GBT 38961-2020 个人健康信息码 参考模型

5.1健康码的终端应用

将健康码编码为条码图像时应使用GB/T27766一2011规定的二维条码码制，以及其他有关国家 标准规定的主流二维条码码制。 健康码宜采用图2所示的展现形式。

GB/T389612020

图2健康码在移动终端中的展现示例

在展现健康码二维条码的同时，应同时提供信息业务等级文字或符号提示。宜同时提供脱敏的身 分信息、个人健康信息自查和个人健康信息申报等人口。一般在二维条码展示界面中还应提供操作提 下和切换操作人口。 其中： a）脱敏的身份信息应提供核对个人登录情况所需的必要信息； b 出示二维条码时，健康码应用应在二维条码中心处添加统一健康码标志 人孔标准，并可根据信息业务等 级改变条码色块和边框的颜色； C 除以二维条码色块、框线等形式标识信息业务等级外，还应以明显的文字或符号进行提示； d） 用户可自行查看本人申报的健康信息和被授权访问的情况，从而了解本人的健康信息业务 等级； 信息申报人口提供用户自行申报或为家人等申报健康信息（如体温、相关症状等）和行程信息 的功能； 统一健康码标志应清晰鲜明，其覆盖二维条码图像的面积比例应在10%以下。 健康码应设定有效期.在健康码应用中点击二维条码图像可主动刷新

信息主体查询本人健康信息时，可根据查询所得的信息结合不同场景的应用需要赋予二维条码不 同的颜色，以便快速标识健康信息业务等级，提升检查和通行效率。二维条码的不同颜色标识示例见 图3。在特殊情况下可增加其他颜色

GB/T 38961—2020

图3二维条码的不同涂色示例

除二维条码涂色以外，健康信息业务等级的标识还应配合容易识别的文字或符号提示信息使用

6健康码应用系统参考模型

健康码服务不应直接参与个人健康信息的处理，其与具体的个人健康信息服务应在逻辑上做显 。健康码应用系统参考模型见图4，参考模型中给出了健康码服务与各类个人健康信息服务的

图4健康码应用系统参考模型

在图4中，各组成部分的功能和协作关系如下： 健康码服务主要提供制码、验码功能，还可为应用端提供个人授权使用情况查询； b）健康码服务主要的功能模块是健康码引擎，用以生成和验证健康码；制码和验证的记录应保留 一段时间以供查询； c）个人健康信息服务系统是个人信息的控制者，应根据个人信息主体（健康码应用的用户）的身 份凭证或授权来响应个人健康信息查询请求； d）个人健康信息服务可采用分级管理模式，采用分级管理时，对外的信息服务由顶层健康信息目

GB/T389612020

录库统一提供，各子级平台负责本区域人员的健康信息更新和质量保障； e）个人健康信息服务可与其他个人信息控制者建立联系，采用接口调用等方式在个人信息主体 授权下查询其他信息并作为本服务的数据来源或参考值； 健康码的申领、出示、验证等应通过健康码应用完成； 健康码的使用应先进行可信的用户身份认证，身份认证的范围应能覆盖可能使用个人健康信 息服务的各人群，包括大陆居民、港澳台人士、华侨和外籍人员等。 防疫健康信息服务系统示例参见附录B

健康码应用系统应按6.1中规定的参考模型，在系统内明确各部分功能构成和协作关系，整体上通 健康码服务和个人健康信息服务的相互协作完成对外信息服务。 健康码的出示应以用户实名实人认证为前提，健康码服务对接的个人健康信息服务及其对应的应 程序应先取得身份认证后的凭证数据，再以其为主要参数向健康码服务申请制码。 健康码应用的扫码端应以用户实名实人认证为前提，以扫码用户身份凭证数据和健康码为参数发 起健康信息查询请求。 个人健康信息服务响应健康信息查询应以健康码验证为前提，健康码应用应以健康码为参数提交 人健康信息查询请求，个人健康信息服务应根据健康码服务对健康码的验证情况响应该请求。 健康码的使用流程如下： a 健康码应用亮码端的用户在移动终端上完成实名实人认证，申领健康码； 用户通过健康码应用亮码端向健康码服务申请制码； C） 健康码服务向应用亮码端返回健康码或其二维条码图像文件流； d 健康码应用亮码端对返回的健康码进行编码或对二维条码图像进行加工处理后向扫码端 出示； e 健康码应用扫码端解码获得健康码，并以扫码端身份认证凭证和健康码为参数向个人健康信 息服务发起查询请求； 个人健康信息服务接收到查询请求后，将健康码发送到健康码服务进行验证； g 健康码服务根据验证结果向个人健康信息服务返回信息查询索引或其他信息； h 个人健康信息服务检索得到健康信息并返回给健康码应用扫码端，由其用户根据其应用目标 确定返回信息的使用方式。 根据应用场景的需求，健康码所代表的个人信息主体授权可被设定为仅可使用一次。已验证并返 回结果的健康码应记录验证的请求方及时间

各健康码应用系统按图5所示的机制采取汇集健康信息目录的方式实现互信互认

图5健康码应用系统的目录汇集和互认

各地区建设的健康码应用系统应对接实名实人认证系统，在编码组成、码制和展现形式方面应符合 本标准或与本标准兼容，并应获得第三方机构相应的技术检测报告 经过改造和技术验证的健康码应用系统在统一的个人健康信息服务平台注册并取得平台标识、证 书和密钥对等信息。各应用系统中制成的健康码应包含此平台标识，码的利用方根据此标识路由到生 成该码的健康码服务进行验证。 各健康码应用系统中的健康信息目录可汇聚到统一的健康信息服务平台。 各健康码应用系统可对外提供信息服务并对数据质量负责，同时应提供数据异议处理服务， 统一的个人健康信息服务平台可对外提供基于健康信息目录的信息服务并提供统一异议处理 人口。

在本标准的基础上灵活采用适合实际 面和交互方式 常见的健康码应用场景参见附录C。

健康码服务主要是为各应用提供用户授权行为存证，服务于各类个人健康信息应用。健康码服务 与具体应用对接的步骤如下： a 个人健康信息服务应进行改造，在响应以健康码为参数的信息请求之前，应先进行健康码的 验证； b） 应用亮码端应进行改造，支持开通相关健康码功能； ） 应用亮码端应对接健康码服务，支持用户认证后查询本人健康信息和在线请求健康码； 应用扫码端应进行改造，应能扫描、解码得到二维条码图像中的健康码； 应用扫码端应规范与个人健康信息服务的对接方式，以身份凭证和健康码作为必要参数

基于健康信息的其他业务管理由各应用根据实际需求确定。一般来说，个人健康信息服务还应提 供大数据分析、健康风险提示等其他信息服务

健康码的有效时间一般设置为5min，制码5min后未产生验码请求的，该码即行无效，再对此码进 行验码请求时，应提示“健康码已过期”。 健康码在应用端应被妥善保护，采用符合国家密码管理要求的算法进行加密保存，其使用宜配合用 户的口令确认。 个人健康信息服务和健康码服务应动态监控相关应用的请求行为，出现异常情况时可在提示后切 断相关服务和响应，

人健康信息服务及其应用应达到GB/1 22239一2019等级保护第二级的要求， 个人健康信息的采集、加工和利用应符合GB/T35273一2020的规定。 个人健康信息服务及其应用采集数据时，应获取用户的明示同意或授权同意，并承诺对相关隐私内 容进行保密。 健康码服务运营方和个人健康信息控制者应遵循GB/T35274一2017建立数据安全保护制度，实 施必要的数据安全技术措施。 个人健康信息控制者应定期备份数据，提升容灾备份能力

表A.1自然人身份证件类型代码

GB/T389612020

附求B （资料性附录） 全国一体化在线政务服务平台防疫健康信息服务系统方案

体化平台防疫健康信息服务系统整体框架见图正

B.1一体化平台防疫健康信息服务系统框架图

防疫健康信息服务系统由服务层（数据层）、应用层和用户层组成。 防疫健康信息服务的用户分为个人和单位两类，应用软件为两类用户提供不同的使用方式 应用软件可以是国家平台移动端及各地方部门政务服务平台移动端等多种形态。 防疫健康信息依据的数据源包括且不限于： a）确诊、疑似等病情病例数据； h密切接触者数据

B.3.1健康信息电报

用户通过应用软件填报个人或家庭成员防疫健康信息后，使用“用户防疫健康信息申报”接口将 据推送到一体化平台国家节点， 在防疫控制期内，防疫健康信息应按日申报

B.3.2二维条码制码

用户在应用软件进行实名实人认证后，可请求生成“防疫健康信息码”的二维条码，并在需要时出示 比二维条码，作为个人防疫健康信息证明。其主要流程包括： a）用户进行亮码操作时，应用软件通过“二维条码调用申请”接口发起业务请求，再调用防疫健康 信息服务的“二维条码赋码”接口； b）“二维条码赋码”接口根据参数返回相应的二维条码给应用软件

B.3.3健康信息查询

在获得用户亮码授权后，通过应用软件查询用户的防疫健康信息： a）扫码端将“二维条码验码”接口返回的加密用户信息作为参数，调用防疫健康信息服务的“用户 防疫健康信息查询”接口；

基于防疫健康信息码的具体防疫业务管理由各地区负责，一体化平台国家节点防疫健康信息码服 务主要为地方政务服务平台服务，为各地区提供大数据分析比对结果，为健康码验证和跨地区信息查询 提供路由等。 各地区可在一体化平台国家节点返回的个人防疫健康信息基础上，结合本地区数据资源开发健康 码应用，在本地区平台上直接面向企业和个人服务。 在国家卫生健康主管部门指导意见的基础上镀铬标准，各地区自行确定防疫风险等级；各地区可自行决定如 可使用风险等级信息，如用于企事业复工复产、社区网格化管理、辖区内通行等

各地区负责所辖地的防疫健康信息码服务的投诉处理

GB/T389612020

已建设防疫健康信息码的地区，可按本标准与一1 体化平台国家节点注册对接。各地区应用软件应 能识别由一体化平台国家节点生成的二维条码，实现基于国家平台健康码的互信互认。一体化平台提 供跨地区的防疫健康信息查询服务。各地区可在此基础上，结合本地区防疫健康信息数据，进行风险等 极划分和评定 尚未建设防疫健康信息码的地区，可利用 体化平台国家节点防疫健康信息码，结合本地区数据资 源和防疫与复工复产要求进行风险等级划分和评 本地区防疫健康信息码使用

附录C （资料性附录） 建康码应用场景

附录C （资料性附录） 健康码应用场景

健康码应用系统的用户通过移动通信终端或专用终端填报一次个人健康信息后可申请开通“健康 马”，申报信息经个人健康信息服务后台校正后生成健康码，用户可凭借健康码进出多种公众场所，如社 区、办公场所、交通卡口、交通客运站等，实现不同场景下的快速核验需求。具体可在以下场景下使用： 村（社区）： 针对村（社区）等居住出行场景，通过亮码、扫码，作为出入居住地的电子凭证 交通卡口： 针对城市交通卡口的车辆核查，通过亮码、扫码，作为进入城市的申报电子凭证。 公共交通： 长途汽车客运站、码头、机场、火车站等使用大规模运输工具但有固定且封闭的客运站，乘客仍 以单人出人站台闸口为特点的单人通行场景，出租车、网约车场景等。 公共场所： 工厂、高校、医院、商场、市场、酒店、公园、景区等人群密集场所，有固定且封团的出入口，以单 人出人为特点的通行场景。 老人、儿童、孤寡老人等可由家人或社区代为填报健康信息，申请开通“健康码”。 老人、儿童等不持有移动通信终端或专用终端时，可通过健康码应用打印有较长有效期的纸质健康 正明作为“亮码”通行凭证。

铆钉标准C.2健康码其他应用场景

GB/T389612020