《信息安全技術(shù) 數(shù)據(jù)交易服務(wù)安全要求》

GB/T37932—XXXX

信息安全技術(shù)數(shù)據(jù)交易服務(wù)安全要求

1范圍

本文件規(guī)定了數(shù)據(jù)交易服務(wù)安全要求，包括數(shù)據(jù)交易參與方、交易對象、交易平臺及交易過程的安

全要求。

本文件適用于數(shù)據(jù)供方、數(shù)據(jù)需方、數(shù)據(jù)交易場所、數(shù)據(jù)商、第三方專業(yè)服務(wù)機(jī)構(gòu)規(guī)范其數(shù)據(jù)交易

活動，也適用于監(jiān)管部門、評估機(jī)構(gòu)對數(shù)據(jù)交易服務(wù)安全進(jìn)行監(jiān)督、管理、評估。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T22239信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求

GB/T25069信息安全技術(shù)術(shù)語

GB/T35273信息安全技術(shù)個人信息安全規(guī)范

GB/T36343信息技術(shù)數(shù)據(jù)交易服務(wù)平臺交易數(shù)據(jù)描述

GB/T37988信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型

GB/T39335信息安全技術(shù)個人信息安全影響評估指南

GB/TAAAAA信息安全技術(shù)數(shù)據(jù)分類分級規(guī)則

GB/TBBBBB信息安全技術(shù)數(shù)據(jù)安全風(fēng)險評估方法

3術(shù)語與定義

GB/T25069界定的以及下列術(shù)語和定義適用于本文件。

3.1

數(shù)據(jù)資源dataresources

由組織或個人持有的，加工后具有經(jīng)濟(jì)價值的數(shù)據(jù)。

3.2

數(shù)據(jù)產(chǎn)品dataproduct

數(shù)據(jù)資源經(jīng)過實質(zhì)性處理后，形成依法可交易、滿足用戶特定需求的產(chǎn)品。

注：數(shù)據(jù)產(chǎn)品，通常涉及API接口、數(shù)據(jù)集、數(shù)據(jù)報告等。

3.3

數(shù)據(jù)交易datatransaction

1

GB/T37932—XXXX

以數(shù)據(jù)產(chǎn)品作為交易標(biāo)的，進(jìn)行的以貨幣或貨幣等價物交換數(shù)據(jù)使用權(quán)和市場化流通的行為。

3.4

數(shù)據(jù)供方datasupplier

數(shù)據(jù)交易中出售和提供數(shù)據(jù)產(chǎn)品的組織，簡稱供方。

3.5

數(shù)據(jù)需方datademander

數(shù)據(jù)交易中購買和使用數(shù)據(jù)產(chǎn)品的組織，簡稱需方。

注：數(shù)據(jù)供方和數(shù)據(jù)需方，合稱為數(shù)據(jù)交易雙方。

3.6

數(shù)據(jù)交易場所datatransactionplace

為數(shù)據(jù)集中交易提供場所和基礎(chǔ)設(shè)施，組織和管理數(shù)據(jù)交易活動的組織機(jī)構(gòu)。簡稱交易所。

3.7

數(shù)據(jù)商dataprovider

為數(shù)據(jù)交易雙方提供數(shù)據(jù)產(chǎn)品開發(fā)、發(fā)布、承銷和數(shù)據(jù)資產(chǎn)的合規(guī)化、標(biāo)準(zhǔn)化、增值化等服務(wù)，提

高數(shù)據(jù)交易效率的組織機(jī)構(gòu)。簡稱數(shù)商。

注：廣義的數(shù)據(jù)商也包括數(shù)據(jù)供方，泛指將數(shù)據(jù)資源加工處理成數(shù)據(jù)產(chǎn)品，或者受委托提供數(shù)據(jù)產(chǎn)品開發(fā)、發(fā)布、

承銷等服務(wù)的組織。

3.8

第三方專業(yè)服務(wù)機(jī)構(gòu)third-partyprofessionalserviceagency

輔助數(shù)據(jù)交易活動有序開展，提供法律服務(wù)、數(shù)據(jù)資產(chǎn)化服務(wù)、安全質(zhì)量評估服務(wù)、培訓(xùn)咨詢服務(wù)

及其他第三方服務(wù)的組織機(jī)構(gòu)。

注：第三方服務(wù)包括數(shù)據(jù)集成、數(shù)據(jù)經(jīng)紀(jì)、合規(guī)認(rèn)證、安全審計、數(shù)據(jù)公證、數(shù)據(jù)保險、數(shù)據(jù)托管、資產(chǎn)評估、爭

議仲裁、風(fēng)險評估、人才培訓(xùn)等服務(wù)。

3.9

數(shù)據(jù)交易服務(wù)datatransactionservice

為幫助數(shù)據(jù)供方和需方完成數(shù)據(jù)流通交易全過程，實現(xiàn)數(shù)據(jù)資產(chǎn)化和數(shù)據(jù)價值變現(xiàn)提供的各類服

務(wù)。

3.10

數(shù)據(jù)交易平臺datatransactionplatform

為供需雙方提供數(shù)據(jù)交易服務(wù)的信息系統(tǒng)。

3.11

場內(nèi)交易insitetransaction

數(shù)據(jù)供方和數(shù)據(jù)需方依托數(shù)據(jù)交易場所開展數(shù)據(jù)交易。

2

GB/T37932—XXXX

3.12

場外交易o(hù)ff-sitetransaction

數(shù)據(jù)供方和數(shù)據(jù)需方不通過數(shù)據(jù)交易場所，直接或依托數(shù)據(jù)商、第三方專業(yè)服務(wù)機(jī)構(gòu)完成數(shù)據(jù)交易。

3.13

數(shù)據(jù)交易參與方datatransactionparticipants

參與數(shù)據(jù)交易服務(wù)的相關(guān)方。

注：場內(nèi)交易的參與方可能涉及數(shù)據(jù)交易場所、數(shù)據(jù)供方、數(shù)據(jù)需方、數(shù)據(jù)商、第三方專業(yè)服務(wù)機(jī)構(gòu)，場外交易的

參與方可能涉及數(shù)據(jù)供方、數(shù)據(jù)需方、數(shù)據(jù)商、第三方專業(yè)服務(wù)機(jī)構(gòu)。

3.14

數(shù)據(jù)交易標(biāo)的datatransactionobject

數(shù)據(jù)供需雙方交易的數(shù)據(jù)產(chǎn)品，也稱數(shù)據(jù)交易對象或交易數(shù)據(jù)。

3.15

數(shù)據(jù)交易過程datatransactionprocess

數(shù)據(jù)交易參與方針對具體的數(shù)據(jù)交易標(biāo)的，進(jìn)行的一組完整和具體的數(shù)據(jù)交易活動。

3.16

交付delivery

數(shù)據(jù)供方按照協(xié)議約定，使數(shù)據(jù)需方實際訪問、調(diào)用、計算（處理）或取得交易數(shù)據(jù)產(chǎn)品的行為。

注：訪問，是指數(shù)據(jù)供方僅給數(shù)據(jù)需方使用數(shù)據(jù)的環(huán)境或接口允許其計算、查閱數(shù)據(jù)，但不允許其下載、復(fù)制或下

載原始數(shù)據(jù)到本地的交付方式。

4總則

4.1數(shù)據(jù)交易服務(wù)參考模型

數(shù)據(jù)交易服務(wù)分為場內(nèi)交易和場外交易兩種模式，場內(nèi)交易是數(shù)據(jù)供方和需方依托數(shù)據(jù)交易場所進(jìn)

行交易，場外交易則是數(shù)據(jù)供需雙方在交易場所外進(jìn)行交易。實際交易中，既可能由數(shù)據(jù)供需雙方直接

或通過數(shù)據(jù)交易場所交易，也可能有數(shù)據(jù)商參與數(shù)據(jù)交易過程，為交易雙方提供數(shù)據(jù)產(chǎn)品開發(fā)、發(fā)布、

承銷等服務(wù)，還可能有第三方專業(yè)服務(wù)機(jī)構(gòu)提供法律、數(shù)據(jù)資產(chǎn)化、安全質(zhì)量評估、培訓(xùn)咨詢等服務(wù)，

輔助數(shù)據(jù)交易活動有序開展。數(shù)據(jù)交易服務(wù)參考模型如圖1所示。

3

GB/T37932—XXXX

數(shù)據(jù)商第三方專業(yè)服務(wù)機(jī)構(gòu)

場內(nèi)交易數(shù)據(jù)交易場所

交易過程

交易前交易中交易后

主體登記交易下單產(chǎn)品交易交易糾紛

數(shù)據(jù)入駐掛牌磋商簽約交付結(jié)算結(jié)束處理數(shù)據(jù)

供方需方

數(shù)據(jù)交易平臺

場外交易

圖1數(shù)據(jù)交易服務(wù)參考模型

4.2數(shù)據(jù)交易過程

場內(nèi)交易全過程，通常包括主體入駐、登記掛牌、交易磋商、下單簽約、產(chǎn)品交付、交易結(jié)算、交

易結(jié)束、糾紛處理等環(huán)節(jié)。其中，主體入駐、登記掛牌屬于交易前的準(zhǔn)備階段，交易磋商、下單簽約、

產(chǎn)品交付和交易結(jié)算屬于交易中的實施階段，交易結(jié)束、糾紛處理則屬于交易后的售后階段。場外交易

過程，通常涉及交易磋商、下單簽約、產(chǎn)品交付、交易結(jié)算、交易結(jié)束等環(huán)節(jié)。

a）主體入駐：數(shù)據(jù)供方、需方、數(shù)據(jù)商、第三方專業(yè)服務(wù)機(jī)構(gòu)等入駐數(shù)據(jù)交易場所，完成用戶注

冊、實名認(rèn)證、資質(zhì)審核、信息完善等。

b）登記掛牌：對數(shù)據(jù)交易標(biāo)的進(jìn)行信息登記,并對數(shù)據(jù)產(chǎn)品合規(guī)性、質(zhì)量等進(jìn)行評估審核，審核

通過的數(shù)據(jù)產(chǎn)品在數(shù)據(jù)交易場所掛牌上架。

c）交易磋商：交易雙方對接后，對交易標(biāo)的的交易用途、交易金額、交付方式、安全責(zé)任等內(nèi)容

進(jìn)行協(xié)商，需方也可申請數(shù)據(jù)產(chǎn)品或樣本數(shù)據(jù)測試。如還需對數(shù)據(jù)產(chǎn)品進(jìn)一步加工，需方可發(fā)

布需求，由數(shù)據(jù)供方或數(shù)據(jù)商對數(shù)據(jù)進(jìn)行加工。

d）下單簽約：數(shù)據(jù)需方選擇數(shù)據(jù)產(chǎn)品下單，待供方確認(rèn)訂單信息后，雙方簽訂數(shù)據(jù)交易合同協(xié)議，

數(shù)據(jù)交易場所對合同進(jìn)行審核和備案。

e）產(chǎn)品交付：按照數(shù)據(jù)交易合同協(xié)議約定交付數(shù)據(jù)產(chǎn)品，通過數(shù)據(jù)交易平臺、數(shù)據(jù)商或交易雙方

自主進(jìn)行交付，數(shù)據(jù)需方對交付的數(shù)據(jù)產(chǎn)品進(jìn)行驗收。

f）交易結(jié)算：按照合同協(xié)議約定和交易賬單支付交易費(fèi)用，對交易參與方的費(fèi)用進(jìn)行結(jié)算，并支

持對超額購買的費(fèi)用進(jìn)行退款。

g）交易結(jié)束：結(jié)束此次數(shù)據(jù)交易操作，并對交易相關(guān)信息進(jìn)行記錄、存證、審計等，同時提供數(shù)

據(jù)交易售后服務(wù)。

h）糾紛處理：建立數(shù)據(jù)交易投訴舉報和爭議解決機(jī)制，對數(shù)據(jù)交易的投訴、舉報、爭議、糾紛進(jìn)

行處理，支持對違法違規(guī)數(shù)據(jù)交易行為進(jìn)行審查追溯，保障交易參與方權(quán)益。

4.3數(shù)據(jù)交易標(biāo)的

4

GB/T37932—XXXX

數(shù)據(jù)交易標(biāo)的，通常涉及API數(shù)據(jù)、數(shù)據(jù)集、數(shù)據(jù)報告、數(shù)據(jù)應(yīng)用、數(shù)據(jù)工具、數(shù)據(jù)服務(wù)、其他

數(shù)據(jù)等數(shù)據(jù)產(chǎn)品。

a）API數(shù)據(jù)：通過應(yīng)用程序接口API實現(xiàn)調(diào)用的數(shù)據(jù)；

b）數(shù)據(jù)集：具有一定主題，可滿足用戶需求的數(shù)據(jù)集合或數(shù)據(jù)文件；

c）數(shù)據(jù)報告：對數(shù)據(jù)進(jìn)行統(tǒng)計、建模、分析等處理，以文字、圖表等可視化方式呈現(xiàn)的報告；

d）數(shù)據(jù)應(yīng)用：數(shù)據(jù)資源經(jīng)過加工處理后，提供的數(shù)據(jù)應(yīng)用服務(wù)或定制化解決方案；

e）其他數(shù)據(jù)：其他依法可交易的數(shù)據(jù)產(chǎn)品，如應(yīng)用賬號、算法模型、數(shù)據(jù)指數(shù)、加密數(shù)據(jù)等；

f）數(shù)據(jù)工具：提供數(shù)據(jù)采集、存儲、傳輸、預(yù)處理、加工、可視化、刪除等數(shù)據(jù)處理能力的工具；

g）數(shù)據(jù)服務(wù)：在數(shù)據(jù)交易過程中，由數(shù)據(jù)商、第三方專業(yè)服務(wù)機(jī)構(gòu)提供的數(shù)據(jù)服務(wù)，如數(shù)據(jù)采集

服務(wù)、數(shù)據(jù)加工服務(wù)、安全評估服務(wù)等。

5數(shù)據(jù)交易安全原則

數(shù)據(jù)交易應(yīng)遵循以下安全原則：

a)合法合規(guī)原則：數(shù)據(jù)交易參與方應(yīng)遵守法律法規(guī)等有關(guān)規(guī)定，尊重社會公德和倫理，遵守商

業(yè)道德和職業(yè)道德，誠實守信，不得危害國家安全、公共利益，不得損害個人、組織的合法

權(quán)益；

b)過程可控原則：數(shù)據(jù)交易過程應(yīng)確保數(shù)據(jù)來源合法可確認(rèn)、使用范圍可界定、交易過程可追

溯、安全風(fēng)險可防范；

c)分類分級原則：數(shù)據(jù)交易標(biāo)的應(yīng)遵守國家和行業(yè)數(shù)據(jù)分類分級保護(hù)要求，結(jié)合數(shù)據(jù)流通范圍、

影響程度、潛在風(fēng)險，建立公共數(shù)據(jù)、企業(yè)數(shù)據(jù)、個人信息等數(shù)據(jù)分類分級授權(quán)使用和保護(hù)

機(jī)制；

d)確保安全原則：數(shù)據(jù)交易參與方應(yīng)采取必要的管理措施和技術(shù)手段，防范交易對象被篡改、

破壞、泄露或者非法獲取、非法利用、非法交易等風(fēng)險，保障個人信息主體權(quán)益；

e)權(quán)責(zé)一致原則：數(shù)據(jù)交易參與方在享有數(shù)據(jù)要素流通收益的同時，應(yīng)當(dāng)對各自的數(shù)據(jù)交易活

動承擔(dān)安全責(zé)任。

1)數(shù)據(jù)供方應(yīng)對數(shù)據(jù)交易標(biāo)的的質(zhì)量、安全和合規(guī)負(fù)責(zé)；

2)數(shù)據(jù)需方應(yīng)對數(shù)據(jù)交易標(biāo)的使用的安全和合規(guī)負(fù)責(zé)；

3)數(shù)據(jù)交易場所應(yīng)對數(shù)據(jù)交易平臺安全、交易過程合規(guī)監(jiān)管等負(fù)責(zé)；

4)數(shù)據(jù)商、第三方專業(yè)服務(wù)機(jī)構(gòu)應(yīng)對其提供的產(chǎn)品服務(wù)的安全性、合規(guī)性負(fù)責(zé)。

6數(shù)據(jù)交易參與方安全要求

6.1基本要求

數(shù)據(jù)供方、需方、數(shù)據(jù)商、第三方專業(yè)服務(wù)機(jī)構(gòu)、數(shù)據(jù)交易場所等交易參與方，應(yīng)滿足以下要求：

a)應(yīng)遵守合法合規(guī)、過程可控、分類分級、確保安全、權(quán)責(zé)一致等數(shù)據(jù)交易安全原則；

b)不應(yīng)以欺詐、誘騙、誤導(dǎo)、脅迫、賄賂等方式交易數(shù)據(jù)；

c)不應(yīng)從數(shù)據(jù)流通非法產(chǎn)業(yè)交易數(shù)據(jù)；

d)數(shù)據(jù)交易服務(wù)需取得相關(guān)行政許可的，應(yīng)取得行政許可；

e)應(yīng)謹(jǐn)慎對待原始數(shù)據(jù)交易；

f)應(yīng)履行數(shù)據(jù)處理者安全保護(hù)義務(wù)，建立全流程數(shù)據(jù)安全管理制度，組織開展數(shù)據(jù)安全教育培

訓(xùn)，采取相應(yīng)的技術(shù)措施和其他必要措施，保障數(shù)據(jù)安全；

5

GB/T37932—XXXX

g)應(yīng)制定安全應(yīng)急預(yù)案，發(fā)生數(shù)據(jù)安全事件時，應(yīng)立即采取處置措施，按照規(guī)定及時告知相關(guān)

方并向有關(guān)主管部門報告；

h)涉及個人信息的，應(yīng)依法承擔(dān)個人信息處理者責(zé)任，履行個人信息保護(hù)義務(wù)；

i)涉及跨境交易向境外提供數(shù)交易標(biāo)的的，應(yīng)遵守國家數(shù)據(jù)出境管理有關(guān)規(guī)定；

j)涉及人工智能算法模型的，應(yīng)遵守人工智能有關(guān)規(guī)定；

k)涉及知識產(chǎn)權(quán)的，不應(yīng)侵害他人依法享有的知識產(chǎn)權(quán)；

l)場內(nèi)交易的供方、需方、數(shù)據(jù)商和第三方專業(yè)機(jī)構(gòu)應(yīng)完成交易所入駐才能進(jìn)行數(shù)據(jù)交易，交

易時應(yīng)遵守數(shù)據(jù)交易場所的制度要求。

6.2數(shù)據(jù)供方

數(shù)據(jù)供方在符合6.1基本要求基礎(chǔ)上，還應(yīng)滿足以下要求：

a)組織作為供方進(jìn)行數(shù)據(jù)交易，應(yīng)滿足以下條件：

1)依法成立并有效存續(xù)，具有承擔(dān)民事責(zé)任能力；

2)具有良好的商業(yè)信譽(yù)，無重大財務(wù)風(fēng)險；

3)注冊成立時間應(yīng)超過一年

4)業(yè)務(wù)經(jīng)營活動需取得相關(guān)行政許可的，應(yīng)當(dāng)依法取得行政許可；

5)近一年不存在違法違規(guī)和失信記錄；

6)近一年未發(fā)生網(wǎng)絡(luò)和數(shù)據(jù)安全事件；

7)具備數(shù)據(jù)要素市場主體相應(yīng)的數(shù)據(jù)安全能力；

b)供方應(yīng)確保交易標(biāo)的的數(shù)據(jù)來源合法，保證對數(shù)據(jù)資源的處理活動合規(guī)；

c)供方應(yīng)有正當(dāng)合法的經(jīng)營目的，且掛牌交易標(biāo)的在本身的業(yè)務(wù)范圍內(nèi)或者與自身業(yè)務(wù)直接相

關(guān)；

d)供方應(yīng)保障交易標(biāo)的的數(shù)據(jù)質(zhì)量，加強(qiáng)數(shù)據(jù)的真實性、準(zhǔn)確性、完整性；

e)供方應(yīng)采取措施保護(hù)交易標(biāo)的安全，防范數(shù)據(jù)泄露、篡改、破壞或者非法獲取、非法利用等

風(fēng)險；

f)供方應(yīng)真實、準(zhǔn)確、完整披露交易標(biāo)的信息，不應(yīng)隱瞞數(shù)據(jù)來源及涉及的個人信息、重要數(shù)

據(jù)；

g)如存在數(shù)據(jù)流通限制，供方應(yīng)明示數(shù)據(jù)產(chǎn)品使用數(shù)據(jù)產(chǎn)品使用或流通的目的、方式、范圍進(jìn)

行明確說明，法律法規(guī)另有規(guī)定的除外。

6.3數(shù)據(jù)需方

數(shù)據(jù)需方在符合6.1基本要求基礎(chǔ)上，應(yīng)滿足以下要求：

a)組織作為需方進(jìn)行數(shù)據(jù)交易，應(yīng)滿足以下條件：

1)依法成立并有效存續(xù)，具有承擔(dān)民事責(zé)任能力；

2)具有良好的商業(yè)信譽(yù)，無重大財務(wù)風(fēng)險；

3)近一年不存在違法違規(guī)和失信記錄；

4)近一年未發(fā)生網(wǎng)絡(luò)和數(shù)據(jù)安全事件；

5)具備數(shù)據(jù)要素市場主體相應(yīng)的數(shù)據(jù)安全能力；

b)需方使用交易標(biāo)的應(yīng)具有明確、合理的目的，購買的交易標(biāo)的應(yīng)與使用目的直接相關(guān)；

c)需方應(yīng)按照數(shù)據(jù)交易雙方協(xié)議約定使用數(shù)據(jù)，授權(quán)使用范圍不應(yīng)超出交易協(xié)議約定要求的流

通范圍；

d)需方應(yīng)具備與處理交易標(biāo)的相適應(yīng)的數(shù)據(jù)安全能力；

e)需方不應(yīng)繞過或破壞交易數(shù)據(jù)的安全保護(hù)措施，不應(yīng)對去標(biāo)識化的個人信息進(jìn)行重新識別；

6

GB/T37932—XXXX

f)需方對交易數(shù)據(jù)的使用加工，不應(yīng)對國家安全、公共利益造成影響，不應(yīng)損害組織或個人合

法權(quán)益；

g)需方應(yīng)按照交易約定的授權(quán)范圍，合理確定交易數(shù)據(jù)的訪問權(quán)限，并定期對相關(guān)人員進(jìn)行安

全培訓(xùn)；

h)需方應(yīng)對供方提供的交易標(biāo)的的安全性、合規(guī)性進(jìn)行審核；

i)需方在數(shù)據(jù)交易協(xié)議到期或按照約定完成交易數(shù)據(jù)使用目的后，應(yīng)按照協(xié)議約定要求及時對

交易數(shù)據(jù)進(jìn)行處理。

6.4數(shù)據(jù)商和第三方專業(yè)服務(wù)機(jī)構(gòu)

數(shù)據(jù)商和第三方專業(yè)服務(wù)機(jī)構(gòu)應(yīng)滿足以下要求：

a)組織作為數(shù)據(jù)商或第三方專業(yè)服務(wù)機(jī)構(gòu)參與數(shù)據(jù)交易，應(yīng)滿足以下條件：

1)在我國境內(nèi)依法成立并有效存續(xù)，具有承擔(dān)民事責(zé)任能力；

2)具有良好的商業(yè)信譽(yù)，無重大財務(wù)風(fēng)險；

3)近兩年不存在違法違規(guī)和失信記錄；

4)近兩年未發(fā)生網(wǎng)絡(luò)和數(shù)據(jù)安全事件；

5)具備從事相關(guān)業(yè)務(wù)的技術(shù)能力和經(jīng)驗；

6)具備數(shù)據(jù)要素市場主體相應(yīng)的數(shù)據(jù)安全能力；

7)如從事數(shù)據(jù)商、第三方專業(yè)服務(wù)機(jī)構(gòu)服務(wù)需要專門資質(zhì)的，應(yīng)取得相應(yīng)資質(zhì)許可。

b)未經(jīng)授權(quán)不應(yīng)將數(shù)據(jù)商、第三方專業(yè)服務(wù)機(jī)構(gòu)身份提供給他人使用；

c)應(yīng)對數(shù)據(jù)商、第三方專業(yè)機(jī)構(gòu)提供的產(chǎn)品服務(wù)的安全性、合規(guī)性、真實性和有效性負(fù)責(zé)。

1)從事專業(yè)評估服務(wù)的，應(yīng)按照法律法規(guī)要求和專業(yè)審慎原則，對交易標(biāo)的進(jìn)行嚴(yán)格審查，

確保交易標(biāo)的來源合法、內(nèi)容真實、質(zhì)量可靠；

2)從事數(shù)據(jù)開發(fā)服務(wù)的，應(yīng)保障數(shù)據(jù)開發(fā)過程安全可追溯；

3)從事數(shù)據(jù)發(fā)布、承銷服務(wù)的，應(yīng)嚴(yán)格審核數(shù)據(jù)來源及數(shù)據(jù)供方的身份、資質(zhì)，未達(dá)到數(shù)據(jù)

安全合規(guī)要求的不代理；

4)從事數(shù)據(jù)交付服務(wù)的，應(yīng)提供安全、可信的交付環(huán)境，確保數(shù)據(jù)交付安全；

d)第三方專業(yè)服務(wù)機(jī)構(gòu)應(yīng)堅持獨(dú)立、客觀、公正原則開展服務(wù)，出具的法律意見書、評估報告、

鑒定意見、專家結(jié)論、認(rèn)證證書等，應(yīng)保證客觀性、真實性、準(zhǔn)確性和完整性，不應(yīng)出現(xiàn)虛

假記載、誤導(dǎo)性陳述等違反法律法規(guī)、行業(yè)規(guī)則的情形，自覺接收數(shù)據(jù)交易場所和有關(guān)部門

的監(jiān)督檢查；

e)未經(jīng)委托方同意，不應(yīng)將數(shù)據(jù)商、第三方專業(yè)服務(wù)機(jī)構(gòu)的服務(wù)外包，如確需外包應(yīng)征得委托

方同意，并對外包方的數(shù)據(jù)安全能力、資質(zhì)進(jìn)行審核，明確外包方的安全責(zé)任、保密義務(wù)和

任務(wù)結(jié)束后的數(shù)據(jù)處理方式；

f)應(yīng)妥善保管供方或需方的數(shù)據(jù)資料，不應(yīng)泄露、偽造、篡改、隱藏、毀損；

g)按照約定方式完成服務(wù)后，及時刪除收到的客戶數(shù)據(jù)和服務(wù)過程中所產(chǎn)生的相關(guān)數(shù)據(jù)。

6.5數(shù)據(jù)交易場所

6.5.1制度機(jī)制

數(shù)據(jù)交易場所應(yīng)滿足以下要求：

a)提供數(shù)據(jù)集中交易場所，建設(shè)安全穩(wěn)定的數(shù)據(jù)交易環(huán)境，支持?jǐn)?shù)據(jù)交易合規(guī)監(jiān)管和基礎(chǔ)服務(wù)；

b)建立數(shù)據(jù)交易管理制度，明確數(shù)據(jù)交易主體、交易標(biāo)的、交易平臺、交易過程、交易安全、

糾紛處理等交易規(guī)則、管理規(guī)范和服務(wù)指南；

7

GB/T37932—XXXX

c)建立交易所內(nèi)部數(shù)據(jù)安全制度，對交易所提供服務(wù)過程中收集和產(chǎn)生的數(shù)據(jù)進(jìn)行安全管理，

并規(guī)范數(shù)據(jù)交易相關(guān)人員的安全操作規(guī)則；

d)建立數(shù)據(jù)交易主體入駐、交易標(biāo)的上市、交易合同登記等審核機(jī)制，對數(shù)據(jù)交易主體、交易

標(biāo)的、交易訂單、交易合同等進(jìn)行審核；

e)建立交易所信息報送和披露機(jī)制，及時披露數(shù)據(jù)交易行情、重大事項等信息，及時向市場主

體提示數(shù)據(jù)交易風(fēng)險，定期將數(shù)據(jù)交易情況報送相關(guān)監(jiān)管部門；

f)應(yīng)真實、準(zhǔn)確、及時披露上市交易標(biāo)的信息，不應(yīng)以虛構(gòu)交易、編造用戶評價等方式進(jìn)行虛

假或者引人誤解的商業(yè)宣傳，欺騙、誤導(dǎo)交易主體；

g)發(fā)現(xiàn)違反市場監(jiān)督管理、網(wǎng)絡(luò)安全、數(shù)據(jù)安全等有關(guān)規(guī)定的數(shù)據(jù)交易行為，應(yīng)依法采取必要

的處置措施，保存有關(guān)記錄，并向相關(guān)監(jiān)管部門報告；

h)不應(yīng)未經(jīng)交易主體委托、違背交易主體意愿、假借交易主體名義開展交易活動，不應(yīng)傳播虛

假信息誘導(dǎo)交易主體進(jìn)行不必要的交易；

i)應(yīng)建立完善數(shù)據(jù)交易主體信用評價制度，公示信用評價規(guī)則，為消費(fèi)者提供對交易所上市售

的交易標(biāo)的進(jìn)行評價的途徑，且交易所不應(yīng)刪除消費(fèi)者評價；

j)應(yīng)建立交易所數(shù)據(jù)交易管理制度、內(nèi)部數(shù)據(jù)安全制度的制定、評審、發(fā)布流程，及時對制度

內(nèi)容進(jìn)行更新完善，定期對制度落實情況進(jìn)行監(jiān)督；

k)未經(jīng)授權(quán)不應(yīng)私自留存及使用數(shù)據(jù)供方或需方的數(shù)據(jù)或數(shù)據(jù)衍生品，法律法規(guī)另行要求的除外；

l)應(yīng)建立數(shù)據(jù)交易合規(guī)巡檢機(jī)制，定期對交易主體、交易標(biāo)的的安全性、合規(guī)性進(jìn)行檢查；

m)應(yīng)定期開展數(shù)據(jù)安全風(fēng)險評估和個人信息保護(hù)合規(guī)審計，并向有關(guān)部門報送風(fēng)險評估報告和

合規(guī)審計報告；

n)建立數(shù)據(jù)交易所違規(guī)行為處罰機(jī)制，對數(shù)據(jù)交易過程中的違規(guī)行為進(jìn)行處罰；

o)建立數(shù)據(jù)交易主體入駐和退出機(jī)制，提供主體入駐交易所和主動退出的渠道和方式，如交易

主體存在嚴(yán)重違反交易規(guī)則的行為，交易所也可要求主體退出并終止其數(shù)據(jù)交易；

p)建立交易標(biāo)的上市和退出機(jī)制，提供數(shù)據(jù)資產(chǎn)登記、交易標(biāo)的上市和下架退出的方式。

6.5.2機(jī)構(gòu)人員

數(shù)據(jù)交易場所應(yīng)滿足以下要求：

a)數(shù)據(jù)交易場所注冊成立，應(yīng)獲得有關(guān)部門的授權(quán)或許可；

b)應(yīng)明確數(shù)據(jù)安全負(fù)責(zé)人和主要職責(zé)，負(fù)責(zé)人應(yīng)由交易所最高管理者或授權(quán)代表擔(dān)任；

c)應(yīng)明確數(shù)據(jù)安全管理部門，配備相應(yīng)的數(shù)據(jù)安全崗位和人員，落實數(shù)據(jù)安全保護(hù)責(zé)任，并對

數(shù)據(jù)交易安全和個人信息保護(hù)進(jìn)行監(jiān)督；

d)應(yīng)定期開展員工數(shù)據(jù)安全教育培訓(xùn)，鼓勵數(shù)據(jù)交易主體參加數(shù)據(jù)安全培訓(xùn)；

e)應(yīng)明確數(shù)據(jù)交易人員關(guān)鍵崗位，關(guān)鍵崗位人員入職進(jìn)行背景調(diào)查，并定期進(jìn)行安全考核和行

為安全審計，確保無違法違規(guī)記錄；

f)新員工入職應(yīng)簽署安全保密協(xié)議，建立人員轉(zhuǎn)崗、離崗管理制度，及時回收人員賬號權(quán)限；

g)數(shù)據(jù)交易所的董事、監(jiān)事、高級管理人員及其他工作人員，不應(yīng)直接或間接入市參與本交易

場所交易，也不應(yīng)接受委托進(jìn)行交易。

7數(shù)據(jù)交易平臺安全要求

7.1基本要求

數(shù)據(jù)交易平臺應(yīng)滿足以下基本要求：

8

GB/T37932—XXXX

a)應(yīng)對交易過程進(jìn)行安全管控，確保數(shù)據(jù)來源合法可確認(rèn)、使用范圍可界定、交易過程可追溯、

安全風(fēng)險可防范；

b)符合GB/T22239—2019中第3級相關(guān)要求；

c)從事境內(nèi)數(shù)據(jù)交易服務(wù)的數(shù)據(jù)交易平臺，應(yīng)部署在我國境內(nèi)；

d)采用的密碼技術(shù)應(yīng)符合國家密碼管理相關(guān)要求；

e)加強(qiáng)安全風(fēng)險監(jiān)測，發(fā)現(xiàn)安全缺陷、漏洞等風(fēng)險時，立即采取補(bǔ)救措施。

7.2交易數(shù)據(jù)安全保護(hù)

數(shù)據(jù)交易平臺應(yīng)保護(hù)交易數(shù)據(jù)安全，滿足以下要求：

a)應(yīng)提供安全的數(shù)據(jù)傳輸通道，保證數(shù)據(jù)在傳輸過程中的保密性和完整性；

b)應(yīng)為數(shù)據(jù)供方、需方提供安全的上傳或下載接口，包括基于密碼技術(shù)的身份認(rèn)證、訪問控制、

傳輸鏈路加密、傳輸數(shù)據(jù)保密性和完整性校驗等保護(hù)措施；

c)應(yīng)對數(shù)據(jù)交易平臺接口的不安全輸入?yún)?shù)進(jìn)行限制和過濾，為接口提供異常處理能力；

d)應(yīng)為數(shù)據(jù)交易標(biāo)的生成不可篡改的電子憑證，實現(xiàn)交易標(biāo)的和交易操作的可追溯性及交易的

不可否認(rèn)性；

e)宜提供敏感數(shù)據(jù)識別和數(shù)據(jù)分類分級管理能力，能夠根據(jù)交易標(biāo)的的分類分級結(jié)果，對敏感

數(shù)據(jù)進(jìn)行識別和標(biāo)注，并采用相應(yīng)安全能力的數(shù)據(jù)流通安全保障技術(shù)進(jìn)行交付；

f)如數(shù)據(jù)交易平臺提供數(shù)據(jù)交付能力，應(yīng)提供安全穩(wěn)定的數(shù)據(jù)交付環(huán)境，如：

1)宜支持原始數(shù)據(jù)不出域、數(shù)據(jù)可用不可見的交付方式；

2)宜提供隔離安全環(huán)境，并采取數(shù)據(jù)加密、訪問控制、數(shù)據(jù)防泄漏、水印溯源、安全審計等

措施，防止交易過程中的數(shù)據(jù)泄露、篡改、破壞或非法獲取、非法交易、非法利用等；

g)采取隔離存儲、加密存儲等措施，保障交易數(shù)據(jù)在存儲過程中的保密性和完整性；

h)提供數(shù)據(jù)交易平臺的熱冗余，支持本地數(shù)據(jù)備份恢復(fù)、異地實時備份等功能，保證系統(tǒng)和數(shù)

據(jù)的高可用性；

i)數(shù)據(jù)加工所涉算法的提供者應(yīng)落實主體責(zé)任，加強(qiáng)算法安全管理，確保算法能維護(hù)國家安全

和社會公共利益，保護(hù)公民、法人和其他組織的合法權(quán)益；

j)具備惡意代碼防護(hù)能力，能夠?qū)灰讛?shù)據(jù)含有的惡意代碼進(jìn)行檢測。

7.3交易過程安全控制

數(shù)據(jù)交易平臺應(yīng)對交易全過程進(jìn)行安全管控，滿足以下要求：

a)對數(shù)據(jù)交易主體身份進(jìn)行鑒別認(rèn)證，并對用戶進(jìn)行權(quán)限管理和訪問控制；

b)允許對數(shù)據(jù)交易的參與方、對象、關(guān)鍵過程設(shè)置人工干預(yù)功能，人工干預(yù)內(nèi)容至少包括交易

參與方審核、交易數(shù)據(jù)和需求審核、交易暫停、交易撤銷、交易恢復(fù)；

c)宜提供交易合約的創(chuàng)建、上傳、編輯、確認(rèn)等功能，交易合約內(nèi)容包括但不限于數(shù)據(jù)供方、

數(shù)據(jù)需方、處理數(shù)據(jù)的算法邏輯或相關(guān)數(shù)據(jù)服務(wù)，數(shù)據(jù)的使用頻次、使用期限、使用場景等；

d)數(shù)據(jù)交易平臺可提供電子化交易合約模板，各交易主體對合約條款內(nèi)容進(jìn)行電子簽名和確認(rèn)；

e)宜采用區(qū)塊鏈技術(shù)對交易過程主要環(huán)節(jié)進(jìn)行登記存證，記錄交易參與方、交易標(biāo)的、交易行

為等信息，并確保存證信息不可篡改、不可偽造和可追溯性；

f)授予數(shù)據(jù)交易各參與方所需的最小必要權(quán)限，實現(xiàn)各參與方的權(quán)限分離；

g)數(shù)據(jù)交易標(biāo)的上架掛牌前應(yīng)通過評估，數(shù)據(jù)交易平臺應(yīng)對評估結(jié)果進(jìn)行審核和記錄，確保交

易標(biāo)的的安全性、合規(guī)性和數(shù)據(jù)質(zhì)量；

h)對于已實現(xiàn)數(shù)據(jù)交易目的或授權(quán)到期等情況，應(yīng)立即刪除或銷毀交易數(shù)據(jù)，并對刪除或銷毀

的效果進(jìn)行記錄和定期審計。

9

GB/T37932—XXXX

7.4交易安全審計

數(shù)據(jù)交易平臺應(yīng)建立安全審計機(jī)制，滿足以下要求：

a)應(yīng)記錄、保存平臺發(fā)布的交易標(biāo)的信息和交易信息，確保信息的完整性、保密性和可用性，

交易標(biāo)的信息和交易信息保存時間自交易完成之日起不少于三年；

b)交易信息應(yīng)記錄每筆數(shù)據(jù)交易信息，至少包括交易唯一標(biāo)識、交易時間、供方、需方、交易

標(biāo)的、交易量、交易金額、交付方式、交易結(jié)果等；

c)應(yīng)在數(shù)據(jù)交易平臺運(yùn)營過程中，記錄急交易主體、運(yùn)營人員的操作處理、權(quán)限管理、交易過

程等日志，日志留存時間不少于六個月；

d)應(yīng)定期開展數(shù)據(jù)交易安全審計，僅允許授權(quán)審計員訪問數(shù)據(jù)交易日志，支持對數(shù)據(jù)交易日志

進(jìn)行查詢和分析；

e)允許數(shù)據(jù)交易參與方查詢與自己數(shù)據(jù)交易相關(guān)的日志信息，并允許導(dǎo)出；

f)支持監(jiān)管方訪問交易日志、數(shù)據(jù)存證、電子服務(wù)合約等審計資料，開展數(shù)據(jù)交易服務(wù)的安全

監(jiān)管工作；

g)采取相應(yīng)技術(shù)手段，對日志記錄和安全審計結(jié)果進(jìn)行保護(hù)，防止未授權(quán)篡改、破壞或泄露。

8數(shù)據(jù)交易標(biāo)的安全要求

8.1禁止交易數(shù)據(jù)

數(shù)據(jù)交易標(biāo)的應(yīng)遵循合法、安全和可交易原則，滿足以下要求：

a)數(shù)據(jù)交易標(biāo)的應(yīng)具有明確、合理的應(yīng)用場景和具體用途；

b)有下列情形之一的數(shù)據(jù)交易標(biāo)的，不應(yīng)進(jìn)行流通交易：

1)涉及國家秘密的信息；

2)危害國家安全和社會穩(wěn)定的數(shù)據(jù)；

3)涉及損毀他人名譽(yù)及未經(jīng)授權(quán)的身份、財產(chǎn)和其他敏感數(shù)據(jù)等特定個人權(quán)益的；

4)涉及未經(jīng)授權(quán)的企業(yè)數(shù)據(jù)、商業(yè)秘密等特定企業(yè)權(quán)益的；

5)未經(jīng)自然人或其監(jiān)護(hù)人同意，涉及其個人信息的數(shù)據(jù)；

6)侵犯他人肖像、名譽(yù)、榮譽(yù)等人格權(quán)的數(shù)據(jù)；

7)未經(jīng)有關(guān)部門授權(quán)，涉及公共利益、公共安全的公共數(shù)據(jù)；

8)未依法依規(guī)公開的原始公共數(shù)據(jù)；

9)關(guān)系國家安全、國民經(jīng)濟(jì)命脈、重要民生、重大公共利益等國家核心數(shù)據(jù)；

10)以欺詐、誘騙、誤導(dǎo)等方式或者從非法、違規(guī)渠道獲取的數(shù)據(jù)；

11)其他法律、法規(guī)明確規(guī)定禁止交易的數(shù)據(jù)。

c)數(shù)據(jù)交易場所應(yīng)根據(jù)我國相關(guān)法律法規(guī)，制定禁止交易數(shù)據(jù)目錄，禁止交易數(shù)據(jù)示例見附錄A。

8.2數(shù)據(jù)質(zhì)量合規(guī)要求

d)為確保交易數(shù)據(jù)的質(zhì)量和合規(guī)，應(yīng)滿足以下要求：

a)數(shù)據(jù)供方應(yīng)向數(shù)據(jù)交易所、數(shù)據(jù)需方提供數(shù)據(jù)交易標(biāo)的合法性的證明和承諾。

1)針對公開收集的數(shù)據(jù)，應(yīng)說明公開數(shù)據(jù)收集的目的、方式、范圍，提供公開收集的數(shù)據(jù)類

型、采集策略、數(shù)據(jù)來源、收集合法性證明等。

2)針對組織經(jīng)營活動和信息系統(tǒng)自行產(chǎn)生的數(shù)據(jù)，應(yīng)說明系統(tǒng)建設(shè)和運(yùn)維情況及其數(shù)據(jù)采集

的目的、方式、范圍情況；

3)針對協(xié)議方式獲取的數(shù)據(jù)，應(yīng)提供完整的購買協(xié)議、合作協(xié)議或許可使用協(xié)議等；

10

GB/T37932—XXXX

4)針對用戶授權(quán)獲取的數(shù)據(jù)，應(yīng)說明數(shù)據(jù)獲取的目的、方式范圍，并提供用戶授權(quán)證明。

b)數(shù)據(jù)供方向數(shù)據(jù)交易場所、數(shù)據(jù)需方提供擁有交易完整相關(guān)權(quán)益的明確聲明；

c)數(shù)據(jù)供方向數(shù)據(jù)交易場所、數(shù)據(jù)需方提供交易數(shù)據(jù)真實性的明確聲明；

d)數(shù)據(jù)供方明確交易數(shù)據(jù)的限定用途、使用范圍、交易方式和使用期限；

e)數(shù)據(jù)供方按照GB/T36343要求對交易數(shù)據(jù)進(jìn)行準(zhǔn)確描述，明確數(shù)據(jù)類別等信息，描述信息滿

足準(zhǔn)確性、真實性要求；

f)數(shù)據(jù)交易場所、數(shù)據(jù)需方對交易數(shù)據(jù)描述和樣本的準(zhǔn)確性、真實性進(jìn)行審核。

8.3交易數(shù)據(jù)分類分級保護(hù)

交易數(shù)據(jù)分類分級保護(hù)，應(yīng)滿足以下要求：

a)交易數(shù)據(jù)應(yīng)按照國家和行業(yè)有關(guān)要求進(jìn)行數(shù)據(jù)分類分級，識別可能涉及的個人信息、公共數(shù)

據(jù)和重要數(shù)據(jù)；

b)結(jié)合數(shù)據(jù)流通范圍、影響程度、潛在風(fēng)險，建立公共數(shù)據(jù)、企業(yè)數(shù)據(jù)、個人信息等數(shù)據(jù)分類

分級授權(quán)使用和保護(hù)機(jī)制；

c)在保護(hù)個人隱私和確保公共安全的前提下，公共數(shù)據(jù)宜按照“原始數(shù)據(jù)不出域、數(shù)據(jù)可用不

可見”的要求，以模型、核驗等產(chǎn)品服務(wù)等形式向社會提供；

d)在保護(hù)個人合法權(quán)益的前提下，涉及個人信息的數(shù)據(jù)交易應(yīng)征得個人單獨(dú)同意，并向個人告

知數(shù)據(jù)需方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式和個人信息的種類；

e)數(shù)據(jù)供方應(yīng)在涉及個人信息的數(shù)據(jù)交易前，對涉及個人信息的交易活動開展個人信息保護(hù)影

響評估，并采取相應(yīng)措施控制個人信息泄露風(fēng)險；

f)原則上應(yīng)采用去標(biāo)識化、匿名化等技術(shù)手段，對涉及的個人信息進(jìn)行去標(biāo)識化處理后再進(jìn)行

交易；

g)數(shù)據(jù)需方變更原先的個人信息處理目的、處理方式的，應(yīng)當(dāng)依照重新取得個人同意；

h)在確保重要數(shù)據(jù)安全的前提下，重要數(shù)據(jù)對外提供或交易前應(yīng)按照GB/TBBBBB開展數(shù)據(jù)安全

風(fēng)險評估，并采取相應(yīng)措施控制數(shù)據(jù)安全風(fēng)險；

i)數(shù)據(jù)交易場所、數(shù)據(jù)需方應(yīng)對個人信息保護(hù)影響評估報告、數(shù)據(jù)安全風(fēng)險評估報告等進(jìn)行審

核，確保數(shù)據(jù)交易不會影響國家安全、公共利益、組織或個人合法權(quán)益；

j)數(shù)據(jù)交易場所對交易數(shù)據(jù)分類結(jié)果進(jìn)行審核；

k)數(shù)據(jù)供方按照GB/TBBBB的要求開展數(shù)據(jù)交易安全風(fēng)險評估，出具安全風(fēng)險評估報告；

l)數(shù)據(jù)需方應(yīng)按照約定的授權(quán)范圍處理個人信息或重要數(shù)據(jù)；

m)提供對重要數(shù)據(jù)符合國家相關(guān)規(guī)定的數(shù)據(jù)脫敏方法，并具備評價重要數(shù)據(jù)脫敏有效性的評估

能力。

9數(shù)據(jù)交易過程安全要求

9.1主體入駐、登記掛牌

主體入駐、登記掛牌環(huán)節(jié)應(yīng)滿足以下要求：

a)數(shù)據(jù)供方明確界定交易數(shù)據(jù)的內(nèi)容范圍、使用范圍、商品形態(tài)，以確保符合國家相關(guān)法律法

規(guī)的要求；

b)數(shù)據(jù)供方提供對交易數(shù)據(jù)的概要描述，并提供樣本數(shù)據(jù)；

c)數(shù)據(jù)需方披露數(shù)據(jù)需求內(nèi)容、數(shù)據(jù)用途，以確保符合國家法律法規(guī)的要求；

11

GB/T37932—XXXX

d)數(shù)據(jù)交易場所和數(shù)據(jù)需方對數(shù)據(jù)供方提供的敏感個人信息和重要數(shù)據(jù)進(jìn)行識別，并進(jìn)行數(shù)據(jù)

脫敏處理；

e)數(shù)據(jù)交易場所按照相關(guān)要求審核數(shù)據(jù)供方和數(shù)據(jù)需方的交易資質(zhì)；

f)同意并遵守交易所的各項規(guī)章制度，承擔(dān)相應(yīng)責(zé)任與義務(wù)；

g)在參與數(shù)據(jù)交易業(yè)務(wù)前，完成在數(shù)據(jù)交易場所的注冊，并經(jīng)數(shù)據(jù)交易場所審核通過；

注：場外交易下，數(shù)據(jù)需方按照數(shù)據(jù)交易場所的審核要求審核數(shù)據(jù)供方。

h)遵守數(shù)據(jù)交易場所的安全管理制度和流程；

i)向數(shù)據(jù)交易場所提供書面承諾，內(nèi)容包括但不限于：交易數(shù)據(jù)真實性說明、交易數(shù)據(jù)來源合

法性證明、交易數(shù)據(jù)滿足法律法規(guī)和政策要求說明、對交易數(shù)據(jù)質(zhì)量評估說明、遵守數(shù)據(jù)交

易安全原則說明、接受數(shù)據(jù)交易場所安全監(jiān)督承諾、對數(shù)據(jù)流通后果負(fù)責(zé)承諾等；

注：場外交易下，書面承諾提供給數(shù)據(jù)需方。

j)需方在參與數(shù)據(jù)交易業(yè)務(wù)前，應(yīng)完成在數(shù)據(jù)交易場所的注冊，并經(jīng)數(shù)據(jù)交易場所審核通過，

同時應(yīng)遵守數(shù)據(jù)交易場所的交易管理制度要求；

注：場外交易下，數(shù)據(jù)供方按照數(shù)據(jù)交易場所的審核要求審核數(shù)據(jù)需方。

k)保證其數(shù)據(jù)需求及使用場景的合理、真實，并向數(shù)據(jù)交易場所提供書面的數(shù)據(jù)交易和使用承

諾，內(nèi)容包括但不限于：滿足法律法規(guī)和政策要求、遵守數(shù)據(jù)交易安全原則、接受數(shù)據(jù)交易

場所安全監(jiān)督、遵守與數(shù)據(jù)供方約定的數(shù)據(jù)安全要求、對所持有數(shù)據(jù)提供充分的安全保護(hù)、

未經(jīng)明確授權(quán)不公開或轉(zhuǎn)交數(shù)據(jù)給第三方等；

注：場外交易下，書面的數(shù)據(jù)交易和使用承諾提供給數(shù)據(jù)供方。

l)應(yīng)要求申請入駐交易所的主體提交其身份、地址、聯(lián)系方式、行政許可等真實信息，進(jìn)行核

驗、登記，建立數(shù)據(jù)交易主體登記檔案，并定期核驗更新。

9.2交易磋商、下單簽約

交易磋商、下單簽約環(huán)節(jié)應(yīng)滿足以下要求：

a)數(shù)據(jù)交易場所對交易數(shù)據(jù)的類型、質(zhì)量、用途、使用范圍、交付方式、使用期限、交易價格

和保密條款等內(nèi)容與交易參與方協(xié)商和約定；

b)數(shù)據(jù)需方參照數(shù)據(jù)交易服務(wù)平臺上提供的樣本數(shù)據(jù)明確交易數(shù)據(jù)的用途、使用范圍、交付方

式、使用期限和交易價格等；

c)數(shù)據(jù)交易場所對審核通過的交易申請進(jìn)行登記備案，并對數(shù)據(jù)交易參與方發(fā)出交易確認(rèn)通知；

d)數(shù)據(jù)交易場所就各方磋商結(jié)果進(jìn)行登記并以電子服務(wù)合約或合同的形式進(jìn)行規(guī)定，內(nèi)容包括

數(shù)據(jù)交易參與方、數(shù)據(jù)的內(nèi)容描述、服務(wù)產(chǎn)品的算法邏輯和說明、合約有效期、定價與收益

方式、交付質(zhì)量、交付方式、使用范圍、使用對象和使用期限等；

e)數(shù)據(jù)交易場所具備針對交易合約的數(shù)字化存證及管理機(jī)制，保證已簽署的電子服務(wù)合約或合

同不可篡改、可追溯等；

f)數(shù)據(jù)商與數(shù)據(jù)供方明確數(shù)據(jù)范圍，確保加工的過程和結(jié)果數(shù)據(jù)不超出數(shù)據(jù)供方要求的使用范

圍；

g)數(shù)據(jù)商對交易數(shù)據(jù)的類型、質(zhì)量、用途、使用范圍、交付方式、使用期限、交易價格和保密

條款等內(nèi)容與數(shù)據(jù)供方進(jìn)行協(xié)商，加工數(shù)據(jù)；

h)加工前，數(shù)據(jù)商根據(jù)可能產(chǎn)生的數(shù)據(jù)內(nèi)容、所用于的目的、范圍、所采用的算法邏輯等開展

數(shù)據(jù)安全風(fēng)險評估；

i)數(shù)據(jù)商以合同協(xié)議等方式明確用于加工的數(shù)據(jù)內(nèi)容和范圍、結(jié)果的用途和知悉范圍、數(shù)據(jù)保

護(hù)責(zé)任和義務(wù)、數(shù)據(jù)保護(hù)要求等，并采用密碼技術(shù)等手段降低數(shù)據(jù)泄露、竊取等風(fēng)險；

12

GB/T37932—XXXX

j)參照GB/T37964—2019，數(shù)據(jù)商對去標(biāo)識化后的個人信息進(jìn)行重識別風(fēng)險評估，并采用相應(yīng)

技術(shù)手段對借助其他信息的重標(biāo)識行為進(jìn)行有效防范；

k)數(shù)據(jù)商對數(shù)據(jù)加工過程的訪問和操作進(jìn)行記錄，并形成審計日志，對訪問和操作進(jìn)行記錄、

風(fēng)險監(jiān)測與分析，對識別出的風(fēng)險及時告警；

l)數(shù)據(jù)商確保用于數(shù)據(jù)加工的算法模型具有魯棒性以抵御惡意攻擊，惡意攻擊包括但不限于對

抗樣本、數(shù)據(jù)投毒和后門攻擊；

m)數(shù)據(jù)商具備數(shù)據(jù)加工全流程的安全防護(hù)能力，并提供相應(yīng)的記錄供監(jiān)管管理；

n)完成數(shù)據(jù)使用加工后，數(shù)據(jù)商不再保留原始數(shù)據(jù)內(nèi)容。

9.3產(chǎn)品交付、交易結(jié)算

產(chǎn)品交付、交易結(jié)算環(huán)節(jié)應(yīng)滿足以下要求：

a)按照GB/T37988—2019的要求，確保數(shù)據(jù)需方的數(shù)據(jù)安全能力成熟度，不低于數(shù)據(jù)供方的數(shù)

據(jù)安全能力成熟度；

b)約定開展數(shù)據(jù)加工過程中的電子服務(wù)合約或合同，在加工后數(shù)據(jù)的權(quán)屬關(guān)系；

c)數(shù)據(jù)交易場所對交付數(shù)據(jù)內(nèi)容進(jìn)行監(jiān)測和核驗，如發(fā)現(xiàn)違法違規(guī)事件，及時中斷數(shù)據(jù)交易行

為，同時依法依規(guī)進(jìn)行處理；

d)數(shù)據(jù)交易場所為數(shù)據(jù)參與方建立安全的數(shù)據(jù)交付環(huán)境，并分配相應(yīng)的權(quán)限；

e)數(shù)據(jù)供方和需方共同協(xié)商數(shù)據(jù)交付方式，可直接交付或選擇安全可靠的機(jī)構(gòu)交付；

f)數(shù)據(jù)交易場所記錄數(shù)據(jù)交付過程，所記錄信息具有不可篡改性；

g)數(shù)據(jù)交易場所在數(shù)據(jù)傳輸鏈路上部署交易數(shù)據(jù)監(jiān)控工具，具有完備的數(shù)據(jù)保護(hù)機(jī)制和數(shù)據(jù)泄

露檢測能力；

h)數(shù)據(jù)供方在數(shù)據(jù)需方未完全獲取交易對象前，有義務(wù)保證數(shù)據(jù)質(zhì)量符合數(shù)據(jù)成交時的相關(guān)描

述；

i)數(shù)據(jù)需方對所獲得的數(shù)據(jù)進(jìn)行評估驗證，可委托第三方專業(yè)服務(wù)機(jī)構(gòu)代為評估；

j)數(shù)據(jù)需方在數(shù)據(jù)供方交付后，按電子服務(wù)合約或合同金額及時支付費(fèi)用；

k)數(shù)據(jù)交易場所在交易結(jié)算后及時進(jìn)行數(shù)據(jù)交付，若存在交付周期，數(shù)據(jù)交易場所可按周期提

供結(jié)算服務(wù)；

l)數(shù)據(jù)交易場所按所簽署的電子服務(wù)合約或合同分配收益。

9.4交易結(jié)束、糾紛處理

交易結(jié)束、糾紛處理環(huán)節(jié)應(yīng)滿足以下要求：

a)數(shù)據(jù)交付完成后，數(shù)據(jù)供方和數(shù)據(jù)交易場所立即關(guān)閉數(shù)據(jù)訪問渠道；

b)數(shù)據(jù)各參與方在交易結(jié)束后，清除相關(guān)數(shù)據(jù)的緩存，并對清除記錄及數(shù)據(jù)清除措施的有效性

進(jìn)行檢查；

c)數(shù)據(jù)交易場所對數(shù)據(jù)交易過程的證據(jù)材料進(jìn)行歸檔，如交易過程的記錄、合規(guī)性評估報告等；

d)數(shù)據(jù)交易場所建立投訴舉報渠道，維護(hù)交易過程中各相關(guān)方權(quán)益；

e)數(shù)據(jù)交易場所應(yīng)提供交易過程記錄材料供監(jiān)督管理和糾紛處理；

f)數(shù)據(jù)交易場所應(yīng)提供投訴舉報渠道來監(jiān)督數(shù)據(jù)交易各環(huán)節(jié)的數(shù)據(jù)泄露、濫用等情況；

g)數(shù)據(jù)交易場所應(yīng)建立數(shù)據(jù)安全事件響應(yīng)機(jī)制來應(yīng)對數(shù)據(jù)交易各環(huán)節(jié)的數(shù)據(jù)泄露、濫用等情況。

13

GB/T37932—XXXX

附錄A

（規(guī)范性）

禁止交易數(shù)據(jù)示例

A.1危害國家安全和社會穩(wěn)定的數(shù)據(jù)

危害國家安全和社會穩(wěn)定的數(shù)據(jù)示例如下：

a)反對憲法所確定的基本原則的；

b)危害國家安全，泄露國家信息，顛覆國家政權(quán)，破壞國家統(tǒng)一的；

c)損害國家榮譽(yù)和利益的；

d)煽動民族仇恨、民族歧視，破壞民族團(tuán)結(jié)的；

e)破壞國家宗教政策，宣揚(yáng)邪教和封建迷信的；

f)散布謠言，擾亂社會秩序，破壞社會穩(wěn)定的；

g)散布淫穢、色情、賭博、暴力、兇殺、恐怖或者教唆犯罪的；

h)涉及槍支彈藥、爆炸物品、劇毒化學(xué)品、易制爆危險化學(xué)品和其他危險化學(xué)品、放射性物品、

核材料、管制器具等能夠危及人身安全和財產(chǎn)安全的危險物品的；

i)宣揚(yáng)吸毒、銷售毒品以及傳播毒品制造配方的；

j)涉及傳銷、非法集資和非法經(jīng)營等活動的；

k)含有法律、行政法規(guī)禁止的其他內(nèi)容的。

A.2涉及特定個人權(quán)益的數(shù)據(jù)

涉及特定個人權(quán)益的數(shù)據(jù)示例如下：

a)侮辱或者誹謗他人的；

b)捏造損害他人名譽(yù)的；

c)未經(jīng)個人授權(quán)的可直接識別到特定個人的身份數(shù)據(jù)，如：身份號、社保號、駕駛證、護(hù)照/臺

胞證等有效證件號碼、電話、微信、QQ等即時通信賬號、E-mail地址等；

d)未經(jīng)個人授權(quán)的可直接識別到特定個人的敏感數(shù)據(jù)，如：姓名、性別、民族、出生日期或年

齡、本人相片、婚姻狀況、工作單位、學(xué)歷、履歷等個人數(shù)據(jù)，常住戶口所在地住址或家庭

地址，指紋、健康疾病等生物數(shù)據(jù)。

e)未經(jīng)個人授權(quán)的可直接識別到特定個人的財產(chǎn)數(shù)據(jù)，如：收入和支付記錄、銀行卡賬號、證

券賬戶數(shù)據(jù)、房屋登記數(shù)據(jù)、保險單等。

A.3涉及特定企業(yè)權(quán)益的數(shù)據(jù)

涉及特定企業(yè)權(quán)益的數(shù)據(jù)示例如下：

a)未經(jīng)企業(yè)授權(quán)的企業(yè)客戶數(shù)據(jù)；

b)未經(jīng)企業(yè)授權(quán)涉及企業(yè)商業(yè)信息的，如：財務(wù)數(shù)據(jù)、產(chǎn)銷數(shù)據(jù)、貨源數(shù)據(jù)、工藝配方、技術(shù)

方法、計算機(jī)程序等。

14

GB/T37932—XXXX

參?考?文?獻(xiàn)

[1]GB/T37964-2019信息安全技術(shù)個人信息去標(biāo)識化指南

[2]GB/T38636-2020信息安全技術(shù)傳輸層密碼協(xié)議（TLCP）

[3]中華人民共和國數(shù)據(jù)安全法（2021年6月10日中華人民共和國第十三屆全國人民代表大會常務(wù)

委員會第二十九次會議通過）

[4]中共中央國務(wù)院關(guān)于構(gòu)建數(shù)據(jù)基礎(chǔ)制度更好發(fā)揮數(shù)據(jù)要素作用的意見（2022年6月22日中央全

面深化改革委員會第二十六次會議審議通過）

15

ICS35.030

CCSL80

中華人民共和國國家標(biāo)準(zhǔn)

GB/T37932—XXXX

代替GB/T37932-2019

信息安全技術(shù)數(shù)據(jù)交易服務(wù)安全要求