本文来自微信公众号“安全学习那些事儿”。
深圳市数据交易管理暂行办法
第一章 总则
第一条 为引导培育本市数据交易市场,规范数据交易行为,促进数据有序高效流动,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《深圳经济特区数据条例》《深圳经济特区数字经济产业促进条例》等有关法律法规规定,结合本市实际,制定本办法。
第二条 在经市政府批准成立的数据交易场所内进行的数据交易及其相关管理活动,适用本办法。
第三条 本市数据交易坚持创新制度安排、释放价值红利、促进合规流通、保障安全发展、实现互利共赢的原则,着力建立合规高效、安全可控的数据可信流通体系。
第四条 市发展改革部门是本市数据交易的综合监督管理部门,负责统筹协调全市数据交易管理工作,主要履行以下职责:
(一)统筹全市数据交易规划编制、政策制定以及规则制度体系建设,鼓励和引导市场主体在依法设立的数据交易场所进行数据交易;
(二)推动数据交易场所运营机构利用先进的信息化技术建立数据来源可确认、使用范围可界定、流通过程可追溯、安全风险可防范的数据交易服务环境;
(三)会同相关部门建立协同配合的数据交易监督工作机制,对数据交易场所运营机构和交易市场主体进行管理。
市网信、教育、科技创新、工业和信息化、公安、司法、财政、人力资源和社会保障、规划与自然资源、交通运输、商务、卫生健康、审计、国有资产监督管理、市场监督管理、统计、地方金融监督管理、政务服务数据管理、国家安全、证券监督管理等部门在各自职责范围内承担监管职责。
第五条 本办法所称数据交易场所是经市政府批准成立的,组织开展数据交易活动的交易场所。
数据卖方是指在数据交易场所内出售交易标的的法人或非法人组织。
数据买方是指在数据交易场所内购买交易标的的法人或非法人组织。
数据商是指从各种合法来源收集或维护数据,经汇总、加工、分析等处理转化为交易标的,向买方出售或许可;或为促成并顺利履行交易,向委托人提供交易标的发布、承销等服务,合规开展业务的企业法人。
第三方服务机构是指辅助数据交易活动有序开展,提供法律服务、数据资产化服务、安全质量评估服务、培训咨询服务及其他第三方服务的法人或非法人组织。
第二章 数据交易主体
第六条 数据交易主体包括数据卖方、数据买方和数据商。数据卖方应当作为数据商或通过数据商保荐,方可开展数据交易。
第七条 在保证数据安全、公共利益及数据来源合法的前提下,市场主体按照不同情形,依法享有数据资源持有权、数据加工使用权和数据产品经营权等权利。
数据卖方和数据商应加强数据质量、安全及合规管理,确保数据的真实性和来源合法性。数据买方应当按照交易申报的使用目的、场景和方式合规使用数据。
第八条 数据商运行管理指南、数据交易所生态合作方管理指南等业务规则由数据交易场所运营机构另行制定。
第三章 数据交易场所运营机构
第九条 数据交易场所运营机构应当按照相关法律、行政法规和数据交易综合监督管理部门的规定,为数据集中交易提供基础设施和基本服务,承担以下具体职责:
(一)提供数据集中交易的场所,搭建安全、可信、可控、可追溯的数据交易环境,支撑数据、算法、算力资源有序流通;
(二)提供交易标的上市、交易撮合、信息披露、交易清结算等配套服务;
(三)制定完善数据交易标的上市、可信流通、信息披露、价格生成、自律监管等交易规则、服务指南和行业标准;
(四)实行数据交易标的管理,审核、安排数据交易标的上市交易,决定数据交易标的暂停上市、恢复上市和终止上市;
(五)对交易过程形成的交易信息进行保管和归案;
(六)负责在数据交易场所内开展数据交易活动的数据交易主体和第三方服务机构的登记及其交易(服务)行为管理;
(七)组织实施交易品种和交易方式创新,探索开展数据跨境交易业务以及数据资产证券化等对接资本市场业务;
(八)依法依规建立数据交易安全保障体系,指导数据交易主体和第三方服务机构做好数据可信流通、留痕溯源、风险识别、合规检测等数据安全技术保障服务,采取有效措施保护个人信息、个人隐私、商业秘密、保密商务信息和国家规定的重要数据。及时发现、处理并依法向相关监管机构报送违法违规线索,配合相关监管机构检查和调查取证;
(九)开展数据交易宣传推广、教育培训、业务咨询和保护协作等市场培育服务;
(十)经主管部门批准的其他业务。
第十条 数据交易场所运营机构原则上应当采取公司制组织形式,依法建立健全法人治理结构,完善议事规则、决策程序和内部审计制度,加强内控管理,保持内部治理的有效性。
第十一条 数据交易场所运营机构开展经营活动不得违法从事下列活动:
(一)采取集中竞价、做市商等集中交易方式进行交易;
(二)未经交易主体委托、违背交易主体意愿、假借交易主体名义开展交易活动;
(三)挪用交易主体交易资金;
(四)为牟取佣金收入,诱使交易主体进行不必要的交易;
(五)提供、传播虚假或者误导交易主体的信息;
(六)利用交易软件进行后台操纵;
(七)其他违背交易主体真实意思表示或与交易主体利益相冲突的行为。
数据交易场所运营机构不得对外提供融资、融资担保、股权质押。
数据交易场所运营机构的董事、监事、高级管理人员及其他工作人员不得直接或间接入市参与本交易场所交易,也不得接受委托进行交易。
第四 章数据交易标的
第十二条 数据交易场所的交易标的包括数据产品、数据服务、数据工具等。
(一)数据产品
数据产品主要包括用于交易的原始数据和加工处理后的数据衍生产品。包括但不限于数据集、数据分析报告、数据可视化产品、数据指数、API数据、加密数据等。
(二)数据服务
数据服务指卖方提供数据处理(收集、存储、使用、加工、传输等)服务能力,包括但不限于数据采集和预处理服务、数据建模、分析处理服务、数据可视化服务、数据安全服务等。
(三)数据工具
数据工具指可实现数据服务的软硬件工具,包括但不限于数据存储和管理工具、数据采集工具、数据清洗工具、数据分析工具、数据可视化工具、数据安全工具。
(四)经主管部门同意的其他交易标的
危害国家安全、公共利益,侵犯个人、组织合法权益,包括不借助其他数据的情况下可以识别特定自然人的数据,不得作为交易标的。如发现重大敏感数据出境涉嫌危害国家安全需进行国家安全审查。
第十三条 数据交易标的在数据交易场所上市前,数据商应当提交关于数据来源、数据授权使用目的和范围、数据处理行为等方面的说明材料以及第三方服务机构出具的数据合规评估报告。数据交易主体可委托第三方服务机构开展数据资产价值评估、数据质量评估认证、数据安全检测评估认证等服务。
第十四条 鼓励以下情形的数据交易标的在数据交易场所内进行交易:
(一)公共数据经授权运营方式加工形成的、已不具备公共属性的数据产品;
(二)本市财政资金保障运行的公共管理和服务机构采购非公共数据产品、数据服务和数据工具;
(三)市属和区属国有企业采购或出售的数据产品、数据服务和数据工具。
第十五条 数据买方应按照买卖双方约定和数据授权使用的目的和范围使用数据。数据商及第三方服务机构未经数据卖方和买方许可,不得擅自使用交易的数据产品和数据工具,不得泄漏交易过程中的未公开材料及其获悉的其他非公开信息。
第十六条 数据交易场所运营机构应当制定数据产品质量评估及管理规范、数据及数据交易合规性审核指南、数据流通交易负面清单和谨慎清单。
第五章数据交易行为
第十七条 数据交易包括交易准备、交易磋商、交易合同签订、交付结算、争议处理等行为。
第十八条 在交易准备环节,数据卖方应依据实际情况披露交易标的的描述说明、适用范围、更新频率、计费方式等信息,并向数据交易场所运营机构提供产品或服务样例。数据买方应提供所属行业、数据需求内容、数据用途等信息。
数据交易场所运营机构应对数据卖方和数据买方提供的信息进行审核,督促数据交易主体及时、准确提供信息。
第十九条 在交易磋商环节,数据卖方和数据买方就交易时间、数据用途、使用期限、交付质量、交付方式、交易金额、交易参与方安全责任、保密条款等内容进行协商。
数据交易场所运营机构应提供在线撮合服务,并向数据买方提供用于测试样例数据的实验环境,保障测试实验环境安全。
数据交易场所运营机构应当从数据质量维度、数据样本一致性维度、数据计算贡献维度、数据业务应用维度等方面探索构建数据价值评估指标体系,为数据交易定价提供参考。
第二十条 数据交易场所运营机构应当对数据交易合同进行审核并备份存证,合同需包括数据描述、数据用途、数据质量、交易方式、交易金额、数据使用期限、安全责任、交易时间、保密条款等内容。
数据买方如使用本市财政资金进行采购,应当按照有关规定公开合同签订时间、合同价款、项目概况、违约责任等合同基本信息,但涉及国家秘密、商业秘密的除外。
第二十一条 数据交易场所运营机构应当建立统一的安全规范和技术标准保障交付安全。
数据交易场所运营机构应当实行交易资金第三方结算制度,由交易资金的开户银行或非银行支付机构负责交易资金的结算。
第二十二条 数据交易场所运营机构应建立争议解决机制,制定并公布争议解决规则,根据自愿原则,公平、公正解决争议。
第六章数据交易安全
第二十三条 数据交易场所运营机构应当建立数据流通交易安全基础设施,加强防攻击、防泄漏、防窃取的监测、预警、控制和应急处置能力建设,关键设备应当采用自主可控的产品和服务。
第二十四条 数据交易场所运营机构、数据卖方、数据买方、数据商和第三方服务机构应依照法律、法规、规章和国家标准的强制性要求,建立健全全流程数据安全管理制度,组织开展安全教育培训,落实数据安全保护责任,采取相应的技术措施和其他必要措施,保障数据安全。
第二十五条 数据交易场所运营机构应当制定数据安全事件应急预案,对重要系统和数据库进行容灾备份,定期开展数据交易环境安全等级保护测试和渗透测试等数据安全应急演练,提升数据安全事件应对能力。
第二十六条 数据交易场所运营机构应当制定数据安全分级管理实施细则。数据交易主体应当根据数据安全管理的不同级别采取不同强度的安全保护措施。
第七章 管理与监督
第二十七 条市发展改革部门会同市网信、工业和信息化、公安、市场监督管理、政务服务数据管理、地方金融监管、国家安全等部门建立数据交易监管机制专责小组,主要承担以下职责:
(一)制定监管制度,建立协同监管工作机制;
(二)落实“双随机,一公开”监管要求,制定监督检查方案并组织实施;
(三)协调、督促相关监管部门对检查发现或投诉举报的问题依照法律法规进行处理处罚;
(四)其他数据交易监管事项。
第二十八条 数据交易监管机制专责小组应当加强对交易监管数据的归集、监测、共享,推行非现场监管、信用监管、风险预警等新型监管模式,提升监管水平。
第二十九条 监管机制专责小组依法依规对数据交易场所运营机构履行数据安全责任、落实安全管理制度和保护技术措施等情况进行监督,不定期开展飞行检查,查阅、复制有关文件和资料,对数据交易场所运营机构的有关人员进行约见谈话、询问。对于监管机制专责小组指出的相关问题,数据交易场所运营机构应当按要求进行整改。
第三十条 监管机制专责小组在依法开展监管执法活动时,数据交易场所运营机构、数据交易主体及第三方服务机构应予以配合,并提供相关信息和技术支撑。
第三十一条 数据交易场所运营机构发现违反市场监督管理、网络安全、数据安全等方面相关法律、法规、规章的数据交易行为,应当依法采取必要的处置措施,保存有关记录,并向监督管理部门报告。
第三十二条 数据交易场所运营机构对交易过程形成完整的交易日志并安全保存,保存时间不少于三十年。法律法规另有规定的,依照其规定。交易信息可作为监管部门进行监管执法的重要依据。
第三十三条 鼓励数据相关行业组织加强行业自律建设,提供信息、技术、培训等服务,促进行业健康发展。
第八章附则
第三十四条 本办法由深圳市发展和改革委员会负责解释。
第三十五条 本办法自2023年3月1日起施行,有效期三年。