网络安全协议（企业用户通用）-数据安全.docxVIP

网络安全协议（企业用户通用）-数据安全

本协议由以下双方于______年______月______日在______签署：

甲方（企业用户）：[企业用户全称]

法定代表人/授权代表：[姓名]

地址：[企业用户注册地址或主要经营地址]

统一社会信用代码：[企业用户统一社会信用代码]

乙方（服务提供方）：[服务提供方全称]

法定代表人/授权代表：[姓名]

地址：[服务提供方注册地址]

统一社会信用代码：[服务提供方统一社会信用代码]

（以下简称“甲方”和“乙方”）

鉴于：

1.甲方希望使用乙方提供的网络服务/产品/技术（以下简称“服务”），该服务涉及甲方数据的处理；

2.乙方同意向甲方提供服务，并承诺采取合理措施保护甲方数据安全；

3.双方均希望根据适用的数据保护法律法规（包括但不限于《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》及相关司法解释、行业规定）及本协议约定，明确双方在数据安全方面的权利、义务和责任。

根据《中华人民共和国民法典》及相关法律法规，双方经友好协商，达成协议如下：

第一条定义

1.1“数据”是指以电子或者其他方式记录的与自然人均有关或者可能影响自然人的权利和利益的各种信息，包括个人信息和非个人信息。

1.2“个人信息”是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

1.3“非个人信息”是指个人信息以外的数据。

1.4“敏感个人信息”是指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

1.5“数据处理”是指对数据进行收集、存储、使用、加工、传输、提供、公开、删除等操作。

1.6“网络安全”是指网络运行所具备的抵御网络攻击、网络侵入、网络犯罪的能力，以及保障网络数据安全的各项能力。

1.7“数据安全事件”是指因意外、恶意或不可抗力导致数据泄露、篡改、丢失、毁损，或者影响数据处理系统正常运行，可能或已经造成甲乙双方或第三方合法权益受到损害的事件。

第二条甲方的义务与责任

2.1甲方承诺其具有合法的数据处理目的和依据，其数据处理活动符合《网络安全法》、《数据安全法》、《个人信息保护法》等法律法规的要求，以及国家相关标准。

2.2甲方应对其收集的个人信息取得必要的个人同意（如适用），并明确告知个人其数据处理的种类、目的、方式、存储期限、安全保障措施等。

2.3甲方应建立健全内部数据安全管理制度和操作规程，明确数据安全负责人，并对员工进行数据安全教育和培训。

2.4甲方应按照数据分类分级要求，对其数据，特别是敏感个人信息和非个人信息，采取相应的安全保护措施，包括但不限于：

a)采取加密、去标识化等保护措施；

b)采取访问控制措施，确保只有授权人员才能访问其数据；

c)定期对其数据处理系统和数据进行安全评估、漏洞扫描和修复；

d)建立数据备份和恢复机制；

e)采取监测、预警和应急处置措施，防范、识别和应对数据安全事件。

2.5甲方在使用乙方提供的服务传输、存储或处理其数据时，应确保传输方式安全，并遵守乙方关于数据安全的相关要求。

2.6甲方应建立数据安全事件应急预案，在发生或发现数据安全事件时，应立即启动应急预案，采取补救措施，并按本协议约定及时通知乙方。

2.7甲方应配合乙方进行数据安全相关的审计、评估和调查，并提供必要的协助。

2.8甲方应对其员工、代理人或授权使用其服务的第三方（以下简称“受托人”）的数据处理行为进行管理和监督，确保其遵守本协议及适用的法律法规，并对受托人的行为承担连带责任。

2.9甲方在协议终止或服务停止后，应按乙方要求或法律规定，将存储在乙方系统中的属于甲方所有或甲方有权处理的数据返还给甲方或进行删除，并确保数据的删除不可恢复。

第三条乙方的义务与责任

3.1乙方承诺其提供的服务符合约定的安全标准，并持续进行安全维护和更新。

3.2乙方应采取合理的技术措施和管理措施保护其网络和系统的安全，包括但不限于：

a)建立网络安全管理制度，采取防火墙、入侵检测/防御系统、安全审计、漏洞管理等措施；

b)确保其提供的服务具备基本的安全功能，如访问控制、日志记录等；

c)定期对其网络和系统进行安全评估和渗透测试，并及时修复发现的安全漏洞。

3.3乙方应采取必要措施保护甲方通过服务传输、存储或处理的数据安全，防止数据泄露、篡改、丢失或被滥用。

3.4乙方应建立数据安全事件应急预案和流程，在发生影响甲方数据安