关于完善数据流通安全治理更好促进数据要素市场化价值化的意见

为深入贯彻习近平总书记关于数据发展和安全的重要论述精神，全面落实党中央、国务院关于推进数据要素市场化配置改革的决策部署，加快构建规则明晰、产业繁荣、多方协同的数据流通安全治理体系，充分发挥数据的基础资源和创新引擎作用，促进数据要素合规高效流通利用，赋能经济社会高质量发展，提出如下意见。

一、总体要求

坚持以习近平新时代中国特色社会主义思想为指导，全面贯彻党的二十大和二十届二中、三中全会精神，坚持统筹数据高质量发展和高水平安全，坚持政府引导、市场主导、场景牵引、包容审慎、严守底线、适度创新，以实现数据合规高效可信流通为目标，统筹推进数据流通安全政策制度、管理机制、标准规范建设，加强数据流通安全技术应用和产业培育，不断创新和优化数据流通安全产品与服务，提升数据流通安全的监管与治理能力，切实维护国家安全，保护个人信息和商业秘密，有效防范数据滥用风险，为建设数字强省、网络强省和数字甘肃提供坚实支撑。

到2027年底，培育一批具有广泛应用价值的通用数据流通安全技术和产品，打造一批面向行业、场景、中小企业的数据流通安全解决方案，形成一批数据流通安全典型案例，数据流通安全治理体系基本建立，数据流通安全责任界定机制初步形成，数据流通安全技术应用能力显著增强，数据安全服务效能大幅提升。到2030年底，数据流通安全治理体系更加成熟完善，数据流通安全保障能力达到较高水平，数据要素市场秩序规范有序，数据流通安全技术应用广泛深入，数据安全服务业态丰富多元，为推动数据要素市场化价值化提供全方位的安全保障。

二、健全企业数据流通安全规则

（一）增强企业数据流通安全保护意识。加大数据安全法律法规和政策标准宣传力度，提高各行业企业数据流通安全意识。督促企业依法依规落实数据安全主体责任，压实企业法定代表人或主要负责人数据安全第一责任，建立健全数据安全管理体系和工作机制，定期开展数据安全教育培训。鼓励企事业单位设立首席数据官，加强数据治理和数据开发利用。规范开展企业数据治理能力评估，强化企业数据治理和质量管理能力建设。鼓励企业采用可信数据空间、区块链、隐私计算、匿名化等技术模式，促进数据安全流动。

（二）加强数据分类分级管理。鼓励企业根据业务属性，按照国家数据分类分级规则要求，通过编制数据资源目录、分析流通过程安全风险、制定分类分级保护措施等方式，落实数据分类分级保护安全管理制度要求。鼓励企业针对不同敏感级别的数据和数据处理场景，采取差异化的数据安全与合规管理措施，优化对同类型数据处理行为的内部合规审批流程，加强数据流转分析和风险监测。对确认为重要数据的，相关地区、部门应当及时向企业告知或公开发布。指导督促企业明确重要数据和核心数据处理的数据安全负责人和管理机构，按照规定开展数据安全风险评估，及时发现并整改安全隐患。推动各行业企业加强商用密码应用，保护数据安全。

（三）强化重点企业和重点场景数据安全。以掌握核心技术、代表行业发展水平、关系产业链安全稳定或关乎国家安全的企业为重点，指导提升风险监测、态势感知、威胁研判和应急处置等能力。围绕数据汇聚、共享、出境、委托加工等重点处理场景，排查企业数据流通安全保护薄弱点，实施贴合行业特点的数据保护措施。聚焦产业链上下游协作、服务外包、上云上平台等典型业务场景，厘清多主体数据安全责任界面和衔接模式，建立全链条全方位数据安全保护体系。面向数据要素大规模流通交易典型场景，打造一批安全解决方案。

三、加强公共数据流通安全管理

（四）靠实政务数据共享安全责任。认真落实《甘肃省政务数据共享管理办法（试行）》《甘肃省政务数据共享平台管理办法》，数据供给方根据“谁主管、谁提供、谁负责”的原则，明确数据共享范围、用途、条件，承担数据提供前的安全管理责任。数据接收方根据“谁经手、谁使用、谁管理、谁负责”的原则，承担数据接收后的安全管理责任，确保数据在安全前提下有序共享。

（五）推动公共数据资源规范化治理。制定公共数据分类分级指南，针对不同类型的公共数据采取差异化的开发利用策略和安全管控措施，促进数据有序高效利用。建立健全公共数据资源开发利用安全风险识别评估、监测预警、应急处置等治理体系，明确数据资源生产、加工使用、产品开发及经营等全过程相关主体安全责任，开展事前、事中、事后业务规范性审查和监督管理。围绕公共数据收集、存储、传输、使用等建立全流程数据质量管理责任制，加强数据源头质量自查自纠。

（六）落实公共数据资源授权运营安全责任。在确保安全的前提下，鼓励和支持公共数据授权运营。加强对授权运营工作的统筹管理，探索将授权运营纳入“三重一大”决策范围，明确授权条件、运营模式、运营期限、退出机制和安全管理责任。运营机构依据有关法律法规和政策规定，履行数据流通安全主体责任，采取必要安全措施，加强关联风险识别和管控，保护公共数据安全。

四、强化个人数据流通保障

（七）完善个人数据权益保障机制。加强个人数据安全保护，个人数据流通使用，应当依法依规取得个人同意或经过匿名化处理，不得通过强迫、欺诈、误导等方式取得个人同意。制定完善个人信息匿名化相关标准规范，明确匿名化操作规范、技术指标和流通环境要求，确保个人数据处于有效保护和合法利用的状态。

（八）健全个人数据安全管理机制。推进网络身份认证公共服务建设，鼓励采用国家网络公共身份认证等多种方式强化个人信息保护。加强对个人信息处理活动的规范引导，完善个人信息保护投诉、举报机制，拓展受理、处置渠道。

五、完善数据流通安全责任界定机制

（九）提升数据可信流通管控能力。建立数据来源可确认、使用范围可界定、流通过程可追溯、安全风险可防范的数据可信流通运行体系，保障参与各方身份可信、数据资源管理权责清晰、应用服务安全可靠，提升数据流通效率。建立健全数据公证体系，通过法人准入、数据准入、数据真实性、数据泄露、模型安全性等多种类型公证，确保数据主体与数据来源合法合规，保障数据承载的数据主体权益。

（十）推动数据流通交易标准示范合同应用。鼓励供需双方在数据流通交易合同中约定各自权责范围，清晰界定权责边界。数据供给方要遵循数据来源合规、服务安全等原则，确保数据合法合规。数据需求方按照流通交易申报的目的、要求和方式使用数据，防止超范围使用。鼓励数据交易机构根据供需双方需求提供用于测试样例数据的安全实验环境，撮合数据流通交易。加强数据交易服务标准建设和行业自律，建立健全数据安全收集、存储、处理、传输、交易与使用承诺制度机制。

（十一）加强数据流通安全审计和溯源。完善数据流通安全治理标准，融合应用数字水印、数据指纹、区块链等技术手段，提升数据安全审计能力，高效支撑数据流通中的取证和定责。探索建设数据跨境流动互信合作平台，开展数据跨境监管及安全审计，提高数据跨境流动监管效率。

六、加强数据流通安全技术创新应用

（十二）推动数据流通安全技术创新。构建“云网数”一体化协同安全保障体系，强化对算力资源和数据资源的安全防护。增强数据交易相关基础研发能力，加强面向可信数据空间、数场、数联网、数据元件等数据流通利用设施的研究开发。开展数据流通安全“产品+服务”供给模式创新，补齐技术短板，强化技术供给，降低技术壁垒。鼓励行业组织、企业、高校、科研院所等加强产学研用协同创新，开展核心数据安全技术攻关，围绕数据泄露、窃取、篡改等风险，推动流量异常监测、攻击行为识别、事件追溯和处置等产品研发。

（十三）深化数据流通安全技术应用。开展多方安全计算、数据防勒索、数据溯源、商用密码等技术产品的试点应用。鼓励通过主题沙龙、路演等渠道开展数据安全技术产品和服务供需对接活动。对于不涉及风险问题的一般数据，鼓励自行采取必要安全措施进行流通利用。对于未认定为重要数据，但企业认为涉及重要经营信息的，鼓励数据提供方、数据接收方接入和使用数据流通利用基础设施，促进数据安全流动。对于重要数据，在保护国家安全、个人隐私和确保公共安全的前提下，鼓励通过“原始数据不出域、数据可用不可见、数据可控可计量”等方式，依法依规实现数据价值开发。

七、丰富数据流通安全服务供给

（十四）加强数据交易机构安全保障。鼓励数据交易机构为流通交易主体开展数据交易提供基础设施和基本服务，搭建安全、可信、可控、可追溯的数据流通交易基础设施环境，指导数据商做好数据可信流通、留痕溯源、风险识别、合规检测等服务。鼓励数据交易机构对数据交易准备、交易磋商、合同签订、交付结算、争议处理等环节实施规范化管理，制定必要的制度规则，提升防攻击、防泄漏、防窃取的监测、预警、控制和应急处置能力，强化场内交易全过程安全保障。鼓励数据交易机构规范数据交易产品与服务质量管理，制定数据交易标的质量管理标准，对参与交易的脱敏数据、算法模型、人工智能训练数据、数据分析报告等数据产品，以及数据基础设施、数据加工处理、数据工具、数据分析、数据交付等数据服务质量进行评估。

（十五）鼓励多种数据交易安全有序发展。促进数据流通交易高效化和规范化发展，鼓励交易主体在依法设立的数据交易机构开展场内数据交易，或在明确交易双方的责任和义务的前提下，遵循自愿、平等、公平、诚实信用的原则，有序开展场外数据交易。鼓励各类数据交易机构探索建立互联互通机制，逐步实现产品互认、需求互动、标准互通、主体互信。行业组织和相关市场主体根据需要，可参照场内数据交易流程规范开展场外数据交易。对于不涉及国家安全、个人信息的数据，可自主选择场外流通交易方式。面向数据采集、汇聚、存储、传输、加工、流转、利用的全链路安全治理需求，开展数据安全防护平台建设，构建一体化、多层次、全方位的数据安全技术防护体系和专业化、可持续的服务运营体系。完善有利于数据流通主体互信的市场化机制，建立数据要素市场信用体系，逐步完善数据流通交易失信行为认定、守信激励、失信惩戒、信用修复和异议处理等机制。

（十六）提升数据安全产品和服务质量。推动数据安全服务机构向规模化、专业化、一体化方向发展，通过扩大服务供给规模，推动服务机构降本增效，赋能更多市场主体。鼓励数据安全服务机构加强基础理论研究、核心技术攻关和产品创新应用。推动完善元数据管理、数据脱敏、数据质量、价值评估等标准体系，带动新产品、新技术广泛应用于生产经营活动。丰富数据托管和数据保险服务，鼓励有条件的企业为中小企业提供安全、专业、便捷的数据管理和流通服务。研究探索通过保险机制分散数据流通中的安全风险，增强市场信心。培育数据流通安全检测评估、安全审计等服务，引入第三方专业机构对数据流通过程的安全合规情况进行系统评估。

八、防范数据安全风险

（十七）加强数据流通安全监管。鼓励引导数据要素市场主体依法成立行业组织，依法制定数据安全行为规范和团体标准。依法依规惩处数据领域垄断、不正当竞争等行为，维护各方主体权益和市场公平竞争秩序。加强跨部门、跨行业协作，形成数据流通安全监管合力。严厉打击非法获取、出售或提供数据的黑灰产业，严禁超出授权范围使用数据，严格管控未依法依规公开的原始公共数据直接进入市场。采取必要安全措施，加强数据汇聚关联风险识别和管控。

（十八）加强数据流通安全风险预防。建立动态监测机制，不断增强数据流通风险分析、处置能力，防范发生系统性、大范围数据流通安全风险。开展数据流通安全知识宣传，提高全社会数据流通安全保护意识和水平。面向不同行业、岗位、层级数据流通安全工作需求，推动专业化、特色化数据安全教材课程开发，规范开展职业人才资格认定，切实提升数据处理者数据流通安全管理能力。

各相关部门要加强数据安全、个人信息保护等方面的执法协同，推动行政执法信息共享、情况通报和协同配合，提高监管效能。要充分发挥行业主管部门、高校、科研院所、第三方机构在数据流通安全中的作用，引导各类主体加强数据流通安全能力建设。要培育和挖掘数据流通安全治理典型案例，充分发挥示范引领作用，营造“一地创新、多地共享”“一企创新、多企复用”的创新环境，促进数据安全有序流通。

甘肃省数据局       

甘肃省发展和改革委员会  

中共甘肃省委网络安全和信息化委员会办公室

甘肃省工业和信息化厅  

甘肃省公安厅     

甘肃省市场监督管理局 

2025年3月17日   

（此件公开发布）