2026年餐饮入驻隐私合规合同

2026年餐饮入驻隐私合规合同合同编号：__________

2026年餐饮入驻隐私合规合同

第一章总则

第一条合同目的

本合同旨在明确甲方（餐饮服务提供方）与乙方（平台运营方）在餐饮服务入驻过程中涉及用户个人信息保护方面的权利与义务，确保双方在遵守《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》等相关法律法规的前提下，实现餐饮服务的合规、安全、有序开展。

第二条适用范围

本合同适用于甲方通过乙方提供的餐饮服务平台（以下简称“平台”）开展线上经营活动过程中所收集、使用、处理、传输的用户个人信息及相关活动数据。

第三条法律依据

本合同的订立、效力、解释、履行及争议解决均适用中华人民共和国法律。任何一方在本合同履行过程中均应遵守国家有关法律法规及行业规范，不得从事任何违法违规行为。

第四条合同主体

甲方：名称/姓名，统一社会信用代码/身份证号码，注册地址/住址，联系方式。

乙方：名称，统一社会信用代码，注册地址，联系方式。

第二章定义与解释

第五条关键定义

（一）个人信息：以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

（二）敏感个人信息：一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

（三）个人信息处理：对个人信息进行收集、存储、使用、加工、传输、提供、公开、删除等操作。

（四）个人信息主体：个人信息所指向的自然人。

（五）个人信息处理者：在个人信息处理活动中自主决定处理目的、处理方式的组织或者个人。

（六）个人信息保护影响评估：在处理可能对个人信息权益产生重大影响的情况下，对处理活动对个人信息权益的风险进行识别、评估，并采取必要措施消除或者减轻风险的过程。

第六条解释顺序

本合同中的条款、子条款、附件均构成合同的组成部分，对双方具有同等法律效力。若条款之间存在冲突，以条款顺序在先者为准；若条款内容不明确，则参照子条款及附件内容进行解释；若仍无法确定，则由双方协商解决，协商不成的，提交有管辖权的人民法院裁决。

第三章甲方的权利与义务

第七条甲方的权利

（一）要求乙方按照法律法规及本合同约定，采取必要的技术和管理措施保障个人信息处理活动的合法合规性。

（二）在符合法律法规及本合同约定的前提下，自主决定个人信息的处理目的、处理方式及处理范围。

（三）要求乙方在发现个人信息泄露、篡改、丢失时，及时采取补救措施，并告知甲方相关情况。

（四）对乙方提供的个人信息处理服务进行监督和检查，要求乙方提供必要的说明资料和证明文件。

（五）根据业务发展需要，要求乙方提供相应的技术支持和咨询服务，以优化个人信息处理流程。

第八条甲方的义务

（一）保证其作为个人信息处理者的合法地位，并具备相应的处理个人信息的资质和能力。

（二）在收集个人信息前，向个人信息主体明示本合同约定的处理目的、处理方式、信息共享情况、保存期限等，并取得个人信息主体的单独同意。

（三）仅收集与餐饮服务提供直接相关的、必要的个人信息，不得过度收集个人信息。

（四）对收集到的个人信息进行分类分级管理，采取加密存储、访问控制等安全措施，防止个人信息泄露、篡改、丢失。

（五）建立健全个人信息保护制度，明确个人信息处理岗位的职责和权限，对从业人员进行个人信息保护培训。

（六）在处理敏感个人信息时，应取得个人信息主体的特别同意，并采取严格的保护措施。

（七）在终止与乙方合作时，应按照本合同约定及法律法规要求，删除或返回其持有的个人信息，并确保删除或返回操作的不可逆性。

（八）配合乙方进行个人信息保护影响评估，并根据评估结果采取相应的风险控制措施。

第四章乙方的权利与义务

第九条乙方的权利

（一）要求甲方提供必要的个人信息处理授权证明，并核实甲方具备相应的处理资质。

（二）对甲方提供的个人信息处理活动进行合规性审查，发现不符合法律法规及本合同约定的，有权要求甲方立即整改。

（三）在甲方违反本合同约定，导致个人信息泄露、篡改、丢失等严重后果时，有权要求甲方承担相应的赔偿责任。

（四）根据业务发展需要，对平台功能和服务进行升级改造，并要求甲方配合相关工作。

第十条乙方的义务

（一）为甲方提供安全、稳定、可靠的餐饮服务平台，并确保平台符合国家有关法律法规及行业规范。

（二）在平台显著位置向用户公示本合同的隐私政策，并确保用户能够便捷地查阅和理解相关内容。

（三）建立健全个人信息保护管理制度，明确个人信息处理岗位的职责和权限，对从业人员进行个人信息保护培训。

（四）对甲方提交的个人信息进行分类分级管理，采取加密存储、访问控制等安全措施，防止个人信息泄露、篡改、丢失。

（五）在处理甲方提交的敏感个人信息时，应要求甲方提供特别同意的证明，并采取严格的保护措施。

（六）在发现甲方提交的个人信息处理活动存在违法违规风险时，应立即通知甲方，并协助甲方采取补救措施。

（七）定期对平台进行安全评估和漏洞扫描，及时修复发现的安全问题，并告知甲方相关情况。

（八）在终止与甲方合作时，应按照本合同约定及法律法规要求，删除或返回甲方持有的个人信息，并确保删除或返回操作的不可逆性。

第五章个人信息的处理

第十一条个人信息的收集

（一）甲方在收集个人信息时，应遵循合法、正当、必要、诚信的原则，并确保收集的个人信息与餐饮服务提供直接相关、必要且适量。

（二）甲方在收集个人信息前，应向个人信息主体明示本合同约定的处理目的、处理方式、信息共享情况、保存期限等，并取得个人信息主体的单独同意。

（三）对于不满十四周岁未成年人的个人信息，甲方应取得其监护人单独同意后方可收集和处理。

第十二条个人信息的存储

（一）甲方应将个人信息存储在安全的环境中，并采取加密存储、访问控制等安全措施，防止个人信息泄露、篡改、丢失。

（二）甲方的个人信息存储期限应根据法律法规及本合同约定确定，不得超出必要的存储期限。

（三）甲方应定期对个人信息存储情况进行检查和清理，及时删除或返回不再需要的个人信息。

第十三条个人信息的使用

（一）甲方在处理个人信息时，应遵循最小必要原则，仅限于实现处理目的所必需的范围。

（二）甲方不得将个人信息用于本合同约定以外的目的，除非取得个人信息主体的再次同意。

（三）甲方在处理个人信息时，应采取必要的技术和管理措施，确保个人信息的安全。

第十四条个人信息的传输

（一）甲方在传输个人信息时，应采取加密传输、安全协议等保护措施，防止个人信息在传输过程中泄露、篡改、丢失。

（二）甲方在向第三方传输个人信息时，应取得个人信息主体的单独同意，并确保第三方具备相应的处理资质和保护能力。

（三）甲方应与第三方签订保密协议，明确其保护个人信息的责任和义务。

第十五条个人信息的公开

（一）甲方不得公开个人信息，除非取得个人信息主体的单独同意，或法律法规另有规定。

（二）甲方在公开个人信息时，应采取必要的技术和管理措施，确保个人信息的安全。

（三）甲方应向用户提供公开个人信息的查询和更正服务。

第六章个人信息的保护

第十六条安全保护措施

（一）甲方应建立健全个人信息保护制度，明确个人信息处理岗位的职责和权限，对从业人员进行个人信息保护培训。

（二）甲方应采取加密存储、访问控制、安全审计等技术措施，防止个人信息泄露、篡改、丢失。

（三）甲方应定期对个人信息保护制度进行评估和改进，确保其持续有效性。

第十七条个人信息泄露应急处理

（一）甲方在发现个人信息泄露、篡改、丢失时，应立即采取补救措施，并通知乙方和相关监管部门。

（二）甲方应配合乙方和相关监管部门进行调查和处理，并承担由此产生的全部责任。

（三）甲方应定期对个人信息泄露应急处理预案进行演练和改进，确保其有效性和可操作性。

第十八条个人信息保护影响评估

（一）甲方在处理可能对个人信息权益产生重大影响的个人信息时，应进行个人信息保护影响评估。

（二）甲方应向乙方提供个人信息保护影响评估报告，并采取相应的风险控制措施。

（三）乙方应对个人信息保护影响评估报告进行审查，发现不符合法律法规及本合同约定的，有权要求甲方立即整改。

第七章法律责任

第十九条违约责任

（一）甲方违反本合同约定，导致个人信息泄露、篡改、丢失等严重后果的，应承担相应的赔偿责任，并承担由此产生的全部法律责任。

（二）乙方违反本合同约定，导致个人信息泄露、篡改、丢失等严重后果的，应承担相应的赔偿责任，并承担由此产生的全部法律责任。

（三）任何一方违反本合同约定，给对方造成损失的，应赔偿对方的全部损失，包括直接损失和间接损失。

第二十条不可抗力

（一）不可抗力是指不能预见、不能避免并不能克服的客观情况，包括但不限于自然灾害、战争、政府行为、社会事件等。

（二）任何一方因不可抗力导致无法履行本合同约定的，不承担违约责任，但应及时通知对方，并采取必要的措施减少损失。

第二十一条争议解决

（一）本合同的订立、效力、解释、履行及争议解决均适用中华人民共和国法律。

（二）任何一方在本合同履行过程中发生争议，应首先通过友好协商解决；协商不成的，提交有管辖权的人民法院裁决。

第八章附则

第二十二条合同的生效

本合同自双方签字盖章之日起生效。

第二十三条合同的变更

本合同的任何变更，均应经双方协商一致，并签订书面协议。

第二十四条合同的解除

（一）本合同在双方履行完毕各自义务后自动解除。

（二）任何一方违反本合同约定，导致合同目的无法实现的，守约方有权解除合同，并要求违约方承担相应的赔偿责任。

第二十五条合同的份数

本合同一式两份，甲乙双方各执一份，具有同等法律效力。

第二十六条通知与送达

本合同项下的所有通知、文件等均应以书面形式送达至本合同首部载明的地址。任何一方变更地址的，应提前三十日书面通知对方。

（以下无正文）

一、特殊应用场景一：高端餐饮品牌入驻平台

应用场景说明：高端餐饮品牌通常拥有较高的品牌价值，对用户体验和服务质量有更高的要求，同时其收集的个人信息可能包含更多敏感信息。在此场景下，本合同应重点关注个人信息的收集、使用和保护等方面。

注意事项及条款修正：

1.在第七条甲方的义务中，增加关于收集敏感个人信息的特别规定，明确甲方在收集敏感个人信息时，应取得个人信息主体的特别同意，并采取严格的保护措施。

2.在第十一条个人信息的收集中，明确高端餐饮品牌在收集个人信息时，应遵循最小必要原则，仅限于实现处理目的所必需的范围。

3.在第十六条安全保护措施中，增加关于高端餐饮品牌应采取的安全技术和管理的具体要求，如采用多因素认证、数据加密等安全措施。

二、特殊应用场景二：餐饮外卖平台合作

应用场景说明：餐饮外卖平台与餐饮服务提供方合作时，需要收集和处理大量的用户个人信息，包括订单信息、支付信息等。在此场景下，本合同应重点关注个人信息的处理、传输和保护等方面。

注意事项及条款修正：

1.在第九条乙方的权利中，增加关于对餐饮服务提供方提交的个人信息进行合规性审查的具体要求，如审查其是否采取了必要的安全措施。

2.在第十四条个人信息的传输中，明确餐饮外卖平台在传输个人信息时，应采取加密传输、安全协议等保护措施，防止个人信息在传输过程中泄露、篡改、丢失。

3.在第二十条不可抗力中，增加关于餐饮外卖平台在不可抗力情况下应采取的具体措施，如暂停服务、通知用户等。

三、特殊应用场景三：餐饮连锁品牌多平台入驻

应用场景说明：餐饮连锁品牌通常在多个平台上开展业务，需要收集和处理大量的用户个人信息。在此场景下，本合同应重点关注个人信息的共享、使用和保护等方面。

注意事项及条款修正：

1.在第七条甲方的权利中，增加关于餐饮连锁品牌在多平台入驻时应遵循的统一个人信息保护标准的规定。

2.在第十二条个人信息的存储中，明确餐饮连锁品牌在多平台存储个人信息时应采取的安全措施，如采用统一的安全管理系统。

3.在第十六条安全保护措施中，增加关于餐饮连锁品牌应定期进行安全评估和漏洞扫描的具体要求，并确保及时修复发现的安全问题。

四、特殊应用场景四：餐饮品牌提供增值服务

应用场景说明：餐饮品牌在提供餐饮服务的同时，可能还会提供一些增值服务，如会员积分、个性化推荐等。在此场景下，本合同应重点关注个人信息的收集、使用和共享等方面。

注意事项及条款修正：

1.在第七条甲方的权利中，增加关于餐饮品牌在提供增值服务时应遵循的合法、正当、必要、诚信原则的规定。

2.在第十一条个人信息的收集中，明确餐饮品牌在收集个人信息时，应向用户明示增值服务的具体内容和方式，并取得用户的单独同意。

3.在第十四条个人信息的传输中，明确餐饮品牌在向第三方传输个人信息时，应取得用户的单独同意，并确保第三方具备相应的处理资质和保护能力。

五、特殊应用场景五：餐饮品牌开展线上线下融合业务

应用场景说明：餐饮品牌在开展线上线下融合业务时，需要收集和处理大量的用户个人信息，包括线上订单信息、线下消费信息等。在此场景下，本合同应重点关注个人信息的融合处理、传输和保护等方面。

注意事项及条款修正：

1.在第七条甲方的义务中，增加关于餐饮品牌应建立健全个人信息融合处理制度的规定，明确融合处理的原则和流程。

2.在第十二条个人信息的存储中，明确餐饮品牌在存储融合处理后的个人信息时应采取的安全措施，如采用数据脱敏、加密存储等技术手段。

3.在第十六条安全保护措施中，增加关于餐饮品牌应定期进行个人信息保护影响评估的具体要求，并确保及时采取风险控制措施。

1.个人信息保护政策：详细说明餐饮品牌如何收集、使用、存储、传输、公开个人信息，以及用户享有的权利和投诉途径等。

2.个人信息处理记录：记录餐饮品牌处理个人信息的具体情况，包括处理目的、处理方式、处理范围、保存期限等。

3.个人信息安全事件报告：记录餐饮品牌发生的个人信息安全事件，包括事件描述、处理措施、影响范围等。

4.个人信息保护影响评估报告：记录餐饮品牌进行的个人信息保护影响评估的具体情况，包括评估目的、评估方法、评估结果等。

5.保密协议：餐饮品牌与第三方合作时签订的保密协议，明确第三方对个人信息的保护责任和义务。

6.用户协议：餐饮品牌与用户签订的协议，明确用户在使用餐饮品牌提供的服务时所享有的权利和应履行的义务。

在实际操作过程中，餐饮品牌和平台运营方需要注意以下问题及解决办法：

1.个人信息收集不合规：餐饮品牌在收集个人信息时应遵循最小必要原则，仅限于实现处理目的所必需的范围，并取得用户的单独同意。

2.个人信息泄露：餐饮品牌应采取加密存储、访问控制、安全审计等技术措施，防止个人信息泄露、篡改、丢失，并定期进行安全评估和漏洞扫描。

3.个人信息共享不明确：餐饮品牌在向第三方共享个人信息时应取得用户的单独同意，并确保第三方具备相应的处理资质和保护能力。

4.用户权利未得到保障：餐饮品牌应建立健全用户权利保障制度，确保用户能够便捷地查阅、更正、删除其个人信息，并畅通投诉渠道。

5.法律法规变化：餐饮品牌应密切关注相关法律法规的变化，及时调整个人信息保护策略，确保合规经营。

多方为主导时的，附件条款及说明

第二十七条多方为主导时的特殊安排

第二十七条第一项甲方为主导时的，附加条款及说明

第二十七条第一项第一款附加条款一：主导性处理者识别与责任分配

本条款适用于甲方在个人信息处理活动中发挥主导作用的情形，即甲方自主决定处理目的、处理方式，并主导实施具体的处理行为。

条款内容：

（一）在本合同约定的个人信息处理活动中，甲方系主导性处理者，对个人信息的处理目的、处理方式、处理范围等具有决定性影响。

（二）甲方应确保其作为主导性处理者的地位符合《中华人民共和国个人信息保护法》等相关法律法规的要求，并具备相应的处理资质和能力。

（三）对于主导性处理者身份的认定，应以甲方是否自主决定处理目的、处理方式，以及是否主导实施具体的处理行为为主要判断标准。

（四）在主导性处理者身份下，甲方应承担与其主导地位相匹配的个人信息保护责任，包括但不限于确保处理活动的合法性、正当性、必要性，采取必要的安全保护措施，履行个人信息主体权利响应义务，以及依法配合监管部门进行监督检查等。

说明：

本附加条款旨在明确甲方在主导性处理者身份下的法律地位和责任边界。通过明确甲方的主导作用，可以更清晰地界定其在个人信息处理活动中的权利义务，尤其是在涉及多方合作处理个人信息的情况下，有助于避免责任不清的风险。

（一）条款的核心在于确认甲方的主导性处理者身份，并要求其承担相应的责任。这有助于强化甲方的责任意识，促使其更加重视个人信息保护工作。

（二）本条款的适用前提是甲方在个人信息处理活动中发挥主导作用。如果甲方仅作为辅助性处理者，则不适用本条款的规定。

（三）本条款要求甲方确保其作为主导性处理者的地位符合法律法规的要求，并具备相应的处理资质和能力。这有助于保障个人信息处理活动的合法性和规范性。

（四）本条款明确了甲方作为主导性处理者应承担的责任，包括确保处理活动的合法性、正当性、必要性，采取必要的安全保护措施，履行个人信息主体权利响应义务，以及依法配合监管部门进行监督检查等。

第二十七条第一项第二款附加条款二：主导性处理者下的信息共享与披露规则

本条款适用于甲方作为主导性处理者，需要与乙方或其他第三方共享或披露个人信息的情形。

条款内容：

（一）在甲方作为主导性处理者的前提下，甲方与乙方或其他第三方共享或披露个人信息前，应取得个人信息主体的单独同意。

（二）甲方应向个人信息主体明示共享或披露个人信息的具体对象、共享或披露的目的、方式、范围、保存期限等，并确保个人信息主体充分理解其权利和义务。

（三）甲方应与乙方或其他第三方签订书面协议，明确其共享或披露个人信息的范围、方式、期限、责任和义务，并确保乙方或其他第三方按照协议约定履行相关义务。

（四）甲方应定期审查其与乙方或其他第三方的信息共享或披露活动，确保其符合法律法规及本合同约定的要求。

说明：

本附加条款旨在规范甲方作为主导性处理者下的信息共享与披露行为，保护个人信息主体的合法权益。

（一）本条款的核心在于要求甲方在共享或披露个人信息前，必须取得个人信息主体的单独同意，并充分告知相关信息。

（二）本条款要求甲方与乙方或其他第三方签订书面协议，明确信息共享或披露的具体安排，有助于明确双方的责任和义务，降低信息共享或披露过程中的风险。

（三）本条款要求甲方定期审查其信息共享或披露活动，有助于及时发现和纠正问题，确保信息共享或披露行为的合规性。

第二十七条第一项第三款附加条款三：主导性处理者下的数据主体权利响应机制

本条款适用于甲方作为主导性处理者，需要响应用户关于个人信息权利的请求的情形。

条款内容：

（一）在甲方作为主导性处理者的前提下，甲方应建立健全数据主体权利响应机制，及时响应用户提出的查阅、复制、更正、删除、撤回同意、可携带权等请求。

（二）甲方应在收到用户请求后三十日内响应，并告知用户处理结果；如因情况复杂，不能在三十日内完成处理的，应告知用户并说明理由，但最长不得超过六十日。

（三）甲方应指定专门的工作人员负责处理用户的数据主体权利请求，并确保其具备相应的专业知识和服务意识。

（四）甲方应记录其处理用户数据主体权利请求的情况，并定期进行审查和改进。

说明：

本附加条款旨在规范甲方作为主导性处理者下的数据主体权利响应机制，保障用户的合法权益。

（一）本条款的核心在于要求甲方建立健全数据主体权利响应机制，及时响应用户提出的各项请求。

（二）本条款规定了甲方响应用户请求的时限，并允许在情况复杂时延长处理期限，但最长不得超过六十日。

（三）本条款要求甲方指定专门的工作人员负责处理用户的数据主体权利请求，有助于提高处理效率和用户满意度。

（四）本条款要求甲方记录其处理用户数据主体权利请求的情况，并定期进行审查和改进，有助于不断提升数据主体权利响应水平。

第二十七条第一项第四款附加条款四：主导性处理者下的个人信息保护影响评估

本条款适用于甲方作为主导性处理者，需要进行个人信息保护影响评估的情形。

条款内容：

（一）在甲方作为主导性处理者的前提下，对于处理可能对个人信息权益产生重大影响的个人信息的活动，甲方应进行个人信息保护影响评估。

（二）甲方应制定个人信息保护影响评估方案，明确评估目的、评估方法、评估步骤、评估人员等，并组织实施评估工作。

（三）甲方应在评估完成后十日内形成个人信息保护影响评估报告，并采取相应的风险控制措施。

（四）甲方应将个人信息保护影响评估报告报送给乙方备案，并接受乙方的监督和检查。

说明：

本附加条款旨在规范甲方作为主导性处理者下的个人信息保护影响评估工作，降低个人信息处理活动的风险。

（一）本条款的核心在于要求甲方在进行可能对个人信息权益产生重大影响的个人信息处理活动前，必须进行个人信息保护影响评估。

（二）本条款要求甲方制定个人信息保护影响评估方案，并组织实施评估工作，有助于确保评估工作的科学性和有效性。

（三）本条款规定了甲方在评估完成后形成报告并采取风险控制措施的时限，有助于及时降低个人信息处理活动的风险。

（四）本条款要求甲方将个人信息保护影响评估报告报送给乙方备案，并接受乙方的监督和检查，有助于加强对甲方个人信息保护工作的监管。

第二十七条第二项乙方为主导时的，附加条款及说明

第二十七条第二项第一款附加条款五：主导性处理者识别与责任分配

本条款适用于乙方在个人信息处理活动中发挥主导作用的情形，即乙方自主决定处理目的、处理方式，并主导实施具体的处理行为。

条款内容：

（一）在本合同约定的个人信息处理活动中，乙方系主导性处理者，对个人信息的处理目的、处理方式、处理范围等具有决定性影响。

（二）乙方应确保其作为主导性处理者的地位符合《中华人民共和国个人信息保护法》等相关法律法规的要求，并具备相应的处理资质和能力。

（三）对于主导性处理者身份的认定，应以乙方是否自主决定处理目的、处理方式，以及是否主导实施具体的处理行为为主要判断标准。

（四）在主导性处理者身份下，乙方应承担与其主导地位相匹配的个人信息保护责任，包括但不限于确保处理活动的合法性、正当性、必要性，采取必要的安全保护措施，履行个人信息主体权利响应义务，以及依法配合监管部门进行监督检查等。

说明：

本附加条款与第二十七条第一项第一款基本相同，适用于乙方作为主导性处理者的情况。

第二十七条第二项第二款附加条款六：主导性处理者下的信息共享与披露规则

本条款适用于乙方作为主导性处理者，需要与甲方或其他第三方共享或披露个人信息的情形。

条款内容：

（一）在乙方作为主导性处理者的前提下，乙方与甲方或其他第三方共享或披露个人信息前，应取得个人信息主体的单独同意。

（二）乙方应向个人信息主体明示共享或披露个人信息的具体对象、共享或披露的目的、方式、范围、保存期限等，并确保个人信息主体充分理解其权利和义务。

（三）乙方应与甲方或其他第三方签订书面协议，明确其共享或披露个人信息的范围、方式、期限、责任和义务，并确保甲方或其他第三方按照协议约定履行相关义务。

（四）乙方应定期审查其与甲方或其他第三方的信息共享或披露活动，确保其符合法律法规及本合同约定的要求。

说明：

本附加条款与第二十七条第一项第二款基本相同，适用于乙方作为主导性处理者的情况。

第二十七条第二项第三款附加条款七：主导性处理者下的数据主体权利响应机制

本条款适用于乙方作为主导性处理者，需要响应用户关于个人信息权利的请求的情形。

条款内容：

（一）在乙方作为主导性处理者的前提下，乙方应建立健全数据主体权利响应机制，及时响应用户提出的查阅、复制、更正、删除、撤回同意、可携带权等请求。

（二）乙方应在收到用户请求后三十日内响应，并告知用户处理结果；如因情况复杂，不能在三十日内完成处理的，应告知用户并说明理由，但最长不得超过六十日。

（三）乙方应指定专门的工作人员负责处理用户的数据主体权利请求，并确保其具备相应的专业知识和服务意识。

（四）乙方应记录其处理用户数据主体权利请求的情况，并定期进行审查和改进。

说明：

本附加条款与第二十七条第一项第三款基本相同，适用于乙方作为主导性处理者的情况。

第二十七条第二项第四款附加条款八：主导性处理者下的个人信息保护影响评估

本条款适用于乙方作为主导性处理者，需要进行个人信息保护影响评估的情形。

条款内容：

（一）在乙方作为主导性处理者的前提下，对于处理可能对个人信息权益产生重大影响的个人信息的活动，乙方应进行个人信息保护影响评估。

（二）乙方应制定个人信息保护影响评估方案，明确评估目的、评估方法、评估步骤、评估人员等，并组织实施评估工作。

（三）乙方应在评估完成后十日内形成个人信息保护影响评估报告，并采取相应的风险控制措施。

（四）乙方应将个人信息保护影响评估报告报送给甲方备案，并接受甲方的监督和检查。

说明：

本附加条款与第二十七条第一项第四款基本相同，适用于乙方作为主导性处理者的情况。

第二十七条第三项当有第三方中介时，增加的多项条款及说明

第二十七条第三项第一款附加条款九：第三方中介的引入与资质要求

本条款适用于本合同约定的个人信息处理活动中引入第三方中介的情形。

条款内容：

（一）在本合同约定的个人信息处理活动中，如需引入第三方中介，应事先取得个人信息主体的单独同意，并告知第三方中介与个人信息主体的关系。

（二）第三方中介应具备相应的处理资质和能力，并遵守《中华人民共和国个人信息保护法》等相关法律法规的要求。

（三）第三方中介应与甲方或乙方签订书面协议，明确其在个人信息处理活动中的地位、作用、责任和义务，并按照协议约定履行相关义务。

（四）甲方或乙方应定期审查第三方中介的资质和履约情况，确保其符合法律法规及本合同约定的要求。

说明：

本附加条款旨在规范第三方中介的引入和管理，确保其合法合规地参与个人信息处理活动。

（一）本条款的核心在于要求在引入第三方中介前，必须取得个人信息主体的单独同意，并告知第三方中介与个人信息主体的关系。

（二）本条款要求第三方中介具备相应的处理资质和能力，并遵守相关法律法规的要求，有助于确保其能够胜任个人信息处理工作。

（三）本条款要求第三方中介与甲方或乙方签订书面协议，明确其在个人信息处理活动中的地位、作用、责任和义务，有助于明确双方的责任边界，降低合作风险。

（四）本条款要求甲方或乙方定期审查第三方中介的资质和履约情况，有助于及时发现和纠正问题，确保第三方中介的合规性。

第二十七