信息安全技术 数据交易服务安全要求(征求意见稿)

前  言

引  言

在大数据时代,数据是一种国家基础性战略资源,数据正日益对全球生产、流通、分配、消费活动以及经济运行机制、社会生活方式和国家治理能力产生重要影响。数据交易可以促进数据资源流通,破除数据孤岛,有效支撑大数据应用的快速发展,发挥数据资源的经济价值。然而,数据交易面临诸多安全问题和挑战,影响了大数据应用的进一步健康发展。

为规范大数据时代的数据资源交易行为,建立良好的数据交易秩序,促进数据交易服务参与者安全保障能力提升,本标准将对数据交易服务进行安全规范,增强对数据交易服务的安全管控能力,在确保数据安全的前提下,促进数据资源自由流通,从而带动整个大数据产业的安全、健康、快速发展。

信息安全技术 数据交易服务安全要求

1.范围

本标准规定了数据交易服务涉及的交易参与方、交易对象和交易过程的安全要求。

本标准适用于提供数据交易服务的组织进行安全自评估,也适用于第三方机构对数据交易服务组织进行安全测评。

2.规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。

GB/T 25069-2010 信息安全技术 术语

GB/T AAAA       信息技术 数据交易服务平台 交易数据描述

GB/T BBBB       信息技术 数据交易服务平台 通用功能要求

GB/T CCCC       信息安全技术 个人信息安全规范

GB/T DDDD       信息安全技术 数据出境安全评估指南

GB/T EEEE       信息安全技术 大数据服务安全能力要求

GB/T FFFF       信息安全技术 大数据安全能力成熟度模型

GB/T GGGG       信息安全技术 个人信息安全影响评估指南

GB/T 22239-2008 信息安全技术 网络安全等级保护基本要求

3.术语和定义

GB/T 25069-2010、GB/T AAAA、GB/T BBBB所确立的以及下列术语和定义适用于本文件。

3.1数据交易 data exchange

数据供方和需方之间以数据商品作为交易对象,进行的以货币交换数据商品,或者以数据商品交换数据商品的行为。

注1:数据商品包括原始数据或加工处理后的数据衍生产品。

注2:数据交易包括以大数据或其衍生品作为数据商品的数据交易,也包括以传统数据或其衍生品作为数据商品的数据交易。

3.2数据供方 data supplier

数据交易中提供数据的组织或个人。

3.3数据需方 data demander

数据交易中购买和使用数据的组织或个人。

3.4数据交易服务机构 data exchange service provider

为数据供需双方提供数据交易服务的组织。

3.5数据交易服务平台 data exchange service platform

数据交易服务机构依赖的用来为供需双方提供数据交易的信息化平台。

3.6在线数据交易 online data exchange

数据供方以数据调用接口的形式通过网络向数据需方交付数据的数据交易模式。

3.7离线数据交易 offline data exchange

数据供需双方在达成数据交易协议后,由数据供方通过离线方式将数据从供方传输到需方的数据交易模式。

3.8托管数据交易  custodian  data exchange

数据供需双方在达成数据交易协议后,由供方将数据拷贝到数据交易服务机构指定的数据托管服务平台,需方在数据托管服务平台内使用数据,数据不发生转移的交易模式。

3.9数据交易过程 data exchanging process

数据供需双方依托数据交易服务平台针对具体的数据交易对象,进行的一次完整和具体的数据交易行为。

注:数据交易过程一般分为交易申请、交易磋商、交易实施和交易退出等环节。

4.安全概述

4.1总则

数据交易是供需双方对原始数据或加工处理后的数据依照既定交易过程进行的活动。数据交易服务参考框架如图1所示。数据交易涉及到数据供方、数据需方和数据交易服务机构。数据交易服务机构依托数据交易服务平台,为数据供需双方提供数据交易服务。从数据交易服务机构角度出发,数据交易过程一般包括交易申请、交易磋商、交易实施和交易结束四个环节。常见的数据交易模式包括在线模式,离线模式和托管模式。

图1 数据交易服务参考框架

4.2 数据交易安全原则
a) 数据交易合法合规原则:数据交易应遵守我国关于数据安全管理相关法律法规、尊重社会公德,不得损害国家利益、社会公共利益和他人合法权益;
b) 主体责任共担原则:数据供需双方及数据交易服务机构对数据交易后果负责,共同确保数据交易的安全;
c) 数据安全防护原则:数据交易各参与方应采取数据安全保护、检测和响应等措施,防止数据丢失、损毁、泄露和篡改,确保数据安全;
d) 个人信息保护原则:数据供需双方在进行数据交易时,应采取个人信息安全保护技术和管理措施,避免个人信息的非法收集、滥用、泄漏等安全风险,切实保护个人权益;
e) 交易过程可控原则:应确保数据交易参与方的真实可信,交易对象合法、数据交付和资金交付过程可控,做到安全事件可追溯,安全风险可防范。

5 数据交易参与方安全要求
5.1 数据供方安全要求
数据交易服务机构应确保数据供方满足以下要求:
a) 数据供方应为无违法违规记录的合法组织或自然人;
b) 数据供方应完成在数据交易服务机构的注册,并经数据交易服务机构审核通过,才允许参与数据交易业务;
c) 数据供方应证明其具备向数据需方安全交付数据的能力;
d) 数据供方应向数据交易服务机构提供书面的安全承诺,内容包括但不限于:交易数据满足法律法规和政策要求、对交易数据质量评估说明、遵守数据交易安全原则、愿意接受数据交易服务机构安全监督、愿意对数据流通后果负责等;
e) 数据交易服务机构应建立和执行针对数据供方的安全监管制度和流程。

5.2 数据需方安全要求
数据交易服务机构应确保数据需方满足以下要求:
a) 数据需方为无违法违规记录的境内合法组织或自然人;
b) 数据需方应完成在数据交易服务机构的注册,并经数据交易服务机构审核通过,才允许参与数据交易业务;
c) 数据需方应证明其具备对交易数据实施安全保护的能力;
d) 数据需方应提供书面的数据交易和使用安全承诺,内容包括但不限于:满足法律法规和政策要求、遵守数据交易安全原则、愿意接受数据交易服务机构安全监督、遵守与数据供方约定的数据安全要求、对所持有数据提供充分的安全保护、未经明确授权不公开或转交数据给第三方等;
e) 数据需方应按照供需双方约定的使用目的、范围、方式和期限使用数据,禁止进行个人信息的再识别;
f) 数据需方在按照数据交易约定方式完成数据使用后,应及时销毁交易数据;
g) 数据交易服务机构应建立和执行针对数据需方的安全监管制度和流程。

5.3 数据交易服务机构安全要求
5.3.1 基本要求
数据交易服务机构应满足以下基本要求:
a) 应为无违法违规记录的境内合法组织;
b) 应得到我国行政或主管部门的授权或许可;
c) 应具备承担数据交易服务相对应的安全保障能力;
d) 应将从事境内数据交易服务的数据交易服务平台部署在我国境内。

5.3.2 组织安全管理要求
5.3.2.1 安全管理制度和规程
数据交易服务机构应满足以下要求:
a) 制定数据交易服务安全管理策略,说明数据交易安全总体目标、范围、原则和安全框架等;
b) 建立数据交易服务安全管理制度,包括但不限于:交易参与方安全管理制度、数据安全管理制度、个人信息安全保护制度等;
c) 为数据交易管理人员或操作人员执行的管理或业务操作建立操作规程;
d) 定期对数据交易服务安全管理策略、制度和规程进行评审,并及时进行更新。
5.3.2.2 安全相关组织机构和人员
数据交易服务机构应满足以下要求:
a) 建立数据交易安全领导小组,由机构最高管理者或授权代表担任组长;
b) 建立数据交易安全管理职能部门,设立安全管理负责人岗位,明确安全责任;
c) 设立数据交易安全管理员、个人信息安全管理员等岗位,定义各个岗位的安全职责,并配备一定数量的岗位人员;
d) 对数据交易重要岗位人员进行安全审查和技术考核,确保无违法违规记录;
e) 与数据交易重要岗位人员签署安全保密协议,与重要岗位人员签署岗位责任协议;
f) 对数据交易各类岗位人员制定和实施培训计划,培训内容包括安全意识、专项技能等,具备与岗位要求相适应的安全管理知识和专业技术水平;
g) 对第三方人员进行安全管理,对于可能接触交易数据的第三方人员,应签署安全保密协议。

5.3.3 数据交易服务平台安全要求
5.3.3.1 基础要求
数据交易服务平台应满足GB/T 22239中第3级的相关安全要求。

5.3.3.2 扩展要求
5.3.3.2.1 交易数据安全保护
数据交易服务平台应满足以下要求:
a) 分别为数据供方、需方提供安全的上传或下载接口,传输链路加密等保护措施,确保数据传输的安全;
b) 对交易数据实施加密存储、访问控制等安全措施,防止数据泄露或非法使用;
c) 实现数据源和数据操作的可追溯性;
d) 在托管数据交易模式下,应为数据需方提供隔离安全环境,对数据需方在数据使用环境中运行的相关程序和产生的数据结果进行审核;
e) 在托管数据交易模式下,应对交易数据进行安全存储和备份,确保数据的保密性、完整性和可用性。

5.3.3.2.2 交易过程安全控制
数据交易服务平台应满足以下要求:
a) 允许对数据交易的参与方、对象、关键过程设置人工干涉;
b) 人工干涉的内容中至少应包括:会员审核、交易审核、交易暂停、交易撤销。

5.3.3.2.3 数据交易安全审计
数据交易服务平台应满足以下要求:
a) 对每笔数据交易操作进行记录,生成数据交易日志;
b) 数据交易日志至少包括以下信息:交易唯一标识、交易时间、交易供方、交易需方、交易数据标识、敏感数据标签、交易价格、交易模式、交易结果等;
c) 安全保存数据交易日志至少6个月;
d) 只允许授权审计员访问数据交易日志,支持对数据交易日志进行查询和分析;
e) 允许数据供方和数据需方查询与自己数据交易相关的日志信息,并允许导出。
5.3.3.2.4 数据托管服务平台安全
对于提供托管交易模式的数据交易服务机构,应该遵循GB/T EEEE要求来建设和运维数据安全托管服务平台。

6 交易对象安全
6.1 禁止交易数据
数据交易服务机构应根据我国相关法律法规,制定禁止交易的数据目录,目录至少应包括:
a) 涉及国家秘密等受法律保护的数据;
b) 涉及个人信息的数据,除非获得了全部个人数据主体的明示同意,或者进行了必要的去标识化处理;
c) 涉及他人知识产权和商业秘密等权利的数据,除非取得权利人明确许可;
d) 涉及以下内容的数据:
1) 反对宪法所确定的基本原则的;
2) 危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;
3) 损害国家荣誉和利益的;
4) 煽动民族仇恨、民族歧视,破坏民族团结的;
5) 破坏国家宗教政策,宣扬邪教和封建迷信的;
6) 散布谣言,扰乱社会秩序,破坏社会稳定的;
7) 散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;
8) 侮辱或者诽谤他人,侵害他人合法权益的;
9) 涉及枪支弹药、爆炸物品、剧毒化学品、易制爆危险化学品和其他危险化学品、放射性物品、核材料、管制器具等能够危及人身安全和财产安全的危险物品的;
10) 宣扬吸毒、销售毒品以及传播毒品制造配方的;
11) 涉及传销、非法集资和非法经营等活动的;
e)其它法律法规明确禁止交易的数据。

6.2 数据质量要求
数据交易服务机构应确保交易数据满足以下质量要求:
a) 应要求数据供方应向数据交易服务机构提供交易数据获取渠道合法,权利清晰无争议的承诺或证明材料;
b) 应要求数据供方应向数据交易服务机构提供拥有交易数据完整相关权益的明确声明;
c) 应要求数据供方应向数据交易服务机构提供数据真实性的明确声明;
d) 应要求数据供方应对交易数据进行分类,并对交易数据进行安全风险评估,出具安全风险评估报告;
e) 应要求数据供方应明确交易数据的限定用途、使用范围、交易方式和使用期限;
f) 应要求数据供方应按照GB/T AAAA要求对交易数据进行准确描述,明确数据类别等内容,描述内容满足准确性、真实性要求;
g) 数据交易服务机构应对交易数据描述的准确性、真实性进行审核;
h) 数据交易服务机构应对交易数据的安全风险评估报告进行审核,确保数据可交易;
i) 数据交易服务机构应对交易数据分类结果进行审核。

6.3 个人信息安全保护
数据交易服务机构应确保交易数据在个人信息安全保护方面满足以下要求:
a) 涉及个人信息的交易数据,应满足GB/T CCCC第8节关于个人信息的委托处理、共享、转让、公开披露安全要求;
b) 应要求数据供方对交易数据进行个人信息安全风险评估,提供个人信息安全风险评估报告;
c) 数据交易服务机构应对个人信息安全风险评估报告进行审核,确保数据可交易。

7 数据交易过程安全
7.1 交易申请
数据交易服务机构应确保交易申请环节满足以下要求:
a) 数据供方应明确界定交易数据的内容范围、使用范围,以确保符合国家相关法律法规的要求;
b) 数据供方应按数据交易服务机构要求,提供对交易数据的概要描述,并提供样本数据;
c) 数据交易服务机构对数据供方提供的样本数据进行内容审核,确认数据合法合规。对于不符合相关要求的,数据交易服务机构应要求数据供方处理后,重新提交样本数据进行审核;
d) 数据需方应披露数据需求内容、数据用途,以确保符合国家相关法律法规的要求;
e) 数据交易服务机构对数据需方的数据需求进行审核通过后,方可发布。

7.2 交易磋商
数据交易服务机构应确保交易磋商环节满足以下要求:
a) 供需双方应对交易数据的用途、使用范围、交易方式、使用期限和交易价格等协商和约定,形成交易订单;
b) 数据交易服务机构应依据GB/T CCCC和GB/T DDDD等标准,对交易订单从数据出境安全、个人信息保护安全等方面进行审核,确保符合相关法律法规和标准等合规性要求,撤销不符合要求的交易订单;
c) 数据交易服务机构应对审核通过的订单进行登记备案,并对供需双方发出交易确认通知。
7.3 交易实施
数据交易服务机构应确保交易实施环节满足以下要求:
a) 数据交易服务机构应为数据交易签订合同,明确数据内容、数据用途、交付质量、交付方式、交易金额、交易参与方安全责任、保密条款等内容;
b) 数据交易服务机构应对交付数据内容进行监测和核验,如发现违法违规事件,应及时中断数据交易行为,同时依法依规进行处理;
c) 数据交易服务机构应对交易过程中的违法违规数据具有追溯能力;
d) 对于在线交易模式,数据交易服务机构应具备在供需双方的数据传输通路部署交易数据监控工具的能力;
e) 对于托管交易模式,数据交易服务机构应为数据需方建立安全的数据使用环境,并分配相应的权限;
f) 数据供方在数据需方未完全获取数据内容前,有义务保证交易数据质量和数量符合数据成交时的相关描述;
g) 在托管数据交易模式下,数据需方在数据使用完成后,应向数据交易服务平台提供提取结果数据请求,核准后由数据交易服务平台发放给数据需方。
7.4 交易结束
数据交易服务机构应确保交易结束环节满足以下要求:
a) 数据交付完成前,交易服务机构应对资金进行监管,获得数据交付和接收确认后,资金给付数据供方;
b) 数据交付完成后,数据供方应及时关闭数据访问接口,数据供方发出数据交付完成确认;
c) 数据交付完成后,数据需方发出数据接收完成确认;
d) 在托管交易模式下,数据交易服务机构应在交易结束后及时销毁残余数据,防止数据泄露等安全隐患;
e) 数据交易服务机构应为交易过程形成完整的交易日志并进行安全保存。