附件5 《广东省数据流通交易技术安全规范（试行）》（征求意见稿）

———广东省数据流通交易技术安全规范（试行）（征求意见稿）第一章总则为建立全面支撑合规登记、流通交易和监督管理的数据流通交易技术安全总体框架，根据《广东省数据流通交易管理办法（试行）》的相关规定，制定本规范。本规范遵循“统筹规划、技术创新、协同合作、安全可控”的原则。统筹数据流通交易技术发展现状和趋势，加强关键核心技术攻关，推进自主可控技术研究，推动数据流通交易技术创新，促进数据流通交易全流程协同，保障数据流通交易全过程安全可控。基于数字政府公共支撑能力建立数据要素市场化基础设施体系，为数据流通交易提供基础技术保障。（一）夯实数据要素市场化基础支撑能力。在数字政府政务云、政务网、粤基座平台、一网共享平台（省政务大数据中心）、个人及法人数字空间、数据资产凭证系统、区块链系统、电子证照系统等公共支撑能力的基础上，连通数据交易所、数据经纪人等社会侧的云网基础设施，开展资源整合和优化升级，避免基础设施重复建设，实现绿色发展；（二）完善数据流通交易全业务流程支撑体系。依托数字政府公共支撑能力，建设数据资产登记平台（以下简称登记平台）、数据交易平台和数据流通交易监管平台（以下简称监管平台），鼓励探索行业数据空间，提供数据汇聚治理、加工开发、登记评估、交易结算、交付使用、全流程监管等数据流通交易业务支撑能力；（三）充分发挥基础设施枢纽节点核心作用。构建数据综合业务网，支持公共数据运营管理机构、数据交易所、数据经纪人、数据商、第三方专业服务机构等各类数据流通交易主体接入，通过各系统互联互通不断扩展形成数据流通生态网络。持续完善数据安全存储、数据授权、数据存证、可信传输、数据验证、数据溯源、隐私计算、联合建模、算法核查、融合分析等数据新型基础设施，推动基础设施核心枢纽节点建设，提高使用效率。（四）强化数据流通交易安全支撑能力。依托粤基座平台构建事前风险发现、事中安全防护、事后安全追溯的纵深安全防护能力，为数据流通交易提供基础安全保障；按照国家有关法律法规要求，依托粤基座平台提供用户身份安全认证能力和服务，数据交易相关平台根据自身业务需求在线获取不同可信身份实名等级的用户身份信息，并保障用户身份信息安全；依托省电子印章平台的服务能力，完善和创新服务方式，为数据流通交易各参与方提供电子签名签章服务；采用多种安全技术手段实践“数据可用不可见，使用可控可计量”的新型数据流通交易范式，实现数据流通交易全程留痕、安全可控；对数据流通交易的全流程记录进行电子数据保全存证，联合权威公证机构，保障数据安全且司法有效。第二章合规登记数据资产合规登记程序分为普通程序和简易程序。普通程序包括登记申请、登记初审、登记复审、登记公示、凭证发放（登簿）五个环节；简易程序包括登记申请、登记审查、登记公开、凭证发放（登簿）四个环节。登记平台应依托粤基座平台统一身份认证能力，对注册用户的身份进行认证、鉴权，并需具备用户权限管理功能。登记平台应支持对数据资产登记业务流程的配置、查看、修改等操作。登记平台应支持登记主体录入数据资产登记申请信息，并上传相关证明文件。公共数据产品和服务在登记平台进行资产登记前，所涉及的公共数据资源应通过一网共享平台编目。对于未编目的公共数据资源，登记平台应提供告警功能。登记平台应提供公示（公开）登记结果的功能，支持编辑公示（公开）内容、配置公示（公开）模板、设置公示（公开）时长等操作。登记平台应提供异议处理功能，支持自然人、法人和非法人组织在规定时间内对公示信息发起异议，并支持异议各方进行线上沟通。登记平台应依托数据资产凭证系统，提供数据资产登记凭证的签发、查询等功能。登记平台应支持登记主体注销登记，并应支持登记机构撤销登记。登记平台应采用数据加密、数据脱敏等措施，对登记主体录入的敏感信息进行处理。登记平台应针对面向外部开放的数据接口，提供接口认证鉴权与安全监控。登记平台应建立数据存储备份管理及恢复机制，并具备相应技术措施。第三章流通交易第一节一网共享平台一网共享平台应实现公共数据资源的汇聚、治理和管理，持续丰富公共数据资源目录，推进公共数据的共享、开放和开发利用。公共管理和服务机构原则上应依托数字政府安全统一的数据融合加工环境，建立公共数据社会化专区，开展数据治理及整合加工。公共管理和服务机构应制定安全管理规范，开展数据安全评测和审计，利用技术手段保护数据安全及个人隐私。第二节个人及法人数字空间个人及法人数字空间应构建安全、可信的数据主体授权用数模式，支持数据主体将数据授权给交易需方使用。个人及法人数字空间作为数据主体授权用数及数据产品和服务交付的重要载体，交易供方和交易需方的系统应与其进行对接，确保数据授权后可安全交付。个人及法人数字空间应对接数据交易平台，向其提供授权用数记录、数据产品和服务交付记录等信息。第三节数据资产凭证系统数据资产凭证系统应通过整合粤基座平台统一身份认证、电子印章平台、电子证照系统、区块链系统等数字政府公共支撑能力，为数据资产跨域跨链的验证和交易提供去中心化、可监管、可溯源的安全交付及存证载体。数据资产凭证系统应为数据交易平台提供安全交付链路，保障交易标的交付过程安全可控、高效便捷。数据资产凭证系统应对数据流通交易全流程进行存证，涵盖数据资产登记凭证、交易合约凭证、授权凭证、验收交付凭证等凭证，以及挂牌审核记录、交付过程记录等过程信息，保障数据流通交易过程可回溯、可审计。第四节数据交易平台数据交易流程包括主体登记、标的审核、挂牌申请、交易磋商、交易实施、交易结算、交易备案、交易评价和交易纠纷处理等环节。数据交易平台应依托粤基座平台统一身份认证能力，对数据交易中各参与主体的身份进行认证和鉴权，并对用户进行权限管理和访问控制。交易标的挂牌前应通过相应的评估，数据交易平台应对评估结果进行审核和记录。数据交易平台应保证交易标的的安全性和合规性。根据数据的分类分级和评估结果，对敏感信息进行识别和标注，并采用数据脱敏、隐私计算等方式进行数据处理和交付。数据交易平台应为挂牌的交易标的提供多种展示方式，以便浏览和检索。数据交易平台应为交易需方提供检索、样本试用等功能，以及需求发布页面。数据交易平台应提供在线磋商功能，可支持多方相互协商。数据交易平台应支持交易合约的创建、上传、编辑、确认等功能。（一）交易合约内容应包括但不限于交易供方、交易需方，处理数据的算法逻辑或相关数据服务，数据的使用频次、使用期限、使用场景等；（二）平台可提供标准的电子化合约模板，辅助各交易主体将磋商结果转化为可执行的电子化条款；（三）平台应依托省政务服务数据管理局认可的数字证书系统，对合约条款内容进行电子签名和确认；（四）平台应依托数据资产凭证系统，对交易合约进行存证。数据交易平台可提供可信数据融合加工处理环境、隐私计算等安全技术服务。数据交易平台应基于数据资产凭证系统、区块链系统、电子证照系统等数字政府公共支撑能力，提供安全可控的交付链路。交付过程应严格按照交易合约内容执行，超过合约内容的授权范围时应及时中止执行，并对执行情况及结果进行存证。数据交易平台应提供可靠的验收环境，并对验收过程及结果进行记录留存。数据交易平台应具备对接银行或第三方支付机构的能力，为数据交易提供开户、支付结算等金融服务，并提供担保和资金监管服务以保证买卖双方权益和在途资金安全。使用数据交易平台进行交付的，应在交易完成后及时清除交易标的相关数据（除存证记录外）。数据交易平台应提供在线申诉、协商、调解等功能，支持证据提取及导入、仲裁判决结果录入、争议处理进度查询，提供电子化争议处理单证，辅助争议各方落实处理结果。数据交易平台应具备在争议处理期间冻结履约保证金、暂停交易涉及的数据交易活动的能力，并提供交易黑名单管理功能，便于监管部门对违法违约交易行为进行监管。数据交易平台应依托数据资产凭证系统，对数据交易全流程进行存证记录：（一）存证内容包括但不限于挂牌审核结果、交易合约、授权凭证、验收交付凭证、结算信息、争议处理情况等；（二）保障存证信息不可篡改、不可伪造；（三）通过对存证信息的统计和分析，实现对安全事件的识别和问题溯源，并对发现的问题及时告警和报送；（四）定期进行安全审计，并对审计结果进行记录和整改。根据相关管理规定和监管要求，数据交易平台应提供以下功能，包括：（一）对已完成的交易服务进行定期报备，包括但不限于交易涉及的挂牌审核结果、交易合约、交付情况以及结算结果等；（二）提供相应的监管接口，便于监管部门在流通交易过程中对交易行为进行监控和审计；（三）提供交易评价功能。数据交易平台应采用同城多活、异地备份等方式，确保其具有高可用性、高可靠性。数据交易平台应具备数据安全防护功能，通过网络安全等级保护三级或以上级别的检测。数据交易平台所采用的密码技术应符合国家密码行业标准和密码主管部门的要求，应采用通过检测认证的商用密码产品。数据交易平台应在身份认证、电子签名、数据加密、隐私保护、存证等关键环节采用自主可控的技术或产品。第五节行业数据空间行业数据空间是行业领域内数据开放共享和可信流通的基础设施，服务能源、电信、金融等各行业领域的数据要素流通。行业数据空间应依托粤基座平台统一身份认证能力对参与主体进行认证、鉴权。行业数据空间应对参与主体的接入进行审核，并提供灵活的数据接入方式。行业数据空间可使用多方安全计算等技术对流通过程中的高价值、高敏感数据进行处理。行业数据空间可提供电子化、可执行的合约功能，依据数据授权对数据的流通和使用进行严格控制，保障参与主体的合法权益。行业数据空间可依托区块链技术，提供数据流通全流程的存证功能，保障数据流通过程可回溯、可审计。鼓励各行业数据空间互联互通，实现数据跨空间流通。通过与数据交易平台对接，实现行业数据产品和服务安全可控交易。第四章监督管理监管平台应纳入一网统管体系，对数据流通交易中的全业务流程进行监管。监管内容按先后顺序分为事前监管、事中监管和事后监管，并由全业务存证链条支撑。监管平台应与登记平台、数据交易平台、行业数据空间等对接，实现集中统一监管。监管平台应能核验流通交易各参与主体的身份、资质等材料。监管平台应对数据资产登记的记录进行定期抽检。监管平台应对数据交易全业务流程进行监管，包括但不限于以下内容：（一）对数据产品和服务的应用场景、数据授权进行验证；（二）对数据加工算法进行备案；（三）对数据交易业务流程进行探测和监控，并对识别的安全事件进行告警；（四）建立安全传输通道，接收报送的交易行为记录、过程存证、交易合约及交付结果等报备信息，并采用相应技术手段识别可能存在的安全风险；（五）满足法律、法规中涉及数据交易监管的技术安全要求。监管平台应建立数据交易全业务流程的存证链条，包括但不限于资质审核、资产登记、交易需求、交易合约、加工过程记录、交付结果、争议处理情况等，并提供易用的存证链查询和调用方式。依托数