数据合规承诺合同协议合同.docxVIP

数据合规承诺合同协议合同

甲乙双方本着平等互利、诚实信用的原则，依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》及相关法律法规，经友好协商，就双方在数据处理活动中的数据合规事宜达成如下协议：

第一条定义

除非本协议上下文另有明确说明，下列词语具有以下含义：

（一）“个人信息”是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

（二）“敏感个人信息”是指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，具体包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

（三）“数据处理”是指对个人信息进行收集、存储、使用、加工、传输、提供、公开、删除等操作。

（四）“数据控制者”是指确定并实现个人数据处理目的的个人或者组织。

（五）“数据处理器”是指处理者依照约定处理个人数据，并承担数据处理责任的个人或者组织。

（六）“数据合规”是指数据处理活动符合《网络安全法》、《数据安全法》、《个人信息保护法》等相关法律法规及本协议约定的要求。

第二条适用范围

（一）本协议适用于甲方委托乙方处理的，在双方合作项目/业务范围内涉及的个人信息和重要数据。

（二）本协议约定的数据合规承诺适用于乙方向甲方提供的服务/合作过程中涉及的所有数据处理活动，包括但不限于数据的收集、存储、使用、加工、传输、提供、公开和删除。

第三条甲方的权利与义务

（一）甲方作为数据控制者，负责确定数据处理的目的、方式，并承担因数据处理活动产生的最终责任。

（二）甲方应确保其提出的数据处理目的合法、正当、必要，并仅以实现该目的的方式进行数据处理。

（三）甲方应按照法律法规要求，在处理敏感个人信息前取得个人的单独同意，并告知个人处理敏感个人信息的目的、方式、种类、保存期限等。

（四）甲方应采取必要措施保障其提供的个人数据的质量，并确保数据控制权的有效行使。

（五）甲方应建立健全个人信息保护影响评估机制，对处理活动进行影响评估，并采取相应的安全措施。

（六）甲方应保障数据主体的合法权益，建立便捷的个人行使查阅、复制、更正、删除等权利的申请受理和处理机制。

（七）如涉及个人数据出境，甲方应确保出境活动符合国家关于数据出境安全评估、标准合同等要求，并就相关风险向乙方进行充分说明。

（八）甲方应配合乙方进行数据合规审计，提供必要的资料和说明。

第四条乙方的权利与义务

（一）乙方作为数据处理者，应严格遵守国家关于数据安全的法律、法规和标准，按照甲方的指示以及本协议约定处理数据，并承担数据处理责任。

（二）乙方应仅以实现甲方约定目的的方式处理数据，不得超出约定范围使用数据。

（三）乙方应采取必要的技术和管理措施，保障所处理的数据安全，包括建立数据安全管理制度，采取加密、去标识化、访问控制、安全审计等技术措施，防止数据泄露、篡改、丢失。

（四）乙方应建立健全内部数据安全管理制度，明确数据安全责任，对接触数据的员工进行数据安全和合规培训，并签署保密协议。

（五）乙方应建立数据备份和恢复机制，确保数据的可用性。

（六）乙方应建立数据泄露应急预案，一旦发生数据泄露事件，应立即启动应急预案，按照规定及时通知甲方，并配合甲方向有关部门报告。

（七）乙方应在处理个人数据前，向甲方提供其制定的数据处理规则，并确保数据处理活动符合该规则及本协议的约定。

（八）乙方应配合甲方进行数据合规审计，根据甲方的要求提供必要的资料和说明。

（九）乙方应对在合作过程中获知的甲方的商业秘密和个人信息处理规则等非公开信息承担保密义务，未经甲方书面同意，不得向任何第三方泄露，并在合作结束后继续履行保密义务。

第五条数据安全

（一）双方均应采取必要的组织、技术措施，保障数据处理活动符合国家相关数据安全保护要求，防止数据安全事件的发生。

（二）双方应定期对数据安全措施的有效性进行评估，并根据评估结果和实际需要，及时更新和改进安全措施。

（三）如发生数据安全事件，双方应立即启动应急预案，采取补救措施，并按照法律法规及本协议约定进行报告。

第六条第三方处理

（一）如乙方需要委托第三方处理个人数据，应事先获得甲方的书面同意，并签订书面的委托处理协议，明确第三方处理的范围、方式、期限和责任。

（二）乙方的委托处理协议及对第三方的管理措施不得与甲方在本协议项下的数据合规要求相抵触。

（三）乙方应负责监督第三方的数据处理活动，确保其按照委托处理协议及本协议的约定履行义务，并对第三方的违约行为承担连带责任。

第七条合规审查与审计

（一）甲方有权对乙方的数据处理活动进行合规审查，乙方应予以配