企业年金管理合同（受托人服务）2026年数据安全协议.docxVIP

企业年金管理合同（受托人服务）2026年数据安全协议

本协议由以下双方于2026年[具体日期]在[地点]签署：

甲方：[委托人/企业年金理事会全称]，以下简称“甲方”，地址：[甲方地址]，统一社会信用代码：[甲方代码]。

乙方：[受托人全称]，以下简称“乙方”，地址：[乙方地址]，统一社会信用代码：[乙方代码]。

鉴于甲方委托乙方提供企业年金计划（以下简称“计划”）的受托人服务；鉴于数据安全对于保护计划参与者个人信息、企业信息以及计划稳健运行至关重要；鉴于双方希望明确在数据处理活动中关于数据安全的权利、义务和责任，以符合相关法律法规的要求。

第一条数据安全基本原则

双方确认，在履行各自职责过程中涉及计划相关数据的处理，均应遵循以下基本原则：

1.1合法、正当、必要原则：数据处理活动必须有明确的法律依据或本协议约定，且目的限于履行各自职责所必需。

1.2目的限制原则：数据收集和使用不得超出本协议明确声明的目的范围。

1.3最小化原则：仅收集和处理履行职责所必需的最少数据。

1.4公开透明原则：甲方应向参与者提供清晰的隐私政策，告知数据处理的规则和方式；乙方应在其服务条款或相关文件中体现数据安全承诺。

1.5确保安全原则：采取必要的技术和管理措施，保障数据安全，防止数据泄露、篡改、丢失。

1.6责任明确原则：明确双方在数据安全方面的责任。

第二条乙方的数据安全责任

作为计划的受托人，乙方在处理计划相关数据时，应承担以下数据安全责任：

2.1制度与策略：乙方应建立并维护健全的数据安全管理制度、操作规程和应急预案，包括但不限于数据分类分级、访问控制、安全审计、事件响应等。

2.2技术保障措施：

2.2.1对在传输过程中涉及的个人敏感数据（如使用电子表格、邮件等方式传输时）应进行加密处理。

2.2.2实施严格的访问控制策略，采用身份认证（如多因素认证）和授权机制，确保只有经过授权的人员才能访问特定数据，并遵循“按需知密”原则。

2.2.3确保存储和处理计划数据的系统具备必要的安全防护措施，包括但不限于防火墙、入侵检测/防御系统、防病毒/恶意软件保护、系统漏洞扫描和修复机制。

2.2.4建立并执行数据备份与恢复机制，定期进行备份，并测试恢复流程的有效性，确保在发生硬件故障、系统故障或灾难时能及时恢复数据。

2.2.5记录和监控对敏感数据的访问和操作日志，并定期进行安全审计。

2.3人员管理：

2.3.1对接触计划敏感数据的乙方员工进行必要的数据安全意识培训和背景审查。

2.3.2要求接触敏感数据的乙方员工签订保密协议，明确其在数据安全方面的责任和义务。

2.3.3严格控制内部人员对数据的访问权限，权限设置应基于其工作职责的最低需求。

2.4第三方风险管理：

2.4.1若乙方委托第三方服务商（包括但不限于托管人、技术供应商、律师事务所、会计师事务所等）处理个人数据或提供与数据处理相关的服务，乙方应事先对第三方进行尽职调查，确保其具备相应的能力和措施来保护数据安全。

2.4.2乙方应与所有处理个人数据的第三方服务商签订书面协议，明确其数据安全责任，并要求其遵守不低于本协议规定的数据安全标准和适用的法律法规要求。

2.4.3乙方应监督第三方服务商的数据处理活动，并定期评估其合规性。

2.5数据主体权利响应：乙方应建立并维护处理流程，以响应数据主体（如计划参与者）依据相关法律法规提出的访问其个人数据、更正其个人数据、删除其个人数据等请求，并及时响应。

2.6合规与报告：

2.6.1乙方应遵守所有适用于其数据处理活动的中国数据保护法律法规，包括但不限于《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》以及国家金融监督管理总局关于企业年金基金管理的相关规定。

2.6.2在发生或怀疑发生计划相关数据泄露事件时，乙方应立即启动应急预案，进行内部调查评估，并在规定时限内通知甲方，并根据法律法规和监管要求，及时通知监管机构以及可能受影响的个人。乙方应向甲方提供事件调查报告和处理情况的说明。

2.7物理安全：乙方应保障其数据中心、办公场所等存放或处理个人数据的物理环境的物理安全，防止未经授权的物理访问、破坏或灾害影响。

2.8保密义务：乙方对其在履行本协议过程中获知的甲方的商业秘密、参与者的个人信息以及计划运营信息等负有保密义务。未经甲方事先书面同意，乙方不得向任何第三方披露上述信息，且即使在协议终止后，该保密义务仍然有效。

第三条甲方的责任

甲方应履行以下与数据安全相关的责任：

3.1提供必要的计划信息和管理要求，并确保其提供给参与者的信息（如通过隐私政