民宿与OTA平台2025年数据安全协议

民宿与OTA平台2025年数据安全协议甲方（民宿）：[民宿名称]，统一社会信用代码/营业执照号：[号码]，地址：[地址]，法定代表人/负责人：[姓名]。乙方（OTA平台）：[OTA平台名称]，统一社会信用代码/营业执照号：[号码]，地址：[地址]，法定代表人/负责人：[姓名]。鉴于甲方为提供住宿服务的民宿，乙方为提供在线旅游服务平台（以下简称“平台”）的在线旅游平台企业，双方在平等、自愿、公平和诚实信用的基础上，就合作过程中涉及的数据安全保护事宜，达成如下协议：第一条适用范围与基本原则1.1本协议适用于双方合作过程中处理的数据，包括但不限于用户个人信息（以下统称“个人信息”）和民宿经营数据、交易数据等业务数据（以下统称“业务数据”）。1.2双方处理个人信息和业务数据应遵循合法、正当、必要、诚信的原则，符合《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》、《中华人民共和国数据安全法》等相关法律法规的要求。1.3双方处理个人信息应遵循最小必要原则和目的限制原则，不得超出实现处理目的所需的最小范围，不得将个人信息用于与处理目的无关的活动。第二条数据处理目的与方式2.1甲方在提供住宿服务过程中，为完成预订、入住、结算等经营活动，以及提升服务质量、进行商业营销等目的，收集、存储、使用用户个人信息和业务数据。甲方处理个人信息的方式包括自动化处理和人工处理。2.2乙方在提供平台服务过程中，为向用户提供信息展示、交易撮合、支付结算、评价反馈、营销推广等服务，收集、存储、使用用户个人信息和业务数据。乙方处理个人信息的方式包括自动化处理和人工处理。2.3双方在合作场景下（包括但不限于订单处理、评价管理、营销推广、财务结算等），根据本协议约定及各自内部规定处理相关数据，明确各自在数据处理中的责任。第三条数据安全责任3.1甲方责任：3.1.1甲方应确保其收集、使用、存储用户个人信息和业务数据的行为符合法律法规及本协议约定。3.1.2甲方应采取必要的技术和管理措施保障用户个人信息和业务数据安全，包括但不限于：(一)对传输中的个人信息和业务数据进行加密处理；(二)对存储的用户个人信息和业务数据进行加密、设置访问权限、定期进行备份和恢复；(三)对其信息系统进行安全漏洞扫描和修复，配置防火墙、入侵检测系统等技术防护措施；(四)严格限制内部员工对用户个人信息和业务数据的访问权限，遵循“按需知悉”原则；(五)对接触用户个人信息和业务数据的员工进行数据安全保密教育和培训；(六)建立用户个人信息和业务数据安全事件应急预案，发生安全事件时及时通知乙方。3.1.3若甲方委托第三方处理用户个人信息和业务数据（如清洁服务、布草租赁等），甲方应事先进行安全评估，并与第三方订立书面数据处理协议，明确其责任和义务，确保第三方采取符合法律法规要求的安全措施，保障数据安全。3.1.4甲方应在其经营场所或平台显著位置公布其收集、使用用户个人信息和业务数据的规则、平台服务规则，以及甲方和乙方的联系方式。3.2乙方责任：3.2.1乙方应作为数据处理者或数据控制者，确保其平台及相关服务在甲方使用过程中处理的数据符合法律法规及本协议约定。3.2.2乙方应保障其提供的平台（包括网站、应用程序等）本身具有足够的安全防护能力，防止数据泄露、篡改、丢失。3.2.3乙方应确保与甲方系统对接的数据传输接口安全可靠，采用加密等方式防止数据在传输过程中被窃取或篡改。3.2.4乙方应制定并执行数据处理规范，确保甲方在乙方平台上的数据处理活动符合本协议要求。3.2.5乙方有权对甲方在乙方平台上的数据处理活动进行安全审计和监督，甲方应予以配合。3.2.6乙方应协助甲方响应用户对其个人信息的查询、更正、删除等请求。3.2.7在其平台发生可能影响甲方或用户的数据安全事件时，乙方应及时通知甲方。第四条数据传输与跨境传输4.1双方承诺，在中华人民共和国境内处理的本协议所涉数据原则上不得传输至境外。如确需将数据传输至境外，应同时满足以下条件：(一)已获得用户个人的明确同意；(二)与境外数据接收方订立标准合同，约定其责任和义务，确保其信息保护水平符合中国法律法规的要求；(三)甲方（如为数据控制者）已按照法律法规要求向相关部门履行报备或告知义务。任何一方计划进行跨境传输前，应至少提前三十日通知对方，并提供拟传输数据的类型、传输目的、传输方式、接收方信息、数据接收方的保护水平评估报告或标准合同等材料，经对方同意后方可实施。4.2若因法律法规要求或用户同意而发生跨境传输，双方应各自承担相应的法律责任，并相互协作提供所需文件或说明。第五条数据主体权利保障5.1双方应建立健全机制，确保用户能够依法行使个人信息访问权、更正权、删除权（被遗忘权）、限制处理权、撤回同意权（如适用）、可携带权（如适用）等权利。5.2甲方应在用户访问其经营场所或使用其提供的服务时，以显著方式告知用户其处理个人信息的规则，以及用户行使权利的途径。5.3甲方应在收到用户行使权利的请求后，按照法律法规规定和本协议约定及时响应。对于合法请求，甲方应在收到请求后及时处理，并告知乙方（如涉及通过乙方平台处理的数据），乙方应及时予以配合。5.4乙方应在用户通过其平台向甲方主张权利时，提供必要的渠道和协助，并告知甲方相关权利及处理流程。5.5双方均应建立内部流程，处理用户关于个人信息的投诉和举报，并在收到投诉或举报后及时进行核查和处理，告知用户处理结果。第六条数据安全事件处置6.1双方定义数据安全事件为：因意外、恶意或不可抗力导致个人信息和业务数据泄露、篡改、丢失、被非法访问或使用等事件。6.2发生数据安全事件时，涉及方应立即启动应急预案，采取补救措施，防止事件扩大，并按照本协议约定及法律法规要求进行通知。6.3甲方发现数据安全事件后，应在[例如：四]小时内通知乙方；乙方在其平台或系统发生可能影响甲方或用户的数据安全事件后，应及时通知甲方。6.4双方应在评估数据安全事件的影响后[例如：四十八]小时内，根据事件严重程度和法律法规要求，协商决定是否需要以及如何通知受影响的用户和履行告知义务。6.5双方应保存数据安全事件的相关记录，并按要求向监管部门报告。第七条数据保留期限7.1双方应根据法律法规要求、合同履行需要以及业务留存需要，合理确定个人信息和业务数据的保留期限。7.2对于订单数据、交易数据等业务数据，保留期限应满足完成交易、履行合同、维护权利义务所需的最短时间。7.3对于用户个人信息，除非获得用户明确同意或法律法规有其他明确规定，否则保留期限不应超过实现处理目的所需的最短时间。7.4合作关系终止或相关处理目的达成后，双方应根据约定或法律法规要求，对不再需要处理的个人信息和业务数据进行删除或匿名化处理，并确保处理过程的безопасности。第八条合作终止与数据处理8.1合作关系终止时，双方应对在本协议有效期内处理的数据进行妥善处理。8.2对于用户个人信息，双方应根据用户的意愿、本协议约定以及法律法规要求进行处理。如用户要求删除其个人信息，双方应协作完成删除工作；如用户同意继续使用其个人信息，双方应继续遵守数据安全保护义务。8.3对于业务数据，如涉及甲方的经营数据，在合作终止后，除非另有约定或法律法规要求，双方应按约定方式返还或转移给甲方，并确保数据的完整性和安全性。第九条违约责任与法律适用9.1任何一方违反本协议约定，特别是违反数据安全责任条款的，应承担相应的违约责任，包括但不限于：(一)赔偿因违约行为给对方或第三方造成的直接损失和可证明的间接损失；(二)停止违约行为，并采取补救措施恢复数据安全；(三)支付违约金人民币[具体金额或计算方式]。9.2本协议的订立、效力、解释、履行及争议解决均适用中华人民共和国法律。9.3因一方违反本协议给对方造成损失的，守约方有权要求违约方赔偿损失。第十条保密义务10.1双方应对在合作及履行本协议过程中获悉的对方的商业秘密、技术信息、用户个人信息和业务数据等未公开信息（以下简称“保密信息”）承担保密义务。10.2未经对方书面同意，任何一方不得向任何第三方泄露保密信息，但法律法规另有规定或监管机构要求的除外。接受保密信息的第三方亦应承担同等保密义务。10.3本保密义务不因本协议的终止而失效，持续有效[例如：五]年或根据保密信息的性质确定更长期限。第十一条协议的变更与解除11.1对本协议的任何修改或补充，均需双方以书面形式签署补充协议，补充协议与本协议具有同等法律效力。11.2发生以下情况之一，本协议可解除：(一)双方协商一致解除；(二)因不可抗力导致本协议无法履行；(三)一方严重违反本协议约定，经守约方书面催告后[例如：三十]日内仍未纠正的。第十二条其他12.1本协议自双方授权代表签字并加盖公章（或合同专用章）之日起生效。12.2本协议构成双方就数据安全保护事宜达成的完整协议，取代双方此前就此达成的任何口头或书面协议、谅解。12.3本协议未尽事宜，由双方另行协商解决。12.4本协议中的“day”、“month”、“