核心数据保密协议2026年修订说明

核心数据保密协议2026年修订说明甲方（委托方/数据控制者）：[甲方名称]地址：[甲方地址]统一社会信用代码/注册号：[甲方代码]乙方（接收方/数据处理者）：[乙方名称]地址：[乙方地址]统一社会信用代码/注册号：[乙方代码]鉴于甲方因业务需要（以下简称“purpose”）希望委托乙方处理其控制或拥有的核心数据，核心数据是指根据《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》以及相关法律法规和行业规定，一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害，或者危害公共利益等的高风险数据。甲乙双方在平等、自愿、公平和诚实信用的基础上，经友好协商，就核心数据处理保密事宜达成如下协议，以资共同遵守。第一条定义与解释1.1除非本协议另有明确约定，本协议中使用的术语定义如下：a.核心数据：指根据适用的数据保护法律、法规和标准，被认定为高风险、敏感的数据，具体范围由双方根据法律法规要求及业务场景共同识别，并可能包括但不限于特定身份信息、生物识别信息、金融账户信息、健康医疗信息、行踪轨迹信息、特定身份标识符等。核心数据的识别应符合相关法律法规规定的标准和方法。b.接收方：指根据本协议约定接收、处理甲方核心数据的乙方及其授权的员工、子公司或合作伙伴。c.数据处理：指对核心数据进行收集、存储、使用、加工、传输、提供、公开、删除等操作。d.保密信息：指一方（披露方）向另一方（接收方）披露的、与本协议标的相关的、未公开的、具有商业价值或秘密性质的信息，包括但不限于核心数据本身、核心数据处理的目的、方式、范围、技术措施、安全策略、双方之间的沟通记录、本协议内容等。核心数据在其被识别为核心数据期间以及处理结束后，直至其失去核心数据属性前的约定期限内，均视为保密信息。e.合规义务：指双方根据适用法律、法规、规章及其他规范性文件，在处理核心数据过程中应遵守的所有法律、行政、监管要求。1.2本协议所称“适用法律”是指中华人民共和国现行有效的法律、法规、规章及其他具有法律约束力的规范性文件，包括但不限于《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《关键信息基础设施安全保护条例》以及欧盟《通用数据保护条例》（GDPR）等对核心数据有特殊保护要求的法律。第二条核心数据的识别与清单2.1甲方是识别其核心数据的责任方，应根据适用法律法规的要求和本协议约定，在其数据处理活动开始前或进行中，识别其控制或处理的哪些数据属于核心数据。2.2甲方应在本协议生效后[]日内，向乙方提供其已识别的核心数据初步清单。该清单应尽可能详细地描述核心数据的类型、处理目的、处理方式、涉及范围等。双方应根据法律法规变化和业务需要，定期或不定期更新核心数据清单。2.3甲方应确保核心数据的识别过程符合法律法规的要求，并采取必要措施防止在识别过程中对核心数据的非必要暴露。第三条甲方的权利与义务3.1甲方的权利：a.有权要求乙方按照本协议约定及处理指令安全、合规地处理核心数据。b.有权获取乙方关于核心数据处理活动的相关报告，包括安全状况、合规审计、数据泄露事件（如有）等报告。c.有权对乙方处理核心数据的活动进行监督和审计，乙方应提供必要的配合。d.有权要求乙方立即停止任何违反本协议或适用法律法规的处理核心数据的行为。e.对于乙方违反本协议约定导致核心数据泄露或造成损害的，甲方有权要求乙方承担赔偿责任。3.2甲方的义务：a.确保其拥有处理核心数据的合法基础，并明确处理目的。b.向乙方提供准确、完整的核心数据信息，包括核心数据清单及相关的处理目的说明。c.指示乙方处理核心数据的具体方式、范围和期限，并确保指令符合法律法规要求。d.采取必要的安全措施保护其提供给乙方的核心数据在传输过程中的安全。e.及时通知乙方任何可能影响核心数据安全或合规性的重大变化。f.遵守本协议约定的保密义务，保护其拥有的与核心数据相关的商业秘密。第四条乙方的权利与义务4.1乙方的权利：a.有权要求甲方提供处理核心数据的合法基础和处理目的说明。b.有权要求甲方提供准确的核心数据信息，包括核心数据清单。c.对于甲方提供的处理指令违反法律法规或本协议约定的，乙方有权拒绝执行，并及时通知甲方。4.2乙方的义务：a.严格限定核心数据的接触范围：乙方仅能按照本协议约定及甲方合法有效的处理指令，以实现约定处理目的所必需的最小范围处理核心数据。乙方应确保只有其内部经授权且确有必要知悉核心数据的人员才能接触核心数据，并应对该等人员进行保密培训和管理。b.履行保密义务：乙方及其所有接触核心数据的员工、子公司、合作伙伴（以下简称“相关方”）均应承担保密义务，不得以任何方式披露、使用、泄露本协议项下的保密信息，特别是核心数据。相关方应采取不低于其处理类似性质数据的最高安全标准（且不低于行业普遍采用的最佳实践）的技术和管理措施保护核心数据。c.采取严格的安全措施：乙方应建立、实施并维护一套覆盖核心数据全生命周期的、与其处理核心数据的规模和风险相适应的、符合适用法律法规要求的技术和管理安全措施，包括但不限于：i.数据加密：对传输中的核心数据和存储的核心数据进行加密处理。ii.访问控制：实施严格的身份识别和访问授权机制，确保只能授权人员访问核心数据。iii.安全审计：记录核心数据的访问和操作日志，并定期进行安全审计。iv.数据脱敏：在非必要场景下，对核心数据进行技术脱敏处理。v.系统安全：保障存储和处理核心数据的系统和设备的安全，包括防病毒、防火墙、入侵检测/防御系统等。vi.事件响应：制定并实施核心数据安全事件应急预案，一旦发生安全事件，应立即启动应急预案，采取补救措施，并按照本协议约定及时通知甲方。d.特定处理要求：i.目的限制：乙方处理核心数据的目的必须与甲方告知的目的一致，不得随意变更。ii.最小必要：乙方处理核心数据的范围、方式、频次等均应为实现约定目的所必需，不得过度处理。iii.跨境传输：如需将核心数据传输至中国境外，乙方必须事先获得甲方的书面同意，并确保接收方所在地具有不低于中国境内标准的数据保护水平。具体传输方式应符合法律法规要求，例如通过获得批准的安全评估、签订标准合同条款或获得充分性认定等。乙方应负责采取必要措施确保跨境传输过程的安全。iv.数据主体权利响应：乙方应建立流程，及时响应数据主体关于其核心数据的访问、更正、删除等请求，并在处理过程中采取与核心数据敏感性相称的安全措施。e.合规报告：乙方应定期（至少每年一次）向甲方提交核心数据处理活动的合规报告，报告内容应包括但不限于数据处理概况、安全措施实施情况、合规审计结果、数据泄露事件（如有）的处理情况等。f.协助与配合：乙方应配合甲方及监管机构的审计、调查和执法活动，提供与核心数据处理相关的文件、记录和证据。g.协议终止后的处理：在本协议终止时或核心数据处理任务完成后，乙方应立即停止处理核心数据，并根据甲方要求，在[]日内将所有核心数据（包括副本）安全返还给甲方，或者按照甲方书面指示在[]日内永久销毁，并采取必要措施确保数据被安全销毁，同时向甲方提供书面销毁证明。无论协议是否终止，乙方及其相关方均需持续履行对本协议保密信息的保密义务。第五条保密期限5.1双方应对本协议项下的保密信息承担保密义务。对于核心数据本身，保密期限自核心数据被识别为核心数据之日起至其失去核心数据属性并根据相关法律法规或双方约定确定的更长期限为止。对于其他保密信息，保密期限自披露之日起至该信息成为公开信息为止，或根据该信息的性质约定更长期限，但无论如何，该保密义务不因本协议的终止而解除。第六条违约责任6.1任何一方违反本协议约定，给对方造成损失的，应承担赔偿责任。赔偿范围包括但不限于直接经济损失、合理的维权费用（包括但不限于律师费、诉讼费、仲裁费）等。6.2若乙方违反本协议的保密义务，导致核心数据泄露、丢失、被滥用或被非法访问，或未能采取足够的安全措施保护核心数据，应向甲方支付违约金人民币[]元。若因乙方违约行为导致甲方遭受监管机构处罚或第三方索赔的，乙方应负责承担全部责任，并赔偿甲方因此遭受的全部损失。6.3若甲方违反本协议约定，未能提供处理核心数据的合法基础或处理指令违法，乙方有权暂停处理核心数据，并要求甲方在[]日内纠正。若甲方逾期未纠正，乙方有权解除本协议，并要求甲方承担违约责任。6.4若发生核心数据泄露等安全事件，相关方未能按照本协议规定及时通知或采取补救措施的，应承担相应的违约责任。第七条协议的变更与通知7.1本协议的任何变更，均须经双方协商一致，并以书面形式签署补充协议。补充协议与本协议具有同等法律效力。7.2任何一方根据本协议发送的通知或通讯，应通过书面形式（包括但不限于专人递送、挂号信、电子邮件）发送至本协议首页载明的地址或邮箱。任何一方变更联系方式，应提前[]日书面通知另一方。通过电子邮件发送的，发出时视为送达。第八条协议的终止8.1本协议自双方授权代表签字并加盖公章（或合同专用章）之日起生效。8.2除本协议另有约定外，任何一方可在提前[]日书面通知另一方的情况下终止本协议。8.3协议终止或解除不影响终止或解除前已产生的权利和义务，以及保密条款的效力。第九条法律适用与争议解决9.1本协议的订立、效力、解释、履行及争议解决均适用中华人民共和国法律。9.2因本协议引起的或与本协议有关的任何争议，双方应首先通过友好协商解决。协商不成的，任何一方均有权向[选择一项：甲方所在地/乙方所在地/合同履行地]有管辖权的人民法院提起诉讼或根据[选择一项：甲方所在地/乙方所在地/合同履行地]仲裁委员会的仲裁规则申请仲裁。第十条其他10.