《一碼通應(yīng)用規(guī)范第2部分管理要求》杭州市地方標(biāo)準(zhǔn)編制

《一碼通應(yīng)用規(guī)范第2部分：管理要求》杭州市地方標(biāo)準(zhǔn)編制說明（送審稿）1項目背景和意義2020年3月31日，習(xí)近平總書記在杭州城市大腦運營指揮中心調(diào)研時指出，讓城市更聰明一些、更智慧一些，是推動城市治理體系和治理能力現(xiàn)代化的必由之路，前景廣闊。總書記明確提出，希望杭州在建設(shè)城市大腦方面繼續(xù)探索創(chuàng)新，進(jìn)一步挖掘城市發(fā)展?jié)摿Γ涌旖ㄔO(shè)智慧城市，為全國創(chuàng)造更多可推廣的經(jīng)驗。11月17日國務(wù)院常務(wù)會議通過“十四五”推進(jìn)國家政務(wù)信息化規(guī)劃，加快建設(shè)數(shù)字政府、提升政務(wù)服務(wù)水平。會議指出，要構(gòu)建統(tǒng)一的國家電子政務(wù)網(wǎng)絡(luò)體系，推動地方、部門各類政務(wù)專網(wǎng)向統(tǒng)一電子政務(wù)網(wǎng)絡(luò)整合，打破信息孤島，實現(xiàn)應(yīng)聯(lián)盡聯(lián)、信息共享。這為“一碼通”服務(wù)的標(biāo)準(zhǔn)化提供了前所未有的政策支持。一碼通，指利用一張“二維碼”打通政務(wù)辦事、生活辦事、購物消費等場景，實現(xiàn)數(shù)據(jù)共享，方便群眾掌上辦事。目前，浙江省杭州市余杭區(qū)已經(jīng)率先在全省開展“一碼通”服務(wù)試點，牽頭協(xié)調(diào)10個部門共同為余杭市民實現(xiàn)出行、辦事、入園、入館、就醫(yī)、創(chuàng)業(yè)、健身、入學(xué)、信訪等九個領(lǐng)域的“一碼通行”，結(jié)合疫情防控核驗環(huán)節(jié)增多現(xiàn)象，整合國家工信部行程碼、衛(wèi)健局健康碼以及疫苗接種數(shù)據(jù)，實現(xiàn)檢疫通行“一碼核驗”，構(gòu)建“一碼”“一中心”“多領(lǐng)域”的多跨協(xié)同應(yīng)用場景。余杭區(qū)數(shù)據(jù)資源管理局將牢記總書記殷切囑托，將圍繞《杭州市數(shù)字政府建設(shè)“十四五”規(guī)劃》，重點實施好“一碼通”服務(wù)標(biāo)準(zhǔn)化試點工作，為杭州打造“全國數(shù)字治理第一城”做出表率，為全省推行“碼”上辦事提供技術(shù)經(jīng)驗、標(biāo)準(zhǔn)支持，并期望在全省乃至全國得到快速復(fù)制推廣，切實發(fā)揮數(shù)據(jù)優(yōu)勢，提升居民辦事效率，提高居民對掌上辦事服務(wù)的參與度和滿意度。2項目來源由余杭區(qū)數(shù)據(jù)資源管理局提出向杭州市市場監(jiān)督管理局提出立項申請，項目名稱：《XXXX》。3標(biāo)準(zhǔn)制定工作概況3.1標(biāo)準(zhǔn)制定相關(guān)單位及人員3.1.1本標(biāo)準(zhǔn)主要起草單位：杭州市余杭區(qū)數(shù)據(jù)資源管理局。3.1.2本標(biāo)準(zhǔn)參與起草單位：杭州余杭大數(shù)據(jù)經(jīng)營有限公司。3.1.3本標(biāo)準(zhǔn)起草人：待編輯3.2主要工作過程3.2.1前期準(zhǔn)備工作。待編輯3.2.2標(biāo)準(zhǔn)草案研制待編輯3.2.3征求意見（根據(jù)標(biāo)準(zhǔn)版次調(diào)整）待編輯3.2.4專家評審3.2.5標(biāo)準(zhǔn)報批4標(biāo)準(zhǔn)編制原則、主要內(nèi)容及確定依據(jù)4.1編制原則本標(biāo)準(zhǔn)嚴(yán)格按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定進(jìn)行編寫和表述，主要參考了GB/T32905《信息安全技術(shù)SM3密碼雜湊算法》、GB/T32918（所有部分）《信息安全技術(shù)SM2橢圓曲線公鑰密碼算法》、GB/T33993《商品二維碼》、GA/T1721《居民身份網(wǎng)絡(luò)認(rèn)證通用術(shù)語》、GA/T1722《居民身份網(wǎng)絡(luò)認(rèn)證整體技術(shù)框架》、GA/T1723.2《居民身份網(wǎng)絡(luò)認(rèn)證認(rèn)證服務(wù)第2部分：服務(wù)接口要求》、GA/T2000.156《公安信息代碼第156部分：常用證件代碼》、DB33/T2242—2020《傳染病防控人員健康碼管理規(guī)范》等單個二維碼及相關(guān)安全的標(biāo)準(zhǔn)和余杭區(qū)“一碼通”試點項目的經(jīng)驗，結(jié)合現(xiàn)有一碼通應(yīng)用系統(tǒng)運行情況，具有充分的理論和實踐依據(jù)，注重標(biāo)準(zhǔn)的可操作性。4.2主要內(nèi)容確定依據(jù)4.2.1范圍本文件規(guī)定了一碼通應(yīng)用規(guī)范的碼數(shù)據(jù)結(jié)構(gòu)管理、數(shù)據(jù)元屬性管理、數(shù)據(jù)格式管理和信息安全管理要求。4.2.2碼數(shù)據(jù)結(jié)構(gòu)管理主要規(guī)定了二維碼數(shù)據(jù)信息和數(shù)據(jù)結(jié)構(gòu)。1）二維碼數(shù)據(jù)信息包括：用戶的身份信息：姓名、手機(jī)號碼、證件類型、證件號碼；用戶的戶籍信息：用戶在杭州地區(qū)居住信息；用戶的防疫信息：用戶的國家健康碼狀態(tài)信息、用戶的新冠疫苗接種信息狀態(tài)、用戶在近期時間內(nèi)是否途徑或停留國內(nèi)存在疫情風(fēng)險的地區(qū)的相關(guān)信息、用戶的新冠疫苗接種信息狀態(tài)；用戶的類別信息：用戶對應(yīng)人才引進(jìn)政策對應(yīng)的人才級別信息、用戶的是否為部隊退伍軍人的信息。2）二維碼數(shù)據(jù)結(jié)構(gòu)見圖1。一碼通數(shù)據(jù)健康碼信息：用戶的國家健康碼狀態(tài)信息新冠疫苗接種信息：用戶的新冠疫苗接種信息狀態(tài)信息一碼通數(shù)據(jù)健康碼信息：用戶的國家健康碼狀態(tài)信息新冠疫苗接種信息：用戶的新冠疫苗接種信息狀態(tài)信息行程風(fēng)險信息：用戶在近期時間內(nèi)是否途徑或停留國內(nèi)存在疫情風(fēng)險的地區(qū)的相關(guān)信息人才等級信息：用戶對應(yīng)人才引進(jìn)政策對應(yīng)的人才級別信息。退役軍人信息：用戶的是否為部隊退伍軍人的信息。用戶基本身份信息：姓名、手機(jī)號碼、證件類型、證件號碼戶籍信息：用戶在杭州地區(qū)居住信息。身份信息防疫信息類別信息戶籍信息4.2.3數(shù)據(jù)元屬性管理二維碼數(shù)據(jù)元由數(shù)據(jù)標(biāo)識符、中文名稱、數(shù)據(jù)類型、數(shù)據(jù)值域、數(shù)據(jù)定義和數(shù)據(jù)約束等屬性組成，見表１。碼數(shù)據(jù)元屬性屬性名稱描述數(shù)據(jù)標(biāo)識符各數(shù)據(jù)元的唯一標(biāo)識中文名稱數(shù)據(jù)元的中文名稱，應(yīng)為唯一名稱數(shù)據(jù)類型數(shù)據(jù)元的特征和基本要素數(shù)據(jù)值域數(shù)據(jù)元取值范圍數(shù)據(jù)定義數(shù)據(jù)元的含義數(shù)據(jù)約束“必選”或“可選”4.2.4數(shù)據(jù)格式管理主要規(guī)定了用戶身份信息、用戶戶籍信息、用戶防疫信息、用戶類別信息的數(shù)據(jù)格式，見表2~表5。用戶身份信息數(shù)據(jù)格式數(shù)據(jù)元名稱數(shù)據(jù)元屬性數(shù)據(jù)標(biāo)識符中文名稱數(shù)據(jù)類型數(shù)據(jù)值域數(shù)據(jù)定義數(shù)據(jù)約束姓名PD-01姓名string不定長用戶的姓名必選手機(jī)號碼PD-02手機(jī)號碼string不定長用戶的手機(jī)號碼必選證件類型PD-03證件類型tinyintGB/T38961—2020中表A.1的“證件類型”字段用戶的證件類型對應(yīng)的整數(shù)數(shù)值必選證件號碼PD-04證件號碼string不定長用戶的證件號碼應(yīng)符合相應(yīng)證件號碼標(biāo)準(zhǔn)必選用戶戶籍信息數(shù)據(jù)格式數(shù)據(jù)元名稱數(shù)據(jù)元屬性數(shù)據(jù)標(biāo)識符中文名稱數(shù)據(jù)類型數(shù)據(jù)值域數(shù)據(jù)定義數(shù)據(jù)約束戶籍信息PD-10戶籍tinyint用戶居住不同狀況的整數(shù)數(shù)值用戶居住情況必選用戶防疫信息數(shù)據(jù)格式數(shù)據(jù)元名稱數(shù)據(jù)元屬性數(shù)據(jù)標(biāo)識符中文名稱數(shù)據(jù)類型數(shù)據(jù)值域數(shù)據(jù)定義數(shù)據(jù)約束健康碼信息PD-05健康碼狀態(tài)tinyint對應(yīng)不同健康碼狀態(tài)的整數(shù)數(shù)值用戶的健康碼狀態(tài)必選新冠疫苗接種信息PD-06新冠疫苗接種情況tinyint對應(yīng)不同接種進(jìn)度的整數(shù)數(shù)值用戶的新冠疫苗接種情況必選行程風(fēng)險等級信息PD-07行程風(fēng)險等級tinyint對應(yīng)不同風(fēng)險等級的整數(shù)數(shù)值用戶的行程風(fēng)險等級評估必選本表只列出了目前使用場景中需使用的數(shù)據(jù)信息。隨著使用場景的增加，數(shù)據(jù)信息可作相應(yīng)擴(kuò)展。用戶類別信息數(shù)據(jù)格式數(shù)據(jù)元名稱數(shù)據(jù)元屬性數(shù)據(jù)標(biāo)識符中文名稱數(shù)據(jù)類型數(shù)據(jù)值域數(shù)據(jù)定義數(shù)據(jù)約束人才等級信息PD-08人才等級tinyint對應(yīng)不同人才等級的整數(shù)數(shù)值用戶的人才等級信息必選退役軍人信息PD-09退役軍人tinyint用戶是否為退役軍人的布爾值用戶是否為退役軍人必選本表只列出了目前使用場景中需使用的數(shù)據(jù)信息。隨著使用場景的增加，數(shù)據(jù)信息可作相應(yīng)擴(kuò)展。4.2.5信息安全主要對信息安全基本要求、二維碼安全要求、用戶安全要求和證書安全要求做了規(guī)定。1）信息安全要求碼的有效時間應(yīng)做設(shè)置，一般設(shè)置為1min，制碼1min后未產(chǎn)生驗碼請求的，該碼即行無效，再對此碼進(jìn)行驗碼請求時，應(yīng)提示“碼已過期”。碼在應(yīng)用端應(yīng)被妥善保護(hù)，采用符合國家密碼管理要求的算法進(jìn)行加密保存，其使用宜配合用戶的口令確認(rèn)。個人信息服務(wù)和碼服務(wù)應(yīng)動態(tài)監(jiān)控相關(guān)應(yīng)用的請求行為出現(xiàn)異常情況時可在提示后切斷相關(guān)服務(wù)和響應(yīng)。2）二維碼安全二維碼安全應(yīng)滿足以下要求：——應(yīng)能防重放攻擊；——應(yīng)確保賬戶信息不被泄露；——數(shù)據(jù)解析過程中應(yīng)對二維碼中數(shù)據(jù)信息的完整性、真實性、不可抵賴性和時效性進(jìn)行鑒別，對于未通過鑒別等非法二維碼應(yīng)予以阻止；——應(yīng)保證二維碼在各行業(yè)使用時的安全性和獨立性。3）用戶安全應(yīng)驗證用戶身份，可采用但不限于以下方式：——用戶提供驗證信息，如：密碼或口令等；——用戶提供所持設(shè)備的驗證信息，如：動態(tài)驗證碼、令牌等；——對惡意用戶建立黑名單機(jī)制。應(yīng)檢測用戶登錄的客戶端設(shè)備。用戶更換登錄的客戶端設(shè)備時，應(yīng)對用戶身份進(jìn)行確認(rèn)。4）證書安全對證書的安全應(yīng)符合以下要求：——應(yīng)由發(fā)證機(jī)構(gòu)通過私鑰簽名，保證證書的合法性和可驗證性；——應(yīng)只包含業(yè)務(wù)必要的少量數(shù)據(jù)；——用戶應(yīng)經(jīng)過實名認(rèn)證才可以獲得證書；——應(yīng)依據(jù)GB/T32918對證書進(jìn)行簽名；——應(yīng)保證對證書進(jìn)行加解密和簽名的私鑰的安全。5標(biāo)準(zhǔn)創(chuàng)新性體現(xiàn)本次提出的標(biāo)準(zhǔn)立項，在以下幾個方面具有創(chuàng)新性：1）“多碼合一”隨著數(shù)字化改革的不斷深入，人民群眾擁有的數(shù)字碼越來越多，數(shù)字化辦事提高效率的同時也帶來了APP易混淆、切換時間成本高、社會資源浪費等問題。本標(biāo)準(zhǔn)，通過統(tǒng)一后臺接入技術(shù)，整合多個碼的數(shù)據(jù)資源，找到相對安全可靠的統(tǒng)一碼，實現(xiàn)人民群眾所需要“多碼合一”。2）完善標(biāo)準(zhǔn)頂層設(shè)計本標(biāo)準(zhǔn)與其他兩個部分的文件共同組成的《一碼通應(yīng)用規(guī)范》，將從統(tǒng)一碼的相關(guān)通用技術(shù)、管理服務(wù)和推廣實施規(guī)范三個方面進(jìn)行設(shè)計，解決不同的碼制組成和數(shù)據(jù)格式不一致、數(shù)據(jù)不共享和互認(rèn)機(jī)制缺乏等問題，完善一碼通社會管理標(biāo)準(zhǔn)體系框架。3）融合管理要求本標(biāo)準(zhǔn)整合并完善碼數(shù)據(jù)結(jié)構(gòu)管理、數(shù)據(jù)元屬性管理、數(shù)據(jù)格式管理和信息安全管理共四項管理類要求，形成管理規(guī)范，供給了標(biāo)準(zhǔn)體系框架管理類的標(biāo)準(zhǔn)。4）全流程信息安全保障隨著信息化時代不斷發(fā)展，信息安全問題也層出不窮，現(xiàn)如今信息的安全問題也越來越受到人們的關(guān)注。一碼通應(yīng)用系統(tǒng)對此非常注重，在二維碼、用戶和證書方面對安全要求做了明確規(guī)定，全流程涵蓋用戶、終端、平臺這些信息載體，充分保障信息安全。6與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標(biāo)準(zhǔn)的協(xié)調(diào)性6.1目前國內(nèi)主要執(zhí)行的相關(guān)標(biāo)準(zhǔn)有無。6.1標(biāo)準(zhǔn)與有關(guān)強(qiáng)制性標(biāo)準(zhǔn)相沖突情況。本標(biāo)準(zhǔn)的制定符合國家有關(guān)的現(xiàn)行法律、法規(guī)和強(qiáng)制性標(biāo)準(zhǔn)的要求，不存在與強(qiáng)制性標(biāo)準(zhǔn)相沖突的情況。6.2目前省內(nèi)主要執(zhí)行的標(biāo)準(zhǔn)有：DB33/T2242—2020傳染病防控人員健康碼管理規(guī)范6.3本標(biāo)準(zhǔn)引用了以下文件：GB/T2260中華人民共和國行政區(qū)劃代碼GB/T2261.1個人基本信息分類與代碼第１部分：人的性別代碼GB/T2659世界各國和地區(qū)名稱代碼GB/T18391.1信息技術(shù)元數(shù)據(jù)注冊系統(tǒng)(MDR)第1部分：框架GB/T32918（所有部分）信息安全技術(shù)SM2橢圓曲線公鑰密碼算法GB/T38961—2020個人健康信息碼參考模型7社會效益標(biāo)準(zhǔn)的發(fā)布實施，將有效促進(jìn)各類個人信息相關(guān)碼的集成，從頂層自下變革，打通基礎(chǔ)技術(shù)要求、應(yīng)用數(shù)據(jù)交換、信息安全、應(yīng)用服務(wù)規(guī)范等技術(shù)壁壘，歸集各場景數(shù)據(jù)、讓數(shù)據(jù)真正用起來，形成市民與數(shù)據(jù)、數(shù)據(jù)與政府、政府與市民的良性循環(huán)。利用信息化和標(biāo)準(zhǔn)化融合的方式進(jìn)行規(guī)范治理，讓技術(shù)服務(wù)于民，將極大改善市民出行、辦事的便利度和體驗感，展現(xiàn)城市數(shù)字化管理、政府便民服務(wù)的能力，加速推進(jìn)我省共同富裕示范區(qū)建設(shè)。8重大分歧意見