你的公司買了一批數據，完成分析后緩存還留著；

供應商在平臺掛了一份數據產品，上架前沒有完成脫敏；

一份電子合同只寫了價格，沒有約定數據用途和安全責任。

這三件事，在2026年7月1日之后，都可能構成違規。

2025年12月，國家標準《數據安全技術 數據交易服務安全要求》（GB/T 37932-2025）（以下簡稱“國標”）正式發布，將于2026年7月1日起實施。作為數據交易領域安全規范，覆蓋交易標的、交易全流程、平臺技術要求和五類參與方的責任邊界。

無論你是數據供方、需方、平臺運營者，還是提供數據加工服務的數據商，這份標準都與你直接相關。

01 哪些數據不能交易？三道硬門檻

在談"怎么交易"之前，先搞清楚"什么不能交易"。

國標明確列出十一類嚴禁交易的數據，核心涵蓋三個方向：涉及國家秘密、危害國家安全和社會穩定、涉及個人權益和涉及企業權益的數據等。這是數據交易的絕對紅線，沒有例外。

通過紅線審查之后，還有兩道準入門檻：

數據權屬關系必須清晰。數據供方必須提供完整、真實的權益聲明，明確數據來源及權屬關系；交易標的描述（即被交易的數據本身）遵循真實性原則，嚴禁虛假掛牌、不得夸大數據價值。信息不對稱，是數據交易糾紛的一大來源，新國標從源頭切斷這個隱患。

分類分級管控。 依據GB/T 43697等數據分類分級相關的國標，不同類型的數據適用不同的流通規則：

• 公共數據：原則上"原始數據不出域、數據可用不可見"。

• 個人信息：完成匿名化處理，或取得個人明確同意后方可交易。

• 重要數據：采用脫敏處理或"可用不可見"模式。

  
  

這三條規則，直接決定了你手上的數據能不能上架、用什么方式上架。

02 交易全流程：事前、事中、事后，一個環節都不能松

國標將安全管控從"交易時刻"延伸到了交易全生命周期，"重交易、輕過程"的做法，在新規下將面臨直接的合規壓力。

l  事前：入場資質審核

交易機構必須對供需雙方的主體資質、信用記錄和安全能力進行嚴格核驗，確保參與方具備相應的數據安全保護能力。掛牌數據須經合規性與質量評估，敏感數據未脫敏不得上架，從入口過濾不合規的交易請求。

l  事中：合同與操作雙重管控

電子合同必須明確約定數據的用途、使用范圍及雙方安全責任——不寫清楚，合同本身就存在合規瑕疵。數據商在加工過程中需進行風險評估并留存操作日志。

有一條要求尤其值得關注：需方的安全能力成熟度，不得低于供方。 這意味著數據需方不能只管"買到數據"，還必須證明自己有能力保護好這批數據。部署監控工具，從技術上防范數據外泄的可能。

l  事后：清除與歸檔

交易結束后，需方須按要求清除緩存數據，供方須及時關閉訪問通道。交易全過程的證據材料須規范歸檔，留存期限滿足監管要求。

這三個階段共同構成閉環：來源可查、去向可追、責任可究。

03 平臺技術要求：可信、可控、可審計

數據交易平臺是整個生態的樞紐，國標對平臺的技術要求分三個層次：

基礎設施層

• 符合網絡安全等級保護三級及以上要求。

• 基礎設施部署在中國境內。

• 采用國家認可的合規密碼技術進行加密保護。

交易過程防護層

• 全鏈路加密傳輸與存儲。

• 建立接口安全過濾和保護機制。

• 建立熱冗余備份，應對極端故障場景。

• 提供安全隔離的交付環境，推行"可用不可見"交易模式。

審計與監控層

• 利用區塊鏈等技術對關鍵交易環節進行防篡改存證。

• 交易信息保存不少于三年，操作日志保存不少于六個月。

• 嚴格落實權限最小化原則，僅授權專職審計員訪問日志。

• 支持參與方查詢自身交易記錄。

04 五類參與方，對號入座看你的責任

國標系統界定了數據交易中的五類參與方，并為每類主體劃定了專屬的安全責任邊界。

05 結語

國標不只是一份合規清單，它實際上重新定義了數據交易中"誰該為什么負責"。

2026年7月1日，是留給所有參與方完成內部整改的窗口期。在此之前，有幾件事值得優先推進：梳理現有數據產品是否符合交易標的要求、排查交易合同是否約定了必要的安全條款、評估平臺或自身系統是否達到等保三級要求。

數據要素市場的規模還在持續擴大，但能在其中穩定獲益的，將是那些把合規能力建設為競爭優勢、而非應付檢查的參與者。