上海数据交易所：2023年上海数据交易所数据交易安全合规指引（15页）.pdf

1、上海数据交易所上海数据交易所数据交易安全合规指引数据交易安全合规指引目录一、总则.1第一条【指引目的】.1第二条【基本要求】.1第三条【适用范围】.1二、主体合规要求.1第四条【主体资质】.1第五条【合规经营能力】.2三、数据安全管理体系.2第六条【数据安全管理制度】.2第七条【数据安全管理部门】.3第八条【数据分类分级保护及管理】.4第九条【数据全生命周期安全管理】.4第十条【数据安全技术保护体系】.4第十一条【数据安全人员】.4第十二条【数据安全事件应急响应机制】.4四、数据来源合法.5第十三条【收集公开数据的要求】.5第十四条【自行生产数据的要求】.5第十五条【协议获取数据的要求】.5第

2、十六条【收集个人信息的要求】.6五、数据产品的可交易性.7第十七条【可交易性定义】.7第十八条【数据产品内容合法合规】.7第十九条【重要数据交易合规】.8第二十条【实质性加工和创新性劳动】.8第二十一条【数据产品应用场景与使用条件】.8第二十二条【数据产品出境合规】.8第二十三条【数据交易协议内容合规】.9六、附则.9第二十四条【修订与解释】.9第二十五条【实施日期】.91一、一、总则总则第一条【指引目的】为进一步加强数据交易主体关于数据交易合规与安全的理解和认知，引导交易主体合规、安全开展数据交易，本所根据中华人民共和国数据安全法中华人民共和国网络安全法中华人民共和国个人信息保护法上海市数据

3、条例等法律法规，结合本所数据交易实际，制定本指引。第二条【基本要求】开展数据交易时，数据交易主体应当遵守以下基本要求：（一）遵守我国关于数据流通与交易管理的法律法规，尊重社会公德、商业道德，服从监督管理；（二）采取必要措施，做到交易过程可控制、风险可防范、责任可追溯、合规性可监督；（三）数据交易主体应当诚实守信，恪守承诺，全面及时履行合同约定及相关承诺；（四）数据交易主体在享有数据权益的同时，应当履行相关义务，确保数据交易安全合规。第三条【适用范围】数据交易主体在本所进行数据交易与相关服务活动时，可参照指引规定开展数据交易。二、二、主体合规要求主体合规要求第四条【主体资质】主体资质是进行有效数

4、据交易的基础要件，为保障数据2交易安全，数据交易主体资质应当满足下列要求：（一）系依法成立并有效存续的法人、非法人组织；（二）具有良好的商业信誉，近一年内无重大数据类违法违规记录且未出现重大网络和数据安全事故；（三）法定代表人、董事、监事不存在重大数据类违法违规行为、被列为失信被执行人以及其他可能对数据交易活动构成实质性重大不利影响的情形；（四）不存在可能对数据交易活动构成实质性重大不利影响的其他情形。第五条【合规经营能力】合规经营能力是数据交易主体进行有效数据交易的重要要素，为保障数据交易安全，在本所开展数据交易的，应当满足下列持续合规经营能力要求：（一）不存在影响持续经营的重大财务风险；（

5、二）不存在影响持续经营的担保、诉讼以及仲裁等重大事项；（三）不存在影响持续经营能力的其他情形。三、三、数据安全管理体系数据安全管理体系第六条【数据安全管理制度】为降低数据交易和流通风险，数据交易主体应当积极履行数据安全保护义务，建立健全全流程数据安全管理制度，采取相应的技术措施和其他必要措施，确保数据在安全的基础上有序流通。3第七条【数据安全管理部门】设立数据安全管理部门，承担以下职责：（一）在全面梳理业务和现有资源的基础上，充分评估各相关部门在日常处理数据活动中的主要风险，明确数据全生命周期的安全要求；（二）结合业务需求、监管要求、自身能力，确定企业数据安全目标，制定数据安全战略；（三）指定

6、人员实施内部数据安全管理工作，明确工作职责与任务；（四）制定与完善数据安全管理规范体系并推动其有效实施；（五）统筹实施数据安全管理工作，监督落实数据安全管理制度及技术防护措施执行情况，对数据处理活动定期开展数据安全风险评估；（六）建立安全风险监测体系，采取措施监控内部数据处理活动和外部访问活动，防范不正当的数据访问和处理行为；（七）建立数据安全事件应急管理制度，制定数据安全事件应急预案并定期进行演练，及时处置数据安全风险和事件；（八）定期对员工进行数据安全宣传教育培训并考察员工能力与岗位职责的匹配程度；（九）建立数据安全投诉受理、调查与督导机制，督促企业落实数据安全保护义务。4第八条【数据分类