《T_CECC 024-2023 公共数据授权运营平台技术要求.docx》由会员分享,可在线阅读,更多相关《T_CECC 024-2023 公共数据授权运营平台技术要求.docx(19页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、ICS 35.240.01CCS L 70团 体 标准T/CECC 024-2023公共数据授权运营平台技术要求Technical requirements for public data authorization and operation platform2023-11-21 发布2023-12-10 实施中国电子商会 发 布T/CECC 024-2023目 次1 范围 12 规范性引用文件 13 术语和定义 14 符号和缩略语 25 概述 25.1 参考架构 25.2 主要流程 36 功能要求 46.1 数据登记 46.2 数据流通 56.3 授权管理 76.4 数据运营 86.5 区
2、块链系统 106.6 标识解析系统 106.7 隐私计算系统 107 性能要求 117.1 数据接入 117.2 数据平台 117.3 数据服务 118 运维要求 119 安全要求 119.1 等级保护要求 119.2 安全合规要求 1210 互联互通要求 1210.1 协议互联 1210.2 接口互通 1210.3 单点登录 1310.4 扩展集成 13附录 A(规范性)公共数据登记证书主要内容 14参考文献 15IT/CECC 024-2023前 言本文件按照 GB/T 1. 1-2020标准化工作导则 第 1 部分:标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利
3、。本文件的发布机构不承担识别这些专利的责任。 本文件由国家工业信息安全发展研究中心提出。本文件由中国电子商会归口。本文件起草单位:国家工业信息安全发展研究中心、中电科电科院科技集团有限公司、广电运通 集团股份有限公司、杭州国际数字交易中心有限公司、中国民航信息网络股份有限公司、华为技术有 限公司、中诚信征信有限公司、工业和信息化部电子第五研究所、中电云计算技术有限公司、西部数 据交易有限公司、深圳数据交易所有限公司、人民数据管理(北京)有限公司、中国移动通信集团辽 宁有限公司、联仁健康医疗大数据科技股份有限公司、北京羽乐创新科技有限公司、云上贵州大数据 产业发展有限公司、新汽有限公司、北京迅捷
4、驰数字科技有限公司、数安智合(南京)科技有限公司、 北京市大数据中心、杭州市数据资源管理局、重庆市大数据应用发展管理局、辽宁省大数据管理中心 (辽宁省信息中心)、四川省大数据中心、北京大学(天津滨海)新一代信息技术研究院、杭州高新 区(滨江)区块链与数据安全研究院、南京理工大学、浙江理工大学、中智城(北京)咨询有限公司、 广州数据集团有限公司、福建大数据集团有限公司、数字重庆信息技术服务有限公司、数字日照有限 公司、浙江大数据交易中心有限公司、苏州数据资产运营有限公司、广州广电运通信息科技有限公司、 北京中科江南信息技术股份有限公司、中数智创科技有限公司、江苏数兑科技有限公司、星际空间(天 津
5、)科技发展有限公司、南京南大智慧城市规划设计股份有限公司、长威信息科技发展股份有限公司、 华东江苏大数据交易中心股份有限公司、北京信源电子信息技术有限公司、深圳竹云科技股份有限公 司、中电科大数据研究院有限公司、中国质量认证中心、苏州新建元数字科技有限公司、北京中软国 际信息技术有限公司、智慧神州(北京)科技有限公司、苏州龙石信息科技有限公司、北京国际大数 据交易有限公司、上海市标准化协会、上海富数科技有限公司、福建省邮电规划设计院有限公司、浙 大宁波理工学院。本文件主要起草人:柳峰、何小龙、刘巍、杨柳、孙博闻、冯立鹦、李丹一、高启龙、田丰、宣 啸、梁海峰、赵猛、谈启佳、穆帅先、冯进、朱晨君、
6、李可顺、郑光魁、崔铎、李登高、毛羽建、黄 明峰、米胜荣、张新、李俊华、石志国、刘迎风、齐同军、周君、丛明、郭煜、任奎、薛峰、王春晖、 冯海红、汤子欧、戚湧、沈益民、郭兵、冯闪、王永刚、邓家青、李喆、 曾宇航、梁其东、刘梦迪、 王宏峰、林誉、万俊杰、张亮、林锋、李依姣、杨平平、戴文艳、汤寒林、黄伟、江杰、易晓峰、王 锋、吴文昊、朱时兵、张伟、孙晓宁、周晓刚、苏瑞峰、张涛、潘志刊、周宇、张天宁、明金科、张 瑞、杨旭、陈光、杨波、李新林、张伟、赵东、叶佳鹏、彭文琪、魏倩、程广明、任博忱、夏祖天、 王宇燕、刘文中、陈丽、 肖昕璐、于诗宇、曹恒钰、史乐、宋卿、陈蔚、徐翼凌、姚锦丽、张强、董 文涛、邵卿、
7、石锋、林峰璞、单武、储昭武、刘辰昀、李蒙科、潘峰、胡博、孔俊、任红、刘晓雷、 吴运昌、杨瑀、练海荣、文博、张蓝。IIT/CECC 024-2023公共数据授权运营平台技术要求1 范围本文件提供了公共数据授权运营平台参考架构、功能要求、性能要求、运维要求、安全要求和互联 互通要求。本文件适用于公共数据授权运营平台的设计与实施,可通过与其他平台对接实现相应功能。2 规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件, 仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本 文件。GB/T 25070-2019 信
8、息安全技术 网络安全等级保护安全设计技术要求GB/T 28827. 1-2022 信息技术服务 运行维护 第1部分:通用要求GB/T 28827.6-2019 信息技术服务 运行维护第6部分:应用系统服务要求GB/T39786-2021 信息安全技术 信息系统密码应用基本要求1GB/T 42570-2023 GB/T 42571-2023GB/T 42752-2023信息安全技术 区块链技术安全框架信息安全技术 区块链信息服务安全规范区块链和分布式记账技术 参考架构3 术语和定义GB/T 35295-2017和GB/T 36344-2018 界定的以及下列术语和定义适用于本文件。3.1公共数据
9、 public data根据地方管理制度的规定,具有管理公共事务职能的组织以及供水、供电、供气、公共交通等公共 服务运营单位,在依法履行职责或者提供公共服务过程中产生与收集的数据。3.2公共数据授权运营 authorized operation of public data按照相应的法律与法规,授权法人或者其他组织,对公共数据进行开发与利用,并向社会提供服务 的行为。3.3运营主体 operation entityT/CECC 024-2023按程序依法获得授权的法人组织或其他组织,对公共数据授权运营平台承担建设运营、数据管理、 运行维护及安全保障等工作的主体。3.4数据持有方 data po
10、ssessor合法合规持有数据的法人或其他组织。3.5授权 authorization数据持有方按照相关的制度与规则,同意其他组织对数据进行加工使用与经营的行为。3.6数据产品 data product利用特定数据加工形成的产品,主要形态有数据报告、可视化结果等。3.7数据服务 data service利用特定数据加工形成的服务,主要形态有数据接口等。3.8增值服务方 value added service provider利用获得授权的特定数据进行数据加工使用或数据产品经营的法人或其他组织。4 符号和缩略语下列符号和缩略语适用于本文件。Handle:Handle标识体系MA:MA国际标识OI
11、D:OID标识体系RESTful:表现层状态传递(Representational State Transfer)VAA:VAA标识体系5 概述5. 1 参考架构公共数据授权运营平台主要包括基础设施层、应用层、运维管理与安全管理四个方面,其中基础设 施层主要是支撑平台运行与安全的核心技术与系统,包括区块链、标识解析以及隐私计算等,平台互联 互通系统主要支持平台之间的互联互通与互操作,便于提供跨平台的集约化服务。应用层主要包括数据 登记、数据流通、授权管理与数据运营等主要功能系统,支持全流程的公共数据运营服务。公共数据授 权运营平台参考架构见图1。2T/CECC 024-2023图1 公共数据授
12、权运营平台参考架构5.2 主要流程公共数据授权运营流程的主要参与主体有数据持有方、运营主体、数据需求方、增值服务方。公共 数据授权运营的主要流程应包括三个部分,即数据登记、数据授权和数据流通。数据运营监管应贯穿所 有环节。整体流程如图2所示。图2 公共数据授权运营平台主要流程3T/CECC 024-2023公共数据授权运营平台应支持各方完成如下流程操作:a) 数据持有方可通过平台进行数据登记申请,获取登记证书,并依据登记证书发布公共数据资源 目录;b) 增值服务方可通过平台申请数据加工与经营,并获取相应权限,通过隐私计算、数据产品加工 或数据服务提供等方式对第三方提供应用,并支持计费结算;c)
13、 数据需求方可以通过平台申请数据集、数据产品与数据服务,经数据持有方许可后,通过隐私 计算等方式实现对相应数据的分析利用,数据产品获取或数据服务调用;d) 运营主体可通过平台完成数据登记、数据授权、数据流通等相关申请的审核,并进行相关管理 和统计分析,同时应支持对运营过程中的全流程监管。6 功能要求6. 1 数据登记6. 1. 1 登记申请公共数据持有方申请将合法采集的公共数据在公共数据授权运营平台登记,通过工具采集与人工填 报等技术手段生成公共数据登记申请的基本信息。登记申请功能要求如下:a) 登记申请应支持首次登记、变更登记、注销登记等登记类型,变更登记、注销登记办理前,应 核验是否在本平
14、台办理首次登记;b) 登记申请发起,登记申请人可选择登记类型,根据登记类型匹配相应的业务表单和流程;应为 登记申请分配唯一标识。通过工具软件连接拟登记的数据资源,首次登记应关联拟登记数据资源基本信 息;变更登记、注销登记等能提供已登记数据的查询筛选,其中变更登记可对基本信息进行维护;上传 附件作为佐证材料;c) 登记申请方应提供包括主体名称、统一社会信用代码等工商营业执照或法人登记证书等信息;d) 数据基本信息采集与填报功能,基本信息包括数据名称、元数据描述(数据集、数据表、字段 名、数据字段等)、数据获取方式、数据数量、数据类型、空值率、唯一特征值等,并可生成示例数据;e) 应支持数据分级标
15、定,并注明参照的分级规范名称;f) 登记信息编辑功能应提供对原登记申请内容进行修改、更新的功能,登记申请审核中和审核通 过后,不可编辑;g) 登记申请查询应为登记申请人提供精确和模糊查询,能够查看登记基本信息、审核进度、审核 意见及电子证书等。6. 1.2 登记审核公共数据授权运营平台对申请登记的公共数据进行审查,确认公共数据主体资质、公共数据内容、 获取方式以及数量等信息,对符合条件的申请颁发登记证书。登记审核功能要求如下:a) 登记审核分为预审和终审,预审是对登记申请进行形式审核,主要是对申请资料的完整性与准 确性等进行审核;b) 终审是对登记申请进行实质审核,根据数据特征值对数据是否已经
16、登记进行对比,避免数据重 复登记;c) 变更登记审核应对申请内容的完整性、主体资质等进行审核。注销登记审核应对申请内容的完 整性、合理性等进行审核;4T/CECC 024-2023d) 登记审核后应将审核结果通知申请主体,审核通过的数据将颁发统一的登记证书,并在平台进 行展示;审核未通过的,应退回申请人并说明原因, 申请主体在修改、补充后可再次提交申请;e) 登记审核功能应对审核信息进行记录,通过区块链技术对审核信息进行存证,保证审核过程不 可篡改性及可追溯性。6. 1.3 证书管理公共数据授权运营平台对通过审核的公共数据颁发统一证书,作为全生命周期的唯一凭证,进行全 程溯源和管理。登记证书的
17、主要内容见附录A 。证书管理功能要求如下:a) 证书颁发:运营平台对符合要求并通过登记审核的数据颁发数据登记证书; b) 证书存储1) 证书颁发应采用区块链技术记录证书要件信息与证书的 Hash 值,以确保证书的不可篡改性;2) 证书变更的同时应采用区块链技术记录证书更新后的要件信息与证书的 Hash 值, 以确保变 更后证书的不可篡改性,证书历史应具有可追溯功能;3) 平台应具备证书归档功能,对处于撤销状态的证书应提供归档备案操作,证书的归档备案操 作应采用区块链技术做信息存证;4) 已经归档备案的证书历史数据应提供相应的查询服务。c) 证书变更 :根据证书服务功能的业务要求,实现变更“证书
18、状态 ”“证书失效时间 ”“证书电子 签章信息 ”“证书区块链信息 ”等证书要件信息;对于超出有效期的证书,如已经超出有效期一定时长 (如一年),则平台自动将证书变更为“超出有效期状态 ”;d) 证书的互联互通互认:不同机构的公共数据授权运营平台之间应当实现互联互通,确保在任一平 台的登记证书唯一,并且被其他平台接受。6. 1.4 证书服务公共数据授权运营平台对颁发的证书应提供证书查询、证书验证、证书更正等服务。证书服务功能 要求如下:a) 证书查询服务应提供基于公共数据资源标识、数据登记证书编号、持有方、数据名称等事项及 其组合的精确和模糊查询功能;b) 证书验证服务应按照用户提出的验证需求
19、,根据其提交信息对登记证书的真实性、有效性进行 验证,返回验证结果和证书状态;c) 证书更正服务应根据用户提出的更正申请,对由于公共数据授权运营平台和服务等原因导致的 电子证书的错漏进行核实和更正,并重新出具证书。6.2 数据流通6.2. 1 发布申请公共数据授权运营平台应支持数据持有方将其所登记的数据集、数据产品或数据服务进行发布申请 的功能。发布申请功能要求如下:a) 应支持数据持有方对已获得登记的数据进行发布,填写标签、价格、限制条件等信息的功能; b) 应支持对发布申请进行修改与编辑的功能;c) 应支持对数据价格、计费方式、更新频度等进行设置和管理的功能;5T/CECC 024-202
20、3d) 应支持数据服务的发布:1) 应支持对服务器配置文件、环境变量、依赖项等配置管理的功能;2) 应支持提供数据 API 接口的功能;3) 应支持为公共数据发布提供验证服务的功能。e) 应支持数据产品的发布:1) 应支持通过多种协议对产品进行发布的功能;2) 应支持使用图表等方式进行流通数据可视化展示的功能;3) 应支持对产品信息进行实时编辑修改的功能。6.2.2 发布审核公共数据授权运营平台对发布申请进行形式审查,确保发布的内容完整与合规。公共数据授权运营平台应具有审核通过功能,对符合要求的发布申请予以通过,通过后的数据正式 发布,并形成数据目录,供数据需求方进行浏览与查询。6.2.3 数
21、据目录公共数据授权运营平台应提供数据目录分级浏览与查询功能,数据需求方与增值服务方按照对应级 别浏览或查询对应级别的数据目录。数据目录功能要求如下:a) 应支持按区域、行业、时间等维度进行浏览与查询;b) 应支持模糊查询与精准查询;c) 应支持对数据集、数据产品与数据服务内容介绍进行浏览;d) 应支持对示例数据的下载、数据产品的预览以及数据服务文档的下载。6.2.4 流通申请公共数据授权运营平台应支持数据需求方对希望利用的数据进行申请的功能。流通申请功能要求如 下:a) 应提供流通申请功能:包括申请提交、 申请管理、状态跟踪等;b) 应支持申请方对申请用途、还价、算法等信息的填报;c) 涉及个
22、人隐私数据的申请,应说明是否获得相应人员的同意和二次授权,并通过平台提供的接 口记录该二次授权信息并在区块链平台上进行存证。6.2.5 流通许可公共数据授权运营平台应支持数据持有方对流通申请的管理,包括价格协商、用途审核、分级许可、 算法审核等功能,应明确如下内容:权限范围、访问条件、使用目的、许可期限、数据传输方式(包括 是否采用隐私计算的方式流通、产品申请、服务申请等)。流通许可功能要求如下:a)价格协商功能,支持数据持有方与数据需求方就价格进行协商;b)用途审核功能:支持数据持有方对申请用途进行审核,针对申请范围、内容与数据应用限制或要 求予以同意或拒绝;c)分级许可功能:分级授权将数据
23、使用方划分为不同的权限级别,并为每个级别分配相应的权限; d)算法审核功能,对数据需求方提交的算法进行审核,确保其与申请用途相一致。6T/CECC 024-20236.2.6 流通计算公共数据授权运营平台应支持数据持有方、产品与服务经营方通过隐私计算等技术方式,支持在“数 据不动、算法移动 ”条件下的分析流通。流通计算功能要求如下:a) 应采用多方安全计算、联邦学习和可信执行环境等隐私计算技术,在不暴露数据内容和计算逻 辑的情况下,利用多方数据进行联合计算和分析,实现原始数据不出域、数据可用不可见的目标;b) 宜采用区块链等技术,对数据流通过程中的日志进行上链存证,防止恶意篡改和行为抵赖,确
24、保数据可被追溯,包括但不限于数据发布、流通申请、流通授权、数据调用等环节;c) 应具有数据流通量的精准监测计算功能,对数据流通过程中各方的数据贡献和消耗进行量化, 为数据流通交易提供可靠的依据。6.2.7 计费结算公共数据授权运营平台宜提供面向交易各方的计费结算功能,计费结算要求如下: a) 应支持订单的在线支付,可调用银行、第三方支付机构的应用接口进行支付; b) 应支持订单的退款,通过原支付接口进行原路退回;c) 应支持支付流水信息保存及核对,支持相关方开具发票;d) 宜支持交易数据产品多种计费方式,包括按时间计费、按使用次数等,支持数据产品供方对不 同交易数据产品计费规则的配置,如数据集
25、类产品一次性付费,API 接口类数据产品支持按调用量计费 (后付费)或按套餐计费(预付费);e) 宜支持平台方按一定周期与数据产品供方进行定期结算,如按月进行结算; f) 宜支持对结算单进行申诉、 申诉通过的结算单下期合并结算等差错处理。6.2.8 流通评价公共数据授权运营平台宜支持平台交易各方对数据集、数据产品与数据服务的质量评价以及过程评 价。流通评价功能要求如下:a) 应具有数据质量评价功能,数据质量评价指标包括但不限于以下五个方面:1) 规范性:数据符合数据标准、数据模型、业务规则、元数据或参考数据的程度; 2) 完整性:按照数据规则要求,数据元素被赋予数值的程度;3) 准确性:数据准
26、确表示其所描述的真实实体(实际对象)真实值的程度;4) 一致性:数据与其他特定上下文中使用的数据无矛盾的程度;5) 时效性:数据在时间变化中的正确程度。b) 应具有数据应用效能评价功能,包括但不限于应用效果评价、应用风险评价等;c) 应具有数据流通过程评价功能,包括但不限于用户满意度评价、数据流通合规性评价等; d) 宜具有评价结果展示功能,包括但不限于评分展示、排名展示、统计图表展示等。6.3 授权管理6.3. 1 授权申请公共数据授权运营平台应支持增值服务方对数据进行加工与经营的申请,申请材料应包括但不限于: a) 公共数据加工/经营申请表,申请表需要包含数据范围、目的、运营方式、运营期限
27、等相关信息;7T/CECC 024-2023b) 申请单位资质与信用证明;c) 申请单位数据加工/经营业绩案例;d) 申请单位数据安全制度、数据安全能力证明及承诺书;e) 其他材料。6.3.2 授权审核公共数据授权运营平台应组建专业的审核团队对申请单位进行资质和能力审核,通过审核的增值服 务方将于平台公示。数据持有方或运营主体对符合管理制度的授权申请进行同意,对不符合的授权申请进行否决并说明 原因。授权审核通过后,运营主体应向申请单位发出正式的授权通知,授权通知文件包括授权的范围、期 限、条件和限制等信息。6.3.3 授权续期授权运营协议的有效期应为固定年限,授权运营单位在期限届满前,可以再次
28、申请并经审核通过后, 续签授权运营协议。6.3.4 授权评估运营主体通过运营数据对获得授权的单位进行监管与评估,包括运营效率、运营效果、安全合规等 方面。6.3.5 授权终止运营主体应对运营单位进行监管。根据考核结果,增值服务方主动申请以及数据安全合规事件等触 发授权终止条件,经评估审核后暂停或终止运营,并在平台上进行公示。6.4 数据运营6.4. 1 数据资源管理6.4.1.1 数据源管理数据源管理应具有资源配置、状态监控和变更管理功能。数据源管理功能要求如下: a) 应具有对数据源对接的执行状态、执行结果和异常信息的日志记录功能;b) 应具有对数据源信息发生变更状态的监测功能;c) 应具有
29、对元数据管理与配置功能。6.4.1.2 数据目录管理8T/CECC 024-2023公共数据授权运营平台应支持数据目录管理功能,数据目录管理应支持目录设置、关联、查询与监 测功能。数据目录管理功能要求如下:a) 应具有数据编目和层级设置功能,支持记录变更过程;b) 应具有数据编目与元数据的关联功能;c) 应具有基于统一 目录的数据查询与浏览功能;d) 应具有基于数据分级的目录公开与非公开管理功能。6.4.2 数据需求方管理公共数据授权运营平台应按照管理制度与相关标准规范,支持对数据需求方进行分级认定与管理功 能。数据需求方管理功能要求如下:a) 应支持数据需求方提交申请材料, 申请公共数据利用
30、的级别;b) 应支持平台通过专家评审后对数据需求方的级别认定与管理;c) 应支持平台对数据需求方的级别变更与注销。6.4.3 数据增值服务方管理6.4.3.1 数据增值服务方资质管理数据增值服务方资质管理功能要求如下:a) 应具有数据增值服务方身份认证、资质申请与分级授权等功能;b) 应具有数据增值服务方信息变更、账户冻结、账户解冻、账户注销等账户基本功能; c) 应具有数据增值服务方黑名单配置与管理功能;d) 应具有数据增值服务方在线协议签署功能。6.4.3.2 数据增值服务方操作管理数据增值服务方操作管理功能要求如下:a) 应具有合同履约情况的监测与管理功能;b) 应具有数据溯源分析与管理
31、功能;c) 应具有数据增值服务方运行状态监测功能;d) 应具有对数据增值方经营效率与效果评价功能;e) 应具有对数据增值方经营状况统计排名功能。6.4.4 运营监管运营监管应支持平台运营方或监管方进行监测、评估与审计。运营监管要求如下: a) 应支持对用户行为、流程、权限的统计分析与异常发现;b) 应支持数据分级与数据需求方和增值服务方分级授权过程与执行情况的审计; c) 应支持对投诉建议及处理意见与改进措施的监测与评价;d) 应支持对平台日志的查阅与分析;e) 应支持对涉及二次授权事项的协议与日志审计;f) 应提供对接监管方技术平台的访问接口,支持全过程监管。9T/CECC 024-2023
32、6.4.5 经营分析经营分析应支持平台运营方的经营分析功能需求。数据经营分析具体要求如下:a) 应提供平台按照区域、主体或行业等维度提供有关数量、行业、价格与质量内容的统计分析; b) 应提供数据持有方、数据增值服务方、数据需求方对数据分析利用的统计分析;c) 应提供对数据申请、登记审核、上架发布、流通交易等不同环节的统计分析; d) 应提供质量评价、投诉建议、诉讼仲裁等维度的统计分析。6.5 区块链系统公共数据授权运营平台的区块链系统应优先采用自主可控的技术平台和国密算法,并符合国家与行 业的相关要求,支持数据分级、登记申请、登记审核、证书管理、数据发布、流通交易等功能的可信存 证与溯源。区
33、块链系统要求如下:a) 区块链系统应符合 GB/T 42570-2023、GB/T 42571-2023 和 GB/T 42752-2023 的要求; b) 应支持跨链操作与服务,不同区块链系统之间可以进行安全与高效地联通;c) 应支持数据登记证书上链存证,为已通过数据登记的数据持有方生成基于区块链的数据登记证 书,上链内容包括登记主体、登记时间、登记编号、字段摘要、Hash 值等信息;d) 应支持授权审批上链存证,对授权审批全流程进行存证和验证,上链内容包括授权审批类型、 发起时间、发起人、审批人、审批意见等关键授权审批信息;e) 应支持用量上链存证,对数据流通过程的计量信息进行存证和验证,
34、上链内容包括项目名称、 资源名称、使用时间、具体用量等信息;f) 应支持评价上链存证,记录用户对数据、产品和服务的评价进行信息上链,上链内容包括评价 对象唯一标识、名称、主体、评价内容、处理结果等信息;g) 应支持操作日志上链存证,提供用户操作日志存证接口,支持对平台全过程用户操作日志进行 存证和验证;h) 应支持系统日志上链存证,提供系统日志存证接口,支持对平台全过程系统日志进行存证和验 证。6.6 标识解析系统公共数据授权运营平台宜使用标识解析来支持实现数据要素关联和可追溯,通过为不同的数据集、 数据产品与数据服务等分配唯一标识,建立标识与数据之间的关联,通过标识的解析可以定位数据的来 源
35、和流转路径,保证数据可追溯。标识解析系统功能要求如下:a) 应支持 Handle、OID、VAA、MA 等标识体系;b) 应支持对数据主体颁发唯一标识;c) 应支持数据登记环节中为不同数据集分配唯一的标识编码,用于数据的标识解析;d) 应支持数据产品发布环节中为不同数据产品分配唯一的标识编码,用于产品的标识解析;e) 应支持数据服务发布环节为不同数据服务分配唯一的标识编码,支持通过标识解析获取服务的 地址及协议信息,实现服务的调用。6.7 隐私计算系统10T/CECC 024-2023公共数据授权运营平台宜采用隐私计算技术,支持公共数据授权运营的多个环节,如数据共享与发 布、流通授权和验证、数
36、据加工和分析、产品和服务发布、运营和监督管理等过程,通过技术手段实现 “数据不动、算法移动 ”,实现数据隐私保护和数据应用的平衡。隐私计算系统要求如下:a) 隐私计算系统应提供包括可信执行环境、多方安全计算、联邦学习以及其他技术在内的一种或 多种技术;b) 隐私计算系统应支持跨平台的互信与调用;c) 隐私计算系统应提供节点接入、数据应用等功能,支持数据的可信分析与计算; d) 隐私计算系统应建立完备的日志分析与审计功能,并支持上链存证。7 性能要求7. 1 数据接入数据接入提供多种不同数据的接入方式,具备高效处理能力和支持集群部署,性能随集群节点扩充 性能近线性提升。7.2 数据平台数据平台应
37、采用高可用架构,支持处理能力的扩展,提高服务的可靠性与连续性。数据平台性能要 求如下:a) 系统易于扩展,支持海量数据存储,支持业务集群和存储集群,满足高可靠性要求; b) 系统具备充分的数据冗余、数据容错能力;c) 系统运行支持高可靠性,单台设备的故障不影响业务进行,实现故障恢复不中断业务服务。7.3 数据服务数据服务应满足用户的使用需求,提供可靠的用户体验。数据服务性能指标要求如下: a) 响应时间:应满足业务应用的访问需求;b) 吞吐量:应能够满足业务应用的访问数量;c) 可伸缩性:在面对增加或减少的负载时,能够有效地扩展和适应;d) 可靠性:应保持服务的稳定和可信,并能够提供一致的结果
38、;e) 可用性:应能够提供持续、稳定的服务,不因服务不可用而导致中断。8 运维要求公共数据授权运营平台应符合GB/T 28827. 1-2022与GB/T 28827.6-2019的相关要求。9 安全要求9. 1 等级保护要求公共数据授权运营平台应符合GB/T 25070-2019第三级中有关系统安全、网络安全、数据安全、个 人隐私等方面的要求,宜符合GB/T39786-2021的第三级要求。11T/CECC 024-20239.2 安全合规要求公共数据授权运营平台应当符合国家相关法律法规,在合法、合规的基础上开展运营与服务工作, 应建立全流程合规、个人隐私数据二次授权访问协议、接口调用日志上
39、链存证等内容在内的合规功能, 保证系统数据、 日志数据的可靠备份。安全合规要求如下:a) 硬件合规:1) 应采购和使用合规认证的硬件设备,确保其符合相关的法律法规和标准要求,合规认证可以 包括国家或国际认可的认证机构的标志;2) 应定期审查供应商的硬件合规性,确保所采购的硬件设备在整个生命周期内保持合规;3) 应确保硬件设备的安全性,包括物理安全和防护措施, 以防止设备被物理攻击或恶意篡改。 b) 软件合规:1) 应使用正版和合法的软件,避免使用盗版软件或侵权软件。确保软件的使用和分发符合相关 的软件许可协议;2) 应定期进行软件漏洞扫描和安全评估,及时修补和更新存在的漏洞,以减少潜在的安全风
40、险;3) 应配置合适的软件安全策略,包括访问控制、权限管理和应用程序防火墙,以保护软件免受 恶意攻击。c) 组织人员合规要求:1) 应建立合规性培训计划,确保组织内的人员了解和遵守相关的法律法规、政策和标准。培训 内容可以包括数据保护法规、信息安全政策等;2) 应设定明确的安全角色和责任,确保每个人员在信息安全方面都有明确的职责和义务;应实 施访问控制和权限管理,限制不同人员的访问权限,确保只有经过授权的人员才能访问敏感信息和系统 资源;3) 应建立合规性审计机制,定期审查组织人员的行为和操作,确保其合规性和合法性;4) 应通过实施上述合规安全的策略,平台能够确保硬件、软件和人员在等级保护三级
41、框架下保 持合规性,提升整体平台的安全性和可靠性。d) 数据合规要求:1) 应建立符合国家、行业和区域相关法律、法规与制度的完善数据合规体系,确保公共数据在 授权运营过程中的合法、安全与可控;2) 应建立相应的数据合规管理体系,制订数据合规的管理制度与工作方案,明确各级人员的职 责;3) 应建立公共数据覆盖全生命周期的数据合规技术体系,操作日志信息和系统日志信息进行上 链存证;4) 应与公共数据处理技术服务单位与相关人员签订相关协议,确保技术服务过程中的数据安全 与合规。10 互联互通要求10. 1 协议互联支持采用基于数字对象架构的数联网等协议化方式进行平台之间的配置式组网互联,支持平台间数
42、 据传输和信息交换,实现互操作性和互联互通,提高互联互通能力和效率。10.2 接口互通12T/CECC 024-2023公共数据授权运营平台应支持接口互通,便于支持平台之间的规模化服务。接口互通要求如下:a) 系统对外应当提供基于 RESTful 等方式的接口,包括但不限于支持申请审核、 目录查询、业务 集成、权限同步等功能;b) 定义标准的接口规范与接口文档,包含接口地址、请求方法、请求参数、返回格式等,确保不同 系统之间的接口调用兼容一致。10.3 单点登录公共数据授权运营平台应当提供单点登录功能,便于不同平台之间的用户可以一次登录认证、跨平 台按权限访问。10.4 扩展集成10.4. 1
43、 二次授权集成公共数据授权运营平台应支持面向二次授权场景的扩展集成功能,通过提供二次授权业务接口,由 数据需求方调用该接口嵌入到其业务功能中,在触发二次授权的条件时,由涉及到的个人通过该接口提 供明示的二次授权信息,并将该信息与日志上链存证。10.4.2 其他系统集成公共数据授权运营平台应支持与区域法人库、统一身份认证平台、实名制认证平台等对接获取并验 证相关信息。13T/CECC 024-2023附录 A(规范性)公共数据登记证书主要内容公共数据登记证书应该包括的主要内容见表 A.1,根据管理与业务需要可以增加。表 A.1:公共数据等级证书主要等级内容序号要件项名称描述1统一标识由标识系统提
44、供2颁发机构记录当前证书颁发的机构3首次颁发时间记录首次颁发证书的时间4变更时间记录变更登记的时间5证书有效期记录证书有效期,格式为截止时间6数据持有方申请机构的法定名称7数据来源记录数据来源信息8数据名称记录数据名称9元数据描述记录数据登记的元数据描述信息10数据特征对数据集可以唯一标定的特征值,由算法生成11数据量记录数据集的精准数据量12数据覆盖时间记录数据集中数据的覆盖时间13区块链信息记录数据集登记的区块链信息14电子签章记录当前证书的电子签章信息14T/CECC 024-2023参 考 文 献1 浙江省公共数据条例2 浙江省公共数据授权运营管理办法(试行)3 北京市公共数据管理办法4 上海市数据条例5 广东省公共数据管理办法15