全国首部！天津拟规定数据交易办法，涉及个人隐私的数据不得交易

【全国首部！天津拟规定数据交易办法，涉及个人隐私的数据不得交易】近日，由天津市互联网信息办公室起草的《天津市数据交易管理暂行办法（征求意见稿）》（下称《办法》）公开征求意见。多位专家告诉隐私护卫队，这是国内首部地方公布的专门针对数据交易的政府文件。
《办法》对数据交易主体需满足的条件、可交易的数据类型、如何确保数据交易安全进行了规定，强调涉及国家安全、公共安全和个人隐私的数据不得交易。

交易主体需一年内无重大数据类违法违规记录

为引导培育天津市大数据交易市场，规范数据交易行为，激发数据交易主体活力，促进数据资源流通，根据《天津市促进大数据发展应用条例》等法律法规，天津市互联网信息办公室起草了《办法》。
《办法》共分为总则、交易主体、交易数据、交易行为、交易平台、交易安全、监督管理、责任追究、附则九章。其中交易主体分为数据供方、数据需方和数据交易服务机构。参与数据交易时，三者应满足一年内无重大数据类违法违规记录，数据供方和数据需方应在数据交易服务机构注册并经审核通过，分别能够安全交付数据和安全保护数据。
此外，行政机关及法律法规授权的具有管理公共事务职能的组织不得作为数据供方参与数据交易。

涉及个人隐私的数据不得交易

如今，数据已成为全新的生产要素，是推动经济发展的新引擎。
哪些数据可以参与交易？《办法》规定，依法获取的各类数据经处理无法识别特定数据提供者且不能复原的，可以交易。并且，数据供方应确保交易数据获取渠道合法、权利清晰无争议，能够向数据交易服务机构提供拥有交易数据完整相关权益的承诺声明及交易数据采集渠道、个人信息保护政策、用户授权等证明材料，同时还要确保交易数据的真实性。
而禁止交易的数据包括，涉及国家安全、公共安全、个人隐私的数据；未经不满14周岁未成年人的监护人明示同意，涉及该未成年人个人信息的数据；以欺诈、诱骗、误导等方式或从非法、违规渠道获取的数据等。
数据交易一般可分为电子化交易和非电子化交易。电子化交易是通过数据交易服务平台进行的数据交易，非电子化交易是通过离线方式进行的数据交易。《办法》强调要引导非电子化形式的文件、资料、图表等各类数据转换为电子化形式的数据，推进全流程电子化交易。
交易过程中，数据供需双方应对交易数据的用途、使用范围、交易方式、使用期限和交易价格等协商和约定，最终形成交易订单。

交易服务机构应提供匿名、加密等机制和措施

为确保数据交易安全，《办法》规定，数据供方应对交易数据进行安全风险评估并出具评估报告。数据需方按照供需双方约定使用数据，禁止进行个人信息的重新识别，完成使用后按照约定及时销毁交易数据。
作为平台方，《办法》强调数据交易服务机构未经授权不得擅自使用数据供需双方的数据或数据衍生品，应为数据供需双方提供匿名、泛化、随机、加密等脱敏机制与措施，保护重要数据和个人敏感信息。当发生泄露、篡改、损毁等数据安全事件时，数据交易服务机构应当立即采取补救措施，及时以电话、短信、邮件等方式告知数据供需双方，并向有关部门报告。
《办法》还规定，互联网信息主管部门应会同公安等部门检查数据交易机构履行数据安全责任、落实安全管理制度等方面的情况。一经发现数据交易行为或交易平台存在较大风险的，应提出改正要求并督促整改。

文/南都个人信息保护研究中心研究员尤一炜
编辑：蒋琳