你的公司買了一批數(shù)據(jù)，完成分析后緩存還留著；

供應(yīng)商在平臺(tái)掛了一份數(shù)據(jù)產(chǎn)品，上架前沒(méi)有完成脫敏；

一份電子合同只寫(xiě)了價(jià)格，沒(méi)有約定數(shù)據(jù)用途和安全責(zé)任。

這三件事，在2026年7月1日之后，都可能構(gòu)成違規(guī)。

2025年12月，國(guó)家標(biāo)準(zhǔn)《數(shù)據(jù)安全技術(shù) 數(shù)據(jù)交易服務(wù)安全要求》（GB/T 37932-2025）（以下簡(jiǎn)稱“國(guó)標(biāo)”）正式發(fā)布，將于2026年7月1日起實(shí)施。作為數(shù)據(jù)交易領(lǐng)域安全規(guī)范，覆蓋交易標(biāo)的、交易全流程、平臺(tái)技術(shù)要求和五類參與方的責(zé)任邊界。

無(wú)論你是數(shù)據(jù)供方、需方、平臺(tái)運(yùn)營(yíng)者，還是提供數(shù)據(jù)加工服務(wù)的數(shù)據(jù)商，這份標(biāo)準(zhǔn)都與你直接相關(guān)。

01 哪些數(shù)據(jù)不能交易？三道硬門檻

在談"怎么交易"之前，先搞清楚"什么不能交易"。

國(guó)標(biāo)明確列出十一類嚴(yán)禁交易的數(shù)據(jù)，核心涵蓋三個(gè)方向：涉及國(guó)家秘密、危害國(guó)家安全和社會(huì)穩(wěn)定、涉及個(gè)人權(quán)益和涉及企業(yè)權(quán)益的數(shù)據(jù)等。這是數(shù)據(jù)交易的絕對(duì)紅線，沒(méi)有例外。

通過(guò)紅線審查之后，還有兩道準(zhǔn)入門檻：

數(shù)據(jù)權(quán)屬關(guān)系必須清晰。數(shù)據(jù)供方必須提供完整、真實(shí)的權(quán)益聲明，明確數(shù)據(jù)來(lái)源及權(quán)屬關(guān)系；交易標(biāo)的描述（即被交易的數(shù)據(jù)本身）遵循真實(shí)性原則，嚴(yán)禁虛假掛牌、不得夸大數(shù)據(jù)價(jià)值。信息不對(duì)稱，是數(shù)據(jù)交易糾紛的一大來(lái)源，新國(guó)標(biāo)從源頭切斷這個(gè)隱患。

分類分級(jí)管控。 依據(jù)GB/T 43697等數(shù)據(jù)分類分級(jí)相關(guān)的國(guó)標(biāo)，不同類型的數(shù)據(jù)適用不同的流通規(guī)則：

• 公共數(shù)據(jù)：原則上"原始數(shù)據(jù)不出域、數(shù)據(jù)可用不可見(jiàn)"。

• 個(gè)人信息：完成匿名化處理，或取得個(gè)人明確同意后方可交易。

• 重要數(shù)據(jù)：采用脫敏處理或"可用不可見(jiàn)"模式。

  
  

這三條規(guī)則，直接決定了你手上的數(shù)據(jù)能不能上架、用什么方式上架。

02 交易全流程：事前、事中、事后，一個(gè)環(huán)節(jié)都不能松

國(guó)標(biāo)將安全管控從"交易時(shí)刻"延伸到了交易全生命周期，"重交易、輕過(guò)程"的做法，在新規(guī)下將面臨直接的合規(guī)壓力。

l  事前：入場(chǎng)資質(zhì)審核

交易機(jī)構(gòu)必須對(duì)供需雙方的主體資質(zhì)、信用記錄和安全能力進(jìn)行嚴(yán)格核驗(yàn)，確保參與方具備相應(yīng)的數(shù)據(jù)安全保護(hù)能力。掛牌數(shù)據(jù)須經(jīng)合規(guī)性與質(zhì)量評(píng)估，敏感數(shù)據(jù)未脫敏不得上架，從入口過(guò)濾不合規(guī)的交易請(qǐng)求。

l  事中：合同與操作雙重管控

電子合同必須明確約定數(shù)據(jù)的用途、使用范圍及雙方安全責(zé)任——不寫(xiě)清楚，合同本身就存在合規(guī)瑕疵。數(shù)據(jù)商在加工過(guò)程中需進(jìn)行風(fēng)險(xiǎn)評(píng)估并留存操作日志。

有一條要求尤其值得關(guān)注：需方的安全能力成熟度，不得低于供方。 這意味著數(shù)據(jù)需方不能只管"買到數(shù)據(jù)"，還必須證明自己有能力保護(hù)好這批數(shù)據(jù)。部署監(jiān)控工具，從技術(shù)上防范數(shù)據(jù)外泄的可能。

l  事后：清除與歸檔

交易結(jié)束后，需方須按要求清除緩存數(shù)據(jù)，供方須及時(shí)關(guān)閉訪問(wèn)通道。交易全過(guò)程的證據(jù)材料須規(guī)范歸檔，留存期限滿足監(jiān)管要求。

這三個(gè)階段共同構(gòu)成閉環(huán)：來(lái)源可查、去向可追、責(zé)任可究。

03 平臺(tái)技術(shù)要求：可信、可控、可審計(jì)

數(shù)據(jù)交易平臺(tái)是整個(gè)生態(tài)的樞紐，國(guó)標(biāo)對(duì)平臺(tái)的技術(shù)要求分三個(gè)層次：

基礎(chǔ)設(shè)施層

• 符合網(wǎng)絡(luò)安全等級(jí)保護(hù)三級(jí)及以上要求。

• 基礎(chǔ)設(shè)施部署在中國(guó)境內(nèi)。

• 采用國(guó)家認(rèn)可的合規(guī)密碼技術(shù)進(jìn)行加密保護(hù)。

交易過(guò)程防護(hù)層

• 全鏈路加密傳輸與存儲(chǔ)。

• 建立接口安全過(guò)濾和保護(hù)機(jī)制。

• 建立熱冗余備份，應(yīng)對(duì)極端故障場(chǎng)景。

• 提供安全隔離的交付環(huán)境，推行"可用不可見(jiàn)"交易模式。

審計(jì)與監(jiān)控層

• 利用區(qū)塊鏈等技術(shù)對(duì)關(guān)鍵交易環(huán)節(jié)進(jìn)行防篡改存證。

• 交易信息保存不少于三年，操作日志保存不少于六個(gè)月。

• 嚴(yán)格落實(shí)權(quán)限最小化原則，僅授權(quán)專職審計(jì)員訪問(wèn)日志。

• 支持參與方查詢自身交易記錄。

04 五類參與方，對(duì)號(hào)入座看你的責(zé)任

國(guó)標(biāo)系統(tǒng)界定了數(shù)據(jù)交易中的五類參與方，并為每類主體劃定了專屬的安全責(zé)任邊界。

05 結(jié)語(yǔ)

國(guó)標(biāo)不只是一份合規(guī)清單，它實(shí)際上重新定義了數(shù)據(jù)交易中"誰(shuí)該為什么負(fù)責(zé)"。

2026年7月1日，是留給所有參與方完成內(nèi)部整改的窗口期。在此之前，有幾件事值得優(yōu)先推進(jìn)：梳理現(xiàn)有數(shù)據(jù)產(chǎn)品是否符合交易標(biāo)的要求、排查交易合同是否約定了必要的安全條款、評(píng)估平臺(tái)或自身系統(tǒng)是否達(dá)到等保三級(jí)要求。

數(shù)據(jù)要素市場(chǎng)的規(guī)模還在持續(xù)擴(kuò)大，但能在其中穩(wěn)定獲益的，將是那些把合規(guī)能力建設(shè)為競(jìng)爭(zhēng)優(yōu)勢(shì)、而非應(yīng)付檢查的參與者。