1 范圍

      本標準規(guī)定了通過數(shù)據交易服務機構進行數(shù)據交易服務的安全要求，包括數(shù)據交易參與方、交易對象和交易過程的安全要求。

      本標準適用于數(shù)據交易服務機構進行安全自評估，也可供第三方測評機構對數(shù)據交易服務機構進行安全評估時參考。

2 規(guī)范性引用文件

      下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 22239-2019 信息安全技術 網絡安全等級保護基本要求

      GB/T 25069-2010 信息安全技術 術語

      GB/T 35273-2017 信息安全技術 個人信息安全規(guī)范

      GB/T 35274-2017 信息安全技術 大數(shù)據服務安全能力要求

      GB/T 36343-2018 信息技術 數(shù)據交易服務平臺 交易數(shù)據描述

      GB/T 37988-2019 信息安全技術 數(shù)據安全能力成熟度模型

3 術語和定義

      GB/T 25069-2010和GB/T 36343-2018界定的以及下列術語和定義適用于本文件。

3.1

      數(shù)據交易 data transaction

      數(shù)據供方和需方之間以數(shù)據商品作為交易對象，進行的以貨幣或貨幣等價物交換數(shù)據商品的行為。

      注1：數(shù)據商品包括用于交易的原始數(shù)據或加工處理后的數(shù)據衍生產品。

      注2：數(shù)據交易包括以大數(shù)據或其衍生品作為數(shù)據商品的數(shù)據交易，也包括以傳統(tǒng)數(shù)據或其衍生品作為數(shù)據商品的數(shù)據交易。

3.2

      數(shù)據供方 data supplier

      數(shù)據交易中提供數(shù)據的組織機構。

3.3

      數(shù)據需方 data acquirer

      數(shù)據交易中購買和使用數(shù)據的組織機構。

3.4

      數(shù)據交易服務 data transaction service

      幫助數(shù)據供方和需方完成數(shù)據交易的活動。

3.5

      數(shù)據交易服務機構 data transaction service provider

      為數(shù)據供需雙方提供數(shù)據交易服務的組織機構。

3.6

      數(shù)據交易服務平臺 data transaction service platform

      為數(shù)據交易提供各項服務的信息化平臺。

3.7

      在線數(shù)據交付 online data delivery

      數(shù)據供方通過網絡向數(shù)據需方交付數(shù)據的模式。

3.8

      離線數(shù)據交付 offline data delivery

      數(shù)據供需雙方在達成數(shù)據交易協(xié)議后，由數(shù)據供方通過離線方式將數(shù)據從供方提供給需方的交付模式。

3.9

      托管數(shù)據交易 custodian data delivery

      數(shù)據供需雙方在達成數(shù)據交易協(xié)議后，由供方將數(shù)據拷貝到數(shù)據交易服務機構指定的數(shù)據托管服務平臺，需方在數(shù)據托管服務平臺內使用數(shù)據，數(shù)據不發(fā)生轉移的交付模式。

3.10

      數(shù)據交易過程 data exchanging process

      數(shù)據供需雙方依托數(shù)據交易服務平臺針對具體的數(shù)據交易對象，進行的一次完整和具體的數(shù)據交易行為。

      注：數(shù)據交易過程一般分為交易申請、交易磋商、交易實施和交易結束等環(huán)節(jié)。

3.11

      重要數(shù)據 important data

      我國機構和個人在境內收集、產生的不涉及國家秘密，但與國家安全、經濟發(fā)展以及公共利益密切相關的數(shù)據。

      注：重要數(shù)據通常指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業(yè)和領域的各類機構在開展業(yè)務活動中收集和產生的，不涉及國家秘密，但一旦泄露、篡改或濫用將會對國家安全、經濟發(fā)展和社會公共利益造成不利影響的數(shù)據（包括原始數(shù)據和衍生數(shù)據）。

      ［GB/T 35274-2017，定義3.13］

4 安全概述

4.1 參考框架

      數(shù)據交易是供需雙方對原始數(shù)據或加工處理后的數(shù)據依照交易過程進行的活動。通過數(shù)據交易服務機構進行的數(shù)據交易服務參考框架如圖1所示。數(shù)據交易涉及數(shù)據供方、數(shù)據需方和數(shù)據交易服務機構。數(shù)據交易服務機構依托數(shù)據交易服務平臺，為數(shù)據供需雙方提供數(shù)據交易服務。從數(shù)據交易服務機構角度出發(fā)，數(shù)據交易過程一般包括交易申請、交易磋商、交易實施和交易結束四個環(huán)節(jié)。常見的數(shù)據交付模式包括在線模式、離線模式和托管模式。

圖1 數(shù)據交易服務參考框架

4.2 數(shù)據交易安全原則

      數(shù)據交易應遵循以下原則：

      a）合法合規(guī)原則：數(shù)據交易應遵守我國關于數(shù)據安全管理的相關法律法規(guī)，尊重社會公德，不得損害國家利益、社會公共利益和他人合法權益。

      b）主體責任共擔原則：數(shù)據供需雙方及數(shù)據交易服務機構對數(shù)據交易后果負責，共同確保數(shù)據交易的安全。

      c）數(shù)據安全防護原則：數(shù)據交易服務機構應采取數(shù)據安全保護、檢測和響應等措施，防止數(shù)據丟失、損毀、泄露和篡改，確保數(shù)據安全。

      d) 個人信息保護原則：數(shù)據供需雙方和數(shù)據交易服務機構應采取個人信息安全保護技術和管理措施，避免個人信息的非法收集、非法獲取、非法出售、濫用、泄露等安全風險，切實保護個人權益。

      e）交易過程可控原則：應確保數(shù)據交易參與方的真實可信、交易對象合法、數(shù)據交付過程可控和交易的非否認性，做到安全事件可追溯、安全風險可防范。

5 數(shù)據交易參與方安全要求

5.1 數(shù)據供方安全要求

      數(shù)據交易服務機構應確保數(shù)據供方滿足以下要求：

      a）為一年內無重大數(shù)據類違法違規(guī)記錄的合法組織機構。

      b）完成在數(shù)據交易服務機構的注冊，并經數(shù)據交易服務機構審核通過，才允許參與數(shù)據交易業(yè)務。

      c）數(shù)據供方應證明其具備向數(shù)據需方安全交付數(shù)據的能力。

      d）向數(shù)據交易服務機構提供書面的安全承諾，內容包括但不限于：交易數(shù)據來源合法性證明材料、交易數(shù)據滿足法律法規(guī)和政策要求、對交易數(shù)據質量評估說明、遵守數(shù)據交易安全原則、愿意接受數(shù)據交易服務機構安全監(jiān)督、愿意對數(shù)據流通后果負責等。

      e）遵守數(shù)據交易服務機構的安全管理制度和流程。

5.2 數(shù)據需方安全要求

      數(shù)據交易服務機構應確保數(shù)據需方滿足以下要求：

以上為標準部分內容，如需看標準全文，請到相關授權網站購買標準正版。