2025年门禁系统数据管理协议.docxVIP

2025年门禁系统数据管理协议

本协议由以下双方于2025年[具体日期]在[具体地点]签订：

甲方（数据控制方）：[甲方公司全称]

法定代表人/授权代表：[姓名]

职务：[职务]

地址：[甲方注册地址或主要经营地址]

联系方式：[甲方联系人及电话]

乙方（数据处理方）：[乙方公司全称]

法定代表人/授权代表：[姓名]

职务：[职务]

地址：[乙方注册地址或主要经营地址]

联系方式：[乙方联系人及电话]

鉴于甲方拥有或运营门禁系统（以下简称“门禁系统”），并希望委托乙方处理门禁系统产生的数据；乙方拥有处理门禁系统数据的技术能力和经验，愿意根据甲方要求处理相关数据。双方根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》及其他相关法律法规的规定，本着平等自愿、诚实信用的原则，经友好协商，达成如下协议，以兹共同遵守。

第一条定义

1.1门禁系统数据：指在门禁系统的设计、安装、运行、维护过程中直接或间接产生的，与人员或资产安全相关的各类数据，包括但不限于：（1）人员的身份信息，如姓名、工号、身份证号码（或其加密形式）、人脸特征信息、照片等；（2）人员的进出记录，包括进出时间、地点（具体门禁点编号）、事件类型（如正常开门、刷卡失败、门被强制打开、胁迫码触发、门未关超时告警等）；（3）门禁设备信息，包括门禁控制器型号、序列号、位置、状态，读卡器、电锁、门磁等附属设备的信息；（4）系统配置信息，包括用户权限设置、访问规则、告警规则、安全策略等；（5）临时访问授权记录，包括临时密码、虚拟卡、手机APP授权码的使用记录及有效期；（6）系统日志，包括操作日志、设备异常日志、安全事件日志等。

1.2数据处理：指对门禁系统数据进行收集、存储、访问、使用、传输、修改、合并、删除、披露和/或任何其他形式的处理活动。

1.3数据主体：指其个人信息能够被识别，且能够被识别的自然人。

1.4数据安全：指采取技术和管理措施，保障门禁数据在存储、传输、使用等过程中不被未经授权的访问、泄露、篡改、丢失或破坏。

1.5数据泄露：指未经授权的披露、访问或丢失个人数据。

1.6保密信息：指一方（披露方）向另一方（接收方）披露的、未公开的、与门禁系统或本协议履行相关的、具有商业价值或秘密性的技术信息、经营信息、客户信息、个人信息等。包括但不限于本协议内容、门禁系统的设计文档、源代码、配置参数、用户列表、访问控制策略、安全漏洞信息、以及根据本协议由一方获取的任何其他方的保密信息。

1.7不可抗力：指不能预见、不能避免并不能克服的客观情况，包括但不限于自然灾害（如地震、洪水、台风）、战争、罢工、政府行为（如法律法规变更、政策调整）、流行病疫情等。

第二条甲方的权利与义务

2.1甲方有权授权乙方在协议约定的范围内处理门禁系统数据，并有权监督乙方的数据处理活动。

2.2甲方应确保其提供的门禁系统数据是真实、准确、完整的，并对数据的合法性、正当性、必要性负责。

2.3甲方应明确并合法地确定处理门禁系统数据的目的和方式，确保数据处理活动符合国家法律法规及有关政策要求。

2.4甲方应向乙方提供履行本协议所需的必要支持和配合，包括但不限于提供必要的技术接口、访问权限以及相关的业务指导。

2.5甲方应建立并维护处理数据主体（如门禁系统使用人员）访问其个人门禁记录请求的机制，按照法律法规及双方约定，在收到请求后及时响应，并采取必要措施核实请求人身份。

2.6甲方应建立数据安全事件应急预案，并在发生或发现数据安全事件时，及时通知乙方，并配合乙方进行调查、处置和补救。

2.7甲方应遵守保密义务，对从乙方获取的保密信息承担保密责任，未经乙方书面同意，不得向任何第三方披露或用于协议约定之外的目的。

2.8甲方应确保其员工了解并遵守本协议项下的保密义务和数据安全要求。

第三条乙方的权利与义务

3.1乙方仅能在甲方授权的范围内处理门禁系统数据，处理目的限于本协议约定的目的，不得超出授权范围或未经甲方书面同意改变处理目的。

3.2乙方应采取严格的技术和管理措施保护门禁数据安全，包括但不限于：（1）采用加密技术存储和传输数据；（2）设置严格的访问权限控制，确保只有授权人员才能访问数据；（3）定期进行安全漏洞扫描和风险评估；（4）建立数据备份和恢复机制；（5）记录数据处理活动日志，并定期进行安全审计。

3.3乙方应仅将门禁数据用于履行本协议约定的目的，不得用于任何与协议约定无关的活动。

3.4未经甲方事先书面同意，乙方不得将门禁数据提供给任何第三方，但以下情况除外：（1）为履行甲方指示而必须披露给第三方服务提供商（如云存储服务商、安全评估机构），且乙方已要求该等第三方对数据进行同等的保护；（2）法律法规要求或有权机关依