《廣東省數據流通交易技術安全規範》為2023年廣東省發布的安全規範。
基本介紹
- 中文名:廣東省數據流通交易技術安全規範
- 頒布時間:2023年
全文
第一章 總 則
第一條 為建立全面支撐合規登記、流通交易和監督管理的數據流通交易技術安全總體框架,根據《廣東省數據流通交易管理辦法(試行)》的相關規定,制定本規範。
第二條 本規範遵循“統籌規劃、技術創新、協同合作、安全可控”的原則。統籌數據流通交易技術發展現狀和趨勢,加強關鍵核心技術攻關,推進自主可控技術研究,推動數據流通交易技術創新,促進數據流通交易全流程協同,保障數據流通交易全過程安全可控。
第三條 基於數字政府公共支撐能力建立數據要素市場化基礎設施體系,為數據流通交易提供基礎技術保障。
(一)夯實數據要素市場化基礎支撐能力。在數字政府政務雲、政務網、粵基座平台、一網共享平台(省政務大數據中心)、個人及法人數字空間、數據資產憑證系統、區塊鏈系統、電子證照系統等公共支撐能力的基礎上,連通數據交易所、數據經紀人等社會側的雲網基礎設施,開展資源整合和最佳化升級,避免基礎設施重複建設,實現綠色發展;
(二)完善數據流通交易全業務流程支撐體系。依託數字政府公共支撐能力,建設數據資產登記平台(以下簡稱登記平台)、數據交易平台和數據流通交易監管平台(以下簡稱監管平台),鼓勵探索行業數據空間,提供數據匯聚治理、加工開發、登記評估、交易結算、交付使用、全流程監管等數據流通交易業務支撐能力;
(三)充分發揮基礎設施樞紐節點核心作用。構建數據綜合業務網,支持公共數據運營管理機構、數據交易所、數據經紀人、數據商、第三方專業服務機構等各類數據流通交易主體接入,通過各系統互聯互通不斷擴展形成數據流通生態網路。持續完善數據安全存儲、數據授權、數據存證、可信傳輸、數據驗證、數據溯源、隱私計算、聯合建模、算法核查、融合分析等數據新型基礎設施,推動基礎設施核心樞紐節點建設,提高使用效率。
(四)強化數據流通交易安全支撐能力。依託粵基座平台構建事前風險發現、事中安全防護、事後安全追溯的縱深安全防護能力,為數據流通交易提供基礎安全保障;按照國家有關法律法規要求,依託粵基座平台提供用戶身份安全認證能力和服務,數據交易相關平台根據自身業務需求線上獲取不同可信身份實名等級的用戶身份信息,並保障用戶身份信息安全;依託省電子印章平台的服務能力,完善和創新服務方式,為數據流通交易各參與方提供電子簽名簽章服務;採用多種安全技術手段實踐“數據可用不可見,使用可控可計量”的新型數據流通交易範式,實現數據流通交易全程留痕、安全可控;對數據流通交易的全流程記錄進行電子數據保全存證,聯合權威公證機構,保障數據安全且司法有效。第二章 合規登記
第四條 數據資產合規登記程式分為普通程式和簡易程式。普通程式包括登記申請、登記初審、登記複審、登記公示、憑證發放(登簿)五個環節;簡易程式包括登記申請、登記審查、登記公開、憑證發放(登簿)四個環節。
第五條 登記平台應依託粵基座平台統一身份認證能力,對註冊用戶的身份進行認證、鑒權,並需具備用戶許可權管理功能。
第六條 登記平台應支持對數據資產登記業務流程的配置、查看、修改等操作。
第七條 登記平台應支持登記主體錄入數據資產登記申請信息,並上傳相關證明檔案。
第八條 公共數據產品和服務在登記平台進行資產登記前,所涉及的公共數據資源應通過一網共享平台編目。對於未編目的公共數據資源,登記平台應提供告警功能。
第九條 登記平台應提供公示(公開)登記結果的功能,支持編輯公示(公開)內容、配置公示(公開)模板、設定公示(公開)時長等操作。
第十條 登記平台應提供異議處理功能,支持自然人、法人和非法人組織在規定時間內對公示信息發起異議,並支持異議各方進行線上溝通。
第十一條 登記平台應依託數據資產憑證系統,提供數據資產登記憑證的簽發、查詢等功能。
第十二條 登記平台應支持登記主體註銷登記,並應支持登記機構撤銷登記。
第十三條 登記平台應採用數據加密、數據脫敏等措施,對登記主體錄入的敏感信息進行處理。
第十四條 登記平台應針對面向外部開放的數據接口,提供接口認證鑒權與安全監控。
第十五條 登記平台應建立數據存儲備份管理及恢復機制,並具備相應技術措施。
第三章 流通交易
第一節 一網共享平台
第十六條 一網共享平台應實現公共數據資源的匯聚、治理和管理,持續豐富公共數據資源目錄,推進公共數據的共享、開放和開發利用。
第十七條 公共管理和服務機構原則上應依託數字政府安全統一的數據融合加工環境,建立公共數據社會化專區,開展數據治理及整合加工。
第十八條 公共管理和服務機構應制定安全管理規範,開展數據安全評測和審計,利用技術手段保護數據安全及個人隱私。
第二節 個人及法人數字空間
第十九條 個人及法人數字空間應構建安全、可信的數據主體授權用數模式,支持數據主體將數據授權給交易需方使用。
第二十條 個人及法人數字空間作為數據主體授權用數及數據產品和服務交付的重要載體,交易供方和交易需方的系統應與其進行對接,確保數據授權後可安全交付。
第二十一條 個人及法人數字空間應對接數據交易平台,向其提供授權用數記錄、數據產品和服務交付記錄等信息。
第三節 數據資產憑證系統
第二十二條 數據資產憑證系統應通過整合粵基座平台統一身份認證、電子印章平台、電子證照系統、區塊鏈系統等數字政府公共支撐能力,為數據資產跨域跨鏈的驗證和交易提供去中心化、可監管、可溯源的安全交付及存證載體。
第二十三條 數據資產憑證系統應為數據交易平台提供安全交付鏈路,保障交易標的交付過程安全可控、高效便捷。
第二十四條 數據資產憑證系統應對數據流通交易全流程進行存證,涵蓋數據資產登記憑證、交易契約憑證、授權憑證、驗收交付憑證等憑證,以及掛牌審核記錄、交付過程記錄等過程信息,保障數據流通交易過程可回溯、可審計。
第四節 數據交易平台
第二十五條 數據交易流程包括主體登記、標的審核、掛牌申請、交易磋商、交易實施、交易結算、交易備案、交易評價和交易糾紛處理等環節。
第二十六條 數據交易平台應依託粵基座平台統一身份認證能力,對數據交易中各參與主體的身份進行認證和鑒權,並對用戶進行許可權管理和訪問控制。
第二十七條 交易標的掛牌前應通過相應的評估,數據交易平台應對評估結果進行審核和記錄。
第二十八條 數據交易平台應保證交易標的的安全性和合規性。根據數據的分類分級和評估結果,對敏感信息進行識別和標註,並採用數據脫敏、隱私計算等方式進行數據處理和交付。
第二十九條 數據交易平台應為掛牌的交易標的提供多種展示方式,以便瀏覽和檢索。
第三十條 數據交易平台應為交易需方提供檢索、樣本試用等功能,以及需求發布頁面。
第三十一條 數據交易平台應提供線上磋商功能,可支持多方相互協商。
第三十二條 數據交易平台應支持交易契約的創建、上傳、編輯、確認等功能。
(一)交易契約內容應包括但不限於交易供方、交易需方,處理數據的算法邏輯或相關數據服務,數據的使用頻次、使用期限、使用場景等;
(二)平台可提供標準的電子化契約模板,輔助各交易主體將磋商結果轉化為可執行的電子化條款;
(三)平台應依託省政務服務數據管理局認可的數字證書系統,對契約條款內容進行電子簽名和確認;
(四)平台應依託數據資產憑證系統,對交易契約進行存證。
第三十三條 數據交易平台可提供可信數據融合加工處理環境、隱私計算等安全技術服務。
第三十四條 數據交易平台應基於數據資產憑證系統、區塊鏈系統、電子證照系統等數字政府公共支撐能力,提供安全可控的交付鏈路。
第三十五條 交付過程應嚴格按照交易契約內容執行,超過契約內容的授權範圍時應及時中止執行,並對執行情況及結果進行存證。
第三十六條 數據交易平台應提供可靠的驗收環境,並對驗收過程及結果進行記錄留存。
第三十七條 數據交易平台應具備對接銀行或第三方支付機構的能力,為數據交易提供開戶、支付結算等金融服務,並提供擔保和資金監管服務以保證買賣雙方權益和在途資金安全。
第三十八條 使用數據交易平台進行交付的,應在交易完成後及時清除交易標的相關數據(除存證記錄外)。
第三十九條 數據交易平台應提供線上申訴、協商、調解等功能,支持證據提取及導入、仲裁判決結果錄入、爭議處理進度查詢,提供電子化爭議處理單證,輔助爭議各方落實處理結果。
第四十條 數據交易平台應具備在爭議處理期間凍結履約保證金、暫停交易涉及的數據交易活動的能力,並提供交易黑名單管理功能,便於監管部門對違法違約交易行為進行監管。
第四十一條 數據交易平台應依託數據資產憑證系統,對數據交易全流程進行存證記錄:
(一)存證內容包括但不限於掛牌審核結果、交易契約、授權憑證、驗收交付憑證、結算信息、爭議處理情況等;
(二)保障存證信息不可篡改、不可偽造;
(三)通過對存證信息的統計和分析,實現對安全事件的識別和問題溯源,並對發現的問題及時告警和報送;
(四)定期進行安全審計,並對審計結果進行記錄和整改。
第四十二條 根據相關管理規定和監管要求,數據交易平台應提供以下功能,包括:
(一)對已完成的交易服務進行定期報備,包括但不限於交易涉及的掛牌審核結果、交易契約、交付情況以及結算結果等;
(二)提供相應的監管接口,便於監管部門在流通交易過程中對交易行為進行監控和審計;
(三)提供交易評價功能。
第四十三條 數據交易平台應採用同城多活、異地備份等方式,確保其具有高可用性、高可靠性。
第四十四條 數據交易平台應具備數據安全防護功能,通過網路安全等級保護三級或以上級別的檢測。
第四十五條 數據交易平台所採用的密碼技術應符合國家密碼行業標準和密碼主管部門的要求,應採用通過檢測認證的商用密碼產品。
第四十六條 數據交易平台應在身份認證、電子簽名、數據加密、隱私保護、存證等關鍵環節採用自主可控的技術或產品。
第五節 行業數據空間
第四十七條 行業數據空間是行業領域內數據開放共享和可信流通的基礎設施,服務能源、電信、金融等各行業領域的數據要素流通。
第四十八條 行業數據空間應依託粵基座平台統一身份認證能力對參與主體進行認證、鑒權。
第四十九條 行業數據空間應對參與主體的接入進行審核,並提供靈活的數據接入方式。
第五十條 行業數據空間可使用多方安全計算等技術對流通過程中的高價值、高敏感數據進行處理。
第五十一條 行業數據空間可提供電子化、可執行的契約功能,依據數據授權對數據的流通和使用進行嚴格控制,保障參與主體的合法權益。
第五十二條 行業數據空間可依託區塊鏈技術,提供數據流通全流程的存證功能,保障數據流通過程可回溯、可審計。
第五十三條 鼓勵各行業數據空間互聯互通,實現數據跨空間流通。通過與數據交易平台對接,實現行業數據產品和服務安全可控交易。
第四章 監督管理
第五十四條 監管平台應納入一網統管體系,對數據流通交易中的全業務流程進行監管。監管內容按先後順序分為事前監管、事中監管和事後監管,並由全業務存證鏈條支撐。
第五十五條 監管平台應與登記平台、數據交易平台、行業數據空間等對接,實現集中統一監管。
第五十六條 監管平台應能核驗流通交易各參與主體的身份、資質等材料。
第五十七條 監管平台應對數據資產登記的記錄進行定期抽檢。
第五十八條 監管平台應對數據交易全業務流程進行監管,包括但不限於以下內容:
(一)對數據產品和服務的套用場景、數據授權進行驗證;
(二)對數據加工算法進行備案;
(三)對數據交易業務流程進行探測和監控,並對識別的安全事件進行告警;
(四)建立安全傳輸通道,接收報送的交易行為記錄、過程存證、交易契約及交付結果等報備信息,並採用相應技術手段識別可能存在的安全風險;
(五)滿足法律、法規中涉及數據交易監管的技術安全要求。
第五十九條 監管平台應建立數據交易全業務流程的存證鏈條,包括但不限於資質審核、資產登記、交易需求、交易契約、加工過程記錄、交付結果、爭議處理情況等,並提供易用的存證鏈查詢和調用方式。依託數據資產憑證系統,保證存證鏈條中記錄信息的不可篡改和可追溯。
第六十條 監管平台應為各監管部門提供許可權管理和可視化界面,實現對數據交易安全風險的感知、分析和預警。
第六十一條 監管平台應保障監管信息在收集、傳輸、處理和使用等環節中的安全。對於涉及數據流通交易主體的敏感信息,使用必要的安全技術防止信息泄露。
第六十二條 監管平台應提供監管信息對外的標準接口,並利用摘要算法、數字簽名等技術,保證監管信息的真實性、完整性。
第五章 附 則
第六十三條 本規範由廣東省政務服務數據管理局負責解釋。
第六十四條 本規範自發布之日起實施,試行兩年。
