上海数据交易所数据交易安全规范(试行)
为规范数据交易行为,明确数据交易参与方安全责任,维护数据交易参与方的合法权益,建立合法、公平、可信的数据交易秩序,培育数据要素市场,促进数字经济高质量发展,上海数据交易所根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《上海市数据条例》等相关规定和数据交易实际,制定本规范。
本规范是数据交易参与方进行数据交易与相关服务的自律规范。
在上海数据交易所直属数据交易平台或下设的专业板块数据交易平台从事数据交易与相关服务,适用本规范。
本规范与其他相关规范共同作为《上海数据交易所数据交易规范(试行)》不可分割的部分。
《上海数据交易所术语一览表(试行)》对术语的定义适用于本规范。
数据交易参与方从事数据交易与相关服务,应当遵守《上海数据交易所数据交易规范(试行)》规定的五项基本原则:合法透明原则,安全可控原则,合规自律原则,权利义务一致原则,促进数据流通原则。
上海数据交易所及数据交易参与方的数据活动应遵循以下原则:
(一)合法合规原则:数据交易应遵守我国关于数据安全管理的法律法规,尊重社会公德,不得损害国家利益、社会公共利益和他人合法权益。
(二)责任承担原则:各数据交易参与方应当对各自数据活动的法律后果和安全风险承担责任。
(三)数据分类分级原则:根据数据产品在经济社会发展中的重要程度以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益和个人、组织合法权益造成的危害程度,供需双方及上海数据交易所应对数据产品进行差异化合规管理。
(四)数据安全防护原则:数据交易双方与上海数据交易所应采取数据安全保护、检测和响应等措施,防止数据丢失、损毁、泄露和篡改,确保数据安全。
(五)个人信息保护原则:数据交易双方与上海数据交易应采取个人信息安全保护技术和管理措施,避免个人信息的非法收集、非法获取、非法出售、滥用、泄露等安全风险,切实保护个人权益;所涉及的个人信息内容和处理行为不得与相关法律法规冲突,坚持去标识化流通原则。
上海数据交易所应当依照有关法律法规及国家标准的强制性要求,在网络安全等级保护的基础上,建设并维护数据交易管理和支持系统,采取技术保护措施和其他必要措施,监测、防御、处置网络安全风险和威胁,防范网络攻击和违法犯罪活动,维护交易数据的完整性、保密性和可用性。
上海数据交易所应当设置专门安全管理机构负责安全保护工作,建立健全网络安全保护制度和责任制,保障人力、财力、物力投入,切实履行《网络安全法》《数据安全法》等法律的明确的安全责任。
上海数据交易所负责监督与管理各数据交易参与方履行的安全义务,维护数据交易安全。
上海数据交易所应当根据国家有关法律,建立《上海数据交易所审慎交易数据清单(试行)》,在上海数据交易所直属数据交易平台或下设的专业板块数据交易平台贯彻实施。
数据交易平台由上海数据交易所直属数据交易平台或下设的专业板块数据交易平台组成,各数据交易平台应满足以下基本安全要求:
(一)应符合三级等保资质要求,并针对数据泄露事件制定紧急处置预案;
(二)应能对交易过程进行安全控制,遇有违法投诉或安全事件,应暂停交易。纠纷解决或事件消除后,视情况恢复交易;
(三)应当在运营过程中,记录操作处理、权限管理、交易过程等日志。日志留存时间不少于六个月;
(四)应具备数据交易安全审计能力,能对每笔数据交易操作进行记录,记录内容至少包括:唯一标识、交易量、单价、金额、时间等。数据交易记录至少保留三年;
(五)允许数据供方和数据需方查询各自交易记录统计信息。
数据交易平台按照数据产品对国家安全、公共利益或者个人、组织合法权益的影响和重要程度进行分类分级,针对不同类别级别的数据产品采取相应保护措施。
数据交易平台应当对交易过程进行管理,确保交易过程可控,责任可追溯,合规性可监督。
数据交易平台应依照法律、法规、规章和国家标准的强制性要求,建立健全数据安全管理制度,组织开展安全教育培训,采取相应的技术措施和其他必要措施,保障数据交易安全。
数据交易平台如发生下列重大数据交易安全事件,应当通过上海数据交易所向有关部门报告。
(一)数据交易系统遭遇外部攻击或发现重大网络安全威胁;
(二)关系国家安全的数据泄露或不法出境;
(三)发生重大违法数据交易,可能产生重大社会影响;
(四)其他重要安全事件。
数据交易双方应当具备从事数据交易需要的合法资格、良好信用、数据治理能力、安全交付能力,并应满足以下基本安全要求:
(一)在中国境内依法设立并有效存续,数据依法存储在中国境内;
(二)过去三年无数据交易、隐私保护相关的行政处罚与行业处分;
(三)应当具备相应的数据安全管理能力,过去三年无无重大数据类违法违规行为;
(四)应当设立数据安全负责人和管理机构,落实数据安全保护责任;
(五)数据交易双方应具备的其他合法资质。
数据交易双方应承诺数据交易活动满足法律法规和政策要求、遵守数据交易安全原则、对数据流通法律后果承担责任。
交易协议形成时,数据交易双方应当明确约定数据产品使用目的、范围、方式和期限等条件,诚实和严格履行合同,维护数据交易安全。
交易完成时,数据供方应及时关闭数据传输接口并确认数据产品交付完成,数据需方应确认数据产品接收完成。
数据交易双方应遵守上海数据交易所的安全管理制度和流程,积极参与上海数据交易所安全体系建设,维护数据交易生态体系安全。
为数据交易提供各项服务的其他数据交易服务商,包括数据交付服务商、数据专业评估服务商、数据专业中介服务商、数据专业咨询服务商、清结算服务商,应当满足以下基本安全要求:
(一)在中国境内依法设立并有效存续,数据依法存储在中国境内;
(二)组织治理结构完善,具备与从事数据交易相关服务相匹配的风险控制和数据保护能力;
(三)过去三年无数据相关行政处罚和行业处分以及其他重大违法违规行为。
从事数据交付的数据交付服务商应当提供安全、可信的交付环境,确保数据交付的安全。
在发生交付数据泄露或者意外安全事件时,应当向数据交易平台报告,并立即启动网络安全事件应急预案,采取必要措施防范安全风险。
各数据专业评估服务商应当严格依据法律规定和专业的审慎原则,出具评估报告、鉴定意见或者专家结论,并对结论承担法律责任。
数据专业中介和咨询服务商应当按照行业标准,履行安全义务,维护数据交易安全。
清结算服务商应当按照金融行业监管要求,建立健全安全管理措施,维护资金、账户安全。
数据交易平台违反上海数据交易所发布的各类规范和指引及与上海数据交易所签署的各项相关协议,出现安全和违法事件的,上海数据交易所将视情节轻重根据需要采取下列措施:
(一)中止交易;
(二)责令整改,待验收合格后恢复交易;
(三)在系统内部披露安全违规事件的事实;
(四)依法采取其他法律措施。
数据交易双方违反上海数据交易所发布的各类规范和指引及与上海数据交易所签署的各项相关协议,出现安全和违法事件的,上海数据交易所将视情节轻重根据需要采取下列措施:
(一)约谈整改;
(二)取消和停止挂牌;
(三)中止交易;
(四)取消数商资格;
(五)在系统内部披露安全违规事件的事实;
(六)依法采取其他法律措施。
其他数据交易服务商违反上海数据交易所发布的各类规范和指引及与上海数据交易所签署的各项相关协议,出现重大失误导致安全和违法事件的,上海数据交易所将视情节轻重根据需要采取下列措施:
(一)警示;
(二)责令改正;
(三)在系统内部披露安全违规事件的事实;
(四)通告服务商的行业主管部门;
(五)依法采取其他法律措施。
具有本章行为之一,影响数据交易安全,损害社会管理秩序和社会公共利益的,上海数据交易所可将相关信息向上海市公共信用信息平台归集。
国家机关及有关部门为依法处置突发事件需要调取合理范围的相关数据、信息或者文件资料的,上海数据交易所及相关数商应配合提供。
有关主管部门为依法履行数据交易监管等职责,需要调取合理范围的相关数据、信息或者文件资料的,上海数据交易所及相关数商应配合提供。
上海数据交易所根据最新法律规定更新本规范。本规范没有特别规定的,按照上海数据交易所其他规范或者其他法律规定处理。
本规范由上海数据交易所负责修订与解释。
上海数据交易所可根据本规范制定相应指引与标准。
本规范自公布之日起实施。