数据分级保护协议

数据分级保护协议1.甲方（买方/出租方/委托方）：

甲方名称：北京智联数据科技有限公司（以下简称“甲方”）。

甲方地址：北京市海淀区中关村南大街1号智联大厦A座1001室。

甲方法定代表人/负责人：张明。

甲方联系方式

2.乙方（卖方/承租方/服务提供方）：

乙方名称：上海安信数据安全科技有限公司（以下简称“乙方”）。

乙方地址：上海市浦东新区张江高科技园区科苑路88号安信数据中心B座2001室。

乙方法定代表人/负责人：李强。

乙方联系方式

协议简介：

甲方作为一家专注于大数据分析与应用的高科技企业，在业务发展过程中积累了大量高价值数据资源，并计划通过乙方提供的专业数据分级保护服务，进一步提升数据安全防护能力，确保敏感数据在存储、传输、使用等环节符合国家相关法律法规及行业监管要求。为明确双方在数据分级保护合作中的权利与义务，经友好协商，特订立本协议。甲方基于对乙方数据安全技术、服务能力及行业资质的充分认可，委托乙方对甲方部分核心数据进行分级分类管理，并实施相应的安全保护措施。乙方作为数据安全领域的专业服务机构，依托先进的数据分级保护技术体系和管理规范，为甲方提供全面的数据安全解决方案，保障甲方数据资产的安全性和合规性。双方基于平等互利、诚实信用的原则，围绕数据分级保护合作事宜达成共识，共同推进数据安全防护工作，防范数据泄露、滥用等风险，维护双方合法权益及数据安全秩序。本协议的签订及履行，旨在构建甲方与乙方在数据安全领域的战略合作关系，通过专业化分工与协作，实现数据安全管理的标准化、规范化，提升双方数据安全防护水平，为业务持续稳定发展提供坚实保障。双方一致确认，本协议的订立背景系基于甲方对数据安全合规的迫切需求，以及乙方在数据分级保护领域的专业能力与资源优势，双方通过本协议约定合作范围、服务内容、权利义务及责任分配，确保数据分级保护工作的顺利开展，并符合《中华人民共和国网络安全法》《数据安全法》《个人信息保护法》等法律法规的强制性规定。本协议的签订及后续履行，将直接影响双方在数据分级保护领域的合作成效，任何一方均需严格依照协议约定履行义务，共同维护数据安全合作秩序。

第一条协议目的与范围

本协议的主要目的在于明确甲乙双方在数据分级保护合作中的权利与义务，确保甲方持有的特定数据资源得到符合国家法律法规及行业最佳实践要求的分级分类管理及安全保护。具体范围包括但不限于：乙方根据甲方数据分级保护需求，对甲方指定的核心数据进行敏感信息识别与分类定级；乙方依据国家及行业相关标准，为甲方设计并实施数据分级存储、访问控制、加密传输、脱敏处理、安全审计等技术措施和管理流程；乙方定期向甲方提供数据安全状态评估报告，并提出优化建议；甲方配合乙方开展数据资产梳理、安全策略制定及安全意识培训等相关工作。本协议项下的数据分级保护范围具体涵盖甲方业务运营中涉及的经营数据、客户数据、财务数据及部分敏感个人信息，具体数据清单详见本协议附件一。双方将通过本协议的履行，共同构建覆盖数据全生命周期的分级保护体系，有效降低数据安全风险，保障数据合规使用。

第二条定义

本协议中，除特别说明外，下列术语具有以下含义：

“数据分级保护”系指根据数据敏感性、重要性和合规性要求，对数据进行分类分级，并采取相应安全保护措施的综合性管理活动。

“核心数据”系指甲方业务运营中具有较高价值、敏感性或重要性的数据资产，包括但不限于用户个人信息、商业秘密、交易记录及核心业务算法等。

“安全措施”系指为保护数据安全所采取的技术手段（如加密、脱敏、访问控制）和管理措施（如安全策略、审计机制、应急预案）的总称。

“安全评估”系指乙方依据国家或行业标准，对甲方数据分级保护体系的有效性、合规性进行的系统性审查与评价。

“合规要求”系指中国境内关于数据安全、个人信息保护及网络安全等方面的法律、法规、规章及行业标准。

“保密信息”系指一方（披露方）以书面、口头、电子或其他形式向另一方（接收方）披露的，标明为“保密”或根据其性质应被合理认定为保密的所有技术、商业、管理等信息。

第三条双方权利与义务

1.甲方的权力和义务

（1）甲方有权要求乙方按照本协议约定，提供专业、可靠的数据分级保护服务，并有权对乙方的服务过程及结果进行监督和评估。

（2）甲方有权获取乙方提供的数据安全评估报告、技术文档及服务日志等相关材料，并有权基于评估结果要求乙方提出改进方案。

（3）甲方有权要求乙方对其数据分级保护技术人员进行必要的技术培训，以提升甲方内部数据安全管理能力。

（4）甲方有权要求乙方严格遵守保密义务，保护甲方数据及商业秘密的安全，未经甲方书面同意，不得向任何第三方披露。

（5）甲方应按照本协议约定，及时向乙方提供开展数据分级保护工作所必需的数据资产清单、业务流程说明及合规要求文件。

（6）甲方应指定专门接口人负责与乙方对接，协调解决合作过程中出现的问题，并确保双方沟通顺畅。

（7）甲方应配合乙方完成数据资产梳理、敏感信息识别等前期工作，并提供必要的技术环境及权限支持。

（8）甲方应按照本协议约定，制定并实施内部数据安全管理制度，明确数据使用规范及安全责任。

（9）甲方应确保其提供的用于数据分级保护工作的数据样本及业务场景描述的准确性，并对该等信息的真实性负责。

（10）甲方应配合乙方进行安全测试、漏洞扫描及应急演练等活动，并根据乙方建议优化数据安全防护措施。

（11）甲方应按照本协议约定，及时支付乙方提供的数据分级保护服务费用。

（12）甲方应确保其数据分级保护需求及合规要求符合国家及行业最新规定，并及时通知乙方相关变化。

2.乙方的权力和义务

（1）乙方有权按照本协议约定，向甲方提供数据分级保护服务，并有权要求甲方提供必要的工作条件及配合。

（2）乙方有权要求甲方提供准确、完整的数据资产清单、业务流程及合规要求文件，并有权对甲方提供的信息进行核实。

（3）乙方有权根据甲方数据分级保护需求，制定个性化的安全方案，并有权要求甲方对方案进行确认。

（4）乙方应组建专业的数据安全团队，配备具备相应资质的技术人员，确保服务质量满足本协议要求。

（5）乙方应严格按照国家及行业相关标准，对甲方数据进行敏感信息识别、分类定级，并实施相应的安全保护措施。

（6）乙方应采用业界认可的加密、脱敏、访问控制等技术手段，保障甲方数据在存储、传输、使用等环节的安全。

（7）乙方应建立完善的数据安全审计机制，记录数据访问、操作及异常事件，并定期向甲方提供安全审计报告。

（8）乙方应定期（至少每年一次）对甲方数据分级保护体系进行安全评估，并向甲方提交评估报告及优化建议。

（9）乙方应建立数据安全事件应急响应机制，在发生数据泄露、滥用等安全事件时，及时通知甲方并协助处理。

（10）乙方应确保其技术人员在服务过程中遵守甲方现场管理规定，并保护甲方办公环境及设施的安全。

（11）乙方应对其提供的数据分级保护技术方案、服务过程及结果承担相应责任，并保证符合本协议约定。

（12）乙方应严格遵守保密义务，对甲方数据及商业秘密进行严格保护，未经甲方书面同意，不得向任何第三方披露。

（13）乙方应配合甲方进行内部数据安全管理制度建设，并提供必要的技术指导及培训服务。

（14）乙方应按照本协议约定，向甲方提供数据安全评估报告、技术文档及服务日志等相关材料。

（15）乙方应确保其提供的数据分级保护服务符合国家法律法规及行业最佳实践，并持续跟踪相关要求变化。

第四条价格与支付条件

1.本协议项下的数据分级保护服务费用总额为人民币叁拾伍万元整（¥350,000.00），该费用包含但不限于数据资产梳理、敏感信息识别、分级分类方案设计、安全措施实施、技术培训、安全评估报告等乙方在本协议项下承诺提供的全部服务。

2.甲方应按照本协议约定，分阶段支付服务费用。具体支付方式及时间安排如下：

（1）本协议签订之日起十日内，甲方向乙方支付服务费用总额的百分之三十（30%），即人民币壹拾壹万伍仟元整（¥115,000.00）；

（2）乙方完成数据分级保护体系初步设计方案，并经甲方书面确认之日起十日内，甲方向乙方支付服务费用总额的百分之五十（50%），即人民币壹拾柒万五千元整（¥175,000.00）；

（3）乙方完成全部数据分级保护服务，并经甲方书面验收合格之日起十日内，甲方向乙方支付服务费用总额的剩余百分之二十（20%），即人民币柒万元整（¥70,000.00）。

3.支付方式：甲方应将服务费用支付至乙方指定的以下银行账户：

开户名称：上海安信数据安全科技有限公司

开户银行：中国工商银行上海张江支行

银行账号：6222020100300001234

4.乙方应在收到每一笔服务费用后，向甲方开具等额的增值税专用发票。

5.如甲方因自身原因未能按时支付服务费用，每逾期一日，应按逾期支付金额的千分之一（0.1%）向乙方支付违约金，但累计违约金不超过服务费用总额的百分之十（10%）。

6.本协议价格已包含所有税费，乙方无需另行向甲方收取任何其他费用。

第五条履行期限

1.本协议有效期自双方签字盖章之日起生效，至乙方完成全部数据分级保护服务并经甲方书面验收合格之日止，共计壹年。

2.协议有效期内，如甲方需要乙方提供超出本协议约定范围的服务，双方应另行协商签订补充协议。

3.乙方应在协议生效后三十日内完成数据资产梳理及敏感信息识别工作，并提交初步分级分类方案。

4.乙方应在甲方确认初步方案后六十日内完成数据分级保护体系的设计与实施工作。

5.乙方应在协议履行期限届满前十五日内，向甲方提交年度数据安全评估报告。

6.如甲方需要乙方延长协议期限，应在协议到期前三十日书面通知乙方，双方协商一致后签订续约协议。

7.任何一方单方面提前终止本协议，应向对方支付相当于本协议未履行部分服务费用总额的百分之二十（20%）的违约金。

第六条违约责任

1.甲方违约责任：

（1）甲方未按本协议第四条约定支付服务费用的，每逾期一日，应按逾期支付金额的千分之一（0.1%）向乙方支付违约金，且乙方有权暂停提供相应的数据分级保护服务，直至甲方付清全部款项及违约金。逾期超过三十日，乙方有权解除本协议，并要求甲方支付相当于本协议未履行部分服务费用总额的百分之五十（50%）的违约金。

（2）甲方未按本协议第三条第（5）项约定，及时提供必要的数据资产清单、业务流程说明及合规要求文件，导致乙方无法按时开始工作的，每延迟一日，甲方应向乙方支付服务费用总额的千分之一（0.1%）的违约金，但累计违约金不超过服务费用总额的百分之十（10%）。延迟超过三十日，乙方有权解除本协议，并要求甲方支付相当于本协议未履行部分服务费用总额的百分之三十（30%）的违约金。

（3）甲方未按本协议第三条第（7）项约定，配合乙方进行安全测试、漏洞扫描及应急演练等工作的，每发生一次，应向乙方支付服务费用总额的千分之一（0.1%）的违约金，且乙方有权视为甲方验收合格，并免除相应工作的瑕疵责任。

（4）甲方未按本协议约定履行保密义务，导致乙方遭受损失的，甲方应赔偿乙方全部损失，包括但不限于直接经济损失、合理的维权费用等。

2.乙方违约责任：

（1）乙方未按本协议第三条第（5）项约定，完成数据资产梳理及敏感信息识别工作的，每延迟一日，应向甲方支付服务费用总额的千分之一（0.1%）的违约金，但累计违约金不超过服务费用总额的百分之十（10%）。延迟超过六十日，甲方有权解除本协议，并要求乙方退还已支付的服务费用，并支付相当于已支付服务费用总额的百分之二十（20%）的违约金。

（2）乙方未按本协议第三条第（6）项约定，完成数据分级保护体系的设计与实施工作的，每延迟一日，应向甲方支付服务费用总额的千分之一（0.1%）的违约金，且甲方有权暂停支付相应阶段的服务费用。延迟超过九十日，甲方有权解除本协议，并要求乙方退还已支付的服务费用，并支付相当于已支付服务费用总额的百分之三十（30%）的违约金。

（3）乙方提供的数据分级保护服务不符合本协议约定或国家相关标准的，甲方有权要求乙方在合理期限内免费修正或重做，并承担因此产生的全部费用。若乙方逾期未修正或重做，或修正后仍不符合约定的，甲方有权解除本协议，并要求乙方退还已支付的服务费用，并支付相当于已支付服务费用总额的百分之五十（50%）的违约金。

（4）乙方未按本协议第三条第（9）项约定，在发生数据安全事件时及时通知甲方的，每延迟一日，应向甲方支付服务费用总额的千分之一（0.1%）的违约金。延迟超过三十日，甲方有权解除本协议，并要求乙方支付相当于本协议未履行部分服务费用总额的百分之三十（30%）的违约金。

（5）乙方泄露甲方数据或商业秘密，给甲方造成损失的，乙方应赔偿甲方全部损失，包括但不限于直接经济损失、合理的维权费用、商誉损失等。

3.不可抗力导致的违约：因不可抗力（如战争、自然灾害、政府行为等）导致本协议无法履行的，双方互不承担违约责任，但应及时通知对方，并采取措施减少损失。不可抗力消除后，应继续履行本协议。因不可抗力导致协议无法履行的，双方可协商解除协议，并互不承担赔偿责任。

4.争议解决：因本协议引起的或与本协议有关的任何争议，双方应首先通过友好协商解决；协商不成的，任何一方均有权向乙方所在地人民法院提起诉讼。

5.独立性：本协议任何一方违约，不影响另一方根据本协议及其他协议享有的权利。

6.紧急救济：若一方发生可能严重影响本协议履行的违约行为，守约方有权采取必要措施防止损失扩大，包括但不限于暂停履行相关义务，并及时通知违约方。采取的紧急措施应符合合理限度，且产生的费用由违约方承担。

7.违约金与实际损失的衔接：若一方违约导致另一方遭受的损失超过违约金数额的，守约方有权要求违约方补足差额。双方应在违约发生后三十日内就实际损失进行核算，协商确定赔偿数额。

8.诉讼与仲裁选择：本协议约定争议解决方式为诉讼，任何一方不得单方面变更争议解决方式为仲裁。

第七条不可抗力

1.本协议所称不可抗力，是指不能预见、不能避免并不能克服的客观情况，包括但不限于：自然灾害（如地震、台风、洪水、海啸等）、战争、动乱、恐怖袭击、政府行为（如法律、法规的修订或政策的调整）、流行病疫情、网络攻击、电力或通讯中断等。

2.任何一方因不可抗力导致无法履行或无法完全履行本协议约定的义务时，不承担违约责任。但该方应在不可抗力发生后立即通知对方，并提供相关证明文件，且应在合理期限内（不超过三十日）根据不可抗力的影响，协商决定是否延期履行、部分履行或解除本协议。

3.若不可抗力影响持续超过六十日，双方应协商解除本协议。协议解除后，双方应互相返还已接受的对方财产，并按实际履行情况结算费用。因不可抗力造成的损失，由双方各自承担。

4.不可抗力发生时，双方应尽最大努力采取措施减少损失，包括但不限于保存数据、停止非必要的操作、转移财产等。因采取合理措施而发生的额外费用，由双方根据实际情况协商分担。

5.一方因不可抗力不能履行本协议义务的，根据不可抗力的影响，部分或全部免除责任，但法律另有规定的除外。不可抗力消除后，应当恢复履行。但是，当事人一方因不可抗力不能履行合同的，根据不可抗力的影响，部分或者全部免除责任，因不可抗力不能履行合同的除外。当事人一方因不可抗力不能履行合同的，根据不可抗力的影响，部分或者全部免除责任，但是法律另有规定的除外。当事人一方因不可抗力不能履行合同的，应当及时通知对方，以减轻可能给对方造成的损失，非因不可抗力不能履行合同的，应当承担违约责任。

6.任何一方因不可抗力导致履行迟延的，对方应予以理解并适当延长履行期限，但延长期限不应超过不可抗力影响持续的时间。

7.不可抗力的认定由发生地人民法院或相关仲裁机构根据具体情况判定。双方应积极配合提供不可抗力证明材料。

第八条争议解决

1.因本协议引起的或与本协议有关的任何争议，双方应首先通过友好协商解决。协商应本着诚实信用、平等互利的原则，在合理期限内达成一致解决方案。

2.若协商不成，任何一方均有权向乙方所在地（即上海市浦东新区张江高科技园区科苑路88号）有管辖权的人民法院提起诉讼。诉讼过程中，双方应积极配合提供相关证据材料，并遵守法院的传唤及判决。

3.在诉讼期间，除争议事项外，双方应继续履行本协议其他未受争议影响的条款，且一方不得因提起诉讼而停止履行本协议项下的义务。

4.任何一方在提起诉讼前，应书面通知对方其即将提起诉讼，并说明诉讼请求及理由。双方应在收到通知后合理期限内再次尝试协商解决争议。

5.仲裁选择：本协议明确约定争议解决方式为诉讼，任何一方不得单方面变更争议解决方式为仲裁。若未来双方另有书面约定选择仲裁，则应以书面形式确认，并遵守届时有效的仲裁规则。

6.法律适用：本协议项下的争议解决均适用中华人民共和国法律（为本协议之目的，不包括香港特别行政区、澳门特别行政区和台湾地区的法律）。

7.诉讼费用：因争议解决而产生的诉讼费用（包括但不限于案件受理费、保全费、律师费等）由败诉方承担。若双方均有责任，则应根据实际情况合理分担。

8.专属管辖：本协议约定的人民法院管辖权是专属的，任何一方不得就同一争议事项向其他法院提起诉讼或申请仲裁。

第九条其他条款

1.通知：本协议项下的所有通知、请求、要求或其他通信均应以书面形式（包括但不限于信函、传真、电子邮件）发送至本协议首页载明的地址或联系方式。任何一方变更联系方式，应提前十日书面通知对方。以电子邮件方式发送的，发出时视为送达；以快递或挂号信方式发送的，寄出后三日视为送达。

2.协议变更：对本协议的任何修改或补充，均须由双方授权代表签署书面文件方能生效。任何口头约定或非书面形式的变更均无效。

3.协议转让：未经对方事先书面同意，任何一方不得将其在本协议项下的权利或义务部分或全部转让给第三方。但甲方因合并、分立、收购等企业重组原因需要转让的，应视为履行本协议，乙方应予以配合。

4.利益冲突：双方应避免从事与本协议目的相冲突或可能损害对方利益的活动。若一方发现或怀疑存在利益冲突，应立即通知对方，并采取合理措施避免或解决冲突。

5.保密期限：本协议项下的保密义务不因本协议的终止而解除。双方应对在本协议履