广告投放框架协议2025年数据安全

广告投放框架协议2025年数据安全本协议由以下双方于2025年[具体日期]在[具体地点]签订：甲方（广告主）：[甲方公司全称]法定代表人：[法定代表人姓名]注册地址：[甲方注册地址]统一社会信用代码：[甲方统一社会信用代码]乙方（广告发布商/代理商）：[乙方公司全称]法定代表人：[法定代表人姓名]注册地址：[乙方注册地址]统一社会信用代码：[乙方统一社会信用代码]（以下简称“甲方”和“乙方”）鉴于：1.甲方希望委托乙方进行广告投放活动；2.乙方具备进行广告投放活动的专业能力和设施；3.双方希望在平等互利、诚实信用的基础上，依据适用的数据保护法律法规（包括但不限于《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》及相关法律法规），建立长期广告投放合作框架，并就数据安全事项达成以下协议，以资共同遵守。第一条定义除非本协议上下文另有解释，下列词语具有以下含义：1.1“个人信息”是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。1.2“数据处理”是指对个人信息进行收集、存储、使用、加工、传输、提供、公开、删除等操作。1.3“广告投放”是指甲方委托乙方在其控制的媒体平台、应用程序或其他渠道上，通过线上或线下方式发布广告，并推广甲方产品、服务或品牌的行为。1.4“框架协议”是指本协议，旨在确立双方长期合作的基本原则和框架，具体的广告投放项目、价格、服务细节等由双方另行签订补充协议或订单确认书约定。1.5“数据安全事件”是指因意外、恶意或不可抗力导致个人信息泄露、篡改、丢失等对个人信息权益造成或可能造成危害的事件。1.6“数据保护影响评估”（DPIA）是指评估处理活动对个人权益可能产生的风险，并采取必要措施来减轻这些风险的系统化过程。第二条数据处理原则双方同意，在框架协议项下的所有广告投放及相关活动中涉及的个人信息的处理，均应遵循以下原则：2.1合法、正当、必要、诚信原则；2.2目的限制原则；2.3最小必要原则；2.4确保安全原则；2.5公开透明原则。第三条个人信息处理3.1个人信息收集与使用3.1.1乙方在开展广告投放活动过程中收集、处理个人信息应具有明确、合理的目的，并符合本协议约定及适用的法律法规。收集个人信息前，应通过清晰、易懂的方式告知用户收集个人信息的种类、目的、方式、存储期限、用户权利等信息，并取得用户的单独同意（如适用）。3.1.2乙方收集的个人信息仅限于实现广告投放、效果监测、用户画像分析、客户服务等与广告业务相关的目的。3.1.3乙方不得超出获得用户同意的范围处理个人信息，不得将个人信息用于协议约定目的之外的其他用途。3.1.4对于通过第三方合作方（包括但不限于技术供应商、数据服务商、媒体平台）提供的广告投放服务中涉及的个人信息的处理，乙方应事先进行评估，并要求该等第三方遵守与乙方同等的数据保护标准，采取必要措施保障信息安全，并对该等第三方的数据处理行为承担连带责任。乙方应与该等第三方签订书面协议，明确其数据处理职责和限制。3.2个人信息共享与披露3.2.1未经用户明确同意或法律法规另有规定，乙方不得将用户的个人信息共享、披露或出售给任何与广告投放业务无关的第三方。3.2.2为履行本协议约定，如需与甲方共享个人信息（如投放报告数据），乙方应仅共享实现约定目的所必需的最少信息，并确保甲方对所共享信息的处理具有相应的合规性。3.2.3在法律法规要求或为订立和履行本协议所必需的合理范围内，乙方可以在公开场合披露经去标识化或聚合处理，且无法识别到特定个人的信息。3.3个人信息存储与保留3.3.1乙方应根据法律法规要求及实现处理目的的需要，确定个人信息的存储期限，并确保存储期限合理、不过长。对于不再具有存储必要性的个人信息，应采取删除或不可逆的匿名化处理方式予以处理。3.3.2乙方应将存储的个人信息公开、安全地存储在境内，除非获得甲方的书面同意或法律法规要求，不得将个人信息传输至境外。如需传输至境外，乙方应确保符合国家关于个人信息出境的安全评估、标准合同或其他合规要求，并提前通知甲方。3.3.3甲方有权要求乙方定期（如每年）提供其因履行本协议而处理个人信息的概况报告，包括处理目的、处理方式、个人信息的种类及数量、存储期限、数据安全措施等信息。3.4数据主体权利响应3.4.1乙方应建立并维护处理个人信息的流程，以响应用户提出的访问、更正、删除、限制处理、撤回同意、可携带其个人信息等请求。乙方应在法律法规规定的时限内（通常为收到请求后三十日内）对用户的权利请求做出响应，并采取相应措施。3.4.2甲方应将其处理用户个人信息相关的流程和联系方式告知用户，并负责处理用户基于甲方自身处理行为的权利请求。如用户直接向乙方提出涉及甲方提供的个人信息的权利请求，乙方应在合理范围内协助甲方处理，甲方应在收到乙方转达的请求后及时处理并回复乙方。3.5个人信息删除3.5.1在本协议终止时，或用户撤回同意处理其个人信息时，或根据法律法规规定需要删除时，乙方应根据甲方的要求或法律规定，删除或以不可逆的方式销毁所有属于甲方、由甲方提供以及因履行本协议而收集的用户个人信息。乙方应向甲方提供删除证明。3.5.2乙方还应确保在用户要求删除其个人信息后，无法再通过任何方式访问或恢复该等信息。第四条数据安全责任与措施4.1乙方的安全责任4.1.1乙方应采取必要的技术措施和管理措施，确保个人信息处理活动的安全，防止未经授权的访问、泄露、篡改、丢失。技术措施包括但不限于：数据传输加密、数据存储加密、访问控制（基于角色的访问权限管理）、安全审计、入侵检测和防御系统等。4.1.2乙方应建立健全内部数据安全管理制度，包括制定并执行数据安全策略、操作规程和应急预案。明确处理个人信息的部门、岗位职责和权限。4.1.3乙方应对其接触个人信息的员工、代理人或外包服务商进行数据安全保密教育和培训，确保其了解数据保护的重要性及合规要求。4.1.4乙方应建立数据安全事件应急预案，并定期组织演练，以在发生数据安全事件时能够及时响应、控制和报告。4.1.5乙方应记录其处理个人信息的活动日志，并按相关法律法规及本协议约定保存一定期限，以备审计和调查之需。4.2甲方的安全责任4.2.1如甲方向乙方提供个人信息，甲方应确保其提供的个人信息已履行相应的合法处理义务，并符合本协议约定的目的和范围。4.2.2甲方应配合乙方履行本协议项下的数据安全义务，特别是涉及甲方品牌安全、用户数据安全的关键环节。4.3双方共同责任4.3.1双方应在发生或怀疑发生数据安全事件时，按照法律法规要求及本协议约定及时相互通报，并协作采取措施控制事件影响、减轻损失、履行通知义务。第五条数据安全事件与通知5.1乙方在发生或发现可能发生数据安全事件时，应立即启动应急预案，采取补救措施，并按照以下时限和方式通知甲方：5.1.1乙方应在事件发生后[例如：48小时]内通知甲方，通知方式为[例如：书面通知、安全事件报告等]。5.1.2通知内容应包括事件的基本情况（如时间、地点、影响范围）、已采取或拟采取的应对措施、以及乙方认为必要的其他信息。5.2乙方应根据法律法规要求及本协议约定，及时向有关监管机构报告数据安全事件。5.3甲方在知悉可能影响其权益的数据安全事件后，应根据乙方通知及自身情况，及时采取必要的补救措施，并配合乙方及监管机构进行后续处理。第六条数据保护影响评估6.1对于本协议项下可能对个人信息权益产生重大影响的处理活动（如处理大量敏感个人信息、进行自动化决策、利用个人数据进行用户画像等），乙方应在处理活动开始前或进行中，根据需要开展数据保护影响评估。6.2乙方应将DPIA的结果或结论书面告知甲方，并采取措施根据评估结果降低风险。甲方有权对DPIA的适当性提出意见。第七条法律合规与审计7.1双方均承诺将遵守所有适用于本协议及个人信息处理活动的适用法律法规。7.2甲方有权根据需要，对乙方的数据处理活动（包括其数据处理设施、系统、流程、人员资质等）进行审计或聘请第三方进行审计，以评估乙方是否遵守本协议及适用的法律法规。乙方应提供必要的协助与配合，审计费用由[例如：甲方承担/乙方承担/双方协商确定]。第八条保密义务8.1双方对于在本协议履行过程中获知的对方的商业秘密、技术信息以及任何未公开的个人数据信息（无论是否已明确列为个人信息）均负有保密义务。8.2未经对方书面同意，任何一方不得向任何第三方泄露、使用或允许他人使用该等保密信息，但法律法规要求披露或为履行本协议所必需的除外。本保密义务不因本协议的终止而失效。第九条协议终止与数据后续处理9.1本协议的终止不影响双方在本协议项下关于数据安全责任和保密义务的约定。9.2无论因何种原因导致本协议终止，乙方均应在协议终止后[例如：三十日]内，根据本协议第三条第3.5款的约定，以及法律法规的要求，删除或以不可逆的匿名化方式处理所有属于甲方、由甲方提供以及因履行本协议而收集的用户个人信息，并应甲方要求提供删除证明。在此之前，乙方应确保对个人信息的访问受到严格控制。9.3乙方应在删除或匿名化处理个人信息后，根据甲方要求，提供书面证明，确认已完成处理。第十条违约责任10.1若任何一方违反本协议的约定，特别是违反关于数据安全、个人信息处理和删除的义务，应承担相应的法律责任，包括但不限于：10.1.1赔偿因其违约行为给对方造成的直接经济损失；10.1.2若因该违约行为导致用户个人信息权益受到侵害，乙方应承担相应的赔偿责任，并可能面临监管机构的行政处罚。甲方有权要求乙方承担违约金[可约定具体金额或计算方式]，违约金不足以弥补甲方损失的，乙方仍应赔偿不足部分。10.1.3若乙方违反数据安全义务导致发生数据安全事件，并给甲方造成严重后果的，甲方有权解除本协议，并要求乙方承担违约责任。10.2双方均应根据适用法律法规的规定，对因违反数据保护相关义务而造成的损失（包括直接损失和间接损失，以及因监管处罚、声誉损失等产生的费用）承担赔偿责任。第十一条不可抗力11.1若因地震、台风、洪水、火灾、战争、罢工、政府行为、法律政策变化等不可抗力因素，导致任何一方无法履行本协议的部分或全部义务，该方不应承担违约责任。11.2遭遇不可抗力的一方应在事件发生后[例如：七日]内书面通知另一方，并提供相关证明。双方应根据不可抗力的影响，协商决定是否延期履行、部分履行或解除本协议。第十二条争议解决12.1因本协议引起的或与本协议有关的任何争议，双方应首先通过友好协商解决。12.2若协商不成，任何一方均有权将争议提交至[选择一种：甲方所在地/乙方所在地/协议签订地]有管辖权的人民法院通过诉讼解决。第十三条其他13.1本协议构成双方关于广告投放框架及数据安