2026年个人数据委托处理协议

2026年个人数据委托处理协议协议编号：[协议编号]签订日期：[签订日期]签订地点：[签订地点]数据控制者（以下简称“委托方”）：法定代表人/授权代表：[姓名]职务：[职务]注册地址：[注册地址]联系方式：[联系方式]数据处理者（以下简称“处理方”）：法定代表人/授权代表：[姓名]职务：[职务]注册地址：[注册地址]联系方式：[联系方式]鉴于：1.委托方因业务需要，希望委托处理方处理其控制的个人数据；2.处理方具备处理个人数据所需的技术能力、组织架构和安全措施，同意接受委托方的委托；3.双方希望依据适用的数据保护法律和法规，特别是[请填写适用的主要法规，如欧盟通用数据保护条例（GDPR）、中国《个人信息保护法》等]，明确双方在个人数据处理活动中的权利和义务。根据《中华人民共和国民法典》、《中华人民共和国个人信息保护法》及[请填写适用的其他主要法规]等相关法律法规的规定，双方经友好协商，达成如下协议，以资共同遵守：第一条定义与解释除非本协议上下文另有明确说明，下列术语具有以下含义：1.1个人数据是指任何与已识别或可识别的自然人有关的信息，即可识别的自然人，是指通过自然人的姓名、出生日期或者身份证件号码等单独或者与其他信息结合能够识别特定自然人的信息。1.2数据处理是指对个人数据进行收集、存储、使用、加工、传输、提供、公开、删除等操作。1.3数据控制者是指确定个人数据处理目的和方式的自然人、法人或者其他组织。1.4数据处理者是指根据数据控制者的指示处理个人数据的自然人、法人或者其他组织。1.5数据主体是指个人数据的控制者或处理者所处理的、能够识别特定自然人的个人数据所关联的自然人。1.6子处理者是指处理方委托处理部分或全部个人数据给第三方处理者，该第三方为受托处理者。1.7数据安全是指采取必要的技术和管理措施，确保个人数据在存储、使用、传输、删除等处理过程中保持安全，防止数据泄露、丢失、被篡改或未经授权访问。1.8数据泄露是指未经授权的访问、披露、丢失、篡改或未经授权的获取个人数据的事件。第二条协议主体与范围2.1本协议由委托方和处理方共同签订。2.2委托方是本协议项下个人数据的控制者。2.3处理方是本协议项下个人数据的处理者，并根据本协议约定和处理方的指示处理个人数据。2.4本协议适用的个人数据处理范围包括但不限于：2.4.1处理的个人数据类型：[请具体列明，例如：姓名、身份证号码、联系方式、电子邮箱地址、地址等]2.4.2处理的目的：[请具体列明，例如：履行与委托方签订的[合同名称]合同、客户关系管理、市场营销、风险控制等]2.4.3处理的方式：[请具体列明，例如：收集、存储、查询、修改、删除、传输、提供等]2.4.4涉及的个人主体地域范围：[请明确，例如：仅限于中国境内、或特定国家/地区]第三条委托处理基础与目的3.1委托方保证其处理个人数据的法律依据为[请选择并填写，例如：本人的同意、履行双方签订的[合同名称]合同所必需、为履行法律规定的义务、为保护本人或其他自然人的重大利益、为公共利益或行使官方权力所必需、基于委托方的合法利益且本人不同意则无法实现该利益]。3.2处理方仅能根据委托方的指示处理个人数据，处理活动不得超出委托方声明的处理目的范围。第四条数据控制者与数据处理者的职责划分4.1委托方的责任：4.1.1确定个人数据的处理目的、方式和范围，并确保处理目的的合法性。4.1.2确保其指定的处理活动的处理基础具有法律依据。4.1.3提供必要的个人数据信息、处理目的说明以及相关法律法规要求的说明，以便处理方履行处理职责。4.1.4指示处理方处理个人数据，并监督处理方的处理活动是否按照本协议约定进行。4.1.5采取必要措施保障其控制的个人数据的安全。4.1.6根据法律法规要求及本协议约定，履行对数据主体的通知、删除、限制处理等义务。4.1.7在发生或可能发生个人数据泄露时，及时通知处理方。4.1.8对处理方的处理活动进行监督和审计，并要求处理方配合。4.2处理方的责任：4.2.1仅按照委托方的指示处理个人数据，不得擅自变更处理目的或方式。4.2.2确保处理活动的处理基础符合委托方的合法基础。4.2.3采取符合本协议约定及适用法律法规要求的技术和管理措施，保障个人数据的安全。4.2.4除本协议另有约定或法律法规要求外，未经委托方书面同意，不得将委托处理的个人数据用于任何其他目的，不得将个人数据传输至委托方未书面同意的国家或地区。4.2.5根据委托方的指示，协助委托方履行对数据主体的通知、删除、限制处理等义务。4.2.6在发生或怀疑发生个人数据泄露时，立即通知委托方，并协助委托方进行调查、评估和补救。4.2.7应委托方的要求，提供必要的记录和证据，以证明其履行了本协议项下的处理义务和安全保障义务。4.2.8允许委托方或其指定的第三方对其处理个人数据的活动进行审计，并提供必要的协助。4.2.9对在处理过程中获取的委托方及个人的商业秘密和个人数据信息承担保密义务。4.2.10委托方授权处理方使用其名义处理个人数据所必需的委托方标识，处理方不得将其自身或子处理者的标识用于超出授权范围的个人数据处理活动。第五条数据处理者的义务5.1按指示处理：处理方必须严格遵守委托方的指示进行个人数据处理，任何与指示不符的处理活动需事先获得委托方的书面同意。5.2数据安全：处理方应实施并保持充分的技术和组织措施，包括但不限于：5.2.1采取加密、访问控制、安全审计等技术措施保护个人数据；5.2.2建立数据备份和恢复机制；5.2.3对接触个人数据的员工进行数据保护培训和保密教育；5.2.4定期对其数据安全措施的有效性进行评估和测试。5.2.5确保其子处理者也遵守相应的数据安全要求。5.3数据主体权利响应：处理方应根据委托方的授权和指示，协助委托方处理数据主体关于其个人数据的访问请求、更正请求、删除请求、限制处理请求、数据可携带请求、反对自动化决策请求等，并及时向委托方反馈处理结果。5.4数据泄露通知：一旦发生个人数据泄露事件，处理方应在事件发生后[例如：72]小时内通知委托方，并告知泄露的相关情况（如泄露原因、影响范围、已采取措施等）。处理方应配合委托方进行调查、补救和通知数据主体及监管机构（如适用）。5.5协助审计：在收到委托方或其授权第三方的审计通知后，处理方应在[例如：30]日内提供必要的文档、记录和系统访问权限，以供审计。5.6保密义务：处理方及其员工、代理人、顾问等任何接触个人数据的人员，均有义务对在履行本协议过程中获知的委托方及个人的商业秘密和个人数据信息承担保密义务，该保密义务不因本协议的终止而终止。5.7数据转移限制：处理方承诺，未经委托方事先书面同意，不得将委托处理的个人数据用于与约定目的不符的其他用途，不得将个人数据传输至数据控制者未事先书面同意的国家或地区。如需传输，处理方应确保采取适当的保障措施（如获得充分性认定、使用标准合同条款、获得数据主体的明确同意等）。5.8子处理者：5.8.1任何情况下，处理方在委托处理部分或全部个人数据给子处理者前，应事先获得委托方的书面同意。5.8.2处理方对子处理者的行为及其违反本协议的行为承担连带责任。5.8.3处理方应要求子处理者遵守不低于本协议规定的数据安全要求和保密义务，并监督其合规性。5.8.4处理方应向委托方提供其子处理者的信息清单，包括子处理者的名称、地址、处理活动类型、与委托方及处理方的关系、以及处理个人数据的依据等。第六条数据安全要求6.1处理方承诺采取并持续维护不低于行业标准且符合适用法律法规要求的数据安全措施，以保护个人数据免遭未经授权或非法的处理，包括但不限于防止数据泄露、丢失、篡改或未经授权访问。6.2具体安全措施包括但不限于：物理安全环境、网络安全防护、数据访问权限控制、数据加密（传输中和静态存储）、安全事件监控与日志记录、数据脱敏（如适用）、定期安全风险评估等。6.3处理方应每年或根据委托方的要求，提交其数据安全措施的有效性评估报告。第七条数据主体权利履行7.1委托方负责建立并维护处理个人数据所必需的记录，以证明其处理活动的合法性、目的、方式等。7.2处理方应建立内部流程，根据委托方的指示响应数据主体的访问、更正、删除等请求，并将处理结果及时告知委托方，由委托方向数据主体作出响应。7.3处理方应协助委托方进行数据主体权利影响评估，并根据委托方的指示采取措施。第八条数据泄露事件处理8.1发生或怀疑发生个人数据泄露事件时，处理方应立即启动应急响应预案。8.2处理方应在事件发生后[例如：72]小时内，以书面形式通知委托方，报告事件的基本情况、影响范围、已采取或拟采取的补救措施等。8.3双方应合作开展事件调查，评估事件影响，并采取必要的补救措施，包括通知数据主体、向监管机构报告等。处理方应配合委托方履行相关义务。第九条数据传输与跨境处理9.1如本协议项下的个人数据处理涉及跨境传输，处理方应确保遵守所有适用的法律法规要求。跨境传输应基于[请选择并填写，例如：适用的充分性认定、经委托方书面同意、采用标准合同条款、采用具有约束力的公司规则等]。9.2处理方应将采取的跨境传输保障措施告知委托方，并接受委托方的监督。第十条数据返还或销毁10.1本协议终止时，或委托方要求提前终止时，处理方应根据委托方的书面指示，在终止后[例如：15]日内完成以下一项或两项操作：10.1.1将委托处理的个人数据安全地返还给委托方。10.1.2在委托方书面指示下，安全删除相关个人数据，并应委托方要求提供删除证明。10.2处理方在返还或删除数据后，应根据委托方的指示，销毁所有与该等个人数据相关的其他记录和副本，除非法律法规另有规定。10.3如因法律规定要求处理方保留个人数据，处理方应及时通知委托方，并仅在法律要求期间内保留该等数据。第十一条责任与赔偿11.1处理方对因违反本协议约定（特别是违反数据安全义务和指示处理义务）而导致委托方或数据主体遭受的直接损失承担责任，但处理方的赔偿责任在任何情况下均不超过因该违约行为直接导致的、在签订本协议时可预见的损失总额。11.2处理方的赔偿责任以[例如：人民币[金额]元]为上限。此上限不适用于因处理方故意或重大过失导致的数据泄露，或因处理方违反保密义务导致委托方商业秘密泄露的情形。11.3委托方对因其自身原因、指示或违反其自身义务所造成的损失，自行承担责任。11.4双方同意，任何一方根据本协议请求另一方承担赔偿责任时，应给予对方合理的准备时间，以便对方处理相关事宜。在诉讼或仲裁期间，非败诉方应承担胜诉方为实现诉讼或仲裁目的所支出的合理费用（包括但不限于律师费、诉讼费、仲裁费）。11.5本协议中关于责任限制的条款不影响委托方根据法律法规直接享有的权利。第十二条协议期限与终止12.1本协议自双方授权代表签字并加盖公章（或合同专用章）之日起生效，有效期为[例如：一年/具体年限]。12.2协议期满前[例如：一个月]，如双方均未提出书面异议，本协议自动续展[例如：一年]，续展次数不限/或约定续展次数。12.3任何一方可在协议有效期内，提前[例如：30]日以书面形式通知对方终止本协议。提前终止不影响通知方根据本协议已产生的权利和义务。12.4发生以下情况之一，守约方有权立即终止本协议，并要求违约方承担违约责任：12.4.1一方严重违反本协议约定，且在收到守约方书面通知后[例如：15]日内未能纠正；12.4.2一方进入破产、清算或解散程序；12.4.3一方违反其在本协议项下的保密义务，给对方造成重大损失。12.5无论因何种原因终止本协议，第第五条（数据处理者的义务）、第第六条（数据安全要求）、第第十条（数据返还或销毁）、第十一条（责任与赔偿）、第十三条（保密）、第十四条（法律适用与争议解决）、第十五条（通知）、第十六条（完整协议与修订）、第十七条（可分割性）和第十八条（适用法律与争议解决）的规定在本协议终止后继续有效。第十三条保密条款13.1双方同意对在履行本协议过程中获知的对方的商业秘密（包括但不限于技术信息、经营信息、客户信息等）和个人数据信息承担严格的保密义务。13.2未经对方事先书面同意，任何一方不得向任何第三方披露该等保密信息，但法律法规要求披露或已公开的信息、或已从公开渠道合法获取的信息、或已为该方合法持有的信息除外。13.3本保密义务不因本协议的终止而终止，持续有效期限为本协议终止后[例如：五]年。第十四条法律适用与争议解决14.1本协议的订立、效力、解释、履行及争议解决均适用中华人民共和国法律。14.2因本协议引起的或与本协议有关的任何争议，双方应首先通过友好协商解决。协商不成的，任何一方均有权向[请选择并明确：委托方所在地有管辖权的人民法院提起诉讼或提交[仲裁委员会名称]按照其届时有效的仲裁规则进行仲裁]。第十五条通知15.1与本协