近年来，党中央和国务院将数据要素市场的培育与发展列入国家重点发展方向，先后通过《中共中央关于坚持和完善中国特色社会主义制度、推进国家治理体系和治理能力现代化若干重大问题的决定》、《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》等重要文件，强调要建立数据产权制度、合规高效的数据要素流通和交易制度等。《数据安全法》第十九条提出：国家建立健全数据交易管理制度，规范数据交易行为，培育数据交易市场。但总的来看，在数据产品交易审查制度和法律责任等方面，由于我国尚未形成系统的数据安全审查制度和数据交易管理制度，法律指引并不充分，制度建设还有待进一步细化，导致数据产品交易中的多方主体均存在疑难问题，缺乏法律依据，亟待明确。

笔者结合自身办理的数据合规项目和数据交易案件，全面分析了近年来各地数据交易所采取的应对之策，将数据产品交易中常见的六大合规难点进行分析总结，供数据交易行业和法律界人士参考。

根据《数据安全法》的要求，企业开展数据处理活动应当建立健全全流程数据安全管理制度和技术保护机制，能采取必要措施确保数据安全。防止数据篡改、泄露、毁损、丢失或非法获取、非法利用等风险。在合规实践中，建议企业根据数据合规律师的要求，制订企业内部的数据安全管理办法、条例、制度、规范等规范性文件来满足合规要求，其主要内容需要包含数据收集、加工、处理、存储、交易等全流程的管理要求。

数据安全负责人制度源自《数据安全法》第二十七条第二款：重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任。关于重要数据，《网络安全法》最早提出这一概念，要求对重要数据进行备份或容灾备份（第21、34条），要求关键信息基础设施的运营者在中国境内运营中收集和产生的重要数据应当在境内存储（第37条）。此外，一些行业或领域的主管部门也出台了有关地理数据、科学数据、交通数据、人口数据、健康数据、药品数据、金融数据、教育数据、气象数据、地震数据等重要数据的管理规定。

在合规实践中多数企业或许设置了数据安全相关责任部门，但是并没有专门设立数据安全负责人这一职位。我们建议所有申请在数据交易所交易数据产品的企业均应设立数据安全负责人，以此加强企业整体的数据安全合规水平。企业可以将相关制度性文件作为材料提交给负责合规评估的律师团队。

考虑到企业在开展数据处理活动的各环节中，每位企业员工均有可能接触到数据产品中涉及的数据，因此建议企业与全体员工均签署保密协议，并在原有的保密协议基础上添加关于数据领域的条款，以提高企业的合规水平。企业可以将保密协议和相关制度性文件作为材料提交合规评估团队。

企业应当具备安全的数据存储环境，否则一旦发生数据安全事故，后果将不堪设想。这需要软件的加密措施和对硬件设备进行物理层面的保护措施共同来实现。软件层面的保护措施通常需要采购专业的加密公司的安全软件来实现诸如：防火墙、防病毒、多重加密、多主体安全验证、数据丢失预防、备份与恢复等功能，物理层面的保护需要参照网络安全等级保护制度2.0标准中的要求进行合理规划，必要的情况下也需要聘请专业的公司进行协助，请他们提供下列服务，包括提供电气事故、火灾事故、爆炸事故、设备损坏事故、高压配电室漏水事故等事故预防措施。企业可以将已实施的有关举措（如采购合同）和相关制度性文件做好梳理总结。

根据《数据安全法》的要求，企业利用互联网等信息网络开展数据处理活动时，应当落在实网络安全等级保护制度的基础上，主动履行数据安全保护义务。根据《信息安全技术 网络安全等级保护基本要求》的内容，等级保护对象是指网络安全等级保护工作中的对象，在计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统，主要包括基础信息网络、云计算平台系统、大数据应用平台资源、物联网(IOT)、工业控制系统和采用移动互联技术的系统等。等级保护对象根据其在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等，由低到高被划分为五个安全保护等级。

对应的五级安全要求的内容主要涵盖下列方面：安全物理环境（出入口管理、防盗窃和防破坏、防雷击、防火、防水和防潮、温湿度控制、电力供应）、安全通信网络（完整性校验技术、可信验证技术）、安全区域边界（边界防护、访问控制）、安全计算环境（身份鉴别、访问控制、入侵防范、恶意代码防范、数据完整性校验、数据备份与恢复）、安全管理制度（岗位设置、人员配备、授权与审批）、安全管理人员（人员录用、人员离岗、安全意识教育和培训、外部人员访问管理）、安全建设管理（定级和备案、安全方案设计、产品采购和使用、工程实施、测试验收、系统交付、服务供应商选择）、安全运维管理（环境管理、截至管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、备份与恢复管理、安全事件处置）。

企业应当在落实好相关数据的合规要求后，及时前往公司所在地的公安机关实施网络安全等级保护备案。企业应将公关机关颁发给企业或集团共同系统所属关联公司的等级安全保护备案证书作为必备材料。

根据《数据安全法》的要求，企业应当在企业内部定期或不定期组织开展数据安全教育培训的活动。这不仅是法律的要求，也应当是从业者对自身的基本要求。紧跟时代步伐，及时学习相关知识应是每一位从业者的基本素养。企业应高度重视收集相关人员参与这些活动的规章制度、日程表、活动照片、新闻报道等资料。

根据《信息安全技术数据交易服务安全要求》的要求和数据合规实践，企业应当建立并完善这一机制。确保在发生数据安全事件前、发生时、发生后，企业均能够及时采取一定的风险管控措施。企业对数据安全事件的管理不能仅仅包括做好事前的保护措施和事后的处置机制，还需要做到对风险的实时监测，要求能够在发现数据安全缺陷、漏洞等风险时，能及时采取补救措施，以免小事酿成大祸。此外，还需要企业建立数据安全事件的完整处置流程，确保发生数据安全事件时，能立即采取处置措施，按规定及时告知用户并向有关主管部门报告。

对此，企业需要建立应急处理团队、制定应急预案，对以下事项进行具体规制：数据流转与分部检测规则、风险识别策略管理规则、数据识别特征库制度、数据流转行为规则库、数据流转路径规则、数据访问控制规则、事件识别与评估、事件上报与信息沟通、事件处置与控制、事件恢复、事件溯源、事件总结与改进、培训与演练、法律法规遵从、合作与信息共享等。

根据《数据安全法》的要求，国家、各地区、各部门都应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对重要数据进行重点保护。

根据合规实践，我们建议企业参考法律规定和行业要求来制定适合自身情况的数据分类分级保护制度。如：参考《信息技术 大数据 数据分类指南》《国民经济行业分类》《工业数据分类分级指南（试行）》等文件，参考《石油和化工行业工业数据分类分级指南》《基础电信企业数据分类分级方法》《工业数据分类分级指南（试行）》《证券期货业数据分类分级指引》《金融数据安全 数据安全分级指南》等行业标准，参考上海市的《上海市公共数据开放分级分类指南(试行)》、贵州省的《政府数据 数据分类分级指南》、杭州市的《数据资源管理 第3部分：政务数据分类分级》、青岛市的《青岛市公共数据分类分级指南》等地方性文件的要求，开展企业内部的数据分类活动。企业需要以此为基础制订内部的数据分类分级保护制度，并根据重要数据具体目录对列入目录的数据进行重点保护。

根据不同的数据来源，企业可将数据分类为自行生产、公开收集、定向爬取、合作方授权、合作方购入等方式或内部数据、外部数据、第三方数据等方式进行分类，以便于企业更好地进行管理和利用数据。

根据国家或有关部门对数据的监管要求，和数据对企业的重要程度，企业可将数据分类为核心机密数据、重要敏感数据、一般数据等维度。

根据数据自身的技术属性，企业可将数据分类为数据产生频率（如每年更新数据、每月更新数据、每周更新数据、每日更新数据、每小时更新数据、每分钟更新数据、每秒更新数据、无更新数据等）、数据产生方式（如人工采集数据、信息系统产生数据、感知设备产生数据、原始数据、二次加工数据等）、数据结构化特征（如结构化数据、非结构化数据、半结构化数据）、数据存储方式（如关系数据库存储数据、键值数据库存储数据、列式数据库存储数据、图数据库存储数据、文档数据库存储数据等）、数据稀疏稠密程度（如稠密数据、稀疏数据）、数据处理时效性（如实时处理数据、准实时处理数据、批量处理数据）、数据交换方式（如ETL方式、系统接口方式、FTP方式、移动介质复制方式等）、数据的敏感程度（如敏感、较敏感、低敏感、不敏感等）等维度。

根据数据自身与业务的关联情况，企业可将数据分类为数据产生来源（如人为社交数据、电子商务平台交易数据、移动通信数据、物联网感知数据、系统运行日志数据等）、数据业务归属（如生产类业务数据、管理类业务数据、经营分析类业务数据等）、数据流通类型（如可直接交易数据、间接交易数据、不可交易数据等）、数据行业领域（如按GB/T 4754—2017《国民经济行业分类》进行分类）、数据质量情况（如高质量数据、普通质量数据、低质量数据等）等维度。

根据数据破坏后的危害程度对国家安全、社会公共利益和秩序以及对公民、法人和其他组织的合法权益的危害程度来确定安全级别，由高至低可分级为机密数据、敏感数据、内部数据、公开数据。

工业数据是工业领域产品和服务全生命周期产生和应用的数据，包括但不限于工业企业在研发设计、生产制造、经营管理、运维服务等环节中生成和使用的数据，以及工业互联网平台企业（简称平台企业）在设备接入、平台运行、工业APP应用等过程中生成和使用的数据。

工业企业工业数据分类维度包括但不限于：研发数据域（研发设计数据、开发测试数据等）、生产数据域（控制信息、工况状态、工艺参数、系统日志等）、运维数据域（物流数据、产品售后服务数据等）、管理数据域（系统设备资产信息、客户与产品信息、产品供应链数据、业务统计数据等）、外部数据域（与其他主体共享的数据等）、平台运营数据域（物联采集数据、知识库模型库数据、研发数据等）和企业管理数据域（客户数据、业务合作数据、人事财务数据等）。

根据《数据安全法》的要求，企业作为数据产品的供方，应当向数据交易中介机构说明数据来源。根据《信息安全技术数据交易服务安全要求》的要求，企业向数据交易服务机构提供书面的安全承诺，内容包括但不限于，交易数据来源合法性证明材料、交易数据满足法律法规和政策要求、对交易数据质量审查说明、遵守数据交易安全原则、愿意接受数据交易服务机构安全监督、愿意对数据流通后果负责等。

数据来源于公开收集的，企业应当提供公开获取方式本身的技术性描述，说明遵循Robots协议行业规则，并承诺没有采用侵入、非法控制计算机信息系统、非法获取计算机信息系统数据的程序。

数据来源于自行生产的，企业应当提供建设和运维的系统情况、传感器、智能设备数量和运行及平均采集规模等情况说明。如地理测绘行业的企业，应当就无人机、传感器等设备的数量和运行及平均采集规模等情况进行说明。

数据来源于合法间接获取的，企业应当提供完整的购买协议、合作协议或许可使用协议等证明。如数据持有者出具的授权文件或许可性协议，向其他数据持有者采买数据的采购协议等均可作为证明材料。

根据《民法典》《个人信息保护法》《上海市数据条例》的要求，数据涉及个人信息采集的，应当提供涉个人信息的数据采集字段、采集方式和已经获得个人同意证明和提供时已经获得单独同意的证明；进行匿名化处理，不再具有关联到个人属性；依据其他合法性基础收集的涉个人信息的数据，应当说明数据产品仍然在该合法性基础范围内。对身份信息或直接标识符、私密信息、敏感信息等内容已进行适当处理，保证无法识别特定个人且不能复原。

根据目前各地数据交易所提出的“无场景不交易”这一基本要求或制度，也为了进一步实现数据供需双方对挂牌交易的需求，减少市场信息不对称，增强供给适配需求的能动性，因此数据产品必须要具有可交易性，实践中常见的具体情况如下。

律师团队需要对企业提供的数据产品是否涉及危害国家安全、公共安全、公共秩序或违背公序良俗的情况进行审慎评估。

律师团队需要对企业提供的数据产品的内容是否不属于且不涉及法律禁止获取、持有和对外提供的数据等情况进行审慎评估。

这些合法权益包括但不限于数据主体权利、商业秘密、数据使用利益和许可使用利益等。

需要企业提供关于知识投入情况（创造性劳动）的说明和于注入劳动情况（实质性加工）的说明。知识投入情况包括但不限于数据处理过程说明（如采用何种算法、知识进行加工），注入劳动情况包括但不限于数据处理有关佐证（如服务器日志）。

其他关于数据产品可交易性的说明。根据合规实践，企业需要介绍该数据产品的行业实践情况和司法案例（如有）等，以进一步补充数据产品的可交易性。

根据《网络安全法》《数据安全法》《上海市数据条例》的要求，企业需要防范数据后续流通过程中可能发生的风险，最大程度上防范数据安全隐患。企业可以将相关协议或制度性文件作为材料提交给负责合规评估的律师团队。

企业需要对数据产品的应用场景进行一定的解释说明。根据数据产品所包含的字段和内容、企业与其他客户间的协议、企业为客户提供服务的传输方式、数据产品的使用条件、约束机制等介绍数据产品的应用场景。企业可以将相关协议、情况说明、制度性文件作为材料提交给负责合规评估的律师团队。

企业需要对数据产品对其他利益相关方可能造成的影响进行一定的解释说明，包括正面或负面影响。根据数据产品所包含的内容以及应用后可能造成的影响，企业或数据合规律师应当综合分析数据产品对其他利益相关方造成的可能的影响，并将这一影响告知数据产品的客户。企业可以将相关的情况说明作为材料提交给负责合规评估的律师团队。

根据我国《数据安全法》《网络安全法》《个人信息出境安全评估办法》等法律文件的强制性规定，在某些流通场景中要求企业满足国家对数据流通的强制性规定后，方可开展数据流通活动。因此，企业需要根据数据合规律师的提醒，满足不断更新的合规要求。

1.行政许可才能流通

如企业的数据产品涉及依法需要行政许可才能流通的数据或数据产品，应当依法及时向主管部门申报并取得相关行政许可，否则将不能开展数据流通的活动。企业可以将相关制度性文件作为材料提交给负责合规评估的律师团队。

2.数据跨境流通

如企业的数据产品是涉及跨境流通的数据产品，应当及时与当地网信办联系，通过数据出境安全评估，否则将不能跨境流通。企业可以将已取得的资质或通过认证的证书等文件作为材料提交给负责合规评估的律师团队。

自从数据要素市场的概念提出以来，多地正在逐步建立与完善数据交易所的各项制度，努力引导数据交易从场外交易转为场内交易。在实践层面，企业（供方）应当首先建立完备的数据安全保护制度和数据安全事件处置机制，其次应当依法建立数据进行分类分级保护并确保数据的来源合法，最后应当向数交所和需方阐明数据产品具备可交易性且在流通环节的风险可防可控。在该过程中，法律应当对数据产品交易提出适当的规范指引，为这一过程提供治理型的制度回应。