2022信息安全技术 数据交易服务安全要求.docx

信息安全技术 数据交易服务安全要求目  次前言 3引言 41 范围 52 规范性引用文件 53 术语和定义 54 安全概述 64.1 参考框架 64.2 数据交易安全原则 75 数据交易参与方安全要求 75.1 数据供方安全要求 75.2 数据需方安全要求 75.3 数据交易服务机构安全要求 86 交易对象安全 106.1 禁止交易数据 106.2 数据质量要求 106.3 个人信息安全保护 106.4 重要数据安全保护 107 数据交易过程安全 107.1 交易申请 107.2 交易磋商 117.3 交易实施 117.4 交易结束 112信息安全技术 数据交易服务安全要求1 范围本标准规定了通过数据交易服务机构进行数据交易服务的安全要求，包括数据交易参与方、交易对 象和交易过程的安全要求本标准适用于数据交易服务机构进行安全自评估，也可供第三方测评机构对数据交易服务机构进行 安全评估时参考2 规范性引用文件下列文件对于本文件的应用是必不可少的凡是注日期的引用文件，仅注日期的版本适用于本文件 凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件GB/T 22239 信息安全技术 网络安全等级保护基本要求GB/T 25069-2010 信息安全技术 术语GB/T 35273-2017 信息安全技术 个人信息安全规范GB/T 35274-2017 信息安全技术 大数据服务安全能力要求GB/T AAAAA 信息技术 数据交易服务平台 交易数据描述GB/T BBBBB 信息安全技术 数据安全能力成熟度模型3 术语和定义GB/T 25069-2010和GB/T AAAAA所确立的以及下列术语和定义适用于本文件。

3.1数据交易 data transaction数据供方和需方之间以数据商品作为交易对象，进行的以货币或货币等价物交换数据商品的行为注 1：数据商品包括用于交易的原始数据或加工处理后的数据衍生产品注 2：数据交易包括以大数据或其衍生品作为数据商品的数据交易，也包括以传统数据或其衍生品作为数据商品的数据交易3.2数据供方 data supplier数据交易中提供数据的组织机构3.3数据需方 data acquirer数据交易中购买和使用数据的组织机构3.4数据交易服务 data transaction service帮助数据供方和需方完成数据交易的活动5113.53.63.73.8式3.9数据交易服务机构 data transaction service provider为数据供需双方提供数据交易服务的组织机构数据交易服务平台 data transaction service platform为数据交易提供各项服务的信息化平台数据交付 online data delivery数据供方通过网络向数据需方交付数据的模式离线数据交付 offline data delivery数据供需双方在达成数据交易协议后，由数据供方通过离线方式将数据从供方提供给需方的交付模托管数据交易 custodian data delivery数据供需双方在达成数据交易协议后，由供方将数据拷贝到数据交易服务机构指定的数据托管服务平台，需方在数据托管服务平台内使用数据，数据不发生转移的交付模式。

3.10数据交易过程 data exchanging process数据供需双方依托数据交易服务平台针对具体的数据交易对象，进行的一次完整和具体的数据交易 行为注：数据交易过程一般分为交易申请、交易磋商、交易实施和交易结束等环节3.11重要数据 important data我国机构和个人在境内收集、产生的不涉及国家秘密，但与国家安全、经济发展以及公共利益密切 相关的数据注：重要数据通常指公共通信和信息服务、能源、 交通、水利、金融、公共服务、电子政务等重要行业和领域的各类机构在开展业务活动中收集和产生的，不涉及国家秘密，但一旦泄露、篡改或滥用将会对国家安全、经济发展和社会公共利益造成不利影响的数据（包括原始数据和衍生数据）[GB/T 35274-2017 3.13]4 安全概述4.1 参考框架数据交易是供需双方对原始数据或加工处理后的数据依照交易过程进行的活动通过数据交易服务机构进行的数据交易服务参考框架如图1所示数据交易涉及到数据供方、数据需方和数据交易服务机构数据交易服务机构依托数据交易服务平台，为数据供需双方提供数据交易服务从数据交易服务 机构角度出发，数据交易过程一般包括交易申请、交易磋商、交易实施和交易结束四个环节。

常见的数 据交付模式包括模式、离线模式和托管模式图1 数据交易服务参考框架4.2 数据交易安全原则a) 合法合规原则：数据交易应遵守我国关于数据安全管理的相关法律法规，尊重社会公德，不得 损害国家利益、社会公共利益和他人合法权益；b) 主体责任共担原则：数据供需双方及数据交易服务机构对数据交易后果负责，共同确保数据交 易的安全；c) 数据安全防护原则：数据交易服务机构应采取数据安全保护、检测和响应等措施，防止数据丢 失、损毁、泄露和篡改，确保数据安全；d) 个人信息保护原则：数据供需双方和数据交易服务机构应采取个人信息安全保护技术和管理措 施，避免个人信息的非法收集、非法获取、非法出售、滥用、泄漏等安全风险，切实保护个人权益；e) 交易过程可控原则：应确保数据交易参与方的真实可信、交易对象合法、数据交付过程可控和 交易的非否认性，做到安全事件可追溯、安全风险可防范5 数据交易参与方安全要求5.1 数据供方安全要求数据交易服务机构应确保数据供方满足以下要求：a) 为 1 年内无重大数据类违法违规记录的合法组织机构；b) 完成在数据交易服务机构的注册，并经数据交易服务机构审核通过，才允许参与数据交易业务；c) 数据供方应证明其具备向数据需方安全交付数据的能力；d) 向数据交易服务机构提供书面的安全承诺，内容包括但不限于：交易数据来源合法性证明材料、 交易数据满足法律法规和政策要求、对交易数据质量评估说明、遵守数据交易安全原则、愿意接受数据交易服务机构安全监督、愿意对数据流通后果负责等；e) 遵守数据交易服务机构的安全管理制度和流程。

5.2 数据需方安全要求数据交易服务机构应确保数据需方满足以下要求：a) 为 1 年内无重大数据类违法违规记录的合法组织机构；b) 完成在数据交易服务机构的注册，并经数据交易服务机构审核通过，才允许参与数据交易业务；c) 证明具备对交易数据实施安全保护的能力；d) 提供书面的数据交易和使用安全承诺，内容包括但不限于：满足法律法规和政策要求、遵守数 据交易安全原则、愿意接受数据交易服务机构安全监督、遵守与数据供方约定的数据安全要求、对所持有数据提供充分的安全保护、未经明确授权不公开或转交数据给第三方等；e) 按照供需双方约定的使用目的、范围、方式和期限使用数据，禁止进行个人信息的重新识别；f) 在按照数据交易约定方式完成数据使用后，应及时销毁交易数据；g) 遵守数据交易服务机构的安全管理制度和流程5.3 数据交易服务机构安全要求5.3.1 基本要求数据交易服务机构应满足以下基本要求：a) 得到我国行政或主管部门的授权或许可；b) 为 1 年内无重大数据类违法违规记录的境内合法组织机构；c) 具备承担数据交易服务相对应的安全保障能力；d) 将从事境内数据交易服务的数据交易服务平台部署在我国境内；e) 对数据供方提供的数据来源合法性证明材料声明进行审核；f) 对数据违规使用行为进行监测；g) 制定并执行交易违规处罚规则；h) 未经授权不擅自使用数据供方或需方的数据或数据衍生品；i) 至少满足 GB/T BBBBB 的三级要求。

5.3.2 组织安全管理要求5.3.2.1 安全管理制度和规程数据交易服务机构应满足以下要求:a) 制定数据交易服务安全管理策略，说明数据交易安全总体目标、范围、原则和安全框架等；b) 建立数据交易服务安全管理制度，包括但不限于：交易参与方安全管理制度、数据安全管理制 度、个人信息安全保护制度等；c) 为数据交易管理人员或操作人员执行的管理或业务操作建立操作规程；d) 定期对数据交易服务安全管理策略、制度和规程进行评审，并及时进行更新；e) 建立和执行针对数据供方和需方的安全管理制度和流程；f) 建立供需方的信用管理机制5.3.2.2 安全相关组织机构和人员数据交易服务机构应满足以下要求:a) 建立数据交易安全领导小组，由机构最高管理者或授权代表担任组长；b) 建立数据交易安全管理职能部门，设立安全管理负责人岗位，明确安全责任；c) 设立数据交易安全管理员、个人信息安全管理员等岗位，定义各个岗位的安全职责,并配备一 定数量的岗位人员；d) 对数据交易重要岗位人员进行安全审查和技术考核,确保无违法违规记录；e) 与数据交易重要岗位人员签署安全保密协议，与重要岗位人员签署岗位责任协议；f) 对数据交易各类岗位人员制定和实施培训计划，培训内容包括安全意识、专项技能等，具备与 岗位要求相适应的安全管理知识和专业技术水平；g) 对第三方人员进行安全管理，对于可能接触交易数据的第三方人员，签署安全保密协议。

5.3.3 数据交易服务平台安全要求5.3.3.1 基本要求数据交易服务平台应满足以下要求：a) 符合 GB/T 22239-XXXX 中第 3 级的相关安全要求；b) 提供对数据泄露进行处置的紧急预案；c) 采用的密码技术遵循相关国家标准和行业标准5.3.3.2 扩展要求5.3.3.2.1 交易数据安全保护数据交易服务平台应满足以下要求：a) 分别为数据供方、需方提供安全的上传或下载接口，强身份认证机制，传输链路加密等保护措 施，确保数据传输的安全；b) 对交易数据实施加密存储、访问控制等安全措施，防止数据泄露或非法使用；c) 实现数据源和数据操作的可追溯性，以及交易的非否认性；d) 在托管数据交付模式下，为数据需方提供隔离安全环境，对数据需方在数据使用环境中运行的 相关程序和产生的数据结果进行审核；e) 在托管数据交付模式下，对交易数据进行安全存储和备份，确保数据的保密性、完整性和可用 性；f) 当数据供方撤销托管数据时，清除剩余信息，并且不可恢复5.3.3.2.2 交易过程安全控制数据交易服务平台应满足以下要求：a) 允许对数据交易的参与方、对象、关键过程设置人工干涉功能；b) 人工干涉的内容中至少应包括：交易参与方审核、交易审核、交易暂停、交易撤销、交易恢复；c) 处理数据供方或数据需方的仲裁要求，并要求被诉方提供应对证据。

5.3.3.2.3 数据交易安全审计数据交易服务平台应满足以下要求：a) 对每笔数据交易操作进行记录，生成数据交易日志；b) 数据交易日志至少包括以下信息：。