京东物流信息安全合同协议

京东物流信息安全合同协议鉴于甲方（客户）需要委托京东物流（以下简称“乙方”）提供物流服务，并涉及处理甲方或其客户的客户信息，甲乙双方本着平等自愿、公平合理、诚实信用的原则，依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》及其他相关法律法规，经友好协商，达成如下协议：甲乙双方确认已仔细阅读并充分理解本协议所有条款，并同意受其约束。第一条定义与解释除非本协议另有明确约定，下列词语具有以下含义：1.1“客户信息”指在甲方委托乙方提供物流服务过程中，由甲方提供或乙方在服务过程中获取的，能够单独或者与其他信息结合识别特定自然人的各种信息，以及能够识别特定自然人的自然人的财产信息、物流信息等与个人信息相关的信息。1.2“敏感个人信息”指客户信息中一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，具体包括但不限于身份证号码、银行卡号、支付账号、手机号码、家庭住址、个人生物识别信息、医疗健康信息、行踪轨迹信息等。1.3“数据处理”指对客户信息进行收集、存储、使用、加工、传输、提供、公开、删除等操作。1.4“信息安全管理”指为保护客户信息安全而采取的技术措施和管理措施，包括但不限于加密、访问控制、安全审计、漏洞管理、应急响应等。1.5“业务场景”指甲方委托乙方提供的具体物流服务项目或服务环节。1.6“法律法规”指在中华人民共和国境内有效的法律、行政法规、部门规章、地方性法规、司法解释及行业规范。1.7“守门人”指甲方指定的负责信息安全和保密事宜的联系人及授权代表。第二条适用范围与主体2.1本协议适用于甲方委托乙方提供的所有物流服务，包括但不限于运输、仓储、配送、装卸、包装、信息处理等。2.2本协议的适用范围涵盖在上述业务场景中处理的全部客户信息。2.3甲方为中华人民共和国境内合法存续的法人或其他组织，具有合法收集、使用客户信息的权利和主体资格。2.4乙方为京东物流控股股份有限公司或其指定的子公司，是依据中华人民共和国法律设立并合法存续的企业，拥有提供物流服务的资质和能力。第三条客户信息的提供3.1甲方负责向乙方提供履行本协议所需的客户信息，并保证所提供信息的真实性、准确性、完整性及合法性。3.2甲方应根据乙方要求，以书面、电子或其他约定的安全方式向乙方提供客户信息。3.3甲方应确保其获取客户信息的来源合法，并取得客户必要的同意或授权，特别是对于处理敏感个人信息。3.4甲方应在客户信息发生变更时，及时通知乙方更新。第四条京东物流的信息安全责任4.1乙方承诺遵守所有适用的法律法规及国家、行业关于信息安全、网络安全、数据安全的各项标准和规范。4.2乙方在处理客户信息时，应采取包括但不限于以下合理的安全措施：(a)建立健全信息安全管理制度和操作规程；(b)采用加密、访问控制、安全审计等技术措施保护客户信息；(c)定期进行安全风险评估和漏洞扫描，及时修复安全漏洞；(d)建立应急响应机制，及时处理信息安全事件；(e)对接触客户信息的员工进行信息安全培训和管理；(f)对存储客户信息的系统和设备进行物理和逻辑隔离及保护；(g)根据客户信息的敏感程度，实施分类分级管理。4.3乙方仅将收集到的客户信息用于为本协议约定的业务场景提供物流服务以及履行合同所必需的辅助性活动，不得超出约定范围使用。4.4未经甲方事先书面同意，乙方不得将甲方提供的客户信息用于任何其他目的，或提供给任何第三方，但以下情形除外：(a)依据法律法规或有权机关的要求进行信息披露；(b)为履行本协议约定，将客户信息委托给履行相关辅助服务且具有相应资质和保密义务的第三方（如承运商、仓储商、报关行等），并确保该第三方遵守不低于本协议约定的安全标准；(c)甲方要求乙方将客户信息提供给与其有合法业务联系的关联方，但需确保关联方遵守保密义务；(d)为维护乙方自身及甲方的合法权益进行必要的法律主张。4.5乙方处理客户信息时，应遵循合法、正当、必要、诚信的原则，并遵循最小必要原则，仅处理为实现特定目的所必需的客户信息。4.6如因履行本协议需要，乙方确需委托第三方处理客户信息时，乙方应事先获得甲方的书面同意，并对该第三方进行尽职调查，确保其具备相应的能力和资质，并与其签订协议，明确其承担与本协议约定一致的安全保护义务和保密义务。4.7乙方应接受甲方基于本协议约定的合理安全审计，包括但不限于对数据处理活动的检查、安全措施的有效性评估等，乙方应配合提供必要的材料和信息，但审计不得影响乙方的正常业务运营，审计费用由甲方承担，若审计发现安全问题，乙方应立即整改。4.8发生或可能发生信息安全事件（包括但不限于客户信息泄露、篡改、丢失等）时，乙方应在事件发生后[例如：二十四（24）]小时内通知甲方，并按照法律法规要求及双方约定，及时采取措施控制事件影响，进行应急处置，并配合甲方及有关部门进行调查和处理。4.9乙方承诺对其聘用的员工以及通过劳动合同、服务协议或其他方式控制其行为的第三方人员，进行必要的信息安全保密培训和管理，确保其了解并遵守本协议项下的保密义务和信息安全要求。4.10乙方应妥善保管包含客户信息的各类记录和资料，并在本协议终止或甲方要求销毁时，根据甲方要求或法律法规规定，安全删除或匿名化处理相关客户信息，并出具书面证明。第五条客户的信息安全责任5.1甲方应确保其获取客户信息的来源合法合规，并就处理客户信息所履行的告知、同意等法律义务已尽到合理注意和履行。5.2甲方应采取必要的安全措施保护其提供的客户信息在传输和存储过程中的安全。5.3甲方应妥善管理其与乙方系统对接的账户和凭证，并确保只有授权人员才能访问相关系统和信息。5.4甲方应按照乙方要求或本协议约定，及时向乙方提供必要的指示和配合，以保障客户信息的安全。5.5甲方应对其员工或代理人处理客户信息的行为进行管理和监督，确保其遵守本协议项下的保密义务和信息安全要求，并承担因其员工或代理人违约行为给乙方造成损害的责任。第六条信息的使用与目的限制6.1乙方处理甲方客户信息的目的仅限于为本协议约定的业务场景提供物流服务，包括但不限于订单处理、货物追踪、配送安排、运输管理、仓储管理、信息反馈、客户服务等。6.2乙方不得将甲方客户信息用于本协议约定目的之外的其他任何用途，不得进行任意扩大化或商业化的使用。6.3除非获得甲方事先的书面同意，否则乙方不得将甲方客户信息与任何其他信息进行整合或关联。第七条信息的共享与披露7.1乙方在法律法规要求、为履行本协议项下义务所必需（例如，向承运商、机场、港口、海关、邮政等监管部门或服务协作方提供客户信息以完成物流服务），或为维护乙方及甲方合法权益而采取法律行动等情况下，可以在必要时向第三方披露甲方客户信息。7.2乙方在进行前款所述披露前，应尽可能提前通知甲方，除非法律法规要求立即披露或披露将导致法律行动无法进行。7.3乙方对因履行本协议而可能接触到的关联方或第三方（如承运商、仓储商），应要求其承担不低于本协议约定的保密义务和信息安全保护责任，并确保其仅为履行与本协议相关的特定任务而访问客户信息。第八条数据的跨境传输（如适用）8.1如本协议项下的数据处理涉及将客户信息传输至中华人民共和国境外，乙方承诺遵守《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等关于数据跨境传输的法律法规要求。8.2乙方应采取必要的措施，确保境外接收方承担不低于本协议约定的保密义务和信息安全保护责任，并符合中国法律法规的相关要求。具体措施包括但不限于签订标准合同、通过国家网信部门的安全评估、获取客户明确同意等，具体方式依据相关法律法规及双方约定执行。第九条信息的存储与保留期限9.1乙方应将甲方客户信息存储在符合国家法律法规和行业标准的安全环境中。9.2乙方对甲方客户信息的保留期限应限于为实现本协议约定目的以及履行法律法规规定的义务所必需的最短期限。在本协议终止后，或在甲方要求销毁信息时，乙方应根据甲方要求或法律法规规定，安全删除或匿名化处理相关客户信息，并确保信息无法被复原。9.3乙方应根据业务需要及法律法规要求，制定并实施客户信息的保留和销毁政策。第十条保密义务10.1甲乙双方应对从对方获取的、或在本协议履行过程中接触到的、以任何形式存在的、标有“保密”、“机密”或类似字样，或根据其性质应被合理认定为保密的信息（以下简称“保密信息”）承担保密义务。10.2保密信息包括但不限于：双方的技术信息、商业计划、客户名单、价格体系、运营数据、个人信息、敏感个人信息、本协议条款内容等。10.3除非法律法规要求、有权机关强制要求或为履行本协议之目的（且仅为必要范围内），任何一方不得向任何第三方披露保密信息，但可向该第三方的工作人员披露，该第三方工作人员对此类信息负有与该方同等的保密义务。10.4甲乙双方仅在实现本协议目的所必需的范围内使用保密信息，不得用于任何其他目的。10.5保密义务不因本协议的终止而解除，双方应在本协议终止后[例如：三（3）]年内继续有效。第十一条安全事件与通知11.1甲乙双方应各自建立信息安全事件应急响应机制，并在发生或可能发生信息安全事件时，采取及时有效的措施控制损害。11.2发生或可能发生信息安全事件时，乙方应在[例如：二十四（24）]小时内通知甲方，并详细说明事件的基本情况、影响范围、已采取或拟采取的措施以及后续处置计划。甲方应在收到通知后，根据自身情况评估事件影响，并就后续处置提供必要的指导或配合。11.3甲乙双方均应根据相关法律法规的要求，及时向国家网信部门、公安部门等监管部门报告信息安全事件。第十二条权利与义务平衡12.1在法律法规允许的范围内，甲方有权要求乙方提供与其客户信息相关的查询、更正、删除等服务，乙方应在合理范围内予以配合。12.2乙方有权要求甲方提供必要的客户信息以履行服务义务，甲方应及时响应。12.3双方均应遵守国家关于数据安全和个人信息保护的法律法规，履行相应的社会责任。第十三条违约责任13.1若任何一方违反本协议约定，给对方造成损失的，应承担赔偿责任。损失赔偿范围包括但不限于直接经济损失、合理的维权费用（包括但不限于律师费、诉讼费、仲裁费）等。13.2若乙方违反本协议第四条、第五条关于客户信息安全保护的约定，导致甲方客户信息泄露、丢失、被篡改或遭受其他损害的，乙方应承担相应的赔偿责任。赔偿金额应合理反映甲方因乙方违约行为所遭受的损失，具体计算方式可参考[例如：泄露或丢失的客户数量、敏感信息比例、采取的补救措施费用等]，但累计赔偿金额一般不超过本协议总金额的[例如：百分比]%或设定具体上限。13.3若甲方违反本协议第三条、第五条关于客户信息提供的约定，或违反本协议第十条关于保密义务的约定，给乙方造成损失的，甲方应承担相应的赔偿责任。13.4任何一方违约导致本协议需要解除或终止的，违约方应承担相应的违约责任。第十四条协议的变更、解除与终止14.1对本协议的任何修改或补充，均须经甲乙双方协商一致，并签署书面文件后方能生效。14.2除本协议另有约定外，任何一方未经对方书面同意，不得单方面变更或解除本协议。14.3发生以下情况之一，本协议可被解除：(a)双方协商一致同意解除；(b)因不可抗力导致本协议目的无法实现；(c)一方严重违反本协议约定，经守门人书面通知后在[例如：十（10）]日内仍未纠正；(d)一方进入破产、清算程序。14.4本协议在以下情况下终止：(a)双方约定的协议期限届满，且双方均未续签；(b)双方协商一致同意终止；(c)因不可抗力导致本协议无法继续履行；(d)因一方严重违约导致本协议被解除。14.5本协议终止或解除后，双方应在[例如：十五（15）]日内完成客户信息的返还、销毁或匿名化处理，并互相提供书面证明。双方根据本协议产生的保密义务、争议解决条款以及关于知识产权、法律适用和仲裁的条款在本协议终止后继续有效。第十五条法律适用与争议解决15.1本协议的订立、效力、解释、履行及争议解决均适用中华人民共和国法律（为本协议之目的，不包括香港特别行政区、澳门特别行政区和台湾地区的法律）。15.2因本协议引起的或与本协议有关的任何争议，双方应首先通过友好协商解决。协商不成的，任何一方均有权将争议提交[选择以下之一：(a)北京仲裁委员会，按照其届时有效的仲裁规则进行仲裁；(b)甲方所在地有管辖权的人民法院诉讼解决；(c)乙方所在地有管辖权的人民法院诉讼解决]，仲裁裁决是终局的，对双方均有约束力。/或/任何一方均有权将争议提交[具体仲裁委员会名称]，按照其届时有效的仲裁规则进行仲裁。仲裁地点为[具体城市]。/或/任何一方均有权将争议提交[具体法院名称]，由其依法裁决。管辖法院为[具体法院名称]。第十六条不可抗力16.1“不可抗力”是指不能预见、不能避免并不能克服的客观情况，包括但不限于自然灾害（如地震、洪水、台风）、战争、动乱、政府行为（如法律、法规的变更、税收政策调整）、流行病疫情以及火灾、爆炸等意外事故。16.2任何一方因不可抗力导致无法履行或无法完全履行本协议义务的，不承担违约责任，但应在不可抗力发生后