DB12-T 1200-2023 共享经济灵活就业人员管理与服务平台利用公共数据资源指南

ICS35.240.99CCSJ0712GuidelinesofutilizingpublicdataresourcesformanagementandserviceplatformoftheGigWorkerinthesDB12/T1200—2023本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起本文件由天津市互联网信息办公室提出并归口。本文件起草单位：云账户（天津）共享经济信息咨询有限公司、云账户技术（天津）有限公司、天津市大数据管理中心、微医乐问大数据科技（天津）有限公司。本文件主要起草人：杨晖、邹永强、高文君、华烨姗、彭香武、毛嘉兴、李丹阳、朱降虎、李宁、陈鑫、魏崇峰、刘华威、白晓旭、李光波、王涵。IDB12/T1200—2023共享经济灵活就业人员管理与服务平台利用公共数据资源指南本文件提供了共享经济灵活就业人员管理与服务平台利用公共数据资源的能力要求、数据利用申请要求、数据利用流程等方面的建议。本文件适用于指导共享经济灵活就业人员管理与服务平台利用公共数据资源的工作。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T22080-2016信息技术安全技术信息安全管理体系要求GB/T35273-2020信息安全技术个人信息安全规范GB/T38664.1-2020信息技术大数据政务数据开放共享第1部分：总则DB12/T926-2020共享经济平台灵活就业人员互联网管理与服务指南DB12/T996-2020共享经济灵活就业人员管理与服务平台基本安全要求3术语和定义下列术语和定义适用于本文件。3.1灵活就业人员theGigWorker自我雇佣并以个人身份从事合法合规生产经营活动的具备民事行为能力的市场主体。[来源：DB12/T926-2020，定义3.1]3.2共享经济灵活就业人员管理与服务（简称：“管理与服务”）managementandservicefortheGigWorkerinthesharingeconomy基于互联网现代信息技术，为灵活就业人员（3.1）提供的身份核验、规则宣贯、收入结算、人工智能报税、保险保障等共享经济综合服务。[来源：DB12/T926-2020，定义3.3]3.3共享经济灵活就业人员管理与服务机构（简称：“管理与服务机构”）managementandserviceinstituteoftheGigWorkerinthesharingeconomy提供共享经济灵活就业人员管理与服务（3.2）的平台化的组织。[来源：DB12/T926-2020，定义3.4]3.4共享经济灵活就业人员管理与服务平台（简称：“管理与服务平台”）managementandserviceplatformoftheGigWorkerinthesharingeconomy管理与服务机构（3.3）的网络系统平台。1DB12/T1200—2023[来源：DB12/T926-2020，定义3.5]3.5公共数据资源publicdataresources政务部门及履行公共管理和服务职能的事业单位在依法履职过程中制作或者获取的各类数据资源。3.6公共数据资源提供单位publicdataresourcesprovider政务部门及履行公共管理和服务职能的事业单位。3.7公共数据开放平台publicdataopenplatform基于开放目录汇聚可开放的公共数据资源，面向社会提供可机读、可下载数据服务的信息设施。3.8个人信息personalinformation以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。注1：个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和注2：个人信息控制者通过个人信息或其他信息加工处理后形成的信息，例如，用户画像或特征标签，能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情[来源：GB/T35273-2020，定义3.1]3.9个人信息主体personalinformationsubject个人信息所标识或者关联的自然人。[来源：GB/T35273-2020，定义3.3]3.10敏感数据sensitivedata在共享经济灵活就业人员管理与服务（3.2）领域中，一旦被泄露或非法使用，可能会对国家安全、公共利益造成危害，或者对自然人的人格尊严或人身、财产安全造成侵害，或者对企业利益造成损害的数据。[来源：DB12/T1162-2022，定义3.8]4缩略语下列缩略语适用于本文件。DSMM：数据安全能力成熟度模型（DataSecurityCapabilityMaturityModel）5能力要求5.1管理与服务机构的基础能力管理与服务机构在申请公共数据资源前，应具备以下能力：a)应有具备自主知识产权的管理与服务平台；b)应有负责管理与服务平台的管理部门。5.2管理与服务平台的安全保障能力2DB12/T1200—2023管理与服务平台应具备网络安全、应用安全、数据安全和管理安全的能力，包括但不限于以下要求：a)网络安全应符合DB12/T996-2020中第5章要求，应通过公安部网络安全等级保护3级及以上级别备案测评；b)应用安全应符合DB12/T996-2020中第6章要求，应通过商用密码应用与安全性评估；c)数据安全应符合DB12/T996-2020中第7章要求，宜获得DSMM二级及以上等级认证；d)管理安全应符合DB12/T996-2020中第8章要求，应获得GB/T22080信息安全管理体系认证。6数据利用申请要求6.1目的管理与服务机构应基于实际需要，以实现风险控制或为共享经济产业链各方提供更优服务为目的申请公共数据资源的利用，不得损害国家利益、社会公共利益和第三方合法权益。6.2方式管理与服务机构对公共数据资源的利用方式可包括如下：a)信息核验；b)数据读取与加工处理；c)统计分析与数据挖掘；d)机器学习模型的训练；e)公共数据资源提供单位指定或认可的其他方式。6.3期限管理与服务机构对公共数据资源的利用期限应满足以下要求：a)应明确开始和结束的具体时间；b)宜在利用期限到期前1个月申请续签，未续签的由公共数据开放平台在利用期限到期后关闭程序接口，并监督销毁公共数据开放平台发放给管理与服务平台的身份密钥和相关数据。6.4范围管理与服务机构对公共数据资源利用范围的限定应满足以下要求：a)应遵循最小必要原则；b)应限定获取到的数据都属于本应用所申请的数据范围；c)应限定数据的利用范围与申请目的一致；d)应前置限定可调用接口的人员范围和权限。6.5阈值管理与服务机构对公共数据资源的利用阈值应满足以下要求：a)应限制单位时间内申请数据的规模和访问的次数；b)应说明期望阈值设置原因和测算依据；c)宜对阈值数值根据工作日与非工作日、高峰期与非高峰期进行差异化的设置。6.6用户协议涉及个人信息处理的，管理与服务机构应获得个人信息主体明示授权同意，且授权同意的凭证应是可留存的。3DB12/T1200—20236.7接口管理与服务机构应在申请中明确传输数据的方式，包括但不限于数据下载、数据接口调用。管理与服务机构应提供明确的输入、输出接口需求，输出数据项应遵循“可用不可见、数据不搬家”原则。6.8传输安全管理与服务平台在开展数据传输时应满足以下要求：a)应采取安全传输通道或安全传输协议；b)应在传输敏感信息时进行字段级加密；c)应对每次请求采用数字签名；d)应实现数据不可篡改，数据传输全流程可追溯。6.9存储条件管理与服务平台可存储的数据应至少符合以下条件之一：a)经个人信息主体明确授权同意的数据；b)按照分类分级原则属于无条件开放的数据；c)基于数据模型运算的不含非授权数据信息的数据处理结果；d)经公共数据资源提供单位明确授权并允许合法存储的数据。6.10存储机制管理与服务平台的数据存储机制应满足以下要求：a)应存储在中华人民共和国境内；b)应对数据分类分级，并明确数据的存储时间；c)应使用符合要求的数据加解密算法对敏感数据加密存储；d)应加密存储公共数据开放平台发放给管理与服务平台的身份密钥；e)宜提供混合云架构、关键数据多云存储异地灾备。6.11访问控制管理与服务平台访问控制应满足以下要求：a)应限定授权人员、符合申请应用范围使用；b)应由管理与服务机构的数据安全负责人对授权人员及权限的申请、变更进行审批，留存相关审批及操作记录，并对使用情况进行审计。6.12环境要求管理与服务平台对数据相关环境应满足以下要求：a)应使用零信任技术，在授权人员身份权限和终端安全状态均验证通过后，再提供访问；b)宜提供虚拟桌面环境，敏感数据宜全部在虚拟桌面中访问、使用，不留存至授权人员个人电脑；c)宜使用可信执行环境，保护所加载程序和数据的安全。6.13去标识化管理与服务平台对数据的去标识化处理应满足以下要求：a)应默认全部个人信息脱敏处理后再进行利用和展示；b)应隔离存储脱敏后的数据与用于还原数据的恢复文件；4DB12/T1200—2023c)应严格审批原始数据恢复，并留存相关审批及操作记录，宜在内部维护统一的脱敏规范和脱敏组件。6.14销毁管理与服务平台应具备数据销毁能力，包括但不限于以下要求：a)应定时识别并删除和彻底销毁超出使用时限的全部数据；b)应根据与个人信息主体的约定，在其提出删除个人信息的要求后及时删除数据；c)应记录数据删除的相关信息；d)宜通过程序自动执行销毁任务。7数据利用流程7.1制作申请方案管理与服务机构应将本文件第5章和第6章中涉及的内容汇总，制作申请方案，并呈交给公共数据资源提供单位。7.2签订协议经公共数据资源提供单位审核后，管理与服务机构应与其签订公共数据资源利用协议。7.3开发应用程序管理与服务机构应按通过评审的申请方案开展应用程序的开发工作。7.4配合数据监测管理与服务机构应配合公共数据资源提供单位进行数据监测，数据监测包括但不限于以下方面：a)每次对公共数据资源的利用应记录操作人、操作时间、请求参数及返回数据；b)应将日志存储于日志审计平台以实现真实可查验，且留存日志不少于六个月；c)应根据公共数据资源提供单位要求向其报送日志记录；d)应接受公共数据资源提供单位对所有访问记录做安全查看、审计、监督和管理；e)应接受公共数据资源提供单位对信息安全技术和管理措施持续改进情况的检查；f)应接受公共数据资源提供单位对数据销毁的检查；g)应确保仅通过7.3中开发的应用程序利用公共数据资源。7.5反馈数据利用成果管理与服务机构应向公共数据资源提供单位反馈公共数据资源利用成果。5DB12/T1200—2023参考文献[1]《中华人民共和国网络安全法》[2]《中华人民共和国数据安全法》[3]《中华人民共和国个人信息保护法》[4]《国务院关于加快推进“互联网+政务服务”工作的指导意见》（国发〔2016〕55号）[5]《天津市促进大数据发展应用条例》[6]《天津市公共数据资源开放管理暂行办法》[7]《网络安全标准实践指南