ICS35.240.01CCSL16團(tuán) 體 標(biāo) 準(zhǔn)T/OIDAA11—2025分布式數(shù)字身份的個(gè)人數(shù)據(jù)授權(quán)使用流程和技術(shù)規(guī)范PersonalDataAuthorizationProcessAndTechnicalSpecificationsForDistributedDigitalIdentity（報(bào)批稿）（本稿完成日期：2025-9-15）2025-11-19發(fā)布中關(guān)村安信網(wǎng)絡(luò)身份認(rèn)證產(chǎn)業(yè)聯(lián)盟

2025-12-11實(shí)施發(fā)布T/OIDAA11—2025T/OIDAA11—2025目??次前??言 III引??言 IV分布式數(shù)字身份的個(gè)人數(shù)據(jù)授權(quán)使用流程和技術(shù)規(guī)范 1范圍 1規(guī)范性引用文件 1術(shù)語(yǔ)和定義 13.1.................................................................................1數(shù)據(jù)data 13.2.................................................................................1個(gè)人數(shù)據(jù)personaldata 13.3.................................................................................1數(shù)據(jù)主體datasubject 13.4.................................................................................2數(shù)據(jù)目錄datacatalog 23.52數(shù)據(jù)提供方dataprovider23.62數(shù)據(jù)使用方datauser 23.7.................................................................................2數(shù)字身份digitalidentity 23.8.................................................................................2分布式數(shù)字身份distributeddigitalidentity 23.9.................................................................................2個(gè)人數(shù)據(jù)授權(quán)平臺(tái)personaldataauthorizationplatform 23.10................................................................................2分布式數(shù)字身份基礎(chǔ)設(shè)施distributeddigitalidentityinfrastructure 23.11................................................................................2個(gè)人數(shù)據(jù)授權(quán)申請(qǐng)personaldataauthorizationrequest 23.12................................................................................2個(gè)人數(shù)據(jù)授權(quán)協(xié)議personaldataauthorizationagreement 23.13................................................................................3個(gè)人數(shù)據(jù)授權(quán)personaldataauthorization 33.14................................................................................3個(gè)人數(shù)據(jù)請(qǐng)求personaldatarequest 33.15................................................................................3個(gè)人數(shù)據(jù)授權(quán)驗(yàn)證personaldataauthorizationverification 3縮略語(yǔ) 3個(gè)人數(shù)據(jù)授權(quán)總體模型 3概述 3監(jiān)管方 4I數(shù)據(jù)提供方 4數(shù)據(jù)使用方 5數(shù)據(jù)主體 5個(gè)人數(shù)據(jù)授權(quán)平臺(tái) 5分布式數(shù)字身份基礎(chǔ)設(shè)施 5個(gè)人數(shù)據(jù)授權(quán)流程 5概述 6限定條件 7個(gè)人數(shù)據(jù)授權(quán)技術(shù)規(guī)范 7概述 7個(gè)人數(shù)據(jù)識(shí)別與分類(lèi)技術(shù)要求 7分布式數(shù)字身份技術(shù)要求 8個(gè)人數(shù)據(jù)授權(quán)技術(shù)要求 8個(gè)人授權(quán)可信技術(shù)要求 8個(gè)人數(shù)據(jù)安全與隱私保護(hù)技術(shù)要求 8全流程監(jiān)管與審計(jì)技術(shù)要求 8附 錄 A（規(guī)范性）數(shù)據(jù)目錄注冊(cè)機(jī)制 9A.1數(shù)據(jù)提供方注冊(cè)數(shù)據(jù)目錄流程 9附 錄 B（規(guī)范性）個(gè)人數(shù)據(jù)授權(quán)機(jī)制 10個(gè)人數(shù)據(jù)授權(quán)協(xié)議范本 10個(gè)人數(shù)據(jù)授權(quán)流程 10附 錄 C（規(guī)范性）個(gè)人數(shù)據(jù)授權(quán)驗(yàn)證機(jī)制 12C.1個(gè)人數(shù)據(jù)授權(quán)驗(yàn)證流程 12參 考 文 獻(xiàn) 15II前??言本文件按照GB/T1本文件由中關(guān)村安信網(wǎng)絡(luò)身份認(rèn)證產(chǎn)業(yè)聯(lián)盟提出。（研究院（北京科技有限公司。請(qǐng)注意本文件的某些內(nèi)容可能涉及專(zhuān)利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專(zhuān)利的責(zé)任。III引??言本文件是根據(jù)《中華人民共和國(guó)國(guó)家安全法》《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)個(gè)人信息保護(hù)法》《中共中央、國(guó)務(wù)院關(guān)于構(gòu)建數(shù)據(jù)基礎(chǔ)制度更好發(fā)揮數(shù)據(jù)要素作用的意見(jiàn)》《促進(jìn)和規(guī)范數(shù)據(jù)跨境流動(dòng)規(guī)定》《數(shù)據(jù)出境安全評(píng)估辦法》等法律及政策意見(jiàn)中明確落實(shí)構(gòu)建數(shù)據(jù)基礎(chǔ)制度的相關(guān)規(guī)定，以維護(hù)國(guó)家數(shù)據(jù)安全、保護(hù)個(gè)人信息和商業(yè)秘密為前提，促進(jìn)數(shù)據(jù)合規(guī)流通使用，推動(dòng)個(gè)人數(shù)據(jù)授權(quán)機(jī)制，保障數(shù)據(jù)要素各參與方合法權(quán)益，所提出的基于分布式數(shù)字身份的個(gè)人數(shù)據(jù)授權(quán)的流程與技術(shù)規(guī)范，包括個(gè)人數(shù)據(jù)授權(quán)總體模型、個(gè)人數(shù)據(jù)授權(quán)流程、個(gè)人數(shù)據(jù)授權(quán)技術(shù)規(guī)范等方面內(nèi)容。IV分布式數(shù)字身份的個(gè)人數(shù)據(jù)授權(quán)使用流程和技術(shù)規(guī)范范圍本文件規(guī)定了個(gè)人數(shù)據(jù)自主授權(quán)的場(chǎng)景、流程和相關(guān)技術(shù)要求。本文件僅適用于數(shù)據(jù)流動(dòng)中涉及個(gè)人數(shù)據(jù)的自主授權(quán)活動(dòng)。本文件不適用于涉及國(guó)家秘密的數(shù)據(jù)和軍事數(shù)據(jù)。規(guī)范性引用文件下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T31504-2015 GB/T35273 GB/T35295 GB/T36343-2018 信息技術(shù)數(shù)據(jù)交易服務(wù)平臺(tái)交易數(shù)據(jù)描GB/T5271.4-2000 信息技術(shù)詞匯第4部分：數(shù)據(jù)的組織GA/T1721-2020 居民身份網(wǎng)絡(luò)認(rèn)證通用術(shù)語(yǔ)ITU-TX.1252 身份管理基準(zhǔn)術(shù)語(yǔ)和定義術(shù)語(yǔ)和定義下列術(shù)語(yǔ)和定義適用于本文件。理。

數(shù)據(jù)data對(duì)事實(shí)、概念或指令的一種形式化表示，適用于以人工或自動(dòng)方式進(jìn)行通信、解釋或處[來(lái)源：GB/T5271.4-2000]個(gè)人數(shù)據(jù)personaldata指?jìng)€(gè)人的具體行為數(shù)據(jù)，但個(gè)人數(shù)據(jù)在一定程度上會(huì)包含個(gè)人信息，如個(gè)人購(gòu)買(mǎi)記錄、個(gè)人健康記錄等。[來(lái)源：GB∕T35273]數(shù)據(jù)主體datasubject指?jìng)€(gè)人數(shù)據(jù)的主體角色，即個(gè)人數(shù)據(jù)中包含的一個(gè)已識(shí)別或可識(shí)別的自然人。[來(lái)源：GB∕T35273]數(shù)據(jù)目錄datacatalog指一組描述個(gè)人數(shù)據(jù)的元數(shù)據(jù)，為數(shù)據(jù)主體的個(gè)人數(shù)據(jù)創(chuàng)建一個(gè)信息完備且可搜索的清單。數(shù)據(jù)提供方dataprovider指通過(guò)個(gè)人數(shù)據(jù)確權(quán)取得個(gè)人數(shù)據(jù)持有權(quán)的機(jī)構(gòu)或自然人，負(fù)責(zé)確保個(gè)人數(shù)據(jù)的采集、生成、存儲(chǔ)和管理過(guò)程都具備合法性、公平性和透明性。數(shù)據(jù)使用方datauser指有需求使用個(gè)人數(shù)據(jù)進(jìn)行分析、處理、存儲(chǔ)或傳播的機(jī)構(gòu)或自然人，負(fù)責(zé)確保個(gè)人數(shù)據(jù)處理的安全性和合規(guī)性，并在個(gè)人數(shù)據(jù)處理過(guò)程中尊重?cái)?shù)據(jù)主體的隱私權(quán)和個(gè)人信息保護(hù)的權(quán)利。數(shù)字身份digitalidentity指一個(gè)主體對(duì)象的數(shù)字化描述，由賦予實(shí)體唯一對(duì)應(yīng)的數(shù)字標(biāo)識(shí)及與之關(guān)聯(lián)的屬性聲明構(gòu)成。[來(lái)源：GB/T31504-2015，3.6，有修改]分布式數(shù)字身份distributeddigitalidentity指參照W3C分布式數(shù)字身份標(biāo)準(zhǔn)實(shí)現(xiàn)的可支持分布式認(rèn)證的數(shù)字身份。個(gè)人數(shù)據(jù)授權(quán)平臺(tái)personaldataauthorizationplatform指為個(gè)人數(shù)據(jù)的授權(quán)流通提供一個(gè)全面的數(shù)據(jù)管理和授權(quán)、授權(quán)驗(yàn)證的技術(shù)平臺(tái)。分布式數(shù)字身份基礎(chǔ)設(shè)施distributeddigitalidentityinfrastructure指為參與個(gè)人數(shù)據(jù)流通的機(jī)構(gòu)或自然人提供分布式數(shù)字身份簽發(fā)、管理、認(rèn)證以及可信存證、取證服務(wù)能力的基礎(chǔ)平臺(tái)。個(gè)人數(shù)據(jù)授權(quán)申請(qǐng)personaldataauthorizationrequest指數(shù)據(jù)使用方就特定用途需獲取對(duì)應(yīng)個(gè)人數(shù)據(jù)時(shí)，向數(shù)據(jù)主體提出明確的授權(quán)請(qǐng)求，詳細(xì)說(shuō)明對(duì)個(gè)人數(shù)據(jù)的使用目的、范圍和期限的過(guò)程。個(gè)人數(shù)據(jù)授權(quán)協(xié)議personaldataauthorizationagreement指由個(gè)人數(shù)據(jù)授權(quán)平臺(tái)依據(jù)數(shù)據(jù)使用方就特定個(gè)人數(shù)據(jù)使用場(chǎng)景生成的各項(xiàng)內(nèi)容約定。其中約定內(nèi)容包括但不限于數(shù)據(jù)提供方信息、數(shù)據(jù)使用方信息、數(shù)據(jù)接口、個(gè)人數(shù)據(jù)內(nèi)容說(shuō)明、個(gè)人數(shù)據(jù)授權(quán)內(nèi)容、授權(quán)時(shí)效性與免責(zé)條款等。本文本特指簽署的電子化協(xié)議。個(gè)人數(shù)據(jù)授權(quán)personaldataauthorization指作為數(shù)據(jù)主體的自然人，在通過(guò)個(gè)人數(shù)據(jù)授權(quán)協(xié)議明確知曉數(shù)據(jù)使用方對(duì)其個(gè)人數(shù)據(jù)的使用需求和目的之后，依其意愿對(duì)個(gè)人數(shù)據(jù)授權(quán)協(xié)議使用分布式數(shù)字身份進(jìn)行簽署的過(guò)程。個(gè)人數(shù)據(jù)請(qǐng)求personaldatarequest指數(shù)據(jù)使用方在獲得數(shù)據(jù)主體授權(quán)的前提下，依照授權(quán)約定，向數(shù)據(jù)提供方獲取數(shù)據(jù)主體授權(quán)的個(gè)人數(shù)據(jù)的過(guò)程。個(gè)人數(shù)據(jù)授權(quán)驗(yàn)證personaldataauthorizationverification指數(shù)據(jù)提供方或數(shù)據(jù)使用方對(duì)個(gè)人數(shù)據(jù)授權(quán)進(jìn)行真實(shí)性、有效性驗(yàn)證的過(guò)程，確保數(shù)據(jù)處理活動(dòng)獲得對(duì)應(yīng)數(shù)據(jù)主體的個(gè)人授權(quán)。縮略語(yǔ)下列縮略語(yǔ)適用于本文件。APP：智能手機(jī)的第三方應(yīng)用程序（Application）H5：超文本語(yǔ)言第五版本（HypertextMarkupLanguage，HTML5的簡(jiǎn)稱(chēng)）個(gè)人數(shù)據(jù)授權(quán)總體模型概述個(gè)人數(shù)據(jù)授權(quán)總體模型見(jiàn)圖1。圖1：個(gè)人數(shù)據(jù)授權(quán)總體模型個(gè)人數(shù)據(jù)授權(quán)總體模型包括監(jiān)管方、數(shù)據(jù)提供方、數(shù)據(jù)使用方、數(shù)據(jù)主體、個(gè)人數(shù)據(jù)授權(quán)平臺(tái)與分布式數(shù)字身份基礎(chǔ)設(shè)施6個(gè)角色主體。監(jiān)管方在個(gè)人數(shù)據(jù)授權(quán)流通中具有法定權(quán)利或主管部門(mén)授予監(jiān)管職責(zé)的監(jiān)管機(jī)構(gòu)。包括但不限于以下活動(dòng)：應(yīng)通過(guò)申領(lǐng)分布式數(shù)字身份，完成身份的可信錨定；應(yīng)負(fù)責(zé)制定和執(zhí)行個(gè)人數(shù)據(jù)授權(quán)流通的相關(guān)政策、法律和標(biāo)準(zhǔn)，對(duì)個(gè)人數(shù)據(jù)授權(quán)流通的各項(xiàng)活動(dòng)進(jìn)行監(jiān)管和指導(dǎo)；應(yīng)負(fù)責(zé)對(duì)數(shù)據(jù)提供方、數(shù)據(jù)使用方、數(shù)據(jù)主體、個(gè)人數(shù)據(jù)授權(quán)平臺(tái)、分布式數(shù)字身份基礎(chǔ)設(shè)施的服務(wù)能力和安全運(yùn)營(yíng)能力進(jìn)行評(píng)測(cè)，并出具客觀、公平的測(cè)評(píng)結(jié)果。可通過(guò)授權(quán)認(rèn)可的第三方獨(dú)立測(cè)評(píng)機(jī)構(gòu)完成相應(yīng)測(cè)評(píng)，以確保各參與方在個(gè)人數(shù)據(jù)授權(quán)系統(tǒng)中的合規(guī)性和安全性。數(shù)據(jù)提供方向數(shù)據(jù)使用方提供個(gè)人數(shù)據(jù)的角色。包括但不限于以下活動(dòng)：應(yīng)通過(guò)申領(lǐng)分布式數(shù)字身份，完成身份的可信錨定；應(yīng)負(fù)責(zé)確保個(gè)人數(shù)據(jù)的合法采集、生成、存儲(chǔ)和管理，并按要求向國(guó)家有關(guān)部門(mén)進(jìn)行登記備案；應(yīng)負(fù)責(zé)積極促進(jìn)個(gè)人數(shù)據(jù)流通，并主動(dòng)對(duì)其持有的個(gè)人數(shù)據(jù)的數(shù)據(jù)目錄進(jìn)行登記和發(fā)布；應(yīng)對(duì)其持有個(gè)人數(shù)據(jù)的安全性負(fù)責(zé)，對(duì)已獲得數(shù)據(jù)主體授權(quán)的數(shù)據(jù)使用方提供個(gè)人數(shù)據(jù)，并采取必要的技術(shù)措施來(lái)保護(hù)數(shù)據(jù)不被未授權(quán)訪問(wèn)；應(yīng)配合監(jiān)管方的審計(jì)和合規(guī)性檢查，以證明數(shù)據(jù)處理活動(dòng)的合法性和合規(guī)性。數(shù)據(jù)使用方有特定個(gè)人數(shù)據(jù)使用需求的角色。包括但不限于以下活動(dòng)：應(yīng)通過(guò)申領(lǐng)分布式數(shù)字身份，完成身份的可信錨定；應(yīng)依據(jù)自身業(yè)務(wù)需求，在確保其用數(shù)需求符合相關(guān)數(shù)據(jù)保護(hù)法規(guī)和標(biāo)準(zhǔn)的同時(shí)，明確提出對(duì)個(gè)人數(shù)據(jù)使用目的和需求；應(yīng)在對(duì)個(gè)人數(shù)據(jù)處理完成后，需根據(jù)個(gè)人數(shù)據(jù)授權(quán)協(xié)議和法律要求，妥善處理或銷(xiāo)毀個(gè)人數(shù)據(jù)，確保數(shù)據(jù)主體的權(quán)益不受侵害；應(yīng)配合監(jiān)管方的審計(jì)和合規(guī)性檢查，以證明數(shù)據(jù)處理活動(dòng)的合法性和合規(guī)性。數(shù)據(jù)主體個(gè)人數(shù)據(jù)的主體角色。包括但不限于以下活動(dòng)：應(yīng)通過(guò)申領(lǐng)分布式數(shù)字身份，完成身份的可信錨定；應(yīng)在個(gè)人數(shù)據(jù)流通中，具備對(duì)個(gè)人數(shù)據(jù)進(jìn)行安全、自主授權(quán)和管理的權(quán)利，確保數(shù)據(jù)主體操作的真實(shí)性和不可抵賴(lài)性?？赏ㄟ^(guò)安全持有的分布式數(shù)字身份私鑰進(jìn)行自主簽名來(lái)實(shí)現(xiàn)；應(yīng)在個(gè)人數(shù)據(jù)流通中，具備對(duì)其個(gè)人數(shù)據(jù)享有授權(quán)和撤回授權(quán)的權(quán)利，即對(duì)個(gè)人數(shù)據(jù)授權(quán)協(xié)議可以根據(jù)自己的意愿進(jìn)行授權(quán)簽署，也可以在任何無(wú)條件下撤回已授權(quán)的個(gè)人數(shù)據(jù)授權(quán)協(xié)議；宜具備查看和審核其個(gè)人數(shù)據(jù)被使用情況的能力；宜具備通過(guò)個(gè)人數(shù)據(jù)授權(quán)獲取相應(yīng)的經(jīng)濟(jì)利益。個(gè)人數(shù)據(jù)授權(quán)平臺(tái)為個(gè)人數(shù)據(jù)流通提供個(gè)人數(shù)據(jù)管理和授權(quán)管理的角色。包括但不限于以下活動(dòng)：應(yīng)通過(guò)申領(lǐng)分布式數(shù)字身份，完成身份的可信錨定；應(yīng)支持個(gè)人數(shù)據(jù)的接入管理，為數(shù)據(jù)提供方提供便捷的數(shù)據(jù)目錄注冊(cè)與發(fā)布的服務(wù)；應(yīng)對(duì)用數(shù)場(chǎng)景的合規(guī)性進(jìn)行審核，提供生成透明、規(guī)范的個(gè)人數(shù)據(jù)授權(quán)協(xié)議的服務(wù)；應(yīng)建立個(gè)人數(shù)據(jù)授權(quán)流通全生命周期的管控體系，確保個(gè)人數(shù)據(jù)流通全流程操作可審計(jì)，數(shù)據(jù)可溯源；應(yīng)配合監(jiān)管方的審計(jì)和合規(guī)性檢查，以證明數(shù)據(jù)處理活動(dòng)的合法性和合規(guī)性。分布式數(shù)字身份基礎(chǔ)設(shè)施負(fù)責(zé)為參與個(gè)人數(shù)據(jù)授權(quán)流通的數(shù)據(jù)提供方、數(shù)據(jù)使用方、數(shù)據(jù)主體、個(gè)人數(shù)據(jù)授權(quán)平臺(tái)提供數(shù)字身份簽發(fā)、管理、認(rèn)證，以及個(gè)人數(shù)據(jù)授權(quán)流通的全生命周期提供可信存證、可信取證的服務(wù)能力。包括但不限于以下活動(dòng)：應(yīng)為監(jiān)管方、數(shù)據(jù)提供方、數(shù)據(jù)使用方、數(shù)據(jù)主體提供分布式數(shù)字身份的簽發(fā)、認(rèn)證和管理服務(wù)；應(yīng)為個(gè)人數(shù)據(jù)流通提供全生命周期的存證、取證服務(wù)；應(yīng)配合監(jiān)管方的審計(jì)和合規(guī)性檢查，以證明數(shù)據(jù)處理活動(dòng)的合法性和合規(guī)性。個(gè)人數(shù)據(jù)授權(quán)流程概述依據(jù)個(gè)人數(shù)據(jù)授權(quán)總體模型的角色分工，個(gè)人數(shù)據(jù)授權(quán)流程如圖2所示。圖2：個(gè)人數(shù)據(jù)授權(quán)流程圖個(gè)人數(shù)據(jù)授權(quán)流程圖步驟說(shuō)明如下：數(shù)據(jù)提供方、數(shù)據(jù)使用方、數(shù)據(jù)主體申領(lǐng)分布式數(shù)字身份。1數(shù)據(jù)提供方遵循個(gè)人數(shù)據(jù)授權(quán)平臺(tái)與分布式數(shù)字身份基礎(chǔ)設(shè)施的準(zhǔn)入機(jī)制，通過(guò)提交申請(qǐng)與審核流程申領(lǐng)分布式數(shù)字身份；12數(shù)據(jù)使用方遵循個(gè)人數(shù)據(jù)授權(quán)平臺(tái)與分布式數(shù)字身份基礎(chǔ)設(shè)施的準(zhǔn)入機(jī)制，通過(guò)提交申請(qǐng)與審核流程申領(lǐng)分布式數(shù)字身份；23數(shù)據(jù)主體通過(guò)自然人法定基礎(chǔ)身份證件信息向個(gè)人數(shù)據(jù)授權(quán)平臺(tái)與分布式數(shù)字身份基礎(chǔ)設(shè)施申領(lǐng)分布式數(shù)字身份。3數(shù)據(jù)提供方注冊(cè)數(shù)據(jù)目錄,詳細(xì)流程見(jiàn)附錄A。1數(shù)據(jù)提供方根據(jù)其持有的個(gè)人數(shù)據(jù)元數(shù)據(jù)信息，包括數(shù)據(jù)來(lái)源、類(lèi)型、用途和使用限制等信息，向個(gè)人數(shù)據(jù)授權(quán)平臺(tái)創(chuàng)建數(shù)據(jù)目錄；12個(gè)人數(shù)據(jù)授權(quán)平臺(tái)對(duì)數(shù)據(jù)目錄進(jìn)行登記發(fā)布；23數(shù)據(jù)使用方通過(guò)查詢(xún)和檢索功能來(lái)訪問(wèn)已發(fā)布的數(shù)據(jù)目錄。3數(shù)據(jù)主體進(jìn)行個(gè)人數(shù)據(jù)授權(quán)，個(gè)人數(shù)據(jù)授權(quán)協(xié)議范本及詳細(xì)流程見(jiàn)附錄B。1數(shù)據(jù)使用方依據(jù)業(yè)務(wù)需求，明確使用個(gè)人數(shù)據(jù)的目的、方式、使用規(guī)范和使用期限等，向個(gè)人數(shù)據(jù)授權(quán)平臺(tái)發(fā)起個(gè)人數(shù)據(jù)授權(quán)申請(qǐng)；12個(gè)人數(shù)據(jù)授權(quán)平臺(tái)依據(jù)數(shù)據(jù)使用方的授權(quán)申請(qǐng)，通過(guò)個(gè)人數(shù)據(jù)授權(quán)協(xié)議管理審核數(shù)據(jù)使用方的用數(shù)場(chǎng)景，并生成個(gè)人數(shù)據(jù)授權(quán)協(xié)議，同時(shí)向?qū)?yīng)數(shù)據(jù)主體發(fā)起個(gè)人數(shù)據(jù)授權(quán)申請(qǐng)；23數(shù)據(jù)主體通過(guò)電子化方式如APP、H5等便捷方式知悉其個(gè)人數(shù)據(jù)的使用需求后，通過(guò)分布式數(shù)字身份對(duì)個(gè)人數(shù)據(jù)授權(quán)協(xié)議進(jìn)行簽署，完成個(gè)人數(shù)據(jù)授權(quán)；3數(shù)據(jù)提供方、數(shù)據(jù)使用方進(jìn)行個(gè)人數(shù)據(jù)授權(quán)驗(yàn)證，詳細(xì)流程見(jiàn)附錄C。1數(shù)據(jù)使用方獲得數(shù)據(jù)主體的個(gè)人數(shù)據(jù)授權(quán)后，向數(shù)據(jù)提供方發(fā)起個(gè)人數(shù)據(jù)請(qǐng)求；12數(shù)據(jù)提供方接收到數(shù)據(jù)使用方的個(gè)人數(shù)據(jù)請(qǐng)求后，向個(gè)人數(shù)據(jù)授權(quán)平臺(tái)進(jìn)行個(gè)人數(shù)據(jù)授權(quán)驗(yàn)2證；3個(gè)人數(shù)據(jù)授權(quán)平臺(tái)通過(guò)個(gè)人數(shù)據(jù)授權(quán)管理驗(yàn)證個(gè)人數(shù)據(jù)授權(quán)的真實(shí)性、有效性；34數(shù)據(jù)提供方接收到個(gè)人數(shù)據(jù)授權(quán)驗(yàn)證結(jié)果后，向數(shù)據(jù)使用方提供經(jīng)授權(quán)的個(gè)人數(shù)據(jù)；4數(shù)據(jù)使用方接收到個(gè)人數(shù)據(jù)后，向個(gè)人數(shù)據(jù)授權(quán)平臺(tái)進(jìn)行個(gè)人數(shù)據(jù)授權(quán)驗(yàn)證，并進(jìn)行后續(xù)業(yè)務(wù)操作。限定條件個(gè)人數(shù)據(jù)授權(quán)為確保數(shù)據(jù)處理活動(dòng)的合法性和合規(guī)性，應(yīng)當(dāng)遵循以下限定條件：個(gè)人數(shù)據(jù)授權(quán)應(yīng)當(dāng)面向特定個(gè)人數(shù)據(jù)、特定用途進(jìn)行展開(kāi)，授權(quán)必須是具體和明確的，不能是模糊或籠統(tǒng)的。個(gè)人數(shù)據(jù)授權(quán)場(chǎng)景應(yīng)當(dāng)在監(jiān)管方的合規(guī)監(jiān)管下構(gòu)建，包括事前約束、事后規(guī)制的法律關(guān)系，以確保數(shù)據(jù)處理活動(dòng)的合法性。個(gè)人數(shù)據(jù)授權(quán)應(yīng)當(dāng)明確是在特定空間和時(shí)間范圍內(nèi)，由特定數(shù)據(jù)使用方發(fā)起個(gè)人數(shù)據(jù)授權(quán)申請(qǐng)，經(jīng)數(shù)據(jù)主體獨(dú)立個(gè)人數(shù)據(jù)授權(quán)，從特定數(shù)據(jù)提供方處取得特定個(gè)人數(shù)據(jù)并進(jìn)行加工和處理，用于特定之目的。這樣的授權(quán)流程有助于保護(hù)個(gè)人隱私，同時(shí)促進(jìn)個(gè)人數(shù)據(jù)的合理利用和流通。個(gè)人數(shù)據(jù)授權(quán)技術(shù)規(guī)范概述個(gè)人數(shù)據(jù)授權(quán)技術(shù)規(guī)范是一套全面且系統(tǒng)化的框架，它涵蓋了個(gè)人數(shù)據(jù)在授權(quán)、使用、傳輸和存儲(chǔ)過(guò)程中的所有關(guān)鍵環(huán)節(jié)，確保這些流程的安全性、合規(guī)性、真實(shí)性和透明性。這些規(guī)范旨在完善個(gè)人數(shù)據(jù)流通安全治理標(biāo)準(zhǔn)，以保護(hù)數(shù)據(jù)主體的隱私權(quán)益，同時(shí)促進(jìn)個(gè)人數(shù)據(jù)的合法流通和使用。通過(guò)遵循這些技術(shù)規(guī)范，可以確保個(gè)人數(shù)據(jù)授權(quán)過(guò)程中的每一步都符合法律法規(guī)，明確各方主體的責(zé)任和義務(wù)，規(guī)范個(gè)人數(shù)據(jù)流通行為，防止個(gè)人數(shù)據(jù)濫用，為個(gè)人數(shù)據(jù)流通提供制度保障。個(gè)人數(shù)據(jù)識(shí)別與分類(lèi)技術(shù)要求個(gè)人數(shù)據(jù)識(shí)別與分類(lèi)技術(shù)要求確保在保護(hù)個(gè)人隱私的同時(shí)，促進(jìn)個(gè)人數(shù)據(jù)的便捷流通和合理利用。包含但不限于以下方面：應(yīng)要求各參與方準(zhǔn)確識(shí)別和分類(lèi)個(gè)人數(shù)據(jù)，區(qū)分敏感數(shù)據(jù)和非敏感、判定風(fēng)險(xiǎn)等級(jí)。包括但不限于個(gè)人身份信息、個(gè)人生物識(shí)別信息、個(gè)人健康生理信息、個(gè)人財(cái)產(chǎn)信息、個(gè)人通信信息等；應(yīng)要求實(shí)施差異化的數(shù)據(jù)保護(hù)措施，對(duì)不同類(lèi)型、不同級(jí)別的個(gè)人數(shù)據(jù)采取相應(yīng)的加密、訪問(wèn)控制等保護(hù)措施。分布式數(shù)字身份技術(shù)要求分布式數(shù)字身份技術(shù)要求為各參與方提供安全、可信、可驗(yàn)證的分布式數(shù)字身份標(biāo)識(shí)，通過(guò)確保參與機(jī)構(gòu)與自然人身份的真實(shí)性，有助于構(gòu)建個(gè)人、組織、數(shù)據(jù)之間的數(shù)字信任關(guān)系，并通過(guò)這種信任關(guān)系為確保個(gè)人數(shù)據(jù)授權(quán)流通過(guò)程中的安全性和可信性。包含但不限于以下方面：應(yīng)要求參與機(jī)構(gòu)以企業(yè)注冊(cè)信息或法人信息通過(guò)準(zhǔn)入方式申領(lǐng)分布式數(shù)字身份；應(yīng)要求數(shù)據(jù)主體以國(guó)家法定身份證件信息通過(guò)實(shí)人認(rèn)證方式申領(lǐng)分布式數(shù)字身份；應(yīng)要求各參與方安全存儲(chǔ)分布式數(shù)字身份私鑰。個(gè)人數(shù)據(jù)授權(quán)技術(shù)要求個(gè)人數(shù)據(jù)授權(quán)技術(shù)要求明確用數(shù)場(chǎng)景，避免“一攬子授權(quán)”現(xiàn)象，確保個(gè)人數(shù)據(jù)授權(quán)過(guò)程中的透明度和合規(guī)性。包含但不限于以下方面：應(yīng)嚴(yán)格審查用數(shù)場(chǎng)景，并根據(jù)用數(shù)場(chǎng)景生成清晰的個(gè)人數(shù)據(jù)授權(quán)協(xié)議，協(xié)議內(nèi)容應(yīng)包括協(xié)議簽署主體、協(xié)議必要性約定和非必要性約定，明確告知協(xié)議授權(quán)內(nèi)容，防止概括性授權(quán)；應(yīng)遵循“一次一授權(quán)、一事一授權(quán)”的原則，確保數(shù)據(jù)主體可以對(duì)其個(gè)人數(shù)據(jù)的使用進(jìn)行精確控制；在個(gè)人數(shù)據(jù)授權(quán)協(xié)議展示中，應(yīng)采取適合的交互設(shè)計(jì)確保數(shù)據(jù)主體能夠充分理解授權(quán)內(nèi)容。如獨(dú)立的彈窗、下滑查看詳情的嵌套網(wǎng)頁(yè)等方式。個(gè)人授權(quán)可信技術(shù)要求個(gè)人授權(quán)可信技術(shù)要求確保授權(quán)操作的安全性和不可抵賴(lài)性。包含但不限于以下方面在個(gè)人數(shù)據(jù)授權(quán)中，應(yīng)采用‘opt-in’選擇加入模式，意味著數(shù)據(jù)主體必須明確同意個(gè)人數(shù)據(jù)授權(quán)協(xié)議，而不是通過(guò)通知或隱式同意的方式；應(yīng)采用符合國(guó)家要求的數(shù)字簽名技術(shù)，確保個(gè)人授權(quán)行為的不可否認(rèn)和可追溯到真實(shí)身份；宜配合其他認(rèn)證方式加強(qiáng)個(gè)人授權(quán)行為的不可否認(rèn)性，如通過(guò)生物識(shí)別技術(shù)、短信驗(yàn)證碼認(rèn)證、簽署口令等。個(gè)人數(shù)據(jù)安全與隱私保護(hù)技術(shù)要求個(gè)人數(shù)據(jù)安全與隱私保護(hù)技術(shù)要求確保在個(gè)人數(shù)據(jù)的整個(gè)生命周期中，包括收集、存儲(chǔ)、授權(quán)訪問(wèn)、傳輸和使用等環(huán)節(jié)中，個(gè)人數(shù)據(jù)的安全性和隱私性能得到妥善保護(hù)。包含但不限于以下方面：應(yīng)使用符合國(guó)家要求的密碼技術(shù)來(lái)進(jìn)行個(gè)人數(shù)據(jù)安全保護(hù)；應(yīng)要求在個(gè)人數(shù)據(jù)收集中，需確保其采集的個(gè)人數(shù)據(jù)來(lái)源合法合規(guī)；應(yīng)要求在個(gè)人數(shù)據(jù)存儲(chǔ)中，需采用安全隔離、容災(zāi)備份等方式對(duì)個(gè)人數(shù)據(jù)進(jìn)行安全保護(hù)，以防止個(gè)人數(shù)據(jù)的丟失和損壞；應(yīng)要求在個(gè)人數(shù)據(jù)授權(quán)訪問(wèn)中，需防止個(gè)人數(shù)據(jù)遭受未授權(quán)訪問(wèn)、泄露和其他安全風(fēng)險(xiǎn)，確保只有經(jīng)過(guò)數(shù)據(jù)主體授權(quán)的數(shù)據(jù)使用才能訪問(wèn)獲取；應(yīng)要求在個(gè)人數(shù)據(jù)傳輸中，需采用安全協(xié)議和加密技術(shù)來(lái)保護(hù)個(gè)人數(shù)據(jù)的傳輸安全性；應(yīng)要求在個(gè)人數(shù)據(jù)使用中，需遵守相關(guān)法律法規(guī)、尊重?cái)?shù)據(jù)主體的權(quán)益，確保個(gè)人數(shù)據(jù)處理活動(dòng)的合法性和合規(guī)性。全流程監(jiān)管與審計(jì)技術(shù)要求全流程監(jiān)管和審計(jì)技術(shù)要求在個(gè)人數(shù)據(jù)授權(quán)流通中建立安全審計(jì)和溯源機(jī)制，保障個(gè)人數(shù)據(jù)流通過(guò)程中的安全性和合規(guī)性。包含但不限于以下方面：應(yīng)要求在個(gè)人數(shù)據(jù)流通過(guò)程中的安全性、合規(guī)性進(jìn)行全面審查和評(píng)估，達(dá)到及時(shí)發(fā)現(xiàn)并糾正個(gè)人數(shù)據(jù)流通中的安全問(wèn)題，確保個(gè)人數(shù)據(jù)在流通中的安全可控；應(yīng)要求在個(gè)人數(shù)據(jù)在流通過(guò)程中的來(lái)源、流向、授權(quán)、使用等行為操作進(jìn)行記錄和追蹤。附 錄 A（規(guī)范性）數(shù)據(jù)目錄注冊(cè)機(jī)制數(shù)據(jù)提供方注冊(cè)數(shù)據(jù)目錄流程數(shù)據(jù)目錄注冊(cè)流程見(jiàn)圖A.1。圖A.1：數(shù)據(jù)目錄注冊(cè)流程流程說(shuō)明如下：【數(shù)據(jù)提供方】依據(jù)其持有的個(gè)人數(shù)據(jù)元數(shù)據(jù)信息，向【個(gè)人數(shù)據(jù)授權(quán)平臺(tái)】注冊(cè)數(shù)據(jù)目錄；【個(gè)人數(shù)據(jù)授權(quán)平臺(tái)】創(chuàng)建數(shù)據(jù)目錄，并向【分布式數(shù)字身份基礎(chǔ)設(shè)施】進(jìn)行數(shù)據(jù)存證后，上架發(fā)布數(shù)據(jù)目錄，并將數(shù)據(jù)目錄發(fā)布結(jié)果返回?cái)?shù)據(jù)提供方，流程結(jié)束。附 錄 B（規(guī)范性）個(gè)人數(shù)據(jù)授權(quán)機(jī)制個(gè)人數(shù)據(jù)授權(quán)協(xié)議范本個(gè)人數(shù)據(jù)授權(quán)協(xié)議范本參考宜包括以下部分內(nèi)容：協(xié)議簽署主體個(gè)人數(shù)據(jù)授權(quán)協(xié)議須由數(shù)據(jù)主體進(jìn)行簽署，如授權(quán)場(chǎng)景需要協(xié)議中提供數(shù)據(jù)來(lái)源及授權(quán)合規(guī)性聲明、數(shù)據(jù)使用方承諾等內(nèi)容的，數(shù)據(jù)提供方或數(shù)據(jù)使用方應(yīng)一并進(jìn)行協(xié)議簽署。協(xié)議必要性約定個(gè)人數(shù)據(jù)授權(quán)協(xié)議必要性條款應(yīng)當(dāng)包含以下內(nèi)容：1直接授權(quán)、間接授權(quán)：數(shù)據(jù)主體授權(quán)數(shù)據(jù)提供方為直接授權(quán)，數(shù)據(jù)主體授權(quán)數(shù)據(jù)使用方為間接授權(quán)。12授權(quán)信息[字段]23數(shù)據(jù)來(lái)源合規(guī)性聲明34授權(quán)信息用途45授權(quán)時(shí)效性56授權(quán)撤銷(xiāo)條款67數(shù)據(jù)修改權(quán)限及用途78數(shù)據(jù)復(fù)制權(quán)限及用途89數(shù)據(jù)刪除91協(xié)議非必要性約定數(shù)據(jù)存儲(chǔ)條款12數(shù)據(jù)計(jì)算說(shuō)明23數(shù)據(jù)第三方輸出條款（未約定則不得輸出）34數(shù)據(jù)安全措施45數(shù)據(jù)加工產(chǎn)品的知識(shí)產(chǎn)權(quán)說(shuō)明56隱私及商業(yè)秘密的額外約定6個(gè)人數(shù)據(jù)授權(quán)流程個(gè)人數(shù)據(jù)授權(quán)流程見(jiàn)圖B.1。圖B.1：個(gè)人數(shù)據(jù)授權(quán)流程流程說(shuō)明如下：【數(shù)據(jù)使用方】向【個(gè)人數(shù)據(jù)授權(quán)平臺(tái)】檢索、查詢(xún)數(shù)據(jù)目錄信息，【個(gè)人數(shù)據(jù)授權(quán)平臺(tái)】返回已上架的數(shù)據(jù)目錄數(shù)據(jù)；【數(shù)據(jù)使用方】依據(jù)自身業(yè)務(wù)需求，向【個(gè)人數(shù)據(jù)授權(quán)平臺(tái)】發(fā)起所需數(shù)據(jù)目錄對(duì)應(yīng)的個(gè)人數(shù)據(jù)授權(quán)申請(qǐng)；【個(gè)人數(shù)據(jù)授權(quán)平臺(tái)】依據(jù)個(gè)人數(shù)據(jù)授權(quán)申請(qǐng)，對(duì)【數(shù)據(jù)使用方】進(jìn)行用數(shù)審核，生成個(gè)人數(shù)據(jù)授權(quán)協(xié)議，并向【數(shù)據(jù)主體】同步個(gè)人數(shù)據(jù)授權(quán)協(xié)議發(fā)起個(gè)