企业年金管理合同（受托人服务）2026年数据安全协议

企业年金管理合同（受托人服务）2026年数据安全协议本协议由以下双方于2026年[具体日期]在[地点]签署：甲方：[委托人/企业年金理事会全称]，以下简称“甲方”，地址：[甲方地址]，统一社会信用代码：[甲方代码]。乙方：[受托人全称]，以下简称“乙方”，地址：[乙方地址]，统一社会信用代码：[乙方代码]。鉴于甲方委托乙方提供企业年金计划（以下简称“计划”）的受托人服务；鉴于数据安全对于保护计划参与者个人信息、企业信息以及计划稳健运行至关重要；鉴于双方希望明确在数据处理活动中关于数据安全的权利、义务和责任，以符合相关法律法规的要求。第一条数据安全基本原则双方确认，在履行各自职责过程中涉及计划相关数据的处理，均应遵循以下基本原则：1.1合法、正当、必要原则：数据处理活动必须有明确的法律依据或本协议约定，且目的限于履行各自职责所必需。1.2目的限制原则：数据收集和使用不得超出本协议明确声明的目的范围。1.3最小化原则：仅收集和处理履行职责所必需的最少数据。1.4公开透明原则：甲方应向参与者提供清晰的隐私政策，告知数据处理的规则和方式；乙方应在其服务条款或相关文件中体现数据安全承诺。1.5确保安全原则：采取必要的技术和管理措施，保障数据安全，防止数据泄露、篡改、丢失。1.6责任明确原则：明确双方在数据安全方面的责任。第二条乙方的数据安全责任作为计划的受托人，乙方在处理计划相关数据时，应承担以下数据安全责任：2.1制度与策略：乙方应建立并维护健全的数据安全管理制度、操作规程和应急预案，包括但不限于数据分类分级、访问控制、安全审计、事件响应等。2.2技术保障措施：2.2.1对在传输过程中涉及的个人敏感数据（如使用电子表格、邮件等方式传输时）应进行加密处理。2.2.2实施严格的访问控制策略，采用身份认证（如多因素认证）和授权机制，确保只有经过授权的人员才能访问特定数据，并遵循“按需知密”原则。2.2.3确保存储和处理计划数据的系统具备必要的安全防护措施，包括但不限于防火墙、入侵检测/防御系统、防病毒/恶意软件保护、系统漏洞扫描和修复机制。2.2.4建立并执行数据备份与恢复机制，定期进行备份，并测试恢复流程的有效性，确保在发生硬件故障、系统故障或灾难时能及时恢复数据。2.2.5记录和监控对敏感数据的访问和操作日志，并定期进行安全审计。2.3人员管理：2.3.1对接触计划敏感数据的乙方员工进行必要的数据安全意识培训和背景审查。2.3.2要求接触敏感数据的乙方员工签订保密协议，明确其在数据安全方面的责任和义务。2.3.3严格控制内部人员对数据的访问权限，权限设置应基于其工作职责的最低需求。2.4第三方风险管理：2.4.1若乙方委托第三方服务商（包括但不限于托管人、技术供应商、律师事务所、会计师事务所等）处理个人数据或提供与数据处理相关的服务，乙方应事先对第三方进行尽职调查，确保其具备相应的能力和措施来保护数据安全。2.4.2乙方应与所有处理个人数据的第三方服务商签订书面协议，明确其数据安全责任，并要求其遵守不低于本协议规定的数据安全标准和适用的法律法规要求。2.4.3乙方应监督第三方服务商的数据处理活动，并定期评估其合规性。2.5数据主体权利响应：乙方应建立并维护处理流程，以响应数据主体（如计划参与者）依据相关法律法规提出的访问其个人数据、更正其个人数据、删除其个人数据等请求，并及时响应。2.6合规与报告：2.6.1乙方应遵守所有适用于其数据处理活动的中国数据保护法律法规，包括但不限于《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》以及国家金融监督管理总局关于企业年金基金管理的相关规定。2.6.2在发生或怀疑发生计划相关数据泄露事件时，乙方应立即启动应急预案，进行内部调查评估，并在规定时限内通知甲方，并根据法律法规和监管要求，及时通知监管机构以及可能受影响的个人。乙方应向甲方提供事件调查报告和处理情况的说明。2.7物理安全：乙方应保障其数据中心、办公场所等存放或处理个人数据的物理环境的物理安全，防止未经授权的物理访问、破坏或灾害影响。2.8保密义务：乙方对其在履行本协议过程中获知的甲方的商业秘密、参与者的个人信息以及计划运营信息等负有保密义务。未经甲方事先书面同意，乙方不得向任何第三方披露上述信息，且即使在协议终止后，该保密义务仍然有效。第三条甲方的责任甲方应履行以下与数据安全相关的责任：3.1提供必要的计划信息和管理要求，并确保其提供给参与者的信息（如通过隐私政策）符合相关数据保护法律法规的要求。3.2配合乙方进行数据安全管理和合规性检查。3.3在发生数据安全事件时，根据乙方通知和自身情况，采取必要的应对措施，并配合乙方及监管机构的调查。3.4确保其指定的联络人能够及时接收乙方关于数据安全事件的通知和其他重要信息。第四条数据处理活动在履行受托人服务职责过程中，乙方可能涉及以下类型的数据处理活动：4.1收集计划参与者、企业等提供的信息，包括但不限于个人信息（如姓名、身份证号、联系方式、银行账户信息等）和计划运营信息。4.2存储上述数据在安全可控的环境中。4.3处理数据以进行账户管理、计算年金收益、管理投资、生成报告、进行合规性检查、履行监管要求等。4.4在获得甲方或数据主体的适当授权后，向管理人、托管人、税务机构、社会保险经办机构、司法机关、监管机构或其他为提供与受托人服务相关的服务而必要的第三方传输数据。4.5向计划参与者提供其账户信息、结算通知、隐私政策等。4.6在数据不再需要为实现处理目的、数据主体请求删除、法律法规要求删除或协议终止后，安全地删除或返回个人数据。第五条数据安全事件与响应5.1事件定义：本协议所称数据安全事件是指因意外、技术故障、人为操作失误、恶意攻击等原因导致个人数据泄露、篡改、丢失或被未经授权访问的事件。5.2内部报告与调查：乙方发现或接到关于数据安全事件的报告后，应立即启动内部应急响应机制，指定专人负责，迅速评估事件影响，进行内部调查，并按本协议约定及时向甲方报告。5.3外部通知：发生或可能发生数据泄露事件时，乙方应在法律法规或监管机构要求的时间内，以及与甲方协商后，通知甲方。根据事件的严重程度和法律法规要求，乙方可能需要直接向监管机构报告或向受影响的个人通知。乙方应向甲方提供事件报告，包括事件概述、影响评估、已采取和拟采取的措施等。第六条数据跨境传输如需将计划相关数据传输至中国境外，乙方应确保：6.1遵守《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等关于数据跨境传输的法律法规要求。6.2采取有效的技术措施和管理措施，如通过签订标准合同条款、具有约束力的公司规则、获得数据主体同意（如适用）等，确保境外接收者的数据安全保护水平不低于中国境内。6.3事先向甲方进行通报，并提供必要的尽职调查材料和措施说明。第七条合规性与监管7.1双方均应遵守所有适用的数据保护法律、法规和监管要求。7.2乙方应配合甲方、监管机构或其他有权机构就数据处理活动进行监督检查，如实提供相关资料。第八条协议期限与终止8.1本协议自双方签字盖章之日起生效，有效期限与主企业年金管理合同期限一致，或根据双方书面协议另行约定。8.2协议终止时，乙方仍应履行本协议项下的数据安全义务，特别是关于数据删除或返还、保密义务以及数据泄露通知的义务。乙方应在协议终止后[具体期限，如30]日内，根据甲方要求，删除或返还其所持有的甲方的以及计划参与者的个人数据，并采取必要措施确保数据无法被复原访问。第九条保密义务9.1除非事先获得对方书面同意，任何一方不得向任何第三方（包括关联公司，但为履行本协议目的而确有必要知悉的员工除外）披露在本协议履行过程中获知的对方的商业秘密、技术信息以及计划参与者的个人信息。9.2保密义务不因本协议的终止而终止，持续有效。第十条违约责任与救济10.1任何一方违反本协议项下的数据安全责任或义务，应承担相应的法律责任，包括但不限于赔偿因此给对方造成的直接经济损失和间接经济损失。10.2若乙方违反数据安全义务导致甲方或计划参与者遭受损失的，甲方有权要求乙方承担赔偿责任，并可根据情况解除本协议及主企业年金管理合同。10.3甲方在认为乙方未能履行其数据安全责任时，有权要求乙方限期整改，并有权根据整改情况采取进一步措施，包括但不限于要求提供整改报告、暂停相关服务、更换服务提供商等。第十一条争议解决因本协议引起的或与本协议有关的任何争议，双方应首先通过友好协商解决；协商不成的，任何一方均有权将争议提交至[选择一种方式：甲方所在地有管辖权的人民法院诉讼解决/提交至[具体仲裁委员会名称]按照其届时有效的仲裁规则进行仲裁]。第十二条其他12.1完整协议：本协议构成双方就数据安全合作事宜达成的完整协议，取代双方此前就此事项进行的任何口头或书面沟通、陈述或协议。12.2可分割性：若本协议某条款被认定为无效或不可执行，不影响其他条款的效力。12.3修订：对本协议的任