《粤港澳大湾区法人和其他组织身份认证技术规范》编制说明

《粤港澳大湾区法人和其他组织身份认证技术规范》

编制说明

一、工作简况

（一）任务来源

由广东省标准研究院与广东省电子商务认证有限公司共同申请并

成功立项的国家市场监督管理总局2023年科技计划项目《粤港澳大湾

区法人和其他组织跨境身份认证关键技术研究》（项目编号：

2022MK099），《粤港澳大湾区法人和其他组织身份认证技术规范》

作为项目重要技术指标，对粤港澳大湾区法人和其他组织身份认证过

程中涉及的通用安全要求、服务平台技术要求、数据提供方技术要求、

数据需求方技术要求、数据接口规范等内容进行了规定。

本标准于2024年3月正式立项，由广东省电子商务认证有限公司

提出，由广州市南沙区跨境信用促进会归口。

（二）参编单位

广东省电子商务认证有限公司、广东省标准研究院、中国通信服

务香港有限公司、信飛科技有限公司、中国通信服务澳门有限公司、

深圳市信飞合创科技有限公司。

（三）分工

本标准由粤港澳三地共同起草，具体编制分工如下表所示。

任务划分编制单位

标准立项、标准执行协调、广东省电子商务认证有限公司、广东省标准研究院

标准研制实施方案、标准大

纲、标准目标与编制原则起

草

技术要求、安全要求、接口广东省电子商务认证有限公司、广东省标准研究院、

规范、附录A等内容编制中国通信服务香港有限公司、信飛科技有限公司、

中国通信服务澳门有限公司、深圳市信飞合创科技

有限公司

二、立项的必要性与拟解决的问题

（一）立项的必要性

国务院陆续发布了《粤港澳大湾区发展规划纲要》、《关于印发

“十四五”市场监管现代化规划的通知》等文件，其中均提出“构建

跨区域的统一身份实名认证互认”要求，粤港澳大湾区是一个横跨二

个制度的世界级城市群，目前尚处于发展的初期阶段，各区域的协调

发展，统筹兼顾是大湾区不断增强发展的基本原则。基于此原则，粤

港澳大湾区内法人和组织机构的统一协调发展，互联互通尤为关键。

由于港澳与内地体制不一致的原因，湾区内法人和组织机构登记管理

模式、注册模式、法律法规管理机制、数据采集定义等尚未达成统一

标准。自《纲要》提出以来，针对个人的粤港澳三地统一身份认证平

台逐步建立，但是面向法人和其他组织的湾区机构身份认证机制一直

处于待研究阶段，随着粤港澳大湾区合作交流需求的不断上升，湾区

机构之间信息互认机制也会成为必要。

（二）拟解决的问题

研究大湾区法人及其他组织机构之间的身份认证机制，形成统一

的身份认证标准，达到“三地”身份互认目的，为大湾区法人和其他

组织之间的业务往来提供便利，完善身份认证技术体系建设。

三、标准框架和内容的确定

（一）编制原则

1.规范性原则

本标准按照GB/T1.1-2020《标准化工作导则第1部分：标准化

文件的结构和起草规则》的要求和规定编写，保证标准的编写质量；

标准编写过程中参考了GB/T35273-2020《信息安全技术个人信息安

全规范》、GB/T37932-2019《信息安全技术数据交易服务安全要求》、

GB/T37973-2019《信息安全技术大数据安全管理指南》、GB/T

37988-2019《信息安全技术数据安全能力成熟度模型》、GB/T

39477-2020《信息安全技术政务信息共享数据安全技术要求》、

ISO/IEC19790-2012Informationtechnology—Securitytechniques—

Securityrequirementsforcryptographicmodules等标准。本标准条文力求

做到清晰明确，无模棱两可、含糊其辞或易于产生歧义的表达。

2.适用性原则

《粤港澳大湾区法人和其他组织身份认证技术规范》定位为团体

标准，是指导和规范粤港澳大湾区法人和其他组织信息互认的基础性

技术文件。粤港澳大湾区经贸往来密切、人员交流频繁，机构对跨境

业务办理有较大需求，广东地区与港澳地区法人和其他组织机构从注

册到规范管理都有完整的法律体系和规章制度作为支撑，但面向法人

和其他组织的湾区机构身份认证机制还一直处于研究阶段，本标准需

通过身份认证的良好实践，形成粤港澳大湾区法人和其他组织统一的

身份认证标准，达到“三地”身份互认目的，为大湾区法人和其他组

织之间的业务往来提供便利，将有效促进三地之间的政务、商务、物

流等业务的互联互通，融合发展，进一步促进统一大市场的形成。

（二）主要内容

本标准规定了粤港澳大湾区法人和其他组织身份认证过程中涉及

的数据要素、数据格式、数据交换安全要求、服务接口协议、跨境数

据安全要求等相关的技术规范。为数据各参与方能在安全的环境下完

成身份认证提供指导。

本标准为跨境数据供应方、需求方管理以及身份服务平台的安全

管理提供指导，也为信息安全职能部门或第三方评估机构对数据交易

服务进行监督、检查和指导提供依据。

第五章主要对粤港澳大湾区法人和其他组织身份认证的总体框架

和总体流程以及认证过程中涉及的通用安全要求做了说明。

第六章主要对跨境身份服务平台的功能要求、性能要求以及安全

要求做了规定。

第七章主要对跨境身份数据提供方的功能要求以及安全要求做了

规定。

第八章主要对跨境身份数据需求方的功能要求以及安全要求做了

规定。

第九章主要对身份凭证签发中心的资质要求、服务要求和接口要

求做了规定。

第十章主要对跨境数据接口的协议及安全要求、数据格式、数据

要素、身份数据源接口、身份数据应用接口做了规定，其中数据要素

主要包括了粤港澳三地法人和其他组织身份信息数据项映射关系。

（三）编制依据

1.法律法规

——《中华人民共和国标准化法》；

——《团体标准管理规定》；

——《广东省标准化条例》；

——《广州市南沙区跨境信用促进会团体标准管理办法》。

2.政策文件

——中共中央国务院《粤港澳大湾区发展规划纲要》；

——中共中央国务院《国务院关于印发广州南沙深化面向世界的

粤港澳全面合作总体方案的通知》；

——广东省人民政府《粤港两地电子签名证书互认办法》；

——广东省经济和信息化委《粤港电子签名证书互认证书策略》。

3.相关标准、专著

——GB32100-2015法人和其他组织统一社会信用代码编码规则

——GB/T19714-2005信息技术安全技术公钥基础设施证书管理

协议

——GB/T22239-2019信息安全技术网络安全等级保护基本要求

——GB/T25000.23-2019系统与软件工程系统与软件质量要求

和评价(SQuaRE)第23部分:系统与软件产品质量测量

——GB/T25056-2018信息安全技术证书认证系统密码及其相关

安全技术规范

——GB/T39786-2021信息安全技术信息系统密码应用基本要求

——IETFRFC6960X.509InternetPublicKeyInfrastructureOnline

CertificateStatusProtocol

——IETFRFC7515JSONWebSignature(JWS)

——IETFRFC7617The'Basic'HTTPAuthenticationScheme

四、标准有何先进性或特色性

（1）本标准对粤港澳大湾区法人和其他组织的身份互认进行统一

规定，规定了粤港澳大湾区法人和其他组织身份认证过程中涉及的通

用安全要求、服务平台技术要求、数据提供方技术要求、数据需求方

技术要求和数据接口规范等内容，促进了互认的一致性和协调性。

（2）本标准设计了跨境身份应用服务平台原型，在粤港澳大湾区

三地进行了试点应用落地，并通过大量的实践与摸索，协调三地身份

数据相关方的对接情况，规范了模型在跨境身份应用场景下的应用要

求，增加了标准的可用性和实用性。

（3）目前尚未有粤港澳大湾区身份认证技术标准机制出台，本标

准弥补了该领域规范的空白。

（4）在粤港澳三地共识性上，本标准是在粤港澳三地系统调研和

试点应用的基础上完成的，紧密结合了粤港澳三地的现状与发展需求。

标准编制过程中多次广泛征求粤港澳三地相关企业机构的意见，促使

本标准在编写格式上日趋规范，在核心内容方面亦日臻完善和成熟。

五、标准调研、研讨、征求意见及邀请三地专家审定的情况

（一）调研与稿件研讨情况

2023年8月，起草单位经过多次研讨，确定了标准的主题、方向

和基本框架。2023年10月-12月，起草单位成立了由专业人员组成的

编制工作组，启动标准编制工作，对相关的法律法规、标准规范等资

料进行收集和整理，通过对资料的分析拟定了标准框架，并就标准主

要内容开展研讨以及标准草案稿的编制工作。2024年2月，起草单位

对标准草案稿进行了讨论，对各章节的内容从专业性、合理性以及科

学性进行了全面梳理，将相关章节的共性内容进行了提炼，并按照GB/T

1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规

则》要求对标准格式进行了调整，使标准框架逻辑更加合理，内容更

加通顺。

（二）立项情况

2024年3月初，起草单位整理了标准立项任务书并向广州市南沙

区跨境信用促进会提出立项申请，广州市南沙区跨境信用促进会对《粤

港澳大湾区法人和其他组织身份认证技术规范》团体标准进行审查，3

月21日，广州市南沙区跨境信用促进会发布了《粤港澳大湾区法人和

其他组织身份认证技术规范》团体标准立项公告，标准正式批准立项。

（三）标准中技术指标的确定依据

1.术语和定义

本标准所采用的术语和定义主要引用GB/T19714-2005《信息技术

安全技术公钥基础设施证书管理协议》、GB/T25056-2018《信息安全

技术证书认证系统密码及其相关安全技术规范》、统一标准，增加“身

份即服务”、“身份服务平台”等术语。

2.通用安全要求

通用安全要求主要参考GB/T22239-2019《信息安全技术网络安

全等级保护基本要求》、GB/T39786-2021《信息安全技术信息系统密

码应用基本要求》、GB/T35273-2020《信息安全技术个人信息安全规

范》、39477-2020《信息安全技术政务信息共享数据安全技术要求》

等规范对等级保护要求、密码应用要求和数据安全要求进行了规定。

3.跨境身份服务平台技术要求

跨境身份服务平台的技术要求主要参考GB/T25000.23-2019《系统

与软件工程系统与软件质量要求和评价(SQuaRE)第23部分:系统与

软件产品质量测量》规范对身份服务平台的性能要求进行了规定。

4.跨境数据接口规范

跨境数据接口规范主要参考JWS标准（IETFRFC7515）规范对数

据格式中关键的请求和响应数据的电子签名格式进行了规定。

5.身份凭证签发中心示例

身份凭证签发中心示例主要参考《粤港两地电子签名证书互认证

书策略》、《粤港两地电子签名证书互认办法》、《港澳兩地電子簽

名證書互認的框架性意見》等政策和IETFRFC6960、GB/T19714—

2005《信息技术安全技术公钥基础设施证书管理协议》等规范对身份

凭证签发中心的资质要求和服务要求进行了规定。

六、重大意见分歧的处理情况

无。

七、技术指标设置的科学性和可行性

无。

八、标准对比及彩标情况分析

（一）与现行法律法规、强制性标准等上位标准关系

本标准在《粤港澳大湾区发展规划纲要》、《国务院关于印发广

州南沙深化面向世界的粤港澳全面合作总体方案的通知》、《粤港两

地电子签名证书互认办法》、《粤港电子签名证书互认证书策略》的

基础上，提供粤港澳湾区法人和其他组织数据互认的参考依据，参照

《深圳经济特区数字经济产业促进条例》要求，