GB/T 37932-2025 数据安全技术 数据交易服务安全要求

　　ICS 35. 030 CCS L 80

　　中 华 人 民 共 和 国 国 家 标 准

　　GB/T 37932—2025代替 GB/T37932—2019

　　数据安全技术 数据交易服务安全要求

　　Datasecuritytechnology—Security requirementsfordata transaction service

　　2025-12-02发布 2026-07-01实施

　　国家市场监督管理总局国家标准化管理委员会

　　

　　发

　　

　　布

　　GB/T 37932—2025

　　目 次

　　前言 Ⅲ

　　1 范围 1

　　2 规范性引用文件 1

　　3 术语和定义 1

　　4 通则 3

　　4. 1 数据交易服务参考模型 3

　　4. 2 数据交易过程 3

　　4. 3 数据交易标的 4

　　5 数据交易安全原则 4

　　6 数据交易服务参与方安全要求 5

　　6. 1 基本要求 5

　　6. 2 数据供方 5

　　6. 3 数据需方 5

　　6. 4 数据商和数据第三方专业服务机构 6

　　6. 5 数据交易机构 7

　　7 数据交易平台安全要求 8

　　7. 1 基本要求 8

　　7. 2 交易数据安全保护 8

　　7. 3 交易过程安全控制 8

　　7. 4 交易安全审计 9

　　8 数据交易标的安全要求 9

　　8. 1 禁止交易数据 9

　　8. 2 数据质量合规 9

　　8. 3 交易数据分类分级保护 10

　　9 数据交易过程安全要求 10

　　9. 1 主体入驻 、登记挂牌 10

　　9. 2 交易磋商 、订单签订 11

　　9. 3 产品交付 、交易结算 11

　　9. 4 交易结束 、监督维护 12

　　附录 A (资料性) 禁止交易数据示例 13

　　A. 1 危害国家安全和社会稳定的数据 13

　　A. 2 涉及个人权益的数据 13

　　A. 3 涉及企业权益的数据 13

　　参考文献 14

　　Ⅰ

　　GB/T 37932—2025

　　前 言

　　本文件按照 GB/T 1. 1—2020《标准化工作导则 第 1部分 :标准化文件的结构和起草规则》的规定起草 。

　　本文件代替 GB/T 37932—2019《信 息 安 全 技 术 数 据 交 易 服 务 安 全 要 求》。 与 GB/T 37932—

　　2019相比 ,除结构调整和编辑性改动外 ,主要技术变化如下 :

　　a) 更改了术语 “数据交易”“数据供方”“数据需方”“数据交易服务”“数据交易过程 ”及其定义(见

　　3. 3、3. 4、3. 5、3. 9、3. 15,2019年版的 3. 1、3. 2、3. 3、3. 4、3. 10) ;

　　b) 将术语 “数据交易服务机构 ”更改为 “数据交易机构 ”,“数据交易服务平台 ”更改为 “数据交易平台 ”,并更改了其定义(见 3. 6、3. 10,2019年版的 3. 5、3. 6) ;

　　c) 删除了术语 “在线数据交付”“离线数据交付”“托管数据交付”“重要数据 ”及其定义(见 2019年版的 3. 7、3. 8、3. 9、3. 11) ;

　　d) 增加了术语 “数据资源”“数据商”“数据第三方专业服务机构”“数据场内交易”“数据场外交易 ” “数据交易服务参与 方 ”“数 据 交 易 标 的 ”“交 付 ”及 其 定 义(见 3. 1、3. 7、3. 8、3. 11、3. 12、3. 13、 3. 14、3. 16) ;

　　e) 更改了 “通则 ”的数据交易活动参考模型(见 4. 1,2019年版的 4. 1) ;

　　f) 增加了 “数据交易过程”“数据交易标的 ”等内容(见 4. 2、4. 3) ;

　　g) 更改 “数据交易安全原则 ”,并更改了有关内容(见第 5 章 ,2019年版的 4. 2) ;

　　h) 增加了 “数据交易服务参与方的基本要求 ”“数据商和数据第三方专业服务机构 ”的有关要求(见 6. 1、6. 4) ;

　　i) 更改了“数据供方”“数据需方 ”的有关要求(见 6. 2、6. 3,2019年版的 5. 1、5. 2) ;

　　j) 更改了“数据交易机构 ”的有关要求(见 6. 5,2019年版的 5. 3. 1、5. 3. 2) ;

　　k) 更改“数据交易服务平台安全要求”为 “数据交易平台安全要求”(见第 7章 ,2019年版的 5.3. 3) ;

　　l) 更改 “交易对象安全 ”为 “数据交易标的安全要求 ”(见第 8章 ,2019年版的第 6章) ;

　　m) 更改了“禁止交易数据”,并增加“附录 A禁止交易数据示例”(见 8. 1、附录 A,2019年版的 6. 1) ;

　　n) 更改 “数据质量 ”为 “数据质量合规 ”(见 8. 2,2019年版的 6. 2) ;

　　o) 删除了 “个人信息保护”“重要数据保护 ”(见 2019年版的 6. 3、6. 4) ;

　　p) 增加了 “交易数据分类分级保护 ”的有关要求(见 8. 3) ;

　　q) 更改 “数据交易过程安全 ”为 “数据交易过程安全要求 ”(见第 9章 ,2019年版的第 7章) ;

　　r) 删除了 “交易申请”“交易实施 ”的有关要求(见 2019年版的 7. 1、7. 3) ;

　　s) 增加了 “主体入驻”“登记挂牌”“订单签订”“产品交付”“交易结算”“监督维护 ”的有关要求(见

　　9. 1、9. 2、9. 3、9. 4) ;

　　t) 更改了“交易磋商”“交易结束 ”的有关要求(见 9. 2、9. 4,2019年版的 7. 2、7. 4) 。

　　请注意本文件的某些内容可能涉及专利 。本文件的发布机构不承担识别专利的责任 。

　　本文件由全国网络安全标准化技术委员会(SAC/TC260)提出并归 口 。

　　本文件起草单位 : 中国电子技术标准化研究院 、上海数据交易所有限公司 、北京国际大数据交易所有限责任公司 、华控清交信息科技(北京)有限公司 、浙江大学计算机创新技术研究院 、浙江省数字经济发展中心 、上海市信息安全测评认证中心 、浙江大数据交易中心有限公司 、北京市经济和信息化局网络安全管理中心 、阿里云计算有限公司 、蚂蚁科技集团股份有限公司 、清华大学 、华东江苏大数据交易中心股份有限公司 、中国网络安全审查认证和市场监管大数据中心 、广州数据交易所有限公司 、国家计算机

　　Ⅲ

　　GB/T 37932—2025

　　网络应急技术处理协调中心 、中国网络空间研究院 、陕西省信息化工程研究院 、浙江大学 、全球数源中心(广州南沙)有限公司 、广州软件应用技术研究院 。

　　本文件主要起草人 :范科峰 、胡影 、李海东 、姚相振 、苏丹 、上官晓丽 、吴霄天 、郎佩佩 、郝春亮 、靳晨 、刘行 、任奎 、邢桦 、田燕翔 、金铭彦 、陈钰炜 、李媛 、张宇光 、李世奇 、白晓媛 、王秉政 、王明彦 、盛晶 、吴波 、汤寒林 、刘斌 、高翔 、王晖 、王普 、岳熙研 、黄晴 、张勇 、刘金飞 、张敏 、李杰明 、余方 、郑彬彬 、彭琴 、孔俊 。

　　本文件及其所代替文件的历次版本发布情况为 :

　　— 2019年首次发布为 GB/T 37932—2019;

　　— 本次为第一次修订 。

　　Ⅳ

　　GB/T 37932—2025

　　数据安全技术 数据交易服务安全要求

　　1 范围

　　本文件规定了数据交易服务安全要求 ,包括数据交易参与方 、交易平台 、交易标的及交易过程的安全要求 。

　　本文件适用于数据供方 、数据需方 、数据交易机构 、数据商 、数据第三方专业服务机构规范其数据交易活动 ,也适用于监管部门 、评估机构对数据交易服务安全进行监督 、管理 、评估 。

　　2 规范性引用文件

　　下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款 。其中 , 注 日期的引用文件 ,仅该日期对应的版本适用于本文件 ;不注日期的引用文件 ,其最新版本(包括所有的修改单) 适用于本文件 。

　　GB/T 22239—2019 信息安全技术 网络安全等级保护基本要求

　　GB/T 25069

　　信息安全技术 术语

　　GB/T 36343

　　信息技术 数据交易服务平台 交易数据描述

　　GB/T 37988

　　信息安全技术 数据安全能力成熟度模型

　　GB/T 43697

　　数据安全技术 数据分类分级规则

　　3 术语和定义

　　GB/T 25069界定的以及下列术语和定义适用于本文件 。

　　3. 1

　　数据资源 data resources

　　具有价值创造潜力的数据的总称 。

　　注 : 通常指以电子化形式记录和保存 、可机器读取 、可供社会化再利用的数据集合 。

　　3.2

　　数据产品和服务 data productand service

　　基于数据加工形成的 、满足特定需求的数据加工品和数据服务 。

　　3.3

　　数据交易 data transaction

　　数据供方和需方之 间 进 行 的 , 以 特 定 形 态 数 据 为 标 的 , 以 货 币 或 者 其 他 等 价 物 作 为 对 价 的 交 易行为 。

　　3.4

　　数据供方 datasupplier

　　供方 supplier

　　数据交易中出售和提供数据产品和服务的组织 。

　　3.5

　　数据需方 data demander

　　需方 demander

　　数据交易中购买和使用数据产品和服务的组织 。

　　1

　　GB/T 37932—2025

　　3.6

　　数据交易机构 data transaction agency

　　交易机构 transaction agency

　　为数据供方 、需方提供数据交易服务的专业机构 。

　　3.7

　　数据商 data provider

　　数商 data provider

　　为供方和需方提供数据资源开发 、发布 、承销和数据产品和服务的合规化 、标准化 、增值化等服务 ,提高数据交易效率的组织 。

　　注 : 若供方对数据资源进行加工形成数据产品和服务 ,则此时的数据供方也作为数据商 。

　　3. 8

　　数据第三方专业服务机构 data third-partyprofessionalserviceagency

　　提供数据集成 、质量评价 、数据经纪 、合规认证 、安全审计 、数据公证 、数据保险 、数据托管 、资产评估 、争议调解 、风险评估 、人才培训 、咨询服务等第三方服务的专业化组织 。

　　3.9

　　数据交易服务 data transaction service

　　为供方和需方完成数据流通交易全过程的各类服务 。

　　3. 10

　　数据交易平台 data transaction platform

　　为数据交易参与方提供数据交易服务的信息系统 。

　　3. 11

　　数据场内交易 data in-site transaction

　　数据供方 、需方通过数据交易机构达成数据交易的行为 。

　　3. 12

　　数据场外交易 data off-site transaction

　　数据供方 、需方不通过数据交易机构达成数据交易的行为 。

　　3. 13

　　数据交易服务参与方 data transaction serviceparticipants

　　参与数据交易服务的相关方 。

　　注 : 数据场内交易服务的参与方可能涉及数据交易机 构 、数 据 供 方 、数 据 需 方 、数 据 商 、数 据 第 三 方 专 业 服 务 机 构 ,数据场外交易服务的参与方可能涉及数据供方 、数据需方 、数据商 、数据第三方专业服务机构 。

　　3. 14

　　数据交易标的 data transaction object

　　数据供需双方交易的数据产品和服务 。

　　注 : 也称交易标的 、交易数据或标的数据 。

　　3. 15

　　数据交易过程 data transaction process

　　数据交易参与方针对具体的数据交易标的 ,进行的一组完整和具体的数据交易活动 。

　　3. 16

　　交付 delivery

　　供方按照协议约定 ,使需方实际访问 、调用 、计算(处理)或取得交易数据产品和服务的行为 。

　　注 : 访问 ,是指供方仅给需方使用数据的环境或接 口 允 许 其 计 算 、查 阅 数 据 ,但 不 允 许 其 下 载 、复 制 、修 改 原 始 数 据或下载原始数据到本地的交付方式 。

　　2

　　GB/T 37932—2025

　　4 通则

　　4. 1 数据交易服务参考模型

　　数据交易服务分为数据场内交易和数据场外交易两种模式 。数据场内交易是供方和需方依托数据交易机构进行交易 ,数据场外交易则是供方和需方在交易机构外进行交易 。实际交易中 ,既可能由数据供需双方直接或通过数据交易机构交易 ,也可能有数据商参与数据交易过程 ,为交易双方提供数据产品和服务开发 、发布 、承销等服务 ,还可能有数据第三方专业服务机构提供法律 、数据资产化 、安全质量评估 、培训咨询等服务 ,辅助数据交易活动有序开展 。数据交易服务参考模型见图 1。

　　图 1 数据交易服务参考模型

　　4.2 数据交易过程

　　数据场内交易全过程 ,通常包括主体入驻 、登记挂牌 、交易磋商 、订单签订 、产品交付 、交易结算 、交易结束 、监督维护等环节 。其中 ,主体入驻 、登记挂牌属于交易前的准备阶段 ,交易磋商 、订单签订 、产品交付和交易结算属于交易中的实施阶段 ,交易结束 、监督维护则属于交易后的售后阶段 。数据场外交易过程 ,通常包括交易磋商 、订单签订 、产品交付 、交易结算 、交易结束等阶段 , 除数据交易机构外 ,其他数据交易参与方应满足第 9章相关安全要求 。数据交易过程包括以下方面 。

　　a) 主体入驻 :数据供方 、需方 、数据商 、数据第三方专业服务机构等入驻数据交易机构 ,完成用户注册 、实名认证 、资质审核 、信息完善等 。

　　b) 登记挂牌 :对数据交易标的进行信息登记 ,并对数据产品和服务合规性 、质量等进行评估审核 ,审核通过的数据产品和服务在数据交易机构挂牌上架 。

　　注 1: 评估审核由数据交易机构或数据第三方专业服务机构开展 。

　　c) 交易磋商 :交易双方对接后 ,对交易标的的交易用途 、交易金额 、交付方式 、安全责任等内容进行协商 ,需方也可申请数据产品和服务或样本数据测试 。如对数据产品和服务进一步加工 ,需方可发布需求 , 由数据供方或数据商对数据进行加工 。

　　d) 订单签订 :数据需方选择数据产品和服务下单 ,待供方确认订单信息后 ,双方签订数据交易合

　　3

　　GB/T 37932—2025

　　同协议 ,数据交易机构对合同进行审核和备案 。

　　e) 产品交付 :按照数据交易合同协议约定交付数据产品和服务 ,通过数据交易平台 、数据商或交易双方自主进行交付 ,数据需方对交付的数据产品和服务进行验收 。

　　f) 交易结算 :按照数据交易合同协议约定和交易账单支付交易费用 ,对交易参与方的费用进行结算 ,并支持对超额购买的费用进行退款 。

　　g) 交易结束 :结束此次数据交易操作 ,并对交易相关信息进行记录 、存证 、审计等 , 同时提供数据交易售后服务 。

　　h) 监督维护 :建立数据交易投诉举报和争议解决机制 ,对数据交易的投诉 、举报 、争议 、纠纷进行处理 ,支持对违法违规数据交易行为进行审查追溯 ,保障交易参与方权益 。

　　注 2: 交易纠纷优先由数据交易机构处理 ,如无法协调解决 ,参考专家仲裁或使用外部仲裁等相关机构 。

　　4.3 数据交易标的

　　数据交易标的 ,通常涉及数据集 、数据接口 、数据报告 、数据应用 、数据工具 、数据服务 、其他数据等数据产品和服务 :

　　a) 数据集 :具有一定主题 ,满足用户需求的数据集合或数据文件 ;

　　b) 数据接 口 :通过应用程序接 口 (API) 、软件开发工具包(SDK) 实现调用的数据 ,如数据核验接口 、数据查询接口等 ;

　　c) 数据报告 :对数据进行统计 、建模 、分析等处理 , 以文字 、图表等可视化方式呈现的报告 ;

　　d) 数据应用 :数据资源经过加工处理后 ,提供的数据应用服务或定制化解决方案 ;

　　e) 数据工具 :提供数据采集 、存储 、传输 、预处理 、加工 、可视化 、删除等数据处理能力的工具 ;

　　f) 数据服务 :在数据交易过程中 , 由数据商 、数据第三方专业服务机构提供的数据服务 ,如数据采集服务 、数据加工服务 、安全评估服务等 ;

　　g) 其他数据 :其他依法可交易的数据产品和服务 ,如应用账号 、算法模型 、数据指数 、加密数据等 。

　　5 数据交易安全原则

　　数据交易遵循以下安全原则 。

　　a) 合法合规原则 :数据交易服务参与方遵守法律法规等有关规定 ,尊重社会公德和伦理 ,遵守商业道德和职业道德 ,诚实守信 ,不得危害国家安全 、公共利益 ,不得损害个人 、组织的合法权益 。

　　b) 过程可控原则 :数据交易过程确保数据来源合法可确认 、使用范围可界定 、交易过程可追溯 、安全风险可防范 。

　　c) 分类分级原则 :数据交易标的遵守国家和行业数据分类分级保护要求 ,结合数据流通范围 、影响程度 、潜在风险 ,建立公共数据 、企业数据 、个人信息等数据分类分级授权使用和保护机制 。

　　d) 确保安全原则 :数据交易服务参与方采取必要的管理措施和技术手段 , 防范交易对象被篡改 、破坏 、泄露或者非法获取 、非法利用 、非法交易等风险 ,保障个人信息主体权益 。

　　e) 权责一致原则 :数据交易参与方在享有数据要素流通收益的同时 ,对各自的数据交易活动承担安全责任 :

　　1) 数据供方对数据交易标的的质量 、安全和合规负责 ;

　　2) 数据需方对数据交易标的使用的安全和合规负责 ;

　　3) 数据交易机构对数据交易平台安全 、交易过程合规监管等负责 ;

　　4) 数据商 、数据第三方专业服务机构对数据开发利用过程和所提供的产品服务的安全性 、合规性和专业性负责 。

　　f) 场内场外一致原则 : 除数据交易平台和数据交易机构外 ,其他数据交易服务参与方面对数据场

　　4

　　GB/T 37932—2025

　　内交易和数据场外交易两种环境 ,采取相同的安全管理措施和技术手段保护数据交易的安全 。

　　6 数据交易服务参与方安全要求

　　6. 1 基本要求

　　数据交易服务参与方满足如下要求 :

　　a) 应遵守合法合规 、过 程 可 控 、分 类 分 级 、确 保 安 全 、权 责 一 致 、场 内 场 外 一 致 等 数 据 交 易 安 全原则 ;

　　b) 不应以欺诈 、诱骗 、误导 、胁迫 、贿赂等方式交易数据 ;

　　c) 原则上不应交易原始数据 ,法律法规另有规定除外 ;

　　d) 应履行数据处理者安全保护义务 ,建立全流程数据安全管理制度 ,组织开展数据安全教育培训 ,采取相应的技术措施和其他必要措施 ,保障数据安全 ;

　　e) 应制定安全应急预案 ,发生数据安全事件时 ,应立即采取处置措施 ,按照规定及时告知相关方并向有关主管部门报告 ;

　　f) 加强安全风险监测 ,发现安全缺陷 、漏洞等风险时 ,应立即采取补救措施 ,并及时向主管部门报送 ;

　　g) 涉及个人信息的 ,应依法履行个人信息保护义务 ,承担个人信息处理者责任 ;

　　h) 涉及向境外提供数据交易标的的 ,应遵守国家数据出境管理有关规定 ;

　　i) 涉及人工智能算法模型 、训练数据交易的 ,应遵守人工智能有关规定和标准要求 ;

　　j) 涉及知识产权交易的 ,不应侵害他人依法享有的知识产权 ;

　　k) 数据场内交易的供方 、需方 、数据商和数据第三方专业服务机构应完成交易机构入驻才能进行数据交易 ,交易时应遵守数据交易机构的制度要求 。

　　6.2 数据供方

　　数据供方在符合 6. 1基本要求基础上 ,满足如下要求 。

　　a) 组织作为供方进行数据交易 ,应满足以下条件 :

　　1) 依法成立并有效存续 ,具有承担民事责任能力 ;

　　2) 具有良好的商业信誉 ,无重大财务风险 ;

　　3) 业务经营活动需取得相关行政许可的 ,依法取得行政许可 ;

　　4) 近一年不存在重大违法违规和失信记录 ,且未发生重大网络和数据安全事件 ;

　　5) 具备数据要素市场主体相应的数据安全能力 。

　　b) 供方应确保交易标的的来源合法 ,保证对数据的处理活动合规 。

　　c) 供方应有正当合 法 的 经 营 目 的 , 且 挂 牌 交 易 标 的 在 本 身 的 业 务 范 围 内 或 者 与 自 身 业 务 直 接相关 。

　　d) 供方应保障交易标的的数据质量 。

　　e) 供方应采取措 施 保 护 交 易 标 的 安 全 , 防 范 数 据 泄 露 、篡 改 、破 坏 或 者 非 法 获 取 、非 法 利 用 等风险 。

　　f) 供方应真实 、准确 、完整披露交易标的信息 。

　　g) 如存在数据流通限制 ,供方应明示数据产品和服务使用或流通的目的 、方式 、范围 ,法律法规另有规定的除外 。

　　6.3 数据需方

　　数据需方在符合 6. 1基本要求基础上 ,满足如下要求 。

　　5

　　GB/T 37932—2025

　　a) 组织作为需方进行数据交易 ,应满足以下条件 :

　　1) 依法成立并有效存续 ,具有承担民事责任能力 ;

　　2) 具有良好的商业信誉 ,无重大财务风险 ;

　　3) 近一年不存在重大违法违规和失信记录 ,且未发生重大网络和数据安全事件 ;

　　4) 具备数据要素市场主体相应的数据安全能力 。

　　b) 需方使用数据产品和服务应具有明确 、合理的目的 ,购买的数据产品和服务应与使用 目 的直接相关 。

　　c) 需方应按照数据交易合同协议约定使用数据 ,不应超出协议约定要求的流通范围 。

　　d) 需方不应绕过或破坏交易数据的安全保护措施 ,法律法规另有规定的除外 。

　　e) 需方应按照交易约定的授权范围 ,合理确定交易数据的访问权限 。

　　f) 需方应对供方提供的数据产品和服务的安全性 、合规性进行审核 。

　　g) 需方在数据交易协议到期或按照约定完成交易数据使用 目 的后 ,应按照协议约定要求及时对交易数据进行处理 。

　　6.4 数据商和数据第三方专业服务机构

　　数据商和数据第三方专业服务机构满足以下方面 。

　　a) 组织作为数据商或数据第三方专业服务机构参与数据交易 ,应满足以下条件 :

　　1) 在我国境内依法成立并有效存续 ,具有承担民事责任能力 ;

　　2) 具有良好的商业信誉 ,无重大财务风险 ;

　　3) 近两年不存在重大违法违规和失信记录 ,且未发生重大网络和数据安全事件 ;

　　4) 具备从事相关业务的技术能力和经验 ,如从事数据商 、数据第三方专业服务机构服务需要专门资质的 ,取得相应资质许可 ;

　　5) 具备数据要素市场主体相应的数据安全能力 。

　　b) 未经授权不应将数据商 、数据第三方专业服务机构身份提供给他人使用 。

　　c) 应对数据商 、数据 第 三 方 专 业 服 务 机 构 提 供 的 产 品 服 务 的 安 全 性 、合 规 性 、真 实 性 和 有 效 性负责 :

　　1) 从事专业评估服务的 ,应按照法律法规要求和专业审慎原则 ,对交易标的进行严格审查 ,确保交易标的来源合法 、内容真实 、质量可靠 ;

　　2) 从事数据开发服务的 ,应保障数据开发过程安全可追溯 ;

　　3) 从事数据发布 、承销服务的 ,应严格审核数据来源及数据供方的身份 、资质 ,未达到数据安全合规要求的不代理 ;

　　4) 从事数据交付服务的 ,应提供安全 、可信的交付环境 ,确保数据交付安全 。

　　d) 数据第三方专业服务机构开展服务应坚持独立 、客观 、公正原则 , 出具的法律意见书 、评估报告 、鉴定意见 、专家结论 、认证证书等 ,不应出现虚假记载 、误导性陈述等违反法律法规 、行业规则的情形 , 自觉接受数据交易机构和有关部门的监督检查 。

　　e) 未经委托方同意 ,不应将数据商 、数据第三方专业服务机构的服务外包 ,如确需外包应征得委托方同意 ,并对外包方的数据安全能力 、资质进行审核 , 明确外包方的安全责任 、保密义务和任务结束后的数据处理方式 。

　　f) 应妥善保管供方或需方的数据 , 防范数据泄露 、伪造 、篡改 、隐藏 、毁损等风险 。

　　g) 按照约定方式完成服务后 ,根据与委托方的合同约定 ,应及时安全删除收到的供方数据和服务过程中所产生的相关数据 。

　　6

　　GB/T 37932—2025

　　6.5 数据交易机构

　　6.5. 1 制度机制

　　数据交易机构满足如下要求 :

　　a) 应提供数据 集 中 交 易 场 所 , 建 设 安 全 稳 定 的 数 据 交 易 环 境 , 支 持 数 据 交 易 合 规 监 管 和 基 础服务 ;

　　b) 应建立数据交易管理制度 , 明确数据交易主体 、交易标的 、交易平台 、交易过程 、交易安全 、纠纷处理 、审计等交易规则 、管理规范和服务指南 ;

　　c) 应建立交易机构内部数据安全制度 ,对交易机构提供服务过程中收集和产生的数据进行安全管理 ,并规范数据交易相关人员的安全操作规则 ;

　　d) 应建立数据交易主体入驻 、交易标的上架 、交易合同登记等审核机制 ,对数据交易主体 、交易标的 、交易订单 、交易合同等进行审核 ;

　　e) 应建立交易机构信息报送和披露机制 ,及时披露数据交易行情 、重大事项等信息 ,及时向市场主体提示数据交易风险 ,定期将数据交易情况报送相关监管部门 ;

　　f) 发现违反市场监督管理 、网络安全 、数据安全等有关规定的数据交易行为 ,应依法采取必要的处置措施 ,保存有关记录 ,并向相关监管部门报告 ;

　　g) 不应未经交易主体委托 、违背交易主体意愿 、假借交易主体名义开展交易活动 ,不应传播虚假信息诱导交易主体进行不必要的交易 ;

　　h) 应建立完善数据交易主体信用评价制度 ,公示信用评价规则 ,为消费者提供对交易机构上市销售的交易标的进行评价的途径 ,且交易机构不应删除消费者评价 ;

　　i) 未经授权不应私 自留 存 及 使 用 数 据 供 方 或 需 方 的 数 据 或 数 据 衍 生 品 , 法 律 法 规 另 行 要 求 的除外 ;

　　j) 应建立数据交易合规巡检机制 ,定期对交易主体 、交易标的的安全性 、合规性进行检查 ;

　　k) 应建立数据交易机构违规行为处罚机制 ,对数据交易过程中的违规行为进行处罚 ;

　　l) 应建立数据交易主体入驻和退出机制 ,提供主体入驻交易机构和主动退出的渠道和方式 ,如交易主体存在严重违反交易规则的行为 ,交易机构也可要求主体退出并终止其数据交易 ;

　　m) 应建立交易标的上市和退出机制 ,提供数据资产登记 、交易标的上市和下架退出的方式 。

　　6.5.2 组织机构和人员

　　数据交易机构在组织建设和人员管理方面 ,满足如下要求 :

　　a) 数据交易机构注册成立 ,应依法获得有关部门的授权或许可 ;

　　b) 应明确数据安全负责人和主要职责 ,负责人应由交易机构最高管理者或授权代表担任 ;

　　c) 应明确数据安全管理部门 ,配备相应的数据安全岗位和人员 ,落实数据安全保护责任 ,并对数据交易安全和交易标的的安全保障措施进行监督 ;

　　d) 应定期开展员工数据安全教育培训 ,鼓励数据交易主体参加数据安全培训 ;

　　e) 应明确数据交易人员关键岗位 ,对关键岗位人员入职进行背景调查 ,并定期进行安全考核和行为安全审计 ,确保无违法违规记录 ;

　　f) 应要求新员工入 职 前 签 署 安 全 保 密 协 议 , 建 立 人 员 转 岗 、离 岗 管 理 制 度 , 及 时 回 收 人 员 账 号权限 ;

　　g) 明确数据交易机构的董事 、监事 、高级管理人员及其他工作人员 ,不应直接或间接入市参与本交易机构交易 ,也不应接受委托进行交易 。

　　7

　　GB/T 37932—2025

　　7 数据交易平台安全要求

　　7. 1 基本要求

　　数据交易平台满足如下基本要求 :

　　a) 应对交易过程进行安全管控 ,确保数据来源合法可确认 、使用范围可界定 、交易过程可追溯 、安全风险可防范 ;

　　b) 应符合 GB/T 22239—2019第 8章中第 3 级相关要求 ;

　　c) 从事境内数据交易服务的数据交易平台 ,应部署在我国境内 ;

　　d) 采用的密码技术应符合国家密码管理相关要求 。

　　7.2 交易数据安全保护

　　数据交易平台保护交易数据安全 ,包括下列内容 。

　　a) 应提供安全的数据传输通道 ,保证数据在传输过程中的机密性 。

　　b) 应为数据供方 、需方提供安全的上传或下载接 口 ,包括基于密码技术的身份认证 、访问控制 、传输链路加密 、传输数据机密性和完整性校验等保护措施 。

　　c) 应对数据交易平台接口的不安全输入参数进行限制和过滤 ,为接口提供异常处理能力 。

　　d) 宜提供敏感个人信息和重要数据识别和数据分类分级管理能力 ,能够根据分类分级结果 ,对敏感个人信息和重要数据进行识别和标注 ,并采用相应安全能力的数据流通安全保障技术和方式进行交付 。

　　e) 如数据交易平台提供数据交付能力 ,宜提供安全稳定的数据交付环境 ,如 :

　　1) 支持原始数据不出域 、数据可用不可见的交付方式 ;

　　2) 提供隔离安全环境 ,并采取数据加密 、访问控制 、数据防泄露 、水印溯源 、安全审计等措施 ,防止交易过程中的数据泄露 、篡改 、破坏或非法获取 、非法交易 、非法利用等 。

　　f) 应提供数据交易平台的热冗余 ,支持本地数据备份恢复 、异地实时备份等功能 ,保证系统和数据的高可用性 。

　　g) 在数据交易平台上利用算法进行数据加工 ,应落实算法提供者主体责任 ,加强算法安全管理 ,确保算法能维护国家安全和社会公共利益 ,保护公民 、法人和其他组织的合法权益 。

　　h) 宜具备恶意代码防护能力 ,对交易数据含有的恶意代码进行检测 。

　　7.3 交易过程安全控制

　　数据交易平台对交易全过程进行安全管控 ,相关过程包括下列内容 :

　　a) 对数据交易主体身份应进行鉴别 ,并对数据交易服务参与方进行权限管理和访问控制 ,授予数据交易所需的最小必要权限 ,实现各参与方的权限分离 ;

　　b) 可对数据交易服务参与方 、对象 、关键过程设置人工干预功能 ,人工干预内容应至少包括交易参与方审核 、交易数据和需求审核 、交易暂停 、交易撤销 、交易恢复 ;

　　c) 宜提供交易合约的创建 、上传 、编辑 、确认等功能 ,交易合约内容包括但不限于数据供方 、数据需方 、处理数据的算法逻辑或相关数据服务 ,数据的使用频次 、使用期限 、使用场景 ,数据安全保护责任和义务等 ;

　　d) 可提供电子化交易合约模板 ,各交易主体对合约条款内容进行电子签名和确认 ;

　　e) 宜采用区块链等技术对交易过程主要环节进行登记存证 ,记录交易参与方 、交易标的 、交易行为等信息 ,并确保存证信息防篡改 、不可伪造和可追溯性 ;

　　f) 数据交易平台对于已实现数据交易 目的或授权到期的交易标的 ,应立即删除并进行日志记录 。

　　8

　　GB/T 37932—2025

　　7.4 交易安全审计

　　数据交易平台应建立安全审计机制 ,包括下列内容 :

　　a) 应记录 、保存平台发布的交易标的信息和交易信息 ,确保信息的完整性 、机密性和可用性 ,交易标的信息和交易信息保存时间 自交易完成之日起不少于 3 年 ;

　　b) 应记录每笔数据交易信息 ,至少包括交易唯一标识 、交易时间 、供方 、需方 、交易标的 、交易量 、交易金额 、交付方式 、交易结果等 ;

　　c) 应在数据交易平台运营过程中 ,记录交易主体 、运营人员的操作处理 、权限管理等日志 , 日志留存时间不少于 6个月 ;

　　d) 应定期开展数据交易安全审计 ,仅授权审计员访问数据交易 日志 ,支持对数据交易 日志进行查询和分析 ;

　　e) 数据交易参与方仅可查询 、导出与自己数据交易相关的 日志信息 ;

　　f) 应采取相应技术手段 ,对日志记录和安全审计结果进行保护 , 防止未授权篡改 、破坏或泄露 。

　　8 数据交易标的安全要求

　　8. 1 禁止交易数据

　　数据交易标的应遵循合法 、安全和可交易原则 ,满足如下要求 。

　　a) 数据交易标的应具有明确 、合理的应用场景和具体用途 。

　　b) 有下列情形之一的数据交易标的 ,不应进行流通交易 :

　　1) 涉及国家秘密的信息 ;

　　2) 危害国家安全和社会稳定的数据 ;

　　3) 涉及损毁他人名誉及未经授权的身份 、财产和其他敏感个人信息等特定个人权益的 ;

　　4) 涉及未经授权的企业数据 、商业秘密等特定企业权益的 ;

　　5) 未经自然人或其监护人同意 ,涉及其个人信息的数据 , 匿名化处理后的个人信息除外 ;

　　6) 侵犯他人生命权 、身体权 、健康权 、姓名权 、名称权 、肖像权 、名誉权 、荣誉权 、隐私权等人格权的数据 ;

　　7) 未经有关部门授权 ,涉及公共利益 、公共安全的公共数据 ;

　　8) 未依法依规公开的原始公共数据 ;

　　9) 关系国家安全 、国民经济命脉 、重要民生 、重大公共利益等国家核心数据 ;

　　10) 以欺诈 、诱骗 、误导等方式或者从非法 、违规渠道获取的数据 ;

　　11) 其他法律 、法规明确规定禁止交易的数据 。

　　c) 数据交易机 构 应 根 据 我 国 相 关 法 律 法 规 , 制 定 禁 止 交 易 数 据 目 录 , 禁 止 交 易 数 据 示 例 见 附录 A。

　　8.2 数据质量合规

　　为确保交易数据的质量和合规 ,数据质量合规包括下列内容 。

　　a) 数据供方应对拟提供的数据交易标的合规性进行评估 ,并向数据交易机构 、数据需方提供合规性评估报告 :

　　1) 针对公开收集的数据 ,应说明公开数据收集的 目 的 、方式 、范围 , 提供公开收集的数据类型 、采集策略 、数据来源 、收集合法性证明等 ;

　　2) 针对组织经营活动和信息系统自行产生的数据 ,应说明系统建设和运维情况及其数据采集的目的 、方式 、范围情况 ;

　　9

　　GB/T 37932—2025

　　3) 针对协议方式获取的数据 ,应提供完整的购买协议 、合作协议或许可使用协议等 ;

　　4) 针对用户授权获取的数据 ,应说明数据获取的目的 、方式范围 ,并提供用户授权证明 。

　　b) 数据供方应向数据交易机构 、数据需方提供拥有交易完整相关权益的明确声明 。

　　c) 数据供方应向数据交易机构 、数据需方提供交易标的真实性的明确声明 。

　　d) 数据供方应明确交易标的的限定用途 、使用范围 、交易方式和使用期限 。

　　e) 数据供方应按照 GB/T 36343要求对交易标的进行准确描述 , 明确数据类别等信息 ,描述信息满足准确性 、真实性要求 。

　　f) 数据交易机构 、数据需方应对交易数据描述和样本的准确性 、真实性进行审核 。

　　8.3 交易数据分类分级保护

　　交易数据分类分级保护 ,包括下列内容 。

　　a) 应遵循 GB/T 43697对交易数据进行分类分级 。

　　b) 结合数据流通范围 、影响程度 、潜在风险 ,应建立公共数据 、企业数据 、个人信息等数据分类分级授权使用和保护机制 。

　　c) 在保护个人隐私和确保公共安全的前提下 ,公共数据应按照 “原始数据不出域 、数据可用不可见 ”的要求 , 以模型 、核验等产品服务等形式向社会提供 。

　　d) 涉及个人信息的 ,应依法依规取得个人同意或经过匿名化处理 ,不应通过强迫 、欺诈 、误导等方式取得个人同意 。

　　e) 应采用匿名化等技术手段 ,对涉及的个人信息可参考相关标准进行匿名化处理 。

　　f) 数据需方变更原先的个人信息处理目的 、处理方式的 ,应依照重新取得个人同意 。

　　g) 涉及重要数据的 ,应符合以下措施之一后可开展流通交易 :

　　1) 经脱敏技术处理后 ,依据所属行业领域的分类分级标准规范重新识别为一般数据 ;

　　2) 在保护国家安全 、个人隐私和确保公共安全的前提下 ,通过 “原始数据不出域 、数据可用不可见 、数据可控可计量 ”等方式进行交易 。

　　9 数据交易过程安全要求

　　9. 1 主体入驻、登记挂牌

　　在主体入驻 、登记挂牌环节满足如下要求 :

　　a) 数据供方应明确界定交易标的的内容范围 、使用范围 、商品形态 , 以确保符合国家相关法律法规的要求 ;

　　b) 数据供方应提供对交易标的的概要描述 ,并提供样本数据 ;

　　c) 在登记挂牌前 ,数据交易机构应评估数据交易标的 ,并对评估结果进行审核和记录 ,确保交易标的的安全性 、合规性和数据质量 ;

　　d) 数据需方应披露数据需求内容 、数据用途 , 以确保符合国家法律法规的要求 ;

　　e) 数据交易机构和数据供方应对敏感个人信息和重要数据进行识别 ,并进行数据脱敏处理 ;

　　f) 数据交易参与方应同意并遵守数据交易机构的各项规章制度 ,承担相应责任与义务 ;

　　g) 数据交易参与方应在参与数据交易业务前 ,完成在数据交易机构的注册 ,并提交相关材料 ,经数据交易机构审核通过 ;

　　注 : 审核材料包括但不限于数据交易参与方基本情况 、企 业 营 业 执 照 复 印 件 、法 定 代 表 人 身 份 证 复 印 件 、书 面 承 诺书等 ,数据场外交易下 ,数据供方 、需方按照数据交易机构的审核要求相互审核 。

　　h) 数据交易机构应对数据交易标的的合规性评估报告进行审核 ;

　　i) 数据交易机构应对申请入驻主体提交的身份 、地址 、联系方式 、行政许可等信息进行核验 、登

　　10

　　GB/T 37932—2025

　　记 ,建立数据交易主体登记档案 ,并定期核验更新 。

　　9.2 交易磋商、订单签订

　　在交易磋商 、订单签订环节满足如下要求 :

　　a) 数据交易机构应对交易标的的类型 、质量 、用途 、使用范围 、交付方式 、使用期限 、交易价格和保密条款等内容与交易参与方协商和约定 ;

　　b) 数据需方应参照数据交易服务平台上提供的样本数据明确交易标的的用途 、使用范围 、交付方式 、使用期限和交易价格等 ;

　　c) 数据交易机构应 对 审 核 通 过 的 交 易 申 请 进 行 登 记 备 案 , 并 对 数 据 交 易 参 与 方 发 出 交 易 确 认通知 ;

　　d) 数据交易机构应就各方磋商结果进行登记并以电子服务合约或合同的形式进行规定 , 内容包括数据交易参与方 、数据的内容描述 、服务产品的算法逻辑和说明 、合约有效期 、定价与收益方式 、交付质量 、交付方式 、使用和加工目的 、使用和加工范围 、安全保护责任和义务 、使用对象和使用期限等 ,合同模板参考有关部门发布的数据流通交易合同示范文本 ;

　　e) 数据商与数据供方应明确数据范围 ,确保加工的过程和结果数据不超出数据供方要求的使用范围 ;

　　f) 数据商应对交易标的的类型 、质量 、用途 、使用范围 、交付方式 、使用期限 、交易价格和保密条款等内容与数据供方进行协商 ,加工数据 ;

　　g) 数据商应根据可能产生的数据内容 、所用于的 目 的 、范围 、所采用的算法逻辑等开展数据安全风险评估 ;

　　h) 数据商应对数据加工过程的访问和操作进行记录 ,并形成审计日志 ,对访问和操作进行记录 、风险监测与分析 ,对识别出的风险及时告警 ;

　　i) 数据商应确保用于数据加工的算法模型具有鲁棒性以抵御恶意攻击 ,恶意攻击包括但不限于对抗样本 、数据投毒和后门攻击 ;

　　j) 数据商应具备数据加工全流程的安全防护能力 ,并提供相应的记录供监督管理 。

　　9.3 产品交付、交易结算

　　在产品交付 、交易结算环节满足如下要求 :

　　a) 按照 GB/T 37988的要求 ,应确保数据需方的数据安全能力成熟度 ,不低于数据供方的数据安全能力成熟度 ;

　　b) 应约定开展数据加工过程中的电子服务合约或合同 ,在加工后数据的权属关系 ;

　　c) 数据交易机构应对交付数据内容进行监测和核验 ,如发现违法违规事件 ,及时中断数据交易行为 , 同时依法依规进行处理 ;

　　d) 数据交易机构应记录数据交付过程 ,所记录信息具有防篡改性 ;

　　e) 数据交易机构应在数据传输链路上部署交易数据监控工具 ,具有完备的数据保护机制和数据泄露检测能力 ;

　　f) 数据供方应在数据需方未完全获取数据产品和服务前 ,有义务保证数据质量符合数据成交时的相关描述 ;

　　g) 数据需方应对所获得的数据产品和服务进行评估验证 ,可委托数据第三方专业服务机构代为评估 ;

　　h) 数据需方在数据供方交付后 ,应按电子服务合约或合同金额及时支付费用 ;

　　i) 若存在交付周期 ,数据交易机构可按周期提供结算服务 ;

　　j) 数据交易机构应按所签署的电子服务合约或合同分配收益 。

　　11

　　GB/T 37932—2025

　　9.4 交易结束、监督维护

　　交易结束 、监督维护环节满足如下要求 :

　　a) 数据交付完成后 ,数据供方和数据交易机构应立即关闭数据访问渠道 ;

　　b) 数据交易参与方在交易结束后 ,应清除相关数据的缓存 ,并对清除记录及数据清除措施的有效性进行检查 ;

　　c) 数据交易机 构 应 对 数 据 交 易 过 程 的 证 据 材 料 进 行 归 档 , 如 交 易 过 程 的 记 录 、合 规 性 评 估 报告等 ;

　　d) 数据交易机构应建立投诉举报渠道 ,维护交易过程中各相关方权益 ;

　　e) 数据交易机构应提供交易过程记录材料供监督管理和纠纷处理 ;

　　f) 数据交易机构应建立数据安全事件响应机制来应对数据交易各环节的数据泄露 、滥用等情况 。

　　12

　　GB/T 37932—2025

　　附 录 A

　　(资料性)

　　禁止交易数据示例

　　A. 1 危害国家安全和社会稳定的数据

　　危害国家安全和社会稳定的数据示例如下 :

　　a) 反对宪法所确定的基本原则的 ;

　　b) 危害国家安全 ,泄露国家信息 ,颠覆国家政权 ,破坏国家统一的 ;

　　c) 损害国家荣誉和利益的 ;

　　d) 煽动民族仇恨 、民族歧视 ,破坏民族团结的 ;

　　e) 破坏国家宗教政策 ,宣扬邪教和封建迷信的 ;

　　f) 散布谣言 ,扰乱社会秩序 ,破坏社会稳定的 ;

　　g) 散布淫秽 、色情 、赌博 、暴力 、凶杀 、恐怖或者教唆犯罪的 ;

　　h) 涉及枪支弹药 、爆炸物品 、剧毒化学品 、易制爆危险化学品和其他危险化学品 、放射性物品 、核材料 、管制器具等能够危及人身安全和财产安全的危险物品的 ;

　　i) 宣扬吸毒 、销售毒品以及传播毒品制造配方的 ;

　　j) 涉及传销 、非法集资和非法经营等活动的 ;

　　k) 含有法律 、行政法规禁止的其他内容的 。

　　A.2 涉及个人权益的数据

　　涉及个人权益的数据示例如下 :

　　a) 侮辱或者诽谤他人的 ;

　　b) 捏造损害他人名誉的 ;

　　c) 未经个人授权的可直接识别到特定个人的身份数据 ,如 :身份证号 、社保号 、驾驶证 、护照/台胞证等有效证件号码 、电话 、微信 、QQ等即时通信账号 、E-mail地址等 ;

　　d) 未经个人授权的可直接识别到特定自然人的数据 ,如 :姓名 、性别 、民族 、出生日期或年龄 、本人相片 、婚姻状况 、工作单位 、学历 、履历等个人数据 , 常住户 口所在地住址或家庭地址,指纹 、健康疾病等生物数据 ;

　　e) 未经个人授权的可直接识别到特定个人的财产数据 ,如 :收入和支付记录 、银行卡账号 、证券账户数据 、房屋登记数据 、保险单等 。

　　A.3 涉及企业权益的数据

　　涉及企业权益的数据示例如下 :

　　a) 未经企业授权的企业客户数据 ;

　　b) 未经企业授权涉及企业商业信息的 ,如 :财务数据 、产销数据 、货源数据 、工艺配方 、技术方法 、计算机程序等 。

　　13

　　GB/T 37932—2025

　　参 考 文 献

　　[1] GB/T 38636—2020 信息安全技术 传输层密码协议(TLCP)

　　[2] GB/T 45577—2025 数据安全技术 数据安全风险评估方法

　　[3] 中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见(国务院公报 2023年第 1 号)

　　[4] 国家发展改革委 、国家数据局 、中央网信办 、工业和信息化部 、公安部 、市场监管总局联合印发关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案(发改数据〔2025〕18号)

　　[5] 国家数据局综合司 、市场监管总局办公厅联合印发数据流通交易合同示范文本的通知(国数综政策〔2025〕78号)

　　14