你的公司买了一批数据，完成分析后缓存还留着；

供应商在平台挂了一份数据产品，上架前没有完成脱敏；

一份电子合同只写了价格，没有约定数据用途和安全责任。

这三件事，在2026年7月1日之后，都可能构成违规。

2025年12月，国家标准《数据安全技术 数据交易服务安全要求》（GB/T 37932-2025）（以下简称“国标”）正式发布，将于2026年7月1日起实施。作为数据交易领域安全规范，覆盖交易标的、交易全流程、平台技术要求和五类参与方的责任边界。

无论你是数据供方、需方、平台运营者，还是提供数据加工服务的数据商，这份标准都与你直接相关。

01 哪些数据不能交易？三道硬门槛

在谈"怎么交易"之前，先搞清楚"什么不能交易"。

国标明确列出十一类严禁交易的数据，核心涵盖三个方向：涉及国家秘密、危害国家安全和社会稳定、涉及个人权益和涉及企业权益的数据等。这是数据交易的绝对红线，没有例外。

通过红线审查之后，还有两道准入门槛：

数据权属关系必须清晰。数据供方必须提供完整、真实的权益声明，明确数据来源及权属关系；交易标的描述（即被交易的数据本身）遵循真实性原则，严禁虚假挂牌、不得夸大数据价值。信息不对称，是数据交易纠纷的一大来源，新国标从源头切断这个隐患。

分类分级管控。 依据GB/T 43697等数据分类分级相关的国标，不同类型的数据适用不同的流通规则：

• 公共数据：原则上"原始数据不出域、数据可用不可见"。

• 个人信息：完成匿名化处理，或取得个人明确同意后方可交易。

• 重要数据：采用脱敏处理或"可用不可见"模式。

  
  

这三条规则，直接决定了你手上的数据能不能上架、用什么方式上架。

02 交易全流程：事前、事中、事后，一个环节都不能松

国标将安全管控从"交易时刻"延伸到了交易全生命周期，"重交易、轻过程"的做法，在新规下将面临直接的合规压力。

l  事前：入场资质审核

交易机构必须对供需双方的主体资质、信用记录和安全能力进行严格核验，确保参与方具备相应的数据安全保护能力。挂牌数据须经合规性与质量评估，敏感数据未脱敏不得上架，从入口过滤不合规的交易请求。

l  事中：合同与操作双重管控

电子合同必须明确约定数据的用途、使用范围及双方安全责任——不写清楚，合同本身就存在合规瑕疵。数据商在加工过程中需进行风险评估并留存操作日志。

有一条要求尤其值得关注：需方的安全能力成熟度，不得低于供方。 这意味着数据需方不能只管"买到数据"，还必须证明自己有能力保护好这批数据。部署监控工具，从技术上防范数据外泄的可能。

l  事后：清除与归档

交易结束后，需方须按要求清除缓存数据，供方须及时关闭访问通道。交易全过程的证据材料须规范归档，留存期限满足监管要求。

这三个阶段共同构成闭环：来源可查、去向可追、责任可究。

03 平台技术要求：可信、可控、可审计

数据交易平台是整个生态的枢纽，国标对平台的技术要求分三个层次：

基础设施层

• 符合网络安全等级保护三级及以上要求。

• 基础设施部署在中国境内。

• 采用国家认可的合规密码技术进行加密保护。

交易过程防护层

• 全链路加密传输与存储。

• 建立接口安全过滤和保护机制。

• 建立热冗余备份，应对极端故障场景。

• 提供安全隔离的交付环境，推行"可用不可见"交易模式。

审计与监控层

• 利用区块链等技术对关键交易环节进行防篡改存证。

• 交易信息保存不少于三年，操作日志保存不少于六个月。

• 严格落实权限最小化原则，仅授权专职审计员访问日志。

• 支持参与方查询自身交易记录。

04 五类参与方，对号入座看你的责任

国标系统界定了数据交易中的五类参与方，并为每类主体划定了专属的安全责任边界。

05 结语

国标不只是一份合规清单，它实际上重新定义了数据交易中"谁该为什么负责"。

2026年7月1日，是留给所有参与方完成内部整改的窗口期。在此之前，有几件事值得优先推进：梳理现有数据产品是否符合交易标的要求、排查交易合同是否约定了必要的安全条款、评估平台或自身系统是否达到等保三级要求。

数据要素市场的规模还在持续扩大，但能在其中稳定获益的，将是那些把合规能力建设为竞争优势、而非应付检查的参与者。