企业跨境数据流动“数据保税区”模式试点参与协议

企业跨境数据流动“数据保税区”模式试点参与协议合同编号：__________

第一章总则

第一条协议目的

本协议旨在明确参与“企业跨境数据流动‘数据保税区’模式试点”的相关方权利与义务，规范数据在跨境传输过程中的管理，促进数据要素的合规高效利用，依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》及相关法律法规，经各方平等协商，订立本协议。

第二条适用范围

本协议适用于参与“数据保税区”模式的试点企业（以下简称“试点企业”）、数据接收国（以下简称“接收国”）及数据保护机构（以下简称“监管机构”）之间的数据跨境传输活动。试点企业应确保其数据跨境传输行为符合本协议约定及相关法律法规要求。

第三条定义

（一）数据保税区：指经国家网信部门批准设立的，用于存储、处理、传输数据的特定区域，具备数据安全隔离、分类分级管理、跨境传输合规审查等功能的监管区域。

（二）个人数据：指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

（三）敏感个人信息：指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

（四）数据安全评估：指试点企业对数据跨境传输的必要性、安全性、合法性进行的系统性评估，包括数据分类、风险评估、传输措施等内容。

（五）数据保护影响评估：指试点企业对数据处理活动对个人权益可能产生的影响进行的评估，包括数据收集、使用、传输、存储等环节的风险分析及应对措施。

第二章试点企业权利与义务

第四条试点企业权利

（一）试点企业有权在数据保税区内开展数据存储、处理、传输等业务，但应遵守本协议及接收国相关法律法规。

（二）试点企业有权申请数据跨境传输的豁免或简化审查，但需提供充分的合规证明材料。

（三）试点企业有权要求监管机构提供数据跨境传输的合规指导和支持。

第五条试点企业义务

（一）试点企业应建立健全数据安全管理制度，包括数据分类分级、访问控制、加密存储、日志审计等，确保数据在保税区内的安全。

（二）试点企业应制定数据跨境传输的合规流程，包括数据安全评估、数据保护影响评估、合同审查等，确保传输行为的合法性。

（三）试点企业应与接收国数据控制者签订数据保护协议，明确双方的权利与义务，确保数据在接收国的处理符合本协议约定。

（四）试点企业应定期向监管机构报告数据跨境传输的情况，包括数据种类、传输规模、安全措施、合规审查结果等。

（五）试点企业应配合监管机构的监督检查，及时整改发现的问题，确保数据跨境传输的合规性。

第三章数据保护机构职责

第六条监管机构职责

（一）监管机构负责对试点企业的数据跨境传输进行合规审查，包括数据安全评估、数据保护影响评估等，确保传输行为的合法性。

（二）监管机构应建立数据跨境传输的投诉处理机制，及时处理相关方的投诉，维护数据主体的合法权益。

（三）监管机构应定期发布数据跨境传输的合规指南，为试点企业提供参考和支持。

（四）监管机构应与接收国监管机构建立合作机制，共同推动数据跨境传输的合规管理。

第四章数据跨境传输流程

第七条数据出境安全评估

（一）试点企业在进行数据跨境传输前，应进行数据出境安全评估，评估内容包括数据种类、传输目的、接收国数据保护水平、传输风险等。

（二）试点企业应制定数据出境安全评估报告，并向监管机构提交审查申请。

（三）监管机构应在收到评估报告后三十日内完成审查，并出具审查意见。

第八条数据保护影响评估

（一）试点企业在处理敏感个人信息或进行大规模数据跨境传输前，应进行数据保护影响评估，评估内容包括数据收集、使用、传输、存储等环节对个人权益的影响。

（二）试点企业应制定数据保护影响评估报告，并向监管机构提交审查申请。

（三）监管机构应在收到评估报告后三十日内完成审查，并出具审查意见。

第九条数据跨境传输合同

（一）试点企业应与接收国数据控制者签订数据保护协议，明确双方的权利与义务，包括数据安全、数据保护、数据删除、争议解决等内容。

（二）数据保护协议应符合本协议约定及相关法律法规要求，并经监管机构审查备案。

第五章数据安全与隐私保护

第十条数据分类分级

（一）试点企业应根据数据敏感程度对数据进行分类分级，包括一般数据、重要数据、敏感数据等，并制定相应的保护措施。

（二）试点企业应建立数据分类分级管理制度，明确数据分类分级的标准、流程、责任等。

第十一条访问控制

（一）试点企业应建立数据访问控制机制，确保只有授权人员才能访问数据，并记录所有访问行为。

（二）试点企业应定期审查访问权限，及时撤销不再需要的访问权限。

第十二条加密存储

（一）试点企业应采用加密技术对数据进行存储，确保数据在存储过程中的安全性。

（二）试点企业应定期更新加密算法，确保加密技术的有效性。

第十三条日志审计

（一）试点企业应建立数据日志审计机制，记录所有数据操作行为，包括数据访问、修改、删除等。

（二）试点企业应定期审查日志，及时发现并处理异常行为。

第六章违规处理与争议解决

第十四条违规处理

（一）试点企业违反本协议约定或相关法律法规要求的，监管机构有权责令其限期整改，并处十万元以下的罚款。

（二）试点企业拒不整改或整改不到位的，监管机构有权暂停其数据跨境传输业务，直至其符合要求。

（三）试点企业违反数据保护协议的，应承担相应的法律责任，包括民事赔偿、行政罚款等。

第十五条争议解决

（一）本协议双方在履行过程中发生争议的，应协商解决；协商不成的，可以向监管机构申请调解。

（二）调解不成的，可以向人民法院提起诉讼；涉及跨境传输的，可以选择中华人民共和国人民法院或接收国法院管辖。

第七章附则

第十六条协议生效

本协议自各方签字盖章之日起生效，有效期为三年，期满前三十日可协商续签。

第十七条协议解除

（一）本协议双方在履行过程中出现重大违约行为，导致协议目的无法实现的，守约方有权解除本协议。

（二）试点企业被监管机构吊销试点资格的，本协议自动解除。

第十八条其他

（一）本协议未尽事宜，由各方协商解决。

（二）本协议附件与本协议具有同等法律效力。

附件：

（一）数据出境安全评估报告模板

（二）数据保护影响评估报告模板

（三）数据保护协议模板

**特殊应用场景一：跨境云服务提供**

***场景描述**：试点企业通过在数据保税区内搭建云平台，为接收国企业提供云存储、云计算、大数据分析等服务，实现数据的跨境流动和处理。

***需要注意的条款**：

*第四条第一项：试点企业有权在数据保税区内开展数据存储、处理、传输等业务，但应遵守本协议及接收国相关法律法规。

*第五条第一项：试点企业应建立健全数据安全管理制度，包括数据分类分级、访问控制、加密存储、日志审计等，确保数据在保税区内的安全。

*第九条第一项：试点企业应与接收国数据控制者签订数据保护协议，明确双方的权利与义务，包括数据安全、数据保护、数据删除、争议解决等内容。

***修正说明**：在数据保护协议中，应明确云服务的具体服务范围、数据访问权限、数据备份和恢复机制、数据安全事件应急预案等，确保云服务的合规性和安全性。

**特殊应用场景二：跨境数据交易**

***场景描述**：试点企业通过在数据保税区内进行数据脱敏和匿名化处理，将处理后的数据出售给接收国企业，用于市场分析、用户画像等目的。

***需要注意的条款**：

*第三条定义：个人数据是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

*第五条第三项：试点企业应与接收国数据控制者签订数据保护协议，明确双方的权利与义务，包括数据安全、数据保护、数据删除、争议解决等内容。

***修正说明**：在数据保护协议中，应明确数据脱敏和匿名化处理的标准和方法，确保数据在交易过程中的隐私性和安全性。同时，应明确数据交易的期限、数据使用范围、数据删除机制等，确保数据交易的合规性。

**特殊应用场景三：跨境远程医疗**

***场景描述**：试点企业通过在数据保税区内搭建远程医疗平台，为接收国患者提供远程诊断、远程治疗、健康咨询等服务，实现医疗数据的跨境流动和处理。

***需要注意的条款**：

*第三条定义：敏感个人信息是指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

*第五条第三项：试点企业应与接收国数据控制者签订数据保护协议，明确双方的权利与义务，包括数据安全、数据保护、数据删除、争议解决等内容。

***修正说明**：在数据保护协议中，应明确医疗数据的种类、使用范围、数据安全措施、数据删除机制等，确保医疗数据的合规性和安全性。同时，应明确远程医疗服务的具体流程、服务标准、服务期限等，确保远程医疗服务的质量和安全性。

**特殊应用场景四：跨境教育数据共享**

***场景描述**：试点企业通过在数据保税区内搭建教育数据平台，为接收国教育机构提供学生成绩、学籍信息、教学资源等数据的共享服务，实现教育数据的跨境流动和处理。

***需要注意的条款**：

*第三条定义：个人数据是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

*第五条第三项：试点企业应与接收国数据控制者签订数据保护协议，明确双方的权利与义务，包括数据安全、数据保护、数据删除、争议解决等内容。

***修正说明**：在数据保护协议中，应明确教育数据的种类、使用范围、数据安全措施、数据删除机制等，确保教育数据的合规性和安全性。同时，应明确教育数据共享的具体流程、共享标准、共享期限等，确保教育数据共享的公平性和有效性。

**特殊应用场景五：跨境科研数据合作**

***场景描述**：试点企业通过在数据保税区内搭建科研数据平台，与接收国科研机构合作开展科研项目，实现科研数据的跨境流动和处理。

***需要注意的条款**：

*第三条定义：个人数据是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

*第五条第三项：试点企业应与接收国数据控制者签订数据保护协议，明确双方的权利与义务，包括数据安全、数据保护、数据删除、争议解决等内容。

***修正说明**：在数据保护协议中，应明确科研数据的种类、使用范围、数据安全措施、数据删除机制等，确保科研数据的合规性和安全性。同时，应明确科研合作的具体流程、合作标准、合作期限等，确保科研合作的顺利进行。

**实际操作过程中会遇到的相关问题及注意事项**

1.**数据分类分级不明确**：试点企业应建立数据分类分级管理制度，明确数据分类分级的标准、流程、责任等，确保数据分类分级的科学性和合理性。

2.**数据访问控制不严格**：试点企业应建立数据访问控制机制，确保只有授权人员才能访问数据，并记录所有访问行为，定期审查访问权限，及时撤销不再需要的访问权限。

3.**数据加密存储不完善**：试点企业应采用加密技术对数据进行存储，确保数据在存储过程中的安全性，定期更新加密算法，确保加密技术的有效性。

4.**数据跨境传输不合规**：试点企业在进行数据跨境传输前，应进行数据出境安全评估，评估内容包括数据种类、传输目的、接收国数据保护水平、传输风险等，并制定数据出境安全评估报告，向监管机构提交审查申请。

5.**数据保护协议不完善**：试点企业应与接收国数据控制者签订数据保护协议，明确双方的权利与义务，包括数据安全、数据保护、数据删除、争议解决等内容，确保数据保护协议的合规性和有效性。

**解决办法**

1.**建立数据分类分级管理制度**：试点企业应根据数据敏感程度对数据进行分类分级，包括一般数据、重要数据、敏感数据等，并制定相应的保护措施，明确数据分类分级的标准、流程、责任等。

2.**建立数据访问控制机制**：试点企业应建立数据访问控制机制，确保只有授权人员才能访问数据，并记录所有访问行为，定期审查访问权限，及时撤销不再需要的访问权限。

3.**采用加密技术对数据进行存储**：试点企业应采用加密技术对数据进行存储，确保数据在存储过程中的安全性，定期更新加密算法，确保加密技术的有效性。

4.**进行数据出境安全评估**：试点企业在进行数据跨境传输前，应进行数据出境安全评估，评估内容包括数据种类、传输目的、接收国数据保护水平、传输风险等，并制定数据出境安全评估报告，向监管机构提交审查申请。

5.**签订数据保护协议**：试点企业应与接收国数据控制者签订数据保护协议，明确双方的权利与义务，包括数据安全、数据保护、数据删除、争议解决等内容，确保数据保护协议的合规性和有效性。

**原始合同所需要的所有详细的附件**

1.数据出境安全评估报告模板

2.数据保护影响评估报告模板

3.数据保护协议模板

多方为主导时的，附件条款及说明

第三十一条甲方为主导时的，附加条款及说明

第三十一条之一甲方主导地位与责任分配

（一）条款内容：在数据跨境传输活动中，若试点企业（以下简称“甲方”）为项目主导方，应承担数据跨境传输的主要组织、协调和管理责任，包括但不限于制定数据跨境传输的整体方案、协调数据接收国（以下简称“接收国”）的数据控制者、监督数据跨境传输的合规性等。甲方应确保其主导地位下的所有数据跨境传输活动均符合本协议约定及相关法律法规要求。

（二）说明：本条款旨在明确甲方在数据跨境传输活动中的主导地位及其相应责任。甲方作为主导方，需全面负责数据跨境传输的各个环节，确保数据跨境传输的合规性和安全性。甲方应具备较强的数据管理和保护能力，能够有效协调各方资源，确保数据跨境传输的顺利进行。

第三十一条之二甲方对数据安全管理的强化要求

（一）条款内容：甲方应建立健全数据安全管理组织架构，明确数据安全管理的职责分工，并设立专门的数据安全管理岗位，负责数据安全管理的日常工作和监督。甲方应定期对数据安全管理组织架构进行评估和调整，确保其适应数据跨境传输业务的发展需要。

（二）说明：本条款旨在强化甲方对数据安全管理的责任。甲方作为主导方，需建立完善的数据安全管理组织架构，明确数据安全管理职责，并设立专门的数据安全管理岗位，确保数据安全管理的有效性和持续性。甲方应定期评估和调整数据安全管理组织架构，以适应数据跨境传输业务的发展需要。

第三十一条之三甲方对数据跨境传输的合规审查强化

（一）条款内容：甲方应在数据跨境传输前，进行全面的数据跨境传输合规审查，审查内容包括数据种类、传输目的、接收国数据保护水平、传输风险等。甲方应制定详细的数据跨境传输合规审查报告，并向监管机构提交审查申请。甲方应积极配合监管机构的审查工作，及时整改审查中发现的问题。

（二）说明：本条款旨在强化甲方对数据跨境传输的合规审查责任。甲方作为主导方，需进行全面的数据跨境传输合规审查，确保数据跨境传输的合规性。甲方应制定详细的数据跨境传输合规审查报告，并向监管机构提交审查申请。甲方应积极配合监管机构的审查工作，及时整改审查中发现的问题，确保数据跨境传输的合规性。

第三十一条之四甲方对数据保护协议的签订与管理强化

（一）条款内容：甲方应与接收国的数据控制者签订数据保护协议，明确双方的权利与义务，包括数据安全、数据保护、数据删除、争议解决等内容。甲方应确保数据保护协议的签订符合本协议约定及相关法律法规要求，并定期对数据保护协议进行审查和更新。

（二）说明：本条款旨在强化甲方对数据保护协议的签订与管理责任。甲方作为主导方，需与接收国的数据控制者签订数据保护协议，明确双方的权利与义务，确保数据保护协议的合规性和有效性。甲方应定期对数据保护协议进行审查和更新，以适应数据跨境传输业务的发展需要。

第三十一条之五甲方对数据跨境传输的应急预案制定与执行

（一）条款内容：甲方应制定数据跨境传输的应急预案，明确数据跨境传输过程中可能出现的风险和应对措施，包括数据泄露、数据丢失、数据篡改等。甲方应定期对应急预案进行演练和评估，确保其在实际操作中的有效性和可行性。

（二）说明：本条款旨在强化甲方对数据跨境传输的应急预案制定与执行责任。甲方作为主导方，需制定数据跨境传输的应急预案，明确数据跨境传输过程中可能出现的风险和应对措施，确保在发生数据安全事件时能够及时有效地进行处理。甲方应定期对应急预案进行演练和评估，以提升其在实际操作中的有效性和可行性。

第三十二条乙方为主导时的，附加条款及说明

第三十二条之一乙方主导地位与责任分配

（一）条款内容：在数据跨境传输活动中，若接收国的数据控制者（以下简称“乙方”）为项目主导方，应承担数据跨境传输的主要组织、协调和管理责任，包括但不限于制定数据接收国的数据保护政策、协调数据传输的具体实施、监督数据在接收国的处理等。乙方应确保其主导地位下的所有数据跨境传输活动均符合本协议约定及相关法律法规要求。

（二）说明：本条款旨在明确乙方在数据跨境传输活动中的主导地位及其相应责任。乙方作为主导方，需全面负责数据跨境传输在接收国的各个环节，确保数据在接收国的处理符合本协议约定及相关法律法规要求。乙方应具备较强的数据管理和保护能力，能够有效协调各方资源，确保数据在接收国的合规性和安全性。

第三十二条之二乙方对数据接收国数据保护的合规性保障

（一）条款内容：乙方应确保其所在国的数据保护政策和法律法规得到有效执行，并定期对数据保护政策的合规性进行评估和更新。乙方应向试点企业（以下简称“甲方”）提供必要的数据保护政策和法律法规信息，并协助甲方进行数据跨境传输的合规审查。

（二）说明：本条款旨在强化乙方对数据接收国数据保护的合规性保障责任。乙方作为主导方，需确保其所在国的数据保护政策和法律法规得到有效执行，并定期进行评估和更新。乙方应向甲方提供必要的数据保护政策和法律法规信息，并协助甲方进行数据跨境传输的合规审查，确保数据在接收国的处理符合本协议约定及相关法律法规要求。

第三十二条之三乙方对数据跨境传输的具体实施管理

（一）条款内容：乙方应负责数据跨境传输的具体实施管理，包括但不限于数据传输的路径选择、数据传输的加密措施、数据传输的日志记录等。乙方应确保数据跨境传输的具体实施符合本协议约定及相关法律法规要求，并定期对数据跨境传输的具体实施进行审查和改进。

（二）说明：本条款旨在强化乙方对数据跨境传输的具体实施管理责任。乙方作为主导方，需负责数据跨境传输的具体实施管理，确保数据传输的路径选择、加密措施、日志记录等符合本协议约定及相关法律法规要求。乙方应定期对数据跨境传输的具体实施进行审查和改进，以提升数据跨境传输的安全性和效率。

第三十二条之四乙方对数据保护协议的签订与管理强化

（一）条款内容：乙方应与试点企业（以下简称“甲方”）签订数据保护协议，明确双方的权利与义务，包括数据安全、数据保护、数据删除、争议解决等内容。乙方应确保数据保护协议的签订符合本协议约定及相关法律法规要求，并定期对数据保护协议进行审查和更新。

（二）说明：本条款旨在强化乙方对数据保护协议的签订与管理责任。乙方作为主导方，需与甲方签订数据保护协议，明确双方的权利与义务，确保数据保护协议的合规性和有效性。乙方应定期对数据保护协议进行审查和更新，以适应数据跨境传输业务的发展需要。

第三十二条之五乙方对数据跨境传输的应急预案制定与执行

（一）条款内容：乙方应制定数据跨境传输的应急预案，明确数据跨境传输过程中可能出现的风险和应对措施，包括数据泄露、数据丢失、数据篡改等。乙方应定期对应急预案进行演练和评估，确保其在实际操作中的有效性和可行性。

（二）说明：本条款旨在强化乙方对数据跨境传输的应急预案制定与执行责任。乙方作为主导方，需制定数据跨境传输的应急预案，明确数据跨境传输过程中可能出现的风险和应对措施，确保在发生数据安全事件时能够及时有效地进行处理。乙方应定期对应急预案进行演练和评估，以提升其在实际操作中的有效性和可行性。

第三十三条当有第三方中介时，增加的多项条款及说明

第三十三条之一第三方中介的引入与职责

（一）条款内容：在数据跨境传输活动中，若引入第三方中介（以下简称“中介方”），中介方应作为甲乙双方之间的桥梁，负责协调数据跨境传输的各个环节，包括但不限于数据安全评估、数据保护协议的签订、数据跨境传输的具体实施等。中介方应确保其提供的服务符合本协议约定及相关法律法规要求，并定期向甲乙双方报告工作进展。

（二）说明：本条款旨在明确中介方在数据跨境传输活动中的引入及其相应职责。中介方作为第三方，需作为甲乙双方之间的桥梁，协调数据跨境传输的各个环节，确保数据跨境传输的合规性和安全性。中介方应具备较强的数据管理和保护能力，能够有效协调各方资源，确保数据跨境传输的顺利进行。

第三十三条之二中介方对数据安全管理的监督与评估

（一）条款内容：中介方应定期对数据跨境传输的安全管理进行监督和评估，包括但不限于数据分类分级、访问控制、加密存储、日志审计等。中介方应向甲乙双方提供数据安全管理监督和评估报告，并协助甲乙双方改进数据安全管理措施。

（二）说明：本条款旨在强化中介方对数据安全管理的监督与评估责任。中介方作为第三