2023年08月25日，全国信息安全标准化技术委员会秘书处发布关于国家标准《信息安全技术 数据交易服务安全要求》（征求意见稿）（以下简称“《征求意见稿》”）征求意见的通知，旨在面向社会广泛征求意见。

       为落实《数据安全法》第十九条国家建立健全数据交易管理制度，规范数据交易行为，培育数据交易市场，以及《个人信息保护法》《网络数据安全管理条例（征求意见稿）》等法律法规要求，结合国务院发布的《“十四五”数字经济发展规划》《要素市场化配置综合改革试点总体方案》等政策文件，亦为了进一步规范数据交易服务行业，为数据交易服务机构提供标准化管理依据，促进行业健康发展，国家标准化管理委员会于2023年下达针对《信息安全技术 数据交易服务安全要求》国家标准的修订项目，由中国电子技术标准化研究院牵头组织标准修订，上海数据交易所、北京国际数据交易所、浙江大数据交易中心、中国网络空间安全研究院、蚂蚁科技集团股份有限公司等40 多家单位共同参与了该标准的起草编制工作。

       此次更新的《征求意见稿》拟代替2019年发布并于2020年实施的《信息安全技术 数据交易服务安全要求》（GB/T 37932-2019）（以下称为“GB/T 37932-2019”）。从下文图1的目录对比可以看出，相比较GB/T 37932-2019，本次《征求意见稿》旨在对数据交易所涉及的各方面的安全要求进行全面规范，包括交易参与方、交易平台、交易标的、交易过程，以保障数据交易的安全，以及数据在流通过程中的国家安全、社会安全和个人隐私安全。

（图1 GB/T 37932-2019与《征求意见稿》目录对比）

        经对比两版国家标准，有以下变化以及要点值得关注。

        两版国家标准最明显的区别就是数据交易所的角色作用被着重强调，这体现在将“数据交易场所”的概念引入术语及定义部分，以数据交易所为核心，细化数据交易服务模式，以及以数据交易所为重点，进一步完善数据交易过程安全要求。

（一）引入“数据交易场所”的概念

       在GB/T 37932-2019中并没有“数据交易场所”这个术语，与之最为接近的是第3.5条给出的“数据交易服务机构 （Data Transaction Service Provider）”的定义，根据第3.5条的规定，数据交易服务机构是指为数据供需双方提供数据交易服务的组织机构，但是对于提供什么样的数据交易服务，以及如何提供数据交易服务并没有加以说明。

       而《征求意见稿》在术语与定义部分引入了“数据交易场所（Data Transaction Place）”的概念，“数据交易场所，是指为数据集中交易提供场所和基础设施，组织和管理数据交易活动的组织机构，简称交易所。”从这个定义可以看出，数据交易所在整个数据交易中扮演十分重要的角色，不仅为数据的集中交易提供场所和基础设施的便利，更是负担起组织和管理数据交易活动的重任。

       此外，《征求意见稿》还对“数据交易服务机构”进行细化，除了“数据交易场所”外，还给出了“数据商（Data Provider）”、“第三方专业服务机构（Third-Party Professional Service Agency）”等概念以及配套的安全要求。

（图2 源自《征求意见稿》）

（二）以数据交易所为核心，细化数据交易服务模式

       细化数据交易服务模式是本次更新的亮点之一，对于数据交易服务框架，GB/T 37932-2019仅仅是从数据交易服务机构角度出发，给出了一个笼统的表述（见图2）。然而在实际交易中，既可能存在由数据供需双方直接或通过数据交易场所交易，也可能存在数据商参与数据交易过程，为交易双方提供数据产品开发、发布、承销等服务，还可能有第三方专业服务机构提供法律、数据资产化、安全质量评估、培训咨询等服务，辅助数据交易活动有序开展。

（图3 源自GB/T 37932-2019）

       有鉴于此，本次的《征求意见稿》将数据交易服务分为场内交易（insite transaction）和场外交易（off-site transaction）两种模式（见图3）。场内交易是“数据供方和需方依托数据交易场所进行交易”；场外交易则是“数据供需双方不通过数据交易场所，直接或依托数据商、第三方专业服务机构完成数据交易”。无论是场内交易，还是场外交易，均需遵守数据交易安全要求以及数据交易所的审核要求。

（图4 源自《征求意见稿》）

（三）以数据交易所为重点，完善数据交易过程安全要求

       《征求意见稿》第9条就数据交易过程的安全要求进行了较为全面的细化，涵盖了交易前、交易中、交易后的各个环节，从交易主体的入驻到数据交付后的纠纷处理，整体上的思路参考了各个数据交易所目前的交易流程，就如上海数据交易所（见图5）。除此之外，在进行场外交易的情况下，数据供需双方也需要按照数据交易场所的审核要求审核对方，并按照数据交易场所的要求提供相关的书面承诺。

（图5 源自上海数据交易所）

       相比较来说，GB/T 37932-2019中对数据交易过程的安全要求就较为片面，仅限于“交易申请、交易磋商、交易实施、交易结束”四个方面，未能涵盖数据交付后可能产生的纠纷处理问题，也未能顾及场外交易的安全要求。

       本次《征求意见稿》在数据交易标的方面新增了有关交易数据分类分级保护的安全要求。根据《征求意见稿》第8.3条，交易数据分类分级保护，应当满足以下要求：

       a) 交易数据应按照国家和行业有关要求进行数据分类分级，识别可能涉及的个人信息、公共数据和重要数据；

       b) 结合数据流通范围、影响程度、潜在风险，建立公共数据、企业数据、个人信息等数据分类分级授权使用和保护机制；

       c) 在保护个人隐私和确保公共安全的前提下，公共数据宜按照“原始数据不出域、数据可用不可见”的要求，以模型、核验等产品服务等形式向社会提供；

       d) 在保护个人合法权益的前提下，涉及个人信息的数据交易应征得个人单独同意，并向个人告知数据需方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类；

       e) 数据供方应在涉及个人信息的数据交易前，对涉及个人信息的交易活动开展个人信息保护影响评估，并采取相应措施控制个人信息泄露风险；

       f) 原则上应采用去标识化、匿名化等技术手段，对涉及的个人信息进行去标识化处理后再进行交易；

       g) 数据需方变更原先的个人信息处理目的、处理方式的，应当依照重新取得个人同意；

       h) 在确保重要数据安全的前提下，重要数据对外提供或交易前应按照《信息安全技术数据安全风险评估方法》（未发布），开展数据安全风险评估，并采取相应措施控制数据安全风险；

       i) 数据交易场所、数据需方应对个人信息保护影响评估报告、数据安全风险评估报告等进行审核，确保数据交易不会影响国家安全、公共利益、组织或个人合法权益；

       j) 数据交易场所对交易数据分类结果进行审核；

       k) 数据供方按照《信息安全技术数据安全风险评估方法》（未发布）的要求开展数据交易安全风险评估，出具安全风险评估报告；

       l) 数据需方应按照约定的授权范围处理个人信息或重要数据；

       m) 提供对重要数据符合国家相关规定的数据脱敏方法，并具备评价重要数据脱敏有效性的评估能力。

（一）增加禁止交易数据类型

       《征求意见稿》第8.1条规定的禁止交易的数据类型囊括了涉及国家安全的数据、未经授权的企业数据、未经他人同意的个人数据、非法获取的数据，以及GB/T 37932-2019并未提到的未经有关部门授权，涉及公共利益、公共安全的公共数据和未依法依规公开的原始公共数据。

（图6 源自《征求意见稿》）

（二）增加禁止交易数据示例

       《征求意见稿》第8.1条c款规定，数据交易场所应根据我国相关法律法规，制定禁止交易数据目录，并给出了禁止交易数据示例作为附录A（见图7）。该示例所列禁止交易数据主要包括危害国家安全和社会稳定的数据、涉及特定个人权益的数据、涉及特定企业权益的数据三个方面。

（图7 源自《征求意见稿》）

       随着数据交易活动愈发频繁，数据交易服务的产业发展已优先于标准发展，并随着各地数据交易中心的发展，数据交易的模式也日益多样，急迫需要针对新模式给出有针对性的安全要求，无论是数据供需双方之间的直接场外交易，还是经各大数据交易所及交易中心进行的场内挂牌交易，都亟需一份明确详细的交易安全标准化文件予以引导和规范。

       从本次《征求意见稿》与GB/T 37932-2019的对比可以看出，鼓励数据供需双方在数据交易所内进行场内交易系大势所趋。本次《征求意见稿》安全标准的内容布局以有效落实《数据安全法》、《个人信息保护法》的落地为宗旨，围绕着数据交易所的场内交易模式展开，逐步实现法律法规、国家标准、数据交易场所规范三者的有效衔接，并在此基础上，实现数据交易行为的进一步规范，促进数据在组织间合理的交换、共享和流转，促进数据价值的发挥，为我国数据产业发展创造健康的环境。