生物识别安全协议.docxVIP

生物识别安全协议

本协议由以下双方于______年______月______日起签订：

甲方（数据控制方/使用方）：[甲方全称]

注册地址：[甲方注册地址]

统一社会信用代码/身份证号：[甲方统一社会信用代码/身份证号]

乙方（技术提供方/服务方）：[乙方全称]

注册地址：[乙方注册地址]

统一社会信用代码/身份证号：[乙方统一社会信用代码/身份证号]

鉴于：

1.甲方因业务需要，拟使用生物识别技术进行[具体应用场景，如：员工身份验证、客户身份核验等]；

2.乙方拥有相关生物识别技术及系统，能够为甲方提供生物识别数据的采集、处理、存储及相关服务；

3.甲乙双方经友好协商，依据《中华人民共和国个人信息保护法》、《中华人民共和国网络安全法》等相关法律法规，就生物识别数据的安全处理事宜，达成如下协议，以资共同遵守。

第一条定义

1.1本协议所称“生物识别数据”是指通过分析和比较人体生物特征进行身份识别所获取的数据，包括但不限于指纹、人脸、虹膜、视网膜、声音、步态、静脉等生物特征信息及其对应的模板数据。具体数据类型包括：[列明具体数据类型，如：指纹图像、人脸特征模板、声纹样本等]。

1.2本协议所称“数据主体”是指提供生物识别信息的个人。

1.3本协议所称“数据收集”是指通过可识别个人身份的技术手段获取生物识别信息的行为。

1.4本协议所称“数据存储”是指将生物识别数据记录在某种媒介上并保存的行为。

1.5本协议所称“数据传输”是指将生物识别数据从一方传输至另一方或第三方的行为。

1.6本协议所称“安全措施”是指为保障生物识别数据安全所采取的技术和管理措施。

第二条数据主体的权利与甲方义务

2.1甲方应向数据主体充分、清晰、具体地告知以下事项：

(a)处理生物识别数据的目的是[明确具体处理目的]；

(b)处理所依据的法律依据；

(c)所处理的生物识别数据类型；

(d)数据存储的期限；

(e)数据主体的权利以及行使权利的途径；

(f)第三方接收数据的情形（如适用）；

(g)数据安全发生风险时甲方应采取的补救措施；

(h)其他法律法规要求告知的事项。

2.2甲方在进行数据收集前，应取得数据主体的单独同意。同意方式应明确、易懂，并确保数据主体有充分的时间考虑。数据主体有权撤回其同意，甲方应在收到撤回同意后，根据法律法规和本协议约定停止处理其生物识别数据，并采取必要的补救措施。

2.3甲方应采取必要措施，确保数据主体的生物识别数据在采集、传输、存储和处理过程中的安全，防止数据泄露、篡改、丢失。甲方应对接触生物识别数据的员工进行保密培训和管理。

2.4甲方仅可将生物识别数据用于本协议约定的目的，不得用于其他用途，不得非法转让、出售或泄露给任何第三方，除非获得数据主体的明确书面同意或法律法规要求。

2.5甲方应建立生物识别数据安全管理制度，定期进行安全风险评估，并采取加密存储、访问控制、安全审计等技术和管理措施，保障生物识别数据的安全。

第三条数据收集与采集

3.1甲方应在获得数据主体明确同意的前提下进行生物识别数据的收集。

3.2甲方应使用符合国家相关标准、安全性可靠的采集设备进行数据收集，确保采集过程的准确性和安全性。

3.3甲方应设置清晰的提示信息，告知数据主体正在收集其生物识别数据，并确保数据主体在知晓的前提下配合采集。

3.4采集设备应具备防止录音、录像、拍照等附加采集功能，或在采集现场采取相应措施防止无关人员窥视。

第四条数据存储与安全保护

4.1甲方应将生物识别数据存储在具有足够安全防护能力的环境中，并采取以下安全措施：

(a)对生物识别数据进行加密存储，采用行业认可的加密算法；

(b)实施严格的访问控制，只有经过授权的人员才能访问生物识别数据，并记录所有访问日志；

(c)定期对存储系统和安全措施进行漏洞扫描和风险评估；

(d)根据业务需要和法律法规要求，对生物识别数据进行匿名化或去标识化处理。

4.2甲方应确定生物识别数据的存储期限，存储期限应为实现处理目的所必需的最短时间。存储期限届满后，甲方应按照法律法规和本协议约定，安全删除或匿名化处理生物识别数据，并确保无法复原。

4.3如因业务需要或法律法规要求需将生物识别数据委托给第三方存储或处理（以下简称“数据处理方”），甲方应事先获得数据主体的单独同意，并与数据处理方签订书面协议，明确数据处理方的责任和义务，确保数据处理方的安全保护水平不低于本协议要求。甲方对数据处理方仍负有监督和管理责任。

第五条数据处理与使用

5.1甲方对生物识别数据的使用不得超出