DB4403T518-2024數據交易服務規(guī)范

ICS35.030CCSL80DB4403深 圳 市 地 方 標 準DB4403/T518—2024數據交易服務規(guī)范Datatransactionservicespecification2024-10-282024-10-282024-12-01深圳市場監(jiān)督管理局DB4403/T518—2024DB4403/T518—2024DB4403/T518—2024DB4403/T518—2024目次前言 II范圍 1規(guī)范性引用文件 1術語和定義 1數據交易服務內容框架 2數據交易基本要素 3交易參與方 3交易標的 4數據交易服務平臺 4交易標的交易過程要求 5交易申請 5交易評估 5交易撮合 6交易實施 7交易結算 7交易結束 8交易追溯 8數據交易安全技術要求 9通用要求 9操作審計 9數據加密 9數據脫敏 10數據流動監(jiān)測 10數據備份 10數據銷毀 10參考文獻 11I前言本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定起草。本文件由深圳市人民政府國有資產監(jiān)督管理委員會提出并歸口。本文件起草單位：深圳數據交易所有限公司、深圳交易集團有限公司、聯(lián)易融數字科技集團有限公司、京信數據科技有限公司、亞信安全科技股份有限公司、深圳市騰訊計算機系統(tǒng)有限公司、中國工商銀行、天翼云科技有限公司、南方電網數字平臺科技（廣東）有限公司、中國移動通信有限公司研究院、交通銀行深圳分行、北京數牘科技有限公司、上海富數科技有限公司、杭州金智塔科技有限公司。本文件主要起草人：李禎龍、陳曦、梁孟、廖雙曉、李克鵬、鐘陳穎、魏博言、袁娜、凌敏、解凱旋、金銀玉、許正霖、楊天雅、梁騰文、白東國、陳戈、梁敏華、李紅光、王騰、趙亮、賴高宇、賀昆、杜妮娜、林嘉敏、王昆、信倫、單進勇、王建強、卞陽、閆樹、李榕、王琛、李中、許智立、趙婉露。IIII數據交易服務規(guī)范范圍本文件規(guī)定了數據交易服務的框架、基本要素、交易標的交易過程要求和數據交易安全技術要求。本文件適用于深圳市數據交易服務主體開展場內及場外的數據交易服務活動。規(guī)范性引用文件下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T37932—2019信息安全技術數據交易服務安全要求術語和定義下列術語和定義適用于本文件。數據產品dataproduction用于交易的原始數據和加工處理后的數據衍生產品。注數據產品dataproduction用于交易的原始數據和加工處理后的數據衍生產品。注：數據產品包括但不限于數據集、數據分析報告、數據可視化產品、數據指數、API數據、加密數據等。3.2數據服務dataservices賣方或賣方委托的第三方提供數據處理（收集、存儲、使用、加工、傳輸等）服務能力。注：數據服務包括但不限于數據采集和預處理服務、數據建模、分析處理服務、數據可視化服務、數據安全服務等。3.3數據工具datatools可實現數據服務的軟硬件工具。注：數據工具包括但不限于數據存儲和管理工具、數據采集工具、數據清洗工具、數據分析工具、數據可視化工具、數據安全工具等。3.4交易標的transactionsubjects用于交易的數據產品、數據服務和數據工具。3.5數據交易datatransaction數據賣方和買方之間以交易標的作為交易對象，進行的以貨幣或貨幣等價物交換交易標的的行為。3.6數據交易服務datatransactionservice1幫助數據賣方和數據買方完成數據交易的活動。3.7數據交易場所dataexchange經政府批準成立的，組織開展數據交易活動的交易場所。3.8數據賣方dataseller在數據交易場所內或數據交易場所外由合法組織機構出售交易標的的組織或自然人。3.9數據買方databuyer在數據交易場所內購買交易標的的組織或自然人。3.10數據商datamerchants從各種合法來源收集或維護數據，經匯總、加工、分析等處理轉化為交易標的，向買方出售或許可,或為促成并順利履行交易，向委托人提供交易標的發(fā)布、承銷、經紀等服務，合規(guī)開展業(yè)務的企業(yè)法人。3.11數據交易第三方服務機構thirdpartyserviceinstitutionsfordatatransaction3.12數據交易場所運營機構datatransactionvenuesoperatingagency按照相關法律、行政法規(guī)和數據交易綜合監(jiān)督管理部門的規(guī)定，在當地承擔數據交易的職能，為數據集中交易提供基礎設施和基本服務的組織機構。3.133.12數據交易場所運營機構datatransactionvenuesoperatingagency按照相關法律、行政法規(guī)和數據交易綜合監(jiān)督管理部門的規(guī)定，在當地承擔數據交易的職能，為數據集中交易提供基礎設施和基本服務的組織機構。3.13數據交易服務平臺datatransactionserviceplatform數據交易場所運營機構為開展數據交易業(yè)務提供各項服務的信息化平臺。4數據交易服務框架4.1數據交易服務涉及數據賣方、數據買方、數據商、數據交易第三方服務機構及數據交易場所運營機構五個主體。數據交易服務包括場內數據交易服務及場外數據交易服務，服務流程包括交易申請、交易評估、交易撮合、交易實施、交易結算、交易結束及交易追溯七個環(huán)節(jié)，數據交易服務參考框架如圖1所示。2圖1數據交易服務框架4.2數據交易場所運營機構依托數據交易服務平臺，基于數據商提供的交易標的為數據買方和數據賣方提供多樣性的數據交易服務，交易標的則包括數據產品、數據服務、數據工具等。數據賣方的交易標的需要由數據商保薦后方能在數據交易場所運營機構進行交易服務。數據買方基于數據交易服務平臺根據交易需求購買所需交易標的。在整個數據交易服務過程中由數據交易第三方服務機構提供法律、數據資產化、安全質量評估、培訓咨詢、其他第三方服務等相關輔助交易服務。數據交易基本要素交易參與方數據賣方數據賣方應具備業(yè)務所需的數據安全保障能力；申請交易標的在數據交易場所上市和交易，數據賣方應認證成為數據交易場所的數據商，或者委托數據商進行保薦。數據買方數據買方應具備業(yè)務所需數據安全保障能力。在數據交易前，數據買方應提供所屬行業(yè)、數據需求內容、數據用途等信息，并保證按照買賣雙方約定和數據授權使用的目的和范圍使用數據。數據商數據商應為合法有效存續(xù)的企業(yè)法人，并具備業(yè)務所需服務能力。數據商為數據賣方提供保薦服務的，應在數據交易場所上市前對交易標的進行合規(guī)自查或審核，范圍包括但不限于被保薦數據賣方的數據來源、身份、資質、授權范圍、授權時間、數據安全保護能力等，以確保交易標的來源合法、內容真實、質量可靠。數據交易第三方服務機構數據交易第三方服務機構在開展業(yè)務過程中，遵循以下要求：3數據交易第三方服務機構及其從業(yè)人員開展相關業(yè)務，應堅持獨立、客觀、公正原則，對于任何組織和個人的不當干預應予以拒絕；數據交易第三方服務機構出具法律意見書、評估報告或其它鑒證報告時，應保證報告的客觀性、真實性、準確性和完整性，不應出現虛假記載、誤導性陳述或其它違反法律法規(guī)、行業(yè)規(guī)則的情形；數據交易第三方服務機構及其從業(yè)人員應遵守保密原則，妥善保存客戶委托文件、數據資料、工作底稿等信息和資料，任何人不應泄露、隱匿、偽造、篡改或者毀損；數據交易第三方服務機構應真實、完整、規(guī)范地整理交易全過程資料并留檔保存，不應偽造、篡改、隱匿或銷毀，防止業(yè)務檔案丟失、泄密。保管期限自業(yè)務合同有效期終止之日起計算30第三方服務機構對其提供的法律意見書、評估報告或其它鑒證報告的合規(guī)性、安全性、真實性和有效性負責；3交易標的數據產品數據產品包含如下要求：數據產品在數據交易場所申請上市的，宜先行經過第三方法律服務機構的數據合規(guī)評估審查；第三方法律服務機構應對數據產品的合規(guī)性進行全面評估，真實、準確、完整地披露數據產品的重要方面（內容應至少包含主體合規(guī)、標的合規(guī)和流通合規(guī)），盡職審慎地提示數據產品及其交易潛在的法律風險，并對數據產品的合規(guī)性出具正式的書面評估報告；數據交易場所運營機構應結合第三方法律服務機構出具的數據合規(guī)評估報告，進行主體交易資格、數據來源合法性、流通交易限制、數據安全保障能力等方面進行合規(guī)審核。數據服務數據服務在數據交易場所申請上市的，申請主體應提交數據服務所需的相關資質，數據交易場所運營機構對數據服務進行嚴格審核，確保數據服務合法合規(guī)，不應侵害其他主體的合法權益。數據工具數據工具在數據交易場所申請上市的，申請主體應提交數據工具涉及的權利憑證（包括但不限于專利證書、計算機軟件著作權登記證書等），數據交易場所運營機構對數據工具進行嚴格審核，確保數據工具合法合規(guī)，不侵害其他主體的合法權益。數據交易服務平臺數據交易服務平臺遵循如下要求：通過數據交易服務平臺支撐數據交易的流程服務，平臺可由數據交易場所運營機構或其他符合相關規(guī)定的機構進行建設；滿足數據交易過程中交易申請、交易評估、交易撮合、交易實施、交易結算、交易結束和交GB/T379324交易標的交易過程要求交易申請數據分類分級數據賣方在數據分類分級方面的要求包括：應按照數據級別確定并實施所必要的安全管理策略和保障措施；應對交易數據分類分級的變更進行記錄，并通知相關數據買方和數據交易場所運營機構；應按照數據級別明確數據買方對交易數據的使用權限；GB/T43697、GB/T38667交易標的上架在交易標的上架方面，包括如下要求：數據賣方應提交交易標的上架申請，同時應明確界定交易數據的內容范圍、使用場景和范圍、數據質量說明、商品形態(tài)、數據安全級別等，以符合國家相關法律法規(guī)的要求；數據賣方應依據實際情況展示交易標的的描述說明、適用范圍、更新頻率、計費方式、交易數據完整相關權益的承諾及交易數據采集渠道、個人信息保護政策、用戶授權、交易數據真實性承諾、產品或服務樣例等相關材料；信息進行脫敏；d)數據交易場所運營機構應對數據上架申請信息進行評估和審批。交易標的申請信息進行脫敏；d)數據交易場所運營機構應對數據上架申請信息進行評估和審批。交易標的申請在交易標的申請方面，包括如下要求：交易申請時，數據買方應提供所屬行業(yè)、數據需求內容、數據用途等信息；數據買方在提交數據資源申請時，應明確相關需求信息，具體包括：業(yè)務背景信息；期待達到目標；所需交易數據清單；數據來源；數據具體使用方法等。數據交易場所運營機構應對數據資源申請信息的合法、真實、來源進行合規(guī)審核，督促數據交易主體及時、準確提供信息。交易評估合規(guī)性評估數據交易第三方服務機構應從主體適格性、數據來源合法性、流通交易風險性等方面進行合規(guī)評估，具體包含：應評估數據交易主體的存續(xù)狀態(tài)及業(yè)務資質（如行政許可、備案）等；應對法律法規(guī)禁止、未經個人信息主體授權同意的數據進行去除；5數據來源鏈路應清晰，應有相應的主體授權，應在授權范圍內進行合法合規(guī)地收集、使用、加工、流通等數據處理行為；數據內容應不涉及限制或禁止流通的數據類型，交易標的不屬于且不涉及法律禁止獲取、持有和對外提供的數據；交易標的本身及其交易應不危害國家安全、公共安全與公共秩序，不違背公序良俗；數據在流通時應不存在安全隱患，各主體自身及數據買方應有相應的保護措施；交易標的應不侵犯數據相關合法權益，包括但不限于數據主體權利、商業(yè)秘密、數據使用和許可使用利益等；交易標的涉及重要數據的應在交易前進行數據安全風險評估，并提供評估報告；交易標的涉及個人信息數據的應在交易前進行個人信息影響評估，并提供評估報告。價值評估在價值評估方面，包括如下要求：數據的價值宜由數據賣方先行評估，也可以由數據賣方和數據買方協(xié)商決定,數據買賣雙方或一方均可以委托數據資產價值評估服務機構進行評估作為數據交易價值的參考依據；數據產品價值評估應對數據資產的使用價值進行度量；數據產品的價值評估應考慮成本要素、質量要素和應用要素，其中：成本要素包括數據前期費用、建設成本、運維成本和間接成本等；應用要素包括需求方使用數據產品之后可能獲得的收益等；質量要素包括數據的準確性、一致性、規(guī)范性、完整性、時效性和可訪問性等。數據資產價值評估服務機構可從數據質量維度、數據計算貢獻維度、數據業(yè)務應用維度等方面探索構建數據價值評估指標體系，為數據交易定價提供參考。安全評估在安全評估方面，包括如下要求：數據交易第三方服務機構宜對數據賣方提供的數據產品進行病毒檢測、內容安全監(jiān)測；數據交易第三方服務機構宜對參與方之間數據傳輸通道和網絡進行安全性評估，保證數據傳輸過程中不被泄露；數據交易場所運營機構宜對交易數據的分級進行評估，根據不同的數據分級，采用對應的交易方式和安全保障措施；數據交易場所運營機構宜確保交易標的具備交易安全措施，包括但不限于通過加密等措施確保其不會發(fā)生丟失、泄露、篡改等情形；數據交易場所運營機構應對擬交易的數據建立分類制度,落實有關部門對不同類別數據提出的安全要求，對擬交易數據建立分級保護機制,根據數據的不同級別,為數據買賣雙方提供不同強度的安全保護技術支持措施。交易撮合在交易撮合方面，包括如下要求：數據交易場所運營機構或數據商應根據數據資源和需求進行匹配，撮合數據賣方和數據買方發(fā)生數據交易；6在交易磋商環(huán)節(jié),數據賣方和數據買方應就交易時間、數據用途、使用期限、留存期限、交付質量、交付方式、交易金額、交易參與方安全責任、保密條款等內容進行協(xié)商和約定，形成交易訂單；數據交易第三方服務機構或數據商應對交易訂單進行審核，確保符合相關法律、法規(guī)、規(guī)章和標準等要求；數據交易服務平臺宜采用技術手段確保交易撮合過程等具備可追溯性和不可否認性。交易實施交易機制制定數據交易場所運營機構在制定交易機制方面，包括如下要求：應建立網絡訪問控制以及身份認證機制，并指定專門人員負責數據交易活動，避免冒充身份者接入系統(tǒng)，確保交易機制的安全性；應制定數據交易審查和跟蹤規(guī)程，建立交易活動評價、監(jiān)管和問責等機制，并確保數據賣方和數據買方等相關方按照交易基本原則，提供、分發(fā)和使用交易數據。數據交付方式數據交易服務平臺應能支持一種或多種數據產品交易交付方式，并采用技術手段確保交易實施過程的數據安全。包括但不限于：隱私計算：宜支持通過多方安全計算、同態(tài)加密、聯(lián)邦學習、可信執(zhí)行環(huán)境等隱私計算技術實現敏感數據的安全流通，控制敏感數據的具體使用目的、方式和次數，避免敏感數據在流通過程中遭到泄露或濫用；接口傳輸：宜支持脫敏數據接口傳輸的方式，由需求方通過接口調用數據進行計算，實現數據賣方和數據買方之間的數據交易交換；消息隊列：對于脫敏數據實時性有要求的，平臺應支持將實時采集的數據，提供路由并進行消息的轉發(fā)，實現數據賣方和數據買方之間的數據交易交換；可信數據空間：宜支持通過可信任的身份認證技術、跨域數據使用控制技術、數據安全流通追溯技術、低代碼開發(fā)技術等可信數據空間技術實現數據跨域可信流通，保障數據持有權和加工使用權的精準管控，促進數據合規(guī)高效流通。數據交易監(jiān)測在數據交易監(jiān)測方面，數據交易場所運營機構和第三方服務機構滿足如下要求：應基于國家相關法律法規(guī)和公司制度要求建立數據交易監(jiān)測機制，規(guī)范和監(jiān)測數據交易過程，保障數據買方對交易數據的正當使用；宜對數據交易過程中的數據資源變化、訪問行為、數據交易處理結果等行為進行監(jiān)測，對異常使用進行及時發(fā)現、告警并制止；宜記錄數據交易的全過程及異常訪問追溯結果。交易結算在數據交易結算方面，包括如下要求：交易結算之前數據買方宜對交易完成的數據根據合同約定的效果進行可用性評估，符合合同中雙方約定的效果時方可進行結算；7數據買方和數據賣方應按照合同約定進行資金結算；可在合約完成后一次性結算，也可以根據合約進行分階段結算，雙方需根據交易結構進行確認，確認后進入交易結算；數據交易場所運營機構在實施交易過程時宜根據交易的數據產品、交易參與方的資質等設置交易保證金，并放入監(jiān)管賬戶；數據交易場所運營機構應實行交易資金第三方結算制度，由交易資金的開戶銀行或非銀行支付機構負責交易資金的結算；數據交易場所運營機構提供的交易結算應支持訂單發(fā)起、查詢、修改、保存、刪除、打印、導出等；數據交易場所運營機構應確保交易結算結果的可追溯性和不可否認性，并在交易結算結束后，提供交易的交易憑證。交易結束交易反饋機制在數據交易反饋機制方面，數據交易場所運營機構滿足如下要求：應建立數據交易反饋機制，供數據賣方和數據買方對數據交易過程中的便利性、質量、安全性、合規(guī)性等進行反饋和評價；對積極參與和配合的參與者宜制定激勵措施，進行激勵或獎勵；對違反交易活動原則及規(guī)程的行為采取警告、限制操作等措施。交易活動退出當數據交易活動雙方已經履行完畢或協(xié)商一致予以終止、解除時，視為數據交易活動結束，交易雙方可退出數據交易活動。具體包括如下要求：數據買方退出交易活動時，如數據交易合作終止，數據使用權限到期，應告知數據賣方，數據賣方停止向該數據買方提供數據交易；數據交易結束后，數據賣方應立即關閉數據訪問接口；基于個人同意處理個人信息的，個人撤回同意或變更授權同意范圍時，數據賣方應通知數據管理平臺及數據買方，并停止向數據買方提供數據交易或根據變更后的個人授權同意范圍調整交易范圍；數據買方應遵守合同，不應超出約定的數據使用范圍，并及時銷毀、刪除、匿名化處理交易數據，不可非法濫用、惡意傳播數據。數據清除在數據清除方面，包括如下要求：數據買方應在數據交易結束后按照數據賣方的相關要求對數據進行清除；數據交易場所運營機構應在數據下架后，清除數據對應的目錄，并銷毀存儲介質中對應的數據，且無法通過任何手段恢復；交易結束后，數據交易場所運營機構應對交易過程中產生的數據以及約定好刪除的數據進行刪除。交易追溯交易日志記錄8數據交易場所運營機構在日志記錄、活動記錄方面，包括如下要求：應對數據交易過程進行日志記錄，記錄的內容包括：數據交易的時間、數據買方信息、數據賣方信息、所交易數據的信息等；應建立、維護和更新交易使用的個人信息處理活動記錄，記錄內容可包括：所涉及的個人信息的類型、數量、來源；根據業(yè)務功能和授權情況區(qū)分個人信息的處理目的、使用場景、委托處理、交易、轉讓、是否涉及出境等情況；與個人信息處理活動各環(huán)節(jié)相關的信息系統(tǒng)、組織或人員。應保證日志文件不可篡改、可追溯；應只允許授權審計員訪問數據交易日志，支持對數據交易日志進行查詢和分析；應提供日志查詢服務，便于對數據交易任務進行跟蹤和事后審計。審計與溯源數據交易場所運營機構在審計與追溯方面，包括如下要求：應能基于日志記錄，對數據交易情況進行審計；應對數據交易操作記錄、系統(tǒng)日志進行主體行為審計；應采取相應技術手段，對安全審計的結果進行保護，確保其可被授權審計人員和交易相關方訪問并不可篡改；應采取存證措施保障交易過程中產生的相關信息的完整性、真實性；應提供投訴舉報渠道來監(jiān)督數據交易各環(huán)節(jié)的數據泄露、濫用等情況；應建立數據安全事件響應機制來應對數據交易各環(huán)節(jié)的數據泄露、濫用等情況；涉及的交易主體宜在數據交易結算完成后，對電子服務合約或合同的執(zhí)行情況評估驗證。數據交易安全技術要求通用要求各數據交易主體應落實同步規(guī)劃、同步建設、同步運營，按照網絡系統(tǒng)等級保護要求進行數據交易相關信息系統(tǒng)的規(guī)劃建設，其中數據交易服務平臺應達到三級要求。操作審計數據交易服務平臺或數據賣方、數據商在數據交易相關信息系統(tǒng)落實操作審計，相關要求包括但不限于：所有的數據交易相關操作都應生成日志，對時間、操作者、操作內容和結果等信息進行記錄；應對審計進程進行保護，防止未經授權的中斷；應確保審計記錄無法被非授權訪問和篡改并定期備份審計記錄。數據加密數據交易主體如有建設數據交易相關系統(tǒng)提供數據加密手段，相關要求包括但不限于：應采用應用層數據加密技術，保證數據在交易主體之間傳輸過程中的安全性；應采用傳輸層數據加密技術（TLS、VPN、API），保證數據在交易主體之間傳輸過程中的安全性；9VPN宜采用數據存儲加密技術（如數據庫加密、介質加密），確保數據在存儲過程時的安全性；可采用機密計算、隱私計算技術，確保數據在處理過程中的安全性；采用相關加密技術時，應使用符合國家密碼管理政策和標準規(guī)范的密碼算法和產品。數據脫敏各數據交易主體在數據脫敏方面，相關要求包括但不限于：應建立敏感信息保護機制，采用數據脫敏技術對交易