跨境数据跨境合规协议2025年要求版

跨境数据跨境合规协议2025年要求版鉴于甲乙双方希望进行跨境数据传输和处理活动，甲方希望将其拥有的或控制的数据（以下简称“数据”）传输至乙方在[接收地国家/地区名称]运营的系统中进行处理（以下简称“跨境传输”），乙方同意接收并按照本协议约定处理该数据，双方依据相关法律法规，经友好协商，达成协议如下：第一条定义1.1除非上下文另有明确说明，本协议中下列术语具有以下含义：a)“个人数据”是指能够识别自然人的任何信息，无论该信息是直接或间接识别的，或者能够通过该信息与另一个可识别的自然人信息结合识别；b)“敏感个人数据”是指个人数据中特别敏感的数据，如生物识别数据、健康数据、遗传数据、数据主体的宗教或哲学信仰、会员资格数据、性取向数据、个人数据主体未经同意披露的刑事定罪信息等；c)“数据主体”是指根据适用法律有权访问其个人数据、要求更正、删除或反对处理其个人数据的个人；d)“数据控制者”是指确定个人数据处理的目的是什么以及处理方式是谁的个人或组织；e)“数据处理者”是指在数据控制者的指示下处理个人数据的个人或组织；f)“数据传输”是指将数据从甲方的控制范围或境内传输至乙方的控制范围或境外（接收地）的行为；g)“接收地”是指数据传输目的地所在的国家、地区或领土；h)“适用法律”是指数据传输的始发地和接收地相关的所有适用数据保护法律、网络安全法律、数据安全法律及其他相关法律法规；i)“标准合同条款（SCCs）”是指欧盟委员会依据GDPR第2023(1)号条例批准的通用标准合同条款；j)“充分性认定”是指欧盟委员会或中国网信办等监管机构认定某一国家或地区的数据保护法律体系与欧盟GDPR或中国《个人信息保护法》等基本一致；k)“数据保护影响评估（DPIA）”是指评估处理活动对个人数据保护可能带来的风险，并制定缓解措施的过程；l)“安全措施”是指为保护个人数据而采取的技术性措施和组织性措施，包括加密、访问控制、安全审计、员工培训、应急响应计划等；m)“认证机制”是指由独立机构提供的、证明数据处理者遵守特定数据保护标准的认证体系，如ISO27001、ISO27018等；n)“关键信息基础设施”是指提供关键服务的基础设施，其瘫痪、损坏或被接管将对国家安全、公共安全、经济或社会秩序造成严重损害。1.2本协议中的标题仅为方便阅读而设，不影响本协议任何条款的含义或解释。第二条合规目标与原则2.1双方确认并同意，各自在履行本协议过程中处理数据的行为，应严格遵守所有适用的适用法律，包括但不限于欧盟GDPR、中国《网络安全法》、《数据安全法》、《个人信息保护法》、美国加州《消费者隐私法案》（CCPA）或其他类似的地方法规，以及相关的国际承诺和标准。2.2双方承诺遵循数据保护的基本原则，包括合法、正当、必要、诚信原则，目的限制原则，最小化收集原则，数据质量原则，存储限制原则，完整性与保密性原则，以及保障数据主体权利原则。第三条数据分类与跨境传输机制3.1甲乙双方同意，对于本协议项下传输的数据，将根据其类型和拟传输至的接收地，适用以下一种或多种跨境传输机制：a)充分性认定：若数据拟传输至已获得欧盟EDPS或中国网信办等监管机构充分性认定的国家/地区，则视为符合本协议及适用法律关于跨境传输的要求。b)标准合同条款（SCCs）：若数据拟传输至未获得充分性认定但适用GDPR的国家/地区，则乙方同意在处理数据前，与甲方签署有效的SCCs，或使用由欧盟委员会批准的通用SCCs。c)具有约束力的公司规则（BCRs）：若数据传输属于集团内部传输，且已制定并获得相关数据保护监管机构（如GDPR监管机构）批准的BCRs，则适用该BCRs。d)认证机制：若数据拟传输至未获得充分性认定且不适用BCRs或SCCs的国家/地区，乙方同意采取并持续维护一套有效的安全措施，例如获得相关认证机制（如ISO27017/27018）的认证，或实施其他经甲方事先书面同意的安全措施。e)监管机构批准/授权：对于传输至安全水平显著低于甲方法律要求或接收地法律要求的国家/地区的个人数据，若适用法律要求，则必须事先获得相关数据保护监管机构的批准或授权。f)数据主体的明确同意：除非适用法律另有规定，数据传输可基于数据主体的、特定、知情且自由给予的同意。g)履行合同所必需：数据传输是为了履行甲乙双方之间订立的合同或为订立合同所必需，且对甲方而言是不可或缺的。h)法律义务：为了履行甲方或乙方承担的法律义务所必需。i)保护重要利益：为了保护甲方或乙方的生命、身体、自由或财产，或保护他人重要的合法权益所必需。j)公共利益：为了行使官方权力所必需，且属于适用法律规定的公共利益范畴。3.2乙方在进行前述第d)项所述的传输前，应向甲方提供拟采取的安全措施详情，甲方应在收到后[]日内进行审核并书面回复同意或提出异议。乙方应根据甲方的合理意见进行调整，直至甲方表示同意。第四条数据主体的权利保障4.1乙方作为数据控制者（或共同控制者），应确保数据主体依据适用法律享有的访问权、更正权、删除权（被遗忘权）、限制处理权、数据可携权、反对自动化决策权等权利得到有效保障。4.2乙方应建立清晰、便捷的渠道，供数据主体行使前款所述权利。对于数据主体提出的权利请求，乙方应在适用法律规定的时限内（如GDPR要求的30日内）响应，并可能需要将相关请求转达给甲方，甲方应及时提供必要的协助和信息。乙方应向甲方通报其处理数据主体权利请求的情况。第五条安全措施要求5.1双方同意，在数据传输过程中以及数据在接收地存储和处理期间，应采取充分的技术性措施和组织性措施（即“安全措施”）来保护数据，防止数据泄露、丢失、被篡改或遭受未经授权的访问、使用或披露。5.2具体的安全措施应至少包括但不限于：a)使用行业认可的加密技术对传输中的数据进行加密；b)实施严格的访问控制机制，确保只有授权人员才能访问数据；c)定期进行安全审计和风险评估；d)对接触数据的员工进行数据保护和安全意识培训；e)建立数据安全事件应急响应和通知机制；f)根据数据敏感程度，采取数据脱敏、匿名化等处理；g)乙方应满足不低于[]级的安全标准要求（例如，通过ISO27001或同等认证）。第六条数据保护影响评估（DPIA）6.1对于任何可能对个人数据保护产生高风险的跨境传输活动（特别是涉及敏感个人数据或大规模个人数据传输，或传输至安全水平存疑的接收地时），乙方应在启动该活动前进行DPIA。6.2乙方负责进行DPIA，甲方应提供必要的背景信息、数据描述和目的说明以支持DPIA的完成。乙方应记录DPIA的结果，并采取相应的缓解措施。乙方应将DPIA的结论和采取的缓解措施告知甲方，并可能需要根据甲方或监管机构的要求提供相关信息。第七条责任与义务划分7.1甲方的责任：a)确保其提供的数据是合法获取的，并且其提供的数据符合本协议约定的类型和范围；b)在数据传输前，向乙方提供所有必要的信息，以帮助乙方评估数据处理的合规性风险，包括数据的来源、性质、处理目的、接收地法律要求等；c)配合乙方执行适用的法律下的尽职调查、合规审查或审计要求；d)确保其指定的数据主体权利请求联系人有能力处理相关请求，并及时向乙方转达请求。7.2乙方的责任：a)作为数据控制者，对数据在本协议项下的处理（包括跨境传输）的合规性负首要责任；b)确保采取本协议约定的合规措施，包括选择合法的跨境传输机制、实施充分的安全措施、进行必要的DPIA等；c)履行数据主体的权利请求，并及时将相关请求和处理结果通知甲方；d)定期（至少每年一次）或根据需要，对履行本协议的合规性进行内部审计或聘请第三方进行独立审计，并将审计结果（或审计报告摘要）提供给甲方；e)在发生或怀疑发生个人数据泄露事件时，按照适用法律和本协议规定，及时通知甲方、数据保护监管机构（如适用）和受影响的数据主体（如适用），并采取措施控制泄露的影响和范围；f)保护数据，确保仅在实现本协议约定的目的，且在符合适用法律要求的前提下，将数据提供给任何第三方；若需将数据提供给第三方，应确保该第三方也遵守不低于本协议标准的保护要求，并事先获得甲方的书面同意（除非适用法律另有规定）；g)在协议终止时，根据甲方的指示，安全地删除或返回甲方提供的数据，或将其匿名化处理至无法识别数据主体的程度，并应甲方要求提供删除或返回的证明。第八条审计与监督8.1双方授予对方（或其指定的代表）在合理的时间、地点和方式下，对另一方履行本协议的合规情况（包括数据处理活动、安全措施、合规程序等）进行审计或监督的权利。8.2被审计方应提供必要的合作与协助，包括提供相关文件、记录和接触相关人员，以便利审计的进行。审计费用通常由审计方承担，但若审计结果表明被审计方存在严重违约行为，则审计费用应由被审计方承担。8.3若任何一方对审计结果有异议，可以通过协商解决；协商不成的，可按照本协议第[]条争议解决条款处理。第九条数据泄露通知9.1发生或怀疑发生个人数据泄露事件时，乙方应立即启动应急响应机制，采取一切必要措施限制泄露的范围和影响。9.2乙方应在适用法律规定的时限内（例如，GDPR要求72小时内）通知甲方关于数据泄露事件的发生，通知内容应包括泄露事件的基本情况、可能的影响、已采取或拟采取的补救措施等。9.3若适用法律要求乙方直接向监管机构或数据主体报告泄露事件，乙方应同时履行该报告义务，并应在合理范围内及时将相关报告内容（或摘要）告知甲方。9.4双方应合作共同响应数据泄露事件，包括进行调查、采取措施减少损失、满足监管机构的调查要求等。第十条协议的期限、终止与数据遣返/删除10.1本协议自双方授权代表签字盖章之日起生效，有效期为[]年。期满前[]日，如双方均有意续约，应另行签署书面协议。10.2本协议可在以下情况下终止：a)双方协商一致同意终止；b)一方严重违反本协议，经另一方书面催告后[]日内仍未纠正的；c)一方进入破产、清算或解散程序的；d)因适用法律发生重大变化导致本协议无法继续履行的。10.3协议终止时，乙方应：a)立即停止使用甲方提供的数据，除非本协议另有约定或适用法律要求继续处理；b)根据甲方的书面要求，或在适用法律要求下，安全地将甲方提供的数据全部返还给甲方，或删除该数据。对于无法返还原数据的，应确保数据被匿名化处理，使其无法识别任何数据主体；c)根据甲方要求，提供书面证明，确认已按照本协议及适用法律的要求返还或删除了数据；d)在本协议终止后[]年内，根据甲方的合理要求，应甲方承担费用，提供证明其已删除或返还数据的证据。第十一条争议解决11.1因本协议引起的或与本协议有关的任何争议，双方应首先通过友好协商解决。协商应在得知争议后[]日内开始，并在合理期限内进行。11.2若协商不成，任何一方均有权将争议提交至[选择以下一种方式，并删除另一种]：a)[指定仲裁委员会名称，例如中国国际经济贸易仲裁委员会（CIETAC）]，按照申请仲裁时该会现行有效的仲裁规则进行仲裁。仲裁地点为[指定城市]。仲裁语言为中文。仲裁裁决是终局的，对双方均有约束力。b)依法向[指定法院名称，例如甲方所在地有管辖权的人民法院或乙方所在地有管辖权的人民法院]提起诉讼。第十二条法律适用与管辖12.1本协议的订立、效力、解释、履行及争议解决均适用中华人民共和国法律（为本协议之目的，不包括香港特别行政区、澳门特别行政区和台湾地区法律）。12.2本协议的任何条款的无效或不可执行，不影响其他条款的效力。双方应协商替换为内容最接近、合法有效的条款。第十三条保密条款13.1双方同意对本协议的条款、内容以及在本协议履行过程中所获知的对方的商业秘密、技术信息、客户数据等未公开信息（以下简称“保密信息”）承担严格的保密义务。13.2未经对方事先书面同意，任何一方不得向任何第三方披露保密信息，但以下情况除外：a)该信息已公开于公开渠道且非由该方披露；b)该信息已为该方合法持有且在披露前已为该方知晓；c)该信息是由该方从有权披露的第三方合法获取的；d)为遵守适用法律的强制性要求而必须披露的，但披露前应尽力通知对方，并在可能的情况下限制披露范围；e)为履行本协议的目的，需要向关联公司或服务提供商披露，但该关联公司或服务提供商有保密义务，并仅限于为履行协议目的而使用该信息。13.3本保密义务不因本协议的终止而失效，应持续有效[]年或直至该信息成为公开信息为止，以较长者为准。第十四条通知与送达14.1本协议项下的所有通知、请求、要求或其他通信均应以书面形式作出，并通过以下方式之一送达：a)专人递送；b)加密或安全的电子邮件；c)经验证的传真。14.2通知应在以下地址（以下称“指定地址”）送达：甲方：[甲方公司全称]，地址：[甲方详细地址]，联系人：[甲方法务或指定联系人姓名]，电话：[甲方联系电话]，邮箱：[甲方联系邮箱]。乙方：[乙方公司全称]，地址：[乙方详细地址]，联系人：[乙方法务或指定联系人姓名]，电话：[乙方联系电话]，邮箱：[乙方联系邮箱]。14.3任何一方变更指定地址，应至少提前[]日以书面形式通知另一方。以本协议载明的指定地址发出的通知，视为已有效送达。第十五条完整协议与修订15.