2026年数据安全保密合同协议范本

2026年数据安全保密合同协议范本甲方（数据控制者）：法定代表人：注册地址：联系方式：乙方（数据处理者）：法定代表人：注册地址：联系方式：鉴于甲方需要委托乙方处理其拥有的或其控制的数据（以下简称“数据”），甲乙双方根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》及相关法律法规，本着平等自愿、诚实信用的原则，经友好协商，达成如下协议：第一条定义与解释1.1除非本协议另有定义，下列术语具有以下含义：a)“数据”是指任何单独或与其他信息结合能够识别特定自然人的各种信息，以及不满十四周岁未成年人的个人信息和已匿名化处理的信息。b)“个人数据”是指已识别或者可识别的自然人的各种信息。c)“敏感个人数据”是指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人数据，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。d)“数据处理”是指对数据进行收集、存储、使用、加工、传输、提供、公开、删除等操作。e)“数据控制者”是指确定数据处理目的、方式和条件的组织或者个人。f)“数据处理者”是指接受数据控制者的委托，处理个人数据的组织或者个人。g)“保密信息”是指一方（披露方）向另一方（接收方）披露的、与本协议相关的、非公开的、具有商业价值或保密性质的信息，包括但不限于技术信息、经营信息、客户信息、财务信息、个人数据以及本协议的内容本身。敏感个人数据视为特别重要的保密信息。h)“安全措施”是指为保障数据安全所采取的技术措施和管理措施，包括但不限于加密、访问控制、安全审计、数据备份、应急响应等。i)“关联方”是指本协议签署方的母公司、子公司、合资公司及其他任何控制、被控制或与其有共同控制人的公司。1.2本协议所称“境内”是指中华人民共和国境内。第二条数据处理目的与方式2.1乙方同意依据本协议约定以及甲方提供的具体指令，为处理与甲方业务相关的数据而提供服务。2.2数据处理的目的限于：a)履行甲乙双方在本协议项下的约定。b)为甲方提供约定的产品或服务。c)法律法规规定的其他目的。2.3乙方应仅按照甲方的明确指令以及为履行本协议所必需的最小范围处理数据，不得超出约定目的处理数据。2.4甲方有权对乙方的数据处理活动进行监督和审计，乙方应予以配合，并提供必要的便利。第三条数据安全保密义务3.1乙方应承担数据安全责任，采取充分、适当、有效的技术措施和管理措施（以下简称“安全措施”），保障数据处理活动符合国家有关规定，确保数据安全，防止数据泄露、篡改、丢失。3.2乙方应建立并维护以下安全措施：a)采取加密技术存储和传输数据。b)建立严格的访问控制机制，确保只有授权人员才能访问数据，并进行操作记录。c)定期进行安全风险评估和漏洞扫描，并及时采取补救措施。d)建立数据备份和恢复机制。e)制定并执行数据安全事件应急预案。f)对其员工进行数据安全保密教育和培训，并与其签订保密协议。g)确保其关联方遵守本协议项下的数据安全义务。h)根据法律法规和本协议要求，记录并保存数据处理活动日志。3.3乙方同意，在数据处理过程中，严格遵守保密义务：a)未经甲方事先书面同意，不得向任何第三方（包括关联方，但为履行法律法规要求或获得必要履行服务所依赖的服务提供商除外）披露任何保密信息，且不得用于本协议约定之外的目的。b)要求其关联方对其承担与乙方同等的保密义务。c)对因处理甲方的数据而知悉的甲方商业秘密和其他保密信息承担同等保密义务，并在本协议终止后及indefinitely（无限期）内持续保持该等保密义务。3.4甲方应采取必要措施，确保其提供给乙方的数据的合法性、合规性，并自行承担因数据问题引发的法律责任。3.5甲方应配合乙方履行数据安全保护义务，并根据需要提供必要的技术支持和协调。第四条数据主体权利履行4.1乙方在处理甲方数据的过程中，应协助甲方履行法律规定的个人信息主体权利请求，包括但不限于访问、更正、删除其个人信息的请求。4.2甲方应建立相应的流程处理个人信息主体的权利请求，并将请求转达给乙方，乙方应根据甲方的指示和法律规定进行处理，并将处理结果告知甲方。第五条数据跨境传输5.1如因履行本协议需要将数据传输至中华人民共和国境外，乙方应确保：a)遵守《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等相关法律法规关于数据跨境传输的规定。b)已按照规定进行安全评估、获得认证或者与境外接收方订立标准合同条款等。5.2甲方应在数据跨境传输前，对乙方的合规性进行评估，并要求乙方提供必要的证明文件。乙方应配合甲方的评估和监管要求。第六条数据泄露通知6.1乙方一旦发现或怀疑发生数据泄露、丢失、篡改或非授权访问等安全事件，应立即采取补救措施，防止损失扩大，并在事件发生后[例如：48]小时内通知甲方。6.2乙方通知甲方时应包含事件的基本情况、影响范围、已采取或拟采取的补救措施等信息。6.3如根据法律法规或监管机构要求需要通知个人信息主体或监管部门，乙方应在甲方的协助下进行，或根据甲方指示执行，并及时告知甲方通知情况。第七条合同期限与终止7.1本协议有效期为[例如：壹]年，自[起始日期]起至[终止日期]止。7.2经双方协商一致，可以书面形式提前终止本协议。7.3发生下列情况之一，守约方有权书面通知违约方终止本协议：a)一方严重违反本协议约定，经守约方书面催告后[例如：三十]日内仍未纠正的。b)一方进入破产、清算或解散程序的。c)一方丧失履行本协议能力或资格的。7.4本协议终止或解除时，双方应按照以下约定处理数据：a)乙方应在收到甲方要求后的[例如：十五]日内，将甲方提供的数据及基于该数据产生的所有衍生数据返还给甲方，或根据甲方的指示以不可撤销的方式删除，并应甲方要求提供数据删除的证明。b)乙方不得以任何形式保留、复制、使用或向任何第三方披露甲方数据，除非法律要求或获得甲方另行书面同意。c)双方应根据需要，对数据处理活动进行审计，并出具审计报告。7.5本协议终止或解除后，关于保密义务、知识产权、违约责任、争议解决、法律适用等条款仍然有效，具有约束力。双方的保密义务在本协议终止或解除后仍然有效，直至保密信息失去商业价值为止。第八条违约责任8.1任何一方违反本协议约定，给对方造成损失的，应承担赔偿责任。8.2乙方违反本协议第三条第3.3款关于保密义务的约定，泄露、披露或不当使用甲方的保密信息，应向甲方支付[例如：人民币伍拾万元]元的违约金；给甲方造成损失超过违约金的，甲方有权要求乙方赔偿实际损失。8.3因乙方原因造成数据泄露、丢失、篡改，或未能采取充分安全措施导致数据安全事件发生的，乙方应承担相应的赔偿责任，并可能面临监管机构的处罚。甲方有权根据事件严重程度，要求乙方降低服务费用或解除本协议。8.4本协议约定的其他违约责任。第九条不可抗力9.1因不可抗力（指不能预见、不能避免并不能克服的客观情况，包括但不限于战争、自然灾害、政府行为、法律政策变化等）导致任何一方无法履行本协议全部或部分义务的，受影响方应在不可抗力发生后[例如：七]日内书面通知另一方，并提供相关证明。9.2双方应根据不可抗力的影响，协商决定是否延期履行、部分履行或解除本协议。因不可抗力导致的履行延迟或不能履行，受影响方不承担违约责任。第十条争议解决10.1因本协议引起的或与本协议有关的任何争议，双方应首先通过友好协商解决。10.2协商不成的，任何一方均有权将争议提交[选择一项：甲方所在地有管辖权的人民法院诉讼解决/乙方所在地有管辖权的人民法院诉讼解决/[指定仲裁委员会名称]按其届时有效的仲裁规则进行仲裁。仲裁裁决是终局的，对双方均有约束力。]第十一条法律适用11.1本协议的订立、效力、解释、履行及争议解决均适用中华人民共和国法律。第十二条通知12.1本协议项下的所有通知、请求、要求或其他通信均应以书面形式（包括但不限于专人递送、挂号信、电子邮件）发送至本协议首页载明的地址或邮箱。12.2通知在以下时间视为送达：a)专人递送，在交付时；b)挂号信，在寄出后[例如：三日]；c)电子邮件，在发送时（除非发送系统显示未能成功投递）。第十三条其他13.1本协议构成双方就本协议标的达成的完整协议，取代双方此前就此达成的