《數(shù)據(jù)交易合規(guī)評估規(guī)范》

ICS35.040

CCSL80

DB4403

深圳市地方標(biāo)準(zhǔn)

DB4403/TXXX—XXXX

數(shù)據(jù)交易合規(guī)評估規(guī)范

Datatransactionscomplianceassessmentspecification

（送審稿）

XXXX-XX-XX發(fā)布XXXX-XX-XX實施

深圳市市場監(jiān)督管理局發(fā)布

DB4403/TXXXXX—XXXX

目次

前言..................................................................................II

1范圍................................................................................1

2規(guī)范性引用文件......................................................................1

3術(shù)語和定義..........................................................................1

4評估原則............................................................................3

5評估框架............................................................................3

6評估等級............................................................................4

7主體合規(guī)評估........................................................................5

8標(biāo)的合規(guī)評估.......................................................................10

9流通合規(guī)評估.......................................................................16

10評估過程要求......................................................................21

附錄A（資料性）數(shù)據(jù)交易合規(guī)評估建議文檔.............................................22

參考文獻(xiàn)..............................................................................25

A

I

DB4403/TXXXXX—XXXX

數(shù)據(jù)交易合規(guī)評估規(guī)范

1范圍

本文件規(guī)定了數(shù)據(jù)交易合規(guī)評估的評估原則、評估框架、評估等級、主體合規(guī)評估要求、標(biāo)的合規(guī)

評估要求、流通合規(guī)評估要求以及評估過程要求。

本文件適用于主管部門和監(jiān)督管理部門、交易主體、第三方法律服務(wù)機構(gòu)、數(shù)據(jù)交易場所運營機構(gòu)

等數(shù)據(jù)交易相關(guān)方管理和實施的數(shù)據(jù)交易合規(guī)評估活動。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T22239—2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求

GB/T25069—2022信息安全技術(shù)術(shù)語

GB/T33770.6—2021信息技術(shù)服務(wù)外包第六部分：服務(wù)需求方通用要求

GB/T35273—2020信息安全技術(shù)個人信息安全規(guī)范

GB/T35295—2017信息技術(shù)大數(shù)據(jù)術(shù)語

GB/T37932—2019信息安全技術(shù)數(shù)據(jù)交易服務(wù)安全要求

GB/T41479—2022信息安全技術(shù)網(wǎng)絡(luò)數(shù)據(jù)處理安全要求

GB/T42460—2023信息安全技術(shù)個人信息去標(biāo)識化效果評估指南

DB4403/T271—2022公共數(shù)據(jù)安全要求

3術(shù)語和定義

GB/T25069—2022、GB/T35295—2017界定的以及下列術(shù)語和定義適用于本文件。

3.1

個人信息personalinformation

以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息。

注1：個人信息包括姓名、出生日期、身份證件號碼、個人生物識別信息、住址、通信通訊聯(lián)系方式、通信記錄和

內(nèi)容、賬號密碼、財產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等，不包括匿名化

處理后的信息。

注2：關(guān)于個人信息的判定方法、相關(guān)術(shù)語、子分類，參見GB/T35273—2020附錄A。

注3：個人信息處理者通過個人信息或其他信息加工處理后形成的信息，例如，用戶畫像或特征標(biāo)簽，能夠單獨或

者與其他信息結(jié)合識別特定自然人身份或者反映自然人活動情況的，屬于個人信息。

3.2

敏感個人信息sensitivepersonalinformation

一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財產(chǎn)安全受到危害的個人

信息。

注：包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的

個人信息。

1

DB4403/TXXXXX—XXXX

3.3

重要數(shù)據(jù)importantdata

一旦遭到篡改、破壞、泄露或者非法獲取、非法利用等，可能直接危害國家安全、經(jīng)濟運行、社會

穩(wěn)定、公共健康和安全等的數(shù)據(jù)。

3.4

公共數(shù)據(jù)publicdata

公共管理和服務(wù)機構(gòu)在依法履行公共管理職責(zé)或者提供公共服務(wù)過程中產(chǎn)生、處理的數(shù)據(jù)。

3.5

數(shù)據(jù)產(chǎn)品dataproduct

用于交易的原始數(shù)據(jù)和加工處理后的數(shù)據(jù)衍生產(chǎn)品。

注：數(shù)據(jù)產(chǎn)品包括但不限于數(shù)據(jù)集、數(shù)據(jù)分析報告、數(shù)據(jù)可視化產(chǎn)品、數(shù)據(jù)指數(shù)、API數(shù)據(jù)、加密數(shù)據(jù)等。

3.6

數(shù)據(jù)服務(wù)dataservice

數(shù)據(jù)賣方或數(shù)據(jù)商提供數(shù)據(jù)處理（收集、存儲、使用、加工、傳輸?shù)龋┓?wù)能力。

注：數(shù)據(jù)服務(wù)包括但不限于數(shù)據(jù)采集、數(shù)據(jù)預(yù)處理、數(shù)據(jù)建模、數(shù)據(jù)分析、數(shù)據(jù)處理、數(shù)據(jù)可視化、數(shù)據(jù)安全等服

務(wù)。

3.7

數(shù)據(jù)工具datatool

可實現(xiàn)數(shù)據(jù)服務(wù)的軟硬件工具。

注：數(shù)據(jù)工具包括但不限于數(shù)據(jù)存儲和管理工具、數(shù)據(jù)采集工具、數(shù)據(jù)清洗工具、數(shù)據(jù)分析工具、數(shù)據(jù)可視化工具、

數(shù)據(jù)安全工具。

3.8

第三方法律服務(wù)機構(gòu)third-partylegalserviceprovider

從事數(shù)據(jù)交易合規(guī)評估活動的第三方法律服務(wù)機構(gòu)。

3.9

交易主體subjectofthetransaction

數(shù)據(jù)交易活動中的數(shù)據(jù)賣方、數(shù)據(jù)買方和數(shù)據(jù)商。

注：數(shù)據(jù)賣方是指出售交易標(biāo)的的法人或非法人組織。數(shù)據(jù)買方是指購買交易標(biāo)的的法人或非法人組織。數(shù)據(jù)商是

指從各種合法來源收集或維護(hù)數(shù)據(jù)，經(jīng)匯總、加工、分析等處理轉(zhuǎn)化為交易標(biāo)的，向買方出售或許可；或為促

成并順利履行交易，向委托人提供交易標(biāo)的發(fā)布、承銷等服務(wù)，合規(guī)開展業(yè)務(wù)的企業(yè)法人。

3.10

數(shù)據(jù)主體subjectofthedata

個人信息所標(biāo)識或關(guān)聯(lián)的自然人、在生產(chǎn)經(jīng)營活動中采集加工企業(yè)數(shù)據(jù)的各類市場主體，以及在依

法履職或提供公共服務(wù)過程中產(chǎn)生、處理公共數(shù)據(jù)的各級黨政機關(guān)、企事業(yè)單位。

3.11

交易標(biāo)的objectofthetransaction

數(shù)據(jù)賣方或數(shù)據(jù)商與數(shù)據(jù)買方交易的對象。

注：交易標(biāo)的包括數(shù)據(jù)產(chǎn)品、數(shù)據(jù)服務(wù)、數(shù)據(jù)工具等。

3.12

數(shù)據(jù)交易datatransaction

數(shù)據(jù)賣方或數(shù)據(jù)商與數(shù)據(jù)買方以數(shù)據(jù)產(chǎn)品、數(shù)據(jù)服務(wù)、數(shù)據(jù)工具等作為交易標(biāo)的，進(jìn)行的以貨幣或

貨幣等價物交換數(shù)據(jù)使用權(quán)和市場化流通的行為。

3.13

2

DB4403/TXXXXX—XXXX

數(shù)據(jù)交易場所運營機構(gòu)datatransactionsvenueoperator

按照相關(guān)法律、行政法規(guī)和數(shù)據(jù)交易綜合監(jiān)督管理部門的規(guī)定，為數(shù)據(jù)集中交易提供基礎(chǔ)設(shè)施和基

本服務(wù)的機構(gòu)。

4評估原則

4.1合法原則

數(shù)據(jù)交易合規(guī)評估依法合規(guī)開展，不危害國家安全、公共利益，不應(yīng)侵犯組織和個人的合法權(quán)益。

4.2客觀公正原則

數(shù)據(jù)交易合規(guī)評估真實和準(zhǔn)確地反映數(shù)據(jù)交易活動現(xiàn)狀，不帶評估人員個人偏見，以確保評估意見

僅建立在評估證據(jù)的基礎(chǔ)上。

4.3標(biāo)準(zhǔn)原則

數(shù)據(jù)交易合規(guī)評估依據(jù)本文件開展。

4.4保密原則

評估人員審慎使用和保護(hù)在評估過程獲得的信息。

5評估框架

根據(jù)相關(guān)法律法規(guī)的規(guī)定，結(jié)合數(shù)據(jù)交易過程，數(shù)據(jù)交易合規(guī)評估首先針對交易主體的相關(guān)情況進(jìn)

行評估，再針對交易標(biāo)的的相關(guān)情況進(jìn)行評估，最后針對交易主體之間的交易標(biāo)的流通相關(guān)情況進(jìn)行評

估。每個環(huán)節(jié)均會從合法、安全、誠信、權(quán)益保障四個維度進(jìn)行評估，評估過程包括評估準(zhǔn)備、評估實

施、評估報告三個階段，評估框架見圖1。

3

DB4403/TXXXXX—XXXX

圖1數(shù)據(jù)交易合規(guī)評估參考框架圖

6評估等級

6.1評估等級概述

數(shù)據(jù)交易合規(guī)評估涵蓋數(shù)據(jù)交易的主體、標(biāo)的和流通三個環(huán)節(jié)，每個環(huán)節(jié)均應(yīng)滿足合法、安全、誠

信、權(quán)益保障四個維度的要求。合法維度不劃分等級，為必選要求。其他維度根據(jù)對數(shù)據(jù)交易評估要素

要求的疊加，依次遞增并劃分為基礎(chǔ)級、進(jìn)階級、優(yōu)秀級三個等級。

經(jīng)合規(guī)評估四個維度中有任一維度未達(dá)到基礎(chǔ)級要求的，評估結(jié)果為“不符合數(shù)據(jù)交易合規(guī)要求”。

為保證安全維度評估標(biāo)準(zhǔn)的可量化和可執(zhí)行性，本文件在制定安全維度的評估標(biāo)準(zhǔn)時，會適當(dāng)參考

并納入部分主管部門和監(jiān)督管理部門執(zhí)行的安全監(jiān)管標(biāo)準(zhǔn)。

6.2第一級：基礎(chǔ)級

數(shù)據(jù)交易的主體、標(biāo)的、流通三個環(huán)節(jié)在合法、安全、誠信、權(quán)益保障四個維度上均滿足適用的法

律法規(guī)和強制性國家標(biāo)準(zhǔn)的規(guī)定。

6.3第二級：進(jìn)階級

數(shù)據(jù)交易的主體、標(biāo)的、流通三個環(huán)節(jié)滿足合法維度要求，在安全、誠信、權(quán)益保障三個維度上滿

足“基礎(chǔ)級”等級的全部要求，并滿足GB/T37932—2019及其他適用的推薦性國家標(biāo)準(zhǔn)要求。

6.4第三級：優(yōu)秀級

數(shù)據(jù)交易在主體、標(biāo)的、流通三個環(huán)節(jié)滿足合法維度要求，在安全、誠信、權(quán)益保障三個維度上滿

足“進(jìn)階級”等級的全部要求，且額外滿足了可適用的推薦性國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)、地方標(biāo)準(zhǔn)、團(tuán)體標(biāo)

準(zhǔn)等要求，或采取了法律法規(guī)、相關(guān)標(biāo)準(zhǔn)未明確要求的其他可以明顯提升數(shù)據(jù)交易合規(guī)程度的措施。

4

DB4403/TXXXXX—XXXX

7主體合規(guī)評估

7.1合法維度評估

交易主體應(yīng)依法成立、有效存續(xù)并合法經(jīng)營，滿足以下要求：

a)交易主體依法取得的營業(yè)執(zhí)照或相關(guān)登記證書應(yīng)合法有效，非中國大陸企業(yè)應(yīng)提供同等類型

合法證照；

b)交易主體的經(jīng)營業(yè)務(wù)若屬于法律、行政法規(guī)規(guī)定須經(jīng)批準(zhǔn)或獲取特定行業(yè)資質(zhì)的項目，應(yīng)依

法經(jīng)過批準(zhǔn)或獲取特定行業(yè)資質(zhì)；

c)交易主體的組織形式應(yīng)滿足《深圳市數(shù)據(jù)交易管理暫行辦法》《深圳市數(shù)據(jù)商和數(shù)據(jù)流通交

易第三方服務(wù)機構(gòu)管理暫行辦法》的要求（如適用）；

d)數(shù)據(jù)賣方應(yīng)通過數(shù)據(jù)交易場所運營機構(gòu)認(rèn)證為數(shù)據(jù)商，或通過已認(rèn)證數(shù)據(jù)商保薦，方可在數(shù)

據(jù)交易場所開展數(shù)據(jù)交易（如適用）。

注1：評估交易主體在合法維度所需的相關(guān)文件資料，可見附錄A。

注2：合法維度不劃分基礎(chǔ)級、進(jìn)階級、優(yōu)秀級三個等級，交易主體應(yīng)符合適用的法律法規(guī)的所有強制性規(guī)定。

7.2安全維度評估

7.2.1概述

交易主體應(yīng)根據(jù)本單位的業(yè)務(wù)特性、企業(yè)規(guī)模、數(shù)據(jù)類型等相關(guān)因素，在數(shù)據(jù)安全合規(guī)方面符合《網(wǎng)

絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護(hù)法》等相關(guān)法律法規(guī)提出的合規(guī)要求。

注1：評估交易主體在安全維度所需的相關(guān)文件資料，可見附錄A。

注2：根據(jù)《統(tǒng)計上大中小微型企業(yè)劃分辦法》的相關(guān)要求，本文件將交易主體主要劃分為大型企業(yè)、中型企業(yè)、

小微企業(yè)。非法人組織、中國大陸外企業(yè)參照適用。

注3：中型企業(yè)首先應(yīng)滿足小微企業(yè)對應(yīng)級別的合規(guī)標(biāo)準(zhǔn)，大型企業(yè)首先應(yīng)滿足中型企業(yè)、小微企業(yè)對應(yīng)級別的合

規(guī)標(biāo)準(zhǔn)。主體安全合規(guī)評估框架見表1。

注4：若數(shù)據(jù)商僅提供交易標(biāo)的發(fā)布、承銷等服務(wù)，不參與交易標(biāo)的處理或交付環(huán)節(jié)的，可以不進(jìn)行安全維度評估。

表1主體安全合規(guī)評估框架

分類小微企業(yè)中型企業(yè)大型企業(yè)

基礎(chǔ)級標(biāo)準(zhǔn)AA+BA+B+C

進(jìn)階級標(biāo)準(zhǔn)A+A’A+A’+B+B’A+A’+B+B’+C+C’

優(yōu)秀級標(biāo)準(zhǔn)A+A’+A’’A+A’+A’’+B+B’+B’’A+A’+A’’+B+B’+B’’+C+C’+C’’

注：A、B、C分別表示小微企業(yè)、中型企業(yè)、大型企業(yè)基礎(chǔ)級要求，A’、B’、C’分別表示小微企業(yè)、中

型企業(yè)、大型企業(yè)進(jìn)階級要求，A’’、B’’、C’’分別表示小微企業(yè)、中型企業(yè)、大型企業(yè)優(yōu)秀級要求。

7.2.2小微企業(yè)

7.2.2.1基礎(chǔ)級標(biāo)準(zhǔn)

5

DB4403/TXXXXX—XXXX

交易主體應(yīng)滿足以下要求：

a)交易主體應(yīng)制定數(shù)據(jù)安全工作的總體方針，闡明組織數(shù)據(jù)安全工作的目標(biāo)、范圍、原則和安

全框架等相關(guān)內(nèi)容；

b)交易主體應(yīng)制定主要數(shù)據(jù)處理活動的安全管理制度；

c)交易主體應(yīng)對數(shù)據(jù)管理人員或操作人員執(zhí)行的日常工作建立操作規(guī)程；

d)交易主體應(yīng)按照國家和行業(yè)有關(guān)要求對本單位的數(shù)據(jù)進(jìn)行數(shù)據(jù)分類分級管理，識別可能涉及

的個人信息、公共數(shù)據(jù)和重要數(shù)據(jù)等不同類型的數(shù)據(jù)；

e)交易主體應(yīng)明確對信息技術(shù)外包和數(shù)據(jù)處理供應(yīng)商的監(jiān)督管理要求；

f)交易主體應(yīng)制定安全應(yīng)急預(yù)案，發(fā)生數(shù)據(jù)安全事件時，應(yīng)立即采取處置措施，按照法律法規(guī)

的要求，及時告知相關(guān)方（例如數(shù)據(jù)主體）并向有關(guān)主管部門、監(jiān)管部門報告，在事件處置

完畢后向有關(guān)主管部門、監(jiān)管部門提交事件調(diào)查評估報告；

g)交易主體應(yīng)定期開展員工數(shù)據(jù)安全教育培訓(xùn)；

h)交易主體應(yīng)加強風(fēng)險監(jiān)測，發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風(fēng)險時，應(yīng)當(dāng)及時采取補救措施；

i)交易主體應(yīng)在管理及技術(shù)方面具有與當(dāng)前業(yè)務(wù)及數(shù)據(jù)處理活動相適應(yīng)的數(shù)據(jù)安全保障能力；

j)需開展個人信息保護(hù)合規(guī)審計的交易主體應(yīng)按照法律法規(guī)的要求定期開展合規(guī)審計；

k)交易主體應(yīng)開展日常數(shù)據(jù)安全檢查，主要內(nèi)容包括數(shù)據(jù)平臺運行情況、數(shù)據(jù)庫漏洞、數(shù)據(jù)安

全審計日志等；

l)交易主體屬于重要數(shù)據(jù)處理者的，應(yīng)按照法律法規(guī)的要求開展數(shù)據(jù)安全風(fēng)險評估；

m)交易主體屬于重要數(shù)據(jù)處理者或處理個人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的，應(yīng)設(shè)立數(shù)據(jù)安

全管理部門、個人信息合規(guī)管理部門，明確重要數(shù)據(jù)安全負(fù)責(zé)人、個人信息保護(hù)負(fù)責(zé)人及其

職責(zé)。

注：主要數(shù)據(jù)處理活動是指主營業(yè)務(wù)涉及的數(shù)據(jù)處理活動，處理員工個人信息不屬于此范圍。

7.2.2.2進(jìn)階級標(biāo)準(zhǔn)

交易主體在滿足小微企業(yè)基礎(chǔ)級標(biāo)準(zhǔn)的基礎(chǔ)上，還應(yīng)滿足以下要求：

a)交易主體應(yīng)設(shè)立數(shù)據(jù)安全管理部門、個人信息合規(guī)管理部門，明確重要數(shù)據(jù)安全負(fù)責(zé)人、個

人信息保護(hù)負(fù)責(zé)人及其職責(zé)；

b)交易主體應(yīng)根據(jù)數(shù)據(jù)分類分級識別情況編制數(shù)據(jù)資產(chǎn)清單；

c)交易主體應(yīng)建立數(shù)據(jù)銷毀安全管理制度；

d)交易主體應(yīng)滿足GB/T33770.6—2021第6條的要求，實施信息技術(shù)外包和數(shù)據(jù)處理供應(yīng)商的

管理；

e)交易主體應(yīng)在確保重要數(shù)據(jù)安全的前提下，在數(shù)據(jù)交易前按照重要數(shù)據(jù)安全處理要求、數(shù)據(jù)

安全風(fēng)險評估方法等相關(guān)國家標(biāo)準(zhǔn)，對數(shù)據(jù)交易標(biāo)的開展數(shù)據(jù)安全風(fēng)險評估，最終評估結(jié)果

為無高危風(fēng)險。

7.2.2.3優(yōu)秀級標(biāo)準(zhǔn)

交易主體在滿足小微企業(yè)進(jìn)階級標(biāo)準(zhǔn)的基礎(chǔ)上，還應(yīng)滿足以下要求：

a)交易主體應(yīng)遵守國家和行業(yè)數(shù)據(jù)分類分級保護(hù)要求，能通過自動化手段識別出個人信息、公

共數(shù)據(jù)、重要數(shù)據(jù)等不同類型的數(shù)據(jù)；

b)交易主體應(yīng)制定數(shù)據(jù)安全管理制度，制度應(yīng)覆蓋數(shù)據(jù)處理活動全生命周期，并分發(fā)至相關(guān)部

門和人員；

6

DB4403/TXXXXX—XXXX

c)交易主體應(yīng)制定數(shù)據(jù)安全風(fēng)險評估制度，每年至少開展一次數(shù)據(jù)安全評估，按規(guī)定提交年度

評估報告，報告內(nèi)容包含風(fēng)險處置的方式等，報告留存時間不少于三年，并且評估結(jié)果為無

高危風(fēng)險；

d)需開展個人信息保護(hù)合規(guī)審計的交易主體應(yīng)制定個人信息保護(hù)合規(guī)審計制度，每年至少開展

一次合規(guī)審計，并且審計結(jié)果為無高危風(fēng)險；

e)交易主體的數(shù)據(jù)存儲介質(zhì)設(shè)備在報廢或重用前，應(yīng)確保設(shè)備已經(jīng)完成完全清除或被安全覆蓋，

保證該設(shè)備上的敏感個人信息、商業(yè)秘密、重要數(shù)據(jù)等數(shù)據(jù)和授權(quán)軟件無法被恢復(fù)重用。

7.2.3中型企業(yè)

7.2.3.1概述

交易主體應(yīng)首先滿足小微企業(yè)對應(yīng)等級的合規(guī)要求，再滿足中型企業(yè)的合規(guī)要求。

7.2.3.2基礎(chǔ)級標(biāo)準(zhǔn)

交易主體在滿足小微企業(yè)基礎(chǔ)級標(biāo)準(zhǔn)的基礎(chǔ)上，還應(yīng)滿足以下要求：

a)交易主體應(yīng)設(shè)立數(shù)據(jù)庫管理員、數(shù)據(jù)安全管理員、數(shù)據(jù)安全審計員、個人信息保護(hù)負(fù)責(zé)人、

個人信息合規(guī)審計員等數(shù)據(jù)安全關(guān)鍵崗位，定義崗位的工作職責(zé)；

b)交易主體應(yīng)要求數(shù)據(jù)管理員崗位人員簽署保密協(xié)議，方可獲得數(shù)據(jù)相關(guān)權(quán)限；

c)交易主體應(yīng)明確數(shù)據(jù)處理授權(quán)審批的審批事項、審批部門、審批人等；

d)需開展個人信息保護(hù)合規(guī)審計的交易主體應(yīng)制定個人信息保護(hù)合規(guī)審計制度，每年開展一次

合規(guī)審計，并且審計結(jié)果為無高危風(fēng)險。

7.2.3.3進(jìn)階級標(biāo)準(zhǔn)

交易主體在滿足小微企業(yè)進(jìn)階級標(biāo)準(zhǔn)和中型企業(yè)基礎(chǔ)級標(biāo)準(zhǔn)的基礎(chǔ)上，還應(yīng)滿足以下要求：

a)需開展個人信息保護(hù)合規(guī)審計的交易主體應(yīng)制定個人信息保護(hù)合規(guī)審計制度，每年至少開展

一次合規(guī)審計，并且審計結(jié)果為無中高危風(fēng)險，審計過程中收集的審計證據(jù)、審計過程性文

件、審計報告等材料進(jìn)行記錄存檔，保存時間至少為三年；

b)交易主體應(yīng)建立數(shù)據(jù)銷毀安全管理制度，明確銷毀對象和流程、不同類別和級別數(shù)據(jù)的銷毀

方式和銷毀要求等，嚴(yán)格按照該管理制度執(zhí)行且有相應(yīng)的記錄進(jìn)行佐證。

7.2.3.4優(yōu)秀級標(biāo)準(zhǔn)

交易主體在滿足小微企業(yè)優(yōu)秀級標(biāo)準(zhǔn)和中型企業(yè)進(jìn)階級標(biāo)準(zhǔn)的基礎(chǔ)上，還應(yīng)滿足以下要求：

a)關(guān)鍵崗位員工離職前，交易主體應(yīng)對該員工在職期間的數(shù)據(jù)處理活動進(jìn)行內(nèi)部審計；

b)交易主體的數(shù)據(jù)安全關(guān)鍵事務(wù)處理崗位（如特權(quán)賬戶所有者、重要數(shù)據(jù)處理、個人信息處理

等崗位）應(yīng)設(shè)立雙人雙崗，強化數(shù)據(jù)安全管理；

c)交易主體應(yīng)制定數(shù)據(jù)接口的全生命周期管理制度，對使用數(shù)據(jù)接口的申請、審批、開放、變

更、注銷等全生命周期進(jìn)行管控和定期審計；

d)交易主體應(yīng)能夠識別出數(shù)據(jù)存儲中的結(jié)構(gòu)化和非結(jié)構(gòu)化個人信息、公共數(shù)據(jù)、重要數(shù)據(jù)等不

同類型的數(shù)據(jù)；

e)交易主體應(yīng)具備以技術(shù)手段對數(shù)據(jù)泄露源頭進(jìn)行定位的能力。

7.2.4大型企業(yè)

7.2.4.1概述

7

DB4403/TXXXXX—XXXX

交易主體應(yīng)首先滿足小微企業(yè)、中型企業(yè)的對應(yīng)等級的合規(guī)要求，再滿足大型企業(yè)的合規(guī)要求。

注：例如，交易主體如要滿足大型企業(yè)進(jìn)階級標(biāo)準(zhǔn)，則需要同時滿足小微企業(yè)的基礎(chǔ)級與進(jìn)階級標(biāo)準(zhǔn)、中型企業(yè)的

基礎(chǔ)級與進(jìn)階級標(biāo)準(zhǔn)，以及大型企業(yè)的基礎(chǔ)級與進(jìn)階級標(biāo)準(zhǔn)所列舉的全部要求。

7.2.4.2基礎(chǔ)級標(biāo)準(zhǔn)

交易主體在滿足中型企業(yè)的基礎(chǔ)級標(biāo)準(zhǔn)的基礎(chǔ)上，還應(yīng)滿足以下要求：

a)交易主體應(yīng)設(shè)立專職的數(shù)據(jù)庫管理員、數(shù)據(jù)安全管理員、數(shù)據(jù)安全審計員、個人信息保護(hù)負(fù)責(zé)

人、個人信息合規(guī)審計員等數(shù)據(jù)安全關(guān)鍵崗位，定義崗位的工作職責(zé)；

b)交易主體應(yīng)要求數(shù)據(jù)管理員崗位人員在簽署保密協(xié)議并通過內(nèi)部相關(guān)數(shù)據(jù)安全考試后，方可獲

得數(shù)據(jù)相關(guān)權(quán)限；

c)交易主體在相關(guān)人員不再從事數(shù)據(jù)安全關(guān)鍵崗位時，應(yīng)及時終止并收回其對數(shù)據(jù)的訪問權(quán)限，

明確告知其應(yīng)繼續(xù)履行有關(guān)信息的保密要求，并要求其簽訂保密承諾書；

d)交易主體應(yīng)遵守國家和行業(yè)數(shù)據(jù)分類分級保護(hù)要求，進(jìn)行數(shù)據(jù)分類分級，結(jié)合數(shù)據(jù)流通范圍、

影響程度、潛在風(fēng)險，對不同級別的數(shù)據(jù)采用不同級別的授權(quán)使用和保護(hù)機制；

e)交易主體應(yīng)根據(jù)數(shù)據(jù)資產(chǎn)安全管理制度識別數(shù)據(jù)資產(chǎn)并編制數(shù)據(jù)資產(chǎn)清單，包括數(shù)據(jù)類別、數(shù)

據(jù)量、數(shù)據(jù)級別、數(shù)據(jù)資產(chǎn)責(zé)任部門和存儲位置等內(nèi)容；

f)交易主體應(yīng)根據(jù)數(shù)據(jù)資產(chǎn)的重要程度對數(shù)據(jù)進(jìn)行標(biāo)識管理，根據(jù)數(shù)據(jù)資產(chǎn)的價值實施必要的安

全管理策略和保障措施。

7.2.4.3進(jìn)階級標(biāo)準(zhǔn)

交易主體在滿足中型企業(yè)進(jìn)階級標(biāo)準(zhǔn)和大型企業(yè)基礎(chǔ)級標(biāo)準(zhǔn)的基礎(chǔ)上，還應(yīng)滿足以下要求：

a)交易主體應(yīng)設(shè)立數(shù)據(jù)安全管理部門，明確數(shù)據(jù)安全負(fù)責(zé)人及其職責(zé)；

b)交易主體應(yīng)制定數(shù)據(jù)供應(yīng)鏈安全管理規(guī)范，明確數(shù)據(jù)供應(yīng)鏈安全目標(biāo)、原則和范圍、數(shù)據(jù)供

應(yīng)商選擇和管理等要求；

c)交易主體應(yīng)對重要數(shù)據(jù)的批量查詢、批量修改、批量導(dǎo)出等高風(fēng)險操作建立多層級的審批程

序（如適用）；

d)交易主體應(yīng)制定重要數(shù)據(jù)清單管理程序，規(guī)定清單的編制、審核、維護(hù)、更新等要求（如適

用）；

e)交易主體應(yīng)對數(shù)據(jù)安全關(guān)鍵崗位人員錄用或上崗前進(jìn)行安全背景審查，審查通過方可錄用和

任職。

7.2.4.4優(yōu)秀級標(biāo)準(zhǔn)

交易主體在滿足中型企業(yè)優(yōu)秀級標(biāo)準(zhǔn)要求和大型企業(yè)進(jìn)階級標(biāo)準(zhǔn)要求的基礎(chǔ)上，還應(yīng)滿足以下要求：

a)交易主體應(yīng)定期對相關(guān)供應(yīng)鏈上下游數(shù)據(jù)處理活動安全風(fēng)險和數(shù)據(jù)安全管理能力進(jìn)行評估，

并留存評估過程和評估結(jié)果材料；

b)交易主體涉及數(shù)據(jù)處理平臺處理數(shù)據(jù)的，應(yīng)對重要數(shù)據(jù)使用或加工制定審批程序，對可能改

變用途、范圍的使用和加工等處理活動進(jìn)行評估和審批（如適用）；

c)交易主體應(yīng)根據(jù)相關(guān)標(biāo)準(zhǔn)識別重要數(shù)據(jù)，并對識別出的重要數(shù)據(jù)進(jìn)行數(shù)據(jù)標(biāo)記；

d)交易主體應(yīng)采取重復(fù)清除與覆蓋與消磁、粉碎等相結(jié)合的數(shù)據(jù)銷毀方法，防止被重標(biāo)識、重

關(guān)聯(lián)或非授權(quán)使用和泄露等；

e)交易主體應(yīng)監(jiān)測、分析、預(yù)測數(shù)據(jù)安全整體態(tài)勢，實現(xiàn)對數(shù)據(jù)安全威脅的發(fā)現(xiàn)識別、理解分

析和響應(yīng)處置；

f)交易主體應(yīng)建立數(shù)據(jù)資產(chǎn)地圖，對特定數(shù)據(jù)對象進(jìn)行標(biāo)記和跟蹤，構(gòu)建和維護(hù)數(shù)據(jù)血緣關(guān)系。

8

DB4403/TXXXXX—XXXX

7.3誠信維度評估

7.3.1概述

交易主體應(yīng)提交真實、準(zhǔn)確的材料，確保相關(guān)情況的真實可信，如實披露其近三年網(wǎng)絡(luò)安全、數(shù)據(jù)

安全、個人信息保護(hù)相關(guān)的刑事處罰、行政處罰、被訴和被仲裁案件。

注：評估交易主體在誠信維度所需的相關(guān)文件資料，可見附錄A。

7.3.2基礎(chǔ)級標(biāo)準(zhǔn)

交易主體應(yīng)滿足以下要求：

a)交易主體應(yīng)根據(jù)數(shù)據(jù)交易場所運營機構(gòu)的要求提交主體身份材料，并通過數(shù)據(jù)交易場所運營

機構(gòu)的審核登記（如適用）；

b)交易主體作為數(shù)據(jù)商，應(yīng)根據(jù)數(shù)據(jù)交易場所運營機構(gòu)的要求提交數(shù)據(jù)商主體準(zhǔn)入材料和適格

的數(shù)據(jù)交易承諾函，并通過數(shù)據(jù)交易場所運營機構(gòu)的審核認(rèn)證（如適用）；

c)交易主體近三年不應(yīng)存在與網(wǎng)絡(luò)安全、數(shù)據(jù)安全、個人信息保護(hù)等方面相關(guān)的且未整改完畢

的重大刑事處罰、重大行政處罰；

d)交易主體不應(yīng)存在違反數(shù)據(jù)交易相關(guān)書面承諾或深圳數(shù)據(jù)交易所業(yè)務(wù)規(guī)則的情形（如適用）；

注：重大案件的判斷，可從涉案金額、案件情節(jié)、影響范圍、裁判結(jié)果、案件社會知名度和影響力（如屬于最高法

指導(dǎo)案例或各級法院發(fā)布的典型案例）等維度，綜合判斷。

e)交易主體近三年不應(yīng)存在信用不良情況。

7.3.3進(jìn)階級標(biāo)準(zhǔn)

交易主體在滿足基礎(chǔ)級標(biāo)準(zhǔn)的基礎(chǔ)上，還應(yīng)滿足以下要求：

a)交易主體近三年不應(yīng)存在網(wǎng)絡(luò)安全、數(shù)據(jù)安全、個人信息保護(hù)相關(guān)的行政處罰、刑事處罰、

已決的不利被訴或被仲裁案件；

注：關(guān)于“不利”標(biāo)準(zhǔn)，可以綜合案件對交易主體市場聲譽、商業(yè)活動的正常進(jìn)行等維度進(jìn)行判斷。

b)交易主體應(yīng)具備數(shù)據(jù)交易經(jīng)驗，包括但不限于在深圳數(shù)據(jù)交易所等數(shù)據(jù)交易場所或場外開展

過數(shù)據(jù)交易活動。

7.3.4優(yōu)秀級標(biāo)準(zhǔn)

交易主體在滿足進(jìn)階級標(biāo)準(zhǔn)的基礎(chǔ)上，還應(yīng)滿足以下要求：

a)交易主體不應(yīng)存在違反除深圳數(shù)據(jù)交易所外其他數(shù)據(jù)交易場所運營機構(gòu)業(yè)務(wù)規(guī)則的情形；

b)交易主體近五年不應(yīng)存在網(wǎng)絡(luò)安全、數(shù)據(jù)安全、個人信息保護(hù)相關(guān)的行政處罰、刑事處罰、

已決的不利被訴或被仲裁案件。

7.4權(quán)益保障維度評估

7.4.1概述

交易主體應(yīng)完善自身權(quán)益保障機制，同時保障數(shù)據(jù)主體及合作方的權(quán)益。

注1：評估交易主體在權(quán)益維度所需的相關(guān)文件資料，可見附錄A。

注2：合作方是指交易主體在數(shù)據(jù)交易活動中任何與數(shù)據(jù)處理相關(guān)的合作方，包括數(shù)據(jù)來源方、數(shù)據(jù)處理受托方等。

7.4.2基礎(chǔ)級標(biāo)準(zhǔn)

交易主體應(yīng)滿足以下要求：

a)交易主體應(yīng)建立數(shù)據(jù)主體權(quán)益保障機制，包括權(quán)利告知、權(quán)利請求響應(yīng)和處理等；

9

DB4403/TXXXXX—XXXX

b)交易主體應(yīng)與合作方在合作協(xié)議中就數(shù)據(jù)處理行為約定權(quán)益保障義務(wù)和責(zé)任。

7.4.3進(jìn)階級標(biāo)準(zhǔn)

交易主體在滿足基礎(chǔ)級標(biāo)準(zhǔn)的基礎(chǔ)上，還應(yīng)遵守與合作方簽訂的合作協(xié)議約定的內(nèi)容，包括數(shù)據(jù)處

理的授權(quán)范圍以及其他約定，與合作方不存在數(shù)據(jù)相關(guān)的未決爭議。

7.4.4優(yōu)秀級標(biāo)準(zhǔn)

交易主體在滿足進(jìn)階級標(biāo)準(zhǔn)的基礎(chǔ)上，還應(yīng)滿足以下要求：

a)交易標(biāo)的涉及個人信息的，交易主體應(yīng)通過建立隱私管理平臺等形式，具備自動化響應(yīng)個人

信息主體權(quán)利請求的能力；

b)交易主體應(yīng)依照有關(guān)國家標(biāo)準(zhǔn)的要求，建立相應(yīng)的規(guī)范或管理體系，并獲得認(rèn)證；

c)交易主體應(yīng)對合作方的數(shù)據(jù)安全保護(hù)能力、資質(zhì)進(jìn)行核驗，了解其經(jīng)營范圍、資質(zhì)證照、數(shù)

據(jù)安全技術(shù)能力和管理能力、過往遵守相關(guān)法律法規(guī)的情況、合作方所在國家/地區(qū)對數(shù)據(jù)安

全的相關(guān)規(guī)定等，并留存對合作方資質(zhì)審核的資料。

8標(biāo)的合規(guī)評估

8.1合法維度評估

8.1.1概述

交易標(biāo)的來源、數(shù)據(jù)處理過程、內(nèi)容應(yīng)合法合規(guī)，不應(yīng)存在違反法律法規(guī)強制性規(guī)定、危害國家安

全、公共安全、第三方合法權(quán)益、違反社會主義公共秩序、善良風(fēng)俗的情形。

注：評估標(biāo)的合規(guī)合法維度所需的相關(guān)文件資料，可見附錄A。

8.1.2來源合法

8.1.2.1通用要求

交易標(biāo)的來源應(yīng)滿足以下要求：

a)交易標(biāo)的應(yīng)當(dāng)有真實合法的來源；

b)交易標(biāo)的為數(shù)據(jù)賣方自行生產(chǎn)的數(shù)據(jù)的，應(yīng)在合法經(jīng)營活動中產(chǎn)生，且能夠證明數(shù)據(jù)具有獨

立來源，不存在侵犯第三方合法權(quán)益的情形，若無法證明的，應(yīng)能夠提交數(shù)據(jù)具有獨立來源

的書面承諾；

c)交易標(biāo)的為從公開渠道獲取的數(shù)據(jù)的，應(yīng)能夠證明獲取方式與過程的合法性；

d)交易標(biāo)的為從第三方采購或獲得第三方授權(quán)運營的數(shù)據(jù)的，應(yīng)能夠證明采購或授權(quán)的合法性、

真實性、完整性和有效性；

e)交易標(biāo)的獲取過程、手段不應(yīng)存在違反法律法規(guī)強制性規(guī)定或者危害國家安全、公共安全或

侵犯第三方合法權(quán)益的情形，且不應(yīng)含有以欺詐、誘騙、誤導(dǎo)等方式或從非法、違規(guī)渠道獲

取的數(shù)據(jù)。

注1：數(shù)據(jù)的獨立來源是指，數(shù)據(jù)從數(shù)據(jù)賣方自身的經(jīng)營、科研、生產(chǎn)等活動或設(shè)備、資產(chǎn)中產(chǎn)生，不涉及未經(jīng)授

權(quán)或許可的任何第三方的數(shù)據(jù)、資產(chǎn)或數(shù)據(jù)處理活動。

注2：評估內(nèi)容一般包括：1）數(shù)據(jù)范圍，如公共數(shù)據(jù)（含政務(wù)數(shù)據(jù)）、運營商數(shù)據(jù)、互聯(lián)網(wǎng)/大數(shù)據(jù)企業(yè)數(shù)據(jù)；2）

數(shù)據(jù)類型，如個人信息或非個人信息；3）授權(quán)范圍，如數(shù)據(jù)的加工使用、數(shù)據(jù)產(chǎn)品的商業(yè)經(jīng)營等。

8.1.2.2公共數(shù)據(jù)

10

DB4403/TXXXXX—XXXX

交易標(biāo)的形成涉及對公共數(shù)據(jù)處理的，在滿足通用要求的基礎(chǔ)上，還應(yīng)滿足以下要求：

a)如公共數(shù)據(jù)為交易主體履行職責(zé)過程中自行制作、獲取的，交易主體應(yīng)取得內(nèi)部的審批同意

或有關(guān)主管部門的審批同意；

b)如公共數(shù)據(jù)為交易主體經(jīng)過授權(quán)運營、共享等方式獲得的，交易主體應(yīng)通過公共數(shù)據(jù)授權(quán)協(xié)

議或其他形式取得有關(guān)主管部門的有效授權(quán)；

c)如公共數(shù)據(jù)為交易主體經(jīng)過開放渠道獲得的，交易主體應(yīng)采用合法、正當(dāng)?shù)姆绞绞占?/p>

8.1.2.3個人信息

交易標(biāo)的形成涉及對個人信息進(jìn)行處理的，在滿足通用要求的基礎(chǔ)上，還應(yīng)滿足以下要求：

a)交易主體處理個人信息行為應(yīng)符合《個人信息保護(hù)法》要求的合法、正當(dāng)、必要與誠信等原

則的要求；

b)交易主體處理個人信息前已取得個人信息主體授權(quán)同意或具有其他處理個人信息的合法性基

礎(chǔ)，處理不滿十四周歲未成年人的個人信息，應(yīng)取得其監(jiān)護(hù)人的同意；

c)交易主體已依照相關(guān)法律法規(guī)要求向個人信息主體公示個人信息處理規(guī)則，涉及不滿十四周

歲未成年人個人信息的，應(yīng)制定專門的個人信息處理規(guī)則；

d)符合法律法規(guī)規(guī)定應(yīng)進(jìn)行個人信息保護(hù)影響評估情形的，交易主體應(yīng)進(jìn)行個人信息保護(hù)影響

評估并留存評估報告至少三年；

e)交易主體已按照相關(guān)法律法規(guī)要求，采取個人信息安全保護(hù)措施。

8.1.2.4重要數(shù)據(jù)

交易標(biāo)的涉及對重要數(shù)據(jù)進(jìn)行處理的，在滿足通用要求的基礎(chǔ)上，還應(yīng)滿足以下要求：

a)如重要數(shù)據(jù)為交易主體自行產(chǎn)生的，交易主體應(yīng)取得內(nèi)部的審批同意或有關(guān)主管部門的審批

同意；

b)如重要數(shù)據(jù)是從第三方采購或獲得第三方授權(quán)運營的數(shù)據(jù)的，交易主體應(yīng)當(dāng)與數(shù)據(jù)提供方或

授權(quán)方通過簽署相關(guān)協(xié)議、承諾書等方式，確保數(shù)據(jù)來源合法并明確雙方法律責(zé)任。

8.1.3處理合法

8.1.3.1通用要求

數(shù)據(jù)處理應(yīng)滿足以下通用要求：

a)數(shù)據(jù)處理行為應(yīng)是交易主體正常業(yè)務(wù)范圍內(nèi)的正當(dāng)經(jīng)營行為，不存在違反法律法規(guī)強制性規(guī)

定，危害國家利益、社會公共利益或侵害第三方合法權(quán)益的情形；

b)數(shù)據(jù)提供方或授權(quán)方對數(shù)據(jù)處理做出限制的，交易標(biāo)的涉及的數(shù)據(jù)處理不應(yīng)超出提供方或授

權(quán)方對授權(quán)期限、類型范圍、處理方式、目的等的限制，并履行法律法規(guī)規(guī)定的數(shù)據(jù)處理強

制性義務(wù)，遵循數(shù)據(jù)處理的合規(guī)要求。

8.1.3.2公共數(shù)據(jù)

公共數(shù)據(jù)處理在滿足通用要求的基礎(chǔ)上，還應(yīng)滿足以下要求：

a)交易主體處理公共數(shù)據(jù)應(yīng)當(dāng)遵守社會公序良俗，不宜違反社會公德；

b)交易主體處理公共數(shù)據(jù)應(yīng)當(dāng)遵循公共數(shù)據(jù)開發(fā)利用相關(guān)法律法規(guī)、公共數(shù)據(jù)授權(quán)協(xié)議對公共

數(shù)據(jù)處理的限制，不應(yīng)違反上述規(guī)定、約定處理公共數(shù)據(jù)。

8.1.3.3個人信息

個人信息處理在滿足通用要求的基礎(chǔ)上，還應(yīng)滿足以下要求：

11

DB4403/TXXXXX—XXXX

a)交易主體涉及處理個人信息的，應(yīng)當(dāng)遵循合法、正當(dāng)、必要和誠信原則，并具有明確合理的

目的，采取對個人權(quán)益影響最小的方式，不應(yīng)通過誤導(dǎo)、欺詐、脅迫等方式處理個人信息；

b)交易主體涉及處理個人信息的，應(yīng)當(dāng)公開個人信息處理規(guī)則，明示處理的目的、方式和范圍，

保障個人信息質(zhì)量，并采取必要措施保障個人信息安全；

c)交易主體處理個人信息應(yīng)取得個人信息主體的同意或具有其他處理個人信息的合法性基礎(chǔ)；

d)交易主體保存?zhèn)€人信息期限應(yīng)當(dāng)為實現(xiàn)處理目的所必要的最短時間，在個人信息處理完畢或

喪失合法性基礎(chǔ)、處理必要性時依法刪除、銷毀個人數(shù)據(jù)，但法律法規(guī)另有規(guī)定的除外；

e)交易主體委托處理個人信息的，應(yīng)當(dāng)與受托人約定委托處理的目的、期限、處理方式、個人

信息的種類、保護(hù)措施以及雙方的權(quán)利和義務(wù)等，并對受托人的個人信息處理活動進(jìn)行監(jiān)督；

f)交易主體處理不滿十四周歲未成年人個人信息的，應(yīng)當(dāng)取得未成年人的父母或者其他監(jiān)護(hù)人

的同意，并制定專門的個人信息處理規(guī)則；

g)交易標(biāo)的涉及處理敏感個人信息、利用個人信息進(jìn)行自動化決策、委托處理個人信息、向其

他個人信息處理者提供個人信息、公開個人信息、向境外提供個人信息或其他對個人權(quán)益有

重大影響的個人信息處理活動的，交易主體應(yīng)開展個人信息保護(hù)影響評估并履行相應(yīng)法律法

規(guī)要求的合規(guī)義務(wù)。

8.1.3.4重要數(shù)據(jù)

重要數(shù)據(jù)處理在滿足通用要求的基礎(chǔ)上，還應(yīng)滿足以下要求：

a)交易標(biāo)的涉及對重要數(shù)據(jù)進(jìn)行加工處理的，在根據(jù)法律法規(guī)要求進(jìn)行數(shù)據(jù)安全風(fēng)險評估的過

程中，應(yīng)當(dāng)對重要數(shù)據(jù)加工處理或流轉(zhuǎn)的情況進(jìn)行評估，并在向主管部門報送的數(shù)據(jù)安全風(fēng)

險評估報告中予以體現(xiàn)；

b)交易主體涉及處理工業(yè)和信息化領(lǐng)域重要數(shù)據(jù)的，應(yīng)當(dāng)將本單位重要數(shù)據(jù)目錄向本地區(qū)行業(yè)

監(jiān)管部門備案，備案內(nèi)容發(fā)生重大變化的，應(yīng)當(dāng)在發(fā)生變化的三個月內(nèi)履行變更備案手續(xù)，

備案內(nèi)容包括但不限于數(shù)據(jù)來源、類別、級別、規(guī)模、載體、處理目的和方式、使用范圍、

責(zé)任主體、對外共享、跨境傳輸、安全保護(hù)措施等基本情況；

c)交易主體涉及銷毀工業(yè)和信息化領(lǐng)域重要數(shù)據(jù)的，不應(yīng)以任何理由、任何方式對銷毀數(shù)據(jù)進(jìn)

行恢復(fù)，引起備案內(nèi)容發(fā)生變化的，應(yīng)當(dāng)履行備案變更手續(xù)。

8.1.4內(nèi)容合法

交易標(biāo)的應(yīng)滿足以下要求：

a)交易標(biāo)的不應(yīng)包含禁止采集的數(shù)據(jù)類型，如涉及限制采集、附條件處理的數(shù)據(jù)類型，應(yīng)當(dāng)符

合相應(yīng)的條件。

注1：如征信機構(gòu)禁止采集個人宗教信仰、基因、指紋、血型、疾病和病史信息以及法律、行政法規(guī)禁止采集的其

他個人信息。

注2：不滿足授權(quán)要求的個人信息，如配偶信息、聯(lián)系人信息、法定代表人身份證號及手機號信息。

注3：收入、存款、有價證券、商業(yè)保險、不動產(chǎn)的信息和納稅數(shù)據(jù)額信息，需明確告知信息主體提供該信息可能

產(chǎn)生的不利后果，并取得其書面同意。

b)交易標(biāo)的不應(yīng)存在危害國家安全、公共利益，侵犯第三方合法權(quán)益的內(nèi)容，包括：

1)交易標(biāo)的不應(yīng)存在危害國家利益、公共利益的可能性；

2)交易標(biāo)的不應(yīng)存在違反與第三方的合作協(xié)議、侵犯第三方知識產(chǎn)權(quán)、商業(yè)秘密、隱私權(quán)

等合法權(quán)益的可能性；

3)交易標(biāo)的不應(yīng)存在對個人信息或商業(yè)秘密進(jìn)行逆向識別的可能性。

c)交易標(biāo)的不應(yīng)包含以欺詐、誘騙、誤導(dǎo)等方式或從非法、違規(guī)渠道獲取的數(shù)據(jù)。

12

DB4403/TXXXXX—XXXX

d)交易標(biāo)的不應(yīng)包含違反《網(wǎng)絡(luò)信息內(nèi)容生態(tài)治理規(guī)定》《網(wǎng)絡(luò)音視頻信息服務(wù)管理規(guī)定》《互

聯(lián)網(wǎng)宗教信息服務(wù)管理辦法》等法律法規(guī)規(guī)定的內(nèi)容。

8.2安全維度評估

8.2.1概述

交易主體應(yīng)根據(jù)交易標(biāo)的所涉及的數(shù)據(jù)類型和重要程度采取不同級別的安全管理和技術(shù)措施，保障

交易標(biāo)的安全。

注1：評估標(biāo)的安全維度所需的相關(guān)文件資料，可見附錄A。

注2：例如，包含重要數(shù)據(jù)的交易標(biāo)的如要滿足進(jìn)階級標(biāo)準(zhǔn)，則需要同時滿足基礎(chǔ)級標(biāo)準(zhǔn)中的通用要求和該標(biāo)準(zhǔn)下

重要數(shù)據(jù)所列舉的全部要求，以及進(jìn)階級標(biāo)準(zhǔn)中的通用要求和該標(biāo)準(zhǔn)下重要數(shù)據(jù)所列舉的全部要求。

8.2.2基礎(chǔ)級標(biāo)準(zhǔn)

8.2.2.1通用要求

交易標(biāo)的應(yīng)滿足以下通用要求：

a)交易標(biāo)的所在的存儲區(qū)域與其他區(qū)域之間應(yīng)采取可靠的技術(shù)隔離手段；

b)對訪問交易標(biāo)的進(jìn)行身份標(biāo)識和鑒別，身份鑒別信息具有復(fù)雜度要求并定期更換；

c)存儲交易標(biāo)的應(yīng)使用適當(dāng)?shù)募夹g(shù)保護(hù)措施，保證交易標(biāo)的在存儲過程中的完整性、保密性；

d)交易標(biāo)的涉及數(shù)據(jù)處理平臺處理數(shù)據(jù)的，數(shù)據(jù)處理平臺應(yīng)按照等級保護(hù)的相關(guān)要求符合GB/T

22239—2019對應(yīng)的系統(tǒng)級別；

e)數(shù)據(jù)處理平臺涉及算法模型的，應(yīng)按照對應(yīng)保護(hù)措施要求部署管理措施和技術(shù)措施，如使用

的算法模型根據(jù)法律法規(guī)要求需要進(jìn)行備案的，應(yīng)根據(jù)要求進(jìn)行備案；

f)應(yīng)定期對交易標(biāo)的進(jìn)行識別、梳理及分類，防止非法賬號、閑置賬號、過期賬號的存在；

g)已按照相關(guān)法律法規(guī)的明確要求，對交易標(biāo)的采取安全保護(hù)措施。

8.2.2.2公共數(shù)據(jù)

涉及公共數(shù)據(jù)的交易標(biāo)的，在滿足基礎(chǔ)級通用要求的基礎(chǔ)上，還應(yīng)滿足以下要求：

a)應(yīng)滿足DB4403/T271—2022中基本安全要求的條款內(nèi)容；

b)應(yīng)滿足GB/T22239—2019中二級要求關(guān)于數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份恢復(fù)的內(nèi)容。

8.2.2.3個人信息

涉及個人信息的交易標(biāo)的，在滿足通用要求的基礎(chǔ)上，還應(yīng)滿足以下要求：

a)應(yīng)把個人生物識別信息與個人身份識別信息分開存儲，并有單獨的訪問控制措施；

b)應(yīng)對交易標(biāo)的的訪問進(jìn)行身份驗證，驗證方式應(yīng)采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩

種以上組合的鑒別技術(shù)對雙方進(jìn)行身份鑒別，且其中一種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)來實

現(xiàn)；

c)除非取得個人信息主體同意，原則上應(yīng)采用去標(biāo)識化等技術(shù)手段，對涉及的個人信息進(jìn)行去

標(biāo)識化處理后再進(jìn)行交易，并且評估滿足GB/T42460—2023中1級的要求；

d)數(shù)據(jù)賣方應(yīng)在涉及個人信息的數(shù)據(jù)交易前，對涉及個人信息的交易活動開展個人信息保護(hù)影

響評估，并采取相應(yīng)措施控制個人信息泄露風(fēng)險，而且評估結(jié)果為無高危風(fēng)險；

e)數(shù)據(jù)賣方涉及個人信息的數(shù)據(jù)交易的，應(yīng)按照個人信息保護(hù)審計相關(guān)法律法規(guī)要求定期對個

人信息合規(guī)進(jìn)行審計。

8.2.2.4重要數(shù)據(jù)

13

DB4403/TXXXXX—XXXX

涉及重要數(shù)據(jù)的交易標(biāo)的，在滿足通用要求的基礎(chǔ)上，還應(yīng)滿足以下要求：

a)如涉及脫敏后的重要數(shù)據(jù)交易，數(shù)據(jù)賣方應(yīng)評價重要數(shù)據(jù)脫敏有效性，評估脫敏后的風(fēng)險為無

高危風(fēng)險；

b)涉及處理重要數(shù)據(jù)的，應(yīng)當(dāng)滿足國家相關(guān)法律法規(guī)對重要數(shù)據(jù)處理的要求。

8.2.3進(jìn)階級標(biāo)準(zhǔn)

8.2.3.1通用要求

交易標(biāo)的在滿足基礎(chǔ)級標(biāo)準(zhǔn)通用要求基礎(chǔ)上，還應(yīng)滿足GB/T22239—2019內(nèi)第三級要求中關(guān)于數(shù)據(jù)

完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份恢復(fù)、剩余信息保護(hù)的相關(guān)內(nèi)容。

8.2.3.2公共數(shù)據(jù)

在滿足進(jìn)階級標(biāo)準(zhǔn)通用要求和公共數(shù)據(jù)基礎(chǔ)級標(biāo)準(zhǔn)的基礎(chǔ)上，交易標(biāo)的原則上應(yīng)滿足DB4403/T271

—2022中規(guī)定的三級增強安全要求。

8.2.3.3個人信息

在滿足進(jìn)階級標(biāo)準(zhǔn)通用要求和個人信息基礎(chǔ)級標(biāo)準(zhǔn)的基礎(chǔ)上，還應(yīng)滿足以下要求：

a)原則上應(yīng)采用去標(biāo)識化等技術(shù)手段，對涉及的個人信息進(jìn)行去標(biāo)識化處理后再進(jìn)行交易，并

且評估滿足GB/T42460—2023中2或者3級的要求；

b)數(shù)據(jù)賣方應(yīng)在涉及個人信息的數(shù)據(jù)交易前，對涉及個人信息的交易活動開展個人信息保護(hù)影

響評估，并采取相應(yīng)措施控制個人信息泄露風(fēng)險，而且評估結(jié)果為無中高危風(fēng)險；

c)數(shù)據(jù)賣方涉及個人信息的數(shù)據(jù)交易，應(yīng)定期對個人信息合規(guī)進(jìn)行審計，并且審計結(jié)果為無中

高危風(fēng)險；

d)按照“原始數(shù)據(jù)不出域、數(shù)據(jù)可用不可見”的要求，交易標(biāo)的應(yīng)采用隱私計算方式進(jìn)行個人

信息加工處理。

8.2.3.4重要數(shù)據(jù)

在滿足進(jìn)階級標(biāo)準(zhǔn)通用要求和重要數(shù)據(jù)基礎(chǔ)級標(biāo)準(zhǔn)的基礎(chǔ)上，還應(yīng)滿足以下要求：

a)涉及數(shù)據(jù)處理平臺處理數(shù)據(jù)的，應(yīng)采用密碼技術(shù)保證從外部數(shù)據(jù)源導(dǎo)入重要數(shù)據(jù)存儲的完整

性、保密性，其中使用的密碼技術(shù)，應(yīng)符合國家密碼管理主管部門的要求；

b)如涉及脫敏后的重要數(shù)據(jù)交易，數(shù)據(jù)賣方應(yīng)評價重要數(shù)據(jù)脫敏有效性，評估脫敏后的風(fēng)險，

結(jié)果為無中高危風(fēng)險；

c)涉及數(shù)據(jù)處理平臺處理數(shù)據(jù)的，應(yīng)采用隱私計算技術(shù)進(jìn)行數(shù)據(jù)處理，防止原始重要數(shù)據(jù)泄露

的風(fēng)險。

8.2.4優(yōu)秀級標(biāo)準(zhǔn)

8.2.4.1通用要求

在滿足進(jìn)階級標(biāo)準(zhǔn)的基礎(chǔ)上，交易標(biāo)的還應(yīng)滿足GB/T22239—2019中第四級要求中數(shù)據(jù)完整性、數(shù)

據(jù)保密性、數(shù)據(jù)備份恢復(fù)、剩余信息保護(hù)的相關(guān)要求。

8.2.4.2公共數(shù)據(jù)

在滿足優(yōu)秀級標(biāo)準(zhǔn)通用要求和公共數(shù)據(jù)進(jìn)階級標(biāo)準(zhǔn)的基礎(chǔ)上，交易標(biāo)的原則上應(yīng)滿足DB4403/T271

—2022中規(guī)定的四級增強安全要求。

14

DB4403/TXXXXX—XXXX

8.2.4.3個人信息

在滿足優(yōu)秀級標(biāo)準(zhǔn)通用要求和個人信息進(jìn)階級標(biāo)準(zhǔn)的基礎(chǔ)上，還應(yīng)滿足以下要求：

a)原則上應(yīng)采用去標(biāo)識化等技術(shù)手段，對涉及的個人信息進(jìn)行去標(biāo)識化處理后再進(jìn)行交易，并

且評估滿足GB/T42460—2023中4級不包含任何標(biāo)識符的要求；

b)交易標(biāo)的為個人信息匿名化處理后數(shù)據(jù)的，應(yīng)按照相關(guān)規(guī)定、標(biāo)準(zhǔn)的要求達(dá)到匿名化的效果，

并確保數(shù)據(jù)交易相關(guān)方在合法合規(guī)的情形下，不借助額外信息無法識別特定自然人；

c)按照“原始數(shù)據(jù)不出域、數(shù)據(jù)可用不可見”的要求，交易標(biāo)的如采用隱私計算方式進(jìn)行個人

信息加工處理的情況，隱私計算平臺應(yīng)通過權(quán)威機構(gòu)的安全檢測，并獲得相關(guān)證書。

8.2.4.4重要數(shù)據(jù)

在滿足優(yōu)秀級標(biāo)準(zhǔn)通用要求和重要數(shù)據(jù)進(jìn)階級標(biāo)準(zhǔn)的基礎(chǔ)上，還應(yīng)滿足以下要求：

a)交易標(biāo)的的存儲應(yīng)使用加密算法，保證交易標(biāo)的在存儲過程中的完整性、保密性，其中使用

的密碼技術(shù)，應(yīng)符合國家密碼管理主管部門的要求；

b)涉及數(shù)據(jù)處理平臺處理數(shù)據(jù)的，應(yīng)采用密碼技術(shù)保證從外部數(shù)據(jù)源導(dǎo)入重要數(shù)據(jù)存儲的完整

性、保密性，其中使用的密碼技術(shù)，應(yīng)符合國家密碼管理主管部門的要求；

c)如涉及脫敏后的重要數(shù)據(jù)交易，數(shù)據(jù)賣方應(yīng)評價重要數(shù)據(jù)脫敏有效性，評估脫敏后的風(fēng)險，

并且能評估重要數(shù)據(jù)重關(guān)聯(lián)或非授權(quán)使用和泄露等風(fēng)險，應(yīng)能防止數(shù)據(jù)交易相關(guān)方重標(biāo)識重

要數(shù)據(jù)；

d)涉及數(shù)據(jù)處理平臺處理數(shù)據(jù)的，如果采用了隱私計算技術(shù)進(jìn)行數(shù)據(jù)處理，則隱私計算平臺應(yīng)

通過權(quán)威機構(gòu)的安全檢測，并獲得相關(guān)證書；

e)數(shù)據(jù)交易相關(guān)方應(yīng)保證存有重要數(shù)據(jù)的存儲空間在被釋放或重新分配前得到完全清除。

8.3誠信維度評估

8.3.1概述

交易標(biāo)的的相關(guān)說明應(yīng)真實、準(zhǔn)確，相關(guān)情況真實可信。

注：評估交易標(biāo)的誠信維度所需的相關(guān)文件資料，可見附錄A。

8.3.2基礎(chǔ)級標(biāo)準(zhǔn)

交易標(biāo)的應(yīng)滿足以下要求：

a)交易主體提交的交易標(biāo)的相關(guān)登記材料真實、準(zhǔn)確、完整，數(shù)據(jù)賣方應(yīng)依據(jù)實際情況披露交

易標(biāo)的的描述說明、適用范圍、更新頻率、計費方式等信息，并向數(shù)據(jù)交易場所運營機構(gòu)提

供產(chǎn)品或服務(wù)樣例；

b)交易標(biāo)的相關(guān)說明文檔、材料應(yīng)內(nèi)容完整、規(guī)范，并且與交易標(biāo)的實際情況相一致；

c)交易主體應(yīng)向數(shù)據(jù)交易場所運營機構(gòu)提交與數(shù)據(jù)交易相關(guān)的書面承諾；

注：例如，數(shù)據(jù)交易承諾函、同類數(shù)據(jù)產(chǎn)品上市承諾函、無重大風(fēng)險變化承諾函等。

d)交易標(biāo)的不應(yīng)存在違反與數(shù)據(jù)交易相關(guān)書面承諾或深圳數(shù)據(jù)交易所業(yè)務(wù)規(guī)則的情況；

e)交易主體近三年不應(yīng)存在因交易標(biāo)的不符合網(wǎng)絡(luò)安全、數(shù)據(jù)安全、個人信息保護(hù)等方面法律

法規(guī)要求而被刑事處罰、行政處罰，且仍未整改完畢的情形。

8.3.3進(jìn)階級標(biāo)準(zhǔn)

交易標(biāo)的在滿足基礎(chǔ)級標(biāo)準(zhǔn)的基礎(chǔ)上，還應(yīng)滿足以下要求：

a)交易標(biāo)的應(yīng)具備在數(shù)據(jù)交易場所的交易記錄，包括但不限于在深圳數(shù)據(jù)交易所等數(shù)據(jù)交易場

15

DB4403/TXXXXX—XXXX

所開展過數(shù)據(jù)標(biāo)的交易，且不應(yīng)存在違反前述運營機構(gòu)業(yè)務(wù)規(guī)則的情形；

b)交易主體近三年不應(yīng)存在因交易標(biāo)的不符合網(wǎng)絡(luò)安全、數(shù)據(jù)安全、個人信息保護(hù)等方面法律

法規(guī)要求而被刑事處罰、行政處罰的情形、已決的不利重大被訴或被仲裁案件。

8.3.4優(yōu)秀級標(biāo)準(zhǔn)

交易標(biāo)的在滿足進(jìn)階級標(biāo)準(zhǔn)的基礎(chǔ)上，還應(yīng)滿足以下要求：

a)交易主體持有的其他與交易標(biāo)的屬于同類或類似數(shù)據(jù)產(chǎn)品應(yīng)具備在數(shù)據(jù)交易場所交易記錄，

包括但不限于在深圳數(shù)據(jù)交易所等數(shù)據(jù)交易場所開展過數(shù)據(jù)交易，且不應(yīng)存在違反前述運營

機構(gòu)業(yè)務(wù)規(guī)則的情形；

b)交易主體近五年不應(yīng)存在因交易標(biāo)的或同類、類似數(shù)據(jù)產(chǎn)品不符合網(wǎng)絡(luò)安全、數(shù)據(jù)安全、個

人信息保護(hù)等方面法律法規(guī)要求而被刑事處罰、行政處罰的情形、已決的不利重大被訴或被

仲裁案件。

8.4權(quán)益保障維度評估

8.4.1概述

交易標(biāo)的應(yīng)具備權(quán)益保障等機制。

注：評估交易標(biāo)的在權(quán)益維度所需的相關(guān)文件資料，可見附錄A。

8.4.2基礎(chǔ)級標(biāo)準(zhǔn)

交易標(biāo)的應(yīng)滿足以下要求：

a)交易標(biāo)的涉及知識產(chǎn)權(quán)的，應(yīng)具備數(shù)據(jù)相關(guān)知識產(chǎn)權(quán)的權(quán)利證明文件或存在知識產(chǎn)權(quán)相關(guān)協(xié)

議，不存在侵犯第三方知識產(chǎn)權(quán)等合法權(quán)利、權(quán)益的情形；

b)交易標(biāo)的涉及處理個人信息且具有相應(yīng)告知條件的，應(yīng)以清晰顯著方式告知相關(guān)主體權(quán)益并

設(shè)置便捷的權(quán)益主張渠道，包括權(quán)益告知、權(quán)益請求響應(yīng)、權(quán)益異常處理等機制，以清晰方

式公布數(shù)據(jù)主體主張權(quán)利路徑及交易主體的聯(lián)系方式等；

c)交易標(biāo)的涉及處理不滿十四周歲未成年人個人信息且具有相應(yīng)告知條件的，應(yīng)依法公示未成

年人個人信息保護(hù)規(guī)則，并提供適合未成年人使用條件與狀況的服務(wù)版本。

8.4.3進(jìn)階級標(biāo)準(zhǔn)

交易標(biāo)的在滿足基礎(chǔ)級標(biāo)準(zhǔn)的基礎(chǔ)上，還應(yīng)滿足以下要求：

a)交易標(biāo)的涉及個人信息的且具有相應(yīng)條件的，交易主體應(yīng)就交易標(biāo)的設(shè)置響應(yīng)個人信息主體

權(quán)益請求機制，并滿足GB/T35273—2020第8.7條的要求；

b)交易主體具有相應(yīng)條件的應(yīng)就交易標(biāo)的設(shè)置投訴管理機制，對用戶的投訴及時做出回應(yīng)。

8.4.4優(yōu)秀級標(biāo)準(zhǔn)

交易標(biāo)的在滿足進(jìn)階級標(biāo)準(zhǔn)的基礎(chǔ)上，交易主體應(yīng)獲得數(shù)據(jù)產(chǎn)權(quán)登記機構(gòu)頒發(fā)的數(shù)據(jù)資源或數(shù)據(jù)產(chǎn)

品登記證書。

9流通合規(guī)評估

9.1合法維度評估

9.1.1流通對象

16

DB4403/TXXXXX—XXXX

數(shù)據(jù)交易流通對象應(yīng)滿足以下要求：

a)數(shù)據(jù)買方應(yīng)滿足本文件第7章的合法維度相關(guān)要求；

b)數(shù)據(jù)買方應(yīng)提供所屬行業(yè)、數(shù)據(jù)需求內(nèi)容、數(shù)據(jù)用途等信息，以確保采購需求真實、合法、

合理，與其所在行業(yè)、業(yè)務(wù)需求相符；

c)交易主體應(yīng)在流通前取得相關(guān)主體對數(shù)據(jù)流通及數(shù)據(jù)使用的授權(quán)；

d)數(shù)據(jù)買方應(yīng)按照交易申報的使用目的、場景和方式，并按照買賣雙方約定和數(shù)據(jù)授權(quán)使用的

目的、范圍以及限制，合法合規(guī)地使用數(shù)據(jù)。

注：例如涉及個人信息的，已取得個人關(guān)于數(shù)據(jù)流通、流通后數(shù)據(jù)使用的合法有效授權(quán)；例如涉及公共數(shù)據(jù)的，已

取得相關(guān)主體對數(shù)據(jù)流通和數(shù)據(jù)使用的授權(quán)。

9.1.2流通內(nèi)容

交易標(biāo)的應(yīng)具有可交易性，不應(yīng)具有以下情形：

a)可能危害國家安全、公共利益；

b)可能侵犯第三方的合法權(quán)益；

c)交易標(biāo)的含有未依法獲得授權(quán)的個人信息或有不借助其他數(shù)據(jù)的情況下可以識別特定自然人

的數(shù)據(jù)；

d)交易標(biāo)的含有未依法公開、開放的公共數(shù)據(jù)；

e)法律法規(guī)規(guī)定禁止交易的其他情形。

9.1.3流通程序

數(shù)據(jù)交易流通程序應(yīng)滿足以下要求：

a)數(shù)據(jù)交易涉及許可、備案等行政手續(xù)的，交易主體應(yīng)向有關(guān)部門申請許可、履行備案或辦理

其他行政手續(xù)；

注：例如涉及工業(yè)和信息化領(lǐng)域重要數(shù)據(jù)流通的，應(yīng)履行備案手續(xù)。涉及出口管制物項及物項相關(guān)技術(shù)資料出境的，

應(yīng)向國家出口管制管理部門申請許可。

b)數(shù)據(jù)交易涉及數(shù)據(jù)出境的，交易主體應(yīng)和數(shù)據(jù)處理者應(yīng)根據(jù)適用的法律法規(guī)履行數(shù)據(jù)出境相

關(guān)義務(wù)。

9.2安全維度評估

9.2.1概述

交易主體應(yīng)根據(jù)數(shù)據(jù)交易標(biāo)的類型和重要程度采取不同級別的安全管理措施和安全技術(shù)措施。相同

級別標(biāo)準(zhǔn)的合規(guī)要求應(yīng)首先滿足本級別中通用要求的標(biāo)準(zhǔn)，再滿足對應(yīng)數(shù)據(jù)類型的合規(guī)要求。相同數(shù)據(jù)

類型的合規(guī)要求應(yīng)首先滿足上一級別標(biāo)準(zhǔn)的同類型數(shù)據(jù)合規(guī)要求，再滿足本級別標(biāo)準(zhǔn)的合規(guī)要求。

注1：評估流通合規(guī)在安全維度所需的相關(guān)文件資料，可見附錄A。

注2：如包含重要數(shù)據(jù)的交易標(biāo)的流通過程如要滿足進(jìn)階級標(biāo)準(zhǔn)，則需要同時滿足基礎(chǔ)級標(biāo)準(zhǔn)中的通用要求和該標(biāo)

準(zhǔn)下重要數(shù)據(jù)所列舉的全部要求，以及進(jìn)階級標(biāo)準(zhǔn)中的通用要求和該標(biāo)準(zhǔn)下重要數(shù)據(jù)所列舉的全部要求。

9.2.2基礎(chǔ)級標(biāo)準(zhǔn)

9.2.2.1通用要求

交易流通應(yīng)滿足以下通用要求：

a)交易主體應(yīng)開展數(shù)據(jù)交易安全風(fēng)險評估，評估內(nèi)容包含在數(shù)據(jù)交易過程中數(shù)據(jù)被篡改、破壞、

泄露、丟失或者被非法獲取、非法利用的風(fēng)險，以及對國家安全、公共利益帶來的風(fēng)險，評

17

DB4403/TXXXXX—XXXX

估結(jié)果應(yīng)為無高危風(fēng)險；

b)交易主體應(yīng)在數(shù)據(jù)交易流通前進(jìn)行身份驗證；

c)交易主體應(yīng)采用安全的數(shù)據(jù)傳輸通道，采取加密、簽名、防重放等措施，確保數(shù)據(jù)在傳輸過程

中的保密性、完整性、不可否認(rèn)性；

d)交易數(shù)據(jù)交付完成后，數(shù)據(jù)賣方應(yīng)立即關(guān)閉數(shù)據(jù)訪問渠道；

e)在數(shù)據(jù)交易結(jié)束后，交易主體應(yīng)保存數(shù)據(jù)交易日志，日志信息包含數(shù)據(jù)交易過程中的關(guān)鍵內(nèi)容：

交易唯一標(biāo)識、交易時間、數(shù)據(jù)賣方、數(shù)據(jù)買方、交易的數(shù)據(jù)類型、交易結(jié)果等相關(guān)審計信

息，相關(guān)日志信息不可篡改并至少保存六個月；

f)交易主體應(yīng)能配合監(jiān)管部門調(diào)查訪問交易日志、重要數(shù)據(jù)交易服務(wù)合約等相關(guān)過程文檔資料，

支持監(jiān)管部門開展數(shù)據(jù)交易服務(wù)的安全審計工作；

g)交易主體應(yīng)對交付數(shù)據(jù)內(nèi)容進(jìn)行監(jiān)測和核驗，如發(fā)現(xiàn)異常情況，及時中斷數(shù)據(jù)交易行為，并按

照相關(guān)應(yīng)急預(yù)案及時處理。發(fā)現(xiàn)違法違規(guī)事件，應(yīng)及時上報相關(guān)主管部門、監(jiān)督管理部門，

并保留好相關(guān)日志證據(jù)。

9.2.2.2公共數(shù)據(jù)

涉及公共數(shù)據(jù)流通的，在滿足通用要求的基礎(chǔ)上，交易主體還應(yīng)在交易流通前進(jìn)行身份驗證，驗證

方式應(yīng)采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對雙方進(jìn)行身份鑒別，且其中

一種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)來實現(xiàn)。

9.2.2.3個人信息

涉及個人信息流通的，在滿足通用要求的基礎(chǔ)上，還應(yīng)滿足以下要求：

a)交易主體應(yīng)在數(shù)據(jù)交易前，對涉及個人信息的交易活動開展個人信息保護(hù)影響評估，并采取

相應(yīng)措施控制個人信息泄露風(fēng)險，而且評估結(jié)果為無高危風(fēng)險；

b)交易主體應(yīng)在交易流通前進(jìn)行身份驗證，驗證方式應(yīng)采用口令、密碼技術(shù)、生物技術(shù)等兩種

或兩種以上組合的鑒別技術(shù)對雙方進(jìn)行身份鑒別，且其中一種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)

來實現(xiàn)；

c)交易主體應(yīng)保存?zhèn)€人信息交易活動情況記錄至少三年。

9.2.2.4重要數(shù)據(jù)

涉及重要數(shù)據(jù)流通的，在滿足通用要求的基礎(chǔ)上，還應(yīng)滿足以下要求：

a)交易主體的數(shù)據(jù)安全負(fù)責(zé)人應(yīng)對風(fēng)險評估結(jié)果進(jìn)行審核，確保數(shù)據(jù)可交易，并將評估結(jié)果和

審批記錄留存三年以上；

b)交易主體應(yīng)在交易流通前進(jìn)行身份驗證，驗證方式應(yīng)采用口令、密碼技術(shù)、生物技術(shù)等兩種

或兩種以上組合的鑒別技術(shù)對雙方進(jìn)行身份鑒別，且其中一種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)

來實現(xiàn)；

c)交易主體應(yīng)對數(shù)據(jù)交易的全過程進(jìn)行審計，并采用標(biāo)記、數(shù)字水印、區(qū)塊鏈等技術(shù)，確保數(shù)

據(jù)交付過程所記錄信息具有不可篡改性，并對相關(guān)方數(shù)據(jù)交易過程的審計進(jìn)程進(jìn)行保護(hù)、防

止未授權(quán)的中斷，具備對數(shù)據(jù)交易過程可追溯的能力；

d)交易主體應(yīng)在數(shù)據(jù)傳輸鏈路上部署交易數(shù)據(jù)監(jiān)控工具，發(fā)現(xiàn)異常情況應(yīng)能及時告警。

9.2.3進(jìn)階級標(biāo)準(zhǔn)

9.2.3.1通用要求

18

DB4403/TXXXXX—XXXX

在滿足基礎(chǔ)級標(biāo)準(zhǔn)通用要求的基礎(chǔ)上，交易主體應(yīng)在交易流通前進(jìn)行身份驗證，驗證方式應(yīng)采用口

令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對雙方進(jìn)行身份鑒別，且其中一種鑒別技術(shù)

至少應(yīng)使用密碼技術(shù)來實現(xiàn)。

9.2.3.2公共數(shù)據(jù)

在滿足進(jìn)階級標(biāo)準(zhǔn)通用要求和公共數(shù)據(jù)基礎(chǔ)級標(biāo)準(zhǔn)的基礎(chǔ)上，交易主體應(yīng)開展數(shù)據(jù)交易安全風(fēng)險評

估，評估內(nèi)容包含在數(shù)據(jù)交易過程中數(shù)據(jù)被篡改、破壞、泄露、丟失或者被非法獲取、非法利用的風(fēng)險，

以及對國家安全、公共利益帶來的風(fēng)險，評估結(jié)果為無中高危風(fēng)險。

9.2.3.3個人信息

在滿足進(jìn)階級標(biāo)準(zhǔn)通用要求和個人信息基礎(chǔ)級標(biāo)準(zhǔn)的基礎(chǔ)上，還應(yīng)滿足以下要求：

a)數(shù)據(jù)賣方應(yīng)在涉及個人信息的數(shù)據(jù)交易前，對涉及個人信息的交易活動開展個人信息保護(hù)影

響評估，并采取相應(yīng)措施控制個人信息泄露風(fēng)險，而且評估結(jié)果為無中高危風(fēng)險；

b)原則上應(yīng)按照“原始數(shù)據(jù)不出域、數(shù)據(jù)可用不可見”的要求進(jìn)行交易，如采用隱私計算等方

式。

9.2.3.4重要數(shù)據(jù)

在滿足進(jìn)階