北京国际大数据交易所有限责任公司

个人信息授权运营管理办法

（试行）

第一章 总 则

第一条 为落实《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》中“建立健全个人信息数据确权授权机制”和中共北京市委、北京市人民政府印发的《关于更好发挥数据要素作用进一步加快发展数字经济的实施意见》中“推进建立个人数据分类分级确权授权机制”相关要求，进一步巩固北京数据基础制度先行区工作成果，规范个人信息授权运营管理，确保个人信息主体对自身数据使用情况享有的知情权、决定权和收益权，推动数据的合法、合理利用及价值实现，根据《中华人民共和国个人信息保护法》（以下简称“《个保法》”）要求，针对个人信息主体及其相关方在数据授权平台上进行的数据授权行为，制定本办法。

第二条 在涉及个人信息的数据流通交易场景中，主要包括以下四方角色：数据提供方、个人信息主体、数据使用方和数据授权平台方。其中，数据提供方负责提供其合法合规收集到的个人信息数据，数据使用方则需通过数据授权平台获取个人信息主体的授权，并在授权范围内进行数据的合法使用。

（一）数据提供方是指合法持有或有权使用个人信息数据并在数据授权平台上提供这些数据的各类主体。数据提供方对其提供数据的质量负责，并且在数据的收集和处理过程中，严格遵守相关法律法规的要求。

（二）数据授权平台是一个技术与业务平台（以下简称“平台”），旨在为数据提供方、个人信息主体和数据使用方提供一个交互的界面，以便进行个人信息的授权和管理。平台提供用户友好的操作界面，并负责监督个人信息的授权过程，以确保授权过程符合《个保法》《数据授权平台用户协议》（以下简称“《用户协议》”）和《数据授权平台隐私政策》（以下简称“《隐私政策》”）的有关要求。

（三）个人信息主体，在平台的身份为授权人，依法享有对个人信息数据使用与处理的决定权，包括但不限于个人信息数据使用与否、使用条件、使用目的及适用场景等。为实现上述权益，个人信息主体可以通过数据授权平台进行数据授权、消息传递、个人信息管理、查询使用记录等活动。

（四）数据使用方，在平台的身份为被授权人，是指出于特定目的需要访问和使用个人信息的各类主体。数据使用方必须遵守数据授权平台中授权文件的有关规定，确保在授权范围内使用个人信息数据，并承担保护数据的安全和隐私的责任。

第二章 个人信息主体的权利和义务

第三条 个人信息主体对其个人信息的处理享有知情权、决定权和收益权，有权限制或者拒绝他人对其个人信息进行处理。法律、行政法规另有规定的除外。

第四条 个人信息主体有权查阅、复制其个人信息，并有权要求平台更正、补充或删除与其相关的个人信息数据，以确保数据的准确性和完整性。

第五条 对于平台经过个人信息主体同意而进行的个人信息处理，个人信息主体有权撤回已同意的授权。

第六条 个人信息主体有权向平台投诉未按照数据授权平台中的授权使用个人信息的行为。

第七条 个人信息主体在授权个人信息使用时，应仔细阅读并理解数据授权平台中授权文件的有关规定，了解平台及数据使用方的名称和联系方式、个人信息的处理目的、处理方式、所授权使用的个人信息种类、保存期限、行使权利的方式和程序，核对数据提供方所提供的相关个人信息的真实、准确性。

第三章 数据提供方的授权采集与接入

第八条 数据提供方在数据采集活动中，应当依据《个保法》做到个人信息的合法合规收集，通过书面方式（如《隐私政策》）向个人信息主体明确告知其收集个人信息的目的、范围方式和个人信息种类、保存期限，并获得个人信息主体的明确同意。同时，应严格遵循最小必要原则，仅收集与特定目的直接相关且必要的数据，避免过度收集。

第九条 数据提供方应当采取必要的技术和管理措施，以保障数据的安全性，防止数据泄露和滥用；定期评估和审核数据收集活动，确保其持续符合法律法规要求。

第十条 数据提供方应实施恰当的技术和管理手段，以保障数据的安全性，预防数据泄露与滥用现象的发生；同时，应定期对数据收集活动进行评估与审核，确保其始终符合相关法律法规的规定。

第十一条 数据提供方有权决定是否将经个人信息主体授权采集到的个人信息加工后的数据产品接入到数据授权平台。同时有权设定数据分享的条件和范围。

第四章 数据使用方对个人信息的使用和处理

第十二条 数据使用方需要明确个人信息数据使用的目的和范围，在确保通过数据授权平台获得个人信息主体的明确同意和授权后进行数据的使用和处理。

第十三条 在申请数据使用授权的过程中，数据使用方应遵循透明度原则，以显著方式、清晰易懂的语言，向个人信息主体真实、准确、完整地披露被授权方的名称和联系方式、涉及的个人信息类型、使用场景、授权期限等相关信息。

第十四条 数据使用方在使用数据时，不得超出授权范围使用个人信息，应采取适当的保护措施，防止数据泄露，同时在数据使用过程中，尊重个人信息主体的数据权益和其他相关权利。

第五章 数据授权平台个人信息授权过程

第十五条 数据提供方同意将经个人信息主体授权后采集的个人信息所加工的数据产品接入数据授权平台后，按照平台规范进行技术对接，完成数据产品的平台对接与启用。

第十六条 数据使用方需根据数据授权平台所明确的信息类型列表，通过数据授权平台提交详细的数据授权申请信息，包括但不限于拟使用数据的信息类型、最终使用者、使用目的、使用场景等信息，且申请信息必须明确标注授权的截止时间，并确保符合《个保法》等法律法规、《用户协议》及《隐私政策》的要求。

第十七条 数据授权平台接收到数据授权申请后，向个人信息主体发送授权请求，前述授权请求中包含授权范围、被授权人及所授权个人信息种类和授权期限的内容，以确保个人信息主体基于充分的了解做出明确的决定。

第十八条 若个人信息主体同意授权，将通过平台签署电子授权书，明确授权内容、授权期限等内容。经过个人信息主体同意的个人信息授权，个人信息主体可随时申请撤回其授权，已发生的费用和成本由撤回授权的个人信息主体承担，已交付给数据使用方的数据无法撤回，但平台可以通知数据使用方个人信息主体撤回授权的决定。

第六章 数据安全和隐私保护

第十九条 个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，采取下列措施确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失：

（一）制定内部管理制度和操作规程；

（二）对个人信息实行分类管理；

（三）采取相应的加密、去标识化等安全技术措施；

（四）合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训；

（五）制定并组织实施个人信息安全事件应急预案；

（六）法律、行政法规规定的其他措施。

第二十条 履行个人信息保护职责的部门履行下列个人信息保护职责：

（一）开展个人信息保护宣传教育，指导、监督个人信息处理者开展个人信息保护工作；

（二）接受、处理与个人信息保护有关的投诉、举报；

（三）组织对应用程序等个人信息保护情况进行测评，并公布测评结果；

（四）调查、处理违法个人信息处理活动；

（五）法律、行政法规规定的其他职责。

第二十一条 在数据授权流通交易全部环节中，个人信息在存储和传输过程中应当进行加密。数据传输应采用安全协议，如传输层安全协议（Transport Layer Security）或安全套接层协议（Secure Sockets Layer），确保在互联网传输过程中的安全性。对于个人敏感数据，如个人财务信息或个人身份信息，应采用高级别的加密措施和专门的安全通道。

第二十二条 所有数据处理相关方的处理活动中，涉及的平台和工具必须通过多因素身份验证，包括密码、生物识别或手机令牌等方式才可允许访问，同时实施严格的访问控制策略，确保只有授权用户才能访问特定的数据集。平台方应定期审查访问日志，监控异常访问行为，并采取必要的预防措施。

第二十三条 为确保数据的安全性和可用性，备份策略应包括定期备份数据，选择合适的备份介质和存储位置，以及制定备份计划。恢复策略应明确恢复流程和步骤，测试备份数据的有效性，及时发现和解决潜在问题。同时，要建立备份恢复的监控和评估机制，不断优化策略，以适应业务变化和数据增长的需求。

第二十四条 除法律、行政法规另有规定外，个人信息的保存期限应当为实现特定处理目的所必要的最短期限内。

第七章 附 则

第二十五条 本办法未尽事宜，按国家、北京市有关法律、法规、规章等规范性文件，以及数据授权平台用户协议及隐私政策的要求执行。本办法如与法律、法规、规范性文件、平台用户协议及隐私政策不一致的，以法律、法规、规范性文件、平台用户协议及隐私政策的规定为准。

第二十六条 本办法由北京国际大数据交易所有限责任公司负责解释和修订。

第二十七条 本办法自发布之日起施行。

（来源：北京国际大数据交易所）

分享网络安全知识 强化网络安全意识

欢迎关注《中国信息安全》杂志官方抖音号

《中国信息安全》杂志倾力推荐

“企业成长计划”

点击下图 了解详情