1 范圍

      本標準規定了通過數據交易服務機構進行數據交易服務的安全要求，包括數據交易參與方、交易對象和交易過程的安全要求。

      本標準適用于數據交易服務機構進行安全自評估，也可供第三方測評機構對數據交易服務機構進行安全評估時參考。

2 規范性引用文件

      下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 22239-2019 信息安全技術 網絡安全等級保護基本要求

      GB/T 25069-2010 信息安全技術 術語

      GB/T 35273-2017 信息安全技術 個人信息安全規范

      GB/T 35274-2017 信息安全技術 大數據服務安全能力要求

      GB/T 36343-2018 信息技術 數據交易服務平臺 交易數據描述

      GB/T 37988-2019 信息安全技術 數據安全能力成熟度模型

3 術語和定義

      GB/T 25069-2010和GB/T 36343-2018界定的以及下列術語和定義適用于本文件。

3.1

      數據交易 data transaction

      數據供方和需方之間以數據商品作為交易對象，進行的以貨幣或貨幣等價物交換數據商品的行為。

      注1：數據商品包括用于交易的原始數據或加工處理后的數據衍生產品。

      注2：數據交易包括以大數據或其衍生品作為數據商品的數據交易，也包括以傳統數據或其衍生品作為數據商品的數據交易。

3.2

      數據供方 data supplier

      數據交易中提供數據的組織機構。

3.3

      數據需方 data acquirer

      數據交易中購買和使用數據的組織機構。

3.4

      數據交易服務 data transaction service

      幫助數據供方和需方完成數據交易的活動。

3.5

      數據交易服務機構 data transaction service provider

      為數據供需雙方提供數據交易服務的組織機構。

3.6

      數據交易服務平臺 data transaction service platform

      為數據交易提供各項服務的信息化平臺。

3.7

      在線數據交付 online data delivery

      數據供方通過網絡向數據需方交付數據的模式。

3.8

      離線數據交付 offline data delivery

      數據供需雙方在達成數據交易協議后，由數據供方通過離線方式將數據從供方提供給需方的交付模式。

3.9

      托管數據交易 custodian data delivery

      數據供需雙方在達成數據交易協議后，由供方將數據拷貝到數據交易服務機構指定的數據托管服務平臺，需方在數據托管服務平臺內使用數據，數據不發生轉移的交付模式。

3.10

      數據交易過程 data exchanging process

      數據供需雙方依托數據交易服務平臺針對具體的數據交易對象，進行的一次完整和具體的數據交易行為。

      注：數據交易過程一般分為交易申請、交易磋商、交易實施和交易結束等環節。

3.11

      重要數據 important data

      我國機構和個人在境內收集、產生的不涉及國家秘密，但與國家安全、經濟發展以及公共利益密切相關的數據。

      注：重要數據通常指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域的各類機構在開展業務活動中收集和產生的，不涉及國家秘密，但一旦泄露、篡改或濫用將會對國家安全、經濟發展和社會公共利益造成不利影響的數據（包括原始數據和衍生數據）。

      ［GB/T 35274-2017，定義3.13］

4 安全概述

4.1 參考框架

      數據交易是供需雙方對原始數據或加工處理后的數據依照交易過程進行的活動。通過數據交易服務機構進行的數據交易服務參考框架如圖1所示。數據交易涉及數據供方、數據需方和數據交易服務機構。數據交易服務機構依托數據交易服務平臺，為數據供需雙方提供數據交易服務。從數據交易服務機構角度出發，數據交易過程一般包括交易申請、交易磋商、交易實施和交易結束四個環節。常見的數據交付模式包括在線模式、離線模式和托管模式。

圖1 數據交易服務參考框架

4.2 數據交易安全原則

      數據交易應遵循以下原則：

      a）合法合規原則：數據交易應遵守我國關于數據安全管理的相關法律法規，尊重社會公德，不得損害國家利益、社會公共利益和他人合法權益。

      b）主體責任共擔原則：數據供需雙方及數據交易服務機構對數據交易后果負責，共同確保數據交易的安全。

      c）數據安全防護原則：數據交易服務機構應采取數據安全保護、檢測和響應等措施，防止數據丟失、損毀、泄露和篡改，確保數據安全。

      d) 個人信息保護原則：數據供需雙方和數據交易服務機構應采取個人信息安全保護技術和管理措施，避免個人信息的非法收集、非法獲取、非法出售、濫用、泄露等安全風險，切實保護個人權益。

      e）交易過程可控原則：應確保數據交易參與方的真實可信、交易對象合法、數據交付過程可控和交易的非否認性，做到安全事件可追溯、安全風險可防范。

5 數據交易參與方安全要求

5.1 數據供方安全要求

      數據交易服務機構應確保數據供方滿足以下要求：

      a）為一年內無重大數據類違法違規記錄的合法組織機構。

      b）完成在數據交易服務機構的注冊，并經數據交易服務機構審核通過，才允許參與數據交易業務。

      c）數據供方應證明其具備向數據需方安全交付數據的能力。

      d）向數據交易服務機構提供書面的安全承諾，內容包括但不限于：交易數據來源合法性證明材料、交易數據滿足法律法規和政策要求、對交易數據質量評估說明、遵守數據交易安全原則、愿意接受數據交易服務機構安全監督、愿意對數據流通后果負責等。

      e）遵守數據交易服務機構的安全管理制度和流程。

5.2 數據需方安全要求

      數據交易服務機構應確保數據需方滿足以下要求：

以上為標準部分內容，如需看標準全文，請到相關授權網站購買標準正版。