《信用信息交易安全规范》（征求意见稿).docx

1

T/GDJRxxx—2024

信用信息交易安全规范

1范围

本标准规定了信用信息交易安全要求，包括信用信息交易参与方、交易对象、交易平台及交易过程的安全要求。

本标准适用于中华人民共和国境内的信用信息供方、信用信息需方、第三方专业服务机构规范其信用信息交易活动，也适用于中华人民共和国境内的监管部门、评估机构对信用信息交易服务安全进行监督、管理、评估。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其必威体育精装版版本(包括所有的修改单)适用于本文件。

JR/T0117-2014《征信机构信息安全规范》

GB/T37932-2019《信息安全技术数据交易服务安全要求》JR/T0223-2021《金融数据安全数据生命周期安全规范》

GB/T20986-2023《信息安全技术网络安全事件分类分级指南》GB/T35273-2020《个人信息安全规范》

GB/T37964-2019《个人信息去标识化指南》

GB/T36343-2018《信息技术数据交易服务平台交易数据描述》

3术语和定义

下列术语和定义适用于本文件。3.1

信用信息creditinformation

信用信息是指依法采集，为金融等活动提供服务，用于识别判断企业和个人信用状况的基本信息、借贷信息、其他相关信息，以及基于前述信息形成的分析评价信息。

注：信用信息的定义源自《征信业务管理办法》。3.2

信用信息供方creditinformationsupplier

信用信息交易中出售和提供数据产品的组织，简称供方。3.3

信用信息需方creditinformationdemander

信用信息交易中购买和使用数据产品的组织，简称需方。3.4

信用信息交易creditinformationtrade

信用信息供方和需方之间以信用信息数据或数据产品作为交易对象，进行的以货币或货币等价物交换数据产品的行为，既可以是数据交易平台中进行的场内交易，也可以是双方自行依法交易的场外交易。

3.5

征信机构creditbureau

指依法设立、主要经营征信业务的机构。3.6

第三方专业服务机构third-partyprofessionalserviceagency

2

T/GDJRXXX—2024

辅助信用信息交易活动有序开展的第三方服务提供方，包括但不限于提供法律服务、合规服务、数据经纪服务、数据资产化服务、评估鉴定服务、培训咨询服务等第三方服务的组织机构。

3.7

交易参与方datatransactionparticipants

参与信用信息交易服务的相关方。

注：交易的参与方可能涉及信用信息供方、信用信息需方和第三方专业服务机构等。3.8

信用信息交易服务creditinformationtransactionservice

为帮助信用信息供方和需方完成数据流通交易全过程，实现数据资产化和数据价值变现提供的各类服务。

3.9

交易标的transactionobject

供需双方交易的信用信息数据或数据产品，也称信用信息交易对象或交易数据。3.10

交易过程datatransactionprocess

信用信息交易参与方针对具体的信用信息交易标的，进行的一组完整和具体的信用信息交易活动。

4信用信息交易安全

4.1信用信息交易安全原则

信用信息交易应遵循以下原则：

a）总体原则。信用信息交易安全工作以实现权益保护和数据保护为目标。权益保护，指维护数据主体的合法权益。数据保护，指保障数据的必威体育官网网址性、完整性和可用性；

b）合法合规原则。信用信息交易参与方应遵守《网络安全法》《个人信息保护法》《数据安全法》等法律法规，尊重社会公德和伦理，遵守商业道德和职业道德，诚实守信，不得危害国家安全、公共利益，不得损害个人、组织的合法权益；

c）过程可控原则。信用信息交易过程应确保数据来源合法可确认、使用范围可界定、交易过程可追溯、安全风险可防范；

d）分类分级原则。信用信息交易标的应遵守国家和行业数据分类分级保护要求，结合数据流通范围、影响程度、潜在风险，建立企业数据、个人信息等数据分类分级授权使用和保护机制；

e）确保安全原则。信用信息交易参与方应采取必要的管理措施和技术手段，防范交易标的被篡改、破坏、泄露或者非法获取、非法利用、非法交易等风险，保障信息主体权益；

f）权责一致原则。信用信息交易参与方在享有信息信用交易标的交易收益的同时，应当对各自的信用信息交易活动承担安全责任：

——供方应对信用信息交易标的的来源、保存、交付的合规性、安全性负责；——需方应