2025年旅游游客数据安全管理协议.docxVIP

2025年旅游游客数据安全管理协议

甲乙双方根据《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》、《中华人民共和国数据安全法》等相关法律法规，本着平等自愿、诚实信用的原则，就旅游游客数据安全管理事宜，经友好协商，达成协议如下：

第一条定义

在本协议中，下列词语具有以下含义：

（一）甲方：指提供旅游产品或服务的经营者，包括但不限于旅行社、在线旅游平台、景区运营方等。

（二）乙方：指受甲方委托或依据法律法规规定，负责处理游客数据的单位或个人，包括但不限于云服务提供商、数据分析机构、营销服务商等。

（三）游客：指参与旅游活动并向甲方提供个人信息的自然人。

（四）个人信息：指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

（五）数据处理：指对个人信息进行收集、存储、使用、加工、传输、提供、公开、删除等操作。

（六）数据安全：指采取必要的技术和管理措施，确保个人信息在处理过程中不被未经授权访问、泄露、篡改、丢失。

第二条数据收集与使用

（一）甲方应仅收集实现协议约定目的所必需的游客个人信息，并在收集前向游客明示收集个人信息的种类、目的、方式、范围、存储期限、安全保障措施、游客权利等事项，取得游客的明确同意。

（二）甲方使用游客个人信息的目的应限于协议约定或取得游客同意的范围内，不得超出约定范围使用。

（三）甲方委托乙方处理游客个人信息的，应向乙方明确告知个人信息的处理目的、方式、范围、存储期限、安全保障措施、游客权利等，并签订书面委托协议。

（四）乙方应当按照甲方的指示以及法律法规和本协议的约定，处理游客个人信息，不得超出约定范围处理。

第三条数据存储与安全

（一）甲方和乙方应当确定游客个人信息的存储期限，除法律法规另有规定外，存储期限自游客信息提供之日起不得超过实现处理目的所必需的最短时间。

（二）甲方和乙方应当采取以下技术措施保障游客个人信息安全：

1.对游客个人信息进行加密存储和传输；

2.采取访问控制措施，确保只有授权人员才能访问游客个人信息；

3.定期进行安全漏洞扫描和风险评估，及时修复漏洞。

（三）甲方和乙方应当采取以下管理措施保障游客个人信息安全：

1.建立数据安全管理制度，明确数据安全责任；

2.对接触游客个人信息的人员进行数据安全培训；

3.定期审查数据安全管理制度和措施的有效性。

（四）甲方和乙方应当采取以下物理措施保障游客个人信息安全：

1.保障数据中心等基础设施的安全，防止自然灾害、意外事件等造成的损失；

2.对存储游客个人信息的设备进行物理隔离和监控。

（五）游客个人信息的存储地点应位于中华人民共和国境内，确需存储境外的，应符合相关法律法规的要求，并采取必要的安全措施。

第四条数据共享与转让

（一）未经游客同意，甲方和乙方不得与任何第三方共享游客个人信息，但以下情形除外：

1.为提供协议约定的旅游产品或服务所必需，并取得游客明确同意的；

2.因履行法律法规规定的义务，需要与有关部门共享的；

3.为维护旅游安全，预防、制止和追究违法犯罪行为，需要与有关部门共享的。

（二）未经游客书面同意，甲方和乙方不得转让游客个人信息，但以下情形除外：

1.经游客书面同意的；

2.甲方发生合并、分立、破产等情形，需要转让游客个人信息的；

3.法律法规规定的其他情形。

（三）在发生本协议第二条第（三）款规定的情形时，乙方应当将游客个人信息转让给承继甲方权利义务的第三方，并确保承继方履行与本协议同等的保护义务。

（四）在发生本协议第二条第（三）款规定的情形时，甲方应当与承继乙方权利义务的第三方签订书面协议，明确其保护义务。

第五条游客权利保障

（一）甲方应向游客提供访问其个人信息的途径，并为其提供个人信息的副本。

（二）游客有权要求甲方更正其提供的错误个人信息。

（三）游客有权要求甲方删除其个人信息，除非法律法规另有规定。

（四）游客有权撤回其同意甲方处理其个人信息的决定，但已进行的处理不受影响。

（五）游客有权拒绝甲方基于其个人信息进行营销活动。

（六）游客有权向有关部门投诉举报甲方和乙方违反数据安全保护义务的行为。

第六条数据安全事件处置

（一）甲方和乙方发生或者可能发生游客个人信息泄露、篡改、丢失等安全事件的，应立即采取补救措施，并按照法律法规和本协议约定的时限向有关部门报告。

（二）甲方和乙方应当制定游客个人信息安全事件应急预案，并定期组织演练。

（三）在发生安全事件后，甲方和乙方应当采取措施控制事件影响，并采取措施防止事件再次发生。

第七条违约责任

（一）甲方未尽到本协议第二条约定的义务，导致游客个人信息泄露、篡