上海数据交易所数据交易合规管理规范(试行)
为规范数据交易行为,确保数据交易合规和安全,维护数据交易参与方的合法权益,建立合法、公平、可信的数据交易秩序,培育数据要素市场,促进数字经济高质量发展,上海数据交易所根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《上海市数据条例》等相关规定和数据交易实际,制定本规范。
本规范是数据交易参与方进行数据交易与相关服务的自律规范。
在上海数据交易所直属数据交易平台或下设的专业板块数据交易平台从事数据交易与相关服务,适用本规范。
数据交易双方从事数据治理管理、数据产品生产和从事数据交易的合规和风控管理,适用本规范。
数据专业评估服务商进行数据产品合规评估,适用本规范。
本规范与其他相关规范共同作为《上海数据交易所数据交易规范(试行)》不可分割的部分。
《上海数据交易所术语一览表(试行)》对术语的定义适用于本规范。
数据交易参与方从事数据交易与相关服务,应当遵守《上海数据交易所数据交易规范(试行)》规定的五项基本原则:合法透明原则,安全可控原则,合规自律原则,权利义务一致原则,促进数据流通原则。
数据交易双方应当建立与组织经营和发展目标相适应的数据合规组织和管理体系,将数据合规管理贯彻到各业务部门,贯彻到组织管理运行各个环节。至少应当:
(一)有明确的数据合规管理责任人,负责整个组织的合规;
(二)制定与数据规模、行业监管、数据风险等相一致的数据合规制度并有效实施;
(三)及时贯彻实施最新生效的法律法规,转化为合规行动;
(四)组织数据合规教育培训,培养数据合规文化。
供方应当具有相应数据交易安全和合规管理及风险控制能力,确保挂牌交易的数据产品合规和安全。在从事数据产品交易过程中,供方应当做到:
(一)确保数据来源合法;
(二)确保对涉个人信息的数据进行去标识化处理;
(三)确保核心数据、敏感个人信息不进入数据流通或采取了相应的安全措施;
(四)确保数据产品交易不违反国家强制性法律规定;
(五)对交易数据产品的使用有相应的约束,监督数据产品的使用可控。
需方应当具有相应数据交易安全和合规管理及风险控制能力,确保数据产品的使用合规和安全。在从事数据产品交易过程中,需方应当做到:
(一)依数据交易双方所约定的数据使用范围、使用目的(用途)、使用条件、约束机制等使用数据,确保数据产品的使用不违反国家强制性法律规定;
(二)对数据产品使用行为的合规性和安全性负责,以危害性最小或风险最小的方式使用数据产品;
(三)确保数据分析应用不侵害个人隐私,确保涉及个人信息的识别利用遵循法律规定;
(四)履行相应的安全管理义务,防范信息泄露和未经授权访问,确保合法正当地公开信息或提供数据;
(五)对算法、机器学习实施必要的合规管理,确保数据产品的应用不侵权或不具有社会危害性。
合法持有数据的组织可以根据一定的标准和目的将其管理的数据转化为可交易数据产品。
数据产品进入上海数据交易所体系进行挂牌交易必须满足合法、安全和可交易原则。拟挂牌数据产品持有者可以聘请专业评估机构对挂牌产品的合法性、安全性和可交易性进行审核和认定,出具评估意见。
数据交易双方主体应当满足《上海数据交易所数商管理规范(试行)》的相关要求。
拟挂牌数据产品持有者应满足以下两个条件:
(一)有正当合法的经营目的,且挂牌数据产品在本身的业务范围内或者与自身业务有密切关系;
(二)数据产品有明确的应用场景、需求、目的或用途。
数据产品的生产应当有合法的数据来源。一般应当遵守以下规则:
(一)对公开数据的收集,应当说明公开数据的获取方式及其合法性,应当说明符合网站的政策和各种协议及行业规则;
(二)对于组织经营活动和信息系统自行产生的数据,应当说明系统建设和运维情况及其数据采集活动情况;
(三)对于协议方式取得的数据,应当提供完整的购买协议、合作协议或许可使用协议等;
(四)其他合法数据来源的证明。
数据产品持有者进行挂牌交易,须证明其对数据产品享有合法和正当的权利。拟挂牌者提供如下证明,可推定其交易具有正当性:
(一)对合法取得的数据进行处理、加工,具有实质性投入;
(二)法律法规和相关政策不禁止该数据产品的交易;
(三)数据产品中不包含法律禁止或不宜交易的数据。
交易涉个人信息的数据产品,应当遵守以下规定:
(一)基于个人单独同意的交易:
证明涉个人信息的数据采集字段、采集方式在采集时已经获得个人同意或依据法律法规规定合法取得;
证明对取得的数据进行了合法处理;
证明对交易的数据已经获得个人单独同意。
(二)基于匿名化的数据产品的交易:
进行匿名化处理,数据产品中不再具有直接关联到个人的信息;
供方对数据产品的使用采取相应约束措施,需方确保识别个人的使用遵守法律规定。
上述两种形式导致的个人信息流通使用应当符合商业道德与伦理,不得利用个人隐私侵害用户权益。
数据交易平台应当提供安全的数据流通环境,数据交易双方应当能够确保数据产品的流通交付安全和使用安全,确保数据产品流通交易的安全风险可控和可追溯。
数据交易双方原则上应当确保数据产品交易不出境或使用不出境。
数据产品出境交易或数据产品应用涉及出境可能的,应当遵守国家关于数据出境管制规定,履行必要的手续,确保数据出境符合国家法律规定和数据交易不影响国家安全、损害公共利益。
数据产品涉及出境的须单独评估,或采取国家允许的合法流通方式。
拟挂牌数据产品持有者应当委托有相应数据交易合规专业审查和评估能力的机构对数据产品交易合规性进行审查。
数据合规评估服务商应当勤勉尽职,依法依规进行数据交易合规评估,对出具的评估报告及报告内容承担相应的责任。
上海数据交易所应当对数商委托数据合规评估服务商出具的合规评估报告进行形式审查,并在数据交易平台披露报告摘要。
上海数据交易所认为合规评估存在瑕疵或者数据产品交易合规性存在问题的,可以拒绝该数据产品的登记和挂牌,或中止交易。
上海数据交易所及应当建立数据产品挂牌和交易安全的风控体系,记录每一笔交易合规审查过程,建立对数据产品的合规和安全事件应急处置机制。
数据交易平台应当建立数据交易安全合规巡查制度,对进行中和已完成的数据产品交易全过程进行随机检查和合规审计。
上海数据交易所和数据交易平台运营者发现数据产品不合规的,应当驳回登记申请,中止交易并屏蔽产品和交易信息。
上海数据交易所和数据交易平台运营者发现数据产品持有者提供虚假材料,但该材料不影响其数据产品交易的,上海数据交易所对相关交易主体提出书面警示,或约谈负责人并要求提供书面整改承诺;
上海数据交易所和数据交易平台运营者发现数据产品持有者以欺骗等不正当手段挂牌交易的,限制或禁止相关账户的数据产品交易,情节恶劣的取消其数商资格,造成严重后果的依法上报有关主管部门处理;
上海数据交易所发现数据合规评估服务商未能勤勉尽责的可提出警示,弄虚作假的取消其数据合规评估服务商资格。
相关主体对处置措施有异议的,可以向上海数据交易所提出复核申请。复核期间不停止相关措施的执行。
上海数据交易所根据最新法律规定更新本规范。本规范没有特别规定的,按照上海数据交易所其他规范或者其他法律规定处理。
本规范由上海数据交易所负责修订与解释。
上海数据交易所可根据本规范制定相应指引和标准。
本规范自公布之日起实施。