DB12T 1200-2023 共享经济灵活就业人员管理与服务平台开展开放公共数据利用指南

ICS35.240.9912CCSJ0712天 津 市 地 方 标 准DB12/T1200—2023共享经济灵活就业人员管理与服务平台利用公共数据资源指南GuidelinesofutilizingpublicdataresourcesformanagementandserviceplatformoftheGigWorkerinthesharingeconomy2023-04-07发布 2023-05-07实施天津市市场监督管理委员会  发布DB12/T1200DB12/T1200—2023前 言本文件按照GB/T1.1-2020《标准化工作导则 第1部分标准化文件的结构和起草规则的规定起草。本文件由天津市互联网信息办公室提出并归口。本文件起草单位：云账户（天津）共享经济信息咨询有限公司、云账户技术（天津）有限公司、天津市大数据管理中心、微医乐问大数据科技（天津）有限公司。本文件主要起草人：杨晖、邹永强、高文君、华烨姗、彭香武、毛嘉兴、李丹阳、朱降虎、李宁、陈鑫、魏崇峰、刘华威、白晓旭、李光波、王涵。I共享经济灵活就业人员管理与服务平台利用公共数据资源指南范围本文件适用于指导共享经济灵活就业人员管理与服务平台利用公共数据资源的工作。规范性引用文件（包括所有的修改单适用于本文件。GB/T22080-2016 信息技术安全技术信息安全管理体系要求GB/T35273-2020 信息安全技术个人信息安全规范GB/T38664.1-2020 信息技术大数据政务数据开放共享第1部分：总则DB12/T926-2020 共享经济平台灵活就业人员互联网管理与服务指南DB12/T996-2020 共享经济灵活就业人员管理与服务平台基本安全要求术语和定义下列术语和定义适用于本文件。灵活就业人员 theGigWorker自我雇佣并以个人身份从事合法合规生产经营活动的具备民事行为能力的市场主体。[来源：DB12/T926-2020，定义3.1]（managementandservicefortheGigWorkerinthesharingeconomy基于互联网现代信息技术，为灵活就业人员（3.1）提供的身份核验、规则宣贯、收入结算、人工智能报税、保险保障等共享经济综合服务。[来源：DB12/T926-2020，定义3.3]共享经济灵活就业人员管理与服务机构（简称：“管理与服务机构”）managementandserviceinstituteoftheGigWorkerinthesharingeconomy提供共享经济灵活就业人员管理与服务（3.2）的平台化的组织。[来源：DB12/T926-2020，定义3.4]共享经济灵活就业人员管理与服务平台（简称：“管理与服务平台”）managementandserviceplatformoftheGigWorkerinthesharingeconomy管理与服务机构（3.3）的网络系统平台。1[来源：DB12/T926-2020，定义3.5]公共数据资源 publicdataresources政务部门及履行公共管理和服务职能的事业单位在依法履职过程中制作或者获取的各类数据资源。公共数据资源提供单位 publicdataresourcesprovider政务部门及履行公共管理和服务职能的事业单位。公共数据开放平台 publicdataopenplatform基于开放目录汇聚可开放的公共数据资源，面向社会提供可机读、可下载数据服务的信息设施。个人信息 personalinformation以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。注1：个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。注2：个人信息控制者通过个人信息或其他信息加工处理后形成的信息，例如，用户画像或特征标签，能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的，属于个人信息。[来源：GB/T35273-2020，定义3.1]个人信息主体 personalinformationsubject个人信息所标识或者关联的自然人。[来源：GB/T35273-2020，定义3.3]敏感数据 sensitivedata[来源：DB12/T1162-2022，定义3.8]缩略语下列缩略语适用于本文件。DSMM：数据安全能力成熟度模型（DataSecurityCapabilityMaturityModel）能力要求管理与服务机构的基础能力管理与服务机构在申请公共数据资源前，应具备以下能力：应有具备自主知识产权的管理与服务平台；应有负责管理与服务平台的管理部门。管理与服务平台的安全保障能力2管理与服务平台应具备网络安全、应用安全、数据安全和管理安全的能力，包括但不限于以下要求：DB12/T996-202053DB12/T996-20206DB12/T996-20207DSMMDB12/T996-20208GB/T22080数据利用申请要求目的方式管理与服务机构对公共数据资源的利用方式可包括如下：信息核验；数据读取与加工处理；统计分析与数据挖掘；机器学习模型的训练；公共数据资源提供单位指定或认可的其他方式。期限管理与服务机构对公共数据资源的利用期限应满足以下要求：应明确开始和结束的具体时间；1范围管理与服务机构对公共数据资源利用范围的限定应满足以下要求：应遵循最小必要原则；应限定获取到的数据都属于本应用所申请的数据范围；应限定数据的利用范围与申请目的一致；应前置限定可调用接口的人员范围和权限。阈值管理与服务机构对公共数据资源的利用阈值应满足以下要求：应限制单位时间内申请数据的规模和访问的次数；应说明期望阈值设置原因和测算依据；宜对阈值数值根据工作日与非工作日、高峰期与非高峰期进行差异化的设置。用户协议3接口传输安全管理与服务平台在开展数据传输时应满足以下要求：应采取安全传输通道或安全传输协议；应在传输敏感信息时进行字段级加密；应对每次请求采用数字签名；应实现数据不可篡改，数据传输全流程可追溯。存储条件管理与服务平台可存储的数据应至少符合以下条件之一：经个人信息主体明确授权同意的数据；按照分类分级原则属于无条件开放的数据；基于数据模型运算的不含非授权数据信息的数据处理结果；经公共数据资源提供单位明确授权并允许合法存储的数据。存储机制管理与服务平台的数据存储机制应满足以下要求：应存储在中华人民共和国境内；应对数据分类分级，并明确数据的存储时间；应使用符合要求的数据加解密算法对敏感数据加密存储；应加密存储公共数据开放平台发放给管理与服务平台的身份密钥；宜提供混合云架构、关键数据多云存储异地灾备。访问控制管理与服务平台访问控制应满足以下要求：应限定授权人员、符合申请应用范围使用；应由管理与服务机构的数据安全负责人对授权人员及权限的申请、变更进行审批，留存相关审批及操作记录，并对使用情况进行审计。环境要求管理与服务平台对数据相关环境应满足以下要求：应使用零信任技术，在授权人员身份权限和终端安全状态均验证通过后，再提供访问；宜提供虚拟桌面环境，敏感数据宜全部在虚拟桌面中访问、使用，不留存至授权人员个人电脑；宜使用可信执行环境，保护所加载程序和数据的安全。去标识化管理与服务平台对数据的去标识化处理应满足以下要求：应默认全部个人信息脱敏处理后再进行利用和展示；应隔离存储脱敏后的数据与用于还原数据的恢复文件；4销毁管理与服务平台应具备数据销毁能力，包括但不限于以下要求：应定时识别并删除和彻底销毁超出使用时限的全部数据；应根据与个人信息主体的约定，在其提出删除个人信息的要求后及时删除数据；应记录数据删除的相关信息；宜通过程序自动执行销毁任务。数据利用流程制作申请方案56签订协议经公共数据资源提供单位审核后，管理与服务机构应与其签订公共数据资源利用协议。开发应用程序管理与服务机构应按通过评审的申请方案开展应用程序的开发工作。配合数据监测管理与服务机构应配合公共数据资源提供单位进行数据监测，数据监测包括但不限于以下方面：每次对公共数据资源的利用应记录操作人、操作时间、请求参数及返回数据；应将日志存储于日志审计平台以实现真实可查验，且留存日志不少于六个月；应根据公共数据资源提供单位要求向其报送日志记录；应接受公共数据资源提供单位对所有访问记录做安全查看、审计、监督和管理；应接受公共数据资源提供单位对信息安全技术和管理措施持续改进情况的检查；应接受公共数据资源提供单位对数据销毁的检查；7.3反馈数据利用成果管理与服务机构应向公共数据资源提供单位反馈公共数据资源利用成果。5参 考 文 献《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国