大理白族自治州发展和改革委员会@@关于印发大理州数据流通交易管理办法@@的通知@@

州级各有关部门@@：

　　《大理州数据流通交易管理办法@@》已经州数字经济发展领导小组第七@@次会议研究同意@@，州数字经济发展领导小组办公室审查通过@@，现印发给你们@@，请结合实际认真抓好贯彻落实@@。

　　2023年@@10月@@17日@@

　　（此件公开发布@@）

大理州数据流通交易管理办法@@

　　第一@@章总则@@

　　第一@@条@@ 目的意义@@。为规范数据流通交@@易@@，培育数据要素市场@@，根据@@《中华人民共和国网络安全法@@》《中华人民共和国数据安全法@@》《中华人民共和国个人信息@@保护法@@》《云南省交易场所@@监督管理办法@@》（云政办规@@〔2018〕2号@@）等相关法律@@法规@@规定@@，结合大理州实际@@，制定本办法@@。

　　第二@@条@@ 适用范围@@。在大理州行政区域内开展数据流通交易及相关管理活动@@，适用本办法@@。

　　第三@@条名词解释@@。本办法所称数据流通交易是指以数据元件@@、数据产品作为交易标@@的的交易行为@@。

　　本办法所称数据交易场所@@是指在大理州行政区域内依法@@批准设立@@@@，组织开展数据交易活动的交易场所@@@@。

　　本办法所称第三@@方专业服务机构是指提供@@数据集成@@、数据经纪@@、合规认证@@、安全审计@@、数据公证@@、数据保险@@、数据托管@@、资产评估@@、争议仲裁@@、风险评估@@、人才培训等专业服务的机构@@。

　　第四@@条@@ 基本原则@@。数据流通交易坚持政府引导@@、市场主导@@，场景牵引@@、释放价值@@，鼓励@@创新@@、包容审慎@@，严守底线@@、安全发展的原则@@，遵守行业准则@@。

　　第二@@章部门职责@@

　　第五@@条@@ 业务指导@@。州数据管理行政主管部门负责指导@@、协调@@、调度大理州数据流通交易管理工作@@，培育数据要素市场@@；指导建设数据流通交易平台@@@@，推进数据流通交易产业生态发展@@；鼓励@@和引导市场主体@@在数据交易场所@@开展数据交易@@。

　　第六@@条@@ 主要监管职责@@。州金融监管部门负责数据交易场所@@及其经营活动的监督管理工作@@，支持和鼓励@@开展数据资产融资等创新型金融服务@@，会同行业管理部门共同维护行业秩序@@。

　　第七@@条协同监管职责@@。州网信@@、发改@@、公安@@、市监@@、机要和保密@@、信息通信建设管理等有关部门在各自职责范围内依照国家相关法律@@@@、行政法规@@@@，开展数据流通交易市场秩序@@、安全保护和监督管理等工作@@，落实国家网络安全审查等制度@@，建立健全数据安全保护体系@@。

　　第三@@章交易场所@@@@

　　第八@@条@@ 设立@@、变更和终止要求@@。在大理州设立@@数据交易场所@@@@，原则上应当采取公司制组织形式@@，设立@@、变更和终止要求@@满足@@《中华人民共和国公司法@@》《云南省交易场所@@监督管理办法@@》等有关规定@@。

　　第九@@条@@ 经营原则@@。数据交易场所@@应当严格遵守法律@@法规@@和监管部门的规定@@，遵循公开@@、公平@@、公正@@、安全原则@@，自觉接受监管@@，严格防范风险@@，以服务数字经济发展和数据要素市场化配置为宗旨@@，科学设计自身业务模式@@。

　　第十@@条@@ 经营范围@@。数据交易场所@@应当按照市场监督管理部门批准的经营范围@@依法@@合规经营@@，保证数据交易活动的正常进行@@，为交易主体@@提供@@以下服务@@：

　　（一@@）交易场所@@、交易技术平台@@等数据交易基础设施@@；

　　（二@@）交易标@@的入场登记@@@@、挂牌@@、交易签约@@@@、资金结算@@@@、出具交易凭证@@、披露交易信息等服务@@；

　　（三@@）数据交易纠纷调解等协调@@服务@@；

　　（四@@）其他与数据交易活动相关的综合配套服务@@。

　　第十@@一@@条决策监督机制@@。数据交易场所@@应当依法@@建立健全法人治理结构@@，完善议事规则@@、决策程序和内部审计制度@@，保持内部治理的有效性@@。指定一@@名高级管理人员作为合规负责人@@，承担合规责任@@，对数据交易场所@@依法@@合规运作进行监督@@。

　　第十@@二@@条财务制度@@。数据交易场所@@应当建立健全财务管理制度@@，按照企业会计准则等要求@@，真实记录和反映企业的财务状况@@、经营成果和现金流量@@。

　　第十@@三@@条信息系统建设@@。数据交易场所@@信息系统应当符合业务开展及监管要求@@，具备数据安全保护和数据备份措施@@，确保数据资料的安全@@，各种数据资料的保存期限不得少于@@20年@@。

　　交易信息系统应为州金融监管部门和州数据管理行政主管部门提供@@远程接入@@，依法@@、及时@@为其提供@@数据信息@@。

　　第十@@四@@条@@ 信息报送@@。数据交易场所@@应当按照有关规定@@，定期向州金融监管部门和相关部门报送月@@度报告@@、季度报告和年@@度报告@@。报告内容应包括但不限于数据交易情况统计分析等@@。

　　第十@@五@@条@@ 重大事项报告@@。数据交易场所@@遇有下列重大事项@@，应当及时@@向州金融监管部门报告@@，并抄送州数据管理行政主管部门@@：

　　（一@@）数据交易场所@@或其法定代表人@@、董事@@、监事@@、高级管理人员因涉嫌重大违法违规@@，被立案调查或者采取强制措施@@；

　　（二@@）数据交易场所@@重大财务支出和财务决策可能带来较大财务或者经营风险@@；

　　（三@@）涉及占其净资产@@10%以上或者对其经营风险有较大影响的诉讼@@；

　　（四@@）对社会稳定产生重大不利影响@@；

　　（五@@）数据交易场所@@股东@@更名或发生重大变动@@；

　　（六@@）其他重大事项@@。

　　第十@@六@@条@@ 临时报告@@。州金融监管部门可以根据@@工作需要@@，要求数据交易场所@@就重大数据交易项目@@、数据交易异常情况@@、严重数据安全事故@@、受到有关部门处罚等事项报送临时报告@@@@，说明事件的起因@@、目前的状态@@、可能产生的后果和拟采取的措施等@@。

　　数据交易场所@@提交的信息和资料@@，应当真实@@、准确@@、完整@@。

　　第十@@七@@条@@ 交易规则@@。数据交易场所@@应当依法@@制定数据交易活动相关规则@@。

　　交易规则@@主要包括@@：参与方的基本要求@@；交易标@@的和交易期限@@；交易方式@@和流程@@；风险控制@@；资金结算@@@@规则@@；数据交付规则@@；争议处理解决机制@@；交易信息的处理和发布规则@@；其他异常处理@@、差错处理机制等事项@@。

　　第十@@八@@条@@ 过程可溯@@。数据交易场所@@应当加强大数据@@、云计算@@、人工智能@@、区块链@@、隐私计算@@、智能合约等数字技术应用@@，建立健全全数字化交易平台@@@@，实现挂牌@@@@、登记@@、询价@@、交易撮合@@@@、签约@@、结算@@、交付以及交易管理@@、专业服务等的全过程数字化@@，保障数据交易全时挂牌@@@@、全域交易@@、全程可溯@@。

　　第十@@九@@条协议服务@@。进入数据交易场所@@的数据交易主体@@可以自主选择数据交易服务机构@@，并与其就服务内容@@、方式@@、费用等签订协议@@。

　　数据交易服务机构应当建立规范透明@@、安全可控@@、可追溯的数据交易服务环境@@，制定交易服务流程@@、内部管理制度@@，并采取数据元件等有效措施保护数据安全@@，保护个人隐私@@、个人信息@@、商业秘密@@、保密商务信息@@。

　　第二@@十@@条@@ 资金结算@@@@。数据交易场所@@应当实行交易资金第三@@方结算@@制度@@，由交易资金的开户银行或非银行支付机构负责交易资金的结算@@@@，按客户实行分账管理@@，确保资金结算@@@@与数据交易场所@@的交易指令要求相符@@。

　　数据交易场所@@应当与符合条件的商业银行就账户性质@@、账户功能@@、账户使用的具体内容@@、监督方式@@等事项@@，以监督协议的形式作出约定@@，明确双方的权利和义务@@。数据交易场所@@不得借用银行信用进行经营和宣传@@。

　　第二@@十@@一@@条@@ 风险应急@@。数据交易场所@@应当制定风险警示@@、风险处置等风险控制@@制度以及突发事件应急处置预案@@，并报州州金融监管部门备案@@。

　　第二@@十@@二@@条纠纷解决@@。数据交易场所@@应当建立数据交易争议处理解决机制@@@@。交易主体@@发生争议时@@，可以向数据交易场所@@申请调解@@，也可以依法@@申请仲裁或者提起诉讼@@。

　　第二@@十@@三@@条@@ 信息披露@@。数据交易场所@@应当建立信息公开披露制度@@。信息披露@@内容包括@@：公司设立@@及高级管理人员信息@@，交易规则@@、资金管理@@、风险控制@@等主要制度@@，交易品种@@，经营中发生的重大突发事件@@，公司关闭@@、客户服务及投诉处理渠道等@@。

　　披露的信息应当真实@@@@、准确@@、完整@@、及时@@，不得有虚假记载@@、误导性陈述或者重大遗漏@@。

　　第二@@十@@四@@条禁止行为@@。数据交易场所@@及其分支机构@@、会员@@、代理商@@、授权服务机构不得从事下列活动@@：

　　（一@@）未经客户委托@@、违背客户意愿@@、假借客户名义开展交易活动@@；

　　（二@@）与客户进行对赌@@；

　　（三@@）不在规定时间内向客户提供@@交易的确认文件@@；

　　（四@@）挪用客户交易资金@@；

　　（五@@）为牟取佣金收入@@，诱使客户进行不必要的交易@@；

　　（六@@）提供@@、传播虚假或者误导客户的信息@@；

　　（七@@）利用交易软件进行后台操纵@@；

　　（八@@）发布对交易品种@@价格进行预测的文字和资料@@；

　　（九@@）擅自对外开展合作经营或将经营权对外转包@@；

　　（十@@）其他违背客户真实意思表示或与客户利益相冲突的行为@@。

　　数据交易场所@@不得为其股东@@@@、实际控制人或其他关联方提供@@融资或者融资担保@@。

　　数据交易场所@@的相关工作人员@@、股东@@、实际控制人不得以任何方式@@泄露或者利用内幕信息@@，不得以任何方式@@从数据交易场所@@的挂牌@@项目所涉及的公司@@、服务机构和交易主体@@获取非法利益@@。

　　数据交易场所@@的董事@@@@、监事@@、高级管理人员及其他工作人员在履行职责时@@，遇到与本人或者其近亲属等有利害关系情形的@@，应当回避@@。

　　第四@@章交易标@@的@@

　　第二@@十@@五@@条交易标@@的@@。交易标@@的主要包括数据元件和数据产品@@。

　　数据元件是指对数据脱敏处理后@@，根据@@需要由若干相关字段形成的数据集或由数据的关联字段通过建模形成的数据特征@@。

　　数据产品是指利用数据元件分析研究@@、加工处理所形成的能发挥数据要素价值的产品@@。

　　第二@@十@@六@@条@@ 元件交易@@。鼓励@@、支持通过开发@@、撮合@@、承销的方式@@依法@@推动数据元件@@、数据产品依法@@参与流通交易@@。

　　公共数据经过依法@@授权许可@@、清洗加工等环节@@，开发为数据元件后@@，方可进行交易@@。

　　数据产品遵循交易标@@的合规性审查和安全评估要求@@，经第三@@方数据服务中介的审核评估后参与交易@@。

　　第二@@十@@七@@条不可交易范围@@。数据交易标@@的涉及下列情形之一@@的@@，不得进行交易@@：

　　（一@@）存在权属纠纷或违规采集数据加工形成的@@；

　　（二@@）涉及国家秘密的@@、未经合法权利人明确同意的@@,或者涉及商业秘密@@的@@;

　　（三@@）未经自然人或者其监护人同意@@,涉及其个人信息@@的数据@@,包括自然人姓名@@、出生日@@期@@、身份证件号@@码@@、生物识别信息@@、住址@@、电话号@@码@@、电子邮箱@@、健康信息@@、行踪信息等@@;

　　（四@@）法律@@、法规@@、规章规定或者合法约定其他禁止交易的@@；

　　（五@@）法律@@法规@@规章等明确规定禁止交易的@@。

　　第二@@十@@八@@条@@ 交付方式@@@@。交易标@@的的交付方式@@@@包括但不限于数据包方式@@@@、API接口方式@@@@、数据服务交付等@@。

　　第二@@十@@九@@条分类分级@@。建立数据元件分级分类规则@@，并制定相应的数据元件安全保护规则@@，监督交易主体@@履行数据元件安全保护义务@@。

　　第三@@十@@条@@ 清单管理@@。数据交易场所@@应当建立数据元件交易@@负面清单及谨慎清单制度@@，买卖双方不得就列入负面清单的数据元件进行交易@@；达到充分保护的条件下@@，可以对列入谨慎清单的数据元件进行交易@@。

　　第五@@章交易主体@@@@

　　第三@@十@@一@@条@@ 数据卖方@@。数据卖方@@是在大理州数据交易场所@@上架交易标@@的的交易主体@@@@，必须确保数据来源安全性@@、服务合规性@@。数据卖方@@向数据买方交付数据交易标@@的@@，并获得相应对价@@。

　　法律@@法规@@规章对特定数据交易存在特殊资质要求的@@，从其规定@@。

　　第三@@十@@二@@条数据买方@@。数据买方是通过大理州数据交易场所@@受让交易标@@的的主体@@@@，遵守合法性@@、专用性@@、诚实信用@@、不可转让等原则参与交易@@，接受交易场所@@安全监督@@，遵守与卖方约定@@，对所购交易标@@的提供@@充分的安全保护@@。

　　法律@@法规@@规章对特定数据交易存在特殊资质要求的@@，从其规定@@。

　　第三@@十@@三@@条第三@@方专业服务机构@@。第三@@方专业服务机构应当为在中华人民共和国境内@@（不含港澳台@@）依法@@成立并合法存续的法人或非法人组织@@，经营范围@@应包含其向交易场所@@登记@@的申报服务领域和项目@@。

　　第三@@方专业服务机构所提供@@服务涉及数据处理的@@，应当确保计算机网络系统的网络安全等级不得低于所处理数据的安全等级@@。

　　第三@@方专业服务机构开展数字资产评估@@@@、专业审计@@、法律@@服务等需具备特定执业资质的@@，应当符合相应的行业执业要求规定@@。

　　第六@@章安全合规@@

　　第三@@十@@四@@条@@ 安全风险评估@@@@。数据标@@的交付前@@，数据卖方@@应按照国家@@、行业规定或交易场所@@制定的重要交易风险评估@@规则对交易标@@的进行初步评估@@。若评估交易标@@的使用的原始数据属于重要数据的@@，应当自行或委托第三@@方专业服务机构出具重要数据交易安全风险评估@@@@报告@@，并提交数据交易机构进行数据交易监督审查@@。法律@@法规@@规章或者文件规定应当提请主管机关履行交易批准程序的@@，从其规定@@。

　　重要数据交易安全风险评估@@@@应当包含数据流通范围@@、影响程度@@、潜在风险@@、使用场景@@、用途用量以及数据分类分级授权@@、管控措施等内容@@。

　　第三@@十@@五@@条@@ 个人信息@@评估@@。交易标@@的使用的原始数据涉及个人信息@@数据的@@，卖方应获得个人授权且充分评估风险并出具个人信息@@交易评估报告@@，提交数据交易场所@@进行数据交易监督审查@@。

　　第三@@十@@六@@条@@ 依从原则@@。法律@@法规@@规章等对交易标@@的不同级别@@、类别及数量等有其他特别要求的@@，从其规定@@。

　　第三@@十@@七@@条@@ 关键基础设施保护特别要求@@。数据卖方@@为关键信息基础设施运营者@@，交易前应对交易标@@的安全性开展评估@@，明确影响或者可能影响国家安全的@@，应按规定向网络安全审查部门申报进行网络安全审查@@。

　　数据买方为关键信息基础设施运营者@@，应当优先采购安全可信的数据产品和服务@@，并按照国家有关规定与数据卖方@@签订安全保密协议@@、网络安全审查配合承诺@@，明确数据卖方@@的数据支持和安全保密义务与责任@@，并对义务与责任履行情况进行监督@@。

　　第七@@章监督管理@@

　　第三@@十@@八@@条@@ 合规交易@@。鼓励@@加强企业数据合规体系建设和监管@@，严厉打击黑市交易@@，取缔数据流通非法产业@@。

　　第三@@十@@九@@条监管评价@@。州金融监管部门依法@@对本市数据交易场所@@履行监管职责@@，定期对数据交易场所@@进行监管评价@@，根据@@评价结果@@，在市场准入@@、退出@@、非现场监管和现场检查等方面对交易场所@@实施分类监管@@，并将评价结果纳入数据交易场所@@的考核指标@@@@。

　　第四@@十@@条金融监管@@。州金融监管部门可以根据@@实际情况@@，在依法@@调查或者检查时@@，有权查阅@@、复制有关文件和资料@@，对数据交易场所@@有关人员进行约见谈话@@、询问@@，要求提供@@与数据交易场所@@经营有关的资料和信息@@，不得非法或者未经相关人同意私自泄露相关信息@@。必要时@@，可以采取风险提示@@、向其合作机构或者其他相关单位通报情况等措施@@。

　　数据交易场所@@应当配合州金融监管部门依法@@采取监管措施@@，不得拒绝@@、阻碍和隐瞒@@。

　　第四@@十@@一@@条安全审计@@@@。数据交易场所@@存在下列情形之一@@的@@，州金融监管部门可以委托具备相应资质的中介机构进行专项审计@@、评估或者出具法律@@意见书@@：

　　（一@@）数据交易场所@@的报告等存在虚假记载@@、误导性陈述或者重大遗漏@@的@@；

　　（二@@）违反有关客户资产保护和资金安全存管监控或风险监管指标@@管理规定的@@；

　　（三@@）违反有关规定@@，存在重大风险隐患的@@；

　　（四@@）州金融监管部门根据@@审慎监管原则认定的其他重大情形@@。

　　第四@@十@@二@@条约谈整改@@。州相关部门在履行数据安全监管职责中@@，发现数据处理活动存在较大安全风险的@@，可以按照规定的权限和程序对有关组织@@、个人进行约谈@@，并要求有关组织@@、个人采取措施进行整改@@，消除隐患@@。

　　第八@@章附则@@

　　第四@@十@@三@@条@@ 其他要求@@。法律@@法规@@规章和国家政策对数据流通交易管理有规定的@@，从其规定@@。

　　第四@@十@@四@@条解释权归属@@。本办法由州数据管理行政主管部门负责解释@@。

　　第四@@十@@五@@条@@ 生效日@@期@@。本办法自@@2023年@@11月@@1日@@起施行@@，有效期至@@2028年@@10月@@31日@@。