2026年人力资源分销隐私合规协议

2026年人力资源分销隐私合规协议合同编号：__________

第一章总则

第一条协议目的

本协议旨在明确甲乙双方在人力资源分销领域隐私合规方面的权利、义务及责任，确保双方在合作过程中严格遵守相关法律法规，保护个人信息安全，维护双方的合法权益。

第二条适用范围

本协议适用于甲乙双方在人力资源分销合作过程中涉及的所有个人信息处理活动，包括但不限于个人信息的收集、存储、使用、传输、删除等。

第三条法律依据

本协议的订立、效力、解释、履行及争议解决均适用中华人民共和国法律。双方应遵守《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》等相关法律法规的规定。

第四条定义

（一）个人信息：指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

（二）敏感个人信息：指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

（三）个人信息处理：指对个人信息进行收集、存储、使用、加工、传输、提供、公开、删除等操作。

（四）个人信息处理者：指在个人信息处理活动中自主决定处理目的、处理方式的组织或者个人。

第二章甲乙双方基本信息

第五条甲方法定信息

甲方名称：________________________

法定代表人：________________________

注册地址：________________________

统一社会信用代码：________________________

联系人：________________________

联系电话：________________________

电子邮箱：________________________

第六条乙方法定信息

乙方名称：________________________

法定代表人：________________________

注册地址：________________________

统一社会信用代码：________________________

联系人：________________________

联系电话：________________________

电子邮箱：________________________

第三章个人信息的收集与处理

第七条个人信息收集原则

（一）合法性、正当性、必要性原则：甲方在收集个人信息时，应遵循合法性、正当性、必要性的原则，确保收集目的明确、方式合法、范围合理。

（二）最小化原则：甲方在收集个人信息时，应仅收集实现处理目的所必需的最少个人信息。

（三）公开透明原则：甲方应向个人信息主体明确告知个人信息的收集目的、方式、范围、存储期限、安全保障措施、个人权利行使方式等。

第八条个人信息收集方式

甲方可以通过以下方式收集个人信息：

（一）直接向个人信息主体收集：包括但不限于通过问卷调查、登记表、面谈等方式直接收集个人信息。

（二）间接获取：包括但不限于通过公开渠道获取、第三方数据提供商获取等方式间接获取个人信息。

第九条个人信息的处理目的

甲方在处理个人信息时，应遵循以下目的：

（一）提供人力资源分销服务：为乙方提供人力资源分销服务，包括但不限于人才招聘、人才测评、人才配置等。

（二）业务运营：为甲方的业务运营提供支持，包括但不限于内部管理、客户服务、市场推广等。

（三）合规要求：履行法律法规规定的其他义务。

第十条个人信息的存储与安全

（一）存储期限：甲方应按照法律法规及本协议约定，对个人信息进行存储，存储期限不得超过实现处理目的所需的最短时间。

（二）安全保障措施：甲方应采取必要的技术和管理措施，确保个人信息的安全，包括但不限于加密存储、访问控制、安全审计等。

（三）数据备份：甲方应定期对个人信息进行备份，确保数据的完整性和可用性。

第四章个人信息的传输与提供

第十一条个人信息传输原则

甲方在传输个人信息时，应遵循以下原则：

（一）合法性原则：甲方在传输个人信息时，应确保传输目的合法、传输方式合法、传输范围合理。

（二）安全性原则：甲方应采取必要的安全措施，确保个人信息在传输过程中的安全。

（三）最小化原则：甲方在传输个人信息时，应仅传输实现处理目的所必需的最少个人信息。

第十二条个人信息传输方式

甲方可以通过以下方式传输个人信息：

（一）直接传输：甲方直接将个人信息传输给乙方。

（二）间接传输：甲方通过第三方服务提供商将个人信息传输给乙方。

第十三条个人信息提供

甲方在提供个人信息给乙方时，应确保：

（一）提供目的明确：甲方应向乙方明确告知提供个人信息的目的是为了提供人力资源分销服务。

（二）提供范围合理：甲方应仅提供实现处理目的所必需的最少个人信息。

（三）提供方式合法：甲方应通过合法的方式提供个人信息，包括但不限于书面合同、电子协议等方式。

第五章个人信息主体的权利与义务

第十四条个人信息主体的权利

（一）知情权：个人信息主体有权知悉甲方处理其个人信息的purposes、方式、范围、存储期限、安全保障措施、个人权利行使方式等。

（二）访问权：个人信息主体有权访问其个人信息的处理情况，包括但不限于查询、复制、更正等。

（三）更正权：个人信息主体有权要求甲方更正其个人信息的错误信息。

（四）删除权：个人信息主体有权要求甲方删除其个人信息。

（五）撤回权：个人信息主体有权撤回其授权甲方处理其个人信息的同意。

（六）限制处理权：个人信息主体有权要求甲方限制对其个人信息的处理。

（七）可携带权：个人信息主体有权要求甲方将其个人信息传输给其他处理者。

（八）拒绝自动化决策权：个人信息主体有权拒绝甲方仅通过自动化决策的方式对其做出对其实体利益产生重大影响的决定。

第十五条个人信息主体的义务

（一）提供真实、准确、完整的个人信息：个人信息主体应向甲方提供真实、准确、完整的个人信息，并对其提供的信息负责。

（二）配合甲方处理个人信息：个人信息主体应配合甲方处理其个人信息，包括但不限于提供必要的验证信息、配合调查等。

（三）遵守法律法规：个人信息主体应遵守法律法规的规定，不得滥用其权利。

第六章甲乙双方的权利与义务

第十六条甲方的权利

（一）要求乙方提供合法的个人信息：甲方有权要求乙方提供合法的个人信息，并确保乙方的个人信息符合法律法规的要求。

（二）监督乙方处理个人信息：甲方有权监督乙方处理个人信息的情况，并要求乙方及时纠正违规行为。

（三）要求乙方配合调查：甲方有权要求乙方配合调查个人信息处理活动中的违规行为。

第十七条甲方的义务

（一）保护个人信息安全：甲方应采取必要的技术和管理措施，确保个人信息的安全，防止个人信息泄露、篡改、丢失。

（二）履行告知义务：甲方应向个人信息主体明确告知个人信息的收集目的、方式、范围、存储期限、安全保障措施、个人权利行使方式等。

（三）配合监管机构：甲方应配合监管机构的监督检查，及时提供相关资料，并按要求进行整改。

第十八条乙方的权利

（一）要求甲方提供合法的个人信息：乙方有权要求甲方提供合法的个人信息，并确保甲方的个人信息符合法律法规的要求。

（二）监督甲方处理个人信息：乙方有权监督甲方处理个人信息的情况，并要求甲方及时纠正违规行为。

（三）要求甲方配合调查：乙方有权要求甲方配合调查个人信息处理活动中的违规行为。

第十九条乙方的义务

（一）提供合法的个人信息：乙方应向甲方提供合法的个人信息，并确保其提供的个人信息符合法律法规的要求。

（二）配合甲方处理个人信息：乙方应配合甲方处理其个人信息，包括但不限于提供必要的验证信息、配合调查等。

（三）遵守法律法规：乙方应遵守法律法规的规定，不得滥用其权利。

第七章违规处理与责任承担

第二十条违规处理

（一）甲方在处理个人信息过程中，如发现违规行为，应及时采取补救措施，并报告监管机构。

（二）乙方在处理个人信息过程中，如发现违规行为，应及时采取补救措施，并报告监管机构。

第二十一条责任承担

（一）甲方在处理个人信息过程中，如因违反法律法规或本协议约定，造成个人信息主体权益受损，应承担相应的赔偿责任。

（二）乙方在处理个人信息过程中，如因违反法律法规或本协议约定，造成个人信息主体权益受损，应承担相应的赔偿责任。

第八章协议的变更、解除与终止

第二十二条协议的变更

甲乙双方在履行本协议过程中，如需变更本协议内容，应通过书面形式进行协商，并达成一致意见后，签订书面补充协议。

第二十三条协议的解除

（一）甲乙双方在履行本协议过程中，如一方违反本协议约定，另一方有权解除本协议。

（二）甲乙双方在履行本协议过程中，如遇到不可抗力因素，导致本协议无法继续履行，双方均有权解除本协议。

第二十四条协议的终止

本协议在以下情况下终止：

（一）本协议期限届满，双方未续签本协议。

（二）甲乙双方协商一致，决定终止本协议。

（三）因本协议的解除或终止，本协议自动终止。

第九章争议解决

第二十五条争议解决方式

甲乙双方在履行本协议过程中，如发生争议，应通过友好协商的方式解决；协商不成的，应提交双方所在地人民法院诉讼解决。

第十章保密条款

第二十六条保密义务

甲乙双方在履行本协议过程中，应对对方的商业秘密和个人信息进行保密，未经对方同意，不得向任何第三方泄露。

第十一章附则

第二十七条生效日期

本协议自甲乙双方签字或盖章之日起生效。

第二十八条协议份数

本协议一式两份，甲乙双方各执一份，具有同等法律效力。

第二十九条未尽事宜

本协议未尽事宜，由甲乙双方另行协商解决。

###特殊应用场景及相关说明

####场景一：跨国人力资源分销合作

**应用说明**

在跨境人力资源分销合作中，甲乙双方可能涉及不同国家的个人信息主体和数据跨境传输。此时，除了遵守《个人信息保护法》外，还需符合GDPR（欧盟通用数据保护条例）、CCPA（加州消费者隐私法案）等国际法规的要求。甲方需特别注意数据跨境传输的合法性基础，如充分性认定、标准合同条款（SCCs）、具有约束力的公司规则（BCRs）等机制。

**条款修正建议**

1.**增加第二十九条之补充条款**

“数据跨境传输

（一）甲方在向境外提供个人信息前，应取得个人信息主体的明确同意，并确保境外接收方具备相应的数据保护认证（如ISO27001、APECCBPR认证等）。

（二）如涉及欧盟个人信息主体，甲方应提供标准合同条款认证编号或BCRs备案证明，并定期更新。”

2.**修订第七条之（三）公开透明原则**

增加条款：“跨境传输需额外披露境外接收方的名称、所在国家、数据保护措施及个人信息主体的权利行使途径。”

####场景二：敏感个人信息处理场景

**应用说明**

在处理医疗健康信息、金融账户信息等敏感个人信息时，需满足更严格的处理标准。例如，医疗健康信息处理需获得个人书面同意，且仅用于招聘背景调查等必要目的。

**条款修正建议**

1.**修订第九条之处理目的**

增加：“敏感个人信息处理目的仅限于履行法律法规强制要求或获得个人信息主体明确书面同意的特定情形。”

2.**增加第三十五条敏感信息处理特别规定**

“（一）处理敏感个人信息前，应取得个人信息主体单独的书面同意，并明确告知处理目的、存储期限及法律后果。

（二）敏感个人信息应采用加密存储及严格访问控制，每年进行至少一次的渗透测试。”

####场景三：自动化决策与个人信息主体权利保障

**应用说明**

在人才测评、AI面试筛选等场景中，自动化决策可能对个人信息主体产生重大影响。需建立人工干预机制，保障其申诉权利。

**条款修正建议**

1.**修订第二十四条之拒绝自动化决策权**

增加：“甲方应保留至少30日的自动化决策处理记录，并设置人工复核通道。如自动化决策结果对个人信息主体产生不利影响，应立即启动人工复核程序。”

2.**增加第三十八条人工干预机制**

“（一）在自动化决策实施前，应向个人信息主体提供非自动化处理选项。

（二）建立自动化决策错误申诉机制，7日内响应并完成复核。”

####场景四：人力资源分销服务外包模式

**应用说明**

当甲方将部分分销服务外包给第三方（如招聘流程外包RPO服务商）时，需通过数据处理器协议（DPA）明确各方的数据保护责任。

**条款修正建议**

1.**增加第四十条数据处理协议特别约定**

“（一）第三方处理者仅可为履行本协议目的处理个人信息，不得用于自身商业目的。

（二）第三方处理者应取得个人信息主体的单独同意，且该同意不得预先勾选。

（三）甲方对第三方处理者的违约行为承担连带责任。”

2.**修订第二十一条责任承担**

增加：“如第三方处理者违反本协议约定，导致个人信息主体权益受损，甲方应在收到通知后24小时内采取补救措施，并承担相应赔偿责任。”

####场景五：员工内部人力资源分销场景

**应用说明**

当企业通过内部员工分销外部人才时，需明确内部员工作为个人信息处理者的角色边界，避免因职务行为引发的个人责任。

**条款修正建议**

1.**增加第四十二条内部处理者责任划分**

“（一）内部员工处理个人信息应严格遵守本协议，不得超出分销业务必要范围。

（二）企业应对内部员工进行数据保护培训，每年至少8学时，并留存培训记录。”

2.**修订第十五条个人信息主体的义务**

增加：“内部员工处理个人信息应获得员工本人的书面授权，且授权期限不得超过本协议约定的服务期限。”

###实际操作过程中的问题及解决办法

1.**问题：自动化决策的合法性存疑**

**解决办法**：在处理协议中明确自动化决策的法律依据（如《个人信息保护法》第十四条），并提供决策逻辑的透明说明文档，附上至少3种典型决策场景的案例说明。

2.**问题：跨境传输的合法性基础缺失**

**解决办法**：提前通过欧盟委员会网站查询SCCs最新版本，或聘请律师审核BCRs备案材料，确保包含所有必要条款（如数据主体权利保障、数据泄露通知机制等）。

3.**问题：敏感信息处理同意书签署率低**

**解决办法**：采用“一屏双勾选”设计（即敏感信息处理同意与主协议同意为独立条款），并配套提供视频解读说明，确保个人信息主体真实理解权利义务。

4.**问题：第三方处理者数据泄露后的责任认定**

**解决办法**：在DPA中约定“及时通知清单”，明确各阶段通知时限（如24小时内通知甲方，72小时内通知监管机构），并要求第三方提供数据泄露影响评估报告模板。

5.**问题：内部员工越权处理信息**

**解决办法**：建立“最小权限原则”的内部管理机制，通过工单系统记录所有信息处理行为，设置三级审批流程（员工→部门主管→法务），并绑定操作日志。

###原始合同所需附件清单（口语化版本）

1.**附件一：《数据保护影响评估报告》**

（用于自动化决策、敏感信息处理场景，需包含风险分析、保护措施建议等）

2.**附件二：《境外接收方数据保护认证清单》**

（列明GDPR认证机构、APECCBPR成员名单及查询链接）

3.**附件三：《敏感信息处理单独同意书模板》**

（包含医疗健康、金融账户等分类同意书样式）

4.**附件四：《自动化决策人工复核操作手册》**

（详细说明复核流程、决策变更标准、记录保存要求）

5.**附件五：《第三方处理者尽职调查问卷》**

（包含数据安全能力、合规经验、应急预案等评估项目）

6.**附件六：《内部员工数据保护培训课件》**

（含案例教学、情景模拟、权利义务清单等）

7.**附件七：《跨境传输合法性证明材料模板》**

（SCCs认证文件、BCRs备案证明、充分性认定报告等）

8.**附件八：《数据泄露应急预案》**

（区分境内境外不同场景的处置流程、沟通矩阵）

9.**附件九：《个人信息主体权利行使申请表》**

（包含访问、删除、更正等申请的标准化表格）

10.**附件十：《年度数据保护合规自查表》**

（包含法律法规更新、风险评估、整改措施等自评项目）

多方为主导时的，附件条款及说明

第四十一条甲方为主导时的特殊条款

第四十一条之一甲方主导下的数据控制权行使

（一）条款内容：在甲方作为数据控制者主导的数据处理活动中，甲方有权基于业务发展需要，制定数据处理策略，但需确保该策略符合本协议约定及个人信息保护相关法律法规的要求。甲方应至少提前30日就重大数据处理策略调整向乙方提供书面说明，并征询乙方的意见。如乙方在收到说明后15日内提出合理异议，双方应通过友好协商方式解决；协商不成的，可提交第三方专业机构进行技术评估，评估结论作为最终决策依据。

（二）条款说明：本条款旨在明确甲方在主导数据处理活动时的决策权边界，平衡甲方业务发展需求与乙方合规合作义务。通过设置提前通知、异议期、第三方评估等机制，确保甲方行使主导权时仍需尊重乙方的合理关切，避免因单方面决策导致合作中断或合规风险。特别适用于甲方提供整体人力资源分销解决方案，而乙方作为实施方配合的场景。条款中的“重大数据处理策略”可由双方在年度合作计划中具体列举，例如涉及敏感个人信息处理范围的扩大、自动化决策算法的重大更新、数据跨境传输方式的变更等。

第四十一条之二甲方对乙方处理者的监督机制

（一）条款内容：作为数据控制者的甲方，应建立健全对乙方（作为数据处理器）处理活动的监督机制，包括但不限于定期（至少每半年一次）开展数据处理合规审计，要求乙方提供数据处理活动日志及安全事件报告。甲方发现乙方存在违规处理行为时，有权要求乙方立即停止处理并采取补救措施；如乙方未在甲方要求的合理期限内（不超过30日）完成整改，甲方有权根据本协议约定解除与乙方的合作，并保留追究乙方违约责任的权利。

（二）条款说明：本条款强化了甲方对乙方处理行为的管控力度，体现了数据控制者对数据处理全流程的责任担当。通过审计、日志审查、事件报告等制度性安排，甲方能够有效掌握乙方处理活动的实际状况，及时发现并纠正潜在风险。设置合理的整改期限和违约后果，既保障了甲方权益，也促使乙方更加重视合规义务的履行。此条款特别适用于甲方对乙方处理质量、安全水平有较高要求的场景，例如涉及关键岗位人才推荐、大量敏感信息处理等业务。

第四十一条之三甲方承担的数据处理责任保险

（一）条款内容：作为数据控制者的甲方，应在签订本协议之日起60日内，向乙方提供有效的数据处理责任保险凭证，保险范围应覆盖因甲方指令或过错导致的数据泄露、滥用等事件给个人信息主体造成的损失。保险金额不得低于本协议约定的违约金上限，且保险期限应覆盖整个合作期间及协议终止后的数据保留期限内。如发生保险事故，甲方应及时通知乙方并协助乙方采取补救措施，保险赔付不得免除甲方依法应承担的赔偿责任。

（二）条款说明：本条款通过引入保险机制，为个人信息主体权益提供额外保障，同时分担甲方的潜在风险。要求甲方购买专门的责任保险，并设定保险金额、期限等强制性标准，确保保险能够有效覆盖主要风险敞口。明确保险赔付不能免除甲方责任，体现了保险的补充性质而非替代性质。此条款特别适用于数据处理活动复杂度高、涉及敏感信息量大、潜在风险较高的场景，能够增强乙方的合作信心，降低其经营风险。

第四十一条之四甲方内部数据保护培训义务

（一）条款内容：作为数据控制者的甲方，应确保其直接或间接参与本协议数据处理活动的员工（包括管理人员、技术人员、业务人员等）接受必要的数据保护培训，培训内容应涵盖《个人信息保护法》的核心要求、本协议约定的处理规则、数据安全操作规范等。甲方应向乙方提供培训计划及参与员工名单，并保证培训效果通过考核等方式进行验证。如因甲方员工原因导致数据保护合规问题，甲方应承担全部责任。

（二）条款说明：本条款强调了数据控制者对其员工数据处理行为的管控责任。通过强制性的培训义务，提升甲方员工的数据保护意识和专业能力，从源头上减少因人员操作不当引发的数据风险。要求向乙方透明化培训情况，体现了对乙方知情权的尊重，也便于乙方评估甲方合作方的合规水平。明确责任归属，强化了甲方在人员管理方面的责任担当。此条款特别适用于甲方员工需要频繁访问、处理乙方提供的数据，或甲方部署的系统需要乙方员工操作的场景。

第四十二条乙方为主导时的特殊条款

第四十二条之一乙方主导下的数据处理策略制定

（一）条款内容：在乙方作为数据处理者主导具体实施数据处理活动的场景中，乙方有权根据甲方的指令和本协议约定，制定详细的操作流程和技术方案，但需在实施前至少15日向甲方提供书面方案，并说明拟采取的安全措施及可能存在的风险。甲方应在收到方案后10日内提出修改意见，如甲方无正当理由逾期未反馈，乙方可视为方案已获认可并按原方案执行；如甲方提出重大修改意见，双方应就修改方案进行协商，协商不成的可由第三方专业机构进行技术评估。

（二）条款说明：本条款旨在平衡乙方作为实施者的专业自主权与甲方作为委托方的管理需求。通过设置方案报备、反馈期限、第三方评估等机制，确保乙方在具体操作层面的灵活性与甲方对核心合规要求的控制权得到兼顾。特别适用于乙方负责搭建和维护数据处理系统、组织招聘活动等需要乙方发挥专业优势的场景。条款中的“重大修改意见”应由甲方提供书面理由，并明确影响数据处理的核心合规要素。

第四十二条之二乙方对数据安全的技术保障义务

（一）条款内容：作为数据处理者的乙方，应建立完善的数据安全技术保障体系，包括但不限于数据加密存储、访问控制、安全审计、入侵检测、数据备份与恢复等机制。乙方应定期（至少每季度一次）对自身技术系统进行安全评估，并至少每年进行一次第三方安全渗透测试，测试结果应向甲方书面报告。如因乙方技术系统漏洞或管理不善导致数据泄露、篡改、丢失等安全事件，乙方应立即启动应急预案，并在事件发生后2小时内通知甲方，并配合甲方及监管机构进行调查处理。

（二）条款说明：本条款强化了乙方作为数据处理者的技术安全责任，要求其建立全面的技术防护措施，并保持持续改进状态。通过定期评估、渗透测试、应急响应等制度性安排，确保乙方能够有效防范和应对数据安全风险。明确的事件报告和配合调查义务，体现了乙方对数据安全事件的责任担当，也便于甲方及时掌握情况并采取补救措施。此条款特别适用于乙方处理大量敏感个人信息、数据传输路径复杂、系统交互频繁的场景。

第四十二条之三乙方承担的专项数据处理服务费用

（一）条款内容：在乙方提供包含特定数据处理服务的场景（如人才测评、背景调查等），除本协议约定的服务费用外，乙方应额外向甲方收取专项数据处理服务费，该费用应覆盖乙方为履行该等专项服务所需的数据处理成本，包括但不限于技术平台使用费、第三方服务采购费、专业人员成本等。具体费用标准应在服务合同中明确约定，且甲方有权要求乙方提供费用构成的详细说明。

（二）条款说明：本条款明确了乙方在提供特定高价值或高风险数据处理服务时，其成本投入的合理补偿机制。通过专项服务费，将乙方的数据处理成本与甲方获得的服务价值相匹配，有助于激励乙方提供更高质量、更安全的处理服务。要求费用标准明确、构成透明，保障了甲方的知情权和监督权。此条款特别适用于乙方提供定制化数据处理解决方案、涉及复杂算法模型或第三方数据接口的场景。

第四十二条之四乙方对数据主体权利的协助义务

（一）条款内容：作为数据处理者的乙方，在接到甲方转达的数据主体行使访问权、更正权、删除权等请求后，应立即进行身份验证，并在验证通过后，按照甲方指令及本协议约定，在2个工作日内完成对相关个人信息的处理，并书面告知甲方处理结果。如数据主体请求涉及甲方掌握的信息，乙方应立即将请求转达给甲方处理，甲方应在收到请求后5个工作日内响应。乙方应保存所有权利行使请求的处理记录，至少保存3年。

（二）条款说明：本条款细化了乙方协助数据主体行使其法定权利的操作流程和时限要求，明确了乙方在数据主体权利行使中的“传递者”角色。通过设置响应时限、记录保存要求，确保数据主体的权利能够得到及时、有效的响应和保障。特别强调了涉及甲方信息时的转达机制，确保数据主体权利行使链条的完整性。此条款特别适用于乙方作为外包服务商处理大量个人信息，需要协助数据主体与甲方进行沟通的场景。

第四十三条有第三方中介时的特殊条款

第四十三条之一第三方中介的数据处理责任界定

（一）条款内容：当本协议项下的数据处理活动由第三方中介（以下简称“中介方”）实际执行时，甲方和乙方均应根据本协议约定及《个人信息保护法》等相关法律法规，对中介方的数据处理行为承担连带责任。中介方应向甲方和乙方同时提供数据处理服务，并接受双方的管理和监督。甲方在向中介方提供个人信息前，应确保中介方已签署符合本协议要求的补充协议，明确其数据处理职责和合规要求。如因中介方原因导致数据保护合规问题，甲乙双方应共同对个人信息主体承担赔偿责任，并有权向中介方追偿。

（二）条款说明：本条款明确了第三方中介参与数据处理时的责任承担机制，通过连带责任设计，强化了各方对第三方行为的管控责任。要求中介方向双方负责，便于甲方和乙方协同管理，确保数据处理活动始终符合合规要求。通过补充协议明确中介方的职责，为责任划分提供了合同依据。明确共同赔偿和追偿权，保障了个人信息主体权益，也维护了甲乙双方的自身利益。此条款特别适用于甲方或乙方需要引入外部服务提供商（如云存储服务商、AI模型供应商等）参与数据处理链路的场景。

第四十三条之二第三方中介