2026年云计算数据安全合作协议

2026年云计算数据安全合作协议鉴于双方（以下称“客户”和“云服务提供商”）基于对等的意愿，依据《中华人民共和国民法典》及相关法律法规，本着平等、自愿、公平和诚实信用的原则，就客户委托云服务提供商提供云计算服务并确保数据安全事宜，经友好协商，达成如下协议：第一条定义除非本协议上下文另有解释，下列术语具有以下含义：1.1“云服务提供商”指提供本协议项下云计算服务的[云服务提供商公司全称]，其地址位于[云服务提供商注册地址]。1.2“客户”指委托云服务提供商提供本协议项下云计算服务的[客户公司全称]，其地址位于[客户注册地址]。1.3“云计算服务”指云服务提供商依据本协议约定向客户提供的[具体说明服务类型，例如：基础设施即服务（IaaS）、平台即服务（PaaS）、软件即服务（SaaS）等]服务。1.4“云平台”指云服务提供商为提供云计算服务而构建和运营的软硬件环境。1.5“数据”指客户委托云服务提供商存储、处理或传输的任何形式的信息，无论其形式如何（包括但不限于电子、纸质或其他形式），无论其是否被认定为“个人数据”或“敏感数据”，除非本协议有明确区分和处理的规定。1.6“个人数据”指根据适用法律（包括但不限于《中华人民共和国个人信息保护法》）定义的个人数据。1.7“安全措施”指云服务提供商为保护客户数据而采取的物理、技术和管理方面的措施。1.8“安全事件”指任何可能导致或实际导致客户数据泄露、丢失、篡改或未经授权访问的事件。1.9“适用法律法规”指在数据创建、处理或传输过程中适用的所有国家、地区或国际层面的法律、法规、规章和标准，包括但不限于《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、网络安全等级保护制度要求以及客户数据所涉及的个人数据保护要求。第二条服务范围与云环境2.1云服务提供商同意根据本协议约定，向客户提供位于[具体说明数据中心地理位置，如涉及多地域，需列出]的云计算服务。2.2所提供的云计算服务具体包括但不限于[列举核心服务组件或功能，例如：虚拟机实例、存储卷、数据库服务、网络连接、管理控制台访问等]。2.3客户同意将其[描述或列举主要类型的数据，例如：业务运营数据、客户信息数据、产品研发数据等]存储、处理或传输至云服务提供商的云平台。第三条数据所有权与控制权3.1客户确认并保证其拥有或有权处分其提供或授权在云平台上处理的数据，客户对数据及其内容拥有完全的所有权。3.2客户保留对其数据的所有权利，包括但不限于访问、使用、修改、删除、授权和转让的权利。3.3客户负责管理其对云服务提供商服务的访问权限，确保仅授权人员能够访问其数据。3.4为履行本协议约定或法律法规要求，云服务提供商在事先获得客户书面同意（除非适用的法律法规要求云服务提供商必须披露或采取行动）或为维护云平台的基础设施安全所必需的情况下，可以访问客户数据。云服务提供商应记录所有此类访问，并在客户要求时提供相关信息（可能需支付合理费用）。第四条安全责任4.1云服务提供商责任：4.1.1云服务提供商对云平台的硬件、软件、网络和设施的安全承担首要责任，包括但不限于物理安全、环境安全、主机操作系统安全、网络边界安全、应用安全等。4.1.2云服务提供商应采取不低于行业内良好实践水平的、且符合适用法律法规要求的、合理的安全措施，以保护客户数据免受未经授权的访问、使用、披露、修改或破坏。4.1.3云服务提供商负责管理云平台的身份认证和访问控制机制，包括实施强密码策略、多因素认证等。4.1.4云服务提供商应负责对云平台进行定期的漏洞扫描、安全评估和必要时的补丁管理。4.1.5云服务提供商应实施监控机制，以检测安全事件并启动应急响应程序。4.1.6云服务提供商应确保其云平台的设计和运营符合适用的网络安全等级保护要求，并持有有效的相关安全认证（如适用）。4.1.7对于客户数据的传输和静态存储，云服务提供商应采用行业标准的加密措施[可在此处或另行约定具体的加密标准，如传输中使用TLS，静态存储使用AES等]，并保障加密密钥的安全管理。4.1.8云服务提供商应遵守所有适用的数据保护和隐私法律法规，包括在收到政府机构合法请求时，按照法定程序配合提供客户数据。4.1.9云服务提供商应向客户提供其采用的安全措施、安全事件报告和合规性证明的副本或访问权限。4.2客户责任：4.2.1客户负责对其数据的分类和敏感程度进行评估，并根据评估结果对数据进行适当的标记，以便云服务提供商采取相应的安全保护措施。4.2.2客户负责确保其员工了解并遵守相关的数据安全政策和操作规程。4.2.3如客户在其云环境中部署应用程序或进行配置，客户对其应用程序和配置的安全负责。4.2.4客户应在其数据传输到云平台前，根据约定或法律法规要求对数据进行加密处理。4.2.5客户应自行负责其数据的备份和恢复策略，并验证备份的有效性。4.2.6客户应对其提供的访问凭证（如用户名、密码、密钥等）的安全负责，并采取适当措施防止未经授权的访问。4.2.7客户应配合云服务提供商进行安全审计和事件调查。第五条数据安全措施5.1云服务提供商应实施包括但不限于以下具体安全措施：5.1.1物理安全：确保数据中心具备严格的物理访问控制、环境监控和安防系统。5.1.2网络安全：部署防火墙、入侵检测/防御系统（IDS/IPS）、DDoS防护等网络边界防护措施。5.1.3主机安全：对服务器操作系统进行安全加固，定期进行漏洞扫描和补丁更新。5.1.4应用安全：采取措施防范应用程序层面的攻击，如SQL注入、跨站脚本（XSS）等。5.1.5数据加密：保障数据在传输和存储过程中的机密性，采用行业认可的加密算法。5.1.6访问控制：实施基于角色的访问控制（RBAC）和最小权限原则。5.1.7安全监控与日志：部署SIEM等安全信息与事件管理平台，记录关键操作和安全事件日志。5.1.8备份与恢复：建立数据备份机制，并定期进行恢复演练。5.1.9人员安全：对接触客户数据的员工进行安全背景审查和保密培训。5.2客户应实施包括但不限于以下安全措施：5.2.1访问管理：建立严格的账户管理和权限审批流程。5.2.2数据分类：根据数据敏感性对数据进行分类分级管理。5.2.3安全配置：安全配置其部署在云平台上的应用和系统。第六条合规性与认证6.1双方确认并同意，本协议的履行应遵守所有适用的适用法律法规。6.2云服务提供商应确保其云计算服务的设计、实施、运营和人员管理符合适用的网络安全等级保护标准要求，并持有有效的[具体说明相关认证名称，如：等级保护三级备案证明]等相关认证，并将根据客户要求提供认证文件的复印件。6.3如客户的数据涉及个人数据或跨境传输，双方均应遵守相关的个人数据保护法规和跨境数据传输的特殊要求。第七条数据传输与处理7.1双方同意，客户数据的传输应通过加密通道（如TLS）进行。对于跨境数据传输，云服务提供商应采取符合适用法律法规要求的机制，例如通过签订具有法律约束力的公司规则（BCRs）或确保传输至具有充分性认定的国家/地区，并应事先获得客户的书面同意。7.2云服务提供商仅应以客户指示或为履行本协议约定所必需的目的，处理客户数据，不得将其用于任何其他目的。第八条审计与监督权8.1在本协议有效期内，客户或其书面指定的第三方审计机构，有权在提前[例如：十五（15）]个工作日书面通知云服务提供商，并支付合理审计费用的情况下，对云服务提供商在提供本协议项下服务过程中涉及客户数据安全的相关措施、流程和记录进行审计。云服务提供商应提供必要的配合与协助，不得无理拒绝或拖延。8.2云服务提供商亦有权对客户如何使用其提供的云计算服务（特别是涉及安全配置、访问控制和数据分类等方面）进行合理频率的审计，以验证客户履行了本协议项下的相关责任。如发现客户存在重大安全隐患，云服务提供商应立即通知客户并要求其整改。第九条数据泄露通知9.1发生或可能发生安全事件，特别是可能导致客户数据泄露、丢失、篡改或未经授权访问时，云服务提供商应立即启动应急响应计划，采取必要的措施限制损害范围。9.2云服务提供商应在发现安全事件后[例如：五（5）]个工作小时内，通知客户，并就事件的性质、影响、已采取和拟采取的措施等与客户进行沟通。9.3如根据法律法规要求或为确定事件影响范围所必需，云服务提供商应在法律法规规定的时限内，向有关监管机构报告。9.4如安全事件可能导致客户数据泄露，且可能影响个人权益，云服务提供商应在评估后，根据适用的法律法规要求，及时通知受影响的个人。第十条服务级别协议（SLA）10.1云服务提供商承诺其提供的云计算服务的平均无故障运行时间（Availability）应达到[例如：99.9%]。10.2云服务提供商承诺关键服务组件的响应时间应在[例如：99%]的时间内不超过[具体毫秒数或时间范围]。10.3对于客户报告的安全事件，云服务提供商的初始响应时间应在收到报告后[例如：15]分钟内开始分析。10.4违反上述SLA指标的，云服务提供商应[例如：按照月度服务费的一定比例向客户支付服务费用作为补偿，具体比例和计算方式见附件（此处根据实际情况说明，若无附件则删除此句）]。第十一条保密条款11.1双方应对在本协议履行过程中获悉的对方的任何商业秘密、技术信息、经营数据及其他未公开信息（以下简称“保密信息”）承担保密义务。11.2除非事先获得对方书面同意，任何一方不得向任何第三方披露保密信息，但下列情况除外：(a)该信息已为公开信息或非因该方过错而成为公开信息；(b)该信息已在该方接收前即为该方所有；(c)该信息是或将是接收方从对该信息不负有保密义务的第三方合法获得的；(d)接收方为履行本协议之目的需要披露该信息，且已事先通知披露方，并要求该第三方对该信息承担同等保密义务。11.3本保密义务不因本协议的终止而失效，持续有效期限为本协议终止后[例如：三（3）]年。第十二条知识产权12.1云服务提供商提供的云计算服务及其相关软件、平台、工具等（以下简称“服务”）的知识产权归云服务提供商所有。12.2客户在使用服务过程中，可能创建或修改数据及配置。客户对其创建或修改的数据及配置的知识产权归客户所有。但客户在使用服务时，不得侵犯云服务提供商或任何第三方的知识产权。第十三条责任限制13.1尽管有本协议其他条款的规定，但对于任何个人数据泄露、数据丢失、数据损坏、服务中断或任何其他损失，除非是由于云服务提供商的故意或重大过失、违反本协议关键安全条款（明示或暗示地指向安全目的的条款）直接导致的，云服务提供商在任何情形下的总赔偿责任不超过客户在本协议下过去[例如：十二（12）]个月内向云服务提供商支付的服务费用总额。13.2上述责任限制不适用于因云服务提供商违反适用法律法规而导致的罚款、制裁或第三方索赔。13.3本协议不限制客户对因其自身违约行为而遭受的损失的索赔权利。13.4除非法律另有强制性规定，任何一方均不对任何间接、后果性、惩罚性或衍生性损害承担责任。第十四条终止14.1客户终止：客户有权在提前[例如：三十（30）]天书面通知云服务提供商的情况下终止本协议。在终止日期前，客户应结清所有应付费用。14.2云服务提供商终止：云服务提供商在以下情形下有权立即书面通知客户终止本协议：(a)客户未能履行其在本协议下的任何义务，尤其是在安全责任方面的义务，经云服务提供商书面催告后[例如：十五（15）]日内仍未纠正；(b)客户进入破产、清算或解散程序；(c)客户存在恶意或重大的欺诈行为。14.3数据处理：无论因何种原因终止本协议，云服务提供商在收到客户书面通知和确认收到客户支付的所有款项后[或根据双方另行约定]，应根据客户的要求：(a)将客户数据返还给客户，或；(b)在客户提供书面授权和支付合理费用的前提下，按照客户指示或适用的法律法规要求删除客户数据。云服务提供商应在此之前提供客户数据的可读备份副本供客户选择。在客户未履行支付义务或未明确指示处理方式前，云服务提供商有权按其标准政策暂存客户数据，并持续收取存储费用。14.4终止后的义务：本协议终止后，关于保密、知识产权、适用法律法规遵守、审计权利、责任限制、数据所有权以及因费用未付而保留的服务（如有）等条款持续有效。第十五条适用法律与争议解决15.1本协议的订立、效力、解释、履行及争议解决均适用中华人民共和国法律。15.2因本协议引起的或与本协议有关的任何争议，双方应首先通过友好协商解决