2026年教育租赁数据安全协议

2026年教育租赁数据安全协议合同编号：__________

第一章总则

第一条协议目的

本协议旨在明确出租方与承租方在教育租赁数据安全合作中的权利、义务及责任，确保教育租赁数据的合法、安全、合规使用，促进教育资源共享与数据安全保护。

第二条适用范围

本协议适用于出租方提供、承租方使用的教育租赁数据，包括但不限于学生个人信息、教学资源数据、教育平台交易数据等。所有数据使用均须遵循国家及地方相关法律法规，符合教育行业数据安全标准。

第三条法律依据

本协议的订立、效力、解释、履行及争议解决均适用中华人民共和国法律。双方均应遵守《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《教育数据安全管理办法》等相关法律法规。

第四条定义

（一）教育租赁数据：指在教育租赁服务过程中产生的各类数据，包括但不限于学生基本信息、学习行为数据、教学资源使用记录、交易支付信息等。

（二）数据安全：指通过技术、管理及法律手段，保障数据在收集、存储、传输、使用、删除等全生命周期中的机密性、完整性、可用性及合规性。

（三）数据泄露：指未经授权的第三方获取、泄露或滥用教育租赁数据的行为，包括但不限于非法访问、数据窃取、公开披露等。

第二章数据提供与接收

第五条数据提供内容

出租方同意向承租方提供符合本协议约定的教育租赁数据，包括但不限于：

（一）学生基本信息：姓名、学号、年龄、联系方式等；

（二）教学资源数据：课程名称、教材版本、使用频率、评分评价等；

（三）交易数据：租赁费用、支付方式、交易时间、退款记录等；

（四）其他经双方协商一致的数据类型。

第六条数据接收条件

承租方接收教育租赁数据前，应具备以下条件：

（一）具有合法的数据使用资质，能够确保数据仅用于本协议约定的目的；

（二）建立完善的数据安全管理制度，配备必要的技术防护措施；

（三）签署本协议并承诺遵守相关数据安全义务。

第七条数据提供方式

出租方通过以下方式向承租方提供教育租赁数据：

（一）数据接口：提供标准化的API接口，支持承租方按需调取数据；

（二）数据存储：将数据存储于双方约定的安全存储系统，确保数据传输与存储过程中的加密保护；

（三）定期交付：按月或按季度以电子文件形式交付数据报表。

第三章数据使用与限制

第八条数据使用目的

承租方使用教育租赁数据仅限于以下目的：

（一）优化教育租赁服务，提升教学资源配置效率；

（二）开展教育数据分析，支持教学决策与科研研究；

（三）改进用户服务体验，提供个性化学习建议；

（四）经出租方书面同意的其他合法用途。

第九条数据使用限制

承租方在使用教育租赁数据时，必须遵守以下限制：

（一）禁止将数据用于商业广告、产品推广或其他非法目的；

（二）禁止通过任何途径泄露、出售或转让数据给第三方；

（三）禁止对数据进行非法篡改、删除或破坏；

（四）禁止将数据用于任何形式的歧视性或侵权行为。

第十条数据使用范围

承租方仅可在本协议约定的范围内使用教育租赁数据，不得超出授权范围或擅自扩大使用场景。如需变更使用目的或范围，须另行取得出租方书面同意。

第四章数据安全保障

第十一条安全责任划分

（一）出租方责任：

1.负责数据收集、存储过程中的安全防护，采取加密传输、访问控制等措施；

2.定期进行数据安全评估，及时发现并修复潜在风险；

3.对敏感数据进行脱敏处理，减少数据泄露风险；

4.建立数据泄露应急预案，确保在事件发生时及时响应。

（二）承租方责任：

1.建立数据安全管理制度，明确数据使用权限与操作规范；

2.采用行业标准的加密技术，保障数据传输与存储安全；

3.定期对员工进行数据安全培训，提高安全意识；

4.对数据使用情况进行审计，确保符合本协议约定。

第十二条技术防护措施

双方应采取以下技术防护措施保障数据安全：

（一）传输加密：采用TLS/SSL等加密协议，确保数据在传输过程中的机密性；

（二）存储加密：对敏感数据进行加密存储，设置强密码策略；

（三）访问控制：基于角色的权限管理，限制非授权人员访问；

（四）安全审计：记录数据访问日志，定期检查异常行为。

第十三条数据泄露应对

如发生数据泄露事件，双方应按以下流程处理：

（一）承租方发现数据泄露后，须立即启动应急预案，切断泄露源头；

（二）在24小时内通知出租方，并共同调查泄露原因与影响范围；

（三）双方协作采取补救措施，包括但不限于数据修复、用户通知、监管报告等；

（四）根据泄露严重程度，协商确定赔偿方案或法律后果。

第五章数据合规与监管

第十四条个人信息保护

承租方处理学生个人信息时，应遵循合法、正当、必要的原则，并符合《个人信息保护法》要求：

（一）明确告知数据收集目的与使用范围，取得学生或监护人同意；

（二）最小化收集个人信息，避免过度收集或无关信息；

（三）定期进行个人信息影响评估，及时删除或匿名化处理。

第十五条教育数据监管

双方应遵守《教育数据安全管理办法》等监管要求：

（一）建立数据分类分级制度，对敏感数据采取特别保护措施；

（二）配合教育主管部门的数据安全检查，提供必要的技术文档与审计报告；

（三）在数据跨境传输时，符合国家数据出境安全评估标准。

第十六条法律合规审查

本协议的任何内容不得违反国家法律法规，双方应定期进行合规审查，确保持续符合监管要求。如遇法律法规修订，双方应协商调整协议内容。

第六章违约责任

第十七条违约情形

（一）出租方违约：

1.未按约定提供数据或提供的数据存在错误、遗漏，导致承租方损失；

2.数据存储或传输过程中存在安全漏洞，引发数据泄露；

3.未履行数据安全保护义务，违反监管要求。

（二）承租方违约：

1.擅自扩大数据使用范围或用于非法目的；

2.数据泄露导致学生或第三方权益受损，需承担赔偿责任；

3.未按约定支付数据使用费用或逾期支付。

第十八条责任承担

（一）出租方责任：如因出租方原因导致数据安全事件，应承担直接经济损失的50%以上赔偿责任，并承担监管机构罚款的100%。

（二）承租方责任：如因承租方原因导致数据泄露或违规使用，应全额承担直接经济损失，并赔偿出租方合理维权费用。

第十九条免责情形

双方因不可抗力（如自然灾害、政府行为）导致协议无法履行，可部分或全部免除责任，但需及时通知对方并采取措施减少损失。

第七章协议期限与终止

第二十条协议期限

本协议自双方签字盖章之日起生效，有效期为三年。期满前三个月，如双方无书面异议，可自动续期或另行协商签订新协议。

第二十一条终止条件

（一）承租方主动提出终止，需提前六个月书面通知出租方；

（二）出租方发现承租方严重违约，可单方面解除协议，并要求赔偿损失；

（三）监管机构强制要求终止协议，双方应配合执行。

第二十二条终止后果

协议终止后，承租方须：

（一）立即停止使用教育租赁数据，删除所有数据副本；

（二）向出租方提供数据使用报告，包括数据调用量、使用场景等；

（三）如存在未结算费用，须在终止后30日内结清。

第八章争议解决

第二十三条争议解决方式

双方因本协议产生的任何争议，应优先通过友好协商解决。协商不成的，提交出租方所在地人民法院诉讼解决。

第二十四条争议前置

在诉讼或仲裁前，双方应先行协商，并将协商过程记录存档。如协商未果，任何一方可依法提起诉讼。

第二十五条法律适用

争议解决均适用中华人民共和国法律，以协议签订地的法律解释为准。

第九章其他条款

第二十六条保密义务

双方对协议内容及涉及的商业秘密、技术信息负有保密义务，未经对方书面同意，不得向任何第三方披露。保密期限为本协议终止后三年。

第二十七条不可抗力

不可抗力是指双方不能预见、不能避免且不能克服的客观情况，包括但不限于战争、疫情、法律变更等。发生不可抗力时，双方应立即通知对方，并采取措施减少损失。

第二十八条通知与送达

本协议项下的所有通知、文件等均应以书面形式送达至对方在本协议中载明的地址。如地址变更，须提前15日书面通知对方。

第二十九条协议完整性与修改

本协议构成双方完整约定，任何补充协议或口头约定均无效。如需修改，须由双方书面签署补充协议。

第三十条不可分割性

本协议各条款相互独立，任何条款无效不影响其他条款效力。如某条款被认定为无效，其余条款仍继续有效。

第三十一条附件效力

本协议可附有数据安全责任书、数据使用授权书等附件，附件内容与本协议具有同等法律效力。

第三十二条未尽事宜

本协议未约定的事项，双方可另行协商补充，但补充内容不得与本协议基本原则相冲突。

第三十三条协议份数

本协议一式两份，出租方执一份，承租方执一份，具有同等法律效力。

（以下无正文）

###特殊应用场景一：高校教育资源共享平台

**场景描述**

高校之间通过建立教育资源共享平台，出租方（平台运营机构）提供课程资源、学生成绩、教学评估等教育租赁数据，承租方（加盟高校）利用数据优化本校教学资源配置。此场景涉及多方主体数据交叉使用，需特别关注数据权属与隐私保护。

**注意事项及条款修正**

1.**数据权属修正**

-原条款"第五条数据提供内容"需增加"数据提供不改变原始数据所有权，承租方仅获得使用权，不得擅自进行二次开发或商业化转化"

**专业术语**：数据使用权属划分（DataOwnershipAllocation）

2.**隐私保护强化**

-增加"第二十一条数据脱敏标准条款"：明确承租方必须对涉及学生身份的敏感数据实施K-匿名或差分隐私处理，脱敏程度需通过第三方安全评估机构验证

**专业术语**：差分隐私（DifferentialPrivacy）、K-匿名（K-Anonymity）

3.**争议解决修正**

-将"第二十三条争议解决方式"修改为"优先通过教育主管部门调解，调解不成的提交中国教育仲裁委员会仲裁"

**专业术语**：教育行业调解机制（EducationalSectorMediation）

###特殊应用场景二：K12教育机构教学评估系统

**场景描述**

出租方为大型K12教育机构提供学生阶段性测评数据，承租方为教研机构，通过数据挖掘分析学生能力模型，用于课程迭代。此场景涉及未成年人数据使用，监管要求更严格。

**注意事项及条款修正**

1.**监护人同意条款**

-增加"第十八条未成年人数据特别授权条款"：承租方需通过区块链存证方式获取学生监护人书面同意书，并实时更新监护人联系方式

**专业术语**：区块链电子存证（BlockchainDigitalNotarization）

2.**数据生命周期管理**

-修改"第七条数据提供方式"为"提供数据使用沙箱环境，承租方通过API调用量不超过每日1000次，原始数据保存期限不超过评估周期届满后2年"

**专业术语**：数据沙箱（DataSandbox）、数据保留期限（DataRetentionPeriod）

3.**违规处罚加重**

-修订"第十七条违约责任"为"因承租方泄露未成年人数据，除赔偿直接经济损失外，承租方将永久失去参与国家级教育科研项目资格"

**专业术语**：行业禁入条款（IndustryBanClause）

###特殊应用场景三：职业教育机构技能认证系统

**场景描述**

出租方为职业院校提供实训数据，承租方为行业协会，用于制定职业技能认证标准。此场景涉及技能评估数据标准化，需关注行业认证权威性。

**注意事项及条款修正**

1.**数据标准化条款**

-增加"第二十八条技能数据标准条款"：明确承租方需采用ISO24617职业技能数据模型，数据采集必须符合"客观行为+过程数据+结果数据"三维采集原则

**专业术语**：职业技能数据模型（VocationalSkillDataModel）

2.**认证结果追溯**

-增加"第三十条认证数据链式存储条款"：要求承租方建立不可篡改的技能认证区块链存证系统，保证认证结果可追溯至原始训练数据

**专业术语**：区块链存证（BlockchainNotarization）、数据链式化（DataChainization）

3.**行业监管对接**

-修订"第二十三条争议解决方式"为"争议优先提交中国职业技术教育学会鉴定委员会裁决，裁决结果具有行业约束力"

**专业术语**：行业鉴定委员会（IndustryAdjudicationCommittee）

###特殊应用场景四：教育科技公司AI教学模型训练

**场景描述**

出租方为在线教育平台提供匿名化学生行为数据，承租方为AI公司，用于训练智能教学模型。此场景需平衡数据价值挖掘与算法公平性。

**注意事项及条款修正**

1.**算法公平性条款**

-增加"第三十一条算法偏见条款"：要求承租方每季度提交AI模型偏见检测报告，对存在性别/地域/学习障碍群体歧视的模型必须进行重训

**专业术语**：算法偏见检测（AlgorithmicBiasDetection）

2.**数据质量标准**

-修订"第六条数据接收条件"为"承租方需通过ISO27701数据质量认证，数据完整性误差率不得超过1%，标注错误率不超过5%"

**专业术语**：数据质量维度（DataQualityDimensions）

3.**模型更新机制**

-增加"第三十二条模型迭代条款"：承租方模型每季度更新一次，出租方有权对模型训练数据构成进行审计，拒绝使用存在作弊行为的学生数据

**专业术语**：模型迭代周期（ModelIterationCycle）

###特殊应用场景五：国际教育交流项目数据交换

**场景描述**

出租方为中国教育国际交流中心提供国际学生交换项目数据，承租方为合作院校，用于跨文化教学研究。此场景涉及跨境数据流动，需符合《个人信息保护法》第41条。

**注意事项及条款修正**

1.**跨境数据合规**

-增加"第三十三条数据出境条款"：明确承租方需通过国家网信办备案的跨境数据交换平台传输，并取得数据接收国的隐私监管机构认证

**专业术语**：数据出境安全评估（DataTransferAssessment）

2.**文化适应性条款**

-修订"第十四条个人信息保护"为"跨境数据收集需通过目标国家文化部认证，避免采集宗教信仰/价值观等敏感文化信息"

**专业术语**：文化敏感数据（CulturallySensitiveData）

3.**监管备案条款**

-增加"第三十四条监管备案条款"：要求双方每月向教育部国际司提交数据交换情况报告，建立"数据流+资金流"双向追踪机制

**专业术语**：双向追踪机制（BidirectionalTrackingMechanism）

---

###实际操作过程中遇到的问题及解决办法

1.**数据脱敏不足导致侵权风险**

-问题：承租方仅简单删除姓名，未对学号+时间戳组合进行差分隐私处理

-解决办法：在"第二十一条数据脱敏标准条款"中明确"必须采用Laplacian噪声添加或k-匿名算法，经中国信息安全认证中心认证"

2.**AI模型训练数据标注错误**

-问题：承租方AI公司用错误标签训练模型，导致教师评价系统产生系统偏见

-解决办法：增加"第三十一条算法偏见条款"要求"建立第三方交叉验证机制，标注错误率超阈值需重训并赔偿出租方10万元"

3.**跨境数据传输监管不合规**

-问题：承租方将台湾地区学生数据传输至美国服务器，违反《个人信息保护法》

-解决办法：在"第三十三条数据出境条款"中明确"数据接收方必须通过GDPR合规认证及《海峡两岸数据保护合作协议》备案"

4.**数据泄露责任认定争议**

-问题：承租方员工离职后泄露数据，出租方与承租方就赔偿责任产生分歧

-解决办法：在"第十七条违约责任"中增加"员工离职后3年内造成数据泄露的，承租方承担连带责任，赔偿上限为500万元"

5.**数据更新不及时导致决策失误**

-问题：承租方使用陈旧数据制定教学计划，导致教学资源错配

-解决办法：修订"第七条数据提供方式"为"出租方提供数据更新日志，承租方使用数据前需验证更新时间戳，滞后超过30天使用需额外付费"

---

###原始合同所需的所有详细附件

1.**附件一：数据使用授权书**

-详细列出承租方可使用的具体数据字段、时间跨度及处理工具清单

**专业术语**：数据字段清单（DataFieldInventory）

2.**附件二：数据安全责任书**

-双方签署的保密承诺书，包含对员工的数据安全培训记录模板

**专业术语**：保密承诺书（ConfidentialityPledge）

3.**附件三：数据脱敏实施标准**

-包含K-匿名算法实施细则、差分隐私参数配置表及脱敏工具认证报告

**专业术语**：脱敏实施规范（De-identificationImplementationStandard）

4.**附件四：数据访问权限矩阵**

-明确承租方不同部门的数据访问权限，采用RBAC模型设计

**专业术语**：访问控制矩阵（AccessControlMatrix）

5.**附件五：跨境数据交换备案表**

-包含国家网信办备案号、数据接收国隐私认证文件及数据传输协议

**专业术语**：数据传输协议（DataTransferProtocol）

6.**附件六：不可抗力事件清单**

-详细列明不可抗力事件定义及举证标准，包含自然灾害分级表

**专业术语**：不可抗力分级（ForceMajeureClassification）

7.**附件七：监管合规清单**

-包含《网络安全法》等9部法律法规的合规要求对照表

**专业术语**：合规性对照表（ComplianceChecklist）

8.**附件八：数据泄露应急响应预案**

-包含事件分级标准、响应流程图及第三方安全机构联系方式

**专业术语**：应急响应分级（IncidentResponseTiering）

9.**附件九：模型训练数据质量报告模板**

-包含完整性校验规则、标注错误率统计表及第三方审计要求

**专业术语**：数据质量报告（DataQualityReport）

10.**附件十：费用结算清单**

-详细列出数据使用费、违约金、审计费等各项收费标准及支付周期

**专业术语**：费率表（FeeSchedule）

多方为主导时的，附件条款及说明

第一条多方主导定义

本协议中提及的甲方、乙方及第三方中介，其主导地位根据数据控制权、资金投入比例及运营决策权综合确定。主导方对数据安全负有主要责任，非主导方亦需履行相应的辅助性义务。

第二条甲方为主导时的附加条款

第二十一条之一甲方主导下的数据控制条款

（一）甲方作为数据控制方，有权对教育租赁数据的收集范围、采集频率及存储方式作出最终决定，但需确保所有决策符合《个人信息保护法》第7条"目的明确、最小必要"原则。

（二）甲方应建立数据治理委员会，由技术、法务及业务部门代表组成，负责审批重大数据使用场景变更，并定期向监管机构提交数据治理报告。

（三）甲方需向承租方提供数据控制权行使日志，包括但不限于数据访问审批记录、脱敏规则变更记录、跨境传输备案记录，日志保存期限为数据生命周期结束后5年。

**条款说明**

本条款强化了主导方在数据全生命周期中的决策权与监督责任，通过建立数据治理委员会制度，确保数据控制权的行使符合行业最佳实践与监管要求。数据治理委员会的设置参照ISO27701标准中的数据治理框架，既保障主导方的决策主导性，又通过内部制衡机制防止权力滥用。数据控制权行使日志的保存要求，是针对《个人信息保护法》第20条"记录处理活动"的细化规定，为数据安全事件追溯提供法律依据。

第二十一条之二甲方主导下的数据定价条款

（一）甲方有权根据数据价值、处理规模及风险等级制定数据使用费率，但需在合同签订前30日提供详细的定价模型说明，并附有第三方数据价值评估报告。

（二）甲方应建立数据使用费动态调整机制，每年根据市场供需情况及数据价值变化，通过双方协商调整费率，调整幅度不得超过±10%。

（三）对于非营利性教育研究机构，甲方应提供基础数据包免费使用权，但需限制数据量不超过总量的20%，且不得用于商业性开发。

**条款说明**

本条款平衡了主导方的经济权益与承租方的合理需求，通过第三方数据价值评估机制确保定价的客观性。动态调整机制既保障甲方应对市场变化的灵活性，又通过±10%的约束条件防止价格歧视。免费数据包的设置符合教育行业公益性原则，为非营利机构开展教育研究提供数据基础，同时通过数据量限制避免资源滥用。

第二十一条之三甲方主导下的数据审计条款

（一）甲方有权每年委托第三方数据安全服务机构对承租方数据使用环境进行突击检查，检查范围包括但不限于数据访问日志、脱敏算法实施情况、员工数据安全培训记录。

（二）承租方需配合甲方完成数据审计，并提供虚假材料或拒不配合的，甲方有权单方面解除协议，并要求承租方赔偿直接经济损失的200%。

（三）审计费用由违约方承担，但甲方在签订合同时已明确告知审计义务的，审计费用由承租方承担。

**条款说明**

本条款强化了主导方的监督权，突击检查机制是参照ISO27001内审流程设计的，旨在确保承租方持续符合数据安全要求。200%的赔偿比例是对数据安全领域"一倍惩罚金+直接损失"原则的体现，既体现法律威慑力，又符合《网络安全法》第64条"造成损失的，依法承担赔偿责任"的规定。审计费用承担规则的设置，防止主导方滥用审计权。

第三十条之一甲方主导下的数据处置条款

（一）当数据存储期限届满或协议终止时，甲方作为数据控制方有权决定数据的销毁方式，但需采用shreddedpaper（粉碎）或degaussing（消磁）等物理销毁方法。

（二）甲方应提供数据销毁证明，包括销毁前后的照片、视频及销毁设备认证报告，并提交给承租方确认。

（三）销毁证明的保存期限为数据生命周期结束后7年，作为数据灭失的证据。

**条款说明**

本条款细化了数据灭失环节的执行标准，通过物理销毁方式确保数据不可恢复性，符合《个人信息保护法》第17条"删除或销毁个人信息"要求。数据销毁证明的保存期限设定，是参考欧盟GDPRRGD2018/1720指南制定的，为后续监管审计提供完整性证据。

第三十条之二甲方主导下的数据再利用条款

（一）甲方有权在承租方完成合同约定使用目的后，将教育租赁数据进行二次开发，开发成果包括但不限于行业白皮书、教学资源库等。

（二）数据再利用产生的收益，双方按60%：40%比例分成，甲方需在收益分配前30日提供详细的收益计算说明及审计报告。

（三）承租方不得对甲方数据再利用成果进行商业性使用，但可引用部分数据观点用于内部教研，引用部分需经甲方书面同意。

**条款说明**

本条款明确了数据价值延伸利用的规则，通过收益分成机制激励主导方进行数据再开发，同时通过审计要求保障承租方的知情权。商业性使用限制的设置，防止承租方通过引用方式规避数据授权范围，符合数据使用禁止性规定。

第三十条之三甲方主导下的数据争议条款

（一）当与承租方就数据使用范围产生争议时，主导方有权暂停数据供应，直至争议解决，但暂停时间不得超过60日。

（二）暂停期间的数据使用费按50%折算，争议解决后未使用部分不退还。

（三）若争议进入诉讼程序，主导方有权要求承租方提供全部数据使用日志作为证据，承租方不得拒绝。

**条款说明**

本条款设置了数据供应的临时控制权，60日的暂停期限是平衡双方利益的折中方案，既保障主导方权益，又避免无限期阻塞承租方业务。50%的折算规则体现了公平补偿原则，争议日志的调取要求符合《民事诉讼法》证据规则，确保争议解决有据可依。

第二十一条之二乙方为主导时的附加条款

第二十一条之二乙方为主导下的数据控制条款

（一）乙方作为数据控制方，需建立数据使用风险池制度，对高风险使用场景（如AI模型训练、跨境传输）实行专项审批，审批通过率不得低于80%。

（二）乙方应每月向甲方提交数据使用质量报告，包括数据准确率、标注一致性、算法偏见检测结果等指标。

（三）乙方需建立数据使用反馈机制，由承租方对数据质量进行评分，评分低于60分的，乙方需暂停该场景数据供应并优化数据质量。

**条款说明**

本条款强化了非主导方的数据责任意识，风险池制度是参照《数据安全管理办法》第8条"分级分类管理数据"原则设计的，通过审批通过率要求确保风险可控。数据使用质量报告机制，将数据质量量化考核，评分机制引入了游戏化激励，促进乙方持续改进数据质量。

第二十一条之二乙方为主导下的数据创新条款

（一）乙方有权将承租方提出的创新性数据使用需求纳入年度数据开发计划，优先级不低于普通需求的30%。

（二）数据创新项目产生的收益，双方按40%：60%比例分成，乙方需在项目立项前提供可行性报告及潜在风险分析。

（三）创新项目失败或风险超预期，乙方需承担80%的赔偿责任，但甲方未按约定提供高质量数据的除外。

**条款说明**

本条款鼓励乙方进行数据创新，30%的优先级保障创新需求不被淹没在常规业务中。收益分成比例向乙方倾斜，体现创新投入的合理性。赔偿责任比例的设置，既体现乙方主导下的风险承担原则，又通过除外条款避免将非主导方责任无限扩大。

第二十一条之二乙方为主导下的数据审计条款

（一）乙方需接受甲方委托的年度数据安全审计，审计不合格的，需在30日内完成整改，整改期间数据供应按70%折算。

（二）审计不合格的，乙方需向甲方支付违约金，金额为上一年度数据使用费的50%，且无上限。

（三）乙方整改期间，甲方有权暂停新增数据供应，直至整改完成并通过复检。

**条款说明**

本条款设置了更严厉的审计后果，70%的折算比例与30日的整改期体现了责任与权力的匹配。50%的违约金比例参考了《数据安全管理办法》第42条"拒不改正的，处10万元以上50万元以下的罚款"，通过经济手段强化审计威慑力。新增数据供应的暂停权，是针对持续不合规行为的惩戒措施。

第三十条之一乙方为主导下的数据处置条款

（一）乙方作为数据控制方，需在数据销毁前30日向甲方提供销毁计划，包括销毁方法、时间安排及人员分工。

（二）销毁过程需有两名以上无利益关联人员监督，并全程录像，录像保存期限为销毁后3年。

（三）销毁完成后，乙方需向甲方提交销毁清单，清单上需有监督人员签字及销毁设备标识码。

**条款说明**

本条款细化了数据销毁的执行流程，通过多人监督机制防止销毁舞弊。销毁清单的签字要求，确保销毁行为可追溯至具体执行人员。3年的录像保存期限，是参照《网络安全法》第68条"记录并留存相关日志不少于六个月"原则设计的，但考虑到数据销毁的特殊性，适当延长了保存期限。

第三十条之一乙方为主导下的数据争议条款

（一）当与甲方就数据使用范围产生争议时，主导方需在5日内启动内部调查，调查结果需在10日内提交给对方。

（二）调查期间，数据供应按50%折算，但甲方有证据证明乙方存在严重违规的除外。

（三）若争议进入诉讼程序，乙方需在判决生效前向甲方提供数据使用合规证明，否则承担败诉风险。

**条款说明**

本条款设置了争议解决的时间缓冲机制，5+10的期限设计既保障乙方调查需求，又防止无限期拖延。50%的折算规则体现了公平补偿原则。合规证明的调取要求，将举证责任转移给可能存在违规的主导方，符合《民事诉讼法》举证责任分配规则。

第二十一条之二有第三方中介时的附加条款

第二十一条之二第三方中介的职责条款

（一）第三方中介作为数据运营方，需同时向甲方和乙方提供书面服务确认书，确认书内容包括数据传输量、处理操作、安全事件等关键信息。

（二）中介需建立数据操作日志，记录每一条数据访问请求的响应时间、操作类型、IP地址及操作人，日志保存期限为数据生命周期结束后4年。

（三）中介需每季度向双方提交数据操作报告，报告需包含第三方独立审计机构出具的合规性证明。

**条款说明**

本条款明确了第三方中介的