YD_T 4385-2023 可信数据服务 可信数据供方评估要求.docx

《YD_T 4385-2023 可信数据服务 可信数据供方评估要求.docx》由会员分享，可在线阅读，更多相关《YD_T 4385-2023 可信数据服务 可信数据供方评估要求.docx（11页珍藏版）》请在课桌文档上搜索。

1、ICS35.240CCS1.77YD中华人民共和国通信行业标准YD/T43852023可信数据服务可信数据供方评估要求Trusteddataservicetrusteddataproviderassessmentrequirements2023T1.f1.实施2023-07-28发布中华人民共和国工业和信息化部发布目次前三II1.1范围12规范性引用文件I3术语与定义I4总体要求25数据供方要求与分类25.1 数据供方的资质25.2 数据供方的分类26数据产M管理36.1 数据产品的采集36.2 数据产品的质量36.3 数据产品的存储46.4 数据产品的安全管理47数据产品供应管理47.1 数

2、据产品供应的基本管理47.2 数据产品供应的过程管理47.3 数据产品供应的安全管理5附录R（资料性）禁止对外提供数据产从类型清单6本文件按照GB,T1.12020*标准化工作林则第1部分：标准化文件的结构和起草规则3的规定起草。本文件为可信数据服务系列标准之一，该系列标准的结构和名称如下.可信数据服务可信数据供方评估要求.可信数据服务可信数据流通平行评估要求，可信数据服务金融机构外部可信数据源评估要求，可信数据服务多方数据融合挖掘技术要求。请注意本文件的某模内容可能涉及专利，木文件的发布机构不承担识别这些专利的贡任。本文件由中国通信标准化协会提出并归口。本文件起草单位：中国信息通信研究院、华

3、为技术有限公司、武汉东湖大数据交易中心股份有限公司、北京描电大学、浙江数秦科技有限公司、北京飞利信科技股份有限公司、联洋国融（北京）科技有限公司、北京搜狐新媒体信息技术有限公司、北京携界科技有限公司、广东信安数据有限公司、北京派客动力科技有限公司、中国外运股份有限公司、上海康耐特旗计智铤科技集团股份有限公司、海纳致远数字科技（上海）有限公司。本标准主要起草人：闫树、魏凯、姜春宇、段晓惹、耿涛、衣强、扬浩盘、刘海涛、杜乐、解飞沔、将雪淞、司亚清、冯晔.夏十、王费、康明、李家明、粽猛、孙小亮、崔丽莎、马晓明、赵晓庆、王维、郑皓元、张春拓、骆阳、高伟、杜绍森、望至冰、宋清波、苗方田、王鹏程、啊锐、王

4、林军、陈丰生、赵音龙、轲文龙、林三吉、林婷。可信数据服务可信数据供方评估要求1范B1.本文件规范了通过流通平台提供数据产品的数据供方在业务资质、数据产品管理、数据产品供应管理等方面的评估方法与要求.本文件适用于数据供方企业在数据产M管理、数据产M供应管理、业分合规等方面的制度建设与管理实施.2侬性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.其中，注日期的引用文件，仅该H期对应的版本适用于本文件：不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件.本文件没有规范性引用文件。3和S与定义下列术语和定义适用于本文件。3.1JR据供方dataPrOVidCr以源

5、数据为标的，通过数据集、数据流或者数据AP1.等方式，向数据需方提供数据，并从中获益的主体,简称为“供方”.3.2数据雷方datademander取得使用许可或相关授权，经流通平台获取并合理使用数据的主体，简称为“需方”。33Mjtt.与主体circu1.ationsubject通过数据流通平台进行提供或获取并使用数据的主体，是数据供方和数据需方的统称。3.4WWRoriginaIdata数据供方收券的数据。数IR产品dataproduct由数据供方对外提供的数据、数据应用或其他相关产品.4总体要求可信数据供方应尊城商业道t及社会公德，践行相关标准及规范，不损害国家利益、社会公共利益及公民的合

6、法权益,具备法律可信、流程可信、管理可信和用户可信的能力，具体如3a）应严格符合相关法律法规的要求在许可范用内进行数据流通活动。b）应规范业务流程,符合业内普遍共识，C）应规范管理过程，确保管理要求覆盖全面.d）应通过技术保障、制度的束等方式提升用户信任度。5敷供方要求与分类数据供方企业应为我国境内合法注册的企业，具有企业社会统一信用代码证或其他合法资质证照.企业的经营范围应包括数据提供与数据交易相关的各项商品类别、品种及服务项H.数据供方宜证明其具有向数据需方安全交付相应数据的能力，必要时数据供方应具有国家机构或国际权威机构核发的FT类资质认证（例如系统集成资所.国家信息安全测评信息安全服务

7、资质等）质量管理体系认证等资质。5.2败提供方的分类果据数据产生后的权属转移路径的不同模式，数据供方可分为以下三类，数据供方的分类如图1所示.a）数据源（或数据生产提供商）：在自身的生产经营过程中,自接生产数据,将数据作为商品，与数据需求方/数据使用方进行交易，并从中获怒的经营实体，具体包括政府数据源供应商、互联网数据源供应商、移动通信数据源供应商、物联网数据源供应商、其他行业数据源供应商等。b）数据代埋商（或数据整合提供商）：经数据生产提供商授权后，直接将数据产岛同数据需方进行交易，并从中获益的经件实体，其实质是数据中介。C）数据交易赧务组织：通过数据采购协议，从数据生产提供商直接采购数据，

8、独立与数战福方合作，并提供数据的经泮实体，具体包括专业数据交易平台、独立数据交易平台、自有数据交易平台等，h砧父HfiHi1O1数的分类6g产品a数据产品包含数据、数据应用及其他相关产品，数据供方作为数据产品的提供者，应在数据采集、质量、存储、供应、的输与交付等各个环节对数据产品诳行管理，保障数据产品的安全有效。&1效据产品的采*数据供方应确保数据产品的采集合规,具体要求如Ka）数据供方应实施适当的技术措施确保采集数据的保密性、完整性和可用性。b）数据供方应对采集的数据进行分类和标识。C）数据供方采桀的数据应符合相关法律法规的规定。d）数据供方应确保有权进行相关数据交易并负费获取迸行数据交易所

9、将的许可和同忠不得以非法入侵、越权访问或盗用账号等方式获取数据.O如果数据产品来源于用户的个人数据应按照C中华人民共和国网络安全法等法律法规的要求,遵循合法、正当、必要的原则并获得个人数据主体的授权同意，n授权同懑的内容应包括同意收集的个人数据类型、使用目的、是否同意转让、共享、公开披露等。&2败据产品的履数据供方提供的数据信息，应包括数据编号、数据名称、关键词、所屈行业、数据种类、数据内容、数据价格、数据冲费方式、数据规模、数据存储格式、采集时间.数据发布时间、数据溯源、数据质量、交付方式、供方权属范围、需方权M范围、更新须改、更新方式等必选信息，以及语种、数据用途、失效时间、水印标识、器名

10、标识等可选信息，数据供方对数据产品的质量管理应贯穿从采集到对外传输的全过程,对于数据产品的质量要求包括但不限于以下内容.a）掂确性：即数据是否正确、是否有效、表达含义是否准确。b）致性：即数据在所有副本或存在形态中是否全部致，C）完整性：即数据记录是否完朝、元数据是否完整.YD/T438S2023d）规范性：即数据在标准代码、引用的基础数据、数据结构和存储等方面管理规范，e）唯一性：即数据不就划、可唯一识别和使用.0关联性：数据之间可有效关联。6.3 数据产品的存储数据供方应确保数据产M的存储合规，具体要求如下。a）数据供方应定期检杳存储的数据质量，对关键数据应具有完整性信测机制，俄锣发现数据

11、存储阶段造成的关键数据损坏和丢失.b）数据供方应建立数据分类存储要求并实施、建立存储加密架构.O数据供方应建立数据存储访问控制机制，严格防止数据存储过程中出现泄露，6.4数据供方应确保数据产品的管理安全,具体要求如卜：a）数据供方应时数据的采集、存储及传输等环节建立分类分级、实能严格的安全要求具体如3D可收据数据的来源、内容和用途等将数据分为身份信息数据、鉴权信息数据、内容信息数据等类别。2）可按照数据的价值、内容破格程度、影响和分发范附的不同将数据划分为普通数据、敏学数据和机版数据等。3）数据产品不应包含机密信息.b）数据供方应对数据产品的管理进行口志记录，并对异常行为及时告警.7Kajft

12、AiKfim7.MZEAa*rn数据产品供应基本要求如下.a）数据供方应确保数据产品由合法柔道获取，并保证真实性、准确性.b）数据供方应制订禁止对外提供的数据产品目录.对外提供数据产品不应包含附录A中所列的内容。C）数据供方应按照同数据器方或数据流通平台约定的交付方式与时间范圉完成交付，并且应建立相应的作业流程、机制和技术手段,保障在与数据需方、数据流通平台的协议约定期限内,持线不间断的供应数据产A1.7.2 敷品供应的过程理7.2.1 raAMftmttm数据供方在提供数据产M时，应同数据海方或数据流通平台明确交易数据的限定用途、使用范围、交易方式和使用期限等,具体如3a）数据供方通过AP1

13、.方式提供数据的，应约定包含但不限于接口开放时间、频次、单次数据下我fit访问权限等级、访问权限人数b）数据供方通过在线提供离线数据包的应约定包含但不限于数据传输方式、数据接收频次、访问权限限制。C）数据供方在联合建模等模型开发环境中提供数据包的，应约定包含但不限于数据传输方式、数据接收频次、访问权限限制.7.2.2 敷据产品的府数据供方应在同数据需方或数据流通平台约定的传输时间、加裁时间、传输成功率等范围内进行数据产品的传输，具体要求如下.a）应确保数据传输过程的安全，避免因数据传输中断、遭受攻击等造成数据破坏、丢失、圆改。b）应采用加密、签名、器别和认证等机制保证传输中的数据安全。7.2.

14、3 敬援产品的授权访问故据供方应确保数据需方在授权范围内对数据产M进行安全访问，具体要求如下。a）数据供方在提供数据产M时应建立基于角色、人员的数据访问控制流程，提供安全可能的数据访问环境.b）数据供方应当实施适当的技术和组织措施,防止未经授权的访问和非法处理,避免数据的意外损失和破坏。7.2.4 *WtcAMm数据供方若与数据需方或数据流通平台约定数如;流通后不得留存，则应约定机关数据产M的锢观方式和要求。7.3 M品供应的安全仰1数据供方应确保数据产品的供应过程安全,具体要求如葭a）数据供方应分别为数据需方、数据流通平台提供安全的上传或下我接口，采取传输俄路加容等保护指倏.确保数据传输的安

15、全.b）数据供方宜对交易数据实施加I密存储、访问控制等安全措描，防止数据漫宓或非法使用。C）数据供方应采取必要的措施识别数据产品供应过程中的安全漏洞和隐患，对发现的安全漏洞和防患及时进行修补或评估可能的影响后进行修补。d）数据供方应针对参与数据供应的不同人员制定不同的保密规定，卷订保密协议，并进行相关的资质审核。YD/T43852023藕对外*U*8期清单a.i危M家安全和社会定的依据禁止危害国家安全和社会稔定的数据进行流通,包括但不限丁以下内容.a）反对宪法所确定的基本原则的，b）危害国家安全，泄露国家秘密，做覆国家政权，破坏国家统的。O损郭国家荣誉和利益的。d）煽动民族仇恨、民族歧视，破坏

16、民族团结的。e）破坏国家宗教政策，宣扬邪教和封建迷信的。0敌布谣言.，扰乱社会佚序，破坏社会稳定的。g）散布涅秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的.h）涉及怆支弹药、爆炸物品、剧毒化学品、易制爆危险化学品和其他危险化学品、放射性物品、核材料、管制器具等能终危及人身安全和财产安全的危险物品的，i）宣扬吸溟、销出毒品以及传播毒品制造配方的，j）涉及传销、非法集资和法经营等活动的。k）含有法律、行政法规禁止的其他内容的。A2可闻期摘转定个人并影响个人权独的敷一禁止可直接识别到特定个人并影响个人权益且未征得个人同意的数据进行流通,包括但不限以下内容。a）侮辱或者诽谤他人的，b）捏造损害他人名

17、誉的，未经个人授权的可直接识别到特定个人的身份数据.包括但不限以下内容，a）公民身份号码、社保号、驾驶证、护照/台胞证等有效证件号码。W电话、微信、QQ等即时通信账号、EFai1.地址.未经个人授权的可直接识别到特定个人的敏感数据.包括但不限以下内容，a）姓名、性别、民族、出生日期或年龄、本人相片。b）婚姻状况、工作单位、学历、履历等个人数据。C）揭示个人宗教信仰、政治立场、性取向的信息。d）指纹、虹膜、基因、血型等生物数据.e）个人健康状况、病史、医疗记录信息。0常住户1.1.所在地住址或家庭地址。未经个人授权的可直接识别到特定个人的财产数据,包括但不限以下内容.a）收入和支付记录。b）银行卡账号。C）证券账户数据，d）房屋登记数据,O保险单.A3港及特定企业权益的败据禁止涉及特定企业权益的信息进行流通，包括但不限于以下内容,a）企业非自愿公开的财务数据。b）企业非自愿公开的产销数据。O企业非自愿公开的货源数据.d）企业非自愿公开的工艺配方.e）技术方法.t）受专利保护的计算机程序。g）企业非自愿公开的客户及合作企业信息.