ICS35.240.99CCSJ0712GuidelinesofutilizingpublicdataresourcesformanagementandserviceplatformoftheGigWorkerinthesDB12/T1200—2023本文件按照GB/T1.1-2020《標準化工作導則第1部分：標準化文件的結構和起草規則》的規定起本文件由天津市互聯網信息辦公室提出并歸口。本文件起草單位：云賬戶（天津）共享經濟信息咨詢有限公司、云賬戶技術（天津）有限公司、天津市大數據管理中心、微醫樂問大數據科技（天津）有限公司。本文件主要起草人：楊暉、鄒永強、高文君、華燁姍、彭香武、毛嘉興、李丹陽、朱降虎、李寧、陳鑫、魏崇峰、劉華威、白曉旭、李光波、王涵。IDB12/T1200—2023共享經濟靈活就業人員管理與服務平臺利用公共數據資源指南本文件提供了共享經濟靈活就業人員管理與服務平臺利用公共數據資源的能力要求、數據利用申請要求、數據利用流程等方面的建議。本文件適用于指導共享經濟靈活就業人員管理與服務平臺利用公共數據資源的工作。2規范性引用文件下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T22080-2016信息技術安全技術信息安全管理體系要求GB/T35273-2020信息安全技術個人信息安全規范GB/T38664.1-2020信息技術大數據政務數據開放共享第1部分：總則DB12/T926-2020共享經濟平臺靈活就業人員互聯網管理與服務指南DB12/T996-2020共享經濟靈活就業人員管理與服務平臺基本安全要求3術語和定義下列術語和定義適用于本文件。3.1靈活就業人員theGigWorker自我雇傭并以個人身份從事合法合規生產經營活動的具備民事行為能力的市場主體。[來源：DB12/T926-2020，定義3.1]3.2共享經濟靈活就業人員管理與服務（簡稱：“管理與服務”）managementandservicefortheGigWorkerinthesharingeconomy基于互聯網現代信息技術，為靈活就業人員（3.1）提供的身份核驗、規則宣貫、收入結算、人工智能報稅、保險保障等共享經濟綜合服務。[來源：DB12/T926-2020，定義3.3]3.3共享經濟靈活就業人員管理與服務機構（簡稱：“管理與服務機構”）managementandserviceinstituteoftheGigWorkerinthesha提供共享經濟靈活就業人員管理與服務（3.2）的平臺化的組織。[來源：DB12/T926-2020，定義3.4]3.4共享經濟靈活就業人員管理與服務平臺（簡稱：“管理與服務平臺”）managementandserviceplatformoftheGigWorkerinthesharingeconomy管理與服務機構（3.3）的網絡系統平臺。1DB12/T1200—2023[來源：DB12/T926-2020，定義3.5]3.5公共數據資源publicdataresources政務部門及履行公共管理和服務職能的事業單位在依法履職過程中制作或者獲取的各類數據資源。3.6公共數據資源提供單位publicdataresourcesprovider政務部門及履行公共管理和服務職能的事業單位。3.7公共數據開放平臺publicdataopenplatform基于開放目錄匯聚可開放的公共數據資源，面向社會提供可機讀、可下載數據服務的信息設施。3.8個人信息personalinformation以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息。注1：個人信息包括姓名、出生日期、身份證件號碼、個人生物識別信息、住址、通信通訊聯系方式、通信記錄和注2：個人信息控制者通過個人信息或其他信息加工處理后形成的信息，例如，用戶畫像或特征標簽，能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情[來源：GB/T35273-2020，定義3.1]3.9個人信息主體personalinformationsubject個人信息所標識或者關聯的自然人。[來源：GB/T35273-2020，定義3.3]3.10敏感數據sensitivedata在共享經濟靈活就業人員管理與服務（3.2）領域中，一旦被泄露或非法使用，可能會對國家安全、公共利益造成危害，或者對自然人的人格尊嚴或人身、財產安全造成侵害，或者對企業利益造成損害的數據。[來源：DB12/T1162-2022，定義3.8]4縮略語下列縮略語適用于本文件。DSMM：數據安全能力成熟度模型（DataSecurityCapabilityMaturityModel）5能力要求5.1管理與服務機構的基礎能力管理與服務機構在申請公共數據資源前，應具備以下能力：a)應有具備自主知識產權的管理與服務平臺；b)應有負責管理與服務平臺的管理部門。5.2管理與服務平臺的安全保障能力2DB12/T1200—2023管理與服務平臺應具備網絡安全、應用安全、數據安全和管理安全的能力，包括但不限于以下要求：a)網絡安全應符合DB12/T996-2020中第5章要求，應通過公安部網絡安全等級保護3級及以上級別備案測評；b)應用安全應符合DB12/T996-2020中第6章要求，應通過商用密碼應用與安全性評估；c)數據安全應符合DB12/T996-2020中第7章要求，宜獲得DSMM二級及以上等級認證；d)管理安全應符合DB12/T996-2020中第8章要求，應獲得GB/T22080信息安全管理體系認證。6數據利用申請要求6.1目的管理與服務機構應基于實際需要，以實現風險控制或為共享經濟產業鏈各方提供更優服務為目的申請公共數據資源的利用，不得損害國家利益、社會公共利益和第三方合法權益。6.2方式管理與服務機構對公共數據資源的利用方式可包括如下：a)信息核驗；b)數據讀取與加工處理；c)統計分析與數據挖掘；d)機器學習模型的訓練；e)公共數據資源提供單位指定或認可的其他方式。6.3期限管理與服務機構對公共數據資源的利用期限應滿足以下要求：a)應明確開始和結束的具體時間；b)宜在利用期限到期前1個月申請續簽，未續簽的由公共數據開放平臺在利用期限到期后關閉程序接口，并監督銷毀公共數據開放平臺發放給管理與服務平臺的身份密鑰和相關數據。6.4范圍管理與服務機構對公共數據資源利用范圍的限定應滿足以下要求：a)應遵循最小必要原則；b)應限定獲取到的數據都屬于本應用所申請的數據范圍；c)應限定數據的利用范圍與申請目的一致；d)應前置限定可調用接口的人員范圍和權限。6.5閾值管理與服務機構對公共數據資源的利用閾值應滿足以下要求：a)應限制單位時間內申請數據的規模和訪問的次數；b)應說明期望閾值設置原因和測算依據；c)宜對閾值數值根據工作日與非工作日、高峰期與非高峰期進行差異化的設置。6.6用戶協議涉及個人信息處理的，管理與服務機構應獲得個人信息主體明示授權同意，且授權同意的憑證應是可留存的。3DB12/T1200—20236.7接口管理與服務機構應在申請中明確傳輸數據的方式，包括但不限于數據下載、數據接口調用。管理與服務機構應提供明確的輸入、輸出接口需求，輸出數據項應遵循“可用不可見、數據不搬家”原則。6.8傳輸安全管理與服務平臺在開展數據傳輸時應滿足以下要求：a)應采取安全傳輸通道或安全傳輸協議；b)應在傳輸敏感信息時進行字段級加密；c)應對每次請求采用數字簽名；d)應實現數據不可篡改，數據傳輸全流程可追溯。6.9存儲條件管理與服務平臺可存儲的數據應至少符合以下條件之一：a)經個人信息主體明確授權同意的數據；b)按照分類分級原則屬于無條件開放的數據；c)基于數據模型運算的不含非授權數據信息的數據處理結果；d)經公共數據資源提供單位明確授權并允許合法存儲的數據。6.10存儲機制管理與服務平臺的數據存儲機制應滿足以下要求：a)應存儲在中華人民共和國境內；b)應對數據分類分級，并明確數據的存儲時間；c)應使用符合要求的數據加解密算法對敏感數據加密存儲；d)應加密存儲公共數據開放平臺發放給管理與服務平臺的身份密鑰；e)宜提供混合云架構、關鍵數據多云存儲異地災備。6.11訪問控制管理與服務平臺訪問控制應滿足以下要求：a)應限定授權人員、符合申請應用范圍使用；b)應由管理與服務機構的數據安全負責人對授權人員及權限的申請、變更進行審批，留存相關審批及操作記錄，并對使用情況進行審計。6.12環境要求管理與服務平臺對數據相關環境應滿足以下要求：a)應使用零信任技術，在授權人員身份權限和終端安全狀態均驗證通過后，再提供訪問；b)宜提供虛擬桌面環境，敏感數據宜全部在虛擬桌面中訪問、使用，不留存至授權人員個人電腦；c)宜使用可信執行環境，保護所加載程序和數據的安全。6.13去標識化管理與服務平臺對數據的去標識化處理應滿足以下要求：a)應默認全部個人信息脫敏處理后再進行利用和展示；b)應隔離存儲脫敏后的數據與用于還原數據的恢復文件；4c)應嚴格審批原始數據恢復，并留存相關審批及操作記錄，宜在內部維護統一的脫敏規范和脫敏組件。6.14銷毀管理與服務平臺應具備數據銷毀能力，包括但不限于以下要求：a)應定時識別并刪除和徹底銷毀超出使用時限的全部數據；b)應根據與個人信息主體的約定，在其提出刪除個人信息的要求后及時刪除數據；c)應記錄數據刪除的相關信息；d)宜通過程序自動執行銷毀任務。7數據利用流程7.1制作申請方案管理與服務機構應將本文件第5章和第6章中涉及的內容匯總，制作申請方案，并呈交給公共數據資源提供單位。7.2簽訂協議經公共數據資源提供單位審核后，管理與服務機構應與其簽訂公共數據資源利用協議。7.3開發應用程序管理與服務機構應按通過評審的申請方案開展應用程序的開發工作。7.4配合數據監測管理與服務機構應配合公共數據資源提供單位進行數據監測，數據監測包括但不限于以下方面：a)每次對公共數據資源的利用應記錄操作人、操作時間、請求參數及返回數據；b)應將日志存儲于日志審計平臺以實現真實可查驗，且留存日志不少于六個月；c)應根據公共數據資源提供單位要求向其報送日志記錄；d)應接受公共數據資源提供單位對所有訪問記錄做安全查看、審計、監督和管理；e)應接受公共數據資源提供單位對信息安全技術和管理措施持續改進情況的檢查；f)應接受公共數據資源提供單位對數據銷毀的檢查；g)應確保僅通過7.3中開發的應用程序利用公共數據資源。7.5反饋數據利用成果管理與服務機構應向公共數據資源提供單位反饋公共數據資源利用成果。5DB12/T1200—2023參考文獻[1]《中華人民共和國網絡安全法》[2]《中華人民共和國數據安全法》[3]《中華人民共和國個人信息保護法》[4]《國務院關于加快推進“互聯網+政務服務”工作的指導意見》（國發〔2016〕55號）[5]《天津市促進大數據發展應用條例》[6]《天津市公共數據資源開放管理暫行辦法》[7]《網絡安全標準實踐指南—