DB12T 1200-2023 共享經(jīng)濟靈活就業(yè)人員管理與服務(wù)平臺開展開放公共數(shù)據(jù)利用指南

ICS35.240.9912CCSJ0712天 津 市 地 方 標(biāo) 準(zhǔn)DB12/T1200—2023共享經(jīng)濟靈活就業(yè)人員管理與服務(wù)平臺利用公共數(shù)據(jù)資源指南GuidelinesofutilizingpublicdataresourcesformanagementandserviceplatformoftheGigWorkerinthesharingeconomy2023-04-07發(fā)布 2023-05-07實施天津市市場監(jiān)督管理委員會??發(fā)布DB12/T1200DB12/T1200—2023前 言本文件按照GB/T1.1-2020《標(biāo)準(zhǔn)化工作導(dǎo)則 第1部分標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定起草。本文件由天津市互聯(lián)網(wǎng)信息辦公室提出并歸口。本文件起草單位：云賬戶（天津）共享經(jīng)濟信息咨詢有限公司、云賬戶技術(shù)（天津）有限公司、天津市大數(shù)據(jù)管理中心、微醫(yī)樂問大數(shù)據(jù)科技（天津）有限公司。本文件主要起草人：楊暉、鄒永強、高文君、華燁姍、彭香武、毛嘉興、李丹陽、朱降虎、李寧、陳鑫、魏崇峰、劉華威、白曉旭、李光波、王涵。I共享經(jīng)濟靈活就業(yè)人員管理與服務(wù)平臺利用公共數(shù)據(jù)資源指南范圍本文件適用于指導(dǎo)共享經(jīng)濟靈活就業(yè)人員管理與服務(wù)平臺利用公共數(shù)據(jù)資源的工作。規(guī)范性引用文件（包括所有的修改單適用于本文件。GB/T22080-2016 信息技術(shù)安全技術(shù)信息安全管理體系要求GB/T35273-2020 信息安全技術(shù)個人信息安全規(guī)范GB/T38664.1-2020 信息技術(shù)大數(shù)據(jù)政務(wù)數(shù)據(jù)開放共享第1部分：總則DB12/T926-2020 共享經(jīng)濟平臺靈活就業(yè)人員互聯(lián)網(wǎng)管理與服務(wù)指南DB12/T996-2020 共享經(jīng)濟靈活就業(yè)人員管理與服務(wù)平臺基本安全要求術(shù)語和定義下列術(shù)語和定義適用于本文件。靈活就業(yè)人員 theGigWorker自我雇傭并以個人身份從事合法合規(guī)生產(chǎn)經(jīng)營活動的具備民事行為能力的市場主體。[來源：DB12/T926-2020，定義3.1]（managementandservicefortheGigWorkerinthesharingeconomy基于互聯(lián)網(wǎng)現(xiàn)代信息技術(shù)，為靈活就業(yè)人員（3.1）提供的身份核驗、規(guī)則宣貫、收入結(jié)算、人工智能報稅、保險保障等共享經(jīng)濟綜合服務(wù)。[來源：DB12/T926-2020，定義3.3]共享經(jīng)濟靈活就業(yè)人員管理與服務(wù)機構(gòu)（簡稱：“管理與服務(wù)機構(gòu)”）managementandserviceinstituteoftheGigWorkerinthesharingeconomy提供共享經(jīng)濟靈活就業(yè)人員管理與服務(wù)（3.2）的平臺化的組織。[來源：DB12/T926-2020，定義3.4]共享經(jīng)濟靈活就業(yè)人員管理與服務(wù)平臺（簡稱：“管理與服務(wù)平臺”）managementandserviceplatformoftheGigWorkerinthesharingeconomy管理與服務(wù)機構(gòu)（3.3）的網(wǎng)絡(luò)系統(tǒng)平臺。1[來源：DB12/T926-2020，定義3.5]公共數(shù)據(jù)資源 publicdataresources政務(wù)部門及履行公共管理和服務(wù)職能的事業(yè)單位在依法履職過程中制作或者獲取的各類數(shù)據(jù)資源。公共數(shù)據(jù)資源提供單位 publicdataresourcesprovider政務(wù)部門及履行公共管理和服務(wù)職能的事業(yè)單位。公共數(shù)據(jù)開放平臺 publicdataopenplatform基于開放目錄匯聚可開放的公共數(shù)據(jù)資源，面向社會提供可機讀、可下載數(shù)據(jù)服務(wù)的信息設(shè)施。個人信息 personalinformation以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息。注1：個人信息包括姓名、出生日期、身份證件號碼、個人生物識別信息、住址、通信通訊聯(lián)系方式、通信記錄和內(nèi)容、賬號密碼、財產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等。注2：個人信息控制者通過個人信息或其他信息加工處理后形成的信息，例如，用戶畫像或特征標(biāo)簽，能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的，屬于個人信息。[來源：GB/T35273-2020，定義3.1]個人信息主體 personalinformationsubject個人信息所標(biāo)識或者關(guān)聯(lián)的自然人。[來源：GB/T35273-2020，定義3.3]敏感數(shù)據(jù) sensitivedata[來源：DB12/T1162-2022，定義3.8]縮略語下列縮略語適用于本文件。DSMM：數(shù)據(jù)安全能力成熟度模型（DataSecurityCapabilityMaturityModel）能力要求管理與服務(wù)機構(gòu)的基礎(chǔ)能力管理與服務(wù)機構(gòu)在申請公共數(shù)據(jù)資源前，應(yīng)具備以下能力：應(yīng)有具備自主知識產(chǎn)權(quán)的管理與服務(wù)平臺；應(yīng)有負責(zé)管理與服務(wù)平臺的管理部門。管理與服務(wù)平臺的安全保障能力2管理與服務(wù)平臺應(yīng)具備網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全和管理安全的能力，包括但不限于以下要求：DB12/T996-202053DB12/T996-20206DB12/T996-20207DSMMDB12/T996-20208GB/T22080數(shù)據(jù)利用申請要求目的方式管理與服務(wù)機構(gòu)對公共數(shù)據(jù)資源的利用方式可包括如下：信息核驗；數(shù)據(jù)讀取與加工處理；統(tǒng)計分析與數(shù)據(jù)挖掘；機器學(xué)習(xí)模型的訓(xùn)練；公共數(shù)據(jù)資源提供單位指定或認可的其他方式。期限管理與服務(wù)機構(gòu)對公共數(shù)據(jù)資源的利用期限應(yīng)滿足以下要求：應(yīng)明確開始和結(jié)束的具體時間；1范圍管理與服務(wù)機構(gòu)對公共數(shù)據(jù)資源利用范圍的限定應(yīng)滿足以下要求：應(yīng)遵循最小必要原則；應(yīng)限定獲取到的數(shù)據(jù)都屬于本應(yīng)用所申請的數(shù)據(jù)范圍；應(yīng)限定數(shù)據(jù)的利用范圍與申請目的一致；應(yīng)前置限定可調(diào)用接口的人員范圍和權(quán)限。閾值管理與服務(wù)機構(gòu)對公共數(shù)據(jù)資源的利用閾值應(yīng)滿足以下要求：應(yīng)限制單位時間內(nèi)申請數(shù)據(jù)的規(guī)模和訪問的次數(shù)；應(yīng)說明期望閾值設(shè)置原因和測算依據(jù)；宜對閾值數(shù)值根據(jù)工作日與非工作日、高峰期與非高峰期進行差異化的設(shè)置。用戶協(xié)議3接口傳輸安全管理與服務(wù)平臺在開展數(shù)據(jù)傳輸時應(yīng)滿足以下要求：應(yīng)采取安全傳輸通道或安全傳輸協(xié)議；應(yīng)在傳輸敏感信息時進行字段級加密；應(yīng)對每次請求采用數(shù)字簽名；應(yīng)實現(xiàn)數(shù)據(jù)不可篡改，數(shù)據(jù)傳輸全流程可追溯。存儲條件管理與服務(wù)平臺可存儲的數(shù)據(jù)應(yīng)至少符合以下條件之一：經(jīng)個人信息主體明確授權(quán)同意的數(shù)據(jù)；按照分類分級原則屬于無條件開放的數(shù)據(jù)；基于數(shù)據(jù)模型運算的不含非授權(quán)數(shù)據(jù)信息的數(shù)據(jù)處理結(jié)果；經(jīng)公共數(shù)據(jù)資源提供單位明確授權(quán)并允許合法存儲的數(shù)據(jù)。存儲機制管理與服務(wù)平臺的數(shù)據(jù)存儲機制應(yīng)滿足以下要求：應(yīng)存儲在中華人民共和國境內(nèi)；應(yīng)對數(shù)據(jù)分類分級，并明確數(shù)據(jù)的存儲時間；應(yīng)使用符合要求的數(shù)據(jù)加解密算法對敏感數(shù)據(jù)加密存儲；應(yīng)加密存儲公共數(shù)據(jù)開放平臺發(fā)放給管理與服務(wù)平臺的身份密鑰；宜提供混合云架構(gòu)、關(guān)鍵數(shù)據(jù)多云存儲異地災(zāi)備。訪問控制管理與服務(wù)平臺訪問控制應(yīng)滿足以下要求：應(yīng)限定授權(quán)人員、符合申請應(yīng)用范圍使用；應(yīng)由管理與服務(wù)機構(gòu)的數(shù)據(jù)安全負責(zé)人對授權(quán)人員及權(quán)限的申請、變更進行審批，留存相關(guān)審批及操作記錄，并對使用情況進行審計。環(huán)境要求管理與服務(wù)平臺對數(shù)據(jù)相關(guān)環(huán)境應(yīng)滿足以下要求：應(yīng)使用零信任技術(shù)，在授權(quán)人員身份權(quán)限和終端安全狀態(tài)均驗證通過后，再提供訪問；宜提供虛擬桌面環(huán)境，敏感數(shù)據(jù)宜全部在虛擬桌面中訪問、使用，不留存至授權(quán)人員個人電腦；宜使用可信執(zhí)行環(huán)境，保護所加載程序和數(shù)據(jù)的安全。去標(biāo)識化管理與服務(wù)平臺對數(shù)據(jù)的去標(biāo)識化處理應(yīng)滿足以下要求：應(yīng)默認全部個人信息脫敏處理后再進行利用和展示；應(yīng)隔離存儲脫敏后的數(shù)據(jù)與用于還原數(shù)據(jù)的恢復(fù)文件；4銷毀管理與服務(wù)平臺應(yīng)具備數(shù)據(jù)銷毀能力，包括但不限于以下要求：應(yīng)定時識別并刪除和徹底銷毀超出使用時限的全部數(shù)據(jù)；應(yīng)根據(jù)與個人信息主體的約定，在其提出刪除個人信息的要求后及時刪除數(shù)據(jù)；應(yīng)記錄數(shù)據(jù)刪除的相關(guān)信息；宜通過程序自動執(zhí)行銷毀任務(wù)。數(shù)據(jù)利用流程制作申請方案56簽訂協(xié)議經(jīng)公共數(shù)據(jù)資源提供單位審核后，管理與服務(wù)機構(gòu)應(yīng)與其簽訂公共數(shù)據(jù)資源利用協(xié)議。開發(fā)應(yīng)用程序管理與服務(wù)機構(gòu)應(yīng)按通過評審的申請方案開展應(yīng)用程序的開發(fā)工作。配合數(shù)據(jù)監(jiān)測管理與服務(wù)機構(gòu)應(yīng)配合公共數(shù)據(jù)資源提供單位進行數(shù)據(jù)監(jiān)測，數(shù)據(jù)監(jiān)測包括但不限于以下方面：每次對公共數(shù)據(jù)資源的利用應(yīng)記錄操作人、操作時間、請求參數(shù)及返回數(shù)據(jù)；應(yīng)將日志存儲于日志審計平臺以實現(xiàn)真實可查驗，且留存日志不少于六個月；應(yīng)根據(jù)公共數(shù)據(jù)資源提供單位要求向其報送日志記錄；應(yīng)接受公共數(shù)據(jù)資源提供單位對所有訪問記錄做安全查看、審計、監(jiān)督和管理；應(yīng)接受公共數(shù)據(jù)資源提供單位對信息安全技術(shù)和管理措施持續(xù)改進情況的檢查；應(yīng)接受公共數(shù)據(jù)資源提供單位對數(shù)據(jù)銷毀的檢查；7.3反饋數(shù)據(jù)利用成果管理與服務(wù)機構(gòu)應(yīng)向公共數(shù)據(jù)資源提供單位反饋公共數(shù)據(jù)資源利用成果。5參 考 文 獻《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國