DB53-T+1238-2024区块链+跨境数据流动服务应用指南

ICS35.240CCSA1053云 南 省 地 方 标 准DB53/T1238—2024区块链跨境数据流动服务应用指南2024-03-01发布2024-03-01发布2024-06-01实施云南省市场监督管理局  发布DB53/T1238—2024DB53/T1238—2024前 言GB/T1.1—20201DB53/T1120DB53/T11211237DB53/T1238请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由云南省区块链和数字科技标准化技术委员会（YNTC27）提出并归口。（云南自由IIDB53/T1238—2024DB53/T1238—2024DB53/T1238—2024DB53/T1238—2024区块链跨境数据流动服务应用指南范围本文件给出了区块链跨境数据流动服务的应用框架、服务原则、相关方和关键过程。规范性引用文件（包括所有的修改单适用于本文件。DB53/T1120区块链跨境贸易服务应用指南DB53/T1121区块链域名解析服务应用指南ISO227392024区块链与分布式记账技术—词汇（BlockchainanddistributedledgertechnologiesVocabulary）33术语和定义DB53/T1120、DB53/T1121、ISO22739界定的术语和定义适用于本文件。3.1区块链blockchain使用密码技术将共识确认过的区块按顺序追加而形成的分布式账本。[来源：ISO22739：2024，3.6]3.2跨境数据流动cross-borderdataflow数据跨越国界的传输、处理与存储，或者数据尚未跨越国界，但能够被他国主体进行访问。3.3智能合约smartcontract存储在分布式记账技术系统中的计算机程序，该程序的任何执行结果都记录在分布式账本中。[来源：ISO22739：2024，3.88]3.4分布式身份标识decentralizedidentifier由特定格式的字符串组成的，用来代表特定实体的数字身份。[来源：DB53/T1121-2022，3.9]3.51decentralizedidentifierdocument[来源：DB53/T1121-2022，3.10]3.6隐私计算privacycomputing在多方协作计算过程中，实现身份信息与数据信息的最少披露。3.7区块链钱包blockchainwallet22739：2024，3.100]3.8数据访问控制令牌dataaccesstoken数据访问权限的安全上下文描述。4缩略语DID：分布式身份标识（DecentralizedIdentifiers）VC：可验证凭证（VerifiableCredential）NFT：非同质化通证（Non-FungibleToken）5DID：分布式身份标识（DecentralizedIdentifiers）VC：可验证凭证（VerifiableCredential）NFT：非同质化通证（Non-FungibleToken）5应用框架A私保护与安全原则、可管理原则。2图1区块链跨境数据流动服务应用框架图1区块链跨境数据流动服务应用框架6服务原则6.1身份自主控制原则3数据自主控制原则最少信息披露原则隐私保护和安全原则可管理原则对区块链数据追溯实现管理。7相关方数据主体数据请求方身份服务方服务支持方服务管理方4服务管理方负责监督管理区块链跨境数据流动中的所有业务，以保证区块链服务合法合理的运行。关键过程区块链服务层功能链建立区块链类型选择共识算法选择各功能链的共识机制宜采用成熟的共识算法，确保一致性和有效性。智能合约部署分布式账本创建在一组分布式记账技术节点之间共享并使用共识机制同步的账本。用户数据存储分布式账本创建在一组分布式记账技术节点之间共享并使用共识机制同步的账本。用户数据存储用户数据宜采用加密形式进行存储，可选择本地存储、第三方存储和分布式存储等数据存储系统。数据控制网关设置用户数据钱包创建区块链身份层分布式数字身份标识注册用户可通过平台自主注册DID。自主权数字证书创建5DB53/T1238—2024DB53/T1238—2024DB53/T1238—2024DB53/T1238—2024用户可创建符合国内标准密码算法和国际标准密码算法的自主权数字证书。第三方身份证明绑定DIDVC身份服务基础库构建用户可独立或合作在平台上构建身份认证的算法库、规则库、身份特征库及身份状态库等基础库。身份认证智能合约创建跨境数据处理层元数据创建数据权可验证凭证生成VC。VC宜包括凭证类型、DID数据权可验证凭证生成VC。VC宜包括凭证类型、DIDDID数据资产凭证发行用户可在区块链平台上发行相应的数据资产凭证NFT。数据访问控制令牌生成用户可生成相应的数据访问控制令牌。数据服务基础库建立用户可独立或合作在平台上构建数据服务的算法库、规则库、策略库及数据特征库等。数据访问控制智能合约创建跨境数据流动服务层跨境数据请求DIDDID6跨境数据授权数据主体宜在确保数据安全的前提下依据相关规定及具体需求对数据请求方颁发数据使用权凭证和数据访问控制令牌。跨境数据访问请求DIDDID对数据请求方身份进行核验；对数据请求报文进行核验；对数据使用权凭证进行核验；对数据访问控制令牌进行核验。跨境数据访问控制策略执行跨境数据传输与解密跨境数据结果验证数据请求方可通过区块链平台对接收的数据进行核验，确保数据真实性和完整性。跨境数据流动管理层管理对象注册管理节点创建管理基础库建立服务管理方可独立或合作在平台上构建管理服务的算法库、规则库、策略库及管理数据特征库等。管理智能合约创建7服务管理方可独立或合作在平台上按照约定的算法、规则及策略创建管理智能合约。智能合约可通过设定的算法、规则与策略对跨境数据流动行为及链上数据进行安全评估，对安全风险因素进行识别。管理跨境协作88附录 A（规范性）区块链跨境数据流动服务的典型应用场景A.1面向跨境应用平台的跨境数据流动区块链应用场景面向跨境应用平台的跨境数据流动区块链应用场景见图A.1，具体流程如下：用户通过其数据钱包向跨境应用平台发送服务请求；跨境应用平台通过跨境数据流动区块链平台对用户的跨境数字身份进行认证；用户向跨境应用平台发送数据使用权凭证和数据访问控制令牌；跨境应用平台向数据控制网关提交数据使用权凭证和数据访问控制令牌；数据控制网关核验跨境应用平台身份、数据使用权凭证和数据访问控制令牌；数据控制网关将用户加密数据返回给跨境应用平台；i)跨境应用平台将处理结果返回给用户。A.1A.2面向数据交换的跨境数