ICS 35.240.01
CCS L 67 DB4403
深
圳 市 地 方 标 准
DB4403/T 573—2024
智慧城市数据账户资源共享应用规范
Application specification for resource sharing of data account for smart
city
2024 - 12-31 发布
2025 - 02 - 01 实施
深圳市市场监督管理局 发 布
DB4403/T 573—2024
目
次
前言 ................................................................................. II
引言 ................................................................................ III
1 范围 ............................................................................... 1
2 规范性引用文件 ..................................................................... 1
3 术语和定义 ......................................................................... 1
4 数据账户资源应用框架 ............................................................... 3
5 数据账户相关方及业务活动 ........................................................... 6
6 数据账户关键业务流程 .............................................................. 13
7 数据账户资源共享应用要求 .......................................................... 16
8 安全要求 .......................................................................... 19
参考文献 ............................................................................. 22
I
DB4403/T 573—2024
前
言
本文件按照GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定
起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由深圳市政务服务和数据管理局提出并归口。
本文件起草单位：深圳市政务服务和数据管理局、深圳市龙华区政务服务和数据管理局、深圳市标
准技术研究院、深圳市智慧城市科技发展集团有限公司、深圳市腾讯计算机系统有限公司、深圳市华傲
数据技术有限公司、平安科技（深圳）有限公司、深圳市安证企业合规管理（集团）有限公司、深圳市
前海数据服务有限公司、深圳茉拉科技有限公司、华为技术有限公司、深圳市聚龙智慧城市研究院、深
圳市三希软件科技有限公司、腾讯云计算（北京）有限责任公司。
本文件主要起草人：张永昌、胥少卿、高杰、杜佳、杨舸、王刚、伍可、胡瀛、吴仪、王永霞、代
威、何旭珩、孙汀、江鑫、蔡玉娟、刘国光、崔昊、吕令广、杨在文、胡林红、辛鹏。
II
DB4403/T 573—2024
引
言
数据作为新型生产要素，是数字化、网络化、智能化的基础，为充分发挥数据优势和应用场景优势，
为智慧城市提供合规、安全、可信、可追溯的数据应用服务，本文件以公共基础信息库、数据共享平台、
数据开放平台、数据授权运营平台和其他数据平台或业务系统等作为数据来源，构建面向公共机构、企
业、个人等的数据账户，将公共数据、企业数据、个人数据经过归集融合形成数据账户资源，在数据账
户平台提供的用户管理、权限管理、资源管理、授权管理、场景和供需管理、安全合规管理等功能模块
支撑下，为智慧城市应用场景提供高效、安全、有序、精准的数据共享、开放、运营、交易等的应用服
务。数据账户可根据实际场景和环境需要，独立部署支撑业务活动应用，或在可信数据空间等数据流通
利用基础设施中配套部署使用，促进数据的安全可信共享和创新应用。
III
DB4403/T 573—2024
智慧城市数据账户资源共享应用规范
1 范围
本文件规定了智慧城市中数据账户资源应用框架、相关方及业务活动、关键业务流程、资源共享应
用要求及安全要求。
本文件适用于在智慧城市中面向公共机构、企业及个人的数据账户及其相关业务活动、管理及共享
应用。其他类型数据账户可参考使用。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，
仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本
文件。
GB/T 34960.5 信息技术服务 治理 第5部分：数据治理规范
GB/T 35273 信息安全技术 个人信息安全规范
GB/T 35274 信息安全技术 大数据服务安全能力要求
GB/T 37973 信息安全技术 大数据安全管理指南
GB/T 37988 信息安全技术 数据安全能力成熟度模型
GB/T 39477 信息安全技术 政务信息共享 数据安全技术要求
GB/T 41479 信息安全技术 网络数据处理安全要求
GB/T 43697 数据安全技术 数据分类分级规则
SF/Z JD0400001 电子数据司法鉴定通用实施规范
DB44/T 2133 政务公开 目录编制指南
DB4403/T 271 公共数据安全要求
DB4403/T 278（所有部分） 公共基础信息数据元规范
GDZW 0031 广东省政务信息资源目录编制指南
3 术语和定义
下列术语和定义适用于本文件。
3.1
公共机构 public institutions
全部或者部分使用财政性资金的国家机关、事业单位和团体组织。
[来源：GB/T 36674—2018，3.1]
3.2
企业 enterprise
共同承担确定使命、目标和目的，以提供产品或服务等输出的一个或多个组织。
注： 包括诸如广义企业、虚拟企业等相关概念。
[来源：GB/T 20529.1—2006，3.1]
1
DB4403/T 573-2024
3.3
个人 personal
以电子或者其他方式记录的已识别或者可识别的自然人。
注： 包括中国境外、中国境内、中国国籍、非中国国籍等各类自然人。
3.4
数据账户 data account
智慧城市中以公共机构（3.1）、企业（3.2）、个人（3.3）等为构建对象，按业务活动和行为视
角分类方式归集目录和数据，为政府、企业和社会公众等的应用场景提供数据服务，所形成的全生命
周期、全视角范围内数据和信息的集合。
注： 数据账户包含公共机构数据账户、企业数据账户、个人数据账户和其他类型数据账户。
3.5
公共机构数据账户 public institutions data account
以公共机构（3.1）为构建对象的数据账户（3.4），在公共管理和服务机构依法履职或提供公共服
务过程中产生、处理的公共机构全生命周期、全视角范围内数据和信息的集合。
3.6
企业数据账户 enterprise data account
以企业（3.2）为构建对象的数据账户（3.4），在企业全生命周期、全视角范围内所形成的数据和
信息的集合。
注： 企业全生命周期、全视角范围包含但不限于企业的经营、注销、信用、专利、著作、社保缴纳、公积金缴
纳、纳税、商业行为。
3.7
个人数据账户 personal data account
以个人（3.3）为构建对象的数据账户（3.4），在个人全生命周期、全视角范围内所形成的数据和
信息的集合。
注： 个人全生命周期、全视角范围包含但不限于个人的出生、教育、就业、婚姻、购房、购车、投资、公积金、
保险、生育、医疗、退休、养老、离世。
3.8
其他类型数据账户 other data account
除公共机构数据账户（3.5）、企业数据账户（3.6）、个人数据账户（3.7）之外面向其他类型对
象构建的数据账户。
3.9
数据账户资源 data account resource
各类数据账户（3.4）中的基础信息、业务信息和管理信息等资源。
3.10
数据资源 data resource
以电子化形式记录和保存、可机器读取、可供社会化再利用、具有价值创造潜力的数据集合。
3.11
数据账户主体 data account subject
开设或入驻数据账户（3.4）的对象。
注： 数据账户主体享有数据被保护的权利，并对自己的数据进行访问、更正、删除、拒绝、限制等活动。
3.12
数据提供方 data provider
执行数据供给活动的对象，将新的数据或信息引入指定的大数据系统。
2
DB4403/T 573—2024
注： 数据提供方一般包括公共机构、企业、个人、其他组织机构等。
3.13
数据应用方 data user
执行数据生命周期相关的数据采集、数据传输、数据存储、数据处理、数据交换、数据销毁等数
据活动的对象，运行在数据账户平台，并提供数据服务。
注： 数据处理包括但不限于数据的计算、分析、可视化。
3.14
数据账户管理方 data account manager
为数据账户主体（3.11）提供账户管理服务的对象。
注： 为数据账户资源的形成、管理及对外的数据应用服务提供支撑。
3.15
数据知识产权 data intellectual property
数据处理者对其依法依规获取的，经过一定规则处理形成的，具有实用价值和智力成果属性的数据
集合所享有的权益。
3.16
第三方机构 third party agency
独立于数据账户相关方，受委托对数据账户业务活动涉及的场景，数据的质量、可信性、合规性、
授权、认证、公证、检验、鉴定、监管、核验、验证、安全保障等提供支持，并能提供报告的机构。
4 数据账户资源应用框架
4.1 概述
数据账户资源应用框架模型如图1所示。数据账户由公共机构、企业、个人或其他类型使用者根据
需求开设，公共数据、企业数据、个人数据经授权、核验或认证以及治理后进入数据账户，形成包括
基础、业务和管理等信息的数据账户资源；数据账户平台提供用户管理、权限管理、资源管理、授权
管理、场景和供需管理、安全合规管理等功能模块，为智慧城市中无偿的数据共享和数据开放应用场
景，以及有偿的数据授权运营和数据交易应用场景提供合规、安全、可信、可追溯的信息化、智能化
能力支撑。数据账户根据实际场景和环境需要，独立部署支撑业务活动应用或在可信数据空间等数据
流通利用基础设施中配套部署结合使用，相关部署框架在具体应用场景设计中细化。
3
DB4403/T 573-2024
图1 数据账户资源应用框架模型
4.2 数据来源
数据来源于公共基础信息库、数据共享平台、数据开放平台、数据授权运营平台和其他数据平台或
业务系统。其他数据平台或业务系统数据包括社交媒体等社会类数据、各类物联网系统数据等，由公共
数据、企业数据、个人数据等来源和类型组成。数据来源满足以下要求：
a) 公共基础信息库应符合 DB4403/T 278 中的规定；
b) 数据共享、开放平台、授权运营、交易等相关平台的目录资源应按 DB44/T 2133 和 GDZW 0031
中的规定进行编制；
c) 其他数据平台或业务系统宜具备提供结构化数据的能力。
4.3 数据账户
4.3.1 概述
数据账户由公共机构数据账户、企业数据账户、个人数据账户和其他类型数据账户组成，每类数据
账户资源包括基础信息、业务信息和数据授权应用等关键管理信息。
4.3.2 公共机构数据账户资源
公共机构数据账户资源包括机构名称、统一社会信用代码等基础信息，以公共管理和服务机构依法
履职或提供公共服务过程中产生、处理的公共数据为主的业务信息，以及共享开放、授权运营等过程中
的审批、授权记录等管理信息。
4.3.3 企业数据账户资源
4
DB4403/T 573—2024
企业数据账户资源包括企业名称、统一社会信用代码等基础信息，注册、经营、注销、信用、专利、
著作、社保缴纳、公积金缴纳、纳税等业务信息以及数据账户的授权记录、交易流通记录等管理信息。
4.3.4 个人数据账户资源
个人数据账户资源包括姓名、身份证、性别等基础信息，出生、教育、就业、婚姻、购房、购车、
投资、公积金、保险、生育、医疗、退休、养老、离世等业务信息以及数据账户的授权记录、交易收益
记录等管理信息。
4.3.5 其他类型数据账户资源
其他类型数据账户资源包括面向社会团体、民办非企业单位和基金会等其他类型对象所构建数据账
户的基础信息、业务信息以及数据账户的授权记录、交易流通记录等管理信息。
4.4 数据账户管理
4.4.1 概述
数据账户管理为数据账户资源的形成及对外的数据应用服务提供支撑，包括用户管理、权限管理、
资源管理、授权管理、场景和供需管理及安全合规管理等。
4.4.2 用户管理
用户管理是为数据账户用户分配不同类型的角色和不同层级的用户，每个用户被分配一个或多个角
色，不同角色和用户具有不同的操作权限。
4.4.3 权限管理
权限管理是对数据账户中不同角色和不同层级的用户权限进行划分和管理，实现对数据的有效性访
问控制和权限控制。
4.4.4 资源管理
资源管理是对数据账户的目录、数据等进行管理，实现数据账户资源的归集与融合。
4.4.5 授权管理
授权管理是对数据进入数据账户以及数据与场景的结合应用进行授权，并按数据授权申请、权限审
批、数据访问控制、数据监控和追溯等流程进行管理。
4.4.6 场景和供需管理
应用场景和供需管理是对数据账户应用场景需求报送、需求评审、需求响应、统筹协调、数据服务
及成效评价等过程进行管理。
4.4.7 安全合规管理
安全合规管理是通过采取必要措施，确保数据处于有效保护和合法利用的状态，并具备保障持续安
全状态的能力，以及对数据账户主体合规、数据内容合规、数据来源合规、数据全生命周期中的各项业
务活动合规等进行管理。
4.5 应用场景
5
DB4403/T 573-2024
应用场景是指数据账户主体根据业务需求，基于数据账户平台功能支撑，提供无偿的数据共享和数
据开放，以及有偿的数据授权运营和数据交易等服务。
5 数据账户相关方及业务活动
5.1 概述
数据账户相关方及业务框架模型如图2所示。数据账户相关方包括数据提供方、数据账户主体、数
据账户管理方及数据应用方，各数据账户相关方在数据账户业务过程中采用如区块链等技术，保证数据
的可信、完整性和质量等要求，并结合公证、鉴定、数据登记、数据知识产权登记等方式，对数据账户
业务过程进行监督管理和安全管理。
图2 数据账户相关方及业务框架模型
5.2 数据提供方业务活动
5.2.1 概述
数据提供方的业务活动包括数据账户的进驻、获取授权、目录挂接、数据服务、数据纠错以及退出。
5.2.2 进驻
数据提供方向数据账户提供数据前应在数据账户平台进行注册并进驻数据账户。
5.2.3 获取授权
数据提供方在进驻数据账户和为数据账户进行数据接入时应获得数据账户管理方的授权。
5.2.4 目录挂接
6
DB4403/T 573—2024
数据提供方提供的数据目录应与数据账户的标准数据目录进行目录对齐和挂接。
5.2.5 数据服务
数据提供方应通过接口等方式提供数据的抽取、清洗、转换和加载等接入服务，并满足数据的时效
性、一致性、规范性、可访问性等质量要求。
5.2.6 数据纠错
数据提供方应根据其他数据账户相关方提出的数据错误等情况进行数据纠错处理。
5.2.7 退出
当数据提供方不再为数据账户提供数据时宜及时退出数据账户。
5.2.8 提供数据要求
数据提供方提供数据时应满足以下要求：
a) 提供格式规范、内容完整的数据；
b) 对数据进行有效性验证；
c) 按要求进行数据资源和产权等登记；
d) 按需进行数据知识产权登记；
e) 所提供的数据能被追溯；
f) 对数据进行加密传输；
g) 对所提供的数据业务场景根据要求进行补充。
5.3 数据账户主体业务活动
5.3.1 概述
数据账户主体业务活动包括公共机构、企业、个人和其他类型数据账户主体对账户、目录、数据以
及授权等的管理。
5.3.2 账户管理
数据账户主体应对数据账户的创建、开户、激活、使用、维护、冻结、注销、关闭等全生命周期活
动进行管理，并可管理数据账户的身份信息，包括但不限于个人联系方式、密码、绑定的证件信息。
5.3.3 目录管理
5.3.3.1 概述
数据账户目录由基础目录和自定义目录组成，基础目录是数据账户自身具有、已经规范并发布的目
录，自定义目录是数据账户相关方根据业务及场景需求自行定义的目录。基础目录涵盖数据目录、权限
目录和应用目录，自定义目录涵盖数据目录、应用目录。
5.3.3.2 基础目录
数据账户主体创建、修改自身账户中的基础目录，并设定基础目录的可见性。对于设置不可见的目
录，对数据账户管理方和数据应用方不可见，且无法对数据应用方进行使用授权。
5.3.3.3 自定义目录
7
DB4403/T 573-2024
数据账户主体创建自定义目录，并应满足以下要求：
a) 数据账户主体能对自定义目录进行编辑、删除和可见性设置；
b) 数据账户主体能对自定义目录进行数据使用授权；
c) 数据账户主体维护自定义目录中对应的数据；
d) 自定义目录中元数据的数据结构与标准数据目录中的元数据保持一致。
5.3.4 数据管理
数据账户主体应对数据账户中数据的收集、存储、使用、加工、传输、交换、处理、提供、公开、
开放、删除等进行管理，并满足以下要求：
a) 数据管理工具应由数据账户管理方提供和运维，数据账户主体应使用数据账户管理方提供的
工具进行数据管理操作；
b) 在数据账户主体进行数据维护操作前，数据账户管理方应对操作人进行身份验证并确定其为
数据账户主体合法操作人；
c) 数据账户主体能对数据账户中的数据进行查看、修改、删除、纠错等操作，其中修改、删除
等编辑性操作应形成数据变更记录和日志，数据账户管理方、数据应用方能查询相关记录和
日志；
d) 数据账户主体能对数据账户进行数据备份，备份数据由数据账户管理方保存并做冗余存储和
完整性检测和校验，数据账户主体能从数据账户管理方获取备份数据的副本；
e) 数据账户主体能使用备份数据恢复或覆盖数据账户中现有数据，如恢复后的数据与恢复前的
数据不同，则差异信息应对数据账户管理方、数据应用方可见；在进行数据恢复操作前，数
据账户管理方应对用于恢复操作的备份文件做完整性或是否被篡改等的安全性校验。
5.3.5 授权管理
数据账户主体面向数据提供方、数据应用方、数据账户管理方在数据账户平台中进行授权，并应满
足以下要求：
a) 数据接入授权：数据账户主体对数据提供方进行授权，授权内容包括数据提供范围、数据提
供服务起止时间等；
b) 数据使用授权：数据账户主体对数据应用方进行数据使用授权，授权内容包含数据项和应用
场景、使用期限、使用主体范围、使用环境等；
c) 数据账户管理授权：数据账户主体对数据账户管理方进行数据管理操作授权，授权内容包含
可管理的数据项和操作权限范围等；
d) 其他要求：
1) 授权协议：数据账户主体根据数据应用方发起的授权请求查看授权详情，同时确定应用
场景中数据应用方提供的服务及调用数据的范围、用途、时限、安全措施等信息后，与
数据应用方签署数据授权使用协议；
2) 授权记录：数据账户相关方能查看数据授权使用的审核记录。
5.4 数据账户管理方业务活动
5.4.1 概述
数据账户管理方在获得相关机构授权后对数据账户进行用户管理、权限管理、资源管理、授权管理、
场景和供需管理、安全合规管理。
5.4.2 用户管理
8
DB4403/T 573—2024
数据账户管理方应对数据账户的角色和使用者进行管理，针对不同角色和数据的分类分级情况设置
不同级别的账户权限，实现对不同数据账户主体的身份认证，账户权限的划分、管理及监控，支撑对数
据的有效性访问控制和权限控制。数据的分类分级应符合GB/T 43697中的规定。
5.4.3 权限管理
权限管理应符合以下要求：
a) 支持用户的创建与管理，包括：
1) 用户列表和检索；
2) 用户信息详情及新增与编辑；
3) 用户的启用、禁用及删除。
b) 支持角色管理，包括：
1) 角色的列表和检索；
2) 角色详情及新增、编辑与删除；
3) 角色的启用、禁用及删除。
c) 支持数据分类分级的管理，包括：
1) 数据分类分级规则配置和管理；
2) 根据核心数据、重要数据、一般数据的分级进行相应的安全管理；
3) 敏感数据、重要数据识别以及对数据的脱敏脱密；
4) 数据自动和人工分类和分级；
5) 数据分类分级检索及新增、编辑与删除。
d) 支持权限配置，包括：
1) 权限的列表和检索；
2) 权限的新增、编辑及删除；
3) 权限多维配置。
5.4.4 资源管理
数据账户资源管理具有账户目录管理、账户数据整体管理、账户数据治理、数据服务管理、数据
分析管理等功能，并符合以下要求：
a) 账户目录管理。维护并管理数据账户目录资源，应具备账户目录资源编制、目录资源发布、
策略（共享策略、更新策略等）管理等功能；
b) 账户数据整体管理。管理数据账户数据资源，应具备账户数据查询、数据纠偏申请、数据来
源管理、数据接入管理、数据更新管理、数据质量管理等功能；
c) 账户数据治理。根据数据目录体系要求对账户资源进行全生命周期的数据治理，应具备数据
标准管理、数据模型管理、元数据管理、主数据管理、数据质量管理、数据安全管理等功
能，并符合 GB/T 34960.5 中的规定；
d) 数据服务管理。管理基于数据资源提供的基础数据服务，应具备数据服务查询、数据服务订
阅、数据服务审核、数据服务管理、数据服务统计、数据服务授权、数据服务认证、数据地
图等功能；
e) 数据分析管理。基于数据服务的分析，应具备数据账户数据分析和资源分析的能力；
f) 数据可视化管理。对于数据质量、数据血缘调度关系及结果可视化展示，异常任务可视化展
示及报警通知，以及对应的报警工作单处理过程可视化展示、数据调用频率等价值权重可视
化展示，并能识别关键价值数据。
5.4.5 授权管理
9
DB4403/T 573-2024
数据账户管理方围绕应用场景授权管理，基于合法合规、隐私保护、公平合理、最小化、谁授权谁
使用谁负责等原则，面向数据账户相关方，建立监督和管理机制，提供数据授权申请、权限审批、数据
访问控制、数据监控和追溯等能力支持，并应符合以下要求：
a) 用户具有对已申请数据账户所必需的最小访问权限；
b) 数据账户管理方及时撤销用户不必要的访问权限；
c) 数据账户管理方按统一的授权流程进行授权；
d) 数据账户管理方对授权进行定期检查，对所有授权访问进行记录，并定期回溯被授权数据的
指标内容和数据周期；
e) 数据账户管理方定期审计授权情况并生成授权审计报告，授权审计报告包括已授权用户列表、
权限级别和访问日志等信息。
5.4.6 场景和供需管理
5.4.6.1 需求管理
数据账户管理方应通过线上、线下形式提供不同应用场景及相关数据需求申报方式和统一的需求申
报接口。
5.4.6.2 需求评审
数据账户管理方对应用场景及相关数据需求进行评审，评审应符合以下要求：
a) 评审包括需求目的、交付标准、交付时效等内容，必要时补充数据登记信息，若为非首次评
审，则所提交内容包括此前数据应用效果评估材料；
b) 应用场景及相关数据的需求评审不通过时由数据账户管理方将结果反馈至需求方进行处理；
c) 应用场景需求内容包括数据产品、数据服务、数据工具等。
5.4.6.3 需求响应
数据账户管理方应要求数据提供方针对通过评审的应用场景及相关数据需求进行响应，并做如下处
理：
a) 无数据时增补相关数据；
b) 无法提供数据时应反馈给需求方理由；
c) 能提供数据时，反馈相关数据需求响应清单（包括数据供给清单、数据供给计划、数据供给
说明书等）给需求方，同时对所提供的数据进行预处理。
5.4.6.4 统筹协调
数据账户管理方针对需求响应后的反馈意见进行复核，确认数据供需双方的需求有效且一致，并发
布相关数据需求响应复核清单。
5.4.6.5 数据提供
数据账户管理方应要求数据提供方按数据需求响应复核清单以数据共享、数据开放、数据授权运营
等方式向数据应用方提供相关数据，并按相关规定进行数据应用登记备案。
5.4.6.6 数据交易
当场景应用涉及数据交易时，应由数据账户相关方进行交易定价约定并履约实施交易，需要时对交
易纠纷进行处理。
10
DB4403/T 573—2024
5.4.6.7 成效评价及改进
数据账户管理方应自行或委托第三方机构对应用场景及数据的全流程进行评价，并按需针对所提供
的数据质量，以及数据共享、数据开放、数据授权运营、数据交易等数据服务效率和质量等进行持续改
进。
5.4.7 安全合规管理
5.4.7.1 安全管理
数据账户管理方应按GB/T 37973、GB/T 37988、GB/T 39477、GB/T 41479及DB4403/T 271的要求进
行数据账户的安全管理。
5.4.7.2 合规管理
数据账户管理方应按以下内容进行合规管理：
a) 设置数据账户合规管理组织架构，并明确合规管理的部门和责任人；
b) 建立数据账户合规管理制度，包括但不限于数据分级分类保护制度、数据全生命周期管理制
度、数据安全事件应急预案制度、数据合规风险评估制度；
c) 组织开展数据合规管理培训；
d) 开展合规管理体系实施评估，并根据评估情况进行持续改进。
5.5 数据应用方业务活动
5.5.1 概述
数据应用方包括数据使用方和数据开发方，能通过软硬件设备和系统实现数据采集、数据整理、数
据分析、数据检索、数据可视化等功能，并提供数据使用场景、进行应用开发和数据服务，具有提供数
据库、数据报表、数据报告、数据订阅、API接口等多种方式的数据应用能力，在数据账户中提供统一
服务入口，并进行场景申请、预授权、接口对接和数据质量风险评估等管理。
5.5.2 数据应用方要求
5.5.2.1 数据使用方
数据使用方是已进驻数据账户，为数据账户主体提供专业服务，对数据有使用需求的数据账户相关
方，应满足以下要求：
a) 具有对所申请或使用数据的安全保障能力；
b) 按数据使用的最小必要需求进行申请及使用；
c) 具有明确的数据使用目的。
5.5.2.2 数据开发方
数据开发方是接受数据账户管理方委托，为数据账户管理方开发软件或者接口服务的数据账户相关
方。数据开发方在数据开发全流程中各环节应符合数据账户管理方在运行环境、人员变更、代码变更、
部署运维、数据存取等方面的监管要求，并能提供审计数据给数据账户管理方。
5.5.3 场景管理
11
DB4403/T 573-2024
数据使用方应对应用场景的申报、评审状态、上下架、渠道管理、场景使用调用情况进行管理，并
向数据账户主体提供包括手机APP、服务接口、应用软件、委托代理服务等数据应用和服务，并满足以
下要求：
a) 可通过查询检索、比对订阅、自助分析、标签取数、模型推荐、指标服务等方式获取数据应
用场景；
b) 建立数据场景适配流程，能将场景与应用进行一对一适配；
c) 对数据按场景授权进行应用；
d) 对数据在应用场景中的应用流向信息进行完整记录；
e) 建立场景访问日志并确保可追溯、可审计；
f) 建立数据应用场景评价机制，对场景的应用成效进行量化评价。
5.5.4 预授权
数据应用方的预授权应符合以下要求：
a) 数据使用方根据权限对用户的注册、授权、修改、注销进行管理；
b) 数据使用方提供基于角色的授权管理策略，支持用户名密码、数字证书、动态口令等多种身
份认证方式；
c) 数据开发方使用数据时向数据账户主体申请数据使用预授权；
d) 数据开发方获取脱敏样本数据后用于相关应用场景的开发测试，并在数据账户管理方允许的
网络和硬件资源上使用数据。
5.5.5 接口对接
数据使用方和数据开发方应能通过多种存储设备和传输协议进行接口对接，并满足实时和非实时接
入数据的需求。
5.5.6 数据质量反馈和风险评估
当数据使用方和数据开发方发现数据质量问题时，可向数据账户其他相关方反馈数据质量问题，并
按需会同数据提供方和其他相关方进行数据质量风险评估。
5.6 公证
应由第三方机构对数据账户相关方和数据的可信性、合规性，以及数据授权和使用等过程进行认证
公证并提供权威报告。
5.7 鉴定
应由第三方机构对电子数据的完整性、唯一性及数据质量等进行评价，对电子数据的检验鉴定应符
合SF/Z JD0400001中的相关规定，并能提供权威意见。
5.8 数据登记
数据账户相关方根据数据资源、产权等相关登记政策要求开展登记工作。
5.9 数据知识产权登记
数据账户相关方可对符合数据知识产权登记条件的数据向主管部门指定的机构申请登记，获取数据
知识产权登记证书。
5.10 监管
12
DB4403/T 573—2024
5.10.1 概述
监管由政府相关部门依职责开展，包括对数据来源、账户、授权、数据质量、应用、存证、安全合
规等全生命周期、全视角范围的监管。
5.10.2 来源监管
来源监管包括对数据提供方、数据应用方等数据来源机构的资质、信用等的监管。
5.10.3 账户监管
账户监管包括对数据账户的开设、入驻、退出等全生命周期过程的监管。
5.10.4 授权监管
授权监管包括对数据账户的开设、入驻、开发、共享应用等过程中所涉及授权的监管。
5.10.5 质量监管
质量监管包括对数据的规范性、完整性、准确性、一致性、时效性等数据质量的监管。
5.10.6 应用监管
应用监管包括对数据应用的场景申请、预授权、接口对接等的监管。
5.10.7 存证监管
存证监管包括对数据账户的主体存证、关系存证、资产存证以及活动存证等的监管。
5.10.8 安全合规监管
安全监管包括对数据账户数据安全、网络安全、系统安全、应用安全、用户安全等的监管，以及数
据应用服务的技术和管理措施等的监管。合规监管包括对数据账户主体合规、数据内容合规、数据来源
合规、数据全生命周期合规等的监管。
6 数据账户关键业务流程
6.1 业务活动总体要求
数据账户关键业务流程是指数据账户的开设/入驻、数据资源目录创建、数据供给及数据资源目录
挂接、数据应用、数据账户注销等全生命周期的业务活动，如图3所示。数据账户业务活动应满足以下
要求：
a) 数据账户的开设/入驻：基于数据账户主体的自愿和授权，数据账户主体有权选择是否开通数
据账户，以及选择数据账户的类型、范围和内容；
b) 数据账户数据资源目录创建：基于业务需求和应用场景进行；
c) 数据账户数据供给：满足完整性、准确性和时效性等数据质量要求；数据账户主体具有查看、
修改、删除、补充和更新数据账户中数据的权限，并可对数据进行备份和恢复；
d) 数据资源目录挂接：供给的数据与数据账户中的标准数据目录进行对齐匹配，形成分类对应
关系；
e) 数据账户数据应用：遵守数据账户的授权规则，数据账户主体有权控制数据账户中数据的访
问、使用、共享和交易，以及撤销、变更和终止等的授权；