5.2数据需方安全要求

数据交易服务机构应确保数据需方满足以下要求：

a） 为一年内无重大数据类违法违规记录的合法组织机构。 b 完成在数据交易服务机构的注册，并经数据交易服务机构审核通过，才允许参与数据交易 业务。 证明具备对交易数据实施安全保护的能力。 提供书面的数据交易和使用安全承诺镀锌电焊网标准，内容包括但不限于：满足法律法规和政策要求、遵守数 据交易安全原则、愿意接受数据交易服务机构安全监督、遵守与数据供方约定的数据安全要 求、对所持有数据提供充分的安全保护、未经明确授权不公开或转交数据给第三方等。 e 按照供需双方约定的使用目的、范围、方式和期限使用数据，禁止进行个人信息的重新识别。 在按照数据交易约定方式完成数据使用后，应及时销毁交易数据。 遵守数据交易服务机构的安全管理制度和流程

5.3数据交易服务机构安全要求

数据交易服务机构应满足以下基本要求： 得到我国行政或主管部门的授权或许可。 b) 为一年内无重大数据类违法违规记录的境内合法组织机构。 具备承担数据交易服务相对应的安全保障能力 将从事境内数据交易服务的数据交易服务平台部署在我国境内 e) 对数据供方提供的数据来源合法性证明材料声明进行审核。 f) 对数据违规使用行为进行监测。 g 制定并执行交易违规处罚规则。 h) 未经授权不擅自使用数据供方或需方的数据或数据衍生品。 至少满足GB/T37988一2019中的三级要求

3.2组织安全管理要求

5.3.2.1安全管理制度和规程

数据交易服务机构应满足以下要求： 制定数据交易服务安全管理策略，说明数据交易安全总体目标、范围、原则和安全框架等。 b 建立数据交易服务安全管理制度，包括但不限于：交易参与方安全管理制度、数据安全管理制 度、个人信息安全保护制度等 为数据交易管理人员或操作人员执行的管理或业务操作建立操作规程。 d 定期对数据交易服务安全管理策略、制度和规程进行评审，并及时进行更新。 e） 建立和执行针对数据供方和需方的安全管理制度和流程。 建立供需方的信用管理机制

5.3.2.2安全相关组织机构和人员

GB/T379322019

e）与数据交易重要岗位人员签署安全保密协议，与重要岗位人员签署岗位责任协议。 f 对数据交易各类岗位人员制定和实施培训计划，培训内容包括安全意识、专项技能等，具备与 岗位要求相适应的安全管理知识和专业技术水平。 对第三方人员进行安全管理，对于可能接触交易数据的第三方人员，签署安全保密协议

5.3.3数据交易服务平台安全要求

5.3.3. 1基本要求

数据交易服务平台应满足以下要求： a）符合GB/T22239—2019中第3级的相关安全要求。 b）提供对数据泄露进行处置的紧急预案 c）采用的密码技术遵循相关国家标准和行业标准

5.3.3.2扩展要求

5.3.3.2.1交易数据安全保护

数据交易服务平台应满足以下要求： a 分别为数据供方、需方提供安全的上传或下载接口，强身份认证机制，传输链路加密等保护措 施，确保数据传输的安全， b） 对交易数据实施加密存储、访问控制等安全措施，防止数据泄露或非法使用。 C 实现数据源和数据操作的可道溯性，以及交易的非否认性。 d） 在托管数据交付模式下，为数据需方提供隔离安全环境，对数据需方在数据使用环境中运行的 相关程序和产生的数据结果进行审核。 e） 在托管数据交付模式下，对交易数据进行安全存储和备份，确保数据的保密性、完整性和可 用性。 f 当数据供方撤销托管数据时，清除剩余信息，并且不可恢复

5.3.3.2.2交易过程安全控制

数据交易服务平台应满足以下要求： a）允许对数据交易的参与方、对象、关键过程设置人工干涉功能。 b）人工干涉的内容中至少应包括：交易参与方审核、交易审核、交易暂停、交易撤销、交易恢复 处理数据供方或数据需方的仲裁要求，并要求被诉方提供应对证据

5.3.3.2.3数据交易安全审讯

数据交易服务平台应满足以下要求： a 对每笔数据交易操作进行记录，生成数据交易日志 b 数据交易日志至少包括以下信息：交易唯一标识、交易时间、交易供方、交易需方、交易数据标 识、敏感数据标签、交易价格、交易模式、交易结果等。 安全保存数据交易日志、数据来源合法性等文件至少6个月。 d 只允许授权审计员访问数据交易日志，支持对数据交易日志进行查询和分析。 e 允许数据供方和数据需方查询与自已数据交易相关的日志信息，并允许导出。

5.3.3.2.4数据托管服务平台安全

对于提供托管数据交付模式的数据交易服务机构，应遵循GB/T35274一2017来建设和运维数

GB/T 379322019

数据交易服务机构应根据我国相关法律法规，制定禁止交易的数据目录，目录至少应包括： a）受法律保护的数据， 涉及个人信息的数据，除非获得了全部个人数据主体或未成年人的监护人的明示同意，或者进 行了必要的去标识化处理以达到无法识别出个体的程度。 涉及他人知识产权和商业秘密等权利的数据，除非取得权利人明确许可。 从非法或违规渠道获取的数据。 e） 与原供方所签订的合约要求禁止转售或公开的数据。 其他法律法规明确禁止交易的数据

数据交易服务机构应确保交易数据满足以下质量要求： a） 数据供方应向数据交易服务机构提供交易数据获取渠道合法，权利清晰无争议的承诺或证明 材料。 b 数据供方应向数据交易服务机构提供拥有交易数据完整相关权益的明确声明。 C 数据供方应向数据交易服务机构提供数据真实性的明确声明。 d） 数据供方应对交易数据进行分类，并对交易数据进行安全风险评估，出具安全风险评估报告 数据供方应明确交易数据的限定用途、使用范围、交易方式和使用期限。 数据供方应按照GB/T36343一2018的要求对交易数据进行准确描述，明确数据类别等内容 描述内容满足准确性、真实性要求 名 数据交易服务机构应对交易数据描述和样本的准确性、真实性进行审核 h） 数据交易服务机构应对交易数据的安全风险评估报告进行审核，确保数据可交易。 i） 数据交易服务机构应对交易数据分类结果进行审核。

6.3个人信息安全保护

6.4重要数据安全保护

数据交易服务机构应确保交易数据在重要数据安全保护方面满足以下要求： a）满足GB/T35274—2017中5.6.2的增强要求。 b）要求数据供方对交易数据进行重要数据安全风险评估市政工程标准规范范本，提供重要数据安全风险评估报告。 C）对重要数据安全风险评估报告进行审核.确保数据可交易

数据交易服务机构应确保交易申请环节满足以下要求：

GB/T379322019

确保符合国家相关法律法规的要求。 数据供方应按数据交易服务机构要求，提供对交易数据的概要描述，并提供样本数据。 c 数据交易服务机构对数据供方提供的样本数据进行内容审核，确认数据合法合规。对于不符 合要求的，数据交易服务机构应要求数据供方重新提交样本数据进行审核。 d） 数据需方应披露数据需求内容、数据用途，以确保符合国家法律法规的要求。 数据交易服务机构对数据需方的数据需求进行审核通过后方可发布，

数据交易服务机构应确保交易商环节满足以下要求： 供需双方应对交易数据的用途、使用范围、交易方式、使用期限和交易价格等协商和约定，形成 交易订单。 数据交易服务机构应遵循国家法律，对交易订单从数据出境安全、个人信息保护安全等方面进 行审核，确保符合相关法律法规和标准等合规性要求，撤销不符合要求的交易订单， 数据交易服务机构应对审核通过的订单进行登记备案，并对供需双方发出交易确认通知

数据交易服务机构应确保交易实施环节满足以下要求： 数据交易服务机构应审核数据需方的数据安全能力成熟度，确保不低于数据供方的数据安全 能力成熟度， b 数据交易服务机构应为数据交易与数据供方和数据需方签订三方合同，明确数据内容、数据用 途、交付质量、交付方式、交易金额、交易参与方安全责任、保密条款等内容。 数据交易服务机构应对交付数据内容进行监测和核验，如发现违法违规事件，应及时中断数据 交易行为，同时依法依规进行处理。 数据交易服务机构应对交易过程中的违法违规数据具有追溯能力。 e 对于在线数据交付模式，数据交易服务机构应在供需双方的数据传输链路上部署交易数据监 控工具，具有完备的数据保护机制和数据泄露检测能力。 对于托管数据交付模式，数据交易服务机构应为数据需方建立安全的数据使用环境，并分配相 应的权限。 g 数据供方在数据需方未完全获取数据内容前，有义务保证交易数据质量和数量符合数据成交 时的相关描述 h 在托管数据交付模式下，数据需方在数据使用完成后，应向数据交易服务平台提供提取结果数 据请求 拉伸强度测试标准，核准后由数据交易服务平台发放给数据需方

数据交易服务机构应确保交易结束环节满足以下要求： 数据交付完成后，数据供方应立即关闭数据访问接口，数据供方发出数据交付完成确认。 数据交付完成后，数据需方发出数据接收完成确认。 在托管数据交付模式下，数据交易服务机构应在交易结束后立即销毁残余数据。 1 数据交易服务机构应为交易过程形成完整的交易日志并安全保存

数据交易服务机构应确保交易结束环节满足以下要求： 数据交付完成后，数据供方应立即关闭数据访问接口，数据供方发出数据交付完成确认。 数据交付完成后，数据需方发出数据接收完成确认。 在托管数据交付模式下，数据交易服务机构应在交易结束后立即销毁残余数据。 d）数据交易服务机构应为交易过程形成完整的交易日志并安全保存