《北京國際大數(shù)據(jù)交易所有限責任公司個人信息授權(quán)運營管理辦法（試行）》全文如下：

北京國際大數(shù)據(jù)交易所有限責任公司

個人信息授權(quán)運營管理辦法（試行）

第一條 為落實《中共中央 國務(wù)院關(guān)于構(gòu)建數(shù)據(jù)基礎(chǔ)制度更好發(fā)揮數(shù)據(jù)要素作用的意見》中“建立健全個人信息數(shù)據(jù)確權(quán)授權(quán)機制”和中共北京市委、北京市人民政府印發(fā)的《關(guān)于更好發(fā)揮數(shù)據(jù)要素作用進一步加快發(fā)展數(shù)字經(jīng)濟的實施意見》中“推進建立個人數(shù)據(jù)分類分級確權(quán)授權(quán)機制”相關(guān)要求，進一步鞏固北京數(shù)據(jù)基礎(chǔ)制度先行區(qū)工作成果，規(guī)范個人信息授權(quán)運營管理，確保個人信息主體對自身數(shù)據(jù)使用情況享有的知情權(quán)、決定權(quán)和收益權(quán)，推動數(shù)據(jù)的合法、合理利用及價值實現(xiàn)，根據(jù)《中華人民共和國個人信息保護法》（以下簡稱“《個保法》”）要求，針對個人信息主體及其相關(guān)方在數(shù)據(jù)授權(quán)平臺上進行的數(shù)據(jù)授權(quán)行為，制定本辦法。

第二條 在涉及個人信息的數(shù)據(jù)流通交易場景中，主要包括以下四方角色：數(shù)據(jù)提供方、個人信息主體、數(shù)據(jù)使用方和數(shù)據(jù)授權(quán)平臺方。其中，數(shù)據(jù)提供方負責提供其合法合規(guī)收集到的個人信息數(shù)據(jù)，數(shù)據(jù)使用方則需通過數(shù)據(jù)授權(quán)平臺獲取個人信息主體的授權(quán)，并在授權(quán)范圍內(nèi)進行數(shù)據(jù)的合法使用。

（一）數(shù)據(jù)提供方是指合法持有或有權(quán)使用個人信息數(shù)據(jù)并在數(shù)據(jù)授權(quán)平臺上提供這些數(shù)據(jù)的各類主體。數(shù)據(jù)提供方對其提供數(shù)據(jù)的質(zhì)量負責，并且在數(shù)據(jù)的收集和處理過程中，嚴格遵守相關(guān)法律法規(guī)的要求。

（二）數(shù)據(jù)授權(quán)平臺是一個技術(shù)與業(yè)務(wù)平臺（以下簡稱“平臺”），旨在為數(shù)據(jù)提供方、個人信息主體和數(shù)據(jù)使用方提供一個交互的界面，以便進行個人信息的授權(quán)和管理。平臺提供用戶友好的操作界面，并負責監(jiān)督個人信息的授權(quán)過程，以確保授權(quán)過程符合《個保法》《數(shù)據(jù)授權(quán)平臺用戶協(xié)議》（以下簡稱“《用戶協(xié)議》”）和《數(shù)據(jù)授權(quán)平臺隱私政策》（以下簡稱“《隱私政策》”）的有關(guān)要求。

（三）個人信息主體，在平臺的身份為授權(quán)人，依法享有對個人信息數(shù)據(jù)使用與處理的決定權(quán)，包括但不限于個人信息數(shù)據(jù)使用與否、使用條件、使用目的及適用場景等。為實現(xiàn)上述權(quán)益，個人信息主體可以通過數(shù)據(jù)授權(quán)平臺進行數(shù)據(jù)授權(quán)、消息傳遞、個人信息管理、查詢使用記錄等活動。

（四）數(shù)據(jù)使用方，在平臺的身份為被授權(quán)人，是指出于特定目的需要訪問和使用個人信息的各類主體。數(shù)據(jù)使用方必須遵守數(shù)據(jù)授權(quán)平臺中授權(quán)文件的有關(guān)規(guī)定，確保在授權(quán)范圍內(nèi)使用個人信息數(shù)據(jù)，并承擔保護數(shù)據(jù)的安全和隱私的責任。

第三條 個人信息主體對其個人信息的處理享有知情權(quán)、決定權(quán)和收益權(quán)，有權(quán)限制或者拒絕他人對其個人信息進行處理。法律、行政法規(guī)另有規(guī)定的除外。

第四條 個人信息主體有權(quán)查閱、復制其個人信息，并有權(quán)要求平臺更正、補充或刪除與其相關(guān)的個人信息數(shù)據(jù)，以確保數(shù)據(jù)的準確性和完整性。

第五條 對于平臺經(jīng)過個人信息主體同意而進行的個人信息處理，個人信息主體有權(quán)撤回已同意的授權(quán)。

第六條 個人信息主體有權(quán)向平臺投訴未按照數(shù)據(jù)授權(quán)平臺中的授權(quán)使用個人信息的行為。

第七條 個人信息主體在授權(quán)個人信息使用時，應(yīng)仔細閱讀并理解數(shù)據(jù)授權(quán)平臺中授權(quán)文件的有關(guān)規(guī)定，了解平臺及數(shù)據(jù)使用方的名稱和聯(lián)系方式、個人信息的處理目的、處理方式、所授權(quán)使用的個人信息種類、保存期限、行使權(quán)利的方式和程序，核對數(shù)據(jù)提供方所提供的相關(guān)個人信息的真實、準確性。

第八條 數(shù)據(jù)提供方在數(shù)據(jù)采集活動中，應(yīng)當依據(jù)《個保法》做到個人信息的合法合規(guī)收集，通過書面方式（如《隱私政策》）向個人信息主體明確告知其收集個人信息的目的、范圍方式和個人信息種類、保存期限，并獲得個人信息主體的明確同意。同時，應(yīng)嚴格遵循最小必要原則，僅收集與特定目的直接相關(guān)且必要的數(shù)據(jù)，避免過度收集。

第九條 數(shù)據(jù)提供方應(yīng)當采取必要的技術(shù)和管理措施，以保障數(shù)據(jù)的安全性，防止數(shù)據(jù)泄露和濫用；定期評估和審核數(shù)據(jù)收集活動，確保其持續(xù)符合法律法規(guī)要求。

第十條 數(shù)據(jù)提供方應(yīng)實施恰當?shù)募夹g(shù)和管理手段，以保障數(shù)據(jù)的安全性，預防數(shù)據(jù)泄露與濫用現(xiàn)象的發(fā)生；同時，應(yīng)定期對數(shù)據(jù)收集活動進行評估與審核，確保其始終符合相關(guān)法律法規(guī)的規(guī)定。

第十一條 數(shù)據(jù)提供方有權(quán)決定是否將經(jīng)個人信息主體授權(quán)采集到的個人信息加工后的數(shù)據(jù)產(chǎn)品接入到數(shù)據(jù)授權(quán)平臺。同時有權(quán)設(shè)定數(shù)據(jù)分享的條件和范圍。

第十二條 數(shù)據(jù)使用方需要明確個人信息數(shù)據(jù)使用的目的和范圍，在確保通過數(shù)據(jù)授權(quán)平臺獲得個人信息主體的明確同意和授權(quán)后進行數(shù)據(jù)的使用和處理。

第十三條 在申請數(shù)據(jù)使用授權(quán)的過程中，數(shù)據(jù)使用方應(yīng)遵循透明度原則，以顯著方式、清晰易懂的語言，向個人信息主體真實、準確、完整地披露被授權(quán)方的名稱和聯(lián)系方式、涉及的個人信息類型、使用場景、授權(quán)期限等相關(guān)信息。

第十四條 數(shù)據(jù)使用方在使用數(shù)據(jù)時，不得超出授權(quán)范圍使用個人信息，應(yīng)采取適當?shù)谋Ｗo措施，防止數(shù)據(jù)泄露，同時在數(shù)據(jù)使用過程中，尊重個人信息主體的數(shù)據(jù)權(quán)益和其他相關(guān)權(quán)利。

第十五條 數(shù)據(jù)提供方同意將經(jīng)個人信息主體授權(quán)后采集的個人信息所加工的數(shù)據(jù)產(chǎn)品接入數(shù)據(jù)授權(quán)平臺后，按照平臺規(guī)范進行技術(shù)對接，完成數(shù)據(jù)產(chǎn)品的平臺對接與啟用。

第十六條 數(shù)據(jù)使用方需根據(jù)數(shù)據(jù)授權(quán)平臺所明確的信息類型列表，通過數(shù)據(jù)授權(quán)平臺提交詳細的數(shù)據(jù)授權(quán)申請信息，包括但不限于擬使用數(shù)據(jù)的信息類型、最終使用者、使用目的、使用場景等信息，且申請信息必須明確標注授權(quán)的截止時間，并確保符合《個保法》等法律法規(guī)、《用戶協(xié)議》及《隱私政策》的要求。

第十七條 數(shù)據(jù)授權(quán)平臺接收到數(shù)據(jù)授權(quán)申請后，向個人信息主體發(fā)送授權(quán)請求，前述授權(quán)請求中包含授權(quán)范圍、被授權(quán)人及所授權(quán)個人信息種類和授權(quán)期限的內(nèi)容，以確保個人信息主體基于充分的了解做出明確的決定。

第十八條 若個人信息主體同意授權(quán)，將通過平臺簽署電子授權(quán)書，明確授權(quán)內(nèi)容、授權(quán)期限等內(nèi)容。經(jīng)過個人信息主體同意的個人信息授權(quán)，個人信息主體可隨時申請撤回其授權(quán)，已發(fā)生的費用和成本由撤回授權(quán)的個人信息主體承擔，已交付給數(shù)據(jù)使用方的數(shù)據(jù)無法撤回，但平臺可以通知數(shù)據(jù)使用方個人信息主體撤回授權(quán)的決定。

第十九條 個人信息處理者應(yīng)當根據(jù)個人信息的處理目的、處理方式、個人信息的種類以及對個人權(quán)益的影響、可能存在的安全風險等，采取下列措施確保個人信息處理活動符合法律、行政法規(guī)的規(guī)定，并防止未經(jīng)授權(quán)的訪問以及個人信息泄露、篡改、丟失：

（一）制定內(nèi)部管理制度和操作規(guī)程；

（二）對個人信息實行分類管理；

（三）采取相應(yīng)的加密、去標識化等安全技術(shù)措施；

（四）合理確定個人信息處理的操作權(quán)限，并定期對從業(yè)人員進行安全教育和培訓；

（五）制定并組織實施個人信息安全事件應(yīng)急預案；

（六）法律、行政法規(guī)規(guī)定的其他措施。

 第二十條 履行個人信息保護職責的部門履行下列個人信息保護職責：

（一）開展個人信息保護宣傳教育，指導、監(jiān)督個人信息處理者開展個人信息保護工作；

（二）接受、處理與個人信息保護有關(guān)的投訴、舉報；

（三）組織對應(yīng)用程序等個人信息保護情況進行測評，并公布測評結(jié)果；

（四）調(diào)查、處理違法個人信息處理活動；

（五）法律、行政法規(guī)規(guī)定的其他職責。

第二十一條 在數(shù)據(jù)授權(quán)流通交易全部環(huán)節(jié)中，個人信息在存儲和傳輸過程中應(yīng)當進行加密。數(shù)據(jù)傳輸應(yīng)采用安全協(xié)議，如傳輸層安全協(xié)議（Transport Layer Security）或安全套接層協(xié)議（Secure Sockets Layer），確保在互聯(lián)網(wǎng)傳輸過程中的安全性。對于個人敏感數(shù)據(jù)，如個人財務(wù)信息或個人身份信息，應(yīng)采用高級別的加密措施和專門的安全通道。

第二十二條 所有數(shù)據(jù)處理相關(guān)方的處理活動中，涉及的平臺和工具必須通過多因素身份驗證，包括密碼、生物識別或手機令牌等方式才可允許訪問，同時實施嚴格的訪問控制策略，確保只有授權(quán)用戶才能訪問特定的數(shù)據(jù)集。平臺方應(yīng)定期審查訪問日志，監(jiān)控異常訪問行為，并采取必要的預防措施。

第二十三條 為確保數(shù)據(jù)的安全性和可用性，備份策略應(yīng)包括定期備份數(shù)據(jù)，選擇合適的備份介質(zhì)和存儲位置，以及制定備份計劃?；謴筒呗詰?yīng)明確恢復流程和步驟，測試備份數(shù)據(jù)的有效性，及時發(fā)現(xiàn)和解決潛在問題。同時，要建立備份恢復的監(jiān)控和評估機制，不斷優(yōu)化策略，以適應(yīng)業(yè)務(wù)變化和數(shù)據(jù)增長的需求。

第二十四條 除法律、行政法規(guī)另有規(guī)定外，個人信息的保存期限應(yīng)當為實現(xiàn)特定處理目的所必要的最短期限內(nèi)。

第二十五條 本辦法未盡事宜，按國家、北京市有關(guān)法律、法規(guī)、規(guī)章等規(guī)范性文件，以及數(shù)據(jù)授權(quán)平臺用戶協(xié)議及隱私政策的要求執(zhí)行。本辦法如與法律、法規(guī)、規(guī)范性文件、平臺用戶協(xié)議及隱私政策不一致的，以法律、法規(guī)、規(guī)范性文件、平臺用戶協(xié)議及隱私政策的規(guī)定為準。

第二十六條 本辦法由北京國際大數(shù)據(jù)交易所有限責任公司負責解釋和修訂。

第二十七條 本辦法自發(fā)布之日起施行。