2026年中国版SCC标准合同样本1套

PAGE2026年中国版SCC标准合同样本1套法律服务·实用文档2026年·9726字

目录一、变更事项二、合规要求三、费用与期限四、其他一、边界争议二、权利请求争议三、政府请求披露争议四、安全事件损害评估争议一、适用性边界二、高风险场景三、动态合规四、个人救济

个人信息出境标准合同（2026年中国版SCC样本）【合同编号：SCC-2026-001】第一条核心条款一：出境个人信息范围、目的及处理指令出境个人信息范围1.出境个人信息的具体类型包括但不限于：身份识别信息、联系信息、交易与服务记录、网络识别信息、设备信息、位置信息、日志信息、以及经个人同意的其他信息，均以附件一《个人信息清单与处理目的表》为准。未经甲方书面授权及个人信息主体的充分知情同意，乙方不得处理超出附件一范围的个人信息。2.涉及敏感个人信息的，以最小必要为原则，仅限附件一中列明的“敏感个人信息”项，如生物识别、行踪轨迹、精确定位、财产信息、未成年人信息等。对敏感个人信息的处理需满足单独同意、充分告知和附加技术保护措施。3.甲方确认出境个人信息的数量、类别、来源、处理目的与方式、处理期限、存储地点、接收地区法律环境评估结论，均以附件二《数据出境说明与法律环境评估摘要》为准。乙方确认其具备与之相匹配的技术和管理条件。处理目的与合法性基础1.乙方仅可基于以下合法性基础处理个人信息：履行合同与服务、履行法定义务、应对突发公共卫生事件或紧急情况保护自然人生命健康与财产安全、在依法取得个人同意时所需的其他目的；详见附件一中对每类数据与目的的逐项对应。2.目的限制与相容性：乙方不得出于与附件一所述目的不相容之用途进行处理，包括画像、自动化决策、广告营销等。如确需改变目的，须满足法定条件并取得甲方事先书面授权及再次履行告知与同意义务。3.处理指令：乙方应严格遵循甲方的书面指令进行处理，未经甲方事先书面同意，不得自行决定处理目的与方式，不得转交第三方或进行境外再转移。数据最小化与保留期限1.数据最小化：乙方应采用分级访问、字段脱敏、差分隐私等措施，确保处理的数据量与字段维度不超过实现目的所必需的范围。2.保留期限：乙方对各类个人信息的存储期限以附件一中“保留期限”所载为上限，期满后应在【7】个工作日内完成不可逆删除或脱敏化处理并向甲方出具证明。3.备份与日志：乙方的备份应与生产数据一致适用本合同与附件要求。日志数据的保存期限不少于【180】日且不超过【3】年，超期必须不可逆删除或脱敏化保存。第二条核心条款二：安全保障与跨境合规承诺技术与组织安全措施1.加密与密钥管理：跨境传输与存储均应采用经行业验证的加密算法（如TLS1.2及以上、AES-256），密钥由乙方专人保管并实施双人双控，密钥轮换周期不超过【90】日。2.访问控制：最小权限原则、基于角色的访问控制（RBAC）、零信任网络访问策略，对访问行为进行多因素认证与全量审计。3.数据分级分类与脱敏：对敏感信息实施掩码/脱敏/同态加密或安全多方计算等措施，在开发测试环境使用合成数据或严格脱敏数据。4.安全开发与漏洞管理：乙方应建立安全开发生命周期（SDL），在【72】小时内完成高危漏洞修复，在【7】日内完成中危漏洞修复；采用代码审计、SAST/DAST、渗透测试等控制。5.业务连续性与灾备：RPO不高于【24】小时，RTO不高于【4】小时；灾备数据中心满足等同或更高安全等级，不得绕开本合同约束。合规文件与备案1.适用性声明：甲方声明自身不属于关键信息基础设施运营者，且过去一年累计向境外提供个人信息数量未达到需网信部门安全评估的阈值；乙方知悉并配合核验。若条件变化导致不再适用标准合同路径，双方应立即启动安全评估或其他合规方案。2.备案义务：本合同签署生效后，甲方应于【10】个工作日内向所在地省级网信部门履行备案义务，乙方应提供必要的材料与说明。3.DPIA支撑材料：双方共同完成并保存个人信息保护影响评估（DPIA）及受方所在地法律环境评估，不得低于每【12】个月更新一次。境外法律冲突与政府请求1.法律冲突：若乙方所在地法律与本合同或中国法律冲突，乙方应以不降低甲方与个人信息主体权利保护水平为原则采取补救措施，并立即通知甲方。2.政府请求：乙方若收到任何政府、司法或监管机构对个人信息的披露请求，应在法律允许范围内立即通知甲方，并采取一切合法措施反对、限制或延迟不当请求，仅在法定强制情况下按最小范围履行。3.透明度报告：乙方应每【6】个月向甲方提供透明度报告，说明第三方访问申请、披露数量、法律依据与救济结果。第三条核心条款三：个人信息主体权利行使与救济权利申请渠道与时限1.渠道：乙方应建立中文可访问的权利申请渠道，包括电子邮箱、在线表单及不低于一个工作时区覆盖的热线，并在隐私声明中向个人信息主体充分披露。2.时限：乙方在收到个人权利请求后【15】日内完成处理并反馈；如情况复杂，可延长【15】日并说明理由。涉及删除、撤回同意、限制处理的，应即时生效或在技术上可行时限内完成。3.身份核验：乙方应实施合理身份核验措施，防范越权申请和恶意请求；不可据此不合理拒绝权利行使。权利范围1.知情与决定权：乙方应向个人信息主体提供清晰、完整的告知，包括出境目的、接收方身份、联系方式、处理方式、保留期限及救济渠道。2.查阅、复制、更正、删除、撤回同意、限制处理、索取解释和拒绝自动化决策等权利，乙方应逐项支持并记录处理结果。3.可携权：在满足法律条件时，乙方应在【15】日内向个人信息主体或经甲方指定的接收方提供结构化、通用且机器可读格式的数据副本。投诉与争议救济1.内部申诉：乙方需设立独立的个人信息保护责任人及申诉机制，争议未能在【30】日内解决的，个人信息主体可申请第三方调解或向监管部门投诉。2.司法与仲裁救济：个人信息主体依法享有向有管辖权的中国法院提起诉讼或寻求仲裁的权利，本合同不对个人信息主体法定权利作不利限制。3.费用减免：对合理权利请求，乙方不得收取费用；对明显重复、数量过多或明显无理的，可按成本收取不高于【人民币50元/次】的费用，并需说明依据。第四条定义与解释术语定义1.个人信息、敏感个人信息、处理、出境、去标识化、匿名化、安全事件、最小必要、单独同意等术语的含义，依照中华人民共和国法律法规（包括但不限于个人信息保护法、数据安全法、网络安全法及配套规范）及本合同约定执行。2.标准合同（SCC）：指依据中国相关法律法规制定的个人信息出境标准合同及其附件、补充协议与备案材料的总称。3.个人信息处理者（甲方）与受托处理者/接收方（乙方）：为实现跨境服务而分别承担合规义务的主体，具体角色以本合同及附件记载为准。解释原则1.如本合同与双方就具体服务签订的主协议存在不一致，以保护个人信息主体权益更高者为准。2.对未尽事宜，参照行业最佳实践与国家标准（如GB/T35273等）予以解释。3.任何对个人信息主体权利不利的歧义，均作有利于个人信息主体的解释。第五条合同标的与适用范围合同标的1.建立甲方向乙方跨境提供个人信息的合规框架，明确数据项、目的、期限、安全措施、各方权责及个人信息主体权利保障。2.本合同为双方主协议【协议名称】之下的数据出境合规文件，与主协议及隐私政策共同构成完整合规体系。3.本合同适用于甲方通过接口、文件传输、系统访问等方式向乙方提供个人信息的全部跨境处理活动。地理适用和系统范围1.出境目的地为【国家/地区】的【数据中心/系统名称】。2.乙方应确保其境内外分支机构、关联公司与分包商在处理本合同项下数据时同等受约束。3.任何新接入系统或变更数据流向均须经甲方书面确认并更新附件。变更控制1.对数据类型、目的、期限、接收方、再转移等实质性变更，须提前【30】日发起变更流程，补充或修订本合同及附件，并重新评估风险与告知个人。2.紧急场景下的临时变更，乙方必须在【3】日内提供书面说明并补完手续。3.未按本条履行的变更无效。第六条双方权利与义务甲方的权利与义务1.指令与监督权：有权发布合规处理指令、进行审计、要求整改并暂停或终止数据出境。2.告知与同意：负责对个人信息主体履行告知、取得相应同意或满足其他合法性基础，并在必要时向乙方提供证明材料。3.DPIA与备案：负责牵头开展DPIA、法律环境评估与备案工作，乙方应予配合。4.数据准确性：在可行范围内确保向乙方提供的数据准确、完整、与处理目的相符。5.安全协同：获悉可能影响数据安全或合规的事项时，应及时通知乙方并共同采取处置措施。乙方的权利与义务1.合规处理：仅根据甲方书面指令处理数据，并遵守中国法律、行业标准与本合同要求。2.人员管理：对接触数据的员工、承包商进行背景核查与合规培训，签署保密与数据保护协议。3.文档与证明：保存处理活动记录、访问日志、安全事件记录、第三方请求记录等，不少于【3】年。4.违规报告：在发生可能影响个人权益的安全事件时，于【24】小时内初报，【72】小时内详报，内容包含影响评估、处置措施、补救方案。5.协助义务：配合甲方完成个人请求处理、监管问询、审计检查与影响评估。共同义务1.安全基线：共同维持不低于附件三《技术与组织安全措施（TOMs）》所列基线。2.最小共享：不因实现次要目的而扩大数据共享范围。3.再转移限制：任何再转移须满足本合同、法律法规以及甲方书面同意，并签署不低于本合同保护水平的约束性文件。第七条费用与支付费用构成1.本合同为合规文件，原则上不单独计费，若双方另有约定，以补充协议为准。2.如甲方委托乙方提供额外数据保护服务（如专属加密、定制审计、额外数据迁移、单次渗透测试等），费用明细见附件四《费用清单与计费标准》。3.监管合规所需的第三方成本（如外部审计、认证费、公证/翻译费）经甲方书面确认后据实报销。支付方式与税费1.支付币种为【人民币/外币】；支付账户信息见附件四。2.境内外税费各自承担，发票类型为【专用/普通】发票，税率【】。3.乙方应在收到甲方对账确认后的【15】日内完成开票，甲方在收到合规发票后的【30】日内完成支付。逾期与担保1.甲方逾期支付的，自逾期之日起按未付款项的日万分之五计收违约金，逾期超过【15】日乙方有权暂停相关增值服务（不影响履行个人信息保护义务）。2.对重大项目，双方可约定不高于合同金额【10%】的履约保证金，具体见附件四。3.任何费用争议不影响乙方持续履行与个人信息保护直接相关的安全义务。第八条违约责任与赔偿一般违约1.一方违反本合同但未导致个人信息泄露、篡改、丢失或侵害个人权利的，应在【5】日内纠正并消除影响；逾期未纠正的，违约方应向守约方支付相当于合同总额【5%】的违约金，且每日另行按未履行部分对应价款的万分之五计收滞纳金。2.因一方违约导致对方发生的合理维权费用（包括但不限于律师费、公证费、鉴定费、差旅费）由违约方承担。3.若无法确定合同金额或本合同不单独计费的，双方同意以附件四预估服务价或该类服务市场公允价计算违约金基数；仍无法确定时，以人民币【300,000】元为违约金计算基数。数据安全类重大违约1.因乙方原因发生个人信息泄露、篡改、毁损、丢失、非法提供或公开、越权访问等事件的，乙方应：1)向甲方支付违约金，金额为合同总额的【20%】，且不低于人民币【500,000】元；2)对每名受影响个人，承担不低于人民币【100】元的补救与通知成本，并提供不少于【12】个月的信用监测（如适用）；3)赔偿因此给甲方造成的一切损失，包括监管罚款、第三方索赔、商誉损失、系统修复与应急处置成本等。2.因乙方再转移不当或未履行政府请求告知义务导致的损害，视为重大违约，适用本条前款标准并加收【10%】附加违约金。3.若因甲方提供违法数据或违法指令导致损害，由甲方承担相应责任；乙方对明显违法的指令负有拒绝或暂停执行的注意义务。累计责任上限与例外1.除因故意、重大过失、违反数据安全义务导致人身损害、侵犯个人信息主体权利、违反法律强制性规定外，双方对间接损失的赔偿责任不超过最近【12】个月就本合同已支付与应支付费用总额的【100%】。2.上述责任上限不适用于前款例外情形及监管罚款、第三方权利救济费用。3.不可抗力导致的违约，依据不可抗力条款处理。第九条跨境再转移与分包管理再转移条件1.乙方再转移须满足：甲方事先书面同意、签署不低于本合同保护水平的约束性文件、完成风险评估与向个人的信息告知（必要时取得同意）。2.再转移目的限于实现附件一所列目的，且应实施链式约束，确保任何再接收方均承担同等保护义务。3.再转移清单与合规证明文件应纳入附件五《再转移与分包清单》，并定期更新。分包与次处理者管理1.次处理者须通过尽职调查、签署数据保护协议（DPA）、完成安全评估，且关键岗位人员须受保密与冲突检查约束。2.乙方对次处理者的行为承担连带责任。3.对敏感个人信息的处理不得分包至不满足等同保护水平的地区或主体。数据跨境传输机制1.传输通道：采用专线/网络加速/加密隧道并启用端到端加密；不得通过明文邮件、公共云盘未经加密方式传输。2.校验与完整性：使用哈希校验、数字签名保证数据完整性；启用重传与错误检测机制。3.传输频率与窗口：应与业务低峰错峰处理，避免对甲方生产系统造成性能影响。第十条安全事件响应与通报事件分级1.以影响范围、数据敏感度、可恢复性和潜在法律后果划分为四级。涉及敏感个人信息或超过【1,000】名个人的信息的，定为高/严重级。2.相应启动不同级别的应急预案、通报流程与监管上报策略。3.定期演练频率不低于每【6】个月一次。通报与协同1.初报：事件发生后【24】小时内向甲方通报事实、已采取措施与初步判断。2.详报：不迟于【72】小时提交根因分析（RCA）、影响评估、补救与预防措施及对个人通知方案。3.对外通知：涉及个人通知与媒体沟通由甲方统筹，乙方提供技术事实依据并配合监管沟通。取证与保全1.乙方应妥善保全日志、取证镜像、工单记录，不得擅自删除或篡改。2.依据甲方或监管指令开展第三方专业取证与评估。3.事件关闭后【10】日内提交完整事件报告，含可验证的修复证据。第十一条审计、评估与证明审计权1.甲方或其委托的独立第三方有权在提前【10】日书面通知的情况下进行现场或远程审计，每年度不超过【2】次，紧急安全事件不在此限。2.审计范围包括但不限于安全管理制度、访问控制、处理记录、日志、安全设备配置、源代码安全（如相关）、员工背景与培训记录等。3.乙方应提供合理协助，不得无故拒绝或拖延；涉及商业秘密的，双方可签署补充保密协议并限定查看范围。合规证明1.乙方应保持并按要求提供ISO/IEC27001、ISO/IEC27701或等同安全管理体系认证、SOC2报告、渗透测试报告等。2.至少每【12】个月进行一次第三方安全评估并向甲方披露关键结果与整改计划。3.指标化报表：乙方每季度提供KPI/KRI报表，包括漏洞修复周期、权限审计结果、异常访问次数、权利请求处理时效等。第十二条期限、终止与数据处置期限1.本合同自双方签字盖章之日起生效，有效期为【】年；期满未续签但双方继续发生数据出境的，本合同持续适用至完成数据处置。2.附件的更新与补充构成本合同不可分割部分，与本合同具有同等法律效力。3.若法律或监管政策调整导致本合同须修订，双方应在【30】日内完成修订。解除与终止1.一方严重违约且在【15】日内未纠正的，守约方有权解除合同并要求赔偿。2.乙方发生并购、控制权变更、破产清算或被监管认定无法持续合规的，甲方有权立即终止合同并要求数据回收与删除。3.因法律变化导致标准合同路径不再适用且双方在【60】日内未能达成替代方案的，甲方有权暂停数据出境并终止合同。数据回收、删除与证明1.合同终止或目的达成后【7】日内，乙方应按甲方指令选择返还或删除全部个人信息和派生数据（不含依法需留存的审计痕迹），并于【10】日内出具具法律效力的处置证明。2.备份、缓存与日志的删除或不可逆脱敏须在【30】日内完成。3.如法律强制要求保留的，乙方应最小化保留并仅为法定目的使用，同时将法律依据与保留清单书面告知甲方。第十三条适用法律与争议解决适用法律1.本合同适用中华人民共和国法律（不含冲突规范及港澳台地区法律）。2.涉及强制性数据保护规范的，以其为优先适用。争议解决1.首先通过友好协商解决，协商期不超过【30】日。2.若协商不成，双方同意提交【北京仲裁委员会】按其现行仲裁规则仲裁，仲裁地为【北京】，仲裁语言为【中文】。裁决为终局，对双方均有约束力。3.如双方书面约定选择法院管辖的，以【甲方住所地有管辖权的人民法院】专属管辖为准；本款与仲裁条款二选一，以本合同签署页所勾选项为最终选择。不影响个人信息主体权利1.本条款不限制个人信息主体依法向有管辖权的中国法院或监管机构寻求救济。2.如监管要求与仲裁协议冲突，以监管要求优先履行。第十四条其他附则通知与送达1.任何通知均应以书面形式通过电子邮件与快递双轨发送至签署页载明的地址与邮箱，自到达或合理可达时视为送达。2.联系信息变更应于变更后【5】日内书面通知对方，否则因此产生的不利后果由未通知方承担。3.紧急安全事件可通过即时通讯或电话先行通知，但须于【24】小时内补发书面通知。不可抗力1.因地震、火灾、洪水、战争、政府行为、重大疫情及其他不可抗力导致无法履行的，根据不可抗力影响程度部分或全部免除责任，但应及时采取合理补救措施并通知对方。2.不可抗力事件持续超过【30】日的，任一方可解除合同，但数据处置义务不受影响。转让与分包1.未经对方书面同意，任何一方不得转让本合同项下权利义务。2.合并、分立、资产转移等情形下的承继者应承担与本合同等同的义务。保密1.双方对在合同履行过程中获悉的商业秘密、技术秘密、个人信息等负有保密义务，保密期限为该等信息依法不再受保护之前。2.法律法规或监管要求披露的，披露方应尽合理努力进行范围控制与脱敏。完整协议与修订1.本合同及附件共同构成双方就本合同事项的完整协议。2.对本合同的任何修改、补充或替代均须采用书面形式并由双方授权代表签署。存续1.个人信息保护、安全义务、保密、争议解决、法律适用、违约责任等条款在合同终止后继续有效。2.除法律另有强制性规定外，存续期限为【3】年；涉及个人信息主体权利的保障义务随数据存在而持续。双方身份信息甲方（个人信息处理者/数据出口方）：名称：【甲方全称】统一社会信用代码：【】法定代表人/负责人：【】地址：【】联系人及职务：【】联系电话/邮箱：【】数据保护负责人（DPO）及联系方式：【】乙方（接收方/受托处理者/数据进口方）：名称：【乙方全称】注册号/统一社会信用代码或等同编号：【】注册地（国家/地区）：【】法定代表人/负责人：【】营业地址：【】联系人及职务：【】联系电话/邮箱：【】数据保护负责人（DPO）及联系方式：【】附件清单（为合同不可分割部分）附件一：个人信息清单与处理目的表（含数据类型、来源、字段、敏感性标识、处理目的、合法性基础、保留期限、存储地点）附件二：数据出境说明与法律环境评估摘要（含接收地法律合规评估、政府请求风险、救济可行性与补救措施）附件三：技术与组织安全措施（TOMs）（含加密、访问控制、日志审计、漏洞管理、备灾、权限最小化、人员管理与培训）附件四：费用清单与计费标准（如适用），支付信息与发票信息附件五：再转移与分包清单（含次处理者名单、再转移目的地、约束性文件摘要）附件六：个人信息保护影响评估（DPIA）与风险缓解计划（摘要版，可与备案材料一致）附件七：权利请求处理流程与模板（含身份核验、工单模板、处理SLA）附件八：安全事件应急预案与通报模板附件九：主协议摘录（与本合同关联的服务范围、系统接口、交付边界）补充协议模板（加值条款）补充协议编号：【SCC-SA-2026-001】甲方：【】乙方：【】鉴于双方已签署《个人信息出境标准合同》（合同编号：【】），为适应业务变化，双方就以下事项达成补充约定：一、变更事项新增/变更数据类型与目的：1.新增数据项：【】2.处理目的与合法性基础：【】3.保留期限与存储地点：【】新增/变更接收系统与地区：1.系统名称与归属：【】2.地区与数据中心：【】新增次处理者：1.名称、地址与资质：【】2.安全与合规承诺摘要：【】二、合规要求在本补充协议生效前完成DPIA更新与个人告知/同意补充。更新附件一、二、三、五等文件。如涉及敏感个人信息，须完成单独同意与额外技术保护措施。三、费用与期限费用调整：【】生效日期：【2026年月日】至【年月日】。四、其他未尽事宜以原合同为准，本补充协议与原合同具有同等效力。甲方签字盖章：乙方签字盖章：日期：【2026年月日】日期：【2026年月日】常见争议处理指引（加值条款）一、边界争议出现情形：乙方擅自扩大数据范围或用途。处理步骤：1.甲方书面要求限期整改【5】日；2.逾期未改按重大违约处理并启动数据冻结；3.同步进行审计与证据保全，准备仲裁/诉讼材料。二、权利请求争议出现情形：乙方拒绝或延迟处理个人请求。处理步骤：1.核查请求合法性与身份核验流程；2.确认乙方系统限制与替代方案；3.由甲方对个人作出解释说明并