2026年地产代工隐私合规协议

2026年地产代工隐私合规协议

**2026年地产代工隐私合规协议**

本协议由以下双方于2026年[具体日期]在[具体地点]签署：

甲方：[甲方名称]

法定代表人：[甲方法定代表人姓名]

注册地址：[甲方注册地址]

乙方：[乙方名称]

法定代表人：[乙方法定代表人姓名]

注册地址：[乙方注册地址]

鉴于：

1.甲方是一家从事房地产开发和销售的企业，在业务过程中需要收集、处理和存储客户个人信息。

2.乙方是一家专业的地产代工服务提供商，为甲方提供包括项目设计、施工管理、售后服务等在内的代工服务。

3.双方在业务合作过程中，需要严格遵守相关法律法规，保护客户个人信息的安全和隐私。

为此，甲乙双方经友好协商，达成如下协议：

**第一条定义**

1.1本协议所称“个人信息”是指以电子或者其他方式记录的与自然人有关的各种信息，包括但不限于姓名、身份证号码、联系方式、家庭住址、财产状况、交易记录等。

1.2本协议所称“隐私合规”是指双方在收集、处理和存储客户个人信息时，严格遵守《中华人民共和国个人信息保护法》及其他相关法律法规的要求。

**第二条个人信息的收集**

2.1甲方在业务过程中收集的客户个人信息，应当遵循合法、正当、必要的原则，并明确告知客户收集个人信息的用途、方式和范围。

2.2乙方在为甲方提供代工服务过程中，可能需要收集客户的个人信息，乙方应当取得客户的明确同意，并确保收集个人信息的合法性和正当性。

**第三条个人信息的处理**

3.1甲方应当建立健全个人信息保护制度，明确个人信息的处理流程、责任部门和责任人，确保个人信息的处理符合法律法规的要求。

3.2乙方在处理客户个人信息时，应当严格遵守甲方的指示，并确保处理过程的合法性和安全性。

3.3任何一方在处理客户个人信息时，不得泄露、篡改、丢失客户个人信息，不得将客户个人信息用于协议约定以外的目的。

**第四条个人信息的存储**

4.1甲方应当采取技术措施和管理措施，确保客户个人信息的存储安全，防止客户个人信息被未经授权的访问、使用或泄露。

4.2乙方在存储客户个人信息时，应当采用加密、备份等技术手段，确保客户个人信息的安全性和完整性。

4.3任何一方在存储客户个人信息时，应当遵守相关法律法规的规定，定期进行安全评估和风险评估，及时修复安全漏洞。

**第五条个人信息的传输**

5.1甲方在传输客户个人信息时，应当采取加密、安全通道等技术手段，确保客户个人信息在传输过程中的安全性。

5.2乙方在传输客户个人信息时，应当遵守甲方的指示，并采取必要的安全措施，确保客户个人信息在传输过程中的安全性。

5.3任何一方在传输客户个人信息时，不得将客户个人信息传输给任何未经授权的第三方。

**第六条个人信息的删除**

6.1甲方在客户不再需要个人信息时，应当及时删除客户个人信息，不得将客户个人信息用于协议约定以外的目的。

6.2乙方在客户不再需要个人信息时，应当及时删除客户个人信息，并按照甲方的指示进行销毁处理。

6.3任何一方在删除客户个人信息时，应当确保客户个人信息的不可恢复性，并保留必要的删除记录。

**第七条监督与评估**

7.1甲乙双方应当建立健全个人信息保护监督机制，定期对个人信息的收集、处理、存储和传输进行监督和评估。

7.2甲乙双方应当共同制定个人信息保护评估标准，定期对个人信息保护制度进行评估，及时发现问题并进行整改。

**第八条违约责任**

8.1任何一方违反本协议约定的，应当承担相应的违约责任，并赔偿由此给对方造成的损失。

8.2任何一方违反相关法律法规，导致客户个人信息泄露、篡改或丢失的，应当承担相应的法律责任，并赔偿由此给客户造成的损失。

**第九条争议解决**

9.1本协议的订立、效力、解释、履行及争议解决，均适用中华人民共和国法律。

9.2甲乙双方在履行本协议过程中发生的争议，应当首先通过友好协商解决；协商不成的，任何一方均可向甲方所在地人民法院提起诉讼。

**第十条协议的生效与终止**

10.1本协议自双方签字盖章之日起生效，有效期为[具体年限]年。

10.2本协议期满前，双方可以协商续签本协议；协商不成的，本协议自动终止。

**第十一条其他**

11.1本协议未尽事宜，由双方另行协商解决。

11.2本协议一式两份，甲乙双方各执一份，具有同等法律效力。

甲方（盖章）：[甲方盖章]

法定代表人（签字）：[甲方法定代表人签字]

日期：[具体日期]

乙方（盖章）：[乙方盖章]

法定代表人（签字）：[乙方法定代表人签字]

日期：[具体日期]

**一、所需附件列表(假设可能需要)：**

1.**个人信息收集清单：**详细列出在地产代工合作过程中，双方约定需要收集的具体个人信息类型、收集目的、收集方式等。

2.**客户授权书模板：**用于客户授权甲方或乙方收集、处理、存储其个人信息的法律文件模板。

3.**数据安全措施清单：**详细列出甲方和乙方各自采取的具体技术和管理措施，用于保护个人信息的安全。

4.**个人信息处理流程图：**明确展示个人信息从收集、存储、使用到删除的整个流程，以及责任分配。

5.**数据泄露应急预案：**双方共同制定或各自制定的数据泄露事件应急处理流程。

6.**合规培训记录：**证明双方员工或相关人员接受了个人信息保护法律法规和本协议要求的培训记录。

7.**背景调查授权书（如适用）：**如果代工服务涉及对购房客户进行背景调查，可能需要此类授权书。

8.**第三方服务商协议（如适用）：**如果乙方在提供服务过程中，需要委托第三方服务商处理部分个人信息，需提供该第三方服务商的资质证明以及双方签订的关于信息处理的协议。

**二、违约行为罗列及认定：**

***违约行为罗列：**

1.**非法收集：**未获得客户明确同意或超出约定范围、目的收集个人信息。

2.**不当处理：**未经授权披露、篡改、丢失客户个人信息；将个人信息用于协议约定以外的目的；处理方式不符合合法、正当、必要原则。

3.**存储不安全：**未能采取合理的技术和管理措施保障个人信息存储安全，导致信息泄露、篡改、丢失。

4.**传输不安全：**在传输个人信息时未采取加密等技术手段，导致信息泄露。

5.**未及时删除：**客户要求删除或不再需要时，未能按照约定及时删除或销毁个人信息。

6.**违反指示：**乙方处理个人信息时未遵守甲方的明确指示。

7.**未尽监督评估义务：**未按照约定建立健全监督机制或定期进行评估整改。

8.**泄露或泄露风险：**因任何一方的过失或故意行为，导致客户个人信息被第三方获取、利用或泄露。

9.**违反保密义务：**泄露本协议内容或因合作过程中知悉的对方商业秘密或客户信息。

10.**未履行通知义务：**发生数据泄露事件后，未按照法律法规和协议约定及时通知对方和受影响的客户（如适用）。

11.**拒绝提供相关资料：**在对方因履行协议或应对监管要求需要时，拒绝提供相关的个人信息处理记录或证明文件。

***违约行为认定：**

违约行为的认定依据本协议的具体条款、相关法律法规（特别是《个人信息保护法》）、以及事实证据。例如：

*通过客户授权书是否获得有效签署来认定收集行为的合法性。

*通过技术审计报告、监控记录、事故报告等来认定存储、传输过程是否存在安全漏洞或实际泄露。

*通过查阅处理日志、删除记录来认定是否及时删除了信息。

*通过监管机构处罚决定、客户投诉及调查结果、第三方鉴定报告等来认定严重违约行为及其后果。

**三、文档所涉及的法律名词及解释：**

1.**个人信息(PersonalInformation)：**指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。（依据《个人信息保护法》）

2.**隐私合规(PrivacyCompliance)：**指在处理个人信息时，遵守《个人信息保护法》等相关法律法规的规定，确保处理活动合法、正当、必要，并保障个人信息的权益。

3.**合法、正当、原则必要：**处理个人信息必须有明确、合理的目的，并限于实现目的的最小范围；以个人同意等方式获取个人信息处理权的依据应当符合法律规定；处理方式应当符合法律法规的规定和当事人的约定。（依据《个人信息保护法》）

4.**告知：**处理个人信息前，应以显著方式、清晰易懂的语言真实、准确、完整地向个人告知处理者的身份、处理目的、方式、信息种类、保存期限、个人权利行使方式等。（依据《个人信息保护法》）

5.**同意(Consent)：**个人在充分知情的前提下，自愿决定是否允许他人处理其个人信息的意思表示。（依据《个人信息保护法》）注意：同意必须是具体的、明确的，应以书面、可撤销的方式获取。

6.**处理(Processing)：**指对个人信息进行收集、存储、使用、加工、传输、提供、公开、删除等操作。（依据《个人信息保护法》）

7.**存储(Storage)：**指保存个人信息。（依据《个人信息保护法》）

8.**传输(Transmission)：**指将个人信息转移至中国境外。（依据《个人信息保护法》）

9.**删除(Deletion)：**指使个人信息不可恢复。（依据《个人信息保护法》）

10.**安全保障措施：**指为保障个人信息安全所采取的技术措施和管理措施，如加密、去标识化、访问控制、应急预案等。（依据《个人信息保护法》）

11.**数据泄露(DataBreach)：**指因安全事件导致非授权个人能够访问、获取或泄露个人信息。（依据《个人信息保护法》）

12.**个人信息主体(DataSubject)：**指个人信息所关联的自然人。（依据《个人信息保护法》）

13.**个人信息处理者(DataController/Processor)：**指在个人信息处理活动中自主决定处理目的、处理方式的组织或个人（控制器）；或指接受委托处理个人信息的组织或个人（处理器）。在本协议中，甲方是主要的控制器，乙方在接受甲方委托时是处理器，也可能根据具体情况兼任控制器。

**四、实际执行过程中可能遇到的问题及解决办法：**

1.**问题：客户同意获取困难或形式不规范。**

***注意：**《个人信息保护法》对同意的要求很高。

***解决办法：**

*提前、清晰、具体地告知客户收集信息的目的、范围、方式、存储期限、权利等。

*提供多种同意方式供客户选择，并确保客户可以方便地撤回同意。

*对于关键信息的收集（如敏感信息），必须获得客户单独、明确的书面同意。

*设计规范化的授权书或电子同意书，确保其法律效力。

2.**问题：代工过程中信息传递不明确，导致范围扩大。**

***注意：**乙方需严格按甲方指示处理信息。

***解决办法：**

*在协议中清晰界定代工服务各环节需要使用的客户信息类型和目的。

*建立规范的信息传递流程和权限管理机制。

*对乙方员工进行定期培训，强调信息使用的边界和合规要求。

*签订具体的信息传递或委托处理协议，明确双方责任。

3.**问题：数据安全措施投入与实际风险不匹配。**

***注意：**安全措施需具有合理性。

***解决办法：**

*根据信息敏感程度、处理规模、业务场景等评估风险等级，匹配相应的安全投入。

*定期进行安全评估和渗透测试，及时发现并修复漏洞。

*制定并演练数据泄露应急预案，降低实际损失。

*考虑引入第三方安全服务或认证。

4.**问题：个人信息主体权利请求响应不及时或不当。**

***注意：**法律规定个人有权访问、更正、删除等。

***解决办法：**

*建立畅通的个人权利请求处理渠道（如专用邮箱、客服热线）。

*明确内部处理流程、时限（法定的30日内响应等）和责任人。

*确保处理过程符合法律要求，如核实身份、提供信息副本等。

*对处理结果进行记录和反馈。

5.**问题：跨境传输个人信息的合规性。**

***注意：**跨境传输需符合特定条件并可能需进行安全评估或获得认证。

***解决办法：**

*优先选择境内处理。

*如果必须跨境，确保满足《个人信息保护法》规定的条件（如获得个人明确同意、采用标准合同、通过认证、进行安全评估等）。

*在协议中明确约定跨境传输的条件、方式、责任和合规程序。

*密切关注国家关于跨境数据传输的最新政策和要求。

6.**问题：甲乙双方责任划分不清，尤其在发生数据泄露时。**

***注意：**明确责任是协议的核心。

***解决办法：**

*在协议中详细、具体地约定甲乙双方在信息收集、处理、存储、传输、删除等各个环节的具体职责和义务。

*明确违约责任，包括但不限于赔偿损失、承担行政责任等。

*约定发生争议时的解决机制（协商、调解、仲裁、诉讼）。

**五、合同适用的所有场景：**

本《2026年地产代工隐私合规协议》适用于以下场景：

1.**甲方为房地产开发企业，乙方为提供设计、施工、监理、营销、物业管理等全流程或部分流程代工服务的公司时：**特别是在涉及客户购房资格审核、贷款申请、合同签订、房屋交付、售后服务等环节需要处理客户个人信息的情形。

2.**甲方委托乙方进行特定地产项目模块的代工，且该模块涉及客户信息交互时：**如委托乙方进行样板间展示并收集潜在客户信息，或委托乙方进行装修监理但需访问业主部分隐私空间（需特别授权）。

3.**甲方与乙方合作进行市场调研或客户画像分析，需处理客户个人信息时：**必须在协议中明确数据使用的目的、范围和安全保障措施。

4.**涉及共享客户资源或联合营销推广时：**双方在利用客户信息进行合作推广前，必须明确约定信息使用范围和合规方式。

5.**甲方或乙方使用第三方平台或工具（如CRM系统、项目管理软件）处理客户信息时：**需要确保第三方服务商也遵守隐私合规要求，并在协议中明确责任。

6.**任何一方需要将代工过程中知悉的甲方客户信息用于自身其他业务（如合作开发、渠道推广）时：**必须事先获得甲方明确同意，并签订补充协议。

7.**在涉及敏感个人信息（如健康状况、财产状况、biometricdata等）处理的场景下：**合同条款需更加严格，确保获得更明确的单独同意，并采取更高级别的安全保护措施。

**一、特殊应用场合及应增加的条款**

1.**特殊应用场合：涉及敏感个人信息处理（如购房贷款征信、健康信息用于绿色建材认证）**

***应增加的条款：**

***条款一：敏感信息处理特别授权与目的限制**

***内容：**明确约定允许处理哪些类型的敏感个人信息（需极其具体，如“仅限于获取个人住房贷款所需征信报告信息”、“仅限于客户自愿提供的用于申请绿色建材补贴的身体健康信息证明”），并严格限制处理目的仅为“完成特定代工服务中的特定合规要求或客户明确提出的专项服务申请”。同时，增加条款要求任何一方不得因获取敏感信息而超出约定目的进行任何其他处理或存储。

***说明：**敏感信息处理要求更高的同意标准和更严格的安全保障。此条款确保处理行为的必要性、最小化，并防止信息被滥用。

***条款二：敏感信息更高级别的安全要求**

***内容：**规定处理敏感个人信息必须采用更强的加密算法、更严格的访问控制策略（如更少人员授权、定期权限审计）、更频繁的安全监控和审计，并可能要求存储在符合国家相关标准的安全环境中。

***说明：**敏感信息泄露可能导致更严重的后果，因此需要比一般个人信息更高的安全防护标准。

***条款三：敏感信息跨境传输的特殊审批程序**

***内容：**如果涉及跨境传输敏感信息，除了一般跨境传输的要求外，增加必须事先获得信息主体本人的书面单独同意，并可能需要向国家网信部门进行安全评估备案或获得专业机构的个人信息保护认证。

***说明：**敏感信息的跨境传输监管更为严格，需要额外的审批和保障措施。

2.**特殊应用场合：代工服务包含智能家居系统集成，需接入家庭内部网络及设备信息**

***应增加的条款：**

***条款一：家庭内部网络及设备信息处理的明确授权与最小化原则**

***内容：**明确约定乙方在集成智能家居系统时，接入客户家庭内部网络及设备信息（如Wi-Fi密码、设备型号、IP地址等）必须获得客户的明确、单独、书面的授权，且仅限于完成智能家居系统的安装、调试、故障排除和必要的功能联调。同时规定，除实现必要功能外，不得收集、存储、使用或传输任何非必要的信息，系统运行结束后应按约定清除相关访问权限和信息。

***说明：**接入家庭内部网络及设备信息属于典型的敏感信息和私密空间信息，必须获得最高级别的授权，并严格限制用途。

***条款二：智能家居数据安全与隐私保护专项责任**

***内容：**约定乙方对通过智能家居系统获取的数据（即使是客户授权的）承担专项安全保护责任，包括但不限于采用行业认可的加密技术保护传输和存储安全、建立设备访问日志和审计机制、防止未经授权的访问和滥用、确保系统供应商也遵守相应的隐私保护标准等。

***说明：**此条款明确了乙方在处理此类特殊信息时的额外义务和责任。

***条款三：客户对智能家居数据的访问和控制权**

***内容：**规定客户有权要求访问通过智能家居系统收集的与其家庭环境相关的数据（在技术可行且不影响系统安全的前提下），并有权要求乙方删除这些数据。

3.**特殊应用场合：代工项目涉及大规模国际租赁物业，需向海外物业管理方或租户同步信息**

***应增加的条款：**

***条款一：跨境传输的合规性保证与尽职调查**

***内容：**约定所有向海外第三方（无论是物业管理方还是最终租户）传输的客户个人信息，都必须事先进行充分的法律尽职调查，确保目标国家或地区的法律允许此类传输，并采取必要的保护措施（如标准合同、认证、加密等）。甲方对此类传输的合规性承担最终审核责任。

***说明：**不同国家/地区的隐私法律差异巨大，此条款强调合规性审查，避免法律风险。

***条款二：海外接收方的数据处理责任与约束**

***内容：**要求乙方在向海外接收方传输信息前，必须确保该接收方也签署了具有约束力的协议，承诺遵守不低于《个人信息保护法》标准的数据处理和安全要求，并仅为约定的目的使用信息。

***说明：**将数据保护责任延伸至链条末端，约束海外接收方的行为。

***条款三：信息传输范围和方式的细化**

***内容：**详细列明需要向海外传输的具体信息类型、传输的目的地国家/地区、传输的方式（如通过加密邮件、安全文件传输平台、API接口等）、传输频率以及接收方的具体身份信息。

***说明：**细化约定有助于减少模糊地带，确保传输活动的可控性。

4.**特殊应用场合：代工服务包含客户满意度调查或行为数据分析，可能涉及用户行为追踪**

***应增加的条款：**

***条款一：用户行为追踪的明确告知与选择权**

***内容：**如果服务中包含用户行为追踪（如通过APP、网站Cookie、智能设备等），必须增加条款明确告知客户追踪的具体行为类型、收集的数据类型、收集的目的（如优化服务、个性化推荐、改进产品设计），并提供客户选择退出该追踪和数据分析的清晰选项。

***说明：**行为追踪属于较敏感的处理方式，必须充分告知并获得用户同意或提供退出机制。

***条款二：行为数据的匿名化处理要求**

***内容：**规定收集到的行为数据原则上应进行匿名化或去标识化处理，使得数据无法直接关联到具体个人，除非是为了实现特定分析目的且客户已另行同意关联。

***说明：**匿名化是降低行为数据分析隐私风险的关键技术手段。

***条款三：数据使用目的的严格限制**

***内容：**强调行为数据的使用必须严格限制在“改进服务体验”、“优化产品设计”、“进行市场趋势分析”等事先声明的目的范围内，不得用于其他商业目的或与个人信息主体身份进行关联用于营销等。

***说明：**防止数据被滥用或用于超出用户预期的场景。

5.**特殊应用场合：代工项目涉及利用AI技术进行设计优化或客户画像，可能涉及大规模数据训练**

***应增加的条款：**

***条款一：AI应用的数据来源与使用限制**

***内容：**明确约定用于AI模型训练或优化的数据来源（是集合来的匿名化数据还是直接使用客户数据），如果是使用客户数据，必须获得客户的明确同意，并告知同意的具体范围（是用于当前项目还是更广泛的模型改进）。同时，限制AI应用的结果（如设计建议）必须符合客户意愿或经客户确认后方可使用。

***说明：**AI技术应用可能涉及对大量数据的处理，需明确数据来源和用户授权。

***条款二：AI模型训练数据的脱敏与安全**

***内容：**要求在将数据用于AI模型训练前，必须进行有效的脱敏处理，并采取严格的安全措施保护训练数据集，防止数据泄露或被滥用。

***说明：**保护训练数据的安全同样重要，因为模型本身可能蕴含原始数据信息。

***条款三：模型输出结果的责任界定**

***内容：**约定基于AI模型输出的设计建议、客户画像等结果，其准确性、合规性由提供AI技术或服务的方（可能是乙方或其合作方）和甲方共同承担责任，确保结果不会侵犯客户合法权益。

***说明：**明确AI应用结果的责任主体，防止出现问题时互相推诿。

**二、特殊场合增加的第三方款项（责权利）及具体内容**

***适用场景：**当甲方或乙方在代工过程中，需要委托或引入第三方服务商（如IT系统供应商、营销推广服务商、数据标注服务商、临时劳务派遣等）来处理部分客户个人信息时。

***第三方款项（责权利）：**

***权利(Rights)：**

1.**获取必要信息的权利：**第三方有权在履行其与甲方或乙方签订的服务协议（或本主协议）所必需的范围内，获取甲方或乙方提供的、用于完成特定任务的客户个人信息。

2.**监督执行的权利：**甲方或乙方有权监督第三方是否按照约定（特别是本主协议及其附件的隐私条款）处理客户个人信息。

***义务(Obligations)：**

1.**保密义务：**第三方必须对在服务过程中接触到的所有客户个人信息以及商业秘密承担严格的保密义务，不得向任何未经授权的第三方泄露、披露或用于约定目的之外的其他任何目的。

2.**合规处理义务：**第三方必须以符合《个人信息保护法》及本主协议约定的方式处理客户个人信息，包括但不限于遵循合法、正当、必要原则，履行告知义务（如适用），保障数据安全，响应个人信息主体的权利请求等。

3.**安全保障义务：**第三方必须采取充分的技术和管理措施（不低于甲方或乙方的标准）来保护客户个人信息的安全，防止数据泄露、篡改、丢失。需定期进行安全评估，并根据甲方或乙方的指示进行安全整改。

4.**数据返还或销毁义务：**服务结束后或协议终止时，第三方必须按照甲方或乙方的指示，将持有的客户个人信息返还给甲方或乙方，或进行安全、不可恢复的销毁处理，并提交书面证明。

5.**协助调查义务：**在发生数据安全事件或接到甲方或乙方的合规问询时，第三方有义务积极配合调查和采取补救措施。

6.**独立责任承担：**第三方对因其违反本协议约定或相关法律法规而造成的任何损失（包括对甲方、乙方及个人信息主体的损失）承担独立赔偿责任。

***责任(Liabilities)：**

1.**违约责任：**若第三方违反本协议约定的保密、合规、安全等义务，应向甲方或乙方支付违约金（具体金额可约定，例如：按违反影响的客户人数乘以特定金额计算，或按实际损失赔偿，但通常有上限），并承担由此产生的所有费用和责任。

2.**连带责任（可选）：**在特定严重违约情形下（如导致客户个人信息大规模泄露），可约定第三方与甲方或乙方承担连带赔偿责任。

3.**法律合规责任：**第三方自行承担因违反其自身业务相关的法律法规而产生的所有法律责任。

**三、以甲方为主导时，需要额外增加的甲方主动性（责权利）合同条款及具体内容**

***适用场景：**甲方在代工合作中占据主导地位，负责项目整体规划、客户关系维护、最终决策等。

***甲方主动性（责权利）合同条款：**

***权利(Rights)：**

1.**主导信息收集与使用的权利：**甲方有权基于其业务需求和代工服务目标，主导确定需要收集的客户信息类型和范围（需确保符合合法正当必要原则），并设定信息的主要使用目的。

2.**监督乙方处理活动的权利：**甲方有权定期或不定期地审查乙方的个人信息处理记录、安全措施落实情况、合规培训记录等，确保乙方按照协议约定处理信息。

3.**要求乙方配合的权利：**甲方有权要求乙方配合其履行对客户的信息披露义务（如客户要求查询信息处理情况时）、配合甲方内部审计或应对外部监管检查。

***义务(Obligations)：**

1.**提供清晰指示义务：**甲方有义务向乙方提供清晰、明确、可行的客户信息处理指示，包括收集目的、处理方式、安全要求、交付标准等。

2.**确保收集合法性义务：**甲方对通过自身渠道或以自身名义收集的客户信息的合法性负最终责任，需确保获得必要的客户同意等法律依据。

3.**主导跨境传输合规义务：**如果涉及跨境传输，甲方负责确保整体传输活动的合规性，包括进行法律尽职调查、获得必要同意等。

4.**客户权利响应主导义务：**对于客户针对甲方品牌或项目的个人信息权利请求，甲方通常承担主导响应和处理的责任。

5.**数据质量审核义务：**甲方有义务对乙方处理后的信息质量（如准确性、完整性）进行必要的审核。

***责任(Liabilities)：**

1.**最终合规责任：**即使乙方是处理器，甲方作为项目主导方和主要信息控制器，对整个合作过程中的信息处理合规性承担最终的管理和责任。

2.**因指示不当导致的责任：**如果甲方提供的指示存在明显错误或违反法律法规，导致乙方处理活动违法，甲方需承担相应责任。

3.**客户索赔连带责任：**如果因甲方的原因（如错误指示、非法收集）导致客户遭受损失，甲方需在相应范围内承担赔偿责任。

**四、以乙方为主导时，需要额外增加的乙方主动性（责权利）合同条款及具体内容**

***适用场景：**乙方在代工合作中承担核心执行角色，负责大部分具体工作，如设计实施、现场管理、直接面对客户等。

***乙方主动性（责权利）合同条款：**

***权利(Rights)：**

1.**根据指示处理信息的权利：**乙方有权在甲方提供的明确指示范围内，按照约定的流程和技术标准处理客户个人信息。

2.**要求甲方提供必要信息或资源的权利：**乙方在履行代工服务过程中，如需甲方提供客户信息（需甲方事先同意且授权）、资源支持或决策确认，有权向甲方提出合理请求。

3.**拒绝执行非法或不当指示的权利：**乙方有权拒绝执行明显违法、违反本协议约定或可能严重侵犯客户隐私的甲方指示，并应立即通知甲方。甲方应在合理时间内核实并作出答复。

***义务(Obligations)：**

1.**独立履行处理义务：**乙方必须独立、审慎地执行与代工服务相关的客户信息处理活动，确保处理方式符合协议约定和法律法规。

2.**主动采取安全措施义务：**乙方不仅要遵守协议约定的安全要求，还应主动采取行业内最佳实践和合理成本范围内的额外安全措施来保护客户信息。

3.**主动识别和报告风险义务：**乙方应主动识别在信息处理过程中可能存在的隐私合规风险或安全漏洞，并及时向甲方报告。对于已发生或可能发生的数据安全事件，应立即启动应急预案并通知甲方。

4.**主动配合甲方监督义务：**乙方应主动向甲方提供履行监督职责所需的必要文件、记录和访问权限。

5.**主动响应客户权利请求（在授权范围内）义务：**在甲方授权范围内，乙方应主动协助甲方响应客户的访问、更正、删除等权利请求。

***责任(Liabilities)：**

1.**直接处理责任：**乙方对其在协议约定范围内直接进行的客户信息处理活动承担直接的法律责任。

2.**因执行不当导致的直接责任：**如果乙方因未能按照协议指示、未能采取足够安全措施或违反其他义务，导致客户信息处理违法或造成损害，乙方需承担直接赔偿责任。

3.**违约责任：**对违反本协议中关于处理、安全、保密等方面的具体条款，乙方需承担违约责任，包括支付违约金等。

**五、特殊应用场景下需要额外增加的特殊条款及注意事项**

***场景：涉及人工智能（AI）的深度应用（如上文场景4）**

***特殊条款：**

***AI应用透明度与可解释性条款：**约定AI系统的大致原理、使用的数据类型、可能存在的偏见等，以及在可能影响客户利益时提供一定程度的解释说明。

***AI决策审查机制条款：**建立由甲方（或双方指定人员）参与的AI决策审查机制，对AI输出的关键结果（如重大设计变更、客户画像结论）进行人工复核。

***注意事项：**AI技术发展迅速，法律规制尚在演进，需关注最新法规动态。确保AI应用不会固化歧视或偏见。平衡创新与隐私保护。

***场景：处理跨境个人信息（如上文场景3）**

***特殊条款：**

***数据传输影响评估条款：**约定在启动大规模或首次向特定国家/地区传输个人信息前，需进行数据传输影响评估，评估内容、方法、结果及应对措施。

***监管机构沟通条款：**约定在遇到跨境传输合规问题时，双方有义务共同就如何与目标国家监管机构沟通进行协商。

***注意事项：**跨境传输是监管重点和难点。目标国家的法律要求差异巨大。需选择合规路径（同意、标准合同、认证、安全评估等）。保持对目标国家法律变化的敏感性。

***场景：处理敏感个人信息（如上文场景1）**

***特殊条款：**

***最小化处理承诺条款：**明确约定处理敏感信息时，不得超出实现特定代工服务合规目的所必需的最小范围。

***特殊安全事件通知条款：**约定发生涉及敏感个人信息的泄露事件时，通知个人和监管机构的时限和要求可能需要优先或特殊处理。

***注意事项：**敏感信息一旦泄露，后果严重。处理目的必须极其明确且必要。安全措施必须加强。通知义务可能更重。

***场景：引入第三方服务商处理个人信息（如上文场景2）**

***特殊条款：**

***第三方数据使用范围严格限定条款：**必须在协议中清晰界定第三方服务商只能为完成其具体服务任务所必需的最小信息范围，并禁止其将信息用于任何其他目的。

***第三方审计与报告条款：**约定甲方有权对第三方服务商的数据处理活动进行审计，并要求其定期提交数据处理报告和安全状况报告。

***注意事项：**第三方是数据泄露的重要风险点。对第三方的选择和管理至关重要。确保有有效的约束机制。合同中需明确甲乙双方对第三方的追责方式。

***场景：涉及用户行为追踪（如上文场景4）**

***特殊条款：**

***数据去标识化/匿名化技术应用条款：**约定应优先采用技术手段对行为数据进行去标识化或匿名化处理，并明确处理后的数据可用性限制。

***用户退出机制技术保障条款：**约定乙方（或其技术提供方）需提供稳定、便捷的技术手段，确保用户能够有效行使退出行为追踪和数据分析的权利。

***注意事项：**行为数据具有连续性和个人识别潜力。告知和选择权必须易行使。去标识化技术需有效且可验证。处理目的需真实、具体。

**六、原始合同所需要的所有的详细的附件列表**

***附件一：个人信息收集清单**

***附件二：客户授权书模板（针对个人信息收集、处理、存储、跨境传输等不同场景）**

***附件三：数据安全措施清单（包含具体技术和管理措施细节）**

***附件四：个人信息处理流程图（明确各环节责任主体和操作）**

***附件五：数据泄露应急预案（包含发现、评估、响应、通知、补救等步骤）**

***附件六：合规培训记录模板或要求**

***附件七：背景调查授权书（如适用）**

***附件八：第三方服务商协议（如适用，需包含其数据处理条款）**

***附件九：跨境数据传输法律尽职调查报告（如适用）**

***附件十：AI模型应用说明与数据处理协议（如适用）**

**七、原始合同所涉及到的法律名词及名词解释**

***个人信息(PersonalInformation)：**指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。（依据《个人信息保护法》）

***隐私合规(PrivacyCompliance)：**指在处理个人信息时，遵守《个人信息保护法》等相关法律法规的规定，确保处理活动合法、正当、必要，并保障个人信息的权益。

***合法、正当、必要原则：**处理个人信息必须有明确、合理的目的，并限于实现目的的最小范围；以个人同意等方式获取个人信息处理权的依据应当符合法律规定；处理方式应当符合法律法规的规定和当事人的约定。（依据《个人信息保护法》）

***同意(Consent)：**个人在充分知情的前提下，自愿决定是否允许他人处理其个人信息的意思表示。（依据《个人信息保护法》）注意：同意必须是具体的、明确的，应以书面、可撤销的方式获取。

***处理(Processing)：**指对个人信息进行收集、存储、使用、加工、传输、提供、公开、删除等操作。（依据《个人信息保护法》）

***存储(Storage)：**指保存个人信息。（依据《个人信息保护法》）

***传输(Transmission)：**指将个人信息转移至中国境外。（依据《个人信息保护法》）

***删除(Deletion)：**指使个人信息不可恢复。（依据《个人信息保护法》）

***安全保障措施：**指为保障个人信息安全所采取的技术措施和管理措施，如加密、去标识化、访问控制、应急预案等。（依据《个人信息保护法》）

***数据泄露(DataBreach)：**指因安全事件导致非授权个人能够访问、获取或泄露个人信息。（依据《个人信息保护法》）

***个人信息主体(DataSubject)：**指个人信息所关联的自然人。（依据《个人信息保护法》）

***个人信息处理者(DataController/Processor)：**指在个人信息处理活动中自主决定处理目的、处理方式的组织或个人（控制器）；或指接受委托处理个人信息的组织或个人（处理器）。在本协议中，甲方是主要的控制器，乙方在接受甲方委托时是处理器，也可能根据具体情况兼任控制器。

**八、本合同在实际操作过程中，会遇到的相关问题及注意事项进行罗列，并给出具体的解决办法**

***问题一：客户同意获取困难或形式不规范。**

***注意：**《个人信息保护法》对同意的要求很高。

***解决办法：**

*提前、清晰、具体地告知客户信息收集的目的、范围、方式、存储期限、权利等。

*提供多种同意方式供客