2025年门禁系统数据管理协议

2025年门禁系统数据管理协议本协议由以下双方于2025年[具体日期]在[具体地点]签订：甲方（数据控制方）：[甲方公司全称]法定代表人/授权代表：[姓名]职务：[职务]地址：[甲方注册地址或主要经营地址]联系方式：[甲方联系人及电话]乙方（数据处理方）：[乙方公司全称]法定代表人/授权代表：[姓名]职务：[职务]地址：[乙方注册地址或主要经营地址]联系方式：[乙方联系人及电话]鉴于甲方拥有或运营门禁系统（以下简称“门禁系统”），并希望委托乙方处理门禁系统产生的数据；乙方拥有处理门禁系统数据的技术能力和经验，愿意根据甲方要求处理相关数据。双方根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》及其他相关法律法规的规定，本着平等自愿、诚实信用的原则，经友好协商，达成如下协议，以兹共同遵守。第一条定义1.1门禁系统数据：指在门禁系统的设计、安装、运行、维护过程中直接或间接产生的，与人员或资产安全相关的各类数据，包括但不限于：（1）人员的身份信息，如姓名、工号、身份证号码（或其加密形式）、人脸特征信息、照片等；（2）人员的进出记录，包括进出时间、地点（具体门禁点编号）、事件类型（如正常开门、刷卡失败、门被强制打开、胁迫码触发、门未关超时告警等）；（3）门禁设备信息，包括门禁控制器型号、序列号、位置、状态，读卡器、电锁、门磁等附属设备的信息；（4）系统配置信息，包括用户权限设置、访问规则、告警规则、安全策略等；（5）临时访问授权记录，包括临时密码、虚拟卡、手机APP授权码的使用记录及有效期；（6）系统日志，包括操作日志、设备异常日志、安全事件日志等。1.2数据处理：指对门禁系统数据进行收集、存储、访问、使用、传输、修改、合并、删除、披露和/或任何其他形式的处理活动。1.3数据主体：指其个人信息能够被识别，且能够被识别的自然人。1.4数据安全：指采取技术和管理措施，保障门禁数据在存储、传输、使用等过程中不被未经授权的访问、泄露、篡改、丢失或破坏。1.5数据泄露：指未经授权的披露、访问或丢失个人数据。1.6保密信息：指一方（披露方）向另一方（接收方）披露的、未公开的、与门禁系统或本协议履行相关的、具有商业价值或秘密性的技术信息、经营信息、客户信息、个人信息等。包括但不限于本协议内容、门禁系统的设计文档、源代码、配置参数、用户列表、访问控制策略、安全漏洞信息、以及根据本协议由一方获取的任何其他方的保密信息。1.7不可抗力：指不能预见、不能避免并不能克服的客观情况，包括但不限于自然灾害（如地震、洪水、台风）、战争、罢工、政府行为（如法律法规变更、政策调整）、流行病疫情等。第二条甲方的权利与义务2.1甲方有权授权乙方在协议约定的范围内处理门禁系统数据，并有权监督乙方的数据处理活动。2.2甲方应确保其提供的门禁系统数据是真实、准确、完整的，并对数据的合法性、正当性、必要性负责。2.3甲方应明确并合法地确定处理门禁系统数据的目的和方式，确保数据处理活动符合国家法律法规及有关政策要求。2.4甲方应向乙方提供履行本协议所需的必要支持和配合，包括但不限于提供必要的技术接口、访问权限以及相关的业务指导。2.5甲方应建立并维护处理数据主体（如门禁系统使用人员）访问其个人门禁记录请求的机制，按照法律法规及双方约定，在收到请求后及时响应，并采取必要措施核实请求人身份。2.6甲方应建立数据安全事件应急预案，并在发生或发现数据安全事件时，及时通知乙方，并配合乙方进行调查、处置和补救。2.7甲方应遵守保密义务，对从乙方获取的保密信息承担保密责任，未经乙方书面同意，不得向任何第三方披露或用于协议约定之外的目的。2.8甲方应确保其员工了解并遵守本协议项下的保密义务和数据安全要求。第三条乙方的权利与义务3.1乙方仅能在甲方授权的范围内处理门禁系统数据，处理目的限于本协议约定的目的，不得超出授权范围或未经甲方书面同意改变处理目的。3.2乙方应采取严格的技术和管理措施保护门禁数据安全，包括但不限于：（1）采用加密技术存储和传输数据；（2）设置严格的访问权限控制，确保只有授权人员才能访问数据；（3）定期进行安全漏洞扫描和风险评估；（4）建立数据备份和恢复机制；（5）记录数据处理活动日志，并定期进行安全审计。3.3乙方应仅将门禁数据用于履行本协议约定的目的，不得用于任何与协议约定无关的活动。3.4未经甲方事先书面同意，乙方不得将门禁数据提供给任何第三方，但以下情况除外：（1）为履行甲方指示而必须披露给第三方服务提供商（如云存储服务商、安全评估机构），且乙方已要求该等第三方对数据进行同等的保护；（2）法律法规要求或有权机关依法要求披露。3.5如需将门禁数据传输至中华人民共和国境外处理，乙方应事先获得甲方的书面同意，并确保该等传输符合《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等相关法律法规的要求，并采取必要措施保障数据安全。3.6在协议终止或甲方要求时，乙方应在协议约定的期限内删除或匿名化处理所有属于甲方或已由甲方要求删除的门禁数据，并应向甲方提供书面证明。3.7乙方应建立数据安全事件应急预案，并在发生或发现数据安全事件时，在协议约定的时限内（例如事件发生后[例如：24]小时内）通知甲方，并按照甲方指示采取补救措施，同时配合甲方进行调查。3.8乙方应根据甲方合理的要求，提供数据处理活动的报告，并接受甲方或其委托的第三方对其数据处理活动进行合理审计。3.9乙方应遵守保密义务，对其在履行本协议过程中接触到的甲方的保密信息以及门禁数据承担保密责任，并在协议终止后[例如：二]年内继续履行保密责任。3.10乙方应确保其员工以及被授权访问数据的第三方了解并遵守本协议项下的保密义务和数据安全要求。第四条数据主体的权利处理4.1甲方负责建立处理数据主体（如门禁系统使用人员）访问、更正、删除其个人门禁记录请求的流程，并应按照相关法律法规的规定及本协议约定，及时响应处理数据主体的请求。4.2甲方应在接到数据主体访问其个人门禁记录的请求后，在[例如：十个]工作日内，在核实身份后，以安全可靠的方式提供相关记录。甲方应告知数据主体行使访问等权利的方式、程序，以及相应的处理时限。4.3甲方应在接到数据主体更正其个人门禁记录错误的请求后，及时进行更正。4.4甲方应在接到数据主体删除其个人门禁记录的请求，且符合法律法规规定或双方约定条件的，及时删除相关记录。第五条数据安全事件与通知5.1双方同意，数据安全事件是指因系统故障、人为操作失误、黑客攻击、病毒入侵、内部人员恶意泄露等原因，导致门禁数据被未经授权访问、泄露、篡改、丢失或破坏的事件。5.2乙方在发生或发现数据安全事件时，应在协议约定的时限内（例如事件发生后[例如：24]小时内）通知甲方，通知内容应包括事件发生时间、事件类型、影响范围、已采取的措施以及建议的补救措施等。5.3甲方在发生或发现数据安全事件时，应在协议约定的时限内（例如事件发生后[例如：24]小时内）通知乙方，并配合乙方进行事件调查和处置。5.4双方应协同合作，采取有效措施防止事件扩大，并尽快完成事件调查和处置工作。第六条数据共享与披露6.1未经甲方事先书面同意，乙方不得将门禁数据向任何第三方披露，包括但不限于乙方的股东、母公司、子公司、关联公司等。6.2乙方因履行本协议需要，需要委托第三方提供服务（如软件开发、硬件维护、云存储、安全评估等）的，应事先获得甲方的书面同意，并要求该等第三方对门禁数据承担与乙方同等的保密和安全保护义务，并对该等第三方的行为进行监督。6.3如发生法律法规要求或有权机关依法要求乙方披露门禁数据的情况，乙方应在法律允许的范围内，提前通知甲方，并配合甲方采取必要措施，同时尽最大努力维护甲方的合法权益。第七条合同期限、终止与数据处置7.1本协议自双方签字盖章之日起生效，有效期为[例如：壹]年，自[具体日期]起至[具体日期]止。7.2协议期满，双方如需继续合作，应在协议期满前[例如：三十]日内协商续签事宜。7.3发生以下情况之一，本协议可提前终止：（1）双方协商一致同意终止；（2）一方严重违反本协议约定，经另一方书面通知后[例如：三十]日内仍未改正的；（3）一方进入破产、清算程序的；（4）因不可抗力导致协议目的无法实现的。7.4协议终止或甲方要求删除数据时，乙方应在协议终止后[例如：六十]日内完成以下数据处置工作：（1）删除所有属于甲方或已由甲方要求删除的门禁数据，包括但不限于存储在乙方服务器、设备、备份介质中的数据，以及通过任何方式传输至第三方的数据；（2）对删除操作进行记录，并生成书面证明，交付给甲方；（3）甲方要求返还的数据副本，乙方应将数据副本返还给甲方或按照甲方要求进行销毁，并提供销毁证明。7.5乙方在完成数据删除或匿名化处理并交付书面证明后，本协议约定的保密义务和其他未履行完毕的义务（如根据法律法规或协议约定应长期保存的记录）仍然有效。第八条违约责任8.1任何一方违反本协议约定，给对方造成损失的，应承担赔偿责任。8.2乙方违反本协议第三条第3.1、3.2、3.3、3.4、3.5、3.6、3.7、3.8、3.9、3.10款约定的，甲方有权要求乙方立即纠正，并可根据情况要求乙方支付违约金[例如：人民币伍拾万元]元，违约金不足以弥补甲方损失的，乙方还应赔偿甲方全部损失。8.3甲方违反本协议第二条第2.1、2.2、2.3、2.4、2.5、2.6、2.7、2.8款约定的，乙方有权要求甲方立即纠正，并可根据情况要求甲方支付违约金[例如：人民币伍拾万元]元，违约金不足以弥补乙方损失的，甲方还应赔偿乙方全部损失。8.4任何一方违反本协议项下的保密义务，给对方造成损失的，应承担赔偿责任。8.5因不可抗力导致无法履行本协议的，根据不可抗力的影响，部分或全部免除责任，但法律另有规定的除外。遭受不可抗力一方应立即通知对方，并在合理期限内提供证明。第九条保密条款9.1双方应对本协议内容以及在本协议履行过程中知悉的对方的商业秘密、技术秘密、门禁数据等保密信息承担保密义务。9.2未经对方书面同意，任何一方不得向任何第三方披露本协议内容以及在本协议履行过程中知悉的对方的保密信息，但以下情况除外：（1）根据法律法规或有权机关的要求披露的，但应提前通知对方，并尽力要求对方限制披露范围；（2）该等信息已公开或非因对方原因而为公众所知。9.3本协议项下的保密义务不因本协议的终止而终止，持续有效期限为本协议终止后[例如：二]年。第十条法律适用与争议解决10.1本协议的订立、效力、解释、履行及争议解决均适用中华人民共和国法律。10.2因本协议引起的或与本协议有关的任何争议，双方应首先通过友好协商解决；协商不成的，任何一方均有权将争议提交[例如：甲方所在地]有管辖权的人民法院诉讼解决。第十一条其他条款11.1本协议构成双方关于门禁数据管理的完整协议，取代双方此前就此达成的所有口头或书面的协议、谅解和安排。11.2对本协议的任何修改或补充，均应以书面形式作出，并经双方签字盖章