2024-12-25發(fā)布2025-041北京市市場(chǎng)監(jiān)督管理局發(fā)布I 12規(guī)范性引用文件 13術(shù)語(yǔ)和定義 14評(píng)估范圍 15評(píng)估內(nèi)容及指標(biāo)體系 26評(píng)估流程 7報(bào)告編寫及結(jié)果應(yīng)用 參考文獻(xiàn) 本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》規(guī)定起本文件由北京市經(jīng)濟(jì)和信息化局提出。本文件由北京市經(jīng)濟(jì)和信息化局、北京市政務(wù)服務(wù)和數(shù)據(jù)管理局歸口并組織實(shí)施。本文件起草單位：北京國(guó)際大數(shù)據(jù)交易所、北京大學(xué)大數(shù)據(jù)分析與應(yīng)用技術(shù)國(guó)家工程實(shí)驗(yàn)室、上海蜜度信息技術(shù)有限公司、國(guó)網(wǎng)北京海淀供電公司、拉卡拉支付股份有限公司、北京市金杜律師事務(wù)所、北京市科學(xué)技術(shù)研究院、湖南大學(xué)、杭州安恒信息技術(shù)股份有限公司、工業(yè)和信息化部電子第五研究所、華控清交信息科技(北京)有限公司、京東科技信息技術(shù)有限公司、中國(guó)移動(dòng)通信集團(tuán)有限公司、中國(guó)移動(dòng)通信有限公司研究院、北京訊騰智慧科技股份有限公司、容誠(chéng)咨詢(北京)有限公司、北京市農(nóng)業(yè)投資有限公司、北京航空航天大學(xué)、北京國(guó)網(wǎng)信通埃森哲信息技術(shù)有限公司本文件主要起草人：李振軍、盛晶、王娟、梁星、張頭、姜冰、宋潔、吳涵、李皖金、張彥軍、李巍、王吾冰、穆帥先、楊祖艷、宗丹辰、邱鍇、劉京川、蔡國(guó)慶、梁肖、韓培科、王理、張瑜、楊嵐、莫雄劍、潘沖、焦承林、譚伊舒、趙瑩、高尚滔、胡月、盧怡賢、戴薇、趙海威1數(shù)據(jù)交易安全評(píng)估指南本文件給出了數(shù)據(jù)交易安全評(píng)估范圍、評(píng)估內(nèi)容及指標(biāo)體系、評(píng)估流程、報(bào)告編寫及結(jié)果應(yīng)用等內(nèi)容。本文件適用于指導(dǎo)數(shù)據(jù)交易參與方、第三方評(píng)估機(jī)構(gòu)等主體開展數(shù)據(jù)交易安全評(píng)估。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本GB/T22239信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求GB/T36073數(shù)據(jù)管理能力成熟度評(píng)估模型GB/T37932信息安全技術(shù)數(shù)據(jù)交易服務(wù)安全要求GB/T37988信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型DB11/T2348數(shù)據(jù)交易通用指南3術(shù)語(yǔ)和定義DB11/T2348界定的以及下列的術(shù)語(yǔ)和定義適用于本文件。數(shù)據(jù)交易安全securityofttatransaction在數(shù)據(jù)交易過程中，數(shù)據(jù)交易供方、需方和數(shù)據(jù)交易場(chǎng)所通過采取必要措施，確保數(shù)據(jù)交易處于有效保護(hù)、合法、安全的狀態(tài)。4評(píng)估范圍從基礎(chǔ)項(xiàng)和加分項(xiàng)兩個(gè)維度，圍繞數(shù)據(jù)交易流程為數(shù)據(jù)交易雙方、數(shù)據(jù)交易場(chǎng)所提供數(shù)據(jù)交易安全評(píng)估范圍，引導(dǎo)規(guī)范數(shù)據(jù)交易行為，為數(shù)據(jù)交易安全流通提供指引。其中，滿足基礎(chǔ)項(xiàng)是進(jìn)行加分項(xiàng)評(píng)估的前提，滿足全部基礎(chǔ)項(xiàng)對(duì)數(shù)據(jù)交易雙方及數(shù)據(jù)交易場(chǎng)所是十分必要的，加分項(xiàng)作為評(píng)估可選內(nèi)容，為提升安全能力提供參考。數(shù)據(jù)交易安全評(píng)估范圍如圖1所示。2IR1/T2350數(shù)據(jù)交易安全評(píng)估范圍數(shù)據(jù)供方數(shù)據(jù)供方交易主體交易標(biāo)的交易送商絡(luò)約交易標(biāo)的交付和交易結(jié)算交易后期服務(wù)交易后期服務(wù)數(shù)據(jù)交易安全評(píng)估維度基礎(chǔ)項(xiàng)加分項(xiàng)數(shù)據(jù)交易場(chǎng)所數(shù)據(jù)交易平臺(tái)交易主體入駐交易標(biāo)的登記交易磋商締約交易標(biāo)的交付和交易結(jié)算數(shù)據(jù)需方交易主體交易磋商締約交易標(biāo)的交付和交易結(jié)算交易后期服務(wù)圖1數(shù)據(jù)交易安全評(píng)估范圍5評(píng)估內(nèi)容及指標(biāo)體系5.1數(shù)據(jù)供方安全評(píng)估5.1.1數(shù)據(jù)供方安全評(píng)估指標(biāo)體系在數(shù)據(jù)交易過程中，對(duì)數(shù)據(jù)供方進(jìn)行安全評(píng)估建立可參考的指標(biāo)體系，加分項(xiàng)和權(quán)重范圍根據(jù)不同行業(yè)及應(yīng)用場(chǎng)景進(jìn)行調(diào)整。具體內(nèi)容如表1所示。表1數(shù)據(jù)供方安全評(píng)估指標(biāo)體系表指標(biāo)分值及建議權(quán)重范圍評(píng)分說明標(biāo)與不達(dá)標(biāo)判斷，如其中某項(xiàng)指標(biāo)維度基礎(chǔ)項(xiàng)不滿足要求，則加分項(xiàng)評(píng)估無效，對(duì)應(yīng)指標(biāo)維度安全要求不達(dá)標(biāo)。要求的情況下，開展指標(biāo)維度加分項(xiàng)評(píng)估。指標(biāo)維度加分項(xiàng)權(quán)重可結(jié)合具體行業(yè)情況及數(shù)據(jù)交易應(yīng)用場(chǎng)景，參考本標(biāo)準(zhǔn)建議權(quán)重范圍進(jìn)行評(píng)估打分，權(quán)重加總為100%加總交易標(biāo)的交易磋商締約評(píng)分0~100分，建議權(quán)重范圍易結(jié)算3基礎(chǔ)項(xiàng)包括：a)依法成立并有效存續(xù)的法人、非法人組織機(jī)構(gòu)，或具備相應(yīng)民事行為能力的自然人；b)在一年內(nèi)不存在數(shù)據(jù)類違法違規(guī)記錄，未發(fā)生過數(shù)據(jù)泄露等安全事件；c)在五年內(nèi)未因違反網(wǎng)絡(luò)安全法律法規(guī)受到治安管理處罰和刑事處罰；d)場(chǎng)內(nèi)交易前，依程序完成注冊(cè)、認(rèn)證并通過審核。加分項(xiàng)包括：a)具備數(shù)據(jù)安全技術(shù)能力和安全管理制度，如敏感數(shù)據(jù)識(shí)別、數(shù)據(jù)分類分級(jí)、數(shù)據(jù)脫敏、數(shù)據(jù)加密、數(shù)據(jù)備份和恢復(fù)、數(shù)據(jù)防泄漏、數(shù)據(jù)安全監(jiān)測(cè)與預(yù)警、數(shù)據(jù)安全監(jiān)督檢查等；b)具備關(guān)于主體數(shù)據(jù)安全能力的資質(zhì)證明類文件，如取得GB/T36073、GB/T37988相關(guān)數(shù)據(jù)管理能力成熟度評(píng)估模型和數(shù)據(jù)安全能力成熟度模型認(rèn)證等；c)交易標(biāo)的涉及重要數(shù)據(jù)的，處理數(shù)據(jù)的信息系統(tǒng)宜符合GB/T22239中三級(jí)及以上網(wǎng)絡(luò)安全等級(jí)保護(hù)要求，宜具備對(duì)接收方的數(shù)據(jù)共享、調(diào)用情況的監(jiān)測(cè)措施，相關(guān)日志留存時(shí)間不少于3年；d)交易標(biāo)的涉及一般數(shù)據(jù)的，宜具備符合GB/T22239中三級(jí)網(wǎng)絡(luò)安全等級(jí)保護(hù)的安全能力。基礎(chǔ)項(xiàng)包括：a)交易標(biāo)的涉及重要數(shù)據(jù)的，依法履行登記、審批等相應(yīng)規(guī)定，出具上一年度數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估報(bào)告；b)具有明確的概要描述、產(chǎn)品形態(tài)、應(yīng)用場(chǎng)景、使用范圍、服務(wù)方式和使用期限；c)具有數(shù)據(jù)來源權(quán)屬合法合規(guī)的報(bào)告或相關(guān)真實(shí)有效的證明材料；d)涉及個(gè)人信息的宜取得授權(quán)或進(jìn)行匿名化處理；對(duì)于無法滿足前述條件的，進(jìn)行去標(biāo)識(shí)化處理，達(dá)到在不借助額外信息的情況下無法識(shí)別特定自然人的要求；e)真實(shí)、準(zhǔn)確、完整披露數(shù)據(jù)交易標(biāo)的信息，不隱瞞數(shù)據(jù)來源及涉及的敏感數(shù)據(jù)；f)場(chǎng)內(nèi)交易前，依程序提供數(shù)據(jù)交易標(biāo)的登記上架相關(guān)材料以供審核。加分項(xiàng)包括：a)提供數(shù)據(jù)質(zhì)量、數(shù)據(jù)合規(guī)、數(shù)據(jù)安全等第三方專業(yè)機(jī)構(gòu)出具的報(bào)告；b)根據(jù)數(shù)據(jù)交易需方要求，提供數(shù)據(jù)交易標(biāo)的樣本數(shù)據(jù)。基礎(chǔ)項(xiàng)包括：a)不以欺詐、誘騙、誤導(dǎo)、脅迫、賄賂等違法違規(guī)方式交易數(shù)據(jù)；b)明確數(shù)據(jù)交易標(biāo)的質(zhì)量、數(shù)量、價(jià)格、使用期限等；4IR1/T2350c)如存在數(shù)據(jù)交易標(biāo)的使用場(chǎng)景限制，在合同中明確數(shù)據(jù)交易標(biāo)的使用或流通的目的、方式和范圍，法律法規(guī)另有規(guī)定的除外；d)如涉及數(shù)據(jù)加工服務(wù)的，在合同中明確加工后的數(shù)據(jù)交易標(biāo)的相關(guān)權(quán)屬。a)根據(jù)數(shù)據(jù)需方要求，給出數(shù)據(jù)需方關(guān)注的產(chǎn)品解答并進(jìn)行一定的產(chǎn)品優(yōu)化適配；b)如提供測(cè)試數(shù)據(jù)，支持?jǐn)?shù)據(jù)需方進(jìn)行數(shù)據(jù)交易前驗(yàn)證，提供安全可控測(cè)試環(huán)境，保證測(cè)試數(shù)據(jù)真實(shí)、有效。5.1.5交易標(biāo)的交付和交易結(jié)算5.1.5.1基礎(chǔ)項(xiàng)基礎(chǔ)項(xiàng)包括：a)根據(jù)合同約定，按時(shí)、保質(zhì)提供數(shù)據(jù)交易標(biāo)的，供數(shù)據(jù)需方進(jìn)行數(shù)據(jù)使用；b)采取必要措施，確保所交付的數(shù)據(jù)交易標(biāo)的安全、合法、有效，并持續(xù)履行所交付數(shù)據(jù)交易標(biāo)的相關(guān)法定義務(wù)；c)配合監(jiān)管部門和數(shù)據(jù)交易場(chǎng)所開展數(shù)據(jù)交易標(biāo)的交付和交易結(jié)算過程中的履約監(jiān)管和交易結(jié)算核驗(yàn)；d)根據(jù)合同約定或數(shù)據(jù)交易場(chǎng)所要求，完成交易結(jié)算相關(guān)工作。5.1.5.2加分項(xiàng)加分項(xiàng)包括：a)在實(shí)施過程保障數(shù)據(jù)需方的使用順暢，能夠提供多種安全的數(shù)據(jù)開發(fā)和計(jì)算環(huán)境，滿足數(shù)據(jù)需方的差異化使用需求；b)保證數(shù)據(jù)交易標(biāo)的供給的穩(wěn)定性和連續(xù)性，中途遇到不穩(wěn)定、中斷等情形，及時(shí)進(jìn)行解決。5.1.6交易后期服務(wù)5.1.6.1基礎(chǔ)項(xiàng)基礎(chǔ)項(xiàng)包括：a)根據(jù)合同約定，結(jié)束數(shù)據(jù)交易標(biāo)的供給；b)配合監(jiān)管部門、數(shù)據(jù)交易場(chǎng)所等開展交易后的追溯和審計(jì)工作。5.1.6.2加分項(xiàng)具備完善的交易售后服務(wù)體系和臺(tái)賬式管理。5.2數(shù)據(jù)需方安全評(píng)估5.21數(shù)據(jù)需方安全評(píng)估指標(biāo)體系在數(shù)據(jù)交易過程中，對(duì)數(shù)據(jù)需方進(jìn)行安全評(píng)估建立可參考的指標(biāo)體系，加分項(xiàng)和權(quán)重范圍根據(jù)不同行業(yè)及應(yīng)用場(chǎng)景進(jìn)行調(diào)整。具體內(nèi)容如表2所示。指標(biāo)分值及建議權(quán)重范圍評(píng)分說明基礎(chǔ)項(xiàng)評(píng)估：對(duì)各指標(biāo)維度進(jìn)行達(dá)標(biāo)與不達(dá)標(biāo)判5表2數(shù)據(jù)需方安全評(píng)估指標(biāo)體系(續(xù))指標(biāo)分值及建議權(quán)重范圍評(píng)分說明展指標(biāo)維度加分項(xiàng)評(píng)估。指標(biāo)維度加分項(xiàng)權(quán)重可結(jié)合具體行業(yè)情況及數(shù)據(jù)交易應(yīng)用場(chǎng)景，參考本標(biāo)準(zhǔn)交易磋商締約交易標(biāo)的交付和5.2.2交易主體5.2.21基礎(chǔ)項(xiàng)基礎(chǔ)項(xiàng)包括：a)依法成立并有效存續(xù)的法人、非法人組織機(jī)構(gòu)，或具備相應(yīng)民事行為能力的自然人；b)在1年內(nèi)不存在數(shù)據(jù)類違法違規(guī)記錄，未發(fā)生過數(shù)據(jù)泄露等安全事件；c)在5年內(nèi)未因違反網(wǎng)絡(luò)安全法律法規(guī)受到治安管理處罰和刑事處罰；d)場(chǎng)內(nèi)交易前，依程序在數(shù)據(jù)交易平臺(tái)完成注冊(cè)、認(rèn)證并通過審核；5.2.2.2加分項(xiàng)加分項(xiàng)包括：a)具備數(shù)據(jù)安全技術(shù)能力和安全管理制度，如敏感數(shù)據(jù)識(shí)別、數(shù)據(jù)分類分級(jí)、數(shù)據(jù)脫敏、數(shù)據(jù)加密、數(shù)據(jù)備份和恢復(fù)、數(shù)據(jù)防泄漏、數(shù)據(jù)安全監(jiān)測(cè)與預(yù)警、數(shù)據(jù)安全監(jiān)督檢查等；b)具備關(guān)于主體數(shù)據(jù)安全能力的資質(zhì)證明類文件，如取得GB/T36073、GB/T37988相關(guān)數(shù)據(jù)管理能力成熟度評(píng)估模型和數(shù)據(jù)安全能力成熟度模型認(rèn)證等；c)交易標(biāo)的涉及重要數(shù)據(jù)的，處理數(shù)據(jù)的信息系統(tǒng)宜符合三級(jí)及以上GB/T22239中網(wǎng)絡(luò)安全等級(jí)保護(hù)要求；d)交易標(biāo)的涉及重要數(shù)據(jù)的，宜具備對(duì)接收方的數(shù)據(jù)共享、調(diào)用情況的監(jiān)測(cè)措施，相關(guān)日志留存時(shí)間不少于三年。e)交易標(biāo)的涉及一般數(shù)據(jù)的數(shù)據(jù)需方，宜符合GB/T22239中三級(jí)及以上網(wǎng)絡(luò)安全等級(jí)保護(hù)要5.23交易磋商締約5.2.3.1基礎(chǔ)項(xiàng)基礎(chǔ)項(xiàng)包括：a)不以欺詐、誘騙、誤導(dǎo)、脅迫、賄賂等違法違規(guī)方式交易數(shù)據(jù)；b)遵守?cái)?shù)據(jù)使用范圍限制要求，確保加工的過程和結(jié)果數(shù)據(jù)不超出數(shù)據(jù)供方要求的使用范圍；c)滿足國(guó)家對(duì)交易標(biāo)的應(yīng)用場(chǎng)景的有關(guān)要求。5.24交易標(biāo)的交付和交易結(jié)算5.2.4.1基礎(chǔ)項(xiàng)基礎(chǔ)項(xiàng)包括：a)按照數(shù)據(jù)交易雙方約定使用數(shù)據(jù)，授權(quán)使用不超出交易約定要求的范圍；6b)不破壞或繞過交易數(shù)據(jù)的安全保護(hù)措施；c)根據(jù)合同約定或數(shù)據(jù)交易場(chǎng)所要求，完成交易結(jié)算相關(guān)工作；d)依法配合監(jiān)管部門開展標(biāo)的交付和交易結(jié)算中的審核和核驗(yàn)。5.24.2加分項(xiàng)加分項(xiàng)包括：a)對(duì)供方提供的數(shù)據(jù)交易標(biāo)的的安全性、合規(guī)性進(jìn)行審核；對(duì)數(shù)據(jù)交易標(biāo)的的符合性、有效性進(jìn)行驗(yàn)證反饋；b)對(duì)數(shù)據(jù)交付平臺(tái)業(yè)務(wù)安全性、穩(wěn)定性、連續(xù)性進(jìn)行評(píng)估和反饋。5.2.5交易后期服務(wù)5.25.1基礎(chǔ)項(xiàng)基礎(chǔ)項(xiàng)包括：a)配合監(jiān)管部門和數(shù)據(jù)交易場(chǎng)所開展交易后的追溯和審計(jì)工作，接收重要數(shù)據(jù)的，留存交付時(shí)間、內(nèi)容、方式、規(guī)模等日志記錄時(shí)間不少于3年；b)按合同約定，保證數(shù)據(jù)交易標(biāo)的數(shù)據(jù)安全，防止數(shù)據(jù)泄露；c)在交易結(jié)束后，按合同約定清除相關(guān)數(shù)據(jù)的緩存，并對(duì)清除記錄及數(shù)據(jù)清除措施的有效性進(jìn)行檢查。5.3數(shù)據(jù)交易場(chǎng)所安全評(píng)估5.31數(shù)據(jù)交易場(chǎng)所安全評(píng)估指標(biāo)體系在數(shù)據(jù)交易過程中，對(duì)數(shù)據(jù)交易場(chǎng)所進(jìn)行安全評(píng)估建立可參考的指標(biāo)體系，加分項(xiàng)和權(quán)重范圍根據(jù)不同行業(yè)及應(yīng)用場(chǎng)景進(jìn)行調(diào)整。具體內(nèi)容如表3所示。表3數(shù)據(jù)交易場(chǎng)所安全評(píng)估指標(biāo)維度、評(píng)估方法及建議權(quán)重范圍評(píng)分方法及建議權(quán)重范圍評(píng)分說明基礎(chǔ)項(xiàng)評(píng)估：對(duì)各指標(biāo)維度進(jìn)行達(dá)標(biāo)與應(yīng)指標(biāo)維度安全要求不達(dá)標(biāo)。的情況下，開展指標(biāo)維度加分項(xiàng)評(píng)估。100%加總后得出評(píng)分結(jié)果。滿分為100評(píng)分，建議權(quán)重范圍數(shù)據(jù)交易平臺(tái)評(píng)分，建議權(quán)重范圍評(píng)分，建議權(quán)重范圍評(píng)分，建議權(quán)重范圍交易磋商締約評(píng)分，建議權(quán)重范圍7表3數(shù)據(jù)交易場(chǎng)所安全評(píng)估指標(biāo)維度、評(píng)估方法及建議權(quán)重范圍(續(xù))評(píng)分方法及建議權(quán)重范圍評(píng)分說明評(píng)分，建議權(quán)重范圍評(píng)分，建議權(quán)重范圍5.3.2數(shù)據(jù)交易場(chǎng)所主體基礎(chǔ)項(xiàng)包括：a)依法注冊(cè)的，經(jīng)政府部門批準(zhǔn)成立并有效存續(xù)，并具備我國(guó)行政主管部門的授權(quán)或許可進(jìn)行組織和管理數(shù)據(jù)交易活動(dòng)的組織機(jī)構(gòu)；b)近一年內(nèi)無數(shù)據(jù)類違法違規(guī)記錄的合法組織機(jī)構(gòu)；c)建立明確的數(shù)據(jù)交易規(guī)則，明確定義包括數(shù)據(jù)交易標(biāo)的準(zhǔn)入及審核、交易主體準(zhǔn)入及審核、交易磋商締約規(guī)范、數(shù)據(jù)交易標(biāo)的交付規(guī)則、交易結(jié)算規(guī)則、交易后期服務(wù)及評(píng)價(jià)評(píng)級(jí)規(guī)則，對(duì)數(shù)據(jù)交易場(chǎng)所內(nèi)的數(shù)據(jù)交易活動(dòng)進(jìn)行流程化的約束和管理，定期對(duì)數(shù)據(jù)交易規(guī)則進(jìn)行完善，并按照相應(yīng)制度規(guī)則，對(duì)交易主體、數(shù)據(jù)交易標(biāo)的進(jìn)行審核；d)制定交易活動(dòng)準(zhǔn)則，防止和及時(shí)終止不符合交易規(guī)則約束的交易活動(dòng)，并建立信息公示機(jī)制；e)建立內(nèi)部數(shù)據(jù)安全管理制度、信息安全巡檢制度、交易所信息報(bào)送和披露機(jī)制、應(yīng)用程序研發(fā)管理制度、應(yīng)用程序測(cè)試管理制度、數(shù)據(jù)處理環(huán)境操作規(guī)范、遠(yuǎn)程數(shù)據(jù)訪問控制及日志審計(jì)制度、應(yīng)用運(yùn)維流程規(guī)范及巡檢制度，定期對(duì)制度進(jìn)行完善并就落實(shí)情況進(jìn)行審核；f)如發(fā)現(xiàn)違反市場(chǎng)監(jiān)督管理、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、個(gè)人信息保護(hù)等有關(guān)規(guī)定的數(shù)據(jù)交易行為，依法采取必要的處置措施，保存有關(guān)記錄，按照相關(guān)法律法規(guī)和監(jiān)管要求向主管部門報(bào)告。加分項(xiàng)包括：a)建立數(shù)據(jù)交易合規(guī)巡檢機(jī)制，定期對(duì)交易主體、數(shù)據(jù)交易標(biāo)的的安全性、合規(guī)性進(jìn)行檢查；b)建立數(shù)據(jù)交易參與方的信用管理機(jī)制，對(duì)入駐各方服務(wù)內(nèi)容、質(zhì)量、交易行為等進(jìn)行評(píng)估；c)加強(qiáng)數(shù)據(jù)交易過程的透明度，確保所有交易活動(dòng)都能夠追蹤和記錄，以便在出現(xiàn)問題時(shí)能夠快速定位和解決；d)完善數(shù)據(jù)交易異議處理機(jī)制，為交易雙方提供公正、高效的爭(zhēng)議解決途徑；e)推動(dòng)建立行業(yè)標(biāo)準(zhǔn)和技術(shù)規(guī)范，引導(dǎo)數(shù)據(jù)交易市場(chǎng)健康有序發(fā)展；f)加強(qiáng)對(duì)數(shù)據(jù)交易市場(chǎng)的監(jiān)管科技應(yīng)用，利用大數(shù)據(jù)、區(qū)塊鏈等技術(shù)手段提升監(jiān)管效能和精準(zhǔn)5.3.3數(shù)據(jù)交易平臺(tái)5.3.3.1基礎(chǔ)項(xiàng)基礎(chǔ)項(xiàng)包括：a)在經(jīng)政府批準(zhǔn)依法設(shè)立的數(shù)據(jù)交易場(chǎng)所內(nèi)建設(shè)，且部署在中華人民共和國(guó)境內(nèi)；b)采用的密碼技術(shù)符合國(guó)家密碼管理相關(guān)要求；8DR1/T2350-2024c)宜符合GB/T22239中三級(jí)及以上網(wǎng)絡(luò)安全等級(jí)保護(hù)要求；d)建立安全風(fēng)險(xiǎn)監(jiān)測(cè)機(jī)制，及時(shí)發(fā)現(xiàn)安全缺陷、漏洞等風(fēng)險(xiǎn)，并采取補(bǔ)救措施；e)建立隱私保護(hù)機(jī)制，包括數(shù)據(jù)匿名化處理、用戶同意管理、數(shù)據(jù)訪問和披露控制；f)支持監(jiān)管部門訪問交易日志、數(shù)據(jù)存證、電子服務(wù)合同等審計(jì)資料，開展數(shù)據(jù)交易服務(wù)的安全審計(jì)工作；g)為數(shù)據(jù)供方、需方提供安全的上傳或下載接口，包括基于密碼技術(shù)的身份認(rèn)證、訪問控制；h)提供傳輸鏈路加密、傳輸數(shù)據(jù)保密性和完整性校驗(yàn)等保護(hù)措施；i)提供安全穩(wěn)定的數(shù)據(jù)交付環(huán)境，并采取數(shù)據(jù)加密、訪問控制、數(shù)據(jù)防泄漏、水印溯源、安全審計(jì)等措施，防止交易過程中的數(shù)據(jù)泄露、篡改、破壞或非法獲取、非法交易、非法利j)數(shù)據(jù)交易日志記錄、存證宜符合GB/T37932相關(guān)要求，對(duì)每筆數(shù)據(jù)交易操作日志進(jìn)行記錄，生成數(shù)據(jù)交易日志，保證交易日志、數(shù)據(jù)存證、數(shù)據(jù)來源合法性等文件不可篡改和可追溯；k)應(yīng)用數(shù)據(jù)加密、身份認(rèn)證、訪問控制、網(wǎng)絡(luò)隔離、數(shù)據(jù)脫敏、數(shù)據(jù)備份和災(zāi)難恢復(fù)技術(shù)等，保障交易活動(dòng)過程中產(chǎn)生的數(shù)據(jù)的安全性。加分項(xiàng)包括：a)具備在數(shù)據(jù)交付過程中提供安全隔離環(huán)境，支撐數(shù)據(jù)交易標(biāo)的的數(shù)據(jù)計(jì)算加工、算法模型的運(yùn)行，并具備隔離環(huán)境和過程數(shù)據(jù)的銷毀機(jī)制，以保障數(shù)據(jù)交付的可靠性。其中所涉算法模型的提供者落實(shí)主體責(zé)任，對(duì)算法、模型文件具備內(nèi)容審核、審核機(jī)制，以保障算法安全性、合規(guī)性；b)具備惡意代碼防護(hù)能力，能夠?qū)灰讛?shù)據(jù)含有的惡意代碼進(jìn)行檢測(cè)；c)對(duì)數(shù)據(jù)交易的參與方、數(shù)據(jù)交易標(biāo)的、交易環(huán)節(jié)設(shè)置人工干預(yù)功能，人工干預(yù)內(nèi)容宜包括交易參與方審核、交易數(shù)據(jù)和需求審核、交易暫停、交易撤銷、交易恢復(fù)；d)授予數(shù)據(jù)交易各參與方所需的最小必要權(quán)限，實(shí)現(xiàn)各參與方的權(quán)限分離；e)提供兩個(gè)或以上不同運(yùn)營(yíng)商的互聯(lián)網(wǎng)鏈路出口；f)進(jìn)行數(shù)據(jù)的計(jì)算、交付和驗(yàn)證，并根據(jù)合約的執(zhí)行履約情況對(duì)數(shù)據(jù)交易的過程進(jìn)行管控；g)支持簽訂電子服務(wù)合同，采取數(shù)字簽名等技術(shù)措施保證合約不被篡改；h)采取相應(yīng)技術(shù)手段，對(duì)安全審計(jì)的結(jié)果進(jìn)行保護(hù)；i)建立應(yīng)急響應(yīng)機(jī)制，規(guī)范應(yīng)急處置措施和操作流程，加強(qiáng)技術(shù)儲(chǔ)備，定期進(jìn)行預(yù)案演練。5.3.4交易過程5.3.4.1交易主體入駐5.3.4.1.1基礎(chǔ)項(xiàng)基礎(chǔ)項(xiàng)包括：a)提供賬戶注冊(cè)、修改、注銷等功能；b)按照相關(guān)制度要求審核數(shù)據(jù)交易參與方相應(yīng)資質(zhì)；c)對(duì)已注冊(cè)賬戶進(jìn)行信息和權(quán)限管理。5.3.4.1.2加分項(xiàng)加分項(xiàng)包括：9a)通過資料審核、身份鑒別等方式驗(yàn)證第三方評(píng)估結(jié)論，對(duì)第三方提供報(bào)告的真實(shí)性和有效性進(jìn)行審核；b)根據(jù)數(shù)據(jù)供需雙方提供的材料，審核數(shù)據(jù)安全能力。5.3.4.2交易標(biāo)的登記5.3.4.2.1基礎(chǔ)項(xiàng)基礎(chǔ)項(xiàng)包括：a)審核申請(qǐng)上架的數(shù)據(jù)交易標(biāo)的相關(guān)材料，包括但不限于數(shù)據(jù)來源、數(shù)據(jù)授權(quán)、數(shù)據(jù)質(zhì)量、數(shù)據(jù)使用目的、數(shù)據(jù)使用范圍及相關(guān)證明材料；b)對(duì)于包含敏感數(shù)據(jù)的數(shù)據(jù)交易標(biāo)的，提供相應(yīng)的安全保障措施；c)具備數(shù)據(jù)交易標(biāo)的上架、下架、展示、信息修改等功能；d)根據(jù)相關(guān)法律法規(guī)制定禁止交易數(shù)據(jù)目錄。5.3.4.2.2加分項(xiàng)加分項(xiàng)包括：a)對(duì)上架數(shù)據(jù)交易標(biāo)的進(jìn)行識(shí)別，并生成唯一的編號(hào)；b)依據(jù)數(shù)據(jù)交易標(biāo)的分類分級(jí)、應(yīng)用場(chǎng)景等進(jìn)行權(quán)限管理和訪問控制。5.3.4.3交易磋商締約5.3.4.3.1基礎(chǔ)項(xiàng)審核交易需方的需求，確保數(shù)據(jù)使用目的合法、正當(dāng)和必要。5.3.4.3.2加分項(xiàng)加分項(xiàng)包括：a)提供在線交易磋商環(huán)境；b)具備交易磋商的暫停、撤銷、恢復(fù)能力；c)具備交易磋商爭(zhēng)議的投訴和處理能力；d)輔助供需雙方對(duì)數(shù)據(jù)交易標(biāo)的類型、質(zhì)量、用途、使用范圍、交付方式、使用期限、交易價(jià)格和保密條款等內(nèi)容進(jìn)行協(xié)商和約定；e)對(duì)磋商結(jié)果進(jìn)行登記，包括數(shù)據(jù)交易參與方、數(shù)據(jù)交易標(biāo)的描述、合約有效期、交易價(jià)格、交付質(zhì)量、交付方式、加工算法邏輯、使用范圍、使用對(duì)象和使用期限等內(nèi)容。5.3.4.4交易標(biāo)的交付和交易結(jié)算5.3.4.4.1基礎(chǔ)項(xiàng)基礎(chǔ)項(xiàng)包括：a)保證數(shù)據(jù)交易標(biāo)的交付過程的穩(wěn)定性、連續(xù)性；b)審核數(shù)據(jù)交易參與方按照合同約定完成交付、結(jié)算；c)提供安全交易環(huán)境，對(duì)數(shù)據(jù)交付過程中的加工、計(jì)算處理提供平臺(tái)能力支撐；d)對(duì)數(shù)據(jù)交易標(biāo)的交付過程進(jìn)行記錄，保證記錄信息不可篡改；e)具備交易結(jié)算功能，按照合同約定對(duì)交易參與方進(jìn)行相應(yīng)收益分配。5.3.4.4.2加分項(xiàng)加分項(xiàng)包括：a)根據(jù)交付要求，提供隱私保護(hù)計(jì)算、區(qū)塊鏈等技術(shù)支持；b)在數(shù)據(jù)傳輸鏈路上部署交易數(shù)據(jù)監(jiān)控工具，具有數(shù)據(jù)保護(hù)機(jī)制和數(shù)據(jù)泄漏檢測(cè)能力；c)采用數(shù)據(jù)加密技術(shù)對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行加密，防護(hù)針對(duì)網(wǎng)絡(luò)數(shù)據(jù)機(jī)密性的攻擊。5.3.4.5交易后期服務(wù)基礎(chǔ)項(xiàng)包括：a)數(shù)據(jù)交易各參與方確認(rèn)交易結(jié)束后，關(guān)閉數(shù)據(jù)訪問通道并清除相關(guān)緩存；b)對(duì)數(shù)據(jù)交易過程中交易記錄等證據(jù)材料進(jìn)行管理、記錄和歸檔；c)定期對(duì)數(shù)據(jù)交易行為進(jìn)行審計(jì)；d)未經(jīng)授權(quán)不私自留存及使用數(shù)據(jù)供方或需方的數(shù)據(jù)，法律法規(guī)另行要求的除外。5.3.4.5.2加分項(xiàng)加分項(xiàng)包括：a)提供投訴舉報(bào)渠道，審核數(shù)據(jù)交易各環(huán)節(jié)的數(shù)據(jù)泄露、濫用等情況；b)建立爭(zhēng)議解決機(jī)制，對(duì)服務(wù)中的爭(zhēng)議進(jìn)行協(xié)調(diào)處理；c)對(duì)數(shù)據(jù)交易過程中的重要活動(dòng)、操作，單獨(dú)生成相應(yīng)的審計(jì)記錄。6評(píng)估流程6.1評(píng)估準(zhǔn)備開展數(shù)據(jù)交易安全評(píng)估前，宜明確評(píng)估目標(biāo)及評(píng)估對(duì)象、確定評(píng)估范圍、組建評(píng)估團(tuán)隊(duì)、制定工作計(jì)劃并制定評(píng)估方案。評(píng)估步驟如下：