2025年元宇宙教育数据安全协议

2025年元宇宙教育数据安全协议鉴于甲方拟在元宇宙环境中提供教育服务（以下简称“元宇宙教育服务”），并在该过程中收集、处理和存储用户数据（以下简称“教育数据”）；乙方作为用户（包括但不限于学生、教师及其他参与者）使用元宇宙教育服务，并希望其教育数据的处理得到充分保障；为明确双方在保护教育数据方面的权利和义务，根据《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》、《中华人民共和国数据安全法》及相关法律法规，双方经友好协商，达成协议如下：第一条定义与解释除非本协议上下文另有明确说明，下列词语具有以下含义：1.1元宇宙平台：指甲方运营和提供的虚拟现实或增强现实环境，用于交付元宇宙教育服务。1.2教育机构：指邀请或组织用户使用元宇宙教育服务的实体，可能是甲方自身或甲方合作的教育机构。1.3用户：指访问、使用元宇宙教育服务或其部分功能的个人，包括但不限于学生、教师、管理人员、研究人员等。1.4数据：指任何能够识别或可识别特定自然人的各种信息，包括但不限于个人信息和敏感个人信息。1.5个人数据：指已识别或可识别特定自然人的各种信息。1.6敏感个人数据：指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，具体包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。1.7数据处理：指对数据进行收集、存储、使用、加工、传输、提供、公开、删除等操作。1.8数据控制者：指在数据处理活动中自主决定处理目的、处理方式的组织或个人。1.9数据处理器：指接受数据控制者的委托，处理个人数据的组织或个人。1.10数据保护影响评估（DPIA）：指评估处理活动对个人权益可能产生的风险，并采取必要措施降低风险的流程。1.11加密：指使用密码学方法对数据进行保护，使得未授权者无法读取数据内容的技术措施。1.12安全措施：指为保护数据安全所采取的技术措施和管理措施。第二条适用范围与目的2.1本协议适用于甲方在提供元宇宙教育服务过程中，对用户教育数据的收集、使用、存储、传输、删除等所有数据处理活动。2.2本协议旨在确保用户教育数据的处理符合中国相关法律法规的要求，保护用户的合法权益，维护元宇宙教育环境的稳定和安全。2.3元宇宙教育服务的具体内容、形式及服务范围以双方另行约定或甲方公开的服务说明为准，但均需遵守本协议关于数据保护的规定。第三条数据主体权利与保障3.1甲方应保障用户依法享有的个人信息权利，包括但不限于：3.1.1知情权：甲方应在收集用户教育数据前，通过显著方式告知用户收集教育数据的目的、方式、范围、存储期限、安全保障措施、用户权利行使方式及投诉渠道等。3.1.2访问权：用户有权访问其教育数据，了解甲方正在处理哪些教育数据以及处理的目的。甲方应在接到用户访问请求后合理期限内（通常不超过三十日）响应，并以用户能够理解的方式提供教育数据副本。3.1.3更正权：若甲方持有的用户教育数据不准确或不完整，用户有权请求甲方更正。甲方应在接到请求后合理期限内进行更正。3.1.4删除权（被遗忘权）：在以下情形下，用户有权请求甲方删除其教育数据：（1）甲方停止提供元宇宙教育服务；（2）用户撤回同意甲方处理其教育数据的；（3）甲方处理的教育数据已超出法律法规规定的存储期限；（4）甲方处理用户教育数据的方式不符合法律法规规定或本协议约定；（5）用户请求删除其参与元宇宙教育服务的唯一标识符，且无其他合理理由；甲方应在接到删除请求后合理期限内（通常不超过六十日）删除相关教育数据，并通知关联方删除。3.1.5限制处理权：在以下情形下，用户有权请求甲方限制处理其教育数据：（1）用户质疑甲方处理其教育数据的合法性；（2）甲方已停止提供元宇宙教育服务；（3）甲方持有用户教育数据已超过存储期限；（4）甲方不再需要处理用户教育数据，但用户仍有其他合法理由要求甲方不删除其数据；甲方应在接到请求后评估，并在合理期限内对用户教育数据进行限制处理。3.1.6数据可携带权：在用户从甲方服务转移至其他提供类似服务的处理者时，若用户提出请求，且转移是可行的，甲方应在接到请求后合理期限内，以用户可理解的方式提供用户教育数据，并协助用户转移。3.1.7拒绝自动化决策权：甲方在元宇宙教育服务中不得仅通过自动化决策方式（包括但不限于自动化的用户画像、预测分析等）对用户作出对其产生重大影响的决定，除非：（1）该自动化决策是法律、行政法规规定的，且对用户权益有重大影响；（2）用户同意；用户有权要求甲方对其采取的自动化决策提供非自动化决策的解释，并有权拒绝。3.1.8安全保障权：用户有权要求甲方对其教育数据采取符合国家网络安全等级保护要求的、审慎的安全措施，防止数据泄露、篡改、丢失。3.2甲方应建立并维护处理用户请求的渠道，包括提供易于访问的联系方式（如电子邮件、在线客服等），并在收到用户请求后按照法律法规及本协议约定的时限内予以处理。甲方处理用户请求应记录相关情况。第四条数据收集、使用与存储4.1甲方仅在为实现提供元宇宙教育服务的特定目的，且为达到该目的所必需的情况下，收集用户的个人教育数据。4.2甲方收集用户教育数据应遵循合法、正当、必要和诚信原则，并确保告知用户数据收集的目的、方式、范围和存储期限。4.3甲方处理用户教育数据的目的仅限于提供元宇宙教育服务，包括但不限于：（1）用户身份验证与管理；（2）提供个性化的学习内容、资源和体验；（3）评估学习效果、提供学业反馈；（4）进行教学管理、课程安排、师资调配；（5）维护元宇宙教育平台的秩序和安全；（6）进行教学研究、效果评估，但处理结果不得识别到具体个人；（7）法律法规规定的其他目的。甲方不得将用户教育数据用于与提供元宇宙教育服务无关的目的，不得超出告知范围或用户同意范围使用数据。4.4甲方存储用户教育数据的期限应为实现处理目的所必需的最短时间，除非法律法规另有规定或用户另行同意更长的存储期限。存储期限届满后，甲方应删除或匿名化处理用户教育数据，并确保无法复原。4.5甲方应将用户教育数据存储在中国境内，除非获得用户明确同意或法律法规要求，不得将用户教育数据传输至中国境外。若确需传输至境外，甲方应确保接收方提供充分的数据保护水平，并采取有效的传输保障措施，如通过国家网信部门认证的安全评估、签订标准合同条款、采用具有约束力的公司规则等，并可能需要履行相关备案或告知义务。第五条数据安全措施5.1甲方应采取与其处理教育数据的风险程度相适应的技术和管理措施，保障用户教育数据的安全，防止数据泄露、篡改、丢失。5.2具体的安全措施包括但不限于：（1）采取加密技术存储和传输用户教育数据；（2）建立严格的访问控制机制，确保只有授权人员才能访问用户教育数据，并根据职责分配最小必要权限；（3）对关键系统和数据进行安全审计和日志记录，监控异常行为；（4）部署入侵检测、防御系统，定期进行安全漏洞扫描和渗透测试；（5）定期对员工进行数据安全和隐私保护培训，提高安全意识；（6）制定并演练数据安全事件应急预案，及时响应和处理安全事件；（7）对存储用户教育数据的物理环境进行安全保护，防止未经授权的物理访问。5.3甲方应定期对其数据安全措施的有效性进行评估和更新，以应对新的安全威胁和风险。第六条数据共享与第三方6.1未经用户明确同意（如通过隐私政策或单独同意条款获得），甲方不得与任何第三方共享用户的个人教育数据。6.2在为用户提供元宇宙教育服务所必需，且服务内容不改变的情况下，甲方可能需要委托具有相应数据处理能力、并承诺遵守不低于本协议标准的数据保护要求的第三方处理部分教育数据（例如，云服务提供商、内容开发商、技术支持商等）。甲方应在委托前对第三方进行尽职调查，并在服务合同中明确约定第三方的数据处理范围、方式、安全要求和责任。6.3甲方对第三方的数据处理行为承担连带责任。甲方应确保第三方按照甲乙双方约定及本协议的约定处理用户教育数据，并监督第三方的数据处理活动。6.4因法律法规要求、履行本协议所必需（如提供特定服务）、维护公共利益的合法需求等原因，甲方可能需要向政府部门、监管机构或其他有权机关提供用户教育数据。在此情况下，甲方应在法律允许的范围内，提前通知用户（除非法律法规允许不通知），并仅提供与该目的相关的、必要的用户教育数据。第七条数据传输（跨境）7.1除本协议第四条第4.5款的规定外，甲方未经用户明确同意，不得将用户教育数据传输至用户所在司法管辖区以外的国家或地区。7.2如确需根据本协议第四条第4.5款传输至境外，甲方应确保：（1）传输符合中国相关法律法规的规定，如《个人信息保护法》等关于数据出境的要求；（2）接收方所在国家或地区提供与我国法律、行政法规相互衔接的、充分的数据保护水平；（3）采取有效的传输保障措施，确保数据在传输过程中的安全；（4）履行必要的法律程序，如通过国家网信部门的安全评估、个人信息保护影响评估备案或告知等。7.3甲方应将数据传输至境外接收方的具体安排、接收方的名称和所在地、传输的目的、传输的期限等信息告知用户。第八条数据泄露通知8.1甲方在意识到或怀疑发生影响用户教育数据安全的重大安全事件（以下简称“数据泄露事件”）时，应立即启动应急预案，采取补救措施，防止损害的进一步扩大。8.2甲方应在评估数据泄露事件的影响后，并在法律法规要求或合理可能的情况下（通常指GDPR要求72小时内，中国《个人信息保护法》要求72小时内，具体时限取决于事件严重程度和法律法规），通知用户可能受到影响的范围、潜在风险以及已采取或将要采取的补救措施。8.3如数据泄露事件可能对用户权益造成严重损害，甲方即使未满足上述时限要求，也应在采取必要措施控制风险后尽快通知用户。8.4甲方应在法律法规要求或合理可能的情况下，向履行个人信息保护职责的部门报告数据泄露事件。如涉及向境外传输数据，且发生数据泄露事件，甲方还应按照相关法律要求通知接收方。第九条用户权利行使与投诉9.1用户在元宇宙教育服务过程中，可通过甲方提供的联系方式（如用户协议中载明的邮箱、客服渠道等）行使其在本协议第三条中享有的数据主体权利。9.2甲方应在接到用户行使数据主体权利的请求后，根据请求的内容和实际情况，在法律法规规定的合理期限内（通常为三十日）予以响应和处理。如因情况复杂，需延长处理期限的，应告知用户并说明理由，延长期限不得超过三十日。9.3用户认为甲方的数据处理活动侵害其合法权益的，有权向履行个人信息保护职责的部门投诉、举报，或依法向人民法院提起诉讼。第十条合规性与审计10.1甲方承诺遵守所有适用于其处理用户教育数据的中国的法律、法规和规章，包括但不限于《网络安全法》、《数据安全法》、《个人信息保护法》等。10.2甲方应确保其处理用户教育数据的活动符合中国法律法规的要求，并接受乙方或双方约定的第三方对数据处理活动合规性的审计。甲方应提供必要的配合，包括提供相关文档、记录和进行现场勘查等。第十一条协议期限、变更与终止11.1本协议自双方授权代表签字并盖章之日起生效，有效期为[具体年限，例如：三]年。期满前[具体时间，例如：三个月]，如双方无书面异议，本协议自动续展[具体年限，例如：一]年，续展次数不限/续展次数为[具体次数]次。11.2经双方协商一致，可以书面形式对本协议进行修改或补充。11.3在出现以下情况时，任何一方有权单方面解除本协议：（1）另一方违反本协议约定，且在收到守约方要求纠正的合理期限内未能纠正；（2）另一方进入破产、清算或解散程序；（3）因不可抗力导致本协议无法履行，且不可抗力影响持续超过[具体时间，例如：三十]日。11.4本协议的终止不影响终止前双方已产生的权利和义务。协议终止后，甲方仍有义务按照法律法规要求及本协议约定，处理用户教育数据，直至履行完毕删除或匿名化义务。甲方应在协议终止后[具体时间，例如：六个月]内，根据用户的要求，将用户教育数据删除或返还。第十二条责任限制与免责12.1除非本协议另有约定或法律法规另有规定，甲方不对因用户使用元宇宙教育服务或其提供的任何内容、信息或服务所遭受的直接或间接损失承担责任。12.2在法律允许的范围内，甲方不对因不可抗力、用户自身过错、第三方行为、用户自行提供或发布的数据、或因遵守法律法规要求、履行本协议约定而采取的措施等原因导致的教育数据泄露、丢失、损坏或使用受限等后果承担责任。12.3甲方因采取合理措施保护用户教育数据而遭受损失的，不得以此为由免除其责任。12.4在符合本协议规定和适用法律要求的前提下，甲方在提供元宇宙教育服务过程中，对用户教育数据的处理所造成的损失，其赔偿责任以用户因处理该教育数据而直接遭受的损失为限，且每次损失的最高赔偿金额不超过[具体金额或约定方式，例如：人民币一万元]。第十三条法律适用与争议解决13.1本协议的订立、效力、解释、履行及争议解决均适用中华人民共和国法律。13.2因本协议引起的或与本协议有关的任何争议，双方应首先通过友好协商解决。协商不成的，任何一方均有权将争议提交至[具体仲裁机构名称，例如：中国国际经济贸易仲裁委员会]，按照申请仲裁时该会现行有效的仲裁规则进行仲裁。仲裁裁决是终局的，对双方均有约束力。/或提交至[具体法院名称，例如：甲方所在地有管辖权的人民法院]诉讼解决。第十四条保密义务14.1双方及其授权代表应对从对方获取的、在履行本协议过程中获悉的任何商业秘密、技术信息、经营信息、用户数据等非公开信息（以下简称“保密信息”）承担保密义务