《信用信息交易安全規(guī)范》征求意見(jiàn)稿

1T/GDJRxxx—2024信用信息交易安全規(guī)范本標(biāo)準(zhǔn)規(guī)定了信用信息交易安全要求，包括信用信息交易參與方、交易對(duì)象、交易平臺(tái)及交易過(guò)程的安全要求。本標(biāo)準(zhǔn)適用于中華人民共和國(guó)境內(nèi)的信用信息供方、信用信息需方、第三方專業(yè)服務(wù)機(jī)構(gòu)規(guī)范其信用信息交易活動(dòng)，也適用于中華人民共和國(guó)境內(nèi)的監(jiān)管部門(mén)、評(píng)估機(jī)構(gòu)對(duì)信用信息交易服務(wù)安全進(jìn)行監(jiān)督、管理、評(píng)估。2規(guī)范性引用文件下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。JR/T0117-2014《征信機(jī)構(gòu)信息安全規(guī)范》GB/T37932-2019《信息安全技術(shù)數(shù)據(jù)交易服務(wù)安全要求》JR/T0223-2021《金融數(shù)據(jù)安全數(shù)據(jù)生命周期安全規(guī)范》GB/T20986-2023《信息安全技術(shù)網(wǎng)絡(luò)安全事件分類(lèi)分級(jí)指南》GB/T35273-2020《個(gè)人信息安全規(guī)范》GB/T37964-2019《個(gè)人信息去標(biāo)識(shí)化指南》GB/T36343-2018《信息技術(shù)數(shù)據(jù)交易服務(wù)平臺(tái)交易數(shù)據(jù)描述》3術(shù)語(yǔ)和定義下列術(shù)語(yǔ)和定義適用于本文件。3.1信用信息creditinformation信用信息是指依法采集，為金融等活動(dòng)提供服務(wù)，用于識(shí)別判斷企業(yè)和個(gè)人信用狀況的基本信息、借貸信息、其他相關(guān)信息，以及基于前述信息形成的分析評(píng)價(jià)信息。3.2信用信息供方creditinformationsupplier信用信息交易中出售和提供數(shù)據(jù)產(chǎn)品的組織，簡(jiǎn)稱供方。3.3信用信息需方creditinformationdemander信用信息交易中購(gòu)買(mǎi)和使用數(shù)據(jù)產(chǎn)品的組織，簡(jiǎn)稱需方。3.4信用信息交易creditinformationtrade信用信息供方和需方之間以信用信息數(shù)據(jù)或數(shù)據(jù)產(chǎn)品作為交易對(duì)象，進(jìn)行的以貨幣或貨幣等價(jià)物交換數(shù)據(jù)產(chǎn)品的行為，既可以是數(shù)據(jù)交易平臺(tái)中進(jìn)行的場(chǎng)內(nèi)交易，也可以是雙方自行依法交易的場(chǎng)外交易。3.5征信機(jī)構(gòu)creditbureau指依法設(shè)立、主要經(jīng)營(yíng)征信業(yè)務(wù)的機(jī)構(gòu)。3.6第三方專業(yè)服務(wù)機(jī)構(gòu)third-partyprofessionalserviceagency2T/GDJRXXX—2024輔助信用信息交易活動(dòng)有序開(kāi)展的第三方服務(wù)提供方，包括但不限于提供法律服務(wù)、合規(guī)服務(wù)、數(shù)據(jù)經(jīng)紀(jì)服務(wù)、數(shù)據(jù)資產(chǎn)化服務(wù)、評(píng)估鑒定服務(wù)、培訓(xùn)咨詢服務(wù)等第三方服務(wù)的組織機(jī)構(gòu)。3.7交易參與方datatransactionparticipants參與信用信息交易服務(wù)的相關(guān)方。3.8信用信息交易服務(wù)creditinformationtransactionservice為幫助信用信息供方和需方完成數(shù)據(jù)流通交易全過(guò)程，實(shí)現(xiàn)數(shù)據(jù)資產(chǎn)化和數(shù)據(jù)價(jià)值變現(xiàn)提供的各類(lèi)服務(wù)。3.9交易標(biāo)的transactionobject供需雙方交易的信用信息數(shù)據(jù)或數(shù)據(jù)產(chǎn)品，也稱信用信息交易對(duì)象或交易數(shù)據(jù)。3.10交易過(guò)程datatransactionprocess信用信息交易參與方針對(duì)具體的信用信息交易標(biāo)的，進(jìn)行的一組完整和具體的信用信息交易活動(dòng)。4信用信息交易安全4.1信用信息交易安全原則信用信息交易應(yīng)遵循以下原則：a）總體原則。信用信息交易安全工作以實(shí)現(xiàn)權(quán)益保護(hù)和數(shù)據(jù)保護(hù)為目標(biāo)。權(quán)益保護(hù)，指維護(hù)數(shù)據(jù)主體的合法權(quán)益。數(shù)據(jù)保護(hù)，指保障數(shù)據(jù)的保密性、完整性和可用性；b）合法合規(guī)原則。信用信息交易參與方應(yīng)遵守《網(wǎng)絡(luò)安全法》《個(gè)人信息保護(hù)法》《數(shù)據(jù)安全法》等法律法規(guī)，尊重社會(huì)公德和倫理，遵守商業(yè)道德和職業(yè)道德，誠(chéng)實(shí)守信，不得危害國(guó)家安全、公共利益，不得損害個(gè)人、組織的合法權(quán)益；c）過(guò)程可控原則。信用信息交易過(guò)程應(yīng)確保數(shù)據(jù)來(lái)源合法可確認(rèn)、使用范圍可界定、交易過(guò)程可追溯、安全風(fēng)險(xiǎn)可防范；d）分類(lèi)分級(jí)原則。信用信息交易標(biāo)的應(yīng)遵守國(guó)家和行業(yè)數(shù)據(jù)分類(lèi)分級(jí)保護(hù)要求，結(jié)合數(shù)據(jù)流通范圍、影響程度、潛在風(fēng)險(xiǎn)，建立企業(yè)數(shù)據(jù)、個(gè)人信息等數(shù)據(jù)分類(lèi)分級(jí)授權(quán)使用和保護(hù)機(jī)制；e）確保安全原則。信用信息交易參與方應(yīng)采取必要的管理措施和技術(shù)手段，防范交易標(biāo)的被篡改、破壞、泄露或者非法獲取、非法利用、非法交易等風(fēng)險(xiǎn)，保障信息主體權(quán)益；f）權(quán)責(zé)一致原則。信用信息交易參與方在享有信息信用交易標(biāo)的交易收益的同時(shí)，應(yīng)當(dāng)對(duì)各自的信用信息交易活動(dòng)承擔(dān)安全責(zé)任：——供方應(yīng)對(duì)信用信息交易標(biāo)的的來(lái)源、保存、交付的合規(guī)性、安全性負(fù)責(zé)；——需方應(yīng)對(duì)信用信息交易標(biāo)的的接收、保存、使用的合規(guī)性、安全性負(fù)責(zé)；——第三方專業(yè)服務(wù)機(jī)構(gòu)應(yīng)對(duì)其在交易中提供的服務(wù)內(nèi)容相適應(yīng)的合規(guī)性、安全性負(fù)責(zé)。4.2信用信息交易參與方安全要求4.2.1基本要求信用信息供方、需方等交易參與方，應(yīng)滿足以下要求：a）不應(yīng)以欺詐、誘騙、誤導(dǎo)、脅迫、賄賂等方式開(kāi)展數(shù)據(jù)交易活動(dòng)；b）不應(yīng)以非法手段、非法途徑、非法標(biāo)的開(kāi)展數(shù)據(jù)交易活動(dòng)；3T/GDJRxxx—2024c）應(yīng)遵守國(guó)家及地方相關(guān)法律法規(guī)，包括但不限于《征信業(yè)務(wù)管理辦法》，依法取得行政許可；d）應(yīng)履行數(shù)據(jù)處理者安全保護(hù)義務(wù)，建立全流程數(shù)據(jù)安全管理制度，組織開(kāi)展數(shù)據(jù)安全教育培訓(xùn)，需采取措施保護(hù)交易標(biāo)的安全，防范數(shù)據(jù)泄露、篡改、破壞或者非法獲取、非法利用等風(fēng)險(xiǎn)，保障數(shù)據(jù)安全；e）應(yīng)針對(duì)數(shù)據(jù)安全保障能力定期開(kāi)展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估，并按有關(guān)規(guī)定向有關(guān)主管部門(mén)報(bào)送風(fēng)險(xiǎn)評(píng)估報(bào)告。在出現(xiàn)法律法規(guī)重大更改或增刪、業(yè)務(wù)活動(dòng)發(fā)生重大變化、數(shù)據(jù)資產(chǎn)發(fā)生重大變化、發(fā)生重大數(shù)據(jù)安全事件、數(shù)據(jù)安全管理方針發(fā)生變化等重大情況變化時(shí)，進(jìn)行局部或全面數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估，形成數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估報(bào)告。涉及敏感個(gè)人信息處理、個(gè)人信息自動(dòng)化決策、委托處理、向他人提供（含境外）、公開(kāi)、其他對(duì)個(gè)人權(quán)益有重大影響的個(gè)人信息處理活動(dòng)等，事先開(kāi)展個(gè)人信息保護(hù)影響評(píng)估，并將評(píng)估記錄保存至少三年；f）建立并實(shí)施數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)、預(yù)警、響應(yīng)和處置的閉環(huán)管理機(jī)制；g）應(yīng)制定數(shù)據(jù)安全應(yīng)急預(yù)案，發(fā)生數(shù)據(jù)安全事件時(shí)，應(yīng)立即采取處置措施，按照規(guī)定及時(shí)告知相關(guān)方并向有關(guān)主管部門(mén)報(bào)告；h）涉及個(gè)人信息的，應(yīng)依法履行個(gè)人信息處理者法定義務(wù)；i）重要數(shù)據(jù)處理者，應(yīng)嚴(yán)格履行與數(shù)據(jù)處理活動(dòng)相關(guān)的各項(xiàng)法定義務(wù)；j）信用信息交易過(guò)程中涉及跨境情形的，應(yīng)遵守國(guó)家數(shù)據(jù)出境管理有關(guān)規(guī)定；k）涉及人工智能算法模型的，應(yīng)遵守人工智能領(lǐng)域的有關(guān)規(guī)定；l）涉及知識(shí)產(chǎn)權(quán)的，應(yīng)提供知識(shí)產(chǎn)權(quán)相關(guān)權(quán)屬證明，不應(yīng)侵犯他人依法享有的知識(shí)產(chǎn)權(quán)。4.2.2信用信息供方安全要求信用信息供方在符合4.2.1基本要求基礎(chǔ)上，還應(yīng)滿足以下要求：a）作為供方進(jìn)行信用信息交易，應(yīng)滿足以下條件：——依法成立并有效存續(xù)，具備獨(dú)立承擔(dān)民事責(zé)任的能力；——具有健全的財(cái)務(wù)制度，無(wú)重大財(cái)務(wù)風(fēng)險(xiǎn)；——對(duì)外提供信用信息需取得相關(guān)征信業(yè)務(wù)行政許可的，應(yīng)當(dāng)依法取得行政許可；——近一年不存在違法違規(guī)和失信記錄；——近一年未發(fā)生GB/T20986-2023《信息安全技術(shù)網(wǎng)絡(luò)安全事件分類(lèi)分級(jí)指南》中規(guī)定的較大及以上級(jí)別的網(wǎng)絡(luò)和數(shù)據(jù)安全事件；——信息系統(tǒng)應(yīng)符合網(wǎng)絡(luò)安全等級(jí)保護(hù)要求，按規(guī)定開(kāi)展網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)和備案；——應(yīng)具備數(shù)據(jù)要素市場(chǎng)主體相應(yīng)的數(shù)據(jù)安全能力和數(shù)據(jù)合規(guī)體系，并取得數(shù)據(jù)安全能力評(píng)估認(rèn)證。b）供方應(yīng)提供信息交易標(biāo)的來(lái)源合法性證明；c）供方應(yīng)提供數(shù)據(jù)使用說(shuō)明以及數(shù)據(jù)授權(quán)說(shuō)明；d）供方應(yīng)確保交易標(biāo)的數(shù)據(jù)來(lái)源合法，保證對(duì)數(shù)據(jù)資源的處理活動(dòng)合規(guī)；e）供方應(yīng)有正當(dāng)合法的經(jīng)營(yíng)目的，且交易標(biāo)的在本身的業(yè)務(wù)范圍內(nèi)或者與自身業(yè)務(wù)直接相關(guān)；f）供方應(yīng)保證交易標(biāo)的的數(shù)據(jù)質(zhì)量，保證數(shù)據(jù)的真實(shí)性、準(zhǔn)確性、完整性；g）供方應(yīng)采取措施保護(hù)交易標(biāo)的安全，防范數(shù)據(jù)泄露、篡改、破壞或者被非法獲取等風(fēng)險(xiǎn)；應(yīng)保證交易標(biāo)的不對(duì)國(guó)家安全、公共利益造成影響，不損害組織或個(gè)人合法權(quán)益；h）供方應(yīng)真實(shí)、準(zhǔn)確、完整披露交易標(biāo)的信息，不應(yīng)隱瞞數(shù)據(jù)來(lái)源及涉及個(gè)人信息、重要數(shù)據(jù)的情形；i）供方應(yīng)當(dāng)定期檢查系統(tǒng)的安全建設(shè)和運(yùn)行情況，分析、發(fā)現(xiàn)并解決信息系統(tǒng)在管理制度、技術(shù)措施和業(yè)務(wù)操作等方面存在的問(wèn)題，保障信息系統(tǒng)安全運(yùn)行和信息合規(guī)使用；4T/GDJRXXX—2024j）供方應(yīng)建立信息泄露應(yīng)急處置制度，發(fā)生或者有可能發(fā)生重大信息泄露事件時(shí)，應(yīng)當(dāng)立即采取必要措施，避免損害擴(kuò)大；k）供方應(yīng)當(dāng)采取有效措施，確保個(gè)人信息去標(biāo)識(shí)化處理后，個(gè)人身份不被直接或間接識(shí)別；l）如存在數(shù)據(jù)流通限制，供方應(yīng)對(duì)數(shù)據(jù)產(chǎn)品使用或流通的目的、方式、范圍進(jìn)行明確說(shuō)明，法律法規(guī)另有規(guī)定的從其規(guī)定。4.2.3信用信息需方安全要求信用信息需方在符合4.2.1基本要求基礎(chǔ)上，應(yīng)滿足以下要求：a）作為需方進(jìn)行信用信息交易，應(yīng)滿足以下條件：——依法成立并有效存續(xù)，具備獨(dú)立承擔(dān)民事責(zé)任的能力；——具有健全的財(cái)務(wù)制度，無(wú)重大財(cái)務(wù)風(fēng)險(xiǎn)；——近一年不存在違法、重大違規(guī)和失信記錄；——近一年未發(fā)生GB/T20986-2023《信息安全技術(shù)網(wǎng)絡(luò)安全事件分類(lèi)分級(jí)指南》中規(guī)定的較大及以上級(jí)別的網(wǎng)絡(luò)和數(shù)據(jù)安全事件；——信息系統(tǒng)應(yīng)符合網(wǎng)絡(luò)安全等級(jí)保護(hù)要求，按規(guī)定開(kāi)展網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)和備案。b）需方使用交易標(biāo)的應(yīng)具有明確、合理的目的，購(gòu)買(mǎi)的交易標(biāo)的應(yīng)與使用目的直接相c）需方應(yīng)按照信用信息交易協(xié)議中約定的范圍使用數(shù)據(jù)，不得嘗試獲取供方未授權(quán)的數(shù)據(jù)；d）需方應(yīng)具備與處理交易標(biāo)的相適應(yīng)的數(shù)據(jù)安全能力，開(kāi)展數(shù)據(jù)安全能力評(píng)估認(rèn)證；e）需方不應(yīng)繞過(guò)或破壞交易數(shù)據(jù)的安全保護(hù)措施，不應(yīng)對(duì)去標(biāo)識(shí)化的個(gè)人信息進(jìn)行重新識(shí)別；f）需方應(yīng)建立信息泄露應(yīng)急處置制度，發(fā)生或者有可能發(fā)生重大信息泄露事件時(shí)，應(yīng)立即啟動(dòng)應(yīng)急處置，分析事件發(fā)生原因，評(píng)估事件影響范圍，及時(shí)采取技術(shù)和業(yè)務(wù)措施，控制和降低事件影響，消除風(fēng)險(xiǎn)隱患；g）需方對(duì)交易數(shù)據(jù)的使用加工，不應(yīng)對(duì)國(guó)家安全、公共利益造成影響，不應(yīng)損害組織或個(gè)人合法權(quán)益；h）需方應(yīng)按照交易約定的授權(quán)范圍，合理確定交易標(biāo)的的訪問(wèn)權(quán)限，并定期對(duì)相關(guān)人員進(jìn)行安全培訓(xùn)；i）需方應(yīng)對(duì)供方提供的交易標(biāo)的的安全性、合規(guī)性進(jìn)行審核；j）需方在信用信息交易協(xié)議到期或按照約定完成交易標(biāo)的使用目的后，應(yīng)按照協(xié)議約定要求及時(shí)對(duì)交易標(biāo)的進(jìn)行處置。4.3信用信息交易標(biāo)的安全要求4.3.1禁止交易的數(shù)據(jù)信用信息交易標(biāo)的應(yīng)遵循合法、安全和可交易原則，應(yīng)滿足以下要求：a）交易標(biāo)的應(yīng)具有明確、合理的應(yīng)用場(chǎng)景和具體用途；b）有下列情形之一的交易標(biāo)的，不應(yīng)進(jìn)行流通交易：——涉及國(guó)家秘密的信息；——危害國(guó)家安全和社會(huì)穩(wěn)定的數(shù)據(jù)；——涉及損毀他人名譽(yù)及未經(jīng)授權(quán)的身份、財(cái)產(chǎn)和其他敏感數(shù)據(jù)等特定個(gè)人權(quán)益——涉及未經(jīng)授權(quán)的企業(yè)數(shù)據(jù)、商業(yè)秘密等特定企業(yè)權(quán)益的；——未經(jīng)自然人或其監(jiān)護(hù)人同意，涉及其個(gè)人信息的數(shù)據(jù)；——侵犯他人肖像、名譽(yù)、榮譽(yù)等人格權(quán)的數(shù)據(jù)；——未經(jīng)有關(guān)部門(mén)授權(quán)，涉及公共利益、公共安全的公共數(shù)據(jù)；——未依法依規(guī)公開(kāi)的原始公共數(shù)據(jù)；5T/GDJRxxx—2024——關(guān)系國(guó)家安全、國(guó)民經(jīng)濟(jì)命脈、重要民生、重大公共利益等國(guó)家核心數(shù)據(jù)；——以欺詐、誘騙、誤導(dǎo)等方式或者從非法、違規(guī)渠道獲取的數(shù)據(jù)；——個(gè)人的宗教信仰、基因、指紋、血型、疾病和病史信息等禁止征信機(jī)構(gòu)采集的信用信息；——法律法規(guī)禁止流通的其他信用信息。4.3.2信用信息質(zhì)量合規(guī)要求為確保所交易的信用信息質(zhì)量與合規(guī)性，在信用信息交易活動(dòng)中，應(yīng)滿足以下要求：a）供方應(yīng)明確界定交易標(biāo)的的內(nèi)容范圍、使用范圍、商品形態(tài)，以確保符合國(guó)家相關(guān)法律法規(guī)的要求；b）供方應(yīng)提供對(duì)交易標(biāo)的的概要描述，并提供樣本信息；c）供方應(yīng)向需方提供信息交易標(biāo)的來(lái)源合法性的證明和承諾：——針對(duì)公開(kāi)收集的數(shù)據(jù)，應(yīng)說(shuō)明公開(kāi)數(shù)據(jù)收集的目的、方式、范圍，提供公開(kāi)收集的數(shù)據(jù)類(lèi)型、采集策略、數(shù)據(jù)來(lái)源、收集合法性證明等；——針對(duì)組織經(jīng)營(yíng)活動(dòng)和信息系統(tǒng)自行產(chǎn)生的數(shù)據(jù)，應(yīng)說(shuō)明系統(tǒng)建設(shè)和運(yùn)維情況及其數(shù)據(jù)采集的目的、方式、范圍情況；——針對(duì)協(xié)議方式獲取的數(shù)據(jù)，應(yīng)提供完整的購(gòu)買(mǎi)協(xié)議、合作協(xié)議或許可使用協(xié)議或者上述協(xié)議的關(guān)鍵部分等；——針對(duì)用戶授權(quán)獲取的數(shù)據(jù)，應(yīng)說(shuō)明數(shù)據(jù)獲取的目的、方式范圍，是否可對(duì)外提供、交易，并提供用戶授權(quán)證明。d）供方應(yīng)向需方提供擁有信息交易標(biāo)的完整權(quán)益的聲明；e）供方應(yīng)向需方提供交易標(biāo)的真實(shí)性的聲明；f）供方應(yīng)向需方明確交易標(biāo)的的限定用途、使用范圍、流通方式和使用期限；g）供方應(yīng)向需方提供交易標(biāo)的滿足法律法規(guī)和政策要求說(shuō)明、交易標(biāo)的質(zhì)量評(píng)估說(shuō)明、遵守?cái)?shù)據(jù)交易安全原則說(shuō)明，并對(duì)數(shù)據(jù)流通后果提供書(shū)面承諾；h）供方應(yīng)向需方明確具體交易的方式、途徑和保護(hù)措施；i）供方按照GB/T36343-2018《信息技術(shù)數(shù)據(jù)交易服務(wù)平臺(tái)交易數(shù)據(jù)描述》要求對(duì)交易標(biāo)的進(jìn)行準(zhǔn)確描述，明確數(shù)據(jù)類(lèi)別等信息，描述信息滿足準(zhǔn)確性、真實(shí)性要求；j）需方應(yīng)對(duì)交易標(biāo)的描述和樣本的準(zhǔn)確性、真實(shí)性進(jìn)行審核。4.3.3交易信息分級(jí)分類(lèi)保護(hù)要求交易信息分級(jí)分類(lèi)保護(hù)，應(yīng)滿足以下要求：a）交易雙方就本次信用信息交易，應(yīng)按照國(guó)家和行業(yè)有關(guān)要求進(jìn)行數(shù)據(jù)分類(lèi)分級(jí)，識(shí)別可能涉及的個(gè)人信息、公共數(shù)據(jù)和重要數(shù)據(jù)；b）結(jié)合數(shù)據(jù)流通范圍、影響程度、潛在風(fēng)險(xiǎn)，建立企業(yè)數(shù)據(jù)、個(gè)人信息等數(shù)據(jù)分類(lèi)分級(jí)授權(quán)使用和保護(hù)機(jī)制；c）交易標(biāo)的涉及個(gè)人信息的，對(duì)個(gè)人信息的保護(hù)應(yīng)符合GB/T35273-2020《個(gè)人信息安全規(guī)范》以及GB/T37964-2019《個(gè)人信息去標(biāo)識(shí)化指南》的相關(guān)要求；d）交易標(biāo)的涉及重要數(shù)據(jù)的，應(yīng)當(dāng)滿足國(guó)家相關(guān)法律法規(guī)對(duì)重要數(shù)據(jù)保護(hù)的相關(guān)要求；e）交易標(biāo)的涉及公共數(shù)據(jù)的，在保護(hù)個(gè)人隱私和確保公共安全的前提下，公共數(shù)據(jù)宜按照“原始數(shù)據(jù)不出域、數(shù)據(jù)可用不可見(jiàn)”的要求，以模型、核驗(yàn)等產(chǎn)品服務(wù)等形式向社會(huì)提供；注：“原始數(shù)據(jù)不出域、數(shù)據(jù)可用不可見(jiàn)”引用自《中共中央國(guó)務(wù)院關(guān)于構(gòu)f）供方應(yīng)提供符合JR/T0223-2021《金融數(shù)據(jù)安全數(shù)據(jù)生命周期安全規(guī)范》以及國(guó)家相關(guān)法律法規(guī)的要求的數(shù)據(jù)脫敏方法，并具備評(píng)價(jià)重要數(shù)據(jù)脫敏有效性的評(píng)估能4.4信用信息交易流通安全要求4.4.1流通場(chǎng)景的安全要求6T/GDJRXXX—2024流通場(chǎng)景應(yīng)符合以下安全要求：a）需方應(yīng)提供書(shū)面的數(shù)據(jù)交易和使用承諾，以確保采購(gòu)需求以及流通場(chǎng)景真實(shí)、合法、合理，與其所在行業(yè)、業(yè)務(wù)需求相符；b）需方應(yīng)保證流通場(chǎng)景及流通目的不危害國(guó)家安全、公共利益以及第三方合法權(quán)益的情形；c）涉及向境外提供信用信息的，應(yīng)當(dāng)了解需方以及其他流通相關(guān)方的身份、用途，確保信用信息用于跨境貿(mào)易、融資等合理的用途。4.4.2流通程序的安全要求流通程序應(yīng)符合以下安全要求：a）數(shù)據(jù)交易涉及許可、備案等行政手續(xù)的，交易主體應(yīng)向有關(guān)部門(mén)申請(qǐng)?jiān)S可、履行備案或辦理其他行政手續(xù)；b）涉及向境外提供信用信息的，應(yīng)根據(jù)適用的法律法規(guī)履行數(shù)據(jù)出境相關(guān)義務(wù)。4.4.3流通方式的安全要求4.4.3.1系統(tǒng)接入交易雙方系統(tǒng)接入應(yīng)符合以下安全要求：a）系統(tǒng)接入是指供方與需方依據(jù)雙方協(xié)議，通過(guò)預(yù)定義的接口規(guī)范和安全協(xié)議，實(shí)現(xiàn)交易標(biāo)的在系統(tǒng)間安全傳輸和交換的過(guò)程；b）應(yīng)當(dāng)建立外部機(jī)構(gòu)接入本系統(tǒng)的管理辦法，明確外部機(jī)構(gòu)的接入條件、提交的申請(qǐng)材料、申請(qǐng)和審核程序，建議可包括數(shù)據(jù)保護(hù)策略、數(shù)據(jù)安全管理辦法、信息數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估實(shí)施方案、系統(tǒng)災(zāi)備應(yīng)急方案等內(nèi)容；c）應(yīng)當(dāng)對(duì)外部機(jī)構(gòu)申請(qǐng)接入系統(tǒng)的必要性、業(yè)務(wù)系統(tǒng)及業(yè)務(wù)現(xiàn)狀、安全管理水平、網(wǎng)絡(luò)條件等是否符合前款規(guī)定進(jìn)行綜合評(píng)估，確認(rèn)符合條件的方可接入系統(tǒng)；d）應(yīng)當(dāng)在測(cè)試環(huán)境下對(duì)外部機(jī)構(gòu)的接口規(guī)范程序、網(wǎng)絡(luò)條件等進(jìn)行測(cè)試，測(cè)試通過(guò)后方可接入系統(tǒng)生產(chǎn)環(huán)境。4.4.3.2系統(tǒng)接口規(guī)范方式交易雙方采用系統(tǒng)接口規(guī)范方式進(jìn)行系統(tǒng)接入的，應(yīng)符合以下安全要求：a）交易雙方應(yīng)當(dāng)制定合適的信息交付策略，明確信息接入的范圍、內(nèi)容、方式和頻次、報(bào)文接收與反饋、意外事件處理及相關(guān)崗位職責(zé)等，合理控制報(bào)文加載順序、進(jìn)度，確保信息及時(shí)加載入庫(kù)；b）需方接收信用信息供方按照接口規(guī)范生成的業(yè)務(wù)數(shù)據(jù)報(bào)文，記錄報(bào)文登記信息，自動(dòng)進(jìn)行解密和加載處理，業(yè)務(wù)操作人員應(yīng)及時(shí)跟蹤報(bào)文的接收，在對(duì)業(yè)務(wù)數(shù)據(jù)報(bào)文進(jìn)行處理時(shí)，加載成功的信息，按照接口規(guī)范生成反饋報(bào)文，反饋給供方。加載異常的信息，應(yīng)將錯(cuò)誤信息反饋給供方，由其進(jìn)行重報(bào)。供方業(yè)務(wù)操作人員應(yīng)及時(shí)聯(lián)系相關(guān)人員，進(jìn)行跟蹤處理。4.4.3.3非系統(tǒng)接口規(guī)范方式采用非系統(tǒng)接口規(guī)范方式進(jìn)行系統(tǒng)接入的，應(yīng)符合以下安全要求：a）需方應(yīng)當(dāng)制定通過(guò)手工錄入、介質(zhì)導(dǎo)入等非接口方式采集信息的具體流程，明確信息采集范圍、內(nèi)容、方式和頻次、信息審核、錯(cuò)誤數(shù)據(jù)修改及相關(guān)崗位職責(zé)等；b）需方應(yīng)當(dāng)對(duì)信息來(lái)源和內(nèi)容進(jìn)行審核，必要時(shí)委托第三方專業(yè)服務(wù)機(jī)構(gòu)協(xié)助需方進(jìn)行審核，審核通過(guò)后再發(fā)起手工錄入、介質(zhì)導(dǎo)入等操作；c）需方應(yīng)當(dāng)對(duì)手工錄入、介質(zhì)導(dǎo)入的業(yè)務(wù)數(shù)據(jù)進(jìn)行合法性校驗(yàn)，無(wú)法正常錄入信息系統(tǒng)的信息，由業(yè)務(wù)操作人員通過(guò)專門(mén)數(shù)據(jù)修改流程進(jìn)行核查處理；d）應(yīng)對(duì)存儲(chǔ)數(shù)據(jù)的介質(zhì)或物理設(shè)備采取無(wú)法恢復(fù)的方式進(jìn)行數(shù)據(jù)刪除與銷(xiāo)毀，如物理粉碎、消磁、多次擦寫(xiě)等。7T/GDJRxxx—20244.4.4流通技術(shù)設(shè)施的安全要求流通技術(shù)設(shè)施應(yīng)符合以下安全要求：a）交易雙方應(yīng)具備安全的數(shù)據(jù)傳輸通道，保證數(shù)據(jù)在傳輸過(guò)程中的保密性和完整性；b）交易雙方應(yīng)具備安全的上傳或下載接口，包括基于密碼技術(shù)的身份認(rèn)證、訪問(wèn)控制、傳輸鏈路加密、傳輸數(shù)據(jù)保密性和完整性校驗(yàn)等保護(hù)措施；c）供方應(yīng)對(duì)數(shù)據(jù)交易平臺(tái)接口的不安全輸入?yún)?shù)進(jìn)行限制和過(guò)濾，為接口提供異常處理能力；d）交易雙方應(yīng)為數(shù)據(jù)交易標(biāo)的生成不可篡改的電子憑證，實(shí)現(xiàn)交易標(biāo)的和交易操作的可追溯性及交易的不可否認(rèn)性；e）交易雙方應(yīng)具備敏感數(shù)據(jù)識(shí)別和數(shù)據(jù)分類(lèi)分級(jí)管理能力，能夠根據(jù)交易標(biāo)的的分類(lèi)分級(jí)結(jié)果，對(duì)敏感數(shù)據(jù)進(jìn)行識(shí)別和標(biāo)注，并采用相應(yīng)安全能力的數(shù)據(jù)流通安全保障技術(shù)進(jìn)行交付；f）宜提供隔離安全環(huán)境，并采取數(shù)據(jù)加密、訪問(wèn)控制、數(shù)據(jù)防泄漏、水印溯源、安全審計(jì)等措施，防止交易過(guò)程中的數(shù)據(jù)泄露、篡改、破壞或非法獲取、非法交易、非法利用等；g）應(yīng)針對(duì)不同類(lèi)別級(jí)別的數(shù)據(jù)采取差異化安全存儲(chǔ)保護(hù)措施，如加密、脫敏、備份、訪問(wèn)控制、數(shù)字水印、完整性校驗(yàn)、安全配置、日志管理（留存期限不少于180天）等。數(shù)據(jù)存儲(chǔ)不應(yīng)超過(guò)與數(shù)據(jù)主體約定的存儲(chǔ)期限，超存儲(chǔ)期限或已達(dá)到目的的數(shù)據(jù)應(yīng)及時(shí)銷(xiāo)毀；h）提供數(shù)據(jù)交易平臺(tái)的熱冗余，支持本地?cái)?shù)據(jù)備份恢復(fù)、異地實(shí)時(shí)備份等功能，保證系統(tǒng)和數(shù)據(jù)的高可用性；i）具備惡意代碼防護(hù)能力，能夠?qū)灰讛?shù)據(jù)含有的惡意代碼進(jìn)行檢測(cè)；j）交易雙方應(yīng)實(shí)施日志審計(jì)，記錄接口操作詳情，并妥善保存。5安全等級(jí)能力要求信用信息交易雙方在信用信息交易前可開(kāi)展安全等級(jí)能力評(píng)估工作，按具體實(shí)際的數(shù)據(jù)交易場(chǎng)景，確定當(dāng)次交易中所需等級(jí)標(biāo)準(zhǔn)，評(píng)估確定滿足相應(yīng)的等級(jí)后再進(jìn)行交易。相關(guān)評(píng)價(jià)指引及等級(jí)要求詳見(jiàn)附錄A《信用信息安全能力等級(jí)評(píng)價(jià)指引》及附錄B《信用信息安全能力等級(jí)要求》。8T/GDJRXXX—2024信用信息安全能力等級(jí)評(píng)價(jià)指引A.1評(píng)價(jià)內(nèi)容為了實(shí)現(xiàn)評(píng)估過(guò)程的標(biāo)準(zhǔn)化和透明化，本文件制定了安全能力等級(jí)要求，各項(xiàng)評(píng)價(jià)標(biāo)準(zhǔn)在附錄B中闡述。附錄B中的評(píng)價(jià)標(biāo)準(zhǔn)覆蓋了關(guān)鍵領(lǐng)域，包括綜合條件、管理能力、技術(shù)實(shí)力和信息安全能力，為安全等級(jí)能力評(píng)價(jià)工作提供了明確的指導(dǎo)和依據(jù)。A.2評(píng)價(jià)等級(jí)評(píng)價(jià)指標(biāo)項(xiàng)的評(píng)價(jià)結(jié)果分為四個(gè)等級(jí),從最高到最低依次用四級(jí)、三級(jí)、二級(jí)、一級(jí)表示，應(yīng)根據(jù)附錄A的內(nèi)容確定評(píng)價(jià)結(jié)果等級(jí)。A.3評(píng)價(jià)流程安全等級(jí)能力評(píng)價(jià)流程如下：a）供方在信用信息交易前應(yīng)當(dāng)取得安全等級(jí)能力等級(jí)認(rèn)證，并由第三方專業(yè)服務(wù)機(jī)構(gòu)對(duì)信用信息供方進(jìn)行等級(jí)能力評(píng)價(jià)工作；b）需方按具體實(shí)際的數(shù)據(jù)交易場(chǎng)景，確定當(dāng)次交易中供方的等級(jí)標(biāo)準(zhǔn)；c）第三方專業(yè)服務(wù)機(jī)構(gòu)應(yīng)對(duì)申請(qǐng)?jiān)u價(jià)方提交的相關(guān)文件進(jìn)行審查，并通過(guò)書(shū)面審查、現(xiàn)場(chǎng)核查、專家評(píng)審等方式開(kāi)展評(píng)估工作出具等級(jí)認(rèn)證報(bào)告；d）第三方專業(yè)服務(wù)機(jī)構(gòu)簽署等級(jí)認(rèn)證報(bào)告并發(fā)送至委托主體。A.4評(píng)價(jià)機(jī)構(gòu)要求由第三方專業(yè)服務(wù)機(jī)構(gòu)對(duì)供方進(jìn)行等級(jí)能力評(píng)價(jià)工作，第三方專業(yè)服務(wù)機(jī)構(gòu)應(yīng)滿足以下要求：a）作為第三方專業(yè)服務(wù)機(jī)構(gòu)參與信用信息交易，應(yīng)滿足以下條件：——在我國(guó)境內(nèi)依法成立并有效存續(xù)，具有承擔(dān)民事責(zé)任能力；——具有健全的財(cái)務(wù)制度，無(wú)重大財(cái)務(wù)風(fēng)險(xiǎn)；——近兩年不存在違法違規(guī)和失信記錄；——近兩年未發(fā)生網(wǎng)絡(luò)和數(shù)據(jù)安全事件；——具備從事相關(guān)業(yè)務(wù)的技術(shù)能力和經(jīng)驗(yàn)；——如從事第三方專業(yè)服務(wù)機(jī)構(gòu)服務(wù)需要專門(mén)資質(zhì)的，應(yīng)取得相應(yīng)資質(zhì)許可。b）第三方專業(yè)服務(wù)機(jī)構(gòu)從事專業(yè)評(píng)價(jià)服務(wù)的，應(yīng)具備數(shù)據(jù)合規(guī)評(píng)估專業(yè)資質(zhì)，堅(jiān)持獨(dú)立、客觀、公正原則開(kāi)展服務(wù)，出具的法律意見(jiàn)書(shū)、評(píng)估報(bào)告、鑒定意見(jiàn)、專家結(jié)論、認(rèn)證證書(shū)等，應(yīng)保證客觀性、真實(shí)性、準(zhǔn)確性、完整性和有效性，不應(yīng)出現(xiàn)虛假記載、誤導(dǎo)性陳述等違反法律法規(guī)、行業(yè)規(guī)則的情形，按照法律法規(guī)要求和專業(yè)審慎原則，對(duì)交易主體、交易標(biāo)的、交易流通過(guò)程進(jìn)行嚴(yán)格審查，確保交易合法、內(nèi)容真實(shí)；c）未經(jīng)委托方同意，不應(yīng)將相關(guān)服務(wù)外包，如確需外包應(yīng)征得委托方同意，并對(duì)外包方的數(shù)據(jù)安全能力、資質(zhì)進(jìn)行審核，明確外包方的安全責(zé)任、保密義務(wù)和任務(wù)結(jié)束后的數(shù)據(jù)處置方式；d）第三方專業(yè)服務(wù)機(jī)構(gòu)應(yīng)妥善保管供方或需方的數(shù)據(jù)資料，不應(yīng)泄露、偽造、篡改、隱藏、毀損；e）按照約定方式完成服務(wù)后，第三方專業(yè)服務(wù)機(jī)構(gòu)應(yīng)及時(shí)刪除收到的客戶數(shù)據(jù)和服務(wù)過(guò)程中所產(chǎn)生的相關(guān)數(shù)據(jù)。9T/GDJRxxx—2024A.5評(píng)價(jià)有效期a）第三方專業(yè)服務(wù)機(jī)構(gòu)出具的等級(jí)認(rèn)證報(bào)告有效期見(jiàn)表A.1。表A.1等級(jí)認(rèn)證報(bào)告有效期表b）評(píng)價(jià)有效期內(nèi)，如發(fā)生以下重大變化的，供方應(yīng)當(dāng)重新申請(qǐng)?jiān)u定：——任何法律法規(guī)或政策的重大更改，包括法律法規(guī)或有關(guān)部門(mén)規(guī)定要評(píng)估的情——信用信息供方業(yè)務(wù)活動(dòng)或數(shù)據(jù)處理活動(dòng)發(fā)生重大變化；——信用信息供方出現(xiàn)重大數(shù)據(jù)安全事件；——信用信息供方出現(xiàn)減少注冊(cè)資本金的情形；——信用信息供方信息系統(tǒng)上線及上線后進(jìn)行架構(gòu)調(diào)整等重大變更；——其他導(dǎo)致信用信息供方等級(jí)發(fā)生重大變化的情形。c）如供方未按上述規(guī)定重新評(píng)定的，可以對(duì)其進(jìn)行降級(jí)處理；d）如供方內(nèi)部評(píng)審認(rèn)為公司可以達(dá)到更高級(jí)別的安全等級(jí)能力，可以在有效期內(nèi)提出評(píng)定申請(qǐng)。T/GDJRXXX—2024信用信息安全能力等級(jí)要求B.1四級(jí)B.1.1綜合條件1、在中華人民共和國(guó)境內(nèi)注冊(cè)成立（港澳臺(tái)地區(qū)除外）,且由中國(guó)公民、法人或國(guó)家投資所占總股本不少于50%的獨(dú)立法人，變革發(fā)展歷程清晰、產(chǎn)權(quán)關(guān)系明確，注冊(cè)資本不少于人民幣2000萬(wàn)元并依據(jù)《中華人民共和國(guó)公司法》的相關(guān)規(guī)定進(jìn)行實(shí)繳。2、財(cái)務(wù)狀況良好，最近三年連續(xù)盈利，累計(jì)凈利潤(rùn)不低于400萬(wàn)元或年均凈利潤(rùn)率不低于5%。3、有良好的資信，近五年未有與數(shù)據(jù)安全、數(shù)據(jù)合規(guī)、數(shù)據(jù)交易相關(guān)的行政處罰，未有被確認(rèn)承擔(dān)知識(shí)產(chǎn)權(quán)類(lèi)侵權(quán)責(zé)任的訴訟案件，未有影響較大、性質(zhì)較嚴(yán)重的其他行政處罰，未有影響企業(yè)正常運(yùn)營(yíng)的重大訴訟。4、董事、監(jiān)事和高級(jí)管理人員近五年內(nèi)無(wú)重大違法違規(guī)記錄。5、近五年內(nèi)未出現(xiàn)過(guò)應(yīng)由其承擔(dān)責(zé)任的、重大的用戶投訴。B.1.2管理能力1、已建立完備的數(shù)據(jù)質(zhì)量管理體系和信息安全管理體系，包括：（1）已明確組織層面的數(shù)據(jù)質(zhì)量目標(biāo)，統(tǒng)一數(shù)據(jù)質(zhì)量需求相關(guān)模板、管理機(jī)制。（2）已建立數(shù)據(jù)管理責(zé)任機(jī)制，明確各類(lèi)數(shù)據(jù)管理人員以及相關(guān)職責(zé)，制定各類(lèi)數(shù)據(jù)的優(yōu)先級(jí)和質(zhì)量管理需求。（3）已針對(duì)數(shù)據(jù)質(zhì)量目標(biāo)的制定考慮了外部監(jiān)管、合規(guī)方面的要求。（4）已設(shè)計(jì)組織統(tǒng)一的數(shù)據(jù)質(zhì)量評(píng)價(jià)體系以及相應(yīng)的規(guī)則庫(kù)。（5）已明確新建項(xiàng)目中數(shù)據(jù)質(zhì)量需求的管理制度，統(tǒng)一管理權(quán)限。建立組織統(tǒng)一的數(shù)據(jù)安全標(biāo)準(zhǔn)以及策略并正式發(fā)布。（6）規(guī)范了組織數(shù)據(jù)安全標(biāo)準(zhǔn)與策略相關(guān)的管理流程，并以此指導(dǎo)數(shù)據(jù)安全標(biāo)準(zhǔn)和策略的制定。（7）數(shù)據(jù)安全標(biāo)準(zhǔn)與策略制定過(guò)程中能識(shí)別組織內(nèi)外部的數(shù)據(jù)安全需求，包括外部監(jiān)管和法律的需求。（8）規(guī)范了數(shù)據(jù)安全利益相關(guān)者在數(shù)據(jù)安全管理過(guò)程中的職責(zé)。（9）定期開(kāi)展數(shù)據(jù)安全標(biāo)準(zhǔn)和策略相關(guān)的培訓(xùn)和宣貫。2、企業(yè)設(shè)立了完整的數(shù)據(jù)安全管理體系，具備包括數(shù)據(jù)分類(lèi)分級(jí)、數(shù)據(jù)安全技術(shù)措施、數(shù)據(jù)全生命周期全流程管理、風(fēng)險(xiǎn)風(fēng)評(píng)、應(yīng)急預(yù)案、安全教育培訓(xùn)、數(shù)據(jù)及個(gè)人信息出境管理、個(gè)人信息操作權(quán)限管理、監(jiān)測(cè)審計(jì)、個(gè)人信息保護(hù)影響評(píng)估以及投訴、舉報(bào)等數(shù)據(jù)安全管理制度和安全保密措施能有效執(zhí)行，每年開(kāi)展數(shù)據(jù)安全合規(guī)及風(fēng)險(xiǎn)評(píng)估并提交風(fēng)險(xiǎn)評(píng)估報(bào)告。3、建立完備的項(xiàng)目管理體系和客戶服務(wù)體系并能有效實(shí)施。4、已系統(tǒng)地對(duì)員工進(jìn)行數(shù)據(jù)安全教育以及職業(yè)道德培訓(xùn)，并定期組織數(shù)據(jù)安全責(zé)任考5、已設(shè)立數(shù)據(jù)安全責(zé)任人，由具有五年以上相關(guān)管理工作經(jīng)歷或數(shù)據(jù)安全專業(yè)知識(shí)的人員擔(dān)任，參與有關(guān)數(shù)據(jù)活動(dòng)的重要決策，且須與所在單位簽訂三年以上勞動(dòng)合同。6、已采用數(shù)據(jù)分類(lèi)分級(jí)、備份、脫敏、加密、數(shù)據(jù)防泄露、數(shù)據(jù)接口安全等安全技術(shù)措施保護(hù)個(gè)人信息和重要數(shù)據(jù)。B.1.3技術(shù)實(shí)力1、主要負(fù)責(zé)人應(yīng)具有五年以上電子信息技術(shù)領(lǐng)域的管理經(jīng)歷；財(cái)務(wù)負(fù)責(zé)人應(yīng)具有國(guó)家相關(guān)部門(mén)頒發(fā)的中級(jí)職稱以上的財(cái)務(wù)專業(yè)從業(yè)資格證書(shū)。T/GDJRxxx—20242、具有穩(wěn)定的技術(shù)隊(duì)伍，從事數(shù)據(jù)安全服務(wù)的人員不少于20名。從事數(shù)據(jù)安全服務(wù)的人員與所在機(jī)構(gòu)簽訂二年以上勞動(dòng)合同和保密協(xié)議，合同和協(xié)議應(yīng)在有效期內(nèi)。B.1.4信息安全能力1、信息供方的系統(tǒng)管理和技術(shù)要求達(dá)到GB/T22239-2019四級(jí)及以上。2、業(yè)務(wù)操作要求符合本文件的業(yè)務(wù)運(yùn)作要求。3、信息供方的數(shù)據(jù)安全能力要求達(dá)到GB/T37988-2019四級(jí)及以上。B.2三級(jí)B.2.1綜合條件1、在中華人民共和國(guó)境內(nèi)注冊(cè)成立（港澳臺(tái)地區(qū)除外）,且由中國(guó)公民、法人或國(guó)家投資所占總股本不少于50%的獨(dú)立法人，變革發(fā)展歷程清晰、產(chǎn)權(quán)關(guān)系明確，注冊(cè)資本不少于人民幣500萬(wàn)元，并依據(jù)《中華人民共和國(guó)公司法》的相關(guān)規(guī)定進(jìn)行實(shí)繳。2、財(cái)務(wù)狀況良好，最近二年連續(xù)盈利，累計(jì)凈利潤(rùn)不低于200萬(wàn)元或年均凈利潤(rùn)率不低于3%。3、有良好的資信，近三年未有與數(shù)據(jù)安全、數(shù)據(jù)合規(guī)、數(shù)據(jù)交易相關(guān)的行政處罰，未有被確認(rèn)承擔(dān)知識(shí)產(chǎn)權(quán)類(lèi)侵權(quán)責(zé)任的訴訟案件，未有影響較大、性質(zhì)較嚴(yán)重的其他行政處罰，未有影響企業(yè)正常運(yùn)營(yíng)的重大訴訟。4、董事、監(jiān)事和高級(jí)管理人員近三年內(nèi)無(wú)重大違法違規(guī)記錄。5、具有良好的資信，近三年內(nèi)未出現(xiàn)過(guò)應(yīng)由其承擔(dān)責(zé)任的、重大的用戶投訴。B.2.2管理能力1、已建立完備的數(shù)據(jù)質(zhì)量管理體系和信息安全管理體系，包括：（1）已制定數(shù)據(jù)質(zhì)量需求相關(guān)模板，明確相關(guān)管理規(guī)范。（2）已在組織或業(yè)務(wù)部門(mén)識(shí)別了關(guān)鍵數(shù)據(jù)的質(zhì)量需求。（3）已設(shè)計(jì)滿足本業(yè)務(wù)部門(mén)需求的數(shù)據(jù)質(zhì)量評(píng)價(jià)指標(biāo)，并建立了數(shù)據(jù)質(zhì)量規(guī)則庫(kù)。（4）業(yè)務(wù)部門(mén)內(nèi)部建立了數(shù)據(jù)安全標(biāo)準(zhǔn)、管理策略和管理流程。（5）業(yè)務(wù)部門(mén)內(nèi)部識(shí)別數(shù)據(jù)安全利益相關(guān)者。（6）業(yè)務(wù)部門(mén)內(nèi)部數(shù)據(jù)安全標(biāo)準(zhǔn)與策略的建立能遵循合理的管理流程。2、企業(yè)設(shè)立了完整的數(shù)據(jù)安全管理組織架構(gòu)，具備包括數(shù)據(jù)分類(lèi)分級(jí)、數(shù)據(jù)安全技術(shù)措施、數(shù)據(jù)全生命周期全流程管理、風(fēng)險(xiǎn)風(fēng)評(píng)、應(yīng)急預(yù)案、安全教育培訓(xùn)、數(shù)據(jù)及個(gè)人信息出境管理、個(gè)人信息操作權(quán)限管理、監(jiān)測(cè)審計(jì)、個(gè)人信息保護(hù)影響評(píng)估以及投訴、舉報(bào)等數(shù)據(jù)安全管理制度和安全保密措施能有效執(zhí)行，定期開(kāi)展風(fēng)險(xiǎn)評(píng)估。3、建立完備的項(xiàng)目管理體系和客戶服務(wù)體系并能有效實(shí)施。4、系統(tǒng)地對(duì)員工進(jìn)行數(shù)據(jù)安全教育以及職業(yè)道德培訓(xùn)。5、已設(shè)立數(shù)據(jù)安全責(zé)任人，由具有三年相關(guān)管理工作經(jīng)歷和數(shù)據(jù)安全專業(yè)知識(shí)的人員擔(dān)任，參與有關(guān)數(shù)據(jù)活動(dòng)的重要決策，且須與所在單位簽訂三年以上勞動(dòng)合同。6、已采用分類(lèi)分級(jí)、備份、脫敏、加密、數(shù)據(jù)防泄漏、數(shù)據(jù)接口安全等安全技術(shù)措施保護(hù)個(gè)人信息和重要數(shù)據(jù)。B.2.3技術(shù)實(shí)力1、主要負(fù)責(zé)人應(yīng)具有三年以上電子信息技術(shù)領(lǐng)域的管理經(jīng)歷；財(cái)務(wù)負(fù)責(zé)人應(yīng)具有國(guó)家相關(guān)部門(mén)頒發(fā)的中級(jí)職稱以上的財(cái)務(wù)專業(yè)從業(yè)資格證書(shū)。2、具有穩(wěn)定的技術(shù)隊(duì)伍，從事數(shù)據(jù)安全服務(wù)的人員不少于10名。從事數(shù)據(jù)安全服務(wù)的人員與所在機(jī)構(gòu)簽訂二年以上勞動(dòng)合同和保密協(xié)議，合同和協(xié)議應(yīng)在有效期內(nèi)。B.2.4信息安全能力1、信息供方的系統(tǒng)管理和技術(shù)防護(hù)達(dá)到GB/T22239-2019三級(jí)。2、業(yè)務(wù)操作要求符合本文件的業(yè)務(wù)運(yùn)作要求。T/GDJRXXX—20243、信息供方的數(shù)據(jù)安全能力要求達(dá)到GB/T37988-2019三級(jí)及以上。B.3二級(jí)B.3.1綜合條件1、在中華人民共和國(guó)境內(nèi)注冊(cè)成立（港澳臺(tái)地區(qū)除外）,且由中國(guó)公民、法人或國(guó)家投資所占總股本不少于50%的獨(dú)立法人，變革發(fā)展歷程清晰、產(chǎn)權(quán)關(guān)系明確，注冊(cè)資本不少于人民幣100萬(wàn)元，并依據(jù)《中華人民共和國(guó)公司法》的相關(guān)規(guī)定進(jìn)行實(shí)繳。2、財(cái)務(wù)狀況良好，近兩年未有與數(shù)據(jù)安全、數(shù)據(jù)合規(guī)、數(shù)據(jù)交易相關(guān)的行政處罰，未有被確認(rèn)承擔(dān)知識(shí)產(chǎn)權(quán)類(lèi)侵權(quán)責(zé)任的訴訟案件，未有影響較大、性質(zhì)較嚴(yán)重的其他行政處罰，未有影響企業(yè)正常運(yùn)營(yíng)的重大訴訟。3、董事、監(jiān)事和高級(jí)管理人員近兩年內(nèi)無(wú)重大違法違規(guī)記錄。4、有良好的資信，近二年內(nèi)未出現(xiàn)過(guò)應(yīng)由其承擔(dān)責(zé)任的、重大的用戶投訴。B.3.2管理能力1、已建立完備的數(shù)據(jù)質(zhì)量管理體系和數(shù)據(jù)安全管理體系，包括：（1）已在項(xiàng)目中分析了數(shù)據(jù)質(zhì)量的管理需求，并進(jìn)行了相關(guān)的管理。（2）基于出現(xiàn)的數(shù)據(jù)問(wèn)題，已開(kāi)展數(shù)據(jù)質(zhì)量檢查工作。（3）基于出現(xiàn)的數(shù)據(jù)質(zhì)量問(wèn)題，進(jìn)行了分析和評(píng)估。（4）業(yè)務(wù)部門(mén)內(nèi)部建立了數(shù)據(jù)安全標(biāo)準(zhǔn)、管理策略和管理流程。2、企業(yè)已設(shè)立數(shù)據(jù)安全管理組織架構(gòu)，具備包括數(shù)據(jù)分類(lèi)分級(jí)、數(shù)據(jù)安全技術(shù)措施、數(shù)據(jù)全生命周期全流程管理、風(fēng)險(xiǎn)風(fēng)評(píng)、應(yīng)急預(yù)案、安全教育培訓(xùn)、數(shù)據(jù)及個(gè)人信息出境管理、個(gè)人信息操作權(quán)限管理、監(jiān)測(cè)審計(jì)、個(gè)人信息保護(hù)影響評(píng)估以及投訴、舉報(bào)等數(shù)據(jù)安全管理制度和安全保密措施。3、具有系統(tǒng)地對(duì)員工進(jìn)行數(shù)據(jù)安全教育以及職業(yè)道德培訓(xùn)的計(jì)劃，并能有效地組織實(shí)施與考核。4、已設(shè)立數(shù)據(jù)安全責(zé)任人，由具有兩年相關(guān)管理工作經(jīng)歷和數(shù)據(jù)安全專業(yè)知識(shí)的人員擔(dān)任，參與有關(guān)數(shù)據(jù)活動(dòng)的重要決策，且須與所在單位簽訂二年以上勞動(dòng)合同。5、已采用分類(lèi)分級(jí)、備份、脫敏、加密、數(shù)據(jù)防泄漏、數(shù)據(jù)接口安全等安全技術(shù)措施保護(hù)個(gè)人信息和重要數(shù)據(jù)。B.3.3技術(shù)實(shí)力1、主要負(fù)責(zé)人應(yīng)具有兩年以上電子信息技術(shù)領(lǐng)域的管理經(jīng)歷；財(cái)務(wù)負(fù)責(zé)人應(yīng)具有國(guó)家相關(guān)部門(mén)頒發(fā)的中級(jí)職稱以上的