2026年餐饮配送隐私合规合同

2026年餐饮配送隐私合规合同合同编号：__________

2026年餐饮配送隐私合规合同

第一章总则

1.1本合同由以下双方于2026年[具体日期]在[具体地点]签订：

1.1.1甲方（服务提供方）：[此处填写甲方公司全称]

注册地址：[此处填写甲方公司注册地址]

法定代表人：[此处填写甲方公司法定代表人姓名]

联系电话：[此处填写甲方公司联系电话]

电子邮箱：[此处填写甲方公司电子邮箱]

1.1.2乙方（服务接受方）：[此处填写乙方公司全称]

注册地址：[此处填写乙方公司注册地址]

法定代表人：[此处填写乙方公司法定代表人姓名]

联系电话：[此处填写乙方公司联系电话]

电子邮箱：[此处填写乙方公司电子邮箱]

1.2本合同旨在明确甲方为乙方提供餐饮配送服务过程中涉及个人信息的处理规则，确保个人信息的合法、正当、必要和目的限制原则，并遵循适用的数据保护法律法规。

1.3双方确认，在本合同签订前，已充分了解本合同的内容，并自愿达成协议。

1.4本合同所称“个人信息”是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

1.5本合同所称“餐饮配送服务”是指甲方根据乙方的订单要求，将乙方指定的餐饮食品从供应商处送达至指定收餐地址的服务活动。

1.6双方承诺将严格遵守国家及地区关于个人信息保护的法律法规，包括但不限于《中华人民共和国个人信息保护法》、《中华人民共和国网络安全法》以及欧盟《通用数据保护条例》（GDPR）等相关规定。

第二章个人信息的收集与使用

2.1甲方在提供餐饮配送服务过程中，可能需要收集乙方的以下个人信息：

2.1.1个人身份信息：包括但不限于姓名、性别、身份证号码、联系方式（手机号码、电子邮箱等）。

2.1.2联系地址信息：包括但不限于收餐地址、送货人联系地址。

2.1.3支付信息：包括但不限于支付方式、银行账户信息、支付密码等。

2.1.4行为信息：包括但不限于订单历史、配送频率、用户评价、使用习惯等。

2.1.5设备信息：包括但不限于用户使用的设备型号、操作系统版本、IP地址、地理位置信息等。

2.2甲方收集个人信息的目的仅限于提供餐饮配送服务、处理订单、配送验证、客户服务、支付处理以及提升服务质量。

2.3甲方承诺仅在完成上述目的所必需的范围内收集个人信息，并避免收集与服务无关的无关信息。

2.4甲方在收集个人信息前，将通过适当方式向信息主体（即乙方）告知以下事项：

2.4.1个人信息的收集目的、方式、范围；

2.4.2个人信息的存储期限；

2.4.3个人信息的共享对象及共享目的；

2.4.4信息主体的权利及行使方式；

2.4.5法律规定的其他事项。

2.5甲方应采取必要的措施，确保在收集个人信息过程中，信息主体的知情同意是真实、明确、具体的，并保障信息主体的撤回同意的权利。

第三章个人信息的处理与安全保障

3.1甲方承诺在处理个人信息时，遵循合法、正当、必要和目的限制原则，确保个人信息的处理符合法律法规的规定，并保障信息主体的合法权益。

3.2甲方在处理个人信息时，将根据服务提供的需要，委托第三方进行处理，并签订书面的委托处理协议，明确委托内容、处理方式、安全保障措施以及双方的权利义务。

3.3甲方委托的第三方处理者仅限于为甲方提供餐饮配送服务所必需的服务，不得将个人信息用于委托处理协议约定之外的任何目的。

3.4甲方应采取严格的技术和管理措施，保障个人信息的安全，防止因系统故障、人为操作失误、黑客攻击等原因导致个人信息泄露、篡改、丢失。

3.5甲方应建立健全个人信息安全管理制度，明确内部责任分工，对接触个人信息的人员进行保密培训，并定期进行安全检查和风险评估。

3.6甲方在存储个人信息时，应采用加密存储、访问控制等技术手段，确保个人信息的安全性。

3.7甲方在传输个人信息时，应采用加密传输、安全协议等技术手段，防止个人信息在传输过程中被窃取或泄露。

第四章个人信息的共享与披露

4.1甲方仅在法律法规允许或经信息主体明确同意的情况下，才能共享或披露个人信息。

4.2甲方在共享或披露个人信息前，应向信息主体告知共享或披露的对象、目的、方式以及信息主体的权利，并征得信息主体的同意。

4.3甲方仅在完成餐饮配送服务所必需的范围内，与以下第三方共享或披露个人信息：

4.3.1餐饮供应商：为提供乙方订单所需的餐饮食品，甲方可能与餐饮供应商共享乙方的订单信息、收餐地址信息等。

4.3.2配送员：为完成配送任务，甲方可能与配送员共享乙方的收餐地址信息、联系方式等。

4.3.3支付机构：为处理支付事务，甲方可能与支付机构共享乙方的支付信息、账户信息等。

4.3.4信用评估机构：为提供信用服务，甲方可能与信用评估机构共享乙方的行为信息、评价信息等。

4.3.5法律法规规定的其他第三方：如政府部门、司法机关等因法律法规要求而获取个人信息。

4.4甲方应要求上述第三方对个人信息进行保密，并采取必要的措施，防止个人信息被泄露、篡改、丢失。

4.5乙方在授权甲方共享或披露个人信息时，应确保授权行为是真实、合法的，并对授权行为承担相应的法律责任。

第五章信息主体的权利与义务

5.1乙方作为信息主体，享有以下权利：

5.1.1知情权：有权了解甲方收集、处理、共享或披露其个人信息的真实情况。

5.1.2访问权：有权访问其个人信息的真实情况，包括信息的种类、数量、存储方式等。

5.1.3更正权：有权要求甲方更正其个人信息的错误或不完整之处。

5.1.4删除权：有权要求甲方删除其个人信息，特别是在以下情况下：

a)甲方不再需要使用个人信息；

b)乙方撤回同意；

c)个人信息被用于非法目的；

d)个人信息被泄露或丢失。

5.1.5限制处理权：有权要求甲方限制对其个人信息的处理，特别是在以下情况下：

a)甲方未能证明其处理个人信息是合法的；

b)乙方对其个人信息处理有异议。

5.1.6拒绝处理权：有权拒绝甲方对其个人信息进行处理，特别是在以下情况下：

a)甲方处理个人信息是为了进行自动化决策；

b)甲方处理个人信息是为了进行用户画像。

5.1.7可携带权：有权要求甲方将其个人信息转移至其他服务提供者。

5.1.8投诉权：有权向有关部门投诉甲方违反个人信息保护法律法规的行为。

5.2乙方作为信息主体，应履行以下义务：

5.2.1如实提供个人信息的义务：乙方应向甲方如实提供其个人信息，并对信息的真实性负责。

5.2.2授权的义务：乙方如需甲方为其提供餐饮配送服务，应授权甲方收集、处理、共享或披露其个人信息。

5.2.3维护个人信息安全的义务：乙方应妥善保管其个人信息，防止其个人信息被泄露、篡改、丢失。

5.2.4配合甲方履行个人信息保护义务的义务：乙方应配合甲方履行个人信息保护法律法规规定的义务，如提供必要的身份证明、配合调查等。

第六章个人信息的存储与删除

6.1甲方应根据法律法规的规定以及个人信息的性质、用途，确定个人信息的存储期限。

6.2对于不再需要用于餐饮配送服务或其他合法目的的个人信息的存储，甲方应采取删除或匿名化处理的方式进行处理。

6.3甲方在删除个人信息前，应先征得信息主体的同意，或根据法律法规的规定进行删除。

6.4甲方应建立健全个人信息的删除机制，确保在信息主体要求删除或法律法规规定删除时，能够及时、准确地删除个人信息。

6.5甲方应采取必要的措施，确保在删除个人信息后，无法恢复或使用该个人信息。

第七章违约责任

7.1甲方未能遵守本合同约定的个人信息处理规则，给乙方造成损失的，应承担相应的赔偿责任。

7.2甲方违反法律法规的规定，导致个人信息泄露、篡改、丢失的，应承担相应的法律责任。

7.3乙方未能履行本合同约定的义务，给甲方造成损失的，应承担相应的赔偿责任。

7.4双方均应采取必要的措施，防止因违约行为导致的信息泄露、篡改、丢失等情况发生。

第八章争议解决

8.1因本合同引起的或与本合同有关的任何争议，双方应首先通过友好协商解决。

8.2如果协商不成，任何一方均有权向有管辖权的人民法院提起诉讼。

8.3诉讼过程中，双方应积极配合法院的工作，并提供必要的证据材料。

第九章合同的生效与终止

9.1本合同自双方签字盖章之日起生效。

9.2本合同有效期自[具体日期]起至[具体日期]止。

9.3在合同有效期内，如双方一致同意，可以签订补充协议对本合同进行修改或补充。

9.4在合同有效期内，任何一方违反本合同约定的，另一方有权解除本合同，并要求违约方承担相应的法律责任。

第十章其他

10.1本合同未尽事宜，由双方另行协商解决。

10.2本合同一式两份，甲乙双方各执一份，具有同等法律效力。

10.3本合同附件是本合同不可分割的一部分，与本合同具有同等法律效力。

10.4本合同附件包括但不限于：

10.4.1个人信息收集清单；

10.4.2个人信息处理流程图；

10.4.3个人信息安全管理制度；

10.4.4第三方处理者协议。

10.5本合同附件内容根据实际情况进行填写，不作为本合同的必备内容。

10.6本合同由双方授权代表签字并加盖公司公章或合同专用章后生效。

**特殊应用场景一：跨国餐饮配送服务**

**应用场景说明：**当甲方为境外企业提供餐饮配送服务，且涉及跨境传输个人信息时，需要特别注意数据出境的相关规定。此时，除了遵守本合同中关于个人信息共享与披露的规定外，还需满足数据出境的特殊要求。

**需要注意的条款及修正：**

***条款修正：**在“第二章个人信息的收集与使用”中的2.4条，增加数据出境的告知内容：“甲方在收集个人信息前，除告知本合同2.4.1至2.4.5项规定的内容外，还应告知信息主体以下事项：

*个人信息的出境目的、方式、范围；

*个人信息出境至的目的地；

*目的地所在国的数据保护法律法规；

*信息主体对个人信息出境的异议权及行使方式。”

***条款修正：**在“第三章个人信息的处理与安全保障”中的3.2条，增加数据出境的安全评估要求：“甲方在委托第三方处理个人信息，且涉及跨境传输的，应进行数据出境安全评估，并采取必要的安全措施，确保个人信息的安全。”

***条款修正：**在“第四章个人信息的共享与披露”中的4.3条，增加数据出境的合法性要求：“甲方在共享或披露个人信息至境外时，应确保其行为符合数据出境相关的法律法规，并取得信息主体的明确同意。”

**特殊应用场景二：涉及敏感个人信息的餐饮配送服务**

**应用场景说明：**当甲方在提供餐饮配送服务过程中，需要收集乙方的敏感个人信息，如种族、民族、宗教信仰、健康信息等，需要特别注意敏感个人信息的处理规则。

**需要注意的条款及修正：**

***条款修正：**在“第二章个人信息的收集与使用”中的2.1条，增加敏感个人信息的收集范围说明：“甲方在收集个人信息前，应明确告知信息主体哪些信息属于敏感个人信息，并取得信息主体的明确同意。”

***条款修正：**在“第二章个人信息的收集与使用”中的2.4条，增加敏感个人信息的特殊告知内容：“甲方在收集敏感个人信息前，除告知本合同2.4.1至2.4.5项规定的内容外，还应告知信息主体以下事项：

*敏感个人信息的收集目的、方式、范围；

*敏感个人信息的存储期限；

*敏感个人信息的共享对象及共享目的；

*敏感个人信息的处理方式，包括是否进行匿名化处理；

*信息主体对敏感个人信息处理的异议权及行使方式。”

***条款修正：**在“第三章个人信息的处理与安全保障”中的3.1条，增加敏感个人信息的特殊处理原则：“甲方在处理敏感个人信息时，应遵循更加严格的处理原则，确保敏感个人信息的处理符合法律法规的规定，并保障信息主体的合法权益。”

**特殊应用场景三：基于个人信息的个性化餐饮配送服务**

**应用场景说明：**当甲方利用乙方提供的个人信息，提供个性化餐饮配送服务，如根据乙方的消费习惯推荐菜品、提供定制化配送服务等，需要特别注意个人信息的自动化决策和用户画像。

**需要注意的条款及修正：**

***条款修正：**在“第五章信息主体的权利与义务”中的5.1条，增加自动化决策的相关权利：“5.1.6拒绝处理权：有权拒绝甲方对其个人信息进行处理，特别是在以下情况下：

*甲方处理个人信息是为了进行自动化决策；

*甲方处理个人信息是为了进行用户画像。”

***条款修正：**在“第五章信息主体的权利与义务”中的5.1条，增加用户画像的相关权利：“5.1.7可携带权：有权要求甲方将其个人信息转移至其他服务提供者，包括其用户画像信息。”

***条款修正：**在“第七章违约责任”中的7.1条，增加自动化决策的相关责任：“甲方在进行自动化决策时，应确保决策的透明度和结果公平、公正，并应提供人工干预的方式，保障信息主体的合法权益。”

**特殊应用场景四：餐饮配送平台与第三方服务商合作**

**应用场景说明：**当甲方作为餐饮配送平台，与第三方服务商（如配送公司、支付平台等）合作，提供餐饮配送服务时，需要特别注意第三方服务商的个人信息处理规则。

**需要注意的条款及修正：**

***条款修正：**在“第三章个人信息的处理与安全保障”中的3.2条，增加对第三方服务商的约束条款：“甲方在委托第三方处理个人信息时，应与第三方签订书面的委托处理协议，明确委托内容、处理方式、安全保障措施以及双方的权利义务。第三方服务商仅限于为甲方提供餐饮配送服务所必需的服务，不得将个人信息用于委托处理协议约定之外的任何目的。”

***条款修正：**在“第四章个人信息的共享与披露”中的4.3条，增加对第三方服务商的约束条款：“甲方在共享或披露个人信息至第三方服务商时，应确保其行为符合个人信息保护法律法规的规定，并取得信息主体的明确同意。”

**特殊应用场景五：餐饮配送服务中的儿童个人信息保护**

**应用场景说明：**当甲方在提供餐饮配送服务过程中，需要收集儿童个人信息时，需要特别注意儿童个人信息的特殊保护规则。

**需要注意的条款及修正：**

***条款修正：**在“第二章个人信息的收集与使用”中的2.1条，增加儿童个人信息的收集范围说明：“甲方在收集个人信息前，应明确告知信息主体哪些信息属于儿童个人信息，并取得儿童监护人或其法定代理人的明确同意。”

***条款修正：**在“第二章个人信息的收集与使用”中的2.4条，增加儿童个人信息的特殊告知内容：“甲方在收集儿童个人信息前，除告知本合同2.4.1至2.4.5项规定的内容外，还应告知儿童监护人或其法定代理人以下事项：

*儿童个人信息的收集目的、方式、范围；

*儿童个人信息的存储期限；

*儿童个人信息的共享对象及共享目的；

*儿童个人信息的处理方式，包括是否进行匿名化处理；

*儿童监护人或其法定代理人对儿童个人信息处理的异议权及行使方式。”

***条款修正：**在“第五章信息主体的权利与义务”中的5.1条，增加儿童个人信息的相关权利：“5.1.8特别保护权：儿童个人信息应受到特别的保护，甲方在处理儿童个人信息时，应采取更加严格的安全措施，并应取得儿童监护人或其法定代理人的明确同意。”

**原始合同所需要的所有详细的附件**

***附件一：个人信息收集清单**

*详细列明甲方在提供餐饮配送服务过程中收集的个人信息种类、收集方式、收集目的等。

***附件二：个人信息处理流程图**

*以图形化的方式展示甲方在提供餐饮配送服务过程中对个人信息进行处理的具体流程，包括信息的收集、存储、使用、共享、披露、删除等环节。

***附件三：个人信息安全管理制度**

*详细规定甲方在处理个人信息过程中的安全管理制度，包括组织架构、职责分工、安全措施、应急预案等内容。

***附件四：第三方处理者协议**

*甲乙双方与第三方服务商签订的协议，明确委托内容、处理方式、安全保障措施以及双方的权利义务。

***附件五：数据出境安全评估报告**

*甲方在进行数据出境前，对数据出境的安全性进行的评估报告，包括数据出境的目的、方式、范围、目的地所在国的数据保护法律法规、数据出境的安全措施等内容。

***附件六：儿童个人信息保护政策**

*甲方在收集、处理、共享或披露儿童个人信息时，应遵循的特殊保护政策，包括儿童个人信息的收集范围、收集方式、收集目的、存储期限、共享对象、共享目的、处理方式、安全保障措施等内容。

**实际操作过程中遇到的相关问题及注意事项及解决办法**

**问题一：信息主体撤回同意后，甲方如何处理已收集的个人信息？**

**注意事项：**根据《个人信息保护法》的规定，信息主体有权撤回其同意，甲方应在收到撤回同意的通知后，停止处理该信息，并根据存储期限的规定进行处理。

**解决办法：**甲方应建立信息主体撤回同意的处理机制，及时删除或匿名化处理已收集的个人信息，并告知信息主体处理结果。

**问题二：甲方如何证明其处理个人信息是合法的？**

**注意事项：**甲方应建立健全个人信息处理的法律依据，并保留相关证据，如信息主体的同意、法律法规的授权等。

**解决办法：**甲方应建立个人信息处理的法律依据清单，并保留相关证据，如信息主体的同意书、授权委托书、法律法规的文本等。

**问题三：甲方如何应对个人信息泄露事件？**

**注意事项：**甲方应制定个人信息泄露应急预案，及时采取措施，防止信息泄露事件的扩大，并按照法律法规的规定进行报告。

**解决办法：**甲方应制定个人信息泄露应急预案，并定期进行演练，确保在发生个人信息泄露事件时，能够及时采取措施，防止信息泄露事件的扩大，并按照法律法规的规定进行报告。

**问题四：甲方如何确保第三方服务商的个人信息处理规则符合法律法规？**

**注意事项：**甲方应与第三方服务商签订书面的委托处理协议，明确委托内容、处理方式、安全保障措施以及双方的权利义务，并对第三方服务商进行定期审计。

**解决办法：**甲方应与第三方服务商签订书面的委托处理协议，并对第三方服务商进行定期审计，确保其个人信息处理规则符合法律法规。

**问题五：甲方如何平衡个人信息保护与服务质量的关系？**

**注意事项：**甲方应在收集、处理、共享或披露个人信息时，遵循最小必要原则，仅收集、处理、共享或披露与服务质量提升所必需的个人信息。

**解决办法：**甲方应建立个人信息处理的必要性评估机制，定期评估个人信息处理是否必要，并根据评估结果进行调整，以平衡个人信息保护与服务质量的关系。

多方为主导时的，附件条款及说明

第十一章甲方为主导时的，附加条款及说明

11.1**甲方主导数据主体同意管理机制**

11.1.1**条款内容：**在甲方作为数据处理活动的绝对主导方，需要代表或协助数据主体行使个人信息权利（如同意撤回、更正请求等）时，甲方应建立并维护一个清晰、高效的数据主体同意管理机制。该机制应包括但不限于：提供一个或多个易于访问的渠道（如专用邮箱、在线表单、客服热线等），供数据主体就其个人信息处理相关的同意事项进行表达、查询、修改或撤回；设计并实施有效的同意记录系统，能够准确、完整地记录数据主体的同意状态、同意内容、时间、方式以及同意的期限，并确保该记录在数据主体同意撤回或期限届满时能够被准确识别和操作；确保数据处理活动的设计和执行始终以获得并维持数据主体的有效同意为基础，并在同意撤回后及时停止相关处理活动，并采取必要措施删除或匿名化处理已处理的个人数据。

11.1.2**说明：**本条款旨在明确甲方在主导数据处理活动时，对于数据主体同意这一关键法律基础所承担的额外责任。在甲方不仅提供服务，还可能基于自身业务需求或战略考量，需要代表或管理数据主体同意的情况下（例如，甲方运营的平台整合了多个服务，需要统一管理用户同意；或甲方需要为数据主体提供跨服务的同意管理界面），本条款规定了甲方必须建立专门的机制来处理这些同意相关的复杂事务。这超越了简单的告知义务，要求甲方具备主动管理、记录和响应数据主体同意请求的能力，确保甲方在数据处理活动中始终拥有合法有效的同意依据，并能够灵活应对数据主体意愿的变化。有效的同意管理机制是避免法律风险、建立用户信任的关键环节，特别是在涉及敏感信息处理或需要长期存储个人数据的情况下。该机制的设计应充分考虑用户体验，确保数据主体能够轻松地理解和行使自己的同意权利。

11.2**甲方主导的数据质量保证义务**

11.2.1**条款内容：**作为数据处理的主导方，甲方有责任采取必要的技术和管理措施，确保其处理的个人数据具有准确性、完整性和时效性。甲方应建立数据质量监控和评估机制，定期（例如，每年至少一次）对所处理的个人数据的质量进行评估，识别并处理不准确、不完整或不及时的个人数据。甲方应制定并执行数据更正、补充和删除的程序，确保在发现个人数据错误或不再符合处理目的时，能够及时、有效地进行更正或删除。甲方还应采取措施防止或及时发现并纠正因系统故障、人为错误等原因导致的个人数据错误。

11.2.2**说明：**本条款强调了甲方在数据处理中的主导地位，要求其对数据质量承担主动管理责任。虽然数据主体也有权要求更正其个人数据，但甲方作为数据处理活动的组织者和执行者，更有条件、更有责任确保进入其处理流程的数据是基本准确的。不准确的数据不仅可能导致错误的决策，侵犯数据主体的权益，也可能使甲方面临法律风险。因此，本条款要求甲方不仅要响应数据主体的更正请求，更要主动进行数据质量监控和评估，建立持续改进的机制。这包括建立数据错误溯源机制，了解错误产生的原因，并采取预防措施减少未来错误的发生。甲方需要投入资源进行数据清洗、校验和更新，确保其数据库中存储和使用的个人数据能够反映数据主体的真实情况，满足合法、正当处理的要求。

11.3**甲方主导的数据安全事件应急响应**

11.3.1**条款内容：**鉴于甲方在数据处理中的主导地位，其在发生或可能发生个人数据泄露、篡改、丢失等安全事件时，应担任应急响应的总协调人。甲方应制定详细的数据安全事件应急预案，明确事件的发现、评估、响应、通知和改进等各个环节的流程、职责分工和时限要求。在事件发生后，甲方应立即启动应急预案，采取一切必要措施限制事件的影响范围，减少个人数据泄露的数量和可能造成的损害，并及时评估事件的影响程度和是否需要通知数据主体及监管机构。甲方应负责协调内部资源以及与外部机构（如第三方安全厂商、法律顾问、监管机构等）的沟通，确保应急响应工作的有效进行。

11.3.2**说明：**本条款明确了在发生数据安全事件时，甲方的领导角色和核心责任。数据安全事件具有突发性和危害性，需要快速、协调一致的应对。甲方作为数据处理的主导方，拥有对数据、系统和人员的控制权，最适合担任应急响应的指挥中心。本条款要求甲方不仅要预防安全事件的发生，一旦事件发生，必须能够迅速启动应急机制，有效控制事态，减少损失，并履行及时通知数据主体和监管机构的法律义务。应急预案应具有可操作性，并定期进行演练和更新，以适应不断变化的技术环境和业务需求。甲方还需要确保其应急响应能力能够覆盖其所有重要的数据处理活动，包括与第三方服务商合作处理的数据。

11.4**甲方主导的跨境数据传输合规管理**

11.4.1**条款内容：**当甲方主导的餐饮配送服务涉及将个人数据传输至境外（数据出境）时，作为数据处理的主导方，甲方负主体责任，必须确保数据出境活动符合《个人信息保护法》及相关国家或地区的数据出境规定。甲方应进行充分的数据出境风险评估，识别并评估数据出境可能带来的风险，特别是对数据主体权益的风险。甲方应采取必要的技术措施和管理措施（如签订标准合同、使用认证机制、进行安全评估、实现数据主体权利保障机制等）来降低风险，确保数据在境外的处理活动得到充分保护。甲方应向数据主体充分、透明地告知数据出境的目的、方式、范围、传输至的目的地、目的地所在国的数据保护水平以及数据主体的权利保障措施。甲方还应建立并维护数据出境活动的记录，并接受监管机构的监督检查。

11.4.2**说明：**本条款针对甲方在数据出境场景下的主导责任进行了细化。数据出境是个人信息保护领域的一个重点和难点，各国法律通常有严格的规定。甲方作为数据处理活动的组织者和领导者，即使数据出境是由其委托的第三方发起或执行，甲方也必须对整个数据出境过程的合规性负最终责任。本条款要求甲方从风险评估、合规措施、透明告知到记录保存等各个环节，都必须履行到位。甲方需要了解并遵守数据出境的多种合法机制，如通过具有约束力的标准合同、通过认证的个人信息保护机制（如认证等保三级）、通过安全评估（如等保二三级测评）等，选择最适合其业务场景的方式。甲方还需要确保数据主体的知情权得到保障，告知其数据可能被传输到何处以及如何保护。这种主导责任要求甲方具备更高的合规管理能力，并投入必要的资源来确保数据在跨境流动中的安全。

第十二章乙方为主导时的，附加条款及说明

12.1**乙方主导的数据主体同意的获取与记录**

12.1.1**条款内容：**在乙方主导数据处理活动，或乙方作为主要责任方需要直接向数据主体获取同意的情况下，乙方应承担确保同意获取合法、有效、具体、明确的首要责任。乙方应设计并实施一套符合《个人信息保护法》要求的同意获取机制，确保在收集、处理敏感个人信息或处理目的发生变更时，能够以清晰、易懂的方式向数据主体说明情况，并获取其明确的、单独的同意。乙方必须建立并维护一个可靠、完整的同意记录系统，能够详细记录每一次同意的获取情况，包括同意的内容、获取时间、获取方式（如点击按钮、书面签署、口头确认并记录等）、同意的主体身份标识（在合法且必要的前提下）、以及同意的有效期限。该同意记录系统应能够支持数据主体随时查询其同意状态，并方便乙方响应数据主体的同意撤回请求。

12.1.2**说明：**本条款强调了当乙方处于主导地位时，其在获取和处理数据主体同意方面的核心责任。同意是个人信息处理最重要的法律基础之一，尤其对于敏感信息处理和目的变更场景。乙方主导意味着乙方需要亲自面对用户，直接获取用户的信任和授权。本条款要求乙方不仅要满足形式上的同意要求（如获得点击确认），更要确保同意的内容是用户真实意愿的表达，形式上是具体明确的。建立完善的同意记录系统是关键，这不仅是为了满足监管要求，更是为了在用户日后行使权利（如撤回同意）时能够提供证据，证明当时存在有效的同意。该系统需要足够精细，能够区分不同场景、不同类型的同意，并能够适应不同用户群体的需求。乙方还需要考虑如何平衡同意获取的严格性与用户体验，设计既合规又友好的同意界面和流程。

12.2**乙方主导的数据处理活动的合规监督**

12.2.1**条款内容：**作为数据处理活动的主导方，乙方有责任对整个数据处理流程的合规性进行监督和管理，确保数据处理活动符合《个人信息保护法》等相关法律法规的要求。乙方应定期（例如，每年至少一次）对其数据处理活动的合规性进行自我评估，识别并整改存在的合规风险。乙方应确保其内部负责处理个人数据的员工都接受了必要的个人信息保护培训，了解相关的法律法规和公司的数据处理政策。乙方应建立并维护清晰的数据处理记录，能够证明其处理活动的合法性、正当性、必要性以及目的限制原则的遵守情况。乙方还应建立与监管机构的沟通渠道，并积极配合监管机构的监督检查。

12.2.2**说明：**本条款赋予了乙方在数据处理合规方面的监督和管理责任。当乙方主导时，这意味着乙方需要承担起确保其自身以及其委托的第三方（如果存在）都遵守数据保护规则的责任。合规监督不仅仅是一次性的审查，而是一个持续的过程，需要乙方建立内部机制来主动发现和解决问题。自我评估机制要求乙方能够站在监管的角度审视自身行为，检查是否在数据收集、存储、使用、共享、删除等各个环节都符合法律规定。员工培训是基础，确保每个接触数据的人都清楚红线在哪里。维护清晰的处理记录，如处理目的说明、数据类型清单、存储期限规定等，是证明合规性的重要证据。积极配合监管是履行法定义务的表现，也是维护企业声誉的必要举措。这种监督责任要求乙方具备一定的法律知识和管理能力，能够有效地管理数据保护事务。

12.3**乙方主导的数据安全事件的上报与协调**

12.3.1**条款内容：**在乙方主导的数据处理活动中发生个人数据泄露等安全事件时，乙方作为主要责任方，应承担及时上报和有效协调的首要责任。乙方应在发现或知悉安全事件后，立即启动应急预案，采取必要措施控制事件影响，并按照《个人信息保护法》等法律法规的要求，在规定时限内（通常是72小时内）向履行个人信息保护职责的部门报告。乙方应负责组织协调内部资源以及与外部相关方的沟通，包括但不限于通知受影响的个人、联系可能受影响的第三方服务商、寻求法律援助等。乙方还应负责对事件进行调查，评估事件的影响，并根据调查结果采取补救措施，并持续改进其数据安全防护能力。

12.3.2**说明：**本条款明确了当乙方主导时，其在数据安全事件应对中的核心领导地位和法定义务。及时、准确地上报安全事件是法律强制要求，也是保护数据主体权益的重要措施。乙方主导意味着乙方需要承担起上报的主体责任，不能将此责任完全推给第三方。同时，乙方需要有效地协调各方力量，包括内部的技术、法务、公关等部门，以及外部的安全厂商、法律顾问、受影响的用户等，共同应对危机。这种协调能力对于控制事件影响、履行通知义务、恢复业务正常运营至关重要。乙方还需要从事件中吸取教训，完善安全措施，防止类似事件再次发生。本条款强调了乙方不仅要响应，更要主动组织、领导和负责整个事件应对过程。

12.4**乙方主导的第三方处理者的尽职调查与管理**

12.4.1**条款内容：**当乙方主导的数据处理活动需要委托第三方处理个人数据时（即使乙方是主导，也可能将部分环节如配送、支付等外包），乙方作为主要责任方，必须对第三方处理者进行严格的尽职调查，并建立有效的管理机制。尽职调查应包括但不限于核实第三方的合法经营资格、了解其数据处理能力、审查其数据保护合规状况（如是否具备必要的安全措施、是否有相关认证等）、评估其数据泄露事件的历史记录等。乙方应与第三方处理者签订书面的数据处理协议，明确双方的权利义务，特别是明确乙方对第三方处理者的监督、指示和撤回委托的权利。乙方应定期对第三方处理者的数据处理活动进行监督和审计，确保其按照协议约定和法律法规的要求处理个人数据。乙方还应要求第三方处理者履行数据安全保护义务，并在发生数据安全事件时及时通知乙方。

12.4.2**说明：**本条款细化了乙方在主导数据处理活动时，对委托的第三方处理者的管理责任。即使乙方是主导方，但将个人数据交给第三方处理，乙方仍然是数据处理活动的责任主体，不能完全免除责任。因此，对第三方的尽职调查和管理至关重要。尽职调查是为了确保选择一个可靠、合规的合作伙伴，降低合作风险。签订规范的数据处理协议是明确双方责任、约束第三方行为的关键法律文件。定期的监督和审计则是确保第三方持续遵守约定的有效手段。通过这些措施，乙方可以将委托出去的风险控制在可接受范围内，确保第三方处理者的行为符合乙方的合规要求，从而维护整个数据处理活动的合法性。这种管理责任要求乙方具备选择和管理合作伙伴的能力，并愿意投入资源进行监督。

第十三章当有第三方中介时，附加条款及说明

13.1**第三方中介的数据处理协议中的责任划分**

13.1.1**条款内容：**在涉及第三方中介（如平台方、技术服务商等）参与甲方或乙方主导的餐饮配送服务数据处理活动时，必须签订详细的数据处理协议，明确界定甲乙双方与第三方中介在数据处理中的角色、责任和权限。协议应明确规定第三方中介仅为履行特定的、明确的、合法的处理任务而处理个人数据，不得超出授权范围使用数据。协议应明确第三方中介作为数据处理者的法律地位，以及其在数据保护方面的义务，包括但不限于：遵守甲乙双方制定的数据处理规则；采取符合行业标准和法律法规要求的技术和管理措施保障数据安全；仅在甲乙双方授权的情况下与任何第三方共享个人数据；协助甲乙双方履行数据主体的权利请求；在发生数据安全事件时，按照协议约定及时通知甲乙双方；根据甲乙双方的要求删除或返回个人数据；配合甲乙双方接受监管机构的监督检查等。协议还应明确违约责任和争议解决机制。

13.1.2**说明：**本条款强调了在有第三方中介参与时，通过签订规范的协议来明确各方责任的重要性。第三方中介可能是提供配送服务的公司、处理支付的平台、提供用户画像分析的服务商等。虽然甲方或乙方是主导方，但数据实际的处理可能由多个主体完成。协议是划分责任的法律依据。本条款要求协议不仅要明确第三方中介可以做什么（处理任务），更要明确它不能做什么（超出授权范围），以及它必须做什么（安全保护、响应权利请求、及时通知等）。这确保了即使数据在多个主体之间流转，责任链条也是清晰可循的，主导方能够通过协议有效管控第三方，并将自身的法律责任与第三方的行为进行有效隔离（即主导方仍需确保第三方合规，但合规责任主要在第三方）。明确的违约责任和争议解决机制有助于在出现问题时能够通过法律途径解决。

13.2**第三方中介的数据安全协同与信息共享**

13.2.1**条款内容：**在甲方或乙方主导的数据处理活动中，涉及第三方中介时，甲乙双方应与第三方中介建立数据安全协同机制，确保各方在数据安全防护方面相互配合。协议应规定，当一方发现潜在或已发生的数据安全风险时，应立即通知其他相关方，并共同采取措施进行处置。甲乙双方应有权要求第三方中介提供其数据安全措施的相关信息（如安全架构图、安全测评报告、应急预案等），以便进行整体风险评估和协同防御。第三方中介应配合甲乙双方进行必要的安全检查和审计。在发生可能影响多方或涉及重大安全风险的事件时，甲乙双方应与第三方中介共享必要的信息，以便共同制定和执行应急响应计划，最大限度地减少损失。

13.2.2**说明：**本条款关注在有第三方中介时，如何实现跨主体的安全协同和信息共享。数据安全是共同的责任，单一主体的防护措施可能不足以应对复杂的安全威胁。本条款要求主导方（甲方或乙方）与第三方中介之间建立一种合作关系，在安全问题上互通有无、协同作战。通过协议约定信息共享的渠道和范围，确保在出现安全问题时，各方能够及时沟通、快速响应。主导方有权了解第三方的安全状况，以便进行整体的风险把控。第三方中介则有义务配合主导方的安全管理和检查。这种协同机制的核心在于打破信息壁垒，形成安全合力，共同应对数据安全挑战。这对于保护整个生态系统的数据安全至关重要。

13.3**第三方中介对数据主体权利请求的转达与协助**

13.3.1**条款内容：**在甲方或乙方主导的数据处理活动中，当数据主体向任何一方提出访问、更正、删除其个人数据等权利请求时，如果该请求涉及由第三方中介处理的数据，协议应明确第三方中介的转达和协助义务。协议应规定，主导方在收到数据主体的权利请求后，应立即核实请求的真实性，并在必要时，通过协议约定的方式（如安全传输通道、专用接口等）将请求和相关身份验证信息转达给相关的第三方中介。第三方中介在收到转达的请求后，应在协议约定或法律法规规定的时限内，按照请求的内容对涉及的个人数据进行处理，并将处理结果（包括同意处理、拒绝处理及理由）及时反馈给主导方。主导方则负责将处理结果告知数据主体。协议还应明确第三方中介在协助处理权利请求时，应采取的安全措施和保密义务。

13.3.2**说明：**本条款解决了在有第三方中介时，数据主体的权利请求如何得到有效响应的问题。数据主体的权利是法定权利，无