ICS35.240

L79

DB52

貴州省地方標準

DB52/T1468—2019

基于區塊鏈的數據資產交易實施指南

Blockchainbaseddataassettradingguide

2019-12-31發布2020-06-01實施

貴州省市場監督管理局發布

DB52/T1468—2019

基于區塊鏈的數據資產交易指南

1范圍

本標準規定了基于區塊鏈的數據資產交易實施的術語、定義和縮略語、基本要求、數據資產交易規

范等要求。

本標準適用于：

a)為數據資產交易平臺的實施提供正確的指引；

b)對數據資產交易方記錄，對數據資產交易流程記錄，對數據資產交易溯源，構建區塊鏈分布式、

多方可信促進數據資產流通。

2規范性引用文件

下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T22239信息安全技術信息系統安全等級保護基本要求

GB/T25058信息安全技術信息系統安全等級保護實施指南

GB/T25070信息安全技術信息系統等級保護安全設計技術要求

GB/T35273信息安全技術個人信息安全規范。

3術語、定義和縮略語

3.1術語和定義

CBD-Forum-001-2017、GB/T25069—2010中界定的及下列術語和定義適用于本文件。

3.1.1

區塊鏈blockchain

在對等網絡環境下，通過透明和可信規則，構建不可偽造、不可篡改和可追溯的塊鏈式數據結構，

實現和管理事務處理的模式。

注：事務處理包括但不限于可信數據的產生、存取和使用等。

[CBD-Forum-001-2017]

3.1.2

保密性confidentiality

數據保密性是指數據不被泄露給非授權的用戶、實體或過程，或供其利用的特性。即，防止信息泄

漏給非授權個人或實體，信息只為授權用戶使用的特性。保密性是在可靠性和可用性基礎之上，保障網

絡信息安全的重要手段。

[GB/T25069—2010]

1

DB52/T1468—2019

3.1.3

完整性integrity

完整性是數據未經授權不能進行改變的特性。即數據在存儲或傳輸過程中保持不被偶然或蓄意地刪

除、修改、偽造、亂序、重放、插入等破壞和丟失的特性。完整性是一種面向信息的安全性，它要求保

持信息的原樣，即信息的正確生成、正確存儲和傳輸。

[GB/T25069—2010]

3.1.4

可用性availability

可用性是數據可被授權實體訪問并按需求使用的特性。即數據服務在需要時，允許授權用戶或實體

使用的特性，或者是網絡部分受損或需要降級使用時，仍能為授權用戶提供有效服務的特性。

[GB/T25069—2010]

3.1.5

可審計性auditability

可審計性也稱作不可否認性，在網絡信息系統的數據交互過程中，確信參與者的真實同一性，即所

有參與者都不可能否認或抵賴曾經完成的操作和承諾。利用數據源證據可以防止發信方不真實地否認已

發送信息，利用遞交接收證據可以防止收信方事后否認已經接收的信息。

[GB/T25069—2010]

3.1.6

聯盟鏈consortiumblockchain

對特定的組織團體開放，一種僅有授權節點接入和使用的區塊鏈部署模型。

3.1.7

共識算法consensusalgorithm

區塊鏈系統中各節點間為達成一致采用的計算方法。

3.1.8

智能合約smartcontracts

以數字形式定義的能夠自行執行條款的合約。

注：在區塊鏈技術領域，智能合約是指基于預訂事件觸發、不可篡改、自動執行的計算機程序。

3.1.9

數據資產dataasset

將數據獲取加載，經過一定的方式和條件進行數據清洗和篩選后再重新排列組合并且加載獲得的有

價值的數據。

2

DB52/T1468—2019

3.2縮略語

下列縮略語適用于本文件。

CA：證書認證機構（CertificateAuthority）；

VPN：虛擬專用網絡（VirtualPrivateNetwork）；

API：應用編程接口（ApplicationProgrammingInterface）。

4基本要求

4.1交易主體要求

4.1.1市場監督管理主體

市場監督管理主體應遵循國家互聯網信息辦公室頒布的《區塊鏈信息服務管理規定》。省、自治區、

直轄市互聯網信息辦公室依據職責負責本行政區域內區塊鏈信息服務的監督管理執法工作。

4.1.2區塊鏈信息服務提供者

區塊鏈信息服務提供者是指向社會公眾提供基于區塊鏈技術的信息服務的主體或者節點，以及為區

塊鏈信息服務的主體提供技術支持的機構或者組織；在數據流通市場中，通常由一個經政府監督管理機

構授權的組織提供中立的區塊鏈信息服務。

區塊鏈信息服務提供者應當在提供服務之日起十個工作日內通過國家互聯網信息辦公室區塊鏈信

息服務備案管理系統填報服務提供者的名稱、服務類別、服務形式、應用領域、服務器地址等信息，履

行備案手續。完成備案的區塊鏈信息服務提供者應當在其對外提供服務的互聯網網站、應用程序等顯著

位置標明其備案編號。

4.1.3區塊鏈信息服務使用者

區塊鏈信息服務使用者是指使用區塊鏈信息服務的組織或者個人，包括數據產品提供者、消費者和

數據交易平臺方。

區塊鏈信息服務提供者應當按照《中華人民共和國網絡安全法》的規定，對區塊鏈信息服務使用者

進行基于組織機構代碼、身份證件號碼或者移動電話號碼等方式的真實身份信息認證,并將認證信息記

錄在區塊鏈中，并同步到聯盟鏈中其他節點。不進行真實身份信息認證的用戶，區塊鏈信息服務提供者

不得為其提供相關服務。

4.1.4數據產品提供者

數據產品提供者（或稱銷售方、經營者）是指通過基于區塊鏈技術的互聯網或數據交易平臺銷售數

據商品或者提供基于數據的服務的經營者。

基于區塊鏈技術的數據產品提供者必須對其用來交易的數據產品擁有合法的銷售權，同時不能涉及

第三方的隱私權和知識產權，不得違反國家工商管理、廣告管理等法律規定。

4.1.5數據產品消費者

數據產品消費者（或稱購買方）是指通過基于區塊鏈技術的數據交易平臺購買數據產品或服務，或

者直接通過互聯網向數據產品提供方購買數據產品或服務的組織及個人。

3

DB52/T1468—2019

4.1.6數據交易平臺方

數據交易平臺方是指在基于區塊鏈技術的的互聯網數據交易活動中為交易雙方或者多方提供網絡

經營場所、交易撮合、信息發布等服務，供交易雙方或者多方獨立開展交易活動的法人或者非法人組織。

數據交易平臺方應當要求申請進入其聯盟鏈平臺銷售數據產品或者提供基于數據的服務的經營者

提交其身份、地址、聯系方式、行政許可等真實信息，并進行核驗、登記，建立登記檔案（同時記錄在

本標準所提區塊鏈中），并定期核驗更新。

4.2合規要求

合規要求包含但不限于：

a)數據資產交易需要依據法律法規界定數據資產的涉密和隱私問題，針對敏感性數據確定開放和

不開放的依據。作為數據交易的相關主體，應留意數據內容是否符合國家法律規定，符合國家

政策以及行業自律規范等。在數據交易實施中應參考GB/T35273中收集、保存、使用、共享、

轉讓、公開披露等信息處理環節中的相關行為；

b)開展基于區塊鏈技術的數據交易活動除了應嚴格遵守數據交易市場的所有管理規定外，交易各

方應積極配合區塊鏈信息服務提供者的工作，主動將自身的認證信息、產品信息（即數據產品

元數據）和交易信息通過使用區塊鏈信息服務進行及時登記備案；

c)區塊鏈信息服務提供者應當對違反法律、行政法規規定和服務協議的區塊鏈信息服務使用者，

依法依約采取警示、限制功能、關閉賬號等處置措施，對違法信息內容及時采取相應的處理措

施，防止信息擴散，保存有關記錄，并向市場監督管理主體報告；

d)區塊鏈信息服務提供者應當記錄區塊鏈信息服務使用者發布內容和日志等信息，記錄備份應當

保存不少于十年，并在市場監督管理主體或者相關執法部門依法查詢時予以提供；

e)區塊鏈信息服務提供者和使用者不得制作、復制、發布、傳播法律、行政法規禁止的信息內容；

f)數據產品提供方或數據交易平臺方應避免夸大宣傳。宣傳推廣中應避免使用“國家級”、“最

高級”、“最佳”等用語，夸大或者片面宣傳數據產品，違規使用安全、保證、承諾、保險、

避險、有保障、高收益、無風險等與產品風險收益特性不匹配的表述；

g)數據產品提供方或數據交易平臺不得虛構、夸大數據產品的收益前景，隱瞞風險，進行虛假片

面的宣傳和促銷，主動維護數據產品消費者權益。

4.3安全要求

基于區塊鏈的數據資產交易系統安全要求包含但不限于：

a)應符合等級保護相關政策和系列標準規范，包括但不限于GB/T22239、GB/T25070、GB/T25058；

b)應圍繞物理安全、網絡安全、主機安全、應用安全、數據安全等方面構建安全體系，同時針對

現有區塊鏈技術的安全特性和缺點，對賬本數據、共識機制、智能合約、密碼密鑰等安全風險

進行分析并提供有效的安全機制，整體提升區塊鏈系統的安全性能；

c)應加強包括數據本身的保護，防止敏感數據被泄露及被篡改，包括三個方面個人信息安全、重

要數據安全，以及跨境數據安全。

安全實施參考附錄C。

5數據資產交易規范

5.1交易主體

交易用戶范圍為聯盟鏈內成員及其所提供數據交易服務的各類用戶。

4

DB52/T1468—2019

5.2交易范圍

交易數據資產范圍涵蓋聯盟鏈內的單位用于交易的數據和信息，不含涉密數據、個人隱私數據等違

法違規的，并經過必要脫敏、脫密處理后的各類數據，符合《中華人民共和國網絡安全法》要求。

5.3交易方式

在數據資產交易方面，數據資產交易方式為數據終端、數據文件、數據接口服務、數據多方計算服

務、數據應用服務：

a)數據終端：開發專用APP供用戶下載封閉式使用（甚至專線）

b)數據文件：事先生成數據集文件，通常以EXCEL、CSV、TXT、壓縮包的形式對外提供；

c)數據接口服務：是通過HTTP請求查詢條件，將滿足要求的數據通過XML或JSON的形式返回；

d)多方數據計算服務：采用數據加密技術保護原始數據，采用多方計算實現數據的密文計算，數

據交互全流程上鏈留痕，在保證數據安全的前提下實現數據流通。

e)數據應用服務：接受客戶委托，進行針對性的基于數據的應用定制服務。

5.4交易上架記錄

區塊鏈對數據資產的信息記錄上鏈，對數據資產進行一數一碼唯一標識，數據資產標識碼記錄上鏈：

a)數據資產信息記錄：數據資產簡介、數據資產來源、數據資產用途、數據資產樣本數據；

b)數據資產標識碼：32位Hash值。

5.5交易預定價記錄

區塊鏈對數據資產成交價格進行記錄，實時同步到其他區塊鏈端點中。

5.6交易過程監管

交易由數據資產供應方在基于區塊鏈的數據資產交易平臺發布數據資產，創建智能合約；通過求購

方觸發智能合約，購買支付完成交易；在數據資產交易過程中對數據資產信息上鏈、數據資產交易用戶

上鏈、數據資產交易信息上鏈，分布式存儲，實時同步到各個端點。如圖1所示：

圖1區塊鏈數據資產交易流程圖

5

DB52/T1468—2019

區塊鏈數據資產交易流程圖說明：

a)“數據資產供應方”發布“數據資產”，首先進行“數據資產”登記，創建智能合約，等待“數

據審核員”審核，通過后即可上架并寫入到區塊鏈；

b)“數據資產求購方”購買“數據資產”，瀏覽數據資產目錄，選擇需求數據，創建訂單，觸發

智能合約，支付完成并將“交易信息”寫入到區塊鏈；

c)“智能合約”包含數據資產使用角色、時間、次數、字段等限制算法。

5.7交易評價記錄

通過數據資產評分規則及數據資產評語建立數據資產交易評價體系規則，將數據資產交易評價記錄

到區塊鏈中。打分示例見附錄A。

a)數據資產評分規則：

“好評”+1分，“中評”+0分，“差評”-1分；交易者所得到的好評、中評、差評的分數會累積誠

信用度，并會在數據詳情頁上顯示評價積分；

b)數據資產評語規則：

功能全面、文檔全面、穩定性強、簡單易用、接口良好、擴展方便、功能單一、文檔不全、不太穩

定、復雜難用、接口一般、擴展一般。

5.8交易溯源查詢

采集數據資產記錄信息、數據資產全流程交易信息、數據資產用戶信息，對采集數據進行關聯，分

析，呈現；提供數據資產溯源查詢和數據資產交易圖譜查詢。交易溯源查詢示例見附錄B。

a)數據資產供應方通過輸入數據資產標識碼，查詢數據資產交易關聯圖譜；

b)數據資產求購方通過輸入數據資產標識碼，查詢數據資產溯源信息。

6

DB52/T1468—2019

AA

附錄A

（資料性附錄）

交易評價記錄

A.1交易評價記錄示例見圖A.1。

圖A.1交易評價記錄示例

7

DB52/T1468—2019

BB

附錄B

（資料性附錄）

交易溯源查詢

B.1數據資產溯源查詢示例如圖B.1所示。

圖B.1數據資產溯源查詢示例

B.2數據資產溯源查詢示例如圖B.2所示。

序號記賬端點交易時間數據資產標識碼數據資產求購方數據資產供應方

1A1-6031112019-12-019770b00dxi76382xsks00926121982551300

12:56:3498kskk2283jjd009dj

2A2-6031122019-8-169770b00dxi76382xsks00926123912551300

17:33:2898kskk2283jjd009dj

3A3-6031132019-8-099770b00dxi76382xsks00926122952551300

20:51:1398kskk2283jjd009dj

4A4-6031142019-5-269770b00dxi76382xsks00926129822551300

11:06:5098kskk2283jjd009dj

5A5-6031152018-10-279770b00dxi76382xsks00926121032551300

16:18:0198kskk2283jjd009dj

數據資產求購方通過輸入數據資產標識碼，查詢數據資產溯源信息、數據資產交易列表、數據資產

關聯圖譜。

8

DB52/T1468—2019

CC

附錄C

（資料性附錄）

安全實施參考

C.1共識安全

共識安全對區塊鏈的數據資產起到核心的支撐作用。采用一致性(Consistency)和活性(Liveness)

兩個安全屬性來衡量和評估區塊鏈的共識安全。

a)一致性

任何已經通過共識算法并記錄到區塊鏈的事務都無法更改,任意攻擊者都無法通過有效手段逆轉區

塊鏈記錄或產生新的區塊鏈分支，從而在新區塊鏈分叉上達成共識。一致性是共識機制最基本的特征，

也是最基礎的安全目標。根據共識機制在達成共識的過程中是否出現短暫分叉,一致性可分為弱一致性

和強一致性。弱一致性是指在網絡節點達成共識的過程中可能出現短暫分叉。強一致性是指網絡中新區

塊一旦生成,網絡中其他節點即可判斷它是否達成共識,不會出現短暫性分叉。

b)活性

誠實節點提交的合法事務最終由全網節點達成共識并被記錄在區塊鏈上。合法事務包括誠實節點提

交的合法交易、中間狀態變量、結果等。活性保證了誠實節點能夠抵抗拒絕服務攻擊(DoS),維護區塊鏈

持續可靠運行。

C.2密鑰管理

a)區塊鏈密鑰管理的必要性

傳統中心化的機構可以通過實名認證等手段，實現相關賬戶的凍結和恢復，并一定程度上恢復數字

資產。而區塊鏈雖使用分部式賬本加密技術，但構成整個區塊鏈的技術集合仍存在風險。區塊鏈中使用

證書會帶來一些獨特的挑戰。例如，私鑰丟失或被盜，它可能會永久地將其鎖定在區塊鏈之外。因此，

如何良好的管理密鑰是形成區塊鏈實際應用的重要內容；

b)如何進行區塊鏈的密鑰管理

密碼系統安全的核心是確保密鑰在其生命周期中的安全。區塊鏈私鑰的安全涉及私鑰的生成、存儲、

使用、找回、銷毀、更新等環節：

1)私鑰的生成安全：區塊鏈的私鑰來自于非對稱算法加密，私鑰自身的質量取決于產生私鑰

的隨機數的質量。私鑰的生產應當具備隨機性，即不可再現；

2)私鑰的存儲安全：私鑰的存儲和使用一般分為軟實現和硬實現。軟實現即存儲和使用都以

軟件形式。密鑰生成后作為文件或字符串保存在用戶終端或者托管到服務器，使用時直接

或通過口令控制讀取私鑰明文到內存，通過CPU完成私鑰計算。這種存儲和使用方式存在

較多安全風險，易被黑客或內鬼復制、竊取、暴力破解等；硬實現一般是依托專用密碼安

全芯片或者密碼設備作為載體，一般有物理保護、敏感數據保護、密鑰保護等機制，確保

私鑰必須由專用硬件產生。在任何時間和情況下私鑰不能以明文形式出現在密碼設備外；

密碼設備內部存儲的密鑰應具備有效的密鑰保護機制，防止解剖、探測和非法讀取。私鑰

不可導出，僅可計算輸出簽名值；

3)私鑰的使用安全：從密碼破譯角度來說，私鑰在使用一定周期后應該更換密鑰，這就是涉

及私鑰銷毀和更新的問題。在區塊鏈領域，私鑰唯一代表用戶身份或數字資產，如果更新

9

DB52/T1468—2019

密鑰需要重新綁定注冊或者數字資產轉移。區塊鏈私鑰的更新一般采用重新申請的方式。

私鑰的找回在區塊鏈領域難以實現。區塊鏈的私鑰是直接操作數字貨幣的鑰匙，丟失等于

錢消失。所以，完善的區塊鏈網絡，應該設計一種機制：私鑰由用戶擁有和控制，在風險

發生時，可以通過一種線下實名的方式或者國家權威機構參與的方式，或其他更高代價的

方式能夠找回該密鑰。比如通過門限算法，把密鑰分拆成5份，獨立保存在某些權威機構，

其中任意3份即可恢復密鑰。同時，密鑰恢復應有線下嚴格手續。

C.3密碼安全

密碼學是區塊鏈必要的組成部分，從區塊鏈地址的生成、交易的簽名驗簽、某些共識算法中的哈希

到環簽名等隱私保護算法。密碼安全是區塊鏈技術的安全的必要條件，基于區塊鏈技術的數據資產交易

方案具備安全可靠的密碼體制，鼓勵使用我國自主研究商用密碼體制。

一個密碼系統的安全性主要與兩個方面的因素有關。一是所使用密碼算法本身的保密強度