《一码通应用规范第2部分管理要求》杭州市地方标准编制

《一码通应用规范第2部分：管理要求》杭州市地方标准编制说明（送审稿）1项目背景和意义2020年3月31日，习近平总书记在杭州城市大脑运营指挥中心调研时指出，让城市更聪明一些、更智慧一些，是推动城市治理体系和治理能力现代化的必由之路，前景广阔。总书记明确提出，希望杭州在建设城市大脑方面继续探索创新，进一步挖掘城市发展潜力，加快建设智慧城市，为全国创造更多可推广的经验。11月17日国务院常务会议通过“十四五”推进国家政务信息化规划，加快建设数字政府、提升政务服务水平。会议指出，要构建统一的国家电子政务网络体系，推动地方、部门各类政务专网向统一电子政务网络整合，打破信息孤岛，实现应联尽联、信息共享。这为“一码通”服务的标准化提供了前所未有的政策支持。一码通，指利用一张“二维码”打通政务办事、生活办事、购物消费等场景，实现数据共享，方便群众掌上办事。目前，浙江省杭州市余杭区已经率先在全省开展“一码通”服务试点，牵头协调10个部门共同为余杭市民实现出行、办事、入园、入馆、就医、创业、健身、入学、信访等九个领域的“一码通行”，结合疫情防控核验环节增多现象，整合国家工信部行程码、卫健局健康码以及疫苗接种数据，实现检疫通行“一码核验”，构建“一码”“一中心”“多领域”的多跨协同应用场景。余杭区数据资源管理局将牢记总书记殷切嘱托，将围绕《杭州市数字政府建设“十四五”规划》，重点实施好“一码通”服务标准化试点工作，为杭州打造“全国数字治理第一城”做出表率，为全省推行“码”上办事提供技术经验、标准支持，并期望在全省乃至全国得到快速复制推广，切实发挥数据优势，提升居民办事效率，提高居民对掌上办事服务的参与度和满意度。2项目来源由余杭区数据资源管理局提出向杭州市市场监督管理局提出立项申请，项目名称：《XXXX》。3标准制定工作概况3.1标准制定相关单位及人员3.1.1本标准主要起草单位：杭州市余杭区数据资源管理局。3.1.2本标准参与起草单位：杭州余杭大数据经营有限公司。3.1.3本标准起草人：待编辑3.2主要工作过程3.2.1前期准备工作。待编辑3.2.2标准草案研制待编辑3.2.3征求意见（根据标准版次调整）待编辑3.2.4专家评审3.2.5标准报批4标准编制原则、主要内容及确定依据4.1编制原则本标准严格按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定进行编写和表述，主要参考了GB/T32905《信息安全技术SM3密码杂凑算法》、GB/T32918（所有部分）《信息安全技术SM2椭圆曲线公钥密码算法》、GB/T33993《商品二维码》、GA/T1721《居民身份网络认证通用术语》、GA/T1722《居民身份网络认证整体技术框架》、GA/T1723.2《居民身份网络认证认证服务第2部分：服务接口要求》、GA/T2000.156《公安信息代码第156部分：常用证件代码》、DB33/T2242—2020《传染病防控人员健康码管理规范》等单个二维码及相关安全的标准和余杭区“一码通”试点项目的经验，结合现有一码通应用系统运行情况，具有充分的理论和实践依据，注重标准的可操作性。4.2主要内容确定依据4.2.1范围本文件规定了一码通应用规范的码数据结构管理、数据元属性管理、数据格式管理和信息安全管理要求。4.2.2码数据结构管理主要规定了二维码数据信息和数据结构。1）二维码数据信息包括：用户的身份信息：姓名、手机号码、证件类型、证件号码；用户的户籍信息：用户在杭州地区居住信息；用户的防疫信息：用户的国家健康码状态信息、用户的新冠疫苗接种信息状态、用户在近期时间内是否途径或停留国内存在疫情风险的地区的相关信息、用户的新冠疫苗接种信息状态；用户的类别信息：用户对应人才引进政策对应的人才级别信息、用户的是否为部队退伍军人的信息。2）二维码数据结构见图1。一码通数据健康码信息：用户的国家健康码状态信息新冠疫苗接种信息：用户的新冠疫苗接种信息状态信息一码通数据健康码信息：用户的国家健康码状态信息新冠疫苗接种信息：用户的新冠疫苗接种信息状态信息行程风险信息：用户在近期时间内是否途径或停留国内存在疫情风险的地区的相关信息人才等级信息：用户对应人才引进政策对应的人才级别信息。退役军人信息：用户的是否为部队退伍军人的信息。用户基本身份信息：姓名、手机号码、证件类型、证件号码户籍信息：用户在杭州地区居住信息。身份信息防疫信息类别信息户籍信息4.2.3数据元属性管理二维码数据元由数据标识符、中文名称、数据类型、数据值域、数据定义和数据约束等属性组成，见表１。码数据元属性属性名称描述数据标识符各数据元的唯一标识中文名称数据元的中文名称，应为唯一名称数据类型数据元的特征和基本要素数据值域数据元取值范围数据定义数据元的含义数据约束“必选”或“可选”4.2.4数据格式管理主要规定了用户身份信息、用户户籍信息、用户防疫信息、用户类别信息的数据格式，见表2~表5。用户身份信息数据格式数据元名称数据元属性数据标识符中文名称数据类型数据值域数据定义数据约束姓名PD-01姓名string不定长用户的姓名必选手机号码PD-02手机号码string不定长用户的手机号码必选证件类型PD-03证件类型tinyintGB/T38961—2020中表A.1的“证件类型”字段用户的证件类型对应的整数数值必选证件号码PD-04证件号码string不定长用户的证件号码应符合相应证件号码标准必选用户户籍信息数据格式数据元名称数据元属性数据标识符中文名称数据类型数据值域数据定义数据约束户籍信息PD-10户籍tinyint用户居住不同状况的整数数值用户居住情况必选用户防疫信息数据格式数据元名称数据元属性数据标识符中文名称数据类型数据值域数据定义数据约束健康码信息PD-05健康码状态tinyint对应不同健康码状态的整数数值用户的健康码状态必选新冠疫苗接种信息PD-06新冠疫苗接种情况tinyint对应不同接种进度的整数数值用户的新冠疫苗接种情况必选行程风险等级信息PD-07行程风险等级tinyint对应不同风险等级的整数数值用户的行程风险等级评估必选本表只列出了目前使用场景中需使用的数据信息。随着使用场景的增加，数据信息可作相应扩展。用户类别信息数据格式数据元名称数据元属性数据标识符中文名称数据类型数据值域数据定义数据约束人才等级信息PD-08人才等级tinyint对应不同人才等级的整数数值用户的人才等级信息必选退役军人信息PD-09退役军人tinyint用户是否为退役军人的布尔值用户是否为退役军人必选本表只列出了目前使用场景中需使用的数据信息。随着使用场景的增加，数据信息可作相应扩展。4.2.5信息安全主要对信息安全基本要求、二维码安全要求、用户安全要求和证书安全要求做了规定。1）信息安全要求码的有效时间应做设置，一般设置为1min，制码1min后未产生验码请求的，该码即行无效，再对此码进行验码请求时，应提示“码已过期”。码在应用端应被妥善保护，采用符合国家密码管理要求的算法进行加密保存，其使用宜配合用户的口令确认。个人信息服务和码服务应动态监控相关应用的请求行为出现异常情况时可在提示后切断相关服务和响应。2）二维码安全二维码安全应满足以下要求：——应能防重放攻击；——应确保账户信息不被泄露；——数据解析过程中应对二维码中数据信息的完整性、真实性、不可抵赖性和时效性进行鉴别，对于未通过鉴别等非法二维码应予以阻止；——应保证二维码在各行业使用时的安全性和独立性。3）用户安全应验证用户身份，可采用但不限于以下方式：——用户提供验证信息，如：密码或口令等；——用户提供所持设备的验证信息，如：动态验证码、令牌等；——对恶意用户建立黑名单机制。应检测用户登录的客户端设备。用户更换登录的客户端设备时，应对用户身份进行确认。4）证书安全对证书的安全应符合以下要求：——应由发证机构通过私钥签名，保证证书的合法性和可验证性；——应只包含业务必要的少量数据；——用户应经过实名认证才可以获得证书；——应依据GB/T32918对证书进行签名；——应保证对证书进行加解密和签名的私钥的安全。5标准创新性体现本次提出的标准立项，在以下几个方面具有创新性：1）“多码合一”随着数字化改革的不断深入，人民群众拥有的数字码越来越多，数字化办事提高效率的同时也带来了APP易混淆、切换时间成本高、社会资源浪费等问题。本标准，通过统一后台接入技术，整合多个码的数据资源，找到相对安全可靠的统一码，实现人民群众所需要“多码合一”。2）完善标准顶层设计本标准与其他两个部分的文件共同组成的《一码通应用规范》，将从统一码的相关通用技术、管理服务和推广实施规范三个方面进行设计，解决不同的码制组成和数据格式不一致、数据不共享和互认机制缺乏等问题，完善一码通社会管理标准体系框架。3）融合管理要求本标准整合并完善码数据结构管理、数据元属性管理、数据格式管理和信息安全管理共四项管理类要求，形成管理规范，供给了标准体系框架管理类的标准。4）全流程信息安全保障随着信息化时代不断发展，信息安全问题也层出不穷，现如今信息的安全问题也越来越受到人们的关注。一码通应用系统对此非常注重，在二维码、用户和证书方面对安全要求做了明确规定，全流程涵盖用户、终端、平台这些信息载体，充分保障信息安全。6与现行相关法律、法规、规章及相关标准的协调性6.1目前国内主要执行的相关标准有无。6.1标准与有关强制性标准相冲突情况。本标准的制定符合国家有关的现行法律、法规和强制性标准的要求，不存在与强制性标准相冲突的情况。6.2目前省内主要执行的标准有：DB33/T2242—2020传染病防控人员健康码管理规范6.3本标准引用了以下文件：GB/T2260中华人民共和国行政区划代码GB/T2261.1个人基本信息分类与代码第１部分：人的性别代码GB/T2659世界各国和地区名称代码GB/T18391.1信息技术元数据注册系统(MDR)第1部分：框架GB/T32918（所有部分）信息安全技术SM2椭圆曲线公钥密码算法GB/T38961—2020个人健康信息码参考模型7社会效益标准的发布实施，将有效促进各类个人信息相关码的集成，从顶层自下变革，打通基础技术要求、应用数据交换、信息安全、应用服务规范等技术壁垒，归集各场景数据、让数据真正用起来，形成市民与数据、数据与政府、政府与市民的良性循环。利用信息化和标准化融合的方式进行规范治理，让技术服务于民，将极大改善市民出行、办事的便利度和体验感，展现城市数字化管理、政府便民服务的能力，加速推进我省共同富裕示范区建设。8重大分歧意见