核心数据保护规定

核心数据保护规定1.甲方（买方/出租方/委托方）：

甲方名称：XX科技有限公司（以下简称“甲方”），注册地址位于中国北京市海淀区XX路XX号XX大厦XX层XX室，统一社会信用代码：91110108MA01XXXX9。甲方法定代表人/负责人为张三，性别：男，联系方式

甲方是一家从事大数据分析、人工智能技术研发及相关服务的高新技术企业，致力于为客户提供数据驱动决策解决方案。甲方在日常业务运营中积累了大量核心数据，包括但不限于客户信息、交易数据、产品性能数据等，这些数据对甲方的市场竞争力和商业运营具有关键价值。为保障核心数据的安全性和合规性，甲方拟与具备专业数据保护能力的乙方合作，通过签订本协议明确双方在核心数据保护方面的权利与义务，确保数据在存储、处理、传输等环节符合《中华人民共和国网络安全法》《中华人民共和国数据安全法》及《个人信息保护法》等相关法律法规的要求。

甲方在合作过程中将委托乙方提供核心数据加密存储、访问控制、安全审计等专业服务，并要求乙方严格遵守数据安全管理制度，采取技术和管理措施防范数据泄露、篡改、丢失等风险。双方基于长期战略合作的框架，通过本协议建立稳定、合规的数据保护合作关系，以实现数据价值的最大化利用，同时满足监管机构对核心数据的合规性要求。

2.乙方（卖方/承租方/服务提供方）：

乙方名称：XX数据安全技术有限公司（以下简称“乙方”），注册地址位于中国上海市浦东新区XX路XX号XX科技园区XX号楼XX层XX室，统一社会信用代码：91310115MA01XXXX6。乙方法定代表人/负责人为王五，性别：女，联系方式

乙方是一家专注于数据安全领域的专业服务机构，拥有国家信息安全等级保护三级认证资质，具备核心数据全生命周期保护的技术能力和服务经验。乙方致力于为客户提供数据加密、脱敏处理、安全隔离、智能风控等一站式数据安全解决方案，服务对象涵盖金融、医疗、互联网、政务等多个行业。乙方的核心业务包括数据存储安全、数据传输安全、数据使用安全及数据销毁安全等，技术团队具备丰富的实战经验，能够为甲方提供符合行业最佳实践的数据保护服务。

乙方在合作过程中将根据甲方需求，提供定制化的核心数据保护方案，包括但不限于数据加密存储平台搭建、访问权限动态管理、异常行为智能监测、数据安全合规咨询等。乙方承诺严格遵守保密义务，确保甲方核心数据在存储和处理过程中不被未经授权的第三方访问或泄露，并定期向甲方提供数据安全状况报告，协助甲方满足监管机构的数据安全审计要求。双方基于平等互利、长期合作的原则，通过本协议明确数据保护责任边界，共同构建安全可靠的数据处理生态。

第一条协议目的与范围

本协议的主要目的是明确甲方委托乙方对甲方持有的核心数据进行保护的具体范围、方式及双方的权利义务，确保核心数据在存储、处理、传输等环节符合《中华人民共和国网络安全法》《中华人民共和国数据安全法》《个人信息保护法》及相关行业监管要求，防止数据泄露、篡改、丢失或被非法使用。本协议涉及的具体内容包括：核心数据的范围界定与分类分级；数据安全保护技术的应用（如加密存储、动态访问控制、安全审计等）；数据安全事件的应急响应机制；数据安全合规性评估与持续改进；双方在数据保护方面的责任划分及违约处理等。双方基于合法合规、安全可控的原则，通过本协议建立长期、稳定的数据保护合作关系，以保障核心数据的安全性和商业价值。

第二条定义

1.核心数据：指甲方在日常经营活动中产生或获取的，对甲方业务运营、市场竞争、商业利益具有重要价值的数据，包括但不限于客户个人信息、交易记录、供应链信息、产品研发数据、财务数据等。核心数据根据敏感程度分为高、中、低三个等级，具体分类标准由甲方制定并在本协议附件中明确。

2.数据保护服务：指乙方为甲方提供的核心数据安全保护服务，包括数据加密、脱敏处理、访问控制、安全审计、漏洞扫描、应急响应、合规咨询等，旨在降低数据安全风险并满足监管要求。

3.安全事件：指因系统故障、人为操作失误、外部攻击等原因导致核心数据泄露、篡改、丢失或被非法访问的事件。

4.合规性评估：指依据相关法律法规及行业标准，对甲方数据保护措施的有效性及合规性进行的系统性审查和评估。

5.安全审计日志：指记录核心数据访问、操作、变更等行为的日志信息，用于追溯和监控数据安全状况。

第三条双方权利与义务

1.甲方的权力与义务：

（1）权力：甲方有权要求乙方按照本协议约定提供数据保护服务，并对服务质量和效果进行监督和评估；甲方有权获取乙方提供的数据安全保护方案的技术文档、服务报告及合规性证明文件；甲方有权在必要时要求乙方暂停或终止服务，并要求乙方配合进行数据安全调查。

（2）义务：甲方应向乙方提供核心数据的详细分类分级清单及业务背景说明，配合乙方开展数据安全风险评估；甲方应确保其内部人员已接受数据安全培训，并遵守本协议约定的保密义务；甲方应在数据传输前对数据进行脱敏处理，并确保传输过程符合加密要求；甲方应及时向乙方通报可能影响数据安全的重大事件，并配合乙方进行应急响应；甲方应按照本协议约定支付服务费用，并对乙方履行服务过程中产生的合理成本承担补偿责任。

2.乙方的权力与义务：

（1）权力：乙方有权要求甲方提供核心数据的真实、完整信息，并有权对甲方数据保护措施的有效性进行监督和测试；乙方有权根据本协议约定收取服务费用，并要求甲方按时支付；乙方有权拒绝执行违反法律法规或本协议约定的数据处理请求。

（2）义务：乙方应建立完善的数据安全管理体系，包括技术措施（如数据加密、访问控制、入侵检测等）和管理制度（如操作规范、应急预案等）；乙方应按照本协议约定提供数据保护服务，并确保服务符合国家及行业相关标准；乙方应采取严格的数据隔离措施，确保不同客户的数据不被交叉访问或泄露；乙方应建立安全事件应急响应机制，在发生安全事件时第一时间通知甲方并启动应急处理程序；乙方应定期向甲方提供数据安全状况报告，包括但不限于安全审计日志、风险评估结果、漏洞修复情况等；乙方应确保其员工及授权第三方遵守保密义务，并对因违反保密义务造成的损失承担赔偿责任；乙方应配合甲方及监管机构的数据安全检查，并提供必要的证明材料。

第四条价格与支付条件

1.服务费用：乙方提供核心数据保护服务的费用采用套餐模式，具体费用标准根据甲方核心数据的规模（如数据量、数据类型、安全等级）、服务范围（如加密存储、动态访问控制、安全审计等）及服务级别（如标准版、高级版、定制版）在协议附件中详细列明。甲方选择的服务套餐及对应价格在协议生效后不可单方面变更，但双方可协商通过补充协议形式增加或调整服务内容。

2.支付方式：甲方应通过银行转账方式向乙方支付服务费用。甲方指定收款账户信息如下：开户行：XX银行XX支行，户名：XX数据安全技术有限公司，账号：020000000000000XXX。乙方应在收到甲方款项后提供等额发票。

3.支付时间：服务费用按月支付，具体支付周期在协议附件中明确。甲方应在每个自然月结束后10个工作日内，根据乙方提交的服务量报告及费用明细支付当月服务费用。首期服务费用于协议生效之日支付，后续服务费用于每月对账确认后5个工作日内支付。如甲方延迟支付，每逾期一日，应按逾期金额的万分之五向乙方支付违约金，逾期超过30日，乙方有权暂停服务直至甲方付清款项及违约金，且甲方已产生的服务费用不予退还。

4.成本补偿：如因甲方原因导致乙方产生额外成本（如数据迁移费用、紧急安全加固费用等），经双方书面确认后，甲方应承担相应的成本补偿，具体标准在协议附件中约定。

第五条履行期限

1.协议有效期：本协议自双方授权代表签字盖章之日起生效，有效期为三年。协议期满前三个月，如双方均有意继续合作，应另行签订续约协议。续约条件在协议期满前通过书面形式协商确定。

2.服务期限：乙方应自本协议生效之日起开始提供数据保护服务，并持续履行至协议终止或提前解除。核心数据保护服务的具体实施周期根据甲方业务需求及乙方服务能力在协议附件中明确，一般包括日常安全维护、定期安全审计、应急响应支持等。

3.关键时间节点：甲方应在每年1月31日前向乙方提供上一年度核心数据分类分级清单的更新版本；乙方应在每月结束后7个工作日内向甲方提交上月服务报告；如发生数据安全事件，乙方应在事件发生后2小时内通知甲方，并启动应急响应程序；双方应在每年12月31日前共同完成年度数据安全合规性评估。

4.协议终止：如甲方提前终止协议，应向乙方支付已提供服务的相应费用，具体计算标准在协议附件中约定。如乙方提前终止协议，应退还甲方已支付但尚未提供服务的费用，并承担相应的违约责任。

第六条违约责任

1.甲方的违约责任：

（1）保密义务违反：如甲方违反本协议约定，泄露或不当使用乙方提供的技术秘密或服务信息，应向乙方支付违约金人民币500万元，并承担由此给乙方造成的全部损失。若损失超过500万元，甲方应补足差额。

（2）费用延迟支付：如甲方未按本协议第四条约定的期限支付服务费用，每逾期一日，应按逾期金额的万分之五向乙方支付违约金。逾期超过30日，乙方有权解除协议，并要求甲方支付全部应付费用及违约金，同时甲方已产生的服务费用不予退还。

（3）数据提供不及时：如甲方未按约定提供核心数据分类分级清单或配合乙方开展风险评估，导致乙方服务无法正常开展，应向乙方支付违约金人民币50万元，并承担由此给乙方造成的损失。

（4）不正当使用服务：如甲方利用乙方提供的服务从事非法活动或违反法律法规，乙方有权立即终止服务，并要求甲方支付已发生的服务费用及赔偿由此给乙方造成的损失，违约金上限为人民币100万元。

2.乙方的违约责任：

（1）服务质量不达标：如乙方提供的服务不符合本协议约定的标准（如数据加密失败、访问控制漏洞等），甲方有权要求乙方在15个工作日内整改完毕。逾期未整改或整改后仍不达标的，甲方有权按当月服务费用50%的标准扣减服务费用，并要求乙方承担相应的赔偿责任。

（2）数据泄露责任：如因乙方原因导致甲方核心数据泄露、篡改或丢失，乙方应承担全部赔偿责任。赔偿金额不低于人民币1000万元，并赔偿甲方因此遭受的直接经济损失及商誉损失。若泄露事件造成甲方重大损失（如导致监管处罚、客户流失等），赔偿金额应相应提高，具体标准由双方协商确定。

（3）应急响应延误：如乙方在发生数据安全事件后未按约定时间通知甲方或未及时启动应急响应，导致甲方损失扩大，乙方应承担相应的补充赔偿责任，赔偿金额不低于人民币200万元。

（4）服务中断责任：如乙方提供的服务因技术故障等原因中断，且中断时间超过协议约定的服务可用性标准（如每月累计中断时间超过4小时），每发生一次，乙方应按当次服务费用的10%向甲方支付违约金。连续发生三次以上服务中断，甲方有权解除协议，并要求乙方退还剩余服务费用及支付违约金。

3.违约金上限：双方约定，本协议项下的任何违约金累计不超过人民币2000万元。如违约金不足以弥补守约方实际损失的，守约方有权进一步要求违约方赔偿差额部分。

4.解除权：本协议一方发生严重违约行为（如核心数据泄露、费用拖欠超过60日等），守约方有权书面通知违约方解除协议，违约方应立即停止违约行为并配合完成善后工作。解除协议后，违约方仍需承担相应的违约责任，包括已发生费用、违约金及赔偿责任。

第七条不可抗力

1.定义：不可抗力是指双方在签订本协议时不能预见、对其发生和后果不能避免并不能克服的事件，包括但不限于地震、台风、洪水、火灾、战争、恐怖袭击、政府行为（如法律法规变更、政策调整等）、大规模网络攻击、系统故障（非乙方原因导致的电力或通信中断等）以及其他类似事件。

2.责任免除：如因不可抗力导致本协议部分或全部无法履行，遭遇不可抗力的一方应立即通知对方，并在合理期限内（不超过15日）提供不可抗力事件的证明材料（如政府公告、事故报告等）。双方应根据不可抗力事件的影响程度，协商决定是否延期履行、部分履行或解除协议。因不可抗力导致的履行延迟或不能履行，遭遇不可抗力的一方不承担违约责任，但应及时采取措施减少损失，因采取措施不当造成的额外损失仍需承担责任。不可抗力事件消除后，受影响方应尽快恢复履行本协议，已发生的费用按实际服务比例结算。如不可抗力事件持续超过60日，双方均有权单方面解除本协议，已产生的费用按实际服务比例结算，双方互不承担违约责任。

3.注意事项：双方应各自采取合理措施防范不可抗力事件的发生，如定期备份数据、购买保险等。任何一方因未采取合理防范措施导致的损失，不能援引不可抗力条款免责。

第八条争议解决

1.争议解决方式：双方在履行本协议过程中发生任何争议，应首先通过友好协商解决。协商不成的，任何一方均有权选择以下第（一）或第（二）种方式解决：

（1）向甲方所在地有管辖权的人民法院提起诉讼。甲方有权选择起诉或应诉，乙方应配合甲方完成诉讼程序，包括提供证据、出庭等。

（2）向中国国际经济贸易仲裁委员会（CIETAC），按照申请仲裁时该会现行有效的仲裁规则进行仲裁。仲裁地点为甲方所在地，仲裁语言为中文。仲裁裁决是终局的，对双方均有约束力。

2.争议处理原则：双方在争议解决过程中应遵循公平、合理、高效的原则，优先保护核心数据安全及商业利益。如一方提起诉讼或仲裁，在争议解决期间，非经对方书面同意，任何一方不得单方面变更本协议内容、转让核心数据或采取可能损害对方利益的行为。

3.法律适用：本协议的订立、效力、解释、履行及争议解决均适用中华人民共和国法律（为免疑义，不包括香港、澳门及台湾地区法律）。任何一方在签订本协议前已存在的争议，应通过其他途径解决，不得在本协议项下提出。

4.保密处理：双方在争议解决过程中获悉的对方商业秘密或其他不宜公开的信息，应承担保密义务，除非法律要求或经对方书面同意，不得向任何第三方披露。争议解决完毕后，相关保密义务继续有效。

第九条其他条款

1.通知方式：双方就本协议相关事宜进行的所有通知、请求、要求或其他通信，均应采用书面形式（包括但不限于专人递送、挂号信、传真、电子邮件等），并发送至本协议首部列明的地址或联系方式。任何一方变更联系方式，应至少提前7日书面通知对方。以电子邮件方式发送的，发出时视为送达；以专人递送或挂号信方式发送的，签收日或邮戳日视为送达。

2.协议变更：对本协议的任何修改或补充，均需经双方授权代表签署书面文件方能生效。任何口头约定或非正式协议均不具法律效力。协议变更内容应作为本协议不可分割的一部分。

3.协议转让：未经对方事先书面同意，任何一方不得将其在本协议项下的权利或义务部分或全部转让给第三方。转让行为应遵守本协议所有条款，受让方不得获得优于原协议条件的权利。

4.完整协议：本协议及其附件构成双方就本协议标的事项达成的完整协议，取代双方此前就此达成的所有口头或书面协议、谅解或安排。本协议的任何条款均不能通过解释被认定为无效或不可执行，若某条款无效，不影响其他条款的效力。

5.附件效力：本协议附件是本协议不可分割的组成部分，与本协议具有同等法律效力。附件内容如与协议正文有冲突，以附件为准；如附件内容不明确，以协议正文为准。

6.可分割性：本协议任何条款的无效或不可执行，不影响其他条款的效力。双方应协