上海数据交易所-数据交易安全合规指引.pdf

上海数据交易所

数据交易安全合规指引

目录

一、总则1

第一条【指引目的】1

第二条【基本要求】1

第三条【适用范围】1

二、主体合规要求1

第四条【主体资质】1

第五条【合规经营能力】2

三、数据安全管理体系2

第六条【数据安全管理制度】2

第七条【数据安全管理部门】3

第八条【数据分类分级保护及管理】4

第九条【数据全生命周期安全管理】4

第十条【数据安全技术保护体系】4

第十一条【数据安全人员】4

第十二条【数据安全事件应急响应机制】4

四、数据来源合法5

第十三条【收集公开数据的要求】5

第十四条【自行生产数据的要求】5

第十五条【协议获取数据的要求】5

第十六条【收集个人信息的要求】6

五、数据产品的可交易性7

第十七条【可交易性定义】7

第十八条【数据产品内容合法合规】7

第十九条【重要数据交易合规】8

第二十条【实质性加工和创新性劳动】8

第二十一条【数据产品应用场景与使用条件】8

第二十二条【数据产品出境合规】8

第二十三条【数据交易协议内容合规】9

六、附则9

第二十四条【修订与解释】9

第二十五条【实施日期】9

一、总则

第一条【指引目的】

为进一步加强数据交易主体关于数据交易合规与安全

的理解和认知，引导交易主体合规、安全开展数据交易，本

所根据《中华人民共和国数据安全法》《中华人民共和国网

络安全法》《中华人民共和国个人信息保护法》《上海市数

据条例》等法律法规，结合本所数据交易实际，制定本指引。

第二条【基本要求】

开展数据交易时，数据交易主体应当遵守以下基本要求：

（一）遵守我国关于数据流通与交易管理的法律法规，

尊重社会公德、商业道德，服从监督管理；

（二）采取必要措施，做到交易过程可控制、风险可防

范、责任可追溯、合规性可监督；

（三）数据交易主体应当诚实守信，恪守承诺，全面及

时履行合同约定及相关承诺；

（四）数据交易主体在享有数据权益的同时，应当履行

相关义务，确保数据交易安全合规。

第三条【适用范围】

数据交易主体在本所进行数据交易与相关服务活动时，

可参照指引规定开展数据交易。

二、主体合规要求

第四条【主体资质】

主体资质是进行有效数据交易的基础要件，为保障数据

1

交易安全，数据交易主体资质应当满足下列要求：

（一）系依法成立并有效存续的法人、非法人组织；

（二）具有良好的商业信誉，近一年内无重大数据类违

法违规记录且未出现重大网络和数据安全事故；

（三）法定代表人、董事、监事不存在重大数据类违法

违规行为、被列为失信被执行人以及其他可能对数据交易活

动构成实质性重大不利影响的情形；

（四）不存在可能对数据交易活动构成实质性重大不

利影响的其他情形。

第五条【合规经营能力】

合规经营能力是数据交易主体进行有效数据交易的重

要要素，为保障数据交易安全，在本所开展数据交易的，应

当满足下列持续合规经营能力要求：

（一）不存在影响持续经营的重大财务风险；

（二）不存在影响持续经营的担保、诉讼以及仲裁等重

大事项；

（三）不存在影响持续经营能力的其他情形。

三、数据安全管理体系

第六条【数据安全管理制度】

为降低数据交易和流通风险，数据交易主体应当积极履

行数据安全保护义务，建立健全全流程数据安全管理制度，

采取相应的技术措施和其他必要措施，确保数据在安全的基

础上有序流通。

2

第七条【数据安全管理部门】

设立数据安全管理部