2026年网络安全数据脱敏协议.docxVIP

2026年网络安全数据脱敏协议

鉴于甲乙双方（以下简称“双方”）在网络安全领域存在合作需求，为规范双方在数据处理过程中对特定数据进行脱敏处理的行为，保障数据安全，保护数据主体的合法权益，依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》及相关法律法规，经双方友好协商，达成协议如下：

第一条定义与术语

1.1本协议所称“数据提供方”（甲方）是指委托或授权进行数据脱敏的一方。

1.2本协议所称“数据接收方”（乙方）是指接受委托或根据本协议约定对数据进行脱敏处理的一方。

1.3本协议所称“原始数据”是指在脱敏前包含个人身份信息、敏感商业信息或其他需要保护内容的原始数据集合。

1.4本协议所称“脱敏数据”是指经过脱敏处理，无法直接关联到特定自然人的个人身份信息，或者无法识别特定主体的商业秘密等数据。

1.5本协议所称“脱敏方法”是指为达到数据安全要求而采用的技术手段，如但不限于数据匿名化、假名化、数据泛化、数据扰乱、加密、掩码等。

1.6本协议所称“安全责任”是指双方在数据脱敏处理全生命周期中，为保障数据安全所应承担的义务和责任。

1.7本协议所称“数据主体”是指其个人信息均被纳入原始数据集的自然人。

1.8本协议所称“关键信息基础设施运营者”是指在中华人民共和国境内运营对国民经济、国计民生、国家安全等关键领域有重大影响的网络、信息系统或数据处理活动的单位。

第二条脱敏原则

2.1脱敏处理应遵循合法、正当、必要原则，确保数据处理活动具有法律依据，符合数据处理目的，且是实现该目的所必需的。

2.2脱敏处理应遵循目的限制原则，脱敏后的数据仅能用于本协议约定的目的，不得超出该范围使用。

2.3脱敏处理应遵循最小化原则，在实现约定目的的前提下，对数据主体权益的影响应最小化。

2.4脱敏处理应遵循公开透明原则，就数据脱敏处理规则对数据主体进行必要的告知（如适用）。

2.5脱敏处理应遵循安全保障原则，必须采取充分的技术和管理措施，保障脱敏数据的安全，防止其被未经授权访问、泄露、篡改或丢失。

第三条脱敏范围与内容

3.1甲方应提供需要脱敏处理的原始数据清单，详细列明数据类型、来源、规模、包含的关键信息等。乙方应根据清单及双方约定执行脱敏。

3.2本协议项下的脱敏范围包括但不限于甲方提供的原始数据清单中列明的个人身份信息，如姓名、身份证号码、手机号码、电子邮箱地址、物理地址等，以及敏感商业信息，如财务数据、技术秘密、客户名单等。

3.3双方可根据具体数据的特点和用途，在原始数据清单中详细约定每类数据的脱敏要求，包括但不限于脱敏字段、脱敏程度、脱敏方法的具体参数等。

第四条脱敏方法与标准

4.1双方可协商确定采用的具体脱敏技术，或由乙方根据甲方要求及行业最佳实践选择。脱敏技术应能够有效降低原始数据泄露风险，并满足本协议约定的脱敏要求。

4.2脱敏标准应参照国家、行业发布的最新脱敏标准和技术指南，确保脱敏效果符合安全要求。对于个人身份信息，应优先采用符合国家标准的匿名化或去标识化技术，确保脱敏后的数据无法直接或间接识别到特定自然人。

4.3脱敏过程应包括数据接入、预处理、脱敏算法执行、后处理、数据输出等环节，每个环节的操作应符合相关技术规范和安全要求。

第五条双方权利与义务

5.1甲方的权利与义务：

5.1.1按时、准确提供与脱敏相关的原始数据清单、元数据以及必要的业务背景说明。

5.1.2授予乙方为执行本协议目的所必需的数据访问、处理和脱敏权限，并确保该权限的合法性和充分性。

5.1.3保证其提供的原始数据来源合法，拥有合法的数据处理权，且原始数据中不包含未经授权处理的第三方数据或非法获取的数据。

5.1.4有权对乙方的脱敏过程和结果进行监督和验收，并要求乙方提供必要的脱敏过程记录和技术文档。

5.1.5配合乙方完成必要的数据验证和效果评估工作。

5.1.6对原始数据在传输至乙方前的安全负责，并确保其自身数据处理活动符合相关法律法规。

5.2乙方的权利与义务：

5.2.1依据本协议约定和脱敏标准，使用专业技术和工具对数据进行脱敏处理。

5.2.2建立健全的数据安全管理制度和技术防护措施，包括但不限于访问控制、加密存储、安全审计、入侵检测、数据备份与恢复等，确保脱敏数据及处理过程的安全。应达到不低于行业标准的网络安全等级保护要求。

5.2.3对在履行本协议过程中接触到的甲方数据、商业秘密及其他敏感信息承担严格的保密义务，未经甲方书面同意不得向任何第三方泄露。

5.2.4保证其脱敏处理活动符合所有适用的网络安全、数据安全和个人信息保护法律法规。

5.2.