企业数据安全治理框架协议2026年跨境数据.docxVIP

企业数据安全治理框架协议2026年跨境数据

鉴于各方希望建立一套关于跨境数据处理的框架性协议，以规范数据安全治理活动，确保相关数据处理活动符合2026年及以后相关的数据保护法律法规要求，并保护数据主体的合法权益，特依据以下条款，达成协议如下：

第一条总则

1.1本协议旨在建立一个企业数据安全治理框架（以下简称“框架”），明确各方在处理个人数据和其它需要保护的数据（统称“数据”）时的权利、义务和责任，特别是针对跨境数据传输和接收的活动。

1.2本协议适用于[填写适用数据类型，例如：所有个人数据、特定类别个人数据、关键信息基础设施运营者数据等]的处理活动，涵盖数据处理的全生命周期，包括收集、存储、传输、使用、共享、删除等。

1.3本协议适用于在[填写适用地域范围，例如：中华人民共和国境内以及境外特定国家或地区]进行的，由本协议各方参与的数据处理活动。

1.4各方应理解并确认，数据处理活动必须遵守数据主体所在国家/地区以及数据存储和处理所在国家/地区适用的所有适用法律、法规和规章，包括但不限于欧盟的《通用数据保护条例》（GDPR）、中国的《个人信息保护法》、《数据安全法》等。

1.5本协议中使用的术语定义如下：

1.5.1“数据控制者”是指决定数据处理目的和方式的主体。

1.5.2“数据处理者”是指为数据控制者处理数据的主观或者个人。

1.5.3“数据传输主体”是指在跨境数据传输中，负责发起或管理传输的主体。

1.5.4“数据接收主体”是指接收从数据传输主体传输数据的主体，通常位于数据传输主体所在国家/地区以外的国家/地区。

1.5.5“数据安全治理委员会”是指[公司内部设立的负责数据安全治理的专门委员会名称或指代其职责的部门]。

1.5.6“数据保护官（DPO）”是指根据相关法律法规或公司内部规定指定的负责监督数据保护合规性、提供建议和协调数据主体权利响应等职责的职位或个人。

1.5.7“数据保护影响评估（DPIA）”是指评估处理活动对个人隐私所带来风险的流程。

1.5.8“安全措施”是指为保护数据所采取的技术和组织措施，包括加密、访问控制、安全审计、漏洞管理等。

1.5.9“标准合同条款（SCCs）”是指欧盟GDPR规定的、由欧盟委员会批准的、可作为个人数据跨境传输合法基础的标准合同模板。

1.5.10“充分性认定”是指欧盟GDPR规定的，某个非欧盟国家/地区的数据保护水平得到了欧盟委员会的认定，与欧盟有同等保护水平。

第二条数据安全治理组织架构与职责

2.1公司设立数据安全治理委员会（或指定[具体部门名称，如：信息技术部、法务合规部]），负责本框架的制定、监督、评估、更新和持续改进，以及协调处理重大数据安全事项。

2.2数据安全治理委员会的职责包括但不限于：制定和批准数据安全政策和标准；监督本框架的实施情况；审查和批准重要的数据处理活动，特别是跨境数据传输；协调数据安全事件的响应；向管理层汇报数据安全状况。

2.3公司指定[职位名称，如：数据保护官]负责具体的日常数据保护合规工作，包括但不限于：提供数据保护咨询；监督数据处理活动的合规性；协调数据主体权利响应；组织数据保护培训；协助进行DPIA；向数据安全治理委员会汇报工作。

2.4数据控制者对其控制的数据负主要责任，包括确保处理活动的合法性、正当性和必要性；选择合适的处理者并对其进行监督；履行数据主体的权利请求；进行必要的DPIA。

2.5数据处理者应根据数据控制者的指示处理数据，并遵守数据控制者的要求，对所处理的数据承担安全保护义务，包括实施适当的安全措施；协助数据控制者履行合规义务；及时通知数据控制者发生的数据安全事件；根据要求提供相关记录。

2.6在跨境数据传输场景下，数据传输主体负责任地选择合规的接收主体，并确保接收主体采取充分的安全措施保护数据；数据接收主体应遵守接收国家/地区的法律法规，并采取符合本框架要求的安全措施保护数据，承担相应的数据保护责任。

第三条数据分类分级与标识

3.1公司建立数据分类分级制度，根据数据的敏感程度、合规要求、商业价值等因素，将数据划分为不同级别，例如[可列举具体级别，如：公开级、内部级、秘密级、高度敏感级]。

3.2对不同分类级别的数据实施数据标识机制，确保在数据创建、存储、传输、使用和销毁等各个环节能够清晰识别数据的分类级别和相应的保护要求。

3.3涉及跨境传输的个人数据，特别是敏感个人数据，应进行明确标识，并在传输前进行风险评估。

第四条跨境数据传输机制与合规性评估

4.1跨境传输个人数据必须具有合法的基础，包括但不限于：

4.1.1数据主体明确、单独、具体、知情且不可撤销的同意。