云计算服务安全协议（2026年）

云计算服务安全协议（2026年）本协议由以下双方于2026年签署：甲方（云服务用户）：[用户公司全称]法定地址：[用户公司地址]统一社会信用代码：[用户公司统一社会信用代码]乙方（云服务提供商）：[服务商公司全称]法定地址：[服务商公司地址]统一社会信用代码：[服务商公司统一社会信用代码]（以下简称“甲方”和“乙方”）鉴于：（a）乙方提供云计算服务（以下简称“云服务”），包括但不限于计算资源、存储空间、数据库服务、网络服务及应用平台等；（b）甲方希望使用乙方的云服务，并要求乙方采取合理的措施保护甲方在使用云服务过程中处理、存储或传输的数据（以下简称“用户数据”）及其他相关资产的安全；（c）双方希望明确在保障云服务安全方面各自的权利和义务。根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》及相关法律法规，本着平等互利、诚实信用的原则，双方经友好协商，达成如下协议，以资共同遵守。第一条定义与解释除非本协议上下文另有解释，下列术语具有以下含义：1.1“云服务”是指乙方提供给甲方的基于云计算技术的各类服务，包括但不限于基础设施即服务（IaaS）、平台即服务（PaaS）和软件即服务（SaaS）。1.2“用户数据”是指甲方在使用云服务过程中通过云服务处理、传输、存储或生成的任何形式的数据，包括但不限于个人信息、商业秘密、知识产权及其他非公开信息。1.3“安全事件”是指任何可能导致用户数据泄露、丢失、损坏，或影响云服务可用性、完整性的安全相关事件，包括但不限于未经授权的访问、恶意攻击、系统漏洞、自然灾害等。1.4“可用性”是指云服务按照约定水平正常运行的能力。1.5“完整性”是指用户数据未经授权不被修改或破坏。1.6“保密信息”是指一方（披露方）向另一方（接收方）披露的、未公开的、与披露方业务或技术相关的任何信息，包括但不限于用户数据、技术秘密、经营信息、安全策略、客户名单等。1.7“安全配置基线”是指乙方为保障云平台安全而制定的、推荐或强制执行的安全配置标准和实践集合。1.8“安全审计”是指对安全措施、流程和控制的有效性进行的检查和评估。1.9“业务影响事件”是指因安全事件或其他原因导致业务运营中断或受损的事件。第二条适用范围与责任划分2.1乙方责任：2.1.1基础设施安全：乙方负责保障其数据中心、网络设施、硬件设备、基础软件（如操作系统、数据库管理系统）等的物理安全、网络安全和运行安全，符合国家网络安全等级保护要求及行业最佳实践标准（如ISO27001）。2.1.2平台安全：乙方负责持续监控、维护和更新其提供的云平台软件、中间件及虚拟化环境，及时应用安全补丁，定期进行漏洞扫描和渗透测试，并对外披露重大漏洞信息。2.1.3数据传输与存储安全：乙方承诺使用行业标准的强加密协议（如TLS1.3）保护用户数据在传输过程中的安全。对于用户数据的存储，乙方应根据甲方的选择或服务类型，提供加密存储选项；若采用默认加密，则应明确加密算法和密钥管理责任。乙方应采取合理措施防止数据在存储过程中被未授权访问或泄露。2.1.4访问控制：乙方应实施严格的身份和访问管理机制，包括但不限于多因素认证（MFA）、基于角色的访问控制（RBAC）、特权访问管理（PAM）等，确保只有授权用户才能访问其授权的云资源。2.1.5安全监控与事件响应：乙方应部署和维护安全信息和事件管理（SIEM）系统，对云环境进行持续的安全监控和日志记录。乙方应制定并演练安全事件响应计划，在发生安全事件时，及时采取补救措施，并按照本协议约定及时通知甲方。2.1.6合规性：乙方应遵守所有适用于其运营所在地的中国及甲方法定管辖地的网络安全、数据保护、个人信息保护等相关法律法规和行业标准。乙方应向甲方提供其遵守相关合规要求的证明文件或报告（如适用）。2.1.7安全评估与报告：乙方应定期（例如每年）接受第三方独立安全审计，并向甲方提供审计报告。乙方应配合甲方进行合理范围内的安全审计。2.1.8免责声明：乙方不对因甲方原因（包括但不限于未遵守本协议约定、用户数据本身的性质、用户自行实施的非标准配置）、第三方攻击（包括恶意软件、网络钓鱼、拒绝服务攻击等）、不可抗力或法律法规变化而导致的安全问题或损失承担责任。2.2甲方责任：2.2.1数据分类与保护：甲方负责对其上载至云服务的用户数据进行分类，并根据数据的敏感性、重要性和合规要求，采取必要的加密、脱敏、访问控制等措施保护数据安全。2.2.2身份与访问管理：甲方负责创建、管理和保护其用户账户的登录凭证（包括用户名和密码、密钥等）。甲方应确保只有经过授权的人员才能访问其使用的云资源，并定期审查和撤销不再需要的访问权限。2.2.3安全配置：甲方负责根据其自身安全策略，对其使用的云服务组件（如虚拟机、数据库实例、存储卷、负载均衡器等）进行安全配置，并确保配置符合安全最佳实践，避免已知的安全漏洞和配置缺陷。2.2.4安全意识与培训：甲方应确保其接触云服务的员工接受必要的安全意识培训，了解相关的安全政策、操作规程以及如何防范常见的安全威胁。2.2.5数据备份与恢复：甲方应负责执行其数据备份策略，并定期测试备份数据的完整性和可恢复性。乙方应提供支持甲方备份需求的工具或服务，甲方需负责使用这些工具或服务完成备份操作。2.2.6遵守协议：甲方应遵守本协议的各项条款以及乙方发布的服务条款、使用政策及安全指南。2.2.7保密：甲方应对其提供的保密信息以及从乙方获取的保密信息（包括用户数据）承担保密义务，未经乙方书面同意，不得向任何第三方披露，除非法律法规要求或有权机关依法调取。第三条安全措施与管理3.1乙方应实施包括但不限于以下安全措施：3.1.1物理安全：保障数据中心具备严格的物理访问控制、环境监控（温湿度、电力、消防）、视频监控及灾难恢复能力。3.1.2网络安全：部署防火墙、入侵检测/防御系统（IDS/IPS）、DDoS攻击防护措施，并进行网络区域划分和隔离（如VPC/VNet）。3.1.3应用安全：提供或建议使用Web应用防火墙（WAF）等应用层安全防护措施。3.1.4数据加密：提供支持用户选择的数据传输加密（如TLS）和数据存储加密服务。3.1.5密钥管理：提供安全可靠的密钥管理服务（如云KMS），支持用户创建、存储、轮换、使用和销毁加密密钥。明确密钥管理的责任主体（如用户管理、乙方管理或混合模式）。3.1.6安全审计与日志：记录与安全相关的操作日志和事件日志（如登录日志、访问日志、操作日志、安全事件日志等），日志保留期限不少于[例如：满足合规要求的最长期限]，并提供接口供甲方访问或配合甲方审计。确保日志的完整性和不可否认性。3.1.7配置管理：实施配置管理流程，跟踪安全配置基线，管理变更请求，确保持续符合安全要求。3.2甲方在使用云服务时应实施以下安全管理措施：3.2.1访问控制：严格执行最小权限原则，为不同用户分配恰当的访问权限。3.2.2安全配置：根据业务需求和安全要求，配置其使用的云资源，并定期进行安全检查。3.2.3安全监控：利用乙方提供的监控工具或自行部署监控手段，监控其云资源的安全状态。第四条安全事件响应与通知4.1双方同意，在发生或怀疑发生安全事件时，应立即启动应急响应流程。4.2事件响应流程应包括但不限于：初步遏制、分析评估、根除影响、恢复服务、事后总结和改进。4.3乙方承诺，在确认发生或可能发生影响甲方用户数据安全的安全事件后，将在[例如：事件发生后的4小时]内（或根据事件严重程度约定更短时限）通知甲方，通知内容应包括事件的基本情况、可能的影响范围、已采取或拟采取的应对措施以及建议甲方应采取的配合措施等。4.4双方承诺在事件响应过程中进行紧密协作，共享必要的信息，共同应对安全威胁。4.5甲方在发现任何安全事件或可疑活动时，应立即通知乙方，并配合乙方进行调查和处理。第五条合规性与数据主权5.1双方确认并同意，乙方应遵守所有适用于其运营和向甲方提供服务活动的中国及甲方法定管辖地的网络安全、数据保护、个人信息保护等相关法律法规及行业标准。5.2乙方应确保甲方数据的存储地点符合甲方关于数据存储地理位置的要求（如适用），并应向甲方声明数据存储的具体区域或可用区。5.3乙方应向甲方提供其遵守关键合规性要求的证明文件或报告，例如ISO27001认证证书、网络安全等级保护测评报告等，并承诺在协议有效期内持续保持相应的合规状态。第六条安全评估与审计6.1乙方应定期（例如每年一次）委托独立的第三方安全服务机构对乙方提供的云服务进行安全审计，并向甲方提供审计报告。甲方应在收到乙方通知后[例如：15个工作日]内安排对审计报告进行审阅。若甲方需要进一步审计，应提前[例如：30天]书面通知乙方，双方应协商确定审计范围、时间和方式。6.2在出现以下情况时，甲方有权对甲方使用的云环境进行审计，乙方应提供必要的配合：6.2.1甲方有合理理由怀疑乙方未能履行本协议项下的安全义务；6.2.2甲方需要验证乙方实施的安全措施是否符合约定的标准或本协议的要求；6.2.3发生重大安全事件后，甲方需要评估乙方的事件响应效果。6.3双方均有权在符合法律法规及本协议约定的条件下，查阅、复制或获取与履行本协议相关的另一方文档、记录或信息，以评估对方的履约情况。第七条用户数据与系统访问7.1用户数据的所有权完全属于甲方。甲方对用户数据拥有合法的控制权，包括决定数据的存储、使用、传输、删除等。7.2乙方仅根据甲方的授权，在提供服务所必需的范围内访问甲方数据。乙方的员工或授权代表在提供服务、进行维护、故障排除或响应安全事件时，如确需访问甲方数据，应事先获得甲方的明确书面授权，并应采取不低于甲方自身标准的保密措施。乙方应对其员工或授权代表的任何违反此约定的行为承担全部责任。7.3甲方应对其用户账户和凭据的安全负全部责任，并应采取适当措施保护这些凭据不被泄露或未经授权使用。第八条免责声明与责任限制8.1乙方不对因甲方原因、用户数据本身的性质、甲方自行实施的非标准配置、第三方攻击、不可抗力或法律法规变化等导致的安全问题、数据丢失、业务中断或任何直接、间接、特殊、后果性或惩罚性损害承担责任。8.2除非甲方违反本协议项下的明确安全义务（如甲方未能遵守访问控制要求、未能及时通知安全事件等），否则乙方不对甲方因使用云服务而遭受的任何损失承担责任。8.3在任何情况下，乙方对甲方因安全事件直接造成的财产损失的责任限额不超过本协议项下约定的金额[例如：甲方在本协议项下累计应支付给乙方服务费用的[例如：两倍]]或具体金额[例如：人民币XX万元]，且甲方应事先书面通知乙方该损失金额。此限制不适用于因乙方违反本协议明确的安全责任或存在故意或重大过失而造成的损失。8.4本协议中的责任限制条款适用于本协议所有条款，包括但不限于赔偿、保证和侵权救济。第九条法律适用与争议解决9.1本协议的订立、效力、解释、履行及争议解决均适用中华人民共和国法律（为免疑义，不包括香港、澳门特别行政区及台湾地区法律）。9.2因本协议引起的或与本协议有关的任何争议，双方应首先通过友好协商解决。协商不成的，任何一方均有权将争议提交至[选择一项：乙方所在地有管辖权的人民法院诉讼解决/提交[具体仲裁机构名称，例如：中国国际经济贸易仲裁委员会]按照其届时有效的仲裁规则在北京/上海/深圳进行仲裁。仲裁裁决是终局的，对双方均有约束力]。第十条协议期限、终止与退出10.1本协议自双方授权代表签字并加盖公章（或合同专用章）之日起生效，有效期为[例如：一年/双方协商确定的其他期限]。期满前[例如：一个月]，如双方均未提出书面终止要求，本协议自动续展[例如：一年]，续展次数不限/续展次数为[具体次数]次，每次续展期限同初约期限。10.2发生下列任一情况，本协议可提前终止：10.2.1双方协商一致同意终止；10.2.2一方严重违反本协议项下的义务，经另一方书面通知后[例如：30日]内仍未纠正；10.2.3一方进入破产、清算、解散或停业程序；10.2.4乙方无法继续提供服务，且无法在合理期限内找到替代服务；10.2.5因不可抗力导致本协议无法履行，且该状态持续超过[例如：60日]。10.3协议终止时，甲方的权利和义务：10.3.1甲方应按照乙方的要求，在协议终止后的[例如：30日]内，以双方协商一致或乙方指定的安全方式，将甲方数据从云服务中导出并取回。10.3.2甲方应支付截至协议终止之日所有未付款项。10.3.3甲方应确保其不再使用云服务，并遵循乙方的指导完成账户关闭或资源释放等退出操作。10.3.4乙方应提供必要的支持以协助甲方完成数据导出和资源释放。10.4协议终止时，乙方的权利和义务：10.4.1乙方应确保在甲方完成数据导出后，根据甲方要求，安全地删除或销毁甲方数据（甲方应提供书面清单）。乙方对已删除或销毁的数据不再承担任何责任。10.4.2乙方应按照约定收取协议终止前甲方已使用的云服务的费用。10.4.3乙方应配合甲方进行安全退出，并可根据法律法规要求保留必要的操作日志用于合规审计。10.5退出机制：在任何情况下，双方均有权在提前[例如：30日]书面通知对方的前提下，单方面终止本协议。终止后的数据导出、费用结算、责任处理等按照本条10.3和10.4款执行。第十一条保密条款11.1甲乙双方应对在履行本协议过程中获知的对方商业秘密、技术信息、用户数据以及其他未公开信息（以下简称“保密信息”）承担保密义务。11.2未经披露方书面同意，接收方不得向任何第三方披露保密信息，但以下情况除外：11.2.1接收方根据法律法规或有权机关的要求披露；11.2.2接收方已经合法持有该保密信息，且非通过违反本协议而获得；11.2.3接收方的员工或代理人因履行本协议需要而知悉，且已对该员工或代理人施加与本协议同等的保密义务。11.3双方应采取不低于保护自身同类保密信息的谨慎程度，以防止保密信息泄露。但无论如何，双方均无义务对任何第三方获取或无法获取保密信息承担责任。11.4本保密义务不