《粤港澳大湾区法人和其他组织身份认证技术规范》编制说明20240402

《粤港澳大湾区法人和其他组织身份认证技术规范》编制说明一、工作简况（一）任务来源由广东省标准研究院与广东省电子商务认证有限公司共同申请并成功立项的国家市场监督管理总局2023年科技计划项目《粤港澳大湾2022MK099《粤港澳大湾区法人和其他组织身份认证技术规范》作为项目重要技术指标，对粤港澳大湾区法人和其他组织身份认证过程中涉及的通用安全要求、服务平台技术要求、数据提供方技术要求、数据需求方技术要求、数据接口规范等内容进行了规定。本标准于2024年3月正式立项，由广东省电子商务认证有限公司提出，由广州市南沙区跨境信用促进会归口。（二）参编单位广东省电子商务认证有限公司、广东省标准研究院、中国通信服务香港有限公司、信飛科技有限公司、中国通信服务澳门有限公司、深圳市信飞合创科技有限公司。本标准由粤港澳三地共同起草，具体编制分工如下表所示。草二、立项的必要性与拟解决的问题（一）立项的必要性国务院陆续发布了《粤港澳大湾区发展规划纲要》、《关于印发“十四五”市场监管现代化规划的通知》等文件，其中均提出“构建跨区域的统一身份实名认证互认”要求，粤港澳大湾区是一个横跨二个制度的世界级城市群，目前尚处于发展的初期阶段，各区域的协调发展，统筹兼顾是大湾区不断增强发展的基本原则。基于此原则，粤港澳大湾区内法人和组织机构的统一协调发展，互联互通尤为关键。由于港澳与内地体制不一致的原因，湾区内法人和组织机构登记管理模式、注册模式、法律法规管理机制、数据采集定义等尚未达成统一标准。自《纲要》提出以来，针对个人的粤港澳三地统一身份认证平台逐步建立，但是面向法人和其他组织的湾区机构身份认证机制一直处于待研究阶段，随着粤港澳大湾区合作交流需求的不断上升，湾区机构之间信息互认机制也会成为必要。（二）拟解决的问题研究大湾区法人及其他组织机构之间的身份认证机制，形成统一的身份认证标准，达到“三地”身份互认目的，为大湾区法人和其他组织之间的业务往来提供便利，完善身份认证技术体系建设。三、标准框架和内容的确定（一）编制原则1.规范性原则本标准按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的要求和规定编写，保证标准的编写质量；标准编写过程中参考了GB/T35273-2020《信息安全技术个人信息安全规范》、GB/T37932-2019《信息安GB/T37973-2019《信息安全技术大数据安全管理指南》、GB/T37988-2019《信息安全技术数据安全能力成熟度模型》、GB/T39477-2020《信息安全技术政务信息共享数据安全技术要求》、ISO/IEC19790-2012Informationtechnology—Securitytechniques—Securityrequirementsforcryptographicmodules等标准。本标准条文力求做到清晰明确，无模棱两可、含糊其辞或易于产生歧义的表达。2.适用性原则《粤港澳大湾区法人和其他组织身份认证技术规范》定位为团体标准，是指导和规范粤港澳大湾区法人和其他组织信息互认的基础性技术文件。粤港澳大湾区经贸往来密切、人员交流频繁，机构对跨境业务办理有较大需求，广东地区与港澳地区法人和其他组织机构从注册到规范管理都有完整的法律体系和规章制度作为支撑，但面向法人和其他组织的湾区机构身份认证机制还一直处于研究阶段，本标准需通过身份认证的良好实践，形成粤港澳大湾区法人和其他组织统一的身份认证标准，达到“三地”身份互认目的，为大湾区法人和其他组织之间的业务往来提供便利，将有效促进三地之间的政务、商务、物流等业务的互联互通，融合发展，进一步促进统一大市场的形成。（二）主要内容本标准规定了粤港澳大湾区法人和其他组织身份认证过程中涉及的数据要素、数据格式、数据交换安全要求、服务接口协议、跨境数据安全要求等相关的技术规范。为数据各参与方能在安全的环境下完成身份认证提供指导。本标准为跨境数据供应方、需求方管理以及身份服务平台的安全管理提供指导，也为信息安全职能部门或第三方评估机构对数据交易服务进行监督、检查和指导提供依据。第五章主要对粤港澳大湾区法人和其他组织身份认证的总体框架和总体流程以及认证过程中涉及的通用安全要求做了说明。第六章主要对跨境身份服务平台的功能要求、性能要求以及安全要求做了规定。第七章主要对跨境身份数据提供方的功能要求以及安全要求做了第八章主要对跨境身份数据需求方的功能要求以及安全要求做了第九章主要对身份凭证签发中心的资质要求、服务要求和接口要求做了规定。第十章主要对跨境数据接口的协议及安全要求、数据格式、数据要素、身份数据源接口、身份数据应用接口做了规定，其中数据要素主要包括了粤港澳三地法人和其他组织身份信息数据项映射关系。（三）编制依据1.法律法规——《中华人民共和国标准化法》；——《团体标准管理规定》；——《广东省标准化条例》；——《广州市南沙区跨境信用促进会团体标准管理办法》。2.政策文件——中共中央国务院《粤港澳大湾区发展规划纲要》；——中共中央国务院《国务院关于印发广州南沙深化面向世界的粤港澳全面合作总体方案的通知》；——广东省人民政府《粤港两地电子签名证书互认办法》；——广东省经济和信息化委《粤港电子签名证书互认证书策略》。3.相关标准、专著——GB32100-2015法人和其他组织统一社会信用代码编码规则——GB/T19714-2005信息技术安全技术公钥基础设施证书管理——GB/T22239-2019信息安全技术网络安全等级保护基本要求——GB/T25000.23-2019系统与软件工程系统与软件质量要求和评价(SQuaRE)第23部分:系统与软件产品质量测量——GB/T25056-2018信息安全技术证书认证系统密码及其相关安全技术规范——GB/T39786-2021信息安全技术信息系统密码应用基本要求——IETFRFC6960X.509InternetPublicKeyInfrastructureOnlineCertificateStatusProtocol——IETFRFC7515JSONWebSignature(JWS)——IETFRFC7617The'Basic'HTTPAuthenticationScheme四、标准有何先进性或特色性（1）本标准对粤港澳大湾区法人和其他组织的身份互认进行统一规定，规定了粤港澳大湾区法人和其他组织身份认证过程中涉及的通用安全要求、服务平台技术要求、数据提供方技术要求、数据需求方技术要求和数据接口规范等内容，促进了互认的一致性和协调性。（2）本标准设计了跨境身份应用服务平台原型，在粤港澳大湾区三地进行了试点应用落地，并通过大量的实践与摸索，协调三地身份数据相关方的对接情况，规范了模型在跨境身份应用场景下的应用要求，增加了标准的可用性和实用性。（3）目前尚未有粤港澳大湾区身份认证技术标准机制出台，本标准弥补了该领域规范的空白。（4）在粤港澳三地共识性上，本标准是在粤港澳三地系统调研和试点应用的基础上完成的，紧密结合了粤港澳三地的现状与发展需求。标准编制过程中多次广泛征求粤港澳三地相关企业机构的意见，促使本标准在编写格式上日趋规范，在核心内容方面亦日臻完善和成熟。五、标准调研、研讨、征求意见及邀请三地专家审定的情况（一）调研与稿件研讨情况2023年8月，起草单位经过多次研讨，确定了标准的主题、方向和基本框架。2023年10月-12月，起草单位成立了由专业人员组成的编制工作组，启动标准编制工作，对相关的法律法规、标准规范等资料进行收集和整理，通过对资料的分析拟定了标准框架，并就标准主要内容开展研讨以及标准草案稿的编制工作。2024年2月，起草单位对标准草案稿进行了讨论，对各章节的内容从专业性、合理性以及科1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》要求对标准格式进行了调整，使标准框架逻辑更加合理，内容更加通顺。（二）立项情况2024年3月初，起草单位整理了标准立项任务书并向广州市南沙区跨境信用促进会提出立项申请，广州市南沙区跨境信用促进会对《粤港澳大湾区法人和其他组织身份认证技术规范》团体标准进行审查，3月21日，广州市南沙区跨境信用促进会发布了《粤港澳大湾区法人和其他组织身份认证技术规范》团体标准立项公告，标准正式批准立项。（三）标准中技术指标的确定依据1.术语和定义本标准所采用的术语和定义主要引用GB/T19714-2005《信息技术安全技术公钥基础设施证书管理协议》、GB/T25056-2018《信息安全份即服务”、“身份服务平台”等术语。2.通用安全要求通用安全要求主要参考GB/T22239-2019《信息安全技术网络安全等级保护基本要求》、GB/T39786-2021《信息安全技术信息系统密码应用基本要求》、GB/T35273-2020《信息安全技术个人信息安全规范》、39477-2020《信息安全技术政务信息共享数据安全技术要求》等规范对等级保护要求、密码应用要求和数据安全要求进行了规定。3.跨境身份服务平台技术要求跨境身份服务平台的技术要求主要参考GB/T25000.23-2019《系统与软件工程系统与软件质量要求和评价(SQuaRE)第23部分:系统与软件产品质量测量》规范对身份服务平台的性能要求进行了规定。4.跨境数据接口规范跨境数据接口规范主要参考JWS标准（IETFRFC75据格式中关键的请求和响应数据的电子签名格式进行了规定。5.身份凭证签发中心示例身份凭证签发中心示例主要参考《粤港两地电子签名证书互认证书策略》、《粤港两地电子签名证书互认办法》、《港澳兩地電子簽名證書互認的框架性意見》等政策和IETFRFC6960、GB/T19714—2005《信息技术安全技术公钥基础设施证书管理协议》等规范对身份凭证签发中心的资质要求和服务要求进行了规定。六、重大意见分歧的处理情况七、技术指标设置的科学性和可行性八、标准对比及彩标情况分析（一）与现行法律法规、强制性标准等上位标准关系本标准在《粤港澳大湾区发展规划纲要》、《国务院关于印发广州南沙深化面向世界的粤港澳全面合作总体方案的通知》、《粤港两地电子签名证书互认办法》、《粤港电子签名证书互认证书策略》的基础上，提供粤港澳湾区法人和其他组织数据互认的参考依据，参照《深圳经济特区数字经济产业促进条例》要求，按照区域数据共享需要，建立数据资源目录、基础库、专题库、主题库、数据共享、数据质量和安全管理等互认技术规范，促进数据资源共享和利用。同时落实《中华人民共和国个人信息保护法》、香港《个人资料（隐私）条例》、澳门《个人资料保护法》等数据保护基本原则。技术标准方面，国际标准有《金融服务法人机构识别编码》（ISO17442:2012）等国家标准和行业标准包括《信息安全技术政务信息共享数据安全技术要求》(GB/T39477-2020)、《信息安全技术数据交易服务安全要求》（GB/T37932