2026年大数据合规数据安全协议

2026年大数据合规数据安全协议

**2026年大数据合规数据安全协议**

本协议由以下双方于2026年[具体日期]在[具体地点]签订：

甲方：[甲方名称]

法定代表人：[甲方法定代表人姓名]

注册地址：[甲方注册地址]

乙方：[乙方名称]

法定代表人：[乙方法定代表人姓名]

注册地址：[乙方注册地址]

鉴于：

1.甲方在数据处理和存储方面拥有专业能力和资源，并致力于遵守相关法律法规及行业规范。

2.乙方需要处理大量个人数据和敏感数据，并希望与甲方合作以确保数据处理活动的合规性和安全性。

3.双方基于相互信任和平等互利的原则，经友好协商，就大数据合规数据安全合作事宜达成以下协议：

**第一条定义**

1.1本协议所称“个人数据”是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

1.2本协议所称“敏感数据”是指个人数据中的特定数据，如种族、民族、宗教信仰、政治观点、医疗信息、遗传信息、生物识别信息等。

1.3本协议所称“数据处理”是指对个人数据进行收集、存储、使用、加工、传输、提供、公开、删除等操作。

1.4本协议所称“数据安全”是指采取技术和其他必要措施，确保个人数据不被未经授权的访问、使用、泄露、篡改或破坏。

**第二条合作范围**

2.1甲方同意为乙方提供以下数据服务：

(1)数据存储服务；

(2)数据处理服务；

(3)数据分析服务；

(4)数据安全咨询服务。

2.2乙方同意将其需要处理的数据提供给甲方，并按照本协议约定使用甲方提供的数据服务。

**第三条数据处理原则**

3.1数据处理应遵循合法、正当、必要、诚信的原则。

3.2数据处理应符合收集目的，不得超出收集目的范围使用数据。

3.3数据处理应确保数据安全，采取必要的技术和管理措施防止数据泄露、篡改或丢失。

3.4数据处理应尊重个人隐私，不得非法收集、使用或泄露个人数据。

**第四条数据安全责任**

4.1甲方应建立健全数据安全管理制度，配备必要的技术和管理人员，确保数据处理活动的安全性。

4.2甲方应采取以下措施确保数据安全：

(1)建立数据访问控制机制，确保只有授权人员才能访问数据；

(2)采用加密技术对数据进行传输和存储；

(3)定期进行数据安全风险评估，及时发现并消除安全隐患；

(4)对数据处理人员进行数据安全培训，提高数据安全意识。

4.3乙方应配合甲方进行数据安全管理工作，确保其提供的数据符合数据安全要求。

4.4乙方应采取以下措施确保数据安全：

(1)对其收集的个人数据进行脱敏处理，避免泄露个人隐私；

(2)对其员工进行数据安全培训，提高数据安全意识；

(3)建立数据安全事件应急预案，及时应对数据安全事件。

**第五条数据合规责任**

5.1甲方应遵守《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》等相关法律法规，确保数据处理活动的合规性。

5.2甲方应配合乙方进行数据合规管理，提供必要的法律咨询和支持。

5.3乙方应遵守《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》等相关法律法规，确保其数据处理活动的合规性。

5.4乙方应配合甲方进行数据合规管理，提供必要的数据处理目的说明和个人信息主体同意证明。

**第六条数据传输**

6.1双方应遵守国家关于数据跨境传输的相关规定，确保数据传输的合法性。

6.2如需将数据传输至境外，双方应事先进行风险评估，并采取必要的安全措施。

6.3甲方应确保数据传输符合国家关于数据跨境传输的相关规定，并承担相应的法律责任。

**第七条数据使用**

7.1甲方只能按照本协议约定使用乙方提供的数据，不得超出约定范围使用数据。

7.2甲方应确保数据使用的合规性，不得将数据用于非法目的。

7.3乙方应按照本协议约定使用甲方提供的数据服务，不得超出约定范围使用数据。

7.4乙方应确保数据使用的合规性，不得将数据用于非法目的。

**第八条数据保护**

8.1双方应采取必要措施保护个人数据，防止数据泄露、篡改或丢失。

8.2如发生数据安全事件，双方应立即采取补救措施，并按照本协议约定进行报告和处理。

8.3甲方应定期对数据安全事件进行评估，并采取措施防止类似事件再次发生。

8.4乙方应定期对数据安全事件进行评估，并采取措施防止类似事件再次发生。

**第九条数据销毁**

9.1数据处理目的达到后，双方应及时销毁数据。

9.2甲方应采取必要措施确保数据被彻底销毁，不得保留任何备份。

9.3乙方应配合甲方进行数据销毁工作，并确保其不再使用已销毁的数据。

**第十条违约责任**

10.1任何一方违反本协议约定，应承担相应的违约责任。

10.2甲方违反本协议约定，导致数据泄露、篡改或丢失的，应承担相应的赔偿责任。

10.3乙方违反本协议约定，导致数据泄露、篡改或丢失的，应承担相应的赔偿责任。

10.4双方应相互配合，及时解决本协议履行过程中发生的问题，避免因违约行为造成损失。

**第十一条争议解决**

11.1本协议的签订、履行、解释及争议解决均适用中华人民共和国法律。

11.2如双方发生争议，应首先通过友好协商解决；协商不成的，任何一方均可向甲方所在地人民法院提起诉讼。

**第十二条协议生效**

12.1本协议自双方签字盖章之日起生效。

12.2本协议一式两份，甲乙双方各执一份，具有同等法律效力。

**第十三条其他**

13.1本协议未尽事宜，双方可另行签订补充协议，补充协议与本协议具有同等法律效力。

13.2本协议的任何修改或变更，均需双方书面同意。

甲方（盖章）：________________________

法定代表人（签字）：__________________

日期：________________________

乙方（盖章）：________________________

法定代表人（签字）：__________________

日期：________________________

**一、所需附件列表(附件列表)**

虽然合同正文中未明确列出具体附件名称，但基于协议内容，实际执行中可能需要以下附件作为补充和支撑：

1.**数据清单(DataInventoryList):**详细列出双方合作处理的数据类型、数据范围、数据来源、数据规模等信息。

2.**数据处理目的说明(DescriptionofDataProcessingPurposes):**明确乙方委托甲方处理数据的具体业务目的和法律依据。

3.**个人信息主体同意证明(ProofofConsentfromDataSubjects):**如需处理个人信息，应提供获得个人信息主体有效同意的文件或系统记录。

4.**数据安全评估报告(DataSecurityAssessmentReport):**甲方在提供服务前进行的数据安全风险评估报告。

5.**数据安全管理制度文件(DataSecurityManagementSystemDocuments):**甲方制定的数据安全管理制度、操作规程、应急预案等内部文件。

6.**数据合规证明文件(DataComplianceEvidence):**甲方或乙方相关的合规认证、资质证明等。

7.**数据跨境传输备案/许可文件(Cross-borderDataTransferFiling/LicenseDocuments):**如涉及数据跨境传输，需提供相应的国家主管部门的备案或许可文件。

8.**人员授权文件(PersonnelAuthorizationDocuments):**授权处理数据的人员名单及其权限说明。

9.**服务水平协议(ServiceLevelAgreement-SLA):**可选，可进一步细化服务内容、服务标准、响应时间、SLA考核及违约金等。

10.**补充协议(SupplementaryAgreements):**对合同正文未约定或需要变更的内容进行补充约定的文件。

**二、违约行为罗列及认定(违约行为及认定)**

**违约行为罗列:**

1.**甲方违约行为:**

*未按约定提供数据服务，或服务质量不符合约定标准。

*未采取必要的数据安全措施，导致数据泄露、篡改、丢失。

*超出约定范围使用乙方提供的数据。

*将数据用于非法目的。

*未能按时提供数据安全评估报告或未能有效执行安全措施。

*在数据处理或传输过程中违反国家相关法律法规（如《网络安全法》、《个人信息保护法》）。

*未能按约定配合乙方进行数据合规管理或应对数据安全事件。

*未能按约定销毁数据或保留备份。

*未经乙方同意，将数据传输至境外或向第三方提供数据。

2.**乙方违约行为:**

*未按约定提供必要的数据或数据处理目的说明。

*提供的数据存在虚假、错误或未进行必要的脱敏处理，导致安全风险。

*未能采取必要措施保护其自身收集的数据，导致数据泄露、篡改、丢失。

*超出约定范围使用甲方提供的数据服务。

*将数据用于非法目的。

*未能按约定配合甲方进行数据安全管理和合规检查。

*未能按约定销毁其持有的数据。

*未能按约定配合甲方进行数据跨境传输的合规准备工作。

*未能及时通知甲方发生的数据安全事件或隐瞒不报。

**违约行为认定:**

违约行为的认定依据主要包括：

1.**合同条款:**直接依据合同正文和附件中明确约定的权利义务和责任条款。

2.**事实证据:**通过技术监控记录、日志、审计报告、第三方证明、数据泄露通知、用户投诉等事实证据来证明违约行为的发生。

3.**法律法规:**违反国家强制性法律法规的行为，即使未在合同中明确约定，也可能被认定为违约，并可能承担更重的法律责任。

4.**合同解释原则:**依据合同法关于合同解释的原则，如诚实信用原则（诚信原则）、显失公平原则等，结合具体案情进行综合判断。

**三、法律名词解释(法律名词解释)**

1.**个人数据(PersonalData):**指与已识别或者可识别的自然人有关的各种信息，包括但不限于姓名、身份证号、手机号码、邮箱地址、物理地址、生物识别信息、健康信息等。即使信息经过匿名化或去标识化处理，但在特定情况下仍可能被识别为个人数据的，仍属个人数据范畴。

2.**敏感数据(SensitiveData):**指个人数据中的特定数据，一旦泄露或被滥用，可能对个人的隐私、人身或财产安全造成严重危害的数据。例如：种族、民族、宗教信仰、政治观点、基因遗传信息、生物识别信息（如指纹、人脸图像）、医疗健康信息、金融账户信息等。

3.**数据处理(DataProcessing):**指对个人数据进行收集、存储、使用、加工、传输、提供、公开、删除等操作。广义上还包括对信息进行分类、标记、排序等。

4.**数据安全(DataSecurity):**指采取技术和其他必要措施，确保个人数据和重要数据不被未经授权的访问、使用、泄露、篡改、破坏，以及确保在发生安全事件时能够及时恢复。通常包括保密性、完整性、可用性三个方面。

5.**合法、正当、必要原则(PrincipleofLawfulness,Fairness,andNecessity):**数据处理必须具有法律依据，过程公平透明，并且是实现处理目的所必需的，不得过度处理。

6.**数据跨境传输(Cross-borderDataTransfer):**指数据从一国境内传输至境外。中国对数据跨境传输有严格的规定，通常需要满足安全评估、标准合同、认证机制、保护认证等条件，并可能需要获得相关主管部门的备案或批准。

7.**数据销毁(DataDestruction):**指通过物理或技术手段，永久性地删除或销毁数据，使其无法被恢复读取，确保数据不再以任何形式存在。

8.**数据主体(DataSubject):**指其个人数据被处理的自然人。

9.**数据处理者(DataProcessor):**指为数据处理者处理个人数据的自然人或法人。在本协议中，甲方可能扮演数据处理者的角色。

10.**数据处理指令(DataProcessingInstructions):**指数据控制者（通常为乙方）要求数据处理者（甲方）对个人数据进行处理的指示。

11.**数据泄露(DataBreach):**指因安全事件导致未经授权的访问、披露、丢失、篡改或破坏个人数据的事件。

**四、实际执行中可能遇到的问题及解决办法(实际问题及解决办法)**

1.**问题：数据范围界定不清。**

***表现：**合作过程中，双方对需要处理的数据具体范围存在争议，导致数据处理活动超出预期。

***解决办法：**在合同签订前，共同详细编制《数据清单》作为附件，明确数据的类型、来源、字段、量级、敏感级别等。在合作过程中，如需扩大数据范围，应通过书面补充协议进行约定。

2.**问题：数据处理目的不明确或不合法。**

***表现：**乙方委托处理数据的目的是否具有合法性、正当性存疑，或超出用户授权范围。

***解决办法：**乙方必须在合同中清晰、具体地说明数据处理目的，并提供相应法律依据（如用户协议、隐私政策、同意书等）。甲方有权审核数据处理目的的合规性，拒绝处理不合规的数据。

3.**问题：数据安全措施不足或失效。**

***表现：**发生数据泄露、丢失等安全事件。

***解决办法：**甲方需建立完善的数据安全管理体系（如ISO27001认证），并持续投入资源进行安全建设和投入。双方应定期进行安全审计和渗透测试。发生事件时，启动应急预案，相互配合进行处置和溯源。

4.**问题：跨境数据传输合规性风险。**

***表现：**数据传输至境外可能违反中国《网络安全法》、《数据安全法》、《个人信息保护法》及相关规定。

***解决办法：**严格遵循国家关于数据跨境传输的规则，优先选择境内处理。如确需跨境，必须通过安全评估、签订标准合同、通过认证机制（如安全认证、认证等）、获得主管部门备案或批准等多种合规路径之一，并将相关证明文件纳入附件。

5.**问题：数据主体权利行使的响应不畅。**

***表现：**数据主体行使访问、更正、删除等权利时，乙方和甲方之间协调不畅，响应迟缓。

***解决办法：**合同中明确约定数据主体权利行使的流程、响应时限。乙方负责接收和初步核实数据主体请求，并通知甲方；甲方负责执行具体的访问、更正、删除操作，并反馈给乙方，最终告知数据主体。

6.**问题：责任划分不清。**

***表现：**发生问题时，双方互相推诿，责任难以界定。

***解决办法：**合同中应尽可能详细地约定双方在不同环节（数据收集、存储、处理、传输、销毁等）的具体责任。明确违约行为的认定标准和相应的法律责任（如赔偿金额、承担方式等）。

7.**问题：数据更新与同步。**

***表现：**乙方提供的数据源发生变化，但未能及时通知甲方更新，导致处理数据不准确。

***解决办法：**合同中约定数据更新的机制和时限，明确乙方更新数据的责任和通知义务。

**五、适用的所有场景(适用场景总结)**

本《2026年大数据合规数据安全协议》适用于以下场景：

1.**企业间大数据处理合作：**甲方为企业提供大数据存储、计算、分析、可视化等服务，乙方利用甲方的大数据平台或能力处理其业务数据（如用户行为分析、市场预测、风险控制等）。

2.**云计算服务：**甲方提供云计算基础设施（IaaS）、平台（PaaS）或软件即服务（SaaS），乙方将其数据存储、处理或应用部署在甲方提供的云环境中。

3.**数据经纪或数据聚合服务：**甲方从多个来源收集、整合、处理数据，为乙方提供经过加工的数据产品或分析服务。

4.**数据标注与处理外包：**甲方承接乙方数据标注、清洗、分类、结构化等数据处理外包项目。

5.**人工智能模型训练：**甲方使用乙方提供的数据（可能包含个人数据或敏感数据）来训练人工智能模型，乙方委托甲方进行模型开发。

6.**数据安全与合规咨询及服务：**甲方为乙方提供数据安全评估、风险评估、合规咨询、技术防护、安全审计等服务，乙方支付服务费用。

7.**多方数据共享与协作：**涉及多个参与方，需要共同处理数据以实现特定目标（如联合风控、联合科研），各方需要明确权责边界和安全规范。

8.**数据出口加工：**乙方将数据处理任务委托给境外的甲方完成，处理后的数据可能返回乙方或用于出口。

**一、特殊应用场合及应增加的条款**

1.**特殊场合：涉及大规模敏感个人数据处理的人工智能模型训练**

***场景描述：**甲方（AI公司/研究机构）需要使用乙方（如互联网公司、医疗机构）提供的海量、高敏感度个人数据（如用户生物识别信息、详细健康记录）来训练AI模型，用于图像识别、疾病预测、个性化医疗推荐等。

***应增加的条款：**

***条款一：特殊目的和处理方式限制**

***内容：**明确约定数据处理仅限于特定AI模型的训练和验证，禁止将训练好的模型应用于合同约定之外的场景。要求甲方对训练数据进行严格的匿名化或去标识化处理（如联邦学习模式，若适用），确保模型本身无法反推个人身份，除非经过额外的、严格授权的脱敏验证流程。

***说明：**敏感数据风险极高，需明确用途限制，防止数据被滥用。

***条款二：模型输出结果审查机制**

***内容：**约定乙方有权对甲方基于该数据训练出的AI模型的输出结果（在特定测试集或场景下）进行定期或不定期的审查，评估其是否可能间接泄露个人身份信息或产生歧视性结果。甲方需配合提供必要的模型解释或数据使用证明。

***说明：**确保AI模型的“黑箱”操作不会带来隐性的数据风险。

***条款三：强化数据安全隔离与访问控制**

***内容：**在原有基础上，增加对敏感数据访问权限的更严格分级。要求甲方实施物理和逻辑上的严格隔离措施，确保训练数据和模型训练环境与甲方其他业务系统、其他客户的数据完全隔离。记录所有访问敏感数据的操作日志，并提供给乙方查阅。

***说明：**敏感数据需要更高级别的物理和逻辑安全保障。

***条款四：模型更新与再训练的数据控制权**

***内容：**明确约定模型迭代更新所需数据的提供义务和方式。若需使用更多或更原始的数据进行再训练，乙方应享有优先提供或拒绝提供的权利，并需再次获得乙方的明确书面同意。

***说明：**保障乙方对其核心敏感数据在模型演进过程中的控制权。

2.**特殊场合：数据跨境传输至无adequacy评级的国家/地区**

***场景描述：**甲方需将乙方提供的数据（可能包含个人数据）传输至数据保护标准与中国存在显著差异且未被中国官方认定为具有充分保护水平（即"adequacy"评级）的国家或地区（例如，某些东南亚国家、非洲国家）。

***应增加的条款：**

***条款一：采用标准合同条款（SCCs）的具体要求**

***内容：**明确约定采用欧盟GDPR提供的标准合同条款（SCCs）作为数据跨境传输的法律基础。详细列明所选用的SCCs具体条款名称。约定甲方在签订SCCs前需获得乙方的书面同意，并在协议附件中包含SCCs文本。约定甲方需负责监督SCCs的适用性，并承担因SCCs未能生效或被认定无效而产生的责任。

***说明：**SCCs是无adequacy国家最常见的传输机制，需明确选用并落实。

***条款二：实施额外保障措施的义务**

***内容：**约定除SCCs外，甲方还需根据具体情况，实施额外的技术和管理措施（如数据加密、端到端加密、数据本地化存储（若可行）、对接收方的尽职调查和认证要求等），以弥补目标国家数据保护水平的不足。双方需就具体措施进行协商并写入协议。

***说明：**SCCs有时不足以覆盖所有风险，需要补充措施。

***条款三：接收方所在国法律强制披露的风险及责任分担**

***内容：**明确约定，如果接收方所在国法院强制要求披露乙方提供的数据，甲方有义务在法律允许的范围内，立即通知乙方，并尽最大努力协助乙方采取措施减少损失。同时，根据情况约定双方在损失发生时的责任分担比例。

***说明：**无adequacy地区的法律风险通常更高，需明确风险分担机制。

3.**特殊场合：数据聚合分析服务（涉及多方数据混合）**

***场景描述：**甲方提供数据聚合分析服务，将来自不同乙方（或同一乙方但不同业务线）的数据进行混合、匿名化处理后，进行分析，输出行业趋势、市场洞察等聚合报告，但报告内容不指向任何单一实体。

***应增加的条款：**

***条款一：数据混合前的匿名化标准**

***内容：**详细约定不同来源数据在混合前必须达到的匿名化或去标识化标准（例如，采用K-anonymity,L-diversity等模型，或达到特定的删除度/添加噪声水平），并提供技术验证方法或第三方审计报告作为证明。

***说明：**确保混合后的数据无法将信息追溯到原始个人或实体。

***条款二：数据混合过程的透明度与可追溯性（有限）**

***内容：**约定甲方需记录数据混合操作的基本过程（如混合时间、参与的数据源类型、采用的主要匿名化技术参数），以备审计。同时明确，为保护聚合数据的商业秘密和避免泄露混合过程中的敏感信息，甲方无需提供能反向推导出具体数据源贡献比例或原始数据细节的日志。

***说明：**在保证聚合数据价值的同时，保护各方的隐私和商业秘密。

***条款三：聚合报告的用途限制与分发控制**

***内容：**明确约定聚合分析报告仅能用于约定的分析目的，禁止甲方或其员工将报告中包含的任何可能识别或推断特定来源或个体信息的片段用于其他任何目的。如需向第三方分发报告，必须事先获得乙方的书面同意，并要求接收方签署保密协议。

***说明：**防止聚合分析的“副产品”泄露原始数据信息。

4.**特殊场合：涉及实时数据流处理与传输**

***场景描述：**乙方（如物联网平台、金融交易系统）产生的实时数据流（如传感器数据、交易指令）需要实时或近实时地传输给甲方进行处理和分析（如实时风险监控、舆情分析）。

***应增加的条款：**

***条款一：服务等级协议（SLA）的实时性指标**

***内容：**在SLA中增加具体的实时性指标，如数据传输延迟上限（端到端）、数据处理延迟上限、系统可用性承诺（如99.99%）、故障恢复时间目标（RTO）等。明确未达到SLA指标的违约责任。

***说明：**实时数据处理对时效性要求极高，需量化指标。

***条款二：数据传输加密与完整性校验**

***内容：**强制要求实时数据传输必须使用高强度的加密协议（如TLS1.3）。增加数据完整性校验机制（如校验和、数字签名），确保数据在传输过程中未被篡改。

***说明：**实时数据流价值高，易受攻击，需强化传输安全。

***条款三：数据存储与处理时效性**

***内容：**约定实时数据流的处理结果或摘要信息的存储期限，以及处理失败或异常时的重试机制和通知机制。

***说明：**确保实时处理的效果，并管理好数据生命周期。

5.**特殊场合：数据共享用于联合合规审查或监管要求**

***场景描述：**甲方（如监管科技服务商）受乙方（如金融机构）委托，使用其客户数据与其他机构的数据进行共享，目的是为了满足监管机构的联合合规审查要求（如反洗钱联合调查、反欺诈联合行动）。

***应增加的条款：**

***条款一：共享数据的范围和目的严格限制**

***内容：**明确约定仅限于监管机构明确要求的、与特定合规审查项目直接相关的最小范围数据。甲方不得将数据用于任何其他目的，即使在监管审查结束后，也需按约定销毁或脱敏处理。

***说明：**确保数据共享严格服务于监管目的，防止数据滥用。

***条款二：监管指令的直接执行义务与乙方协助**

***内容：**约定在收到具有法律效力的监管机构关于数据共享的指令后，甲方有义务直接、及时地执行（在合法合规的前提下），并需将指令副本和执行情况及时告知乙方。同时，约定乙方需配合提供必要的身份验证、数据筛选等支持。

***说明：**明确在监管要求下的责任分工和协作流程。

***条款三：数据使用的监管豁免与责任界定**

***内容：**约定在执行监管指令时，甲方因执行监管要求而使用数据所产生的法律风险，在合规范围内由相关监管机构承担，甲方和乙方不承担责任（除非存在故意或重大过失）。明确双方在超出监管指令范围的数据使用上的责任。

***说明：**清晰界定在特殊监管场景下的法律责任。

**二、第三方介入时的款项（责权利）及具体内容**

当合同执行过程中有第三方（如数据提供方、数据处理工具供应商、数据接收方等）介入时，应在合同中增加相关条款，明确第三方的责权利：

1.**第三方（例如，工具供应商/技术平台）:**

***权利(Rights):**

*按照合同约定，获得必要的数据接口或访问权限以履行其提供的技术服务。

*对其提供的软件、硬件或技术服务享有知识产权（除非另有许可）。

*要求乙方提供必要的技术配置和支持。

***责任(Responsibilities):**

*确保其提供的技术平台或工具符合约定的性能标准（如安全性、稳定性、处理能力）。

*对其提供的技术平台或工具实施必要的安全保护措施，防止数据泄露、滥用或损坏。

*不得未经授权访问、使用或泄露乙方提供的数据。

*遵守与数据相关的法律法规，并配合甲乙双方进行合规审计。

*对因技术故障、安全漏洞等原因导致的数据问题承担相应的责任（具体责任范围需在合同中明确，如限于直接的技术故障责任，而非因使用数据产生的业务责任）。

*不得将乙方数据用于其自身商业目的或转售给第三方。

2.**第三方（例如，最终的数据使用者/分析对象方）:**

***权利(Rights):**

*按照合同约定，接收甲方处理后的数据成果（如分析报告、处理后的数据集）。

*要求甲方保证其提供的数据成果的质量和准确性（在约定范围内）。

*对其接收的数据成果的用途承担最终责任。

***责任(Responsibilities):**

*按照与甲方约定的目的和范围使用甲方提供的数据成果。

*对其使用数据成果的方式、安全性和合规性负责，并承担相应责任。

*采取必要的安全措施保护甲方提供的数据成果。

*不得将甲方提供的数据成果转售、泄露或用于合同约定的目的之外。

*如需将数据成果用于进一步处理或分析，需另行约定或获得甲方同意。

**三、甲方为主导时，需要额外增加的甲方主动性（责权利）合同条款及具体内容**

当甲方在数据合作中处于主导地位时（例如，主导数据整合、分析流程、技术架构），应增加以下条款强化其主动责任：

1.**主动合规审查义务:**

***内容:**约定甲方在开始处理乙方数据前，必须主动对乙方提供的数据处理目的、法律依据、数据类型、敏感级别等进行全面审查，并出具书面合规评估意见给乙方确认。若发现不合规情形，应立即停止处理并通知乙方。

***说明:**强化甲方在合规上的主动把关责任。

2.**主动数据安全风险评估与披露:**

***内容:**约定甲方应定期（如每年或在数据处理环境发生重大变更时）对其数据处理活动进行独立的安全风险评估，识别潜在风险点，并采取或建议采取缓解措施。评估报告应提供给乙方查阅。如发生重大安全风险，甲方有主动通知乙方的义务。

***说明:**提高数据安全保障的透明度和主动性。

3.**主动技术更新与迭代责任:**

***内容:**约定甲方有责任持续投入资源，对提供的数据处理平台、技术工具和安全防护措施进行更新和升级，以应对新的安全威胁、技术发展和合规要求。应至少每[年数]年进行一次重大技术升级。

***说明:**确保数据处理能力和技术安全水平保持领先。

4.**主动数据质量监控与报告:**

***内容:**约定甲方应建立数据质量监控机制，主动监控乙方提供数据的准确性、完整性和时效性，并定期向乙方提供数据质量报告。如发现数据质量问题可能影响合作目标的实现，应立即通知乙方。

***说明:**保障数据分析结果的有效性。

5.**主动配合数据主体权利请求:**

***内容:**约定在乙方收到数据主体关于其个人数据权利（访问、更正、删除等）的请求后，甲方应主动配合乙方进行核实，并按照约定的流程和时限，执行数据处理操作（如提供数据副本、执行删除）。

***说明:**明确甲方在处理数据主体权利请求中的配合义务。

**四、乙方为主导时，需要额外增加的乙方主动性（责权利）合同条款及具体内容**

当乙方在数据合作中处于主导地位时（例如，提供核心数据、定义主要分析目标），应增加以下条款强化其主动责任：

1.**主动提供数据合规证明:**

***内容:**约定乙方应主动向甲方提供其收集、使用个人数据的合法依据（如用户协议、隐私政策、单独的同意书等）以及相关的法律法规依据。如涉及敏感数据，需提供额外的用户同意证明。

***说明:**落实数据控制者的主体责任，确保数据来源合法。

2.**主动进行数据预处理与脱敏:**

***内容:**约定乙方在将数据提供给甲方前，应根据协议要求和技术能力，主动进行必要的数据清洗、格式转换、去标识化或匿名化处理，并保证处理后的数据符合约定标准。提供数据处理前后的对比说明或证明。

***说明:**分担甲方在数据预处理上的负担，提高效率，降低风险。

3.**主动通知数据相关重大变化:**

***内容:**约定乙方应主动将涉及数据处理活动的重要变化（如数据处理目的的重大变更、数据共享范围的扩大、数据主体数量发生重大变化、数据泄露事件等）及时通知甲方，并提供相关证明材料。

***说明:**确保甲方能及时了解情况并采取相应措施。

4.**主动配合跨境传输合规审查:**

***内容:**如涉及跨境传输，约定乙方有责任主动配合甲方完成跨境传输的合规准备工作，包括提供必要的国家法律要求文件、尽职调查材料、标准合同文本等，并承担因乙方原因导致的合规障碍及相应责任。

***说明:**明确在跨境场景下乙方的主动配合义务。

5.**主动承担数据主体权利请求响应的主要责任:**

***内容:**约定对于数据主体提出的、与其直接相关的个人数据权利请求，乙方是第一响应责任方，负责核实用户身份、解释权利内容、收集用户反馈等，并在约定时限内将处理结果告知甲方（或直接告知用户，根据实际情况）。

***说明:**落实数据控制者对数据主体权利的直接响应责任。

**五、再特殊应用场景下需要额外增加的特殊条款及注意事项**

在上述特殊应用场合（如AI训练、跨境传输、实时处理、联合合规等）中，除了前面提到的具体条款外，还需要注意以下通用事项：

***加强沟通与协作:**特殊场景往往涉及更复杂的技术和法规问题，双方应建立更紧密、高效的沟通机制，定期召开会议，及时解决问题。

***引入第三方专业机构:**对于复杂场景，可以考虑引入独立的第三方法律顾问、数据安全专家或审计机构进行评估、监督或调解。

***场景化的应急预案:**针对特定场景（如大规模数据泄露、跨境传输被禁、AI模型失控风险等）制定详细的应急预案，明确双方在紧急情况下的职责和响应流程。

***持续关注法规变化:**特殊场景往往与前沿技术和新兴法规紧密相关，双方需持续关注相关法律法规的最新动态，及时调整合作模式和协议内容。

***明确知识产权归属:**对于涉及模型开发、算法创新、数据分析结果等特殊场景，需特别明确相关知识产权的归属和使用权限。

**六、原始合同所需要的所有的详细的附件列表**

*数据清单(DataInventoryList)

*数据处理目的说明(DescriptionofDataProcessingPurposes)

*个人信息主体同意证明(ProofofConsentfromDataSubjects)

*数据安全评估报告(DataSecurityAssessmentReport)

*数据安全管理制度文件(DataSecurityManagementSystemDocuments)

*数据合规证明文件(DataComplianceEvidence)

*数据跨境传输备案/许可文件(Cross-borderDataTransferFiling/LicenseDocuments)

*人员授权文件(PersonnelAuthorizationDocuments)

*服务水平协议(ServiceLevelAgreement-SLA)(可选)

*补充协议(SupplementaryAgreements)

*(针对特殊场景可能需要的附件)：

*特定场景下的匿名化标准证明/报告

*特定场景下的模型评估报告

*特定场景下的监管机构指令副本

*第三方（如工具供应商）的服务协议或认证文件

**七、原始合同所涉及到的法律名词及名词解释**

***个人数据(PersonalData):**与已识别或可识别的自然人有关的信息。

***敏感数据(SensitiveData):**可能对个人隐私、人身或财产安全造成严重危害的个人数据。

***数据处理(DataProcessing):**对个人数据的收集、存储、使用、加工、传输、提供、公开、删除等操作。

***数据安全(DataSecurity):**确保数据不被未经授权访问、使用、泄露、篡改或破坏的措施。

***合法、正当、必要原则(PrincipleofLawfulness,Fairness,andNecessity):**数据处理需有法律依据、过程公平、且为达成目的所必需。

***数据跨境传输(Cross-borderDataTransfer):**数据从一国境内传输至境外。

***adequacy评级(adequacyRating):**欧盟GDPR中的一个概念，指欧盟委员会认定的第三方国家具有与欧盟相当的数据保护水平。

***标准合同条款（SCCs）(StandardContractualClauses):**欧盟GDPR提供的一种数据跨境传输机制。

***数据主体(DataSubject):**其个人数据被处理的自然人。

***数据处理者(DataProcessor):**受数据处理者指示处理个人数据的自然人或法人。

***数据处理指令(DataProcessingInstructions):**数据控制者要求数据处理者执行的操作指示。

***数据泄露(DataBreach):**