企业级2026年数据隐私保护协议.docxVIP

企业级2026年数据隐私保护协议

鉴于一方（以下简称“企业”）需要处理另一方（以下简称“数据主体”）提供的个人数据，双方根据《中华人民共和国个人信息保护法》及其他适用法律法规，本着平等自愿、合法合规的原则，经友好协商，达成如下协议：

第一条适用范围和定义

1.1本协议适用于企业处理数据主体提供的个人数据的全部活动，包括但不限于个人数据的收集、存储、使用、加工、传输、提供、公开、删除等。

1.2本协议所称“个人数据”是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

1.3本协议所称“敏感个人数据”是指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人数据，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

1.4本协议所称“数据控制者”是指确定个人数据处理目的、处理方式，并决定所处理的个人数据类型的组织或者个人。

1.5本协议所称“数据处理者”是指为数据控制者处理个人数据的组织或者个人。

1.6本协议所称“数据主体”是指其个人数据被企业处理的自然人。

1.7本协议所称“匿名化数据”是指经过处理，使得数据主体无法被识别，且处理后的数据不能被复原的个人数据。

第二条数据收集和存储

2.1企业收集数据主体的个人数据，应遵循合法、正当、必要原则，并具有明确、合理的使用目的。

2.2企业收集个人数据前，应以显著方式、清晰易懂的语言向数据主体告知本协议的内容，并取得数据主体的同意。

2.3企业仅收集与处理目的相关的、必要的个人数据，不得过度收集。

2.4企业对收集的个人数据进行存储时，应采取必要的技术和管理措施，确保个人数据的安全。

2.5企业对个人数据的存储期限应根据法律法规的规定以及业务需要确定，并定期进行审查。

2.6个人数据的存储期限届满后，企业应按照法律法规的规定或者本协议的约定，对个人数据进行删除或者匿名化处理。

第三条数据使用和共享

3.1企业使用个人数据应当符合本协议约定的目的，并不得超出约定目的范围。

3.2企业未经数据主体同意，不得将个人数据共享给第三方，但法律法规另有规定的除外。

3.3企业因履行合同需要，确需将个人数据提供给合同相对方的，应与合同相对方订立协议，并要求其承担保密义务，确保个人数据的安全。

3.4企业因业务需要，确需委托第三方处理个人数据的，应与第三方订立书面协议，明确双方的责任义务，并对第三方进行处理个人数据的行为进行监督。

3.5企业因合并、分立、解散、清算等情形需要转让个人数据的，应事先取得数据主体的同意，并确保受让方能够按照本协议的约定以及相关法律法规的要求处理个人数据。

第四条数据主体的权利

4.1数据主体有权访问其个人数据，并要求企业提供其个人数据的副本。

4.2数据主体有权要求企业更正其个人数据中的错误信息。

4.3数据主体有权要求企业删除其个人数据，但法律法规另有规定的除外。

4.4数据主体有权要求企业限制对其个人数据的处理，但法律法规另有规定的除外。

4.5数据主体有权要求企业将其个人数据传输给指定的第三方。

4.6数据主体有权拒绝企业基于其个人数据进行自动化决策，包括profiling。

4.7数据主体有权撤回其同意企业处理其个人数据的决定，但撤回同意不影响撤回前基于同意已进行的处理。

第五条数据保护和合规

5.1企业应遵守《中华人民共和国个人信息保护法》及其他适用法律法规，建立健全内部管理制度，采取必要的技术和管理措施，确保个人数据的安全。

5.2企业处理个人数据可能对数据主体的权益产生重大影响的，应进行个人信息保护影响评估。

5.3企业应根据法律法规的规定以及业务需要，任命数据保护官，并确保其履行职责。

5.4企业应定期对其员工进行个人信息保护培训，提高其个人信息保护意识。

第六条数据泄露通知

6.1企业发生或者可能发生个人数据泄露、篡改、丢失的，应立即采取补救措施，并按照法律法规的规定及时通知数据主体和相关监管部门。

6.2企业通知数据主体的，应当在知道或者应当知道个人数据泄露之日起十五日内通知；通知监管部门，应当在知道或者应当知道个人数据泄露之日起十日内通知。

6.3企业通知数据主体时，应告知个人数据泄露的情况、可能造成的影响、已经或者即将采取的补救措施等。

第七条国际数据传输

7.1企业向境外提供个人数据的，应当符合法律法规的规定，并确保境外接收者提供充分的安全保护。

7.2企业向境外提供个人数据的，应当采用标准合同条款、具有约束力的公司规则等机制，确保境外接收者按照本协议的约定以及相关法律法规的要求处理个人数据。

7.3企业向境外提供个人数据的，应当