基于分布式數(shù)字身份的個人數(shù)據(jù)授權(quán)的流程與技術(shù)規(guī)范

基于分布式數(shù)字身份的個人數(shù)據(jù)授權(quán)使用流程和技術(shù)規(guī)范本文件規(guī)定了個人數(shù)據(jù)自主授權(quán)的場景、流程和相關(guān)技術(shù)要求。本文件僅適用于數(shù)據(jù)流動中涉及個人數(shù)據(jù)的自主授權(quán)活動。本文件不適用于涉及國家秘密的數(shù)據(jù)和軍事數(shù)據(jù)。下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T35295信息技術(shù)大數(shù)據(jù)術(shù)語GB/T36343-2018信息技術(shù)數(shù)據(jù)交易服務(wù)平臺交易數(shù)據(jù)描述GB/T5271.4-2000信息技術(shù)詞匯第4部分：數(shù)據(jù)的組織GA/T1721-2020居民身份網(wǎng)絡(luò)認(rèn)證通用術(shù)語GB/T31504-2015信息安全技術(shù)鑒別與授權(quán)數(shù)字身份信息服務(wù)框架規(guī)范GB/T35273信息安全技術(shù)個人信息安全規(guī)范GA/T1721-xxxx網(wǎng)絡(luò)身份認(rèn)證公共服務(wù)通用術(shù)語ITU-TX.1252身份管理基準(zhǔn)術(shù)語和定義YD/Txxxx-xxxx數(shù)字身份分布式服務(wù)總體框架下列術(shù)語和定義適用于本文件。3.1數(shù)據(jù)（data）對事實、概念或指令的一種形式化表示，適用于以人工或自動方式進(jìn)行通信、解釋或處理。[來源：GB/T5271.4-2000]3.2個人數(shù)據(jù)（personaldata）指個人的具體行為數(shù)據(jù)，但個人數(shù)據(jù)在一定程度上會包含個人信息，如個人購買記錄、個人健康記錄等。[來源：GB∕T35273]3.3數(shù)據(jù)主體（datasubject）指個人數(shù)據(jù)的主體角色，即個人數(shù)據(jù)中包含的一個已識別或可識別的自然人。[來源：GB∕T35273]3.4數(shù)據(jù)目錄（datacatalog）指一組描述個人數(shù)據(jù)的元數(shù)據(jù)，為數(shù)據(jù)主體的個人數(shù)據(jù)創(chuàng)建一個信息完備且可搜索的清單。3.5數(shù)據(jù)提供方（dataprovider）指通過個人數(shù)據(jù)確權(quán)取得個人數(shù)據(jù)持有權(quán)的機(jī)構(gòu)或自然人，負(fù)責(zé)確保個人數(shù)據(jù)的采集、生成、存儲和管理過程都具備合法性、公平性和透明性。3.6數(shù)據(jù)使用方（datauser）指有需求使用個人數(shù)據(jù)進(jìn)行分析、處理、存儲或傳播的機(jī)構(gòu)或自然人，負(fù)責(zé)確保個人數(shù)據(jù)處理的安全性和合規(guī)性，并在個人數(shù)據(jù)處理過程中尊重數(shù)據(jù)主體的隱私權(quán)和個人信息保護(hù)的權(quán)利。3.7數(shù)字身份（digitalidentity）指一個主體對象的數(shù)字化描述，由賦予實體唯一對應(yīng)的數(shù)字標(biāo)識及與之關(guān)聯(lián)的屬性聲明構(gòu)成。[來源：GB/T31504-2015，3.6，有修改]3.8分布式數(shù)字身份（distributeddigitalidentity）指參照W3C分布式數(shù)字身份標(biāo)準(zhǔn)實現(xiàn)的可支持分布式認(rèn)證的數(shù)字身份。3.9個人數(shù)據(jù)授權(quán)平臺（personaldataauthorizationplatform）指為個人數(shù)據(jù)的授權(quán)流通提供一個全面的數(shù)據(jù)管理和授3.10分布式數(shù)字身份基礎(chǔ)設(shè)施（distributeddigitalidentityinfrastructure）指為參與個人數(shù)據(jù)流通的機(jī)構(gòu)或自然人提供分布式數(shù)字身份簽發(fā)和可信存證、取證服務(wù)能力的基礎(chǔ)平臺。3.11個人數(shù)據(jù)授權(quán)申請（personaldataauthorizationrequest）指數(shù)據(jù)使用方就特定用途需獲取對應(yīng)個人數(shù)據(jù)時，向數(shù)據(jù)主體提出明確的授權(quán)請求，詳細(xì)說明對個人數(shù)據(jù)的使用目的、范圍和期限的過程。3.12個人數(shù)據(jù)授權(quán)協(xié)議（personaldataauthorizationagreement）指由個人數(shù)據(jù)授權(quán)平臺依據(jù)數(shù)據(jù)使用方就特定個人數(shù)據(jù)使用場景生成的各項內(nèi)容約定。其中約定內(nèi)容包括但不限于數(shù)據(jù)提供方信息、數(shù)據(jù)使用方信息、數(shù)據(jù)接口、個人數(shù)據(jù)內(nèi)容說明、個人數(shù)據(jù)授權(quán)內(nèi)容、授權(quán)時效性與免責(zé)條款等。本文本特指簽署的電子化協(xié)議。3.13個人數(shù)據(jù)授權(quán)（personaldataauthorization）指作為數(shù)據(jù)主體的自然人，在通過個人數(shù)據(jù)授權(quán)協(xié)議明確知曉數(shù)據(jù)使用方對其個人數(shù)據(jù)的使用需求和目的之后，依其意愿對個人數(shù)據(jù)授權(quán)協(xié)議使用分布式數(shù)字身份進(jìn)行簽署的過程。3.14個人數(shù)據(jù)請求（personaldatarequest）指數(shù)據(jù)使用方在獲得數(shù)據(jù)主體授權(quán)的前提下，依照授權(quán)約定，向數(shù)據(jù)提供方獲取數(shù)據(jù)主體授權(quán)的個人數(shù)據(jù)的過程。3.15個人數(shù)據(jù)授權(quán)驗證（personaldataauthorizationverification）指數(shù)據(jù)提供方或數(shù)據(jù)使用方對個人數(shù)據(jù)授權(quán)進(jìn)行真實性、有效性驗證的過程，確保數(shù)據(jù)處理活動獲得對應(yīng)數(shù)據(jù)主體的個人授權(quán)。4縮略語下列縮略語適用于本文件。APP：智能手機(jī)的第三方應(yīng)用程序（Application）H5：超文本語言第五版本（HypertextMarkupLanguage，HTML5的簡稱）5個人數(shù)據(jù)授權(quán)總體模型5.1概述監(jiān)評申數(shù)身冊據(jù)錄領(lǐng)字份監(jiān)評申數(shù)身冊據(jù)錄領(lǐng)字份份簽發(fā)監(jiān)管方管估數(shù)據(jù)提供方個人數(shù)數(shù)據(jù)使用方據(jù)請求申數(shù)身注數(shù)目領(lǐng)字份申數(shù)身數(shù)據(jù)驗證個數(shù)授領(lǐng)字份人據(jù)權(quán)個人數(shù)據(jù)授權(quán)平臺存證/取證分布式數(shù)字身份基礎(chǔ)設(shè)施圖1：個人數(shù)據(jù)授權(quán)總體模型個人數(shù)據(jù)授權(quán)總體模型包括監(jiān)管方、數(shù)據(jù)提供方、數(shù)據(jù)使用方、數(shù)據(jù)主體、個人數(shù)據(jù)授權(quán)平臺與分布式數(shù)字身份基礎(chǔ)設(shè)施6個角色主體。5.2監(jiān)管方在個人數(shù)據(jù)授權(quán)流通中具有法定權(quán)利或主管部門授予監(jiān)管職責(zé)的監(jiān)管機(jī)構(gòu)。包括但不限于以下活a)應(yīng)通過申領(lǐng)分布式數(shù)字身份，完成身份的可信錨定；b)應(yīng)負(fù)責(zé)制定和執(zhí)行個人數(shù)據(jù)授權(quán)流通的相關(guān)政策、法律和標(biāo)準(zhǔn)，對個人數(shù)據(jù)授權(quán)流通的各項活動進(jìn)行監(jiān)管和指導(dǎo)；c)應(yīng)負(fù)責(zé)對數(shù)據(jù)提供方、數(shù)據(jù)使用方、數(shù)據(jù)主體、個人數(shù)據(jù)授權(quán)平臺、分布式數(shù)字身份基礎(chǔ)設(shè)施的服務(wù)能力和安全運營能力進(jìn)行評測，并出具客觀、公平的測評結(jié)果?？赏ㄟ^授權(quán)認(rèn)可的第三方獨立測評機(jī)構(gòu)完成相應(yīng)測評，以確保各參與方在個人數(shù)據(jù)授權(quán)系統(tǒng)中的合規(guī)性和安全性。5.3數(shù)據(jù)提供方向數(shù)據(jù)使用方提供個人數(shù)據(jù)的角色。包括但不限于以下活動：（注：數(shù)據(jù)目錄注冊見附錄A、個人數(shù)據(jù)授權(quán)核驗見附錄B、個人數(shù)據(jù)授權(quán)核驗見附錄C）a)應(yīng)通過申領(lǐng)分布式數(shù)字身份，完成身份的可信錨定；b)應(yīng)負(fù)責(zé)確保個人數(shù)據(jù)的合法采集、生成、存儲和管理，并按要求向國家有關(guān)部門進(jìn)行登記備c)應(yīng)負(fù)責(zé)積極促進(jìn)個人數(shù)據(jù)流通，并主動對其持有的個人數(shù)據(jù)的數(shù)據(jù)目錄進(jìn)行登記和發(fā)布；d)應(yīng)對其持有個人數(shù)據(jù)的安全性負(fù)責(zé)，對已獲得數(shù)據(jù)主體授權(quán)的數(shù)據(jù)使用方提供個人數(shù)據(jù)，并采取必要的技術(shù)措施來保護(hù)數(shù)據(jù)不被未授權(quán)訪問；e)應(yīng)配合監(jiān)管方的審計和合規(guī)性檢查，以證明數(shù)據(jù)處理活動的合法性和合規(guī)性。5.4數(shù)據(jù)使用方有特定個人數(shù)據(jù)使用需求的角色。包括但不限于以下活動：（注：個人數(shù)據(jù)授權(quán)見附錄B、個人數(shù)據(jù)授權(quán)核驗見附錄C）a)應(yīng)通過申領(lǐng)分布式數(shù)字身份，完成身份的可信錨定；b)應(yīng)依據(jù)自身業(yè)務(wù)需求，在確保其用數(shù)需求符合相關(guān)數(shù)據(jù)保護(hù)法規(guī)和標(biāo)準(zhǔn)的同時，明確提出對個人數(shù)據(jù)使用目的和需求；c)應(yīng)在對個人數(shù)據(jù)處理完成后，需根據(jù)個人數(shù)據(jù)授權(quán)協(xié)議和法律要求，妥善處理或銷毀個人數(shù)據(jù)，確保數(shù)據(jù)主體的權(quán)益不受侵害；d)應(yīng)配合監(jiān)管方的審計和合規(guī)性檢查，以證明數(shù)據(jù)處理活動的合法性和合規(guī)性。5.5數(shù)據(jù)主體個人數(shù)據(jù)的主體角色。包括但不限于以下活動注：個人數(shù)據(jù)授權(quán)見附錄B）。a)應(yīng)通過申領(lǐng)分布式數(shù)字身份，完成身份的可信錨定；b)應(yīng)在個人數(shù)據(jù)流通中，具備對個人數(shù)據(jù)進(jìn)行安全、自主授權(quán)和管理的權(quán)利，確保數(shù)據(jù)主體操作的真實性和不可抵賴性?？赏ㄟ^安全持有的分布式數(shù)字身份私鑰進(jìn)行自主簽名來實現(xiàn)；c)應(yīng)在個人數(shù)據(jù)流通中，具備對其個人數(shù)據(jù)享有授權(quán)和撤回授權(quán)的權(quán)利，即對個人數(shù)據(jù)授權(quán)協(xié)議可以根據(jù)自己的意愿進(jìn)行授權(quán)簽署，也可以在任何無條件下撤回已授權(quán)的個人數(shù)據(jù)授權(quán)協(xié)d)宜具備查看和審核其個人數(shù)據(jù)被使用情況的能力；e)宜具備通過個人數(shù)據(jù)授權(quán)獲取相應(yīng)的經(jīng)濟(jì)利益。5.6個人數(shù)據(jù)授權(quán)平臺為個人數(shù)據(jù)流通提供個人數(shù)據(jù)管理和授權(quán)管理的角色。包括但不限于以下活動注：數(shù)據(jù)目錄注冊見附錄A、個人數(shù)據(jù)授權(quán)見附錄B、個人數(shù)據(jù)授權(quán)核驗見附錄C）a)應(yīng)通過申領(lǐng)分布式數(shù)字身份，完成身份的可信錨定；b)應(yīng)支持個人數(shù)據(jù)的接入管理，為數(shù)據(jù)提供方提供便捷的數(shù)據(jù)目錄注冊與發(fā)布的服務(wù)；c)應(yīng)對用數(shù)場景的合規(guī)性進(jìn)行審核，提供生成透明、規(guī)范的個人數(shù)據(jù)授權(quán)協(xié)議的服務(wù)；d)應(yīng)建立個人數(shù)據(jù)授權(quán)流通全生命周期的管控體系，確保個人數(shù)據(jù)流通全流程操作可審計，數(shù)據(jù)可溯源；e)應(yīng)配合監(jiān)管方的審計和合規(guī)性檢查，以證明數(shù)據(jù)處理活動的合法性和合規(guī)性。5.7分布式數(shù)字身份基礎(chǔ)設(shè)施負(fù)責(zé)為參與個人數(shù)據(jù)授權(quán)流通的數(shù)據(jù)提供方、數(shù)據(jù)使用方、數(shù)據(jù)主體、個人數(shù)據(jù)授權(quán)平臺簽發(fā)分布式數(shù)字身份，為個人數(shù)據(jù)授權(quán)流通的全生命周期提供可信存證、可信取證的服務(wù)能力。包括但不限于以下活動：a)應(yīng)為監(jiān)管方、數(shù)據(jù)提供方、數(shù)據(jù)使用方、數(shù)據(jù)主體提供分布式數(shù)字身份的簽發(fā)、認(rèn)證和管理b)應(yīng)為個人數(shù)據(jù)流通提供全生命周期的存證、取證服務(wù)；c)應(yīng)配合監(jiān)管方的審計和合規(guī)性檢查，以證明數(shù)據(jù)處理活動的合法性和合規(guī)性。6個人數(shù)據(jù)授權(quán)流程6.1概述4.4個人數(shù)據(jù)請求結(jié)果4.1發(fā)起個人數(shù)據(jù)請求4.4個人數(shù)據(jù)請求結(jié)果4.1發(fā)起個人數(shù)據(jù)請求數(shù)據(jù)提供方數(shù)據(jù)使用方2.1注冊數(shù)2.1注冊數(shù)據(jù)目錄領(lǐng)領(lǐng)數(shù)字身份數(shù)據(jù)主體1.1申領(lǐng)數(shù)字身份3.3簽署個人1.1申領(lǐng)數(shù)字身份個人數(shù)據(jù)授權(quán)平臺2.2數(shù)據(jù)目錄管理3.2個人數(shù)據(jù)授權(quán)協(xié)議管理4.3個人數(shù)據(jù)授權(quán)管理簽發(fā)身份全流程取證全流程簽發(fā)身份全流程取證分布式數(shù)字身份基礎(chǔ)設(shè)施4.5個人4.5個人數(shù)據(jù)授權(quán)驗證3.1發(fā)起個人數(shù)據(jù)授權(quán)申請展示1.1據(jù)領(lǐng)目數(shù)錄字身份圖2：個人數(shù)據(jù)授權(quán)流程圖個人數(shù)據(jù)授權(quán)總體模型步驟說明如下：一、數(shù)據(jù)提供方、數(shù)據(jù)使用方、數(shù)據(jù)主體申領(lǐng)分布式數(shù)字身份（1）數(shù)據(jù)提供方遵循個人數(shù)據(jù)授權(quán)平臺與分布式數(shù)字身份基礎(chǔ)設(shè)施的準(zhǔn)入機(jī)制，通過提交申請與審核流程申領(lǐng)分布式數(shù)字身份；（2）數(shù)據(jù)使用方遵循個人數(shù)據(jù)授權(quán)平臺與分布式數(shù)字身份基礎(chǔ)設(shè)施的準(zhǔn)入機(jī)制，通過提交申請與審核流程申領(lǐng)分布式數(shù)字身份；（3）數(shù)據(jù)主體通過自然人法定基礎(chǔ)身份證件信息向個人數(shù)據(jù)授權(quán)平臺與分布式數(shù)字身份基礎(chǔ)設(shè)施申領(lǐng)分布式數(shù)字身份。二、數(shù)據(jù)提供方注冊數(shù)據(jù)目錄（注：詳細(xì)流程見附錄A）（1）數(shù)據(jù)提供方根據(jù)其持有的個人數(shù)據(jù)元數(shù)據(jù)信息，包括數(shù)據(jù)來源、類型、用途和使用限制等信息，向個人數(shù)據(jù)授權(quán)平臺創(chuàng)建數(shù)據(jù)目錄；（2）個人數(shù)據(jù)授權(quán)平臺通過數(shù)據(jù)目錄管理對已注冊的數(shù)據(jù)目錄進(jìn)行上架發(fā)布；（3）數(shù)據(jù)使用方通過查詢和檢索功能來訪問已發(fā)布的數(shù)據(jù)目錄。三、數(shù)據(jù)主體個人數(shù)據(jù)授權(quán)（注：個人數(shù)據(jù)授權(quán)協(xié)議范本、詳細(xì)流程見附錄B）（1）數(shù)據(jù)使用方依據(jù)業(yè)務(wù)需求，明確使用個人數(shù)據(jù)的目的、方式、使用規(guī)范和使用期限等，向個人數(shù)據(jù)授權(quán)平臺發(fā)起個人數(shù)據(jù)授權(quán)申請；（2）個人數(shù)據(jù)授權(quán)平臺依據(jù)數(shù)據(jù)使用方的授權(quán)申請，通過個人數(shù)據(jù)授權(quán)協(xié)議管理審核數(shù)據(jù)使用方的用數(shù)場景，并生成個人數(shù)據(jù)授權(quán)協(xié)議，同時向?qū)?yīng)數(shù)據(jù)主體發(fā)起個人數(shù)據(jù)授權(quán)申請；（3）數(shù)據(jù)主體通過電子化方式如APP、H5等便捷方式知悉其個人數(shù)據(jù)的使用需求后，通過分布式數(shù)字身份對個人數(shù)據(jù)授權(quán)協(xié)議進(jìn)行簽署，完成個人數(shù)據(jù)授權(quán)；四、數(shù)據(jù)提供方、數(shù)據(jù)使用方個人數(shù)據(jù)授權(quán)驗證（注：詳細(xì)流程見附錄C）（1）數(shù)據(jù)使用方獲得數(shù)據(jù)主體的個人數(shù)據(jù)授權(quán)后，向數(shù)據(jù)提供方發(fā)起個人數(shù)據(jù)請求；（2）數(shù)據(jù)提供方接收到數(shù)據(jù)使用方的個人數(shù)據(jù)請求后，向個人數(shù)據(jù)授權(quán)平臺進(jìn)行個人數(shù)據(jù)授權(quán)驗證；（3）個人數(shù)據(jù)授權(quán)平臺通過個人數(shù)據(jù)授權(quán)管理驗證個人數(shù)據(jù)授權(quán)的真實性、有效性；（4）數(shù)據(jù)提供方接收到個人數(shù)據(jù)授權(quán)驗證結(jié)果后，向數(shù)據(jù)使用方提供授權(quán)內(nèi)的個人數(shù)據(jù)信息；（5）數(shù)據(jù)使用方接收到個人數(shù)據(jù)結(jié)果后，向個人數(shù)據(jù)授權(quán)平臺進(jìn)行個人數(shù)據(jù)授權(quán)驗證，并進(jìn)行后續(xù)業(yè)務(wù)操作。6.2限定條件7個人數(shù)據(jù)授權(quán)技術(shù)規(guī)范7.1概述個人數(shù)據(jù)授權(quán)技術(shù)規(guī)范是一套全面且系統(tǒng)化的框架，它涵蓋了個人數(shù)據(jù)在授權(quán)、使用、傳輸和存儲過程中的所有關(guān)鍵環(huán)節(jié)，確保這些流程的安全性、合規(guī)性、真實性和透明性。這些規(guī)范旨在完善個人數(shù)據(jù)流通安全治理標(biāo)準(zhǔn)，以保護(hù)數(shù)據(jù)主體的隱私權(quán)益，同時促進(jìn)個人數(shù)據(jù)的合法流通和使用。通過遵循這些技術(shù)規(guī)范，可以確保個人數(shù)據(jù)授權(quán)過程中的每一步都符合法律法規(guī)，明確各方主體的責(zé)任和義務(wù)，規(guī)范個人數(shù)據(jù)流通行為，防止個人數(shù)據(jù)濫用，為個人數(shù)據(jù)流通提供制度保障。7.2個人數(shù)據(jù)識別與分類技術(shù)要求個人數(shù)據(jù)識別與分類技術(shù)要求確保在保護(hù)個人隱私的同時，促進(jìn)個人數(shù)據(jù)的便捷流通和合理利用。包含但不限于以下方面：a)應(yīng)要求各參與方準(zhǔn)確識別和分類個人數(shù)據(jù)，區(qū)分敏感數(shù)據(jù)和非敏感、判定風(fēng)險等級。包括但不限于個人身份信息、個人生物識別信息、個人健康生理信息、個人財產(chǎn)信息、個人通信信息b)應(yīng)要求實施差異化的數(shù)據(jù)保護(hù)措施，對不同類型、不同級別的個人數(shù)據(jù)采取相應(yīng)的加密、訪問控制等保護(hù)措施。7.3分布式數(shù)字身份技術(shù)要求分布式數(shù)字身份技術(shù)要求為各參與方提供安全、可信、可驗證的分布式數(shù)字身份標(biāo)識，通過確保參與機(jī)構(gòu)與自然人身份的真實性，有助于構(gòu)建個人、組織、數(shù)據(jù)之間的數(shù)字信任關(guān)系，并通過這種信任關(guān)系為確保個人數(shù)據(jù)授權(quán)流通過程中的安全性和可信性。包含但不限于以下方面：a)應(yīng)要求參與機(jī)構(gòu)以企業(yè)注冊信息或法人信息通過準(zhǔn)入方式申領(lǐng)分布式數(shù)字身份；b)應(yīng)要求數(shù)據(jù)主體以國家法定身份證件信息通過實人認(rèn)證方式申領(lǐng)分布式數(shù)字身份；c)應(yīng)要求各參與方安全存儲分布式數(shù)字身份私鑰。7.4個人數(shù)據(jù)授權(quán)技術(shù)要求個人數(shù)據(jù)授權(quán)技術(shù)要求明確用數(shù)場景，避免“一攬子授權(quán)”現(xiàn)象，確保個人數(shù)據(jù)授權(quán)過程中的透明度和合規(guī)性。包含但不限于以下方面：a)應(yīng)嚴(yán)格審查用數(shù)場景，并根據(jù)用數(shù)場景生成清晰的個人數(shù)據(jù)授權(quán)協(xié)議，協(xié)議內(nèi)容應(yīng)包括協(xié)議簽署主體、協(xié)議必要性約定和非必要性約定，明確告知協(xié)議授權(quán)內(nèi)容，防止概括性授權(quán)；b)應(yīng)遵循“一次一授權(quán)、一事一授權(quán)”的原則，確保數(shù)據(jù)主體可以對其個人數(shù)據(jù)的使用進(jìn)行精確控制；c)在個人數(shù)據(jù)授權(quán)協(xié)議展示中，應(yīng)采取適合的交互設(shè)計確保數(shù)據(jù)主體能夠充分理解授權(quán)內(nèi)容。如獨立的彈窗、下滑查看詳情的嵌套網(wǎng)頁等方式。7.5個人授權(quán)可信技術(shù)要求個人授權(quán)可信技術(shù)要求確保授權(quán)操作的安全性和不可抵賴性。包含但不限于以下方面a)在個人數(shù)據(jù)授權(quán)中，應(yīng)采用‘opt-in’選擇加入模式，意味著數(shù)據(jù)主體必須明確同意個人數(shù)據(jù)授權(quán)協(xié)議，而不是通過通知或隱式同意的方式；b)應(yīng)采用符合國家要求的數(shù)字簽名技術(shù)，確保個人授權(quán)行為的不可否認(rèn)和可追溯到真實身份；c)宜配合其他認(rèn)證方式加強個人授權(quán)行為的不可否認(rèn)性，如通過生物識別技術(shù)、短信驗證碼認(rèn)證、簽署口令等。7.6個人數(shù)據(jù)安全與隱私保護(hù)技術(shù)要求個人數(shù)據(jù)安全與隱私保護(hù)技術(shù)要求確保在個人數(shù)據(jù)的整個生命周期中，包括收集、存儲、授權(quán)訪問、傳輸和使用等環(huán)節(jié)中，個人數(shù)據(jù)的安全性和隱私性能得到妥善保護(hù)。包含但不限于以下方面：a)應(yīng)使用符合國家要求的密碼技術(shù)來進(jìn)行個人數(shù)據(jù)安全保護(hù)；b)應(yīng)要求在個人數(shù)據(jù)收集中，需確保其采集的個人數(shù)據(jù)來源合法合規(guī)；c)應(yīng)要求在個人數(shù)據(jù)存儲中，需采用安全隔離、容災(zāi)備份等方式對個人數(shù)據(jù)進(jìn)行安全保護(hù)，以防止個人數(shù)據(jù)的丟失和損壞；d)應(yīng)要求在個人數(shù)據(jù)授權(quán)訪問中，需防止個人數(shù)據(jù)遭受未授權(quán)訪問、泄露和其他安全風(fēng)險，確保只有經(jīng)過數(shù)據(jù)主體授權(quán)的數(shù)據(jù)使用才能訪問獲取；e)應(yīng)要求在個人數(shù)據(jù)傳輸中，需采用安全協(xié)議和加密技術(shù)來保護(hù)個人數(shù)據(jù)的傳輸安全性；f)應(yīng)要求在個人數(shù)據(jù)使用中，需遵守相關(guān)法律法規(guī)、尊重數(shù)據(jù)主體的權(quán)益，確保個人數(shù)據(jù)處理活動的合法性和合規(guī)性。7.7全流程監(jiān)管與審計技術(shù)要求全流程監(jiān)管和審計技術(shù)要求在個人數(shù)據(jù)授權(quán)流通中建立安全審計和溯源機(jī)制，保障個人數(shù)據(jù)流通過程中的安全性和合規(guī)性。包含但不限于以下方面：a)應(yīng)要求在個人數(shù)據(jù)流通過程中的安全性、合規(guī)性進(jìn)行全面審查和評估，達(dá)到及時發(fā)現(xiàn)并糾正個人數(shù)據(jù)流通中的安全問題，確保個人數(shù)據(jù)在流通中的安全可控；b)應(yīng)要求在個人數(shù)據(jù)在流通過程中的來源、流向、授權(quán)、使用等行為操作進(jìn)行記錄和追蹤。A.1數(shù)據(jù)提供方注冊數(shù)據(jù)目錄流程數(shù)據(jù)持有方數(shù)據(jù)目錄注冊流程數(shù)據(jù)提供方個人數(shù)據(jù)授權(quán)平臺分布式數(shù)字身份基礎(chǔ)設(shè)施開始注冊數(shù)據(jù)目錄完成數(shù)據(jù)目錄注冊結(jié)束結(jié)束數(shù)據(jù)目錄管理數(shù)可信存證服務(wù)可信存證服務(wù)數(shù)據(jù)目錄發(fā)布圖C1：數(shù)據(jù)目錄注冊流程流程說明如下：a)【數(shù)據(jù)提供方】依據(jù)其持有的個人數(shù)據(jù)元數(shù)據(jù)信息，向【個人數(shù)據(jù)授權(quán)平臺】注冊數(shù)據(jù)目錄；b)【個人數(shù)據(jù)授權(quán)平臺】創(chuàng)建數(shù)據(jù)目錄，并向【分布式數(shù)字身份基礎(chǔ)設(shè)施】進(jìn)行數(shù)據(jù)存證后，上架發(fā)布數(shù)據(jù)目錄；c)【數(shù)據(jù)使用方】通過檢索、查詢已發(fā)布數(shù)據(jù)目錄，流程結(jié)束。個人數(shù)據(jù)授權(quán)協(xié)議范本參考宜包括以下部分內(nèi)容：(一)協(xié)議簽署主體個人數(shù)據(jù)授權(quán)協(xié)議須由數(shù)據(jù)主體進(jìn)行簽署，如授權(quán)場景需要協(xié)議中提供數(shù)據(jù)來源及授權(quán)合規(guī)性聲明、數(shù)據(jù)使用方承諾等內(nèi)容的，數(shù)據(jù)提供方或數(shù)據(jù)使用方應(yīng)一并進(jìn)行協(xié)議簽署。(二)協(xié)議必要性約定個人數(shù)據(jù)授權(quán)協(xié)議必要性條款應(yīng)當(dāng)包含以下內(nèi)容：（1）直接授權(quán)、間接授權(quán)：數(shù)據(jù)主體授權(quán)數(shù)據(jù)提供方為直接授權(quán)，數(shù)據(jù)主體授權(quán)數(shù)據(jù)使用方為間接授權(quán)。（2）授權(quán)信息[字段]（3）數(shù)據(jù)來源合規(guī)性聲明（4）授權(quán)信息用途（5）授權(quán)時效性（6）授權(quán)撤銷條款（7）數(shù)據(jù)修改權(quán)限及用途（8）數(shù)據(jù)復(fù)制權(quán)限及用途（9）數(shù)據(jù)刪除(三)協(xié)議非必要性約定（1）數(shù)據(jù)存儲條款（2）數(shù)據(jù)計算說明（3）數(shù)據(jù)第三方輸出條款（未約定則不得輸出）（4）數(shù)據(jù)安全措施（5）數(shù)據(jù)加工產(chǎn)品的知識產(chǎn)權(quán)說明（6）隱私及商業(yè)秘密的額外約定個人數(shù)據(jù)授權(quán)流程數(shù)據(jù)使用方個人數(shù)據(jù)授權(quán)平臺數(shù)據(jù)主體分布式數(shù)字身份基礎(chǔ)設(shè)施開始錄4.0..息結(jié)束結(jié)束證圖D2：個人數(shù)據(jù)授權(quán)流程流程說明如下：a)【數(shù)據(jù)使用方】向【個人數(shù)據(jù)授權(quán)平臺】檢索、查詢數(shù)據(jù)目錄信息，【個人數(shù)據(jù)授權(quán)平臺】返回已上架的數(shù)據(jù)目錄數(shù)據(jù)；b)【數(shù)據(jù)使用方】依據(jù)自身業(yè)務(wù)需求，向【個人數(shù)據(jù)授權(quán)平臺】發(fā)起所需數(shù)據(jù)目錄對應(yīng)的個人數(shù)據(jù)授權(quán)申請；c)【個人數(shù)據(jù)授權(quán)平臺】依據(jù)個人數(shù)據(jù)授權(quán)申請，對【數(shù)據(jù)使用方】進(jìn)行用數(shù)審核，生成個人數(shù)據(jù)授權(quán)協(xié)議，并向【數(shù)據(jù)主體】同步個人數(shù)據(jù)授權(quán)協(xié)議發(fā)起個人數(shù)據(jù)授權(quán)申請；d)【數(shù)據(jù)主體】通過APP、H5等方式知悉個人數(shù)據(jù)授權(quán)協(xié)議內(nèi)容，使用分布式數(shù)字身份簽發(fā)個人數(shù)據(jù)授權(quán)憑證；e)【個人數(shù)據(jù)授權(quán)平臺】接收【數(shù)據(jù)主體】個人數(shù)據(jù)授權(quán)憑證后，向【分布式數(shù)字身份基礎(chǔ)設(shè)施】進(jìn)行授權(quán)存證登記，并返回個人數(shù)據(jù)授權(quán)憑證給【數(shù)據(jù)使用方】，流程結(jié)束。個人數(shù)據(jù)授權(quán)驗證流程數(shù)據(jù)使用方數(shù)據(jù)提供方個人數(shù)據(jù)授權(quán)平臺分布式數(shù)字身份基礎(chǔ)設(shè)施開始個人數(shù)個人數(shù)授權(quán)憑個人數(shù)個人數(shù)據(jù)授權(quán)驗證17.0完成后續(xù)業(yè)務(wù)結(jié)束結(jié)束據(jù)據(jù)證2.0個人個人授權(quán)數(shù)據(jù)憑證3.0個人數(shù)據(jù)授權(quán)驗證數(shù)字身份證數(shù)據(jù)數(shù)字身份證數(shù)據(jù)4.04.0數(shù)字身份查詢數(shù)字身份查詢數(shù)字身份標(biāo)識文檔..可信取證服務(wù)可信取證服務(wù)取證數(shù)據(jù)可信存證服務(wù)存證結(jié)果15.015.0可信取證服務(wù)取證結(jié)果取證結(jié)果5.0驗簽個人數(shù)據(jù)授權(quán)憑證7.0核驗個人數(shù)據(jù)授權(quán)記錄與狀態(tài)授權(quán)憑證結(jié)果9.0存數(shù)據(jù)hash存?zhèn)€人數(shù)據(jù)結(jié)果存證個人個人個人數(shù)據(jù)核驗8.08.0獲取授權(quán)范圍內(nèi)的個人獲取授權(quán)范圍內(nèi)的個人數(shù)據(jù)并存證12.0構(gòu)建個人數(shù)據(jù)請求結(jié)果返回個人數(shù)據(jù)結(jié)果存證結(jié)果14.014.0個人數(shù)據(jù)授權(quán)驗證與個人數(shù)據(jù)結(jié)果驗證16.016.0核驗個人數(shù)據(jù)授權(quán)記錄與狀態(tài)，返回個人數(shù)據(jù)請求存證圖E1：個人數(shù)據(jù)授權(quán)驗證流程流程說明如下：a)【數(shù)據(jù)使用方】獲取到個人數(shù)據(jù)授權(quán)憑證后，向【數(shù)據(jù)提供方】發(fā)起個人數(shù)據(jù)請求，獲取已授權(quán)的個人數(shù)據(jù)；a)【數(shù)據(jù)提