数据安全责任书

数据安全责任书鉴于各方在数据处理活动中需要承担相应的数据安全保护责任，依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等相关法律法规，经友好协商，达成以下数据安全责任书：第一条引言各方确认数据安全对于维护国家安全、社会公共利益和自身合法权益至关重要。为保障数据处理活动的安全，预防数据安全事件发生，特依据相关法律法规及内部管理要求，制定本责任书，明确各方在数据安全保护方面的责任。第二条定义在本责任书中，除非另有明确约定，下列术语具有以下含义：数据：指任何以电子或者其他方式记录的与自然人均有关或者可能影响自然人权利和自由的信息，包括个人信息和敏感个人信息。个人信息：指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。敏感个人信息：指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。数据控制者：指确定数据处理目的、方式，并承担数据安全首要责任的主体。数据处理者：指根据数据控制者的指示处理个人数据的主体，或为了自身目的处理个人数据的主体。数据安全事件：指因意外、不可抗力或人为因素导致的数据泄露、篡改、丢失、非法访问、非法披露或使用等情形。安全措施：指为保障数据安全而采取的技术措施、管理措施和物理措施。技术措施：包括但不限于数据加密、访问控制、安全审计、入侵检测/防御、数据备份与恢复、漏洞管理等。管理措施：包括但不限于制定数据安全策略和操作规程、定期进行安全风险评估和合规审计、数据分类分级管理、员工背景调查和保密协议、数据安全事件应急预案和演练、数据主体权利响应流程等。物理措施：包括但不限于数据中心物理访问控制、环境监控、设备安全管理等。通知：指按照本责任书及相关法律法规和合同约定，及时向相关方传递信息的行为。第三条数据安全基本原则各方在数据处理活动中应遵循以下基本原则：（一）合法、正当、必要原则：处理数据必须符合法律法规要求，具有明确、合理的目的，并限于实现目的所必需的最小范围。（二）目的限制原则：数据处理活动不得超出事先声明的目的，不得将个人数据用于与初始处理目的无关的其他用途。（三）安全保障原则：各方应采取必要的技术和管理措施，保障数据的安全，防止数据泄露、篡改、丢失。（四）数据质量原则：确保所处理数据的准确性、完整性和时效性。（五）透明原则：以清晰、易懂的方式向数据主体告知数据处理规则，包括收集、使用、存储、共享、删除等。（六）责任明确原则：明确各方在数据安全保护方面的责任，并确保责任得到有效落实。第四条数据安全责任分配各方应根据自身角色和职责，承担以下数据安全责任：（一）数据控制者的责任：1.确定数据处理的目的和方式，并确保其合法性、正当性、必要性。2.评估数据处理活动的风险，并根据风险评估结果，采取适当的安全措施，包括制定并实施数据安全策略和操作规程。3.签订与数据处理者等的合同或协议，明确数据处理者的责任和义务，并确保其履行。4.对数据处理者的数据处理活动进行监督和审计，确保其符合法律法规及本责任书约定。5.依法履行数据主体权利响应义务，及时处理数据主体的访问、更正、删除等请求。6.建立数据安全事件应急预案，并定期组织演练，确保在发生数据安全事件时能够及时有效地进行处置。7.对员工进行数据安全培训和意识提升，确保员工了解并遵守数据安全政策和流程。8.依法履行数据出境安全评估义务，并采取必要措施保障数据出境安全。（二）数据处理者的责任：1.严格遵守数据控制者的指示和本责任书约定，按照约定目的和方式处理数据。2.采取符合行业标准或合同约定的技术和管理安全措施，保障数据的安全。3.确保只有经过授权的人员才能访问数据，并建立严格的访问控制机制。4.妥善保管数据，防止数据泄露、篡改、丢失，并在发生数据安全事件时，立即通知数据控制者。5.协助数据控制者进行风险评估、合规审计和数据安全事件处置。6.按照数据控制者的要求，及时销毁或返还数据。7.对其员工进行数据安全培训和意识提升，确保员工了解并遵守数据安全政策和流程。8.确保其供应商等第三方处理个人数据的行为符合法律法规及本责任书约定。（三）员工的职责：1.遵守公司的数据安全政策和流程，以及本责任书的相关约定。2.保护其工作接触到的数据和系统安全，不得泄露、滥用或非法访问数据。3.及时报告可疑的安全风险或事件，以及违反数据安全政策的行为。4.使用强密码，并定期更换密码。5.遵守关于数据携带和远程工作的规定，确保远程访问数据的安全性。6.签订并遵守保密协议，对工作中知悉的保密信息承担保密义务。第五条数据安全措施各方应采取以下类别的安全措施，保障数据安全：（一）技术措施：包括但不限于数据加密（传输中和存储中）、访问控制（身份认证、权限管理）、安全审计、入侵检测/防御、数据备份与恢复、漏洞管理等。（二）管理措施：包括但不限于制定数据安全策略和操作规程、定期进行安全风险评估和合规审计、数据分类分级管理、员工背景调查和保密协议、数据安全事件应急预案和演练、数据主体权利响应流程等。（三）物理措施：包括但不限于数据中心物理访问控制、环境监控、设备安全管理等。第六条数据安全事件响应与报告各方应按照以下要求，处理数据安全事件：（一）事件识别与评估：及时识别并初步评估数据安全事件的影响范围和严重程度。（二）内部报告：触发内部报告的条件、报告的路径和时限要求。数据处理者发现数据安全事件的，应当立即通知数据控制者；数据控制者应当立即采取补救措施，并按照法律法规和合同约定，及时通知相关方。（三）外部报告：根据相关法律法规和合同约定，及时向监管机构、受影响的数据主体或合同另一方报告数据安全事件。（四）事件处置：采取必要的措施，如阻止数据泄露、评估损失、通知用户、采取法律补救等。（五）事后改进：对数据安全事件进行调查，分析根因，并采取措施防止类似事件再次发生。第七条数据主体权利响应各方应建立并完善数据主体权利响应机制，及时响应数据主体的访问、更正、删除、撤回同意、可携带等权利请求，并按照法律法规和合同约定的流程、时限进行处理。第八条数据传输与跨境传输如涉及数据传输，特别是跨境传输，各方应确保遵守相关法律法规，如需满足的条件下进行传输，并采取必要措施保障数据传输安全。数据控制者进行跨境传输前，应进行安全评估，并采取标准合同条款（SCCs）、充分性认定等保障措施。第九条数据保留与销毁各方应根据法律法规和业务需要，确定数据的保留期限，并在数据不再需要时，安全地销毁或匿名化处理，确保数据不被用于原始目的。第十条监督、审计与合规数据控制者有权对数据处理者的数据安全实践进行监督和审计。各方承诺遵守所有适用的数据保护法律法规，并配合监管机构的监督检查。第十一条违约责任任何一方违反本责任书约定，给另一方或第三方造成损失的，应承担相应的赔偿责任。违约方还应根据违约程度，承担相应的违约金或其他法律责任。第十二条争议解决因本责任书引起的或与本责任书有关的任何争议，各方应首先通过友好协商解决；协商不成的，任何一方均可向数据控制者所在地有管辖权的人民法院提起诉讼。第十三条生效、变更与终止本责