《信用信息交易安全規(guī)范》征求意見稿

1T/GDJRxxx—2024信用信息交易安全規(guī)范本標準規(guī)定了信用信息交易安全要求，包括信用信息交易參與方、交易對象、交易平臺及交易過程的安全要求。本標準適用于中華人民共和國境內(nèi)的信用信息供方、信用信息需方、第三方專業(yè)服務機構(gòu)規(guī)范其信用信息交易活動，也適用于中華人民共和國境內(nèi)的監(jiān)管部門、評估機構(gòu)對信用信息交易服務安全進行監(jiān)督、管理、評估。2規(guī)范性引用文件下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。JR/T0117-2014《征信機構(gòu)信息安全規(guī)范》GB/T37932-2019《信息安全技術(shù)數(shù)據(jù)交易服務安全要求》JR/T0223-2021《金融數(shù)據(jù)安全數(shù)據(jù)生命周期安全規(guī)范》GB/T20986-2023《信息安全技術(shù)網(wǎng)絡安全事件分類分級指南》GB/T35273-2020《個人信息安全規(guī)范》GB/T37964-2019《個人信息去標識化指南》GB/T36343-2018《信息技術(shù)數(shù)據(jù)交易服務平臺交易數(shù)據(jù)描述》3術(shù)語和定義下列術(shù)語和定義適用于本文件。3.1信用信息creditinformation信用信息是指依法采集，為金融等活動提供服務，用于識別判斷企業(yè)和個人信用狀況的基本信息、借貸信息、其他相關(guān)信息，以及基于前述信息形成的分析評價信息。3.2信用信息供方creditinformationsupplier信用信息交易中出售和提供數(shù)據(jù)產(chǎn)品的組織，簡稱供方。3.3信用信息需方creditinformationdemander信用信息交易中購買和使用數(shù)據(jù)產(chǎn)品的組織，簡稱需方。3.4信用信息交易creditinformationtrade信用信息供方和需方之間以信用信息數(shù)據(jù)或數(shù)據(jù)產(chǎn)品作為交易對象，進行的以貨幣或貨幣等價物交換數(shù)據(jù)產(chǎn)品的行為，既可以是數(shù)據(jù)交易平臺中進行的場內(nèi)交易，也可以是雙方自行依法交易的場外交易。3.5征信機構(gòu)creditbureau指依法設立、主要經(jīng)營征信業(yè)務的機構(gòu)。3.6第三方專業(yè)服務機構(gòu)third-partyprofessionalserviceagency2T/GDJRXXX—2024輔助信用信息交易活動有序開展的第三方服務提供方，包括但不限于提供法律服務、合規(guī)服務、數(shù)據(jù)經(jīng)紀服務、數(shù)據(jù)資產(chǎn)化服務、評估鑒定服務、培訓咨詢服務等第三方服務的組織機構(gòu)。3.7交易參與方datatransactionparticipants參與信用信息交易服務的相關(guān)方。3.8信用信息交易服務creditinformationtransactionservice為幫助信用信息供方和需方完成數(shù)據(jù)流通交易全過程，實現(xiàn)數(shù)據(jù)資產(chǎn)化和數(shù)據(jù)價值變現(xiàn)提供的各類服務。3.9交易標的transactionobject供需雙方交易的信用信息數(shù)據(jù)或數(shù)據(jù)產(chǎn)品，也稱信用信息交易對象或交易數(shù)據(jù)。3.10交易過程datatransactionprocess信用信息交易參與方針對具體的信用信息交易標的，進行的一組完整和具體的信用信息交易活動。4信用信息交易安全4.1信用信息交易安全原則信用信息交易應遵循以下原則：a）總體原則。信用信息交易安全工作以實現(xiàn)權(quán)益保護和數(shù)據(jù)保護為目標。權(quán)益保護，指維護數(shù)據(jù)主體的合法權(quán)益。數(shù)據(jù)保護，指保障數(shù)據(jù)的保密性、完整性和可用性；b）合法合規(guī)原則。信用信息交易參與方應遵守《網(wǎng)絡安全法》《個人信息保護法》《數(shù)據(jù)安全法》等法律法規(guī)，尊重社會公德和倫理，遵守商業(yè)道德和職業(yè)道德，誠實守信，不得危害國家安全、公共利益，不得損害個人、組織的合法權(quán)益；c）過程可控原則。信用信息交易過程應確保數(shù)據(jù)來源合法可確認、使用范圍可界定、交易過程可追溯、安全風險可防范；d）分類分級原則。信用信息交易標的應遵守國家和行業(yè)數(shù)據(jù)分類分級保護要求，結(jié)合數(shù)據(jù)流通范圍、影響程度、潛在風險，建立企業(yè)數(shù)據(jù)、個人信息等數(shù)據(jù)分類分級授權(quán)使用和保護機制；e）確保安全原則。信用信息交易參與方應采取必要的管理措施和技術(shù)手段，防范交易標的被篡改、破壞、泄露或者非法獲取、非法利用、非法交易等風險，保障信息主體權(quán)益；f）權(quán)責一致原則。信用信息交易參與方在享有信息信用交易標的交易收益的同時，應當對各自的信用信息交易活動承擔安全責任：——供方應對信用信息交易標的的來源、保存、交付的合規(guī)性、安全性負責；——需方應對信用信息交易標的的接收、保存、使用的合規(guī)性、安全性負責；——第三方專業(yè)服務機構(gòu)應對其在交易中提供的服務內(nèi)容相適應的合規(guī)性、安全性負責。4.2信用信息交易參與方安全要求4.2.1基本要求信用信息供方、需方等交易參與方，應滿足以下要求：a）不應以欺詐、誘騙、誤導、脅迫、賄賂等方式開展數(shù)據(jù)交易活動；b）不應以非法手段、非法途徑、非法標的開展數(shù)據(jù)交易活動；3T/GDJRxxx—2024c）應遵守國家及地方相關(guān)法律法規(guī)，包括但不限于《征信業(yè)務管理辦法》，依法取得行政許可；d）應履行數(shù)據(jù)處理者安全保護義務，建立全流程數(shù)據(jù)安全管理制度，組織開展數(shù)據(jù)安全教育培訓，需采取措施保護交易標的安全，防范數(shù)據(jù)泄露、篡改、破壞或者非法獲取、非法利用等風險，保障數(shù)據(jù)安全；e）應針對數(shù)據(jù)安全保障能力定期開展數(shù)據(jù)安全風險評估，并按有關(guān)規(guī)定向有關(guān)主管部門報送風險評估報告。在出現(xiàn)法律法規(guī)重大更改或增刪、業(yè)務活動發(fā)生重大變化、數(shù)據(jù)資產(chǎn)發(fā)生重大變化、發(fā)生重大數(shù)據(jù)安全事件、數(shù)據(jù)安全管理方針發(fā)生變化等重大情況變化時，進行局部或全面數(shù)據(jù)安全風險評估，形成數(shù)據(jù)安全風險評估報告。涉及敏感個人信息處理、個人信息自動化決策、委托處理、向他人提供（含境外）、公開、其他對個人權(quán)益有重大影響的個人信息處理活動等，事先開展個人信息保護影響評估，并將評估記錄保存至少三年；f）建立并實施數(shù)據(jù)安全風險監(jiān)測、預警、響應和處置的閉環(huán)管理機制；g）應制定數(shù)據(jù)安全應急預案，發(fā)生數(shù)據(jù)安全事件時，應立即采取處置措施，按照規(guī)定及時告知相關(guān)方并向有關(guān)主管部門報告；h）涉及個人信息的，應依法履行個人信息處理者法定義務；i）重要數(shù)據(jù)處理者，應嚴格履行與數(shù)據(jù)處理活動相關(guān)的各項法定義務；j）信用信息交易過程中涉及跨境情形的，應遵守國家數(shù)據(jù)出境管理有關(guān)規(guī)定；k）涉及人工智能算法模型的，應遵守人工智能領(lǐng)域的有關(guān)規(guī)定；l）涉及知識產(chǎn)權(quán)的，應提供知識產(chǎn)權(quán)相關(guān)權(quán)屬證明，不應侵犯他人依法享有的知識產(chǎn)權(quán)。4.2.2信用信息供方安全要求信用信息供方在符合4.2.1基本要求基礎上，還應滿足以下要求：a）作為供方進行信用信息交易，應滿足以下條件：——依法成立并有效存續(xù)，具備獨立承擔民事責任的能力；——具有健全的財務制度，無重大財務風險；——對外提供信用信息需取得相關(guān)征信業(yè)務行政許可的，應當依法取得行政許可；——近一年不存在違法違規(guī)和失信記錄；——近一年未發(fā)生GB/T20986-2023《信息安全技術(shù)網(wǎng)絡安全事件分類分級指南》中規(guī)定的較大及以上級別的網(wǎng)絡和數(shù)據(jù)安全事件；——信息系統(tǒng)應符合網(wǎng)絡安全等級保護要求，按規(guī)定開展網(wǎng)絡安全等級保護測評和備案；——應具備數(shù)據(jù)要素市場主體相應的數(shù)據(jù)安全能力和數(shù)據(jù)合規(guī)體系，并取得數(shù)據(jù)安全能力評估認證。b）供方應提供信息交易標的來源合法性證明；c）供方應提供數(shù)據(jù)使用說明以及數(shù)據(jù)授權(quán)說明；d）供方應確保交易標的數(shù)據(jù)來源合法，保證對數(shù)據(jù)資源的處理活動合規(guī)；e）供方應有正當合法的經(jīng)營目的，且交易標的在本身的業(yè)務范圍內(nèi)或者與自身業(yè)務直接相關(guān)；f）供方應保證交易標的的數(shù)據(jù)質(zhì)量，保證數(shù)據(jù)的真實性、準確性、完整性；g）供方應采取措施保護交易標的安全，防范數(shù)據(jù)泄露、篡改、破壞或者被非法獲取等風險；應保證交易標的不對國家安全、公共利益造成影響，不損害組織或個人合法權(quán)益；h）供方應真實、準確、完整披露交易標的信息，不應隱瞞數(shù)據(jù)來源及涉及個人信息、重要數(shù)據(jù)的情形；i）供方應當定期檢查系統(tǒng)的安全建設和運行情況，分析、發(fā)現(xiàn)并解決信息系統(tǒng)在管理制度、技術(shù)措施和業(yè)務操作等方面存在的問題，保障信息系統(tǒng)安全運行和信息合規(guī)使用；4T/GDJRXXX—2024j）供方應建立信息泄露應急處置制度，發(fā)生或者有可能發(fā)生重大信息泄露事件時，應當立即采取必要措施，避免損害擴大；k）供方應當采取有效措施，確保個人信息去標識化處理后，個人身份不被直接或間接識別；l）如存在數(shù)據(jù)流通限制，供方應對數(shù)據(jù)產(chǎn)品使用或流通的目的、方式、范圍進行明確說明，法律法規(guī)另有規(guī)定的從其規(guī)定。4.2.3信用信息需方安全要求信用信息需方在符合4.2.1基本要求基礎上，應滿足以下要求：a）作為需方進行信用信息交易，應滿足以下條件：——依法成立并有效存續(xù)，具備獨立承擔民事責任的能力；——具有健全的財務制度，無重大財務風險；——近一年不存在違法、重大違規(guī)和失信記錄；——近一年未發(fā)生GB/T20986-2023《信息安全技術(shù)網(wǎng)絡安全事件分類分級指南》中規(guī)定的較大及以上級別的網(wǎng)絡和數(shù)據(jù)安全事件；——信息系統(tǒng)應符合網(wǎng)絡安全等級保護要求，按規(guī)定開展網(wǎng)絡安全等級保護測評和備案。b）需方使用交易標的應具有明確、合理的目的，購買的交易標的應與使用目的直接相c）需方應按照信用信息交易協(xié)議中約定的范圍使用數(shù)據(jù)，不得嘗試獲取供方未授權(quán)的數(shù)據(jù)；d）需方應具備與處理交易標的相適應的數(shù)據(jù)安全能力，開展數(shù)據(jù)安全能力評估認證；e）需方不應繞過或破壞交易數(shù)據(jù)的安全保護措施，不應對去標識化的個人信息進行重新識別；f）需方應建立信息泄露應急處置制度，發(fā)生或者有可能發(fā)生重大信息泄露事件時，應立即啟動應急處置，分析事件發(fā)生原因，評估事件影響范圍，及時采取技術(shù)和業(yè)務措施，控制和降低事件影響，消除風險隱患；g）需方對交易數(shù)據(jù)的使用加工，不應對國家安全、公共利益造成影響，不應損害組織或個人合法權(quán)益；h）需方應按照交易約定的授權(quán)范圍，合理確定交易標的的訪問權(quán)限，并定期對相關(guān)人員進行安全培訓；i）需方應對供方提供的交易標的的安全性、合規(guī)性進行審核；j）需方在信用信息交易協(xié)議到期或按照約定完成交易標的使用目的后，應按照協(xié)議約定要求及時對交易標的進行處置。4.3信用信息交易標的安全要求4.3.1禁止交易的數(shù)據(jù)信用信息交易標的應遵循合法、安全和可交易原則，應滿足以下要求：a）交易標的應具有明確、合理的應用場景和具體用途；b）有下列情形之一的交易標的，不應進行流通交易：——涉及國家秘密的信息；——危害國家安全和社會穩(wěn)定的數(shù)據(jù)；——涉及損毀他人名譽及未經(jīng)授權(quán)的身份、財產(chǎn)和其他敏感數(shù)據(jù)等特定個人權(quán)益——涉及未經(jīng)授權(quán)的企業(yè)數(shù)據(jù)、商業(yè)秘密等特定企業(yè)權(quán)益的；——未經(jīng)自然人或其監(jiān)護人同意，涉及其個人信息的數(shù)據(jù)；——侵犯他人肖像、名譽、榮譽等人格權(quán)的數(shù)據(jù)；——未經(jīng)有關(guān)部門授權(quán)，涉及公共利益、公共安全的公共數(shù)據(jù)；——未依法依規(guī)公開的原始公共數(shù)據(jù)；5T/GDJRxxx—2024——關(guān)系國家安全、國民經(jīng)濟命脈、重要民生、重大公共利益等國家核心數(shù)據(jù)；——以欺詐、誘騙、誤導等方式或者從非法、違規(guī)渠道獲取的數(shù)據(jù)；——個人的宗教信仰、基因、指紋、血型、疾病和病史信息等禁止征信機構(gòu)采集的信用信息；——法律法規(guī)禁止流通的其他信用信息。4.3.2信用信息質(zhì)量合規(guī)要求為確保所交易的信用信息質(zhì)量與合規(guī)性，在信用信息交易活動中，應滿足以下要求：a）供方應明確界定交易標的的內(nèi)容范圍、使用范圍、商品形態(tài)，以確保符合國家相關(guān)法律法規(guī)的要求；b）供方應提供對交易標的的概要描述，并提供樣本信息；c）供方應向需方提供信息交易標的來源合法性的證明和承諾：——針對公開收集的數(shù)據(jù)，應說明公開數(shù)據(jù)收集的目的、方式、范圍，提供公開收集的數(shù)據(jù)類型、采集策略、數(shù)據(jù)來源、收集合法性證明等；——針對組織經(jīng)營活動和信息系統(tǒng)自行產(chǎn)生的數(shù)據(jù)，應說明系統(tǒng)建設和運維情況及其數(shù)據(jù)采集的目的、方式、范圍情況；——針對協(xié)議方式獲取的數(shù)據(jù)，應提供完整的購買協(xié)議、合作協(xié)議或許可使用協(xié)議或者上述協(xié)議的關(guān)鍵部分等；——針對用戶授權(quán)獲取的數(shù)據(jù)，應說明數(shù)據(jù)獲取的目的、方式范圍，是否可對外提供、交易，并提供用戶授權(quán)證明。d）供方應向需方提供擁有信息交易標的完整權(quán)益的聲明；e）供方應向需方提供交易標的真實性的聲明；f）供方應向需方明確交易標的的限定用途、使用范圍、流通方式和使用期限；g）供方應向需方提供交易標的滿足法律法規(guī)和政策要求說明、交易標的質(zhì)量評估說明、遵守數(shù)據(jù)交易安全原則說明，并對數(shù)據(jù)流通后果提供書面承諾；h）供方應向需方明確具體交易的方式、途徑和保護措施；i）供方按照GB/T36343-2018《信息技術(shù)數(shù)據(jù)交易服務平臺交易數(shù)據(jù)描述》要求對交易標的進行準確描述，明確數(shù)據(jù)類別等信息，描述信息滿足準確性、真實性要求；j）需方應對交易標的描述和樣本的準確性、真實性進行審核。4.3.3交易信息分級分類保護要求交易信息分級分類保護，應滿足以下要求：a）交易雙方就本次信用信息交易，應按照國家和行業(yè)有關(guān)要求進行數(shù)據(jù)分類分級，識別可能涉及的個人信息、公共數(shù)據(jù)和重要數(shù)據(jù)；b）結(jié)合數(shù)據(jù)流通范圍、影響程度、潛在風險，建立企業(yè)數(shù)據(jù)、個人信息等數(shù)據(jù)分類分級授權(quán)使用和保護機制；c）交易標的涉及個人信息的，對個人信息的保護應符合GB/T35273-2020《個人信息安全規(guī)范》以及GB/T37964-2019《個人信息去標識化指南》的相關(guān)要求；d）交易標的涉及重要數(shù)據(jù)的，應當滿足國家相關(guān)法律法規(guī)對重要數(shù)據(jù)保護的相關(guān)要求；e）交易標的涉及公共數(shù)據(jù)的，在保護個人隱私和確保公共安全的前提下，公共數(shù)據(jù)宜按照“原始數(shù)據(jù)不出域、數(shù)據(jù)可用不可見”的要求，以模型、核驗等產(chǎn)品服務等形式向社會提供；注：“原始數(shù)據(jù)不出域、數(shù)據(jù)可用不可見”引用自《中共中央國務院關(guān)于構(gòu)f）供方應提供符合JR/T0223-2021《金融數(shù)據(jù)安全數(shù)據(jù)生命周期安全規(guī)范》以及國家相關(guān)法律法規(guī)的要求的數(shù)據(jù)脫敏方法，并具備評價重要數(shù)據(jù)脫敏有效性的評估能4.4信用信息交易流通安全要求4.4.1流通場景的安全要求6T/GDJRXXX—2024流通場景應符合以下安全要求：a）需方應提供書面的數(shù)據(jù)交易和使用承諾，以確保采購需求以及流通場景真實、合法、合理，與其所在行業(yè)、業(yè)務需求相符；b）需方應保證流通場景及流通目的不危害國家安全、公共利益以及第三方合法權(quán)益的情形；c）涉及向境外提供信用信息的，應當了解需方以及其他流通相關(guān)方的身份、用途，確保信用信息用于跨境貿(mào)易、融資等合理的用途。4.4.2流通程序的安全要求流通程序應符合以下安全要求：a）數(shù)據(jù)交易涉及許可、備案等行政手續(xù)的，交易主體應向有關(guān)部門申請許可、履行備案或辦理其他行政手續(xù)；b）涉及向境外提供信用信息的，應根據(jù)適用的法律法規(guī)履行數(shù)據(jù)出境相關(guān)義務。4.4.3流通方式的安全要求4.4.3.1系統(tǒng)接入交易雙方系統(tǒng)接入應符合以下安全要求：a）系統(tǒng)接入是指供方與需方依據(jù)雙方協(xié)議，通過預定義的接口規(guī)范和安全協(xié)議，實現(xiàn)交易標的在系統(tǒng)間安全傳輸和交換的過程；b）應當建立外部機構(gòu)接入本系統(tǒng)的管理辦法，明確外部機構(gòu)的接入條件、提交的申請材料、申請和審核程序，建議可包括數(shù)據(jù)保護策略、數(shù)據(jù)安全管理辦法、信息數(shù)據(jù)風險評估實施方案、系統(tǒng)災備應急方案等內(nèi)容；c）應當對外部機構(gòu)申請接入系統(tǒng)的必要性、業(yè)務系統(tǒng)及業(yè)務現(xiàn)狀、安全管理水平、網(wǎng)絡條件等是否符合前款規(guī)定進行綜合評估，確認符合條件的方可接入系統(tǒng)；d）應當在測試環(huán)境下對外部機構(gòu)的接口規(guī)范程序、網(wǎng)絡條件等進行測試，測試通過后方可接入系統(tǒng)生產(chǎn)環(huán)境。4.4.3.2系統(tǒng)接口規(guī)范方式交易雙方采用系統(tǒng)接口規(guī)范方式進行系統(tǒng)接入的，應符合以下安全要求：a）交易雙方應當制定合適的信息交付策略，明確信息接入的范圍、內(nèi)容、方式和頻次、報文接收與反饋、意外事件處理及相關(guān)崗位職責等，合理控制報文加載順序、進度，確保信息及時加載入庫；b）需方接收信用信息供方按照接口規(guī)范生成的業(yè)務數(shù)據(jù)報文，記錄報文登記信息，自動進行解密和加載處理，業(yè)務操作人員應及時跟蹤報文的接收，在對業(yè)務數(shù)據(jù)報文進行處理時，加載成功的信息，按照接口規(guī)范生成反饋報文，反饋給供方。加載異常的信息，應將錯誤信息反饋給供方，由其進行重報。供方業(yè)務操作人員應及時聯(lián)系相關(guān)人員，進行跟蹤處理。4.4.3.3非系統(tǒng)接口規(guī)范方式采用非系統(tǒng)接口規(guī)范方式進行系統(tǒng)接入的，應符合以下安全要求：a）需方應當制定通過手工錄入、介質(zhì)導入等非接口方式采集信息的具體流程，明確信息采集范圍、內(nèi)容、方式和頻次、信息審核、錯誤數(shù)據(jù)修改及相關(guān)崗位職責等；b）需方應當對信息來源和內(nèi)容進行審核，必要時委托第三方專業(yè)服務機構(gòu)協(xié)助需方進行審核，審核通過后再發(fā)起手工錄入、介質(zhì)導入等操作；c）需方應當對手工錄入、介質(zhì)導入的業(yè)務數(shù)據(jù)進行合法性校驗，無法正常錄入信息系統(tǒng)的信息，由業(yè)務操作人員通過專門數(shù)據(jù)修改流程進行核查處理；d）應對存儲數(shù)據(jù)的介質(zhì)或物理設備采取無法恢復的方式進行數(shù)據(jù)刪除與銷毀，如物理粉碎、消磁、多次擦寫等。7T/GDJRxxx—20244.4.4流通技術(shù)設施的安全要求流通技術(shù)設施應符合以下安全要求：a）交易雙方應具備安全的數(shù)據(jù)傳輸通道，保證數(shù)據(jù)在傳輸過程中的保密性和完整性；b）交易雙方應具備安全的上傳或下載接口，包括基于密碼技術(shù)的身份認證、訪問控制、傳輸鏈路加密、傳輸數(shù)據(jù)保密性和完整性校驗等保護措施；c）供方應對數(shù)據(jù)交易平臺接口的不安全輸入?yún)?shù)進行限制和過濾，為接口提供異常處理能力；d）交易雙方應為數(shù)據(jù)交易標的生成不可篡改的電子憑證，實現(xiàn)交易標的和交易操作的可追溯性及交易的不可否認性；e）交易雙方應具備敏感數(shù)據(jù)識別和數(shù)據(jù)分類分級管理能力，能夠根據(jù)交易標的的分類分級結(jié)果，對敏感數(shù)據(jù)進行識別和標注，并采用相應安全能力的數(shù)據(jù)流通安全保障技術(shù)進行交付；f）宜提供隔離安全環(huán)境，并采取數(shù)據(jù)加密、訪問控制、數(shù)據(jù)防泄漏、水印溯源、安全審計等措施，防止交易過程中的數(shù)據(jù)泄露、篡改、破壞或非法獲取、非法交易、非法利用等；g）應針對不同類別級別的數(shù)據(jù)采取差異化安全存儲保護措施，如加密、脫敏、備份、訪問控制、數(shù)字水印、完整性校驗、安全配置、日志管理（留存期限不少于180天）等。數(shù)據(jù)存儲不應超過與數(shù)據(jù)主體約定的存儲期限，超存儲期限或已達到目的的數(shù)據(jù)應及時銷毀；h）提供數(shù)據(jù)交易平臺的熱冗余，支持本地數(shù)據(jù)備份恢復、異地實時備份等功能，保證系統(tǒng)和數(shù)據(jù)的高可用性；i）具備惡意代碼防護能力，能夠?qū)灰讛?shù)據(jù)含有的惡意代碼進行檢測；j）交易雙方應實施日志審計，記錄接口操作詳情，并妥善保存。5安全等級能力要求信用信息交易雙方在信用信息交易前可開展安全等級能力評估工作，按具體實際的數(shù)據(jù)交易場景，確定當次交易中所需等級標準，評估確定滿足相應的等級后再進行交易。相關(guān)評價指引及等級要求詳見附錄A《信用信息安全能力等級評價指引》及附錄B《信用信息安全能力等級要求》。8T/GDJRXXX—2024信用信息安全能力等級評價指引A.1評價內(nèi)容為了實現(xiàn)評估過程的標準化和透明化，本文件制定了安全能力等級要求，各項評價標準在附錄B中闡述。附錄B中的評價標準覆蓋了關(guān)鍵領(lǐng)域，包括綜合條件、管理能力、技術(shù)實力和信息安全能力，為安全等級能力評價工作提供了明確的指導和依據(jù)。A.2評價等級評價指標項的評價結(jié)果分為四個等級,從最高到最低依次用四級、三級、二級、一級表示，應根據(jù)附錄A的內(nèi)容確定評價結(jié)果等級。A.3評價流程安全等級能力評價流程如下：a）供方在信用信息交易前應當取得安全等級能力等級認證，并由第三方專業(yè)服務機構(gòu)對信用信息供方進行等級能力評價工作；b）需方按具體實際的數(shù)據(jù)交易場景，確定當次交易中供方的等級標準；c）第三方專業(yè)服務機構(gòu)應對申請評價方提交的相關(guān)文件進行審查，并通過書面審查、現(xiàn)場核查、專家評審等方式開展評估工作出具等級認證報告；d）第三方專業(yè)服務機構(gòu)簽署等級認證報告并發(fā)送至委托主體。A.4評價機構(gòu)要求由第三方專業(yè)服務機構(gòu)對供方進行等級能力評價工作，第三方專業(yè)服務機構(gòu)應滿足以下要求：a）作為第三方專業(yè)服務機構(gòu)參與信用信息交易，應滿足以下條件：——在我國境內(nèi)依法成立并有效存續(xù)，具有承擔民事責任能力；——具有健全的財務制度，無重大財務風險；——近兩年不存在違法違規(guī)和失信記錄；——近兩年未發(fā)生網(wǎng)絡和數(shù)據(jù)安全事件；——具備從事相關(guān)業(yè)務的技術(shù)能力和經(jīng)驗；——如從事第三方專業(yè)服務機構(gòu)服務需要專門資質(zhì)的，應取得相應資質(zhì)許可。b）第三方專業(yè)服務機構(gòu)從事專業(yè)評價服務的，應具備數(shù)據(jù)合規(guī)評估專業(yè)資質(zhì)，堅持獨立、客觀、公正原則開展服務，出具的法律意見書、評估報告、鑒定意見、專家結(jié)論、認證證書等，應保證客觀性、真實性、準確性、完整性和有效性，不應出現(xiàn)虛假記載、誤導性陳述等違反法律法規(guī)、行業(yè)規(guī)則的情形，按照法律法規(guī)要求和專業(yè)審慎原則，對交易主體、交易標的、交易流通過程進行嚴格審查，確保交易合法、內(nèi)容真實；c）未經(jīng)委托方同意，不應將相關(guān)服務外包，如確需外包應征得委托方同意，并對外包方的數(shù)據(jù)安全能力、資質(zhì)進行審核，明確外包方的安全責任、保密義務和任務結(jié)束后的數(shù)據(jù)處置方式；d）第三方專業(yè)服務機構(gòu)應妥善保管供方或需方的數(shù)據(jù)資料，不應泄露、偽造、篡改、隱藏、毀損；e）按照約定方式完成服務后，第三方專業(yè)服務機構(gòu)應及時刪除收到的客戶數(shù)據(jù)和服務過程中所產(chǎn)生的相關(guān)數(shù)據(jù)。9T/GDJRxxx—2024A.5評價有效期a）第三方專業(yè)服務機構(gòu)出具的等級認證報告有效期見表A.1。表A.1等級認證報告有效期表b）評價有效期內(nèi)，如發(fā)生以下重大變化的，供方應當重新申請評定：——任何法律法規(guī)或政策的重大更改，包括法律法規(guī)或有關(guān)部門規(guī)定要評估的情——信用信息供方業(yè)務活動或數(shù)據(jù)處理活動發(fā)生重大變化；——信用信息供方出現(xiàn)重大數(shù)據(jù)安全事件；——信用信息供方出現(xiàn)減少注冊資本金的情形；——信用信息供方信息系統(tǒng)上線及上線后進行架構(gòu)調(diào)整等重大變更；——其他導致信用信息供方等級發(fā)生重大變化的情形。c）如供方未按上述規(guī)定重新評定的，可以對其進行降級處理；d）如供方內(nèi)部評審認為公司可以達到更高級別的安全等級能力，可以在有效期內(nèi)提出評定申請。T/GDJRXXX—2024信用信息安全能力等級要求B.1四級B.1.1綜合條件1、在中華人民共和國境內(nèi)注冊成立（港澳臺地區(qū)除外）,且由中國公民、法人或國家投資所占總股本不少于50%的獨立法人，變革發(fā)展歷程清晰、產(chǎn)權(quán)關(guān)系明確，注冊資本不少于人民幣2000萬元并依據(jù)《中華人民共和國公司法》的相關(guān)規(guī)定進行實繳。2、財務狀況良好，最近三年連續(xù)盈利，累計凈利潤不低于400萬元或年均凈利潤率不低于5%。3、有良好的資信，近五年未有與數(shù)據(jù)安全、數(shù)據(jù)合規(guī)、數(shù)據(jù)交易相關(guān)的行政處罰，未有被確認承擔知識產(chǎn)權(quán)類侵權(quán)責任的訴訟案件，未有影響較大、性質(zhì)較嚴重的其他行政處罰，未有影響企業(yè)正常運營的重大訴訟。4、董事、監(jiān)事和高級管理人員近五年內(nèi)無重大違法違規(guī)記錄。5、近五年內(nèi)未出現(xiàn)過應由其承擔責任的、重大的用戶投訴。B.1.2管理能力1、已建立完備的數(shù)據(jù)質(zhì)量管理體系和信息安全管理體系，包括：（1）已明確組織層面的數(shù)據(jù)質(zhì)量目標，統(tǒng)一數(shù)據(jù)質(zhì)量需求相關(guān)模板、管理機制。（2）已建立數(shù)據(jù)管理責任機制，明確各類數(shù)據(jù)管理人員以及相關(guān)職責，制定各類數(shù)據(jù)的優(yōu)先級和質(zhì)量管理需求。（3）已針對數(shù)據(jù)質(zhì)量目標的制定考慮了外部監(jiān)管、合規(guī)方面的要求。（4）已設計組織統(tǒng)一的數(shù)據(jù)質(zhì)量評價體系以及相應的規(guī)則庫。（5）已明確新建項目中數(shù)據(jù)質(zhì)量需求的管理制度，統(tǒng)一管理權(quán)限。建立組織統(tǒng)一的數(shù)據(jù)安全標準以及策略并正式發(fā)布。（6）規(guī)范了組織數(shù)據(jù)安全標準與策略相關(guān)的管理流程，并以此指導數(shù)據(jù)安全標準和策略的制定。（7）數(shù)據(jù)安全標準與策略制定過程中能識別組織內(nèi)外部的數(shù)據(jù)安全需求，包括外部監(jiān)管和法律的需求。（8）規(guī)范了數(shù)據(jù)安全利益相關(guān)者在數(shù)據(jù)安全管理過程中的職責。（9）定期開展數(shù)據(jù)安全標準和策略相關(guān)的培訓和宣貫。2、企業(yè)設立了完整的數(shù)據(jù)安全管理體系，具備包括數(shù)據(jù)分類分級、數(shù)據(jù)安全技術(shù)措施、數(shù)據(jù)全生命周期全流程管理、風險風評、應急預案、安全教育培訓、數(shù)據(jù)及個人信息出境管理、個人信息操作權(quán)限管理、監(jiān)測審計、個人信息保護影響評估以及投訴、舉報等數(shù)據(jù)安全管理制度和安全保密措施能有效執(zhí)行，每年開展數(shù)據(jù)安全合規(guī)及風險評估并提交風險評估報告。3、建立完備的項目管理體系和客戶服務體系并能有效實施。4、已系統(tǒng)地對員工進行數(shù)據(jù)安全教育以及職業(yè)道德培訓，并定期組織數(shù)據(jù)安全責任考5、已設立數(shù)據(jù)安全責任人，由具有五年以上相關(guān)管理工作經(jīng)歷或數(shù)據(jù)安全專業(yè)知識的人員擔任，參與有關(guān)數(shù)據(jù)活動的重要決策，且須與所在單位簽訂三年以上勞動合同。6、已采用數(shù)據(jù)分類分級、備份、脫敏、加密、數(shù)據(jù)防泄露、數(shù)據(jù)接口安全等安全技術(shù)措施保護個人信息和重要數(shù)據(jù)。B.1.3技術(shù)實力1、主要負責人應具有五年以上電子信息技術(shù)領(lǐng)域的管理經(jīng)歷；財務負責人應具有國家相關(guān)部門頒發(fā)的中級職稱以上的財務專業(yè)從業(yè)資格證書。T/GDJRxxx—20242、具有穩(wěn)定的技術(shù)隊伍，從事數(shù)據(jù)安全服務的人員不少于20名。從事數(shù)據(jù)安全服務的人員與所在機構(gòu)簽訂二年以上勞動合同和保密協(xié)議，合同和協(xié)議應在有效期內(nèi)。B.1.4信息安全能力1、信息供方的系統(tǒng)管理和技術(shù)要求達到GB/T22239-2019四級及以上。2、業(yè)務操作要求符合本文件的業(yè)務運作要求。3、信息供方的數(shù)據(jù)安全能力要求達到GB/T37988-2019四級及以上。B.2三級B.2.1綜合條件1、在中華人民共和國境內(nèi)注冊成立（港澳臺地區(qū)除外）,且由中國公民、法人或國家投資所占總股本不少于50%的獨立法人，變革發(fā)展歷程清晰、產(chǎn)權(quán)關(guān)系明確，注冊資本不少于人民幣500萬元，并依據(jù)《中華人民共和國公司法》的相關(guān)規(guī)定進行實繳。2、財務狀況良好，最近二年連續(xù)盈利，累計凈利潤不低于200萬元或年均凈利潤率不低于3%。3、有良好的資信，近三年未有與數(shù)據(jù)安全、數(shù)據(jù)合規(guī)、數(shù)據(jù)交易相關(guān)的行政處罰，未有被確認承擔知識產(chǎn)權(quán)類侵權(quán)責任的訴訟案件，未有影響較大、性質(zhì)較嚴重的其他行政處罰，未有影響企業(yè)正常運營的重大訴訟。4、董事、監(jiān)事和高級管理人員近三年內(nèi)無重大違法違規(guī)記錄。5、具有良好的資信，近三年內(nèi)未出現(xiàn)過應由其承擔責任的、重大的用戶投訴。B.2.2管理能力1、已建立完備的數(shù)據(jù)質(zhì)量管理體系和信息安全管理體系，包括：（1）已制定數(shù)據(jù)質(zhì)量需求相關(guān)模板，明確相關(guān)管理規(guī)范。（2）已在組織或業(yè)務部門識別了關(guān)鍵數(shù)據(jù)的質(zhì)量需求。（3）已設計滿足本業(yè)務部門需求的數(shù)據(jù)質(zhì)量評價指標，并建立了數(shù)據(jù)質(zhì)量規(guī)則庫。（4）業(yè)務部門內(nèi)部建立了數(shù)據(jù)安全標準、管理策略和管理流程。（5）業(yè)務部門內(nèi)部識別數(shù)據(jù)安全利益相關(guān)者。（6）業(yè)務部門內(nèi)部數(shù)據(jù)安全標準與策略的建立能遵循合理的管理流程。2、企業(yè)設立了完整的數(shù)據(jù)安全管理組織架構(gòu)，具備包括數(shù)據(jù)分類分級、數(shù)據(jù)安全技術(shù)措施、數(shù)據(jù)全生命周期全流程管理、風險風評、應急預案、安全教育培訓、數(shù)據(jù)及個人信息出境管理、個人信息操作權(quán)限管理、監(jiān)測審計、個人信息保護影響評估以及投訴、舉報等數(shù)據(jù)安全管理制度和安全保密措施能有效執(zhí)行，定期開展風險評估。3、建立完備的項目管理體系和客戶服務體系并能有效實施。4、系統(tǒng)地對員工進行數(shù)據(jù)安全教育以及職業(yè)道德培訓。5、已設立數(shù)據(jù)安全責任人，由具有三年相關(guān)管理工作經(jīng)歷和數(shù)據(jù)安全專業(yè)知識的人員擔任，參與有關(guān)數(shù)據(jù)活動的重要決策，且須與所在單位簽訂三年以上勞動合同。6、已采用分類分級、備份、脫敏、加密、數(shù)據(jù)防泄漏、數(shù)據(jù)接口安全等安全技術(shù)措施保護個人信息和重要數(shù)據(jù)。B.2.3技術(shù)實力1、主要負責人應具有三年以上電子信息技術(shù)領(lǐng)域的管理經(jīng)歷；財務負責人應具有國家相關(guān)部門頒發(fā)的中級職稱以上的財務專業(yè)從業(yè)資格證書。2、具有穩(wěn)定的技術(shù)隊伍，從事數(shù)據(jù)安全服務的人員不少于10名。從事數(shù)據(jù)安全服務的人員與所在機構(gòu)簽訂二年以上勞動合同和保密協(xié)議，合同和協(xié)議應在有效期內(nèi)。B.2.4信息安全能力1、信息供方的系統(tǒng)管理和技術(shù)防護達到GB/T22239-2019三級。2、業(yè)務操作要求符合本文件的業(yè)務運作要求。T/GDJRXXX—20243、信息供方的數(shù)據(jù)安全能力要求達到GB/T37988-2019三級及以上。B.3二級B.3.1綜合條件1、在中華人民共和國境內(nèi)注冊成立（港澳臺地區(qū)除外）,且由中國公民、法人或國家投資所占總股本不少于50%的獨立法人，變革發(fā)展歷程清晰、產(chǎn)權(quán)關(guān)系明確，注冊資本不少于人民幣100萬元，并依據(jù)《中華人民共和國公司法》的相關(guān)規(guī)定進行實繳。2、財務狀況良好，近兩年未有與數(shù)據(jù)安全、數(shù)據(jù)合規(guī)、數(shù)據(jù)交易相關(guān)的行政處罰，未有被確認承擔知識產(chǎn)權(quán)類侵權(quán)責任的訴訟案件，未有影響較大、性質(zhì)較嚴重的其他行政處罰，未有影響企業(yè)正常運營的重大訴訟。3、董事、監(jiān)事和高級管理人員近兩年內(nèi)無重大違法違規(guī)記錄。4、有良好的資信，近二年內(nèi)未出現(xiàn)過應由其承擔責任的、重大的用戶投訴。B.3.2管理能力1、已建立完備的數(shù)據(jù)質(zhì)量管理體系和數(shù)據(jù)安全管理體系，包括：（1）已在項目中分析了數(shù)據(jù)質(zhì)量的管理需求，并進行了相關(guān)的管理。（2）基于出現(xiàn)的數(shù)據(jù)問題，已開展數(shù)據(jù)質(zhì)量檢查工作。（3）基于出現(xiàn)的數(shù)據(jù)質(zhì)量問題，進行了分析和評估。（4）業(yè)務部門內(nèi)部建立了數(shù)據(jù)安全標準、管理策略和管理流程。2、企業(yè)已設立數(shù)據(jù)安全管理組織架構(gòu)，具備包括數(shù)據(jù)分類分級、數(shù)據(jù)安全技術(shù)措施、數(shù)據(jù)全生命周期全流程管理、風險風評、應急預案、安全教育培訓、數(shù)據(jù)及個人信息出境管理、個人信息操作權(quán)限管理、監(jiān)測審計、個人信息保護影響評估以及投訴、舉報等數(shù)據(jù)安全管理制度和安全保密措施。3、具有系統(tǒng)地對員工進行數(shù)據(jù)安全教育以及職業(yè)道德培訓的計劃，并能有效地組織實施與考核。4、已設立數(shù)據(jù)安全責任人，由具有兩年相關(guān)管理工作經(jīng)歷和數(shù)據(jù)安全專業(yè)知識的人員擔任，參與有關(guān)數(shù)據(jù)活動的重要決策，且須與所在單位簽訂二年以上勞動合同。5、已采用分類分級、備份、脫敏、加密、數(shù)據(jù)防泄漏、數(shù)據(jù)接口安全等安全技術(shù)措施保護個人信息和重要數(shù)據(jù)。B.3.3技術(shù)實力1、主要負責人應具有兩年以上電子信息技術(shù)領(lǐng)域的管理經(jīng)歷；財務負責人應具有國家相關(guān)部門頒發(fā)的中級職稱以上的