第一條 為落實《中共中央 國務院關于構建數據基礎制度更好發揮數據要素作用的意見》中“建立健全個人信息數據確權授權機制”和中共北京市委、北京市人民政府印發的《關于更好發揮數據要素作用進一步加快發展數字經濟的實施意見》中“推進建立個人數據分類分級確權授權機制”相關要求,進一步鞏固北京數據基礎制度先行區工作成果,規范個人信息授權運營管理,確保個人信息主體對自身數據使用情況享有的知情權、決定權和收益權,推動數據的合法、合理利用及價值實現,根據《中華人民共和國個人信息保護法》(以下簡稱“《個保法》”)要求,針對個人信息主體及其相關方在數據授權平臺上進行的數據授權行為,制定本辦法。
第二條 在涉及個人信息的數據流通交易場景中,主要包括以下四方角色:數據提供方、個人信息主體、數據使用方和數據授權平臺方。其中,數據提供方負責提供其合法合規收集到的個人信息數據,數據使用方則需通過數據授權平臺獲取個人信息主體的授權,并在授權范圍內進行數據的合法使用。
(一)數據提供方是指合法持有或有權使用個人信息數據并在數據授權平臺上提供這些數據的各類主體。數據提供方對其提供數據的質量負責,并且在數據的收集和處理過程中,嚴格遵守相關法律法規的要求。
(二)數據授權平臺是一個技術與業務平臺(以下簡稱“平臺”),旨在為數據提供方、個人信息主體和數據使用方提供一個交互的界面,以便進行個人信息的授權和管理。平臺提供用戶友好的操作界面,并負責監督個人信息的授權過程,以確保授權過程符合《個保法》《數據授權平臺用戶協議》(以下簡稱“《用戶協議》”)和《數據授權平臺隱私政策》(以下簡稱“《隱私政策》”)的有關要求。
(三)個人信息主體,在平臺的身份為授權人,依法享有對個人信息數據使用與處理的決定權,包括但不限于個人信息數據使用與否、使用條件、使用目的及適用場景等。為實現上述權益,個人信息主體可以通過數據授權平臺進行數據授權、消息傳遞、個人信息管理、查詢使用記錄等活動。
(四)數據使用方,在平臺的身份為被授權人,是指出于特定目的需要訪問和使用個人信息的各類主體。數據使用方必須遵守數據授權平臺中授權文件的有關規定,確保在授權范圍內使用個人信息數據,并承擔保護數據的安全和隱私的責任。
第三條 個人信息主體對其個人信息的處理享有知情權、決定權和收益權,有權限制或者拒絕他人對其個人信息進行處理。法律、行政法規另有規定的除外。
第四條 個人信息主體有權查閱、復制其個人信息,并有權要求平臺更正、補充或刪除與其相關的個人信息數據,以確保數據的準確性和完整性。
第五條 對于平臺經過個人信息主體同意而進行的個人信息處理,個人信息主體有權撤回已同意的授權。
第六條 個人信息主體有權向平臺投訴未按照數據授權平臺中的授權使用個人信息的行為。
第七條 個人信息主體在授權個人信息使用時,應仔細閱讀并理解數據授權平臺中授權文件的有關規定,了解平臺及數據使用方的名稱和聯系方式、個人信息的處理目的、處理方式、所授權使用的個人信息種類、保存期限、行使權利的方式和程序,核對數據提供方所提供的相關個人信息的真實、準確性。
第八條 數據提供方在數據采集活動中,應當依據《個保法》做到個人信息的合法合規收集,通過書面方式(如《隱私政策》)向個人信息主體明確告知其收集個人信息的目的、范圍方式和個人信息種類、保存期限,并獲得個人信息主體的明確同意。同時,應嚴格遵循最小必要原則,僅收集與特定目的直接相關且必要的數據,避免過度收集。
第九條 數據提供方應當采取必要的技術和管理措施,以保障數據的安全性,防止數據泄露和濫用;定期評估和審核數據收集活動,確保其持續符合法律法規要求。
第十條 數據提供方應實施恰當的技術和管理手段,以保障數據的安全性,預防數據泄露與濫用現象的發生;同時,應定期對數據收集活動進行評估與審核,確保其始終符合相關法律法規的規定。
第十一條 數據提供方有權決定是否將經個人信息主體授權采集到的個人信息加工后的數據產品接入到數據授權平臺。同時有權設定數據分享的條件和范圍。
第十二條 數據使用方需要明確個人信息數據使用的目的和范圍,在確保通過數據授權平臺獲得個人信息主體的明確同意和授權后進行數據的使用和處理。
第十三條 在申請數據使用授權的過程中,數據使用方應遵循透明度原則,以顯著方式、清晰易懂的語言,向個人信息主體真實、準確、完整地披露被授權方的名稱和聯系方式、涉及的個人信息類型、使用場景、授權期限等相關信息。
第十四條 數據使用方在使用數據時,不得超出授權范圍使用個人信息,應采取適當的保護措施,防止數據泄露,同時在數據使用過程中,尊重個人信息主體的數據權益和其他相關權利。
第十五條 數據提供方同意將經個人信息主體授權后采集的個人信息所加工的數據產品接入數據授權平臺后,按照平臺規范進行技術對接,完成數據產品的平臺對接與啟用。
第十六條 數據使用方需根據數據授權平臺所明確的信息類型列表,通過數據授權平臺提交詳細的數據授權申請信息,包括但不限于擬使用數據的信息類型、最終使用者、使用目的、使用場景等信息,且申請信息必須明確標注授權的截止時間,并確保符合《個保法》等法律法規、《用戶協議》及《隱私政策》的要求。
第十七條 數據授權平臺接收到數據授權申請后,向個人信息主體發送授權請求,前述授權請求中包含授權范圍、被授權人及所授權個人信息種類和授權期限的內容,以確保個人信息主體基于充分的了解做出明確的決定。
第十八條 若個人信息主體同意授權,將通過平臺簽署電子授權書,明確授權內容、授權期限等內容。經過個人信息主體同意的個人信息授權,個人信息主體可隨時申請撤回其授權,已發生的費用和成本由撤回授權的個人信息主體承擔,已交付給數據使用方的數據無法撤回,但平臺可以通知數據使用方個人信息主體撤回授權的決定。
第十九條 個人信息處理者應當根據個人信息的處理目的、處理方式、個人信息的種類以及對個人權益的影響、可能存在的安全風險等,采取下列措施確保個人信息處理活動符合法律、行政法規的規定,并防止未經授權的訪問以及個人信息泄露、篡改、丟失:
(四)合理確定個人信息處理的操作權限,并定期對從業人員進行安全教育和培訓;
第二十條 履行個人信息保護職責的部門履行下列個人信息保護職責:
(一)開展個人信息保護宣傳教育,指導、監督個人信息處理者開展個人信息保護工作;
(三)組織對應用程序等個人信息保護情況進行測評,并公布測評結果;
第二十一條 在數據授權流通交易全部環節中,個人信息在存儲和傳輸過程中應當進行加密。數據傳輸應采用安全協議,如傳輸層安全協議(Transport Layer Security)或安全套接層協議(Secure Sockets Layer),確保在互聯網傳輸過程中的安全性。對于個人敏感數據,如個人財務信息或個人身份信息,應采用高級別的加密措施和專門的安全通道。
第二十二條 所有數據處理相關方的處理活動中,涉及的平臺和工具必須通過多因素身份驗證,包括密碼、生物識別或手機令牌等方式才可允許訪問,同時實施嚴格的訪問控制策略,確保只有授權用戶才能訪問特定的數據集。平臺方應定期審查訪問日志,監控異常訪問行為,并采取必要的預防措施。
第二十三條 為確保數據的安全性和可用性,備份策略應包括定期備份數據,選擇合適的備份介質和存儲位置,以及制定備份計劃。恢復策略應明確恢復流程和步驟,測試備份數據的有效性,及時發現和解決潛在問題。同時,要建立備份恢復的監控和評估機制,不斷優化策略,以適應業務變化和數據增長的需求。
第二十四條 除法律、行政法規另有規定外,個人信息的保存期限應當為實現特定處理目的所必要的最短期限內。
第二十五條 本辦法未盡事宜,按國家、北京市有關法律、法規、規章等規范性文件,以及數據授權平臺用戶協議及隱私政策的要求執行。本辦法如與法律、法規、規范性文件、平臺用戶協議及隱私政策不一致的,以法律、法規、規范性文件、平臺用戶協議及隱私政策的規定為準。
第二十六條 本辦法由北京國際大數據交易所有限責任公司負責解釋和修訂。
浙公網安備 33010502006954號 
