你的公司買了一批數據�����,完成分析后緩存還留著���;
供應商在平臺掛了一份數據產品�,上架前沒有完成脫敏�����;
一份電子合同只寫了價格��,沒有約定數據用途和安全責任。
這三件事�,在2026年7月1日之后���,都可能構成違規����。
2025年12月�,國家標準《數據安全技術 數據交易服務安全要求》(GB/T 37932-2025)(以下簡稱“國標”)正式發布,將于2026年7月1日起實施����。作為數據交易領域安全規范����,覆蓋交易標的、交易全流程��、平臺技術要求和五類參與方的責任邊界��。
無論你是數據供方、需方��、平臺運營者�,還是提供數據加工服務的數據商,這份標準都與你直接相關���。
01 哪些數據不能交易?三道硬門檻
在談"怎么交易"之前��,先搞清楚"什么不能交易"��。
國標明確列出十一類嚴禁交易的數據��,核心涵蓋三個方向:涉及國家秘密、危害國家安全和社會穩定�、涉及個人權益和涉及企業權益的數據等�����。這是數據交易的絕對紅線,沒有例外���。
通過紅線審查之后,還有兩道準入門檻:
數據權屬關系必須清晰�。數據供方必須提供完整�����、真實的權益聲明,明確數據來源及權屬關系���;交易標的描述(即被交易的數據本身)遵循真實性原則,嚴禁虛假掛牌����、不得夸大數據價值�。信息不對稱����,是數據交易糾紛的一大來源��,新國標從源頭切斷這個隱患��。
分類分級管控。 依據GB/T 43697等數據分類分級相關的國標����,不同類型的數據適用不同的流通規則:
公共數據:原則上"原始數據不出域��、數據可用不可見"。
個人信息:完成匿名化處理,或取得個人明確同意后方可交易�。
重要數據:采用脫敏處理或"可用不可見"模式�����。
這三條規則,直接決定了你手上的數據能不能上架、用什么方式上架��。
02 交易全流程:事前����、事中、事后,一個環節都不能松
國標將安全管控從"交易時刻"延伸到了交易全生命周期�����,"重交易�����、輕過程"的做法���,在新規下將面臨直接的合規壓力��。
l 事前:入場資質審核
交易機構必須對供需雙方的主體資質、信用記錄和安全能力進行嚴格核驗���,確保參與方具備相應的數據安全保護能力����。掛牌數據須經合規性與質量評估����,敏感數據未脫敏不得上架���,從入口過濾不合規的交易請求���。
l 事中:合同與操作雙重管控
電子合同必須明確約定數據的用途���、使用范圍及雙方安全責任——不寫清楚���,合同本身就存在合規瑕疵�。數據商在加工過程中需進行風險評估并留存操作日志。
有一條要求尤其值得關注:需方的安全能力成熟度,不得低于供方��。 這意味著數據需方不能只管"買到數據"�,還必須證明自己有能力保護好這批數據。部署監控工具,從技術上防范數據外泄的可能�。
l 事后:清除與歸檔
交易結束后��,需方須按要求清除緩存數據,供方須及時關閉訪問通道。交易全過程的證據材料須規范歸檔,留存期限滿足監管要求。
這三個階段共同構成閉環:來源可查�����、去向可追����、責任可究。
03 平臺技術要求:可信、可控��、可審計
數據交易平臺是整個生態的樞紐�����,國標對平臺的技術要求分三個層次:
基礎設施層
符合網絡安全等級保護三級及以上要求。
基礎設施部署在中國境內��。
采用國家認可的合規密碼技術進行加密保護���。
交易過程防護層
審計與監控層
利用區塊鏈等技術對關鍵交易環節進行防篡改存證���。
交易信息保存不少于三年��,操作日志保存不少于六個月。
嚴格落實權限最小化原則�����,僅授權專職審計員訪問日志���。
支持參與方查詢自身交易記錄���。
04 五類參與方�,對號入座看你的責任
國標系統界定了數據交易中的五類參與方���,并為每類主體劃定了專屬的安全責任邊界。
05 結語
國標不只是一份合規清單�,它實際上重新定義了數據交易中"誰該為什么負責"����。
2026年7月1日�,是留給所有參與方完成內部整改的窗口期。在此之前��,有幾件事值得優先推進:梳理現有數據產品是否符合交易標的要求��、排查交易合同是否約定了必要的安全條款����、評估平臺或自身系統是否達到等保三級要求���。
數據要素市場的規模還在持續擴大����,但能在其中穩定獲益的,將是那些把合規能力建設為競爭優勢����、而非應付檢查的參與者���。
