上海数据交易所数据交易安全合规规范（试行）

（2023年11月通过）

 

第一条 为规范数据交易行为，加强对数据交易的监管，明确数据交易参与方的安全责任、合规责任，维护数据交易参与方的合法权益，建立合法、公平、可信的数据交易秩序，塑造“合规意愿、合规能力、合规行动”的良好交易环境，培育数据要素市场，促进数字经济高质量发展，上海数据交易所根据国家法律法规、上海数据交易所相关规定和数据交易实际，制定本规范。

第二条 在上海数据交易所直属数据交易平台进行数据交易与相关服务活动，应当按照本规范开展数据安全管理与数据合规管理。

第三条 数据交易供需方应当遵守上海数据交易所的安全管理与合规管理制度和流程，积极参与上海数据交易所安全体系建设与合规体系建设，维护良好的数据交易生态体系。

第四条 开展数据交易，数据交易供需方应当满足以下基本数据安全与合规要求：

（一）主体资质合法合规；

（二）数据安全管理体系完备；

（三）数据来源合法合规；

（四）数据产品具有可交易性；

（五）法律法规及上海数据交易所要求的其他内容。

第五条 为数据交易提供各项服务的数商应当满足基本安全要求：

（一）一年内无重大数据类违法违规记录、无涉及数据交易、个人信息保护的行政处罚或行业处分记录；

（二）交易过程中所涉及的数据应当严格保密，不得使用、泄露、出售或者非法向他人提供；

（三）未经供方授权，不得留存所交易的数据；

（四）法律、法规或上海数据交易所要求数商具备的其他合法资质。

第六条 数据产品在挂牌前应当通过合规评估。供方应当委托经上海数据交易所认可的合规评估服务商对数据产品进行合规评估，并且向上海数据交易所提供书面的数据产品合规评估报告。

第七条 数据交易供需方应当在数据交易协议中对用途、使用范围、交付方式、使用期限、交易价格、保密条款等协商和约定，确保其符合法律、法规和有关规定。

供方应当向上海数据交易所提供书面的数据使用要求说明、来源合法承诺，明确交易数据的内容范围、使用范围和使用期限，并确保数据真实可靠、来源合法。

第八条 需方应当按照约定的目的、场景和方式合规使用数据，不得将通过交易获取的数据用于违反法律规定或者协议约定的其他用途。供方可以依据数据使用协议，在合理范围内对数据使用行为进行监督。

第九条 交易完成时，供方应当确认数据产品交付完成，需方应当确认数据产品接收完成。

第十条 发生数据泄露、毁损、丢失、篡改等数据安全事件的，数据交易参与方应当立即启动应急预案，及时告知上海数据交易所和相关权利人。

第十一条 上海数据交易所为数据交易服务提供以下安全保障措施：

（一）依照法律、行政法规的规定，在网络安全等级保护的基础上，建立健全全流程数据安全管理制度和技术保护机制，具备承担数据交易服务相对应的安全保障能力；

（二）建立网络与信息安全风险检测、追踪、评估和预警机制，发现风险隐患应当及时处置，并按照规定进行报告；

（三）允许对数据交易参与方、对象、关键过程设置人工干涉过程，内容包括交易参与方审核、交易审核、交易暂停、交易恢复等；

（四）对每笔数据交易操作进行记录，生成数据交易日志。在交易结束环节为交易过程形成完整的交易日志并安全保存。安全保存操作处理、权限管理、数据交易过程、数据来源合法性等日志等文件，不少于二十年。

（五）建立信息安全应急处置机制，提供对数据泄漏进行处置的紧急预案；及时处置突发信息安全事件，尽快恢复信息系统的正常运行，并按照规定进行报告，不得迟报、漏报、瞒报；

（六）法律法规或上海数据交易所规定的其他安全保障措施。

第十二条 上海数据交易所建立数据安全风险追踪机制，制定数据安全事件应急预案，开展数据安全风险追踪，及时排查安全隐患，采取必要的应急处置措施防范数据安全风险。如果发生下列重大数据交易安全事件，根据数据安全事件应急预案，通过上海数据交易所及时向有关部门报告：

（一）数据交易平台遭遇外部攻击或发现重大网络安全；

（二）涉及重要数据和核心数据的数据泄露或出境；

（三）发生重大违法数据交易，可能产生重大社会影响；

（四）其他重要数据安全事件。

第十三条 本规范根据法律法规和上海数据交易所制度相关内容的变动情况和工作实际要求，予以及时更新。

本规范由上海数据交易所负责解释与修订。

第十四条 本规范自发布之日起施行。