DB11∕T2350-2024數(shù)據(jù)交易安全評估指南

2024-12-25發(fā)布2025-041北京市市場監(jiān)督管理局發(fā)布I 12規(guī)范性引用文件 13術(shù)語和定義 14評估范圍 15評估內(nèi)容及指標(biāo)體系 26評估流程 7報告編寫及結(jié)果應(yīng)用 參考文獻(xiàn) 本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》規(guī)定起本文件由北京市經(jīng)濟(jì)和信息化局提出。本文件由北京市經(jīng)濟(jì)和信息化局、北京市政務(wù)服務(wù)和數(shù)據(jù)管理局歸口并組織實施。本文件起草單位：北京國際大數(shù)據(jù)交易所、北京大學(xué)大數(shù)據(jù)分析與應(yīng)用技術(shù)國家工程實驗室、上海蜜度信息技術(shù)有限公司、國網(wǎng)北京海淀供電公司、拉卡拉支付股份有限公司、北京市金杜律師事務(wù)所、北京市科學(xué)技術(shù)研究院、湖南大學(xué)、杭州安恒信息技術(shù)股份有限公司、工業(yè)和信息化部電子第五研究所、華控清交信息科技(北京)有限公司、京東科技信息技術(shù)有限公司、中國移動通信集團(tuán)有限公司、中國移動通信有限公司研究院、北京訊騰智慧科技股份有限公司、容誠咨詢(北京)有限公司、北京市農(nóng)業(yè)投資有限公司、北京航空航天大學(xué)、北京國網(wǎng)信通埃森哲信息技術(shù)有限公司本文件主要起草人：李振軍、盛晶、王娟、梁星、張頭、姜冰、宋潔、吳涵、李皖金、張彥軍、李巍、王吾冰、穆帥先、楊祖艷、宗丹辰、邱鍇、劉京川、蔡國慶、梁肖、韓培科、王理、張瑜、楊嵐、莫雄劍、潘沖、焦承林、譚伊舒、趙瑩、高尚滔、胡月、盧怡賢、戴薇、趙海威1數(shù)據(jù)交易安全評估指南本文件給出了數(shù)據(jù)交易安全評估范圍、評估內(nèi)容及指標(biāo)體系、評估流程、報告編寫及結(jié)果應(yīng)用等內(nèi)容。本文件適用于指導(dǎo)數(shù)據(jù)交易參與方、第三方評估機(jī)構(gòu)等主體開展數(shù)據(jù)交易安全評估。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本GB/T22239信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求GB/T36073數(shù)據(jù)管理能力成熟度評估模型GB/T37932信息安全技術(shù)數(shù)據(jù)交易服務(wù)安全要求GB/T37988信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型DB11/T2348數(shù)據(jù)交易通用指南3術(shù)語和定義DB11/T2348界定的以及下列的術(shù)語和定義適用于本文件。數(shù)據(jù)交易安全securityofttatransaction在數(shù)據(jù)交易過程中，數(shù)據(jù)交易供方、需方和數(shù)據(jù)交易場所通過采取必要措施，確保數(shù)據(jù)交易處于有效保護(hù)、合法、安全的狀態(tài)。4評估范圍從基礎(chǔ)項和加分項兩個維度，圍繞數(shù)據(jù)交易流程為數(shù)據(jù)交易雙方、數(shù)據(jù)交易場所提供數(shù)據(jù)交易安全評估范圍，引導(dǎo)規(guī)范數(shù)據(jù)交易行為，為數(shù)據(jù)交易安全流通提供指引。其中，滿足基礎(chǔ)項是進(jìn)行加分項評估的前提，滿足全部基礎(chǔ)項對數(shù)據(jù)交易雙方及數(shù)據(jù)交易場所是十分必要的，加分項作為評估可選內(nèi)容，為提升安全能力提供參考。數(shù)據(jù)交易安全評估范圍如圖1所示。2IR1/T2350數(shù)據(jù)交易安全評估范圍數(shù)據(jù)供方數(shù)據(jù)供方交易主體交易標(biāo)的交易送商絡(luò)約交易標(biāo)的交付和交易結(jié)算交易后期服務(wù)交易后期服務(wù)數(shù)據(jù)交易安全評估維度基礎(chǔ)項加分項數(shù)據(jù)交易場所數(shù)據(jù)交易平臺交易主體入駐交易標(biāo)的登記交易磋商締約交易標(biāo)的交付和交易結(jié)算數(shù)據(jù)需方交易主體交易磋商締約交易標(biāo)的交付和交易結(jié)算交易后期服務(wù)圖1數(shù)據(jù)交易安全評估范圍5評估內(nèi)容及指標(biāo)體系5.1數(shù)據(jù)供方安全評估5.1.1數(shù)據(jù)供方安全評估指標(biāo)體系在數(shù)據(jù)交易過程中，對數(shù)據(jù)供方進(jìn)行安全評估建立可參考的指標(biāo)體系，加分項和權(quán)重范圍根據(jù)不同行業(yè)及應(yīng)用場景進(jìn)行調(diào)整。具體內(nèi)容如表1所示。表1數(shù)據(jù)供方安全評估指標(biāo)體系表指標(biāo)分值及建議權(quán)重范圍評分說明標(biāo)與不達(dá)標(biāo)判斷，如其中某項指標(biāo)維度基礎(chǔ)項不滿足要求，則加分項評估無效，對應(yīng)指標(biāo)維度安全要求不達(dá)標(biāo)。要求的情況下，開展指標(biāo)維度加分項評估。指標(biāo)維度加分項權(quán)重可結(jié)合具體行業(yè)情況及數(shù)據(jù)交易應(yīng)用場景，參考本標(biāo)準(zhǔn)建議權(quán)重范圍進(jìn)行評估打分，權(quán)重加總為100%加總交易標(biāo)的交易磋商締約評分0~100分，建議權(quán)重范圍易結(jié)算3基礎(chǔ)項包括：a)依法成立并有效存續(xù)的法人、非法人組織機(jī)構(gòu)，或具備相應(yīng)民事行為能力的自然人；b)在一年內(nèi)不存在數(shù)據(jù)類違法違規(guī)記錄，未發(fā)生過數(shù)據(jù)泄露等安全事件；c)在五年內(nèi)未因違反網(wǎng)絡(luò)安全法律法規(guī)受到治安管理處罰和刑事處罰；d)場內(nèi)交易前，依程序完成注冊、認(rèn)證并通過審核。加分項包括：a)具備數(shù)據(jù)安全技術(shù)能力和安全管理制度，如敏感數(shù)據(jù)識別、數(shù)據(jù)分類分級、數(shù)據(jù)脫敏、數(shù)據(jù)加密、數(shù)據(jù)備份和恢復(fù)、數(shù)據(jù)防泄漏、數(shù)據(jù)安全監(jiān)測與預(yù)警、數(shù)據(jù)安全監(jiān)督檢查等；b)具備關(guān)于主體數(shù)據(jù)安全能力的資質(zhì)證明類文件，如取得GB/T36073、GB/T37988相關(guān)數(shù)據(jù)管理能力成熟度評估模型和數(shù)據(jù)安全能力成熟度模型認(rèn)證等；c)交易標(biāo)的涉及重要數(shù)據(jù)的，處理數(shù)據(jù)的信息系統(tǒng)宜符合GB/T22239中三級及以上網(wǎng)絡(luò)安全等級保護(hù)要求，宜具備對接收方的數(shù)據(jù)共享、調(diào)用情況的監(jiān)測措施，相關(guān)日志留存時間不少于3年；d)交易標(biāo)的涉及一般數(shù)據(jù)的，宜具備符合GB/T22239中三級網(wǎng)絡(luò)安全等級保護(hù)的安全能力。基礎(chǔ)項包括：a)交易標(biāo)的涉及重要數(shù)據(jù)的，依法履行登記、審批等相應(yīng)規(guī)定，出具上一年度數(shù)據(jù)安全風(fēng)險評估報告；b)具有明確的概要描述、產(chǎn)品形態(tài)、應(yīng)用場景、使用范圍、服務(wù)方式和使用期限；c)具有數(shù)據(jù)來源權(quán)屬合法合規(guī)的報告或相關(guān)真實有效的證明材料；d)涉及個人信息的宜取得授權(quán)或進(jìn)行匿名化處理；對于無法滿足前述條件的，進(jìn)行去標(biāo)識化處理，達(dá)到在不借助額外信息的情況下無法識別特定自然人的要求；e)真實、準(zhǔn)確、完整披露數(shù)據(jù)交易標(biāo)的信息，不隱瞞數(shù)據(jù)來源及涉及的敏感數(shù)據(jù)；f)場內(nèi)交易前，依程序提供數(shù)據(jù)交易標(biāo)的登記上架相關(guān)材料以供審核。加分項包括：a)提供數(shù)據(jù)質(zhì)量、數(shù)據(jù)合規(guī)、數(shù)據(jù)安全等第三方專業(yè)機(jī)構(gòu)出具的報告；b)根據(jù)數(shù)據(jù)交易需方要求，提供數(shù)據(jù)交易標(biāo)的樣本數(shù)據(jù)?；A(chǔ)項包括：a)不以欺詐、誘騙、誤導(dǎo)、脅迫、賄賂等違法違規(guī)方式交易數(shù)據(jù)；b)明確數(shù)據(jù)交易標(biāo)的質(zhì)量、數(shù)量、價格、使用期限等；4IR1/T2350c)如存在數(shù)據(jù)交易標(biāo)的使用場景限制，在合同中明確數(shù)據(jù)交易標(biāo)的使用或流通的目的、方式和范圍，法律法規(guī)另有規(guī)定的除外；d)如涉及數(shù)據(jù)加工服務(wù)的，在合同中明確加工后的數(shù)據(jù)交易標(biāo)的相關(guān)權(quán)屬。a)根據(jù)數(shù)據(jù)需方要求，給出數(shù)據(jù)需方關(guān)注的產(chǎn)品解答并進(jìn)行一定的產(chǎn)品優(yōu)化適配；b)如提供測試數(shù)據(jù)，支持?jǐn)?shù)據(jù)需方進(jìn)行數(shù)據(jù)交易前驗證，提供安全可控測試環(huán)境，保證測試數(shù)據(jù)真實、有效。5.1.5交易標(biāo)的交付和交易結(jié)算5.1.5.1基礎(chǔ)項基礎(chǔ)項包括：a)根據(jù)合同約定，按時、保質(zhì)提供數(shù)據(jù)交易標(biāo)的，供數(shù)據(jù)需方進(jìn)行數(shù)據(jù)使用；b)采取必要措施，確保所交付的數(shù)據(jù)交易標(biāo)的安全、合法、有效，并持續(xù)履行所交付數(shù)據(jù)交易標(biāo)的相關(guān)法定義務(wù)；c)配合監(jiān)管部門和數(shù)據(jù)交易場所開展數(shù)據(jù)交易標(biāo)的交付和交易結(jié)算過程中的履約監(jiān)管和交易結(jié)算核驗；d)根據(jù)合同約定或數(shù)據(jù)交易場所要求，完成交易結(jié)算相關(guān)工作。5.1.5.2加分項加分項包括：a)在實施過程保障數(shù)據(jù)需方的使用順暢，能夠提供多種安全的數(shù)據(jù)開發(fā)和計算環(huán)境，滿足數(shù)據(jù)需方的差異化使用需求；b)保證數(shù)據(jù)交易標(biāo)的供給的穩(wěn)定性和連續(xù)性，中途遇到不穩(wěn)定、中斷等情形，及時進(jìn)行解決。5.1.6交易后期服務(wù)5.1.6.1基礎(chǔ)項基礎(chǔ)項包括：a)根據(jù)合同約定，結(jié)束數(shù)據(jù)交易標(biāo)的供給；b)配合監(jiān)管部門、數(shù)據(jù)交易場所等開展交易后的追溯和審計工作。5.1.6.2加分項具備完善的交易售后服務(wù)體系和臺賬式管理。5.2數(shù)據(jù)需方安全評估5.21數(shù)據(jù)需方安全評估指標(biāo)體系在數(shù)據(jù)交易過程中，對數(shù)據(jù)需方進(jìn)行安全評估建立可參考的指標(biāo)體系，加分項和權(quán)重范圍根據(jù)不同行業(yè)及應(yīng)用場景進(jìn)行調(diào)整。具體內(nèi)容如表2所示。指標(biāo)分值及建議權(quán)重范圍評分說明基礎(chǔ)項評估：對各指標(biāo)維度進(jìn)行達(dá)標(biāo)與不達(dá)標(biāo)判5表2數(shù)據(jù)需方安全評估指標(biāo)體系(續(xù))指標(biāo)分值及建議權(quán)重范圍評分說明展指標(biāo)維度加分項評估。指標(biāo)維度加分項權(quán)重可結(jié)合具體行業(yè)情況及數(shù)據(jù)交易應(yīng)用場景，參考本標(biāo)準(zhǔn)交易磋商締約交易標(biāo)的交付和5.2.2交易主體5.2.21基礎(chǔ)項基礎(chǔ)項包括：a)依法成立并有效存續(xù)的法人、非法人組織機(jī)構(gòu)，或具備相應(yīng)民事行為能力的自然人；b)在1年內(nèi)不存在數(shù)據(jù)類違法違規(guī)記錄，未發(fā)生過數(shù)據(jù)泄露等安全事件；c)在5年內(nèi)未因違反網(wǎng)絡(luò)安全法律法規(guī)受到治安管理處罰和刑事處罰；d)場內(nèi)交易前，依程序在數(shù)據(jù)交易平臺完成注冊、認(rèn)證并通過審核；5.2.2.2加分項加分項包括：a)具備數(shù)據(jù)安全技術(shù)能力和安全管理制度，如敏感數(shù)據(jù)識別、數(shù)據(jù)分類分級、數(shù)據(jù)脫敏、數(shù)據(jù)加密、數(shù)據(jù)備份和恢復(fù)、數(shù)據(jù)防泄漏、數(shù)據(jù)安全監(jiān)測與預(yù)警、數(shù)據(jù)安全監(jiān)督檢查等；b)具備關(guān)于主體數(shù)據(jù)安全能力的資質(zhì)證明類文件，如取得GB/T36073、GB/T37988相關(guān)數(shù)據(jù)管理能力成熟度評估模型和數(shù)據(jù)安全能力成熟度模型認(rèn)證等；c)交易標(biāo)的涉及重要數(shù)據(jù)的，處理數(shù)據(jù)的信息系統(tǒng)宜符合三級及以上GB/T22239中網(wǎng)絡(luò)安全等級保護(hù)要求；d)交易標(biāo)的涉及重要數(shù)據(jù)的，宜具備對接收方的數(shù)據(jù)共享、調(diào)用情況的監(jiān)測措施，相關(guān)日志留存時間不少于三年。e)交易標(biāo)的涉及一般數(shù)據(jù)的數(shù)據(jù)需方，宜符合GB/T22239中三級及以上網(wǎng)絡(luò)安全等級保護(hù)要5.23交易磋商締約5.2.3.1基礎(chǔ)項基礎(chǔ)項包括：a)不以欺詐、誘騙、誤導(dǎo)、脅迫、賄賂等違法違規(guī)方式交易數(shù)據(jù)；b)遵守數(shù)據(jù)使用范圍限制要求，確保加工的過程和結(jié)果數(shù)據(jù)不超出數(shù)據(jù)供方要求的使用范圍；c)滿足國家對交易標(biāo)的應(yīng)用場景的有關(guān)要求。5.24交易標(biāo)的交付和交易結(jié)算5.2.4.1基礎(chǔ)項基礎(chǔ)項包括：a)按照數(shù)據(jù)交易雙方約定使用數(shù)據(jù)，授權(quán)使用不超出交易約定要求的范圍；6b)不破壞或繞過交易數(shù)據(jù)的安全保護(hù)措施；c)根據(jù)合同約定或數(shù)據(jù)交易場所要求，完成交易結(jié)算相關(guān)工作；d)依法配合監(jiān)管部門開展標(biāo)的交付和交易結(jié)算中的審核和核驗。5.24.2加分項加分項包括：a)對供方提供的數(shù)據(jù)交易標(biāo)的的安全性、合規(guī)性進(jìn)行審核；對數(shù)據(jù)交易標(biāo)的的符合性、有效性進(jìn)行驗證反饋；b)對數(shù)據(jù)交付平臺業(yè)務(wù)安全性、穩(wěn)定性、連續(xù)性進(jìn)行評估和反饋。5.2.5交易后期服務(wù)5.25.1基礎(chǔ)項基礎(chǔ)項包括：a)配合監(jiān)管部門和數(shù)據(jù)交易場所開展交易后的追溯和審計工作，接收重要數(shù)據(jù)的，留存交付時間、內(nèi)容、方式、規(guī)模等日志記錄時間不少于3年；b)按合同約定，保證數(shù)據(jù)交易標(biāo)的數(shù)據(jù)安全，防止數(shù)據(jù)泄露；c)在交易結(jié)束后，按合同約定清除相關(guān)數(shù)據(jù)的緩存，并對清除記錄及數(shù)據(jù)清除措施的有效性進(jìn)行檢查。5.3數(shù)據(jù)交易場所安全評估5.31數(shù)據(jù)交易場所安全評估指標(biāo)體系在數(shù)據(jù)交易過程中，對數(shù)據(jù)交易場所進(jìn)行安全評估建立可參考的指標(biāo)體系，加分項和權(quán)重范圍根據(jù)不同行業(yè)及應(yīng)用場景進(jìn)行調(diào)整。具體內(nèi)容如表3所示。表3數(shù)據(jù)交易場所安全評估指標(biāo)維度、評估方法及建議權(quán)重范圍評分方法及建議權(quán)重范圍評分說明基礎(chǔ)項評估：對各指標(biāo)維度進(jìn)行達(dá)標(biāo)與應(yīng)指標(biāo)維度安全要求不達(dá)標(biāo)。的情況下，開展指標(biāo)維度加分項評估。100%加總后得出評分結(jié)果。滿分為100評分，建議權(quán)重范圍數(shù)據(jù)交易平臺評分，建議權(quán)重范圍評分，建議權(quán)重范圍評分，建議權(quán)重范圍交易磋商締約評分，建議權(quán)重范圍7表3數(shù)據(jù)交易場所安全評估指標(biāo)維度、評估方法及建議權(quán)重范圍(續(xù))評分方法及建議權(quán)重范圍評分說明評分，建議權(quán)重范圍評分，建議權(quán)重范圍5.3.2數(shù)據(jù)交易場所主體基礎(chǔ)項包括：a)依法注冊的，經(jīng)政府部門批準(zhǔn)成立并有效存續(xù)，并具備我國行政主管部門的授權(quán)或許可進(jìn)行組織和管理數(shù)據(jù)交易活動的組織機(jī)構(gòu)；b)近一年內(nèi)無數(shù)據(jù)類違法違規(guī)記錄的合法組織機(jī)構(gòu)；c)建立明確的數(shù)據(jù)交易規(guī)則，明確定義包括數(shù)據(jù)交易標(biāo)的準(zhǔn)入及審核、交易主體準(zhǔn)入及審核、交易磋商締約規(guī)范、數(shù)據(jù)交易標(biāo)的交付規(guī)則、交易結(jié)算規(guī)則、交易后期服務(wù)及評價評級規(guī)則，對數(shù)據(jù)交易場所內(nèi)的數(shù)據(jù)交易活動進(jìn)行流程化的約束和管理，定期對數(shù)據(jù)交易規(guī)則進(jìn)行完善，并按照相應(yīng)制度規(guī)則，對交易主體、數(shù)據(jù)交易標(biāo)的進(jìn)行審核；d)制定交易活動準(zhǔn)則，防止和及時終止不符合交易規(guī)則約束的交易活動，并建立信息公示機(jī)制；e)建立內(nèi)部數(shù)據(jù)安全管理制度、信息安全巡檢制度、交易所信息報送和披露機(jī)制、應(yīng)用程序研發(fā)管理制度、應(yīng)用程序測試管理制度、數(shù)據(jù)處理環(huán)境操作規(guī)范、遠(yuǎn)程數(shù)據(jù)訪問控制及日志審計制度、應(yīng)用運(yùn)維流程規(guī)范及巡檢制度，定期對制度進(jìn)行完善并就落實情況進(jìn)行審核；f)如發(fā)現(xiàn)違反市場監(jiān)督管理、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、個人信息保護(hù)等有關(guān)規(guī)定的數(shù)據(jù)交易行為，依法采取必要的處置措施，保存有關(guān)記錄，按照相關(guān)法律法規(guī)和監(jiān)管要求向主管部門報告。加分項包括：a)建立數(shù)據(jù)交易合規(guī)巡檢機(jī)制，定期對交易主體、數(shù)據(jù)交易標(biāo)的的安全性、合規(guī)性進(jìn)行檢查；b)建立數(shù)據(jù)交易參與方的信用管理機(jī)制，對入駐各方服務(wù)內(nèi)容、質(zhì)量、交易行為等進(jìn)行評估；c)加強(qiáng)數(shù)據(jù)交易過程的透明度，確保所有交易活動都能夠追蹤和記錄，以便在出現(xiàn)問題時能夠快速定位和解決；d)完善數(shù)據(jù)交易異議處理機(jī)制，為交易雙方提供公正、高效的爭議解決途徑；e)推動建立行業(yè)標(biāo)準(zhǔn)和技術(shù)規(guī)范，引導(dǎo)數(shù)據(jù)交易市場健康有序發(fā)展；f)加強(qiáng)對數(shù)據(jù)交易市場的監(jiān)管科技應(yīng)用，利用大數(shù)據(jù)、區(qū)塊鏈等技術(shù)手段提升監(jiān)管效能和精準(zhǔn)5.3.3數(shù)據(jù)交易平臺5.3.3.1基礎(chǔ)項基礎(chǔ)項包括：a)在經(jīng)政府批準(zhǔn)依法設(shè)立的數(shù)據(jù)交易場所內(nèi)建設(shè)，且部署在中華人民共和國境內(nèi)；b)采用的密碼技術(shù)符合國家密碼管理相關(guān)要求；8DR1/T2350-2024c)宜符合GB/T22239中三級及以上網(wǎng)絡(luò)安全等級保護(hù)要求；d)建立安全風(fēng)險監(jiān)測機(jī)制，及時發(fā)現(xiàn)安全缺陷、漏洞等風(fēng)險，并采取補(bǔ)救措施；e)建立隱私保護(hù)機(jī)制，包括數(shù)據(jù)匿名化處理、用戶同意管理、數(shù)據(jù)訪問和披露控制；f)支持監(jiān)管部門訪問交易日志、數(shù)據(jù)存證、電子服務(wù)合同等審計資料，開展數(shù)據(jù)交易服務(wù)的安全審計工作；g)為數(shù)據(jù)供方、需方提供安全的上傳或下載接口，包括基于密碼技術(shù)的身份認(rèn)證、訪問控制；h)提供傳輸鏈路加密、傳輸數(shù)據(jù)保密性和完整性校驗等保護(hù)措施；i)提供安全穩(wěn)定的數(shù)據(jù)交付環(huán)境，并采取數(shù)據(jù)加密、訪問控制、數(shù)據(jù)防泄漏、水印溯源、安全審計等措施，防止交易過程中的數(shù)據(jù)泄露、篡改、破壞或非法獲取、非法交易、非法利j)數(shù)據(jù)交易日志記錄、存證宜符合GB/T37932相關(guān)要求，對每筆數(shù)據(jù)交易操作日志進(jìn)行記錄，生成數(shù)據(jù)交易日志，保證交易日志、數(shù)據(jù)存證、數(shù)據(jù)來源合法性等文件不可篡改和可追溯；k)應(yīng)用數(shù)據(jù)加密、身份認(rèn)證、訪問控制、網(wǎng)絡(luò)隔離、數(shù)據(jù)脫敏、數(shù)據(jù)備份和災(zāi)難恢復(fù)技術(shù)等，保障交易活動過程中產(chǎn)生的數(shù)據(jù)的安全性。加分項包括：a)具備在數(shù)據(jù)交付過程中提供安全隔離環(huán)境，支撐數(shù)據(jù)交易標(biāo)的的數(shù)據(jù)計算加工、算法模型的運(yùn)行，并具備隔離環(huán)境和過程數(shù)據(jù)的銷毀機(jī)制，以保障數(shù)據(jù)交付的可靠性。其中所涉算法模型的提供者落實主體責(zé)任，對算法、模型文件具備內(nèi)容審核、審核機(jī)制，以保障算法安全性、合規(guī)性；b)具備惡意代碼防護(hù)能力，能夠?qū)灰讛?shù)據(jù)含有的惡意代碼進(jìn)行檢測；c)對數(shù)據(jù)交易的參與方、數(shù)據(jù)交易標(biāo)的、交易環(huán)節(jié)設(shè)置人工干預(yù)功能，人工干預(yù)內(nèi)容宜包括交易參與方審核、交易數(shù)據(jù)和需求審核、交易暫停、交易撤銷、交易恢復(fù)；d)授予數(shù)據(jù)交易各參與方所需的最小必要權(quán)限，實現(xiàn)各參與方的權(quán)限分離；e)提供兩個或以上不同運(yùn)營商的互聯(lián)網(wǎng)鏈路出口；f)進(jìn)行數(shù)據(jù)的計算、交付和驗證，并根據(jù)合約的執(zhí)行履約情況對數(shù)據(jù)交易的過程進(jìn)行管控；g)支持簽訂電子服務(wù)合同，采取數(shù)字簽名等技術(shù)措施保證合約不被篡改；h)采取相應(yīng)技術(shù)手段，對安全審計的結(jié)果進(jìn)行保護(hù)；i)建立應(yīng)急響應(yīng)機(jī)制，規(guī)范應(yīng)急處置措施和操作流程，加強(qiáng)技術(shù)儲備，定期進(jìn)行預(yù)案演練。5.3.4交易過程5.3.4.1交易主體入駐5.3.4.1.1基礎(chǔ)項基礎(chǔ)項包括：a)提供賬戶注冊、修改、注銷等功能；b)按照相關(guān)制度要求審核數(shù)據(jù)交易參與方相應(yīng)資質(zhì)；c)對已注冊賬戶進(jìn)行信息和權(quán)限管理。5.3.4.1.2加分項加分項包括：9a)通過資料審核、身份鑒別等方式驗證第三方評估結(jié)論，對第三方提供報告的真實性和有效性進(jìn)行審核；b)根據(jù)數(shù)據(jù)供需雙方提供的材料，審核數(shù)據(jù)安全能力。5.3.4.2交易標(biāo)的登記5.3.4.2.1基礎(chǔ)項基礎(chǔ)項包括：a)審核申請上架的數(shù)據(jù)交易標(biāo)的相關(guān)材料，包括但不限于數(shù)據(jù)來源、數(shù)據(jù)授權(quán)、數(shù)據(jù)質(zhì)量、數(shù)據(jù)使用目的、數(shù)據(jù)使用范圍及相關(guān)證明材料；b)對于包含敏感數(shù)據(jù)的數(shù)據(jù)交易標(biāo)的，提供相應(yīng)的安全保障措施；c)具備數(shù)據(jù)交易標(biāo)的上架、下架、展示、信息修改等功能；d)根據(jù)相關(guān)法律法規(guī)制定禁止交易數(shù)據(jù)目錄。5.3.4.2.2加分項加分項包括：a)對上架數(shù)據(jù)交易標(biāo)的進(jìn)行識別，并生成唯一的編號；b)依據(jù)數(shù)據(jù)交易標(biāo)的分類分級、應(yīng)用場景等進(jìn)行權(quán)限管理和訪問控制。5.3.4.3交易磋商締約5.3.4.3.1基礎(chǔ)項審核交易需方的需求，確保數(shù)據(jù)使用目的合法、正當(dāng)和必要。5.3.4.3.2加分項加分項包括：a)提供在線交易磋商環(huán)境；b)具備交易磋商的暫停、撤銷、恢復(fù)能力；c)具備交易磋商爭議的投訴和處理能力；d)輔助供需雙方對數(shù)據(jù)交易標(biāo)的類型、質(zhì)量、用途、使用范圍、交付方式、使用期限、交易價格和保密條款等內(nèi)容進(jìn)行協(xié)商和約定；e)對磋商結(jié)果進(jìn)行登記，包括數(shù)據(jù)交易參與方、數(shù)據(jù)交易標(biāo)的描述、合約有效期、交易價格、交付質(zhì)量、交付方式、加工算法邏輯、使用范圍、使用對象和使用期限等內(nèi)容。5.3.4.4交易標(biāo)的交付和交易結(jié)算5.3.4.4.1基礎(chǔ)項基礎(chǔ)項包括：a)保證數(shù)據(jù)交易標(biāo)的交付過程的穩(wěn)定性、連續(xù)性；b)審核數(shù)據(jù)交易參與方按照合同約定完成交付、結(jié)算；c)提供安全交易環(huán)境，對數(shù)據(jù)交付過程中的加工、計算處理提供平臺能力支撐；d)對數(shù)據(jù)交易標(biāo)的交付過程進(jìn)行記錄，保證記錄信息不可篡改；e)具備交易結(jié)算功能，按照合同約定對交易參與方進(jìn)行相應(yīng)收益分配。5.3.4.4.2加分項加分項包括：a)根據(jù)交付要求，提供隱私保護(hù)計算、區(qū)塊鏈等技術(shù)支持；b)在數(shù)據(jù)傳輸鏈路上部署交易數(shù)據(jù)監(jiān)控工具，具有數(shù)據(jù)保護(hù)機(jī)制和數(shù)據(jù)泄漏檢測能力；c)采用數(shù)據(jù)加密技術(shù)對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行加密，防護(hù)針對網(wǎng)絡(luò)數(shù)據(jù)機(jī)密性的攻擊。5.3.4.5交易后期服務(wù)基礎(chǔ)項包括：a)數(shù)據(jù)交易各參與方確認(rèn)交易結(jié)束后，關(guān)閉數(shù)據(jù)訪問通道并清除相關(guān)緩存；b)對數(shù)據(jù)交易過程中交易記錄等證據(jù)材料進(jìn)行管理、記錄和歸檔；c)定期對數(shù)據(jù)交易行為進(jìn)行審計；d)未經(jīng)授權(quán)不私自留存及使用數(shù)據(jù)供方或需方的數(shù)據(jù)，法律法規(guī)另行要求的除外。5.3.4.5.2加分項加分項包括：a)提供投訴舉報渠道，審核數(shù)據(jù)交易各環(huán)節(jié)的數(shù)據(jù)泄露、濫用等情況；b)建立爭議解決機(jī)制，對服務(wù)中的爭議進(jìn)行協(xié)調(diào)處理；c)對數(shù)據(jù)交易過程中的重要活動、操作，單獨(dú)生成相應(yīng)的審計記錄。6評估流程6.1評估準(zhǔn)備開展數(shù)據(jù)交易安全評估前，宜明確評估目標(biāo)及評估對象、確定評估范圍、組建評估團(tuán)隊、制定工作計劃并制定評估方案。評估步驟如下：