1 范圍

      本標(biāo)準(zhǔn)規(guī)定了通過數(shù)據(jù)交易服務(wù)機(jī)構(gòu)進(jìn)行數(shù)據(jù)交易服務(wù)的安全要求，包括數(shù)據(jù)交易參與方、交易對象和交易過程的安全要求。

      本標(biāo)準(zhǔn)適用于數(shù)據(jù)交易服務(wù)機(jī)構(gòu)進(jìn)行安全自評估，也可供第三方測評機(jī)構(gòu)對數(shù)據(jù)交易服務(wù)機(jī)構(gòu)進(jìn)行安全評估時參考。

2 規(guī)范性引用文件

      下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 22239-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求

      GB/T 25069-2010 信息安全技術(shù) 術(shù)語

      GB/T 35273-2017 信息安全技術(shù) 個人信息安全規(guī)范

      GB/T 35274-2017 信息安全技術(shù) 大數(shù)據(jù)服務(wù)安全能力要求

      GB/T 36343-2018 信息技術(shù) 數(shù)據(jù)交易服務(wù)平臺 交易數(shù)據(jù)描述

      GB/T 37988-2019 信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型

3 術(shù)語和定義

      GB/T 25069-2010和GB/T 36343-2018界定的以及下列術(shù)語和定義適用于本文件。

3.1

      數(shù)據(jù)交易 data transaction

      數(shù)據(jù)供方和需方之間以數(shù)據(jù)商品作為交易對象，進(jìn)行的以貨幣或貨幣等價物交換數(shù)據(jù)商品的行為。

      注1：數(shù)據(jù)商品包括用于交易的原始數(shù)據(jù)或加工處理后的數(shù)據(jù)衍生產(chǎn)品。

      注2：數(shù)據(jù)交易包括以大數(shù)據(jù)或其衍生品作為數(shù)據(jù)商品的數(shù)據(jù)交易，也包括以傳統(tǒng)數(shù)據(jù)或其衍生品作為數(shù)據(jù)商品的數(shù)據(jù)交易。

3.2

      數(shù)據(jù)供方 data supplier

      數(shù)據(jù)交易中提供數(shù)據(jù)的組織機(jī)構(gòu)。

3.3

      數(shù)據(jù)需方 data acquirer

      數(shù)據(jù)交易中購買和使用數(shù)據(jù)的組織機(jī)構(gòu)。

3.4

      數(shù)據(jù)交易服務(wù) data transaction service

      幫助數(shù)據(jù)供方和需方完成數(shù)據(jù)交易的活動。

3.5

      數(shù)據(jù)交易服務(wù)機(jī)構(gòu) data transaction service provider

      為數(shù)據(jù)供需雙方提供數(shù)據(jù)交易服務(wù)的組織機(jī)構(gòu)。

3.6

      數(shù)據(jù)交易服務(wù)平臺 data transaction service platform

      為數(shù)據(jù)交易提供各項服務(wù)的信息化平臺。

3.7

      在線數(shù)據(jù)交付 online data delivery

      數(shù)據(jù)供方通過網(wǎng)絡(luò)向數(shù)據(jù)需方交付數(shù)據(jù)的模式。

3.8

      離線數(shù)據(jù)交付 offline data delivery

      數(shù)據(jù)供需雙方在達(dá)成數(shù)據(jù)交易協(xié)議后，由數(shù)據(jù)供方通過離線方式將數(shù)據(jù)從供方提供給需方的交付模式。

3.9

      托管數(shù)據(jù)交易 custodian data delivery

      數(shù)據(jù)供需雙方在達(dá)成數(shù)據(jù)交易協(xié)議后，由供方將數(shù)據(jù)拷貝到數(shù)據(jù)交易服務(wù)機(jī)構(gòu)指定的數(shù)據(jù)托管服務(wù)平臺，需方在數(shù)據(jù)托管服務(wù)平臺內(nèi)使用數(shù)據(jù)，數(shù)據(jù)不發(fā)生轉(zhuǎn)移的交付模式。

3.10

      數(shù)據(jù)交易過程 data exchanging process

      數(shù)據(jù)供需雙方依托數(shù)據(jù)交易服務(wù)平臺針對具體的數(shù)據(jù)交易對象，進(jìn)行的一次完整和具體的數(shù)據(jù)交易行為。

      注：數(shù)據(jù)交易過程一般分為交易申請、交易磋商、交易實施和交易結(jié)束等環(huán)節(jié)。

3.11

      重要數(shù)據(jù) important data

      我國機(jī)構(gòu)和個人在境內(nèi)收集、產(chǎn)生的不涉及國家秘密，但與國家安全、經(jīng)濟(jì)發(fā)展以及公共利益密切相關(guān)的數(shù)據(jù)。

      注：重要數(shù)據(jù)通常指公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域的各類機(jī)構(gòu)在開展業(yè)務(wù)活動中收集和產(chǎn)生的，不涉及國家秘密，但一旦泄露、篡改或濫用將會對國家安全、經(jīng)濟(jì)發(fā)展和社會公共利益造成不利影響的數(shù)據(jù)（包括原始數(shù)據(jù)和衍生數(shù)據(jù)）。

      ［GB/T 35274-2017，定義3.13］

4 安全概述

4.1 參考框架

      數(shù)據(jù)交易是供需雙方對原始數(shù)據(jù)或加工處理后的數(shù)據(jù)依照交易過程進(jìn)行的活動。通過數(shù)據(jù)交易服務(wù)機(jī)構(gòu)進(jìn)行的數(shù)據(jù)交易服務(wù)參考框架如圖1所示。數(shù)據(jù)交易涉及數(shù)據(jù)供方、數(shù)據(jù)需方和數(shù)據(jù)交易服務(wù)機(jī)構(gòu)。數(shù)據(jù)交易服務(wù)機(jī)構(gòu)依托數(shù)據(jù)交易服務(wù)平臺，為數(shù)據(jù)供需雙方提供數(shù)據(jù)交易服務(wù)。從數(shù)據(jù)交易服務(wù)機(jī)構(gòu)角度出發(fā)，數(shù)據(jù)交易過程一般包括交易申請、交易磋商、交易實施和交易結(jié)束四個環(huán)節(jié)。常見的數(shù)據(jù)交付模式包括在線模式、離線模式和托管模式。

圖1 數(shù)據(jù)交易服務(wù)參考框架

4.2 數(shù)據(jù)交易安全原則

      數(shù)據(jù)交易應(yīng)遵循以下原則：

      a）合法合規(guī)原則：數(shù)據(jù)交易應(yīng)遵守我國關(guān)于數(shù)據(jù)安全管理的相關(guān)法律法規(guī)，尊重社會公德，不得損害國家利益、社會公共利益和他人合法權(quán)益。

      b）主體責(zé)任共擔(dān)原則：數(shù)據(jù)供需雙方及數(shù)據(jù)交易服務(wù)機(jī)構(gòu)對數(shù)據(jù)交易后果負(fù)責(zé)，共同確保數(shù)據(jù)交易的安全。

      c）數(shù)據(jù)安全防護(hù)原則：數(shù)據(jù)交易服務(wù)機(jī)構(gòu)應(yīng)采取數(shù)據(jù)安全保護(hù)、檢測和響應(yīng)等措施，防止數(shù)據(jù)丟失、損毀、泄露和篡改，確保數(shù)據(jù)安全。

      d) 個人信息保護(hù)原則：數(shù)據(jù)供需雙方和數(shù)據(jù)交易服務(wù)機(jī)構(gòu)應(yīng)采取個人信息安全保護(hù)技術(shù)和管理措施，避免個人信息的非法收集、非法獲取、非法出售、濫用、泄露等安全風(fēng)險，切實保護(hù)個人權(quán)益。

      e）交易過程可控原則：應(yīng)確保數(shù)據(jù)交易參與方的真實可信、交易對象合法、數(shù)據(jù)交付過程可控和交易的非否認(rèn)性，做到安全事件可追溯、安全風(fēng)險可防范。

5 數(shù)據(jù)交易參與方安全要求

5.1 數(shù)據(jù)供方安全要求

      數(shù)據(jù)交易服務(wù)機(jī)構(gòu)應(yīng)確保數(shù)據(jù)供方滿足以下要求：

      a）為一年內(nèi)無重大數(shù)據(jù)類違法違規(guī)記錄的合法組織機(jī)構(gòu)。

      b）完成在數(shù)據(jù)交易服務(wù)機(jī)構(gòu)的注冊，并經(jīng)數(shù)據(jù)交易服務(wù)機(jī)構(gòu)審核通過，才允許參與數(shù)據(jù)交易業(yè)務(wù)。

      c）數(shù)據(jù)供方應(yīng)證明其具備向數(shù)據(jù)需方安全交付數(shù)據(jù)的能力。

      d）向數(shù)據(jù)交易服務(wù)機(jī)構(gòu)提供書面的安全承諾，內(nèi)容包括但不限于：交易數(shù)據(jù)來源合法性證明材料、交易數(shù)據(jù)滿足法律法規(guī)和政策要求、對交易數(shù)據(jù)質(zhì)量評估說明、遵守數(shù)據(jù)交易安全原則、愿意接受數(shù)據(jù)交易服務(wù)機(jī)構(gòu)安全監(jiān)督、愿意對數(shù)據(jù)流通后果負(fù)責(zé)等。

      e）遵守數(shù)據(jù)交易服務(wù)機(jī)構(gòu)的安全管理制度和流程。

5.2 數(shù)據(jù)需方安全要求

      數(shù)據(jù)交易服務(wù)機(jī)構(gòu)應(yīng)確保數(shù)據(jù)需方滿足以下要求：

以上為標(biāo)準(zhǔn)部分內(nèi)容，如需看標(biāo)準(zhǔn)全文，請到相關(guān)授權(quán)網(wǎng)站購買標(biāo)準(zhǔn)正版。