数据安全保密协议（2025年金融机构）

数据安全保密协议（2025年金融机构）本协议由以下双方于____年____月____日在中国境内签署：甲方：[金融机构全称]统一社会信用代码：[金融机构统一社会信用代码]地址：[金融机构注册地址]法定代表人/负责人：[金融机构法定代表人/负责人姓名]职务：[金融机构法定代表人/负责人职务]乙方：[服务提供方全称]统一社会信用代码/注册号：[服务提供方统一社会信用代码/注册号]地址：[服务提供方注册地址]法定代表人/负责人：[服务提供方法定代表人/负责人姓名]职务：[服务提供方法定代表人/负责人职务]（以下简称“甲方”和“乙方”）鉴于：（一）甲方在其业务运营中处理大量客户个人信息和商业秘密，并致力于遵守所有适用的数据安全、个人信息保护和网络安全法律法规及监管要求；（二）乙方将根据甲方的授权或双方约定，在履行特定业务合作过程中处理甲方数据或接触甲方的保密信息；（三）甲乙双方为保护相关数据安全和保守保密信息，经友好协商，达成如下协议，以资共同遵守。第一条定义除非本协议上下文另有解释，下列词语具有以下含义：（一）"数据"是指任何以电子、纸质、口头或其他形式存在的与个人相关或与商业活动、财务状况、技术信息、经营策略等相关的信息，包括但不限于个人信息、敏感个人信息、商业秘密、经营信息、财务信息、技术信息及其他未公开信息；（二）"个人信息"是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息；（三）"敏感个人信息"是指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，具体范围按照国家有关规定确定；（四）"数据处理"是指对个人信息进行收集、存储、使用、加工、传输、提供、公开、删除等操作；（五）"数据安全"是指采取技术和其他必要措施，保障数据具有机密性、完整性、可用性，防止数据泄露、篡改、丢失；（六）"保密信息"是指一方（披露方）以书面、口头、电子或其他形式向另一方（接收方）披露的，标明“保密”或根据其性质应被合理视为保密的所有信息，包括但不限于技术信息、经营信息、财务信息、客户信息、个人信息、数据安全措施、本协议内容以及披露方其他未公开的信息，以及接收方从披露方获取的在与本协议履行相关的过程中知悉的信息；（七）"业务合作"是指甲乙双方根据另行签订的协议或本协议约定进行的合作活动；（八）"数据控制者"是指确定并实现个人数据处理目的的个人，以及决定处理方式的组织或个人；（九）"数据处理者"是指为数据控制者处理个人数据的组织或个人；（十）"监管机构"是指根据中国法律和法规有权对数据安全、个人信息保护和网络安全进行监管的机构。第二条适用范围与数据（一）本协议适用于甲方与乙方在业务合作中涉及的所有数据处理活动以及双方接触的所有保密信息。（二）数据处理活动包括但不限于数据的收集、存储、传输、使用、加工、提供、公开、删除、备份、恢复以及相关的系统维护和运行活动。（三）本协议适用的数据包括但不限于甲方的客户个人信息、敏感个人信息、商业秘密以及其他经营信息、技术信息等。（四）具体的数据类型、处理目的、处理方式、数据流转路径等详见双方另行签署的《数据清单》或相关业务合作协议（如有）。第三条数据安全义务（一）双方承诺各自在数据处理活动中严格遵守中国及甲方法律法规和监管机构关于数据安全的要求，建立健全的数据安全管理制度。（二）乙方应采取必要的技术和管理措施保障甲方数据的安全，包括但不限于：1.对传输中的数据进行加密传输；2.对存储的数据进行加密存储；3.建立严格的访问控制机制，遵循最小必要权限原则；4.定期进行安全风险评估和渗透测试，并及时修复发现的安全漏洞；5.建立数据安全事件应急预案，并在发生安全事件时立即通知甲方，并配合甲方进行调查和处理；6.对服务所涉及的服务器、网络设备、存储设备等采取物理安全防护措施；7.确保其员工充分了解并遵守数据安全要求，与员工签订包含保密义务的协议。（三）甲方应监督乙方数据安全义务的履行情况，并有权根据协议约定进行审计和检查。乙方应配合甲方的审计工作，提供必要的文档、记录和访问权限。（四）如乙方委托第三方处理数据，乙方应确保该第三方遵守不低于本协议要求的数据安全义务，并将甲方的数据安全要求告知第三方，并对第三方的行为承担连带责任。第四条数据保密义务（一）双方及其员工、代理人（以下简称“接触人员”）应对在合作过程中获知的对方保密信息承担严格的保密义务，不得以任何方式泄露、披露、转让或用于本协议约定之外的目的。（二）接触人员仅能为履行本协议之目的，在必要的范围内接触保密信息，并应采取不低于保护自身核心商业秘密的标准来保护该等保密信息。（三）乙方应确保其接触人员遵守本协议的保密义务，并在其与接触人员签订的协议中明确其保密责任。（四）本协议的保密义务不因本协议的终止而失效，双方均有义务在协议终止后以及根据要求，将所有包含对方保密信息的资料（无论何种形式）返还给对方或予以销毁，并应要求提供销毁证明。（五）以下信息不属于保密信息：①已经公开的信息；②接收方在披露前已经合法知晓的信息；③接收方从无保密义务的第三方合法获得的信息；④接收方证明其未违反保密义务且无实质性不正当商业利益的、从披露方公开渠道合法获得的信息。第五条数据处理活动规范（一）乙方在处理甲方数据时，应遵守适用的法律法规和监管要求，确保处理活动的合法性、正当性、必要性。（二）数据处理应遵循目的限制原则，仅为履行本协议约定的目的处理数据，不得超出约定范围。（三）如数据处理活动涉及个人信息，乙方应以甲方名义处理，并确保采取必要措施保障数据主体的合法权益，建立并维护处理个人信息的记录，并根据甲方要求，协助甲方履行个人信息保护法规规定的义务，如响应数据主体的权利请求等。（四）任何涉及向境外传输甲方数据的行为，必须事先获得甲方书面同意，并确保符合中国法律和监管机构关于数据跨境传输的所有要求，包括但不限于进行安全评估、获得必要的批准或许可、采取标准合同等必要保护措施。第六条数据主体权利保护双方应相互协作，确保甲方能够依法履行个人信息保护法等相关法律法规规定的数据主体权利请求，包括但不限于访问权、更正权、删除权等。乙方应建立相应的内部流程，配合甲方处理相关请求。第七条数据返还或销毁（一）本协议终止时，或双方约定的委托任务完成时，乙方应在收到甲方要求后的[三十]个工作日内，将甲方所有数据（包括个人信息、敏感个人信息、商业秘密及其他所有属于甲方的数据，无论以何种形式存在，包括电子文档、纸质文件、数据库记录、备份等）以及所有包含甲方保密信息的资料返还给甲方，或根据甲方指示在甲方监督下予以彻底销毁，并应甲方要求提供书面销毁证明。（二）本协议终止或任务完成后，双方仍需遵守第三条和第四条关于数据安全和保密的规定。第八条审计与监督权甲方有权根据本协议约定及其实际需要，对乙方履行本协议的情况，特别是数据安全措施、数据处理活动、保密信息保护情况等进行定期或不定期的审计、检查和监督。乙方应予以配合，提供必要的访问权限、数据、文档等信息，并就审计中发现的问题进行说明和整改。第九条违约责任（一）任何一方违反本协议约定，给对方造成损失的，应承担赔偿责任，包括但不限于直接损失、合理的间接损失以及因监管机构处罚导致的损失。（二）若乙方违反本协议第三条关于数据安全义务的约定，导致甲方数据泄露、篡改、丢失或遭受其他损害，乙方应承担相应的赔偿责任。若损失是由于乙方故意或重大过失造成的，甲方有权要求全额赔偿。（三）若乙方违反本协议第四条关于保密义务的约定，泄露、披露、转让或不当使用甲方的保密信息，给甲方造成损失的，乙方应承担相应的赔偿责任。（四）若因乙方原因导致甲方违反相关法律法规或监管机构要求，从而受到行政处罚或产生其他负面影响的，乙方应承担相应的责任，并赔偿甲方因此遭受的损失。（五）本协议约定的违约责任不受争议解决方式的影响。第十条通知与联络双方在本协议首部列明的地址、联系人及联系方式为正式联系方式。任何根据本协议发出的通知或文件，应以书面形式通过专人递送、挂号信、传真或电子邮件等方式发送至上述地址或联系方式。以专人递送方式发出的通知，签收日为送达日；以挂号信方式发出的通知，寄出后[七]日为送达日；以传真方式发出的通知，发送成功日为送达日；以电子邮件方式发出的通知，邮件进入接收方电子邮箱系统之日为送达日。任何一方变更联系方式，应提前[七]日书面通知对方。第十一条协议期限与终止（一）本协议自双方授权代表签字并加盖公章（或合同专用章）之日起生效，有效期为[壹]年。期满前[三十]日，如双方无书面异议，本协议自动续展[壹]年，续展次数不限/续展次数以[壹]次为限。（二）本协议在任何一方提前[三十]日书面通知对方并经对方同意的情况下可以终止。（三）发生以下情况之一时，本协议可立即终止：1.双方协商一致同意终止；2.一方严重违反本协议约定，经另一方书面催告后[十五]日内仍未纠正的；3.一方进入破产、清算、解散或停业状态；4.因不可抗力导致本协议无法履行，且不可抗力影响持续超过[三十]日的。（四）本协议终止不影响双方在本协议终止前产生的权利和义务，包括保密义务、违约责任等。第十二条法律适用与争议解决（一）本协议的订立、效力、解释、履行及争议解决均适用中华人民共和国法律。（二）因本协议引起的或与本协议有关的任何争议，双方应首先通过友好协商解决。协商不成的，任何一方均有权将争议提交[甲方/乙方]所在地有管辖权的人民法院诉讼解决/提交[指定仲裁机构名称，例如：中国国际经济贸易仲裁委员会]按照其届时有效的仲裁规则进行仲裁。仲裁裁决是终局的，对双方均有约束力。第十三条其他条款（一）完整协议：本协议构成双方就本协议主题达成的完整协议，取代此前所有口头或书面的约定、谅解或协议。（二）可分割性：若本协议任何条款被认定为无效或不可执行，该条款的无效或不可执行不影响其他条款的效力。（三）修订：对本协议的任何修订或补充，均须经双方书面同意并签署补充协议，补充协议与本协议具有同等法律效力。（四）转让：未经对方事先书面同意，任何一方不得将其在本协议项下的权利或义务部分或全部转让给任何第三方。（五）知识产权：双方在履行本协议过程中产生的知识产权归属，按照双方另行签署的协议约定执行；如无约定，归各自所有，但一方使用对方的知识产权应获得对方许可，并支付相应费用（如有）。（六）不可抗力：因地震、台风、洪水、火灾、战争、政策变化、法律修订等不可预见、不能避免且不能克服的不可抗力事件，导致任何一方无法履行本协议部分或全部义务的，该方不承担违约责任，但应在事件发生后[七]日内通知对方，并提供相关证明，双方应根据事件影响协商决定是否延期履行、部分履行或终止协议。（七）通知：本协议中“日”指自然日，“月”指日历月，“年”指日历年。（八）文本与份数：本协议以中文书就，一式[肆]份，甲乙双方各执[