大理白族自治州发展和改革委员会关于印发大理州数据流通交易管理办法的通知

州级各有关部门：

《大理州数据流通交易管理办法》已经州数字经济发展领导小组第七次会议研究同意，州数字经济发展领导小组办公室审查通过，现印发给你们，请结合实际认真抓好贯彻落实。

 

 

2023年10月17日        

（此件公开发布）

大理州数据流通交易管理办法

 

第一章 总则

 

第一条  目的意义。为规范数据流通交易，培育数据要素市场，根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《云南省交易场所监督管理办法》（云政办规〔2018〕2号）等相关法律法规规定，结合大理州实际，制定本办法。

第二条  适用范围。在大理州行政区域内开展数据流通交易及相关管理活动，适用本办法。

第三条  名词解释。本办法所称数据流通交易是指以数据元件、数据产品作为交易标的的交易行为。

本办法所称数据交易场所是指在大理州行政区域内依法批准设立，组织开展数据交易活动的交易场所。

本办法所称第三方专业服务机构是指提供数据集成、数据经纪、合规认证、安全审计、数据公证、数据保险、数据托管、资产评估、争议仲裁、风险评估、人才培训等专业服务的机构。

第四条  基本原则。数据流通交易坚持政府引导、市场主导，场景牵引、释放价值，鼓励创新、包容审慎，严守底线、安全发展的原则，遵守行业准则。

 

第二章 部门职责

 

第五条  业务指导。州数据管理行政主管部门负责指导、协调、调度大理州数据流通交易管理工作，培育数据要素市场；指导建设数据流通交易平台，推进数据流通交易产业生态发展；鼓励和引导市场主体在数据交易场所开展数据交易。

第六条  主要监管职责。州金融监管部门负责数据交易场所及其经营活动的监督管理工作，支持和鼓励开展数据资产融资等创新型金融服务，会同行业管理部门共同维护行业秩序。

第七条  协同监管职责。州网信、发改、公安、市监、机要和保密、信息通信建设管理等有关部门在各自职责范围内依照国家相关法律、行政法规，开展数据流通交易市场秩序、安全保护和监督管理等工作，落实国家网络安全审查等制度，建立健全数据安全保护体系。

 

第三章 交易场所

 

第八条  设立、变更和终止要求。在大理州设立数据交易场所，原则上应当采取公司制组织形式，设立、变更和终止要求满足《中华人民共和国公司法》《云南省交易场所监督管理办法》等有关规定。

第九条  经营原则。数据交易场所应当严格遵守法律法规和监管部门的规定，遵循公开、公平、公正、安全原则，自觉接受监管，严格防范风险，以服务数字经济发展和数据要素市场化配置为宗旨，科学设计自身业务模式。

第十条  经营范围。数据交易场所应当按照市场监督管理部门批准的经营范围依法合规经营，保证数据交易活动的正常进行，为交易主体提供以下服务：

（一）交易场所、交易技术平台等数据交易基础设施；

（二）交易标的入场登记、挂牌、交易签约、资金结算、出具交易凭证、披露交易信息等服务；

（三）数据交易纠纷调解等协调服务；

（四）其他与数据交易活动相关的综合配套服务。

第十一条  决策监督机制。数据交易场所应当依法建立健全法人治理结构，完善议事规则、决策程序和内部审计制度，保持内部治理的有效性。指定一名高级管理人员作为合规负责人，承担合规责任，对数据交易场所依法合规运作进行监督。

第十二条  财务制度。数据交易场所应当建立健全财务管理制度，按照企业会计准则等要求，真实记录和反映企业的财务状况、经营成果和现金流量。

第十三条  信息系统建设。数据交易场所信息系统应当符合业务开展及监管要求，具备数据安全保护和数据备份措施，确保数据资料的安全，各种数据资料的保存期限不得少于20年。

交易信息系统应为州金融监管部门和州数据管理行政主管部门提供远程接入，依法、及时为其提供数据信息。

第十四条  信息报送。数据交易场所应当按照有关规定，定期向州金融监管部门和相关部门报送月度报告、季度报告和年度报告。报告内容应包括但不限于数据交易情况统计分析等。

第十五条  重大事项报告。数据交易场所遇有下列重大事项，应当及时向州金融监管部门报告，并抄送州数据管理行政主管部门：

（一）数据交易场所或其法定代表人、董事、监事、高级管理人员因涉嫌重大违法违规，被立案调查或者采取强制措施；

（二）数据交易场所重大财务支出和财务决策可能带来较大财务或者经营风险；

（三）涉及占其净资产10%以上或者对其经营风险有较大影响的诉讼；

（四）对社会稳定产生重大不利影响；

（五）数据交易场所股东更名或发生重大变动；

（六）其他重大事项。

第十六条  临时报告。州金融监管部门可以根据工作需要，要求数据交易场所就重大数据交易项目、数据交易异常情况、严重数据安全事故、受到有关部门处罚等事项报送临时报告，说明事件的起因、目前的状态、可能产生的后果和拟采取的措施等。

数据交易场所提交的信息和资料，应当真实、准确、完整。

第十七条  交易规则。数据交易场所应当依法制定数据交易活动相关规则。

交易规则主要包括：参与方的基本要求；交易标的和交易期限；交易方式和流程；风险控制；资金结算规则；数据交付规则；争议处理解决机制；交易信息的处理和发布规则；其他异常处理、差错处理机制等事项。

第十八条  过程可溯。数据交易场所应当加强大数据、云计算、人工智能、区块链、隐私计算、智能合约等数字技术应用，建立健全全数字化交易平台，实现挂牌、登记、询价、交易撮合、签约、结算、交付以及交易管理、专业服务等的全过程数字化，保障数据交易全时挂牌、全域交易、全程可溯。

第十九条  协议服务。进入数据交易场所的数据交易主体可以自主选择数据交易服务机构，并与其就服务内容、方式、费用等签订协议。

数据交易服务机构应当建立规范透明、安全可控、可追溯的数据交易服务环境，制定交易服务流程、内部管理制度，并采取数据元件等有效措施保护数据安全，保护个人隐私、个人信息、商业秘密、保密商务信息。

第二十条  资金结算。数据交易场所应当实行交易资金第三方结算制度，由交易资金的开户银行或非银行支付机构负责交易资金的结算，按客户实行分账管理，确保资金结算与数据交易场所的交易指令要求相符。

数据交易场所应当与符合条件的商业银行就账户性质、账户功能、账户使用的具体内容、监督方式等事项，以监督协议的形式作出约定，明确双方的权利和义务。数据交易场所不得借用银行信用进行经营和宣传。

第二十一条  风险应急。数据交易场所应当制定风险警示、风险处置等风险控制制度以及突发事件应急处置预案，并报州州金融监管部门备案。

第二十二条  纠纷解决。数据交易场所应当建立数据交易争议处理解决机制。交易主体发生争议时，可以向数据交易场所申请调解，也可以依法申请仲裁或者提起诉讼。

第二十三条  信息披露。数据交易场所应当建立信息公开披露制度。信息披露内容包括：公司设立及高级管理人员信息，交易规则、资金管理、风险控制等主要制度，交易品种，经营中发生的重大突发事件，公司关闭、客户服务及投诉处理渠道等。

披露的信息应当真实、准确、完整、及时，不得有虚假记载、误导性陈述或者重大遗漏。

第二十四条  禁止行为。数据交易场所及其分支机构、会员、代理商、授权服务机构不得从事下列活动：

（一）未经客户委托、违背客户意愿、假借客户名义开展交易活动；

（二）与客户进行对赌；

（三）不在规定时间内向客户提供交易的确认文件；

（四）挪用客户交易资金；

（五）为牟取佣金收入，诱使客户进行不必要的交易；

（六）提供、传播虚假或者误导客户的信息；

（七）利用交易软件进行后台操纵；

（八）发布对交易品种价格进行预测的文字和资料；

（九）擅自对外开展合作经营或将经营权对外转包；

（十）其他违背客户真实意思表示或与客户利益相冲突的行为。

数据交易场所不得为其股东、实际控制人或其他关联方提供融资或者融资担保。

数据交易场所的相关工作人员、股东、实际控制人不得以任何方式泄露或者利用内幕信息，不得以任何方式从数据交易场所的挂牌项目所涉及的公司、服务机构和交易主体获取非法利益。

数据交易场所的董事、监事、高级管理人员及其他工作人员在履行职责时，遇到与本人或者其近亲属等有利害关系情形的，应当回避。

 

第四章 交易标的

 

第二十五条  交易标的。交易标的主要包括数据元件和数据产品。

数据元件是指对数据脱敏处理后，根据需要由若干相关字段形成的数据集或由数据的关联字段通过建模形成的数据特征。

数据产品是指利用数据元件分析研究、加工处理所形成的能发挥数据要素价值的产品。

第二十六条  元件交易。鼓励、支持通过开发、撮合、承销的方式依法推动数据元件、数据产品依法参与流通交易。

公共数据经过依法授权许可、清洗加工等环节，开发为数据元件后，方可进行交易。

数据产品遵循交易标的合规性审查和安全评估要求，经第三方数据服务中介的审核评估后参与交易。

第二十七条  不可交易范围。数据交易标的涉及下列情形之一的，不得进行交易：

（一）存在权属纠纷或违规采集数据加工形成的；

（二）涉及国家秘密的、未经合法权利人明确同意的,或者涉及商业秘密的;

（三）未经自然人或者其监护人同意,涉及其个人信息的数据,包括自然人姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等;

（四）法律、法规、规章规定或者合法约定其他禁止交易的；

（五）法律法规规章等明确规定禁止交易的。

第二十八条  交付方式。交易标的的交付方式包括但不限于数据包方式、API接口方式、数据服务交付等。

第二十九条  分类分级。建立数据元件分级分类规则，并制定相应的数据元件安全保护规则，监督交易主体履行数据元件安全保护义务。

第三十条  清单管理。数据交易场所应当建立数据元件交易负面清单及谨慎清单制度，买卖双方不得就列入负面清单的数据元件进行交易；达到充分保护的条件下，可以对列入谨慎清单的数据元件进行交易。

 

第五章 交易主体

 

第三十一条  数据卖方。数据卖方是在大理州数据交易场所上架交易标的的交易主体，必须确保数据来源安全性、服务合规性。数据卖方向数据买方交付数据交易标的，并获得相应对价。

法律法规规章对特定数据交易存在特殊资质要求的，从其规定。

第三十二条  数据买方。数据买方是通过大理州数据交易场所受让交易标的的主体，遵守合法性、专用性、诚实信用、不可转让等原则参与交易，接受交易场所安全监督，遵守与卖方约定，对所购交易标的提供充分的安全保护。

法律法规规章对特定数据交易存在特殊资质要求的，从其规定。

第三十三条  第三方专业服务机构。第三方专业服务机构应当为在中华人民共和国境内（不含港澳台）依法成立并合法存续的法人或非法人组织，经营范围应包含其向交易场所登记的申报服务领域和项目。

第三方专业服务机构所提供服务涉及数据处理的，应当确保计算机网络系统的网络安全等级不得低于所处理数据的安全等级。

第三方专业服务机构开展数字资产评估、专业审计、法律服务等需具备特定执业资质的，应当符合相应的行业执业要求规定。

 

第六章 安全合规

 

第三十四条  安全风险评估。数据标的交付前，数据卖方应按照国家、行业规定或交易场所制定的重要交易风险评估规则对交易标的进行初步评估。若评估交易标的使用的原始数据属于重要数据的，应当自行或委托第三方专业服务机构出具重要数据交易安全风险评估报告，并提交数据交易机构进行数据交易监督审查。法律法规规章或者文件规定应当提请主管机关履行交易批准程序的，从其规定。

重要数据交易安全风险评估应当包含数据流通范围、影响程度、潜在风险、使用场景、用途用量以及数据分类分级授权、管控措施等内容。

第三十五条  个人信息评估。交易标的使用的原始数据涉及个人信息数据的，卖方应获得个人授权且充分评估风险并出具个人信息交易评估报告，提交数据交易场所进行数据交易监督审查。

第三十六条  依从原则。法律法规规章等对交易标的不同级别、类别及数量等有其他特别要求的，从其规定。

第三十七条  关键基础设施保护特别要求。数据卖方为关键信息基础设施运营者，交易前应对交易标的安全性开展评估，明确影响或者可能影响国家安全的，应按规定向网络安全审查部门申报进行网络安全审查。

数据买方为关键信息基础设施运营者，应当优先采购安全可信的数据产品和服务，并按照国家有关规定与数据卖方签订安全保密协议、网络安全审查配合承诺，明确数据卖方的数据支持和安全保密义务与责任，并对义务与责任履行情况进行监督。

 

第七章 监督管理

 

第三十八条  合规交易。鼓励加强企业数据合规体系建设和监管，严厉打击黑市交易，取缔数据流通非法产业。

第三十九条  监管评价。州金融监管部门依法对本市数据交易场所履行监管职责，定期对数据交易场所进行监管评价，根据评价结果，在市场准入、退出、非现场监管和现场检查等方面对交易场所实施分类监管，并将评价结果纳入数据交易场所的考核指标。

第四十条  金融监管。州金融监管部门可以根据实际情况，在依法调查或者检查时，有权查阅、复制有关文件和资料，对数据交易场所有关人员进行约见谈话、询问，要求提供与数据交易场所经营有关的资料和信息，不得非法或者未经相关人同意私自泄露相关信息。必要时，可以采取风险提示、向其合作机构或者其他相关单位通报情况等措施。

数据交易场所应当配合州金融监管部门依法采取监管措施，不得拒绝、阻碍和隐瞒。

第四十一条  安全审计。数据交易场所存在下列情形之一的，州金融监管部门可以委托具备相应资质的中介机构进行专项审计、评估或者出具法律意见书：

（一）数据交易场所的报告等存在虚假记载、误导性陈述或者重大遗漏的；

（二）违反有关客户资产保护和资金安全存管监控或风险监管指标管理规定的；

（三）违反有关规定，存在重大风险隐患的；

（四）州金融监管部门根据审慎监管原则认定的其他重大情形。

第四十二条  约谈整改。州相关部门在履行数据安全监管职责中，发现数据处理活动存在较大安全风险的，可以按照规定的权限和程序对有关组织、个人进行约谈，并要求有关组织、个人采取措施进行整改，消除隐患。

 

第八章 附则

 

第四十三条  其他要求。法律法规规章和国家政策对数据流通交易管理有规定的，从其规定。

第四十四条  解释权归属。本办法由州数据管理行政主管部门负责解释。

第四十五条  生效日期。本办法自2023年11月1日起施行，有效期至2028年10月31日。