2025年渗透测试服务数据协议

2025年渗透测试服务数据协议引言与背景鉴于渗透测试服务提供方（以下简称“服务商”）将接受委托方（以下简称“委托方”）的委托，对委托方指定的信息系统进行安全性评估（以下简称“渗透测试服务”），该服务过程涉及对委托方信息系统的访问和数据收集，可能触及委托方的商业秘密、技术秘密以及个人信息等数据。为明确双方在数据处理过程中的权利与义务，确保数据处理活动的合法合规性、安全性，并有效保护委托方的合法权益，根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等相关法律法规，双方经友好协商，达成如下协议：第一部分定义1.渗透测试：指服务商模拟黑客攻击行为，对委托方指定的信息系统（包括但不限于网络、系统、应用、数据库等）的安全性进行评估，以发现其中存在的安全漏洞并提供修复建议的服务活动。2.数据：指任何以电子或者其他方式记录的与自然人身相关或者反映自然个人信息的社会信用等个人识别信息，以及不直接识别特定个人但与已识别或者可识别的自然人有关联，结合其他资料足以识别特定自然人的信息（敏感个人信息）、重要数据、个人信息等。具体包括但不限于：*委托方信息：公司名称、地址、联系方式、组织架构、业务流程、安全策略等非敏感经营信息，以及可能间接识别委托方的技术信息。*系统信息：网络拓扑、IP地址、操作系统版本、中间件版本、应用框架、数据库类型、配置信息等。*漏洞信息：发现的漏洞名称、描述、危害等级、存在位置、复现步骤、修复建议等。*个人信息：在测试过程中可能无意间捕获或间接关联到的用户信息、员工信息等（如用户名、邮箱、IP访问日志中的个人信息片段等）。*测试过程数据：测试工具日志、扫描记录、操作记录、临时文件等。3.服务商：指接受委托方委托，提供渗透测试服务的专业技术公司。4.委托方：指接受服务商提供的渗透测试服务，并委托其进行信息系统安全评估的企业或组织。5.数据处理：包括数据的收集、存储、使用、加工、传输、提供、公开、删除等。6.个人信息处理：指在渗透测试服务过程中对个人信息进行的收集、存储、使用、加工、传输、提供、公开、删除等处理活动。7.非敏感信息：指经过处理无法识别特定自然人，或者识别特定自然人无实质意义的信息。8.安全事件：指因意外、人为因素或技术漏洞等原因导致数据泄露、丢失、被篡改或非法访问、使用等事件。第二部分数据处理原则服务商处理委托方数据及个人信息，应遵循以下原则：1.合法、正当、必要、诚信：数据处理活动必须有明确的法律依据，符合国家法律法规和本协议约定，采取对委托方权益影响最小的方式。2.目的明确、最小必要：数据处理目的限于完成渗透测试服务，不得超出该范围使用数据；获取的数据类型应是实现测试目的所必需的。3.确保安全：采取必要的技术和管理措施，保障数据处理过程中的数据安全，防止数据泄露、篡改、丢失。4.公开透明：本协议内容应向委托方清晰说明数据处理的方式、目的、范围等。5.责任明确：明确服务商和委托方在数据处理中的权利和义务。第三部分数据收集与提供1.委托方提供数据：委托方应根据服务商的要求，真实、准确、完整地提供开展渗透测试所必需的基础信息、系统信息等非敏感数据，并对数据的真实性负责。委托方有义务向服务商明确告知其系统或应用中可能包含的个人信息的范围。2.服务商获取数据：服务商在执行测试过程中，将根据测试需要，访问和获取委托方信息系统中的相关数据。服务商应仅获取与测试目的直接相关且最小必要的数据。服务商应避免在测试过程中收集、处理委托方或用户的个人信息，除非为完成测试所必需且无法避免；如不可避免，委托方应确保已充分告知并采取必要措施保护。第四部分数据使用1.测试目的使用：服务商使用委托方数据仅限于：*执行渗透测试任务，发现系统漏洞。*分析测试结果，生成测试报告。*指导漏洞修复和制定安全加固建议。*内部质量控制和专业研究（不用于对外宣传或提供给第三方，除非获得委托方书面同意）。2.禁止使用：服务商不得将委托方数据用于本协议约定之外的任何目的，不得泄露给任何第三方（法律法规另有规定或本协议另有约定的除外），不得利用测试获取的信息对委托方进行骚扰或进行其他恶意活动。第五部分数据存储与安全1.存储地点：服务商应将处理委托方数据的服务器和相关存储设备放置于其在中国境内合法设立的数据中心，并确保存储设施符合国家关于网络安全和数据安全的要求。2.存储期限：服务商仅在提供服务及生成最终测试报告后，根据完成项目所需合理期限（例如，完成项目后6个月或1年）内存储必要的数据（如测试日志、报告草稿等），用于后续项目参考或合规审计。涉及个人信息的，其存储期限应严格遵守《个人信息保护法》等相关规定。3.安全措施：服务商应采取包括但不限于以下技术和管理措施保障数据安全：*访问控制：实施严格的身份验证和授权机制，确保只有授权人员才能访问相关数据。*加密存储与传输：对存储和传输中的敏感数据进行加密处理。*漏洞管理：定期对存储系统进行漏洞扫描和修复。*安全审计：定期进行安全审计和日志监控。*物理安全：保障数据中心等物理环境的安全。*人员管理：对接触数据的员工进行保密和合规培训。第六部分数据传输1.境内传输：所有涉及委托方数据的传输应在中国境内进行。2.跨境传输（如有）：如因服务性质或法律法规要求确需将数据传输至中国境外，服务商必须事先获得委托方的书面同意，并确保：*接收方所在地法律允许数据传输。*接收方能够提供与我国个人信息保护法律相兼容的保障措施（如通过认证、签订标准合同等）。*委托方有权了解数据跨境传输的具体情况。*跨境传输应采用加密等安全方式。第七部分个人信息处理1.最小化处理：服务商在渗透测试过程中应特别注意避免收集、处理委托方或用户的个人信息，除非为完成测试所必需且无法避免。2.识别与分离：如不可避免地接触到个人信息，服务商应努力识别并尝试在处理过程中进行匿名化或去标识化处理，或将其与测试无关的其他数据分离存储。3.委托方协助：委托方有义务向服务商提供其系统或应用中包含的个人信息的类型、处理目的等信息，并指导服务商在测试中注意保护。4.个人信息主体权利：如服务商因测试活动处理了个人信息，委托方应根据《个人信息保护法》等规定，在收到个人信息主体相关请求时，协助其行使其查阅、复制、更正、删除等权利，或根据委托行使其权利。第八部分数据泄露与通知1.事件响应：服务商一旦发现或怀疑发生数据泄露、丢失或被非法访问、使用等安全事件，应立即启动应急预案，采取补救措施，防止损害扩大，并应尽快评估事件影响。2.通知义务：服务商应在安全事件发生后（例如，在知晓事件后的规定时限内，如24或48小时内）通知委托方。通知内容应包括事件的基本情况、影响范围、已采取或拟采取的措施等。委托方应根据自身情况，依法履行相应的通知义务（例如，通知用户）。第九条数据销毁1.服务结束后销毁：渗透测试项目结束后，或在双方约定的其他时间点，服务商应根据委托方的要求或本协议约定，彻底销毁所有与该项目相关的原始数据、测试记录、临时文件、备份等，并应向委托方提供销毁证明。2.不可恢复性：服务商应确保数据销毁是彻底的、不可恢复的。第十条数据访问与审计1.委托方访问权：委托方有权按照本协议约定，对服务商处理其数据的情况进行监督和审计，包括查阅服务商采取的安全措施、数据处理记录、相关合同文件等。服务商应予以配合，提供必要的便利。2.服务商审计：服务商保留对委托方遵守本协议数据管理要求情况进行审计的权利。第十一条委托方的权利与义务1.提供必要信息：及时、准确、完整地提供服务商开展测试所需的非敏感信息和必要的配合。2.明确告知：向服务商明确告知其系统或应用中涉及的个人信息类型、处理目的，并配合服务商处理个人信息主体的权利请求。3.保障配合：确保测试环境的安全，为服务商提供必要的测试访问权限，并配合服务商采取必要的测试措施。4.遵守保密义务：对服务商在测试过程中获取的非公开信息（即使非敏感）承担保密义务。5.配合安全事件：及时响应服务商就数据安全事件的通知，并配合采取应对措施。6.使用服务商交付成果：按照约定使用服务商提供的渗透测试报告及建议。第十二条服务商的权利与义务1.专业服务：按照约定提供专业的渗透测试服务，确保测试质量，并按时提交测试报告。2.保密义务：对委托方提供的信息以及测试过程中了解到的委托方商业秘密、技术秘密等承担严格的保密义务，除非法律法规要求或获得委托方书面同意。3.安全保障：严格遵守数据安全规范，采取有效措施保护委托方数据不被泄露、滥用。4.合规处理：确保数据处理活动符合中国法律法规要求。5.报告义务：按时提交测试报告，并就报告内容进行说明和解释。6.配合审计：配合委托方的数据访问和审计。7.遵守测试规范：在测试过程中遵守相关法律法规和行业规范，避免对委托方业务造成不必要的影响。第十三条违约责任1.服务商违约：若服务商违反本协议关于数据处理的规定，如未经授权泄露、滥用委托方数据，或未能采取充分的安全措施导致数据安全事件，或未能按时交付合格的服务成果，应承担相应的法律责任，包括但不限于赔偿委托方因此遭受的直接经济损失，并可能承担行政罚款等法律责任。2.委托方违约：若委托方未能履行其在本协议下的义务，如未能提供必要信息、未能配合测试或安全事件处理，导致服务商无法正常提供服务或造成损失，委托方应承担相应责任。3.不可抗力导致的违约：因不可抗力导致任何一方无法履行本协议义务的，不承担违约责任，但应在不可抗力发生后及时通知对方，并提供相关证明。第十四条法律适用与争议解决1.法律适用：本协议的订立、效力、解释、履行及争议解决均适用中华人民共和国法律。2.争议解决：因本协议引起的或与本协议有关的任何争议，双方应首先通过友好协商解决；协商不成的，任何一方均有权将争议提交[选择一种：委托方所在地/服务商所在地/合同签订地]有管辖权的人民法院诉讼解决。第十五条不可抗力1.定义：不可抗力是指不能预见、不能避免并不能克服的客观情况，包括但不限于自然灾害（如地震、洪水）、战争、罢工、政府行为、法律政策变化等。2.影响：因不可抗力导致任何一方无法履行本协议义务的，不承担违约责任，但应在不可抗力发生后及时通知对方，并提供相关证明。双方应根据不可抗力的影响，协商决定是否延期履行、部分履行或解除协议。第十六条协议期限与终止1.有效期：本协议自双方签字盖章之日起生效，渗透测试服务期自服务商开始测试之日起至服务完成报告交付之日止。但数据安全责任和相关条款（如保密、数据销毁、审计权利等）在本协议终止后持续有效，直至相关数据被安全销毁且双方无争议。2.终止条件：协议可在以下情况下终止：*双方协商一致终止。*一方严重违约，守约方根据本协议约定或法律规定解除协议。*服务商完成约定服务内容并交付最终报告。*出现不可抗力，且不可抗力影响持续一定期限。第十七条保密条款1.本协议中约定的保密信息（包括但不限于双方提供的非公开信息、测试数据、报告内容、个人信息等）应受到双方的严格保密。2.未经对方书面同意，任何一方不得向任何第三方（为履行本协议目的而需要知晓的必要人员除外）披露保密信息。3.保密义务不因本协议的终止而解除，持续有效至保密信息公开或法律要求披露为止。第十八条其他1.完整协议：本协议构成双方就数据处理事项达成的完整协议，取代此前任何