ICS35.240.99CCSJ0712GuidelinesofutilizingpublicdataresourcesformanagementandserviceplatformoftheGigWorkerinthesDB12/T1200—2023本文件按照GB/T1.1-2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起本文件由天津市互聯(lián)網(wǎng)信息辦公室提出并歸口。本文件起草單位：云賬戶(hù)（天津）共享經(jīng)濟(jì)信息咨詢(xún)有限公司、云賬戶(hù)技術(shù)（天津）有限公司、天津市大數(shù)據(jù)管理中心、微醫(yī)樂(lè)問(wèn)大數(shù)據(jù)科技（天津）有限公司。本文件主要起草人：楊暉、鄒永強(qiáng)、高文君、華燁?yuàn)櫋⑴硐阄洹⒚闻d、李丹陽(yáng)、朱降虎、李寧、陳鑫、魏崇峰、劉華威、白曉旭、李光波、王涵。IDB12/T1200—2023共享經(jīng)濟(jì)靈活就業(yè)人員管理與服務(wù)平臺(tái)利用公共數(shù)據(jù)資源指南本文件提供了共享經(jīng)濟(jì)靈活就業(yè)人員管理與服務(wù)平臺(tái)利用公共數(shù)據(jù)資源的能力要求、數(shù)據(jù)利用申請(qǐng)要求、數(shù)據(jù)利用流程等方面的建議。本文件適用于指導(dǎo)共享經(jīng)濟(jì)靈活就業(yè)人員管理與服務(wù)平臺(tái)利用公共數(shù)據(jù)資源的工作。2規(guī)范性引用文件下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T22080-2016信息技術(shù)安全技術(shù)信息安全管理體系要求GB/T35273-2020信息安全技術(shù)個(gè)人信息安全規(guī)范GB/T38664.1-2020信息技術(shù)大數(shù)據(jù)政務(wù)數(shù)據(jù)開(kāi)放共享第1部分：總則DB12/T926-2020共享經(jīng)濟(jì)平臺(tái)靈活就業(yè)人員互聯(lián)網(wǎng)管理與服務(wù)指南DB12/T996-2020共享經(jīng)濟(jì)靈活就業(yè)人員管理與服務(wù)平臺(tái)基本安全要求3術(shù)語(yǔ)和定義下列術(shù)語(yǔ)和定義適用于本文件。3.1靈活就業(yè)人員theGigWorker自我雇傭并以個(gè)人身份從事合法合規(guī)生產(chǎn)經(jīng)營(yíng)活動(dòng)的具備民事行為能力的市場(chǎng)主體。[來(lái)源：DB12/T926-2020，定義3.1]3.2共享經(jīng)濟(jì)靈活就業(yè)人員管理與服務(wù)（簡(jiǎn)稱(chēng)：“管理與服務(wù)”）managementandservicefortheGigWorkerinthesharingeconomy基于互聯(lián)網(wǎng)現(xiàn)代信息技術(shù)，為靈活就業(yè)人員（3.1）提供的身份核驗(yàn)、規(guī)則宣貫、收入結(jié)算、人工智能報(bào)稅、保險(xiǎn)保障等共享經(jīng)濟(jì)綜合服務(wù)。[來(lái)源：DB12/T926-2020，定義3.3]3.3共享經(jīng)濟(jì)靈活就業(yè)人員管理與服務(wù)機(jī)構(gòu)（簡(jiǎn)稱(chēng)：“管理與服務(wù)機(jī)構(gòu)”）managementandserviceinstituteoftheGigWorkerinthesha提供共享經(jīng)濟(jì)靈活就業(yè)人員管理與服務(wù)（3.2）的平臺(tái)化的組織。[來(lái)源：DB12/T926-2020，定義3.4]3.4共享經(jīng)濟(jì)靈活就業(yè)人員管理與服務(wù)平臺(tái)（簡(jiǎn)稱(chēng)：“管理與服務(wù)平臺(tái)”）managementandserviceplatformoftheGigWorkerinthesharingeconomy管理與服務(wù)機(jī)構(gòu)（3.3）的網(wǎng)絡(luò)系統(tǒng)平臺(tái)。1DB12/T1200—2023[來(lái)源：DB12/T926-2020，定義3.5]3.5公共數(shù)據(jù)資源publicdataresources政務(wù)部門(mén)及履行公共管理和服務(wù)職能的事業(yè)單位在依法履職過(guò)程中制作或者獲取的各類(lèi)數(shù)據(jù)資源。3.6公共數(shù)據(jù)資源提供單位publicdataresourcesprovider政務(wù)部門(mén)及履行公共管理和服務(wù)職能的事業(yè)單位。3.7公共數(shù)據(jù)開(kāi)放平臺(tái)publicdataopenplatform基于開(kāi)放目錄匯聚可開(kāi)放的公共數(shù)據(jù)資源，面向社會(huì)提供可機(jī)讀、可下載數(shù)據(jù)服務(wù)的信息設(shè)施。3.8個(gè)人信息personalinformation以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或者反映特定自然人活動(dòng)情況的各種信息。注1：個(gè)人信息包括姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息、住址、通信通訊聯(lián)系方式、通信記錄和注2：個(gè)人信息控制者通過(guò)個(gè)人信息或其他信息加工處理后形成的信息，例如，用戶(hù)畫(huà)像或特征標(biāo)簽，能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或者反映特定自然人活動(dòng)情[來(lái)源：GB/T35273-2020，定義3.1]3.9個(gè)人信息主體personalinformationsubject個(gè)人信息所標(biāo)識(shí)或者關(guān)聯(lián)的自然人。[來(lái)源：GB/T35273-2020，定義3.3]3.10敏感數(shù)據(jù)sensitivedata在共享經(jīng)濟(jì)靈活就業(yè)人員管理與服務(wù)（3.2）領(lǐng)域中，一旦被泄露或非法使用，可能會(huì)對(duì)國(guó)家安全、公共利益造成危害，或者對(duì)自然人的人格尊嚴(yán)或人身、財(cái)產(chǎn)安全造成侵害，或者對(duì)企業(yè)利益造成損害的數(shù)據(jù)。[來(lái)源：DB12/T1162-2022，定義3.8]4縮略語(yǔ)下列縮略語(yǔ)適用于本文件。DSMM：數(shù)據(jù)安全能力成熟度模型（DataSecurityCapabilityMaturityModel）5能力要求5.1管理與服務(wù)機(jī)構(gòu)的基礎(chǔ)能力管理與服務(wù)機(jī)構(gòu)在申請(qǐng)公共數(shù)據(jù)資源前，應(yīng)具備以下能力：a)應(yīng)有具備自主知識(shí)產(chǎn)權(quán)的管理與服務(wù)平臺(tái)；b)應(yīng)有負(fù)責(zé)管理與服務(wù)平臺(tái)的管理部門(mén)。5.2管理與服務(wù)平臺(tái)的安全保障能力2DB12/T1200—2023管理與服務(wù)平臺(tái)應(yīng)具備網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全和管理安全的能力，包括但不限于以下要求：a)網(wǎng)絡(luò)安全應(yīng)符合DB12/T996-2020中第5章要求，應(yīng)通過(guò)公安部網(wǎng)絡(luò)安全等級(jí)保護(hù)3級(jí)及以上級(jí)別備案測(cè)評(píng)；b)應(yīng)用安全應(yīng)符合DB12/T996-2020中第6章要求，應(yīng)通過(guò)商用密碼應(yīng)用與安全性評(píng)估；c)數(shù)據(jù)安全應(yīng)符合DB12/T996-2020中第7章要求，宜獲得DSMM二級(jí)及以上等級(jí)認(rèn)證；d)管理安全應(yīng)符合DB12/T996-2020中第8章要求，應(yīng)獲得GB/T22080信息安全管理體系認(rèn)證。6數(shù)據(jù)利用申請(qǐng)要求6.1目的管理與服務(wù)機(jī)構(gòu)應(yīng)基于實(shí)際需要，以實(shí)現(xiàn)風(fēng)險(xiǎn)控制或?yàn)楣蚕斫?jīng)濟(jì)產(chǎn)業(yè)鏈各方提供更優(yōu)服務(wù)為目的申請(qǐng)公共數(shù)據(jù)資源的利用，不得損害國(guó)家利益、社會(huì)公共利益和第三方合法權(quán)益。6.2方式管理與服務(wù)機(jī)構(gòu)對(duì)公共數(shù)據(jù)資源的利用方式可包括如下：a)信息核驗(yàn)；b)數(shù)據(jù)讀取與加工處理；c)統(tǒng)計(jì)分析與數(shù)據(jù)挖掘；d)機(jī)器學(xué)習(xí)模型的訓(xùn)練；e)公共數(shù)據(jù)資源提供單位指定或認(rèn)可的其他方式。6.3期限管理與服務(wù)機(jī)構(gòu)對(duì)公共數(shù)據(jù)資源的利用期限應(yīng)滿(mǎn)足以下要求：a)應(yīng)明確開(kāi)始和結(jié)束的具體時(shí)間；b)宜在利用期限到期前1個(gè)月申請(qǐng)續(xù)簽，未續(xù)簽的由公共數(shù)據(jù)開(kāi)放平臺(tái)在利用期限到期后關(guān)閉程序接口，并監(jiān)督銷(xiāo)毀公共數(shù)據(jù)開(kāi)放平臺(tái)發(fā)放給管理與服務(wù)平臺(tái)的身份密鑰和相關(guān)數(shù)據(jù)。6.4范圍管理與服務(wù)機(jī)構(gòu)對(duì)公共數(shù)據(jù)資源利用范圍的限定應(yīng)滿(mǎn)足以下要求：a)應(yīng)遵循最小必要原則；b)應(yīng)限定獲取到的數(shù)據(jù)都屬于本應(yīng)用所申請(qǐng)的數(shù)據(jù)范圍；c)應(yīng)限定數(shù)據(jù)的利用范圍與申請(qǐng)目的一致；d)應(yīng)前置限定可調(diào)用接口的人員范圍和權(quán)限。6.5閾值管理與服務(wù)機(jī)構(gòu)對(duì)公共數(shù)據(jù)資源的利用閾值應(yīng)滿(mǎn)足以下要求：a)應(yīng)限制單位時(shí)間內(nèi)申請(qǐng)數(shù)據(jù)的規(guī)模和訪問(wèn)的次數(shù)；b)應(yīng)說(shuō)明期望閾值設(shè)置原因和測(cè)算依據(jù)；c)宜對(duì)閾值數(shù)值根據(jù)工作日與非工作日、高峰期與非高峰期進(jìn)行差異化的設(shè)置。6.6用戶(hù)協(xié)議涉及個(gè)人信息處理的，管理與服務(wù)機(jī)構(gòu)應(yīng)獲得個(gè)人信息主體明示授權(quán)同意，且授權(quán)同意的憑證應(yīng)是可留存的。3DB12/T1200—20236.7接口管理與服務(wù)機(jī)構(gòu)應(yīng)在申請(qǐng)中明確傳輸數(shù)據(jù)的方式，包括但不限于數(shù)據(jù)下載、數(shù)據(jù)接口調(diào)用。管理與服務(wù)機(jī)構(gòu)應(yīng)提供明確的輸入、輸出接口需求，輸出數(shù)據(jù)項(xiàng)應(yīng)遵循“可用不可見(jiàn)、數(shù)據(jù)不搬家”原則。6.8傳輸安全管理與服務(wù)平臺(tái)在開(kāi)展數(shù)據(jù)傳輸時(shí)應(yīng)滿(mǎn)足以下要求：a)應(yīng)采取安全傳輸通道或安全傳輸協(xié)議；b)應(yīng)在傳輸敏感信息時(shí)進(jìn)行字段級(jí)加密；c)應(yīng)對(duì)每次請(qǐng)求采用數(shù)字簽名；d)應(yīng)實(shí)現(xiàn)數(shù)據(jù)不可篡改，數(shù)據(jù)傳輸全流程可追溯。6.9存儲(chǔ)條件管理與服務(wù)平臺(tái)可存儲(chǔ)的數(shù)據(jù)應(yīng)至少符合以下條件之一：a)經(jīng)個(gè)人信息主體明確授權(quán)同意的數(shù)據(jù)；b)按照分類(lèi)分級(jí)原則屬于無(wú)條件開(kāi)放的數(shù)據(jù)；c)基于數(shù)據(jù)模型運(yùn)算的不含非授權(quán)數(shù)據(jù)信息的數(shù)據(jù)處理結(jié)果；d)經(jīng)公共數(shù)據(jù)資源提供單位明確授權(quán)并允許合法存儲(chǔ)的數(shù)據(jù)。6.10存儲(chǔ)機(jī)制管理與服務(wù)平臺(tái)的數(shù)據(jù)存儲(chǔ)機(jī)制應(yīng)滿(mǎn)足以下要求：a)應(yīng)存儲(chǔ)在中華人民共和國(guó)境內(nèi)；b)應(yīng)對(duì)數(shù)據(jù)分類(lèi)分級(jí)，并明確數(shù)據(jù)的存儲(chǔ)時(shí)間；c)應(yīng)使用符合要求的數(shù)據(jù)加解密算法對(duì)敏感數(shù)據(jù)加密存儲(chǔ)；d)應(yīng)加密存儲(chǔ)公共數(shù)據(jù)開(kāi)放平臺(tái)發(fā)放給管理與服務(wù)平臺(tái)的身份密鑰；e)宜提供混合云架構(gòu)、關(guān)鍵數(shù)據(jù)多云存儲(chǔ)異地災(zāi)備。6.11訪問(wèn)控制管理與服務(wù)平臺(tái)訪問(wèn)控制應(yīng)滿(mǎn)足以下要求：a)應(yīng)限定授權(quán)人員、符合申請(qǐng)應(yīng)用范圍使用；b)應(yīng)由管理與服務(wù)機(jī)構(gòu)的數(shù)據(jù)安全負(fù)責(zé)人對(duì)授權(quán)人員及權(quán)限的申請(qǐng)、變更進(jìn)行審批，留存相關(guān)審批及操作記錄，并對(duì)使用情況進(jìn)行審計(jì)。6.12環(huán)境要求管理與服務(wù)平臺(tái)對(duì)數(shù)據(jù)相關(guān)環(huán)境應(yīng)滿(mǎn)足以下要求：a)應(yīng)使用零信任技術(shù)，在授權(quán)人員身份權(quán)限和終端安全狀態(tài)均驗(yàn)證通過(guò)后，再提供訪問(wèn)；b)宜提供虛擬桌面環(huán)境，敏感數(shù)據(jù)宜全部在虛擬桌面中訪問(wèn)、使用，不留存至授權(quán)人員個(gè)人電腦；c)宜使用可信執(zhí)行環(huán)境，保護(hù)所加載程序和數(shù)據(jù)的安全。6.13去標(biāo)識(shí)化管理與服務(wù)平臺(tái)對(duì)數(shù)據(jù)的去標(biāo)識(shí)化處理應(yīng)滿(mǎn)足以下要求：a)應(yīng)默認(rèn)全部個(gè)人信息脫敏處理后再進(jìn)行利用和展示；b)應(yīng)隔離存儲(chǔ)脫敏后的數(shù)據(jù)與用于還原數(shù)據(jù)的恢復(fù)文件；4c)應(yīng)嚴(yán)格審批原始數(shù)據(jù)恢復(fù)，并留存相關(guān)審批及操作記錄，宜在內(nèi)部維護(hù)統(tǒng)一的脫敏規(guī)范和脫敏組件。6.14銷(xiāo)毀管理與服務(wù)平臺(tái)應(yīng)具備數(shù)據(jù)銷(xiāo)毀能力，包括但不限于以下要求：a)應(yīng)定時(shí)識(shí)別并刪除和徹底銷(xiāo)毀超出使用時(shí)限的全部數(shù)據(jù)；b)應(yīng)根據(jù)與個(gè)人信息主體的約定，在其提出刪除個(gè)人信息的要求后及時(shí)刪除數(shù)據(jù)；c)應(yīng)記錄數(shù)據(jù)刪除的相關(guān)信息；d)宜通過(guò)程序自動(dòng)執(zhí)行銷(xiāo)毀任務(wù)。7數(shù)據(jù)利用流程7.1制作申請(qǐng)方案管理與服務(wù)機(jī)構(gòu)應(yīng)將本文件第5章和第6章中涉及的內(nèi)容匯總，制作申請(qǐng)方案，并呈交給公共數(shù)據(jù)資源提供單位。7.2簽訂協(xié)議經(jīng)公共數(shù)據(jù)資源提供單位審核后，管理與服務(wù)機(jī)構(gòu)應(yīng)與其簽訂公共數(shù)據(jù)資源利用協(xié)議。7.3開(kāi)發(fā)應(yīng)用程序管理與服務(wù)機(jī)構(gòu)應(yīng)按通過(guò)評(píng)審的申請(qǐng)方案開(kāi)展應(yīng)用程序的開(kāi)發(fā)工作。7.4配合數(shù)據(jù)監(jiān)測(cè)管理與服務(wù)機(jī)構(gòu)應(yīng)配合公共數(shù)據(jù)資源提供單位進(jìn)行數(shù)據(jù)監(jiān)測(cè)，數(shù)據(jù)監(jiān)測(cè)包括但不限于以下方面：a)每次對(duì)公共數(shù)據(jù)資源的利用應(yīng)記錄操作人、操作時(shí)間、請(qǐng)求參數(shù)及返回?cái)?shù)據(jù)；b)應(yīng)將日志存儲(chǔ)于日志審計(jì)平臺(tái)以實(shí)現(xiàn)真實(shí)可查驗(yàn)，且留存日志不少于六個(gè)月；c)應(yīng)根據(jù)公共數(shù)據(jù)資源提供單位要求向其報(bào)送日志記錄；d)應(yīng)接受公共數(shù)據(jù)資源提供單位對(duì)所有訪問(wèn)記錄做安全查看、審計(jì)、監(jiān)督和管理；e)應(yīng)接受公共數(shù)據(jù)資源提供單位對(duì)信息安全技術(shù)和管理措施持續(xù)改進(jìn)情況的檢查；f)應(yīng)接受公共數(shù)據(jù)資源提供單位對(duì)數(shù)據(jù)銷(xiāo)毀的檢查；g)應(yīng)確保僅通過(guò)7.3中開(kāi)發(fā)的應(yīng)用程序利用公共數(shù)據(jù)資源。7.5反饋數(shù)據(jù)利用成果管理與服務(wù)機(jī)構(gòu)應(yīng)向公共數(shù)據(jù)資源提供單位反饋公共數(shù)據(jù)資源利用成果。5DB12/T1200—2023參考文獻(xiàn)[1]《中華人民共和國(guó)網(wǎng)絡(luò)安全法》[2]《中華人民共和國(guó)數(shù)據(jù)安全法》[3]《中華人民共和國(guó)個(gè)人信息保護(hù)法》[4]《國(guó)務(wù)院關(guān)于加快推進(jìn)“互聯(lián)網(wǎng)+政務(wù)服務(wù)”工作的指導(dǎo)意見(jiàn)》（國(guó)發(fā)〔2016〕55號(hào)）[5]《天津市促進(jìn)大數(shù)據(jù)發(fā)展應(yīng)用條例》[6]《天津市公共數(shù)據(jù)資源開(kāi)放管理暫行辦法》[7]《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南—