数据脱敏技术规范协议

数据脱敏技术规范协议1.甲方（买方/出租方/委托方）：

甲方名称：北京智链科技有限公司（以下简称“甲方”）。

甲方地址：中国北京市海淀区中关村南大街5号科创大厦A座15层1501室。

甲方法定代表人/负责人：张明。

甲方联系方式办公电话），zhangming@（电子邮箱）。

甲方是一家专注于大数据与技术研发的高新技术企业，致力于为金融机构、互联网企业及政府机构提供数据安全与合规解决方案。在业务发展过程中，甲方积累了大量敏感数据资源，并计划通过应用数据脱敏技术提升数据安全防护能力，以满足《网络安全法》《数据安全法》及相关行业监管要求。为保障数据在脱敏处理过程中的安全性及合规性，甲方经多方考察，决定委托乙方提供专业的数据脱敏技术与服务。

2.乙方（卖方/承租方/服务提供方）：

乙方名称：上海数安科技有限公司（以下简称“乙方”）。

乙方地址：中国上海市浦东新区张江高科技园区碧波路500号科创大厦B座8层8801室。

乙方法定代表人/负责人：李强。

乙方联系方式办公电话），liqiang@（电子邮箱）。

乙方是一家专业从事数据安全与隐私保护技术研发的企业，拥有自主研发的数据脱敏平台及多项专利技术，致力于为客户提供包括数据清洗、脱敏、加密、销毁等全流程数据安全服务。乙方团队具备丰富的金融、医疗、政务等领域数据脱敏项目经验，并已通过ISO27001信息安全管理体系认证及国家信息安全等级保护三级认证。基于乙方的技术实力与行业口碑，甲方选择乙方作为数据脱敏服务提供商，共同推进数据安全合规化建设。

协议简介：

随着数字经济的快速发展，数据已成为企业核心资产，但敏感数据泄露、滥用等风险随之增加。甲方在业务运营中涉及大量客户身份信息、交易记录等敏感数据，亟需通过技术手段降低数据安全风险，同时满足监管机构对数据脱敏的要求。乙方凭借在数据脱敏领域的专业技术与行业经验，能够为甲方提供定制化的数据脱敏解决方案，包括但不限于数据分类分级、脱敏规则设计、自动化脱敏工具部署及脱敏效果评估等服务。双方基于平等自愿、诚实信用的原则，经友好协商，达成本协议，明确双方在数据脱敏服务合作中的权利与义务，以促进数据安全合规目标的实现。本协议的履行将有助于甲方构建完善的数据安全管理体系，降低合规风险，并为后续数据资产化奠定基础。

第一条协议目的与范围

本协议的主要目的在于明确甲乙双方围绕数据脱敏技术服务的合作内容与标准，确保甲方持有的敏感数据通过乙方提供的技术和服务进行有效脱敏处理，以满足相关法律法规及行业监管要求，降低数据安全风险。协议范围包括但不限于：乙方根据甲方需求制定数据脱敏方案，包括数据分类分级、脱敏规则设计、脱敏工具部署与调优；甲方数据的传输、存储及处理过程中的脱敏实施；脱敏效果的评估与验证；提供脱敏技术培训与咨询服务；以及相关脱敏工具的交付与维护。具体工作内容将依据附件一《数据脱敏服务清单》详细约定，涉及甲方生产环境数据库、测试环境数据集及特定场景应用数据的脱敏处理。

第二条定义

1.数据脱敏：指采用数据屏蔽、数据扰乱、数据泛化、数据加密等技术手段，对原始数据中的敏感信息进行部分隐藏或改造，使其在满足业务使用需求的同时，降低敏感信息泄露风险的过程。

2.敏感数据：指根据《网络安全法》《数据安全法》及相关行业规范，需要采取保护措施的个人身份信息（如姓名、身份证号、银行卡号）、企业商业秘密（如财务数据、客户名单）、政府政务数据等具有较高泄露价值的非公开信息。

3.脱敏规则：指为达成特定脱敏目标而设计的算法逻辑与参数配置，包括脱敏方式（如掩码、随机数替换）、脱敏比例、脱敏范围等具体技术要求。

4.脱敏效果评估：指通过抽样验证、模拟攻击测试等方式，对脱敏后数据在保留业务可用性与消除敏感风险之间的平衡效果进行专业评估。

5.服务周期：指乙方按照本协议约定提供数据脱敏服务的起止时间，包括方案设计、实施、测试及验收等全部阶段。

第三条双方权利与义务

1.甲方的权力和义务：

（1）甲方有权要求乙方按照协议约定及附件一《数据脱敏服务清单》提供专业、合规的数据脱敏技术与服务，并监督服务进度与质量。甲方有权对乙方提交的脱敏方案、技术报告、脱敏效果评估报告等进行审核，并有权提出合理修改意见。若乙方未在约定期限内完成服务，甲方有权要求乙方加速执行或根据延迟程度主张相应赔偿。

（2）甲方应确保提供的数据脱敏需求说明真实、准确，并对所提供数据的合法性、合规性承担全部责任。甲方需指定至少一名数据管理员（联系方式：[甲方数据管理员姓名及电话]）作为乙方技术对接人，负责提供必要的技术接口、权限授权及业务场景说明。在脱敏实施前，甲方应完成数据抽样清单（需包含数据表名、字段名、敏感等级、脱敏前后的比对要求）的确认工作，并对脱敏过程中可能存在的业务中断风险提前制定应急预案。

（3）甲方应保障乙方服务团队在数据脱敏实施期间所需的网络连接、计算资源及环境权限，包括但不限于数据库读写权限、虚拟机访问权限等，乙方需提前提供技术需求清单供甲方配置。如因甲方原因导致环境配置不当或权限不足，引发的脱敏失败或数据损坏，责任由甲方承担。

（4）甲方需配合乙方完成脱敏后的数据回溯验证，包括提供脱敏前后的样本数据（需隐去所有原始敏感字段）用于算法比对，并确认脱敏效果符合附件二《脱敏质量验收标准》。如甲方因业务调整需变更脱敏规则，应提前15个工作日提交书面变更申请及新脱敏需求说明。

2.乙方的权力和义务：

（1）乙方的核心义务在于提供专业、高效的数据脱敏解决方案，包括但不限于：

-**方案设计权**：乙方有权基于甲方数据特征及合规要求，自主设计脱敏算法组合与参数配置，但需在方案提交前5个工作日以书面形式向甲方展示初步方案并解释技术原理，甲方提出重大异议的除外。

-**技术实施权**：乙方有权根据脱敏方案直接操作甲方授权的数据环境，包括但不限于数据采样、规则部署、脱敏执行、效果验证等全流程作业。乙方需全程记录操作日志（需甲方数据管理员签字确认），并确保所有操作符合《信息安全技术数据脱敏规范》（GB/T35273）标准。

-**知识产权独占实施权**：乙方基于本协议提供的脱敏技术、工具及方案在协议有效期内对甲方数据享有优先实施权，但不得将相关技术用于第三方项目，除非获得甲方书面许可。

（2）乙方应确保脱敏服务团队具备国家信息安全等级保护测评师资质（需提供持证扫描件备份），并在服务过程中采取以下保障措施：

-**数据安全责任**：乙方需承诺对接触到的甲方数据履行保密义务，签订《保密协议》，并采用加密传输（传输协议需为TLS1.2以上）、安全存储（物理环境需符合ISO27001标准）等技术手段保护数据。脱敏过程中产生的中间数据及日志需在服务结束后90日内永久销毁，甲方有权要求乙方提供销毁证明。

-**服务响应机制**：乙方需建立7×24小时技术支持机制，对脱敏系统异常、规则失效等问题响应时间不超过2小时，修复时间不超过8小时（特殊情况需提前与甲方协商）。乙方应配备至少2名高级脱敏工程师驻场支持，且需通过甲方的脱敏技术考核（考核内容见附件三《乙方技术能力评估清单》）。

-**脱敏效果保障**：乙方承诺所有脱敏后的数据在95%置信水平下满足附件二《脱敏质量验收标准》要求，如因技术原因导致脱敏效果不合格，乙方需重做直至达标，且服务费用按实际重做工作量50%折算。乙方需提供脱敏效果评估报告（需包含敏感信息识别率、业务可用性测试数据、脱敏前后数据分布对比等关键指标），甲方应在收到报告后10个工作日内完成验收。

（3）乙方需配合甲方完成监管机构的合规审查，包括提供脱敏方案设计文档、技术测试报告、脱敏系统架构等材料，并协助甲方准备现场核查所需的技术演示。若甲方需将脱敏数据用于第三方审计或评估，乙方需提供脱敏前后的数据脱敏证明（公证文书格式）。

（4）乙方在提供定制化脱敏工具时，需明确知识产权归属及使用限制条款，如甲方需在脱敏系统外扩展应用，需另行签订《技术增值服务协议》。乙方需在服务完成后30日内提供脱敏工具的源代码备份（需脱敏处理所有敏感标识后），并保证代码符合《中华人民共和国著作权法》关于商业软件代码保护的规定。

第四条价格与支付条件

1.本协议项下的数据脱敏服务费用总额为人民币壹佰万元整（¥1,000,000.00），具体费用构成及明细详见附件二《数据脱敏服务报价清单》，该清单已包含乙方提供的数据脱敏技术授权、服务实施、效果评估及脱敏工具部署等相关费用，不含税费。

2.甲方应按照以下节点向乙方支付服务费用：

（1）协议签订后7个工作日内，支付费用总额的30%（即¥300,000.00），作为乙方开展数据脱敏方案设计的预付款；

（2）乙方完成脱敏方案设计并通过甲方书面验收后10个工作日内，支付费用总额的40%（即¥400,000.00）；

（3）乙方完成全部数据脱敏服务并通过甲方最终书面验收后15个工作日内，支付费用总额的30%（即¥300,000.00）。

3.支付方式：甲方应通过银行转账方式将款项支付至乙方以下账户信息：

开户名称：上海数安科技有限公司

开户银行：中国工商银行上海张江支行

银行账号：622202010030000XXX

4.如甲方因业务需求增加额外脱敏任务（超出附件一范围），双方应另行协商确认新增工作量及费用，并在甲方确认需求后5个工作日内签订补充协议，费用支付方式参照本条约定执行。乙方提供定制脱敏工具的知识产权授权费用为人民币伍拾万元整（¥500,000.00），在服务总费用之外另行结算，于甲方验收工具功能后一次性支付。

5.甲方逾期支付的，每逾期一日，应按逾期支付金额的万分之五向乙方支付违约金，逾期超过30日，乙方有权暂停服务直至款项付清，且甲方需承担乙方因此产生的直接损失。

第五条履行期限

1.本协议有效期自双方签署之日起至乙方完成全部数据脱敏服务并通过甲方最终验收之日止，共计90日。如协议履行期间遇节假日，工作日顺延。

2.关键时间节点安排如下：

（1）数据脱敏方案设计阶段：协议生效后20个工作日内完成，乙方需提交《数据脱敏方案设计报告》，甲方应在收到后10个工作日内完成书面审核反馈；

（2）脱敏系统部署与测试阶段：方案验收通过后30个工作日内完成，乙方需提供系统操作手册及压力测试报告，甲方需配合完成至少3轮脱敏效果抽检；

（3）最终验收阶段：全部服务完成后10个工作日内完成，验收标准遵循附件二《脱敏质量验收标准》，验收合格后双方签署《验收确认书》；

（4）知识产权移交：验收合格后7个工作日内，乙方需向甲方移交脱敏工具源代码备份及系统部署文档，并完成技术培训2次（每次不超过4小时）。

3.如因甲方原因（如未及时提供数据权限、业务需求变更等）导致服务延期，乙方履行期限相应顺延，且乙方不承担延期责任。如遇不可抗力事件（具体定义见本协议第七条），双方应协商调整履行期限。

第六条违约责任

1.甲方违约责任：

（1）甲方未按本协议第四条约定支付服务费用的，每逾期一日，应按应付未付金额的万分之五向乙方支付违约金，且乙方有权暂停服务直至款项付清。逾期超过30日，乙方有权解除协议，甲方需承担乙方已产生服务费用总额120%的违约金，且乙方保留向甲方索赔因此产生的直接损失（包括但不限于第三方律师费、诉讼费）的权利。

（2）甲方提供虚假数据来源或违反数据合规要求（如涉及非法采集的个人信息），一经查实，甲方需立即停止使用乙方提供的所有服务，并支付已发生服务费用总额的200%作为违约金，乙方同时保留追究甲方法律责任的权利。

（3）甲方变更数据脱敏需求但未提前30日书面通知乙方的，需承担乙方因需求变更产生的额外工作量50%的费用，且乙方不保证变更后的脱敏效果符合原有标准。

2.乙方违约责任：

（1）乙方未按本协议第五条约定的服务期限完成脱敏服务的，每逾期一日，应按合同总金额的万分之五向甲方支付违约金，但累计违约金不超过合同总金额的10%。逾期超过30日，甲方有权解除协议，乙方需退还甲方已支付服务费用的70%，并承担甲方因此产生的直接损失。

（2）乙方提供的脱敏技术或工具存在重大缺陷，导致甲方敏感数据泄露或业务系统瘫痪的，乙方应无条件修复，并赔偿甲方直接经济损失总额的300%，且甲方有权要求乙方承担刑事连带责任。

（3）乙方服务团队泄露甲方商业秘密或敏感数据的，除承担本条（2）项赔偿责任外，还应支付违约金人民币伍佰万元整（¥5,000,000.00），且乙方需配合甲方完成数据溯源及影响评估工作。

3.费用减免条款：

（1）因不可抗力导致协议无法履行的，双方互不承担违约责任，但双方均需在不可抗力消除后5个工作日内书面通知对方，并采取措施减少损失。

（2）非因双方主观故意导致的轻微服务瑕疵（如脱敏规则细节偏差未影响核心安全目标），经双方技术确认后可协商减免相应服务费用，但减免比例不超过乙方已收款金额的10%。

4.紧急补救责任：

如一方违约行为导致另一方遭受监管处罚或第三方索赔，违约方需在收到索赔通知后30日内代为承担赔偿责任，但有权向守约方追偿。双方均需积极配合第三方取证，由此产生的费用由违约方承担。

第七条不可抗力

1.不可抗力定义：本协议所称不可抗力，是指不能预见、不能避免并不能克服的客观情况，包括但不限于：

（1）自然灾害，如地震、洪水、台风、海啸等；

（2）战争、军事冲突、恐怖袭击、暴乱等社会事件；

（3）政府行为，如法律法规变更、政策调整、禁运、强制征用等；

（4）疫情或公共卫生事件，如传染病爆发及政府隔离管制措施；

（5）网络攻击或系统故障，如国家级黑客攻击、路由器瘫痪等不可归责于任何一方技术原因。

2.不可抗力影响：任何一方因不可抗力导致无法履行或延迟履行协议义务的，不承担违约责任，但应在不可抗力发生后的24小时内书面通知对方，并提供相关证明文件（包括但不限于政府公告、公证机构证明、第三方机构报告等）。双方应根据不可抗力影响程度协商决定是否延期履行、部分履行或解除协议。

3.免责条件：

（1）不可抗力影响持续超过30日的，双方均有权单方面解除协议，已产生的费用按实际服务比例结算，且双方互不承担赔偿责任；

（2）如不可抗力仅影响部分服务环节（如乙方数据中心断电），受影响方应在条件恢复后10个工作日内恢复履行，且已履行部分的费用按正常标准结算；

（3）因不可抗力导致的保密条款失效，双方应在不可抗力消除后立即重新履行保密义务，责任不因不可抗力而免除。

4.协商义务：即使发生不可抗力，双方仍需采取措施减少损失，并在不可抗力消除后30日内就后续履行方案达成书面一致。

第八条争议解决

1.争议解决原则：双方应本着友好协商、平等互惠的原则解决争议，任何一方不得单方面采取法律行动。对于技术性争议（如脱敏效果评估标准争议），双方应委托具有CNAS资质的第三方检测机构出具专业报告作为最终依据。

2.协商与调解：任何争议发生时，双方应首先通过书面函件或视频会议形式进行至少两次协商；如协商未果，可共同委托中国国际经济贸易仲裁委员会（CIETAC）上海分会进行调解，调解成功的，双方应签署调解书并履行。

3.仲裁或诉讼：若调解未达成一致，争议应提交具有管辖权的人民法院诉讼解决，或直接向乙方所在地（上海市浦东新区）有管辖权的人民法院提起诉讼。选择仲裁的，适用《仲裁法》相关规定，仲裁裁决为终局裁决，双方均不得再就同一争议向其他机构申请仲裁或诉讼。

4.法律适用：争议解决均适用中华人民共和国法律（不包括香港、澳门及台湾地区法律），仲裁机构由双方共同指定的知名仲裁员组成，仲裁语言为中文。所有争议解决过程均应保守商业秘密，未经对方书面同意，不得对外披露。

第九条其他条款

1.通知方式：本协议项下的所有通知、请求、要求或其他通信均应以书面形式（包括但不限于正本、副本、传真、电子邮件）发送至本协议首部列明的地址或联系方式。任何一方变更联系方式，应至少提前10个工作日书面通知对方。邮件通知以发送时邮戳或电子邮件发送记录为凭，传真通知以发送成功回执为凭。

2.协议变更：本协议的任何修改或补充，均需经双方授权代表签署书面文件方可生效。变更内容不得与本协议原条款相抵触，且不得违反法律法规强制性规定。双方确认，任何口头约定或非正式记录均不构成对本协议的修改。

3.分项履行：本协议各条款为独立约定，任何条款的无效或不可执行不影响其他条款的效力。若一方未履行某项义务，不影响其主张其他权利或要求对方履行其他义务。

4.保密义务的持续性：本协议项下的保密条款在本协议终止后五年内持续有效，对于包含商业秘密的附件内容（如附件一、附件二），保密期限直至其进入公共领域为止。

5.法律适用与管辖：除争议解决条款另有约定外，本协议的订立、效力、解释、履行及争议解决均适用中华人民共和国法律，并受其管辖。双方均同意专属管辖，放弃就