ICS35.240.99 CCSJ07 12 天津市地方标准 DB12/T1200—2023 共享经济灵活就业人员管理与服务平台利 用公共数据资源指南 Guidelinesofutilizingpublicdataresourcesformanagementandserviceplatformof theGigWorkerinthesharingeconomy 2023-04-07发布 2023-05-07实施 天津市市场监督管理委员会  发布 DB12/T1200—2023 I前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起 草。 本文件由天津市互联网信息办公室提出并归口。 本文件起草单位：云账户（天津）共享经济信息咨询有限公司、云账户技术（天津）有限公司、天 津市大数据管理中心、微医乐问大数据科技（天津）有限公司。 本文件主要起草人：杨晖、邹永强、高文君、华烨姗、彭香武、毛嘉兴、李丹阳、朱降虎、李宁、 陈鑫、魏崇峰、刘华威、白晓旭、李光波、王涵。 DB12/T1200—2023 1共享经济灵活就业人员管理与服务平台利用公共数据资源指南 1范围 本文件提供了共享经济灵活就业人员管理与服务平台利用公共数据资源的能力要求、数据利用申请 要求、数据利用流程等方面的建议。 本文件适用于指导共享经济灵活就业人员管理与服务平台利用公共数据资源的工作。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T22080-2016信息技术安全技术信息安全管理体系要求 GB/T35273-2020信息安全技术个人信息安全规范 GB/T38664.1-2020信息技术大数据政务数据开放共享第1部分：总则 DB12/T926-2020共享经济平台灵活就业人员互联网管理与服务指南 DB12/T996-2020共享经济灵活就业人员管理与服务平台基本安全要求 3术语和定义 下列术语和定义适用于本文件。 灵活就业人员theGigWorker 自我雇佣并以个人身份从事合法合规生产经营活动的具备民事行为能力的市场主体。 [来源：DB12/T926-2020，定义3.1] 共享经济灵活就业人员管理与服务（简称：“管理与服务”）managementandservicefortheGig Workerinthesharingeconomy 基于互联网现代信息技术，为灵活就业人员（3.1）提供的身份核验、规则宣贯、收入结算、人工 智能报税、保险保障等共享经济综合服务。 [来源：DB12/T926-2020，定义3.3] 共享经济灵活就业人员管理与服务机构（简称：“管理与服务机构”）managementandservice instituteoftheGigWorkerinthesharingeconomy 提供共享经济灵活就业人员管理与服务（3.2）的平台化的组织。 [来源：DB12/T926-2020，定义3.4] 共享经济灵活就业人员管理与服务平台（简称：“管理与服务平台”）managementandservice platformoftheGigWorkerinthesharingeconomy 管理与服务机构（3.3）的网络系统平台。 DB12/T1200—2023 2[来源：DB12/T926-2020，定义3.5] 公共数据资源publicdataresources 政务部门及履行公共管理和服务职能的事业单位在依法履职过程中制作或者获取的各类数据资源。 公共数据资源提供单位publicdataresourcesprovider 政务部门及履行公共管理和服务职能的事业单位。 公共数据开放平台publicdataopenplatform 基于开放目录汇聚可开放的公共数据资源，面向社会提供可机读、可下载数据服务的信息设施。 个人信息personalinformation 以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然 人活动情况的各种信息。 注1：个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和 内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。 注2：个人信息控制者通过个人信息或其他信息加工处理后形成的信息，例如，用户画像或特征标签，能够单独或 者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的，属于个人信息。 [来源：GB/T35273-2020，定义3.1] 个人信息主体personalinformationsubject 个人信息所标识或者关联的自然人。 [来源：GB/T35273-2020，定义3.3] 敏感数据sensitivedata 在共享经济灵活就业人员管理与服务（3.2）领域中，一旦被泄露或非法使用，可能会对国家安全、 公共利益造成危害，或者对自然人的人格尊严或人身、财产安全造成侵害，或者对企业利益造成损害的 数据。 [来源：DB12/T1162-2022，定义3.8] 4缩略语 下列缩略语适用于本文件。 DSMM：数据安全能力成熟度模型（DataSecurityCapabilityMaturityModel） 5能力要求 管理与服务机构的基础能力 管理与服务机构在申请公共数据资源前，应具备以下能力： a)应有具备自主知识产权的管理与服务平台； b)应有负责管理与服务平台的管理部门。 管理与服务平台的安全保障能力 DB12/T1200—2023 3管理与服务平台应具备网络安全、应用安全、数据安全和管理安全的能力，包括但不限于以下要求： a)网络安全应符合DB12/T996-2020中第5章要求，应通过公安部网络安全等级保护3级及以上 级别备案测评； b)应用安全应符合DB12/T996-2020中第6章要求，应通过商用密码应用与安全性评估； c)数据安全应符合DB12/T996-2020中第7章要求，宜获得DSMM二级及以上等级认证； d)管理安全应符合DB12/T996-2020中第8章要求，应获得GB/T22080信息安全管理体系认证。 6数据利用申请要求 目的 管理与服务机构应基于实际需要，以实现风险控制或为共享经济产业链各方提供更优服务为目的申 请公共数据资源的利用，不得损害国家利益、社会公共利益和第三方合法权益。 方式 管理与服务机构对公共数据资源的利用方式可包括如下： a)信息核验； b)数据读取与加工处理； c)统计分析与数据挖掘； d)机器学习模型的训练； e)公共数据资源提供单位指定或认可的其他方式。 期限 管理与服务机构对公共数据资源的利用期限应满足以下要求： a)应明确开始和结束的具体时间； b)宜在利用期限到期前1个月申请续签，未续签的由公共数据开放平台在利用期限到期后关闭程 序接口，并监督销毁公共数据开放平台发放给管理与服务平台的身份密钥和相关数据。 范围 管理与服务机构对公共数据资源利用范围的限定应满足以下要求： a)应遵循最小必要原则； b)应限定获取到的数据都属于本应用所申请的数据范围； c)应限定数据的利用范围与申请目的一致； d)应前置限定可调用接口的人员范围和权限。 阈值 管理与服务机构对公共数据资源的利用阈值应满足以下要求： a)应限制单位时间内申请数据的规模和访问的次数； b)应说明期望阈值设置原因和测算依据； c)宜对阈值数值根据工作日与非工作日、高峰期与非高峰期进行差异化的设置。 用户协议 涉及个人信息处理的，管理与服务机构应获得个人信息主体明示授权同意，且授权同意的凭证应是 可留存的。 DB12/T1200—2023 4 接口 管理与服务机构应在申请中明确传输数据的方式，包括但不限于数据下载、数据接口调用。管理与 服务机构应提供明确的输入、输出接口需求，输出数据项应遵循“可用不可见、数据不搬家”原则。 传输安全 管理与服务平台在开展数据传输时应满足以下要求： a)应采取安全传输通道或安全传输协议； b)应在传输敏感信息时进行字段级加密； c)应对每次请求采用数字签名； d)应实现数据不可篡改，数据传输全流程可追溯。 存储条件 管理与服务平台可存储的数据应至少符合以下条件之一： a)经个人信息主体明确授权同意的数据； b)按照分类分级原则属于无条件开放的数据； c)基于数据模型运算的不含非授权数据信息的数据处理结果； d)经公共数据资源提供单位明确授权并允许合法存储的数据。 存储机制 管理与服务平台的数据存储机制应满足以下要求： a)应存储在中华人民共和国境内； b)应对数据分类分级，并明确数据的存储时间； c)应使用符合要求的数据加解密算法对敏感数据加密存储； d)应加密存储公共数据开放平台发放给管理与服务平台的身份密钥； e)宜提供混合云架构、关键数据多云存储异地灾备。 访问控制 管理与服务平台访问控制应满足以下要求： a)应限定授权人员、符合申请应用范围使用； b)应由管理与服务机构的数据安全负责人对授权人员及权限的申请、变更进行审批，留存相关 审批及操作记录，并对使用情况进行审计。 环境要求 管理与服务平台对数据相关环境应满足以下要求： a)应使用零信任技术，在授权人员身份权限和终端安全状态均验证通过后，再提供访问； b)宜提供虚拟桌面环境，敏感数据宜全部在虚拟桌面中访问、使用，不留存至授权人员个人电 脑； c)宜使用可信执行环境，保护所加载程序和数据的安全。 去标识化 管