1 范圍

      本標(biāo)準(zhǔn)規(guī)定了通過數(shù)據(jù)交易服務(wù)機構(gòu)進行數(shù)據(jù)交易服務(wù)的安全要求，包括數(shù)據(jù)交易參與方、交易對象和交易過程的安全要求。

      本標(biāo)準(zhǔn)適用于數(shù)據(jù)交易服務(wù)機構(gòu)進行安全自評估，也可供第三方測評機構(gòu)對數(shù)據(jù)交易服務(wù)機構(gòu)進行安全評估時參考。

2 規(guī)范性引用文件

      下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 22239-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求

      GB/T 25069-2010 信息安全技術(shù) 術(shù)語

      GB/T 35273-2017 信息安全技術(shù) 個人信息安全規(guī)范

      GB/T 35274-2017 信息安全技術(shù) 大數(shù)據(jù)服務(wù)安全能力要求

      GB/T 36343-2018 信息技術(shù) 數(shù)據(jù)交易服務(wù)平臺 交易數(shù)據(jù)描述

      GB/T 37988-2019 信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型

3 術(shù)語和定義

      GB/T 25069-2010和GB/T 36343-2018界定的以及下列術(shù)語和定義適用于本文件。

3.1

      數(shù)據(jù)交易 data transaction

      數(shù)據(jù)供方和需方之間以數(shù)據(jù)商品作為交易對象，進行的以貨幣或貨幣等價物交換數(shù)據(jù)商品的行為。

      注1：數(shù)據(jù)商品包括用于交易的原始數(shù)據(jù)或加工處理后的數(shù)據(jù)衍生產(chǎn)品。

      注2：數(shù)據(jù)交易包括以大數(shù)據(jù)或其衍生品作為數(shù)據(jù)商品的數(shù)據(jù)交易，也包括以傳統(tǒng)數(shù)據(jù)或其衍生品作為數(shù)據(jù)商品的數(shù)據(jù)交易。

3.2

      數(shù)據(jù)供方 data supplier

      數(shù)據(jù)交易中提供數(shù)據(jù)的組織機構(gòu)。

3.3

      數(shù)據(jù)需方 data acquirer

      數(shù)據(jù)交易中購買和使用數(shù)據(jù)的組織機構(gòu)。

3.4

      數(shù)據(jù)交易服務(wù) data transaction service

      幫助數(shù)據(jù)供方和需方完成數(shù)據(jù)交易的活動。

3.5

      數(shù)據(jù)交易服務(wù)機構(gòu) data transaction service provider

      為數(shù)據(jù)供需雙方提供數(shù)據(jù)交易服務(wù)的組織機構(gòu)。

3.6

      數(shù)據(jù)交易服務(wù)平臺 data transaction service platform

      為數(shù)據(jù)交易提供各項服務(wù)的信息化平臺。

3.7

      在線數(shù)據(jù)交付 online data delivery

      數(shù)據(jù)供方通過網(wǎng)絡(luò)向數(shù)據(jù)需方交付數(shù)據(jù)的模式。

3.8

      離線數(shù)據(jù)交付 offline data delivery

      數(shù)據(jù)供需雙方在達(dá)成數(shù)據(jù)交易協(xié)議后，由數(shù)據(jù)供方通過離線方式將數(shù)據(jù)從供方提供給需方的交付模式。

3.9

      托管數(shù)據(jù)交易 custodian data delivery

      數(shù)據(jù)供需雙方在達(dá)成數(shù)據(jù)交易協(xié)議后，由供方將數(shù)據(jù)拷貝到數(shù)據(jù)交易服務(wù)機構(gòu)指定的數(shù)據(jù)托管服務(wù)平臺，需方在數(shù)據(jù)托管服務(wù)平臺內(nèi)使用數(shù)據(jù)，數(shù)據(jù)不發(fā)生轉(zhuǎn)移的交付模式。

3.10

      數(shù)據(jù)交易過程 data exchanging process

      數(shù)據(jù)供需雙方依托數(shù)據(jù)交易服務(wù)平臺針對具體的數(shù)據(jù)交易對象，進行的一次完整和具體的數(shù)據(jù)交易行為。

      注：數(shù)據(jù)交易過程一般分為交易申請、交易磋商、交易實施和交易結(jié)束等環(huán)節(jié)。

3.11

      重要數(shù)據(jù) important data

      我國機構(gòu)和個人在境內(nèi)收集、產(chǎn)生的不涉及國家秘密，但與國家安全、經(jīng)濟發(fā)展以及公共利益密切相關(guān)的數(shù)據(jù)。

      注：重要數(shù)據(jù)通常指公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域的各類機構(gòu)在開展業(yè)務(wù)活動中收集和產(chǎn)生的，不涉及國家秘密，但一旦泄露、篡改或濫用將會對國家安全、經(jīng)濟發(fā)展和社會公共利益造成不利影響的數(shù)據(jù)（包括原始數(shù)據(jù)和衍生數(shù)據(jù)）。

      ［GB/T 35274-2017，定義3.13］

4 安全概述

4.1 參考框架

      數(shù)據(jù)交易是供需雙方對原始數(shù)據(jù)或加工處理后的數(shù)據(jù)依照交易過程進行的活動。通過數(shù)據(jù)交易服務(wù)機構(gòu)進行的數(shù)據(jù)交易服務(wù)參考框架如圖1所示。數(shù)據(jù)交易涉及數(shù)據(jù)供方、數(shù)據(jù)需方和數(shù)據(jù)交易服務(wù)機構(gòu)。數(shù)據(jù)交易服務(wù)機構(gòu)依托數(shù)據(jù)交易服務(wù)平臺，為數(shù)據(jù)供需雙方提供數(shù)據(jù)交易服務(wù)。從數(shù)據(jù)交易服務(wù)機構(gòu)角度出發(fā)，數(shù)據(jù)交易過程一般包括交易申請、交易磋商、交易實施和交易結(jié)束四個環(huán)節(jié)。常見的數(shù)據(jù)交付模式包括在線模式、離線模式和托管模式。

圖1 數(shù)據(jù)交易服務(wù)參考框架

4.2 數(shù)據(jù)交易安全原則

      數(shù)據(jù)交易應(yīng)遵循以下原則：

      a）合法合規(guī)原則：數(shù)據(jù)交易應(yīng)遵守我國關(guān)于數(shù)據(jù)安全管理的相關(guān)法律法規(guī)，尊重社會公德，不得損害國家利益、社會公共利益和他人合法權(quán)益。

      b）主體責(zé)任共擔(dān)原則：數(shù)據(jù)供需雙方及數(shù)據(jù)交易服務(wù)機構(gòu)對數(shù)據(jù)交易后果負(fù)責(zé)，共同確保數(shù)據(jù)交易的安全。

      c）數(shù)據(jù)安全防護原則：數(shù)據(jù)交易服務(wù)機構(gòu)應(yīng)采取數(shù)據(jù)安全保護、檢測和響應(yīng)等措施，防止數(shù)據(jù)丟失、損毀、泄露和篡改，確保數(shù)據(jù)安全。

      d) 個人信息保護原則：數(shù)據(jù)供需雙方和數(shù)據(jù)交易服務(wù)機構(gòu)應(yīng)采取個人信息安全保護技術(shù)和管理措施，避免個人信息的非法收集、非法獲取、非法出售、濫用、泄露等安全風(fēng)險，切實保護個人權(quán)益。

      e）交易過程可控原則：應(yīng)確保數(shù)據(jù)交易參與方的真實可信、交易對象合法、數(shù)據(jù)交付過程可控和交易的非否認(rèn)性，做到安全事件可追溯、安全風(fēng)險可防范。

5 數(shù)據(jù)交易參與方安全要求

5.1 數(shù)據(jù)供方安全要求

      數(shù)據(jù)交易服務(wù)機構(gòu)應(yīng)確保數(shù)據(jù)供方滿足以下要求：

      a）為一年內(nèi)無重大數(shù)據(jù)類違法違規(guī)記錄的合法組織機構(gòu)。

      b）完成在數(shù)據(jù)交易服務(wù)機構(gòu)的注冊，并經(jīng)數(shù)據(jù)交易服務(wù)機構(gòu)審核通過，才允許參與數(shù)據(jù)交易業(yè)務(wù)。

      c）數(shù)據(jù)供方應(yīng)證明其具備向數(shù)據(jù)需方安全交付數(shù)據(jù)的能力。

      d）向數(shù)據(jù)交易服務(wù)機構(gòu)提供書面的安全承諾，內(nèi)容包括但不限于：交易數(shù)據(jù)來源合法性證明材料、交易數(shù)據(jù)滿足法律法規(guī)和政策要求、對交易數(shù)據(jù)質(zhì)量評估說明、遵守數(shù)據(jù)交易安全原則、愿意接受數(shù)據(jù)交易服務(wù)機構(gòu)安全監(jiān)督、愿意對數(shù)據(jù)流通后果負(fù)責(zé)等。

      e）遵守數(shù)據(jù)交易服務(wù)機構(gòu)的安全管理制度和流程。

5.2 數(shù)據(jù)需方安全要求

      數(shù)據(jù)交易服務(wù)機構(gòu)應(yīng)確保數(shù)據(jù)需方滿足以下要求：

以上為標(biāo)準(zhǔn)部分內(nèi)容，如需看標(biāo)準(zhǔn)全文，請到相關(guān)授權(quán)網(wǎng)站購買標(biāo)準(zhǔn)正版。