跨境数据安全评估标准

跨境数据安全评估标准1.甲方（买方/出租方/委托方）：

甲方名称：ABC国际贸易有限公司，一家依据中华人民共和国法律设立并有效存续的有限责任公司，注册地址位于北京市朝阳区东三环中路甲6号东方广场东楼15层。甲方法定代表人为李明，性别男，身份证号联系方式为+86-10-67654321。甲方在全球范围内从事国际贸易业务，涉及的数据跨境传输涉及多个国家的法律法规要求，为保障数据安全合规，特委托乙方提供跨境数据安全评估服务。

乙方名称：XYZ数据安全技术有限公司，一家依据香港特别行政区法律设立并有效存续的高科技企业，注册地址位于香港中环威灵顿街8号中银香港金融中心北塔25楼。乙方法定代表人为张华，性别女，香港居民身份证号码8523456789，联系方式为+852-34567890。乙方专注于提供数据安全评估、合规咨询及技术解决方案，拥有国际领先的数据安全评估体系及专业团队，具备为甲方提供跨境数据安全评估服务的资质和能力。

甲方与乙方基于以下背景达成合作：随着全球化进程的加速，甲方业务涉及的数据跨境传输日益频繁，数据类型涵盖客户个人信息、商业秘密及财务数据等敏感信息。为满足《中华人民共和国网络安全法》《数据安全法》及《个人信息保护法》等相关法律法规的要求，同时确保数据跨境传输的合法合规性，甲方经审慎评估，选择乙方作为其跨境数据安全评估服务提供商。乙方承诺依据国际及中国相关法律法规标准，结合行业最佳实践，为甲方提供全面、专业的跨境数据安全评估服务，协助甲方识别、评估并降低数据跨境传输过程中的安全风险，保障数据资产安全。双方基于平等互利、诚实信用的原则，经友好协商，达成本协议，以兹共同遵守。

甲方作为数据控制者及处理者，需承担数据跨境传输的主体责任，其数据跨境传输活动必须符合中国及数据接收国/地区的数据保护要求。乙方作为技术服务提供方，需按照本协议约定，运用专业技术和经验，为甲方提供数据安全评估服务，并出具符合法律法规及行业标准的评估报告。双方合作旨在通过专业评估，共同构建数据跨境传输的安全合规保障机制，防范数据泄露、滥用等风险，维护双方及数据主体的合法权益。本协议的签订及履行，将有助于甲方实现业务合规运营，提升数据安全管理水平，并为乙方提供展示专业能力的机会，促进双方在数据安全领域的长期合作。

第一条协议目的与范围

本协议的主要目的在于，由乙方依据相关法律法规及行业最佳实践，对甲方计划进行跨境传输的数据进行安全评估，识别并分析数据跨境传输过程中可能存在的安全风险，并向甲方出具专业评估报告，以帮助甲方确保其数据跨境传输活动符合中国及数据接收国/地区的数据保护法律法规要求。本协议涉及的评估范围包括但不限于：甲方拟传输数据的类型（如个人信息、商业秘密、财务数据等）、传输目的、传输方式、传输路径、数据接收方的资质、数据接收国/地区的法律法规环境、甲方及乙方在数据安全保护方面的责任措施等。乙方将全面评估上述因素对数据安全的影响，并提出相应的改进建议。最终，本协议旨在通过双方的合作，构建一套完整的数据跨境传输安全合规保障体系，降低数据泄露、滥用或非法传输的风险，保障数据主体的合法权益，并支持甲方业务的合规、稳健发展。

第二条定义

在本协议中，除非上下文另有明确约定，下列术语具有以下含义：

“跨境数据传输”指数据从一个国家或地区传输至另一个国家或地区的行为。

“数据安全评估”指依据相关法律法规及标准，对数据跨境传输过程中的安全风险进行识别、分析和评价的活动。

“数据保护法律法规”指中国及数据接收国/地区关于数据保护、网络安全及个人信息保护的法律、法规及规章。

“评估报告”指乙方完成数据安全评估后出具的，包含评估结论、风险分析及改进建议的书面文件。

“安全措施”指为保护数据安全所采取的技术和管理措施，包括加密、访问控制、数据脱敏、安全审计等。

“保密信息”指本协议项下未公开的、双方中的一方或双方视为秘密的信息，包括商业秘密、技术信息、客户信息、评估报告等。

第三条双方权利与义务

**1.甲方的权力和义务**

（1）**提供必要信息与配合**：甲方有权要求乙方在数据安全评估过程中提供必要的专业意见和技术支持。甲方应按照乙方的要求，及时、真实、完整地提供与数据跨境传输相关的背景信息、数据样本、业务流程说明、数据接收方情况等资料，并确保所提供资料的真实性和准确性。甲方应积极配合乙方开展现场访谈、文档审查、技术测试等工作，并确保相关人员的知情与配合。

（2）**确保数据合规性**：甲方作为数据控制者，有权要求乙方评估其数据跨境传输活动是否符合数据保护法律法规。甲方有义务确保其数据处理活动（包括数据收集、存储、使用、传输、删除等）符合中国及数据接收国/地区的法律法规要求，并对数据安全承担最终责任。甲方应确保其与数据接收方订立的协议中包含足够的数据保护条款，以约束数据接收方的数据处理行为。

（3）**授权与资质证明**：甲方有权要求乙方提供其具备数据安全评估资质的证明文件。甲方应根据乙方要求，提供其进行数据跨境传输所需的内部批准文件或授权证明，并确保其行为符合内部规定及外部监管要求。

（4）**保密义务**：甲方在协议履行过程中获悉的乙方商业秘密、技术信息及评估过程中知悉的乙方工作内容，应承担保密义务，未经乙方书面同意，不得向任何第三方泄露或用于本协议约定之外的用途。甲方应确保其员工及授权代表遵守保密义务。

（5）**支付义务**：甲方有权依据本协议约定，要求乙方提供符合标准的评估服务并支付相应费用。甲方应按照本协议约定的价格与支付条件，按时足额支付乙方服务费用。甲方逾期支付可能导致乙方暂停或终止服务，并有权要求甲方支付逾期付款利息。

**2.乙方的权力和义务**

（1）**提供专业评估服务**：乙方有权在甲方支付服务费用后，依据本协议约定及数据安全评估标准，对甲方拟进行的跨境数据传输进行全面评估。乙方应组建具备专业资质的评估团队，运用科学、客观、公正的方法，对数据类型、传输场景、风险点等进行深入分析。乙方应确保其评估过程符合行业最佳实践，并遵守相关法律法规。

（2）**出具评估报告**：乙方有权在完成评估工作后，向甲方出具正式的评估报告。评估报告应清晰、准确地反映评估过程、评估方法、主要发现、风险等级、合规性分析以及具体的改进建议。乙方应保证评估报告的专业性、客观性及可操作性，并确保报告内容符合本协议约定的范围和要求。乙方对评估报告的内容承担专业责任。

（3）**遵守法律法规与职业道德**：乙方有权要求甲方提供必要的信息配合其评估工作，但不得利用评估服务获取甲方商业秘密或进行不正当竞争。乙方应严格遵守《中华人民共和国网络安全法》《数据安全法》《个人信息保护法》及相关法律法规，以及数据接收国/地区的法律要求，确保其评估活动合法合规。乙方及其员工应遵守职业道德规范，不得泄露甲方商业秘密或评估过程中知悉的甲方敏感信息，除非法律法规另有规定或获得甲方书面同意。

（4）**保密义务**：乙方在协议履行过程中获悉的甲方商业秘密、业务信息及评估过程中知悉的甲方数据跨境传输的具体安排，应承担保密义务，未经甲方书面同意，不得向任何第三方泄露或用于本协议约定之外的用途。乙方应确保其员工及授权代表遵守保密义务，并可根据需要与甲方签署补充保密协议。

（5）**持续改进与沟通**：乙方有权要求甲方就评估过程中发现的问题进行整改，并有权对整改效果进行复核。乙方应与甲方保持良好沟通，及时向甲方解释评估结论及建议，并根据甲方的合理要求，提供必要的咨询和协助。乙方应定期更新其数据安全评估方法和工具，以适应法律法规及技术的变化，并持续提升服务质量。

（6）**责任限制**：乙方在履行本协议项下义务时，应尽到与其专业能力相匹配的合理注意义务。对于因乙方原因导致的评估结论重大错误或报告严重失实，乙方应承担相应的责任，但甲方需自行承担因未能及时采纳乙方合理建议而产生的损失，乙方不对该等间接损失或后果承担责任。乙方责任以本协议约定的赔偿限额为上限。

第四条价格与支付条件

本协议项下的跨境数据安全评估服务费用，由双方根据乙方提供的服务内容、所需资源及市场标准协商确定。具体费用明细及计算方式约定如下：甲方需向乙方支付人民币贰拾万元整（¥200,000.00）作为本协议项下的服务费。该费用包含乙方为完成本协议第一条所述评估范围所进行的一切工作，包括但不限于资料收集、现场访谈、文档审查、风险评估、报告撰写等。

甲方应按照以下方式和时间支付服务费：

（1）首付款：本协议签订之日起十（10）日内，甲方向乙方支付服务费的百分之五十（50%），即人民币壹拾万元整（¥100,000.00）。

（2）尾款：乙方完成全部评估工作，并向甲方交付最终评估报告之日起十（10）日内，甲方向乙方支付剩余服务费的百分之五十（50%），即人民币壹拾万元整（¥100,000.00）。

支付方式：甲方应通过银行转账方式将服务费支付至乙方指定的以下银行账户：

开户名称：XYZ数据安全技术有限公司

开户银行：中国香港汇丰银行中环分行

银行账号：123-456-789-0123456

甲方支付服务费时，应将付款凭证发送给乙方，乙方在收到款项后应向甲方开具等额的增值税专用发票。若甲方未能按照本协议约定按时足额支付服务费，每逾期一日，应按逾期支付金额的千分之零点五（0.5‰）向乙方支付违约金，逾期超过三十（30）日，乙方有权暂停服务或单方解除本协议，并要求甲方支付全部应付服务费及违约金。乙方有权要求甲方在支付前提供等额的银行保函或其他担保方式。

第五条履行期限

本协议自双方授权代表签字并加盖公章（或合同专用章）之日起生效，有效期为自生效之日起六（6）个月。协议有效期届满前，如双方均有意继续合作，应提前三十（30）日书面通知对方，并就续约事宜进行协商。协商一致后，可签订书面续约协议。

本协议项下的具体履行期限如下：

（1）资料收集与准备阶段：自本协议生效之日起十五（15）日内，甲方应向乙方提供本协议第二条所述的必要资料，乙方同时进行项目准备。

（2）现场评估阶段：自甲方提供完整资料之日起二十（20）日内，乙方应在甲方所在地或双方约定的其他地点完成现场访谈、文档审查及初步技术测试等工作。

（3）报告撰写与交付阶段：自现场评估工作完成之日起十五（15）日内，乙方应完成评估报告的撰写，并向甲方交付最终评估报告。乙方应在交付评估报告时，同时提供相关支撑材料及必要的口头汇报。

任何一方因不可抗力导致无法在上述期限内履行义务的，履行期限自动顺延，顺延期限为不可抗力影响持续的期间。若乙方未能按照约定时间交付评估报告，每逾期一日，应按本协议第四条约定承担违约责任，但逾期超过三十（30）日，甲方有权单方解除本协议，并要求乙方退还已支付的服务费并支付等额的违约金。

第六条违约责任

**1.甲方违约责任**

（1）**未按时支付费用**：若甲方未能按照本协议第四条约定的期限和金额支付服务费，每逾期一日，应按应付未付金额的千分之零点五（0.5‰）向乙方支付违约金。逾期超过三十（30）日的，乙方有权暂停提供评估服务，并有权单方解除本协议。甲方除支付全部应付服务费及违约金外，还应承担乙方因此遭受的直接损失。若甲方支付能力出现问题，乙方有权要求甲方提供等额的银行保函或其他担保，否则乙方有权拒绝提供服务或解除协议。

（2）**提供虚假或incomplete信息**：若甲方故意或因重大过失向乙方提供虚假、不完整或误导性的信息，导致乙方无法准确进行评估或产生错误评估结论，甲方应承担由此导致的一切责任，包括但不限于乙方额外的成本支出、第三方索赔、监管处罚等。乙方有权要求甲方赔偿全部损失，并有权解除本协议，甲方已支付的服务费不予退还。

（3）**妨碍评估工作**：若甲方无正当理由拒绝或拖延提供必要资料、配合乙方现场访谈或测试，或阻挠乙方员工履行本协议项下义务，乙方有权视为甲方违约。每发生一次，甲方应向乙方支付人民币伍万元整（¥50,000.00）的违约金。若该等妨碍行为持续超过十（10）日，乙方有权单方解除本协议，甲方应支付已完成工作的相应费用（按总服务费比例计算）及上述违约金，并承担乙方因此遭受的直接损失。

（4）**未按建议整改**：乙方在评估报告中提出的合理化建议，甲方应在收到报告后三十（30）日内予以评估并采取必要措施进行整改。若甲方无正当理由拒不采纳或整改不力，导致数据安全风险未能有效控制，并因此发生数据泄露、泄露或其他安全事故，甲方应承担全部责任，包括但不限于向数据主体或监管机构承担的赔偿责任、罚款等，乙方对此不承担任何责任。同时，乙方有权要求甲方支付人民币拾万元整（¥100,000.00）的违约金。

**2.乙方违约责任**

（1）**未能按时交付报告**：若乙方未能按照本协议第五条约定的期限交付最终评估报告，每逾期一日，应按本协议第四条约定的尾款金额的千分之零点五（0.5‰）向甲方支付违约金。逾期超过三十（30）日的，甲方有权单方解除本协议，乙方应退还甲方已支付的服务费（扣除已发生且必要的合理成本后）并支付等额的违约金。违约金总额不超过已支付服务费总额的百分之五十（50%）。

（2）**评估结论严重失实**：若乙方因重大过失或故意提供错误的评估结论或报告内容，导致甲方未能识别真实存在的重大数据安全风险，并因此遭受了直接经济损失（包括但不限于监管机构的罚款、对数据主体的赔偿等），乙方应在合理范围内承担相应的赔偿责任。赔偿金额应以乙方在评估过程中存在过错导致的直接损失为限，但最高不超过甲方因该次评估服务已支付的费用。乙方还应在收到甲方书面通知后合理期限内，免费进行补充评估直至结论无误，或退还相应服务费用。

（3）**泄露甲方保密信息**：若乙方或其员工在履行本协议过程中，违反保密义务，泄露甲方的商业秘密、技术信息或其他保密信息，给甲方造成损失的，乙方应承担全部赔偿责任。赔偿金额应相当于该保密信息价值，或根据泄露情节，最高不超过甲方因本协议已支付的全部服务费用。同时，甲方有权立即解除本协议，并保留向乙方追究法律责任及要求继续赔偿的权利。

（4）**服务质量不符合约定**：若乙方提供的服务（如访谈、测试等）质量明显低于行业标准或本协议约定，经甲方书面指出后未在合理期限内改进，甲方有权要求乙方采取补救措施。若补救措施仍无法达到预期效果，甲方有权解除本协议，乙方应退还甲方已支付的服务费（按已完成工作的比例计算），并支付相当于已支付费用百分之二十（20%）的违约金。甲方也有权要求乙方承担因服务质量问题直接导致的损失，但以已支付费用为限。

双方均应保证其履行本协议的行为不侵犯任何第三方的合法权益。若因一方违约导致第三方提出索赔或诉讼，违约方应负责处理并承担由此产生的一切费用和责任，守约方因此遭受的损失，违约方也应予以赔偿。本协议项下的违约金、赔偿等责任，如有重叠的，应合并计算，但累计赔偿总额不应超过因违约行为造成的实际损失总额。任何一方根据本协议约定解除协议的，违约方应承担相应的违约责任，已产生的费用按实际完成工作比例结算。

第七条不可抗力

“不可抗力”是指双方在签订本协议时不能预见、对其发生和后果不能避免并不能克服的事件，该事件包括但不限于：自然灾害（如地震、洪水、台风、海啸等）、战争、动乱、政府行为（如法律、法规的变更、禁令、限制等）、流行病疫情、火灾、爆炸以及网络攻击、系统故障等无法预见或无法避免的技术性中断。不可抗力事件应自其发生之日起，对双方履行本协议义务构成阻碍。

若发生不可抗力事件，受影响一方应在不可抗力事件发生后七（7）日内书面通知另一方，详细说明事件情况、影响范围以及预计持续期限。双方应在收到通知后合理期限内，协商确定是否暂停履行、部分履行或终止本协议。若不可抗力事件持续超过三十（30）日，双方均有权单方解除本协议，但应提前十五（15）日书面通知对方。因不可抗力导致本协议无法履行或履行困难的，受影响一方根据不可抗力事件的影响程度，可部分或全部免除相应的违约责任，但已发生的费用（如乙方已完成工作的合理对价）应予以结算。双方应相互配合，采取合理措施减少不可抗力事件造成的损失。若不可抗力事件消除后，履行本协议不再构成障碍，受影响一方应尽快恢复履行本协议项下的义务。因不可抗力造成的各项费用，由双方各自承担，但若不可抗力是由第三方责任引起的，责任应由该第三方承担。

第八条争议解决

因本协议引起的或与本协议有关的任何争议，双方应首先通过友好协商解决。若协商未能在三十（30）日内达成一致，双方同意将争议提交至**中国香港特别行政区**进行仲裁。仲裁适用**香港仲裁法**。双方应各自指定一名仲裁员，并共同选定一名首席仲裁员。若双方在指定仲裁员方面未能达成一致，则由香港国际仲裁中心主席指定。仲裁裁决是终局的，对双方均有约束力。仲裁费用（包括仲裁员费用、律师费等）由败诉方承担，或根据仲裁庭的决定分担。

在仲裁程序进行期间，除争议事项外，双方应继续履行本协议其他未受争议影响的条款。任何一方未经对方书面同意，不得单方将争议提交法院诉讼解决。仲裁机构应指定与争议事项有实际联系的语言进行仲裁，通常为英文。双方均有义务向仲裁庭提供所有相关文件和证据，并遵守仲裁庭的指示。仲裁应本着高效、公正的原则进行，仲裁庭有权采取其认为适当的任何措施来促进争议的解决。仲裁地点为香港。本协议中的争议解决条款具有独立性，不影响双方根据本协议其他条款或法律规定享有的任何权利或补救措施。

第九条其他条款

**1.通知方式**：双方就本协议项下的任何事宜进行沟通或发送通知时，应通过书面形式（包括但不限于信函、传真、电子邮件）发送至本协议首部列明的地址或联系方式。任何一方变更联系方式，应提前十（10）日书面通知另一方。通过电子邮件发送的通知，发出时视为送达；通过快递或挂号信发送的通知，寄出后三（3）日视为送达。若一方使用本协议首部列明的联系方式发送通知，则视为已有效送达。

**2.协议变更**：对本协议的任何修改或补充，均须经双方授权代表签署书面文件后方能生效。任何口头约定或非书面形式的变更均无效。变更后的协议条款与本协议原有条款具有同等法律效力，构成双方不可分割的一部分。

**3.完整协议**：本协议及其附件构成双方就本协议标的达成的完整协议，取代双方此前就此达成的所有口头或书面协议、谅解或安排。除非本协议另有约定，任何一方均不得单方面修改、补充或终止本协议。

**4.可分割性*