深圳市发展和改革委员会关于印发《深圳市数据商和数据流通交易第三方服务机构管理暂行办法》的通知
经市政府同意,现将《深圳市数据商和数据流通交易第三方服务机构管理暂行办法》印发给你们,请遵照执行。
第一条 为促进我市数据交易市场健康发展,规范数据商和数据流通交易第三方服务机构(以下简称数据商和第三方服务机构)业务活动,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人隐私信息保护法》《深圳经济特区数据条例》《深圳经济特区数字化的经济产业促进条例》等法律和法规,结合本市实际,制定本办法。
第二条 在经市政府批准成立的数据交易场所内开展业务活动的数据商和第三方服务机构,适用本办法。
第三条 本办法所称数据商,是指从各种合法来源收集或维护数据,经汇总、加工、分析等处理转化为交易标的,向买方出售或许可;或为促成并顺利履行交易,向委托人提供交易标的发布、承销等服务,合规开展业务的企业法人。
第三方服务机构是指辅助数据交易活动有序开展,提供法律服务、数据资产化服务、安全质量评估服务、培训咨询服务及其它第三方服务的法人或非法人组织。
第四条 数据商和第三方服务机构从事数据交易活动应当遵循依法合规、规范统一、公平自愿、诚实守信、安全可控的原则,遵守商业道德,不得危害国家安全、公共利益以及企业和个人的合法权益。
第五条 市发展改革部门是本市数据交易的综合监督管理部门,负责制定数据商和第三方服务机构的监督管理制度,加强对数据商和第三方服务机构管理工作的统筹、指导和监督。
市网信、工业与信息化、公安、司法行政、财政、人力资源和社会保障、审计、市场监督管理、地方金融监督管理、政务服务数据管理、国家安全等部门按照职责分工,依照有关规定法律法规和部门规章履行相关管理职能。
第六条 数据交易场所在市发展改革部门等监督管理部门指导下制定完善数据商和第三方服务机构管理规范,做好行政管理部门对数据商和第三方服务机构实施行政检查和行政处罚的配合工作。
数据发布业务是指发布或代理发布交易标的,面向发布委托人开展辅导推荐、监督审核和名义担保等活动。
数据销售业务是指销售或代理销售交易标的,包括产品推广、产品议价、可信流通等活动。
第八条 第三方服务机构可以依法从事法律服务、数据资产化服务、安全质量评估服务、培训咨询服务等业务。
数据资产化服务包括数据资产评估、数据保险、数据资产融资、数据资产信托等服务。
数据安全质量评估服务包括数据质量评估、数据安全评估和认证、数据安全审计等服务。
第九条 数据商和第三方服务机构及其从业人员开展相关业务时,应当遵守法律、法规的规定,诚实守信,勤勉尽责,遵守职业道德规范,不得危害国家安全、公共利益以及企业和个人的合法权益。
第十条 数据商应当对其开发、发布、销售的交易标的进行严格审查,确保交易标的来源合法、内容真实、质量可靠。涉及跨境交易向境外提供交易标的,应当符合国家数据出境安全管理规定。
第十一条 数据商签订采购、销售、许可、经纪等合同一般包括交易标的、数据种类、数量、质量、数据用途、使用期限、交易金额、履行方式、安全责任、保密条款、违约责任和争议解决方法等实质性条款。
第十二条 第三方服务机构及其从业人员开展相关业务,应当坚持独立、客观、公正原则,对于任何组织和个人的不当干预应当予以拒绝。
第十三条 第三方服务机构出具法律意见书、评估报告或其它鉴证报告时,应当保证报告的客观性、真实性、准确性和完整性,不得出现虚假记载、误导性陈述或其它违反法律和法规、行业规则的情形。
第十四条 数据商和第三方服务机构及其从业人员应当遵守保密原则,妥善保存客户委托文件、数据资料、工作底稿等信息和资料,任何人不得泄露、隐匿、伪造、篡改或者毁损。
第十五条 数据商和第三方服务机构应当真实、完整、规范地整理交易全过程资料并留档保存,不得伪造、篡改、隐匿或销毁,防止业务档案丢失、泄密。保管期限自业务合同有效期终止之日起计算不可以少于30年。
第十六条 数据商开展数据开发业务,应当保障处理过程安全可追溯。经数据提供方同意,数据商可以将部分非主体、非关键性的数据开发业务委托别人开展。数据商应当对受托方的数据安全保护能力、资质进行审核,明确受托方的安全保护责任和保密义务,约定其终止任务后对所处理数据的处置方式,并监督其完成处置。
第十七条 数据商代理数据发布、销售业务,应当审核数据来源以及数据提供方的身份、资质,未达到数据安全合规要求的,不得代理。
第十八条 数据商应当采取安全保护管理措施,设立安全管理部门,建立完整数据安全分类分级管理、员工访问权限管理、供应商资质管理和内部审计等制度,定期开展安全教育培训。
第十九条 数据商应当落实与数据级别相适应的安全技术保护的方法,对重要数据实施物理隔离。建设安全稳定运行的基础设施、网络结构、信息系统,提升防御恶意攻击的能力,对重要系统和核心数据来进行容灾备份。
第二十条 数据商应当建立完整数据安全监测预警与应急处置机制,及时开展风险评估,制定数据安全应急预案。
发生数据泄露、毁损、丢失、篡改等数据安全事件的,数据商应当立即启动应急预案,及时告知相关权利人和数据交易场所,并按照有关法律法规向相关行政管理部门和执法部门报告。
第二十一条 综合监督管理部门应当会同行业主管部门建立数据商和第三方服务机构的联合监督管理机制,对数据商和第三方服务机构不定期开展飞行检查,查阅、复制有关文件和资料。对于有效投诉举报多、有数据安全事件或违反法律法规记录的数据商应进行重点监管。数据商和第三方服务机构应当积极努力配合监督检查,提供相关业务档案。
第二十二条 数据商应当在法律、法规、规章规定的目的和范围内处理数据,不得交易以下标的:
(四)违规获取、泄露处理过程中的数据、交易标的,未经相关主体同意披露非公开交易信息;
第二十四条 行业主管部门应当建立第三方服务机构评价机制,鼓励服务对象对第三方服务机构进行评价。
第二十五条 综合监督管理部门、行业主管部门与数据交易场所应当建立数据商和第三方服务机构监管信息共享工作机制,加强对数据商和第三方服务机构的监督管理。