《信用信息交易安全规范》征求意见稿

1T/GDJRxxx—2024信用信息交易安全规范本标准规定了信用信息交易安全要求，包括信用信息交易参与方、交易对象、交易平台及交易过程的安全要求。本标准适用于中华人民共和国境内的信用信息供方、信用信息需方、第三方专业服务机构规范其信用信息交易活动，也适用于中华人民共和国境内的监管部门、评估机构对信用信息交易服务安全进行监督、管理、评估。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。JR/T0117-2014《征信机构信息安全规范》GB/T37932-2019《信息安全技术数据交易服务安全要求》JR/T0223-2021《金融数据安全数据生命周期安全规范》GB/T20986-2023《信息安全技术网络安全事件分类分级指南》GB/T35273-2020《个人信息安全规范》GB/T37964-2019《个人信息去标识化指南》GB/T36343-2018《信息技术数据交易服务平台交易数据描述》3术语和定义下列术语和定义适用于本文件。3.1信用信息creditinformation信用信息是指依法采集，为金融等活动提供服务，用于识别判断企业和个人信用状况的基本信息、借贷信息、其他相关信息，以及基于前述信息形成的分析评价信息。3.2信用信息供方creditinformationsupplier信用信息交易中出售和提供数据产品的组织，简称供方。3.3信用信息需方creditinformationdemander信用信息交易中购买和使用数据产品的组织，简称需方。3.4信用信息交易creditinformationtrade信用信息供方和需方之间以信用信息数据或数据产品作为交易对象，进行的以货币或货币等价物交换数据产品的行为，既可以是数据交易平台中进行的场内交易，也可以是双方自行依法交易的场外交易。3.5征信机构creditbureau指依法设立、主要经营征信业务的机构。3.6第三方专业服务机构third-partyprofessionalserviceagency2T/GDJRXXX—2024辅助信用信息交易活动有序开展的第三方服务提供方，包括但不限于提供法律服务、合规服务、数据经纪服务、数据资产化服务、评估鉴定服务、培训咨询服务等第三方服务的组织机构。3.7交易参与方datatransactionparticipants参与信用信息交易服务的相关方。3.8信用信息交易服务creditinformationtransactionservice为帮助信用信息供方和需方完成数据流通交易全过程，实现数据资产化和数据价值变现提供的各类服务。3.9交易标的transactionobject供需双方交易的信用信息数据或数据产品，也称信用信息交易对象或交易数据。3.10交易过程datatransactionprocess信用信息交易参与方针对具体的信用信息交易标的，进行的一组完整和具体的信用信息交易活动。4信用信息交易安全4.1信用信息交易安全原则信用信息交易应遵循以下原则：a）总体原则。信用信息交易安全工作以实现权益保护和数据保护为目标。权益保护，指维护数据主体的合法权益。数据保护，指保障数据的保密性、完整性和可用性；b）合法合规原则。信用信息交易参与方应遵守《网络安全法》《个人信息保护法》《数据安全法》等法律法规，尊重社会公德和伦理，遵守商业道德和职业道德，诚实守信，不得危害国家安全、公共利益，不得损害个人、组织的合法权益；c）过程可控原则。信用信息交易过程应确保数据来源合法可确认、使用范围可界定、交易过程可追溯、安全风险可防范；d）分类分级原则。信用信息交易标的应遵守国家和行业数据分类分级保护要求，结合数据流通范围、影响程度、潜在风险，建立企业数据、个人信息等数据分类分级授权使用和保护机制；e）确保安全原则。信用信息交易参与方应采取必要的管理措施和技术手段，防范交易标的被篡改、破坏、泄露或者非法获取、非法利用、非法交易等风险，保障信息主体权益；f）权责一致原则。信用信息交易参与方在享有信息信用交易标的交易收益的同时，应当对各自的信用信息交易活动承担安全责任：——供方应对信用信息交易标的的来源、保存、交付的合规性、安全性负责；——需方应对信用信息交易标的的接收、保存、使用的合规性、安全性负责；——第三方专业服务机构应对其在交易中提供的服务内容相适应的合规性、安全性负责。4.2信用信息交易参与方安全要求4.2.1基本要求信用信息供方、需方等交易参与方，应满足以下要求：a）不应以欺诈、诱骗、误导、胁迫、贿赂等方式开展数据交易活动；b）不应以非法手段、非法途径、非法标的开展数据交易活动；3T/GDJRxxx—2024c）应遵守国家及地方相关法律法规，包括但不限于《征信业务管理办法》，依法取得行政许可；d）应履行数据处理者安全保护义务，建立全流程数据安全管理制度，组织开展数据安全教育培训，需采取措施保护交易标的安全，防范数据泄露、篡改、破坏或者非法获取、非法利用等风险，保障数据安全；e）应针对数据安全保障能力定期开展数据安全风险评估，并按有关规定向有关主管部门报送风险评估报告。在出现法律法规重大更改或增删、业务活动发生重大变化、数据资产发生重大变化、发生重大数据安全事件、数据安全管理方针发生变化等重大情况变化时，进行局部或全面数据安全风险评估，形成数据安全风险评估报告。涉及敏感个人信息处理、个人信息自动化决策、委托处理、向他人提供（含境外）、公开、其他对个人权益有重大影响的个人信息处理活动等，事先开展个人信息保护影响评估，并将评估记录保存至少三年；f）建立并实施数据安全风险监测、预警、响应和处置的闭环管理机制；g）应制定数据安全应急预案，发生数据安全事件时，应立即采取处置措施，按照规定及时告知相关方并向有关主管部门报告；h）涉及个人信息的，应依法履行个人信息处理者法定义务；i）重要数据处理者，应严格履行与数据处理活动相关的各项法定义务；j）信用信息交易过程中涉及跨境情形的，应遵守国家数据出境管理有关规定；k）涉及人工智能算法模型的，应遵守人工智能领域的有关规定；l）涉及知识产权的，应提供知识产权相关权属证明，不应侵犯他人依法享有的知识产权。4.2.2信用信息供方安全要求信用信息供方在符合4.2.1基本要求基础上，还应满足以下要求：a）作为供方进行信用信息交易，应满足以下条件：——依法成立并有效存续，具备独立承担民事责任的能力；——具有健全的财务制度，无重大财务风险；——对外提供信用信息需取得相关征信业务行政许可的，应当依法取得行政许可；——近一年不存在违法违规和失信记录；——近一年未发生GB/T20986-2023《信息安全技术网络安全事件分类分级指南》中规定的较大及以上级别的网络和数据安全事件；——信息系统应符合网络安全等级保护要求，按规定开展网络安全等级保护测评和备案；——应具备数据要素市场主体相应的数据安全能力和数据合规体系，并取得数据安全能力评估认证。b）供方应提供信息交易标的来源合法性证明；c）供方应提供数据使用说明以及数据授权说明；d）供方应确保交易标的数据来源合法，保证对数据资源的处理活动合规；e）供方应有正当合法的经营目的，且交易标的在本身的业务范围内或者与自身业务直接相关；f）供方应保证交易标的的数据质量，保证数据的真实性、准确性、完整性；g）供方应采取措施保护交易标的安全，防范数据泄露、篡改、破坏或者被非法获取等风险；应保证交易标的不对国家安全、公共利益造成影响，不损害组织或个人合法权益；h）供方应真实、准确、完整披露交易标的信息，不应隐瞒数据来源及涉及个人信息、重要数据的情形；i）供方应当定期检查系统的安全建设和运行情况，分析、发现并解决信息系统在管理制度、技术措施和业务操作等方面存在的问题，保障信息系统安全运行和信息合规使用；4T/GDJRXXX—2024j）供方应建立信息泄露应急处置制度，发生或者有可能发生重大信息泄露事件时，应当立即采取必要措施，避免损害扩大；k）供方应当采取有效措施，确保个人信息去标识化处理后，个人身份不被直接或间接识别；l）如存在数据流通限制，供方应对数据产品使用或流通的目的、方式、范围进行明确说明，法律法规另有规定的从其规定。4.2.3信用信息需方安全要求信用信息需方在符合4.2.1基本要求基础上，应满足以下要求：a）作为需方进行信用信息交易，应满足以下条件：——依法成立并有效存续，具备独立承担民事责任的能力；——具有健全的财务制度，无重大财务风险；——近一年不存在违法、重大违规和失信记录；——近一年未发生GB/T20986-2023《信息安全技术网络安全事件分类分级指南》中规定的较大及以上级别的网络和数据安全事件；——信息系统应符合网络安全等级保护要求，按规定开展网络安全等级保护测评和备案。b）需方使用交易标的应具有明确、合理的目的，购买的交易标的应与使用目的直接相c）需方应按照信用信息交易协议中约定的范围使用数据，不得尝试获取供方未授权的数据；d）需方应具备与处理交易标的相适应的数据安全能力，开展数据安全能力评估认证；e）需方不应绕过或破坏交易数据的安全保护措施，不应对去标识化的个人信息进行重新识别；f）需方应建立信息泄露应急处置制度，发生或者有可能发生重大信息泄露事件时，应立即启动应急处置，分析事件发生原因，评估事件影响范围，及时采取技术和业务措施，控制和降低事件影响，消除风险隐患；g）需方对交易数据的使用加工，不应对国家安全、公共利益造成影响，不应损害组织或个人合法权益；h）需方应按照交易约定的授权范围，合理确定交易标的的访问权限，并定期对相关人员进行安全培训；i）需方应对供方提供的交易标的的安全性、合规性进行审核；j）需方在信用信息交易协议到期或按照约定完成交易标的使用目的后，应按照协议约定要求及时对交易标的进行处置。4.3信用信息交易标的安全要求4.3.1禁止交易的数据信用信息交易标的应遵循合法、安全和可交易原则，应满足以下要求：a）交易标的应具有明确、合理的应用场景和具体用途；b）有下列情形之一的交易标的，不应进行流通交易：——涉及国家秘密的信息；——危害国家安全和社会稳定的数据；——涉及损毁他人名誉及未经授权的身份、财产和其他敏感数据等特定个人权益——涉及未经授权的企业数据、商业秘密等特定企业权益的；——未经自然人或其监护人同意，涉及其个人信息的数据；——侵犯他人肖像、名誉、荣誉等人格权的数据；——未经有关部门授权，涉及公共利益、公共安全的公共数据；——未依法依规公开的原始公共数据；5T/GDJRxxx—2024——关系国家安全、国民经济命脉、重要民生、重大公共利益等国家核心数据；——以欺诈、诱骗、误导等方式或者从非法、违规渠道获取的数据；——个人的宗教信仰、基因、指纹、血型、疾病和病史信息等禁止征信机构采集的信用信息；——法律法规禁止流通的其他信用信息。4.3.2信用信息质量合规要求为确保所交易的信用信息质量与合规性，在信用信息交易活动中，应满足以下要求：a）供方应明确界定交易标的的内容范围、使用范围、商品形态，以确保符合国家相关法律法规的要求；b）供方应提供对交易标的的概要描述，并提供样本信息；c）供方应向需方提供信息交易标的来源合法性的证明和承诺：——针对公开收集的数据，应说明公开数据收集的目的、方式、范围，提供公开收集的数据类型、采集策略、数据来源、收集合法性证明等；——针对组织经营活动和信息系统自行产生的数据，应说明系统建设和运维情况及其数据采集的目的、方式、范围情况；——针对协议方式获取的数据，应提供完整的购买协议、合作协议或许可使用协议或者上述协议的关键部分等；——针对用户授权获取的数据，应说明数据获取的目的、方式范围，是否可对外提供、交易，并提供用户授权证明。d）供方应向需方提供拥有信息交易标的完整权益的声明；e）供方应向需方提供交易标的真实性的声明；f）供方应向需方明确交易标的的限定用途、使用范围、流通方式和使用期限；g）供方应向需方提供交易标的满足法律法规和政策要求说明、交易标的质量评估说明、遵守数据交易安全原则说明，并对数据流通后果提供书面承诺；h）供方应向需方明确具体交易的方式、途径和保护措施；i）供方按照GB/T36343-2018《信息技术数据交易服务平台交易数据描述》要求对交易标的进行准确描述，明确数据类别等信息，描述信息满足准确性、真实性要求；j）需方应对交易标的描述和样本的准确性、真实性进行审核。4.3.3交易信息分级分类保护要求交易信息分级分类保护，应满足以下要求：a）交易双方就本次信用信息交易，应按照国家和行业有关要求进行数据分类分级，识别可能涉及的个人信息、公共数据和重要数据；b）结合数据流通范围、影响程度、潜在风险，建立企业数据、个人信息等数据分类分级授权使用和保护机制；c）交易标的涉及个人信息的，对个人信息的保护应符合GB/T35273-2020《个人信息安全规范》以及GB/T37964-2019《个人信息去标识化指南》的相关要求；d）交易标的涉及重要数据的，应当满足国家相关法律法规对重要数据保护的相关要求；e）交易标的涉及公共数据的，在保护个人隐私和确保公共安全的前提下，公共数据宜按照“原始数据不出域、数据可用不可见”的要求，以模型、核验等产品服务等形式向社会提供；注：“原始数据不出域、数据可用不可见”引用自《中共中央国务院关于构f）供方应提供符合JR/T0223-2021《金融数据安全数据生命周期安全规范》以及国家相关法律法规的要求的数据脱敏方法，并具备评价重要数据脱敏有效性的评估能4.4信用信息交易流通安全要求4.4.1流通场景的安全要求6T/GDJRXXX—2024流通场景应符合以下安全要求：a）需方应提供书面的数据交易和使用承诺，以确保采购需求以及流通场景真实、合法、合理，与其所在行业、业务需求相符；b）需方应保证流通场景及流通目的不危害国家安全、公共利益以及第三方合法权益的情形；c）涉及向境外提供信用信息的，应当了解需方以及其他流通相关方的身份、用途，确保信用信息用于跨境贸易、融资等合理的用途。4.4.2流通程序的安全要求流通程序应符合以下安全要求：a）数据交易涉及许可、备案等行政手续的，交易主体应向有关部门申请许可、履行备案或办理其他行政手续；b）涉及向境外提供信用信息的，应根据适用的法律法规履行数据出境相关义务。4.4.3流通方式的安全要求4.4.3.1系统接入交易双方系统接入应符合以下安全要求：a）系统接入是指供方与需方依据双方协议，通过预定义的接口规范和安全协议，实现交易标的在系统间安全传输和交换的过程；b）应当建立外部机构接入本系统的管理办法，明确外部机构的接入条件、提交的申请材料、申请和审核程序，建议可包括数据保护策略、数据安全管理办法、信息数据风险评估实施方案、系统灾备应急方案等内容；c）应当对外部机构申请接入系统的必要性、业务系统及业务现状、安全管理水平、网络条件等是否符合前款规定进行综合评估，确认符合条件的方可接入系统；d）应当在测试环境下对外部机构的接口规范程序、网络条件等进行测试，测试通过后方可接入系统生产环境。4.4.3.2系统接口规范方式交易双方采用系统接口规范方式进行系统接入的，应符合以下安全要求：a）交易双方应当制定合适的信息交付策略，明确信息接入的范围、内容、方式和频次、报文接收与反馈、意外事件处理及相关岗位职责等，合理控制报文加载顺序、进度，确保信息及时加载入库；b）需方接收信用信息供方按照接口规范生成的业务数据报文，记录报文登记信息，自动进行解密和加载处理，业务操作人员应及时跟踪报文的接收，在对业务数据报文进行处理时，加载成功的信息，按照接口规范生成反馈报文，反馈给供方。加载异常的信息，应将错误信息反馈给供方，由其进行重报。供方业务操作人员应及时联系相关人员，进行跟踪处理。4.4.3.3非系统接口规范方式采用非系统接口规范方式进行系统接入的，应符合以下安全要求：a）需方应当制定通过手工录入、介质导入等非接口方式采集信息的具体流程，明确信息采集范围、内容、方式和频次、信息审核、错误数据修改及相关岗位职责等；b）需方应当对信息来源和内容进行审核，必要时委托第三方专业服务机构协助需方进行审核，审核通过后再发起手工录入、介质导入等操作；c）需方应当对手工录入、介质导入的业务数据进行合法性校验，无法正常录入信息系统的信息，由业务操作人员通过专门数据修改流程进行核查处理；d）应对存储数据的介质或物理设备采取无法恢复的方式进行数据删除与销毁，如物理粉碎、消磁、多次擦写等。7T/GDJRxxx—20244.4.4流通技术设施的安全要求流通技术设施应符合以下安全要求：a）交易双方应具备安全的数据传输通道，保证数据在传输过程中的保密性和完整性；b）交易双方应具备安全的上传或下载接口，包括基于密码技术的身份认证、访问控制、传输链路加密、传输数据保密性和完整性校验等保护措施；c）供方应对数据交易平台接口的不安全输入参数进行限制和过滤，为接口提供异常处理能力；d）交易双方应为数据交易标的生成不可篡改的电子凭证，实现交易标的和交易操作的可追溯性及交易的不可否认性；e）交易双方应具备敏感数据识别和数据分类分级管理能力，能够根据交易标的的分类分级结果，对敏感数据进行识别和标注，并采用相应安全能力的数据流通安全保障技术进行交付；f）宜提供隔离安全环境，并采取数据加密、访问控制、数据防泄漏、水印溯源、安全审计等措施，防止交易过程中的数据泄露、篡改、破坏或非法获取、非法交易、非法利用等；g）应针对不同类别级别的数据采取差异化安全存储保护措施，如加密、脱敏、备份、访问控制、数字水印、完整性校验、安全配置、日志管理（留存期限不少于180天）等。数据存储不应超过与数据主体约定的存储期限，超存储期限或已达到目的的数据应及时销毁；h）提供数据交易平台的热冗余，支持本地数据备份恢复、异地实时备份等功能，保证系统和数据的高可用性；i）具备恶意代码防护能力，能够对交易数据含有的恶意代码进行检测；j）交易双方应实施日志审计，记录接口操作详情，并妥善保存。5安全等级能力要求信用信息交易双方在信用信息交易前可开展安全等级能力评估工作，按具体实际的数据交易场景，确定当次交易中所需等级标准，评估确定满足相应的等级后再进行交易。相关评价指引及等级要求详见附录A《信用信息安全能力等级评价指引》及附录B《信用信息安全能力等级要求》。8T/GDJRXXX—2024信用信息安全能力等级评价指引A.1评价内容为了实现评估过程的标准化和透明化，本文件制定了安全能力等级要求，各项评价标准在附录B中阐述。附录B中的评价标准覆盖了关键领域，包括综合条件、管理能力、技术实力和信息安全能力，为安全等级能力评价工作提供了明确的指导和依据。A.2评价等级评价指标项的评价结果分为四个等级,从最高到最低依次用四级、三级、二级、一级表示，应根据附录A的内容确定评价结果等级。A.3评价流程安全等级能力评价流程如下：a）供方在信用信息交易前应当取得安全等级能力等级认证，并由第三方专业服务机构对信用信息供方进行等级能力评价工作；b）需方按具体实际的数据交易场景，确定当次交易中供方的等级标准；c）第三方专业服务机构应对申请评价方提交的相关文件进行审查，并通过书面审查、现场核查、专家评审等方式开展评估工作出具等级认证报告；d）第三方专业服务机构签署等级认证报告并发送至委托主体。A.4评价机构要求由第三方专业服务机构对供方进行等级能力评价工作，第三方专业服务机构应满足以下要求：a）作为第三方专业服务机构参与信用信息交易，应满足以下条件：——在我国境内依法成立并有效存续，具有承担民事责任能力；——具有健全的财务制度，无重大财务风险；——近两年不存在违法违规和失信记录；——近两年未发生网络和数据安全事件；——具备从事相关业务的技术能力和经验；——如从事第三方专业服务机构服务需要专门资质的，应取得相应资质许可。b）第三方专业服务机构从事专业评价服务的，应具备数据合规评估专业资质，坚持独立、客观、公正原则开展服务，出具的法律意见书、评估报告、鉴定意见、专家结论、认证证书等，应保证客观性、真实性、准确性、完整性和有效性，不应出现虚假记载、误导性陈述等违反法律法规、行业规则的情形，按照法律法规要求和专业审慎原则，对交易主体、交易标的、交易流通过程进行严格审查，确保交易合法、内容真实；c）未经委托方同意，不应将相关服务外包，如确需外包应征得委托方同意，并对外包方的数据安全能力、资质进行审核，明确外包方的安全责任、保密义务和任务结束后的数据处置方式；d）第三方专业服务机构应妥善保管供方或需方的数据资料，不应泄露、伪造、篡改、隐藏、毁损；e）按照约定方式完成服务后，第三方专业服务机构应及时删除收到的客户数据和服务过程中所产生的相关数据。9T/GDJRxxx—2024A.5评价有效期a）第三方专业服务机构出具的等级认证报告有效期见表A.1。表A.1等级认证报告有效期表b）评价有效期内，如发生以下重大变化的，供方应当重新申请评定：——任何法律法规或政策的重大更改，包括法律法规或有关部门规定要评估的情——信用信息供方业务活动或数据处理活动发生重大变化；——信用信息供方出现重大数据安全事件；——信用信息供方出现减少注册资本金的情形；——信用信息供方信息系统上线及上线后进行架构调整等重大变更；——其他导致信用信息供方等级发生重大变化的情形。c）如供方未按上述规定重新评定的，可以对其进行降级处理；d）如供方内部评审认为公司可以达到更高级别的安全等级能力，可以在有效期内提出评定申请。T/GDJRXXX—2024信用信息安全能力等级要求B.1四级B.1.1综合条件1、在中华人民共和国境内注册成立（港澳台地区除外）,且由中国公民、法人或国家投资所占总股本不少于50%的独立法人，变革发展历程清晰、产权关系明确，注册资本不少于人民币2000万元并依据《中华人民共和国公司法》的相关规定进行实缴。2、财务状况良好，最近三年连续盈利，累计净利润不低于400万元或年均净利润率不低于5%。3、有良好的资信，近五年未有与数据安全、数据合规、数据交易相关的行政处罚，未有被确认承担知识产权类侵权责任的诉讼案件，未有影响较大、性质较严重的其他行政处罚，未有影响企业正常运营的重大诉讼。4、董事、监事和高级管理人员近五年内无重大违法违规记录。5、近五年内未出现过应由其承担责任的、重大的用户投诉。B.1.2管理能力1、已建立完备的数据质量管理体系和信息安全管理体系，包括：（1）已明确组织层面的数据质量目标，统一数据质量需求相关模板、管理机制。（2）已建立数据管理责任机制，明确各类数据管理人员以及相关职责，制定各类数据的优先级和质量管理需求。（3）已针对数据质量目标的制定考虑了外部监管、合规方面的要求。（4）已设计组织统一的数据质量评价体系以及相应的规则库。（5）已明确新建项目中数据质量需求的管理制度，统一管理权限。建立组织统一的数据安全标准以及策略并正式发布。（6）规范了组织数据安全标准与策略相关的管理流程，并以此指导数据安全标准和策略的制定。（7）数据安全标准与策略制定过程中能识别组织内外部的数据安全需求，包括外部监管和法律的需求。（8）规范了数据安全利益相关者在数据安全管理过程中的职责。（9）定期开展数据安全标准和策略相关的培训和宣贯。2、企业设立了完整的数据安全管理体系，具备包括数据分类分级、数据安全技术措施、数据全生命周期全流程管理、风险风评、应急预案、安全教育培训、数据及个人信息出境管理、个人信息操作权限管理、监测审计、个人信息保护影响评估以及投诉、举报等数据安全管理制度和安全保密措施能有效执行，每年开展数据安全合规及风险评估并提交风险评估报告。3、建立完备的项目管理体系和客户服务体系并能有效实施。4、已系统地对员工进行数据安全教育以及职业道德培训，并定期组织数据安全责任考5、已设立数据安全责任人，由具有五年以上相关管理工作经历或数据安全专业知识的人员担任，参与有关数据活动的重要决策，且须与所在单位签订三年以上劳动合同。6、已采用数据分类分级、备份、脱敏、加密、数据防泄露、数据接口安全等安全技术措施保护个人信息和重要数据。B.1.3技术实力1、主要负责人应具有五年以上电子信息技术领域的管理经历；财务负责人应具有国家相关部门颁发的中级职称以上的财务专业从业资格证书。T/GDJRxxx—20242、具有稳定的技术队伍，从事数据安全服务的人员不少于20名。从事数据安全服务的人员与所在机构签订二年以上劳动合同和保密协议，合同和协议应在有效期内。B.1.4信息安全能力1、信息供方的系统管理和技术要求达到GB/T22239-2019四级及以上。2、业务操作要求符合本文件的业务运作要求。3、信息供方的数据安全能力要求达到GB/T37988-2019四级及以上。B.2三级B.2.1综合条件1、在中华人民共和国境内注册成立（港澳台地区除外）,且由中国公民、法人或国家投资所占总股本不少于50%的独立法人，变革发展历程清晰、产权关系明确，注册资本不少于人民币500万元，并依据《中华人民共和国公司法》的相关规定进行实缴。2、财务状况良好，最近二年连续盈利，累计净利润不低于200万元或年均净利润率不低于3%。3、有良好的资信，近三年未有与数据安全、数据合规、数据交易相关的行政处罚，未有被确认承担知识产权类侵权责任的诉讼案件，未有影响较大、性质较严重的其他行政处罚，未有影响企业正常运营的重大诉讼。4、董事、监事和高级管理人员近三年内无重大违法违规记录。5、具有良好的资信，近三年内未出现过应由其承担责任的、重大的用户投诉。B.2.2管理能力1、已建立完备的数据质量管理体系和信息安全管理体系，包括：（1）已制定数据质量需求相关模板，明确相关管理规范。（2）已在组织或业务部门识别了关键数据的质量需求。（3）已设计满足本业务部门需求的数据质量评价指标，并建立了数据质量规则库。（4）业务部门内部建立了数据安全标准、管理策略和管理流程。（5）业务部门内部识别数据安全利益相关者。（6）业务部门内部数据安全标准与策略的建立能遵循合理的管理流程。2、企业设立了完整的数据安全管理组织架构，具备包括数据分类分级、数据安全技术措施、数据全生命周期全流程管理、风险风评、应急预案、安全教育培训、数据及个人信息出境管理、个人信息操作权限管理、监测审计、个人信息保护影响评估以及投诉、举报等数据安全管理制度和安全保密措施能有效执行，定期开展风险评估。3、建立完备的项目管理体系和客户服务体系并能有效实施。4、系统地对员工进行数据安全教育以及职业道德培训。5、已设立数据安全责任人，由具有三年相关管理工作经历和数据安全专业知识的人员担任，参与有关数据活动的重要决策，且须与所在单位签订三年以上劳动合同。6、已采用分类分级、备份、脱敏、加密、数据防泄漏、数据接口安全等安全技术措施保护个人信息和重要数据。B.2.3技术实力1、主要负责人应具有三年以上电子信息技术领域的管理经历；财务负责人应具有国家相关部门颁发的中级职称以上的财务专业从业资格证书。2、具有稳定的技术队伍，从事数据安全服务的人员不少于10名。从事数据安全服务的人员与所在机构签订二年以上劳动合同和保密协议，合同和协议应在有效期内。B.2.4信息安全能力1、信息供方的系统管理和技术防护达到GB/T22239-2019三级。2、业务操作要求符合本文件的业务运作要求。T/GDJRXXX—20243、信息供方的数据安全能力要求达到GB/T37988-2019三级及以上。B.3二级B.3.1综合条件1、在中华人民共和国境内注册成立（港澳台地区除外）,且由中国公民、法人或国家投资所占总股本不少于50%的独立法人，变革发展历程清晰、产权关系明确，注册资本不少于人民币100万元，并依据《中华人民共和国公司法》的相关规定进行实缴。2、财务状况良好，近两年未有与数据安全、数据合规、数据交易相关的行政处罚，未有被确认承担知识产权类侵权责任的诉讼案件，未有影响较大、性质较严重的其他行政处罚，未有影响企业正常运营的重大诉讼。3、董事、监事和高级管理人员近两年内无重大违法违规记录。4、有良好的资信，近二年内未出现过应由其承担责任的、重大的用户投诉。B.3.2管理能力1、已建立完备的数据质量管理体系和数据安全管理体系，包括：（1）已在项目中分析了数据质量的管理需求，并进行了相关的管理。（2）基于出现的数据问题，已开展数据质量检查工作。（3）基于出现的数据质量问题，进行了分析和评估。（4）业务部门内部建立了数据安全标准、管理策略和管理流程。2、企业已设立数据安全管理组织架构，具备包括数据分类分级、数据安全技术措施、数据全生命周期全流程管理、风险风评、应急预案、安全教育培训、数据及个人信息出境管理、个人信息操作权限管理、监测审计、个人信息保护影响评估以及投诉、举报等数据安全管理制度和安全保密措施。3、具有系统地对员工进行数据安全教育以及职业道德培训的计划，并能有效地组织实施与考核。4、已设立数据安全责任人，由具有两年相关管理工作经历和数据安全专业知识的人员担任，参与有关数据活动的重要决策，且须与所在单位签订二年以上劳动合同。5、已采用分类分级、备份、脱敏、加密、数据防泄漏、数据接口安全等安全技术措施保护个人信息和重要数据。B.3.3技术实力1、主要负责人应具有两年以上电子信息技术领域的管理经历；财务负责人应具有国家相关部门颁发的中级职称以上的