企业年金管理合同（受托人服务）2025年数据安全

企业年金管理合同（受托人服务）2025年数据安全甲方：[委托人名称或企业年金理事会名称]，以下简称“委托人”；住所地：[委托人住所地]；统一社会信用代码/注册号：[委托人统一社会信用代码/注册号]。乙方：[受托人名称]，以下简称“受托人”；住所地：[受托人住所地]；统一社会信用代码/注册号：[受托人统一社会信用代码/注册号]。鉴于：1.甲方根据自身发展需要，设立/管理着企业年金计划（以下简称“计划”），并委托受托人作为该计划的服务受托人提供年金管理服务；2.甲方和受托人依据《企业年金基金管理办法》、《企业年金基金合同》、《企业年金受托人服务合同》（以下简称“原合同”）等相关法律法规，设立本合同，以明确双方在数据安全方面的权利、义务和责任。根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》及其他相关法律法规，经双方友好协商，达成如下协议，以资共同遵守：第一条定义除原合同已有定义外，本合同下列词语具有以下含义：1.1数据：指在计划管理过程中产生、获取、处理、传输、存储、使用的各类信息，包括但不限于参与人个人信息、参与人身份信息、财务信息、健康信息（如涉及）、计划运营信息、商业秘密、受托人内部管理信息以及与计划管理相关的其他各类电子数据和纸质文件。1.2个人信息：指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。1.3非公开信息：指根据法律法规、监管规定、合同约定或商业习惯，未经授权不得对外披露的计划信息、参与人信息及其他商业敏感信息。1.4数据安全事件：指因意外、恶意攻击、系统故障、人为操作失误等原因导致数据泄露、丢失、篡改、毁损或非法访问等，可能或已经对数据安全造成危害的事件。1.5合规：指遵守所有适用于数据安全、网络安全和个人信息保护的中国及境外法律法规、监管规定和合同约定。第二条保密义务2.1乙方承认、同意并承诺，对于在履行本合同及相关计划管理职责过程中接触、知悉或获取的甲方信息、计划信息、参与人信息、其他服务机构信息以及乙方自身商业秘密和内部管理信息（以下统称“保密信息”）均负有严格的保密义务。2.2乙方及其员工、代理人不得以任何方式泄露、披露、使用或允许任何第三方接触、使用保密信息，但以下情况除外：(a)经甲方书面同意；(b)依据法律法规、监管规定或司法强制要求进行披露；(c)保密信息已非因乙方原因而进入公有领域；(d)乙方能够证明在泄露或使用前已合法持有该信息。2.3乙方的保密义务不因本合同的终止而终止，持续有效期限为本合同终止后[五]年。2.4乙方应建立完善的内部管理制度和流程，确保其员工、代理人理解并遵守本条保密义务，并对违反保密义务的行为进行严肃处理。2.5乙方应采取不低于行业内合理且充分的技术和管理措施，保护保密信息的安全，防止未经授权的访问、使用、复制、修改、传输或泄露。2.6因履行本合同需要，甲方授权乙方处理参与人个人信息时，乙方应在处理目的、方式、范围等方面严格遵守法律法规及本合同约定，并承担相应的数据安全保护责任。第三条数据安全责任与措施3.1乙方同意并承诺，将按照不低于中国相关法律法规、监管规定及行业最佳实践的要求，建立、实施并持续维护一套合理且充分的、覆盖数据全生命周期的数据安全管理体系，以保护计划数据的安全。3.2乙方应履行的具体数据安全措施包括但不限于：(a)建立健全的数据安全管理制度和操作规程，明确数据分类分级、访问权限控制、数据安全事件应急响应等要求；(b)对接触或处理保密信息及个人信息的员工、代理人进行岗前背景调查和定期的保密及数据安全培训；(c)实施严格的访问控制策略，遵循“最小必要”原则，确保任何人员只能访问其履行职责所必需的数据；(d)对存储、处理和传输的数据（特别是个人信息和非公开计划数据）采取加密等措施，保障数据在静态和动态状态下的安全；(e)部署并维护必要的技术防护设施，如防火墙、入侵检测/防御系统、安全审计系统等，定期进行安全风险评估和漏洞扫描，及时修复发现的安全隐患；(f)建立数据备份和恢复机制，确保在发生数据丢失或系统故障时能够及时恢复；(g)制定详细的数据安全事件应急预案，并定期组织演练，确保在事件发生时能够有效响应和处置；(h)对第三方服务提供商（如IT系统供应商、数据处理商等）进行严格的选择和资质审查，并在合同中明确其在数据安全方面的责任，同时对其数据处理活动进行持续的监督和管理。3.3乙方应确保其数据处理活动、信息系统和安全管理措施持续符合《网络安全法》、《数据安全法》、《个人信息保护法》等相关法律法规及监管机构的要求。第四条数据处理与传输4.1乙方在处理个人信息时，应遵循合法、正当、必要、诚信原则，明确处理目的、方式、范围，并取得必要的个人同意（如适用）。4.2乙方在处理数据时，应采取必要的技术和管理措施，保障数据处理的准确性、完整性和安全性。4.3如因计划管理需要，必须将数据传输至境外服务器或由境外服务商处理时，乙方应事先取得甲方的书面同意，并确保：(a)传输或处理所涉及的国家或地区提供与其数据处理活动相关的充分的数据保护水平；或(b)与境外接收方或处理方签订包含严格数据安全保护条款的法律文件（如标准合同条款、具有法律约束力的保证书等），确保其数据处理活动符合中国相关法律法规要求。乙方应将采取的保障措施及相关证明文件报甲方备案。4.4乙方应避免过度收集、长时间存储个人数据，并在达成处理目的、数据保存期限届满、取得个人同意撤销或法律规定的其他情形下，及时删除或匿名化处理个人信息。第五条数据主体权利响应5.1乙方应建立畅通的渠道，接收并处理参与人关于其个人信息的查询、访问、更正、删除等请求。5.2对于参与人的权利请求，乙方应在法律法规规定的时限内（通常为收到请求后[三十]个工作日内），进行核实，并按请求内容进行处理或告知理由。5.3乙方在响应参与人权利请求时，应确保内部相关部门（如计划服务部门、信息技术部门、法律合规部门等）有效协同，并可能需要与其他服务机构（如托管人、投资管理人）协调。第六条数据安全事件通知6.1乙方应建立数据安全事件监测、评估、响应和通知机制。6.2发生或可能发生数据安全事件时，乙方应立即启动应急预案，采取控制措施，防止事件影响范围扩大或损害扩大。6.3在确定发生数据安全事件后，乙方应在[四十八]小时内通知甲方（或其指定的联络人），并在[十]个工作日内提交事件初步报告（包括事件概述、影响评估、已采取措施等）。6.4如事件属于《网络安全法》、《数据安全法》、《个人信息保护法》等法律法规规定的重大数据安全事件，乙方应按照相关要求，在规定时限内向中国证监会及相关监管部门报告。6.5乙方应配合甲方、监管部门及任何有权机构对数据安全事件的调查，并根据要求提供相关证据材料和说明。第七条合规性要求7.1乙方确认并承诺，其在本合同项下的所有数据处理活动均应严格遵守中国及计划所在地（如适用）的所有适用的数据安全、网络安全和个人信息保护法律法规及监管规定。7.2乙方应接受并配合甲方的合规审查或第三方审计机构对其数据安全管理体系和数据处理活动的审计，并按要求提供相关信息和资料。第八条终止与数据处置8.1本合同终止时，乙方应立即停止所有与计划相关的数据处理活动。8.2对于在本合同终止时乙方持有的参与人个人信息及其他保密信息，乙方应根据甲方的书面要求，在[十]个工作日内完成以下一项或两项操作：(a)将相关数据安全返回给甲方指定的人员或系统；(b)按照甲方的要求进行销毁处理，确保数据被永久删除且无法恢复或重新识别。8.3乙方在执行数据删除或销毁操作后，应向甲方提供书面确认文件。第九条违约责任9.1任何一方违反本合同项下的保密义务，给对方造成损失的，应承担赔偿责任。9.2乙方未能履行本合同第三条、第四条、第五条、第六条关于数据安全保护的责任和义务，或未能遵守相关法律法规及监管规定的，甲方有权要求乙方立即纠正，并可根据情节严重程度，要求乙方承担违约责任，包括但不限于支付违约金、赔偿损失等。违约金的计算方式为[具体违约金计算标准，如：违约行为发生时计划资产规模的万分之X]，但累计违约金不超过计划资产规模的[百分比]%。若乙方违约行为导致甲方或参与人遭受监管处罚或声誉损失的，乙方应承担全部赔偿责任。9.3因乙方原因导致数据安全事件，并给甲方或参与人造成损失的，乙方应承担相应的赔偿责任。第十条争议解决本合同项下发生的任何争议，双方应首先通过友好协商解决；协商不成的，任何一方均有权向[甲方所在地/合同履行地]有管辖权的人民法院提起诉讼。第十一条通知与送达与本合同有关的所有通知、请求、文件等均应以书面形式，通过专人递送、挂号信、传真、电子邮件等方式送达至本合同首部载明的地址或双方另行书面指定的地址。以专人递送方式发出的，签收日为送达日；以挂号信方式发出的，寄出后[七]天为送达日；以传真或电子邮件方式发出的，发出当日为送达日。任何一方变更联系方式，应提前[五]日书面通知对方。第十二条其他12.1本合同构成双方关于数据安全事宜的完整协议