《信息安全技术 数据交易服务安全要求-编制说明》

一、任务来源

《信息安全技术大数据交易服务安全要求》是国家标准化管理委员会2017

年下达的信息安全国家标准制定项目，国标计划号为XXX。本标准为自主制定标

准，由阿里云计算有限公司、中国电子技术标准化研究院牵头组织标准研制，北

京软件和信息服务交易所、贵阳数据交易所、上海数据交易中心、阿里巴巴（北

京）软件服务有限公司、中国科学院信息工程研究所、九次方、国家信息中心、

中国科学院软件所、国家信息安全工程技术研究中心、北京奇虎科技有限公司、

北京京东尚科信息技术有限公司、西北大学、陕西省网络与信息安全测评中心等

单位共同参与了该标准的起草编制工作。

本标准经过编制组组内深入研讨，以及征询专家意见后，在2017年6月28

日大数据安全标准化工作组上征求全国信安标委成员意见后，建议改名为《信息

安全技术数据交易服务安全要求》。

二、项目的目的与意义

数据是一种国家基础性战略资源，数据交易可以加速数据资源流通，促进

多源数据融合，破除数据孤岛，有效支撑大数据应用的快速发展，并将极大提升

政府、社会整体数据分析能力，发挥数据资源的经济价值。然而，数据交易面临

诸多安全问题和挑战，阻碍了大数据应用的进一步发展。

为规范数据资源的交易行为，建立良好的数据交易秩序，维护国家安全和

社会公共安全，保守国家秘密、商业秘密，保护个人隐私，维护数据权益人的合

法权益，本标准将对数据交易服务进行安全规范，增强对数据交易服务的安全管

控能力，在确保数据安全的前提下，促进数据资源自由流通，从而带动整个大数

据产业的安全、健康、快速发展。

本标准在编制过程中遵循以下原则：

1）全面性

数据交易服务安全要求应该全面规范数据交易服务涉及的交易参与方、交

易对象、交易过程的安全要求，保障数据交易的安全，确实保障数据在流通过程

中的国家安全、社会安全和个人隐私安全。

2）代表性

参与数据交易服务安全要求编写的成员包括数据交易服务提供商，比如中

国软交所、贵阳大数据交易所、上海数据交易中心、中关村数海大数据交易中心

等，也包括提供数据的数据供方，包括阿里巴巴、京东等，同时也包括购买数据

的单位。此外也包括了信息安全测评单位，这可以确保所编制的数据交易服务安

全要求标准具有广泛的代表性，并在各方之间达成一致。

3）可操作性

数据交易服务安全要求力求做到可操作性，数据交易服务机构或第三方测

评机构可以基于该标准，实现对数据交易安全合规性的符合性评价。

4）协调性

数据交易服务安全标准必须保持与其它大数据、信息系统等级保护、个人

信息保护标准之间的协调性。

三、主要工作过程

1、2016年6月，项目组筹建数据交易安全标准预研组，对国内外数据交易

现状、安全威胁和挑战，以现有数据交易相关标准进行调研，确定数据交易服务

安全要求标准化需求。

2、2016年7月初，成立正式的数据交易服务安全要求标准研究组，由阿里

云有限公司牵头，中国电子技术标准化研究院、贵阳数据交易所、上海数据交易

中心、浙江数据交易中心、清华大学、国家信息中心、陕西省信息安全测评中心

等单位组成标准研究组，并在当月的全国信安标委的安全会议周上成功立项后，

立即召开了标准研究启动工作会议。

3、2016年7月到12月，标准研究组开展数据交易安全分析调研，包括对

国内外数据交易服务机构的交易规则、制度等的调研分析、以及派人对数据交易

服务机构进行实地调研等，组织4次研讨会，2次研究报告集中编写会议，完成

数据交易安全要求标准草案的编制，以及数据交易服务安全要求研究报告的撰

写。

4、2017年1月到3月，就数据交易服务安全要求标准草案和研究报告，召

开了两次专家内审会议，请专家对标准草案和研究报告提出意见，并根据专家意

见对标准草案和报告进行进一步完善。

5、2017年3月27日，数据交易服务安全要求标准研究项目正式完成验收。

6、2017年4月11日，在武汉的信安标委安全会议周上，完成数据交易服

务安全要求标准编制的正式立项。

7、2017年5月7日，标准编制组召开标准编制启动会议，在启动会上，要

求多家交易所介绍交易规则，然后，对标准草案进行了深入分析，对标准草案结

构进行了微调，并进行了标准编制任务分工。

7、2017年6月8日，标准编制组对标准草案第一次修改版进行了深入讨论，

提出了修改意见，并进行了第二次编写分工。

8、2017年6月14日，标准编制组对标准草案第二修改版进行了深入讨论

分析，对发现的问题进行修正，形成数据交易服务安全要求标准草案第三版。

9、2017年6月20日，标准编制组对标准草案第三修改版进行了深入讨论

和交叉评审，对发现的问题进行修正，形成最后的数据交易服务安全要求标准草

案第四版。

10、2017年6月26日，标准编制组对第四版的数据交易服务安全要求草案

进行了内部评审，项目组根据专家意见进行进一步完善，得到了最后的数据交易

服务安全要求标准草案。

11、2017年6月28日，标准编制组在大数据工作组全会上对标准草案进行

了汇报，听取了大数据工作组各成员的意见，同意将标准名称改为《信息安全技

术数据交易服务安全要求》，并根据成员意见进一步完善了标准文本，形成标准

征求意见稿。

四、标准的主要内容

本标准规定了数据交易服务涉及的交易参与方、交易对象和交易过程的安

全要求。本标准适用于提供数据交易服务的组织进行安全自评估，也适用于第三

方机构对数据交易服务组织进行安全测评。

本标准主要框架如下：

1范围

2规范性引用文件

3术语定义及缩略语

3.1术语和定义

4安全概述

4.1总则

4.2数据交易安全原则

5数据交易参与方安全

5.1数据供方安全要求

5.2数据需方安全要求

5.3数据交易服务机构安全要求

6交易对象安全

6.1禁止交易数据

6.2数据质量要求

6.3个人信息安全保护

7数据交易过程安全

7.1交易申请

7.2交易磋商

7.3交易实施

7.4交易结束

五、与相关法律法规及国家有关规定、国内相关标准的关系

本标准规范了数据交易服务机构在依托数据交易服务平台为数据供需双方

提供数据交易服务时应该满足的安全要求，整个标准从数据交易服务参与方安

全、交易对象安全和交易过程安全三个方面规范了数据交易服务的安全要求。本

标准对提升我国数据交易市场的规范性，加强对数据交易的监管，实现数据的安

全、有序流通具有十分重要的参考意义。

本标准将支撑我国正在制定的数据安全管理办法。并与正在制定的《信息

技术数据交易服务平台基本数据描述》、《信息技术数据交易服务平台通用功

能要求》以及《信息安全技术大数据服务安全能力要求》一起，旨在推动数据

交易服务市场的安全有序、健康发展。

六、重大分歧意见的处理经过和依据

本标准的制定过程中，对现有数据交易所的现有交易规范进行了深入的调

研分析，并广泛邀请各数据交易所参与标准的研制，整个标准编制过程中没有出

现过重大分歧意见。

七、国家标准作为强制性国家标准或推荐性国家标准的建议

建议本标准作为推荐性国家标准发布实施。

八、贯彻国家标准的要求和措施建议（包括组织措施、技术措施、过渡