遵循国家网络安全法、数据安全法、个人信息保护法等相关法律法规，开展数据流通的参与各方，应签署一般性通用条款，遵守相应的角色要求及流通数据的形成标准，在相应责权约束下，开展数据流通。

第一章  术语与定义

1. “流通数据”：

指通过计算机系统进行记载处理与传输的、“来源合法”、并“经处理”的“适合流通”的数据，归合法采集（生产）的主体控制。其中，

a) “来源合法”，指数据的取得方式合法，无权利瑕疵；

b) “经处理”，指针对包含个人信息或可能导致形成个人信息的数据进行了适当的去标识化、数据泛化等预加工，保证在没有额外影响因子的情况下，使得数据在“数据流通域”内对预加工方外的其他方匿名。

c) “适合流通”，指经处理后进入“数据流通域”的数据符合流通数据构成标准。

2. 流通数据构成标准：

a) 数据主体标识（ID）：可以直接识别或直接联系唯一数据主体的数字编码或字符串，简称ID。其中，与个人相关的又称“身份识别标识”，指不需要任何额外的信息或与公开可获取数据的交叉联结就可以识别数据主体的个人信息，如姓名、身份证号码（及其他类似唯一身份的权威编码）、个人通信号码、及指纹、面部轮廓等生物识别信息等。其特征是直接关联到个人（或联系到个人），具有唯一性。

b) 数据项（Key）：描述数据主体的某种特征、行为、关系的标签维度，简称Key。例如与个人数据主体有关的数据项包括：年龄、职业、游戏兴趣度、购物特点、常驻城市等。在数据流通中，涉及个人的数据项按国家相关法律法规，分为一般信息和敏感信息，并遵循黑白名单机制根据接收方权责区别对待。

c) 数据值（Value）：数据项的赋值，简称Value。参照计算机系统数据结构定义，数据流通支持常见的字符型、数字型、日期型、日期时间型、布尔型、二进制等格式。对包含个人信息或可能导致形成个人信息的数据值应进行泛化处理，符合K-匿名规则，保证所指向的数据主体人数不小于1000。

d) 数据使用约束（License）：数据使用的约束性协议，简称License。在数据流通中，是提供方允许并给予接收方在一定的使用目的、范围、方式、时间等约定条件下使用的权利。每批次流通数据的使用许可在完成配送时起生效。其中必要：

ž 目的：提供方许可接收方使用数据的用途与场景，包括征信场景、营销场景、智慧城市、科研分析、决策咨询等。

ž 范围：提供方许可接收方使用数据的业务或服务范围。包括指定服务、指定业务、指定公网、指定专网、指定业务域名、指定APP、指定地域等。

ž 时间：提供方许可接收方使用数据的时间范围。

ž 方式：提供方许可接收方使用数据的方式。包括：使用方式（调用、缓存、加工、转售等）与技术方式（同步/异步，批量/单条等）。

e) 数据描述信息（Metadata）：关于数据来源、数据的时效性、数据的应用价值、数据的合法性等的描述，包括且不限于：

ž 数据来源；

ž 数据总量与覆盖范围；

ž 数据更新频度；

ž 数据质量/价值声明；

ž 数据安全管理措施。

3. “数据流通域”：

以机构间数据共享利用为目的，由参与机构共同组织和运营的、有安全边界的、受控、互信且制衡的计算机域。

a) 数据流通域，通过构建数据流通的技术与法律的安全边界，建立保护合法权益、防泄露和非法获取的技术设施与法律措施，运营互信且制衡的数据互联网络，从而维护有序控制、高效连接的数据流通环境。

b) 数据流通域，是数据流通过程中的隔离区（Demilitarized Zone），具备使数据在流通域内、对原始控制方以外的其他方匿名的能力。

c) 数据流通域，具备防范利用已知技术手段从流通数据中恢复个人识别信息的能力；具备在已取得了个人或数据主体权力人的有效同意（并保留相关证明）的前提下，将流通数据项/值关联回已知身份标识(符)的能力。

4. “数据利用”：

指特定机构使用或公开流通数据的过程行为。数据利用过程应保持数据的匿名状态，充分考量可能对个体/群体的识别性形成的影响，区分为“非识别|可识别|已识别”的三种情况：

a) 非识别下的利用：数据应用指向群体或无需明确身份的个体，接收方无需取得同意，直接获取流通数据开展应用。

b) 已识别下的利用：数据应用指向个体，接收方已事先取得个人同意，以所掌握的个体标识(符)与“个人同意范围内的流通数据内容(标签)”进行关联，从而开展数据应用业务。已识别下的数据利用，应严格评估接收方的同意模式、方式、时间和范围等。

c) 可识别下的利用：数据应用指向个体，使用前未获同意，遵循其他法律条款，从流通数据中重新识别个人后开展应用，该模式应排除在商业化的数据流通利用外。

第二章  参与角色与权益

1. 提供方：基于合法收集的数据，经处理形成流通数据，实现有限输出，获得数据收益权。

2. 接收方：有限获取流通数据，获得数据使用权，开展非识别下的数据利用；或基于已有的数据对象主体的同意授权，开展已识别下的数据利用；禁止可识别下的数据利用，除非有其他法律条款支持。

3. 处理方：受提供方或接收方的委托，遵守委托约束，有限获取与加工被委托处理的数据，形成更多“有用数据”输出，获得服务收益权。

4. 运营方：提供“数据流通域服务平台”，组织可流通数据，维护数据流通域的有效运营，促进数据的有效流通与应用，获得服务收益权。

第三章  提供方权利和义务

1. 提供方应当依特定应用或特定目的形成流通数据，并纳入数据流通域开展服务。

a) 提供方应遵循流通数据构成标准关于数据主体标识（ID）、数据项（Key）、数据值（Value）、数据使用许可（License）等方面的标准处理数据。

b) 当数据主体对象为个人时，必须对数据进行预加工处理。

2. 提供方承诺不存在任何侵犯数据主体及第三方合法权利的情况，不存在任何违反其所在地或行为地有关法律法规及政策规定的行为，否则由提供方自行承担相关法律及经济赔偿责任。

3. 提供方应当对所提供的数据来源、数据的时效性、数据的应用价值、数据的合法性等作出准确的描述，并向接收方披露。经数据流通域服务平台进行数据流通的，披露须在流通域服务平台上公开发布。信息披露内容对提供方和接收方具有约束力，接收方可依据合同法等法律追究信息披露虚假或欺诈的责任。

a) 提供方保证已获得且保留原始数据收集与加工的合法性证明，包括但不限于：数据主体相关协议文本或证据。

b) 有义务适时配合其他流通参与方或相关有权机构对以上证明的查证。

4. 提供方负责本方数据流通所需的相关软硬件系统部署；不得未经书面告知相关方而擅自中止或终止数据供应。

5. 若使用运营方的数据流通域服务平台进行数据供应，提供方有权对涉及本方的数据流通域服务平台的业务日志和账单生成的相关过程进行监督与核查。提供方不得自行或许可他人以任何方式对数据流通域服务平台进行破译、破解等行为，不得刺探或试图获取任何未经授权的数据，亦不得向第三方披露任何未经公开和未经许可的数据和系统信息。

第四章  接收方权利和义务

1. 接收方作为合法的数据接收人，承诺不存在任何侵犯数据主体或第三方的合法权利的情况，不存在任何违反法律法规及政策规定的行为，接收方对违法使用数据的法律后果承担责任。

2. 禁止利用技术手段对提供方提供的数据进行个人身份数据的再识别。

3. 利用流通获得数据对特定个人/个体进行识别分析（重标识）的，数据接受人应以合理可行的方式告知个人通过数据流通获得的数据内容（ID + Key + Value），并在取得了个人或数据主体权力人的有效同意（并保留相关证明）和有效的身份识别标识（ID）后，获取对应该身份识别标识的可流通数据，则依据该有效同意而使用所获得的可流通数据，由此产生的责任与原数据提供人无关。

4. 严格遵守提供方数据使用许可的目的（用途）、范围、时间和方式等约束，尊重数据上存在的合法权利，有限合理使用数据。除非另有书面协议约定，该使用许可是不可转让的。

5. 不得超出使用许可范围对被许可使用的流通数据进行备份/存储，或改造/变造后进行备份/存储；在按照约定方式使用后，应当对数据封存并禁止使用或予以销毁。

6. 接收方有义务适时配合其他流通参与方或相关有权机构的对以上证明的查证。

7. 接收方负责本方数据流通所需的相关软硬件系统部署。

8. 接收方基于自身商业需求，可以选择使用数据流通域服务平台提供的相关对接、组织配送等服务，进行数据流通。接收方有权对涉及本方的数据流通域服务平台业务日志和账单生成的相关过程进行监督与核查。接收方不得自行或许可他人以任何方式对数据流通域服务平台进行破译、破解等行为，不得刺探或试图获取任何未经授权的数据，亦不得向第三方披露任何未经公开及未经许可的数据和系统信息。

第五章  处理方权利和义务

1. 提供方或接收方需要对“流通数据”进行技术处理的，应当作为数据处理委托人与处理方签署数据处理服务协议，明确授权范围，包括受托处理数据的类型、范围、处理目的等，并对处理方的数据安全管理进行监督。

2. 处理方应按照与委托人的约定，在边界清晰的数据流通域限定内，妥善进行数据处理，并接受委托方的监督。

3. 处理方负责本方数据处理所需的相关软硬件系统部署，并保证数据安全。

4. 除非数据处理服务协议另有约定，处理方不得留存、使用或向他人提供委托人的数据。

5. 不得超出委托许可范围对流通数据进行备份/存储，或改造/变造后进行备份/存储；在按照约定方式处理后，应当对数据予以销毁。

6. 不得利用技术手段对提供方提供的数据进行个人身份数据再识别。

7. 处理方基于自身商业需求，选择使用数据流通域服务平台提供的相关对接、组织配送等服务，进行数据流通。处理方有权对涉及本方的数据流通域服务平台业务日志和账单生成的相关过程进行监督与核查。处理方不得自行或许可他人以任何方式对数据流通域服务平台进行破译、破解等行为，不得刺探或试图获取任何未经授权的数据，亦不得向第三方披露任何未经公开及未经许可的数据和系统信息。

第六章  运营方权利和义务

1. 运营方负责维护数据流通域服务平台服务功能和运营流程，为提供方/接收方提供服务，确保数据流通能够正常、正确地进行；并采用技术和管理手段，在数据流通过程中为流通参与方提供适当的数据去标识、数据泛化等技术服务。

2. 数据流通过程中，运营方不代表任何一方作出任何决策或干预任何一方的决策，不为运营方无法控制的行为（包括但不限于接收方接收数据后超许可范围使用等违约违规违法情形）承担责任。

3. 运营方不得自行或许可他人以任何方式对流通数据进行破译、破解等行为，不得刺探或试图获取任何未经授权的数据，亦不得向第三方披露任何非公开及非经许可的数据。

4. 运营方负责数据流通域服务平台运营所需的软硬件设备及网络资源的调测和系统部署。因设备搬迁、系统扩容、调整或升级等可预见的原因，影响或可能影响使用的，将提前5个工作日以合理的方式通知流通参与方。运营方有义务尽力避免服务中断或将中断时间限制在最短时间内。

5. 随政策法规和市场情况的变化，运营方有权在合理的情况下，根据需要对数据流通域的业务、技术等规则、标准、流程、参数等规范进行调整、更新，若上述更新、调整对流通参与方将产生实质影响，运营方在进行上述调整、更新时应提前10个工作日以合理的方式通知流通参与方。

第七章  数据流通的履约

1. 提供方将数据提供至接收方指定的可获取、可访问或者可直接使用的系统，使接收方可以使用或处理该数据，即推定提供方达成了数据交付的履约。

2. 经数据流通域服务平台进行流通的，由运营方提供交付确认履约凭证。

知识产权

1. 本通用条款的签署并不导致各方各自所有的知识产权发生转移。如因在合作中开发取得的知识产权，则其权利由各方协商另行签订协议决定。

2. 运营方对在数据流通域服务平台产生的下述数据享有知识产权及所有权：

a) 运营方自行统计或委托第三人调查的市场行情、日志及运营方自行统计或委托第三人调查的统计数据。

b) 运营方拥有或发布的业务文件、公告、通知等以及能够直接或者间接传达全部或者部分前述数据的任何形式的描述。

3. 运营方有权在合法范围内发布、利用、转让上述数据。未经运营方许可，任何人不得传播上述数据。

免责约定

1. 因法规制度要求：若政府部门、安全部门以及其他管理部门出台新的管理规定，使得部分或者全部流通数据不再符合法律法规或监管要求的，协议各方有权利且有义务暂停提供相应的需求对接、数据配送服务，并通知各流通参与方立即对该流通数据进行销毁处理。

2. 受不可抗力影响：不可抗力是指协议双方不能预见、不能避免、不能克服的客观情况，包括但不限于洪水、地震及其他自然灾害、战争、骚乱、火灾、政府征用、没收、法律变化或其他突发事件、流通服务平台非正常暂停或停止流通服务及通讯故障、电力故障、系统故障、网络故障等不可控制的意外事件等。