北京國際大數(shù)據(jù)交易所有限責任公司
第一條 為落實《中共中央 國務(wù)院關(guān)于構(gòu)建數(shù)據(jù)基礎(chǔ)制度更好發(fā)揮數(shù)據(jù)要素作用的意見》中“建立健全個人信息數(shù)據(jù)確權(quán)授權(quán)機制”和中共北京市委、北京市人民政府印發(fā)的《關(guān)于更好發(fā)揮數(shù)據(jù)要素作用進一步加快發(fā)展數(shù)字經(jīng)濟的實施意見》中“推進建立個人數(shù)據(jù)分類分級確權(quán)授權(quán)機制”相關(guān)要求,進一步鞏固北京數(shù)據(jù)基礎(chǔ)制度先行區(qū)工作成果,規(guī)范個人信息授權(quán)運營管理,確保個人信息主體對自身數(shù)據(jù)使用情況享有的知情權(quán)、決定權(quán)和收益權(quán),推動數(shù)據(jù)的合法、合理利用及價值實現(xiàn),根據(jù)《中華人民共和國個人信息保護法》(以下簡稱“《個保法》”)要求,針對個人信息主體及其相關(guān)方在數(shù)據(jù)授權(quán)平臺上進行的數(shù)據(jù)授權(quán)行為,制定本辦法。
第二條 在涉及個人信息的數(shù)據(jù)流通交易場景中,主要包括以下四方角色:數(shù)據(jù)提供方、個人信息主體、數(shù)據(jù)使用方和數(shù)據(jù)授權(quán)平臺方。其中,數(shù)據(jù)提供方負責提供其合法合規(guī)收集到的個人信息數(shù)據(jù),數(shù)據(jù)使用方則需通過數(shù)據(jù)授權(quán)平臺獲取個人信息主體的授權(quán),并在授權(quán)范圍內(nèi)進行數(shù)據(jù)的合法使用。
(一)數(shù)據(jù)提供方是指合法持有或有權(quán)使用個人信息數(shù)據(jù)并在數(shù)據(jù)授權(quán)平臺上提供這些數(shù)據(jù)的各類主體。數(shù)據(jù)提供方對其提供數(shù)據(jù)的質(zhì)量負責,并且在數(shù)據(jù)的收集和處理過程中,嚴格遵守相關(guān)法律法規(guī)的要求。
(二)數(shù)據(jù)授權(quán)平臺是一個技術(shù)與業(yè)務(wù)平臺(以下簡稱“平臺”),旨在為數(shù)據(jù)提供方、個人信息主體和數(shù)據(jù)使用方提供一個交互的界面,以便進行個人信息的授權(quán)和管理。平臺提供用戶友好的操作界面,并負責監(jiān)督個人信息的授權(quán)過程,以確保授權(quán)過程符合《個保法》《數(shù)據(jù)授權(quán)平臺用戶協(xié)議》(以下簡稱“《用戶協(xié)議》”)和《數(shù)據(jù)授權(quán)平臺隱私政策》(以下簡稱“《隱私政策》”)的有關(guān)要求。
(三)個人信息主體,在平臺的身份為授權(quán)人,依法享有對個人信息數(shù)據(jù)使用與處理的決定權(quán),包括但不限于個人信息數(shù)據(jù)使用與否、使用條件、使用目的及適用場景等。為實現(xiàn)上述權(quán)益,個人信息主體可以通過數(shù)據(jù)授權(quán)平臺進行數(shù)據(jù)授權(quán)、消息傳遞、個人信息管理、查詢使用記錄等活動。
(四)數(shù)據(jù)使用方,在平臺的身份為被授權(quán)人,是指出于特定目的需要訪問和使用個人信息的各類主體。數(shù)據(jù)使用方必須遵守數(shù)據(jù)授權(quán)平臺中授權(quán)文件的有關(guān)規(guī)定,確保在授權(quán)范圍內(nèi)使用個人信息數(shù)據(jù),并承擔保護數(shù)據(jù)的安全和隱私的責任。
第二章 個人信息主體的權(quán)利和義務(wù)
第三條 個人信息主體對其個人信息的處理享有知情權(quán)、決定權(quán)和收益權(quán),有權(quán)限制或者拒絕他人對其個人信息進行處理。法律、行政法規(guī)另有規(guī)定的除外。
第四條 個人信息主體有權(quán)查閱、復制其個人信息,并有權(quán)要求平臺更正、補充或刪除與其相關(guān)的個人信息數(shù)據(jù),以確保數(shù)據(jù)的準確性和完整性。
第五條 對于平臺經(jīng)過個人信息主體同意而進行的個人信息處理,個人信息主體有權(quán)撤回已同意的授權(quán)。
第六條 個人信息主體有權(quán)向平臺投訴未按照數(shù)據(jù)授權(quán)平臺中的授權(quán)使用個人信息的行為。
第七條 個人信息主體在授權(quán)個人信息使用時,應(yīng)仔細閱讀并理解數(shù)據(jù)授權(quán)平臺中授權(quán)文件的有關(guān)規(guī)定,了解平臺及數(shù)據(jù)使用方的名稱和聯(lián)系方式、個人信息的處理目的、處理方式、所授權(quán)使用的個人信息種類、保存期限、行使權(quán)利的方式和程序,核對數(shù)據(jù)提供方所提供的相關(guān)個人信息的真實、準確性。
第三章 數(shù)據(jù)提供方的授權(quán)采集與接入
第八條 數(shù)據(jù)提供方在數(shù)據(jù)采集活動中,應(yīng)當依據(jù)《個保法》做到個人信息的合法合規(guī)收集,通過書面方式(如《隱私政策》)向個人信息主體明確告知其收集個人信息的目的、范圍方式和個人信息種類、保存期限,并獲得個人信息主體的明確同意。同時,應(yīng)嚴格遵循最小必要原則,僅收集與特定目的直接相關(guān)且必要的數(shù)據(jù),避免過度收集。
第九條 數(shù)據(jù)提供方應(yīng)當采取必要的技術(shù)和管理措施,以保障數(shù)據(jù)的安全性,防止數(shù)據(jù)泄露和濫用;定期評估和審核數(shù)據(jù)收集活動,確保其持續(xù)符合法律法規(guī)要求。
第十條 數(shù)據(jù)提供方應(yīng)實施恰當?shù)募夹g(shù)和管理手段,以保障數(shù)據(jù)的安全性,預防數(shù)據(jù)泄露與濫用現(xiàn)象的發(fā)生;同時,應(yīng)定期對數(shù)據(jù)收集活動進行評估與審核,確保其始終符合相關(guān)法律法規(guī)的規(guī)定。
第十一條 數(shù)據(jù)提供方有權(quán)決定是否將經(jīng)個人信息主體授權(quán)采集到的個人信息加工后的數(shù)據(jù)產(chǎn)品接入到數(shù)據(jù)授權(quán)平臺。同時有權(quán)設(shè)定數(shù)據(jù)分享的條件和范圍。
第四章 數(shù)據(jù)使用方對個人信息的使用和處理
第十二條 數(shù)據(jù)使用方需要明確個人信息數(shù)據(jù)使用的目的和范圍,在確保通過數(shù)據(jù)授權(quán)平臺獲得個人信息主體的明確同意和授權(quán)后進行數(shù)據(jù)的使用和處理。
第十三條 在申請數(shù)據(jù)使用授權(quán)的過程中,數(shù)據(jù)使用方應(yīng)遵循透明度原則,以顯著方式、清晰易懂的語言,向個人信息主體真實、準確、完整地披露被授權(quán)方的名稱和聯(lián)系方式、涉及的個人信息類型、使用場景、授權(quán)期限等相關(guān)信息。
第十四條 數(shù)據(jù)使用方在使用數(shù)據(jù)時,不得超出授權(quán)范圍使用個人信息,應(yīng)采取適當?shù)谋Wo措施,防止數(shù)據(jù)泄露,同時在數(shù)據(jù)使用過程中,尊重個人信息主體的數(shù)據(jù)權(quán)益和其他相關(guān)權(quán)利。
第五章 數(shù)據(jù)授權(quán)平臺個人信息授權(quán)過程
第十五條 數(shù)據(jù)提供方同意將經(jīng)個人信息主體授權(quán)后采集的個人信息所加工的數(shù)據(jù)產(chǎn)品接入數(shù)據(jù)授權(quán)平臺后,按照平臺規(guī)范進行技術(shù)對接,完成數(shù)據(jù)產(chǎn)品的平臺對接與啟用。
第十六條 數(shù)據(jù)使用方需根據(jù)數(shù)據(jù)授權(quán)平臺所明確的信息類型列表,通過數(shù)據(jù)授權(quán)平臺提交詳細的數(shù)據(jù)授權(quán)申請信息,包括但不限于擬使用數(shù)據(jù)的信息類型、最終使用者、使用目的、使用場景等信息,且申請信息必須明確標注授權(quán)的截止時間,并確保符合《個保法》等法律法規(guī)、《用戶協(xié)議》及《隱私政策》的要求。
第十七條 數(shù)據(jù)授權(quán)平臺接收到數(shù)據(jù)授權(quán)申請后,向個人信息主體發(fā)送授權(quán)請求,前述授權(quán)請求中包含授權(quán)范圍、被授權(quán)人及所授權(quán)個人信息種類和授權(quán)期限的內(nèi)容,以確保個人信息主體基于充分的了解做出明確的決定。
第十八條 若個人信息主體同意授權(quán),將通過平臺簽署電子授權(quán)書,明確授權(quán)內(nèi)容、授權(quán)期限等內(nèi)容。經(jīng)過個人信息主體同意的個人信息授權(quán),個人信息主體可隨時申請撤回其授權(quán),已發(fā)生的費用和成本由撤回授權(quán)的個人信息主體承擔,已交付給數(shù)據(jù)使用方的數(shù)據(jù)無法撤回,但平臺可以通知數(shù)據(jù)使用方個人信息主體撤回授權(quán)的決定。
第十九條 個人信息處理者應(yīng)當根據(jù)個人信息的處理目的、處理方式、個人信息的種類以及對個人權(quán)益的影響、可能存在的安全風險等,采取下列措施確保個人信息處理活動符合法律、行政法規(guī)的規(guī)定,并防止未經(jīng)授權(quán)的訪問以及個人信息泄露、篡改、丟失:
(一)制定內(nèi)部管理制度和操作規(guī)程;
(三)采取相應(yīng)的加密、去標識化等安全技術(shù)措施;
(四)合理確定個人信息處理的操作權(quán)限,并定期對從業(yè)人員進行安全教育和培訓;
(五)制定并組織實施個人信息安全事件應(yīng)急預案;
(六)法律、行政法規(guī)規(guī)定的其他措施。
第二十條 履行個人信息保護職責的部門履行下列個人信息保護職責:
(一)開展個人信息保護宣傳教育,指導、監(jiān)督個人信息處理者開展個人信息保護工作;
(二)接受、處理與個人信息保護有關(guān)的投訴、舉報;
(三)組織對應(yīng)用程序等個人信息保護情況進行測評,并公布測評結(jié)果;
(四)調(diào)查、處理違法個人信息處理活動;
(五)法律、行政法規(guī)規(guī)定的其他職責。
第二十一條 在數(shù)據(jù)授權(quán)流通交易全部環(huán)節(jié)中,個人信息在存儲和傳輸過程中應(yīng)當進行加密。數(shù)據(jù)傳輸應(yīng)采用安全協(xié)議,如傳輸層安全協(xié)議(Transport Layer Security)或安全套接層協(xié)議(Secure Sockets Layer),確保在互聯(lián)網(wǎng)傳輸過程中的安全性。對于個人敏感數(shù)據(jù),如個人財務(wù)信息或個人身份信息,應(yīng)采用高級別的加密措施和專門的安全通道。
第二十二條 所有數(shù)據(jù)處理相關(guān)方的處理活動中,涉及的平臺和工具必須通過多因素身份驗證,包括密碼、生物識別或手機令牌等方式才可允許訪問,同時實施嚴格的訪問控制策略,確保只有授權(quán)用戶才能訪問特定的數(shù)據(jù)集。平臺方應(yīng)定期審查訪問日志,監(jiān)控異常訪問行為,并采取必要的預防措施。
第二十三條 為確保數(shù)據(jù)的安全性和可用性,備份策略應(yīng)包括定期備份數(shù)據(jù),選擇合適的備份介質(zhì)和存儲位置,以及制定備份計劃?;謴筒呗詰?yīng)明確恢復流程和步驟,測試備份數(shù)據(jù)的有效性,及時發(fā)現(xiàn)和解決潛在問題。同時,要建立備份恢復的監(jiān)控和評估機制,不斷優(yōu)化策略,以適應(yīng)業(yè)務(wù)變化和數(shù)據(jù)增長的需求。
第二十四條 除法律、行政法規(guī)另有規(guī)定外,個人信息的保存期限應(yīng)當為實現(xiàn)特定處理目的所必要的最短期限內(nèi)。
第二十五條 本辦法未盡事宜,按國家、北京市有關(guān)法律、法規(guī)、規(guī)章等規(guī)范性文件,以及數(shù)據(jù)授權(quán)平臺用戶協(xié)議及隱私政策的要求執(zhí)行。本辦法如與法律、法規(guī)、規(guī)范性文件、平臺用戶協(xié)議及隱私政策不一致的,以法律、法規(guī)、規(guī)范性文件、平臺用戶協(xié)議及隱私政策的規(guī)定為準。
第二十六條 本辦法由北京國際大數(shù)據(jù)交易所有限責任公司負責解釋和修訂。