ICS35.040

CCSL80

DB11

北京市地方標(biāo)準(zhǔn)

DB11/T2350—2024

數(shù)據(jù)交易安全評(píng)估指南

Guidelinesforassessingthesecurityofdatatransaction

2024-12-25發(fā)布2025-04-01實(shí)施

北京市市場監(jiān)督管理局發(fā)布

DB11/T2350—2024

目次

前言....................................................................II

1范圍................................................................................1

2規(guī)范性引用文件......................................................................1

3術(shù)語和定義..........................................................................1

4評(píng)估范圍............................................................................1

5評(píng)估內(nèi)容及指標(biāo)體系..................................................................2

6評(píng)估流程...........................................................................10

7報(bào)告編寫及結(jié)果應(yīng)用.................................................................11

參考文獻(xiàn).............................................................................12

I

DB11/T2350—2024

前言

本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》規(guī)定起

草。

本文件由北京市經(jīng)濟(jì)和信息化局提出。

本文件由北京市經(jīng)濟(jì)和信息化局、北京市政務(wù)服務(wù)和數(shù)據(jù)管理局歸口并組織實(shí)施。

本文件起草單位：北京國際大數(shù)據(jù)交易所、北京大學(xué)大數(shù)據(jù)分析與應(yīng)用技術(shù)國家工程實(shí)驗(yàn)室、上海

蜜度信息技術(shù)有限公司、國網(wǎng)北京海淀供電公司、拉卡拉支付股份有限公司、北京市金杜律師事務(wù)所、

北京市科學(xué)技術(shù)研究院、湖南大學(xué)、杭州安恒信息技術(shù)股份有限公司、工業(yè)和信息化部電子第五研究所、

華控清交信息科技（北京）有限公司、京東科技信息技術(shù)有限公司、中國移動(dòng)通信集團(tuán)有限公司、中國

移動(dòng)通信有限公司研究院、北京訊騰智慧科技股份有限公司、容誠咨詢（北京）有限公司、北京市農(nóng)業(yè)

投資有限公司、北京航空航天大學(xué)、北京國網(wǎng)信通埃森哲信息技術(shù)有限公司

本文件主要起草人：李振軍、盛晶、王娟、梁星、張頔、姜冰、宋潔、吳涵、李皖金、張彥軍、李

巍、王吾冰、穆帥先、楊祖艷、宗丹辰、邱鍇、劉京川、蔡國慶、梁肖、韓培科、王理、張瑜、楊嵐、

莫雄劍、潘沖、焦承林、譚伊舒、趙瑩、高尚滔、胡月、盧怡賢、戴薇、趙海威

II

DB11/T2350—2024

數(shù)據(jù)交易安全評(píng)估指南

1范圍

本文件給出了數(shù)據(jù)交易安全評(píng)估范圍、評(píng)估內(nèi)容及指標(biāo)體系、評(píng)估流程、報(bào)告編寫及結(jié)果應(yīng)用等內(nèi)

容。

本文件適用于指導(dǎo)數(shù)據(jù)交易參與方、第三方評(píng)估機(jī)構(gòu)等主體開展數(shù)據(jù)交易安全評(píng)估。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T22239信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求

GB/T36073數(shù)據(jù)管理能力成熟度評(píng)估模型

GB/T37932信息安全技術(shù)數(shù)據(jù)交易服務(wù)安全要求

GB/T37988信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型

DB11/T2348數(shù)據(jù)交易通用指南

3術(shù)語和定義

DB11/T2348界定的以及下列的術(shù)語和定義適用于本文件。

3.1

數(shù)據(jù)交易安全securityofdatatransaction

在數(shù)據(jù)交易過程中，數(shù)據(jù)交易供方、需方和數(shù)據(jù)交易場所通過采取必要措施，確保數(shù)據(jù)交易處于有

效保護(hù)、合法、安全的狀態(tài)。

4評(píng)估范圍

從基礎(chǔ)項(xiàng)和加分項(xiàng)兩個(gè)維度，圍繞數(shù)據(jù)交易流程為數(shù)據(jù)交易雙方、數(shù)據(jù)交易場所提供數(shù)據(jù)交易安全

評(píng)估范圍，引導(dǎo)規(guī)范數(shù)據(jù)交易行為，為數(shù)據(jù)交易安全流通提供指引。其中，滿足基礎(chǔ)項(xiàng)是進(jìn)行加分項(xiàng)評(píng)

估的前提，滿足全部基礎(chǔ)項(xiàng)對(duì)數(shù)據(jù)交易雙方及數(shù)據(jù)交易場所是十分必要的，加分項(xiàng)作為評(píng)估可選內(nèi)容，

為提升安全能力提供參考。數(shù)據(jù)交易安全評(píng)估范圍如圖1所示。

1

DB11/T2350—2024

圖1數(shù)據(jù)交易安全評(píng)估范圍

5評(píng)估內(nèi)容及指標(biāo)體系

5.1數(shù)據(jù)供方安全評(píng)估

5.1.1數(shù)據(jù)供方安全評(píng)估指標(biāo)體系

在數(shù)據(jù)交易過程中，對(duì)數(shù)據(jù)供方進(jìn)行安全評(píng)估建立可參考的指標(biāo)體系，加分項(xiàng)和權(quán)重范圍根據(jù)不同

行業(yè)及應(yīng)用場景進(jìn)行調(diào)整。具體內(nèi)容如表1所示。

表1數(shù)據(jù)供方安全評(píng)估指標(biāo)體系表

指標(biāo)維度指標(biāo)分值及建議權(quán)重范圍評(píng)分說明

基礎(chǔ)項(xiàng)達(dá)標(biāo)/不達(dá)標(biāo)基礎(chǔ)項(xiàng)評(píng)估：對(duì)各指標(biāo)維度進(jìn)行達(dá)

交易主體標(biāo)與不達(dá)標(biāo)判斷，如其中某項(xiàng)指標(biāo)

加分項(xiàng)評(píng)分0~100分，建議權(quán)重范圍15%~25%

維度基礎(chǔ)項(xiàng)不滿足要求，則加分項(xiàng)

基礎(chǔ)項(xiàng)達(dá)標(biāo)/不達(dá)標(biāo)評(píng)估無效，對(duì)應(yīng)指標(biāo)維度安全要求

交易標(biāo)的

加分項(xiàng)評(píng)分0~100分，建議權(quán)重范圍20%~30%不達(dá)標(biāo)。

基礎(chǔ)項(xiàng)達(dá)標(biāo)/不達(dá)標(biāo)加分項(xiàng)評(píng)估：指標(biāo)維度滿足基礎(chǔ)項(xiàng)

交易磋商締約評(píng)分0~100分，建議權(quán)重范圍要求的情況下，開展指標(biāo)維度加分

加分項(xiàng)

5%~15%項(xiàng)評(píng)估。指標(biāo)維度加分項(xiàng)權(quán)重可結(jié)

交易標(biāo)的交付和交基礎(chǔ)項(xiàng)達(dá)標(biāo)/不達(dá)標(biāo)合具體行業(yè)情況及數(shù)據(jù)交易應(yīng)用場

易結(jié)算加分項(xiàng)評(píng)分0~100分，建議權(quán)重范圍25%~35%景，參考本標(biāo)準(zhǔn)建議權(quán)重范圍進(jìn)行

基礎(chǔ)項(xiàng)達(dá)標(biāo)/不達(dá)標(biāo)評(píng)估打分，權(quán)重加總為100%，加總

交易后期服務(wù)

加分項(xiàng)評(píng)分0~100分，建議權(quán)重范圍10%~20%后得出評(píng)分結(jié)果，滿分為100分。

2

DB11/T2350—2024

5.1.2交易主體

5.1.2.1基礎(chǔ)項(xiàng)

基礎(chǔ)項(xiàng)包括：

a)依法成立并有效存續(xù)的法人、非法人組織機(jī)構(gòu)，或具備相應(yīng)民事行為能力的自然人；

b)在一年內(nèi)不存在數(shù)據(jù)類違法違規(guī)記錄，未發(fā)生過數(shù)據(jù)泄露等安全事件；

c)在五年內(nèi)未因違反網(wǎng)絡(luò)安全法律法規(guī)受到治安管理處罰和刑事處罰；

d)場內(nèi)交易前，依程序完成注冊(cè)、認(rèn)證并通過審核。

5.1.2.2加分項(xiàng)

加分項(xiàng)包括：

a)具備數(shù)據(jù)安全技術(shù)能力和安全管理制度，如敏感數(shù)據(jù)識(shí)別、數(shù)據(jù)分類分級(jí)、數(shù)據(jù)脫敏、數(shù)

據(jù)加密、數(shù)據(jù)備份和恢復(fù)、數(shù)據(jù)防泄漏、數(shù)據(jù)安全監(jiān)測與預(yù)警、數(shù)據(jù)安全監(jiān)督檢查等；

b)具備關(guān)于主體數(shù)據(jù)安全能力的資質(zhì)證明類文件，如取得GB/T36073、GB/T37988相關(guān)數(shù)據(jù)

管理能力成熟度評(píng)估模型和數(shù)據(jù)安全能力成熟度模型認(rèn)證等；

c)交易標(biāo)的涉及重要數(shù)據(jù)的，處理數(shù)據(jù)的信息系統(tǒng)宜符合GB/T22239中三級(jí)及以上網(wǎng)絡(luò)安全

等級(jí)保護(hù)要求，宜具備對(duì)接收方的數(shù)據(jù)共享、調(diào)用情況的監(jiān)測措施，相關(guān)日志留存時(shí)間不

少于3年；

d)交易標(biāo)的涉及一般數(shù)據(jù)的，宜具備符合GB/T22239中三級(jí)網(wǎng)絡(luò)安全等級(jí)保護(hù)的安全能力。

5.1.3交易標(biāo)的

5.1.3.1基礎(chǔ)項(xiàng)

基礎(chǔ)項(xiàng)包括：

a)交易標(biāo)的涉及重要數(shù)據(jù)的，依法履行登記、審批等相應(yīng)規(guī)定，出具上一年度數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估

報(bào)告；

b)具有明確的概要描述、產(chǎn)品形態(tài)、應(yīng)用場景、使用范圍、服務(wù)方式和使用期限；

c)具有數(shù)據(jù)來源權(quán)屬合法合規(guī)的報(bào)告或相關(guān)真實(shí)有效的證明材料；

d)涉及個(gè)人信息的宜取得授權(quán)或進(jìn)行匿名化處理；對(duì)于無法滿足前述條件的，進(jìn)行去標(biāo)識(shí)化處理，

達(dá)到在不借助額外信息的情況下無法識(shí)別特定自然人的要求；

e)真實(shí)、準(zhǔn)確、完整披露數(shù)據(jù)交易標(biāo)的信息，不隱瞞數(shù)據(jù)來源及涉及的敏感數(shù)據(jù)；

f)場內(nèi)交易前，依程序提供數(shù)據(jù)交易標(biāo)的登記上架相關(guān)材料以供審核。

5.1.3.2加分項(xiàng)

加分項(xiàng)包括：

a)提供數(shù)據(jù)質(zhì)量、數(shù)據(jù)合規(guī)、數(shù)據(jù)安全等第三方專業(yè)機(jī)構(gòu)出具的報(bào)告；

b)根據(jù)數(shù)據(jù)交易需方要求，提供數(shù)據(jù)交易標(biāo)的樣本數(shù)據(jù)。

5.1.4交易磋商締約

5.1.4.1基礎(chǔ)項(xiàng)

基礎(chǔ)項(xiàng)包括：

a)不以欺詐、誘騙、誤導(dǎo)、脅迫、賄賂等違法違規(guī)方式交易數(shù)據(jù)；

b)明確數(shù)據(jù)交易標(biāo)的質(zhì)量、數(shù)量、價(jià)格、使用期限等；

3

DB11/T2350—2024

c)如存在數(shù)據(jù)交易標(biāo)的使用場景限制，在合同中明確數(shù)據(jù)交易標(biāo)的使用或流通的目的、方式

和范圍，法律法規(guī)另有規(guī)定的除外；

d)如涉及數(shù)據(jù)加工服務(wù)的，在合同中明確加工后的數(shù)據(jù)交易標(biāo)的相關(guān)權(quán)屬。

5.1.4.2加分項(xiàng)

a)根據(jù)數(shù)據(jù)需方要求，給出數(shù)據(jù)需方關(guān)注的產(chǎn)品解答并進(jìn)行一定的產(chǎn)品優(yōu)化適配；

b)如提供測試數(shù)據(jù)，支持?jǐn)?shù)據(jù)需方進(jìn)行數(shù)據(jù)交易前驗(yàn)證，提供安全可控測試環(huán)境，保證測試

數(shù)據(jù)真實(shí)、有效。

5.1.5交易標(biāo)的交付和交易結(jié)算

5.1.5.1基礎(chǔ)項(xiàng)

基礎(chǔ)項(xiàng)包括：

a)根據(jù)合同約定，按時(shí)、保質(zhì)提供數(shù)據(jù)交易標(biāo)的，供數(shù)據(jù)需方進(jìn)行數(shù)據(jù)使用；

b)采取必要措施，確保所交付的數(shù)據(jù)交易標(biāo)的安全、合法、有效，并持續(xù)履行所交付數(shù)據(jù)交

易標(biāo)的相關(guān)法定義務(wù)；

c)配合監(jiān)管部門和數(shù)據(jù)交易場所開展數(shù)據(jù)交易標(biāo)的交付和交易結(jié)算過程中的履約監(jiān)管和交

易結(jié)算核驗(yàn)；

d)根據(jù)合同約定或數(shù)據(jù)交易場所要求，完成交易結(jié)算相關(guān)工作。

5.1.5.2加分項(xiàng)

加分項(xiàng)包括：

a)在實(shí)施過程保障數(shù)據(jù)需方的使用順暢，能夠提供多種安全的數(shù)據(jù)開發(fā)和計(jì)算環(huán)境，滿足數(shù)

據(jù)需方的差異化使用需求；

b)保證數(shù)據(jù)交易標(biāo)的供給的穩(wěn)定性和連續(xù)性，中途遇到不穩(wěn)定、中斷等情形，及時(shí)進(jìn)行解決。

5.1.6交易后期服務(wù)

5.1.6.1基礎(chǔ)項(xiàng)

基礎(chǔ)項(xiàng)包括：

a)根據(jù)合同約定，結(jié)束數(shù)據(jù)交易標(biāo)的供給；

b)配合監(jiān)管部門、數(shù)據(jù)交易場所等開展交易后的追溯和審計(jì)工作。

5.1.6.2加分項(xiàng)

具備完善的交易售后服務(wù)體系和臺(tái)賬式管理。

5.2數(shù)據(jù)需方安全評(píng)估

5.2.1數(shù)據(jù)需方安全評(píng)估指標(biāo)體系

在數(shù)據(jù)交易過程中，對(duì)數(shù)據(jù)需方進(jìn)行安全評(píng)估建立可參考的指標(biāo)體系，加分項(xiàng)和權(quán)重范圍根據(jù)不同

行業(yè)及應(yīng)用場景進(jìn)行調(diào)整。具體內(nèi)容如表2所示。

表2數(shù)據(jù)需方安全評(píng)估指標(biāo)體系

指標(biāo)維度指標(biāo)分值及建議權(quán)重范圍評(píng)分說明

基礎(chǔ)項(xiàng)達(dá)標(biāo)/不達(dá)標(biāo)基礎(chǔ)項(xiàng)評(píng)估：對(duì)各指標(biāo)維度進(jìn)行達(dá)標(biāo)與不達(dá)標(biāo)判斷，

交易主體

加分項(xiàng)評(píng)分0~100分，建議權(quán)重如其中某項(xiàng)指標(biāo)維度基礎(chǔ)項(xiàng)不滿足要求，則加分項(xiàng)評(píng)

4

DB11/T2350—2024

表2數(shù)據(jù)需方安全評(píng)估指標(biāo)體系（續(xù)）

指標(biāo)維度指標(biāo)分值及建議權(quán)重范圍評(píng)分說明

范圍40%~60%估無效，對(duì)應(yīng)指標(biāo)維度安全要求不達(dá)標(biāo)。

交易磋商締約基礎(chǔ)項(xiàng)達(dá)標(biāo)/不達(dá)標(biāo)加分項(xiàng)評(píng)估：指標(biāo)維度滿足基礎(chǔ)項(xiàng)要求的情況下，開

基礎(chǔ)項(xiàng)達(dá)標(biāo)/不達(dá)標(biāo)展指標(biāo)維度加分項(xiàng)評(píng)估。指標(biāo)維度加分項(xiàng)權(quán)重可結(jié)合

交易標(biāo)的交付和

評(píng)分0~100分，建議權(quán)重范具體行業(yè)情況及數(shù)據(jù)交易應(yīng)用場景，參考本標(biāo)準(zhǔn)建議

交易結(jié)算加分項(xiàng)

圍40%~60%權(quán)重范圍進(jìn)行評(píng)估打分，權(quán)重加總為100%，加總后得

交易后期服務(wù)基礎(chǔ)項(xiàng)達(dá)標(biāo)/不達(dá)標(biāo)出評(píng)分結(jié)果。滿分為100分。

5.2.2交易主體

5.2.2.1基礎(chǔ)項(xiàng)

基礎(chǔ)項(xiàng)包括：

a)依法成立并有效存續(xù)的法人、非法人組織機(jī)構(gòu)，或具備相應(yīng)民事行為能力的自然人；

b)在1年內(nèi)不存在數(shù)據(jù)類違法違規(guī)記錄，未發(fā)生過數(shù)據(jù)泄露等安全事件；

c)在5年內(nèi)未因違反網(wǎng)絡(luò)安全法律法規(guī)受到治安管理處罰和刑事處罰；

d)場內(nèi)交易前，依程序在數(shù)據(jù)交易平臺(tái)完成注冊(cè)、認(rèn)證并通過審核；

5.2.2.2加分項(xiàng)

加分項(xiàng)包括：

a)具備數(shù)據(jù)安全技術(shù)能力和安全管理制度，如敏感數(shù)據(jù)識(shí)別、數(shù)據(jù)分類分級(jí)、數(shù)據(jù)脫敏、數(shù)

據(jù)加密、數(shù)據(jù)備份和恢復(fù)、數(shù)據(jù)防泄漏、數(shù)據(jù)安全監(jiān)測與預(yù)警、數(shù)據(jù)安全監(jiān)督檢查等；

b)具備關(guān)于主體數(shù)據(jù)安全能力的資質(zhì)證明類文件，如取得GB/T36073、GB/T37988相關(guān)數(shù)據(jù)

管理能力成熟度評(píng)估模型和數(shù)據(jù)安全能力成熟度模型認(rèn)證等；

c)交易標(biāo)的涉及重要數(shù)據(jù)的，處理數(shù)據(jù)的信息系統(tǒng)宜符合三級(jí)及以上GB/T22239中網(wǎng)絡(luò)安全

等級(jí)保護(hù)要求；

d)交易標(biāo)的涉及重要數(shù)據(jù)的，宜具備對(duì)接收方的數(shù)據(jù)共享、調(diào)用情況的監(jiān)測措施，相關(guān)日志

留存時(shí)間不少于三年。

e)交易標(biāo)的涉及一般數(shù)據(jù)的數(shù)據(jù)需方，宜符合GB/T22239中三級(jí)及以上網(wǎng)絡(luò)安全等級(jí)保護(hù)要

求。

5.2.3交易磋商締約

5.2.3.1基礎(chǔ)項(xiàng)

基礎(chǔ)項(xiàng)包括：

a)不以欺詐、誘騙、誤導(dǎo)、脅迫、賄賂等違法違規(guī)方式交易數(shù)據(jù)；

b)遵守?cái)?shù)據(jù)使用范圍限制要求，確保加工的過程和結(jié)果數(shù)據(jù)不超出數(shù)據(jù)供方要求的使用范圍；

c)滿足國家對(duì)交易標(biāo)的應(yīng)用場景的有關(guān)要求。

5.2.4交易標(biāo)的交付和交易結(jié)算

5.2.4.1基礎(chǔ)項(xiàng)

基礎(chǔ)項(xiàng)包括：

a)按照數(shù)據(jù)交易雙方約定使用數(shù)據(jù)，授權(quán)使用不超出交易約定要求的范圍；

5

DB11/T2350—2024

b)不破壞或繞過交易數(shù)據(jù)的安全保護(hù)措施；

c)根據(jù)合同約定或數(shù)據(jù)交易場所要求，完成交易結(jié)算相關(guān)工作；

d)依法配合監(jiān)管部門開展標(biāo)的交付和交易結(jié)算中的審核和核驗(yàn)。

5.2.4.2加分項(xiàng)

加分項(xiàng)包括：

a)對(duì)供方提供的數(shù)據(jù)交易標(biāo)的的安全性、合規(guī)性進(jìn)行審核；對(duì)數(shù)據(jù)交易標(biāo)的的符合性、有效

性進(jìn)行驗(yàn)證反饋；

b)對(duì)數(shù)據(jù)交付平臺(tái)業(yè)務(wù)安全性、穩(wěn)定性、連續(xù)性進(jìn)行評(píng)估和反饋。

5.2.5交易后期服務(wù)

5.2.5.1基礎(chǔ)項(xiàng)

基礎(chǔ)項(xiàng)包括：

a)配合監(jiān)管部門和數(shù)據(jù)交易場所開展交易后的追溯和審計(jì)工作，接收重要數(shù)據(jù)的，留存交付

時(shí)間、內(nèi)容、方式、規(guī)模等日志記錄時(shí)間不少于3年；

b)按合同約定，保證數(shù)據(jù)交易標(biāo)的數(shù)據(jù)安全，防止數(shù)據(jù)泄露；

c)在交易結(jié)束后，按合同約定清除相關(guān)數(shù)據(jù)的緩存，并對(duì)清除記錄及數(shù)據(jù)清除措施的有效性

進(jìn)行檢查。

5.3數(shù)據(jù)交易場所安全評(píng)估

5.3.1數(shù)據(jù)交易場所安全評(píng)估指標(biāo)體系

在數(shù)據(jù)交易過程中，對(duì)數(shù)據(jù)交易場所進(jìn)行安全評(píng)估建立可參考的指標(biāo)體系，加分項(xiàng)和權(quán)重范圍根

據(jù)不同行業(yè)及應(yīng)用場景進(jìn)行調(diào)整。具體內(nèi)容如表3所示。

表3數(shù)據(jù)交易場所安全評(píng)估指標(biāo)維度、評(píng)估方法及建議權(quán)重范圍

指標(biāo)維度評(píng)分方法及建議權(quán)重范圍評(píng)分說明

基礎(chǔ)項(xiàng)達(dá)標(biāo)/不達(dá)標(biāo)

數(shù)據(jù)交易場所主體評(píng)分，建議權(quán)重范圍

加分項(xiàng)

15%~25%

基礎(chǔ)項(xiàng)評(píng)估：對(duì)各指標(biāo)維度進(jìn)行達(dá)標(biāo)與

基礎(chǔ)項(xiàng)達(dá)標(biāo)/不達(dá)標(biāo)

不達(dá)標(biāo)判斷，如其中某項(xiàng)指標(biāo)維度基礎(chǔ)

數(shù)據(jù)交易平臺(tái)評(píng)分，建議權(quán)重范圍

加分項(xiàng)項(xiàng)不滿足要求，則加分項(xiàng)評(píng)估無效，對(duì)

15%~25%

應(yīng)指標(biāo)維度安全要求不達(dá)標(biāo)。

基礎(chǔ)項(xiàng)達(dá)標(biāo)/不達(dá)標(biāo)

加分項(xiàng)評(píng)估：指標(biāo)維度滿足基礎(chǔ)項(xiàng)要求

交易主體入駐評(píng)分，建議權(quán)重范圍

加分項(xiàng)的情況下，開展指標(biāo)維度加分項(xiàng)評(píng)估。

5%~15%

指標(biāo)維度加分項(xiàng)權(quán)重可結(jié)合具體行業(yè)情

基礎(chǔ)項(xiàng)達(dá)標(biāo)/不達(dá)標(biāo)

況及數(shù)據(jù)交易應(yīng)用場景，參考本標(biāo)準(zhǔn)建

交易標(biāo)的登記評(píng)分，建議權(quán)重范圍

交易過程加分項(xiàng)議權(quán)重范圍進(jìn)行評(píng)估打分，權(quán)重加總為

5%~15%

100%，加總后得出評(píng)分結(jié)果。滿分為100

基礎(chǔ)項(xiàng)達(dá)標(biāo)/不達(dá)標(biāo)

分。滿分為100分。

交易磋商締約評(píng)分，建議權(quán)重范圍

加分項(xiàng)

5%~15%

交易標(biāo)的交付基礎(chǔ)項(xiàng)達(dá)標(biāo)/不達(dá)標(biāo)

6

DB11/T2350—2024

表3數(shù)據(jù)交易場所安全評(píng)估指標(biāo)維度、評(píng)估方法及建議權(quán)重范圍（續(xù)）

指標(biāo)維度評(píng)分方法及建議權(quán)重范圍評(píng)分說明

評(píng)分，建議權(quán)重范圍

和交易結(jié)算加分項(xiàng)

15%~25%

基礎(chǔ)項(xiàng)達(dá)標(biāo)/不達(dá)標(biāo)

交易后期服務(wù)評(píng)分，建議權(quán)重范圍

加分項(xiàng)

5%~15%

5.3.2數(shù)據(jù)交易場所主體

5.3.2.1基礎(chǔ)項(xiàng)

基礎(chǔ)項(xiàng)包括：

a)依法注冊(cè)的，經(jīng)政府部門批準(zhǔn)成立并有效存續(xù)，并具備我國行政主管部門的授權(quán)或許可進(jìn)行

組織和管理數(shù)據(jù)交易活動(dòng)的組織機(jī)構(gòu)；

b)近一年內(nèi)無數(shù)據(jù)類違法違規(guī)記錄的合法組織機(jī)構(gòu)；

c)建立明確的數(shù)據(jù)交易規(guī)則，明確定義包括數(shù)據(jù)交易標(biāo)的準(zhǔn)入及審核、交易主體準(zhǔn)入及審核、

交易磋商締約規(guī)范、數(shù)據(jù)交易標(biāo)的交付規(guī)則、交易結(jié)算規(guī)則、交易后期服務(wù)及評(píng)價(jià)評(píng)級(jí)規(guī)則，

對(duì)數(shù)據(jù)交易場所內(nèi)的數(shù)據(jù)交易活動(dòng)進(jìn)行流程化的約束和管理，定期對(duì)數(shù)據(jù)交易規(guī)則進(jìn)行完善，

并按照相應(yīng)制度規(guī)則，對(duì)交易主體、數(shù)據(jù)交易標(biāo)的進(jìn)行審核；

d)制定交易活動(dòng)準(zhǔn)則，防止和及時(shí)終止不符合交易規(guī)則約束的交易活動(dòng)，并建立信息公示機(jī)制；

e)建立內(nèi)部數(shù)據(jù)安全管理制度、信息安全巡檢制度、交易所信息報(bào)送和披露機(jī)制、應(yīng)用程序研

發(fā)管理制度、應(yīng)用程序測試管理制度、數(shù)據(jù)處理環(huán)境操作規(guī)范、遠(yuǎn)程數(shù)據(jù)訪問控制及日志審

計(jì)制度、應(yīng)用運(yùn)維流程規(guī)范及巡檢制度，定期對(duì)制度進(jìn)行完善并就落實(shí)情況進(jìn)行審核；

f)如發(fā)現(xiàn)違反市場監(jiān)督管理、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、個(gè)人信息保護(hù)等有關(guān)規(guī)定的數(shù)據(jù)交易行為，

依法采取必要的處置措施，保存有關(guān)記錄，按照相關(guān)法律法規(guī)和監(jiān)管要求向主管部門報(bào)告。

5.3.2.2加分項(xiàng)

加分項(xiàng)包括：

a)建立數(shù)據(jù)交易合規(guī)巡檢機(jī)制，定期對(duì)交易主體、數(shù)據(jù)交易標(biāo)的的安全性、合規(guī)性進(jìn)行檢查；

b)建立數(shù)據(jù)交易參與方的信用管理機(jī)制，對(duì)入駐各方服務(wù)內(nèi)容、質(zhì)量、交易行為等進(jìn)行評(píng)估；

c)加強(qiáng)數(shù)據(jù)交易過程的透明度，確保所有交易活動(dòng)都能夠追蹤和記錄，以便在出現(xiàn)問題時(shí)能夠

快速定位和解決；

d)完善數(shù)據(jù)交易異議處理機(jī)制，為交易雙方提供公正、高效的爭議解決途徑；

e)推動(dòng)建立行業(yè)標(biāo)準(zhǔn)和技術(shù)規(guī)范，引導(dǎo)數(shù)據(jù)交易市場健康有序發(fā)展；

f)加強(qiáng)對(duì)數(shù)據(jù)交易市場的監(jiān)管科技應(yīng)用，利用大數(shù)據(jù)、區(qū)塊鏈等技術(shù)手段提升監(jiān)管效能和精準(zhǔn)

度。

5.3.3數(shù)據(jù)交易平臺(tái)

5.3.3.1基礎(chǔ)項(xiàng)

基礎(chǔ)項(xiàng)包括：

a)在經(jīng)政府批準(zhǔn)依法設(shè)立的數(shù)據(jù)交易場所內(nèi)建設(shè)，且部署在中華人民共和國境內(nèi)；

b)采用的密碼技術(shù)符合國家密碼管理相關(guān)要求；

7

DB11/T2350—2024

c)宜符合GB/T22239中三級(jí)及以上網(wǎng)絡(luò)安全等級(jí)保護(hù)要求；

d)建立安全風(fēng)險(xiǎn)監(jiān)測機(jī)制，及時(shí)發(fā)現(xiàn)安全缺陷、漏洞等風(fēng)險(xiǎn)，并采取補(bǔ)救措施；

e)建立隱私保護(hù)機(jī)制，包括數(shù)據(jù)匿名化處理、用戶同意管理、數(shù)據(jù)訪問和披露控制；

f)支持監(jiān)管部門訪問交易日志、數(shù)據(jù)存證、電子服務(wù)合同等審計(jì)資料，開展數(shù)據(jù)交易服務(wù)的

安全審計(jì)工作；

g)為數(shù)據(jù)供方、需方提供安全的上傳或下載接口，包括基于密碼技術(shù)的身份認(rèn)證、訪問控制；

h)提供傳輸鏈路加密、傳輸數(shù)據(jù)保密性和完整性校驗(yàn)等保護(hù)措施；

i)提供安全穩(wěn)定的數(shù)據(jù)交付環(huán)境，并采取數(shù)據(jù)加密、訪問控制、數(shù)據(jù)防泄漏、水印溯源、安

全審計(jì)等措施，防止交易過程中的數(shù)據(jù)泄露、篡改、破壞或非法獲取、非法交易、非法利

用等；

j)數(shù)據(jù)交易日志記錄、存證宜符合GB/T37932相關(guān)要求，對(duì)每筆數(shù)據(jù)交易操作日志進(jìn)行記錄，

生成數(shù)據(jù)交易日志，保證交易日志、數(shù)據(jù)存證、數(shù)據(jù)來源合法性等文件不可篡改和可追溯；

k)應(yīng)用數(shù)據(jù)加密、身份認(rèn)證、訪問控制、網(wǎng)絡(luò)隔離、數(shù)據(jù)脫敏、數(shù)據(jù)備份和災(zāi)難恢復(fù)技術(shù)等，

保障交易活動(dòng)過程中產(chǎn)生的數(shù)據(jù)的安全性。

5.3.3.2加分項(xiàng)

加分項(xiàng)包括：

a)具備在數(shù)據(jù)交付過程中提供安全隔離環(huán)境，支撐數(shù)據(jù)交易標(biāo)的的數(shù)據(jù)計(jì)算加工、算法模型

的運(yùn)行，并具備隔離環(huán)境和過程數(shù)據(jù)的銷毀機(jī)制，以保障數(shù)據(jù)交付的可靠性。其中所涉算

法模型的提供者落實(shí)主體責(zé)任，對(duì)算法、模型文件具備內(nèi)容審核、審核機(jī)制，以保障算法

安全性、合規(guī)性；

b)具備惡意代碼防護(hù)能力，能夠?qū)灰讛?shù)據(jù)含有的惡意代碼進(jìn)行檢測；

c)對(duì)數(shù)據(jù)交易的參與方、數(shù)據(jù)交易標(biāo)的、交易環(huán)節(jié)設(shè)置人工干預(yù)功能，人工干預(yù)內(nèi)容宜包括

交易參與方審核、交易數(shù)據(jù)和需求審核、交易暫停、交易撤銷、交易恢復(fù)；

d)授予數(shù)據(jù)交易各參與方所需的最小必要權(quán)限，實(shí)現(xiàn)各參與方的權(quán)限分離；

e)提供兩個(gè)或以上不同運(yùn)營商的互聯(lián)網(wǎng)鏈路出口；

f)進(jìn)行數(shù)據(jù)的計(jì)算、交付和驗(yàn)證，并根據(jù)合約的執(zhí)行履約情況對(duì)數(shù)據(jù)交易的過程進(jìn)行管控；

g)支持簽訂電子服務(wù)合同，采取數(shù)字簽名等技術(shù)措施保證合約不被篡改；

h)采取相應(yīng)技術(shù)手段，對(duì)安全審計(jì)的結(jié)果進(jìn)行保護(hù)；

i)建立應(yīng)急響應(yīng)機(jī)制，規(guī)范應(yīng)急處置措施和操作流程，加強(qiáng)技術(shù)儲(chǔ)備，定期進(jìn)行預(yù)案演練。

5.3.4交易過程

5.3.4.1交易主體入駐

5.3.4.1.1基礎(chǔ)項(xiàng)

基礎(chǔ)項(xiàng)包括：

a)提供賬戶注冊(cè)、修改、注銷等功能；

b)按照相關(guān)制度要求審核數(shù)據(jù)交易參與方相應(yīng)資質(zhì)；

c)對(duì)已注冊(cè)賬戶進(jìn)行信息和權(quán)限管理。

5.3.4.1.2加分項(xiàng)

加分項(xiàng)包括：

8

DB11/T2350—2024

a)通過資料審核、身份鑒別等方式驗(yàn)證第三方評(píng)估結(jié)論，對(duì)第三方提供報(bào)告的真實(shí)性和有效

性進(jìn)行審核；

b)根據(jù)數(shù)據(jù)供需雙方提供的材料，審核數(shù)據(jù)安全能力。

5.3.4.2交易標(biāo)的登記

5.3.4.2.1基礎(chǔ)項(xiàng)

基礎(chǔ)項(xiàng)包括：

a)審核申請(qǐng)上架的數(shù)據(jù)交易標(biāo)的相關(guān)材料，包括但不限于數(shù)據(jù)來源、數(shù)據(jù)授權(quán)、數(shù)據(jù)質(zhì)量、

數(shù)據(jù)使用目的、數(shù)據(jù)使用范圍及相關(guān)證明材料；

b)對(duì)于包含敏感數(shù)據(jù)的數(shù)據(jù)交易標(biāo)的，提供相應(yīng)的安全保障措施；

c)具備數(shù)據(jù)交易標(biāo)的上架、下架、展示、信息修改等功能；

d)根據(jù)相關(guān)法律法規(guī)制定禁止交易數(shù)據(jù)目錄。

5.3.4.2.2加分項(xiàng)

加分項(xiàng)包括：

a)對(duì)上架數(shù)據(jù)交易標(biāo)的進(jìn)行識(shí)別，并生成唯一的編號(hào)；

b)依據(jù)數(shù)據(jù)交易標(biāo)的分類分級(jí)、應(yīng)用場景等進(jìn)行權(quán)限管理和訪問控制。

5.3.4.3交易磋商締約

5.3.4.3.1基礎(chǔ)項(xiàng)

審核交易需方的需求，確保數(shù)據(jù)使用目的合法、正當(dāng)和必要。

5.3.4.3.2加分項(xiàng)

加分項(xiàng)包括：

a)提供在線交易磋商環(huán)境；

b)具備交易磋商的暫停、撤銷、恢復(fù)能力；

c)具備交易磋商爭議的投訴和處理能力；

d)輔助供需雙方對(duì)數(shù)據(jù)交易標(biāo)的類型、質(zhì)量、用途、使用范圍、交付方式、使用期限、交易

價(jià)格和保密條款等內(nèi)容進(jìn)行協(xié)商和約定；

e)對(duì)磋商結(jié)果進(jìn)行登記，包括數(shù)據(jù)交易參與方、數(shù)據(jù)交易標(biāo)的描述、合約有效期、交易價(jià)格、

交付質(zhì)量、交付方式、加工算法邏輯、使用范圍、使用對(duì)象和使用期限等內(nèi)容。

5.3.4.4交易標(biāo)的交付和交易結(jié)算

5.3.4.4.1基礎(chǔ)項(xiàng)

基礎(chǔ)項(xiàng)包括：

a)保證數(shù)據(jù)交易標(biāo)的交付過程的穩(wěn)定性、連續(xù)性；

b)審核數(shù)據(jù)交易參與方按照合同約定完成交付、結(jié)算；

c)提供安全交易環(huán)境，對(duì)數(shù)據(jù)交付過程中的加工、計(jì)算處理提供平臺(tái)能力支撐；

d)對(duì)數(shù)據(jù)交易標(biāo)的交付過程進(jìn)行記錄，保證記錄信息不可篡改；

e)具備交易結(jié)算功能，按照合同約定對(duì)交易參與方進(jìn)行相應(yīng)收益分配。

5.3.4.4.2加分項(xiàng)

9

DB11/T2350—2024

加分項(xiàng)包括：

a)根據(jù)交付要求，提供隱私保護(hù)計(jì)算、區(qū)塊鏈等技術(shù)支持；

b)在數(shù)據(jù)傳輸鏈路上部署交易數(shù)據(jù)監(jiān)控工具，具有數(shù)據(jù)保護(hù)機(jī)制和數(shù)據(jù)泄漏檢測能力；

c)采用數(shù)據(jù)加密技術(shù)對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行加密，防護(hù)針對(duì)網(wǎng)絡(luò)數(shù)據(jù)機(jī)密性的攻擊。

5.3.4.5交易后期服務(wù)

5.3.4.5.1基礎(chǔ)項(xiàng)

基礎(chǔ)項(xiàng)包括：

a)數(shù)據(jù)交易各參與方確認(rèn)交易結(jié)束后，關(guān)閉數(shù)據(jù)訪問通道并清除相關(guān)緩存；

b)對(duì)數(shù)據(jù)交易過程中交易記錄等證據(jù)材料進(jìn)行管理、記錄和歸檔；

c)定期對(duì)數(shù)據(jù)交易行為進(jìn)行審計(jì)；

d)未經(jīng)授權(quán)不私自留存及使用數(shù)據(jù)供方或需方的數(shù)據(jù)，法律法規(guī)另行要求的除外。

5.3.4.5.2加分項(xiàng)

加分項(xiàng)包括：

a)提供投訴舉報(bào)渠道，審核數(shù)據(jù)交易各環(huán)節(jié)的數(shù)據(jù)泄露、濫用等情況；

b)建立爭議解決機(jī)制，對(duì)服務(wù)中的爭議進(jìn)行協(xié)調(diào)處理；

c)對(duì)數(shù)據(jù)交易過程中的重要活動(dòng)、操作，單獨(dú)生成相應(yīng)的審計(jì)記錄。

6評(píng)估流程

6.1評(píng)估準(zhǔn)備

開展數(shù)據(jù)交易安全評(píng)估前，宜明確評(píng)估目標(biāo)及評(píng)估對(duì)象、確定評(píng)估范圍、組建評(píng)估團(tuán)隊(duì)、制定工作計(jì)

劃并制定評(píng)估方案。

6.2評(píng)估實(shí)施

評(píng)估步驟如下：

a)開展評(píng)估調(diào)研，了解數(shù)據(jù)交易參與主體、交易標(biāo)的、交易環(huán)節(jié)相關(guān)安全信息；

b)根據(jù)不同的數(shù)據(jù)交易安全評(píng)估對(duì)象，對(duì)應(yīng)不同的安全評(píng)估維度和評(píng)估內(nèi)容，開展數(shù)據(jù)交易安全

評(píng)估；

c)結(jié)合基礎(chǔ)項(xiàng)和加分項(xiàng)評(píng)分結(jié)果，對(duì)數(shù)據(jù)交易的安全性進(jìn)行等級(jí)劃定，得出安全評(píng)估結(jié)論，等級(jí)

劃定、等級(jí)依據(jù)及評(píng)估結(jié)論，具體內(nèi)容參考表4。