深圳市数据商和数据流通交易第三方服务机构管 理暂行办法 第一章总则 第一条为促进我市数据交易市场健康发展，规范数 据商和数据流通交易第三方服务机构（以下简称数据商 和第三方服务机构）业务活动，根据《中华人民共和国 网络安全法》《中华人民共和国数据安全法》《中华人 民共和国个人信息保护法》《深圳经济特区数据条例》 《深圳经济特区数字经济产业促进条例》等法律法规， 结合本市实际，制定本办法。 第二条在经市政府批准成立的数据交易场所内开 展业务活动的数据商和第三方服务机构，适用本办法。 第三条本办法所称数据商，是指从各种合法来源收 集或维护数据，经汇总、加工、分析等处理转化为交易 标的，向买方出售或许可；或为促成并顺利履行交易， 向委托人提供交易标的发布、承销等服务，合规开展业 务的企业法人。第三方服务机构是指辅助数据交易活动有序开展， 提供法律服务、数据资产化服务、安全质量评估服务、 培训咨询服务及其它第三方服务的法人或非法人组织。 第四条数据商和第三方服务机构从事数据交易活 动应当遵循依法合规、规范统一、公平自愿、诚实守信、 安全可控的原则，遵守商业道德，不得危害国家安全、 公共利益以及企业和个人的合法权益。 第五条市发展改革部门是本市数据交易的综合监 督管理部门，负责制定数据商和第三方服务机构的监督 管理制度，加强对数据商和第三方服务机构管理工作的 统筹、指导和监督。 市网信、工业和信息化、公安、司法行政、财政、 人力资源和社会保障、审计、市场监督管理、地方金融 监督管理、政务服务数据管理、国家安全等部门按照职 责分工，依照相关法律法规和部门规章履行相关管理职 能。 第六条数据交易场所在市发展改革部门等监督管 理部门指导下制定完善数据商和第三方服务机构管理规 范，做好行政管理部门对数据商和第三方服务机构实施 行政检查和行政处罚的配合工作。第二章业务运行 第七条数据商可以从事资产开发、数据发布、数据 销售等业务。 资产开发业务是指数据源开发和数据产品、数据服 务、数据工具增值开发。 数据发布业务是指发布或代理发布交易标的，面向 发布委托人开展辅导推荐、监督审核和名义担保等活动。 数据销售业务是指销售或代理销售交易标的，包括 产品推广、产品议价、可信流通等活动。 第八条第三方服务机构可以依法从事法律服务、数 据资产化服务、安全质量评估服务、培训咨询服务等业 务。 法律服务包括数据合规评估、数据公证、争议仲裁、 司法鉴定等服务。 数据资产化服务包括数据资产评估、数据保险、数 据资产融资、数据资产信托等服务。 数据安全质量评估服务包括数据质量评估、数据安 全评估和认证、数据安全审计等服务。培训咨询服务包括人才培训、业务培训、咨询等服 务。 第九条数据商和第三方服务机构及其从业人员开 展相关业务时，应当遵守法律、法规的规定，诚实守信， 勤勉尽责，遵守职业道德规范，不得危害国家安全、公 共利益以及企业和个人的合法权益。 第十条数据商应当对其开发、发布、销售的交易标 的进行严格审查，确保交易标的来源合法、内容真实、 质量可靠。涉及跨境交易向境外提供交易标的，应当符 合国家数据出境安全管理规定。 第十一条数据商签订采购、销售、许可、经纪等合 同一般包括交易标的、数据种类、数量、质量、数据用 途、使用期限、交易金额、履行方式、安全责任、保密 条款、违约责任和争议解决方法等实质性条款。 第十二条第三方服务机构及其从业人员开展相关 业务，应当坚持独立、客观、公正原则，对于任何组织 和个人的不当干预应当予以拒绝。 第十三条第三方服务机构出具法律意见书、评估报 告或其它鉴证报告时，应当保证报告的客观性、真实性、准确性和完整性，不得出现虚假记载、误导性陈述或其 它违反法律法规、行业规则的情形。 第十四条数据商和第三方服务机构及其从业人员 应当遵守保密原则，妥善保存客户委托文件、数据资料、 工作底稿等信息和资料，任何人不得泄露、隐匿、伪造、 篡改或者毁损。 第十五条数据商和第三方服务机构应当真实、完整、 规范地整理交易全过程资料并留档保存，不得伪造、篡 改、隐匿或销毁，防止业务档案丢失、泄密。保管期限 自业务合同有效期终止之日起计算不得少于30年。 第三章安全管理 第十六条数据商开展数据开发业务，应当保障处理 过程安全可追溯。经数据提供方同意，数据商可以将部 分非主体、非关键性的数据开发业务委托他人开展。数 据商应当对受托方的数据安全保护能力、资质进行审核， 明确受托方的安全保护责任和保密义务，约定其终止任 务后对所处理数据的处置方式，并监督其完成处置。 第十七条数据商代理数据发布、销售业务，应当审 核数据来源以及数据提供方的身份、资质，未达到数据 安全合规要求的，不得代理。第十八条数据商应当采取安全保护管理措施，设立 安全管理部门，建立健全数据安全分类分级管理、员工 访问权限管理、供应商资质管理和内部审计等制度，定 期开展安全教育培训。 第十九条数据商应当落实与数据级别相适应的安 全技术保护措施，对重要数据实施物理隔离。建设安全 稳定运行的基础设施、网络结构、信息系统，提升防御 恶意攻击的能力，对重要系统和核心数据进行容灾备份。 第二十条数据商应当建立健全数据安全监测预警 与应急处置机制，及时开展风险评估，制定数据安全应 急预案。 发生数据泄露、毁损、丢失、篡改等数据安全事件 的，数据商应当立即启动应急预案，及时告知相关权利 人和数据交易场所，并按照有关规定向相关行政管理部 门和执法部门报告。 第四章监督管理 第二十一条综合监督管理部门应当会同行业主管 部门建立数据商和第三方服务机构的联合监管机制，对 数据商和第三方服务机构不定期开展飞行检查，查阅、 复制有关文件和资料。对于有效投诉举报多、有数据安全事件或违法违规记录的数据商应当进行重点监管。数 据商和第三方服务机构应当积极配合监督检查，提供相 关业务档案。 第二十二条数据商应当在法律、法规、规章规定的 目的和范围内处理数据，不得交易以下标的： （一）涉及国家秘密的； （二）涉及合法权利人商业秘密，未经其书面同意 的； （三）包含未经依法开放公共数据的； （四）包含未依法获得授权个人数据的； （五）明知数据买方将利用其从事非法活动的； （六）用于从事危害国家安全活动的； （七）法律、法规规定禁止交易的其它标的。 第二十三条数据商和第三方服务机构不得出现以 下行为： （一）通过隐瞒事实、虚假宣传等方式拓展业务； （二）通过散布虚假消息等方式损害竞争对手商业 信誉；（三）接受贿赂或者获取其它不正当利益； （四）违规获取、泄露处理过程中的数据、交易标 的，未经相关主体同意披露非公开交易信息； （五）其它损害相关主体权益的不正当行为。 第二十四条行业主管部门应当建立第三方服务机 构评价机制，鼓励服务对象对第三方服务机构进行评价。 第二十五条综合监督管理部门、行业主管部门与数 据交易场所应当建立数据商和第三方服务机构监管信息 共享工作机制，加强对数据商和第三方服务机构的监督 管理。 第五章附则 第二十六条本办法由深圳市发展和改革委员会负 责解释。 第二十七条本办法自2023年3月10日起施行，有 效期三年。