跨境数据合规评估协议（2025版）

跨境数据合规评估协议（2025版）鉴于甲方（委托人/数据控制者）因业务发展需要，在跨境数据处理活动中需要确保其行为符合2025年及以后有效的数据保护法律法规要求，拟委托乙方（受托人/评估机构）对其特定跨境数据合规状况进行评估；鉴于乙方拥有专业的数据合规评估团队和经验，具备开展跨境数据合规评估服务的能力和资质；为明确双方在跨境数据合规评估合作中的权利与义务，依据《中华人民共和国民法典》及相关法律法规，经双方友好协商，达成协议如下：第一条定义与解释除非本协议上下文另有解释，下列术语具有以下含义：1.1“个人数据”是指任何与已识别或可识别的自然人有关的数据或信息，无论该数据或信息是否以电子形式或与其他数据结合保存。1.2“敏感个人数据”是指个人数据中涉及个人身份、健康、财务、种族或民族出身、宗教或哲学信仰、政治观点、会员身份、生物特征、基因数据或生物识别特征、个人位置数据或活动追踪数据，以及个人数据被用于做出特定决策等类型的数据。1.3“跨境数据传输”是指将个人数据从位于一个国家或地区的数据控制者传输到位于另一个国家或地区的数据控制者或处理者。1.4“数据保护影响评估（DPIA）”是指对处理活动（尤其是高风险处理活动）进行评估，以识别和最小化对个人隐私的风险。1.5“评估机构”是指乙方，具备相应的专业资质和经验，根据本协议提供跨境数据合规评估服务。1.6“评估报告”是指乙方在完成对甲方跨境数据处理活动的合规性评估后，向甲方提交的分析报告，包括评估发现、风险评估、法律分析及改进建议等。1.7“适用法律”是指本协议订立、效力、解释、履行及争议解决均适用的法律，即中华人民共和国法律（不包括香港、澳门特别行政区及台湾地区法律）。1.8“通知”是指依据本协议约定送达的书面通知，可以通过电子邮件、传真或挂号信等方式发送至本协议约定的地址。第二条协议目的与范围2.1本协议旨在明确双方合作开展跨境数据合规评估事宜，由乙方依据适用的数据保护法律法规（特别是2025年及以后版本的要求），对甲方指定的跨境数据处理活动进行评估，识别潜在的不合规风险，并向甲方提供具有可行性的改进建议。2.2评估范围包括但不限于：甲方涉及的特定跨境数据传输场景（如传输目的国、数据类型、传输方式、频率、规模等）、数据处理目的与法律依据、数据主体权利响应机制、数据安全保障措施、向第三国或地区传输数据的合法基础（如充分性认定、标准合同条款、有约束力的公司规则等）、数据处理协议（DPA）的合规性、以及甲方在数据处理链中的整体合规框架。第三条甲方的权利与义务3.1甲方有权要求乙方按照本协议约定提供专业、独立的跨境数据合规评估服务。3.2甲方应向乙方提供为开展评估工作所必需的全面、准确、真实的资料和信息，包括但不限于：（1）涉及跨境数据传输的业务流程说明；（2）传输的个人数据类型清单，特别是敏感个人数据的类型；（3）数据传输至第三国的详细信息，包括接收方的地理位置、数据保护水平评估状况（如适用）、采取的传输保障措施；（4）甲方处理个人数据的法律依据和处理目的；（5）甲方为保障数据安全所采取的技术和管理措施；（6）处理个人数据的员工清单及培训记录；（7）与第三方签订的数据处理协议（DPA）副本；（8）甲方识别出的或乙方评估中认为重要的其他相关信息。3.3甲方应确保其提供的信息真实、准确、完整，并保证对其提供的资料和数据的合法性负责。如因甲方提供信息不实或不全导致乙方无法完成评估或产生错误评估结果，甲方应承担相应责任。3.4甲方应授予乙方必要的访问权限，包括查阅相关文件、系统，以及根据需要访谈甲方相关员工等，乙方人员在遵守甲方合理的安全规定下进行访问。3.5甲方应根据乙方合理的要求，及时提供必要的协助，参与双方约定的沟通会议，以促进评估工作的顺利进行。3.6甲方应对乙方在评估过程中获悉的甲方的商业秘密、技术信息、个人数据等承担严格的保密义务。第四条乙方的权利与义务4.1乙方有权要求甲方按照本协议约定提供必要的资料、信息和协助，以完成评估工作。4.2乙方应委派具备专业资格和经验的人员组成评估团队，以独立、客观、专业的态度，依据适用的数据保护法律法规（特别是2025年及以后版本的要求）和约定的评估方法论，对甲方的跨境数据处理活动进行审慎、全面的合规性评估。4.3乙方应采取合理的措施，审慎处理在评估过程中接触到的甲方商业秘密和个人数据，并对其保密。4.4乙方应在约定的评估时间内完成评估工作，并向甲方提交详细、清晰的评估报告。评估报告应至少包括评估的范围和目的、评估方法、对甲方数据处理活动的合规性分析（识别不合规风险点及程度）、法律依据分析、以及具体的改进建议或解决方案。4.5乙方应配合甲方的合理查询，就评估报告内容进行必要的解释说明。4.6乙方应对在评估过程中产生的、由乙方独立开发的评估工具、方法论等知识产权享有权利，但评估报告本身及其内容（可能包含甲方信息）的知识产权归属，按本协议第十三条约定处理。第五条费用与支付5.1乙方提供本协议项下的评估服务，费用总额为人民币[具体金额]元（大写：[金额大写]）。5.2费用构成包括但不限于：评估人员成本、必要的第三方咨询费、工具使用费等与提供评估服务直接相关的成本。5.3支付方式：甲方应通过银行转账方式将费用支付至乙方指定的以下银行账户：开户行：[乙方开户行名称]户名：[乙方账户名称]账号：[乙方银行账号]5.4支付节点与期限：（1）本协议签订后[具体天数]日内，甲方支付费用总额的[百分比]%，即人民币[具体金额]元（作为预付款）；（2）乙方提交最终评估报告后[具体天数]日内，甲方支付剩余的费用，即人民币[具体金额]元（作为尾款）。5.5如乙方因甲方的额外需求而提供了超出本协议约定范围的服务，双方应另行协商确定费用，并签订补充协议。第六条评估报告的使用与所有权6.1评估报告的所有权在法律上归甲方所有。6.2甲方仅可将评估报告用于内部评估、识别合规风险、改进数据处理活动以及确保自身符合数据保护法律法规要求的之目的。6.3未经乙方事先书面同意，甲方不得向任何第三方披露评估报告的全部或任何实质性内容，但甲方因履行法律法规义务或已获得合法授权而向监管机构、审计师等披露的除外，且在此情况下，甲方应尽可能事先通知乙方。6.4评估报告的具体使用限制和保密要求，详见本协议第十三条。第七条保密条款7.1双方确认，在合作过程中，双方均会接触并获悉对方的商业秘密、技术信息以及其他在合作中获悉的信息（以下简称“保密信息”）。7.2除非事先获得对方书面同意，任何一方不得为任何目的（无论与本次合作是否相关）披露、使用、复制、许可或转让其从对方获取的保密信息。7.3本保密义务不因本协议的终止而解除。即使在协议终止后，双方仍需对在本协议有效期内获悉的保密信息继续承担保密责任，保密期限为协议终止后[具体年限，如三]年。7.4双方应采取不低于保护自身同类保密信息的谨慎程度，以保护对方的保密信息，但仅为履行本协议之目的。7.5以下信息不属于保密信息：在获得时已为公众所知的信息；在披露时即非因违反保密义务而为公众所知的信息；通过合法途径独立开发或获得的信息；或已获得披露方明确书面同意可以披露的信息。第八条知识产权8.1各方在签署本协议前已经拥有的知识产权仍归各方所有。8.2在履行本协议过程中，乙方为完成评估任务而专门开发的分析方法、评估工具、模型等，其知识产权归属乙方所有，甲方获得在评估目的范围内使用这些专有工具或方法的非独占许可。8.3评估报告本身及其表达的思想和观点，其知识产权归属按本协议第五条约定处理。甲方在遵守乙方保密义务和报告使用限制的前提下，可以使用评估报告。第九条数据处理（若乙方需处理甲方数据）9.1如乙方在履行本协议过程中，确需处理甲方提供的个人数据（例如，为分析目的而处理甲方提供的数据样本），则乙方的数据处理活动应仅限于为实现本协议目的所必需的范围内进行。9.2乙方处理甲方数据的目的仅限于：分析甲方的跨境数据处理场景、完成合规评估、撰写评估报告。9.3乙方应作为甲方的代理人处理甲方数据，并确保其处理活动符合适用数据保护法律（如《个人信息保护法》）关于数据处理者的要求。9.4乙方应采取充分的技术和管理措施，保障甲方数据的存储安全、防止数据泄露、丢失或被滥用。9.5甲方作为数据控制者，仍需对涉及的数据主体权利请求负最终责任。乙方应协助甲方履行其通知、响应数据主体请求等义务。第十条法律适用与争议解决10.1本协议的订立、效力、解释、履行及争议解决均适用中华人民共和国法律（为免疑义，不包括香港、澳门特别行政区及台湾地区法律）。10.2因本协议引起的或与本协议有关的任何争议，双方应首先通过友好协商解决。10.3如果协商不成，任何一方均有权将争议提交至[具体仲裁委员会名称，如中国国际经济贸易仲裁委员会（CIETAC）]，按照申请仲裁时该会现行有效的仲裁规则进行仲裁。仲裁地点为[具体城市]。仲裁裁决是终局的，对双方均有约束力。第十一条协议期限与终止11.1本协议自双方授权代表签字并加盖公章（或合同专用章）之日起生效，有效期为[具体期限，如一年或至评估报告提交之日]。11.2除本协议另有约定外，任何一方未经对方书面同意，不得单方面终止本协议。11.3在以下情况下，守约方有权书面通知违约方终止本协议：（1）违约方严重违反本协议约定，经守约方书面催告后[具体天数，如三十]日内仍未纠正的；（2）违约方进入破产、清算或解散程序的。11.4协议终止时，双方应：（1）结清所有未付款项；（2）乙方应向甲方返还其在履行协议过程中获取的、属于甲方的所有资料、数据副本及其他财产；（3）保密条款、知识产权条款、法律适用与争议解决条款在本协议终止后继续有效。第十二条违约责任12.1若任何一方违反本协议约定，应承担违约责任，赔偿因此给对方造成的直接损失和可预见的间接损失。12.2若甲方未能按时支付服务费用，每逾期一日，应按逾期支付金额的[百分比，如万分之五]向乙方支付违约金，但累计违约金不超过未支付金额的[百分比，如百分之十]。12.3若乙方未能按时提交评估报告，每逾期一日，应按合同总金额的[百分比，如万分之五]向甲方支付违约金，但累计违约金不超过合同总金额的[百分比，如百分之十]。逾期超过[具体天数，如三十]日，甲方有权解除本协议，并要求乙方退还已支付的部分或全部费用，并赔偿损失。12.4因一方违约导致本协议无法继续履行或协议目的无法实现的，守约方有权解除协议，并要求违约方赔偿损失。第十三条不可抗力13.1“不可抗力”是指双方不能合理控制、不可预见或即使预见亦无法避免的事件，该事件妨碍、影响或延误任何一方根据本协议履行其义务，包括但不限于自然灾害（如地震、洪水、台风）、战争、动乱、政府行为（如法律、法规的变更）、流行病疫情等。13.2遭遇不可抗力的一方应在事件发生后[具体天数，如七]日内书面通知对方，说明事件情况及预期影响。双方应根据事件影响，协商决定是否暂停、延迟履行或终止本协议。13.3因不可抗力导致本协议部分或全部无法履行的，受影响方不承担违约责任，但应尽最大努力减少损失。不可抗力影响消除后，双方应尽快恢复履行本协议。第十四条其他条款14.1完整协议：本协议构成双方就本协议标的达成的完整协议，取代双方此前就此达成的所有口头或书面的协议、谅解或安排。14.2修订与补充：对本协议的任何修订或补充，均须经双方授权代表书面签署后方能生效。14.3分项履行：本协议各条款应被视为相互独立。若任何条款被认定为无效、非法或不可执行，不影响其他条款的效力。双方应协商替换为内容最接近、合法有效的条款，以代替原无效条款。14.4可分割性：如果本协议