2026年跨境网络信息安全协议

2026年跨境网络信息安全协议当事人信息甲方：[甲方法定全称]法定代表人/授权代表：[姓名]注册地址：[甲方注册地址]联系地址：[甲方联系地址]联系方式：[甲方联系电话]电子邮箱：[甲方电子邮箱]乙方：[乙方法定全称]法定代表人/授权代表：[姓名]注册地址：[乙方注册地址]联系地址：[乙方联系地址]联系方式：[乙方联系电话]电子邮箱：[乙方电子邮箱]鉴于：1.甲方拟在业务活动中处理和传输数据（包括个人信息和非个人信息），部分数据需跨境传输至乙方处理或存储；2.乙方将根据甲方的授权，提供数据处理服务，包括存储、处理、传输等活动；3.甲乙双方均重视网络信息安全，并承诺遵守相关法律法规，采取合理措施保护数据安全；4.为明确双方在跨境网络信息安全方面的权利与义务，保障数据处理活动的安全合规，经友好协商，达成协议如下：第一条定义与解释除非上下文另有明确说明，本协议中使用以下术语具有以下含义：1.1“个人信息”指根据适用的数据保护法律（如欧盟GDPR、中国《个人信息保护法》等）被定义为个人信息的任何信息，无论其是否与已识别或可识别的自然人直接或间接关联。1.2“非个人信息”指不属于个人信息的任何数据。1.3“数据处理者”指代表甲方处理个人信息的乙方，或受乙方委托处理个人信息的第三方。1.4“数据控制者”指决定个人信息处理目的和方式的甲方。1.5“跨境传输”指将个人信息从位于一个国家或地区的企业传输至位于另一个国家或地区的企业的行为。1.6“网络信息安全”指保护网络系统、设备、软件和应用免受未经授权的访问、使用、披露、破坏、修改或破坏，以及确保数据的机密性、完整性和可用性。1.7“安全事件”指可能导致或涉及个人信息泄露、丢失、损坏或未经授权访问的安全漏洞、恶意软件感染、黑客攻击、系统故障或其他类似情况。1.8“安全措施”指为保护个人信息而采取的技术和组织措施，包括但不限于加密、访问控制、安全审计、入侵检测、数据脱敏、安全策略和培训等。1.9“标准合同条款（SCCs）”指由欧盟委员会批准的，作为欧盟GDPR框架下跨境传输个人信息的合法机制之一的标准合同条款。1.10“保密信息”指一方（披露方）向另一方（接收方）披露的、与本协议主题相关的、未公开的、具有商业价值或秘密性质的信息，无论其形式如何，包括但不限于技术信息、商业计划、客户名单、财务数据和个人信息。1.11“适用法律法规”指所有适用的国家、地区或国际层面的网络安全、数据保护和隐私法律、法规和标准，包括但不限于中国的《网络安全法》、《数据安全法》、《个人信息保护法》，欧盟的GDPR，美国的COPPA等。第二条适用范围与目的2.1本协议适用于甲方委托乙方处理的所有数据，特别是涉及跨境传输的个人信息。2.2本协议的目的是明确甲乙双方在跨境数据处理活动中的网络信息安全责任，确保数据处理的合规性、安全性和保密性，防范和应对网络安全风险。2.3本协议的适用范围包括但不限于乙方为履行本协议而进行的数据存储、处理、传输、备份、恢复等活动所涉及的硬件、软件、网络和系统。第三条双方权利与义务3.1甲方的权利与义务：3.1.1甲方作为数据控制者，对所处理的个人信息具有最终决定权，并负责确保其处理活动的合法性、正当性和必要性。3.1.2甲方应事先明确告知数据主体其个人信息的处理目的、方式、传输目的地、保存期限等，并获取必要的法律基础（如同意）。3.1.3甲方应确保乙方在处理个人信息前，已获得甲方授权或符合适用的法律要求。3.1.4甲方应向乙方提供必要的、准确的数据处理指令，并明确相关安全要求和合规标准。3.1.5甲方应负责履行数据主体的权利请求（如访问、更正、删除），并协调乙方配合。3.1.6甲方应采取合理措施，在其境内保护数据安全，并监督乙方的数据处理活动。3.1.7甲方应在发现或怀疑发生安全事件时，及时通知乙方。3.1.8甲方应与其境内外的其他相关方（如数据传输接收方）签订必要的协议，确保整个数据处理链条的安全合规。3.1.9甲方应遵守所有适用的保密义务。3.2乙方的权利与义务：3.2.1乙方作为数据处理者，应仅根据甲方的授权和指示处理个人信息，并遵守甲方的数据处理指令。3.2.2乙方应将个人信息处理视为其自身的业务，并采取符合本协议约定及适用法律法规要求的安全措施，保障个人信息的机密性、完整性和可用性。3.2.3乙方应建立和维护适当的安全管理体系和流程，包括但不限于访问控制、加密、监控、审计、漏洞管理和应急响应机制。3.2.4乙方应仅使用甲方提供的、经甲方授权的系统和设施来处理个人信息，除非获得甲方的明确书面同意。3.2.5乙方应在其业务范围内，确保第三方（如员工、承包商、顾问）遵守与个人信息处理相关的安全要求和保密义务。3.2.6乙方应协助甲方履行其数据保护义务，包括但不限于协助进行数据主体权利请求的响应、参与安全事件调查和应对。3.2.7乙方应在发生或怀疑发生安全事件时，立即通知甲方，并按照甲方的指示采取补救措施。3.2.8乙方应在甲方要求时，提供其采取了合理安全措施的证据，并接受甲方的合理审计。3.2.9乙方应遵守所有适用的保密义务，对在履行本协议过程中获取的甲方和其客户的保密信息承担严格保密责任。第四条数据安全要求4.1乙方应采取包括但不限于以下技术措施和管理措施，以应对合理预期到的安全威胁，并保障个人信息和处理活动的安全：4.1.1实施访问控制机制，确保只有授权人员才能访问个人信息，并根据“最小权限”原则分配访问权限。4.1.2对传输中的个人信息进行加密，使用行业认可的加密标准（如TLS/SSL）。4.1.3对存储的个人信息进行加密，确保即使数据存储介质被盗或丢失，信息也无法被轻易读取。4.1.4实施数据脱敏或匿名化措施，在可能的情况下减少个人信息的敏感性。4.1.5部署和维护入侵检测和防御系统，监控和防范网络攻击。4.1.6定期进行安全漏洞扫描和风险评估，并及时修补漏洞。4.1.7记录和保存相关的安全审计日志，以便追踪个人信息的访问和处理活动。4.1.8建立和测试数据备份和灾难恢复计划，确保在发生系统故障或其他意外情况时能够恢复数据。4.1.9定期对员工进行网络信息安全意识和技能培训。4.1.10制定并执行内部安全策略和操作规程。4.2甲方应确保其境内数据处理活动也符合本协议约定的安全要求，并承担相应责任。第五条跨境数据传输机制5.1甲方同意，仅在符合适用法律法规要求的前提下进行个人信息的跨境传输。5.2对于传输至欧盟或其成员国的个人信息，甲方应确保采用欧盟委员会批准的标准合同条款（SCCs）或其他合法机制（如具有约束力的公司规则、充分性认定等）作为传输的法律基础。5.3对于传输至其他国家或地区的个人信息，甲方应确保该接收国提供与欧盟GDPR具有充分性认定，或者采用经甲方批准的其他合法机制（如补充协议、认证机制等）作为传输的法律基础。5.4乙方在处理跨境传输的个人信息时，应遵守本协议第四条规定的安全要求，并确保传输过程符合所采用的法律基础的要求。5.5甲方应负责评估和管理跨境传输的法律风险，并确保乙方配合其进行必要的合规审查。5.6双方同意，在签订本协议时，双方均已了解并初步评估了相关的跨境传输法律要求。双方均有义务及时通知对方任何可能影响跨境传输合规性的重大变化，并协商采取必要的应对措施。第六条数据主体权利保障6.1甲方应建立有效的流程，接收、处理和响应数据主体的访问、更正、删除、限制处理、数据可携权等权利请求。6.2甲方应在收到数据主体的权利请求后，及时通知乙方，并提供必要的个人信息和处理活动相关信息，以便乙方协助甲方履行相关义务。6.3乙方应在其处理活动中，协助甲方响应数据主体的权利请求，并确保响应符合适用的法律法规要求。第七条安全事件响应与通知7.1双方同意，在发生或怀疑发生安全事件（根据第三条第4.1款定义）时，应立即启动应急响应程序。7.2乙方应立即采取合理的措施，限制事件的影响范围，防止事件进一步扩大，并尽最大努力恢复受影响的系统和数据。7.3乙方应在安全事件发生后[例如：48小时]内（或根据适用法律法规的更短时限），通知甲方安全事件的基本情况，包括事件类型、发生时间、可能的影响范围、已采取的措施等。7.4对于严重安全事件（如可能导致个人信息大规模泄露或丧失），乙方应在识别到事件后的[例如：24小时]内（或根据适用法律法规的更短时限）通知甲方。7.5甲方应在收到乙方安全事件通知后，根据其自身义务和适用法律法规的要求，及时向监管机构报告，并通知受影响的个人（如适用）。7.6双方应在安全事件发生后，协同进行事件调查，分析事件原因，并共同制定和实施补救和改进措施。7.7双方应保留安全事件相关的记录，并按照适用法律法规的要求进行存储。第八条保密义务8.1甲乙双方对本协议的条款、内容以及因履行本协议而获悉的对方的商业秘密、技术信息、客户信息和个人信息等保密信息，均负有保密义务。8.2未经披露方的书面同意，任何一方不得向任何第三方（包括关联公司，除非为履行本协议所必需）披露披露方的保密信息。8.3本保密义务不因本协议的终止而失效，持续有效期限为本协议终止后[例如：五]年。8.4双方应采取不低于保护自身同类保密信息的谨慎程度来保护对方的保密信息，但无论如何，均不得以任何方式泄露给任何第三方。8.5如法律要求或监管机构强制要求披露保密信息，披露方应在法律允许的范围内，事先通知接收方，并仅在法律或监管机构要求的范围内进行披露。第九条合规性要求9.1双方均有义务遵守所有适用的网络信息安全、数据保护和隐私法律、法规和标准。9.2甲方应确保其数据处理活动符合其境内外的所有适用法律法规要求。9.3乙方应确保其提供的处理服务符合本协议约定的安全要求，并遵守其运营所在地的适用法律法规要求。9.4双方同意，在发生与适用法律法规相关的合规问题或争议时，应通过友好协商解决；必要时，应寻求法律顾问的建议。第十条审计与监督10.1甲方有权在合理的时间和地点，对乙方的数据处理活动（包括物理设施、系统、文档和人员）进行审计，以评估乙方履行本协议（特别是第四条、第五条和第三条第3.2款）的合规性和有效性。10.2乙方应配合甲方的审计活动，提供必要的访问权限、文档和信息，并不得无理拒绝或拖延。10.3乙方也有权对甲方的数据处理活动（特别是其境内数据处理活动）进行审计，甲方应予以配合。10.4双方同意，审计结果应形成书面报告，并由双方代表签字确认。如双方对审计结果有异议，应通过协商解决。第十一条责任限制11.1在本协议有效期内，除非因甲方或其直接雇员、代理人的故意行为或重大过失直接导致个人信息泄露、丢失或损坏，或因乙方或其直接雇员、代理人的故意行为或重大过失直接导致乙方违反本协议第四条关于安全措施的核心承诺，否则乙方不对甲方承担任何赔偿责任。11.2乙方在其过错范围内对甲方承担的责任，以其因违反本协议而获得的甲方支付的费用为限，且总额不超过本协议签订前[例如：一]年内甲方支付给乙方的服务费用的[例如：一]倍。11.3本责任限制不适用于因乙方违反个人信息处理指令、违反数据控制者授权范围或违反适用法律法规而导致的直接损失或罚款。11.4甲方应对其境内数据处理活动及未能履行其自身义务（包括但不限于未能提供清晰的指令、未能确保合法基础）而产生的责任独立承担责任。第十二条期限与终止12.1本协议自双方授权代表签字并加盖公章（或合同专用章）之日起生效，有效期为[例如：三]年。期满前[例如：一个月]，如双方均未提出书面异议，本协议自动续展[例如：一]年，续展次数不限。12.2任何一方可在有效期内，提前[例如：三十]日向另一方发出书面通知，说明终止理由，经另一方同意后，本协议可以提前终止。12.3如发生以下情况之一，守约方有权立即书面通知违约方终止本协议：a)一方严重违反本协议，且在收到守约方书面通知后[例如：三十]日内未能纠正；b)一方进入破产、清算或解散程序；c)一方被监管机构吊销相关业务许可或采取禁止性措施，导致其无法履行本协议。12.4本协议终止时，乙方应：a)立即停止所有数据处理活动，并按照甲方指示安全地删除或返还甲方提供的个人信息副本；b)保存必要的处理记录，以满足适用法律法规的保存期限要求；c)根据适用法律法规和双方约定，处理未完成的、与甲方授权范围相关的个人处理活动。12.5协议终止不影响双方在本协议终止前产生的权利和义务，以及保密义务、责任限制等条款的效力。第十三条法律适用与争议解决13.1本协议的订立、效力、解释、履行及争议解决均适用中华人民共和国法律（为本协议之目的，不包括香港特别行政区、澳门特别行政区和台湾地区法律）。13.2因本协议引起的或与本协议有关的任何争议，双方应首先通过友好协商解决。协商不成的，任何一方有权将争议提交[例如：甲方所在地有管辖权的人民法院]通过诉讼解决；或提交[例如：指定仲裁机构名称，如中