课程简介
关键词:个人健康信息码
关联标准:信息技术 系统间远程通信和信息交换 局域网和城域网 特定要求 第11部分:无线局域网媒体访问控制和物理层规范
课程内容
2020年4月29日,国家市场监管总局(国家标准委)印发公告,发布《个人健康信息码》系列国家标准,分别是GB/T 38961《个人健康信息码 参考模型》、GB/T 38962《个人健康信息码 数据格式》和GB/T 38963《个人健康信息码 应用接口》。三项标准发布以来,社会各界给予了广泛关注,提出了系列问题。为有效推动标准实施,信标委作为技术归口组织,对社会各界关注的重点问题进行了梳理,并做出如下回答:
(一)标准制定的背景是什么?
2020年2月以来,为有效防控新型冠状病毒肺炎和推进复工复产,浙江、湖北、北京、上海等部分省市先后推出了防疫健康信息码(以下简称:健康码)并得到有效利用。为推动健康码跨地区互认,国务院办公厅电子政务办公室结合全国健康码的应用情况,依托全国一体化在线政务服务平台,及时建立了防疫健康信息码服务,并发布了《全国一体化在线政务服务平台 防疫健康信息码服务接口》工程标准。截至3月底,全国大部分地区的健康码应用已基本实现与全国一体化在线政务服务平台的对接,为社会提供了高质量的服务,在支撑疫情防控和复工复产方面发挥了重要作用。
2020年4月8日,习近平总书记在中共中央政治局常委会会议上强调“各地要加强信息沟通共享和防控措施协调,在人员管控、健康码互认等方面要做到政策统一、标准一致”。为贯彻落实习近平总书记的重要指示,国务院办公厅电子政务办公室会同国家卫生健康委员会及国务院相关部门,研究提出了《个人健康信息码》系列标准,并由全国信息技术标准化技术委员会负责技术归口。
(二)标准由谁制定?
标准研制过程中,受国务院办公厅电子政务办公室和国家标准委的委托,中国电子技术标准化研究院负责组织制定。标准起草单位有:公安部第一研究所、浙江省大数据发展管理局、广东省政务服务数据管理局、南京市政务服务管理办公室、上海市大数据中心、河北省政务服务中心、河南省大数据管理局、贵州省人民政府办公厅、衢州市营商环境建设办公室、浙江省标准化研究院、杭州市数据资源管理局、合肥市数据资源局、中国科学院软件研究所、福建正孚软件有限公司、北京中盾安信科技发展有限公司、深圳市腾讯计算机系统有限公司、支付宝(中国)网络技术有限公司、北京百度网讯科技有限公司、大汉软件股份有限公司、中国电子科技集团有限公司、阿里巴巴(中国)有限公司、腾讯云计算(北京)有限责任公司、电科云(北京)科技有限公司。标准起草单位具有广泛的代表性。
(三)系列标准之间的关系是什么?
GB/T 38961规定了健康码的码制组成、系统模型和互认机制,是三项标准中的基础性标准,为其他标准构建了应用场景。标准提出的健康码应用系统参考模型中,将健康码应用系统划分为亮码、扫码、健康码服务和个人健康信息服务等4个核心功能模块。GB/T 38962对健康码的数据格式做出了规范,便于数据在不同的个人健康信息控制者之间、控制者和健康码应用之间进行交换。GB/T 38963则规定了提供健康码服务的接口规则、具体接口说明及其应用。GB/T 38962和GB/T 38963共同为GB/T 38961落地应用提供支持,三项标准共同为健康码的码制统一、展现方式统一、数据内容统一进行了规范,同时有利于统筹兼顾个人信息保护和信息共享利用。
(四)标准规定的健康码具体指什么?
GB/T 38961对健康码的定义为:“与居民身份网络可信凭证绑定,表达用户授权他人或组织临时访问特定个人健康信息的一串数字或字母的序列。通常使用二维条码作为其存贮媒体”,为便于展示和理解,同时提供了健康码在移动终端中的展现示例,使用红、黄、绿三种颜色表示健康状态信息的示例。
(五)标准对个人基本信息是如何规定的?
GB/T 38962中规定了个人基本信息的构成,包括姓名、性别、国籍、证件类型、证件号码、户籍区划、区划内详细地址、联系电话、基础病史等,主要涉及我国大陆居民、港澳居民、台湾居民、华侨和取得永久居留身份证的外籍人员。
(六)标准对个人隐私保护方面有什么要求?
该系列标准充分考虑了个人隐私和敏感信息的保护,对健康码应用系统、运营方和健康信息控制者,以及个人健康信息的采集、加工和利用等各个环节进行了规范。其中,GB/T 38961的“7.4 信息保护要求”和“7.5 安全要求”对个人隐私保护规定了多个方面的要求,具体包括:
1.规定健康码的有效时间为5分钟;
2.采用符合国家密码管理要求的算法对健康码进行加密保存;
3.动态监控健康码服务的请求行为,并在出现异常情况时切断相关服务和响应;
4.健康码应用系统应达到等保三级要求;
5.个人健康信息的采集、加工和利用应符合国家标准《信息安全技术 个人信息安全规范》(GB/T 35273-2020);
6.个人健康信息服务及其应用采集数据时,应获取用户的明示同意或授权同意,并承诺对相关隐私内容进行保密;
7.健康码服务运营方和个人健康信息控制者应遵循国家标准《信息安全技术 大数据服务安全能力要求》(GB/T 35274-2017)建立数据安全保护制度,实施必要的数据安全技术措施。
8.个人健康信息控制者应定期备份数据,提升容灾备份能力。
(七)标准如何规范个人申报的健康信息是真实的?
标准从多个维度提出了要求,以规范个人申报的健康信息的真实性。首先,个人申报的健康信息仅是评估个人健康状况的参考内容之一。其次,个人健康信息有不同的来源,街道社区、医院和个人所在单位等提供的也可以作为参考依据。最后,相关的权威数据拥有方,例如卫生健康、交通出行、移动通信等行业主管部门,将对个人申报的数据进行验证。
(八)健康码的APP有很多种,标准能实现APP的通用吗?
GB/T 38961规定了健康码的组成和展现形式,提出了健康码应用系统的参考模型和跨地区互认的技术机制,是开发健康码APP的基础;GB/T 38962规定了健康码的数据结构、数据元属性和数据管理要求,是实现健康码APP互联互通的重要保障。GB/T38963规定了健康码服务的接口,各类APP可通过统一接口对接不同的个人健康信息服务。因此,标准能有效指导各类APP提供的健康码实现通用。
(九)标准对个人健康信息的动态更新有要求吗?
目前,我国疫情防控已取得重要阶段性成效,针对这一情况,标准不对个人健康信息的动态更新做出明确的量化指标要求,例如,每隔12个小时更新一次。但考虑到动态更新的重要性,GB/T 38962的“第7章 数据管理要求”规定:“个人基本信息中的基础病史信息、个人健康信息、行程信息、健康证明信息等应根据业务需要同步”,在实际应用中,可根据实际应用需要进一步明确具体的动态更新要求。
(十)符合国家标准的健康码能确保实现跨地区互认吗?
《个人健康信息码》系列国家标准是实现健康码标准一致的技术基础,也是实现跨地区互认的前提。标准实施后,符合国家标准的健康码,在实现跨地区互认已经扫清了技术障碍。其中,GB/T 38961的“6.3 健康码互认”规定了实现健康码跨地区互认的内容,强调“各地区建设的健康码应用系统应对接实名实人认证系统,在编码组成、码制和展现形式方面应符合本标准或与本标准兼容,并应获得第三方机构相应的技术检测报告”。
(十一)标准对特殊群体(如色盲)有效使用健康码是如何规定的?
为提升常态化疫情防控和复工复产期间人员流动的检查和通行效率,GB/T 38961规定用不同颜色的健康码来标识个人的健康状况,并给出了红、黄、绿三种健康码的示例。考虑到色盲群体不能通过有颜色的健康码识别个人的健康状况,标准同时规定有颜色的健康码应配合容易识别的文字或符号提示信息使用。
(十二)标准如何实施?是强制的吗?
《个人健康信息码》系列标准为推荐性国家标准,不是强制性国家标准。建议:已建设健康码系统的省市,应对照标准进行改造,并在通过测试后接入全国一体化在线政务服务平台的互认体系;尚未建设但计划独立建设健康码系统的省市,应参照标准对健康码系统进行规划设计和建设运营。
视频地址:http://www.sac.gov.cn/sp/202005/t20200521_346582.htm
附件下载