GBT 38158-2019 重要产品追溯 产品追溯系统基本要求

书书书犐犆犛０３．１２０．０１犔７０!#$%&’’()*犌犅／犜３８１５８—２０１９!#$%&　#$%&’()*+犐犿狆狅狉狋犪狀狋狆狉狅犱狌犮狋狋狉犪犮犲犪犫犻犾犻狋狔—犌犲狀犲狉犪犾狉犲狇狌犻狉犲犿犲狀狋狊犳狅狉狆狉狅犱狌犮狋狋狉犪犮犲犪犫犻犾犻狋狔狊狔狊狋犲犿２０１９１０１８,-２０１９１０１８./’(+,-./012!’’()*3/0456,-目　　次前言Ⅰ…………………………………………………………………………………………………………１　范围１………………………………………………………………………………………………………２　规范性引用文件１…………………………………………………………………………………………３　术语和定义１………………………………………………………………………………………………４　总体要求２…………………………………………………………………………………………………５　追溯系统建设要求３………………………………………………………………………………………６　追溯数据管理要求４………………………………………………………………………………………７　追溯系统运维要求５………………………………………………………………………………………８　追溯系统安全要求５………………………………………………………………………………………参考文献６………………………………………………………………………………………………………犌犅／犜３８１５８—２０１９前　　言　　本标准按照ＧＢ／Ｔ１．１—２００９给出的规则起草。本标准由中国标准化研究院提出并归口。本标准起草单位：上海中信信息发展股份有限公司、中国标准化研究院、商务部流通产业促进中心、中国电子技术标准化研究院、中国国际电子商务中心、中国物品编码中心、北京交通大学、追溯云信息发展股份有限公司。本标准主要起草人：高自立、刘文、赵箭、龚海岩、王文峰、任晓涛、张铎、杨安荣、刘理洲、张信定、刘鹏、高琳、张秋霞、方润鑫、孙小云、耿力、杜景荣。Ⅰ犌犅／犜３８１５８—２０１９重要产品追溯　产品追溯系统基本要求１　范围本标准规定了产品追溯系统的总体要求、追溯系统建设要求、追溯数据管理要求、追溯系统运维要求以及追溯系统安全要求等内容。本标准适用于食用农产品、食品、药品、农业生产资料、特种设备、危险品、稀土产品等重要产品追溯系统建设。２　规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。ＧＢ／Ｔ２２２３９　信息安全技术　信息系统安全等级保护基本要求ＧＢ／Ｔ２８４５２　信息安全技术　应用软件系统通用安全技术要求ＧＢ／Ｔ３８１５４　重要产品追溯　核心元数据ＧＢ／Ｔ３８１５５　重要产品追溯　追溯术语ＧＢ／Ｔ３８１５６　重要产品追溯　交易记录总体要求ＧＭ／Ｔ００５４—２０１８　信息系统密码应用基本要求３　术语和定义ＧＢ／Ｔ３８１５５界定的以及下列术语和定义适用于本文件。为了便于使用，以下重复列出了ＧＢ／Ｔ３８１５５中的某些术语和定义。３．１追溯系统　狋狉犪犮犲犪犫犻犾犻狋狔狊狔狊狋犲犿基于追溯码、文件记录、相关软硬件设备和通信网络，实现现代信息化管理并可获取产品追溯过程中相关数据的集成。［ＧＢ／Ｔ３８１５５—２０１９，定义２．６］３．２追溯参与方　狋狉犪犮犲犪犫犻犾犻狋狔狆犪狉狋犻犮犻狆犪狀狋在供应链中从事产品初级生产、生产加工、包装、仓储、运输、配送、销售、消费（使用）等相关业务的组织或个人。［ＧＢ／Ｔ３８１５５—２０１９，定义２．５］３．３追溯单元　狋狉犪犮犲犪犫犻犾犻狋狔狌狀犻狋需要对其历史、应用情况或所处位置的相关信息进行记录、标识并可追溯的单个产品、同一批次产品或同一品类产品。［ＧＢ／Ｔ３８１５５—２０１９，定义２．４］１犌犅／犜３８１５８—２０１９３．４基本追溯信息　犫犪狊犻犮狋狉犪犮犲犪犫犻犾犻狋狔犻狀犳狅狉犿犪狋犻狅狀能够实现追溯系统中各参与方之间有效链接的必需信息。　　注：这些信息可以是责任主体备案信息、产品名称、产品唯一代码、追溯单元、追溯码等。［ＧＢ／Ｔ３８１５５—２０１９，定义３．１］３．５扩展追溯信息　犲狓狋犲狀犱犲犱狋狉犪犮犲犪犫犻犾犻狋狔犻狀犳狅狉犿犪狋犻狅狀除基本追溯信息外，与产品追溯相关的其他信息，可以是产品质量或用于商业目的的信息。　　注：这些信息可以是生产流程、参与人员及时间等信息。［ＧＢ／Ｔ３８１５５—２０１９，定义３．２］３．６云计算　犮犾狅狌犱犮狅犿狆狌狋犻狀犵通过网络访问可扩展的、灵活的物理或虚拟资源池，并可按需自助获取与管理资源的模式。　　注：资源实例包括服务器、操作系统、网络、软件、应用与存储设备等。［ＧＢ／Ｔ３１１６７—２０１４，定义３．１］３．７物联网　犻狀狋犲狉狀犲狋狅犳狋犺犻狀犵狊；犐狅犜通过感知设备，按照约定协议，连接物、人、系统和信息资源，实现对物理和虚拟世界的信息进行处理并作出反应的智能服务系统。　　注：物即物理实体。［ＧＢ／Ｔ３３７４５—２０１７，定义２．１．１］３．８区块链　犫犾狅犮犽犮犺犪犻狀一种在对等网络环境下，通过透明和可信规则，构建不可伪造、不可篡改和可追溯的块链式数据结构，实现和管理事务处理的模式。　　注：事务处理包括但不限于可信数据的产生、存取和使用等。３．９对等网络　狆犲犲狉狋狅狆犲犲狉狀犲狋狑狅狉犽一种仅包含对控制和操作能力等效的节点的计算机网络。［ＧＢ／Ｔ５２７１．１８—２００８，定义１８．０４．０５］３．１０块链式数据结构　犮犺犪犻狀犲犱犫犾狅犮犽犱犪狋犪狊狋狉狌犮狋狌狉犲一段时间内发生的事务处理以区块为单位进行存储，并以密码学算法将区块按时间顺序连接成链条的一种数据结构。３．１１防伪技术　犪狀狋犻犮狅狌狀狋犲狉犳犲犻狋犻狀犵狋犲犮犺狀犻狇狌犲狊为了达到防伪目的而采取的，在一定范围内能准确鉴别真伪并不易被仿制和复制的技术。［ＧＢ／Ｔ１７００４—１９９７，定义２．２］４　总体要求４．１　追溯系统的建设、运行应符合国家相关法律、法规与标准的规定，并充分满足管理部门、消费者、供应链企业等不同类型用户的差异化需求。２犌犅／犜３８１５８—２０１９４．２　追溯系统建设方应明确其在供应链中的位置，并将涉及的供应链环节中质量安全相关信息作为追溯内容，以便在供应链上形成全程信息可追溯链条。４．３　追溯参与方应建立追溯数据存储和管理机制，可利用区块链、防伪等技术完整记录追溯信息，确保数据真实、准确、完整。４．４　追溯系统应能实现内部追溯和外部追溯，对接追溯主体的内部管理信息系统和追溯参与方的供应链信息系统。４．５　追溯系统应对追溯信息进行分用户管理，向消费者、相关部门、相关企业等用户按需要、按权限提供追溯信息。４．６　追溯系统宜使用云计算、物联网、区块链、防伪技术等信息技术建设。５　追溯系统建设要求５．１　追溯参与方信息管理５．１．１　追溯参与方可管理本企业基本信息及与本企业供应链上下游相关企业的基本信息。５．１．２　追溯系统应具有追溯参与方信息登记、检索、修改、验证等管理功能。５．１．３　企业追溯参与方管理内容包括但不限于：法人责任主体名称、统一社会信用代码、法人责任主体类型、法人代表身份证号码、行业代码、生产／经营许可证号、经营地址、联系人等。５．１．４　自然人追溯参与方登记内容包括但不限于：自然人责任主体名称、自然人责任主体身份证号码、所属企业名称、行业代码、通讯地址、联系电话等。５．２　产品信息管理５．２．１　产品信息管理可管理本企业生产经营的产品及生产过程中使用的原辅料和投入品。５．２．２　追溯系统应具有产品信息登记、编码、检索、修改等功能。５．２．３　产品信息管理内容包括但不限于：产品名称、产品唯一代码、所属品种、所属企业、规格等。５．３　交易信息管理５．３．１　交易信息管理应实现对本企业进出产品的上下游交易信息采集，应遵照ＧＢ／Ｔ３８１５６。５．３．２　交易信息采集方式包括但不限于：扫描产品追溯标签、读取射频标签、系统录入。５．３．３　交易信息采集内容包括但不限于：主体备案信息、产品名称、产品唯一代码、追溯单元、追溯码、批次号、生产日期／安装日期、交易日期、供应商／采购商代码、供应商／采购商名称等。５．４　赋码信息管理５．４．１　企业应根据追溯系统中的产品特征，对产品批次进行定义，确定追溯单元。５．４．２　结合企业经营管理要求，可根据产品特性、初级生产、生产加工、包装、仓储、运输、配送、销售、消费（使用）和检测等信息，对追溯单元进行赋码，赋码载体包括但不限于：包装标识、追溯标签、追溯身份卡或交易凭证等。５．４．３　赋码信息包括本节点信息和产品流向信息，赋码信息可关联包括但不限于：主体备案信息、产品名称、产品唯一代码、产品批次、追溯码、生产日期／安装日期、保质期／使用期限、检验检测信息等。５．４．４　编码规则应采用国际或国内通用的或与其兼容的编码。５．５　产品仓储信息管理５．５．１　产品仓储信息管理应实现对仓储责任主体、托管责任主体、出入库情况等信息的管理。５．５．２　产品仓储信息主要内容包括但不限于：仓储责任主体代码、仓储责任主体名称、托管责任主体代３犌犅／犜３８１５８—２０１９码、托管责任主体名称、产品代码、产品名称、产品流向、出入库时间、出入库单号、仓储环境信息等。５．６　产品运输信息管理５．６．１　产品运输信息管理应实现对物流责任主体、托运责任主体、接收责任主体和运输车辆等信息管理。５．６．２　产品运输信息主要内容包括但不限于：物流责任主体代码、物流责任主体名称、托运责任主体代码、托运责任主体名称、接收责任主体代码、接收责任主体名称、产品代码、产品名称、物流单号、物流环境信息、运输单元追溯码和运输车牌号等。５．７　产品消费（使用）信息管理５．７．１　在产品消费（使用）环节应实现对消费（使用）主体、消费（使用）日期、消费（使用）情况等信息管理。　　注：消费（使用）主体指在产品消费（使用）终端环节的企业，如团体消费单位、医院、特种设备使用单位等。５．７．２　产品消费（使用）信息主要内容包括但不限于：消费（使用）企业代码、消费（使用）企业名称、消费（使用）日期、消费（使用）批次、产品代码、产品名称等。５．８　权限管理５．８．１　追溯系统应采取相对严格的系统权限管理措施，明确责任主体，确保信息安全。５．８．２　追溯系统应具备对用户和角色的权限调配功能。５．８．３　追溯系统应具备对组织机构、用户、角色的基本信息维护功能。６　追溯数据管理要求６．１　数据格式追溯数据格式应符合ＧＢ／Ｔ３８１５４的要求。６．２　信息存储６．２．１　应支持海量数据存储功能。６．２．２　宜采用分布式存储，并提供备份。６．２．３　应提供对结构化数据和非结构化数据的存储功能。６．２．４　存储的数据保存期限可根据行业相关规定确定，没有行业规定的数据保存期限不得少于产品保质期／寿命满后１年，没有明确保质期／寿命规定的，数据应保留２年以上。６．２．５　数据应保证不可被篡改。６．３　信息交换６．３．１　追溯信息交换的数据接口应符合国家重要产品追溯体系数据对接相关技术要求。６．３．２　国家重要产品追溯体系数据对接相关技术要求未明确规定的，应按照相关技术要求并结合实际情况，自行制定数据接口标准。６．４　信息共享６．４．１　企业追溯信息应根据法律法规要求向消费者、供应链企业和相关部门开放。６．４．２　追溯信息应确保能够共享至追溯管理平台、追溯服务平台和相关追溯链条企业管理系统。４犌犅／犜３８１５８—２０１９７　追溯系统运维要求７．１　企业应明确追溯系统运维人员岗位职责，明确系统管理者的权限与职责，确保追溯系统的有效实施。７．２　企业应制定系统培训计划，为企业内部参与者提供培训，确保参与者具备实施追溯系统的能力。７．３　企业应建立比较稳定的运维队伍，落实运维责任。７．４　对于系统运行故障，企业需要做好应急处理预案，故障发生时，及时做出响应并详细排查故障原因，做好善后工作。８　追溯系统安全要求８．１　追溯系统安全应根据系统安全管理