跨境数据合规治理协议2025

跨境数据合规治理协议2025鉴于双方（以下简称“甲方”和“乙方”）有意进行跨境数据传输和处理活动，以符合2025年及以后适用的数据保护法规和最佳实践，双方本着平等互利、诚实信用的原则，经友好协商，达成如下协议：第一条定义与解释1.1除非本协议另有明确界定，以下术语具有以下含义：“数据”是指任何与已识别或可识别的自然人（“数据主体”）相关的个人数据，以及符合《通用数据保护条例》（GDPR）第4条第1款第a项定义的非个人数据。“跨境数据传输”是指将数据从一方所在国家或地区传输至另一方所在国家或地区。“数据处理”是指对数据进行任何操作，包括收集、存储、访问、使用、修改、合并、删除、披露或传输。“数据主体”是指根据适用的数据保护法规，其个人数据被处理的自然人。“数据控制者”是指决定数据处理目的和方式的个人或组织。“数据处理者”是指代表数据控制者处理个人数据的个人或组织。“数据保护影响评估”（DPIA）是指评估数据处理活动对个人权益和自由可能产生的风险，并采取措施减轻这些风险的系统化过程。“标准合同条款”（SCCs）是指由欧盟委员会批准的，用于规范欧盟数据控制者向欧洲经济区（EEA）以外的国家或地区传输个人数据的法律文件。“充分性认定”是指监管机构认定某个国家或地区的数据保护水平与数据提供方所在国家或地区相当。“具有约束力的公司规则”（BCRs）是指跨国公司内部制定并经监管机构批准的，用于规范个人数据跨境传输的规则。“行为准则和认证机制”是指经监管机构认可的，旨在确保数据传输符合数据保护法规的行业行为准则或数据保护认证。“临时传输机制”是指在特定条件下，例如数据主体明确同意或数据在传输过程中被加密，可以进行跨境数据传输的机制。1.2本协议的订立、效力、解释、履行及争议解决均适用中华人民共和国法律。第二条数据保护原则2.1双方在跨境数据传输和处理活动中应遵循以下数据保护原则：（1）合法、正当、必要原则：数据处理活动必须基于合法的基础，并以实现特定、合法的目的为前提，且处理方式对数据主体权益的影响与其所追求的目的相称。（2）目的限制原则：数据处理必须具有明确、合法的目的，并且不得以与该目的不相符的方式进一步处理数据。（3）数据质量原则：数据控制者应采取合理措施确保数据的准确性、完整性和及时更新。（4）存储限制原则：数据的存储时间不应超过实现处理目的所需的时间。（5）完整性和保密性原则：双方必须采取适当的技术和管理措施，确保数据的机密性、完整性和可用性，防止数据泄露、丢失或被未经授权访问。第三条跨境数据传输3.1双方同意，跨境数据传输应遵循以下机制：（1）如果数据接收方所在国家或地区已被欧盟委员会认定为提供充分的数据保护水平，则可以采用充分性认定机制进行数据传输。（2）如果数据接收方所在国家或地区未获得充分性认定，则可以采用标准合同条款（SCCs）进行数据传输。双方应在数据处理开始前签署并适用双方认可的SCCs版本。（3）如果数据传输是在跨国公司内部进行的，则可以采用具有约束力的公司规则（BCRs）进行数据传输。BCRs应已获得相关监管机构的批准。（4）如果数据传输符合特定的行为准则或数据保护认证的要求，则可以采用行为准则和认证机制进行数据传输。（5）在特定情况下，例如数据主体明确同意或数据在传输过程中被加密，可以采用临时传输机制进行数据传输。3.2双方应采取适当的技术和管理安全措施，例如数据加密、传输通道安全等，确保数据在跨境传输过程中的安全。3.3乙方作为数据处理者，应遵守数据控制者（甲方）的指示，并承担以下责任：（1）仅按照甲方的指示处理数据，不得擅自改变处理目的或方式。（2）采取与数据保护要求相匹配的技术和管理措施，保护数据的安全，防止数据泄露、丢失或被未经授权访问。（3）协助甲方履行其数据保护责任，包括进行数据保护影响评估、通知数据泄露等。（4）在发生数据泄露时，应立即通知甲方，并协助甲方采取补救措施。（5）任命数据保护官（DPO），并确保其与甲方的DPO进行有效沟通。第四条数据主体权利4.1甲方作为数据控制者，应保障数据主体的以下权利：（1）信息披露权：甲方应向数据主体披露其处理个人数据的详细信息，包括处理目的、数据类型、数据接收方、数据存储期限等。（2）访问权：数据主体有权访问其个人数据，并获取数据副本。甲方应在收到请求后合理期限内响应，并提供数据副本。（3）更正权：数据主体有权更正其不准确或不完整的个人数据。甲方应及时更正数据。（4）删除权（被遗忘权）：在特定情况下，例如数据主体撤回同意、数据不再需要实现处理目的等，数据主体有权要求甲方删除其个人数据。甲方应在收到请求后合理期限内响应，并删除数据。（5）限制处理权：在特定情况下，例如数据主体对数据处理提出异议、数据准确性有疑问等，数据主体有权要求甲方限制对其个人数据的处理。甲方应在收到请求后合理期限内评估，并限制处理。（6）数据可携带权：在特定情况下，数据主体有权要求甲方将其个人数据传输给另一家数据控制者。甲方应在收到请求后合理期限内响应，并传输数据。（7）反对权：数据主体有权反对甲方对其个人数据进行处理。甲方应在收到请求后合理期限内评估，并停止处理。（8）撤回同意权：如果数据处理基于数据主体的同意，数据主体有权撤回其同意。甲方应在收到撤回同意的通知后停止处理。4.2甲方应建立机制，协助数据主体行使上述权利。乙方应配合甲方履行上述义务。第五条数据保护责任与义务5.1甲方作为数据控制者，应履行以下责任和义务：（1）确定数据处理活动的合法性、合理性和目的限制性。（2）在处理敏感数据或进行高风险处理活动前，进行数据保护影响评估（DPIA）。（3）建立数据泄露通知机制，在发生数据泄露时，及时通知监管机构和受影响的数据主体。（4）建立机制，协助数据主体行使数据主体权利。（5）根据适用的法律法规，任命数据保护官（DPO）。5.2乙方作为数据处理者，应履行以下责任和义务：（1）仅按照甲方的指示处理数据，并遵守甲方的数据处理指令。（2）采取与数据保护要求相匹配的技术和管理措施，保护数据的安全，防止数据泄露、丢失或被未经授权访问。（3）帮助甲方履行其数据保护责任，例如进行数据保护影响评估、通知数据泄露等。（4）在发生数据泄露时，应立即通知甲方，并协助甲方采取补救措施。（5）根据适用的法律法规，任命数据保护官（DPO）。第六条数据保护影响评估（DPIA）6.1双方同意，在处理数据可能对数据主体的权益和自由带来高风险时，应进行数据保护影响评估（DPIA）。6.2触发DPIA的情形包括但不限于：（1）处理敏感数据。（2）进行大规模数据自动化决策，例如对个人进行画像或决策。（3）应用新技术，例如人工智能、大数据分析等。（4）跨境数据传输。6.3DPIA应评估数据处理活动对个人权益和自由的风险，并提出减轻风险的措施。DPIA应由甲方的DPO或其指定的人员负责，并应征求乙方的意见。6.4双方应采取措施，将DPIA的结果应用于实际的数据处理活动中，以降低风险。第七条数据泄露7.1双方应建立数据泄露通知机制。在发生数据泄露时，应按照以下时限和方式通知相关方：（1）甲方应立即通知乙方法律法规要求的通知时限。（2）乙方应在发现数据泄露后立即通知甲方，并协助甲方进行评估和响应。（3）如果数据泄露对数据主体的权益和自由造成或可能造成高风险，甲方和乙方应按照适用的法律法规，及时通知受影响的数据主体。7.2双方应在发生数据泄露时，采取以下响应措施：（1）调查数据泄露的原因和范围。（2）采取措施阻止数据泄露的进一步发生。（3）评估数据泄露对数据主体权益和自由的影响。（4）根据适用法律法规的要求，通知监管机构和受影响的数据主体。第八条审计与合规8.1双方应定期进行内部审计，以评估其是否符合本协议要求以及适用的数据保护法规。8.2双方可以约定由第三方机构进行外部审计，以评估其数据保护措施的有效性。8.3双方应定期向对方提交合规报告，报告其数据保护合规情况。报告内容应包括数据处理活动、采取的安全措施、进行的数据保护影响评估、发生的数据泄露事件等。第九条争议解决9.1双方应首先通过友好协商解决本协议引起的或与本协议有关的任何争议。9.2如果协商不成，双方可以提交指定地点的调解机构进行调解。调解应遵循调解机构的规则和程序。9.3如果调解不成，双方应将争议提交至甲方所在地有管辖权的人民法院诉讼解决。第十条协议的生效、变更和终止10.1本协议自双方签字盖章之日起生效。10.2本协议的任何变更或补充，均需经双方书面同意。10.3本协议在以下情况下终止：（1）双方协商一致终止。（2）本协议约定的数据处理活动结束。（3）一方违反本协议，导致另一方有权终止本协议。10.4本协议终止后，双方仍应履行本协议中关于数据保护的责任和义务，包括数据删除、数据保密等义务，直至这些义务履行完毕。第十一条保密条款11.1双方应对本协议的内容以及在本协议履行过程中获取的对方的商业秘密和技术信息承担保密义务。11.2未经对方书面同意，任何一方不得向任何第三方披露本协议的内容以及在本协议履行过程中获取的对方的商业秘密和技术信息。11.3本保密义务不因本协议的终止而失效。第十二条不可抗力条款12.1“不可抗力”是指双方不能预见、不能避免并不能克服的客观情况，包括但不限于自然灾害、战争、政府行为、流行病等。12.2如果发生不可抗力事件，双方应立即采取措施减轻损失，并通知对方。12.3如果不可抗力事件持续超过三十天，双方可以协商解除本协议。第十三条法律适用和管辖13.1本协议的订立、效力、解释、履行及争议解决均适用中华人民共和国法律。13.2本协议的解释和适用应遵循中华人民共和国法律的规定。第十四条通知14.1双方之间的所有通知应以书面形式，并通过书面信函、传真、电子邮件