你的公司買了一批數(shù)據(jù)，完成分析后緩存還留著；

供應商在平臺掛了一份數(shù)據(jù)產(chǎn)品，上架前沒有完成脫敏；

一份電子合同只寫了價格，沒有約定數(shù)據(jù)用途和安全責任。

這三件事，在2026年7月1日之后，都可能構成違規(guī)。

2025年12月，國家標準《數(shù)據(jù)安全技術 數(shù)據(jù)交易服務安全要求》（GB/T 37932-2025）（以下簡稱“國標”）正式發(fā)布，將于2026年7月1日起實施。作為數(shù)據(jù)交易領域安全規(guī)范，覆蓋交易標的、交易全流程、平臺技術要求和五類參與方的責任邊界。

無論你是數(shù)據(jù)供方、需方、平臺運營者，還是提供數(shù)據(jù)加工服務的數(shù)據(jù)商，這份標準都與你直接相關。

01 哪些數(shù)據(jù)不能交易？三道硬門檻

在談"怎么交易"之前，先搞清楚"什么不能交易"。

國標明確列出十一類嚴禁交易的數(shù)據(jù)，核心涵蓋三個方向：涉及國家秘密、危害國家安全和社會穩(wěn)定、涉及個人權益和涉及企業(yè)權益的數(shù)據(jù)等。這是數(shù)據(jù)交易的絕對紅線，沒有例外。

通過紅線審查之后，還有兩道準入門檻：

數(shù)據(jù)權屬關系必須清晰。數(shù)據(jù)供方必須提供完整、真實的權益聲明，明確數(shù)據(jù)來源及權屬關系；交易標的描述（即被交易的數(shù)據(jù)本身）遵循真實性原則，嚴禁虛假掛牌、不得夸大數(shù)據(jù)價值。信息不對稱，是數(shù)據(jù)交易糾紛的一大來源，新國標從源頭切斷這個隱患。

分類分級管控。 依據(jù)GB/T 43697等數(shù)據(jù)分類分級相關的國標，不同類型的數(shù)據(jù)適用不同的流通規(guī)則：

• 公共數(shù)據(jù)：原則上"原始數(shù)據(jù)不出域、數(shù)據(jù)可用不可見"。

• 個人信息：完成匿名化處理，或取得個人明確同意后方可交易。

• 重要數(shù)據(jù)：采用脫敏處理或"可用不可見"模式。

  
  

這三條規(guī)則，直接決定了你手上的數(shù)據(jù)能不能上架、用什么方式上架。

02 交易全流程：事前、事中、事后，一個環(huán)節(jié)都不能松

國標將安全管控從"交易時刻"延伸到了交易全生命周期，"重交易、輕過程"的做法，在新規(guī)下將面臨直接的合規(guī)壓力。

l  事前：入場資質(zhì)審核

交易機構必須對供需雙方的主體資質(zhì)、信用記錄和安全能力進行嚴格核驗，確保參與方具備相應的數(shù)據(jù)安全保護能力。掛牌數(shù)據(jù)須經(jīng)合規(guī)性與質(zhì)量評估，敏感數(shù)據(jù)未脫敏不得上架，從入口過濾不合規(guī)的交易請求。

l  事中：合同與操作雙重管控

電子合同必須明確約定數(shù)據(jù)的用途、使用范圍及雙方安全責任——不寫清楚，合同本身就存在合規(guī)瑕疵。數(shù)據(jù)商在加工過程中需進行風險評估并留存操作日志。

有一條要求尤其值得關注：需方的安全能力成熟度，不得低于供方。 這意味著數(shù)據(jù)需方不能只管"買到數(shù)據(jù)"，還必須證明自己有能力保護好這批數(shù)據(jù)。部署監(jiān)控工具，從技術上防范數(shù)據(jù)外泄的可能。

l  事后：清除與歸檔

交易結(jié)束后，需方須按要求清除緩存數(shù)據(jù)，供方須及時關閉訪問通道。交易全過程的證據(jù)材料須規(guī)范歸檔，留存期限滿足監(jiān)管要求。

這三個階段共同構成閉環(huán)：來源可查、去向可追、責任可究。

03 平臺技術要求：可信、可控、可審計

數(shù)據(jù)交易平臺是整個生態(tài)的樞紐，國標對平臺的技術要求分三個層次：

基礎設施層

• 符合網(wǎng)絡安全等級保護三級及以上要求。

• 基礎設施部署在中國境內(nèi)。

• 采用國家認可的合規(guī)密碼技術進行加密保護。

交易過程防護層

• 全鏈路加密傳輸與存儲。

• 建立接口安全過濾和保護機制。

• 建立熱冗余備份，應對極端故障場景。

• 提供安全隔離的交付環(huán)境，推行"可用不可見"交易模式。

審計與監(jiān)控層

• 利用區(qū)塊鏈等技術對關鍵交易環(huán)節(jié)進行防篡改存證。

• 交易信息保存不少于三年，操作日志保存不少于六個月。

• 嚴格落實權限最小化原則，僅授權專職審計員訪問日志。

• 支持參與方查詢自身交易記錄。

04 五類參與方，對號入座看你的責任

國標系統(tǒng)界定了數(shù)據(jù)交易中的五類參與方，并為每類主體劃定了專屬的安全責任邊界。

05 結(jié)語

國標不只是一份合規(guī)清單，它實際上重新定義了數(shù)據(jù)交易中"誰該為什么負責"。

2026年7月1日，是留給所有參與方完成內(nèi)部整改的窗口期。在此之前，有幾件事值得優(yōu)先推進：梳理現(xiàn)有數(shù)據(jù)產(chǎn)品是否符合交易標的要求、排查交易合同是否約定了必要的安全條款、評估平臺或自身系統(tǒng)是否達到等保三級要求。

數(shù)據(jù)要素市場的規(guī)模還在持續(xù)擴大，但能在其中穩(wěn)定獲益的，將是那些把合規(guī)能力建設為競爭優(yōu)勢、而非應付檢查的參與者。