上海數(shù)據(jù)交易所數(shù)據(jù)交易合規(guī)注意事項(xiàng)清單

上海數(shù)據(jù)交易所數(shù)據(jù)交易合規(guī)注意事項(xiàng)清單（第一版）,,

合規(guī)能力要點(diǎn),檢查事項(xiàng),證明材料

一、主體合規(guī)要求,,

合規(guī)經(jīng)營(yíng)能力,是否存在影響數(shù)據(jù)交易的潛在風(fēng)險(xiǎn),"證明材料示例：

1.營(yíng)業(yè)執(zhí)照、事業(yè)單位法人證書(shū)、社會(huì)團(tuán)體法人登記證書(shū)等

2.信用中國(guó)企業(yè)信用報(bào)告"

,是否存在重大債償風(fēng)險(xiǎn)、影響持續(xù)經(jīng)營(yíng)的擔(dān)保、訴訟以及仲裁等重大或有事項(xiàng),

,近一年內(nèi)是否存在重大數(shù)據(jù)類違法違規(guī)行為以及其他可能對(duì)數(shù)據(jù)交易活動(dòng)構(gòu)成實(shí)質(zhì)性重大不利影響的情形,

,董事、監(jiān)事、法定代表人是否存在重大數(shù)據(jù)類違法違規(guī)行為，是否屬于失信被執(zhí)行人，以及上述人員是否存在其他可能對(duì)數(shù)據(jù)交易活動(dòng)構(gòu)成實(shí)質(zhì)性重大不利影響的情形,

二、數(shù)據(jù)安全管理及技術(shù)保護(hù)能力,,

數(shù)據(jù)安全管理組織建設(shè),基本要求,"證明材料示例：

1.數(shù)據(jù)安全組織架構(gòu)圖及數(shù)據(jù)安全人員職責(zé)分工清單

2.數(shù)據(jù)安全負(fù)責(zé)人、個(gè)人信息保護(hù)負(fù)責(zé)人姓名

3.關(guān)于數(shù)據(jù)管理組織建設(shè)的相關(guān)說(shuō)明"

,是否建立數(shù)據(jù)安全組織架構(gòu)，明確參與部門(mén)的職能,

,是否根據(jù)法律法規(guī)要求指定數(shù)據(jù)安全負(fù)責(zé)人或個(gè)人信息保護(hù)負(fù)責(zé)人,

,是否制定數(shù)據(jù)安全相關(guān)制度并在內(nèi)部正式發(fā)布、推動(dòng)有效執(zhí)行并定期監(jiān)督修訂,

數(shù)據(jù)分類分級(jí)保護(hù)及管理,數(shù)據(jù)分類分級(jí)管理,"證明材料示例：

1.數(shù)據(jù)分類分級(jí)清單

2.數(shù)據(jù)分類分級(jí)管理制度文件"

,是否根據(jù)國(guó)家、行業(yè)標(biāo)準(zhǔn)結(jié)合自身業(yè)務(wù)情況制定數(shù)據(jù)分類分級(jí)管理規(guī)范，形成數(shù)據(jù)分類分級(jí)清單,

,是否落實(shí)數(shù)據(jù)分類分級(jí)保護(hù)要求，具備分級(jí)管理、維護(hù)、更新機(jī)制,

數(shù)據(jù)全生命周期安全管理制度,數(shù)據(jù)收集,"證明材料示例：

1.數(shù)據(jù)全生命周期安全管理制度相關(guān)文檔"

,是否制定并執(zhí)行數(shù)據(jù)收集的安全策略和規(guī)程,

,是否針對(duì)收集數(shù)據(jù)目的和用途，制定數(shù)據(jù)收集操作流程,

,通過(guò)外部渠道收集數(shù)據(jù)前是否對(duì)數(shù)據(jù)來(lái)源合規(guī)性、收集方式、范圍、類型、目的進(jìn)行風(fēng)險(xiǎn)評(píng)估并保留相關(guān)記錄,

,數(shù)據(jù)存儲(chǔ),

,是否制定并執(zhí)行數(shù)據(jù)存儲(chǔ)安全策略和規(guī)程,

,是否根據(jù)法律、法規(guī)或國(guó)家有關(guān)規(guī)定要求結(jié)合業(yè)務(wù)場(chǎng)景，明確不同數(shù)據(jù)的存儲(chǔ)期限、存儲(chǔ)地點(diǎn)、加密要求,

,是否根據(jù)安全級(jí)別、重要性、量級(jí)、使用頻率等因素，將數(shù)據(jù)分域分級(jí)存儲(chǔ),

,是否明確各類數(shù)據(jù)存儲(chǔ)系統(tǒng)相應(yīng)的賬號(hào)權(quán)限管理、訪問(wèn)控制、日志管理、數(shù)據(jù)備份等方面的要求,

,數(shù)據(jù)傳輸,

,是否制定并執(zhí)行數(shù)據(jù)安全傳輸策略和規(guī)程,

,是否具備對(duì)數(shù)據(jù)傳輸進(jìn)行檢測(cè)的能力和機(jī)制，發(fā)現(xiàn)異常能否及時(shí)處置,

,是否根據(jù)數(shù)據(jù)安全等級(jí)采取相應(yīng)的管控措施，確保數(shù)據(jù)傳輸?shù)陌踩院涂煽啃?

,數(shù)據(jù)使用加工,

,是否制定數(shù)據(jù)使用加工安全策略和規(guī)程,

,是否根據(jù)法律、法規(guī)或國(guó)家有關(guān)規(guī)定要求結(jié)合業(yè)務(wù)場(chǎng)景，明確不同數(shù)據(jù)的使用限制、安全要求、合規(guī)要求,

,是否針對(duì)數(shù)據(jù)使用和加工的目的、范圍建立權(quán)限審批、安全審計(jì)等機(jī)制,

,數(shù)據(jù)提供和共享,

,是否制定并執(zhí)行數(shù)據(jù)提供和共享安全策略,

,提供和共享數(shù)據(jù)前，是否開(kāi)展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估,

,提供和共享數(shù)據(jù)前，是否采取嚴(yán)格的審批機(jī)制,

,是否采取數(shù)字水印、脫敏或訪問(wèn)授權(quán)等保護(hù)措施,

,是否在數(shù)據(jù)提供過(guò)程中進(jìn)行安全監(jiān)控并按照相關(guān)規(guī)定進(jìn)行安全審計(jì),

,數(shù)據(jù)銷(xiāo)毀,

,是否制定并執(zhí)行數(shù)據(jù)銷(xiāo)毀和審批機(jī)制,

,是否明確數(shù)據(jù)銷(xiāo)毀對(duì)象、原因、銷(xiāo)毀方式和銷(xiāo)毀要求及對(duì)應(yīng)操作規(guī)程,

,是否按照法律、法規(guī)或國(guó)家有關(guān)規(guī)定要求、合同約定、隱私政策等及時(shí)刪除數(shù)據(jù),

,是否對(duì)數(shù)據(jù)銷(xiāo)毀過(guò)程進(jìn)行記錄并定期審計(jì),

數(shù)據(jù)安全事件應(yīng)急響應(yīng)機(jī)制,數(shù)據(jù)安全應(yīng)急預(yù)案與演練,"證明材料示例：

1.數(shù)據(jù)安全應(yīng)急預(yù)案及演練記錄相關(guān)文檔"

,是否制定數(shù)據(jù)安全事件應(yīng)急響應(yīng)機(jī)制，明確響應(yīng)級(jí)別、處置策略、人員職責(zé)、事件上報(bào)等事項(xiàng),

,是否定期開(kāi)展數(shù)據(jù)安全應(yīng)急演練，記錄演練情況,

合作方安全管理,是否對(duì)軟件開(kāi)發(fā)商、產(chǎn)品供應(yīng)商、系統(tǒng)集成商、設(shè)備維護(hù)商和服務(wù)提供商等合作方數(shù)據(jù)安全能力制定核查標(biāo)準(zhǔn),"證明材料示例：

1.數(shù)據(jù)合作方管理規(guī)范

2.合作方保密協(xié)議模板"

,是否對(duì)合作方進(jìn)行事前的安全評(píng)估工作并保留相關(guān)評(píng)估報(bào)告,

,是否對(duì)合作方外來(lái)人員在指定區(qū)域范圍內(nèi)進(jìn)行業(yè)務(wù)活動(dòng)時(shí)采取相應(yīng)管理措施,

數(shù)據(jù)安全人員要求,數(shù)據(jù)安全人員能力,"證明材料示例：

1.數(shù)據(jù)安全培訓(xùn)記錄及考核記錄

2.關(guān)鍵崗位人員保密協(xié)議模板"

,是否定期開(kāi)展數(shù)據(jù)安全集中教育培訓(xùn)，并進(jìn)行相關(guān)的考核,

,是否明對(duì)關(guān)鍵數(shù)據(jù)崗位人員進(jìn)行考核、建立問(wèn)責(zé)機(jī)制,

數(shù)據(jù)安全技術(shù)保護(hù)體系,技術(shù)保護(hù)措施,"證明材料示例：

1.數(shù)據(jù)安全技術(shù)保護(hù)架構(gòu)

2.相關(guān)安全評(píng)估報(bào)告、滲透測(cè)試報(bào)告

3.技術(shù)保護(hù)措施情況說(shuō)明"

,是否通過(guò)技術(shù)工具建立數(shù)據(jù)管理臺(tái)賬，有效識(shí)別并管理數(shù)據(jù),

,是否采取加密存儲(chǔ)、身份鑒別和訪問(wèn)控制等安全保護(hù)措施,

,是否通過(guò)技術(shù)手段對(duì)網(wǎng)絡(luò)入侵防護(hù)采取有效控制措施,

三、數(shù)據(jù)來(lái)源合法要求,,

公開(kāi)收集數(shù)據(jù)相關(guān)要求,是否通過(guò)自動(dòng)化訪問(wèn)技術(shù)手段收集數(shù)據(jù),"證明材料示例：

相關(guān)風(fēng)險(xiǎn)評(píng)估報(bào)告或說(shuō)明，包含以下內(nèi)容：

1.被抓取對(duì)象主體名稱、性質(zhì)、網(wǎng)站地址清單

2.抓取內(nèi)容的部分字段清單

3.抓取策略說(shuō)明

4.訪問(wèn)頻率說(shuō)明

5.風(fēng)險(xiǎn)防范措施

6.持續(xù)監(jiān)控優(yōu)化說(shuō)明"

,收集對(duì)象,

,收集對(duì)象是否為公開(kāi)的網(wǎng)站或可訪問(wèn)的計(jì)算機(jī)信息系統(tǒng),

,收集對(duì)象是否與自身經(jīng)營(yíng)業(yè)務(wù)存在實(shí)質(zhì)性的競(jìng)爭(zhēng)關(guān)系,

,收集內(nèi)容,

,收集的數(shù)據(jù)是否涉及個(gè)人信息,

,收集的數(shù)據(jù)是否涉及商業(yè)秘密或受反不正當(dāng)競(jìng)爭(zhēng)法保護(hù)的數(shù)據(jù),

,收集的數(shù)據(jù)是否涉及受著作權(quán)保護(hù)的作品,

,收集的數(shù)據(jù)是否限制用于商業(yè)用途,

,收集方式,

,是否存在利用破解網(wǎng)站加密規(guī)則、偽造身份認(rèn)證信息、非法獲取權(quán)限等技術(shù)手段突破或繞過(guò)網(wǎng)站設(shè)置的反爬技術(shù),

,是否干擾被收集網(wǎng)站正常運(yùn)行,

,是否事前評(píng)估被抓取網(wǎng)站日訪問(wèn)量并設(shè)置合理的訪問(wèn)頻率,

自行生產(chǎn)數(shù)據(jù)相關(guān)要求,數(shù)據(jù)收集行為是否具備獨(dú)立性，涉及其他相關(guān)利益相關(guān)方時(shí)不存在侵權(quán)或權(quán)屬不清的情形,"證明材料示例：

1.數(shù)據(jù)獨(dú)立性，應(yīng)用獨(dú)立性的相關(guān)說(shuō)明

2.特殊資質(zhì)、許可、備案的相關(guān)證明"

,數(shù)據(jù)收集、處理所依賴的信息技術(shù)或系統(tǒng)是否存在侵犯第三方權(quán)益的情形,

協(xié)議獲取數(shù)據(jù)相關(guān)要求,購(gòu)買(mǎi)協(xié)議、合作協(xié)議、授權(quán)許可內(nèi)容,"證明材料示例：

1.采購(gòu)、合作協(xié)議

2.授權(quán)許可證明

3.隱私政策

4.相關(guān)資質(zhì)文件"

,是否要求數(shù)據(jù)提供方對(duì)于數(shù)據(jù)來(lái)源做合法性的承諾，并在相關(guān)協(xié)議中體現(xiàn),

,相關(guān)協(xié)議中是否明確數(shù)據(jù)使用目的、范圍、安全保護(hù)要求，使用限制和知識(shí)產(chǎn)權(quán)歸屬等事項(xiàng),

,相關(guān)協(xié)議中是否有對(duì)數(shù)據(jù)對(duì)外提供作出目的、期限、范圍等限制要求,

,特殊資質(zhì)、行政許可、認(rèn)證和備案,

,核實(shí)協(xié)議相對(duì)方是否需要取得資質(zhì)、許可、認(rèn)證和備案方可對(duì)外提供數(shù)據(jù),

個(gè)人信息收集相關(guān)要求,是否建立個(gè)人信息保護(hù)制度體系,"證明材料示例：

1.隱私政策、授權(quán)協(xié)議

2.用戶單獨(dú)同意的證明材料，如包含單獨(dú)同意的頁(yè)面截圖、條款等

3.個(gè)人信息保護(hù)相關(guān)制度、流程及操作規(guī)范

4.個(gè)人信息保護(hù)影響評(píng)估報(bào)告"

,涉及收集是否在事前開(kāi)展個(gè)人信息保護(hù)影響評(píng)估，評(píng)估個(gè)人信息對(duì)外提供可能引起的風(fēng)險(xiǎn),

,"是否通過(guò)隱私政策、授權(quán)協(xié)議向個(gè)人信息主體告知如下事項(xiàng)：

1.處理個(gè)人信息的種類；

2.收集各類個(gè)人信息的具體情況以及停止收集的方式和途徑；

3.處理各類個(gè)人信息的目的、用途、方式；

4.個(gè)人信息保存地點(diǎn)、保存期限；

5.向個(gè)人告知接收方的名稱或姓名、聯(lián)系方式、處理目的、處理方式和個(gè)人信息的種類；

6.其他按照《個(gè)人信息保護(hù)法》應(yīng)當(dāng)告知的事項(xiàng)。",

,是否取得個(gè)人信息主體的同意或單獨(dú)同意,

,當(dāng)個(gè)人信息主體撤回同意時(shí)，是否設(shè)置了停止處理或及時(shí)刪除個(gè)人信息的機(jī)制,

四、數(shù)據(jù)產(chǎn)品的可交易性要求,,

數(shù)據(jù)產(chǎn)品內(nèi)容,是否根據(jù)法律、法規(guī)或國(guó)家有關(guān)規(guī)定要求對(duì)數(shù)據(jù)產(chǎn)品內(nèi)容進(jìn)行合規(guī)性審核，不存在含有危害國(guó)家安全、違反公序良俗或侵害他人合法權(quán)益的違法信息,"證明材料示例：

1.提供部分?jǐn)?shù)據(jù)字段清單予以承諾說(shuō)明"

重要數(shù)據(jù)的合規(guī)性要求（如適用）,數(shù)據(jù)產(chǎn)品是否已被行業(yè)主管部門(mén)通知涉及重要數(shù)據(jù),"證明材料示例：

1.數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估報(bào)告

2.數(shù)據(jù)需方安全能力評(píng)估報(bào)告

3.行業(yè)主管部門(mén)審批文件或其他同類證明文件"

,"如涉及重要數(shù)據(jù)，是否事前開(kāi)展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估，風(fēng)險(xiǎn)評(píng)估應(yīng)當(dāng)包含以下內(nèi)容：

1.數(shù)據(jù)交易需方處理數(shù)據(jù)的目的、方式、范圍等是否合法、正當(dāng)、必要；

2.數(shù)據(jù)被泄露、毀損、篡改、濫用的風(fēng)險(xiǎn)，以及對(duì)國(guó)家安全、經(jīng)濟(jì)發(fā)展、公共利益帶來(lái)的風(fēng)險(xiǎn)；

3.明確數(shù)據(jù)交易需方數(shù)據(jù)安全責(zé)任和義務(wù)

4.數(shù)據(jù)交易需方是否具備履行數(shù)據(jù)安全保護(hù)義務(wù)的能力；

5.數(shù)據(jù)交易過(guò)程中安全管理和技術(shù)措施等是否能夠防范數(shù)據(jù)泄露、毀損、篡改、濫用等風(fēng)險(xiǎn)；

6.主管部門(mén)要求評(píng)估的其他內(nèi)容。",

實(shí)質(zhì)性加工和創(chuàng)新性勞動(dòng),原始數(shù)據(jù)是否通過(guò)數(shù)據(jù)脫敏、清洗、整合等方式進(jìn)行加工處理,"證明材料示例：

1.數(shù)據(jù)產(chǎn)品加工過(guò)程說(shuō)明（如人力投入、成本投入）

2.運(yùn)用算法描述

3.相關(guān)專利、軟著證書(shū)或其他技術(shù)性證明"

,原始數(shù)據(jù)是否采取數(shù)據(jù)建模、算法分析、深度融合等方式提高數(shù)據(jù)產(chǎn)品質(zhì)量,

數(shù)據(jù)產(chǎn)品應(yīng)用場(chǎng)景與適用條件（如適用）,"數(shù)據(jù)產(chǎn)品的交易是否具有特殊限制條件，具體示例：

1.金融機(jī)構(gòu)采購(gòu)個(gè)人征信信息，應(yīng)當(dāng)從具有從事個(gè)人征信業(yè)務(wù)資質(zhì)的機(jī)構(gòu)采購(gòu)；

2.將人類遺傳資源信息向境外組織、個(gè)人及其設(shè)立或者實(shí)際控制的機(jī)構(gòu)提供或者開(kāi)放使用的，中國(guó)信息所有者應(yīng)當(dāng)向科技部事先報(bào)告并提交信息備份。","證明材料示例：1.行業(yè)主管部門(mén)審批文書(shū)

2.數(shù)據(jù)產(chǎn)品符合行業(yè)主管部門(mén)要求的說(shuō)明或風(fēng)險(xiǎn)評(píng)估報(bào)告"

數(shù)據(jù)產(chǎn)品出境合規(guī)要求（如適用）,"數(shù)據(jù)交易供方向境外提供數(shù)據(jù)產(chǎn)品，是否符合以下要求：

（一）需要申報(bào)數(shù)據(jù)出境安全評(píng)估的，應(yīng)當(dāng)按照國(guó)家網(wǎng)信部門(mén)要求，通過(guò)所在地省級(jí)網(wǎng)信部門(mén)向國(guó)家網(wǎng)信部門(mén)申報(bào)數(shù)據(jù)出境安全評(píng)估，并履行數(shù)據(jù)安全保護(hù)責(zé)任和義務(wù)；

（二）無(wú)需向國(guó)家網(wǎng)信部門(mén)申報(bào)數(shù)據(jù)出境安全評(píng)估，但涉及個(gè)人信息出境的，應(yīng)當(dāng)遵照法律法規(guī)規(guī)定的數(shù)據(jù)出境要求開(kāi)展數(shù)據(jù)出境活動(dòng)，并履行法律法規(guī)及相關(guān)政策規(guī)定的其他義務(wù)。","證明材料示例：1.通過(guò)數(shù)據(jù)出境安全評(píng)估的證明文件

2.個(gè)人信息保護(hù)認(rèn)