深圳实施数据交易管理暂行办法,交易日志保存不少于30年
“交易过程形成完整的交易日志安全保存不少于三十年”“数据交易主体可委托第三方服务机构开展数据资产价值评估、数据安全检测评估认证等”……深圳市发改委最新公布的《深圳市数据交易管理暂行办法》(以下简称《办法》),已于3月1日开始施行,其中对数据交易主体、数据交易标的、数据交易安全以及数据交易场所运营机构等有了明确规定。
数据交易标的进场前需出具合规评估报告
梳理发现,此次《办法》共八章35条,包括总则、数据交易主体、数据交易场所运营机构、数据交易标的、数据交易行为、数据交易安全、管理与监督以及附则。
对于数据交易主体,《办法》明确包括数据卖方、数据买方和数据商,数据卖方应当作为数据商或通过数据商保荐,方可开展数据交易。
至于数据交易标的,明确数据交易场所交易标的包括数据产品、数据服务、数据工具以及经主管部门同意的其他交易标的。而且,数据交易标的在数据交易场所上市前,数据商应当提交关于数据来源、数据授权使用目的和范围、数据处理行为等方面的说明材料以及第三方服务机构出具的数据合规评估报告。
南都大数据研究院梳理发现,有三类数据交易标的鼓励在数据交易场所内进行,包括公共数据经授权运营方式加工形成的、已不具备公共属性的数据产品;深圳市财政资金保障运行的公共管理和服务机构采购非公共数据产品、数据服务和数据工具;市属和区属国有企业采购或出售的数据产品、数据服务和数据工具。
数据买方应按申报目的、场景合规使用数据
那么,数据买方使用数据有什么前提条件?对此,《办法》明确数据买方应当按照交易申报的使用目的、场景和方式合规使用数据。具体而言,数据买方应按照买卖双方约定和数据授权使用的目的和范围使用数据。数据商及第三方服务机构未经数据卖方和买方许可,不得擅自使用交易的数据产品和数据工具,不得泄漏交易过程中的未公开材料及其获悉的其他非公开信息。
明确数据交易场所运营机构十大具体职责
《办法》明确数据交易场所运营机构十大具体职责,包括提供数据集中交易的场所,搭建安全、可信、可控、可追溯的数据交易环境,支撑数据、算法、算力资源有序流通;提供交易标的上市、交易撮合、信息披露、交易清结算等配套服务;制定完善数据交易标的上市、可信流通、信息披露、价格生成、自律监管等交易规则、服务指南和行业标准;组织实施交易品种和交易方式创新,探索开展数据跨境交易业务以及数据资产证券化等对接资本市场业务等。数据交易场所运营机构应当制定数据产品质量评估及管理规范、数据及数据交易合规性审核指南、数据流通交易负面清单和谨慎清单。
运营机构应制定数据安全分级管理实施细则
此外,数据交易场所运营机构还要依法依规建立数据交易安全保障体系,应当建立统一的安全规范和技术标准保障交付安全。数据交易场所运营机构对交易过程形成完整的交易日志并安全保存,保存时间不少于三十年。
《办法》特别设置“数据交易安全”章节,要求数据交易场所运营机构应当建立数据流通交易安全基础设施,加强防攻击、防泄漏、防窃取的监测、预警、控制和应急处置能力建设,关键设备应当采用自主可控的产品和服务。数据交易场所运营机构、数据卖方、数据买方、数据商和第三方服务机构应依照法律、法规、规章和国家标准的强制性要求,建立健全全流程数据安全管理制度,组织开展安全教育培训,落实数据安全保护责任,采取相应的技术措施和其他必要措施,保障数据安全。数据交易场所运营机构应当制定数据安全事件应急预案,对重要系统和数据库进行容灾备份,定期开展数据交易环境安全等级保护测试和渗透测试等数据安全应急演练,应当制定数据安全分级管理实施细则。
数据商业务运行与安全管理也有明确规范
在数据交易全流程中,如何规范数据商与数据流通交易第三方服务机构,确保数据处理过程安全可追溯至关重要。在3月2日深圳市发改委同时公布的《深圳市数据商和数据流通交易第三方服务机构管理暂行办法》中,对数据商业务运行、安全管理等作出明确规定,3月10日开始施行。
2022年12月19日发布的《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》(又称“数据二十条”)明确要“围绕促进数据要素合规高效、安全有序流通和交易需要,培育一批数据商和第三方专业服务机构”,同时鼓励企业积极参与数据要素市场建设,围绕数据来源、数据产权、数据质量、数据使用等,推行面向数据商及第三方专业服务机构的数据流通交易声明和承诺制。
南都大数据研究院注意到,深圳明确数据商可以从事资产开发、数据发布、数据销售等业务,应当对其开发、发布、销售的交易标的进行严格审查,确保交易标的来源合法、内容真实、质量可靠。数据商应采取安全保护管理措施,设立安全管理部门,建立健全数据安全分类分级管理、员工访问权限管理、供应商资质管理和内部审计等制度。数据商和第三方服务机构应当真实、完整、规范地整理交易全过程资料并留档保存,不得伪造、算改、隐匿或销毁防止业务档案丢失、泄密。保管期限自业务合同有效期终止之日起计算不得少于30年。
出品:南都大数据研究院 数据安全治理与发展研究
研究员:袁炯贤
编辑:袁炯贤
banquan@nandu.cc. 020-87006626
