基于分布式数字身份的个人数据授权的流程与技术规范.docx

T/OIDAAXX—XXXX

基于分布式数字身份的个人数据授权使用流程和技术规范

1范围

本文件规定了个人数据自主授权的场景、流程和相关技术要求。本文件仅适用于数据流动中涉及个人数据的自主授权活动。

本文件不适用于涉及国家秘密的数据和军事数据。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T35295信息技术大数据术语

GB/T36343-2018信息技术数据交易服务平台交易数据描述

GB/T5271.4-2000信息技术词汇第4部分：数据的组织

GA/T1721-2020居民身份网络认证通用术语

GB/T31504-2015信息安全技术鉴别与授权数字身份信息服务框架规范GB/T35273信息安全技术个人信息安全规范

GA/T1721-xxxx网络身份认证公共服务通用术语

ITU-TX.1252身份管理基准术语和定义

YD/Txxxx-xxxx数字身份分布式服务总体框架

3术语和定义

下列术语和定义适用于本文件。3.1

数据（data）

对事实、概念或指令的一种形式化表示，适用于以人工或自动方式进行通信、解释或处理。[来源：GB/T5271.4-2000]

3.2

个人数据（personaldata）

指个人的具体行为数据，但个人数据在一定程度上会包含个人信息，如个人购买记录、个人健康记录等。[来源：GB∕T35273]

3.3

数据主体（datasubject）

指个人数据的主体角色，即个人数据中包含的一个已识别或可识别的自然人。[来源：GB∕T35273]

T/OIDAAXX—XXXX

3.4

数据目录（datacatalog）

指一组描述个人数据的元数据，为数据主体的个人数据创建一个信息完备且可搜索的清单。3.5

数据提供方（dataprovider）

指通过个人数据确权取得个人数据持有权的机构或自然人，负责确保个人数据的采集、生成、存储和管理过程都具备合法性、公平性和透明性。

3.6

数据使用方（datauser）

指有需求使用个人数据进行分析、处理、存储或传播的机构或自然人，负责确保个人数据处理的安全性和合规性，并在个人数据处理过程中尊重数据主体的隐私权和个人信息保护的权利。

3.7

数字身份（digitalidentity）

指一个主体对象的数字化描述，由赋予实体唯一对应的数字标识及与之关联的属性声明构成。[来源：GB/T31504-2015，3.6，有修改]

3.8

分布式数字身份（distributeddigitalidentity）

指参照W3C分布式数字身份标准实现的可支持分布式认证的数字身份。3.9

个人数据授权平台（personaldataauthorizationplatform）

指为个人数据的授权流通提供一个全面的数据管理和授权、授权核验的技术平台。3.10

分布式数字身份基础设施（distributeddigitalidentityinfrastructure）

指为参与个人数据流通的机构或自然人提供分布式数字身份签发和可信存证、取证服务能力的基础平台。

3.11

个人数据授权申请（personaldataauthorizationrequest）

指数据使用方就特定用途需获取对应个人数据时，向数据主体提出明确的授权请求，详细说明对个人数据的使用目的、范围和期限的过程。

3.12

个人数据授权协议（personaldataauthorizationagreement）

指由个人数据授权平台依据数据使用方就特定个人数据使用场景生成的各项内容约定。其中约定内容包括但不限于数据提供方信息、数据使用方信息、数据接口、个人数据内容说明、个人数据授权内容、授权时效性与免责条款等。本文本特指签署的电子化协议。

T/OIDAAXX—XXXX

3.13

个人数据授权（personaldataauthorization）

指作为数据主体的自然人，在通过个人数据授权协议明确知晓数据使用方对其个人数据的使用需求和目的之后，依其意愿对个人数据授权协议使用分布式