跨境数据流动协议.docxVIP

跨境数据流动协议

一、定义与解释

本协议中跨境数据指由位于某缔约方的数据控制者传输至位于另一缔约方的数据接收方的电子形式个人信息及必要业务数据。

缔约方指签署本协议的双方实体。

数据主体指可通过传输数据识别身份的自然人。

数据处理指对传输数据的任何操作，包括收集、存储、修改、查询及销毁。

实质性违约指违反本协议核心义务并导致其他缔约方无法实现协议根本目的的行为。

二、数据跨境传输范围

本次跨境传输的数据类别限于业务运营必需的个人基础信息及匿名化商业数据。

个人基础信息传输范围具体包括：

传输方合作客户的必要身份识别信息

履行合同必备的交易验证信息

反洗钱合规所需的有限账户验证记录

严格禁止传输包含以下类别的数据：

任何政治立场、宗教信仰或基因信息

敏感医疗健康诊断记录

生物特征原始识别数据

金融账户完整凭证信息

三、权利义务

（一）传输方义务

确保取得数据主体对跨境传输的明确知情同意

执行数据分级分类管理体系

建立物理传输前数据脱敏验证机制

每季度提供数据传输安全合规报告

数据主体撤回同意后四十八小时内通知接收方终止处理

（二）接收方义务

在数据中心配置物理隔离存储区域

数据处理终端须启用双因素认证机制

部署符合ISO27001规范的日志审计系统

数据存储地理位置不得二次变更

发生泄密事件立即启动应急响应计划

四、安全保障措施

所有传输通道采用AES-256端到端加密技术

关键业