深圳市发展和改革委员会关于印发《深圳市数据商和数据流通交易第三方服务机构管理暂行办法》的通知
深发改规〔2023〕4号
各有关单位:
经市政府同意,现将《深圳市数据商和数据流通交易第三方服务机构管理暂行办法》印发给你们,请遵照执行。
深圳市发展和改革委员会
2023年2月24日
深圳市数据商和数据流通交易第三方服务机构管理暂行办法
第一章 总 则
第一条 为促进我市数据交易市场健康发展,规范数据商和数据流通交易第三方服务机构(以下简称数据商和第三方服务机构)业务活动,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《深圳经济特区数据条例》《深圳经济特区数字经济产业促进条例》等法律法规,结合本市实际,制定本办法。
第二条 在经市政府批准成立的数据交易场所内开展业务活动的数据商和第三方服务机构,适用本办法。
第三条 本办法所称数据商,是指从各种合法来源收集或维护数据,经汇总、加工、分析等处理转化为交易标的,向买方出售或许可;或为促成并顺利履行交易,向委托人提供交易标的发布、承销等服务,合规开展业务的企业法人。
第三方服务机构是指辅助数据交易活动有序开展,提供法律服务、数据资产化服务、安全质量评估服务、培训咨询服务及其它第三方服务的法人或非法人组织。
第四条 数据商和第三方服务机构从事数据交易活动应当遵循依法合规、规范统一、公平自愿、诚实守信、安全可控的原则,遵守商业道德,不得危害国家安全、公共利益以及企业和个人的合法权益。
第五条 市发展改革部门是本市数据交易的综合监督管理部门,负责制定数据商和第三方服务机构的监督管理制度,加强对数据商和第三方服务机构管理工作的统筹、指导和监督。
市网信、工业和信息化、公安、司法行政、财政、人力资源和社会保障、审计、市场监督管理、地方金融监督管理、政务服务数据管理、国家安全等部门按照职责分工,依照相关法律法规和部门规章履行相关管理职能。
第六条 数据交易场所在市发展改革部门等监督管理部门指导下制定完善数据商和第三方服务机构管理规范,做好行政管理部门对数据商和第三方服务机构实施行政检查和行政处罚的配合工作。
第二章 业务运行
第七条 数据商可以从事资产开发、数据发布、数据销售等业务。
资产开发业务是指数据源开发和数据产品、数据服务、数据工具增值开发。
数据发布业务是指发布或代理发布交易标的,面向发布委托人开展辅导推荐、监督审核和名义担保等活动。
数据销售业务是指销售或代理销售交易标的,包括产品推广、产品议价、可信流通等活动。
第八条 第三方服务机构可以依法从事法律服务、数据资产化服务、安全质量评估服务、培训咨询服务等业务。
法律服务包括数据合规评估、数据公证、争议仲裁、司法鉴定等服务。
数据资产化服务包括数据资产评估、数据保险、数据资产融资、数据资产信托等服务。
数据安全质量评估服务包括数据质量评估、数据安全评估和认证、数据安全审计等服务。
培训咨询服务包括人才培训、业务培训、咨询等服务。
第九条 数据商和第三方服务机构及其从业人员开展相关业务时,应当遵守法律、法规的规定,诚实守信,勤勉尽责,遵守职业道德规范,不得危害国家安全、公共利益以及企业和个人的合法权益。
第十条 数据商应当对其开发、发布、销售的交易标的进行严格审查,确保交易标的来源合法、内容真实、质量可靠。涉及跨境交易向境外提供交易标的,应当符合国家数据出境安全管理规定。
第十一条 数据商签订采购、销售、许可、经纪等合同一般包括交易标的、数据种类、数量、质量、数据用途、使用期限、交易金额、履行方式、安全责任、保密条款、违约责任和争议解决方法等实质性条款。
第十二条 第三方服务机构及其从业人员开展相关业务,应当坚持独立、客观、公正原则,对于任何组织和个人的不当干预应当予以拒绝。
第十三条 第三方服务机构出具法律意见书、评估报告或其它鉴证报告时,应当保证报告的客观性、真实性、准确性和完整性,不得出现虚假记载、误导性陈述或其它违反法律法规、行业规则的情形。
第十四条 数据商和第三方服务机构及其从业人员应当遵守保密原则,妥善保存客户委托文件、数据资料、工作底稿等信息和资料,任何人不得泄露、隐匿、伪造、篡改或者毁损。
第十五条 数据商和第三方服务机构应当真实、完整、规范地整理交易全过程资料并留档保存,不得伪造、篡改、隐匿或销毁,防止业务档案丢失、泄密。保管期限自业务合同有效期终止之日起计算不得少于30年。
第三章 安全管理
第十六条 数据商开展数据开发业务,应当保障处理过程安全可追溯。经数据提供方同意,数据商可以将部分非主体、非关键性的数据开发业务委托他人开展。数据商应当对受托方的数据安全保护能力、资质进行审核,明确受托方的安全保护责任和保密义务,约定其终止任务后对所处理数据的处置方式,并监督其完成处置。
第十七条 数据商代理数据发布、销售业务,应当审核数据来源以及数据提供方的身份、资质,未达到数据安全合规要求的,不得代理。
第十八条 数据商应当采取安全保护管理措施,设立安全管理部门,建立健全数据安全分类分级管理、员工访问权限管理、供应商资质管理和内部审计等制度,定期开展安全教育培训。
第十九条 数据商应当落实与数据级别相适应的安全技术保护措施,对重要数据实施物理隔离。建设安全稳定运行的基础设施、网络结构、信息系统,提升防御恶意攻击的能力,对重要系统和核心数据进行容灾备份。
第二十条 数据商应当建立健全数据安全监测预警与应急处置机制,及时开展风险评估,制定数据安全应急预案。
发生数据泄露、毁损、丢失、篡改等数据安全事件的,数据商应当立即启动应急预案,及时告知相关权利人和数据交易场所,并按照有关规定向相关行政管理部门和执法部门报告。
第四章 监督管理
第二十一条 综合监督管理部门应当会同行业主管部门建立数据商和第三方服务机构的联合监管机制,对数据商和第三方服务机构不定期开展飞行检查,查阅、复制有关文件和资料。对于有效投诉举报多、有数据安全事件或违法违规记录的数据商应当进行重点监管。数据商和第三方服务机构应当积极配合监督检查,提供相关业务档案。
第二十二条 数据商应当在法律、法规、规章规定的目的和范围内处理数据,不得交易以下标的:
(一)涉及国家秘密的;
(二)涉及合法权利人商业秘密,未经其书面同意的;
(三)包含未经依法开放公共数据的;
(四)包含未依法获得授权个人数据的;
(五)明知数据买方将利用其从事非法活动的;
(六)用于从事危害国家安全活动的;
(七)法律、法规规定禁止交易的其它标的。
第二十三条 数据商和第三方服务机构不得出现以下行为:
(一)通过隐瞒事实、虚假宣传等方式拓展业务;
(二)通过散布虚假消息等方式损害竞争对手商业信誉;
(三)接受贿赂或者获取其它不正当利益;
(四)违规获取、泄露处理过程中的数据、交易标的,未经相关主体同意披露非公开交易信息;
(五)其它损害相关主体权益的不正当行为。
第二十四条 行业主管部门应当建立第三方服务机构评价机制,鼓励服务对象对第三方服务机构进行评价。
第二十五条 综合监督管理部门、行业主管部门与数据交易场所应当建立数据商和第三方服务机构监管信息共享工作机制,加强对数据商和第三方服务机构的监督管理。
第五章 附 则
第二十六条 本办法由深圳市发展和改革委员会负责解释。
第二十七条 本办法自2023年3月10日起施行,有效期三年。