ICS35. 040 L 80 中 华 人 民 共 和 国 国 家 标 准 GB/T 37932—2019 信息安全技术 数据交易服务安全要求 I n f o rma t i ons e c u r i t e chno l o yt gy— S e c u r i t equ i r emen t sf o rda t at r an s a c t i ons e r v i c e yr 2019 08 30 发布 2020 03 01 实施 国家市场监督管理总局 中国国家标准化管理委员会 发 布 GB/T 37932—2019 目 次 前言 ………………………………………………………………………………………………………… Ⅰ 引言 ………………………………………………………………………………………………………… Ⅱ 1 范围 ……………………………………………………………………………………………………… 1 2 规范性引用文件 ………………………………………………………………………………………… 1 3 术语和定义 ……………………………………………………………………………………………… 1 4 安全概述 ………………………………………………………………………………………………… 2 4. 1 参考框架 …………………………………………………………………………………………… 2 4. 2 数据交易安全原则 ………………………………………………………………………………… 3 5 数据交易参与方安全要求 ……………………………………………………………………………… 3 5. 1 数据供方安全要求 ………………………………………………………………………………… 3 5. 2 数据需方安全要求 ………………………………………………………………………………… 3 5. 3 数据交易服务机构安全要求 ……………………………………………………………………… 4 6 交易对象安全 …………………………………………………………………………………………… 6 6. 1 禁止交易数据 ……………………………………………………………………………………… 6 6. 2 数据质量要求 ……………………………………………………………………………………… 6 6. 3 个人信息安全保护 ………………………………………………………………………………… 6 6. 4 重要数据安全保护 ………………………………………………………………………………… 6 7 数据交易过程安全 ……………………………………………………………………………………… 6 7. 1 交易申请 …………………………………………………………………………………………… 6 7. 2 交易磋商 …………………………………………………………………………………………… 7 7. 3 交易实施 …………………………………………………………………………………………… 7 7. 4 交易结束 …………………………………………………………………………………………… 7 GB/T 37932—2019 前 言 本标准按照 GB/T1. 1—2009 给出的规则起草。 本标准由全国信息安全标准化技术委员会( SAC/TC260)提出并归口。 本标准起草单位:阿里云计算有限公司、中国电子技术标准化 研 究 院、北 京 赛 西 科 技 发 展 有 限 责 任 公司、北京软件和信息服务交易所有限公司、贵阳大数据交易所有限责 任 公 司、上 海 数 据 交 易 中 心 有 限 公司、阿里巴巴(北京)软件服务有限公司、中国科学院信息工程研究所、中国移动通信集团公司、陕西省 信息化工程研究院、北京奇安信科技 有 限 公 司、中 国 网 络 安 全 审 查 技 术 与 认 证 中 心、清 华 大 学、西 北 大 学、陕西省网络与信息安全测评中心、中国科学院软件研究所、启明星辰信息技术集团股份有限公司、北 京天融信科技有限公司、联想(北京)有限公司、西安电子科技大学。 本标准主要起草人:叶润国、张大江、孙彦、沈锡 镛、刘 贤 刚、陈 雪 秀、胡 媛 媛、孙 爱 梅、于 铁 强、胡 影、 张敏翀、谢安明、刘玉岭、赵蓓、张群、叶晓俊、吴迪、蔡磊、李怡、金涛、张勇、李克鹏、陈驰、郑新华、张锐卿、 常玲、刘嘉林、任兰芳、裴庆祺、孙骞。 Ⅰ GB/T 37932—2019 引 言 数据正日益对全球生产、流通、分配、消费活动以及经济运行机制、社会生活方式和国家治理能力产 生重要影响。数据交易可以促进数据资源流通,破除数据孤岛,有效 支 撑 数 据 应 用 的 快 速 发 展,发 挥 数 据资源的经济价值。然而,数据交易面临诸多安全问题和挑战,影响了数据应用的进一步健康发展。 为规范数据资源交易行为,建立 良 好 的 数 据 交 易 秩 序,促 进 数 据 交 易 服 务 参 与 者 安 全 保 障 能 力 提 升,本标准将对数据交易服务进行安全规范,增强对数据交易服务的安 全 管 控 能 力,在 确 保 数 据 安 全 的 前提下,促进数据资源自由流通,从而带动整个数据产业的安全、健康、快速发展。 Ⅱ GB/T 37932—2019 信息安全技术 数据交易服务安全要求 1 范围 本标准规定了通过数据交易服务机构进行数据交易服务的安全要求,包括数据交易参与方、交易对 象和交易过程的安全要求。 本标准适用于数据交易服务机构进行安全自评估,也可供第三方 测 评 机 构 对 数 据 交 易 服 务 机 构 进 行安全评估时参考。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引 用 文 件,仅 注 日 期 的 版 本 适 用 于 本 文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T22239—2019 信息安全技术 网络安全等级保护基本要求 GB/T35273—2017 信息安全技术 个人信息安全规范 GB/T25069—2010 信息安全技术 术语 GB/T35274—2017 信息安全技术 大数据服务安全能力要求 GB/T37988—2019 信息安全技术 数据安全能力成熟度模型 GB/T36343—2018 信息技术 数据交易服务平台 交易数据描述 3 术语和定义 3. 1 GB/T25069—2010 和 GB/T36343—2018 界定的以及下列术语和定义适用于本文件。 数据交易 da t at r an s a c t i on 数据供方和需方之间以数据商品作为交易对象,进行的以货币或货币等价物交换数据商品的行为。 注 1:数据商品包括用于交易的原始数据或加工处理后的数据衍生产品。 注 2:数据交易包括以大数据或其衍生品作为数据商品的数据交易,也包括以传统数据或其衍生品作为数据商 品 的 数据交易。 3. 2 数据供方 da t as upp l i e r 数据交易中提供数据的组织机构。 3. 3 数据需方 da t aa cqu i r e r 数据交易中购买和使用数据的组织机构。 3. 4 数据交易服务 da t at r an s a c t i ons e r v i c e 帮助数据供方和需方完成数据交易的活动。 1 GB/T 37932—2019 3. 5 数据交易服务机构 da t at r an s a c t i ons e r v i c epr o v i d e r 为数据供需双方提供数据交易服务的组织机构。 3. 6 数据交易服务平台 da t at r an s a c t i ons e r v i c ep l a t f o rm 为数据交易提供各项服务的信息化平台。 3. 7 在线数据交付 on l i neda t ad e l i v e r y 数据供方通过网络向数据需方交付数据的模式。 3. 8 离线数据交付 o f f l i neda t ad e l i v e r y 数据供需双方在达成数据交易协议后,由数据供方通过离线方式 将 数 据 从 供 方 提 供 给 需 方 的 交 付 模式。 3. 9 托管数据交易 c u s t od i anda t ad e l i v e r y 数据供需双方在达成数据交易协议后,由供方将数据拷贝到数据 交 易 服 务 机 构 指 定 的 数 据 托 管 服 务平台,需方在数据托管服务平台内使用数据,数据不发生转移的交付模式。 3. 10 数据交易过程 da t ae x chang i ngpr o c e s s 数据供需双方依托数据交易服务平台针对具体的数据交易对象,进 行 的 一 次 完 整 和 具 体 的 数 据 交 易行为。 注:数据交易过程一般分为交易申请、交易磋商、交易实施和交易结束等环节。 3. 11 重要数据 impo r t an tda t a 我国机构和个人在境内收集、产生的不涉及国家秘密,但与国 家 安 全、经 济 发 展 以 及 公 共 利 益 密 切 相关的数据。 注:重要数据通常指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子 政 务 等 重 要 行 业 和 领 域 的 各 类 机 构在开展业务活动中收集和产生的,不涉及国家秘密,但一旦泄露、篡改或滥 用 将 会 对 国 家 安 全、经 济 发 展 和 社 会公共利益造成不利影响的数据(包括原始数据和衍生数据)。 [ GB/T35274—2017,定义 3. 13] 4 安全概述 4. 1 参考框架 数据交易是供需双方对原始数据或加工处理后的数据依照交易过程进行的活动。通过数据交易服 务机构进行的数据交易服务参考框架如图 1 所示。数据交易涉及数据 供 方、数 据 需 方 和 数 据 交 易 服 务 机构。数据交易服务机构依托数据交易服务平台,为数据供需双方 提 供 数 据 交 易 服 务。从 数 据 交 易 服 务机构角度出发,数据交易过程一般包括交易申请、交易磋商、交易 实 施 和 交 易 结 束 四 个 环 节。常 见 的 数据交付模式包括在线模式、离线模式和托管模式。 2 GB/T 37932—2019 图 1 数据交易服务参考框架 4. 2 数据交易安全原则 数据交易应遵循以下原则: a) 合法合规原则:数据交易应遵守我国关于数据 安 全 管 理 的 相 关 法 律 法 规,尊 重 社 会 公 德,不 得 损害国家利益、社会公共利益和他人合法权益。 b) 主体责任共担原则:数据供需双方及数据交易服务机构对数据交易后果负责,共同确保数据交 易的安全。 c) 数据