个人数据跨境传输协议

个人数据跨境传输协议甲方（数据提供方）：[数据提供方名称]法定代表人/负责人：[法定代表人/负责人姓名]注册地址：[数据提供方注册地址]联系方式：[数据提供方联系方式]乙方（数据接收方）：[数据接收方名称]法定代表人/负责人：[法定代表人/负责人姓名]注册地址：[数据接收方注册地址]联系方式：[数据接收方联系方式]鉴于：1.甲方是个人数据的控制者或处理器，拥有Certain个人数据（以下简称“个人数据”），并计划将上述个人数据传输至乙方运营或控制的境外服务器或平台进行处理；2.乙方同意接收并按照本协议约定处理甲方提供的个人数据；3.双方希望依据适用的法律和法规，包括但不限于《中华人民共和国个人信息保护法》、《中华人民共和国网络安全法》以及欧盟《通用数据保护条例》（GDPR）等相关规定，明确双方在个人数据跨境传输过程中的权利和义务。根据《中华人民共和国民法典》及相关法律法规的规定，甲乙双方经友好协商，达成如下协议，以资共同遵守。第一条定义1.1个人数据：指任何与已识别或可识别的自然人有关的数据，包括但不限于自然人的姓名、身份证号码、手机号码、电子邮箱地址、住址、生物识别信息、财务信息、健康信息等。1.2控制器：指决定个人数据处理的目的和方式的个人数据控制者。1.3处理器：指为数据控制者处理个人数据的个人数据处理者。1.4跨境传输：指个人数据从中国境内传输至中国境外。1.5数据主体：指个人数据的控制者所识别的自然人。1.6合法基础：指处理个人数据所依据的法律、法规或其他规定的基础，例如数据主体的同意、履行合同的需要、法定义务、公共利益、安全保障、标准合同条款、具有约束力的公司规则或匿名化处理。1.7安全措施：指为保护个人数据所采取的技术措施、管理措施和物理措施，包括数据加密、访问控制、数据备份、安全审计、员工培训、数据中心安全防护等。第二条跨境传输的合法性基础2.1甲乙双方确认，本次跨境传输个人数据的合法基础为[选择并填写具体的合法基础，例如：基于数据主体明确同意、为履行双方签订的[具体合同名称]合同的需要、为履行甲方所承担的[具体法定义务描述]法定义务、基于甲乙双方签署的具有约束力的公司规则、个人数据已被匿名化处理等]。2.2甲方保证其已采取必要措施确保获得数据主体有效的同意（如适用），或已履行法律规定的其他告知、同意程序，并确保在跨境传输过程中持续满足合法性基础的要求。2.3如跨境传输的合法基础依赖于标准合同条款，甲方保证该标准合同条款已按照[国家/地区名称][监管机构名称]的批准或备案要求进行批准或备案。第三条个人数据的定义与范围3.1本协议所指的个人数据仅限于[详细列举具体传输的个人数据类型，例如：姓名、身份证号码、手机号码、电子邮箱地址、家庭住址、银行账户信息、生物识别信息等]。3.2除非本协议另有约定，甲方不得向乙方传输超出第三条第一款所列范围的个人数据。第四条数据传输的目的与方式4.1本协议项下跨境传输个人数据的目的为[详细列举具体的目的，例如：为向用户提供[具体服务名称]服务、进行客户关系管理、市场调研、数据分析、提供技术支持等]。4.2个人数据的传输方式为[详细描述传输方式，例如：通过安全的数据传输协议直接传输至乙方位于[国家/地区名称]的服务器、通过加密通道传输、由第三方转运商协助传输等]。4.3数据传输的期限自[开始传输的日期]起至[结束传输的日期或被更正为“个人数据用于约定目的的终止之日”]止。传输结束后，乙方应根据甲方的要求[选择并填写处理方式，例如：删除相关个人数据、返回相关个人数据给甲方]。第五条数据安全与保护措施5.1乙方同意并承诺将其在数据处理过程中采取的安全措施，至少达到中国相关法律法规（包括但不限于《个人信息保护法》、《网络安全法》）及行业最佳实践的要求。5.2乙方承诺采取的具体安全措施包括但不限于：(a)对传输中的个人数据进行加密处理；(b)实施严格的访问控制措施，仅授权人员能够访问个人数据；(c)建立数据备份和恢复机制，防止数据丢失；(d)定期进行安全审计和风险评估；(e)对接触个人数据的员工进行数据保护和安全意识培训；(f)确保其运营的数据中心符合相应的安全标准和要求。5.3乙方同意根据甲方的请求，提供其采取的安全措施的相关证明材料，并配合甲方进行安全评估。5.4发生个人数据泄露事件时，乙方应在事件发生后[具体天数，例如：72]小时内通知甲方，并协助甲方采取补救措施，双方应共同配合监管机构的调查。第六条甲乙双方的权利与义务6.1甲方的权利与义务：(a)保证其对所提供个人数据的合法控制权或处理权，并确保其处理活动符合中国相关法律法规的要求。(b)负责在数据传输前向数据主体进行必要的告知，并根据需要获得数据主体的同意（如适用）。(c)向乙方提供处理个人数据所必需的信息和说明，包括个人数据的类型、传输目的、传输方式、接收方信息、数据主体权利行使方式等。(d)监督乙方对个人数据的处理活动，确保其按照本协议约定进行。(e)在发生个人数据泄露事件时，及时通知乙方，并根据相关法律法规履行通知数据主体等义务。(f)行使数据主体所享有的访问、更正、删除、限制处理、撤回同意等权利，并协调乙方配合相关权利行使。(g)对本协议内容及所传输的个人数据承担保密义务。6.2乙方的权利与义务：(a)按照本协议第二条约定的合法基础和第四条约定的目的、方式处理个人数据，不得超出约定范围使用。(b)严格遵守本协议第五条约定的安全措施，确保个人数据的安全。(c)未经甲方书面同意，不得将个人数据提供给任何第三方，但为履行本协议约定、遵守法律法规或维护自身合法权益所必需的除外（例如，向其关联公司、履行合同所需的分包商提供，但需确保分包商遵守不低于本协议的标准），并在上述情况下对第三方进行必要的约束和管理。(d)协助甲方履行数据保护义务，包括配合甲方进行数据主体权利行使、安全审计等。(e)在本协议约定的数据传输期限届满后，按照约定处理个人数据（例如，删除或返回）。(f)对本协议内容及所接收的个人数据承担保密义务。(g)有权要求甲方提供履行本协议所必需的、且不涉及个人数据内容的必要信息。第七条数据主体的权利7.1甲方应确保数据主体能够行使其依据中国相关法律法规（如《个人信息保护法》）及适用地法律所享有的各项权利，包括但不限于：(a)知情权：甲方应告知数据主体其个人数据被传输至境外及境外接收方。(b)访问权：甲方应协助数据主体访问其个人数据，并应数据主体的要求向其提供相关个人数据的副本。(c)更正权：甲方应协助数据主体更正其个人数据中的错误信息。(d)删除权：甲方应协助数据主体要求删除其个人数据。(e)限制处理权：甲方应协助数据主体要求限制对其个人数据的处理。(f)撤回同意权：如个人数据跨境传输基于同意，甲方应协助数据主体撤回其同意，并在同意撤回后停止相关处理。(g)投诉权：甲方应告知数据主体其行使权利的途径，包括向甲方投诉以及向中国境内监管机构投诉。7.2乙方应配合甲方履行数据主体权利行使的相关义务。第八条协议的生效、变更与终止8.1本协议自双方授权代表签字并加盖公司公章（或合同专用章）之日起生效。8.2本协议的变更，须经双方协商一致，并以书面形式作出补充协议。补充协议与本协议具有同等法律效力。8.3本协议在下列任一情况下终止：(a)本协议约定的数据传输期限届满，且个人数据处理完毕；(b)双方协商一致同意终止；(c)一方严重违反本协议约定，经另一方书面催告后[具体天数，例如：三十]日内仍未纠正；(d)因不可抗力导致本协议无法履行。8.4协议终止后，双方应根据约定处理个人数据，并遵守相关法律法规关于数据保留和删除的要求。保密条款、争议解决条款、法律适用与管辖条款在本协议终止后仍然有效。第九条争议解决9.1因本协议引起的或与本协议有关的任何争议，双方应首先通过友好协商解决。9.2协商不成的，任何一方均有权将争议提交至[选择一种方式并明确具体内容，例如：甲方所在地有管辖权的人民法院诉讼解决或提交至[具体仲裁机构名称]按照其届时有效的仲裁规则进行仲裁]。第十条法律适用与管辖10.1本协议的订立、效力、解释、履行及争议解决均适用中华人民共和国法律。10.2若涉及适用地法律（接收方所在地法律）的规定，双方应遵守该等法律规定，并确保处理活动符合该等法律规定的要求。第十一条通知11.1甲乙双方之间的所有通知、请求、要求或其他通信均应以书面形式，通过本协议首页载明的地址、传真或电子邮件发送。11.2任何一方变更联系方式，应提前[具体天数，例如：十]日书面通知另一方。第十二条不可抗力12.1“不可抗力”是指不能预见、不能避免并不能克服的客观情况，包括但不限于自然灾害（如地震、洪水、台风）、战争、动乱、政府行为、法律变化、疫情等。12.2遭遇不可抗力的一方应立即通知另一方，并在合理期限内提供不可抗力发生的有效证明。双方应根据不可抗力的影响，协商决定是否延迟履行、部分履行或终止本协议。因不可抗力导致的履行延迟或不能履行，受影响方不承担违约责任。第十三条完整协议13.1本协议及其附件（如有）构成双方就本协议标的事项达成的完整协议，取代双方此前就此达成的所有口头或书面的协议、谅解或安排。13.2对本协议的任何修改或补充均应以书面形式作出，并经双方授权代表签字盖章后方能生效。第十四条可分割性14.1如果本协议的任何条款被认定为无效或不可执行，该条款的无效或不可执行不应影响本协议其他条款的效力。双方应协商替换为内容最接近、合法有效的条款。第十五条保密15.1甲乙双方对本协议的内容、以及由一方或双方在履行本协议过程中获取的对方商业秘密、技术信息和个人数据均负有保密义务。15.2未经对方书面同意，任何一方不得向任何第三方披露上述保密信息，但法律法规另有规定或监管机构要求的除外。在上述情况下，披露方应采取合理措施保护该等信息不被非授权使用或泄露。15.3本保密义务不因本协议的终止而失效，持续有效[具体年限，例如：五]年或直至该等信息成为公开信息为止，以较长者为准。第十六条通知与送达16.1本协议项下的所有通知和通讯均应以书面形式按本协议首页所示地址、传真或电子邮件发送。16.2任何通过快递、挂号信或电子邮件发送的通知，在寄出或发送后[具体天数，例如：三日]即视为已送达。任何通过传真发送的通知，在成功发送并收到确认回执后即视为已送达。16.3如一方变更地址、传真号码或电子邮件地址，应提前[具体天数，例如：十]日书面通知另一方。否则，向原地址发送的