《数据交易合规评估规范》标准文本.docx

ICS35.040CCSL80

DB4403

深圳市地方标准

DB4403/TXXXXX—XXXX

数据交易合规评估规范

Datatransactionscomplianceassessmentspecification

（送审稿）

XXXX-XX-XX发布XXXX-XX-XX实施

深圳市市场监督管理局发布

I

DB4403/TXXXXX—XXXX

目次

前言 II

1范围 1

2规范性引用文件 1

3术语和定义 1

4评估原则 3

5评估框架 3

6评估等级 4

7主体合规评估 5

8标的合规评估 10

9流通合规评估 16

10评估过程要求 21

附录A（资料性）数据交易合规评估建议文档 22

参考文献 25

II

DB4403/TXXXXX—XXXX

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。

本文件由深圳市政务服务和数据管理局、深圳市司法局提出并归口。

本文件起草单位：深圳数据交易所有限公司、福田区司法局、深圳市北鹏前沿科技法律研究院、深圳市标准技术研究院、蚂蚁区块链科技（上海）有限公司、华为云计算技术有限公司、深圳市腾讯计算机系统有限公司、荣耀终端有限公司、深圳华大基因科技有限公司、中国电子信息产业集团有限公司、比亚迪股份有限公司、阿里云计算有限公司、华润数科控股有限公司、天职国际会计师事务所、奇安信科技集团股份有限公司、OPPO广东移动通信有限公司、安永（中国）企业咨询有限公司。

本文件主要起草人：王青兰、张平、张颖、王艺、陈一芊、李兰兰、胡婧卓、南红玉、龙军、赵艳明、谭丽、肖声高、曹海雷、王显军、刘山泉、李红光、张文娟、王冠、王腾。

1

DB4403/TXXXXX—XXXX

数据交易合规评估规范

1范围

本文件规定了数据交易合规评估的评估原则、评估框架、评估等级、主体合规评估要求、标的合规评估要求、流通合规评估要求以及评估过程要求。

本文件适用于主管部门和监督管理部门、交易主体、第三方法律服务机构、数据交易场所运营机构等数据交易相关方管理和实施的数据交易合规评估活动。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T22239—2019信息安全技术网络安全等级保护基本要求

GB/T25069—2022信息安全技术术语

GB/T33770.6—2021信息技术服务外包第六部分：服务需求方通用要求GB/T35273—2020信息安全技术个人信息安全规范

GB/T35295—2017信息技术大数据术语

GB/T37932—2019信息安全技术数据交易服务安全要求

GB/T41479—2022信息安全技术网络数据处理安全要求

GB/T42460—2023信息安全技术个人信息去标识化效果评估指南DB4403/T271—2022公共数据安全要求

3术语和定义

GB/T25069—2022、GB/T35295—2017界定的以及下列术语和定义适用于本文件。3.1

个人信息personalinformation

以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。

注1：个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等，不包括匿名化处理后的信息。

注2：关于个人信息的判定方法、相关术语、子分类，参见GB/T35273—2020附录A。

注3：个人信息处理者通过个人信息或其他信息加工处理后形成的信息，例如，用户画像或特征标签，能够单独或者与其他信息结合识别特定自然人身份或者反映自然人活动情况的，属于个人信息。

3.2

敏感个人信息sensitivepersonalinformation

一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。

注：包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未