)據(jù)可交易。7數(shù)據(jù)交易過(guò)程安全7.1交易申請(qǐng)數(shù)據(jù)交易服務(wù)機(jī)構(gòu)應(yīng)確保交易申請(qǐng)環(huán)節(jié)滿足以下要求：a)數(shù)據(jù)供方應(yīng)明確界定交易數(shù)據(jù)的內(nèi)容范圍、使用范圍，以確保符合國(guó)家相關(guān)法律法規(guī)的要求。b)數(shù)據(jù)供方應(yīng)按數(shù)據(jù)交易服務(wù)機(jī)構(gòu)要求，提供對(duì)交易數(shù)據(jù)的概要描述，并提供樣本數(shù)據(jù)。c)數(shù)據(jù)交易服務(wù)機(jī)構(gòu)對(duì)數(shù)據(jù)供方提供的樣本數(shù)據(jù)進(jìn)行內(nèi)容審核，確認(rèn)數(shù)據(jù)合法合規(guī)。對(duì)于不符合要求的，數(shù)據(jù)交易服務(wù)機(jī)構(gòu)應(yīng)要求數(shù)據(jù)供方重新提交樣本數(shù)據(jù)進(jìn)行審核。d)數(shù)據(jù)需方應(yīng)披露數(shù)據(jù)需求內(nèi)容、數(shù)據(jù)用途，以確保符合國(guó)家法律法規(guī)的要求。e)數(shù)據(jù)交易服務(wù)機(jī)構(gòu)對(duì)數(shù)據(jù)需方的數(shù)據(jù)需求進(jìn)行審核通過(guò)后方可發(fā)布。數(shù)據(jù)交易服務(wù)機(jī)構(gòu)應(yīng)確保交易磋商環(huán)節(jié)滿足以下要求：b)數(shù)據(jù)交易服務(wù)機(jī)構(gòu)應(yīng)遵循國(guó)家