1工業數據流通合規性檢查規范本文件規定了數據供方合規檢查、數據來源合規檢查、交易數據合規檢查、數據處理過程合規檢查、可追溯檢查、數據出境合規、征信場景下數據合規檢查和檢查過程等方面的內容。本文件適用于工業數據流通中的數據合規性檢查。2規范性引用文件下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T5271.1-2000信息技術詞匯第1部分：基本術語GB/T22240-2020信息安全技術網絡安全等級保護定級指南GB/T28448-2019信息安全技術網絡安全等級保護測評要求GB/T35273-2020信息安全技術個人信息安全規范GB/T35274-2023信息安全技術大數據服務安全能力要求GB/T37932-2019信息安全技術數據交易服務安全要求GB/T39204-2022信息安全技術關鍵信息基礎設施安全保護要求GB/T39335-2020信息安全技術個人信息安全影響評估指南GB/T41479-2022信息安全技術網絡數據處理安全要求3術語和定義下列術語和定義適用于本文件。3.1數據data信息的可再解釋的形式化表示，以適用于通信、解釋或處理。[來源：GB/T5271.1-2000,01.01.02]3.2數據供方datasupplier數據交易中提供數據的組織機構。[來源:GB/T37932-2019，3.2]3.3數據需方dataacquirer數據交易中購買和使用數據的組織機構。[來源:GB/T37932-2019，3.3]3.42數據交易datatransaction數據供方和需方之間以數據商品作為交易對象，進行的以貨幣或貨幣等價物交換數據商品的行為。注1：數據商品包括用于交易的原始數據或加注2：數據交易包括以大數據或其衍生品作為數據商品的數據交易，也包括以傳統數據或其衍生品作為數據商品的數據[來源:GB/T37932-2019，3.1]3.5數據交易服務機構datatransactionservice為數據供需雙方提供數據交易服務的組織機構。[來源:GB/T37932-2019，3.4]3.6匿名化anonymization個人信息經過處理無法識別特定自然人且不能復原的過程。[來源:GB/T41479-2022，3.13]3.7個人信息personalinformation以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息。注1：個人信息包括姓名、出生日期、身份證件號碼、個人生物識別信息、住址、通信通訊聯系方式、通信記錄和內容賬號密碼、財產信息、征信信息、行蹤軌跡、住宿信息、健康注2：個人信息控制者通過個人信息或其他信息加工處理后形成的信息，例如,用戶畫像或特征標簽,能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的,[來源:GB/T35273-2020，3.1，有修改]3.8關鍵信息基礎設施criticalinformationinfrastructure公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施、信息系統等。[來源:GB/T39204-2022，3.1]3.9數據流通datacirculation數據及數據產品在不同實體間流轉的行為。4縮略語下列縮略語適用于本文件：API：應用程序接口（ApplicationProgrammingInterface）SDK：軟件開發工具包（SoftwareDevelopmentKit）35檢查內容5.1數據供方合規檢查5.1.1業務資質檢查應根據數據供方的經營范圍、具體業務模式和數據產品類別等，對數據供方取得的行政許可及相關證照的完備性、運營主體的一致性、授權范圍與實際數據處理相關活動的匹配性以及質量管理體系的健全性進行檢查。5.1.2數據安全檢查應對數據供方提供的數據安全情況進行檢查，檢查要求如下：a）按照GB/T28448-2019中的測評要求對網絡信息系統進行檢查。必要時，對網絡信息系統安全保護措施和測評整改符合要求的情況進行核查；b）按照GB/T22240-2020的要求對數據提供者的網絡安全保護等級定級結果進行復核；c）如涉及關鍵信息基礎設施，應按GB/T39204-2022的相關要求進行檢查；d）按照GB/T35274-2023的要求對數據提供方是否滿足最低安全防護要求或技術保護措施進行檢查及在數據流通過程中是否遵循有關法律法規及部門規定要求采取數據脫敏、數據加密、安全通道等措施進行檢查；e）如采用特定變換的方法對不屬于國家秘密的信息等進行加密保護、安全認證，應檢查其所采用的技術、產品和服務是否符合商用密碼管理的相關要求。5.1.3委托處理數據的檢查數據供方委托外部機構進行數據處理時，應檢查以下內容：a）建立數據安全風險評估、個人信息安全影響評估以及內外部數據安全、網絡安全檢查與評估制度的情況；b）對外部機構業務資質檢查的相關記錄，外部機構業務資質檢查內容包括行政許可及相關證照的完備性、運營主體的一致性、授權范圍與實際數據處理相關活動的匹配性以及質量管理體系的健全性；c）與外部機構簽訂的數據處理合同或協議的效力及內容，包括合同約定的履行數據安全要求、數據處理目的、處理期限、處理方式、信息種類、保護措施、處理地點、銷毀、轉委托處理、分享以及雙方的權利和義務等；d）對外部機構數據處理過程的監督記錄，包括履行數據安全保護義務情況、處理方式及處理地點的正確性、是否進行超出目的處理、處理后數據的刪除和銷毀情況等；e）如涉及處理個人信息，應檢查委托前進行個人信息安全影響評估的實施記錄和記錄保存情況，個人信息安全影響評估活動應依據GB/T39335-2020開展。5.2數據來源合規檢查數據來源包括自有數據和外部獲取數據，各類型的數據來源合規檢查內容應包括：a）自有數據：檢查數據分類分級制度及落實情況，檢查不同數據等級的安全機制；b）外部獲取數據：企業從外部渠道獲取的數據，包括直接獲取和間接獲取：41）直接獲取。針對公開數據采集，從采集數據是否會侵犯其他主體的合法權益、采集方法和使用目的等方面進行檢查；針對數據主體自主輸入上傳或同意采集的數據，除應重點審查授權情況外，還應檢查數據源是否涉密；針對以第三方組件方式采集數據的，除檢查授權外，還需審查采集方是否對第三方組件具有完整的內控制度；針對采集水文、氣候及地理測繪等客觀世界數據，則應綜合國家利益、所涉行業、采集方性質等多方因素綜合檢查來源合規；2）間接獲?。簷z查采購協議或授權許可協議的真實性、合理性。5.3交易數據合規檢查交易數據合規檢查內容應包括：a）應檢查交易數據是否包含GB/T37932-2019中6.1列出的禁止交易數據；b）應檢查交易數據的安全風險評估報告的全面性、真實性；c）應檢查交易數據描述和樣本的準確性、真實性；d）應檢查交易數據的分類結果是否正確；e）根據不同類別數據遭篡改、破壞、泄露或非法利用后，可能對國家安全、國民經濟、行業發展、公眾利益、社會秩序及企業等帶來的潛在影響，將數據分為一級（一般數據）、二級（重要數據）、三級（核心數據）3個級別。交易數據為重要數據的，應檢查是否已取得相關部門對于數據交易的同意或許可，應檢查重要數據傳輸過程中是否采取校驗技術、密碼技術、安全傳輸通道或者安全傳輸協議等措施。5.4數據處理過程合規檢查5.4.1數據收集數據收集情況的檢查內容應包括：a）收集信息的合法性基礎，包括相關資質、行政許可、授權等；b）個人信息的收集是否符合GB/T35273-2020中第5章的要求和最小化原則；c）數據收集授權的展示時機、形式（明顯、非默認同意）和內容的規范性；d）實際收集數據與隱私政策、用戶協議等內容是否一致。5.4.2數據存儲數據存儲情況的檢查內容應包括：a）存儲時間是否超過與重要數據和個人信息主體約定的存儲期限或個人信息主體授權同意有效期；b）存儲個人生物特征識別信息的,是否符合GB/T35273-2020中6.3b)和c)的要求及生物特征識別信息保護相關國家標準要求；c）數據及其副本的存儲地點是否符合數據本地化存儲和數據跨境相關要求。5.4.3數據使用與加工數據使用與加工的檢查內容應包括：a）數據的使用和加工是否獲得相關方的授權；b）數據實際使用、加工的方式和范圍符合約定；c）是否涉及相關規定禁止的數據使用和加工，如未獲得用戶授權、用戶已撤回同意、歧視性的營銷策略、違反道德倫理等情況。5.4.4數據傳輸與提供5數據傳輸與提供的檢查內容包括但不限于：a）數據傳輸是否符合GB/T41479-2022中5.6的要求；b）數據提供是否符合GB/T41479-2022中5.7的要求；c）涉及第三方SDK組件或API接口的，檢查是否對SDK組件或API接口進行安全檢測，是否存在已知的安全漏洞和可能引起數據泄露或未授權的數據出境行為。5.4.5數據公開數據公開的檢查內容應包括：a）數據公開是否會危害國家安全、公共安全、經濟安全和社會穩定；b）數據公開行為和內容是否取得了相關單位的許可和授權；c）公開對個人權益有重大影響的個人信息，是否已取得個人同意；d）公開的數據應具備一定的質量，包括完整性、準確性、可信性和可用性等方面。對于一些敏感或機密的數據，應設置訪問權限，只有特定用戶可以訪問和獲取數據。5.4.6數據刪除數據刪除的檢查內容應包括：a）數據刪除的范圍是否包括數據本身及其所有副本；b）檢查數據刪除是否符合GB/T41479-2022中5.13、GB/T35273-2020中8.3和8.5的要求。5.4.7數據匿名化數據匿名化處理的檢查內容應包括：a）數據匿名化處理范圍是否包括數據本身及其所有副本；b）檢查數據匿名化處理是否符合GB/T41479-2022中5.13、GB/T35273-2020中8.5的要求。5.5可追溯檢查5.5.1文件檢查應檢查數據交易服務機構是否建立并留存以下文件：a）交易數據的來源介紹和證明文件；b）交易數據的處理記錄、使用記錄和審查記錄；c）數據供方和數據需方的基本信息；d）交易過程的記錄。5.5.2技術措施檢查應檢查是否采用商用密碼等技術，將數據供方、數據需方身份信息，交易合同或協議，交易數據和交易過程等信息進行登記、備案。應檢查數據交易服務平臺是否具備交易過程信息，數據供方、數據需方身份信息及交易數據等信息的交易溯源功能。5.5.3數據登記5.5.3.1基本原則為保證數據交易可追溯，數據交易服務機構宜建立數據確權登記、數據權利對抗登記和數據交易存證登記等數據登記制度，但建立并落實登記制度不是數據交易的必要條件。65.5.3.2數據確權登記數據確權登記是針對權利歸屬情況清晰、產權主體單一的數據進行的登記，如在不涉及數據安全問題的情況下，應對企業自行收集的實驗數據、測繪數據進行的初始權利登記，其目的在于通過嚴格審查程序明確數據初始產權。5.5.3.3數據權利對抗登記數據權利對抗登記是對數據整體轉讓和排他許可使用進行的登記，登記產生對抗第三方的法律效力。數據權利對抗登記的目的在于通過對數據權利主體、使用權限和轉讓過程的記載，明確數據供方處理數據權限、數據需方使用數據的范圍。5.5.3.4數據交易存證登記數據交易存證登記是針對涉及普通許可使用或者數據服務場景下，數據交易歷程的登記，登記對象為數據產品的普通許可使用和數據開發服務，其目的在于通過對歷次交易核心內容的記錄與公示，為交易溯源提供依據和證明。5.6數據出境合規評估及檢查5.6.1出境安全評估要求重要數據和個人信息在出境前，應由數據交易服務機構向數據出境安全相關主管部門提交數據出境安全評估申報，提出申報前，還需自行進行出境風險自評估或委托具有工業數據流通服務機構授權或許可的第三方機構進行評估。委托處理可參考T/SZBA001-2023中7.2.2中的要求。出境風險自評估應從以下角度進行：a）出境數據，包括規模、范圍、種類、敏感程度和潛在風險；涉及個人數據的，向個人告知境外數據接收方的名稱、聯系方式、出境目的、出境方式、個人信息種類及個人向境外數據接收方行使權利的方式和程序等，并取得個人明示同意；b）數據出境行為可能對國家安全、公共利益、個人或者組織合法權益帶來的風險；數據出境和境外接收方處理數據的目的、范圍、方式等的合法性、正當性、必要性，是否符合最小必要原則；關鍵信息基礎設施的運營者在境內運營中收集和產生的個人信息和重要數據應當在境內存儲；c）境外接收方承諾承擔的責任義務，以及履行責任義務的管理和技術措施、能力等能否保障出境數據的安全；當地的保護政策及保護水平是否滿足我國相關政策、法規及標準化文件的要求；d）數據出境中和出境后遭到篡改、破壞、泄露、丟失、轉移或者被非法獲取、非法利用等的風險，使用境外的數據服務商和SDK組件可能引起的潛在的數據出境風險情況，以及個人信息權益維護的渠道是否通暢等；e）與境外接收方擬訂立的數據出境相關合同或者其他具有法律效力的文件等是否充分約定了數據安全保護責任義務，且合同中應至少約定數據出境的目的、方式和數據范圍，境外接收方處理數據的用途、方式等；f）數據在境外保存地點、期限，以及達到保存期限、完成約定目的或者法律文件終止后出境數據的處理措施；g）對于境外接收方將出境數據再轉移給其他組織、個人的約束性要求；h）境外接收方在實際控制權或者經營范圍發生實質性變化，或者所在國家、地區數據安全保護政策法規和網絡安全環境發生變化，以及發生其他不可抗力情形導致難以保障數據安全時，應當采取的安全措施；i）違反法律文件約定的數據安全保護義務的補救措施、違約責任和爭議解決方式；出境數據遭到篡7改、破壞、泄露、丟失、轉移或者被非法獲取、非法利用等風險時，妥善開展應急處置的要求和保障個人維護其個人信息權益的途徑和方式。5.6.2數據出境評估人員要求數據出境評估人員需要具備一定的專業知識和技能，以確保對數據出境過程的全面評估和監控。以下是對數據出境評估人員的基本要求：a）法律和合規知識：熟悉涉及數據出境的法律、法規和標準，包括數據保護法、隱私法和相關行業規范。了解不同國家和地區的法律要求，并能準確評估數據出境的合規性；b）數據管理和分類技能：理解數據的分類和敏感性評估方法，能夠確定數據類型和級別，并確定適當的安全保護措施；c）風險評估與管理能力：能夠識別和評估數據出境過程中的安全和隱私風險，并提供相應的風險控制和管理建議；d）信息安全知識：具備信息安全的基本知識，包括密碼學、訪問控制和身份認證等。了解數據加密、數據傳輸安全等技術控制措施，并能評估其在數據出境過程中的應用情況；e）隱私保護和倫理意識：具備關于個人隱私保護和倫理的專業知識和意識，能夠確保對個人數據的合理使用和保護，并遵守相關道德準則；f）項目管理技能：能夠有效組織和管理數據出境評估項目，包括制定項目計劃、協調相關人員、跟蹤進展等。5.6.3數據出境合規檢查數據出境合規檢查內容包括但不限于：a）涉及個人信息的，是否向個人告知境外接收方的名稱或者姓名、聯系方式、出境目的、出境方式、個人信息的種類以及個人向境外接收方行使本文件規定權利的方式和程序等事項，并取得個人的明示同意；b）是否具有個人信息安全影響評估的責任部門或責任人員，是否自行開展或聘請外部獨立第三方機構進行個人信息保護影響評估，個人信息保護影響評估報告和處理情況記錄是否妥善保存；注：個人信息安全影響評估活動應依據GB/T3c）是否與境外接收方訂立合同，約定雙方的權利和義務。合同中是否約定數據出境的目的及方式、境外數據保存情況、境外數據再轉移、不可抗力以及其他違約或侵權事宜及其解決途徑與方式；d）數據出境處理活動是否需要向相關管理機構申報數據出境安全評估，如需要申報，應開展數據出境風險第三方評估或自評估，并向相關管理機構申報數據出境安全評估；e）關鍵信息基礎設施的運營者在中國境內運營中收集和產生的個人信息和重要數據是否在中國境內存儲；f）出境數據是否包含相關管理機構認定的不得出境的數據；g）是否存在使用境外的服務供應商和第三方SDK組件可能引起的潛在的數據出境風險情況；h）是否建立并保存跨境傳輸相關的管理記錄，包括傳輸發送方、接收方及所在區域、傳輸機制、信息類型、處理目的、合同條款、數據主體同意的相關記錄。5.7征信場景下數據合規檢查的特殊要求5.7.1征信機構采集數據合規檢查征信機構采集數據合規情況，應檢查以下內容：a）征信機構是否對數據來源、數據質量、數據安全措施和數據主體授權等進行必要檢查；b）采集的數據是否包含個人的宗教信仰、基因、指紋、血型、疾病和病史信息以及法律、行政法規8規定禁止采集的其他個人信息；c）采集的數據是否包含個人的收入、存款、有價證券、商業保險,不動產的信息和納稅數額信息，如包含上述信息，是否明確告知信息主體提供該信息可能產生的不利后果，并取得其書面同意；d）征信機構是否與數據供方通過協議等形式明確信息采集的原則以及各自在獲得數據主體同意、數據采集、加工處理、數據更正、異議處理和數據安全等方面的權利義務和責任。5.7.2征信機構提供數據合規檢查征信機構提供數據合規情況，應檢查以下內容：a）征信機構是否取得相關行政許可、是否已依法辦理相關備案；b）征信機構采集個人信用信息的方式、方法，是否遵循最小必要的原則，是否存在過度采集情況；c）征信機構是否提供相應的證據或承諾表明已采取合理措施，保障提供數據的準確性，數據采集、存儲和加工等過程中不存在篡改原始信息的情形。6檢查過程6.1檢查準備6.1.1主要工作內容檢查準備階段主要工作內容包括制訂檢查方案、調研、資料收集。6.1.2檢查方案檢查方案應包括以下內容：a）檢查團隊的人員數量、專業組成以及溝通機制；b）根據檢查對象和檢查目的確定的檢查范圍；注2：檢查范圍可包括組織范圍、物理地域范圍、項目范圍、業務流程和業務活動范圍、信息系統和技術工具范圍、人c）應明確相關的法律法規、監管規定、行業準則、國際條約及行業標準化文件等檢查依據；d）應明確可能使用的檢查工具，包括但不限于檢查表、基線檢查工具、安全掃描及測試工具、安全審計工具等；e）對檢查進度進行預期規劃，包括檢查準備、檢查實施、分析、判定階段的周期及時間點安排；f）對檢查活動可能存在的風險及造成的影響進行分析，如檢查活動可能造成信息泄密的風險、測試掃描活動對業務運行和數據正確性的影響、檢查工作自身的局限性及約束等，檢查實施應采取最小影響原則。6.1.3調研6.1.3.1應對檢查對象的業務運營模式、數據處理活動、安全管理制度構建及落實、處罰及整改相關情況進行調研。6.1.3.2業務運營模式調研包括業務范圍、內容、模式以及與外部機構合作的情況。6.1.3.3數據處理活動調研涉及處理數據的類型、流程、規模及數據收集、存儲、使用、加工、傳輸、流通、刪除等全生命周期的活動。6.1.3.4安全管理制度構建及落實調研包括安全管理組織架構、管理制度、技術措施、網絡安全等級保護落實情況、培訓教育制度的構建及落實。96.1.3.5處罰及整改調研是否存在數據合規的投訴、行政處罰、訴訟、仲裁，如存在，還應調研以往的信息安全相關測評和數據合規檢查的整改措施。6.1.4資料收集應收集的數據合規相關資料包括但不限于：a）數據交易主體的營業執照以及相關行業的經營許可；b）相關的協議、合同以及審查文件；c）數據交易主體的網絡安全、數據安全、數據分級分類、個人信息保護等事項的管理文件，包括制度文件、程序文件、行業準則和承諾、指引文件、培訓考核和監督要求以及近三年執行相關活動形成的技術和質量記錄等；d）近年（例如三年內）與信息安全或數據安全相關的訴訟、仲裁和被執法機關調查和處罰的相關文件，包括約談、調查通知、處罰通知、判決書等；e）近年（例如三年內）涉及的網絡安全審查報告、等級保護的備案證明以及相關信息系統的等級保護測評報告、網絡信息安全及數據安全風險評估報告等；f）已發生過的網絡安全攻擊、系統中斷、信息泄露等事件的情況分析及應急響應報告?？筛鶕z查需求，通過對公開信