ICS 35.040 CCS L80 15 内 蒙 古 自 治 区 地 方 标 准 DB15/T 2199—2021 数据交易安全技术要求 Security technical requirementsfor data transaction 2021-05-25 发布 2021-06-25 实施 内蒙古自治区市场监督管理局 发 布 DB15/T 2199—2021 目 次 前言 ................................................................................. II 1 范围 ............................................................................... 1 2 规范性引用文件 ..................................................................... 1 3 术语和定义 ......................................................................... 1 4 参考框架 ........................................................................... 2 5 数据资源交易参与方安全要求 ......................................................... 3 5.1 数据资源提供方安全要求 ......................................................... 3 5.2 数据资源购买方安全要求 ......................................................... 3 5.3 数据资源交易服务机构安全要求 ................................................... 3 6 数据资源交易安全技术要求 ........................................................... 4 6.1 6.2 6.3 6.4 6.5 6.6 数据采集安全 数据传输安全 数据存储安全 数据处理安全 数据交易安全 数据销毁安全 ................................................................... ................................................................... ................................................................... ................................................................... ................................................................... ................................................................... 4 4 4 5 5 6 附录 A（资料性） 数据资源交易模式技术要求示例 ......................................... 8 参考文献 ............................................................................. 11 I DB15/T 2199—2021 前 言 本文件按照GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 本文件由内蒙古自治区大数据中心提出并归口。 本文件起草单位：内蒙古自治区大数据中心、杭州安恒信息技术股份有限公司、华信咨询设计研究 院有限公司。 本文件主要起草人：包瑞林、孙卫、戚志军、周俊、边赢、周烜义、林明峰、李欢、崔连伟。 II DB15/T 2199—2021 数据交易安全技术要求 1 范围 本文件给出了数据资源交易参考框架，规定了数据资源交易参与方安全要求和数据资源交易过程中 数据生命周期安全要求。 本文件适用于数据资源交易参与方进行安全自评估，也可供第三方测评机构对数据资源交易参与方 进行安全评估时参考。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 22239 信息安全技术 网络安全等级保护基本要求 GB/T 25069-2010 信息安全技术 术语 GB/T 37988 信息安全技术 数据安全能力成熟度模型 GM/T 0054-2018 信息系统密码应用基本要求 3 术语和定义 GB/T 25069界定的以及下列术语和定义适用于本文件。 3.1 数据资源 data resource 法人、自然人和其他社会组织在生产、生活中产生或获取的，以一定形式记录、保存的文字、数字、 图表、图像、音频、视频等各类结构化和非结构化数据。 3.2 数据资源交易 data resource transaction 数据资源提供方和数据资源购买方之间以数据商品作为交易对象，进行的以货币或货币等价物交换 数据商品的行为，包括数据资源、数据产品和数据服务等交易。 3.3 数据资源提供方 data resource provider 数据资源交易中提供数据资源的组织机构。 3.4 数据资源购买方 data resource purchaser 1 DB15/T 2199—2021 数据资源交易中购买和使用数据资源的组织机构。 3.5 数据资源交易主体 data resource transaction subject 包括数据资源提供方和数据资源购买方。 3.6 数据资源交易服务机构 data resource transaction agency 为数据资源提供方和数据资源购买方之间提供数据资源交易服务的组织机构。 3.7 数据资源交易平台 data resource transaction platform 数据资源交易服务机构为交易主体提供的独立开展数据资源交易活动的网页空间、虚拟交易场所、 信息发布等服务的信息化平台。 3.8 在线数据资源交易 online data resource transaction 数据资源提供方以数据调用接口的形式通过网络向数据资源购买方交付数据的数据交易模式。 3.9 离线数据资源交易 offline data resource transaction 数据资源提供方通过离线方式将数据从提供方传输到数据资源购买方的数据交易模式。 3.10 托管数据资源交易 managed data resource transaction 数据资源提供方将数据存放到数据资源交易服务机构指定的数据托管服务平台,数据资源购买方在 数据托管服务平台内使用数据,数据不发生转移的交易模式。 4 参考框架 数据资源交易是数据资源提供方和数据资源购买方之间以数据商品作为交易对象，进行的以货币或 货币等价物交换数据商品的行为，数据资源交易参考框架如图1所示。数据资源交易涉及数据资源提供 方、数据资源购买方、数据资源交易服务机构。数据资源交易服务机构依托数据资源交易平台，为数据 资源交易主体提供独立的数据资源交易服务。从数据资源交易安全技术角度出发，在交易过程中应遵从 数据采集、数据传输、数据存储、数据处理、数据交易、数据销毁生命周期的安全要求。常见的数据资 源交易模式主要分为在线数据资源交易、离线数据资源交易和托管数据资源交易模式，数据资源交易模 式技术要求示例详见附录A。 2 DB15/T 2199—2021 图1 数据资源交易参考框架 5 数据资源交易参与方安全要求 5.1 数据资源提供方安全要求 数据资源提供方应满足以下要求： a) 为合法组织机构，完成在数据资源交易服务机构的注册与审核； b) 向数据资源交易服务机构提供书面的数据资源交易使用要求说明和来源合法承诺，明确界定 交易数据资源的内容范围、使用范围和使用期限，并确保数据真实可靠、来源合法等数据确 权内容。 5.2 数据资源购买方安全要求 数据资源购买方应满足以下要求： a) 为合法组织机构，完成在数据资源交易服务机构的注册与审核； b) 向数据资源交易服务机构提供书面的数据资源使用安全承诺，明确数据资源需求内容、用途 等，确保符合国家法律法规要求，并对数据资源使用过程和结果负责； c) 在按照数据资源交易约定方式完成数据资源使用后，应及时按照相关规定销毁交易数据，并 妥善保管销毁证明或记录。 5.3 数据资源交易服务机构安全要求 数据资源交易服务机构应满足以下要求： a) 为境内的合法组织机构，得到相关行政主管部门的授权或许可，并具备承担数据资源交易服 务相对应的安全保障能力； b) 在境内部署用于数据资源交易服务的数据资源交易平台，至少符合 GB/T 222399 中第三级的 相关安全要求，服务机构至少满足 GB/T 37988 中的三级要求； c) 对数据资源交易主体身份、资质等信息进行核验、登记和备案，建立登记档案，并定期核验 更新； d) 交易过程中所涉及的数据资源应严格保密，不得使用、泄露、出售或者非法向他人提供，未 经数据资源提供方授权，不得留存所交易的数据资源； e) 对交易过程中的违法违规操作具有追溯能力； 3 DB15/T 2199—2021 f) g) 建立数据安全交易管理制度和评价考核制度，实施数据安全技术防护，开展数据安全风险评 估，制定数据安全事件应急预案，定期组织数据安全培训，确保数据资源交易安全； 设立数据安全责任人，应由具有相关资质并具备相关管理工作经历和数据安全专业知识的人 员担任，应签署安全保密协议和岗位责任协议。 6 数据资源交易安全技术要求 6.1 数据采集安全 6.1.1 数据分类 数据资源提供方应满足但不限于以下要求： a) 基于应用场景、交易类别等对交易数据资源进行分类标识； b) 建立工具打标和人工审核的分类机制，能识别数据资源中禁止交易数据的敏感数据； c) 对分类交易数据资源进行安全风险评估，并出