DB4403T518-2024數(shù)據(jù)交易服務規(guī)范

ICS35.030CCSL80DB4403深 圳 市 地 方 標 準DB4403/T518—2024數(shù)據(jù)交易服務規(guī)范Datatransactionservicespecification2024-10-282024-10-282024-12-01深圳市場監(jiān)督管理局DB4403/T518—2024DB4403/T518—2024DB4403/T518—2024DB4403/T518—2024目次前言 II范圍 1規(guī)范性引用文件 1術語和定義 1數(shù)據(jù)交易服務內(nèi)容框架 2數(shù)據(jù)交易基本要素 3交易參與方 3交易標的 4數(shù)據(jù)交易服務平臺 4交易標的交易過程要求 5交易申請 5交易評估 5交易撮合 6交易實施 7交易結(jié)算 7交易結(jié)束 8交易追溯 8數(shù)據(jù)交易安全技術要求 9通用要求 9操作審計 9數(shù)據(jù)加密 9數(shù)據(jù)脫敏 10數(shù)據(jù)流動監(jiān)測 10數(shù)據(jù)備份 10數(shù)據(jù)銷毀 10參考文獻 11I前言本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結(jié)構和起草規(guī)則》的規(guī)定起草。本文件由深圳市人民政府國有資產(chǎn)監(jiān)督管理委員會提出并歸口。本文件起草單位：深圳數(shù)據(jù)交易所有限公司、深圳交易集團有限公司、聯(lián)易融數(shù)字科技集團有限公司、京信數(shù)據(jù)科技有限公司、亞信安全科技股份有限公司、深圳市騰訊計算機系統(tǒng)有限公司、中國工商銀行、天翼云科技有限公司、南方電網(wǎng)數(shù)字平臺科技（廣東）有限公司、中國移動通信有限公司研究院、交通銀行深圳分行、北京數(shù)牘科技有限公司、上海富數(shù)科技有限公司、杭州金智塔科技有限公司。本文件主要起草人：李禎龍、陳曦、梁孟、廖雙曉、李克鵬、鐘陳穎、魏博言、袁娜、凌敏、解凱旋、金銀玉、許正霖、楊天雅、梁騰文、白東國、陳戈、梁敏華、李紅光、王騰、趙亮、賴高宇、賀昆、杜妮娜、林嘉敏、王昆、信倫、單進勇、王建強、卞陽、閆樹、李榕、王琛、李中、許智立、趙婉露。IIII數(shù)據(jù)交易服務規(guī)范范圍本文件規(guī)定了數(shù)據(jù)交易服務的框架、基本要素、交易標的交易過程要求和數(shù)據(jù)交易安全技術要求。本文件適用于深圳市數(shù)據(jù)交易服務主體開展場內(nèi)及場外的數(shù)據(jù)交易服務活動。規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T37932—2019信息安全技術數(shù)據(jù)交易服務安全要求術語和定義下列術語和定義適用于本文件。數(shù)據(jù)產(chǎn)品dataproduction用于交易的原始數(shù)據(jù)和加工處理后的數(shù)據(jù)衍生產(chǎn)品。注數(shù)據(jù)產(chǎn)品dataproduction用于交易的原始數(shù)據(jù)和加工處理后的數(shù)據(jù)衍生產(chǎn)品。注：數(shù)據(jù)產(chǎn)品包括但不限于數(shù)據(jù)集、數(shù)據(jù)分析報告、數(shù)據(jù)可視化產(chǎn)品、數(shù)據(jù)指數(shù)、API數(shù)據(jù)、加密數(shù)據(jù)等。3.2數(shù)據(jù)服務dataservices賣方或賣方委托的第三方提供數(shù)據(jù)處理（收集、存儲、使用、加工、傳輸?shù)龋┓漳芰?。注：?shù)據(jù)服務包括但不限于數(shù)據(jù)采集和預處理服務、數(shù)據(jù)建模、分析處理服務、數(shù)據(jù)可視化服務、數(shù)據(jù)安全服務等。3.3數(shù)據(jù)工具datatools可實現(xiàn)數(shù)據(jù)服務的軟硬件工具。注：數(shù)據(jù)工具包括但不限于數(shù)據(jù)存儲和管理工具、數(shù)據(jù)采集工具、數(shù)據(jù)清洗工具、數(shù)據(jù)分析工具、數(shù)據(jù)可視化工具、數(shù)據(jù)安全工具等。3.4交易標的transactionsubjects用于交易的數(shù)據(jù)產(chǎn)品、數(shù)據(jù)服務和數(shù)據(jù)工具。3.5數(shù)據(jù)交易datatransaction數(shù)據(jù)賣方和買方之間以交易標的作為交易對象，進行的以貨幣或貨幣等價物交換交易標的的行為。3.6數(shù)據(jù)交易服務datatransactionservice1幫助數(shù)據(jù)賣方和數(shù)據(jù)買方完成數(shù)據(jù)交易的活動。3.7數(shù)據(jù)交易場所dataexchange經(jīng)政府批準成立的，組織開展數(shù)據(jù)交易活動的交易場所。3.8數(shù)據(jù)賣方dataseller在數(shù)據(jù)交易場所內(nèi)或數(shù)據(jù)交易場所外由合法組織機構出售交易標的的組織或自然人。3.9數(shù)據(jù)買方databuyer在數(shù)據(jù)交易場所內(nèi)購買交易標的的組織或自然人。3.10數(shù)據(jù)商datamerchants從各種合法來源收集或維護數(shù)據(jù)，經(jīng)匯總、加工、分析等處理轉(zhuǎn)化為交易標的，向買方出售或許可,或為促成并順利履行交易，向委托人提供交易標的發(fā)布、承銷、經(jīng)紀等服務，合規(guī)開展業(yè)務的企業(yè)法人。3.11數(shù)據(jù)交易第三方服務機構thirdpartyserviceinstitutionsfordatatransaction3.12數(shù)據(jù)交易場所運營機構datatransactionvenuesoperatingagency按照相關法律、行政法規(guī)和數(shù)據(jù)交易綜合監(jiān)督管理部門的規(guī)定，在當?shù)爻袚鷶?shù)據(jù)交易的職能，為數(shù)據(jù)集中交易提供基礎設施和基本服務的組織機構。3.133.12數(shù)據(jù)交易場所運營機構datatransactionvenuesoperatingagency按照相關法律、行政法規(guī)和數(shù)據(jù)交易綜合監(jiān)督管理部門的規(guī)定，在當?shù)爻袚鷶?shù)據(jù)交易的職能，為數(shù)據(jù)集中交易提供基礎設施和基本服務的組織機構。3.13數(shù)據(jù)交易服務平臺datatransactionserviceplatform數(shù)據(jù)交易場所運營機構為開展數(shù)據(jù)交易業(yè)務提供各項服務的信息化平臺。4數(shù)據(jù)交易服務框架4.1數(shù)據(jù)交易服務涉及數(shù)據(jù)賣方、數(shù)據(jù)買方、數(shù)據(jù)商、數(shù)據(jù)交易第三方服務機構及數(shù)據(jù)交易場所運營機構五個主體。數(shù)據(jù)交易服務包括場內(nèi)數(shù)據(jù)交易服務及場外數(shù)據(jù)交易服務，服務流程包括交易申請、交易評估、交易撮合、交易實施、交易結(jié)算、交易結(jié)束及交易追溯七個環(huán)節(jié)，數(shù)據(jù)交易服務參考框架如圖1所示。2圖1數(shù)據(jù)交易服務框架4.2數(shù)據(jù)交易場所運營機構依托數(shù)據(jù)交易服務平臺，基于數(shù)據(jù)商提供的交易標的為數(shù)據(jù)買方和數(shù)據(jù)賣方提供多樣性的數(shù)據(jù)交易服務，交易標的則包括數(shù)據(jù)產(chǎn)品、數(shù)據(jù)服務、數(shù)據(jù)工具等。數(shù)據(jù)賣方的交易標的需要由數(shù)據(jù)商保薦后方能在數(shù)據(jù)交易場所運營機構進行交易服務。數(shù)據(jù)買方基于數(shù)據(jù)交易服務平臺根據(jù)交易需求購買所需交易標的。在整個數(shù)據(jù)交易服務過程中由數(shù)據(jù)交易第三方服務機構提供法律、數(shù)據(jù)資產(chǎn)化、安全質(zhì)量評估、培訓咨詢、其他第三方服務等相關輔助交易服務。數(shù)據(jù)交易基本要素交易參與方數(shù)據(jù)賣方數(shù)據(jù)賣方應具備業(yè)務所需的數(shù)據(jù)安全保障能力；申請交易標的在數(shù)據(jù)交易場所上市和交易，數(shù)據(jù)賣方應認證成為數(shù)據(jù)交易場所的數(shù)據(jù)商，或者委托數(shù)據(jù)商進行保薦。數(shù)據(jù)買方數(shù)據(jù)買方應具備業(yè)務所需數(shù)據(jù)安全保障能力。在數(shù)據(jù)交易前，數(shù)據(jù)買方應提供所屬行業(yè)、數(shù)據(jù)需求內(nèi)容、數(shù)據(jù)用途等信息，并保證按照買賣雙方約定和數(shù)據(jù)授權使用的目的和范圍使用數(shù)據(jù)。數(shù)據(jù)商數(shù)據(jù)商應為合法有效存續(xù)的企業(yè)法人，并具備業(yè)務所需服務能力。數(shù)據(jù)商為數(shù)據(jù)賣方提供保薦服務的，應在數(shù)據(jù)交易場所上市前對交易標的進行合規(guī)自查或?qū)徍?，范圍包括但不限于被保薦數(shù)據(jù)賣方的數(shù)據(jù)來源、身份、資質(zhì)、授權范圍、授權時間、數(shù)據(jù)安全保護能力等，以確保交易標的來源合法、內(nèi)容真實、質(zhì)量可靠。數(shù)據(jù)交易第三方服務機構數(shù)據(jù)交易第三方服務機構在開展業(yè)務過程中，遵循以下要求：3數(shù)據(jù)交易第三方服務機構及其從業(yè)人員開展相關業(yè)務，應堅持獨立、客觀、公正原則，對于任何組織和個人的不當干預應予以拒絕；數(shù)據(jù)交易第三方服務機構出具法律意見書、評估報告或其它鑒證報告時，應保證報告的客觀性、真實性、準確性和完整性，不應出現(xiàn)虛假記載、誤導性陳述或其它違反法律法規(guī)、行業(yè)規(guī)則的情形；數(shù)據(jù)交易第三方服務機構及其從業(yè)人員應遵守保密原則，妥善保存客戶委托文件、數(shù)據(jù)資料、工作底稿等信息和資料，任何人不應泄露、隱匿、偽造、篡改或者毀損；數(shù)據(jù)交易第三方服務機構應真實、完整、規(guī)范地整理交易全過程資料并留檔保存，不應偽造、篡改、隱匿或銷毀，防止業(yè)務檔案丟失、泄密。保管期限自業(yè)務合同有效期終止之日起計算30第三方服務機構對其提供的法律意見書、評估報告或其它鑒證報告的合規(guī)性、安全性、真實性和有效性負責；3交易標的數(shù)據(jù)產(chǎn)品數(shù)據(jù)產(chǎn)品包含如下要求：數(shù)據(jù)產(chǎn)品在數(shù)據(jù)交易場所申請上市的，宜先行經(jīng)過第三方法律服務機構的數(shù)據(jù)合規(guī)評估審查；第三方法律服務機構應對數(shù)據(jù)產(chǎn)品的合規(guī)性進行全面評估，真實、準確、完整地披露數(shù)據(jù)產(chǎn)品的重要方面（內(nèi)容應至少包含主體合規(guī)、標的合規(guī)和流通合規(guī)），盡職審慎地提示數(shù)據(jù)產(chǎn)品及其交易潛在的法律風險，并對數(shù)據(jù)產(chǎn)品的合規(guī)性出具正式的書面評估報告；數(shù)據(jù)交易場所運營機構應結(jié)合第三方法律服務機構出具的數(shù)據(jù)合規(guī)評估報告，進行主體交易資格、數(shù)據(jù)來源合法性、流通交易限制、數(shù)據(jù)安全保障能力等方面進行合規(guī)審核。數(shù)據(jù)服務數(shù)據(jù)服務在數(shù)據(jù)交易場所申請上市的，申請主體應提交數(shù)據(jù)服務所需的相關資質(zhì)，數(shù)據(jù)交易場所運營機構對數(shù)據(jù)服務進行嚴格審核，確保數(shù)據(jù)服務合法合規(guī)，不應侵害其他主體的合法權益。數(shù)據(jù)工具數(shù)據(jù)工具在數(shù)據(jù)交易場所申請上市的，申請主體應提交數(shù)據(jù)工具涉及的權利憑證（包括但不限于專利證書、計算機軟件著作權登記證書等），數(shù)據(jù)交易場所運營機構對數(shù)據(jù)工具進行嚴格審核，確保數(shù)據(jù)工具合法合規(guī)，不侵害其他主體的合法權益。數(shù)據(jù)交易服務平臺數(shù)據(jù)交易服務平臺遵循如下要求：通過數(shù)據(jù)交易服務平臺支撐數(shù)據(jù)交易的流程服務，平臺可由數(shù)據(jù)交易場所運營機構或其他符合相關規(guī)定的機構進行建設；滿足數(shù)據(jù)交易過程中交易申請、交易評估、交易撮合、交易實施、交易結(jié)算、交易結(jié)束和交GB/T379324交易標的交易過程要求交易申請數(shù)據(jù)分類分級數(shù)據(jù)賣方在數(shù)據(jù)分類分級方面的要求包括：應按照數(shù)據(jù)級別確定并實施所必要的安全管理策略和保障措施；應對交易數(shù)據(jù)分類分級的變更進行記錄，并通知相關數(shù)據(jù)買方和數(shù)據(jù)交易場所運營機構；應按照數(shù)據(jù)級別明確數(shù)據(jù)買方對交易數(shù)據(jù)的使用權限；GB/T43697、GB/T38667交易標的上架在交易標的上架方面，包括如下要求：數(shù)據(jù)賣方應提交交易標的上架申請，同時應明確界定交易數(shù)據(jù)的內(nèi)容范圍、使用場景和范圍、數(shù)據(jù)質(zhì)量說明、商品形態(tài)、數(shù)據(jù)安全級別等，以符合國家相關法律法規(guī)的要求；數(shù)據(jù)賣方應依據(jù)實際情況展示交易標的的描述說明、適用范圍、更新頻率、計費方式、交易數(shù)據(jù)完整相關權益的承諾及交易數(shù)據(jù)采集渠道、個人信息保護政策、用戶授權、交易數(shù)據(jù)真實性承諾、產(chǎn)品或服務樣例等相關材料；信息進行脫敏；d)數(shù)據(jù)交易場所運營機構應對數(shù)據(jù)上架申請信息進行評估和審批。交易標的申請信息進行脫敏；d)數(shù)據(jù)交易場所運營機構應對數(shù)據(jù)上架申請信息進行評估和審批。交易標的申請在交易標的申請方面，包括如下要求：交易申請時，數(shù)據(jù)買方應提供所屬行業(yè)、數(shù)據(jù)需求內(nèi)容、數(shù)據(jù)用途等信息；數(shù)據(jù)買方在提交數(shù)據(jù)資源申請時，應明確相關需求信息，具體包括：業(yè)務背景信息；期待達到目標；所需交易數(shù)據(jù)清單；數(shù)據(jù)來源；數(shù)據(jù)具體使用方法等。數(shù)據(jù)交易場所運營機構應對數(shù)據(jù)資源申請信息的合法、真實、來源進行合規(guī)審核，督促數(shù)據(jù)交易主體及時、準確提供信息。交易評估合規(guī)性評估數(shù)據(jù)交易第三方服務機構應從主體適格性、數(shù)據(jù)來源合法性、流通交易風險性等方面進行合規(guī)評估，具體包含：應評估數(shù)據(jù)交易主體的存續(xù)狀態(tài)及業(yè)務資質(zhì)（如行政許可、備案）等；應對法律法規(guī)禁止、未經(jīng)個人信息主體授權同意的數(shù)據(jù)進行去除；5數(shù)據(jù)來源鏈路應清晰，應有相應的主體授權，應在授權范圍內(nèi)進行合法合規(guī)地收集、使用、加工、流通等數(shù)據(jù)處理行為；數(shù)據(jù)內(nèi)容應不涉及限制或禁止流通的數(shù)據(jù)類型，交易標的不屬于且不涉及法律禁止獲取、持有和對外提供的數(shù)據(jù)；交易標的本身及其交易應不危害國家安全、公共安全與公共秩序，不違背公序良俗；數(shù)據(jù)在流通時應不存在安全隱患，各主體自身及數(shù)據(jù)買方應有相應的保護措施；交易標的應不侵犯數(shù)據(jù)相關合法權益，包括但不限于數(shù)據(jù)主體權利、商業(yè)秘密、數(shù)據(jù)使用和許可使用利益等；交易標的涉及重要數(shù)據(jù)的應在交易前進行數(shù)據(jù)安全風險評估，并提供評估報告；交易標的涉及個人信息數(shù)據(jù)的應在交易前進行個人信息影響評估，并提供評估報告。價值評估在價值評估方面，包括如下要求：數(shù)據(jù)的價值宜由數(shù)據(jù)賣方先行評估，也可以由數(shù)據(jù)賣方和數(shù)據(jù)買方協(xié)商決定,數(shù)據(jù)買賣雙方或一方均可以委托數(shù)據(jù)資產(chǎn)價值評估服務機構進行評估作為數(shù)據(jù)交易價值的參考依據(jù)；數(shù)據(jù)產(chǎn)品價值評估應對數(shù)據(jù)資產(chǎn)的使用價值進行度量；數(shù)據(jù)產(chǎn)品的價值評估應考慮成本要素、質(zhì)量要素和應用要素，其中：成本要素包括數(shù)據(jù)前期費用、建設成本、運維成本和間接成本等；應用要素包括需求方使用數(shù)據(jù)產(chǎn)品之后可能獲得的收益等；質(zhì)量要素包括數(shù)據(jù)的準確性、一致性、規(guī)范性、完整性、時效性和可訪問性等。數(shù)據(jù)資產(chǎn)價值評估服務機構可從數(shù)據(jù)質(zhì)量維度、數(shù)據(jù)計算貢獻維度、數(shù)據(jù)業(yè)務應用維度等方面探索構建數(shù)據(jù)價值評估指標體系，為數(shù)據(jù)交易定價提供參考。安全評估在安全評估方面，包括如下要求：數(shù)據(jù)交易第三方服務機構宜對數(shù)據(jù)賣方提供的數(shù)據(jù)產(chǎn)品進行病毒檢測、內(nèi)容安全監(jiān)測；數(shù)據(jù)交易第三方服務機構宜對參與方之間數(shù)據(jù)傳輸通道和網(wǎng)絡進行安全性評估，保證數(shù)據(jù)傳輸過程中不被泄露；數(shù)據(jù)交易場所運營機構宜對交易數(shù)據(jù)的分級進行評估，根據(jù)不同的數(shù)據(jù)分級，采用對應的交易方式和安全保障措施；數(shù)據(jù)交易場所運營機構宜確保交易標的具備交易安全措施，包括但不限于通過加密等措施確保其不會發(fā)生丟失、泄露、篡改等情形；數(shù)據(jù)交易場所運營機構應對擬交易的數(shù)據(jù)建立分類制度,落實有關部門對不同類別數(shù)據(jù)提出的安全要求，對擬交易數(shù)據(jù)建立分級保護機制,根據(jù)數(shù)據(jù)的不同級別,為數(shù)據(jù)買賣雙方提供不同強度的安全保護技術支持措施。交易撮合在交易撮合方面，包括如下要求：數(shù)據(jù)交易場所運營機構或數(shù)據(jù)商應根據(jù)數(shù)據(jù)資源和需求進行匹配，撮合數(shù)據(jù)賣方和數(shù)據(jù)買方發(fā)生數(shù)據(jù)交易；6在交易磋商環(huán)節(jié),數(shù)據(jù)賣方和數(shù)據(jù)買方應就交易時間、數(shù)據(jù)用途、使用期限、留存期限、交付質(zhì)量、交付方式、交易金額、交易參與方安全責任、保密條款等內(nèi)容進行協(xié)商和約定，形成交易訂單；數(shù)據(jù)交易第三方服務機構或數(shù)據(jù)商應對交易訂單進行審核，確保符合相關法律、法規(guī)、規(guī)章和標準等要求；數(shù)據(jù)交易服務平臺宜采用技術手段確保交易撮合過程等具備可追溯性和不可否認性。交易實施交易機制制定數(shù)據(jù)交易場所運營機構在制定交易機制方面，包括如下要求：應建立網(wǎng)絡訪問控制以及身份認證機制，并指定專門人員負責數(shù)據(jù)交易活動，避免冒充身份者接入系統(tǒng)，確保交易機制的安全性；應制定數(shù)據(jù)交易審查和跟蹤規(guī)程，建立交易活動評價、監(jiān)管和問責等機制，并確保數(shù)據(jù)賣方和數(shù)據(jù)買方等相關方按照交易基本原則，提供、分發(fā)和使用交易數(shù)據(jù)。數(shù)據(jù)交付方式數(shù)據(jù)交易服務平臺應能支持一種或多種數(shù)據(jù)產(chǎn)品交易交付方式，并采用技術手段確保交易實施過程的數(shù)據(jù)安全。包括但不限于：隱私計算：宜支持通過多方安全計算、同態(tài)加密、聯(lián)邦學習、可信執(zhí)行環(huán)境等隱私計算技術實現(xiàn)敏感數(shù)據(jù)的安全流通，控制敏感數(shù)據(jù)的具體使用目的、方式和次數(shù)，避免敏感數(shù)據(jù)在流通過程中遭到泄露或濫用；接口傳輸：宜支持脫敏數(shù)據(jù)接口傳輸?shù)姆绞?，由需求方通過接口調(diào)用數(shù)據(jù)進行計算，實現(xiàn)數(shù)據(jù)賣方和數(shù)據(jù)買方之間的數(shù)據(jù)交易交換；消息隊列：對于脫敏數(shù)據(jù)實時性有要求的，平臺應支持將實時采集的數(shù)據(jù)，提供路由并進行消息的轉(zhuǎn)發(fā)，實現(xiàn)數(shù)據(jù)賣方和數(shù)據(jù)買方之間的數(shù)據(jù)交易交換；可信數(shù)據(jù)空間：宜支持通過可信任的身份認證技術、跨域數(shù)據(jù)使用控制技術、數(shù)據(jù)安全流通追溯技術、低代碼開發(fā)技術等可信數(shù)據(jù)空間技術實現(xiàn)數(shù)據(jù)跨域可信流通，保障數(shù)據(jù)持有權和加工使用權的精準管控，促進數(shù)據(jù)合規(guī)高效流通。數(shù)據(jù)交易監(jiān)測在數(shù)據(jù)交易監(jiān)測方面，數(shù)據(jù)交易場所運營機構和第三方服務機構滿足如下要求：應基于國家相關法律法規(guī)和公司制度要求建立數(shù)據(jù)交易監(jiān)測機制，規(guī)范和監(jiān)測數(shù)據(jù)交易過程，保障數(shù)據(jù)買方對交易數(shù)據(jù)的正當使用；宜對數(shù)據(jù)交易過程中的數(shù)據(jù)資源變化、訪問行為、數(shù)據(jù)交易處理結(jié)果等行為進行監(jiān)測，對異常使用進行及時發(fā)現(xiàn)、告警并制止；宜記錄數(shù)據(jù)交易的全過程及異常訪問追溯結(jié)果。交易結(jié)算在數(shù)據(jù)交易結(jié)算方面，包括如下要求：交易結(jié)算之前數(shù)據(jù)買方宜對交易完成的數(shù)據(jù)根據(jù)合同約定的效果進行可用性評估，符合合同中雙方約定的效果時方可進行結(jié)算；7數(shù)據(jù)買方和數(shù)據(jù)賣方應按照合同約定進行資金結(jié)算；可在合約完成后一次性結(jié)算，也可以根據(jù)合約進行分階段結(jié)算，雙方需根據(jù)交易結(jié)構進行確認，確認后進入交易結(jié)算；數(shù)據(jù)交易場所運營機構在實施交易過程時宜根據(jù)交易的數(shù)據(jù)產(chǎn)品、交易參與方的資質(zhì)等設置交易保證金，并放入監(jiān)管賬戶；數(shù)據(jù)交易場所運營機構應實行交易資金第三方結(jié)算制度，由交易資金的開戶銀行或非銀行支付機構負責交易資金的結(jié)算；數(shù)據(jù)交易場所運營機構提供的交易結(jié)算應支持訂單發(fā)起、查詢、修改、保存、刪除、打印、導出等；數(shù)據(jù)交易場所運營機構應確保交易結(jié)算結(jié)果的可追溯性和不可否認性，并在交易結(jié)算結(jié)束后，提供交易的交易憑證。交易結(jié)束交易反饋機制在數(shù)據(jù)交易反饋機制方面，數(shù)據(jù)交易場所運營機構滿足如下要求：應建立數(shù)據(jù)交易反饋機制，供數(shù)據(jù)賣方和數(shù)據(jù)買方對數(shù)據(jù)交易過程中的便利性、質(zhì)量、安全性、合規(guī)性等進行反饋和評價；對積極參與和配合的參與者宜制定激勵措施，進行激勵或獎勵；對違反交易活動原則及規(guī)程的行為采取警告、限制操作等措施。交易活動退出當數(shù)據(jù)交易活動雙方已經(jīng)履行完畢或協(xié)商一致予以終止、解除時，視為數(shù)據(jù)交易活動結(jié)束，交易雙方可退出數(shù)據(jù)交易活動。具體包括如下要求：數(shù)據(jù)買方退出交易活動時，如數(shù)據(jù)交易合作終止，數(shù)據(jù)使用權限到期，應告知數(shù)據(jù)賣方，數(shù)據(jù)賣方停止向該數(shù)據(jù)買方提供數(shù)據(jù)交易；數(shù)據(jù)交易結(jié)束后，數(shù)據(jù)賣方應立即關閉數(shù)據(jù)訪問接口；基于個人同意處理個人信息的，個人撤回同意或變更授權同意范圍時，數(shù)據(jù)賣方應通知數(shù)據(jù)管理平臺及數(shù)據(jù)買方，并停止向數(shù)據(jù)買方提供數(shù)據(jù)交易或根據(jù)變更后的個人授權同意范圍調(diào)整交易范圍；數(shù)據(jù)買方應遵守合同，不應超出約定的數(shù)據(jù)使用范圍，并及時銷毀、刪除、匿名化處理交易數(shù)據(jù)，不可非法濫用、惡意傳播數(shù)據(jù)。數(shù)據(jù)清除在數(shù)據(jù)清除方面，包括如下要求：數(shù)據(jù)買方應在數(shù)據(jù)交易結(jié)束后按照數(shù)據(jù)賣方的相關要求對數(shù)據(jù)進行清除；數(shù)據(jù)交易場所運營機構應在數(shù)據(jù)下架后，清除數(shù)據(jù)對應的目錄，并銷毀存儲介質(zhì)中對應的數(shù)據(jù)，且無法通過任何手段恢復；交易結(jié)束后，數(shù)據(jù)交易場所運營機構應對交易過程中產(chǎn)生的數(shù)據(jù)以及約定好刪除的數(shù)據(jù)進行刪除。交易追溯交易日志記錄8數(shù)據(jù)交易場所運營機構在日志記錄、活動記錄方面，包括如下要求：應對數(shù)據(jù)交易過程進行日志記錄，記錄的內(nèi)容包括：數(shù)據(jù)交易的時間、數(shù)據(jù)買方信息、數(shù)據(jù)賣方信息、所交易數(shù)據(jù)的信息等；應建立、維護和更新交易使用的個人信息處理活動記錄，記錄內(nèi)容可包括：所涉及的個人信息的類型、數(shù)量、來源；根據(jù)業(yè)務功能和授權情況區(qū)分個人信息的處理目的、使用場景、委托處理、交易、轉(zhuǎn)讓、是否涉及出境等情況；與個人信息處理活動各環(huán)節(jié)相關的信息系統(tǒng)、組織或人員。應保證日志文件不可篡改、可追溯；應只允許授權審計員訪問數(shù)據(jù)交易日志，支持對數(shù)據(jù)交易日志進行查詢和分析；應提供日志查詢服務，便于對數(shù)據(jù)交易任務進行跟蹤和事后審計。審計與溯源數(shù)據(jù)交易場所運營機構在審計與追溯方面，包括如下要求：應能基于日志記錄，對數(shù)據(jù)交易情況進行審計；應對數(shù)據(jù)交易操作記錄、系統(tǒng)日志進行主體行為審計；應采取相應技術手段，對安全審計的結(jié)果進行保護，確保其可被授權審計人員和交易相關方訪問并不可篡改；應采取存證措施保障交易過程中產(chǎn)生的相關信息的完整性、真實性；應提供投訴舉報渠道來監(jiān)督數(shù)據(jù)交易各環(huán)節(jié)的數(shù)據(jù)泄露、濫用等情況；應建立數(shù)據(jù)安全事件響應機制來應對數(shù)據(jù)交易各環(huán)節(jié)的數(shù)據(jù)泄露、濫用等情況；涉及的交易主體宜在數(shù)據(jù)交易結(jié)算完成后，對電子服務合約或合同的執(zhí)行情況評估驗證。數(shù)據(jù)交易安全技術要求通用要求各數(shù)據(jù)交易主體應落實同步規(guī)劃、同步建設、同步運營，按照網(wǎng)絡系統(tǒng)等級保護要求進行數(shù)據(jù)交易相關信息系統(tǒng)的規(guī)劃建設，其中數(shù)據(jù)交易服務平臺應達到三級要求。操作審計數(shù)據(jù)交易服務平臺或數(shù)據(jù)賣方、數(shù)據(jù)商在數(shù)據(jù)交易相關信息系統(tǒng)落實操作審計，相關要求包括但不限于：所有的數(shù)據(jù)交易相關操作都應生成日志，對時間、操作者、操作內(nèi)容和結(jié)果等信息進行記錄；應對審計進程進行保護，防止未經(jīng)授權的中斷；應確保審計記錄無法被非授權訪問和篡改并定期備份審計記錄。數(shù)據(jù)加密數(shù)據(jù)交易主體如有建設數(shù)據(jù)交易相關系統(tǒng)提供數(shù)據(jù)加密手段，相關要求包括但不限于：應采用應用層數(shù)據(jù)加密技術，保證數(shù)據(jù)在交易主體之間傳輸過程中的安全性；應采用傳輸層數(shù)據(jù)加密技術（TLS、VPN、API），保證數(shù)據(jù)在交易主體之間傳輸過程中的安全性；9VPN宜采用數(shù)據(jù)存儲加密技術（如數(shù)據(jù)庫加密、介質(zhì)加密），確保數(shù)據(jù)在存儲過程時的安全性；可采用機密計算、隱私計算技術，確保數(shù)據(jù)在處理過程中的安全性；采用相關加密技術時，應使用符合國家密碼管理政策和標準規(guī)范的密碼算法和產(chǎn)品。數(shù)據(jù)脫敏各數(shù)據(jù)交易主體在數(shù)據(jù)脫敏方面，相關要求包括但不限于：應建立敏感信息保護機制，采用數(shù)據(jù)脫敏技術對交易