GB/T 44909-2024 增材制造 云服务平台产品数据保护技术要求

　　ICS 25.030 CCS J 07

　　中 华 人 民 共 和 国 国 家 标 准

　　GB/T 44909—2024

　　增材制造 云服务平台产品

　　数据保护技术要求

　　Additive manufacturing—Technical requirements for

　　product data protection of cloud service platform

　　2024-11-28 发布 2024-11-28 实施

　　发

　　国家市场监督管理总局国家标准化管理委员会

　　

　　布

　　GB/T 44909—2024

　　目 次

　　前言 Ⅲ

　　1 范围 1

　　2 规范性引用文件 1

　　3 术语和定义 1

　　4 产品数据信息类型 1

　　5 产品数据信息保护级别 2

　　6 产品数据信息保护要求 3

　　6.1 通则 3

　　6.2 收集阶段 3

　　6.3 存储阶段 3

　　6.4 展示阶段 3

　　6.5 转移阶段 4

　　6.6 删除阶段 4

　　7 验证方法 4

　　8 不同主体应承担的责任和义务 4

　　8.1 产品数据信息提供者的责任和义务 4

　　8.2 产品数据信息接收者的责任和义务 4

　　8.3 云服务平台的责任和义务 5

　　参考文献 6

　　Ⅰ

　　GB/T 44909—2024

　　前 言

　　本文件按照 GB/T 1.1—2020《标准化工作导则 第 1 部分： 标准化文件的结构和起草规则》 的规定起草。

　　请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

　　本文件由中国机械工业联合会提出。

　　本文件由全国增材制造标准化技术委员会 (SAC/TC 562)和全国自动化系统与集成标准化技术委员会 (SAC/TC 159)共同归口。

　　本文件起草单位： 中国海洋大学、裕克施乐塑料制品(太仓) 有限公司、清华大学、 中机生产力促进中心有限公司、无锡市检验检测认证研究院、山东创瑞增材制造产业技术研究院有限公司、江苏云仟佰数字科技有限公司、西北工业大学、上海材料研究所有限公司、山东山大华天软件有限公司、西安增材制造国家研究院有限公司、北京航空航天大学、珠海天威增材有限公司、杭州喜马拉雅信息科技有限公司、 中机研标准技术研究院(北京) 有限公司、青岛理工大学、西安交通大学、北京易速普瑞科技股份有限公司 、 中车青岛四方机车车辆股份有限公司 、深圳市创想三维科技股份有限公司 、创材深造(苏州) 科技有限公司、青岛海尔智能技术研发有限公司、深圳永昌和科技有限公司。

　　本文件主要起草人： 刘永辉、胡焕波、黄双喜、薛莲、高银涛、 吕忠利、邵漠宇、林鑫、顾哲明、魏威 、 马文涛 、 陆涵 、 张涛 、武凤霞 、李海斌 、朱晓阳 、郭文华 、 张勇 、 张银 、 陈燕荣 、黄光成、王轩泽、马国军、孙厚礼、林世妥。

　　Ⅲ

　　GB/T 44909—2024

　　增材制造 云服务平台产品

　　数据保护技术要求

　　1 范围

　　本文件规定了增材制造云服务平台产品数据信息类型、保护级别、保护要求以及不同主体承担的责任和义务，描述了相应的验证方法。

　　本文件适用于增材制造云服务平台在提供服务过程中的产品数据保护。

　　2 规范性引用文件

　　下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款 。其中，注日期的引用文件，仅该日期对应的版本适用于本文件 ;不注日期的引用文件，其最新版本(包括所有的修改单) 适用于本文件。

　　GB/T 35351 增材制造 术语

　　GB/T 37461 增材制造 云服务平台模式规范

　　GB/T 39403 云制造服务平台安全防护管理要求

　　3 术语和定义

　　GB/T 35351 和 GB/T 37461 界定的以及下列术语和定义适用于本文件。

　　3.1

　　增材制造云服务平台 additive manufacturing cloud service platform;AMCSP

　　基于增材制造和云服务技术，提供增材制造商品及相关服务(例如设计、支付、交易、配送等) 的平台。

　　[ 来源： GB/T 37461—2019 ，3.5]

　　3.2

　　产品数据信息 product data information

　　AMCSP 在提供增材制造商品及服务过程中涉及产品的相关信息。

　　3.3

　　三维模型提供者 provider of 3D design model

　　拥有三维模型所有权或得到三维模型所有者合法授权， 向 AMCSP 提供三维模型的行为主体。

　　注： 主要包括消费者和设计师。

　　3.4

　　三维模型接收者 receiver of 3D design model

　　从 AMCSP接收三维模型数据用于增材制造目的的行为主体。

　　注： 通常指增材制造生产服务商。

　　4 产品数据信息类型

　　4.1 增材制造云服务平台( 以下简称 “ 云服务平台”) 包括制造、在线设计与制造、委托设计与制造

　　1

　　GB/T 44909—2024

　　和在线选购四种基本服务模式 。云服务平台产品数据信息包括产品基本信息、产品归属信息、产品三维模型信息、产品制造信息、产品交易信息和产品设计需求信息六种类型。

　　4.2 产品基本信息包括但不限于：

　　a) 产品名称;

　　b) 商标和/或品牌;

　　c) 产品种类，可按照产品用途、材质等进行分类;

　　d) 产品描述，例如文本、图片、音频、视频等各种类型信息。

　　4.3 产品归属信息包括但不限于：

　　a) 三维模型提供者，可提供版权或合法授权证明;

　　b) 店铺名称(如有)。

　　4.4 产品三维模型信息包括但不限于：

　　a) 产品形状;

　　b) 产品尺寸;

　　c) 模型文件，例如几何或切片文件。

　　4.5 产品制造信息包括但不限于：

　　a) 原材料;

　　b) 制造工艺和/或设备，包括类型、参数等;

　　c) 产品外观要求，包括颜色、表面处理方法、表面粗糙度等;

　　d) 产品性能要求，包括力学性能、加工精度等。

　　4.6 产品交易信息包括但不限于：

　　a) 产品报价;

　　b) 购买数量;

　　c) 交易金额;

　　d) 交货时间;

　　e) 配送地址和方式。

　　4.7 产品设计需求信息包括但不限于：

　　a) 产品功能描述;

　　b) 产品尺寸要求;

　　c) 产品外观要求(颜色、表面处理方法等);

　　d) 产品性能(力学性能、精度等);

　　e) 设计完成时间;

　　f) 交付方式;

　　g) 设计报价。

　　5 产品数据信息保护级别

　　5.1 根据产品数据信息的重要性程度，将其分为三个保护级别：

　　— Ⅰ级： 最严格的保护级别，用于核心数据信息的保护，该级别信息不能被泄露;

　　— Ⅱ级： 严格的保护级别，用于重要数据信息的保护，该级别信息可由数据信息权利人自行选择是否公开;

　　—Ⅲ级： 普通的保护级别，用于一般数据信息的保护，该级别信息通常被公开。

　　5.2 产品数据信息的推荐保护级别见表1。

　　2

　　GB/T 44909—2024

　　表 1 产品数据信息的推荐保护级别

　　信息分类

　　主要内容

　　保护级别

　　产品基本信息

　　产品名称、商标和/或品牌、产品种类、产品描述等

　　Ⅲ级

　　产品归属信息

　　店铺名称等

　　Ⅲ级

　　三维模型提供者

　　Ⅱ级

　　产品三维模型信息

　　产品形状、产品尺寸等

　　Ⅲ级

　　模型文件

　　Ⅰ级

　　产品制造信息

　　原材料、制造工艺和/或设备(包括类型等)、产品外观要求、产品性能

　　要求等

　　Ⅲ级

　　制造工艺和/或设备(包括参数等)

　　Ⅱ级

　　产品交易信息

　　产品报价

　　Ⅲ级

　　购买数量、交易金额等

　　Ⅱ级

　　产品设计需求信息

　　产品功能描述、产品尺寸要求、产品外观要求、产品性能、设计完成时

　　间、交付方式、设计报价

　　Ⅱ级

　　6 产品数据信息保护要求

　　6.1 通则

　　产品数据信息的处理过程可分为收集、存储、展示、转移和删除五个阶段：

　　a) 收集阶段指云服务平台对三维模型提供者上传的三维模型等产品数据信息进行提取、记录和标注等;

　　b) 存储阶段指云服务平台对收集到的产品数据信息进行存储操作;

　　c) 展示阶段指云服务平台对收集到的产品数据信息在平台上进行展示;

　　d) 转移阶段指云服务平台将收集到的产品数据信息发送给增材制造生产服务商等三维模型接收者;

　　e) 删除阶段指云服务平台对收集到的产品数据信息进行删除。

　　应根据不同类型产品数据信息的保护级别和不同阶段，采用不同的产品数据信息保护策略。

　　6.2 收集阶段

　　云服务平台基础设施应符合 GB/T 39403 的安全要求，云服务提供商宜经过安全等级保护认证。

　　云服务平台在产品数据信息收集阶段应遵循合法、正当、必要的原则，不应收集与其提供的服务无直接或无合理关联，或超出敏感数据和信息主体明示同意期限的信息。

　　6.3 存储阶段

　　云服务平台应对产品数据信息存储活动采取安全措施，防止信息非法扩散和窃取。

　　对于 Ⅰ级、Ⅱ级等敏感产品数据信息，应采用加密、安全存储、访问控制、安全审计等安全措施，不应超过与敏感数据信息主体约定的存储期限。

　　6.4 展示阶段

　　消费者在云服务平台上选择符合自己需求的商品时，云服务平台宜提供在线三维模型产品效果浏览功能，帮助消费者从不同视角查看三维模型产品的细节。

　　3

　　GB/T 44909—2024

　　对于 Ⅰ级产品数据信息，服务器端和客户端之间的调用、传输和展示应使用但不限于模型加密、简化模型浏览等产品数据保护技术，确保三维模型等敏感产品数据信息的安全性。

　　对于Ⅱ级产品数据信息，数据信息权利人自行选择是否公开。

　　对于Ⅲ级产品数据信息，该级别信息通常被公开。

　　6.5 转移阶段

　　云服务平台向三维模型接收者传输数据时，应按要求采取安全措施并以书面形式进行约定。

　　对于 Ⅰ级产品数据信息应进行重点保护，云服务平台(或消费者) 和三维模型接收者在传输产品数据信息时宜使用安全连接，并通过加密技术、区块链技术、发送切片数据流等安全传输技术，保证三维模型等敏感产品数据信息的安全。

　　三维模型接收者存储数据时，同样应按要求采取安全措施并以书面形式进行约定。

　　6.6 删除阶段

　　云服务平台对收集、存储、展示、转移阶段所使用的产品数据信息，应提供自动删除或者手动删除功能。

　　云服务平台提供的删除功能应具备数据彻底删除能力，以保证被删除的产品数据信息不可被恢复。

　　当消费者或者设计师通过电子邮件、传真、书面申请等方式提出删除要求，或者云服务平台将产品数据信息保留超过双方约定的时间时，云服务平台应将产品数据信息进行彻底删除。

　　7 验证方法

　　云服务平台应根据产品数据信息的不同保护级别和处理过程制定相应的产品数据信息保护的总体方针与策略措施，对必要事项进行公示或声明 。开展产品数据保护质量测试时，应先编制测试方案，包含但不限于以下内容。

　　a) 测试环境。测试所需要的资源，包括硬件、软件、 网络等。

　　b) 测试内容 。根据产品数据信息保护级别和保护要求，覆盖云服务平台对应功能，给出测试计划、测试过程描述和测试结果及评价。

　　c) 测试用例。包括名称、编号、要求、测试步骤、数据等。

　　d) 测试方法。包括测试所用的技术、手段、工具、主要限制等。

　　e) 测试人员。应熟悉增材制造技术和云服务平台，分工合理。

　　f) 风险评估。针对各阶段的测试重点，对测试工作进行风险分析与评估。

　　8 不同主体应承担的责任和义务

　　8.1 产品数据信息提供者的责任和义务

　　产品数据信息提供者应对其提供的三维模型数据的流通和使用行为的合规性负责，承担的责任和义务包括但不限于：

　　a) 应确保所提供的三维模型不涉及法律、行政法规禁止发布或传输的信息;

　　b) 应确保所提供的三维模型拥有版权或合法授权、不是从第三方非法复制的，保证所发布的任何内容不侵犯第三方的知识产权。

　　8.2 产品数据信息接收者的责任和义务

　　产品数据信息接收者对产品数据保护承担的责任和义务包括但不限于：

　　4

　　GB/T 44909—2024

　　a) 应贯彻个人信息保护相关法律、行政法规及行为规范，自觉维护产品信息主体的知识产权和合法权益;

　　b) 应尊重他人拥有的三维模型所有权，只将其用于授权的特定用途并不得用于其他用途;

　　c) 应在约定的业务用途下，依法收集、处理、保存、传输和删除数据，并且采取适当的保护措施以避免数据在未经授权的情况下被使用或外泄。

　　8.3 云服务平台的责任和义务

　　云服务平台对产品数据保护承担的责任和义务包括但不限于：

　　a) 应贯彻个人信息保护相关法律、行政法规及行为规范，自觉维护产品信息主体的知识产权和合法权益;

　　b) 应根据法律、行政法规规定，制定云服务平台产品数据保护政策，确保交易主体的合法权益;

　　c) 应设立产品数据保护管理部门，负责云服务平台产品数据保护工作的日常管理和实施;

　　d) 应制定产品数据保护管理制度，明确云服务平台、交易主体的职责义务及惩罚措施;

　　e) 应组织开展产品数据保护宣传培训活动;

　　f) 应加强数据审核管理，发现法律 、行政法规禁止发布或传播的信息时，依法采取必要处置措施，并向有关主管部门报告。

　　5

　　GB/T 44909—2024

　　参 考 文 献

　　[1] GB/T 31168 信息安全技术 云计算服务安全能力要求

　　[2] GB/T 37932—2019 信息安全技术 数据交易服务安全要求

　　[3] GB/T 37960 云制造服务平台应用实施规范

　　[4] GB/T 40210 增材制造云服务平台参考体系

　　[5] GB/T 41479 信息安全技术 网络数据处理安全要求

　　[6] ISO/IEC 23510：2021 Information technology—3D printing and scanning—Framework for an Additive Manufacturing Service Platform (AMSP)

　　[7] ISO/IEC 27001 Information security management

　　[8] ISO/IEC 27017：2015 Information technology—Security techniques—Code of practice for information security controls based on ISO/IEC 27002 for cloud services

　　[9] ISO/IEC 29151：2017 Information technology—Security techniques—Code of practice for personally identifiable information protection

　　6