《中华人民共和国社会保障卡一卡通规范 第3部分：安全规范》20231104 2100（征求意见稿).docx

ICS55.240.15CCS1.71.中华人民共和OB家标准GB/TXXXXX.3202X中华人民共和国社会保障卡一卡通规范第3部分：安全规范Scci11cationsforthesocia1.securitycardonc-card-assofhePeop1.e'sRepub1.icofChinaPart3：Securityspecifications（征求意见稿）本草案完成时间：2023年11月04口XXXX-XX-XX发布XXXX-XX-XX实施国家市场监督管理总局爰布国家标准化管理委员会中华人民共和国社会保障卡一卡通规范第3部分：安全规范1范围本文件规定了社会保附卡卡通的安仝体系架构、软体安全要求、终端安全要求、应用平台安全要求、数据安全要求及密钥安全要求。本文件适用于社会保障卡一卡通的体系设计、开发、集成、应用、维护及运营等.2规色性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中，注H期的引用文件，仅该日期对应的版本适用于本文件：不注口期的引用文件，其城新版木（包括所有的假改取）适用于本文件.GBT16649.4双别卡集成电路卡第4部分：用于交换的结构、安全和命令GB1T22239信息安全技术网络安全等级保护基本要求GB1T25069信息安全技术术语GBT29246信息技术安全技术信息安全管理体系概述和词汇GBJT32905信息安全技术SM3密码杂次算法GB1T32907信息安全技术SM4分批密码尊法GBJT32918.4信息安全技术SM2椭园曲线公物密码算法第4部分:公的加烹见法GB1T352732020信息安全技术个人倍思安全规慈GB/T37092信息安全技术宓码模块安全要求GB1T37988-2019信息安全技术数据安全能力成短度模型GB1T38542信息安全技术基于生物特征识别的移动智能终端身份鉴别技术框架GB1T39204信息安全技术关饯倍感基础设施安全保护要求GB1T39786-2021信息安全技术信息系统密码应用基本要求GB.T40660-2021信息安全技术生物特征识别信息保护屐本要求GB1T41479-2022信息安全技术网络数据处理安全要求GB'T41803.1信息技术社会保障*生物特征识别应用系统第1部分：通用要求GB.T41819-2022信息安全技术入脸识别数稠安全要求GB1TXXXXX.4-202X中华人民共和国社会保障卡-卡通规范第4部分：然瑁规范1.ST02-2022（所有部分）人力彼源社会保障电子认证体系规范I.D.T03-2022人力费源社会保障电子认证服务管理规范1.D1T332015社会保障卡读写终福双落3术语和定义GBjT25069、GB，T29246界定的以及下列术语和定义适用木文件，数据安全datasecurity通过管理和技术措施.确保数据疗效保护和合规使用的状态.密钥key控制繇码变换操作的符号序列，来源rGB.T250692022.3389)3.3电子社会保际卡服务柔道Ckx1.ronkSWimsecuritycardservicechanne1.申请接入全国社会保陵卡服务平台、对外提供电子社会保障卡签发和应用服务的软体.具体形式有APP、公众号、生活弓、小程序等,3.4密码算法cry<ographica1.gorithm描述密码处理过程的鸵法.来源:GBzT25069-2022.3.3803.5加密encrypt府数据迸行密码变换以产生密文的过程,(来-1GBT250692022.3.278)3.6解密decryp1.加密过程对应的逆过程，来源:GB.T25069-2022.3.3O53.7敏感数据sensitivedata离防止被非法泄露、修改或破坏的数据.包括：姓名、社会保胸号码公民身份号码、手机号码、地址、银行卡号、电子社会保障卡卡号、电子社会保障卡密码、签发号、生物特征信Je(如人睑相片等)、征信信息、交易信息等.3.8明文p1.aintext未加密的信息.（来源：GBrT25069-2022.3.4253.9保密性confidentia1.ity信息对未授权的个人、实体或过程不可用或不泄辨的性防。来源IGB1T250692022.3.4IJ3.10a）汇聚融合的数招不应超出采集时所声明的使用他I札因业务需要确得超范用使用个人信息的.应事先再次征得个人信息主体明示同意，并符合GB，T352732020中7.6的相关要求：b）涉及第三方机构合作的,应以合问协议等方式明确用于汇聚融合的数据内容和范懵、结果用途和知悉范围'各合作方数1«保护员任和义务.以及数擀保护要求等：C）汇聚融合前应根据汇藏般合后可能产生的数据内容、所用于的目的、范阳等开展数据安全影响评估,并采取适当的技术保护措施.根据特汇聚融合数据的类别、级别以及相关要求.采用技术手段如多方安全计算、联邦学习、数据加涝等技术降低数据泄题.窃取等风险：d）应对数据汇聚融合过程进行日志记录,确保数据汇聚融合过程可追溯和可审计：O不应使用生物特征巩别对比信息作为汇聚融合的直接关联点I11在开展数据汇聚融台的过程中，知道或者应当知道可能危*国家安全、公共安全、经济安全和社会稳定的，应立即停止汇聚融合活动.9 .2.4.4人股识别数据使用人脸识别数据的使用应符合GR，T41819-2022中笫8卓和GR，T41803.1的相关要求.10 2.5数据提供对外提供数据包括委托处理和共享特止,应符合以下要求：a）制定数据提供管理制度，明确数据提供策略以及接收方数据安全保护要求Ib）在对外提供数机加.应开展数抠安全影响评估.确5数招内容不超出其授权范围.数据安全保护越度不因数据对外提供而降低：C）准确记录和保存数据提供情况，包括FI期、规模、用途，以及数据应用方茶木情况等；d）应定期对数据接收方的数据安全保护能力迸行vfft'/,当数据接收方丧失数据安全保护能力应具备启动应急响应处理能力：C）委托第三方开展数据处理活动的.应通过合同等形式明确约定委托处理的目的、期限.处理方式、数擀种类、保护指施、双方权利和义务.以及第三方返还或拧删除收据的方式等,要求第三方以合同中约定的形式返还,删除接收和产生的数据，并对数据处理活动进行监督；f）共享礼让数据的，应与数据接收方通过合同例及等方式，明确双方在数据安全方面的选任及义务，井约定共享数据的内容和用途、使用池围等；g）发生收购、龙井、兔组、俄产时,数据接收方位继续履行相关数据安全保护义务.没有数抠接收方的，应删除数据：h）对外提供个人侑息应符合GBT352732020中9.1、9.2和9.3的相关要求：）应确保故感个人信思及也要数据经过脱收后共享转让，生物特征信息原则上”工；，上享转让：j）委托第三方处理'物行讨信息时魔预先向个人信BI年告知第三方相关信息,所涉生物特征信息的类型和数H、委托处理的目的；k）向其他政府部门共享数据的,应依据人力彼源和社会保障部政务估息资源共享目录，通过部省两级外都数据交换平台，实现统一出入口共享，因业务急需且外制数据交换平台行时无法实现的，应由同级信息化媒合管理机构在保证安全的前提下，通过业务专战等其他方式实现，9.2.6政务数据公开人力资源和社会保障部门进行政务数据公开应符合以下要求：a）应采取合理的安全管控机制和技术措施，包括但不限于网页防籁改、数据脱假等,确保数据公开过程中的保密性、完整性和可用性：b）应对数据公开披露情况进行记录和保存,包括公开披露的“期、融楼、目的、内容和公开范憎等：O个人信息原则上不应公开披露.取得个人信息主体堂独同意的除外,弁应符合GBJT352732020中9.4的相关要求；d）不应公开披阳生物特征数据：e）不应公开会对国家安全、公共利秣产生重大修响的数据，9.2.7数推销奴人力资源和社会保附部门数据销毁除成符合GB/T379882019中II.1.2.3和1122.3的相关要求,还应符合以下要求：a）应根据一卡通数据使用情况,制定完整数据Ifi毁制度，价保长期存储数据、临时存储数据及备份数据的销毁要求；b对达到存储期限、产品和服务悴止运营、数据主体要求删除、合同均定及法律规定应该删除数据等情形，应来取技术手段，在产乩和服务所涉及的系统中实现对数据进行有效销毁，防止因对存储介防中的数描进行恢发而导致的数据泄露风险,麻从技术上难以实现的,应当杵止除存储和采取必要的安全保护措施之外的处理：C）对于程盘文件的的毁（如云主机拜放回收）,陶采用粳写等机制儒保删除的文件不可恢复.对于磁盘等存储介质的箱毁（如故障主机报废处理）.应采用消检.物理捣碎等方法网保移盘数掘的彻底销毁：d）应对文件及介质等的毁过器进行日志记录.ft保数据精毁过程可追溯和可审计。93卡服务数据安全9.3.1鼓抠收集9.3.1.1人力资源和社会保陵部门数据收集为提供卡服务.从数据主体处收集个人信&时,I除脚符合GB/T35273-20205.4、GB/T406602021中第5章、GBT418192022中第6章的相关要求，各级人力资源和社公保障怖门建应符合以下要求：a）为提供R眼务，收集个人信息前应通过纸质或者电子方式，向个人信息主体笆知数据收集的目的、方式、慈阳及个人信息处理行名称、联系方式、个人信息保存期限.个人行使法定权利的方式和程序等,荻取个人信息主体授权同意：b）般够个人信息主体应在完全知情的序础上自主给出清晰明确的0：蜃表示：O应避免收集不属于该个人信息主体的生物特征信息，包括生物特征原始信息，应避免采用间接方式从非个人信息主体处获取其信息，除法律法规煨定场景、保护公共利益和个人血大利拄场景外,不应限定收缴生物特征信史作为唯一实现业务目标的方式1d）为提供卡服务,通过APP、小程序、公众号等线上渠道收集个人信息时.需要进行数据缓存的.应具饴数据加密存储及缓存清理功能：e）为提供卡服务，通过线下业务前口的采集系统收集个人信息时,采集系统应符合等保二级及以上要求，并采用摘要、消息认证码、数字签名等技术保障采集数据的完整性：0为提供卡服务，通过纸侦表单收柒个人倍息并转换为电子数据时：1）应对纸质表单的保存、杳阅、复制、源精等操作进行严格的审批和记录：2）在纸版表单的电子化过程中.应采取技术措施控制数据的完整性、保密性.9.3.1.2社会保隘卡服务银行、第三方机构数据收集为提供卡服务,受各级人力资源和社会保隙部门委托的社会保陵卡服务银行、第三方机构数据收集应符合以下要求：a）应通过合同协议等方式,明确双方在数抠安全方面的贡任及义务,明确数据采集危困、频度、类型、用途等，确保数据的合法合煨性和真实性，必要时提供相关个人信息主体的授权；b）持续收集数据的，还应采取技术手段对从外部机构处收集的数据和数据源进行身份展别和记录，并符合GB,T379882019的相关要求：C）为批员制作实体社会保障卡.第三方机构收型个人信息时：1）应通过协议明确枭蛆源和采集范用，以及双方工作职费和保密义务：2）应在封闭的独立网络环境进行采集,并通过人员权限管控等方式防止数据池需：3）用于存储个人信息的存储介质的由各级人力资源和社会保障部门提供和管理：4）在业务办理完成后,应立即删除采集设各保存在本地的相关个人信息，不应超出委托莅围.不应违规存储、加工、使用、传播所采张的信息.9.31.3实体社会保障卡制作商数据收集为提供卡服务,实体社