跨境数据传输协议（2025年中国版）

跨境数据传输协议（2025年中国版）鉴于双方（下称“提供方”和“接收方”）希望依据中华人民共和国相关法律法规（包括但不限于《网络安全法》、《数据安全法》、《个人信息保护法》、《关键信息基础设施安全保护条例》及其实施细则及相关更新版本，以下统称“中国法律法规”）以及双方另行签署的业务合作协议（以下简称“主协议”），就提供方向接收方传输和接收数据（以下简称“数据”）的相关事宜，达成如下协议（以下简称“本协议”）：第一条定义除非本协议另有明确约定，下列术语具有以下含义：1.1“数据”是指任何形式的个人身份信息（PII）和非个人身份信息（NPI），包括但不限于文本、图像、音频、视频、生物识别信息、电子记录等。1.2“个人信息”是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。1.3“敏感个人信息”是指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，具体范围按照中国法律法规及相关规定确定。1.4“跨境数据传输”是指数据从中国境内传输至中国境外的行为。1.5“数据出境安全评估”（DSEA）是指按照中国法律法规规定，对通过传输方式向境外提供个人信息或重要数据进行的评估活动。1.6“标准合同条款”（SCCs）是指欧盟委员会根据《通用数据保护条例》（GDPR）授权批准的，用于保障从欧盟等地区向其他国家或地区传输个人信息的合同条款。1.7“充分性认定”是指欧盟委员会认定某个国家或地区的数据保护水平与欧盟相当，从而允许从欧盟向该国家或地区传输个人信息，无需采用SCCs或其他保障措施。1.8“数据处理者”是指代表提供方或接收方处理个人信息的个人或组织。1.9“数据控制者”是指决定处理个人信息的_PURPOSE和Means的个人或组织。1.10“安全措施”是指为保护数据而采取的技术和管理措施，包括但不限于加密、访问控制、安全审计、数据脱敏、网络安全防护、应急预案等。1.11“数据安全事件”是指导致数据泄露、篡改、丢失、毁损或非法使用的事件。1.12“关键信息基础设施”是指关系国家安全、国民经济命脉、重要民生、公共安全等领域的网络和信息系统。第二条基本原则与合规要求2.1双方在履行本协议及相关主协议过程中涉及的数据处理活动，均应严格遵守中国法律法规及监管机构的规定。2.2数据传输和处理的目的是为了实现主协议约定的业务目标，并遵循数据最小化、目的限制、存储限制、完整性和保密性等原则。2.3提供方保证其提供的个人信息的收集和初步处理符合中国法律法规的要求。2.4接收方保证其具备处理相关数据的合法依据，并按照主协议和本协议约定的目的和范围处理数据。2.5双方应根据数据类型和传输目的，采取符合中国法律法规要求的技术和管理安全措施，确保数据在传输和存储过程中的安全，防止数据安全事件的发生。2.6接收方应确保其处理个人信息的活动符合数据接收国/地区的法律法规，并避免因接收方的不合规行为导致提供方承担责任。第三条数据出境的安全评估与保障措施3.1对于传输的数据属于个人信息且接收方位于未与中国达成“充分性认定”的国家或地区，或者传输的数据属于重要数据（包括但不限于关键信息基础设施运营所需数据、核心数据等），提供方和接收方应共同进行数据出境安全评估（如需）。3.2若需进行数据出境安全评估，双方应指定专门人员负责，并按照中国法律法规规定的程序进行。提供方应配合接收方完成相关评估工作，接收方应向其所在国家/地区的监管机构进行申报（如适用）。3.3未经数据出境安全评估并获得相应批准（如适用），不得启动数据跨境传输。3.4对于传输个人信息至未与中国达成“充分性认定”的国家或地区，且不属于上述3.1款所述情形的，接收方应采用经欧盟委员会批准的标准合同条款（SCCs）或其他经认证的具有同等效力的保障措施，并确保其得到有效执行。3.5接收方应保证其具备实施SCCs或其他保障措施的技术和管理能力，并定期进行自我评估，确保持续符合要求。3.6对于传输关键信息基础设施运营所需数据，接收方应满足中国相关法律法规规定的安全要求，例如通过相应的安全认证，并确保数据传输不影响关键信息基础设施的安全稳定运行。第四条数据提供与接收4.1提供方应根据主协议约定及本协议约定的数据类型和范围，向接收方提供数据。4.2接收方仅能按照主协议约定和本协议约定的目的和范围接收和使用数据，不得超出约定范围使用数据，不得将数据提供给任何第三方，除非获得提供方的书面同意或法律法规另有规定。4.3接收方应对接收的数据进行必要的接收前的安全检查，确保数据在传输前已采取适当的保护措施。第五条数据安全责任与义务5.1提供方的安全责任：a.保证其提供的个人信息的质量，并确保在数据传输前已采取适当的安全措施。b.监督接收方的数据处理活动，确保接收方履行本协议约定的安全责任。c.建立数据安全事件应急预案，并在发生数据安全事件时，及时通知接收方。d.协助接收方履行向数据主体提供个人信息保护相关信息的义务。5.2接收方的安全责任：a.建立健全的数据安全管理制度，并采取必要的技术和管理措施，确保数据的安全，防止数据泄露、篡改、丢失。b.对接触数据的员工进行数据安全培训和考核，确保其了解并遵守数据安全管理制度。c.建立数据安全事件应急预案，并定期进行演练，确保在发生数据安全事件时能够及时有效地进行处置。d.定期对数据处理活动进行内部审计，评估数据处理活动的合规性和安全性。e.采取加密、访问控制、安全审计等技术措施，保障数据在传输和存储过程中的安全。f.确保其处理个人信息的系统符合中国网络安全等级保护制度的要求。第六条数据主体权利与保护6.1接收方应建立处理个人信息情况的记录，并确保记录的准确性和完整性。6.2接收方应建立数据主体权利请求的响应机制，并根据中国法律法规的规定，以及主协议和本协议的约定，及时响应数据主体的访问、更正、删除等权利请求。6.3接收方应在收到数据主体的权利请求后，及时进行核实，并在规定时限内作出答复或处理。6.4接收方应建立数据安全事件应急预案，并在发生数据安全事件时，按照中国法律法规的规定，及时通知提供方、相关监管机构以及受影响的个人。第七条监督与审计7.1双方均有权对另一方的数据处理活动进行监督和检查。7.2提供方或其授权代表有权在事先通知接收方的情况下，对接收方的数据处理场所、设施、设备、记录等进行检查，以验证接收方是否履行了本协议约定的数据安全责任。7.3接收方或其授权代表也有权在事先通知提供方的情况下，对提供方的数据处理场所、设施、设备、记录等进行检查，以验证提供方是否履行了本协议约定的数据安全责任。7.4双方应积极配合对方的监督和检查，并提供必要的协助和说明。7.5双方应就监督和检查的结果进行沟通，并就发现的问题采取整改措施。第八条违规处理与责任8.1若一方违反本协议约定，导致数据泄露、篡改、丢失或非法使用，给另一方或第三方造成损失的，违约方应承担赔偿责任。8.2违约方应根据实际情况，承担相应的行政、民事或刑事责任。8.3若接收方违反中国法律法规的规定，导致提供方承担责任，接收方应承担相应的连带责任。8.4双方应相互配合，及时解决因数据处理活动引发的问题和争议。第九条协议期限、变更与终止9.1本协议的期限与主协议的期限一致，自双方签字盖章之日起生效，至主协议终止之日终止。9.2本协议的任何变更或补充，均需经双方书面同意。9.3若主协议终止，本协议应在主协议终止后继续有效，直至本协议项下的数据处理任务完成，或双方就数据处置达成一致。9.4本协议终止时，接收方应按照以下约定处理已接收的数据：a.对于个人信息，接收方应根据数据主体同意的范围和期限，或主协议约定的必要性，删除或回传至提供方。b.对于非个人信息，接收方应在协议终止后合理期限内，根据主协议的约定或双方协商一致的方式，将数据删除或安全地返回提供方，或进行匿名化处理。c.若双方另有约定，或根据法律法规的要求，接收方可以继续存储数据，但应采取最低必要的安全措施，并确保数据不被用于任何其他目的。d.接收方应向提供方提供数据处置的证明文件。第十条不可抗力10.1“不可抗力”是指双方不能合理控制、不可预见或即使预见亦无法避免的事件，包括但不限于自然灾害、战争、恐怖袭击、法律法规的重大变更等。10.2遭遇不可抗力的一方应在事件发生后及时通知另一方，并提供相关证明文件。10.3因不可抗力导致本协议无法履行或延迟履行的，遭遇不可抗力的一方不承担违约责任，但应及时采取措施减少损失，并在不可抗力消除后尽快恢复履行。第十一条法律适用与争议解决11.1本协议的订立、效力、解释、履行及争议解决均适用中华人民共和国法律。11.2因本协议引起的或与本协议有关的任何争议，双方应首先通过友好协商解决。11.3协商不成的，任何一方均有权将争议提交至提供方所在地有管辖权的人民法院诉讼解决。第十二条通知12.1本协议项下的所有通知、请求、要求或其他通信均应以书面形式，通过传真、电子邮件或快递等方式发送至本协议首页载明的地址或邮箱。12.2通知在以下时间视为送达：a.传真发送：发出之时。b.电子邮件发送：发送至收件人邮箱之时。c.快递发送：寄出后三个工作日。12.3任何一方变更联系方式，应提前书面通知另一方。第十三条完整协议13.1本协议构成双方就本协议主题事项达成的完整协议，取代双方此前就该主题达成的所有口头或书面协议、谅解或安排。13.2对本协议的任何修改或补充，均需经双方书面同意。第十四条可分割性14.1若本协议任何条款被认定为无效或不可执行，不影响其他条款的效力。第十五条文本与生效15.1本协议一式肆份，提供方