州級各有關部門:

  《大理州數據流通交易管理辦法》已經州數字經濟發展領導小組第七次會議研究同意,州數字經濟發展領導小組辦公室審查通過,現印發給你們,請結合實際認真抓好貫徹落實。

  2023年10月17日

 ?。ù思_發布)

大理州數據流通交易管理辦法

  第一章總則

  第一條 目的意義。為規范數據流通交易,培育數據要素市場,根據《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《云南省交易場所監督管理辦法》(云政辦規〔2018〕2號)等相關法律法規規定,結合大理州實際,制定本辦法。

  第二條 適用范圍。在大理州行政區域內開展數據流通交易及相關管理活動,適用本辦法。

  第三條名詞解釋。本辦法所稱數據流通交易是指以數據元件、數據產品作為交易標的的交易行為。

  本辦法所稱數據交易場所是指在大理州行政區域內依法批準設立,組織開展數據交易活動的交易場所。

  本辦法所稱第三方專業服務機構是指提供數據集成、數據經紀、合規認證、安全審計、數據公證、數據保險、數據托管、資產評估、爭議仲裁、風險評估、人才培訓等專業服務的機構。

  第四條 基本原則。數據流通交易堅持政府引導、市場主導,場景牽引、釋放價值,鼓勵創新、包容審慎,嚴守底線、安全發展的原則,遵守行業準則。

  第二章部門職責

  第五條 業務指導。州數據管理行政主管部門負責指導、協調、調度大理州數據流通交易管理工作,培育數據要素市場;指導建設數據流通交易平臺,推進數據流通交易產業生態發展;鼓勵和引導市場主體在數據交易場所開展數據交易。

  第六條 主要監管職責。州金融監管部門負責數據交易場所及其經營活動的監督管理工作,支持和鼓勵開展數據資產融資等創新型金融服務,會同行業管理部門共同維護行業秩序。

  第七條協同監管職責。州網信、發改、公安、市監、機要和保密、信息通信建設管理等有關部門在各自職責范圍內依照國家相關法律、行政法規,開展數據流通交易市場秩序、安全保護和監督管理等工作,落實國家網絡安全審查等制度,建立健全數據安全保護體系。

  第三章交易場所

  第八條 設立、變更和終止要求。在大理州設立數據交易場所,原則上應當采取公司制組織形式,設立、變更和終止要求滿足《中華人民共和國公司法》《云南省交易場所監督管理辦法》等有關規定。

  第九條 經營原則。數據交易場所應當嚴格遵守法律法規和監管部門的規定,遵循公開、公平、公正、安全原則,自覺接受監管,嚴格防范風險,以服務數字經濟發展和數據要素市場化配置為宗旨,科學設計自身業務模式。

  第十條 經營范圍。數據交易場所應當按照市場監督管理部門批準的經營范圍依法合規經營,保證數據交易活動的正常進行,為交易主體提供以下服務:

 ?。ㄒ唬┙灰讏鏊?、交易技術平臺等數據交易基礎設施;

 ?。ǘ┙灰讟说娜雸龅怯?、掛牌、交易簽約、資金結算、出具交易憑證、披露交易信息等服務;

 ?。ㄈ祿灰准m紛調解等協調服務;

 ?。ㄋ模┢渌c數據交易活動相關的綜合配套服務。

  第十一條決策監督機制。數據交易場所應當依法建立健全法人治理結構,完善議事規則、決策程序和內部審計制度,保持內部治理的有效性。指定一名高級管理人員作為合規負責人,承擔合規責任,對數據交易場所依法合規運作進行監督。

  第十二條財務制度。數據交易場所應當建立健全財務管理制度,按照企業會計準則等要求,真實記錄和反映企業的財務狀況、經營成果和現金流量。

  第十三條信息系統建設。數據交易場所信息系統應當符合業務開展及監管要求,具備數據安全保護和數據備份措施,確保數據資料的安全,各種數據資料的保存期限不得少于20年。

  交易信息系統應為州金融監管部門和州數據管理行政主管部門提供遠程接入,依法、及時為其提供數據信息。

  第十四條 信息報送。數據交易場所應當按照有關規定,定期向州金融監管部門和相關部門報送月度報告、季度報告和年度報告。報告內容應包括但不限于數據交易情況統計分析等。

  第十五條 重大事項報告。數據交易場所遇有下列重大事項,應當及時向州金融監管部門報告,并抄送州數據管理行政主管部門:

 ?。ㄒ唬祿灰讏鏊蚱浞ǘù砣?、董事、監事、高級管理人員因涉嫌重大違法違規,被立案調查或者采取強制措施;

 ?。ǘ祿灰讏鏊卮筘攧罩С龊拓攧諞Q策可能帶來較大財務或者經營風險;

 ?。ㄈ┥婕罢计鋬糍Y產10%以上或者對其經營風險有較大影響的訴訟;

 ?。ㄋ模ι鐣€定產生重大不利影響;

 ?。ㄎ澹祿灰讏鏊蓶|更名或發生重大變動;

 ?。┢渌卮笫马?。

  第十六條 臨時報告。州金融監管部門可以根據工作需要,要求數據交易場所就重大數據交易項目、數據交易異常情況、嚴重數據安全事故、受到有關部門處罰等事項報送臨時報告,說明事件的起因、目前的狀態、可能產生的后果和擬采取的措施等。

  數據交易場所提交的信息和資料,應當真實、準確、完整。

  第十七條 交易規則。數據交易場所應當依法制定數據交易活動相關規則。

  交易規則主要包括:參與方的基本要求;交易標的和交易期限;交易方式和流程;風險控制;資金結算規則;數據交付規則;爭議處理解決機制;交易信息的處理和發布規則;其他異常處理、差錯處理機制等事項。

  第十八條 過程可溯。數據交易場所應當加強大數據、云計算、人工智能、區塊鏈、隱私計算、智能合約等數字技術應用,建立健全全數字化交易平臺,實現掛牌、登記、詢價、交易撮合、簽約、結算、交付以及交易管理、專業服務等的全過程數字化,保障數據交易全時掛牌、全域交易、全程可溯。

  第十九條協議服務。進入數據交易場所的數據交易主體可以自主選擇數據交易服務機構,并與其就服務內容、方式、費用等簽訂協議。

  數據交易服務機構應當建立規范透明、安全可控、可追溯的數據交易服務環境,制定交易服務流程、內部管理制度,并采取數據元件等有效措施保護數據安全,保護個人隱私、個人信息、商業秘密、保密商務信息。

  第二十條 資金結算。數據交易場所應當實行交易資金第三方結算制度,由交易資金的開戶銀行或非銀行支付機構負責交易資金的結算,按客戶實行分賬管理,確保資金結算與數據交易場所的交易指令要求相符。

  數據交易場所應當與符合條件的商業銀行就賬戶性質、賬戶功能、賬戶使用的具體內容、監督方式等事項,以監督協議的形式作出約定,明確雙方的權利和義務。數據交易場所不得借用銀行信用進行經營和宣傳。

  第二十一條 風險應急。數據交易場所應當制定風險警示、風險處置等風險控制制度以及突發事件應急處置預案,并報州州金融監管部門備案。

  第二十二條糾紛解決。數據交易場所應當建立數據交易爭議處理解決機制。交易主體發生爭議時,可以向數據交易場所申請調解,也可以依法申請仲裁或者提起訴訟。

  第二十三條 信息披露。數據交易場所應當建立信息公開披露制度。信息披露內容包括:公司設立及高級管理人員信息,交易規則、資金管理、風險控制等主要制度,交易品種,經營中發生的重大突發事件,公司關閉、客戶服務及投訴處理渠道等。

  披露的信息應當真實、準確、完整、及時,不得有虛假記載、誤導性陳述或者重大遺漏。

  第二十四條禁止行為。數據交易場所及其分支機構、會員、代理商、授權服務機構不得從事下列活動:

 ?。ㄒ唬┪唇浛蛻粑?、違背客戶意愿、假借客戶名義開展交易活動;

 ?。ǘ┡c客戶進行對賭;

 ?。ㄈ┎辉谝幎〞r間內向客戶提供交易的確認文件;

 ?。ㄋ模┡灿每蛻艚灰踪Y金;

 ?。ㄎ澹槟踩蚪鹗杖?,誘使客戶進行不必要的交易;

 ?。┨峁?、傳播虛假或者誤導客戶的信息;

 ?。ㄆ撸├媒灰总浖M行后臺操縱;

 ?。ò耍┌l布對交易品種價格進行預測的文字和資料;

 ?。ň牛┥米詫ν忾_展合作經營或將經營權對外轉包;

 ?。ㄊ┢渌`背客戶真實意思表示或與客戶利益相沖突的行為。

  數據交易場所不得為其股東、實際控制人或其他關聯方提供融資或者融資擔保。

  數據交易場所的相關工作人員、股東、實際控制人不得以任何方式泄露或者利用內幕信息,不得以任何方式從數據交易場所的掛牌項目所涉及的公司、服務機構和交易主體獲取非法利益。

  數據交易場所的董事、監事、高級管理人員及其他工作人員在履行職責時,遇到與本人或者其近親屬等有利害關系情形的,應當回避。

  第四章交易標的

  第二十五條交易標的。交易標的主要包括數據元件和數據產品。

  數據元件是指對數據脫敏處理后,根據需要由若干相關字段形成的數據集或由數據的關聯字段通過建模形成的數據特征。

  數據產品是指利用數據元件分析研究、加工處理所形成的能發揮數據要素價值的產品。

  第二十六條 元件交易。鼓勵、支持通過開發、撮合、承銷的方式依法推動數據元件、數據產品依法參與流通交易。

  公共數據經過依法授權許可、清洗加工等環節,開發為數據元件后,方可進行交易。

  數據產品遵循交易標的合規性審查和安全評估要求,經第三方數據服務中介的審核評估后參與交易。

  第二十七條不可交易范圍。數據交易標的涉及下列情形之一的,不得進行交易:

 ?。ㄒ唬┐嬖跈鄬偌m紛或違規采集數據加工形成的;

 ?。ǘ┥婕皣颐孛艿?、未經合法權利人明確同意的,或者涉及商業秘密的;

 ?。ㄈ┪唇涀匀蝗嘶蛘咂浔O護人同意,涉及其個人信息的數據,包括自然人姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等;

 ?。ㄋ模┓?、法規、規章規定或者合法約定其他禁止交易的;

 ?。ㄎ澹┓煞ㄒ幰幷碌让鞔_規定禁止交易的。

  第二十八條 交付方式。交易標的的交付方式包括但不限于數據包方式、API接口方式、數據服務交付等。

  第二十九條分類分級。建立數據元件分級分類規則,并制定相應的數據元件安全保護規則,監督交易主體履行數據元件安全保護義務。

  第三十條 清單管理。數據交易場所應當建立數據元件交易負面清單及謹慎清單制度,買賣雙方不得就列入負面清單的數據元件進行交易;達到充分保護的條件下,可以對列入謹慎清單的數據元件進行交易。

  第五章交易主體

  第三十一條 數據賣方。數據賣方是在大理州數據交易場所上架交易標的的交易主體,必須確保數據來源安全性、服務合規性。數據賣方向數據買方交付數據交易標的,并獲得相應對價。

  法律法規規章對特定數據交易存在特殊資質要求的,從其規定。

  第三十二條數據買方。數據買方是通過大理州數據交易場所受讓交易標的的主體,遵守合法性、專用性、誠實信用、不可轉讓等原則參與交易,接受交易場所安全監督,遵守與賣方約定,對所購交易標的提供充分的安全保護。

  法律法規規章對特定數據交易存在特殊資質要求的,從其規定。

  第三十三條第三方專業服務機構。第三方專業服務機構應當為在中華人民共和國境內(不含港澳臺)依法成立并合法存續的法人或非法人組織,經營范圍應包含其向交易場所登記的申報服務領域和項目。

  第三方專業服務機構所提供服務涉及數據處理的,應當確保計算機網絡系統的網絡安全等級不得低于所處理數據的安全等級。

  第三方專業服務機構開展數字資產評估、專業審計、法律服務等需具備特定執業資質的,應當符合相應的行業執業要求規定。

  第六章安全合規

  第三十四條 安全風險評估。數據標的交付前,數據賣方應按照國家、行業規定或交易場所制定的重要交易風險評估規則對交易標的進行初步評估。若評估交易標的使用的原始數據屬于重要數據的,應當自行或委托第三方專業服務機構出具重要數據交易安全風險評估報告,并提交數據交易機構進行數據交易監督審查。法律法規規章或者文件規定應當提請主管機關履行交易批準程序的,從其規定。

  重要數據交易安全風險評估應當包含數據流通范圍、影響程度、潛在風險、使用場景、用途用量以及數據分類分級授權、管控措施等內容。

  第三十五條 個人信息評估。交易標的使用的原始數據涉及個人信息數據的,賣方應獲得個人授權且充分評估風險并出具個人信息交易評估報告,提交數據交易場所進行數據交易監督審查。

  第三十六條 依從原則。法律法規規章等對交易標的不同級別、類別及數量等有其他特別要求的,從其規定。

  第三十七條 關鍵基礎設施保護特別要求。數據賣方為關鍵信息基礎設施運營者,交易前應對交易標的安全性開展評估,明確影響或者可能影響國家安全的,應按規定向網絡安全審查部門申報進行網絡安全審查。

  數據買方為關鍵信息基礎設施運營者,應當優先采購安全可信的數據產品和服務,并按照國家有關規定與數據賣方簽訂安全保密協議、網絡安全審查配合承諾,明確數據賣方的數據支持和安全保密義務與責任,并對義務與責任履行情況進行監督。

  第七章監督管理

  第三十八條 合規交易。鼓勵加強企業數據合規體系建設和監管,嚴厲打擊黑市交易,取締數據流通非法產業。

  第三十九條監管評價。州金融監管部門依法對本市數據交易場所履行監管職責,定期對數據交易場所進行監管評價,根據評價結果,在市場準入、退出、非現場監管和現場檢查等方面對交易場所實施分類監管,并將評價結果納入數據交易場所的考核指標。

  第四十條金融監管。州金融監管部門可以根據實際情況,在依法調查或者檢查時,有權查閱、復制有關文件和資料,對數據交易場所有關人員進行約見談話、詢問,要求提供與數據交易場所經營有關的資料和信息,不得非法或者未經相關人同意私自泄露相關信息。必要時,可以采取風險提示、向其合作機構或者其他相關單位通報情況等措施。

  數據交易場所應當配合州金融監管部門依法采取監管措施,不得拒絕、阻礙和隱瞞。

  第四十一條安全審計。數據交易場所存在下列情形之一的,州金融監管部門可以委托具備相應資質的中介機構進行專項審計、評估或者出具法律意見書:

 ?。ㄒ唬祿灰讏鏊膱蟾娴却嬖谔摷儆涊d、誤導性陳述或者重大遺漏的;

 ?。ǘ┻`反有關客戶資產保護和資金安全存管監控或風險監管指標管理規定的;

 ?。ㄈ┻`反有關規定,存在重大風險隱患的;

 ?。ㄋ模┲萁鹑诒O管部門根據審慎監管原則認定的其他重大情形。

  第四十二條約談整改。州相關部門在履行數據安全監管職責中,發現數據處理活動存在較大安全風險的,可以按照規定的權限和程序對有關組織、個人進行約談,并要求有關組織、個人采取措施進行整改,消除隱患。

  第八章附則

  第四十三條 其他要求。法律法規規章和國家政策對數據流通交易管理有規定的,從其規定。

  第四十四條解釋權歸屬。本辦法由州數據管理行政主管部門負責解釋。

  第四十五條 生效日期。本辦法自2023年11月1日起施行,有效期至2028年10月31日。