重要数据出境安全评估申报材料预审服务合同

重要数据出境安全评估申报材料预审服务合同合同编号：__________

重要数据出境安全评估申报材料预审服务合同

第一章总则

第一条定义

1.1本合同所称“重要数据”是指涉及国家安全、国民经济运行、社会公共利益以及个人信息、商业秘密等敏感信息的特殊数据类别。

1.2本合同所称“数据出境”是指数据主体或数据处理者将重要数据传输至境外服务器、存储设施或提供给境外个人、组织使用的行为。

1.3本合同所称“预审服务”是指数据出境主体委托数据安全评估机构对数据出境申报材料进行初步审核，确保其符合《网络安全法》《数据安全法》《个人信息保护法》等相关法律法规及行业规范的服务。

第二条适用范围

2.1本合同适用于任何需要将重要数据出境并进行安全评估申报的主体（以下简称“委托方”）与数据安全评估机构（以下简称“服务方”）之间的合作。

2.2本合同约定的预审服务范围包括但不限于数据出境申报材料的完整性、合规性、安全性及风险控制措施的合理性与有效性。

第三条法律依据

3.1本合同的订立、效力、解释、履行及争议解决均适用中华人民共和国法律。

3.2委托方及服务方均应遵守国家关于数据出境管理的各项法律法规，确保数据出境行为的合法性、合规性。

第二章委托方的权利与义务

第四条委托方的权利

4.1委托方有权要求服务方在约定时间内完成对数据出境申报材料的预审工作，并获取预审报告。

4.2委托方有权对预审过程中发现的问题提出修改意见，并要求服务方进行补充审核。

4.3委托方有权要求服务方对预审过程中涉及的商业秘密和技术秘密承担保密义务。

第五条委托方的义务

5.1委托方应向服务方提供真实、完整、准确的数据出境申报材料，并对材料的真实性、合法性负责。

5.2委托方应配合服务方进行预审工作，及时提供所需补充资料或说明。

5.3委托方应按照约定支付预审服务费用，并承担因材料不完整或虚假导致的额外审核费用。

第三章服务方的权利与义务

第六条服务方的权利

6.1服务方有权要求委托方提供完整的数据出境申报材料，并对材料的质量和合规性进行审核。

6.2服务方有权根据预审结果，要求委托方对不符合要求的部分进行修改或补充。

6.3服务方有权按照约定收取预审服务费用，并保留因预审过程中产生的合理支出。

第七条服务方的义务

7.1服务方应在收到完整申报材料后的五个工作日内完成预审工作，并出具预审报告。

7.2服务方应在预审过程中发现问题时，及时通知委托方，并提供合理的修改建议。

7.3服务方应严格遵守保密义务，对预审过程中获取的委托方商业秘密和技术秘密进行严格保密，未经委托方书面同意，不得向任何第三方泄露。

第四章预审服务的具体内容

第八条预审范围

8.1数据出境的合法性审查：核实委托方是否具备数据出境的合法资质，包括但不限于数据出境备案、安全评估等。

8.2数据出境的合规性审查：审查数据出境申报材料是否符合《网络安全法》《数据安全法》《个人信息保护法》等相关法律法规的要求。

8.3数据出境的安全性审查：评估数据出境过程中的技术措施、管理措施及应急响应机制是否合理有效，确保数据安全。

第九条预审流程

9.1委托方提交数据出境申报材料。

9.2服务方进行材料完整性、合规性及安全性的初步审核。

9.3服务方发现问题时，通知委托方进行修改或补充。

9.4委托方完成修改后，服务方进行最终审核，并出具预审报告。

第五章费用及支付方式

第十条费用标准

10.1预审服务费用按照委托方选择的服务套餐确定，具体费用标准由双方在合同附件中约定。

10.2如委托方需要额外服务，如补充审核、多次修改等，双方应另行协商确定费用。

第十一条支付方式

11.1委托方应在签订本合同后三日内支付预审服务费用的百分之五十作为预付款。

11.2服务方在完成预审工作并出具预审报告后，委托方应在五日内支付剩余的服务费用。

11.3如委托方未按时支付服务费用，服务方有权暂停预审服务，并要求委托方支付逾期付款利息。

第六章保密条款

第十二条保密内容

12.1本合同所称“保密内容”包括但不限于委托方的商业秘密、技术秘密、数据出境申报材料、预审报告等。

12.2双方应对保密内容承担保密义务，未经对方书面同意，不得向任何第三方泄露。

第十三条保密期限

13.1双方的保密义务自本合同签订之日起生效，持续有效。

13.2即使本合同终止，双方仍应继续履行保密义务，保密期限为合同终止后五十年。

第七章违约责任

第十四条委托方违约责任

14.1委托方未按时支付服务费用的，应按每日万分之五支付逾期付款利息。

14.2委托方提供虚假或虚假申报材料的，服务方有权解除合同，并要求委托方承担相应的赔偿责任。

第十五条服务方违约责任

15.1服务方未按时完成预审工作的，应按每日万分之五支付违约金，但累计违约金不超过预审服务费用的百分之五十。

15.2服务方泄露委托方保密内容的，应承担相应的赔偿责任，并承担相应的刑事责任。

第八章合同的变更与解除

第十六条合同变更

16.1本合同的任何变更，均须经双方协商一致，并签署书面补充协议。

16.2补充协议与本合同具有同等法律效力。

第十七条合同解除

17.1发生下列情形之一，守约方有权解除本合同：

（1）一方严重违反本合同约定，经守约方书面催告后仍未纠正的；

（2）一方进入破产、清算程序的；

（3）一方丧失履约能力的。

17.2合同解除后，双方应妥善处理善后事宜，包括但不限于保密内容的返还、费用的结算等。

第九章争议解决

第十八条争议解决方式

18.1双方在履行本合同过程中发生争议，应首先通过友好协商解决。

18.2协商不成的，任何一方均有权向服务方所在地人民法院提起诉讼。

第十九条争议处理原则

19.1争议处理过程中，双方应遵守相关法律法规，维护良好的商业信誉。

19.2争议处理结果不影响本合同其他条款的效力。

第十章附则

第二十条合同生效

20.1本合同自双方签字盖章之日起生效。

20.2本合同一式两份，委托方执一份，服务方执一份，具有同等法律效力。

第二十一条合同附件

21.1本合同附件包括但不限于预审服务费用标准、保密协议等，与本合同具有同等法律效力。

第二十二条其他

22.1本合同未尽事宜，由双方另行协商确定。

22.2本合同由双方共同遵守，任何一方不得擅自变更或解除。

**特殊应用场景一：跨国企业集团内部数据共享**

**应用场景说明**

跨国企业集团内部经常需要将重要数据（如财务报表、客户信息、研发数据等）在不同国家和地区之间的子公司或关联公司之间进行共享，以支持集团运营决策、协同研发或全球化业务拓展。此类数据出境行为虽然发生在关联公司之间，但依然属于《数据安全法》和《个人信息保护法》规制的“数据出境”，需进行安全评估和申报。与一般的数据出境不同，此类场景下数据接收方通常为关联企业，数据出境的目的在于集团内部协同，但法律合规性要求并未因此豁免。

**需要注意的条款及修正**

1.**条款修正建议**

-增加"关联方数据出境特殊处理条款"作为新增章节

-在原"第四条委托方义务"5.1条款中增加"若数据接收方为关联企业，委托方仍需提供数据接收方的合规证明文件"

-在原"第七条服务方义务"7.1条款中增加"对关联方数据出境需重点核查数据接收方的数据安全能力及合规资质"

2.**专业术语说明**

-需关注"数据出境安全评估申报"中关于"安全评估豁免"的例外情形，但关联方数据共享通常不适用豁免条款

-"数据控制权转移"条款需特别明确，确保数据在集团内部流转时仍处于集团统一控制下

-"跨境数据传输机制"应包含"标准合同条款（SCCs）"或"具有约束力的公司规则（BCRs）"等合规保障措施

**特殊应用场景二：医疗健康数据跨境临床研究**

**应用场景说明**

医疗健康机构为开展跨国临床研究，需将患者的电子病历、基因测序数据等敏感健康信息传输至境外合作研究机构。此类数据出境属于"重要数据"中的"敏感个人信息"，且直接关系到患者健康权益，法律监管更为严格。此类场景的特殊性在于数据具有高度敏感性，且出境目的具有科研公益属性，但法律合规要求绝不降低。

**需要注意的条款及修正**

1.**条款修正建议**

-增加"敏感个人信息跨境处理特殊条款"作为新增章节

-在原"第二条适用范围"2.1条款中增加"涉及临床研究、药物研发等科研目的的数据出境适用本合同"

-在原"第八条预审范围"8.2条款中增加"医疗健康数据出境需特别核查是否符合《健康医疗数据安全管理规范》要求"

2.**专业术语说明**

-需重点关注"个人信息处理目的正当性"条款，临床研究目的需符合《个人信息保护法》第十三条规定的情形

-"数据安全保障措施"条款应明确要求采用"去标识化处理"、"差分隐私技术"等医疗数据安全保护技术

-"跨境数据传输机制"需符合欧盟GDPR的"adequacydecision"或"standardcontractclauses"要求

**特殊应用场景三：人工智能模型训练数据出境**

**应用场景说明**

**需要注意的条款及修正**

1.**条款修正建议**

-增加"人工智能数据处理特殊条款"作为新增章节

-在原"第五条委托方义务"5.1条款中增加"需提供数据脱敏说明及样本代表性证明"

-在原"第七条服务方义务"7.3条款中增加"对AI模型训练过程的数据使用进行审计"

2.**专业术语说明**

-需关注"自动化决策"条款，确保AI模型训练符合《个人信息保护法》第四十条关于自动化决策的限制性规定

-"数据安全保障措施"条款应要求"数据加密传输"、"访问控制"、"异常行为监测"等安全机制

-"跨境数据传输机制"需考虑采用"隐私增强技术（PETs）"等先进技术手段

**特殊应用场景四：供应链金融数据跨境共享**

**应用场景说明**

金融机构为开展跨境供应链金融服务，需将企业的交易流水、物流信息等经营性数据传输至境外合作机构。此类数据属于"重要数据"中的"经营性数据"，且直接关系到企业融资权益，需确保数据出境过程安全合规。此类场景的特殊性在于数据具有商业敏感性，且出境目的为金融服务创新，但法律监管要求绝不降低。

**需要注意的条款及修正**

1.**条款修正建议**

-增加"供应链金融数据跨境处理特殊条款"作为新增章节

-在原"第四条委托方义务"5.1条款中增加"需提供数据使用授权证明及商业秘密保护协议"

-在原"第八条预审范围"8.1条款中增加"供应链金融数据出境需符合《供应链金融数据管理办法》要求"

2.**专业术语说明**

-需重点关注"数据跨境使用授权"条款，确保企业已获得充分的内部授权

-"数据安全保障措施"条款应要求"数据加密存储"、"多方安全计算"等供应链金融特有的安全技术

-"跨境数据传输机制"需符合"数据本地化"要求，即境外合作机构需在中国境内设立数据存储设施

**特殊应用场景五：跨境电商平台数据跨境传输**

**应用场景说明**

跨境电商平台需将消费者的购物记录、支付信息等数据传输至境外仓储物流或支付机构。此类数据属于"重要数据"中的"个人信息"，且直接关系到消费者财产权益，法律监管要求严格。此类场景的特殊性在于数据涉及交易全链路，且数据接收方通常是境外第三方服务提供商，需建立完善的第三方管理机制。

**需要注意的条款及修正**

1.**条款修正建议**

-增加"第三方服务提供商数据跨境处理特殊条款"作为新增章节

-在原"第四条委托方义务"5.2条款中增加"需提供第三方服务提供商的合规认证文件"

-在原"第七条服务方义务"7.2条款中增加"对第三方服务提供商的数据处理活动进行定期审计"

2.**专业术语说明**

-需重点关注"数据接收方尽职调查"条款，确保境外服务提供商符合《个人信息保护法》第七十六条规定的条件

-"数据安全保障措施"条款应要求"数据传输加密"、"数据访问日志"、"跨境数据传输协议"等电商场景特有的安全要求

-"跨境数据传输机制"需符合"数据可携权"要求，即消费者有权要求跨境传输其个人信息

**合同实际操作过程中遇到的问题及解决办法**

1.**问题：数据出境前的合规性自评估难以全面覆盖**

-**解决办法**：增加"合规自评估工具清单"作为附件，提供《数据出境安全评估申报指南》中要求的核查清单工具，指导委托方进行全面自查

2.**问题：境外数据接收方合规资质难以核实**

-**解决办法**：增加"境外数据处理者合规证明要求清单"作为附件，明确需核查的证明文件类型（如欧盟的GDPR认证、新加坡的PDPA认证等）

3.**问题：数据出境申报材料更新频繁导致预审工作反复**

-**解决办法**：在原"第九条预审流程"中增加"材料变更管理机制"，规定变更次数限制及每次变更的额外服务费标准

4.**问题：预审过程中发现的问题难以界定责任归属**

-**解决办法**：增加"问题责任界定条款"，明确"技术性问题"由服务方负责，"材料真实性问题"由委托方负责，"合规性建议"仅供参考

5.**问题：跨境数据传输中断导致业务延误**

-**解决办法**：增加"数据传输中断应急预案"作为附件，规定传输中断后的通知时限、解决方案及赔偿标准

**原始合同所需的详细附件清单**

1.**附件一：数据出境安全评估申报材料清单**

-数据出境申报表

-数据安全管理制度

-数据出境风险评估报告

-数据接收方合规证明文件

-跨境数据传输机制说明

-数据主体权利保障措施

2.**附件二：合规自评估工具清单**

-《数据出境安全评估申报指南》核查清单

-《个人信息保护法》合规性自评估表

-《网络安全法》合规性自评估表

3.**附件三：境外数据处理者合规证明要求清单**

-欧盟GDPR认证文件模板

-新加坡PDPA认证文件模板

-美国CCPA合规证明模板

-加拿大PIPEDA认证文件模板

4.**附件四：材料变更管理机制说明**

-变更申请表模板

-变更影响评估流程

-额外服务费标准表

5.**附件五：问题责任界定条款说明**

-技术问题界定标准

-材料真实性责任划分

-合规性建议使用说明

6.**附件六：数据传输中断应急预案**

-通知流程图

-解决方案清单

-赔偿标准计算公式

7.**附件七：预审服务费用标准表**

-基础预审服务费

-补充审核费用

-多次修改费用

-额外服务费用

8.**附件八：保密协议模板**

-数据安全保密条款

-保密期限说明

-违约责任条款

9.**附件九：跨境数据传输机制范本**

-标准合同条款（SCCs）范本

-具有约束力的公司规则（BCRs）范本

-安全评估报告模板

10.**附件十：数据主体权利保障措施清单**

-数据主体权利告知书

-数据主体权利行使流程

-数据主体投诉处理机制

多方为主导时的，附件条款及说明

**第二十一条多方主导情形的特殊条款**

第二十一条之一甲方为主导时的特殊条款

第二十一条之二乙方为主导时的特殊条款

第二十一条之三第三方中介参与时的特殊条款

**第二十一条之一甲方为主导时的特殊条款**

第二十一条之一第一条主导方权利义务特别约定

1.1甲方作为数据出境的主导方，除本合同已有约定外，就数据出境的决策、审批及后续管理等事项享有最终决定权，但需确保所有决策符合《数据安全法》《个人信息保护法》等相关法律法规的要求。

1.2甲方应负责建立完善的数据出境管理机制，包括但不限于数据分类分级、风险评估、合规审查、应急预案等，并确保服务方能够有效参与其中。

1.3甲方应向服务方提供数据出境相关的背景资料、业务流程及合规要求说明，确保服务方能够全面理解数据出境的必要性和合规性。

1.4甲方应配合服务方进行数据出境安全评估，及时提供所需资料，并对资料的真实性、准确性、完整性负责。

1.5甲方应就数据出境可能产生的法律风险、合规风险及安全风险进行充分评估，并制定相应的应对措施。

第二十一条之一第二条主导方决策机制特别约定

2.1甲方应建立数据出境决策机制，明确决策流程、决策主体及决策权限，确保决策过程透明、可追溯。

2.2甲方在做出数据出境决策前，应充分征求内部相关部门及服务方的意见，并进行必要的风险评估和合规审查。

2.3甲方应记录数据出境决策过程，包括决策依据、决策流程、决策结果等，并妥善保存相关记录。

2.4甲方应建立数据出境决策的变更机制，明确变更条件、变更流程及变更权限，确保变更过程合规、可控。

第二十一条之一第三条主导方监督机制特别约定

3.1甲方应建立数据出境监督机制，对数据出境过程进行持续监控，及时发现并处理数据出境过程中出现的问题。

3.2甲方应定期对数据出境情况进行审计，评估数据出境的合规性、安全性和有效性，并持续改进数据出境管理机制。

3.3甲方应建立数据出境问题的应急处理机制，明确应急响应流程、应急响应措施及应急响应责任，确保在数据出境过程中出现问题时能够及时、有效地进行处理。

3.4甲方应定期对数据出境监督机制进行评估，评估监督机制的合规性、有效性和可操作性，并持续改进监督机制。

第二十一条之一第四条主导方责任特别约定

4.1甲方作为数据出境的主导方，对数据出境的合规性、安全性和有效性承担最终责任。

4.2甲方应确保数据出境过程符合《数据安全法》《个人信息保护法》等相关法律法规的要求，并对数据出境过程中产生的法律风险、合规风险及安全风险承担相应责任。

4.3甲方应就数据出境可能产生的法律风险、合规风险及安全风险进行充分评估，并制定相应的应对措施。

4.4甲方应建立数据出境责任的追究机制，对违反数据出境管理规定的责任主体进行追究。

**第二十一条之二乙方为主导时的特殊条款**

第二十一条之二第一条主导方权利义务特别约定

1.1乙方作为数据出境的主导方，除本合同已有约定外，就数据出境的决策、审批及后续管理等事项享有最终决定权，但需确保所有决策符合《数据安全法》《个人信息保护法》等相关法律法规的要求。

1.2乙方应负责建立完善的数据出境管理机制，包括但不限于数据分类分级、风险评估、合规审查、应急预案等，并确保委托方能够有效参与其中。

1.3乙方应向委托方提供数据出境相关的背景资料、业务流程及合规要求说明，确保委托方能够全面理解数据出境的必要性和合规性。

1.4乙方应配合委托方进行数据出境安全评估，及时提供所需资料，并对资料的真实性、准确性、完整性负责。

1.5乙方应就数据出境可能产生的法律风险、合规风险及安全风险进行充分评估，并制定相应的应对措施。

第二十一条之二第二条主导方决策机制特别约定

2.1乙方应建立数据出境决策机制，明确决策流程、决策主体及决策权限，确保决策过程透明、可追溯。

2.2乙方在做出数据出境决策前，应充分征求内部相关部门及委托方的意见，并进行必要的风险评估和合规审查。

2.3乙方应记录数据出境决策过程，包括决策依据、决策流程、决策结果等，并妥善保存相关记录。

2.4乙方应建立数据出境决策的变更机制，明确变更条件、变更流程及变更权限，确保变更过程合规、可控。

第二十一条之二第三条主导方监督机制特别约定

3.1乙方应建立数据出境监督机制，对数据出境过程进行持续监控，及时发现并处理数据出境过程中出现的问题。

3.2乙方应定期对数据出境情况进行审计，评估数据出境的合规性、安全性和有效性，并持续改进数据出境管理机制。

3.3乙方应建立数据出境问题的应急处理机制，明确应急响应流程、应急响应措施及应急响应责任，确保在数据出境过程中出现问题时能够及时、有效地进行处理。

3.4乙方应定期对数据出境监督机制进行评估，评估监督机制的合规性、有效性和可操作性，并持续改进监督机制。

第二十一条之二第四条主导方责任特别约定

4.1乙方作为数据出境的主导方，对数据出境的合规性、安全性和有效性承担最终责任。

4.2乙方应确保数据出境过程符合《数据安全法》《个人信息保护法》等相关法律法规的要求，并对数据出境过程中产生的法律风险、合规风险及安全风险承担相应责任。

4.3乙方应就数据出境可能产生的法律风险、合规风险及安全风险进行充分评估，并制定相应的应对措施。

4.4乙方应建立数据出境责任的追究机制，对违反数据出境管理规定的责任主体进行追究。

**第二十一条之三第三方中介参与时的特殊条款**

第二十一条之三第一