上海数据交易所数据交易安全合规指引(试行)
上海数据交易所数据交易安全合规指引(试行)
(2023年11月通过)
第一条 为加强数据交易参与方关于数据交易合规与安全的理解和认知,引导交易主体合规、安全开展数据交易,本所根据《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《上海市数据条例》等法律法规,结合本所数据交易实际,制定本指引。
第二条 开展数据交易时,数据交易参与方应当遵守以下基本要求:
(一)遵守我国关于数据流通与交易管理的法律法规,尊重社会公德、商业道德,服从监督管理;
(二)采取必要措施,做到交易过程可控制、风险可防范、责任可追溯、合规性可监督;
(三)数据交易参与方应当诚实守信,恪守承诺,全面及时履行合同约定及相关承诺;
(四)数据交易参与方在享有数据权益的同时,应当履行相关义务,确保数据交易安全合规。
第三条 数据交易参与方在本所进行数据交易与相关服务活动时,可以参照指引规定开展数据交易。
第四条 数据交易参与方主体资质是进行有效数据交易的基础要件,为保障数据交易安全,数据交易参与方资质应当满足下列要求:
(一)系依法成立并有效存续的法人、非法人组织;
(二)具有良好的商业信誉,近一年内无重大数据类违法违规记录且未出现重大网络和数据安全事故;
(三)法定代表人、董事、监事不存在重大数据类违法违规行为、被列为失信被执行人以及其他可能对数据交易活动构成实质性重大不利影响的情形;
(四)不存在可能对数据交易活动构成实质性重大不利影响的其他情形。
第五条 合规经营能力是数据交易参与方进行有效数据交易的重要要素,为保障数据交易安全,在本所开展数据交易的,应当满足下列持续合规经营能力要求:
(一)不存在影响持续经营的重大财务风险;
(二)不存在影响持续经营的担保、诉讼以及仲裁等重大事项;
(三)不存在影响持续经营能力的其他情形。
第六条 为降低数据交易和流通风险,数据交易参与方应当积极履行数据安全保护义务,建立健全全流程数据安全管理制度,采取相应的技术措施和其他必要措施,确保数据在安全的基础上有序流通。
第七条 设立数据安全管理部门,承担以下职责:
(一)在全面梳理业务和现有资源的基础上,充分评估各相关部门在日常处理数据活动中的主要风险,明确数据全生命周期的安全要求;
(二)结合业务需求、监管要求、自身能力,确定企业数据安全目标,制定数据安全战略;
(三)指定人员实施内部数据安全管理工作,明确工作职责与任务;
(四)制定与完善数据安全管理规范体系并推动其有效实施;
(五)统筹实施数据安全管理工作,监督落实数据安全管理制度及技术防护措施执行情况,对数据处理活动定期开展数据安全风险评估;
(六)建立安全风险监测体系,采取措施监控内部数据处理活动和外部访问活动,防范不正当的数据访问和处理行为;
(七)建立数据安全事件应急管理制度,制定数据安全事件应急预案并定期进行演练,及时处置数据安全风险和事件;
(八)定期对员工进行数据安全宣传教育培训并考察员工能力与岗位职责的匹配程度;
(九)建立数据安全投诉受理、调查与督导机制,督促企业落实数据安全保护义务。
第八条 数据交易参与方在对数据进行全面梳理时,可以参照国家标准和行业标准,结合自身业务对数据进行分类分级,形成目录清单并采取相匹配的保护和管理措施。
第九条 数据交易参与方应当建立数据全生命周期安全管理制度,针对不同类型和级别数据,实施数据收集、存储、使用、加工、传输、提供、销毁等环节的保护与管理,保障数据的保密性、完整性、可用性和合规性。
第十条 数据交易参与方可以结合数据应用场景以及数据分类分级情况,建立覆盖数据全生命周期的安全防护机制,采取数据加密、数据脱敏、身份认证、入侵防护、安全监测等技术保护措施,提高数据安全保障能力。
第十一条 数据交易参与方应当明确关键岗位人员及员工数据安全问责规范,可以通过制定管理制度和操作规程、数据安全培训及考核等方式提升企业员工的数据安全意识。
第十二条 数据交易参与方应当制定数据安全事件应急预案,积极开展数据安全应急演练,提高对数据安全事件的预防和应对能力。
第十三条 供方使用自动化工具收集公开数据的,应当符合以下要求:
(一)不得以不正当竞争为目的,违反诚实信用获取数据;
(二)不得违法侵入涉密网站和计算机信息系统获取数据;
(三)不得以非法获取内部访问、操作权限等方式,未经授权或超越授权范围获取数据;
(四)不得干扰被访问网站的正常运营或者妨碍计算机信息系统正常运行;
(五)不得以技术破解方式突破网站、计算机信息系统为保护数据而设置的技术保护措施;
(六)未征得相关主体同意的,不得收集涉及他人知识产权、商业秘密或者非公开的个人信息的数据;
(七)法律法规规定的其他要求。
第十四条 供方在生产经营活动中产生的或通过自身信息系统生产的数据,应当确保数据的生产和处理行为合法,不存在侵犯第三方合法权益的情形。
第十五条 供方通过采购、共享、授权许可等方式获取数据的,应当符合以下要求:
(一)保存数据采购协议、共享或授权许可文件。前述协议或文件内容应当约定供方取得对相关数据的授权使用、加工、对外提供等相应权利;
(二)法律法规及相关政策明确规定开展数据采集应当取得特殊资质、许可、认证或备案的,供方应当确认已取得数据采集所必需的特殊资质、许可、认证或备案;
(三)确认数据来源方向供方提供数据获取渠道合法、权利清晰无争议的承诺;
(四)法律法规及相关政策规定的其他要求。
第十六条 供方在生产经营活动中收集个人数据的,需确保个人信息的收集具有明确、合理的目的,并遵循合法正当、最小必要、告知同意等原则。具体要求如下:
(一)基于个人同意处理个人信息的,仅收集与实现产品或服务的业务功能直接相关的个人信息,并且限于实现处理目的最短周期、最低频次,采取对个人权益影响最小的方式;
(二)供方应当按照法律法规要求获得个人信息主体的同意或单独同意,并能够提供相关证明材料;
(三)交易数据涉及个人信息处理的,应当事先进行个人信息保护影响评估或取得个人信息保护认证;
(四)采取去标识化、匿名化等安全技术措施,防止未经授权的访问以及个人信息泄露、篡改和丢失;
(五)法律法规规定的其他要求。
第十七条 数据产品的可交易性是指在数据来源合法的基础上,该类数据形成的数据产品具有合法性、可控性、流通性。为保障数据交易的合法合规,供方应当确认其提供的数据产品属于法律法规允许交易的范围,数据处理符合法律规定,不包含禁止交易的数据。
第十八条 数据产品不得含有危害国家安全、违反公序良俗或侵害他人合法权益的违法信息,具体要求如下:
(一)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;
(二)损害国家荣誉和利益的;
(三)歪曲、丑化、亵渎、否定英雄烈士事迹和精神,以侮辱、诽谤或者其他方式侵害英雄烈士的姓名、肖像、名誉、荣誉的;
(四)宣扬恐怖主义、极端主义或者煽动实施恐怖活动、极端主义活动的;
(五)煽动民族仇恨、民族歧视,破坏民族团结的;
(六)破坏国家宗教政策,宣扬邪教和封建迷信的;
(七)散布谣言,扰乱经济秩序和社会秩序的;
(八)散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;
(九)侮辱或者诽谤他人,侵害他人名誉、隐私和其他合法权益的;
(十)以违反诚实信用的方式不正当获取和使用他人数据,严重损害其他经营者和消费者的合法权益,扰乱市场公平竞争秩序的;
(十一)其他法律法规禁止的内容。
第十九条 数据产品涉及重要数据的,应当在符合相关法律法规规定后开展交易,具体要求如下:
(一)自行或者委托数据安全服务机构进行安全风险评估,评估结果不存在危害国家安全、公共利益的情形的;
(二)订立书面协议,明确数据交易供需方的数据安全责任;
(三)对需方的安全保护能力、资质进行核验;
(四)法律法规规定需要征得相关部门同意的,应当取得同意。
第二十条 供方应当说明数据产品的知识投入情况和注入劳动情况。数据处理过程包括对原始数据进行必要的数据脱敏、清洗、标注、整合、分析,通过算法运用、深度融合等方法形成数据产品。
第二十一条 法律法规对数据产品应用场景、使用对象等有特别规定的,数据交易供需方应当从其规定。
第二十二条 供方向境外提供数据产品,需符合以下要求:
(一)需要申报数据出境安全评估的,应当按照国家网信部门要求,通过所在地省级网信部门向国家网信部门申报数据出境安全评估,并履行数据安全保护责任和义务;
(二)无需向国家网信部门申报数据出境安全评估,但涉及个人信息出境的,应当遵照法律法规规定的数据出境要求开展数据出境活动,并履行法律法规及相关政策规定的其他义务。
第二十三条 数据交易供需方应当签署数据交易协议,确保协议内容合法合规,不侵犯他人合法权益,并应当至少包含以下条款:交易数据的用途、使用范围、交付方式、使用期限、安全义务、交易价格、保密约定、争议解决等。
第二十四条 本指引由上海数据交易所负责修订与解释。
第二十五条 本指引自发布之日起实施。