DB12-T1200-2023共享經(jīng)濟靈活就業(yè)人員管理與服務平臺利用公共數(shù)據(jù)資源指南

ICS35.240.99

CCSJ07

12

天津市地方標準

DB12/T1200—2023

共享經(jīng)濟靈活就業(yè)人員管理與服務平臺利

用公共數(shù)據(jù)資源指南

Guidelinesofutilizingpublicdataresourcesformanagementandserviceplatformof

theGigWorkerinthesharingeconomy

2023-04-07發(fā)布2023-05-07實施

天津市市場監(jiān)督管理委員會??發(fā)布

DB12/T1200—2023

共享經(jīng)濟靈活就業(yè)人員管理與服務平臺利用公共數(shù)據(jù)資源指南

1范圍

本文件提供了共享經(jīng)濟靈活就業(yè)人員管理與服務平臺利用公共數(shù)據(jù)資源的能力要求、數(shù)據(jù)利用申請

要求、數(shù)據(jù)利用流程等方面的建議。

本文件適用于指導共享經(jīng)濟靈活就業(yè)人員管理與服務平臺利用公共數(shù)據(jù)資源的工作。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T22080-2016信息技術(shù)安全技術(shù)信息安全管理體系要求

GB/T35273-2020信息安全技術(shù)個人信息安全規(guī)范

GB/T38664.1-2020信息技術(shù)大數(shù)據(jù)政務數(shù)據(jù)開放共享第1部分：總則

DB12/T926-2020共享經(jīng)濟平臺靈活就業(yè)人員互聯(lián)網(wǎng)管理與服務指南

DB12/T996-2020共享經(jīng)濟靈活就業(yè)人員管理與服務平臺基本安全要求

3術(shù)語和定義

下列術(shù)語和定義適用于本文件。

靈活就業(yè)人員theGigWorker

自我雇傭并以個人身份從事合法合規(guī)生產(chǎn)經(jīng)營活動的具備民事行為能力的市場主體。

[來源：DB12/T926-2020，定義3.1]

共享經(jīng)濟靈活就業(yè)人員管理與服務（簡稱：“管理與服務”）managementandservicefortheGig

Workerinthesharingeconomy

基于互聯(lián)網(wǎng)現(xiàn)代信息技術(shù)，為靈活就業(yè)人員（3.1）提供的身份核驗、規(guī)則宣貫、收入結(jié)算、人工

智能報稅、保險保障等共享經(jīng)濟綜合服務。

[來源：DB12/T926-2020，定義3.3]

共享經(jīng)濟靈活就業(yè)人員管理與服務機構(gòu)（簡稱：“管理與服務機構(gòu)”）managementandservice

instituteoftheGigWorkerinthesharingeconomy

提供共享經(jīng)濟靈活就業(yè)人員管理與服務（3.2）的平臺化的組織。

[來源：DB12/T926-2020，定義3.4]

共享經(jīng)濟靈活就業(yè)人員管理與服務平臺（簡稱：“管理與服務平臺”）managementandservice

platformoftheGigWorkerinthesharingeconomy

管理與服務機構(gòu)（3.3）的網(wǎng)絡系統(tǒng)平臺。

1

DB12/T1200—2023

[來源：DB12/T926-2020，定義3.5]

公共數(shù)據(jù)資源publicdataresources

政務部門及履行公共管理和服務職能的事業(yè)單位在依法履職過程中制作或者獲取的各類數(shù)據(jù)資源。

公共數(shù)據(jù)資源提供單位publicdataresourcesprovider

政務部門及履行公共管理和服務職能的事業(yè)單位。

公共數(shù)據(jù)開放平臺publicdataopenplatform

基于開放目錄匯聚可開放的公共數(shù)據(jù)資源，面向社會提供可機讀、可下載數(shù)據(jù)服務的信息設施。

個人信息personalinformation

以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然

人活動情況的各種信息。

注1：個人信息包括姓名、出生日期、身份證件號碼、個人生物識別信息、住址、通信通訊聯(lián)系方式、通信記錄和

內(nèi)容、賬號密碼、財產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等。

注2：個人信息控制者通過個人信息或其他信息加工處理后形成的信息，例如，用戶畫像或特征標簽，能夠單獨或

者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的，屬于個人信息。

[來源：GB/T35273-2020，定義3.1]

個人信息主體personalinformationsubject

個人信息所標識或者關(guān)聯(lián)的自然人。

[來源：GB/T35273-2020，定義3.3]

敏感數(shù)據(jù)sensitivedata

在共享經(jīng)濟靈活就業(yè)人員管理與服務（3.2）領域中，一旦被泄露或非法使用，可能會對國家安全、

公共利益造成危害，或者對自然人的人格尊嚴或人身、財產(chǎn)安全造成侵害，或者對企業(yè)利益造成損害的

數(shù)據(jù)。

[來源：DB12/T1162-2022，定義3.8]

4縮略語

下列縮略語適用于本文件。

DSMM：數(shù)據(jù)安全能力成熟度模型（DataSecurityCapabilityMaturityModel）

5能力要求

管理與服務機構(gòu)的基礎能力

管理與服務機構(gòu)在申請公共數(shù)據(jù)資源前，應具備以下能力：

a)應有具備自主知識產(chǎn)權(quán)的管理與服務平臺；

b)應有負責管理與服務平臺的管理部門。

管理與服務平臺的安全保障能力

2

DB12/T1200—2023

管理與服務平臺應具備網(wǎng)絡安全、應用安全、數(shù)據(jù)安全和管理安全的能力，包括但不限于以下要求：

a)網(wǎng)絡安全應符合DB12/T996-2020中第5章要求，應通過公安部網(wǎng)絡安全等級保護3級及以上

級別備案測評；

b)應用安全應符合DB12/T996-2020中第6章要求，應通過商用密碼應用與安全性評估；

c)數(shù)據(jù)安全應符合DB12/T996-2020中第7章要求，宜獲得DSMM二級及以上等級認證；

d)管理安全應符合DB12/T996-2020中第8章要求，應獲得GB/T22080信息安全管理體系認證。

6數(shù)據(jù)利用申請要求

目的

管理與服務機構(gòu)應基于實際需要，以實現(xiàn)風險控制或為共享經(jīng)濟產(chǎn)業(yè)鏈各方提供更優(yōu)服務為目的申

請公共數(shù)據(jù)資源的利用，不得損害國家利益、社會公共利益和第三方合法權(quán)益。

方式

管理與服務機構(gòu)對公共數(shù)據(jù)資源的利用方式可包括如下：

a)信息核驗；

b)數(shù)據(jù)讀取與加工處理；

c)統(tǒng)計分析與數(shù)據(jù)挖掘；

d)機器學習模型的訓練；

e)公共數(shù)據(jù)資源提供單位指定或認可的其他方式。

期限

管理與服務機構(gòu)對公共數(shù)據(jù)資源的利用期限應滿足以下要求：

a)應明確開始和結(jié)束的具體時間；

b)宜在利用期限到期前1個月申請續(xù)簽，未續(xù)簽的由公共數(shù)據(jù)開放平臺在利用期限到期后關(guān)閉程

序接口，并監(jiān)督銷毀公共數(shù)據(jù)開放平臺發(fā)放給管理與服務平臺的身份密鑰和相關(guān)數(shù)據(jù)。

范圍

管理與服務機構(gòu)對公共數(shù)據(jù)資源利用范圍的限定應滿足以下要求：

a)應遵循最小必要原則；

b)應限定獲取到的數(shù)據(jù)都屬于本應用所申請的數(shù)據(jù)范圍；

c)應限定數(shù)據(jù)的利用范圍與申請目的一致；

d)應前置限定可調(diào)用接口的人員范圍和權(quán)限。

閾值

管理與服務機構(gòu)對公共數(shù)據(jù)資源的利用閾值應滿足以下要求：

a)應限制單位時間內(nèi)申請數(shù)據(jù)的規(guī)模和訪問的次數(shù)；

b)應說明期望閾值設置原因和測算依據(jù)；

c)宜對閾值數(shù)值根據(jù)工作日與非工作日、高峰期與非高峰期進行差異化的設置。

用戶協(xié)議

涉及個人信息處理的，管理與服務機構(gòu)應獲得個人信息主體明示授權(quán)同意，且授權(quán)同意的憑證應是

可留存的。

3

DB12/T1200—2023

接口

管理與服務機構(gòu)應在申請中明確傳輸數(shù)據(jù)的方式，包括但不限于數(shù)據(jù)下載、數(shù)據(jù)接口調(diào)用。管理與

服務機構(gòu)應提供明確的輸入、輸出接口需求，輸出數(shù)據(jù)項應遵循“可用不可見、數(shù)據(jù)不搬家”原則。

傳輸安全

管理與服務平臺在開展數(shù)據(jù)傳輸時應滿足以下要求：

a)應采取安全傳輸通道或安全傳輸協(xié)議；

b)應在傳輸敏感信息時進行字段級加密；

c)應對每次請求采用數(shù)字簽名；

d)應實現(xiàn)數(shù)據(jù)不可篡改，數(shù)據(jù)傳輸全流程可追溯。

存儲條件

管理與服務平臺可存儲的數(shù)據(jù)應至少符合以下條件之一：

a)經(jīng)個人信息主體明確授權(quán)同意的數(shù)據(jù)；

b)按照分類分級原則屬于無條件開放的數(shù)據(jù)；

c)基于數(shù)據(jù)模型運算的不含非授權(quán)數(shù)據(jù)信息的數(shù)據(jù)處理結(jié)果；

d)經(jīng)公共數(shù)據(jù)資源提供單位明確授權(quán)并允許合法存儲的數(shù)據(jù)。

存儲機制

管理與服務平臺的數(shù)據(jù)存儲機制應滿足以下要求：

a)應存儲在中華人民共和國境內(nèi)；

b)應對數(shù)據(jù)分類分級，并明確數(shù)據(jù)的存儲時間；

c)應使用符合要求的數(shù)據(jù)加解密算法對敏感數(shù)據(jù)加密存儲；

d)應加密存儲公共數(shù)據(jù)開放平臺發(fā)放給管理與服務平臺的身份密鑰；

e)宜提供混合云架構(gòu)、關(guān)鍵數(shù)據(jù)多云存儲異地災備。

訪問控制

管理與服務平臺訪問控制應滿足以下要求：

a)應限定授權(quán)人員、符合申請應用范圍使用；

b)應由管理與服務機構(gòu)的數(shù)據(jù)安全負責人對授權(quán)人員及權(quán)限的申請、變更進行審批，留存相關(guān)

審批及操作記錄，并對使用情況進行審計。

環(huán)境要求

管理與服務平臺對數(shù)據(jù)相關(guān)環(huán)境應滿足以下要求：

a)應使用零信任技術(shù)，在授權(quán)人員身份權(quán)限和終端安全狀態(tài)均驗證通過后，再提供訪問；

b)宜提供虛擬桌面環(huán)境，敏感數(shù)據(jù)宜全部在虛擬桌面中訪問、使用，不留存至授權(quán)人員個人電

腦；

c)宜使用可信執(zhí)行環(huán)境，保護所加載程序和數(shù)據(jù)的安全。

去標識化

管理與服務平臺對數(shù)據(jù)的去標識化處理應滿足以下要求：

a)應默認全部個人信息脫敏處理后再進行利用和展示；

b)應隔離存儲脫敏后的數(shù)據(jù)與用于還原數(shù)據(jù)的恢復文件；

4

DB12/T1200—2023

c)應嚴格審批原始數(shù)據(jù)恢復，并留存相關(guān)審批及操作記錄，宜在內(nèi)部維護統(tǒng)一的脫敏規(guī)范和脫敏

組件。

銷毀

管理與服務平臺應具備數(shù)據(jù)銷毀能力，包括但不限于以下要求：

a)應定時識別并刪除和徹底銷毀超出使用時限的全部數(shù)據(jù)；

b)應根據(jù)與個人信息主體的約定，在其提出刪除個人信息的要求后及時刪除數(shù)據(jù)；

c)應記錄數(shù)據(jù)刪除的相關(guān)信息；

d)宜通過程序自動執(zhí)行銷毀任務。

7數(shù)據(jù)利用流程

制作申請方案

管理與服務機構(gòu)應將本文件第5章和第6章中涉及的內(nèi)容匯總，制作申請方案，并呈交給公共數(shù)據(jù)

資源提供單位。

簽訂協(xié)議

經(jīng)公共數(shù)據(jù)資源提供單位審核后，管理與服務機構(gòu)應與其簽訂公共數(shù)據(jù)資源利用協(xié)議。

開發(fā)應用程序

管理與服務機構(gòu)應按通過評審的申請方案開展應用程序的開發(fā)工作。

配合數(shù)據(jù)監(jiān)測

管理與服務機構(gòu)應配合公共數(shù)據(jù)資源提供單位進行數(shù)據(jù)監(jiān)測，數(shù)據(jù)監(jiān)測包括但不限于以下方面：

a)每次對公共數(shù)據(jù)資源的利用應記錄操作人、操作時間、請求參數(shù)及返回數(shù)據(jù)；

b)應將日志存儲于日志審計平臺以實現(xiàn)真實可查驗，且留存日志不少于六個月；

c)應根據(jù)公共數(shù)據(jù)資源提供單位要求向其報送日志記錄；

d)應接受公共數(shù)據(jù)資源提供單位對所有訪問記錄做安全查看、審計、監(jiān)督和管理；

e)應接受公共數(shù)據(jù)資源提供單位對信息安全技術(shù)和管理措施持續(xù)改進情況的檢查；

f)應接受公共數(shù)據(jù)資源提供單位對數(shù)據(jù)銷毀的檢查；

g)應確保僅通過7.3中開發(fā)的應用程序利用公共數(shù)據(jù)資源。

反饋數(shù)據(jù)利用成果

管理與服務機構(gòu)應向公共數(shù)據(jù)資源提供單位反饋公共數(shù)據(jù)資源利用成果。

5