《北京國(guó)際大數(shù)據(jù)交易所有限責(zé)任公司個(gè)人信息授權(quán)運(yùn)營(yíng)管理辦法（試行）》全文如下：

北京國(guó)際大數(shù)據(jù)交易所有限責(zé)任公司

個(gè)人信息授權(quán)運(yùn)營(yíng)管理辦法（試行）

第一條 為落實(shí)《中共中央 國(guó)務(wù)院關(guān)于構(gòu)建數(shù)據(jù)基礎(chǔ)制度更好發(fā)揮數(shù)據(jù)要素作用的意見(jiàn)》中“建立健全個(gè)人信息數(shù)據(jù)確權(quán)授權(quán)機(jī)制”和中共北京市委、北京市人民政府印發(fā)的《關(guān)于更好發(fā)揮數(shù)據(jù)要素作用進(jìn)一步加快發(fā)展數(shù)字經(jīng)濟(jì)的實(shí)施意見(jiàn)》中“推進(jìn)建立個(gè)人數(shù)據(jù)分類分級(jí)確權(quán)授權(quán)機(jī)制”相關(guān)要求，進(jìn)一步鞏固北京數(shù)據(jù)基礎(chǔ)制度先行區(qū)工作成果，規(guī)范個(gè)人信息授權(quán)運(yùn)營(yíng)管理，確保個(gè)人信息主體對(duì)自身數(shù)據(jù)使用情況享有的知情權(quán)、決定權(quán)和收益權(quán)，推動(dòng)數(shù)據(jù)的合法、合理利用及價(jià)值實(shí)現(xiàn)，根據(jù)《中華人民共和國(guó)個(gè)人信息保護(hù)法》（以下簡(jiǎn)稱“《個(gè)保法》”）要求，針對(duì)個(gè)人信息主體及其相關(guān)方在數(shù)據(jù)授權(quán)平臺(tái)上進(jìn)行的數(shù)據(jù)授權(quán)行為，制定本辦法。

第二條 在涉及個(gè)人信息的數(shù)據(jù)流通交易場(chǎng)景中，主要包括以下四方角色：數(shù)據(jù)提供方、個(gè)人信息主體、數(shù)據(jù)使用方和數(shù)據(jù)授權(quán)平臺(tái)方。其中，數(shù)據(jù)提供方負(fù)責(zé)提供其合法合規(guī)收集到的個(gè)人信息數(shù)據(jù)，數(shù)據(jù)使用方則需通過(guò)數(shù)據(jù)授權(quán)平臺(tái)獲取個(gè)人信息主體的授權(quán)，并在授權(quán)范圍內(nèi)進(jìn)行數(shù)據(jù)的合法使用。

（一）數(shù)據(jù)提供方是指合法持有或有權(quán)使用個(gè)人信息數(shù)據(jù)并在數(shù)據(jù)授權(quán)平臺(tái)上提供這些數(shù)據(jù)的各類主體。數(shù)據(jù)提供方對(duì)其提供數(shù)據(jù)的質(zhì)量負(fù)責(zé)，并且在數(shù)據(jù)的收集和處理過(guò)程中，嚴(yán)格遵守相關(guān)法律法規(guī)的要求。

（二）數(shù)據(jù)授權(quán)平臺(tái)是一個(gè)技術(shù)與業(yè)務(wù)平臺(tái)（以下簡(jiǎn)稱“平臺(tái)”），旨在為數(shù)據(jù)提供方、個(gè)人信息主體和數(shù)據(jù)使用方提供一個(gè)交互的界面，以便進(jìn)行個(gè)人信息的授權(quán)和管理。平臺(tái)提供用戶友好的操作界面，并負(fù)責(zé)監(jiān)督個(gè)人信息的授權(quán)過(guò)程，以確保授權(quán)過(guò)程符合《個(gè)保法》《數(shù)據(jù)授權(quán)平臺(tái)用戶協(xié)議》（以下簡(jiǎn)稱“《用戶協(xié)議》”）和《數(shù)據(jù)授權(quán)平臺(tái)隱私政策》（以下簡(jiǎn)稱“《隱私政策》”）的有關(guān)要求。

（三）個(gè)人信息主體，在平臺(tái)的身份為授權(quán)人，依法享有對(duì)個(gè)人信息數(shù)據(jù)使用與處理的決定權(quán)，包括但不限于個(gè)人信息數(shù)據(jù)使用與否、使用條件、使用目的及適用場(chǎng)景等。為實(shí)現(xiàn)上述權(quán)益，個(gè)人信息主體可以通過(guò)數(shù)據(jù)授權(quán)平臺(tái)進(jìn)行數(shù)據(jù)授權(quán)、消息傳遞、個(gè)人信息管理、查詢使用記錄等活動(dòng)。

（四）數(shù)據(jù)使用方，在平臺(tái)的身份為被授權(quán)人，是指出于特定目的需要訪問(wèn)和使用個(gè)人信息的各類主體。數(shù)據(jù)使用方必須遵守?cái)?shù)據(jù)授權(quán)平臺(tái)中授權(quán)文件的有關(guān)規(guī)定，確保在授權(quán)范圍內(nèi)使用個(gè)人信息數(shù)據(jù)，并承擔(dān)保護(hù)數(shù)據(jù)的安全和隱私的責(zé)任。

第三條 個(gè)人信息主體對(duì)其個(gè)人信息的處理享有知情權(quán)、決定權(quán)和收益權(quán)，有權(quán)限制或者拒絕他人對(duì)其個(gè)人信息進(jìn)行處理。法律、行政法規(guī)另有規(guī)定的除外。

第四條 個(gè)人信息主體有權(quán)查閱、復(fù)制其個(gè)人信息，并有權(quán)要求平臺(tái)更正、補(bǔ)充或刪除與其相關(guān)的個(gè)人信息數(shù)據(jù)，以確保數(shù)據(jù)的準(zhǔn)確性和完整性。

第五條 對(duì)于平臺(tái)經(jīng)過(guò)個(gè)人信息主體同意而進(jìn)行的個(gè)人信息處理，個(gè)人信息主體有權(quán)撤回已同意的授權(quán)。

第六條 個(gè)人信息主體有權(quán)向平臺(tái)投訴未按照數(shù)據(jù)授權(quán)平臺(tái)中的授權(quán)使用個(gè)人信息的行為。

第七條 個(gè)人信息主體在授權(quán)個(gè)人信息使用時(shí)，應(yīng)仔細(xì)閱讀并理解數(shù)據(jù)授權(quán)平臺(tái)中授權(quán)文件的有關(guān)規(guī)定，了解平臺(tái)及數(shù)據(jù)使用方的名稱和聯(lián)系方式、個(gè)人信息的處理目的、處理方式、所授權(quán)使用的個(gè)人信息種類、保存期限、行使權(quán)利的方式和程序，核對(duì)數(shù)據(jù)提供方所提供的相關(guān)個(gè)人信息的真實(shí)、準(zhǔn)確性。

第八條 數(shù)據(jù)提供方在數(shù)據(jù)采集活動(dòng)中，應(yīng)當(dāng)依據(jù)《個(gè)保法》做到個(gè)人信息的合法合規(guī)收集，通過(guò)書面方式（如《隱私政策》）向個(gè)人信息主體明確告知其收集個(gè)人信息的目的、范圍方式和個(gè)人信息種類、保存期限，并獲得個(gè)人信息主體的明確同意。同時(shí)，應(yīng)嚴(yán)格遵循最小必要原則，僅收集與特定目的直接相關(guān)且必要的數(shù)據(jù)，避免過(guò)度收集。

第九條 數(shù)據(jù)提供方應(yīng)當(dāng)采取必要的技術(shù)和管理措施，以保障數(shù)據(jù)的安全性，防止數(shù)據(jù)泄露和濫用；定期評(píng)估和審核數(shù)據(jù)收集活動(dòng)，確保其持續(xù)符合法律法規(guī)要求。

第十條 數(shù)據(jù)提供方應(yīng)實(shí)施恰當(dāng)?shù)募夹g(shù)和管理手段，以保障數(shù)據(jù)的安全性，預(yù)防數(shù)據(jù)泄露與濫用現(xiàn)象的發(fā)生；同時(shí)，應(yīng)定期對(duì)數(shù)據(jù)收集活動(dòng)進(jìn)行評(píng)估與審核，確保其始終符合相關(guān)法律法規(guī)的規(guī)定。

第十一條 數(shù)據(jù)提供方有權(quán)決定是否將經(jīng)個(gè)人信息主體授權(quán)采集到的個(gè)人信息加工后的數(shù)據(jù)產(chǎn)品接入到數(shù)據(jù)授權(quán)平臺(tái)。同時(shí)有權(quán)設(shè)定數(shù)據(jù)分享的條件和范圍。

第十二條 數(shù)據(jù)使用方需要明確個(gè)人信息數(shù)據(jù)使用的目的和范圍，在確保通過(guò)數(shù)據(jù)授權(quán)平臺(tái)獲得個(gè)人信息主體的明確同意和授權(quán)后進(jìn)行數(shù)據(jù)的使用和處理。

第十三條 在申請(qǐng)數(shù)據(jù)使用授權(quán)的過(guò)程中，數(shù)據(jù)使用方應(yīng)遵循透明度原則，以顯著方式、清晰易懂的語(yǔ)言，向個(gè)人信息主體真實(shí)、準(zhǔn)確、完整地披露被授權(quán)方的名稱和聯(lián)系方式、涉及的個(gè)人信息類型、使用場(chǎng)景、授權(quán)期限等相關(guān)信息。

第十四條 數(shù)據(jù)使用方在使用數(shù)據(jù)時(shí)，不得超出授權(quán)范圍使用個(gè)人信息，應(yīng)采取適當(dāng)?shù)谋Ｗo(hù)措施，防止數(shù)據(jù)泄露，同時(shí)在數(shù)據(jù)使用過(guò)程中，尊重個(gè)人信息主體的數(shù)據(jù)權(quán)益和其他相關(guān)權(quán)利。

第十五條 數(shù)據(jù)提供方同意將經(jīng)個(gè)人信息主體授權(quán)后采集的個(gè)人信息所加工的數(shù)據(jù)產(chǎn)品接入數(shù)據(jù)授權(quán)平臺(tái)后，按照平臺(tái)規(guī)范進(jìn)行技術(shù)對(duì)接，完成數(shù)據(jù)產(chǎn)品的平臺(tái)對(duì)接與啟用。

第十六條 數(shù)據(jù)使用方需根據(jù)數(shù)據(jù)授權(quán)平臺(tái)所明確的信息類型列表，通過(guò)數(shù)據(jù)授權(quán)平臺(tái)提交詳細(xì)的數(shù)據(jù)授權(quán)申請(qǐng)信息，包括但不限于擬使用數(shù)據(jù)的信息類型、最終使用者、使用目的、使用場(chǎng)景等信息，且申請(qǐng)信息必須明確標(biāo)注授權(quán)的截止時(shí)間，并確保符合《個(gè)保法》等法律法規(guī)、《用戶協(xié)議》及《隱私政策》的要求。

第十七條 數(shù)據(jù)授權(quán)平臺(tái)接收到數(shù)據(jù)授權(quán)申請(qǐng)后，向個(gè)人信息主體發(fā)送授權(quán)請(qǐng)求，前述授權(quán)請(qǐng)求中包含授權(quán)范圍、被授權(quán)人及所授權(quán)個(gè)人信息種類和授權(quán)期限的內(nèi)容，以確保個(gè)人信息主體基于充分的了解做出明確的決定。

第十八條 若個(gè)人信息主體同意授權(quán)，將通過(guò)平臺(tái)簽署電子授權(quán)書，明確授權(quán)內(nèi)容、授權(quán)期限等內(nèi)容。經(jīng)過(guò)個(gè)人信息主體同意的個(gè)人信息授權(quán)，個(gè)人信息主體可隨時(shí)申請(qǐng)撤回其授權(quán)，已發(fā)生的費(fèi)用和成本由撤回授權(quán)的個(gè)人信息主體承擔(dān)，已交付給數(shù)據(jù)使用方的數(shù)據(jù)無(wú)法撤回，但平臺(tái)可以通知數(shù)據(jù)使用方個(gè)人信息主體撤回授權(quán)的決定。

第十九條 個(gè)人信息處理者應(yīng)當(dāng)根據(jù)個(gè)人信息的處理目的、處理方式、個(gè)人信息的種類以及對(duì)個(gè)人權(quán)益的影響、可能存在的安全風(fēng)險(xiǎn)等，采取下列措施確保個(gè)人信息處理活動(dòng)符合法律、行政法規(guī)的規(guī)定，并防止未經(jīng)授權(quán)的訪問(wèn)以及個(gè)人信息泄露、篡改、丟失：

（一）制定內(nèi)部管理制度和操作規(guī)程；

（二）對(duì)個(gè)人信息實(shí)行分類管理；

（三）采取相應(yīng)的加密、去標(biāo)識(shí)化等安全技術(shù)措施；

（四）合理確定個(gè)人信息處理的操作權(quán)限，并定期對(duì)從業(yè)人員進(jìn)行安全教育和培訓(xùn)；

（五）制定并組織實(shí)施個(gè)人信息安全事件應(yīng)急預(yù)案；

（六）法律、行政法規(guī)規(guī)定的其他措施。

 第二十條 履行個(gè)人信息保護(hù)職責(zé)的部門履行下列個(gè)人信息保護(hù)職責(zé)：

（一）開(kāi)展個(gè)人信息保護(hù)宣傳教育，指導(dǎo)、監(jiān)督個(gè)人信息處理者開(kāi)展個(gè)人信息保護(hù)工作；

（二）接受、處理與個(gè)人信息保護(hù)有關(guān)的投訴、舉報(bào)；

（三）組織對(duì)應(yīng)用程序等個(gè)人信息保護(hù)情況進(jìn)行測(cè)評(píng)，并公布測(cè)評(píng)結(jié)果；

（四）調(diào)查、處理違法個(gè)人信息處理活動(dòng)；

（五）法律、行政法規(guī)規(guī)定的其他職責(zé)。

第二十一條 在數(shù)據(jù)授權(quán)流通交易全部環(huán)節(jié)中，個(gè)人信息在存儲(chǔ)和傳輸過(guò)程中應(yīng)當(dāng)進(jìn)行加密。數(shù)據(jù)傳輸應(yīng)采用安全協(xié)議，如傳輸層安全協(xié)議（Transport Layer Security）或安全套接層協(xié)議（Secure Sockets Layer），確保在互聯(lián)網(wǎng)傳輸過(guò)程中的安全性。對(duì)于個(gè)人敏感數(shù)據(jù)，如個(gè)人財(cái)務(wù)信息或個(gè)人身份信息，應(yīng)采用高級(jí)別的加密措施和專門的安全通道。

第二十二條 所有數(shù)據(jù)處理相關(guān)方的處理活動(dòng)中，涉及的平臺(tái)和工具必須通過(guò)多因素身份驗(yàn)證，包括密碼、生物識(shí)別或手機(jī)令牌等方式才可允許訪問(wèn)，同時(shí)實(shí)施嚴(yán)格的訪問(wèn)控制策略，確保只有授權(quán)用戶才能訪問(wèn)特定的數(shù)據(jù)集。平臺(tái)方應(yīng)定期審查訪問(wèn)日志，監(jiān)控異常訪問(wèn)行為，并采取必要的預(yù)防措施。

第二十三條 為確保數(shù)據(jù)的安全性和可用性，備份策略應(yīng)包括定期備份數(shù)據(jù)，選擇合適的備份介質(zhì)和存儲(chǔ)位置，以及制定備份計(jì)劃。恢復(fù)策略應(yīng)明確恢復(fù)流程和步驟，測(cè)試備份數(shù)據(jù)的有效性，及時(shí)發(fā)現(xiàn)和解決潛在問(wèn)題。同時(shí)，要建立備份恢復(fù)的監(jiān)控和評(píng)估機(jī)制，不斷優(yōu)化策略，以適應(yīng)業(yè)務(wù)變化和數(shù)據(jù)增長(zhǎng)的需求。

第二十四條 除法律、行政法規(guī)另有規(guī)定外，個(gè)人信息的保存期限應(yīng)當(dāng)為實(shí)現(xiàn)特定處理目的所必要的最短期限內(nèi)。

第二十五條 本辦法未盡事宜，按國(guó)家、北京市有關(guān)法律、法規(guī)、規(guī)章等規(guī)范性文件，以及數(shù)據(jù)授權(quán)平臺(tái)用戶協(xié)議及隱私政策的要求執(zhí)行。本辦法如與法律、法規(guī)、規(guī)范性文件、平臺(tái)用戶協(xié)議及隱私政策不一致的，以法律、法規(guī)、規(guī)范性文件、平臺(tái)用戶協(xié)議及隱私政策的規(guī)定為準(zhǔn)。

第二十六條 本辦法由北京國(guó)際大數(shù)據(jù)交易所有限責(zé)任公司負(fù)責(zé)解釋和修訂。

第二十七條 本辦法自發(fā)布之日起施行。