金融科技数据合规协议.docxVIP

金融科技数据合规协议

鉴于甲方（以下简称“甲方”）在金融科技领域开展业务，需要处理数据（以下简称“数据处理活动”），为明确甲乙双方在数据处理活动中的权利义务，保障数据处理活动的合法、合规、安全进行，根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》及其他相关法律法规，经双方友好协商，达成协议如下：

第一条数据定义与分类

1.1本协议所称数据是指任何以电子或者其他方式记录的与自然人的身份识别有关或者可能识别到自然人的信息，以及法人、其他组织的财产信息、商业秘密等信息。具体包括但不限于个人信息、经营数据、金融业务数据、公共数据等。

1.2甲方处理的个人信息包括敏感个人信息和一般个人信息。敏感个人信息是指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，具体包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。一般个人信息是指除敏感个人信息之外的其他个人信息。

1.3甲方处理的经营数据包括但不限于甲方在经营活动中产生的财务数据、交易数据、客户数据、产品数据等。金融业务数据包括但不限于甲方在提供金融科技服务过程中产生的用户授信数据、风险评估数据、投资数据等。公共数据是指来源于政府部门或其他公共机构，用于公共管理和服务的数据。

第二条数据处理原则

2.1甲方在处理数据时遵循合法、正当、必要、诚信原则，确保数据处理活动有明确、合理的目的，并仅限于实现特定目的所必需的最小范围。

2.2甲方在处理个人信息时遵循目的明确、最小化、公开透明、确保安全、质量原则，并遵守存储限制原则。

2.3甲方应采取必要措施确保数据处理的准确性，并根据法律法规规定或约定定期更新或删除错误数据。

2.4甲方处理数据应遵循公开透明原则，明确数据处理规则，并按照法律法规要求或约定向数据主体告知相关情况。

第三条数据主体权利与义务

3.1甲方应保障数据主体的知情权、决定权、查阅权、复制权、更正权、删除权、撤回同意权等合法权益。

3.2甲方应建立便捷的个人权益请求处理机制，并在收到数据主体请求之日起合理期限内响应并处理。

3.3数据主体有权要求甲方对其个人信息进行访问、更正、删除，甲方应在法律法规规定的期限内响应并处理。

3.4数据主体应配合甲方进行身份验证，并对因自身原因提供虚假信息或未履行相关义务导致的信息泄露或损失，甲方不承担责任。

第四条数据收集与处理活动

4.1甲方收集数据前，应明确告知数据收集的目的、方式、范围、存储期限、安全保障措施、用户权利等信息，并取得数据主体的同意。

4.2甲方收集个人信息的合法性基础包括数据主体的同意、为订立或者履行合同所必需、法律、行政法规规定的其他目的。

4.3甲方处理数据的目的包括但不限于用户画像、风险评估、产品推荐、营销活动、运营分析、风险控制、合规报告等。

4.4甲方处理数据的方式包括但不限于数据存储、查询、使用、共享、传输、删除等。

4.5甲方如需将个人信息跨境传输，应符合《个人信息保护法》等相关法律法规的规定，并取得数据主体的同意或满足其他法定条件。

第五条数据安全保障义务

5.1甲方应采取必要的技术和管理措施，保障数据的安全，包括但不限于：

（1）采用加密技术存储、传输数据；

（2）设置访问控制，确保只有授权人员才能访问数据；

（3）定期进行安全审计，及时发现并修复安全漏洞；

（4）建立数据安全事件应急预案，并定期进行演练；

（5）对数据处理人员进行数据安全培训和考核。

5.2甲方应建立数据安全事件监测、报告和处置机制，一旦发生数据泄露、篡改、丢失等安全事件，应立即采取补救措施，并按照法律法规和本协议约定及时通知相关方和监管机构。

5.3甲方应确保数据处理活动符合国家相关安全标准，并接受监管机构的监督检查。

第六条数据共享、转让与委托处理

6.1甲方在法律法规和本协议约定的范围内，可与关联公司、合作伙伴或第三方共享数据，但应事先告知数据主体并取得其同意，并确保共享目的与处理目的一致，共享范围限于实现目的所必需。

6.2甲方不得转让个人信息，除非法律规定或取得数据主体同意。

6.3甲方如需将数据处理活动委托给第三方处理，应选择具有相应数据处理能力的第三方，并与第三方签订书面协议，明确第三方的数据处理范围、方式、责任等，并对第三方进行监督和管理。

第七条数据生命周期管理

7.1甲方应根据法律法规规定或约定，对数据进行分类分级，并设定不同的存储期限。

7.2甲方应建立数据删除机制，在数据达到存储期限或不再需要时，按照约定方式删除或匿名化处理数据。

7.3甲方应记录数据的处理活动，并确保数