2024年10月15日,山东省大数据局发布《山东省数据交易管理办法(试行)(征求意见稿)》(以下简称《管理办法》),旨在规范数据交易行为,确保数据交易的合法性、合规性和安全性,促进数据合规高效流通使用、数据市场的培育和健康发展,保障国家、社会和个人权益。
01 《管理办法》概览
《管理办法》共八章二十九条,适用于省内数据交易及其管理活动。遵循依法合规、市场主导、公平自愿、包容创新、安全可控的原则。省人民政府大数据工作主管部门负责指导数据市场建设,县级以上相关部门负责监督管理。该办法自印发之日起施行,有效期两年。
交易标的:
数据产品类型:包括API接口类、数据集类、数据报告类等多种类型。
禁止交易内容:涉及国家安全、个人隐私、非法获取的数据等不得进行交易。
交易主体:
数据提供方:需提供交易标的来源说明,保证数据合法性。
数据需求方:应按约定合规使用数据。
数据交易机构:负责合规审核、出具交易凭证,确保交易过程可控制、风险可防范。
第三方专业服务机构:提供数据集成、合规认证等服务,需具备相应资质。
交易方式:
交易方式选择:供需双方可通过数据交易机构或直接交易,鼓励通过交易机构进行。
公共数据定价:执行政府指导定价。
交易行为:
合规审核:数据交易机构应对交易标的和用途进行审核,确保合法合规。
交易定价:供需双方可选择多种定价方式,公共数据有偿使用执行政府指导定价。
合同签署:需签订数据交易合同,明确交易内容和责任。
数据出境:跨境交易需遵守国家规定,进行安全评估。
争议解决:建立争议解决机制,鼓励通过协商、调解、仲裁等方式解决争议。
交易安全:
交易主体责任:交易主体需承担数据安全责任,采取必要的安全防护措施。
数据交易机构责任:建立健全数据安全管理制度,制定应急预案,提升安全防护能力。
部门安全职责:相关部门负责数据安全监管,维护数据市场秩序。
监督管理:
部门监管:相关部门加强对数据交易活动的监管,保障数据安全合规交易。
投诉举报:建立投诉举报机制,畅通社会监督渠道。
信用管理:建立交易主体信用档案,构建数据市场信用体系。
信息报送:数据交易机构需定期报送业务开展情况。
交易档案:全过程记录数据交易活动,保存交易档案至少三十年。
信息披露:保密交易信息,未经授权不得披露。
容错机制:对先行先试中的失误按规定从轻或免予追责。
02 数据交易流程
具体包括交易标的确定、交易主体参与、交易方式选择、合规审核、交易定价、合同签署、数据出境和交易执行等环节。
交易标的确定:
数据交易标的主要为数据产品,包括API接口类、数据集类、数据报告类、数据服务类、数据工具类、数据应用类、算法模型类等。
禁止交易的内容包括危害国家安全、侵犯个人隐私、非法获取的数据等。
交易主体参与:
数据提供方:出售交易标的的自然人、法人和其他组织,需提供交易标的来源说明,保证交易标的合法、真实、完整。
数据需求方:购买交易标的的自然人、法人和其他组织,需按照约定的使用目的、场景和方式合规使用交易标的。
数据交易机构:依法依规组织开展数据交易活动,提供数据交易服务,进行合规审核并出具交易凭证。
第三方专业服务机构:提供数据集成、合规认证等服务,需具备相应资质。
交易方式选择:
数据供需双方可以通过数据交易机构交易,也可以直接交易,或其他法律法规允许的交易方式。
鼓励通过数据交易机构进行交易,特别是公共数据授权运营方式加工形成的数据产品、行政事业单位采购的数据产品、国有企业采购或出售的数据产品。
合规审核:
数据交易机构应对交易标的和数据需求方提出的数据用途、应用场景和使用方式进行审核,确保交易标的来源合法、权属清晰、使用合规。
交易定价:
数据供需双方可以选择成本定价、收益定价、协商定价、拍卖定价、评估定价等方式,自主定价。
公共数据有偿使用执行政府指导定价。
合同签署:
数据供需双方应当签订数据交易合同,明确交易标的内容、使用用途、使用场景、使用期限、交付质量、交易方式、交易金额、安全责任、保密条款、争议解决等内容。
数据交易机构应当与数据供需双方签署居间服务协议,对数据交易合同备份存证。
数据出境:
涉及数据跨境交易的,应当按照国家有关规定申报数据出境安全评估,订立个人信息出境标准合同,通过个人信息保护认证。
交易执行:
数据交易机构应当采取必要的安全技术及其他安全防护措施,保障数据安全。
发生数据泄露、篡改、损毁等安全事件时,应当立即采取补救措施,及时告知相关交易主体,并向有关部门报告。
03 数据交易监管、合规与安全
1、数据交易监管、合规条款和要求
省人民政府大数据工作主管部门负责指导数据市场建设,统筹协调数据交易管理工作。县级以上人民政府大数据工作主管部门及网信、金融、发展改革、公安、市场监管等部门负责各自职责范围内的数据交易监督管理工作。
数据交易机构必须对交易标的进行合规审核,确保交易标的来源合法、权属清晰、使用合规。供需双方若直接交易,可自行或委托第三方专业服务机构进行合规审核。数据供需双方可选择成本定价、收益定价、协商定价、拍卖定价、评估定价等方式。用于数字化发展的公共数据有偿使用,执行政府指导定价。
数据供需双方应签订数据交易合同,明确交易标的内容、使用用途、使用场景、使用期限、交付质量、交易方式、交易金额、安全责任、保密条款、争议解决等内容。数据交易机构应与数据供需双方签署居间服务协议,对数据交易合同备份存证。
涉及数据跨境交易的,需按照国家有关规定申报数据出境安全评估,订立个人信息出境标准合同,通过个人信息保护认证。数据交易机构应建立争议解决机制,制定并公开争议解决规则,公平、公正协调解决争议。鼓励通过协商、调解、仲裁等方式解决争议。
具体条款如下:
监管条款
部门监管:县级以上网信、金融、发展改革、公安、市场监管、大数据等部门应当根据各自职责加强对数据交易活动的监管,维护数据市场秩序,保障数据安全合规交易。(第二十条)
投诉举报:县级以上人民政府大数据工作主管部门应当会同有关部门建立数据交易投诉举报机制,畅通社会监督渠道。(第二十一条)
信用管理:县级以上人民政府大数据工作主管部门应当会同有关部门建立交易主体信用档案,构建数据市场信用体系,健全数据交易失信行为认定、守信激励、失信惩戒等机制。(第二十二条)
合规条款
数据提供方责任:数据提供方应当提供交易标的来源说明,保证交易标的合法、真实、完整等。(第七条)
数据需求方责任:数据需求方应当按照约定的使用目的、场景和方式合规使用交易标的。(第八条)
数据交易机构责任:数据交易机构应当对交易标的开展合规审核,出具交易凭证,做到交易过程可控制、风险可防范、责任可追溯。(第九条)
2、数据交易安全条款和措施
交易主体应强化数据安全管理,采取必要的安全技术及其他安全防护措施,保障数据安全。县级以上网信、金融、发展改革、公安、市场监管、大数据等部门依照法律法规在各自职责范围内承担数据安全监管责任。
数据交易机构应建立健全数据安全管理制度,明确数据安全负责人,落实数据安全保护责任。采用区块链、隐私计算、数据空间等技术建立安全可信的交易环境,实现交易过程可追溯、安全风险可防范。制定数据安全事件应急预案,定期组织开展数据安全攻防演练,提升安全事件预测预警和发现处置能力。发生数据泄露、篡改、损毁等安全事件时,应立即采取补救措施,及时告知相关交易主体,并向有关部门报告。
建立交易主体信用档案,构建数据市场信用体系,健全数据交易失信行为认定、守信激励、失信惩戒等机制。数据交易机构应定期向所在设区市大数据工作主管部门报送业务开展情况。全过程记录数据交易活动,建立交易档案并安全保存,保存时间不少于三十年。
除根据法律法规和有关规定履行信息披露义务外,数据交易机构、第三方专业服务机构对交易过程中获取的各方信息应当保密,未经相关主体授权不得向任何其他方披露,不得用于与交易无关的其他用途。在数据交易过程中因先行先试出现失误错误,但符合国家确定的改革方向的,按照有关规定对有关单位和个人从轻、减轻或者免予追责。
具体条款如下:
建立健全数据安全管理制度:数据交易机构应按照法律法规、规章和国家有关要求,明确数据安全负责人,落实数据安全保护责任。(第十八条第(一)项)
采用安全技术:数据交易机构应采用区块链、隐私计算、数据空间等技术建立安全可信的交易环境,实现交易过程可追溯、安全风险可防范。(第十八条第(二)项)
制定应急预案:数据交易机构应制定数据安全事件应急预案,定期组织开展数据安全攻防演练,提升安全事件预测预警和发现处置能力。(第十八条第(三)项)
采取补救措施:发生数据泄露、篡改、损毁等安全事件,或者数据安全风险明显加大时,数据交易机构应当立即采取补救措施,及时告知相关交易主体,并向有关部门报告。(第十八条第(四)项)
04 数据交易审批和风险评估
在数据交易的过程中,审批流程和风险评估是确保数据安全合规的重要环节。
1、数据交易的审批流程
第一步:申请提交
数据提供方和需求方需要向数据交易机构提交交易申请,包括交易标的的详细信息、交易目的、使用场景等。
第二步:合规审核
数据交易机构对提交的交易申请进行合规审核,包括但不限于:确认交易标的的合法性、真实性和完整性。审核数据需求方的使用目的、方式和场景是否符合法律法规要求。检查数据提供方是否具备合法的授权和许可。
第三步:风险评估
数据交易机构或第三方专业服务机构对交易标的进行风险评估,评估内容包括但不限于:数据泄露风险、数据滥用风险、技术安全风险、法律合规风险。
第四步:审批决定
数据交易机构根据合规审核和风险评估的结果,决定是否批准交易。如果交易涉及跨境数据流动,还需提交至相关部门进行国家安全审查。
第五步:合同签署
交易申请获批后,数据供需双方需签订数据交易合同,明确交易内容、使用用途、安全责任等条款。
第六步:交易执行
在数据交易机构的监督下,数据供需双方按照合同约定进行数据交易。
第七步:后续监管
数据交易机构需对交易后的数据使用情况进行持续监督,确保数据安全合规使用。
2、数据交易风险评估方法
- 定性评估:邀请行业专家对交易标的进行评审,评估其潜在风险。参考类似数据交易的案例,分析其成功和失败的原因,预测可能的风险。
- 定量评估:通过构建风险矩阵,量化风险发生的可能性和影响程度。进行数据泄露、系统攻击等模拟演练,评估应急响应能力和防护措施的有效性。
- 技术评估:对交易标的进行漏洞扫描,发现和修复潜在的安全漏洞。评估数据传输和存储过程中使用的加密技术是否足够安全。
- 法律合规评估:检查交易标的是否符合《中华人民共和国网络安全法》《中华人民共和国数据安全法》等相关法律法规的要求。确保交易过程和数据使用方式符合国家和地方的数据管理政策。
通过以上审批流程和风险评估方法,可以有效保障数据交易的合法合规和安全高效,促进数据市场的健康发展。
来源:山东省大数据局,本篇针对意见全文由生成式 AI 做出的核心摘要和解答,仅作为参考,请以原文为准。
在此声明以上观点和内容,仅代表原作者和出处,与数治网DTZed 无关,如有出错或侵害到相关合法权益,请通过电邮与我们联系:cs@dtzed.com。
欢迎领取数字人才中国方案,一起产研内训、知识平台共建!请在我们的微信公众号“idtzed”对话框内,发送“入”添加老邪企业微信获取。
欢迎先注册,登录后即可下载检索数据交易等相关标准、白皮书及报告。更多高质量纯净资料下载,进入公众号菜单“治库”。
