DB3209-T 1319-2025 公共数据平台 数据共享管理规范

DB3209盐城市市场监督管理局发布IDB3209/T1319-2025 2规范性引用文件 3术语和定义 4数据共享流程 14.1共享流程 4.2数据归集与发布 24.3数据申请与审核 24.4数据提供与获取 4.5数据续约与下线 5安全管理要求 5.1基本要求 35.2数据归集与发布 5.3数据申请与审核 45.4数据提供与获取 45.5数据续约与下线 46安全管理责任 46.1数据使用方 6.2数据提供方 6.3公共数据运行管理机构 附录A（资料性）库表类公共数据申请备案表 6附录B（资料性）公共数据使用需求清单 8IIDB3209/T1319-2025本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由盐城市数据局提出、归口并组织实施。本文件起草单位：盐城市大数据管理中心。本文件主要起草人：袁永军、袁爱娣、戴祥、施晓波、殷云潇、陈德祥、姚德亮、齐文辉、田永艳、薛步高、韦应虎、张晓月、陈俊龙。DB3209/T1319-20251公共数据平台数据共享管理规范本文件界定了公共数据平台数据共享管理的术语和定义，规定了数据共享流程、安全管理要求及安全管理责任。本文件适用于指导盐城市市县两级公共数据平台数据共享管理工作。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T22239信息安全技术网络安全等级保护基本要求GB/T39477信息安全技术政务信息共享数据安全技术要求GB/T43697数据安全技术数据分类分级规则3术语和定义下列术语和定义适用于本文件。3.1公共管理和服务机构publicadministrationandserviceinstitution本市各级行政机关、法律法规授权的具有管理公共事务职能的组织、公共企事业单位。3.2公共数据运行管理机构publicdataoperationandmanagementinstitution具体负责公共数据归口管理工作，建设和管理本级公共数据平台。3.3公共数据publicdata本市各级行政机关、法律法规授权的具有管理公共事务职能的组织和教育、医疗、供水、供电、供气、供热、交通运输、文化旅游、体育、环境保护等公共企事业单位（以下统称公共管理和服务机构）依法履行职责或者提供公共服务过程中收集、产生的数据，以及中央国家机关派驻本市的机关或者派出机构根据本市应用需求提供的数据。3.4公共数据共享publicdatasharing本市各级公共管理和服务机构因履行职责，需要无偿使用其他公共管理和服务机构收集或产生的公共数据，或者为其他公共管理和服务机构提供公共数据的行为。3.5公共数据平台publicdatasharingandexchangeplatform依托市电子政务外网，开展非涉密公共数据共享交换服务的平台，满足各级公共管理和服务机构跨地域、跨部门、跨层级的数据共享需求，供公共管理和服务机构发布资源，检索、申请、订阅其他机构资源。4数据共享流程4.1共享流程DB3209/T1319-20252数据共享流程见图1。4.2数据归集与发布4.2.1数据归集数据归集流程如下：a)目录梳理：公共管理和服务机构编制本机构数据目录，并在数据目录系统中录入、注册及发布；公共数据运行管理机构对数据目录进行审核，市县公共数据平台实现数据目录级联；b)资源归集：各级公共管理和服务机构根据数据资源类型，采取相应的交换方式，实现各类资源向公共数据平台的归集，其中，库表类数据资源将库表从机构前置节点归集到公共数据平台中心前置库；文件类数据资源将文件从机构前置节点归集到公共数据平台中心前置节点；服务接口类数据资源将服务接口代理注册到公共数据平台服务网关。4.2.2数据发布数据发布流程如下：a)资源挂接：数据提供方应通过数据目录系统将数据资源挂接到本机构数据目录下，建立数据目录与数据资源的关联；b)数据发布：数据提供方完成库表数据推送、文件上传、服务接口接入，并在公共数据平台4.3数据使用申请与审核4.3.1申请数据使用方对所需的公共数据提出申请，在公共数据平台填写申请信息。针对库表类、文件类数据资源，数据使用方还需线下填写申请备案（申请表样式见表A.1和表A.2），约定数据使用要求和管理责任。4.3.2审核DB3209/T1319-20253数据审核流程如下：a)无条件共享数据审核：公共数据运行管理机构应及时受理并直接开通其访问权限；b)有条件共享数据审核：公共数据运行管理机构受理后将申请转至数据提供方审核，经数据提供方审核同意共享的，应当开通接口访问权限。4.4数据提供与获取4.4.1提供公共数据运行管理机构和数据提供方做好数据提供准备。数据使用方提出申请后，经数据提供方确认后，由公共数据运行管理机构将数据批量下发至数据使用方前置节点。其中，库表类数据、文件类数据提供时，数据提供方和数据使用方应先配置服务器地址、数据库类型、数据库版本等信息。4.4.2获取为确保数据的规范获取，流程如下：a)获取流程：数据使用方获取所需的公共数据，其中，服务接口类数据资源需获取请求者身份标识、服务编码和授权码等授权信息后，开始接口对接联调；b)数据对账：数据提供方、数据使用方和公共数据运行管理机构定期按批次对公共数据交换过程中申请和获取的数据进行对账。4.5数据续约与下线4.5.1数据续约公共数据平台对数据使用授权进行临期提醒，提供快速续约功能，方便数据使用方进行数据使用授权续约。4.5.2数据下线数据提供方通过公共数据平台提交下线申请，审核通过后，尚未被申请使用，直接下线；已被申请使用，通知数据使用方期限内调整，到期后自动下线。5安全管理要求5.1基本要求市县两级公共数据平台应满足GB/T22239中网络信息安全等级保护三级要求和GB/T39477中共享数据交换安全要求，在节点管理、授权管理、数据管控等方面发现不符合安全要求的，应及时整改。5.2数据归集与发布5.2.1数据归集数据提供方在共享数据资源归集时应对数据安全进行控制，要求包括但不限于：a)安全接入管控：在接入数据源及相关人员信息时，必须采用加密传输和安全认证机制，确保所有敏感信息在传输过程中不被截获或篡改；角色人员信息应包含最小必要权限，遵循最小权限原则，确保人员仅能访问其职责范围内的数据资源；b)数据处理及注册：数据提供方应确保所整理的公共数据资源符合GB/T43697相关要求，对数据进行适当的脱敏处理，以保护个人隐私和敏感信息；在平台上注册数据资源时，应提供详细的数据元信息，包括数据的来源、格式、更新频率等，以便于数据资源的管理和使用。5.2.2数据发布DB3209/T1319-20254数据提供方在共享数据资源发布时应对数据安全进行控制，要求包括但不限于：a)安全挂接管控：数据资源的注册应通过安全的数据传输通道进行，确保数据在注册过程中的安全性；挂接数据资源目录时，应实施严格的访问控制策略，确保只有授权用户才能访问和操作数据资源；b)目录安全发布：在发布数据资源目录前，应进行安全审查，确保发布的数据不包含敏感信息，且符合数据共享的政策和法规要求；发布的数据资源目录应支持安全的订阅机制，确保数据需求方在订阅过程中的数据安全和身份验证。5.3数据申请与审核5.3.1数据申请数据申请的安全管理要求如下：数据需求方在填写申请信息时，必须提供完整、准确的信息，包括但不限于申请目的、数据使用范围、数据处理方式。5.3.2数据审核公共数据平台需要建立双重审核机制，以确保数据的安全共享。公共数据运行管理机构审核申请材料的完整性，数据提供方审核订阅申请的合理性、合规性。5.4数据提供与获取5.4.1数据提供数据提供的安全管理要求如下：a)加密分级防护：对于敏感数据，数据提供方应采取加密、脱敏等措施以保护个人隐私和数据安全；同时，应根据数据的特性和敏感程度，实施分域分级的存储策略，确保数据安全访问，并严格执行身份授权机制；b)数据质量管理：数据提供方应建立并执行共享数据的质量控制机制，确保数据的完整性、准确性和时效性。5.4.2数据获取数据获取的安全管理要求如下：a)数据使用控制：数据需求方在检索共享数据时，根据敏感性和使用范围应只能看到能够共享的公共数据资源；数据需求方在使用共享数据时，应遵守数据分类分级标准，实施安全保护措施，并在授权范围内合规使用数据；定期进行安全审计，监控数据库操作和系统日志，确保数据汇集和分发过程的透明性和可追溯性；此外，应通过唯一授权码调用服务接口，并严格遵守授权限制的时间、频率和次数；b)接口安全防护：数据使用方在调用服务接口时，应加强安全防护措施，防止数据泄露，并确保未经授权的数据不被第三方使用。5.5数据续约与下线5.5.1数据续约数据使用方在数据续约授权后，应对权限进行复核，确保该数据业务场景、使用范围与初次申请时一致，且未超出原授权范围。5.5.2数据下线数据提供方下线申请审核通过后，数据使用方须在限期内完成调整并安全销毁相关数据（法律法规另有规定的除外），建立数据销毁的审批和记录流程，并设置数据销毁监督角色，监督数据销毁操作过程。6安全管理责任DB3209/T1319-202556.1数据使用方数据使用方的安全管理责任包括但不限于：a)数据需求评估：在新建系统立项时，结合系统建设需求，须向公共数据运行管理机构提交数据使用需求清单（申请表样式见附录B.1），并根据评估情况调整数据使用需求，优化应用场景；b)需求明细申报：在申请数据共享时，应基于具体的业务场景，向数据提供方或公共数据运行管理机构提出详细的数据使用需求，这包括但不限于数据的使用部门、责任处室、联系人、业务系统名称、期限、更新频率；c)数据用途限定：公共管理和服务机构通过公共数据平台共享获得的数据，仅限用于本机构履行法定职责、提供公共服务需要，不得以任何形式提供给第三方，也不得用于其他目的；d)定期数据清理：根据共享数据的保存期限，应定期进行数据销毁工作（相关法律法规有明确要求的除外），确保过期数据得到及时、安全地处理，防止数据泄漏风险；e)数据分级保护：根据获取到的共享数据的安全级别，采取相应等级的安全防护措施，这包括数据加密、访问控制、网络安全等，以确保数据在使用过程中的安全性；f)操作全程留痕：数据使用方应完整记录数据使用过程中的所有操作日志，这将有助于在出现安全事件时，快速定位问题源头，采取相应措施；g)责任到人管理：明确指定数据使用的第一责任人，该责任人应具备相应的数据安全知识和管理能力，负责监督和管理数据使用过程。6.2数据提供方数据提供方的安全管理责任包括但不限于：a)数据目录编制：主动向公共数据运行管理机构提交数据资源目录，应包含数据的分类、格式、来源、更新频率等关键信息，支持数据资源的整合、监管和分发；b)共享边界限定：明确界定所提供数据的共享范围、共享期限、共享用途和数据保存期限，确保数据使用方在授权的范围内合理使用数据；c)共享审批管控：对于数据使用方提交的数据共享申请，应根据其履职需要和数据最小化原则进行审查；审批过程中，应确保申请的合理性和合法性，对共享的数据进行适当的分类和分级，并设置相应的数据标签；d)数据保护机制建立：确保共享数据的完整性和一致性，这包括数据加密、访问控制、数据备份和恢复等措施；同时，应根据数据使用协议和数据管理政策，定期更新数据。6.3公共数据运行管理机构公共数据运行管理机构安全管理责任包括但不限于：a)制度体系建立：负责建立完善的数据资源共享管理制度，包括数据资源目录的编制、审核和维护工作，确保目录的准确性和时效性；b)数据需求评估：根据数据使用方的需求申请，根据申请需求数据的敏感级别，评估数据使用需求的合理性和应用场景的安全性；c)数据归集审核：依据数据资源目录，对归集的数据资源进行严格的审核，确保所归集的数据符合法律法规要求，同时保证数据的准确性和完整性；d)分类分级管理：推动开展公共数据分类分级工作，确保数据安全，同时便于数据的合理利用和共享；e)使用规则制定：负责制定公共数据的使用策略和规则，并受理数据使用方的数据共享申请；f)应用结果监督：对公共数据需求方分析得出的数据结果进行定期抽查，以确保数据结果的输出符合既定的数据使用策略和规则要求。DB3209/T1319-20256库表类公共数据申请备案表A.1库表类公共数据申请备案表（市级）见表A.1。表A.1库表类公共数据申请备案表（