工業(yè)數(shù)據(jù)流通 數(shù)據(jù)交易實施規(guī)范

ICS25.040.40CCSL7021遼寧省市場監(jiān)督管理局發(fā)布IDB21/T3894—2023前言 2規(guī)范性引用文件 3術(shù)語和定義 4交易標(biāo)的 4.1概述 4.2合規(guī)性要求 4.3質(zhì)量要求 5交易主體要求 5.1數(shù)據(jù)供方要求 5.2數(shù)據(jù)需方要求 5.3數(shù)據(jù)交易服務(wù)機構(gòu)要求 6數(shù)據(jù)交易服務(wù)平臺要求 6.1基本要求 6.2擴展要求 7交易實施 7.1標(biāo)的掛牌 7.2交易磋商 7.3合規(guī)評估 7.4數(shù)據(jù)交付 7.5支付清算 7.6售后服務(wù) 8安全要求 8.1交易過程可追溯要求 8.2跨境交易 附錄A（資料性）交易標(biāo)的類型 7附錄B（資料性）交易標(biāo)的定價方法 9參考文獻(xiàn) DB21/T3894—2023本文件按照GB/T1.1-2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由遼寧省工業(yè)和信息化廳提出并歸口。本文件起草單位：沈陽華睿博信息技術(shù)有限公司、上海數(shù)據(jù)交易所、國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心遼寧分中心、遼寧艾特斯智能交通技術(shù)有限公司、東北大學(xué)、遼寧職業(yè)學(xué)院、遼寧省大數(shù)據(jù)管理中心、北京賽迪時代信息產(chǎn)業(yè)股份有限公司、遼寧省先進裝備制造業(yè)基地建設(shè)工程中心。本文件主要起草人：邵華、申翔宇、李凱、黃書鵬、王宇飛、宋憲輝、譚振華、王義剛、楊成實、張翔宇、魏國偉、劉洋。本文件發(fā)布實施后，任何單位和個人如有問題和意見建議，均可以通過來電和來函等方式進行反饋，我們將及時答復(fù)并認(rèn)真處理，根據(jù)實際情況依法進行評估及復(fù)審。歸口管理部門通信地址：沈陽市遼寧省沈陽市皇姑區(qū)北陵大街45-2號。歸口管理部門聯(lián)系電話文件起草單位通訊地址：遼寧省沈陽市和平區(qū)青年大街386號華陽國際大廈2396。文件起草單位聯(lián)系電話1DB21/T3894—2023工業(yè)數(shù)據(jù)流通數(shù)據(jù)交易實施規(guī)范本文件規(guī)定了工業(yè)數(shù)據(jù)交易標(biāo)的、交易主體要求、數(shù)據(jù)交易服務(wù)平臺要求、交易實施及交易安全等方面的內(nèi)容。本文件適用于工業(yè)數(shù)據(jù)的交易實施。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求GB/T35273-2020信息安全技術(shù)個人信息安全規(guī)范GB/T37728-2019信息技術(shù)數(shù)據(jù)交易服務(wù)平臺通用功能要求GB/T37932-2019信息安全技術(shù)數(shù)據(jù)交易服務(wù)安全要求GB/T37988-2019信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型GB/T39400-2020工業(yè)數(shù)據(jù)質(zhì)量通用技術(shù)規(guī)范3術(shù)語和定義下列術(shù)語和定義適用于本文件。3.1數(shù)據(jù)供方datasupplier數(shù)據(jù)交易中提供數(shù)據(jù)的組織機構(gòu)。[來源:GB/T37932-2019，3.2]3.2數(shù)據(jù)需方dataacquirer數(shù)據(jù)交易中購買和使用數(shù)據(jù)的組織機構(gòu)。[來源:GB/T37932-2019，3.3]3.3數(shù)據(jù)交易datatransaction數(shù)據(jù)供方和需方之間以數(shù)據(jù)商品作為交易對象，進行的以貨幣或貨幣等價物交換數(shù)據(jù)商品的行為。注2：數(shù)據(jù)交易包括以大數(shù)據(jù)或其衍生品作為數(shù)據(jù)商品的數(shù)據(jù)交易，也包括以傳統(tǒng)數(shù)據(jù)或其衍生品作為數(shù)據(jù)商品的[來源:GB/T37932-2019，3.1]3.4數(shù)據(jù)交易服務(wù)機構(gòu)datatransactionservice2DB21/T3894—2023為數(shù)據(jù)供需雙方提供數(shù)據(jù)交易服務(wù)的組織機構(gòu)。[來源:GB/T37932-2019，3.5]3.5數(shù)據(jù)交易服務(wù)平臺datatransactionserviceplatform為數(shù)據(jù)交易提供各項服務(wù)的信息化平臺。[來源:GB/T37932-2019，3.6]3.6數(shù)據(jù)流通datacirculation數(shù)據(jù)及數(shù)據(jù)產(chǎn)品在不同實體間流轉(zhuǎn)的行為。4交易標(biāo)的4.1概述交易標(biāo)的類型見附錄A，交易標(biāo)的定價方法見附錄B。4.2合規(guī)性要求交易標(biāo)的應(yīng)按照《工業(yè)數(shù)據(jù)流通合規(guī)性檢查規(guī)范》進行合規(guī)性檢查。4.3質(zhì)量要求交易標(biāo)的應(yīng)按照GB/T39400-2020進行質(zhì)量控制，并有相應(yīng)的數(shù)據(jù)質(zhì)量報告。5交易主體要求5.1數(shù)據(jù)供方要求數(shù)據(jù)供方應(yīng)符合以下要求：a）為三年內(nèi)無重大數(shù)據(jù)類違法違規(guī)記錄的合法組織機構(gòu)；b）完成在數(shù)據(jù)交易服務(wù)機構(gòu)的注冊與審核，遵守數(shù)據(jù)交易服務(wù)機構(gòu)的管理制度；c）按照GB/T37932-2019中5.1d）的要求，向數(shù)據(jù)交易服務(wù)機構(gòu)提供書面的安全承諾；d）協(xié)助數(shù)據(jù)需方進行交易標(biāo)的權(quán)屬轉(zhuǎn)移及其他必要的或者約定的后續(xù)工作。5.2數(shù)據(jù)需方要求數(shù)據(jù)需方應(yīng)符合以下要求：a）為三年內(nèi)無重大數(shù)據(jù)類違法違規(guī)記錄的合法組織機構(gòu)；b）完成在數(shù)據(jù)交易服務(wù)機構(gòu)的注冊與審核，遵守數(shù)據(jù)交易服務(wù)機構(gòu)的管理制度；c）向數(shù)據(jù)交易服務(wù)機構(gòu)提供書面的交易標(biāo)的使用承諾，明確界定交易標(biāo)的需求內(nèi)容、用途等；d）按照GB/T37932-2019中5.2d）的要求，向數(shù)據(jù)交易服務(wù)機構(gòu)提供書面的安全承諾；e）應(yīng)及時按照相關(guān)規(guī)定銷毀交易標(biāo)的，并妥善保管銷毀證明或記錄。5.3數(shù)據(jù)交易服務(wù)機構(gòu)要求數(shù)據(jù)交易服務(wù)機構(gòu)應(yīng)符合以下要求：a）已取得行政或主管部門的授權(quán)或許可；b）為三年內(nèi)無重大數(shù)據(jù)類違法違規(guī)記錄的合法組織機構(gòu)；3DB21/T3894—2023c）為境內(nèi)注冊的組織機構(gòu)，至少滿足GB/T37988-2019中的三級要求；d）應(yīng)對交易過程中所涉及的數(shù)據(jù)資源嚴(yán)格保密，不得使用、泄露、出售或者非法向他人提供，未經(jīng)數(shù)據(jù)供方授權(quán)，不得留存所交易的數(shù)據(jù)資源；e）應(yīng)要求數(shù)據(jù)供方和數(shù)據(jù)需方提交其身份、地址、聯(lián)系方式、行政許可等信息，并進行核驗、登記，建立登記檔案，并定期核驗更新；f）應(yīng)設(shè)立數(shù)據(jù)安全負(fù)責(zé)人和管理機構(gòu)，落實數(shù)據(jù)安全保護責(zé)任，依照相關(guān)法律法規(guī)和國家標(biāo)準(zhǔn)的強制性要求，建立全流程數(shù)據(jù)交易安全管理制度，定期組織開展數(shù)據(jù)安全教育培訓(xùn)，采取相應(yīng)的技術(shù)措施和其他必要措施，確保數(shù)據(jù)交易安全。6數(shù)據(jù)交易服務(wù)平臺要求6.1基本要求數(shù)據(jù)交易服務(wù)平臺應(yīng)符合以下要求：a）功能至少滿足GB/T37728-2019的基本要求；b）在境內(nèi)部署，至少符合GB/T22239-2019中第三級的相關(guān)安全要求；c）提供對數(shù)據(jù)泄露進行處置的緊急預(yù)案，并報上級管理部門備案，定期演練；d）應(yīng)使用國家密碼管理主管部門認(rèn)證核準(zhǔn)的密碼技術(shù)和產(chǎn)品，按要求開展密碼應(yīng)用安全性評估；e）應(yīng)當(dāng)依據(jù)相關(guān)法律法規(guī)建立健全網(wǎng)絡(luò)安全等級保護制度和全流程數(shù)據(jù)安全管理制度，并根據(jù)需要支持?jǐn)?shù)據(jù)存儲、加密、銷毀、存取控制，以及數(shù)據(jù)庫、中間件、數(shù)據(jù)接口等功能，為數(shù)據(jù)供需雙方開展數(shù)據(jù)交易提供運行環(huán)境和技術(shù)支撐。6.2擴展要求數(shù)據(jù)交易服務(wù)平臺擴展要求參考GB/T37728-2019和GB/T37932-2019。7交易實施7.1標(biāo)的掛牌7.1.1標(biāo)的掛牌前應(yīng)對數(shù)據(jù)進行準(zhǔn)備和清洗，包括對數(shù)據(jù)進行整理、清洗、脫敏等處理，確保數(shù)據(jù)的質(zhì)量和安全性。7.1.2標(biāo)的掛牌前應(yīng)對數(shù)據(jù)的價值進行評估，評估宜基于數(shù)據(jù)的特征、歷史價值、市場需求等方面進行，以確定合理的掛牌價格。7.1.3在掛牌之前，應(yīng)向相關(guān)機構(gòu)或平臺申請掛牌。通常進行填寫相關(guān)表格、提交掛牌申請文件等步驟。7.1.4在掛牌過程中，應(yīng)對數(shù)據(jù)進行加密、權(quán)限控制、防止數(shù)據(jù)泄露等措施，以保護數(shù)據(jù)的隱私和安全性。7.1.5在進行數(shù)據(jù)交易掛牌時，通常需要支付包括平臺使用費、掛牌手續(xù)費等相關(guān)掛牌費用。7.2交易磋商7.2.1數(shù)據(jù)供方應(yīng)明確說明交易標(biāo)的的來源、內(nèi)容、權(quán)屬情況和使用范圍，提供對交易標(biāo)的的描述信息和樣本數(shù)據(jù)。7.2.2數(shù)據(jù)需方應(yīng)披露數(shù)據(jù)需求內(nèi)容、數(shù)據(jù)用途。7.2.3數(shù)據(jù)交易服務(wù)機構(gòu)應(yīng)對數(shù)據(jù)供需雙方披露的信息進行審核，督促雙方依法及時、準(zhǔn)確地披露信4DB21/T3894—20237.2.4數(shù)據(jù)供需雙方應(yīng)對交易標(biāo)的的用途、使用范圍、交易方式和使用期限等進行協(xié)商和約定，形成交易訂單。7.2.5數(shù)據(jù)交易服務(wù)機構(gòu)應(yīng)對交易訂單進行審核，確保交易訂單符合相關(guān)要求，并對審核通過的訂單進行備案。7.3合規(guī)評估7.3.1數(shù)據(jù)交易服務(wù)平臺應(yīng)對數(shù)據(jù)供需雙方的交易資質(zhì)進行評估，數(shù)據(jù)供需雙方應(yīng)分別符合本文件5.1、5.2中的要求，避免數(shù)據(jù)交易過程中出現(xiàn)風(fēng)險。7.3.2數(shù)據(jù)交易服務(wù)平臺應(yīng)通過公開數(shù)據(jù)收集、自行生產(chǎn)、間接獲取、直接采集等方式對交易標(biāo)的數(shù)據(jù)來源進行合規(guī)性分析，數(shù)據(jù)供方應(yīng)提供第三方出具的合規(guī)性評估證明。7.3.3數(shù)據(jù)交易服務(wù)平臺應(yīng)根據(jù)GB/T37932-2019中6.1的要求對數(shù)據(jù)的可交易性進行評估，應(yīng)明確數(shù)據(jù)產(chǎn)品權(quán)屬。7.3.4數(shù)據(jù)交易服務(wù)平臺應(yīng)對數(shù)據(jù)的使用和場景做相應(yīng)的評估，數(shù)據(jù)供方應(yīng)明確數(shù)據(jù)使用條件和約束機制，即提供“使用說明書”。7.4數(shù)據(jù)交付7.4.1基本要求數(shù)據(jù)交易服務(wù)機構(gòu)應(yīng)與數(shù)據(jù)供方和數(shù)據(jù)需方簽訂三方合同，明確數(shù)據(jù)內(nèi)容、數(shù)據(jù)用途、數(shù)據(jù)質(zhì)量、交付方式、交易金額、交易參與方安全責(zé)任、保密條款等內(nèi)容。如發(fā)現(xiàn)數(shù)據(jù)交易存在違法違規(guī)情形，數(shù)據(jù)交易服務(wù)機構(gòu)應(yīng)當(dāng)依法采取必要的處置措施，并向有關(guān)主管部門報告。7.4.2交付方式交付方式包括但不限于：數(shù)據(jù)終端、數(shù)據(jù)文件、數(shù)據(jù)接口服務(wù)、多方數(shù)據(jù)計算服務(wù)及數(shù)據(jù)應(yīng)用服務(wù)等方式。a）數(shù)據(jù)終端：開發(fā)專用應(yīng)用程序供用戶下載封閉式使用。b）數(shù)據(jù)文件：生成的數(shù)據(jù)集文件，通常以EXCEL、CSV、TXT、壓縮包等形式對外提供。c）數(shù)據(jù)接口服務(wù)：通過HTTP請求查詢條件，將滿足要求的數(shù)據(jù)通過XML或JSON的形式返回。d）多方數(shù)據(jù)計算服務(wù)：采用數(shù)據(jù)加密技術(shù)保護原始數(shù)據(jù)，采用多方計算實現(xiàn)數(shù)據(jù)的密文計算，數(shù)據(jù)交互全流程加密留痕，在保證數(shù)據(jù)安全的前提下實現(xiàn)數(shù)據(jù)流通。e）數(shù)據(jù)應(yīng)用服務(wù)：接受客戶委托，進行針對性的基于數(shù)據(jù)的應(yīng)用定制服務(wù)。7.4.3交付流程數(shù)據(jù)交付流程如下：a）供需雙方應(yīng)在合同中約定數(shù)據(jù)的交付方式，確保雙方對交付方式的選擇達(dá)成一致；b）數(shù)據(jù)供方應(yīng)根據(jù)交易合同的要求，對數(shù)據(jù)進行準(zhǔn)備和整理，包括對數(shù)據(jù)進行清洗、脫敏、轉(zhuǎn)換等處理，確保數(shù)據(jù)的質(zhì)量和準(zhǔn)確性；c）數(shù)據(jù)供方將準(zhǔn)備好的數(shù)據(jù)進行打包和加密，宜通過加密算法和密鑰管理等措施，以確保數(shù)據(jù)在傳輸過程中的安全性和完整性；d）數(shù)據(jù)供方應(yīng)使用約定的交付方式，將加密后的數(shù)據(jù)傳輸給買方；e）數(shù)據(jù)需方接收到數(shù)據(jù)后，進行數(shù)據(jù)的接收驗證，并進行解密操作以恢復(fù)原始數(shù)據(jù)；f）數(shù)據(jù)需方對接收到的數(shù)據(jù)進行驗收，比較數(shù)據(jù)與合同約定的內(nèi)容和要求是否一致，若一致，數(shù)據(jù)需方可以確認(rèn)數(shù)據(jù)交付的完成；g）數(shù)據(jù)需方在接收到數(shù)據(jù)后，應(yīng)及時進行數(shù)據(jù)備份和存儲，以確保數(shù)據(jù)的安全性和可用性。7.5支付清算5DB21/T3894—20237.5.1數(shù)據(jù)需方應(yīng)在交易合同約定的期限內(nèi)，通過數(shù)據(jù)交易服務(wù)平臺或數(shù)據(jù)供方和數(shù)據(jù)需方認(rèn)可的其他方式完成支付。7.5.2通過數(shù)據(jù)交易服務(wù)平臺進行交易支付的，數(shù)據(jù)交易服務(wù)平臺宜給出交易手續(xù)費相關(guān)信息，且應(yīng)保存支付信息。7.6售后服務(wù)7.6.1數(shù)據(jù)供方和數(shù)據(jù)需方可通過數(shù)據(jù)交易服務(wù)平臺，對交易過程和服務(wù)質(zhì)量進行評價，評價信息應(yīng)在數(shù)據(jù)交易服務(wù)平臺上展現(xiàn)。7.6.2數(shù)據(jù)交易服務(wù)機構(gòu)應(yīng)建立投訴機制，支持電話投訴、郵件投訴、在線投訴等方式。7.6.3數(shù)據(jù)交易服務(wù)機構(gòu)應(yīng)對投訴記錄和反饋結(jié)果進行保存，投訴記錄和反饋結(jié)果可通過數(shù)據(jù)交易服務(wù)平臺查詢、追溯。7.6.4數(shù)據(jù)交易服務(wù)機構(gòu)宜與當(dāng)?shù)刂俨脵C構(gòu)聯(lián)合設(shè)立爭議解決機制，制定并公示爭議解決規(guī)則，根據(jù)自愿原則，公平、公正解決數(shù)據(jù)供需雙方的爭議。7.6.5交易主體間產(chǎn)生爭議時，可以向數(shù)據(jù)交易服務(wù)機構(gòu)申請調(diào)解，也可以依法向數(shù)據(jù)仲裁機構(gòu)申請仲裁或向人民法院提起訴訟。8安全要求8.1交易過程可追溯要求8.1.1數(shù)據(jù)交易服務(wù)機構(gòu)要求數(shù)據(jù)交易服務(wù)機構(gòu)滿足以下要求：a）建立和保存包括數(shù)據(jù)資源審核記錄、身份核驗記錄、數(shù)據(jù)傳輸過程記錄、數(shù)據(jù)交換記錄及數(shù)據(jù)銷毀記錄等；b）提供交易日志，包括且不限于交易時間、交易主體、交易對象、交易數(shù)據(jù)標(biāo)識、敏感數(shù)據(jù)標(biāo)簽、交易結(jié)果等；c）采取必要措施對交易日志妥善保存，防止未授權(quán)的更改或刪除，如權(quán)限控制、異機備份等；d）提供交易日志訪問接口給監(jiān)管部門或第三方審計機構(gòu)。8.1.2數(shù)據(jù)供方要求數(shù)據(jù)供方應(yīng)建立和保存包括數(shù)據(jù)來源記錄、數(shù)據(jù)分類記錄、數(shù)據(jù)脫敏記錄、數(shù)據(jù)質(zhì)量核驗記錄及數(shù)據(jù)交付記錄等。8.1.3數(shù)據(jù)需方要求數(shù)據(jù)需方獲取數(shù)據(jù)供方數(shù)據(jù)后，不可私自將供方數(shù)據(jù)進行二次交易。數(shù)據(jù)需方應(yīng)建立和保存數(shù)據(jù)接收記錄、數(shù)據(jù)質(zhì)量認(rèn)定記錄、數(shù)據(jù)使用記錄及數(shù)據(jù)銷毀記錄等。8.2跨境交易8.2.1跨境交易場景數(shù)據(jù)跨境交易主要包括以下場景：a）將在境內(nèi)運營中收集和產(chǎn)生的數(shù)據(jù)傳輸、存儲至境外；b）收集和產(chǎn)生的數(shù)據(jù)存儲在境內(nèi)，境外的機構(gòu)、組織或者個人可以訪問或者調(diào)用。8.2.2風(fēng)險評估要求6DB21/T3894—2023數(shù)據(jù)交易服務(wù)機構(gòu)應(yīng)從以下角度進行數(shù)據(jù)跨境交易風(fēng)險評估：a）數(shù)據(jù)角度：包括規(guī)模、范圍、種類、敏感程度和潛在風(fēng)險，其中：1）涉及個人數(shù)據(jù)的，向個人告知境外數(shù)據(jù)需方的名稱、聯(lián)系方式、出境目的、出境方式、個人信息種類及個人向境外數(shù)據(jù)需方行使權(quán)利的方式和程序等，并取得個人明示同意；2）涉及企業(yè)數(shù)據(jù)的，向企業(yè)告知境外數(shù)據(jù)需方的名稱、聯(lián)系方式、出境目的、出境方式、企業(yè)數(shù)據(jù)種類及企業(yè)向境外數(shù)據(jù)需方行使權(quán)利的方式和程序等，并取得企業(yè)明示同意。b）行為角度：包括數(shù)據(jù)出境的目的、范圍、方式等是否合法，是否符合最小必要原則；c）境外數(shù)據(jù)需方角度：境外數(shù)據(jù)需方當(dāng)?shù)氐谋Ｗo政策及保護水平是否國內(nèi)數(shù)據(jù)流通的相關(guān)要求；d）技術(shù)保障角度：數(shù)據(jù)出境過程中及數(shù)據(jù)出境后，數(shù)據(jù)安全和個人信息權(quán)益保護途徑是否暢通有效，宜檢查使用境外的數(shù)據(jù)服務(wù)商、傳輸鏈路供應(yīng)商和第三方組件可能引起的潛在數(shù)據(jù)傳輸鏈路的數(shù)據(jù)出境風(fēng)險情況；e）合同及法律角度：與境外數(shù)據(jù)需方擬訂的合同、協(xié)議及相關(guān)的法律文件。合同中應(yīng)至少約定數(shù)據(jù)出境的目的及方式、境外數(shù)據(jù)保存情況、境外數(shù)據(jù)再轉(zhuǎn)移、不可抗力、其他違約或侵權(quán)事宜及其解決途徑、方式。8.2.3管理要求數(shù)據(jù)交易服務(wù)機構(gòu)應(yīng)按相關(guān)規(guī)定向數(shù)據(jù)出境安全相關(guān)主管部門申報數(shù)據(jù)出境安全評估。數(shù)據(jù)交易服務(wù)機構(gòu)、數(shù)據(jù)供方和境外數(shù)據(jù)需方訂立的法律文件中應(yīng)明確約定數(shù)據(jù)安全保護責(zé)任義務(wù)，至少包括以下內(nèi)容：a）數(shù)據(jù)出境的目的、方式和數(shù)據(jù)范圍，境外接收方處理數(shù)據(jù)的用途、方式等；b）數(shù)據(jù)在境外保存地點、期限，以及達(dá)到保存期限、完成約定目的或者法律文件終止后出境數(shù)據(jù)的處理措施；c）對于境外需方將出境數(shù)據(jù)再轉(zhuǎn)移給其他組織、個人的約束性要求；d）境外數(shù)據(jù)需方在實際控制權(quán)或者經(jīng)營范圍發(fā)生實質(zhì)性變化，或者所在國家、地區(qū)數(shù)據(jù)安全保護政策法規(guī)和網(wǎng)絡(luò)安全環(huán)境發(fā)生變化，以及發(fā)生其他不可抗力情形，導(dǎo)致難以保障數(shù)據(jù)安全時，應(yīng)當(dāng)采取的安全措施；e）違反法律文件約定的數(shù)據(jù)安全保護義務(wù)的補救措施