基于分布式數(shù)字身份的個(gè)人數(shù)據(jù)授權(quán)的流程與技術(shù)規(guī)范

基于分布式數(shù)字身份的個(gè)人數(shù)據(jù)授權(quán)使用流程和技術(shù)規(guī)范本文件規(guī)定了個(gè)人數(shù)據(jù)自主授權(quán)的場(chǎng)景、流程和相關(guān)技術(shù)要求。本文件僅適用于數(shù)據(jù)流動(dòng)中涉及個(gè)人數(shù)據(jù)的自主授權(quán)活動(dòng)。本文件不適用于涉及國(guó)家秘密的數(shù)據(jù)和軍事數(shù)據(jù)。下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T35295信息技術(shù)大數(shù)據(jù)術(shù)語(yǔ)GB/T36343-2018信息技術(shù)數(shù)據(jù)交易服務(wù)平臺(tái)交易數(shù)據(jù)描述GB/T5271.4-2000信息技術(shù)詞匯第4部分：數(shù)據(jù)的組織GA/T1721-2020居民身份網(wǎng)絡(luò)認(rèn)證通用術(shù)語(yǔ)GB/T31504-2015信息安全技術(shù)鑒別與授權(quán)數(shù)字身份信息服務(wù)框架規(guī)范GB/T35273信息安全技術(shù)個(gè)人信息安全規(guī)范GA/T1721-xxxx網(wǎng)絡(luò)身份認(rèn)證公共服務(wù)通用術(shù)語(yǔ)ITU-TX.1252身份管理基準(zhǔn)術(shù)語(yǔ)和定義YD/Txxxx-xxxx數(shù)字身份分布式服務(wù)總體框架下列術(shù)語(yǔ)和定義適用于本文件。3.1數(shù)據(jù)（data）對(duì)事實(shí)、概念或指令的一種形式化表示，適用于以人工或自動(dòng)方式進(jìn)行通信、解釋或處理。[來(lái)源：GB/T5271.4-2000]3.2個(gè)人數(shù)據(jù)（personaldata）指?jìng)€(gè)人的具體行為數(shù)據(jù)，但個(gè)人數(shù)據(jù)在一定程度上會(huì)包含個(gè)人信息，如個(gè)人購(gòu)買(mǎi)記錄、個(gè)人健康記錄等。[來(lái)源：GB∕T35273]3.3數(shù)據(jù)主體（datasubject）指?jìng)€(gè)人數(shù)據(jù)的主體角色，即個(gè)人數(shù)據(jù)中包含的一個(gè)已識(shí)別或可識(shí)別的自然人。[來(lái)源：GB∕T35273]3.4數(shù)據(jù)目錄（datacatalog）指一組描述個(gè)人數(shù)據(jù)的元數(shù)據(jù)，為數(shù)據(jù)主體的個(gè)人數(shù)據(jù)創(chuàng)建一個(gè)信息完備且可搜索的清單。3.5數(shù)據(jù)提供方（dataprovider）指通過(guò)個(gè)人數(shù)據(jù)確權(quán)取得個(gè)人數(shù)據(jù)持有權(quán)的機(jī)構(gòu)或自然人，負(fù)責(zé)確保個(gè)人數(shù)據(jù)的采集、生成、存儲(chǔ)和管理過(guò)程都具備合法性、公平性和透明性。3.6數(shù)據(jù)使用方（datauser）指有需求使用個(gè)人數(shù)據(jù)進(jìn)行分析、處理、存儲(chǔ)或傳播的機(jī)構(gòu)或自然人，負(fù)責(zé)確保個(gè)人數(shù)據(jù)處理的安全性和合規(guī)性，并在個(gè)人數(shù)據(jù)處理過(guò)程中尊重?cái)?shù)據(jù)主體的隱私權(quán)和個(gè)人信息保護(hù)的權(quán)利。3.7數(shù)字身份（digitalidentity）指一個(gè)主體對(duì)象的數(shù)字化描述，由賦予實(shí)體唯一對(duì)應(yīng)的數(shù)字標(biāo)識(shí)及與之關(guān)聯(lián)的屬性聲明構(gòu)成。[來(lái)源：GB/T31504-2015，3.6，有修改]3.8分布式數(shù)字身份（distributeddigitalidentity）指參照W3C分布式數(shù)字身份標(biāo)準(zhǔn)實(shí)現(xiàn)的可支持分布式認(rèn)證的數(shù)字身份。3.9個(gè)人數(shù)據(jù)授權(quán)平臺(tái)（personaldataauthorizationplatform）指為個(gè)人數(shù)據(jù)的授權(quán)流通提供一個(gè)全面的數(shù)據(jù)管理和授3.10分布式數(shù)字身份基礎(chǔ)設(shè)施（distributeddigitalidentityinfrastructure）指為參與個(gè)人數(shù)據(jù)流通的機(jī)構(gòu)或自然人提供分布式數(shù)字身份簽發(fā)和可信存證、取證服務(wù)能力的基礎(chǔ)平臺(tái)。3.11個(gè)人數(shù)據(jù)授權(quán)申請(qǐng)（personaldataauthorizationrequest）指數(shù)據(jù)使用方就特定用途需獲取對(duì)應(yīng)個(gè)人數(shù)據(jù)時(shí)，向數(shù)據(jù)主體提出明確的授權(quán)請(qǐng)求，詳細(xì)說(shuō)明對(duì)個(gè)人數(shù)據(jù)的使用目的、范圍和期限的過(guò)程。3.12個(gè)人數(shù)據(jù)授權(quán)協(xié)議（personaldataauthorizationagreement）指由個(gè)人數(shù)據(jù)授權(quán)平臺(tái)依據(jù)數(shù)據(jù)使用方就特定個(gè)人數(shù)據(jù)使用場(chǎng)景生成的各項(xiàng)內(nèi)容約定。其中約定內(nèi)容包括但不限于數(shù)據(jù)提供方信息、數(shù)據(jù)使用方信息、數(shù)據(jù)接口、個(gè)人數(shù)據(jù)內(nèi)容說(shuō)明、個(gè)人數(shù)據(jù)授權(quán)內(nèi)容、授權(quán)時(shí)效性與免責(zé)條款等。本文本特指簽署的電子化協(xié)議。3.13個(gè)人數(shù)據(jù)授權(quán)（personaldataauthorization）指作為數(shù)據(jù)主體的自然人，在通過(guò)個(gè)人數(shù)據(jù)授權(quán)協(xié)議明確知曉數(shù)據(jù)使用方對(duì)其個(gè)人數(shù)據(jù)的使用需求和目的之后，依其意愿對(duì)個(gè)人數(shù)據(jù)授權(quán)協(xié)議使用分布式數(shù)字身份進(jìn)行簽署的過(guò)程。3.14個(gè)人數(shù)據(jù)請(qǐng)求（personaldatarequest）指數(shù)據(jù)使用方在獲得數(shù)據(jù)主體授權(quán)的前提下，依照授權(quán)約定，向數(shù)據(jù)提供方獲取數(shù)據(jù)主體授權(quán)的個(gè)人數(shù)據(jù)的過(guò)程。3.15個(gè)人數(shù)據(jù)授權(quán)驗(yàn)證（personaldataauthorizationverification）指數(shù)據(jù)提供方或數(shù)據(jù)使用方對(duì)個(gè)人數(shù)據(jù)授權(quán)進(jìn)行真實(shí)性、有效性驗(yàn)證的過(guò)程，確保數(shù)據(jù)處理活動(dòng)獲得對(duì)應(yīng)數(shù)據(jù)主體的個(gè)人授權(quán)。4縮略語(yǔ)下列縮略語(yǔ)適用于本文件。APP：智能手機(jī)的第三方應(yīng)用程序（Application）H5：超文本語(yǔ)言第五版本（HypertextMarkupLanguage，HTML5的簡(jiǎn)稱）5個(gè)人數(shù)據(jù)授權(quán)總體模型5.1概述監(jiān)評(píng)申數(shù)身冊(cè)據(jù)錄領(lǐng)字份監(jiān)評(píng)申數(shù)身冊(cè)據(jù)錄領(lǐng)字份份簽發(fā)監(jiān)管方管估數(shù)據(jù)提供方個(gè)人數(shù)數(shù)據(jù)使用方據(jù)請(qǐng)求申數(shù)身注數(shù)目領(lǐng)字份申數(shù)身數(shù)據(jù)驗(yàn)證個(gè)數(shù)授領(lǐng)字份人據(jù)權(quán)個(gè)人數(shù)據(jù)授權(quán)平臺(tái)存證/取證分布式數(shù)字身份基礎(chǔ)設(shè)施圖1：個(gè)人數(shù)據(jù)授權(quán)總體模型個(gè)人數(shù)據(jù)授權(quán)總體模型包括監(jiān)管方、數(shù)據(jù)提供方、數(shù)據(jù)使用方、數(shù)據(jù)主體、個(gè)人數(shù)據(jù)授權(quán)平臺(tái)與分布式數(shù)字身份基礎(chǔ)設(shè)施6個(gè)角色主體。5.2監(jiān)管方在個(gè)人數(shù)據(jù)授權(quán)流通中具有法定權(quán)利或主管部門(mén)授予監(jiān)管職責(zé)的監(jiān)管機(jī)構(gòu)。包括但不限于以下活a)應(yīng)通過(guò)申領(lǐng)分布式數(shù)字身份，完成身份的可信錨定；b)應(yīng)負(fù)責(zé)制定和執(zhí)行個(gè)人數(shù)據(jù)授權(quán)流通的相關(guān)政策、法律和標(biāo)準(zhǔn)，對(duì)個(gè)人數(shù)據(jù)授權(quán)流通的各項(xiàng)活動(dòng)進(jìn)行監(jiān)管和指導(dǎo)；c)應(yīng)負(fù)責(zé)對(duì)數(shù)據(jù)提供方、數(shù)據(jù)使用方、數(shù)據(jù)主體、個(gè)人數(shù)據(jù)授權(quán)平臺(tái)、分布式數(shù)字身份基礎(chǔ)設(shè)施的服務(wù)能力和安全運(yùn)營(yíng)能力進(jìn)行評(píng)測(cè)，并出具客觀、公平的測(cè)評(píng)結(jié)果。可通過(guò)授權(quán)認(rèn)可的第三方獨(dú)立測(cè)評(píng)機(jī)構(gòu)完成相應(yīng)測(cè)評(píng)，以確保各參與方在個(gè)人數(shù)據(jù)授權(quán)系統(tǒng)中的合規(guī)性和安全性。5.3數(shù)據(jù)提供方向數(shù)據(jù)使用方提供個(gè)人數(shù)據(jù)的角色。包括但不限于以下活動(dòng)：（注：數(shù)據(jù)目錄注冊(cè)見(jiàn)附錄A、個(gè)人數(shù)據(jù)授權(quán)核驗(yàn)見(jiàn)附錄B、個(gè)人數(shù)據(jù)授權(quán)核驗(yàn)見(jiàn)附錄C）a)應(yīng)通過(guò)申領(lǐng)分布式數(shù)字身份，完成身份的可信錨定；b)應(yīng)負(fù)責(zé)確保個(gè)人數(shù)據(jù)的合法采集、生成、存儲(chǔ)和管理，并按要求向國(guó)家有關(guān)部門(mén)進(jìn)行登記備c)應(yīng)負(fù)責(zé)積極促進(jìn)個(gè)人數(shù)據(jù)流通，并主動(dòng)對(duì)其持有的個(gè)人數(shù)據(jù)的數(shù)據(jù)目錄進(jìn)行登記和發(fā)布；d)應(yīng)對(duì)其持有個(gè)人數(shù)據(jù)的安全性負(fù)責(zé)，對(duì)已獲得數(shù)據(jù)主體授權(quán)的數(shù)據(jù)使用方提供個(gè)人數(shù)據(jù)，并采取必要的技術(shù)措施來(lái)保護(hù)數(shù)據(jù)不被未授權(quán)訪問(wèn)；e)應(yīng)配合監(jiān)管方的審計(jì)和合規(guī)性檢查，以證明數(shù)據(jù)處理活動(dòng)的合法性和合規(guī)性。5.4數(shù)據(jù)使用方有特定個(gè)人數(shù)據(jù)使用需求的角色。包括但不限于以下活動(dòng)：（注：個(gè)人數(shù)據(jù)授權(quán)見(jiàn)附錄B、個(gè)人數(shù)據(jù)授權(quán)核驗(yàn)見(jiàn)附錄C）a)應(yīng)通過(guò)申領(lǐng)分布式數(shù)字身份，完成身份的可信錨定；b)應(yīng)依據(jù)自身業(yè)務(wù)需求，在確保其用數(shù)需求符合相關(guān)數(shù)據(jù)保護(hù)法規(guī)和標(biāo)準(zhǔn)的同時(shí)，明確提出對(duì)個(gè)人數(shù)據(jù)使用目的和需求；c)應(yīng)在對(duì)個(gè)人數(shù)據(jù)處理完成后，需根據(jù)個(gè)人數(shù)據(jù)授權(quán)協(xié)議和法律要求，妥善處理或銷(xiāo)毀個(gè)人數(shù)據(jù)，確保數(shù)據(jù)主體的權(quán)益不受侵害；d)應(yīng)配合監(jiān)管方的審計(jì)和合規(guī)性檢查，以證明數(shù)據(jù)處理活動(dòng)的合法性和合規(guī)性。5.5數(shù)據(jù)主體個(gè)人數(shù)據(jù)的主體角色。包括但不限于以下活動(dòng)注：個(gè)人數(shù)據(jù)授權(quán)見(jiàn)附錄B）。a)應(yīng)通過(guò)申領(lǐng)分布式數(shù)字身份，完成身份的可信錨定；b)應(yīng)在個(gè)人數(shù)據(jù)流通中，具備對(duì)個(gè)人數(shù)據(jù)進(jìn)行安全、自主授權(quán)和管理的權(quán)利，確保數(shù)據(jù)主體操作的真實(shí)性和不可抵賴性?？赏ㄟ^(guò)安全持有的分布式數(shù)字身份私鑰進(jìn)行自主簽名來(lái)實(shí)現(xiàn)；c)應(yīng)在個(gè)人數(shù)據(jù)流通中，具備對(duì)其個(gè)人數(shù)據(jù)享有授權(quán)和撤回授權(quán)的權(quán)利，即對(duì)個(gè)人數(shù)據(jù)授權(quán)協(xié)議可以根據(jù)自己的意愿進(jìn)行授權(quán)簽署，也可以在任何無(wú)條件下撤回已授權(quán)的個(gè)人數(shù)據(jù)授權(quán)協(xié)d)宜具備查看和審核其個(gè)人數(shù)據(jù)被使用情況的能力；e)宜具備通過(guò)個(gè)人數(shù)據(jù)授權(quán)獲取相應(yīng)的經(jīng)濟(jì)利益。5.6個(gè)人數(shù)據(jù)授權(quán)平臺(tái)為個(gè)人數(shù)據(jù)流通提供個(gè)人數(shù)據(jù)管理和授權(quán)管理的角色。包括但不限于以下活動(dòng)注：數(shù)據(jù)目錄注冊(cè)見(jiàn)附錄A、個(gè)人數(shù)據(jù)授權(quán)見(jiàn)附錄B、個(gè)人數(shù)據(jù)授權(quán)核驗(yàn)見(jiàn)附錄C）a)應(yīng)通過(guò)申領(lǐng)分布式數(shù)字身份，完成身份的可信錨定；b)應(yīng)支持個(gè)人數(shù)據(jù)的接入管理，為數(shù)據(jù)提供方提供便捷的數(shù)據(jù)目錄注冊(cè)與發(fā)布的服務(wù)；c)應(yīng)對(duì)用數(shù)場(chǎng)景的合規(guī)性進(jìn)行審核，提供生成透明、規(guī)范的個(gè)人數(shù)據(jù)授權(quán)協(xié)議的服務(wù)；d)應(yīng)建立個(gè)人數(shù)據(jù)授權(quán)流通全生命周期的管控體系，確保個(gè)人數(shù)據(jù)流通全流程操作可審計(jì)，數(shù)據(jù)可溯源；e)應(yīng)配合監(jiān)管方的審計(jì)和合規(guī)性檢查，以證明數(shù)據(jù)處理活動(dòng)的合法性和合規(guī)性。5.7分布式數(shù)字身份基礎(chǔ)設(shè)施負(fù)責(zé)為參與個(gè)人數(shù)據(jù)授權(quán)流通的數(shù)據(jù)提供方、數(shù)據(jù)使用方、數(shù)據(jù)主體、個(gè)人數(shù)據(jù)授權(quán)平臺(tái)簽發(fā)分布式數(shù)字身份，為個(gè)人數(shù)據(jù)授權(quán)流通的全生命周期提供可信存證、可信取證的服務(wù)能力。包括但不限于以下活動(dòng)：a)應(yīng)為監(jiān)管方、數(shù)據(jù)提供方、數(shù)據(jù)使用方、數(shù)據(jù)主體提供分布式數(shù)字身份的簽發(fā)、認(rèn)證和管理b)應(yīng)為個(gè)人數(shù)據(jù)流通提供全生命周期的存證、取證服務(wù)；c)應(yīng)配合監(jiān)管方的審計(jì)和合規(guī)性檢查，以證明數(shù)據(jù)處理活動(dòng)的合法性和合規(guī)性。6個(gè)人數(shù)據(jù)授權(quán)流程6.1概述4.4個(gè)人數(shù)據(jù)請(qǐng)求結(jié)果4.1發(fā)起個(gè)人數(shù)據(jù)請(qǐng)求4.4個(gè)人數(shù)據(jù)請(qǐng)求結(jié)果4.1發(fā)起個(gè)人數(shù)據(jù)請(qǐng)求數(shù)據(jù)提供方數(shù)據(jù)使用方2.1注冊(cè)數(shù)2.1注冊(cè)數(shù)據(jù)目錄領(lǐng)領(lǐng)數(shù)字身份數(shù)據(jù)主體1.1申領(lǐng)數(shù)字身份3.3簽署個(gè)人1.1申領(lǐng)數(shù)字身份個(gè)人數(shù)據(jù)授權(quán)平臺(tái)2.2數(shù)據(jù)目錄管理3.2個(gè)人數(shù)據(jù)授權(quán)協(xié)議管理4.3個(gè)人數(shù)據(jù)授權(quán)管理簽發(fā)身份全流程取證全流程簽發(fā)身份全流程取證分布式數(shù)字身份基礎(chǔ)設(shè)施4.5個(gè)人4.5個(gè)人數(shù)據(jù)授權(quán)驗(yàn)證3.1發(fā)起個(gè)人數(shù)據(jù)授權(quán)申請(qǐng)展示1.1據(jù)領(lǐng)目數(shù)錄字身份圖2：個(gè)人數(shù)據(jù)授權(quán)流程圖個(gè)人數(shù)據(jù)授權(quán)總體模型步驟說(shuō)明如下：一、數(shù)據(jù)提供方、數(shù)據(jù)使用方、數(shù)據(jù)主體申領(lǐng)分布式數(shù)字身份（1）數(shù)據(jù)提供方遵循個(gè)人數(shù)據(jù)授權(quán)平臺(tái)與分布式數(shù)字身份基礎(chǔ)設(shè)施的準(zhǔn)入機(jī)制，通過(guò)提交申請(qǐng)與審核流程申領(lǐng)分布式數(shù)字身份；（2）數(shù)據(jù)使用方遵循個(gè)人數(shù)據(jù)授權(quán)平臺(tái)與分布式數(shù)字身份基礎(chǔ)設(shè)施的準(zhǔn)入機(jī)制，通過(guò)提交申請(qǐng)與審核流程申領(lǐng)分布式數(shù)字身份；（3）數(shù)據(jù)主體通過(guò)自然人法定基礎(chǔ)身份證件信息向個(gè)人數(shù)據(jù)授權(quán)平臺(tái)與分布式數(shù)字身份基礎(chǔ)設(shè)施申領(lǐng)分布式數(shù)字身份。二、數(shù)據(jù)提供方注冊(cè)數(shù)據(jù)目錄（注：詳細(xì)流程見(jiàn)附錄A）（1）數(shù)據(jù)提供方根據(jù)其持有的個(gè)人數(shù)據(jù)元數(shù)據(jù)信息，包括數(shù)據(jù)來(lái)源、類(lèi)型、用途和使用限制等信息，向個(gè)人數(shù)據(jù)授權(quán)平臺(tái)創(chuàng)建數(shù)據(jù)目錄；（2）個(gè)人數(shù)據(jù)授權(quán)平臺(tái)通過(guò)數(shù)據(jù)目錄管理對(duì)已注冊(cè)的數(shù)據(jù)目錄進(jìn)行上架發(fā)布；（3）數(shù)據(jù)使用方通過(guò)查詢和檢索功能來(lái)訪問(wèn)已發(fā)布的數(shù)據(jù)目錄。三、數(shù)據(jù)主體個(gè)人數(shù)據(jù)授權(quán)（注：個(gè)人數(shù)據(jù)授權(quán)協(xié)議范本、詳細(xì)流程見(jiàn)附錄B）（1）數(shù)據(jù)使用方依據(jù)業(yè)務(wù)需求，明確使用個(gè)人數(shù)據(jù)的目的、方式、使用規(guī)范和使用期限等，向個(gè)人數(shù)據(jù)授權(quán)平臺(tái)發(fā)起個(gè)人數(shù)據(jù)授權(quán)申請(qǐng)；（2）個(gè)人數(shù)據(jù)授權(quán)平臺(tái)依據(jù)數(shù)據(jù)使用方的授權(quán)申請(qǐng)，通過(guò)個(gè)人數(shù)據(jù)授權(quán)協(xié)議管理審核數(shù)據(jù)使用方的用數(shù)場(chǎng)景，并生成個(gè)人數(shù)據(jù)授權(quán)協(xié)議，同時(shí)向?qū)?yīng)數(shù)據(jù)主體發(fā)起個(gè)人數(shù)據(jù)授權(quán)申請(qǐng)；（3）數(shù)據(jù)主體通過(guò)電子化方式如APP、H5等便捷方式知悉其個(gè)人數(shù)據(jù)的使用需求后，通過(guò)分布式數(shù)字身份對(duì)個(gè)人數(shù)據(jù)授權(quán)協(xié)議進(jìn)行簽署，完成個(gè)人數(shù)據(jù)授權(quán)；四、數(shù)據(jù)提供方、數(shù)據(jù)使用方個(gè)人數(shù)據(jù)授權(quán)驗(yàn)證（注：詳細(xì)流程見(jiàn)附錄C）（1）數(shù)據(jù)使用方獲得數(shù)據(jù)主體的個(gè)人數(shù)據(jù)授權(quán)后，向數(shù)據(jù)提供方發(fā)起個(gè)人數(shù)據(jù)請(qǐng)求；（2）數(shù)據(jù)提供方接收到數(shù)據(jù)使用方的個(gè)人數(shù)據(jù)請(qǐng)求后，向個(gè)人數(shù)據(jù)授權(quán)平臺(tái)進(jìn)行個(gè)人數(shù)據(jù)授權(quán)驗(yàn)證；（3）個(gè)人數(shù)據(jù)授權(quán)平臺(tái)通過(guò)個(gè)人數(shù)據(jù)授權(quán)管理驗(yàn)證個(gè)人數(shù)據(jù)授權(quán)的真實(shí)性、有效性；（4）數(shù)據(jù)提供方接收到個(gè)人數(shù)據(jù)授權(quán)驗(yàn)證結(jié)果后，向數(shù)據(jù)使用方提供授權(quán)內(nèi)的個(gè)人數(shù)據(jù)信息；（5）數(shù)據(jù)使用方接收到個(gè)人數(shù)據(jù)結(jié)果后，向個(gè)人數(shù)據(jù)授權(quán)平臺(tái)進(jìn)行個(gè)人數(shù)據(jù)授權(quán)驗(yàn)證，并進(jìn)行后續(xù)業(yè)務(wù)操作。6.2限定條件7個(gè)人數(shù)據(jù)授權(quán)技術(shù)規(guī)范7.1概述個(gè)人數(shù)據(jù)授權(quán)技術(shù)規(guī)范是一套全面且系統(tǒng)化的框架，它涵蓋了個(gè)人數(shù)據(jù)在授權(quán)、使用、傳輸和存儲(chǔ)過(guò)程中的所有關(guān)鍵環(huán)節(jié)，確保這些流程的安全性、合規(guī)性、真實(shí)性和透明性。這些規(guī)范旨在完善個(gè)人數(shù)據(jù)流通安全治理標(biāo)準(zhǔn)，以保護(hù)數(shù)據(jù)主體的隱私權(quán)益，同時(shí)促進(jìn)個(gè)人數(shù)據(jù)的合法流通和使用。通過(guò)遵循這些技術(shù)規(guī)范，可以確保個(gè)人數(shù)據(jù)授權(quán)過(guò)程中的每一步都符合法律法規(guī)，明確各方主體的責(zé)任和義務(wù)，規(guī)范個(gè)人數(shù)據(jù)流通行為，防止個(gè)人數(shù)據(jù)濫用，為個(gè)人數(shù)據(jù)流通提供制度保障。7.2個(gè)人數(shù)據(jù)識(shí)別與分類(lèi)技術(shù)要求個(gè)人數(shù)據(jù)識(shí)別與分類(lèi)技術(shù)要求確保在保護(hù)個(gè)人隱私的同時(shí)，促進(jìn)個(gè)人數(shù)據(jù)的便捷流通和合理利用。包含但不限于以下方面：a)應(yīng)要求各參與方準(zhǔn)確識(shí)別和分類(lèi)個(gè)人數(shù)據(jù)，區(qū)分敏感數(shù)據(jù)和非敏感、判定風(fēng)險(xiǎn)等級(jí)。包括但不限于個(gè)人身份信息、個(gè)人生物識(shí)別信息、個(gè)人健康生理信息、個(gè)人財(cái)產(chǎn)信息、個(gè)人通信信息b)應(yīng)要求實(shí)施差異化的數(shù)據(jù)保護(hù)措施，對(duì)不同類(lèi)型、不同級(jí)別的個(gè)人數(shù)據(jù)采取相應(yīng)的加密、訪問(wèn)控制等保護(hù)措施。7.3分布式數(shù)字身份技術(shù)要求分布式數(shù)字身份技術(shù)要求為各參與方提供安全、可信、可驗(yàn)證的分布式數(shù)字身份標(biāo)識(shí)，通過(guò)確保參與機(jī)構(gòu)與自然人身份的真實(shí)性，有助于構(gòu)建個(gè)人、組織、數(shù)據(jù)之間的數(shù)字信任關(guān)系，并通過(guò)這種信任關(guān)系為確保個(gè)人數(shù)據(jù)授權(quán)流通過(guò)程中的安全性和可信性。包含但不限于以下方面：a)應(yīng)要求參與機(jī)構(gòu)以企業(yè)注冊(cè)信息或法人信息通過(guò)準(zhǔn)入方式申領(lǐng)分布式數(shù)字身份；b)應(yīng)要求數(shù)據(jù)主體以國(guó)家法定身份證件信息通過(guò)實(shí)人認(rèn)證方式申領(lǐng)分布式數(shù)字身份；c)應(yīng)要求各參與方安全存儲(chǔ)分布式數(shù)字身份私鑰。7.4個(gè)人數(shù)據(jù)授權(quán)技術(shù)要求個(gè)人數(shù)據(jù)授權(quán)技術(shù)要求明確用數(shù)場(chǎng)景，避免“一攬子授權(quán)”現(xiàn)象，確保個(gè)人數(shù)據(jù)授權(quán)過(guò)程中的透明度和合規(guī)性。包含但不限于以下方面：a)應(yīng)嚴(yán)格審查用數(shù)場(chǎng)景，并根據(jù)用數(shù)場(chǎng)景生成清晰的個(gè)人數(shù)據(jù)授權(quán)協(xié)議，協(xié)議內(nèi)容應(yīng)包括協(xié)議簽署主體、協(xié)議必要性約定和非必要性約定，明確告知協(xié)議授權(quán)內(nèi)容，防止概括性授權(quán)；b)應(yīng)遵循“一次一授權(quán)、一事一授權(quán)”的原則，確保數(shù)據(jù)主體可以對(duì)其個(gè)人數(shù)據(jù)的使用進(jìn)行精確控制；c)在個(gè)人數(shù)據(jù)授權(quán)協(xié)議展示中，應(yīng)采取適合的交互設(shè)計(jì)確保數(shù)據(jù)主體能夠充分理解授權(quán)內(nèi)容。如獨(dú)立的彈窗、下滑查看詳情的嵌套網(wǎng)頁(yè)等方式。7.5個(gè)人授權(quán)可信技術(shù)要求個(gè)人授權(quán)可信技術(shù)要求確保授權(quán)操作的安全性和不可抵賴性。包含但不限于以下方面a)在個(gè)人數(shù)據(jù)授權(quán)中，應(yīng)采用‘opt-in’選擇加入模式，意味著數(shù)據(jù)主體必須明確同意個(gè)人數(shù)據(jù)授權(quán)協(xié)議，而不是通過(guò)通知或隱式同意的方式；b)應(yīng)采用符合國(guó)家要求的數(shù)字簽名技術(shù)，確保個(gè)人授權(quán)行為的不可否認(rèn)和可追溯到真實(shí)身份；c)宜配合其他認(rèn)證方式加強(qiáng)個(gè)人授權(quán)行為的不可否認(rèn)性，如通過(guò)生物識(shí)別技術(shù)、短信驗(yàn)證碼認(rèn)證、簽署口令等。7.6個(gè)人數(shù)據(jù)安全與隱私保護(hù)技術(shù)要求個(gè)人數(shù)據(jù)安全與隱私保護(hù)技術(shù)要求確保在個(gè)人數(shù)據(jù)的整個(gè)生命周期中，包括收集、存儲(chǔ)、授權(quán)訪問(wèn)、傳輸和使用等環(huán)節(jié)中，個(gè)人數(shù)據(jù)的安全性和隱私性能得到妥善保護(hù)。包含但不限于以下方面：a)應(yīng)使用符合國(guó)家要求的密碼技術(shù)來(lái)進(jìn)行個(gè)人數(shù)據(jù)安全保護(hù)；b)應(yīng)要求在個(gè)人數(shù)據(jù)收集中，需確保其采集的個(gè)人數(shù)據(jù)來(lái)源合法合規(guī)；c)應(yīng)要求在個(gè)人數(shù)據(jù)存儲(chǔ)中，需采用安全隔離、容災(zāi)備份等方式對(duì)個(gè)人數(shù)據(jù)進(jìn)行安全保護(hù)，以防止個(gè)人數(shù)據(jù)的丟失和損壞；d)應(yīng)要求在個(gè)人數(shù)據(jù)授權(quán)訪問(wèn)中，需防止個(gè)人數(shù)據(jù)遭受未授權(quán)訪問(wèn)、泄露和其他安全風(fēng)險(xiǎn)，確保只有經(jīng)過(guò)數(shù)據(jù)主體授權(quán)的數(shù)據(jù)使用才能訪問(wèn)獲取；e)應(yīng)要求在個(gè)人數(shù)據(jù)傳輸中，需采用安全協(xié)議和加密技術(shù)來(lái)保護(hù)個(gè)人數(shù)據(jù)的傳輸安全性；f)應(yīng)要求在個(gè)人數(shù)據(jù)使用中，需遵守相關(guān)法律法規(guī)、尊重?cái)?shù)據(jù)主體的權(quán)益，確保個(gè)人數(shù)據(jù)處理活動(dòng)的合法性和合規(guī)性。7.7全流程監(jiān)管與審計(jì)技術(shù)要求全流程監(jiān)管和審計(jì)技術(shù)要求在個(gè)人數(shù)據(jù)授權(quán)流通中建立安全審計(jì)和溯源機(jī)制，保障個(gè)人數(shù)據(jù)流通過(guò)程中的安全性和合規(guī)性。包含但不限于以下方面：a)應(yīng)要求在個(gè)人數(shù)據(jù)流通過(guò)程中的安全性、合規(guī)性進(jìn)行全面審查和評(píng)估，達(dá)到及時(shí)發(fā)現(xiàn)并糾正個(gè)人數(shù)據(jù)流通中的安全問(wèn)題，確保個(gè)人數(shù)據(jù)在流通中的安全可控；b)應(yīng)要求在個(gè)人數(shù)據(jù)在流通過(guò)程中的來(lái)源、流向、授權(quán)、使用等行為操作進(jìn)行記錄和追蹤。A.1數(shù)據(jù)提供方注冊(cè)數(shù)據(jù)目錄流程數(shù)據(jù)持有方數(shù)據(jù)目錄注冊(cè)流程數(shù)據(jù)提供方個(gè)人數(shù)據(jù)授權(quán)平臺(tái)分布式數(shù)字身份基礎(chǔ)設(shè)施開(kāi)始注冊(cè)數(shù)據(jù)目錄完成數(shù)據(jù)目錄注冊(cè)結(jié)束結(jié)束數(shù)據(jù)目錄管理數(shù)可信存證服務(wù)可信存證服務(wù)數(shù)據(jù)目錄發(fā)布圖C1：數(shù)據(jù)目錄注冊(cè)流程流程說(shuō)明如下：a)【數(shù)據(jù)提供方】依據(jù)其持有的個(gè)人數(shù)據(jù)元數(shù)據(jù)信息，向【個(gè)人數(shù)據(jù)授權(quán)平臺(tái)】注冊(cè)數(shù)據(jù)目錄；b)【個(gè)人數(shù)據(jù)授權(quán)平臺(tái)】創(chuàng)建數(shù)據(jù)目錄，并向【分布式數(shù)字身份基礎(chǔ)設(shè)施】進(jìn)行數(shù)據(jù)存證后，上架發(fā)布數(shù)據(jù)目錄；c)【數(shù)據(jù)使用方】通過(guò)檢索、查詢已發(fā)布數(shù)據(jù)目錄，流程結(jié)束。個(gè)人數(shù)據(jù)授權(quán)協(xié)議范本參考宜包括以下部分內(nèi)容：(一)協(xié)議簽署主體個(gè)人數(shù)據(jù)授權(quán)協(xié)議須由數(shù)據(jù)主體進(jìn)行簽署，如授權(quán)場(chǎng)景需要協(xié)議中提供數(shù)據(jù)來(lái)源及授權(quán)合規(guī)性聲明、數(shù)據(jù)使用方承諾等內(nèi)容的，數(shù)據(jù)提供方或數(shù)據(jù)使用方應(yīng)一并進(jìn)行協(xié)議簽署。(二)協(xié)議必要性約定個(gè)人數(shù)據(jù)授權(quán)協(xié)議必要性條款應(yīng)當(dāng)包含以下內(nèi)容：（1）直接授權(quán)、間接授權(quán)：數(shù)據(jù)主體授權(quán)數(shù)據(jù)提供方為直接授權(quán)，數(shù)據(jù)主體授權(quán)數(shù)據(jù)使用方為間接授權(quán)。（2）授權(quán)信息[字段]（3）數(shù)據(jù)來(lái)源合規(guī)性聲明（4）授權(quán)信息用途（5）授權(quán)時(shí)效性（6）授權(quán)撤銷(xiāo)條款（7）數(shù)據(jù)修改權(quán)限及用途（8）數(shù)據(jù)復(fù)制權(quán)限及用途（9）數(shù)據(jù)刪除(三)協(xié)議非必要性約定（1）數(shù)據(jù)存儲(chǔ)條款（2）數(shù)據(jù)計(jì)算說(shuō)明（3）數(shù)據(jù)第三方輸出條款（未約定則不得輸出）（4）數(shù)據(jù)安全措施（5）數(shù)據(jù)加工產(chǎn)品的知識(shí)產(chǎn)權(quán)說(shuō)明（6）隱私及商業(yè)秘密的額外約定個(gè)人數(shù)據(jù)授權(quán)流程數(shù)據(jù)使用方個(gè)人數(shù)據(jù)授權(quán)平臺(tái)數(shù)據(jù)主體分布式數(shù)字身份基礎(chǔ)設(shè)施開(kāi)始錄4.0..息結(jié)束結(jié)束證圖D2：個(gè)人數(shù)據(jù)授權(quán)流程流程說(shuō)明如下：a)【數(shù)據(jù)使用方】向【個(gè)人數(shù)據(jù)授權(quán)平臺(tái)】檢索、查詢數(shù)據(jù)目錄信息，【個(gè)人數(shù)據(jù)授權(quán)平臺(tái)】返回已上架的數(shù)據(jù)目錄數(shù)據(jù)；b)【數(shù)據(jù)使用方】依據(jù)自身業(yè)務(wù)需求，向【個(gè)人數(shù)據(jù)授權(quán)平臺(tái)】發(fā)起所需數(shù)據(jù)目錄對(duì)應(yīng)的個(gè)人數(shù)據(jù)授權(quán)申請(qǐng)；c)【個(gè)人數(shù)據(jù)授權(quán)平臺(tái)】依據(jù)個(gè)人數(shù)據(jù)授權(quán)申請(qǐng)，對(duì)【數(shù)據(jù)使用方】進(jìn)行用數(shù)審核，生成個(gè)人數(shù)據(jù)授權(quán)協(xié)議，并向【數(shù)據(jù)主體】同步個(gè)人數(shù)據(jù)授權(quán)協(xié)議發(fā)起個(gè)人數(shù)據(jù)授權(quán)申請(qǐng)；d)【數(shù)據(jù)主體】通過(guò)APP、H5等方式知悉個(gè)人數(shù)據(jù)授權(quán)協(xié)議內(nèi)容，使用分布式數(shù)字身份簽發(fā)個(gè)人數(shù)據(jù)授權(quán)憑證；e)【個(gè)人數(shù)據(jù)授權(quán)平臺(tái)】接收【數(shù)據(jù)主體】個(gè)人數(shù)據(jù)授權(quán)憑證后，向【分布式數(shù)字身份基礎(chǔ)設(shè)施】進(jìn)行授權(quán)存證登記，并返回個(gè)人數(shù)據(jù)授權(quán)憑證給【數(shù)據(jù)使用方】，流程結(jié)束。個(gè)人數(shù)據(jù)授權(quán)驗(yàn)證流程數(shù)據(jù)使用方數(shù)據(jù)提供方個(gè)人數(shù)據(jù)授權(quán)平臺(tái)分布式數(shù)字身份基礎(chǔ)設(shè)施開(kāi)始個(gè)人數(shù)個(gè)人數(shù)授權(quán)憑個(gè)人數(shù)個(gè)人數(shù)據(jù)授權(quán)驗(yàn)證17.0完成后續(xù)業(yè)務(wù)結(jié)束結(jié)束據(jù)據(jù)證2.0個(gè)人個(gè)人授權(quán)數(shù)據(jù)憑證3.0個(gè)人數(shù)據(jù)授權(quán)驗(yàn)證數(shù)字身份證數(shù)據(jù)數(shù)字身份證數(shù)據(jù)4.04.0數(shù)字身份查詢數(shù)字身份查詢數(shù)字身份標(biāo)識(shí)文檔..可信取證服務(wù)可信取證服務(wù)取證數(shù)據(jù)可信存證服務(wù)存證結(jié)果15.015.0可信取證服務(wù)取證結(jié)果取證結(jié)果5.0驗(yàn)簽個(gè)人數(shù)據(jù)授權(quán)憑證7.0核驗(yàn)個(gè)人數(shù)據(jù)授權(quán)記錄與狀態(tài)授權(quán)憑證結(jié)果9.0存數(shù)據(jù)hash存?zhèn)€人數(shù)據(jù)結(jié)果存證個(gè)人個(gè)人個(gè)人數(shù)據(jù)核驗(yàn)8.08.0獲取授權(quán)范圍內(nèi)的個(gè)人獲取授權(quán)范圍內(nèi)的個(gè)人數(shù)據(jù)并存證12.0構(gòu)建個(gè)人數(shù)據(jù)請(qǐng)求結(jié)果返回個(gè)人數(shù)據(jù)結(jié)果存證結(jié)果14.014.0個(gè)人數(shù)據(jù)授權(quán)驗(yàn)證與個(gè)人數(shù)據(jù)結(jié)果驗(yàn)證16.016.0核驗(yàn)個(gè)人數(shù)據(jù)授權(quán)記錄與狀態(tài)，返回個(gè)人數(shù)據(jù)請(qǐng)求存證圖E1：個(gè)人數(shù)據(jù)授權(quán)驗(yàn)證流程流程說(shuō)明如下：a)【數(shù)據(jù)使用方】獲取到個(gè)人數(shù)據(jù)授權(quán)憑證后，向【數(shù)據(jù)提供方】發(fā)起個(gè)人數(shù)據(jù)請(qǐng)求，獲取已授權(quán)的個(gè)人數(shù)據(jù)；a)【數(shù)據(jù)提