关于某某跨境数据流动安全评估服务合同

关于某某跨境数据流动安全评估服务合同一、合同主体与背景甲方（委托方）：名称、法定代表人、注册地址、统一社会信用代码、联系方式。乙方（受托方）：名称、法定代表人、注册地址、统一社会信用代码、联系方式、资质证明（如国家网信部门认可的数据安全评估资质、ISO27001认证等）。鉴于甲方因业务需要涉及跨境数据传输（包括但不限于向境外提供重要数据、个人信息或通过第三方平台处理跨境数据），需依据《中华人民共和国数据安全法》《个人信息保护法》《数据出境安全评估办法》及2025年10月国家网信办发布的《数据出境安全评估申报指南（第二版）》等法规要求，对其跨境数据流动行为进行合规性评估；乙方具备提供此类评估服务的专业能力及资质，双方经协商一致，签订本合同。二、服务内容与评估标准（一）评估范围与方法数据梳理与分类乙方需对甲方跨境数据流动全流程进行梳理，包括数据来源（如用户注册信息、交易记录、日志数据等）、数据类型（区分个人信息与非个人信息、敏感个人信息与一般个人信息、重要数据与普通数据）、传输路径（如直连传输、第三方中转、云服务跨境部署等）及境外接收方（名称、所在国家/地区、数据处理目的与方式）。合规性评估国内法规适配：依据《数据出境安全评估办法》判定甲方数据出境是否属于“应当申报安全评估”情形（如数据量达到国家网信部门规定阈值、涉及关键信息基础设施运营者数据等），并对照《数据出境安全评估申报指南（第二版）》要求，核查甲方是否已完成申报材料准备（如数据出境风险自评估报告、境外接收方承诺书等）。国际规则对标：若甲方数据涉及传输至欧盟、美国等地区，需同步评估是否符合GDPR第48条“充分性认定”、CCPA“消费者授权机制”等要求，或是否已通过标准合同条款（SCCs）、有约束力的公司规则（BCRs）等合规路径实现跨境传输。风险识别与应对风险类型：重点评估数据泄露风险（如传输加密措施不足）、境外接收方法律风险（如接收方所在国数据本地化要求冲突）、数据主体权利风险（如个人信息被遗忘权实现障碍）及监管处罚风险（如未履行申报义务导致的行政处罚）。应对措施：针对高风险项，乙方需提供具体整改方案，例如：建议甲方对敏感个人信息采用“传输前脱敏+传输中加密（AES-256算法）+传输后访问审计”三重防护；对境外接收方进行背景调查，要求其签署数据保护承诺书并提供年度合规证明。报告出具评估报告需包含以下核心内容：评估背景与依据（列明所引用的国内法及国际规则条款）；数据流程图（标注关键节点与安全措施）；风险矩阵表（按“可能性-影响程度”分级，如高风险项≥3项需启动专项整改）；整改优先级建议（如7个工作日内完成加密协议升级，30个工作日内完成境外接收方合规审查）。三、服务期限与交付（一）服务周期基础评估阶段：自合同生效后30个工作日内完成数据梳理、合规性核查及风险识别，提交中期报告（含风险清单与初步建议）。深度评估阶段：甲方反馈中期报告意见后15个工作日内，乙方完成整改方案细化及国际规则适配性补充评估，提交正式评估报告（含纸质版3份及电子版1份）。延期约定：若因甲方未及时提供资料（如境外接收方协议、数据处理台账）导致评估延误，乙方可书面申请延期，延长期限不超过原周期的50%，且甲方需承担乙方因此产生的额外成本（如人员驻场费用增加）。（二）交付标准正式评估报告需满足以下要求：经乙方技术负责人签字并加盖公章；风险评估结论明确（如“通过整改后可满足数据出境安全评估申报条件”或“需终止向某高风险国家传输数据”）；附具可量化的整改验收指标（如“加密传输覆盖率需达100%”“数据主体权利响应时效需≤72小时”）。四、双方权利与义务（一）甲方权利与义务权利对乙方评估过程进行监督，可要求乙方每10个工作日提交进度简报；若评估报告存在数据错误或逻辑矛盾，有权要求乙方在5个工作日内免费修订；获得评估报告的所有权，乙方不得将报告内容用于其他商业用途（法律法规要求披露的除外）。义务向乙方提供真实、完整的资料，包括但不限于数据处理规章制度、与境外接收方签订的服务协议、近12个月数据安全事件记录等；配合乙方开展现场调研（如开放服务器日志查询权限、协调技术人员解答系统架构问题）；按合同约定支付服务费用，逾期支付的，每逾期一日按未付金额的0.05%支付违约金。（二）乙方权利与义务权利要求甲方及时补充评估所需资料，若甲方故意隐瞒关键信息（如未披露涉及未成年人信息跨境传输）导致评估结论失真，乙方有权终止合同并要求赔偿损失；按约定收取服务费用，甲方逾期超过15日未支付的，乙方可暂停服务直至款项结清。义务遵守保密义务：对评估过程中接触的甲方商业秘密（如用户数据样本、核心算法逻辑）及个人信息严格保密，未经甲方书面同意不得向任何第三方泄露，保密期限为合同终止后3年；保证评估专业性：乙方项目团队需包含至少2名具有CISAW（注册信息安全专业人员）资质的工程师，且评估方法需符合《信息安全技术数据跨境安全评估指南》（GB/T41479-2022）标准；协助整改落地：在甲方实施整改期间，乙方需提供2次免费技术咨询（如协助对接加密技术服务商），超出部分按2000元/小时另行收费。五、服务费用与支付方式（一）费用构成服务项目金额（人民币）备注数据梳理与分类50,000含数据资产盘点工具使用费用合规性评估（国内+国际）80,000含境外法律数据库查询费用风险评估与报告出具40,000含报告专家评审费用合计170,000大写：人民币壹拾柒万元整（二）支付节点预付款：合同签订后5个工作日内支付总金额的30%（51,000元），乙方收到款项后启动服务；中期款：提交中期报告并经甲方确认后5个工作日内支付40%（68,000元）；尾款：提交正式评估报告并通过甲方验收后10个工作日内支付30%（51,000元）。（三）发票与结算乙方需在甲方付款前提供等额增值税专用发票（税率6%），甲方通过银行转账方式支付至乙方指定账户（账户信息：户名XXX，开户行XXX，账号XXX）。六、违约责任（一）甲方违约若甲方未按时提供资料导致服务延期，每逾期一日需向乙方支付服务费总额的0.03%作为违约金，但累计违约金不超过总金额的5%；若甲方无正当理由单方解除合同，需支付已完成服务对应比例的费用（按实际工作天数折算），并赔偿乙方为履行合同已发生的直接成本（如差旅费用、第三方咨询费）。（二）乙方违约若乙方未按期提交报告，每逾期一日按服务费总额的0.05%支付违约金，逾期超过10日的，甲方有权解除合同并要求退还已付款项；若评估报告因乙方过失出现重大遗漏（如未识别出甲方未申报重要数据出境的违规事实），导致甲方遭受行政处罚（如被网信部门罚款），乙方需承担罚款金额的50%赔偿责任（最高不超过服务费总额的2倍），并免费重新出具评估报告；若乙方违反保密义务导致甲方数据泄露，需赔偿甲方因此遭受的全部损失（包括但不限于数据主体索赔、名誉损失修复费用），且甲方有权要求乙方支付违约金50万元。七、争议解决与其他（一）争议解决双方因本合同发生争议的，应先通过协商解决；协商不成的，任何一方可向合同签订地（需明确具体地点，如“北京市海淀区”）有管辖权的人民法院提起诉讼。（二）合同生效与变更本合同自双方法定代表人或授权代表签字并加盖公章之日起生效，有效期1年（自服务期限届满之日起计算）；未尽事宜由双方签订补充协议，补充协议与本合同具有同等法律效力；对本合同的任何修改需以书面形式作出并经双方签字盖章确认。（三）其他本合同一式肆份，甲乙双方各执贰份，具有同等法律效力；合同附件（如乙方资质证明、评估标准细则）为本合同不