《信用信息交易安全規(guī)范》征求意見稿

1T/GDJRxxx—2024信用信息交易安全規(guī)范本標(biāo)準(zhǔn)規(guī)定了信用信息交易安全要求，包括信用信息交易參與方、交易對象、交易平臺及交易過程的安全要求。本標(biāo)準(zhǔn)適用于中華人民共和國境內(nèi)的信用信息供方、信用信息需方、第三方專業(yè)服務(wù)機(jī)構(gòu)規(guī)范其信用信息交易活動，也適用于中華人民共和國境內(nèi)的監(jiān)管部門、評估機(jī)構(gòu)對信用信息交易服務(wù)安全進(jìn)行監(jiān)督、管理、評估。2規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。JR/T0117-2014《征信機(jī)構(gòu)信息安全規(guī)范》GB/T37932-2019《信息安全技術(shù)數(shù)據(jù)交易服務(wù)安全要求》JR/T0223-2021《金融數(shù)據(jù)安全數(shù)據(jù)生命周期安全規(guī)范》GB/T20986-2023《信息安全技術(shù)網(wǎng)絡(luò)安全事件分類分級指南》GB/T35273-2020《個人信息安全規(guī)范》GB/T37964-2019《個人信息去標(biāo)識化指南》GB/T36343-2018《信息技術(shù)數(shù)據(jù)交易服務(wù)平臺交易數(shù)據(jù)描述》3術(shù)語和定義下列術(shù)語和定義適用于本文件。3.1信用信息creditinformation信用信息是指依法采集，為金融等活動提供服務(wù)，用于識別判斷企業(yè)和個人信用狀況的基本信息、借貸信息、其他相關(guān)信息，以及基于前述信息形成的分析評價信息。3.2信用信息供方creditinformationsupplier信用信息交易中出售和提供數(shù)據(jù)產(chǎn)品的組織，簡稱供方。3.3信用信息需方creditinformationdemander信用信息交易中購買和使用數(shù)據(jù)產(chǎn)品的組織，簡稱需方。3.4信用信息交易creditinformationtrade信用信息供方和需方之間以信用信息數(shù)據(jù)或數(shù)據(jù)產(chǎn)品作為交易對象，進(jìn)行的以貨幣或貨幣等價物交換數(shù)據(jù)產(chǎn)品的行為，既可以是數(shù)據(jù)交易平臺中進(jìn)行的場內(nèi)交易，也可以是雙方自行依法交易的場外交易。3.5征信機(jī)構(gòu)creditbureau指依法設(shè)立、主要經(jīng)營征信業(yè)務(wù)的機(jī)構(gòu)。3.6第三方專業(yè)服務(wù)機(jī)構(gòu)third-partyprofessionalserviceagency2T/GDJRXXX—2024輔助信用信息交易活動有序開展的第三方服務(wù)提供方，包括但不限于提供法律服務(wù)、合規(guī)服務(wù)、數(shù)據(jù)經(jīng)紀(jì)服務(wù)、數(shù)據(jù)資產(chǎn)化服務(wù)、評估鑒定服務(wù)、培訓(xùn)咨詢服務(wù)等第三方服務(wù)的組織機(jī)構(gòu)。3.7交易參與方datatransactionparticipants參與信用信息交易服務(wù)的相關(guān)方。3.8信用信息交易服務(wù)creditinformationtransactionservice為幫助信用信息供方和需方完成數(shù)據(jù)流通交易全過程，實現(xiàn)數(shù)據(jù)資產(chǎn)化和數(shù)據(jù)價值變現(xiàn)提供的各類服務(wù)。3.9交易標(biāo)的transactionobject供需雙方交易的信用信息數(shù)據(jù)或數(shù)據(jù)產(chǎn)品，也稱信用信息交易對象或交易數(shù)據(jù)。3.10交易過程datatransactionprocess信用信息交易參與方針對具體的信用信息交易標(biāo)的，進(jìn)行的一組完整和具體的信用信息交易活動。4信用信息交易安全4.1信用信息交易安全原則信用信息交易應(yīng)遵循以下原則：a）總體原則。信用信息交易安全工作以實現(xiàn)權(quán)益保護(hù)和數(shù)據(jù)保護(hù)為目標(biāo)。權(quán)益保護(hù)，指維護(hù)數(shù)據(jù)主體的合法權(quán)益。數(shù)據(jù)保護(hù)，指保障數(shù)據(jù)的保密性、完整性和可用性；b）合法合規(guī)原則。信用信息交易參與方應(yīng)遵守《網(wǎng)絡(luò)安全法》《個人信息保護(hù)法》《數(shù)據(jù)安全法》等法律法規(guī)，尊重社會公德和倫理，遵守商業(yè)道德和職業(yè)道德，誠實守信，不得危害國家安全、公共利益，不得損害個人、組織的合法權(quán)益；c）過程可控原則。信用信息交易過程應(yīng)確保數(shù)據(jù)來源合法可確認(rèn)、使用范圍可界定、交易過程可追溯、安全風(fēng)險可防范；d）分類分級原則。信用信息交易標(biāo)的應(yīng)遵守國家和行業(yè)數(shù)據(jù)分類分級保護(hù)要求，結(jié)合數(shù)據(jù)流通范圍、影響程度、潛在風(fēng)險，建立企業(yè)數(shù)據(jù)、個人信息等數(shù)據(jù)分類分級授權(quán)使用和保護(hù)機(jī)制；e）確保安全原則。信用信息交易參與方應(yīng)采取必要的管理措施和技術(shù)手段，防范交易標(biāo)的被篡改、破壞、泄露或者非法獲取、非法利用、非法交易等風(fēng)險，保障信息主體權(quán)益；f）權(quán)責(zé)一致原則。信用信息交易參與方在享有信息信用交易標(biāo)的交易收益的同時，應(yīng)當(dāng)對各自的信用信息交易活動承擔(dān)安全責(zé)任：——供方應(yīng)對信用信息交易標(biāo)的的來源、保存、交付的合規(guī)性、安全性負(fù)責(zé)；——需方應(yīng)對信用信息交易標(biāo)的的接收、保存、使用的合規(guī)性、安全性負(fù)責(zé)；——第三方專業(yè)服務(wù)機(jī)構(gòu)應(yīng)對其在交易中提供的服務(wù)內(nèi)容相適應(yīng)的合規(guī)性、安全性負(fù)責(zé)。4.2信用信息交易參與方安全要求4.2.1基本要求信用信息供方、需方等交易參與方，應(yīng)滿足以下要求：a）不應(yīng)以欺詐、誘騙、誤導(dǎo)、脅迫、賄賂等方式開展數(shù)據(jù)交易活動；b）不應(yīng)以非法手段、非法途徑、非法標(biāo)的開展數(shù)據(jù)交易活動；3T/GDJRxxx—2024c）應(yīng)遵守國家及地方相關(guān)法律法規(guī)，包括但不限于《征信業(yè)務(wù)管理辦法》，依法取得行政許可；d）應(yīng)履行數(shù)據(jù)處理者安全保護(hù)義務(wù)，建立全流程數(shù)據(jù)安全管理制度，組織開展數(shù)據(jù)安全教育培訓(xùn)，需采取措施保護(hù)交易標(biāo)的安全，防范數(shù)據(jù)泄露、篡改、破壞或者非法獲取、非法利用等風(fēng)險，保障數(shù)據(jù)安全；e）應(yīng)針對數(shù)據(jù)安全保障能力定期開展數(shù)據(jù)安全風(fēng)險評估，并按有關(guān)規(guī)定向有關(guān)主管部門報送風(fēng)險評估報告。在出現(xiàn)法律法規(guī)重大更改或增刪、業(yè)務(wù)活動發(fā)生重大變化、數(shù)據(jù)資產(chǎn)發(fā)生重大變化、發(fā)生重大數(shù)據(jù)安全事件、數(shù)據(jù)安全管理方針發(fā)生變化等重大情況變化時，進(jìn)行局部或全面數(shù)據(jù)安全風(fēng)險評估，形成數(shù)據(jù)安全風(fēng)險評估報告。涉及敏感個人信息處理、個人信息自動化決策、委托處理、向他人提供（含境外）、公開、其他對個人權(quán)益有重大影響的個人信息處理活動等，事先開展個人信息保護(hù)影響評估，并將評估記錄保存至少三年；f）建立并實施數(shù)據(jù)安全風(fēng)險監(jiān)測、預(yù)警、響應(yīng)和處置的閉環(huán)管理機(jī)制；g）應(yīng)制定數(shù)據(jù)安全應(yīng)急預(yù)案，發(fā)生數(shù)據(jù)安全事件時，應(yīng)立即采取處置措施，按照規(guī)定及時告知相關(guān)方并向有關(guān)主管部門報告；h）涉及個人信息的，應(yīng)依法履行個人信息處理者法定義務(wù)；i）重要數(shù)據(jù)處理者，應(yīng)嚴(yán)格履行與數(shù)據(jù)處理活動相關(guān)的各項法定義務(wù)；j）信用信息交易過程中涉及跨境情形的，應(yīng)遵守國家數(shù)據(jù)出境管理有關(guān)規(guī)定；k）涉及人工智能算法模型的，應(yīng)遵守人工智能領(lǐng)域的有關(guān)規(guī)定；l）涉及知識產(chǎn)權(quán)的，應(yīng)提供知識產(chǎn)權(quán)相關(guān)權(quán)屬證明，不應(yīng)侵犯他人依法享有的知識產(chǎn)權(quán)。4.2.2信用信息供方安全要求信用信息供方在符合4.2.1基本要求基礎(chǔ)上，還應(yīng)滿足以下要求：a）作為供方進(jìn)行信用信息交易，應(yīng)滿足以下條件：——依法成立并有效存續(xù)，具備獨(dú)立承擔(dān)民事責(zé)任的能力；——具有健全的財務(wù)制度，無重大財務(wù)風(fēng)險；——對外提供信用信息需取得相關(guān)征信業(yè)務(wù)行政許可的，應(yīng)當(dāng)依法取得行政許可；——近一年不存在違法違規(guī)和失信記錄；——近一年未發(fā)生GB/T20986-2023《信息安全技術(shù)網(wǎng)絡(luò)安全事件分類分級指南》中規(guī)定的較大及以上級別的網(wǎng)絡(luò)和數(shù)據(jù)安全事件；——信息系統(tǒng)應(yīng)符合網(wǎng)絡(luò)安全等級保護(hù)要求，按規(guī)定開展網(wǎng)絡(luò)安全等級保護(hù)測評和備案；——應(yīng)具備數(shù)據(jù)要素市場主體相應(yīng)的數(shù)據(jù)安全能力和數(shù)據(jù)合規(guī)體系，并取得數(shù)據(jù)安全能力評估認(rèn)證。b）供方應(yīng)提供信息交易標(biāo)的來源合法性證明；c）供方應(yīng)提供數(shù)據(jù)使用說明以及數(shù)據(jù)授權(quán)說明；d）供方應(yīng)確保交易標(biāo)的數(shù)據(jù)來源合法，保證對數(shù)據(jù)資源的處理活動合規(guī)；e）供方應(yīng)有正當(dāng)合法的經(jīng)營目的，且交易標(biāo)的在本身的業(yè)務(wù)范圍內(nèi)或者與自身業(yè)務(wù)直接相關(guān)；f）供方應(yīng)保證交易標(biāo)的的數(shù)據(jù)質(zhì)量，保證數(shù)據(jù)的真實性、準(zhǔn)確性、完整性；g）供方應(yīng)采取措施保護(hù)交易標(biāo)的安全，防范數(shù)據(jù)泄露、篡改、破壞或者被非法獲取等風(fēng)險；應(yīng)保證交易標(biāo)的不對國家安全、公共利益造成影響，不損害組織或個人合法權(quán)益；h）供方應(yīng)真實、準(zhǔn)確、完整披露交易標(biāo)的信息，不應(yīng)隱瞞數(shù)據(jù)來源及涉及個人信息、重要數(shù)據(jù)的情形；i）供方應(yīng)當(dāng)定期檢查系統(tǒng)的安全建設(shè)和運(yùn)行情況，分析、發(fā)現(xiàn)并解決信息系統(tǒng)在管理制度、技術(shù)措施和業(yè)務(wù)操作等方面存在的問題，保障信息系統(tǒng)安全運(yùn)行和信息合規(guī)使用；4T/GDJRXXX—2024j）供方應(yīng)建立信息泄露應(yīng)急處置制度，發(fā)生或者有可能發(fā)生重大信息泄露事件時，應(yīng)當(dāng)立即采取必要措施，避免損害擴(kuò)大；k）供方應(yīng)當(dāng)采取有效措施，確保個人信息去標(biāo)識化處理后，個人身份不被直接或間接識別；l）如存在數(shù)據(jù)流通限制，供方應(yīng)對數(shù)據(jù)產(chǎn)品使用或流通的目的、方式、范圍進(jìn)行明確說明，法律法規(guī)另有規(guī)定的從其規(guī)定。4.2.3信用信息需方安全要求信用信息需方在符合4.2.1基本要求基礎(chǔ)上，應(yīng)滿足以下要求：a）作為需方進(jìn)行信用信息交易，應(yīng)滿足以下條件：——依法成立并有效存續(xù)，具備獨(dú)立承擔(dān)民事責(zé)任的能力；——具有健全的財務(wù)制度，無重大財務(wù)風(fēng)險；——近一年不存在違法、重大違規(guī)和失信記錄；——近一年未發(fā)生GB/T20986-2023《信息安全技術(shù)網(wǎng)絡(luò)安全事件分類分級指南》中規(guī)定的較大及以上級別的網(wǎng)絡(luò)和數(shù)據(jù)安全事件；——信息系統(tǒng)應(yīng)符合網(wǎng)絡(luò)安全等級保護(hù)要求，按規(guī)定開展網(wǎng)絡(luò)安全等級保護(hù)測評和備案。b）需方使用交易標(biāo)的應(yīng)具有明確、合理的目的，購買的交易標(biāo)的應(yīng)與使用目的直接相c）需方應(yīng)按照信用信息交易協(xié)議中約定的范圍使用數(shù)據(jù)，不得嘗試獲取供方未授權(quán)的數(shù)據(jù)；d）需方應(yīng)具備與處理交易標(biāo)的相適應(yīng)的數(shù)據(jù)安全能力，開展數(shù)據(jù)安全能力評估認(rèn)證；e）需方不應(yīng)繞過或破壞交易數(shù)據(jù)的安全保護(hù)措施，不應(yīng)對去標(biāo)識化的個人信息進(jìn)行重新識別；f）需方應(yīng)建立信息泄露應(yīng)急處置制度，發(fā)生或者有可能發(fā)生重大信息泄露事件時，應(yīng)立即啟動應(yīng)急處置，分析事件發(fā)生原因，評估事件影響范圍，及時采取技術(shù)和業(yè)務(wù)措施，控制和降低事件影響，消除風(fēng)險隱患；g）需方對交易數(shù)據(jù)的使用加工，不應(yīng)對國家安全、公共利益造成影響，不應(yīng)損害組織或個人合法權(quán)益；h）需方應(yīng)按照交易約定的授權(quán)范圍，合理確定交易標(biāo)的的訪問權(quán)限，并定期對相關(guān)人員進(jìn)行安全培訓(xùn)；i）需方應(yīng)對供方提供的交易標(biāo)的的安全性、合規(guī)性進(jìn)行審核；j）需方在信用信息交易協(xié)議到期或按照約定完成交易標(biāo)的使用目的后，應(yīng)按照協(xié)議約定要求及時對交易標(biāo)的進(jìn)行處置。4.3信用信息交易標(biāo)的安全要求4.3.1禁止交易的數(shù)據(jù)信用信息交易標(biāo)的應(yīng)遵循合法、安全和可交易原則，應(yīng)滿足以下要求：a）交易標(biāo)的應(yīng)具有明確、合理的應(yīng)用場景和具體用途；b）有下列情形之一的交易標(biāo)的，不應(yīng)進(jìn)行流通交易：——涉及國家秘密的信息；——危害國家安全和社會穩(wěn)定的數(shù)據(jù)；——涉及損毀他人名譽(yù)及未經(jīng)授權(quán)的身份、財產(chǎn)和其他敏感數(shù)據(jù)等特定個人權(quán)益——涉及未經(jīng)授權(quán)的企業(yè)數(shù)據(jù)、商業(yè)秘密等特定企業(yè)權(quán)益的；——未經(jīng)自然人或其監(jiān)護(hù)人同意，涉及其個人信息的數(shù)據(jù)；——侵犯他人肖像、名譽(yù)、榮譽(yù)等人格權(quán)的數(shù)據(jù)；——未經(jīng)有關(guān)部門授權(quán)，涉及公共利益、公共安全的公共數(shù)據(jù)；——未依法依規(guī)公開的原始公共數(shù)據(jù)；5T/GDJRxxx—2024——關(guān)系國家安全、國民經(jīng)濟(jì)命脈、重要民生、重大公共利益等國家核心數(shù)據(jù)；——以欺詐、誘騙、誤導(dǎo)等方式或者從非法、違規(guī)渠道獲取的數(shù)據(jù)；——個人的宗教信仰、基因、指紋、血型、疾病和病史信息等禁止征信機(jī)構(gòu)采集的信用信息；——法律法規(guī)禁止流通的其他信用信息。4.3.2信用信息質(zhì)量合規(guī)要求為確保所交易的信用信息質(zhì)量與合規(guī)性，在信用信息交易活動中，應(yīng)滿足以下要求：a）供方應(yīng)明確界定交易標(biāo)的的內(nèi)容范圍、使用范圍、商品形態(tài)，以確保符合國家相關(guān)法律法規(guī)的要求；b）供方應(yīng)提供對交易標(biāo)的的概要描述，并提供樣本信息；c）供方應(yīng)向需方提供信息交易標(biāo)的來源合法性的證明和承諾：——針對公開收集的數(shù)據(jù)，應(yīng)說明公開數(shù)據(jù)收集的目的、方式、范圍，提供公開收集的數(shù)據(jù)類型、采集策略、數(shù)據(jù)來源、收集合法性證明等；——針對組織經(jīng)營活動和信息系統(tǒng)自行產(chǎn)生的數(shù)據(jù)，應(yīng)說明系統(tǒng)建設(shè)和運(yùn)維情況及其數(shù)據(jù)采集的目的、方式、范圍情況；——針對協(xié)議方式獲取的數(shù)據(jù)，應(yīng)提供完整的購買協(xié)議、合作協(xié)議或許可使用協(xié)議或者上述協(xié)議的關(guān)鍵部分等；——針對用戶授權(quán)獲取的數(shù)據(jù)，應(yīng)說明數(shù)據(jù)獲取的目的、方式范圍，是否可對外提供、交易，并提供用戶授權(quán)證明。d）供方應(yīng)向需方提供擁有信息交易標(biāo)的完整權(quán)益的聲明；e）供方應(yīng)向需方提供交易標(biāo)的真實性的聲明；f）供方應(yīng)向需方明確交易標(biāo)的的限定用途、使用范圍、流通方式和使用期限；g）供方應(yīng)向需方提供交易標(biāo)的滿足法律法規(guī)和政策要求說明、交易標(biāo)的質(zhì)量評估說明、遵守數(shù)據(jù)交易安全原則說明，并對數(shù)據(jù)流通后果提供書面承諾；h）供方應(yīng)向需方明確具體交易的方式、途徑和保護(hù)措施；i）供方按照GB/T36343-2018《信息技術(shù)數(shù)據(jù)交易服務(wù)平臺交易數(shù)據(jù)描述》要求對交易標(biāo)的進(jìn)行準(zhǔn)確描述，明確數(shù)據(jù)類別等信息，描述信息滿足準(zhǔn)確性、真實性要求；j）需方應(yīng)對交易標(biāo)的描述和樣本的準(zhǔn)確性、真實性進(jìn)行審核。4.3.3交易信息分級分類保護(hù)要求交易信息分級分類保護(hù)，應(yīng)滿足以下要求：a）交易雙方就本次信用信息交易，應(yīng)按照國家和行業(yè)有關(guān)要求進(jìn)行數(shù)據(jù)分類分級，識別可能涉及的個人信息、公共數(shù)據(jù)和重要數(shù)據(jù)；b）結(jié)合數(shù)據(jù)流通范圍、影響程度、潛在風(fēng)險，建立企業(yè)數(shù)據(jù)、個人信息等數(shù)據(jù)分類分級授權(quán)使用和保護(hù)機(jī)制；c）交易標(biāo)的涉及個人信息的，對個人信息的保護(hù)應(yīng)符合GB/T35273-2020《個人信息安全規(guī)范》以及GB/T37964-2019《個人信息去標(biāo)識化指南》的相關(guān)要求；d）交易標(biāo)的涉及重要數(shù)據(jù)的，應(yīng)當(dāng)滿足國家相關(guān)法律法規(guī)對重要數(shù)據(jù)保護(hù)的相關(guān)要求；e）交易標(biāo)的涉及公共數(shù)據(jù)的，在保護(hù)個人隱私和確保公共安全的前提下，公共數(shù)據(jù)宜按照“原始數(shù)據(jù)不出域、數(shù)據(jù)可用不可見”的要求，以模型、核驗等產(chǎn)品服務(wù)等形式向社會提供；注：“原始數(shù)據(jù)不出域、數(shù)據(jù)可用不可見”引用自《中共中央國務(wù)院關(guān)于構(gòu)f）供方應(yīng)提供符合JR/T0223-2021《金融數(shù)據(jù)安全數(shù)據(jù)生命周期安全規(guī)范》以及國家相關(guān)法律法規(guī)的要求的數(shù)據(jù)脫敏方法，并具備評價重要數(shù)據(jù)脫敏有效性的評估能4.4信用信息交易流通安全要求4.4.1流通場景的安全要求6T/GDJRXXX—2024流通場景應(yīng)符合以下安全要求：a）需方應(yīng)提供書面的數(shù)據(jù)交易和使用承諾，以確保采購需求以及流通場景真實、合法、合理，與其所在行業(yè)、業(yè)務(wù)需求相符；b）需方應(yīng)保證流通場景及流通目的不危害國家安全、公共利益以及第三方合法權(quán)益的情形；c）涉及向境外提供信用信息的，應(yīng)當(dāng)了解需方以及其他流通相關(guān)方的身份、用途，確保信用信息用于跨境貿(mào)易、融資等合理的用途。4.4.2流通程序的安全要求流通程序應(yīng)符合以下安全要求：a）數(shù)據(jù)交易涉及許可、備案等行政手續(xù)的，交易主體應(yīng)向有關(guān)部門申請許可、履行備案或辦理其他行政手續(xù)；b）涉及向境外提供信用信息的，應(yīng)根據(jù)適用的法律法規(guī)履行數(shù)據(jù)出境相關(guān)義務(wù)。4.4.3流通方式的安全要求4.4.3.1系統(tǒng)接入交易雙方系統(tǒng)接入應(yīng)符合以下安全要求：a）系統(tǒng)接入是指供方與需方依據(jù)雙方協(xié)議，通過預(yù)定義的接口規(guī)范和安全協(xié)議，實現(xiàn)交易標(biāo)的在系統(tǒng)間安全傳輸和交換的過程；b）應(yīng)當(dāng)建立外部機(jī)構(gòu)接入本系統(tǒng)的管理辦法，明確外部機(jī)構(gòu)的接入條件、提交的申請材料、申請和審核程序，建議可包括數(shù)據(jù)保護(hù)策略、數(shù)據(jù)安全管理辦法、信息數(shù)據(jù)風(fēng)險評估實施方案、系統(tǒng)災(zāi)備應(yīng)急方案等內(nèi)容；c）應(yīng)當(dāng)對外部機(jī)構(gòu)申請接入系統(tǒng)的必要性、業(yè)務(wù)系統(tǒng)及業(yè)務(wù)現(xiàn)狀、安全管理水平、網(wǎng)絡(luò)條件等是否符合前款規(guī)定進(jìn)行綜合評估，確認(rèn)符合條件的方可接入系統(tǒng)；d）應(yīng)當(dāng)在測試環(huán)境下對外部機(jī)構(gòu)的接口規(guī)范程序、網(wǎng)絡(luò)條件等進(jìn)行測試，測試通過后方可接入系統(tǒng)生產(chǎn)環(huán)境。4.4.3.2系統(tǒng)接口規(guī)范方式交易雙方采用系統(tǒng)接口規(guī)范方式進(jìn)行系統(tǒng)接入的，應(yīng)符合以下安全要求：a）交易雙方應(yīng)當(dāng)制定合適的信息交付策略，明確信息接入的范圍、內(nèi)容、方式和頻次、報文接收與反饋、意外事件處理及相關(guān)崗位職責(zé)等，合理控制報文加載順序、進(jìn)度，確保信息及時加載入庫；b）需方接收信用信息供方按照接口規(guī)范生成的業(yè)務(wù)數(shù)據(jù)報文，記錄報文登記信息，自動進(jìn)行解密和加載處理，業(yè)務(wù)操作人員應(yīng)及時跟蹤報文的接收，在對業(yè)務(wù)數(shù)據(jù)報文進(jìn)行處理時，加載成功的信息，按照接口規(guī)范生成反饋報文，反饋給供方。加載異常的信息，應(yīng)將錯誤信息反饋給供方，由其進(jìn)行重報。供方業(yè)務(wù)操作人員應(yīng)及時聯(lián)系相關(guān)人員，進(jìn)行跟蹤處理。4.4.3.3非系統(tǒng)接口規(guī)范方式采用非系統(tǒng)接口規(guī)范方式進(jìn)行系統(tǒng)接入的，應(yīng)符合以下安全要求：a）需方應(yīng)當(dāng)制定通過手工錄入、介質(zhì)導(dǎo)入等非接口方式采集信息的具體流程，明確信息采集范圍、內(nèi)容、方式和頻次、信息審核、錯誤數(shù)據(jù)修改及相關(guān)崗位職責(zé)等；b）需方應(yīng)當(dāng)對信息來源和內(nèi)容進(jìn)行審核，必要時委托第三方專業(yè)服務(wù)機(jī)構(gòu)協(xié)助需方進(jìn)行審核，審核通過后再發(fā)起手工錄入、介質(zhì)導(dǎo)入等操作；c）需方應(yīng)當(dāng)對手工錄入、介質(zhì)導(dǎo)入的業(yè)務(wù)數(shù)據(jù)進(jìn)行合法性校驗，無法正常錄入信息系統(tǒng)的信息，由業(yè)務(wù)操作人員通過專門數(shù)據(jù)修改流程進(jìn)行核查處理；d）應(yīng)對存儲數(shù)據(jù)的介質(zhì)或物理設(shè)備采取無法恢復(fù)的方式進(jìn)行數(shù)據(jù)刪除與銷毀，如物理粉碎、消磁、多次擦寫等。7T/GDJRxxx—20244.4.4流通技術(shù)設(shè)施的安全要求流通技術(shù)設(shè)施應(yīng)符合以下安全要求：a）交易雙方應(yīng)具備安全的數(shù)據(jù)傳輸通道，保證數(shù)據(jù)在傳輸過程中的保密性和完整性；b）交易雙方應(yīng)具備安全的上傳或下載接口，包括基于密碼技術(shù)的身份認(rèn)證、訪問控制、傳輸鏈路加密、傳輸數(shù)據(jù)保密性和完整性校驗等保護(hù)措施；c）供方應(yīng)對數(shù)據(jù)交易平臺接口的不安全輸入?yún)?shù)進(jìn)行限制和過濾，為接口提供異常處理能力；d）交易雙方應(yīng)為數(shù)據(jù)交易標(biāo)的生成不可篡改的電子憑證，實現(xiàn)交易標(biāo)的和交易操作的可追溯性及交易的不可否認(rèn)性；e）交易雙方應(yīng)具備敏感數(shù)據(jù)識別和數(shù)據(jù)分類分級管理能力，能夠根據(jù)交易標(biāo)的的分類分級結(jié)果，對敏感數(shù)據(jù)進(jìn)行識別和標(biāo)注，并采用相應(yīng)安全能力的數(shù)據(jù)流通安全保障技術(shù)進(jìn)行交付；f）宜提供隔離安全環(huán)境，并采取數(shù)據(jù)加密、訪問控制、數(shù)據(jù)防泄漏、水印溯源、安全審計等措施，防止交易過程中的數(shù)據(jù)泄露、篡改、破壞或非法獲取、非法交易、非法利用等；g）應(yīng)針對不同類別級別的數(shù)據(jù)采取差異化安全存儲保護(hù)措施，如加密、脫敏、備份、訪問控制、數(shù)字水印、完整性校驗、安全配置、日志管理（留存期限不少于180天）等。數(shù)據(jù)存儲不應(yīng)超過與數(shù)據(jù)主體約定的存儲期限，超存儲期限或已達(dá)到目的的數(shù)據(jù)應(yīng)及時銷毀；h）提供數(shù)據(jù)交易平臺的熱冗余，支持本地數(shù)據(jù)備份恢復(fù)、異地實時備份等功能，保證系統(tǒng)和數(shù)據(jù)的高可用性；i）具備惡意代碼防護(hù)能力，能夠?qū)灰讛?shù)據(jù)含有的惡意代碼進(jìn)行檢測；j）交易雙方應(yīng)實施日志審計，記錄接口操作詳情，并妥善保存。5安全等級能力要求信用信息交易雙方在信用信息交易前可開展安全等級能力評估工作，按具體實際的數(shù)據(jù)交易場景，確定當(dāng)次交易中所需等級標(biāo)準(zhǔn)，評估確定滿足相應(yīng)的等級后再進(jìn)行交易。相關(guān)評價指引及等級要求詳見附錄A《信用信息安全能力等級評價指引》及附錄B《信用信息安全能力等級要求》。8T/GDJRXXX—2024信用信息安全能力等級評價指引A.1評價內(nèi)容為了實現(xiàn)評估過程的標(biāo)準(zhǔn)化和透明化，本文件制定了安全能力等級要求，各項評價標(biāo)準(zhǔn)在附錄B中闡述。附錄B中的評價標(biāo)準(zhǔn)覆蓋了關(guān)鍵領(lǐng)域，包括綜合條件、管理能力、技術(shù)實力和信息安全能力，為安全等級能力評價工作提供了明確的指導(dǎo)和依據(jù)。A.2評價等級評價指標(biāo)項的評價結(jié)果分為四個等級,從最高到最低依次用四級、三級、二級、一級表示，應(yīng)根據(jù)附錄A的內(nèi)容確定評價結(jié)果等級。A.3評價流程安全等級能力評價流程如下：a）供方在信用信息交易前應(yīng)當(dāng)取得安全等級能力等級認(rèn)證，并由第三方專業(yè)服務(wù)機(jī)構(gòu)對信用信息供方進(jìn)行等級能力評價工作；b）需方按具體實際的數(shù)據(jù)交易場景，確定當(dāng)次交易中供方的等級標(biāo)準(zhǔn)；c）第三方專業(yè)服務(wù)機(jī)構(gòu)應(yīng)對申請評價方提交的相關(guān)文件進(jìn)行審查，并通過書面審查、現(xiàn)場核查、專家評審等方式開展評估工作出具等級認(rèn)證報告；d）第三方專業(yè)服務(wù)機(jī)構(gòu)簽署等級認(rèn)證報告并發(fā)送至委托主體。A.4評價機(jī)構(gòu)要求由第三方專業(yè)服務(wù)機(jī)構(gòu)對供方進(jìn)行等級能力評價工作，第三方專業(yè)服務(wù)機(jī)構(gòu)應(yīng)滿足以下要求：a）作為第三方專業(yè)服務(wù)機(jī)構(gòu)參與信用信息交易，應(yīng)滿足以下條件：——在我國境內(nèi)依法成立并有效存續(xù)，具有承擔(dān)民事責(zé)任能力；——具有健全的財務(wù)制度，無重大財務(wù)風(fēng)險；——近兩年不存在違法違規(guī)和失信記錄；——近兩年未發(fā)生網(wǎng)絡(luò)和數(shù)據(jù)安全事件；——具備從事相關(guān)業(yè)務(wù)的技術(shù)能力和經(jīng)驗；——如從事第三方專業(yè)服務(wù)機(jī)構(gòu)服務(wù)需要專門資質(zhì)的，應(yīng)取得相應(yīng)資質(zhì)許可。b）第三方專業(yè)服務(wù)機(jī)構(gòu)從事專業(yè)評價服務(wù)的，應(yīng)具備數(shù)據(jù)合規(guī)評估專業(yè)資質(zhì)，堅持獨(dú)立、客觀、公正原則開展服務(wù)，出具的法律意見書、評估報告、鑒定意見、專家結(jié)論、認(rèn)證證書等，應(yīng)保證客觀性、真實性、準(zhǔn)確性、完整性和有效性，不應(yīng)出現(xiàn)虛假記載、誤導(dǎo)性陳述等違反法律法規(guī)、行業(yè)規(guī)則的情形，按照法律法規(guī)要求和專業(yè)審慎原則，對交易主體、交易標(biāo)的、交易流通過程進(jìn)行嚴(yán)格審查，確保交易合法、內(nèi)容真實；c）未經(jīng)委托方同意，不應(yīng)將相關(guān)服務(wù)外包，如確需外包應(yīng)征得委托方同意，并對外包方的數(shù)據(jù)安全能力、資質(zhì)進(jìn)行審核，明確外包方的安全責(zé)任、保密義務(wù)和任務(wù)結(jié)束后的數(shù)據(jù)處置方式；d）第三方專業(yè)服務(wù)機(jī)構(gòu)應(yīng)妥善保管供方或需方的數(shù)據(jù)資料，不應(yīng)泄露、偽造、篡改、隱藏、毀損；e）按照約定方式完成服務(wù)后，第三方專業(yè)服務(wù)機(jī)構(gòu)應(yīng)及時刪除收到的客戶數(shù)據(jù)和服務(wù)過程中所產(chǎn)生的相關(guān)數(shù)據(jù)。9T/GDJRxxx—2024A.5評價有效期a）第三方專業(yè)服務(wù)機(jī)構(gòu)出具的等級認(rèn)證報告有效期見表A.1。表A.1等級認(rèn)證報告有效期表b）評價有效期內(nèi)，如發(fā)生以下重大變化的，供方應(yīng)當(dāng)重新申請評定：——任何法律法規(guī)或政策的重大更改，包括法律法規(guī)或有關(guān)部門規(guī)定要評估的情——信用信息供方業(yè)務(wù)活動或數(shù)據(jù)處理活動發(fā)生重大變化；——信用信息供方出現(xiàn)重大數(shù)據(jù)安全事件；——信用信息供方出現(xiàn)減少注冊資本金的情形；——信用信息供方信息系統(tǒng)上線及上線后進(jìn)行架構(gòu)調(diào)整等重大變更；——其他導(dǎo)致信用信息供方等級發(fā)生重大變化的情形。c）如供方未按上述規(guī)定重新評定的，可以對其進(jìn)行降級處理；d）如供方內(nèi)部評審認(rèn)為公司可以達(dá)到更高級別的安全等級能力，可以在有效期內(nèi)提出評定申請。T/GDJRXXX—2024信用信息安全能力等級要求B.1四級B.1.1綜合條件1、在中華人民共和國境內(nèi)注冊成立（港澳臺地區(qū)除外）,且由中國公民、法人或國家投資所占總股本不少于50%的獨(dú)立法人，變革發(fā)展歷程清晰、產(chǎn)權(quán)關(guān)系明確，注冊資本不少于人民幣2000萬元并依據(jù)《中華人民共和國公司法》的相關(guān)規(guī)定進(jìn)行實繳。2、財務(wù)狀況良好，最近三年連續(xù)盈利，累計凈利潤不低于400萬元或年均凈利潤率不低于5%。3、有良好的資信，近五年未有與數(shù)據(jù)安全、數(shù)據(jù)合規(guī)、數(shù)據(jù)交易相關(guān)的行政處罰，未有被確認(rèn)承擔(dān)知識產(chǎn)權(quán)類侵權(quán)責(zé)任的訴訟案件，未有影響較大、性質(zhì)較嚴(yán)重的其他行政處罰，未有影響企業(yè)正常運(yùn)營的重大訴訟。4、董事、監(jiān)事和高級管理人員近五年內(nèi)無重大違法違規(guī)記錄。5、近五年內(nèi)未出現(xiàn)過應(yīng)由其承擔(dān)責(zé)任的、重大的用戶投訴。B.1.2管理能力1、已建立完備的數(shù)據(jù)質(zhì)量管理體系和信息安全管理體系，包括：（1）已明確組織層面的數(shù)據(jù)質(zhì)量目標(biāo)，統(tǒng)一數(shù)據(jù)質(zhì)量需求相關(guān)模板、管理機(jī)制。（2）已建立數(shù)據(jù)管理責(zé)任機(jī)制，明確各類數(shù)據(jù)管理人員以及相關(guān)職責(zé)，制定各類數(shù)據(jù)的優(yōu)先級和質(zhì)量管理需求。（3）已針對數(shù)據(jù)質(zhì)量目標(biāo)的制定考慮了外部監(jiān)管、合規(guī)方面的要求。（4）已設(shè)計組織統(tǒng)一的數(shù)據(jù)質(zhì)量評價體系以及相應(yīng)的規(guī)則庫。（5）已明確新建項目中數(shù)據(jù)質(zhì)量需求的管理制度，統(tǒng)一管理權(quán)限。建立組織統(tǒng)一的數(shù)據(jù)安全標(biāo)準(zhǔn)以及策略并正式發(fā)布。（6）規(guī)范了組織數(shù)據(jù)安全標(biāo)準(zhǔn)與策略相關(guān)的管理流程，并以此指導(dǎo)數(shù)據(jù)安全標(biāo)準(zhǔn)和策略的制定。（7）數(shù)據(jù)安全標(biāo)準(zhǔn)與策略制定過程中能識別組織內(nèi)外部的數(shù)據(jù)安全需求，包括外部監(jiān)管和法律的需求。（8）規(guī)范了數(shù)據(jù)安全利益相關(guān)者在數(shù)據(jù)安全管理過程中的職責(zé)。（9）定期開展數(shù)據(jù)安全標(biāo)準(zhǔn)和策略相關(guān)的培訓(xùn)和宣貫。2、企業(yè)設(shè)立了完整的數(shù)據(jù)安全管理體系，具備包括數(shù)據(jù)分類分級、數(shù)據(jù)安全技術(shù)措施、數(shù)據(jù)全生命周期全流程管理、風(fēng)險風(fēng)評、應(yīng)急預(yù)案、安全教育培訓(xùn)、數(shù)據(jù)及個人信息出境管理、個人信息操作權(quán)限管理、監(jiān)測審計、個人信息保護(hù)影響評估以及投訴、舉報等數(shù)據(jù)安全管理制度和安全保密措施能有效執(zhí)行，每年開展數(shù)據(jù)安全合規(guī)及風(fēng)險評估并提交風(fēng)險評估報告。3、建立完備的項目管理體系和客戶服務(wù)體系并能有效實施。4、已系統(tǒng)地對員工進(jìn)行數(shù)據(jù)安全教育以及職業(yè)道德培訓(xùn)，并定期組織數(shù)據(jù)安全責(zé)任考5、已設(shè)立數(shù)據(jù)安全責(zé)任人，由具有五年以上相關(guān)管理工作經(jīng)歷或數(shù)據(jù)安全專業(yè)知識的人員擔(dān)任，參與有關(guān)數(shù)據(jù)活動的重要決策，且須與所在單位簽訂三年以上勞動合同。6、已采用數(shù)據(jù)分類分級、備份、脫敏、加密、數(shù)據(jù)防泄露、數(shù)據(jù)接口安全等安全技術(shù)措施保護(hù)個人信息和重要數(shù)據(jù)。B.1.3技術(shù)實力1、主要負(fù)責(zé)人應(yīng)具有五年以上電子信息技術(shù)領(lǐng)域的管理經(jīng)歷；財務(wù)負(fù)責(zé)人應(yīng)具有國家相關(guān)部門頒發(fā)的中級職稱以上的財務(wù)專業(yè)從業(yè)資格證書。T/GDJRxxx—20242、具有穩(wěn)定的技術(shù)隊伍，從事數(shù)據(jù)安全服務(wù)的人員不少于20名。從事數(shù)據(jù)安全服務(wù)的人員與所在機(jī)構(gòu)簽訂二年以上勞動合同和保密協(xié)議，合同和協(xié)議應(yīng)在有效期內(nèi)。B.1.4信息安全能力1、信息供方的系統(tǒng)管理和技術(shù)要求達(dá)到GB/T22239-2019四級及以上。2、業(yè)務(wù)操作要求符合本文件的業(yè)務(wù)運(yùn)作要求。3、信息供方的數(shù)據(jù)安全能力要求達(dá)到GB/T37988-2019四級及以上。B.2三級B.2.1綜合條件1、在中華人民共和國境內(nèi)注冊成立（港澳臺地區(qū)除外）,且由中國公民、法人或國家投資所占總股本不少于50%的獨(dú)立法人，變革發(fā)展歷程清晰、產(chǎn)權(quán)關(guān)系明確，注冊資本不少于人民幣500萬元，并依據(jù)《中華人民共和國公司法》的相關(guān)規(guī)定進(jìn)行實繳。2、財務(wù)狀況良好，最近二年連續(xù)盈利，累計凈利潤不低于200萬元或年均凈利潤率不低于3%。3、有良好的資信，近三年未有與數(shù)據(jù)安全、數(shù)據(jù)合規(guī)、數(shù)據(jù)交易相關(guān)的行政處罰，未有被確認(rèn)承擔(dān)知識產(chǎn)權(quán)類侵權(quán)責(zé)任的訴訟案件，未有影響較大、性質(zhì)較嚴(yán)重的其他行政處罰，未有影響企業(yè)正常運(yùn)營的重大訴訟。4、董事、監(jiān)事和高級管理人員近三年內(nèi)無重大違法違規(guī)記錄。5、具有良好的資信，近三年內(nèi)未出現(xiàn)過應(yīng)由其承擔(dān)責(zé)任的、重大的用戶投訴。B.2.2管理能力1、已建立完備的數(shù)據(jù)質(zhì)量管理體系和信息安全管理體系，包括：（1）已制定數(shù)據(jù)質(zhì)量需求相關(guān)模板，明確相關(guān)管理規(guī)范。（2）已在組織或業(yè)務(wù)部門識別了關(guān)鍵數(shù)據(jù)的質(zhì)量需求。（3）已設(shè)計滿足本業(yè)務(wù)部門需求的數(shù)據(jù)質(zhì)量評價指標(biāo)，并建立了數(shù)據(jù)質(zhì)量規(guī)則庫。（4）業(yè)務(wù)部門內(nèi)部建立了數(shù)據(jù)安全標(biāo)準(zhǔn)、管理策略和管理流程。（5）業(yè)務(wù)部門內(nèi)部識別數(shù)據(jù)安全利益相關(guān)者。（6）業(yè)務(wù)部門內(nèi)部數(shù)據(jù)安全標(biāo)準(zhǔn)與策略的建立能遵循合理的管理流程。2、企業(yè)設(shè)立了完整的數(shù)據(jù)安全管理組織架構(gòu)，具備包括數(shù)據(jù)分類分級、數(shù)據(jù)安全技術(shù)措施、數(shù)據(jù)全生命周期全流程管理、風(fēng)險風(fēng)評、應(yīng)急預(yù)案、安全教育培訓(xùn)、數(shù)據(jù)及個人信息出境管理、個人信息操作權(quán)限管理、監(jiān)測審計、個人信息保護(hù)影響評估以及投訴、舉報等數(shù)據(jù)安全管理制度和安全保密措施能有效執(zhí)行，定期開展風(fēng)險評估。3、建立完備的項目管理體系和客戶服務(wù)體系并能有效實施。4、系統(tǒng)地對員工進(jìn)行數(shù)據(jù)安全教育以及職業(yè)道德培訓(xùn)。5、已設(shè)立數(shù)據(jù)安全責(zé)任人，由具有三年相關(guān)管理工作經(jīng)歷和數(shù)據(jù)安全專業(yè)知識的人員擔(dān)任，參與有關(guān)數(shù)據(jù)活動的重要決策，且須與所在單位簽訂三年以上勞動合同。6、已采用分類分級、備份、脫敏、加密、數(shù)據(jù)防泄漏、數(shù)據(jù)接口安全等安全技術(shù)措施保護(hù)個人信息和重要數(shù)據(jù)。B.2.3技術(shù)實力1、主要負(fù)責(zé)人應(yīng)具有三年以上電子信息技術(shù)領(lǐng)域的管理經(jīng)歷；財務(wù)負(fù)責(zé)人應(yīng)具有國家相關(guān)部門頒發(fā)的中級職稱以上的財務(wù)專業(yè)從業(yè)資格證書。2、具有穩(wěn)定的技術(shù)隊伍，從事數(shù)據(jù)安全服務(wù)的人員不少于10名。從事數(shù)據(jù)安全服務(wù)的人員與所在機(jī)構(gòu)簽訂二年以上勞動合同和保密協(xié)議，合同和協(xié)議應(yīng)在有效期內(nèi)。B.2.4信息安全能力1、信息供方的系統(tǒng)管理和技術(shù)防護(hù)達(dá)到GB/T22239-2019三級。2、業(yè)務(wù)操作要求符合本文件的業(yè)務(wù)運(yùn)作要求。T/GDJRXXX—20243、信息供方的數(shù)據(jù)安全能力要求達(dá)到GB/T37988-2019三級及以上。B.3二級B.3.1綜合條件1、在中華人民共和國境內(nèi)注冊成立（港澳臺地區(qū)除外）,且由中國公民、法人或國家投資所占總股本不少于50%的獨(dú)立法人，變革發(fā)展歷程清晰、產(chǎn)權(quán)關(guān)系明確，注冊資本不少于人民幣100萬元，并依據(jù)《中華人民共和國公司法》的相關(guān)規(guī)定進(jìn)行實繳。2、財務(wù)狀況良好，近兩年未有與數(shù)據(jù)安全、數(shù)據(jù)合規(guī)、數(shù)據(jù)交易相關(guān)的行政處罰，未有被確認(rèn)承擔(dān)知識產(chǎn)權(quán)類侵權(quán)責(zé)任的訴訟案件，未有影響較大、性質(zhì)較嚴(yán)重的其他行政處罰，未有影響企業(yè)正常運(yùn)營的重大訴訟。3、董事、監(jiān)事和高級管理人員近兩年內(nèi)無重大違法違規(guī)記錄。4、有良好的資信，近二年內(nèi)未出現(xiàn)過應(yīng)由其承擔(dān)責(zé)任的、重大的用戶投訴。B.3.2管理能力1、已建立完備的數(shù)據(jù)質(zhì)量管理體系和數(shù)據(jù)安全管理體系，包括：（1）已在項目中分析了數(shù)據(jù)質(zhì)量的管理需求，并進(jìn)行了相關(guān)的管理。（2）基于出現(xiàn)的數(shù)據(jù)問題，已開展數(shù)據(jù)質(zhì)量檢查工作。（3）基于出現(xiàn)的數(shù)據(jù)質(zhì)量問題，進(jìn)行了分析和評估。（4）業(yè)務(wù)部門內(nèi)部建立了數(shù)據(jù)安全標(biāo)準(zhǔn)、管理策略和管理流程。2、企業(yè)已設(shè)立數(shù)據(jù)安全管理組織架構(gòu)，具備包括數(shù)據(jù)分類分級、數(shù)據(jù)安全技術(shù)措施、數(shù)據(jù)全生命周期全流程管理、風(fēng)險風(fēng)評、應(yīng)急預(yù)案、安全教育培訓(xùn)、數(shù)據(jù)及個人信息出境管理、個人信息操作權(quán)限管理、監(jiān)測審計、個人信息保護(hù)影響評估以及投訴、舉報等數(shù)據(jù)安全管理制度和安全保密措施。3、具有系統(tǒng)地對員工進(jìn)行數(shù)據(jù)安全教育以及職業(yè)道德培訓(xùn)的計劃，并能有效地組織實施與考核。4、已設(shè)立數(shù)據(jù)安全責(zé)任人，由具有兩年相關(guān)管理工作經(jīng)歷和數(shù)據(jù)安全專業(yè)知識的人員擔(dān)任，參與有關(guān)數(shù)據(jù)活動的重要決策，且須與所在單位簽訂二年以上勞動合同。5、已采用分類分級、備份、脫敏、加密、數(shù)據(jù)防泄漏、數(shù)據(jù)接口安全等安全技術(shù)措施保護(hù)個人信息和重要數(shù)據(jù)。B.3.3技術(shù)實力1、主要負(fù)責(zé)人應(yīng)具有兩年以上電子信息技術(shù)領(lǐng)域的管理經(jīng)歷；財務(wù)負(fù)責(zé)人應(yīng)具有國家相關(guān)部門頒發(fā)的中級職稱以上的