口罩生产供应协议2025年数据隐私

口罩生产供应协议2025年数据隐私甲方（以下简称“采购商”）：[甲方名称]地址：[甲方地址]统一社会信用代码/注册号：[甲方代码]乙方（以下简称“供应商”）：[乙方名称]地址：[乙方地址]统一社会信用代码/注册号：[乙方代码]鉴于甲方需要采购乙方的口罩产品，乙方可为甲方提供相应的口罩生产与供应服务；双方在平等、自愿、公平和诚实信用的基础上，根据有关法律法规，经友好协商，就双方口罩生产供应过程中涉及的数据处理与保护事宜，达成如下协议，以资共同遵守。第一条定义1.1本协议所称“个人数据”是指任何与已识别或可识别的自然人有关的信息，包括但不限于自然人的姓名、出生日期、身份证号码、联系方式（电话、邮箱、地址）、生物识别数据、健康信息、工作信息等。1.2本协议所称“敏感个人数据”是指个人的种族、民族、宗教、政治观点、宗教信仰、哲学信仰、贸易联盟成员、基因数据、生物特征数据、医疗健康信息、个人财务信息以及个人的性取向或性别认同等一旦泄露或滥用可能对个人权益造成严重损害的个人数据。1.3本协议所称“数据处理”是指对个人数据进行收集、存储、使用、加工、传输、提供、公开、删除、恢复、修改、交叉匹配等任何操作。1.4本协议所称“数据控制者”是指确定数据处理目的和方式的主体。1.5本协议所称“数据处理者”是指为数据控制者处理个人数据的主体，或为了履行本协议约定而处理个人数据的另一方。1.6本协议所称“数据泄露”是指未经授权的访问、披露、丢失、篡改或获取个人数据的事件。第二条适用范围与数据主体权利2.1本协议适用于双方在履行口罩生产供应协议过程中收集、处理和传输的所有个人数据。2.2双方均应遵守适用于其所处理个人数据的中华人民共和国以及可能适用的其他国家或地区的数据保护法律法规，包括但不限于《中华人民共和国个人信息保护法》。2.3数据主体依法享有的访问、更正、删除、限制处理、撤回同意、可携带等权利，数据处理者应建立流程，在符合法律规定和本协议约定的前提下，协助数据控制者履行对数据主体的权利请求。第三条数据控制者与处理者3.1就本协议项下因口罩生产供应活动所涉及的供应商员工个人信息及订单、物流等业务数据，[填写甲方名称]为数据控制者，[填写乙方名称]为数据处理者。3.2乙方应仅依据甲方的明确指示处理个人数据，并遵守甲方的指示，除非法律法规另有规定或指示与法律法规相冲突。3.3双方同意，在处理涉及乙方员工健康信息（如健康声明、体温检测记录等用于保障生产安全和符合防疫要求的数据）时，应严格遵守相关法律法规和公司内部规定，仅用于合法、特定的目的，并采取必要的保密措施。第四条数据收集与处理目的4.1乙方在收集和处理供应商员工个人数据时，应具有明确、合法的目的，并仅限于实现与本协议相关的生产管理、安全保障、合规要求等必要目的，例如：员工健康监测、考勤管理、内部沟通、履行税务及社会保障义务等。4.2甲方在收集和处理与订单履行相关的客户个人数据（如联系方式、地址等）时，应具有明确、合法的目的，并仅限于实现订单处理、产品交付、客户服务、发票发送等必要目的。4.3任何一方不得超出约定目的收集、处理或使用个人数据，不得将个人数据用于本协议未授权的其他用途。第五条数据共享与转让5.1任何一方未经对方书面同意，不得将本协议所涉的对方个人数据共享或转让给任何第三方，法律法规另有规定或获得数据主体明确同意的除外。5.2未经甲方事先书面同意，乙方不得将涉及甲方客户的信息（如客户订单详情、联系方式）用于任何与履行本协议无关的目的，或转让给任何第三方。5.3如因履行本协议需要，一方需将个人数据传输至中国境外的，应确保该等传输符合中国相关法律法规的要求，并采取必要的保障措施（如通过国家网信部门认证的标准合同条款、具有约束力的公司规则等），保护个人数据安全。传输方应事先将传输方案告知接收方，并获得其同意。第六条数据安全义务6.1双方应各自承担本协议项下及其自身业务活动中数据处理活动的数据安全责任，采取包括但不限于以下措施，确保个人数据的安全：(a)建立健全的数据安全管理制度和操作规程；(b)对处理个人数据的员工进行数据保护意识培训和授权管理；(c)对个人数据进行分类分级管理，采取加密、去标识化等技术和组织措施；(d)采取访问控制措施，确保只有授权人员才能访问个人数据；(e)定期进行安全风险评估，并及时修复已知的安全漏洞；(f)建立数据安全事件应急预案，并定期演练；(g)对存储个人数据的介质（包括电子和纸质）进行妥善保管，防止丢失、被盗或未经授权的访问。6.2乙方应确保其系统和服务符合甲方提出的数据安全要求，并根据甲方要求提供必要的安全评估报告或证明。第七条数据保留期限7.1双方应根据法律法规要求以及本协议的具体约定，确定不同类型个人数据的保留期限。(a)乙方收集的供应商员工健康信息，应仅保留至满足相关法律法规（如疫情防控要求、劳动保障记录期限等）及本协议约定的目的所需的最短期限。(b)甲方因订单履行而收集的客户个人信息，应保留至完成交付、履行售后服务及符合税务、审计要求的最短期限。(c)双方业务往来中的沟通记录、合同文件等涉及个人信息的，应按各自内部规定或相关法律法规要求保留。7.2达到约定保留期限后，一方应按照另一方指示，对个人数据进行安全删除或匿名化处理，除非法律法规要求继续保留。第八条数据泄露通知8.1发生或发现个人数据泄露、丢失或可能违反本协议或适用法律法规的情况时，相关责任方（通常是数据处理者乙方）应立即采取补救措施，评估泄露的影响，并立即通知另一方（数据控制者甲方）。8.2乙方应在评估后[例如：24]小时内书面通知甲方数据泄露事件的基本情况（如泄露原因、涉及的个人数据类型和数量、可能造成的影响等），并配合甲方进行后续处理，包括调查事件原因、采取补救措施、通知监管机构或受影响的数据主体（如法律法规要求）。8.3如泄露可能对个人权益造成重大危害，乙方应立即通知受影响的数据主体，并告知其采取的减轻风险的建议措施。第九条合规性与审计9.1双方均有义务遵守所有适用的数据保护法律法规。9.2甲方有权对乙方的数据处理活动（特别是涉及员工健康信息处理的安全性措施）进行审计或聘请第三方进行评估，乙方应予以配合，提供必要的访问权限和资料。第十条数据主体同意10.1如本协议履行过程中需要向个人（如供应商员工、终端客户）收集个人数据，特别是敏感个人数据，收集方应依法获得该个人的单独同意。同意应明确、具体，告知数据收集的目的、方式、范围、存储期限、权利等。10.2收集个人数据应遵循最小必要原则，不得收集与服务无关的个人信息。个人有权撤回其同意，撤回同意不影响基于其先前同意已进行的处理的法律效力，但处理方应停止进一步处理。第十一条违约责任与救济11.1任何一方违反本协议关于数据保护的规定，给另一方或第三方造成损失的，应承担赔偿责任。11.2若乙方未能履行数据处理的安全义务或违反数据泄露通知义务，导致甲方遭受损失的，乙方应承担相应的赔偿责任。11.3若甲方要求乙方采取补救措施（如删除数据、修复系统）而乙方拒绝或不及时采取的，甲方有权寻求法律途径解决，并可根据情况要求终止与乙方的相关合作。第十二条协议终止与数据处置12.1本协议终止或履行完毕后，乙方应在本协议终止后[例如：30]日内，根据甲方书面要求，将存储在乙方系统或介质中的、属于甲方或涉及甲方客户的个人数据，以甲方指定的安全方式（如加密传输、提供可读文件等）返还给甲方，或根据甲方的指示进行安全删除或匿名化处理，确保数据无法被复原。12.2双方同意，即使本协议终止，关于数据安全、数据泄露通知、合规性、违约责任等数据保护相关的条款仍然有效。第十三条争议解决13.1因本协议引起的或与本协议有关的任何争议，双方应首先通过友好协商解决。13.2协商不成的，任何一方均有权将争议提交[选择一种：甲方所在地/乙方所在地/合同履行地]有管辖权的人民法院诉讼解决。第十四条其他14.1本协议是双方就数据隐私保护达成的补充协议，与主合同具有同等法律效力。14.2本协议未尽事宜，双方可