数据合规处理协议.docxVIP

数据合规处理协议

鉴于一方为数据控制者（以下简称“甲方”），另一方为数据处理者（以下简称“乙方”），甲乙双方在平等、自愿、公平和诚实信用的基础上，根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》及相关法律法规的规定，就甲方向乙方处理其控制的数据（以下简称“个人信息”）事宜，经友好协商，达成协议如下：

第一条定义

在本协议中，除非上下文另有解释，下列词语具有以下含义：

（一）“个人信息”是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

（二）“敏感个人信息”是指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

（三）“数据处理”是指对个人信息进行收集、存储、使用、加工、传输、提供、公开、删除等操作。

（四）“数据控制者”是指确定个人信息处理目的、处理方式，并决定对个人信息是否进行共享、转让、公开或者提供给他人的组织或者个人。

（五）“数据处理者”是指根据数据控制者的指示处理个人信息的组织或者个人。

（六）“数据主体”是指个人信息所关联的自然人。

第二条数据处理原则

甲乙双方同意，个人信息处理活动应遵循合法、正当、必要、诚信、目的明确、最小化处理、公开透明、确保安全的原则。

第三条数据处理目的与方式

（一）甲方授权乙方依据甲方业务需求，按照甲方指示的方式处理个人信息，处理目的限于实现甲方通知的具体业务功能或完成特定的业务委托。

（二）乙方处理个人信息应严格遵循甲方的指示，不得擅自变更处理目的或处理方式，但法律法规另有规定或获得甲方明确同意的除外。

（三）乙方应仅处理为实现约定目的所必需的个人信息，不得过度处理。

（四）对于处理目的、处理方式、信息主体权利行使等与个人信息处理相关的重大事项，乙方应及时向甲方报告，由甲方决定并指示。

第四条数据控制者与数据处理者职责

（一）甲方作为数据控制者，负责确保其确定的个人信息处理目的、处理方式具有合法性、正当性、必要性，并承担因数据处理活动对数据主体造成的损害依法承担的赔偿责任。

（二）乙方作为数据处理者，应履行下列义务：

1.严格按照甲方的指示处理个人信息；

2.采取必要的技术和管理措施，保障个人信息安全，防止个人信息泄露、篡改、丢失；

3.依照法律法规及本协议约定，协助甲方履行个人信息保护职责；

4.发生或可能发生个人信息泄露、篡改、丢失的，立即通知甲方，并配合甲方采取补救措施；

5.根据甲方要求，提供个人信息的处理记录及其他相关资料，并接受甲方的监督；

6.未经甲方书面同意，不得将个人信息用于约定目的之外的其他用途，不得将个人信息共享、转让或公开披露给任何第三方，法律规定的除外；

7.对因违反本协议约定处理个人信息给数据主体造成损害的，依法承担赔偿责任。

第五条数据安全保护

（一）乙方应建立健全内部管理制度和操作规程，明确数据处理岗位职责，对接触个人信息的员工进行定期培训，提高其数据安全意识和能力。

（二）乙方应采取加密、去标识化、访问控制等技术措施，保障个人信息在收集、存储、使用、加工、传输、提供、公开、删除等环节的安全。

（三）乙方应建立个人信息安全事件应急预案，并定期进行演练，发生安全事件时应立即启动应急预案，采取补救措施，并按本协议约定及时通知甲方。

（四）乙方应保障个人信息处理系统的安全性，定期进行安全评估和漏洞扫描，及时修复已知风险。

第六条数据主体权利保障

甲方应建立机制，确保数据主体依法行使访问、更正、删除其个人信息的权利，以及撤回同意、可携带其个人信息、拒绝自动化决策等权利。乙方应按照甲方的指示，协助数据主体行使上述权利。

第七条数据跨境传输

如因业务需要确需将个人信息传输至中华人民共和国境外，应遵循以下原则：

（一）跨境传输前，应取得相关数据主体的单独同意；

（二）与境外接收方订立标准合同，明确其承担的责任和义务，确保其按照中国法律法规和本协议约定处理个人信息；

（三）跨境传输个人信息前，应通过国家网信部门组织的安全评估；

（四）跨境传输个人信息前，应通过专业机构的个人信息保护认证；

（五）传输的个人信息为敏感个人信息的，应满足更严格的条件，并取得数据主体的单独同意。

乙方应将跨境传输的相关情况、措施及措施效果报甲方备案，并接受甲方的监督。

第八条数据保留期限

（一）甲方应明确各类个人信息的保留期限，并确保个人信息在达到保留期限后予以删除或者进行匿名化处理。

（二）乙方应根据甲方确定的保留期限，安