1 范圍
本標準規(guī)定了通過數(shù)據(jù)交易服務機構進行數(shù)據(jù)交易服務的安全要求����,包括數(shù)據(jù)交易參與方����、交易對象和交易過程的安全要求���。
本標準適用于數(shù)據(jù)交易服務機構進行安全自評估���,也可供第三方測評機構對數(shù)據(jù)交易服務機構進行安全評估時參考。
2 規(guī)范性引用文件
下列文件對于本文件的應用是必不可少的�����。凡是注日期的引用文件����,僅注日期的版本適用于本文件�����。凡是不注日期的引用文件�����,其最新版本(包括所有的修改單)適用于本文件�。
GB/T 22239-2019 信息安全技術 網(wǎng)絡安全等級保護基本要求
GB/T 25069-2010 信息安全技術 術語
GB/T 35273-2017 信息安全技術 個人信息安全規(guī)范
GB/T 35274-2017 信息安全技術 大數(shù)據(jù)服務安全能力要求
GB/T 36343-2018 信息技術 數(shù)據(jù)交易服務平臺 交易數(shù)據(jù)描述
GB/T 37988-2019 信息安全技術 數(shù)據(jù)安全能力成熟度模型
3 術語和定義
GB/T 25069-2010和GB/T 36343-2018界定的以及下列術語和定義適用于本文件。
3.1
數(shù)據(jù)交易 data transaction
數(shù)據(jù)供方和需方之間以數(shù)據(jù)商品作為交易對象���,進行的以貨幣或貨幣等價物交換數(shù)據(jù)商品的行為���。
注1:數(shù)據(jù)商品包括用于交易的原始數(shù)據(jù)或加工處理后的數(shù)據(jù)衍生產品�。
注2:數(shù)據(jù)交易包括以大數(shù)據(jù)或其衍生品作為數(shù)據(jù)商品的數(shù)據(jù)交易�����,也包括以傳統(tǒng)數(shù)據(jù)或其衍生品作為數(shù)據(jù)商品的數(shù)據(jù)交易���。
3.2
數(shù)據(jù)供方 data supplier
數(shù)據(jù)交易中提供數(shù)據(jù)的組織機構���。
3.3
數(shù)據(jù)需方 data acquirer
數(shù)據(jù)交易中購買和使用數(shù)據(jù)的組織機構。
3.4
數(shù)據(jù)交易服務 data transaction service
幫助數(shù)據(jù)供方和需方完成數(shù)據(jù)交易的活動��。
3.5
數(shù)據(jù)交易服務機構 data transaction service provider
為數(shù)據(jù)供需雙方提供數(shù)據(jù)交易服務的組織機構���。
3.6
數(shù)據(jù)交易服務平臺 data transaction service platform
為數(shù)據(jù)交易提供各項服務的信息化平臺����。
3.7
在線數(shù)據(jù)交付 online data delivery
數(shù)據(jù)供方通過網(wǎng)絡向數(shù)據(jù)需方交付數(shù)據(jù)的模式�����。
3.8
離線數(shù)據(jù)交付 offline data delivery
數(shù)據(jù)供需雙方在達成數(shù)據(jù)交易協(xié)議后�,由數(shù)據(jù)供方通過離線方式將數(shù)據(jù)從供方提供給需方的交付模式。
3.9
托管數(shù)據(jù)交易 custodian data delivery
數(shù)據(jù)供需雙方在達成數(shù)據(jù)交易協(xié)議后,由供方將數(shù)據(jù)拷貝到數(shù)據(jù)交易服務機構指定的數(shù)據(jù)托管服務平臺����,需方在數(shù)據(jù)托管服務平臺內使用數(shù)據(jù),數(shù)據(jù)不發(fā)生轉移的交付模式���。
3.10
數(shù)據(jù)交易過程 data exchanging process
數(shù)據(jù)供需雙方依托數(shù)據(jù)交易服務平臺針對具體的數(shù)據(jù)交易對象��,進行的一次完整和具體的數(shù)據(jù)交易行為���。
注:數(shù)據(jù)交易過程一般分為交易申請、交易磋商���、交易實施和交易結束等環(huán)節(jié)。
3.11
重要數(shù)據(jù) important data
我國機構和個人在境內收集���、產生的不涉及國家秘密���,但與國家安全、經(jīng)濟發(fā)展以及公共利益密切相關的數(shù)據(jù)����。
注:重要數(shù)據(jù)通常指公共通信和信息服務、能源���、交通����、水利、金融����、公共服務、電子政務等重要行業(yè)和領域的各類機構在開展業(yè)務活動中收集和產生的����,不涉及國家秘密,但一旦泄露�����、篡改或濫用將會對國家安全�、經(jīng)濟發(fā)展和社會公共利益造成不利影響的數(shù)據(jù)(包括原始數(shù)據(jù)和衍生數(shù)據(jù))。
[GB/T 35274-2017�,定義3.13]
4 安全概述
4.1 參考框架
數(shù)據(jù)交易是供需雙方對原始數(shù)據(jù)或加工處理后的數(shù)據(jù)依照交易過程進行的活動。通過數(shù)據(jù)交易服務機構進行的數(shù)據(jù)交易服務參考框架如圖1所示��。數(shù)據(jù)交易涉及數(shù)據(jù)供方�����、數(shù)據(jù)需方和數(shù)據(jù)交易服務機構。數(shù)據(jù)交易服務機構依托數(shù)據(jù)交易服務平臺��,為數(shù)據(jù)供需雙方提供數(shù)據(jù)交易服務�����。從數(shù)據(jù)交易服務機構角度出發(fā)�,數(shù)據(jù)交易過程一般包括交易申請、交易磋商�、交易實施和交易結束四個環(huán)節(jié)。常見的數(shù)據(jù)交付模式包括在線模式�����、離線模式和托管模式�����。
圖1 數(shù)據(jù)交易服務參考框架
4.2 數(shù)據(jù)交易安全原則
數(shù)據(jù)交易應遵循以下原則:
a)合法合規(guī)原則:數(shù)據(jù)交易應遵守我國關于數(shù)據(jù)安全管理的相關法律法規(guī)����,尊重社會公德�����,不得損害國家利益、社會公共利益和他人合法權益����。
b)主體責任共擔原則:數(shù)據(jù)供需雙方及數(shù)據(jù)交易服務機構對數(shù)據(jù)交易后果負責,共同確保數(shù)據(jù)交易的安全�����。
c)數(shù)據(jù)安全防護原則:數(shù)據(jù)交易服務機構應采取數(shù)據(jù)安全保護�、檢測和響應等措施,防止數(shù)據(jù)丟失���、損毀���、泄露和篡改,確保數(shù)據(jù)安全�����。
d) 個人信息保護原則:數(shù)據(jù)供需雙方和數(shù)據(jù)交易服務機構應采取個人信息安全保護技術和管理措施��,避免個人信息的非法收集��、非法獲取、非法出售����、濫用、泄露等安全風險�����,切實保護個人權益��。
e)交易過程可控原則:應確保數(shù)據(jù)交易參與方的真實可信�、交易對象合法、數(shù)據(jù)交付過程可控和交易的非否認性�,做到安全事件可追溯、安全風險可防范���。
5 數(shù)據(jù)交易參與方安全要求
5.1 數(shù)據(jù)供方安全要求
數(shù)據(jù)交易服務機構應確保數(shù)據(jù)供方滿足以下要求:
a)為一年內無重大數(shù)據(jù)類違法違規(guī)記錄的合法組織機構�。
b)完成在數(shù)據(jù)交易服務機構的注冊�����,并經(jīng)數(shù)據(jù)交易服務機構審核通過�,才允許參與數(shù)據(jù)交易業(yè)務��。
c)數(shù)據(jù)供方應證明其具備向數(shù)據(jù)需方安全交付數(shù)據(jù)的能力。
d)向數(shù)據(jù)交易服務機構提供書面的安全承諾���,內容包括但不限于:交易數(shù)據(jù)來源合法性證明材料�、交易數(shù)據(jù)滿足法律法規(guī)和政策要求��、對交易數(shù)據(jù)質量評估說明����、遵守數(shù)據(jù)交易安全原則、愿意接受數(shù)據(jù)交易服務機構安全監(jiān)督����、愿意對數(shù)據(jù)流通后果負責等。
e)遵守數(shù)據(jù)交易服務機構的安全管理制度和流程���。
5.2 數(shù)據(jù)需方安全要求
數(shù)據(jù)交易服務機構應確保數(shù)據(jù)需方滿足以下要求:
以上為標準部分內容�����,如需看標準全文����,請到相關授權網(wǎng)站購買標準正版�����。
