数据安全约定

数据安全约定1.甲方（买方/出租方/委托方）：

甲方名称：XX科技有限公司（以下简称“甲方”），统一社会信用代码：91110105MA01XXXX9，法定代表人：张三，地址：北京市海淀区中关村南大街1号，联系方式甲方是一家专注于大数据分析与应用的高新技术企业，在数据安全领域拥有丰富的行业经验和成熟的技术解决方案。甲方基于业务发展需要，拟采购乙方的数据安全服务，以保障其业务运营中涉及的数据资产安全，并满足国家相关法律法规及行业监管要求。甲方在日常经营活动中积累了大量用户数据、交易数据及商业秘密，对数据安全具有高度敏感性，并致力于构建完善的数据安全管理体系。

2.乙方（卖方/承租方/服务提供方）：

乙方名称：XX数据安全技术有限公司（以下简称“乙方”），统一社会信用代码：91130105MA02XXXX8，法定代表人：李四，地址：上海市浦东新区张江高科技园区科苑路88号，联系方式乙方是一家专业的数据安全服务提供商，专注于数据加密、脱敏处理、访问控制、安全审计及应急响应等服务，具备国家信息安全等级保护三级认证资质，并持有ISO27001信息安全管理体系认证。乙方拥有自主研发的数据安全平台及标准化服务流程，为金融、医疗、互联网等行业的多家头部企业提供过数据安全解决方案，具备丰富的实战经验和行业口碑。

**协议简介**

本协议基于甲乙双方在数据安全领域的专业能力和合作需求，旨在明确双方在数据安全服务合作中的权利义务关系。甲方作为数据资产的管理者，因业务发展需要，委托乙方提供数据加密、脱敏处理、访问控制及安全审计等服务，以降低数据泄露风险，符合《网络安全法》《数据安全法》《个人信息保护法》等法律法规要求。乙方作为数据安全服务提供商，承诺按照协议约定提供专业、可靠的数据安全服务，确保甲方数据资产的机密性、完整性和可用性。双方基于平等、自愿、公平的原则，经友好协商，达成本协议，共同推动数据安全合作落地实施。本协议的履行将有助于甲方完善数据安全治理体系，提升合规水平，同时保障乙方在数据安全服务领域的专业价值得到充分体现，双方通过本次合作实现互利共赢。协议内容将围绕数据安全服务的具体范围、履行标准、价格条款、违约责任及争议解决机制等展开，确保双方合作全程合法合规、高效有序。

第一条协议目的与范围

本协议的主要目的在于明确甲乙双方围绕数据安全服务合作所形成的权利义务关系，确保乙方按照约定为甲方提供专业、可靠的数据安全服务，帮助甲方有效提升数据资产的安全防护能力，满足国家及行业相关法律法规的合规要求，并降低数据泄露、滥用等风险事件的发生概率。协议涉及的具体内容包括但不限于：数据安全服务范围（如数据加密、数据脱敏、访问控制策略制定与实施、安全审计与监控、数据备份与恢复、安全事件应急响应等）；服务标准与质量要求；双方在服务过程中应遵守的技术规范与操作流程；服务费用的构成、支付条件与方式；知识产权归属与保密责任；协议的履行期限、变更与解除条件；违约责任承担方式；以及争议解决机制等。通过本协议的签订与履行，双方旨在构建长期、稳定、高效的数据安全合作机制，共同维护数据安全秩序。

第二条定义

本协议中下列词语具有以下含义：

（一）"数据安全服务"是指乙方根据本协议约定，为甲方提供的数据加密、数据脱敏、访问控制、安全审计、应急响应等旨在保障甲方数据资产机密性、完整性和可用性的专业服务。

（二）"数据资产"是指甲方在业务运营过程中收集、产生、使用或管理的所有数据，包括但不限于用户个人信息、经营数据、商业秘密、财务数据等具有商业价值或法律保护需求的数据。

（三）"加密数据"是指通过加密算法处理后的数据，在未授权情况下无法被轻易解读其原始内容。

（四）"脱敏数据"是指通过技术手段处理原始数据后，使其失去直接识别个人身份或商业敏感信息的能力，但仍能用于分析、测试等目的的加工后数据。

（五）"访问控制"是指依据预设权限策略，对数据访问主体进行身份认证和授权管理，确保只有符合条件的人员能够访问特定数据。

（六）"安全审计"是指对数据访问行为、系统操作日志等进行记录、监控和分析，以发现潜在安全风险和违规行为。

（七）"不可抗力"是指不能预见、不能避免并不能克服的客观情况，包括但不限于自然灾害、战争、政府行为等。

第三条双方权利与义务

**1.甲方的权力和义务**

（一）甲方有权要求乙方按照本协议约定及附件所列的服务范围、标准与质量要求提供数据安全服务，并对服务过程及结果进行监督与检查。

（二）甲方有权获取乙方提供的数据安全服务相关报告、日志及操作记录，用于内部合规审查及效果评估。

（三）甲方有权要求乙方对服务人员进行必要的数据安全背景审查，确保服务人员具备相应的资质和保密意识。

（四）甲方有权根据自身业务需求的变化，在提前XX日书面通知乙方的条件下，提出对服务内容、范围或标准的调整请求，双方应就调整方案达成一致后执行。

（五）甲方应保证其提供的数据资产清单、安全需求说明等信息的真实性、准确性和完整性，并配合乙方进行现场调研、方案设计及服务实施工作。

（六）甲方应指定专门接口人负责与乙方沟通协调，及时响应乙方在服务过程中提出的合理需求，并提供必要的协助与支持。

（七）甲方应建立并维护完善的数据安全管理制度，明确数据安全责任，并对内部员工进行数据安全培训，确保其遵守本协议及乙方的服务要求。

（八）甲方应按照本协议约定，按时、足额向乙方支付服务费用，并承担因自身原因导致的服务延迟或中断所产生的额外成本。

（九）甲方应妥善保管涉及乙方服务内容的商业秘密和技术资料，未经乙方书面同意，不得向任何第三方泄露或用于本协议约定范围之外的目的。

（十）甲方应配合乙方进行数据安全评估、漏洞扫描等安全检查活动，并根据乙方提出的风险整改建议及时采取补救措施。

**2.乙方的权力和义务**

（一）乙方有权按照本协议约定收取服务费用，并要求甲方提供必要的服务配合条件（如数据环境访问权限、安全需求文档等）。

（二）乙方有权要求甲方提供真实有效的身份证明、资质证明及授权委托书等文件，以确认甲方的签约主体资格及授权范围。

（三）乙方应确保其提供的数据安全服务符合国家法律法规、行业标准和最佳实践，并持有相应的服务资质认证（如ISO27001、等级保护认证等）。

（四）乙方应组建专业的服务团队，指派经验丰富的项目经理负责本协议项下的服务实施，并确保服务人员具备必要的技术能力和保密义务。

（五）乙方应严格按照本协议约定的服务范围、标准与质量要求提供数据安全服务，并定期向甲方提交服务报告，汇报服务进展、风险发现及改进建议。

（六）乙方应建立完善的服务保障体系，包括服务响应时间、问题解决流程、应急响应机制等，确保服务连续性和稳定性。

（七）乙方应采取严格的技术和管理措施保护甲方数据的安全，包括但不限于物理环境安全、系统运行安全、数据传输加密、访问权限控制等，确保服务过程不造成甲方数据泄露、损毁或滥用。

（八）乙方应尊重甲方的商业秘密和技术信息，未经甲方书面同意，不得向任何第三方披露或用于本协议约定范围之外的目的，并在服务结束后按规定销毁或返还甲方的数据资料。

（九）乙方应配合甲方进行数据安全合规审计，并根据甲方要求提供相关证明材料，协助甲方应对监管机构的检查与调查。

（十）乙方应建立服务知识库和经验积累机制，持续优化服务流程和技术方案，提升服务专业水平和客户满意度。在服务过程中发现甲方数据安全存在重大风险时，乙方有权暂停服务并立即通知甲方采取补救措施，同时保留向甲方主张额外补偿的权利。

第四条价格与支付条件

本协议项下的数据安全服务费用采用以下方式确定和支付：

（一）服务费用总额：甲方应向乙方支付的数据安全服务费用总额为人民币壹佰万元整（￥1,000,000.00元）。该费用包含但不限于协议约定的数据加密实施、数据脱敏处理、访问控制配置、安全审计服务、应急响应支持等内容。具体服务模块的费用构成及明细详见本协议附件二《服务费用明细表》，该附件为本协议不可分割的一部分。

（二）费用构成：服务费用根据服务类型、服务周期、资源投入等因素综合确定。其中，前期咨询与方案设计费用为人民币拾万元整（￥100,000.00元），于协议生效后七日内支付；实施阶段服务费用为人民币伍拾万元整（￥500,000.00元），于乙方完成该阶段服务内容并通过甲方初步验收后支付；验收通过后剩余服务费用及质保期服务费为人民币贰拾伍万元整（￥250,000.00元），于协议约定的质保期满且甲方无异议时支付。

（三）支付方式：甲方应通过银行转账方式将服务费用支付至乙方指定的以下银行账户：

开户名称：XX数据安全技术有限公司

开户银行：中国工商银行XX支行

银行账号：622202010030000XXX

（四）发票开具：乙方应在收到每期服务费用后十日内，向甲方开具等额、合法的增值税专用发票。甲方有权要求乙方提供相关税务登记证明及发票合规性说明。

（五）价格调整：协议履行期间，如因国家政策调整、行业收费标准变化或双方约定的特殊情况导致服务成本发生重大变动，双方应在变动发生前三十日协商一致，对服务费用进行相应调整。若甲方提出的服务需求变更导致服务范围、工作量或技术复杂度显著增加，双方应就新增费用重新协商并签订补充协议。

（六）付款延迟：若甲方未能按照本协议约定按时支付任何一期服务费用，每逾期一日，应按逾期支付金额的千分之一向乙方支付违约金。逾期超过三十日，乙方有权暂停提供相应的服务，直至甲方付清全部款项及违约金。逾期超过六十日，乙方有权解除协议，并要求甲方支付已完成服务的费用、相当于服务费用总额百分之二十的违约金，以及因延迟付款产生的所有直接损失。

（七）税费承担：本协议约定的服务费用为含税价格。如乙方代收代缴任何税费（包括但不限于增值税、附加税等），相关税费由乙方承担，并在发票中明确列示。若甲方有特定税务处理需求，双方应事先书面确认税费承担方式。

第五条履行期限

（一）本协议自双方授权代表签字并加盖公章（或合同专用章）之日起生效，有效期为自协议生效之日起十二个月。协议期满前三个月，如双方均有意继续合作，应另行签订续约协议。

（二）数据安全服务的具体履行期限根据服务内容确定：

1.前期咨询与方案设计：自协议生效之日起三十日内完成，乙方应向甲方提交详细的服务方案报告，并通过甲方的初步评审。

2.服务实施阶段：自方案设计通过评审之日起九十日内完成，包括数据加密部署、脱敏规则配置、访问控制策略实施及初步安全审计。乙方应在此阶段分阶段提交阶段性成果供甲方确认。

3.验收与结算：服务实施阶段工作完成后七日内，双方共同进行服务验收。甲方应在验收通过后十日内完成最终款项的支付。

（三）质保期：本协议项下的数据安全服务质保期为协议履行完毕之日起六个月。在质保期内，如因乙方服务原因出现数据安全问题，乙方应在收到甲方通知后四小时内响应，八小时内到达现场或通过远程方式开始处理，并承担相应的修复责任及费用。

（四）关键时间节点：

1.协议生效日：双方完成授权代表签字及盖章之日。

2.方案提交日：协议生效后三十日。

3.验收完成日：服务实施阶段完成后七日。

4.最终付款日：验收完成日之后十日。

5.质保期满日：协议履行完毕后第180日。

（五）时间计算：本协议中约定的时间均指工作日时间，不含周末及法定节假日。时间起算自约定时间点当日，止算于当日。

第六条违约责任

**1.甲方违约责任**

（一）付款延迟责任：如甲方未能按照本协议第四条约定的期限和金额支付服务费用，每逾期一日，应按当期应付未付金额的千分之一向乙方支付违约金。逾期超过三十日，乙方除要求甲方立即支付全部拖欠款项及累计违约金外，还有权根据情况暂停提供全部或部分已付费服务，直至甲方付清全部款项。逾期超过六十日，乙方有权单方面解除本协议，并要求甲方：

1.支付已完成服务的相应费用，标准为实际投入工作量的80%；

2.支付相当于协议总金额30%的违约金；

3.承担乙方因解除协议而产生的直接损失，包括但不限于已发生的服务成本、为甲方提供的专用软件或工具的成本、以及寻找替代服务商的差价损失。

（二）提供资料不实责任：若因甲方提供的数据资产清单、安全需求说明或其他相关资料存在虚假、错误或遗漏，导致乙方服务效果未达预期或产生额外风险，甲方应承担由此引起的一切后果，包括但不限于乙方额外投入的人力、物力成本，以及甲方因此遭受的直接经济损失。乙方有权要求甲方支付相应的额外服务费用，或按服务未达标情况扣减相应服务费用。

（三）配合不当责任：若甲方未能按照本协议约定配合乙方进行现场勘查、设备安装、系统测试、安全检查等必要工作，导致服务进度延误或无法按期完成，每延误一日，甲方应按当期应付款项的千分之五向乙方支付延误违约金。延误超过三十日，乙方有权根据延误程度调整服务费用或解除协议，并要求甲方承担相应的违约责任。

（四）违反保密义务责任：若甲方违反本协议第三条第（九）款关于保密义务的规定，向任何第三方泄露乙方在服务过程中获知的甲方商业秘密或技术信息，应立即停止违约行为，并承担乙方因此遭受的直接经济损失，赔偿金额不低于人民币伍拾万元整（￥500,000.00元）。若该违约行为给乙方造成商誉损失或导致其违反其他合同义务，甲方还应承担相应的间接损失赔偿责任。

（五）擅自终止协议责任：若甲方在协议有效期内单方面擅自终止本协议，应向乙方支付相当于协议未履行部分服务费用总额20%的违约金。若乙方已发生的服务投入属于不可退还成本，该违约金应相应增加，直至覆盖乙方实际损失。同时，甲方应结清所有已发生的服务费用及应付违约金。

**2.乙方违约责任**

（一）服务质量违约责任：若乙方提供的数据安全服务不符合本协议约定的服务标准、质量要求或双方确认的技术方案，甲方有权要求乙方在收到通知后七日内采取补救措施，直至达到约定标准。若乙方未能按期完成补救或补救效果仍不达标，甲方有权：

1.按服务未达标部分的80%扣减服务费用；

2.要求乙方退还该部分服务费用；

3.若服务严重不符合要求，甲方有权解除协议，并要求乙方支付相当于协议总金额10%的违约金，以及赔偿甲方因此遭受的直接经济损失。

（二）服务延迟责任：若乙方未能按照本协议第五条约定的期限完成各阶段服务内容（除不可抗力或甲方原因外），每延迟一日，应按当期应未完成服务金额的千分之一向甲方支付延迟违约金。累计延迟超过三十日，甲方有权根据延迟程度要求乙方：

1.按累计延迟天数扣减相应比例的服务费用，最高扣减比例不超过已完成服务部分的10%；

2.要求乙方立即无条件加快进度完成剩余服务；

3.若延迟导致甲方业务中断或产生额外安全风险，乙方还应承担相应的赔偿责任。

（三）违反保密义务责任：若乙方违反本协议第三条第（七）款关于保密义务的规定，向任何第三方泄露甲方提供的商业秘密或敏感数据，应立即停止违约行为，并承担以下责任：

1.赔偿甲方因此遭受的全部直接经济损失，包括但不限于数据修复成本、监管罚款、客户赔偿等；

2.支付相当于协议总金额50%的违约金；

3.若该违约行为导致乙方承担第三方索赔或诉讼，甲方应承担乙方因此产生的全部律师费、诉讼费等法律费用。

（四）服务过程中造成损失责任：若因乙方提供的服务（包括软件安装、系统配置、数据操作等）直接导致甲方数据泄露、系统瘫痪、业务中断或产生其他安全事件，乙方应承担全部赔偿责任。赔偿范围包括但不限于：

1.数据恢复或重建费用；

2.因业务中断造成的直接经济损失；

3.第三方索赔或监管机构的罚款；

4.甲方为弥补损失而投入的额外资源成本。

（五）擅自变更服务内容责任：若乙方未经甲方书面同意，擅自变更本协议约定的服务范围、技术方案或服务方式，甲方有权要求乙方恢复原状，并按擅自变更部分的50%向乙方支付违约金。若变更给甲方造成直接损失，乙方还应承担赔偿责任。

（六）解除协议责任：若乙方在协议有效期内单方面擅自解除本协议（非甲方违约导致），应向甲方支付相当于协议总金额30%的违约金，并赔偿甲方因协议解除而产生的直接经济损失。同时，乙方应立即停止所有服务活动，并配合甲方完成服务的平稳过渡或资料返还。

**3.违约金与赔偿关系说明：**本协议约定的违约金条款为累计计算。若一方发生多项违约行为，应合并计算各项违约金，但累计违约金总额不超过协议总金额的200%。若违约金不足以弥补守约方实际损失的，守约方有权要求违约方赔偿超出违约金部分的损失。双方应就赔偿事宜通过友好协商达成一致，或依法通过争议解决程序处理。

第七条不可抗力

（一）定义：不可抗力是指不能预见、不能避免并不能克服的客观情况，包括但不限于地震、台风、洪水、火灾、战争、动乱、政府行为（如法律法规变更、政策调整、行政命令等）、疫情及其防控措施、网络攻击或系统故障（非因乙方服务原因造成）等。不可抗力事件应使受影响方在合理努力下仍无法履行其在本协议下的部分或全部义务。

（二）通知与证明：发生不可抗力事件的一方应在事件发生后七日内书面通知另一方，详细说明事件情况、影响范围以及预计持续期限，并立即提供相关证明材料（如政府公告、新闻报道、事故报告等）。双方应根据事件影响，协商决定是否暂停、部分解除或全部解除本协议相关义务。不可抗力影响的持续时间超过三十日的，双方均有权根据事件进展情况，协商修改协议条款或解除协议。

（三）责任免除：因不可抗力导致本协议任何一方无法履行或无法完全履行其义务的，受影响方不承担违约责任，但应采取合理措施减轻不可抗力可能造成的损失，并在事件消除后立即恢复履行协议义务。双方应根据不可抗力影响程度，协商调整服务费用或履行期限。若不可抗力导致协议目的无法实现，双方均有权解除协议，并互不承担违约责任，已发生的服务费用按实际完成比例结算。

（四）不可免责情形：因一方违约行为（如甲方未提供必要配合、乙方未按标准提供服务）导致的损失，或因双方共同过错造成的损失，或因不可抗力事件发生前的准备工作（如方案设计、已投入成本）所造成的潜在损失，均不属于不可抗力免责范围。任何一方不得利用不可抗力条款故意拖延履行义务或规避自身责任。

（五）持续影响：若不可抗力事件持续存在，双方应每三十日就事件状态及后续处理进行沟通，直至不可抗力消除或协议解除。若双方在不可抗力消除后六十日内未能就后续事宜达成一致，任何一方均有权依据本协议第六条约定处理。

第八条争议解决

（一）协商：凡因本协议引起的或与本协议有关的任何争议，双方应首先通过友好协商解决。协商应在争议发生后三十日内进行，双方可指定专门人员负责协商，并尝试达成书面和解协议。若协商在三十日内未能解决争议，双方应自动进入下一争议解决程序。

（二）调解：若协商未能解决争议，双方同意在协商期满后三十日内，共同选择一家中立的第三方调解机构（如中国国际经济贸易仲裁委员会或双方认可的国内知名调解中心）进行调解。调解规则应遵循调解机构的相关规定。双方应积极参与调解，并承担各自调解费用。调解达成协议的，应签订调解书并由双方签署确认，调解书具有法律约束力，双方应自觉履行。调解未达成协议或调解书未签署确认的，视为调解不成。

（三）仲裁：若调解未能解决争议，或双方在签订本协议时明确约定直接通过仲裁解决争议，则任何一方均有权在争议发生后六个月内，将争议提交至中国国际经济贸易仲裁委员会（CIETAC），按照申请仲裁时该会现行有效的仲裁规则进行仲裁。仲裁地点为北京。仲裁语言为中文。仲裁裁决是终局的，对双方均有约束力。仲裁费用由败诉方承担，或按仲裁规则由双方合理分担。仲裁期间，除争议事项外，双方应继续履行本协议其他未受争议影响的条款。

（四）诉讼：若双方未选择仲裁，且在调解、仲裁尝试失败后仍未达成其他解决方案，任何一方均有权将争议提交至有管辖权的人民法院诉讼解决。管辖法院应为被告住所地或合同履行地的人民法院，即甲方所在地或乙方所在地有管辖权的人民法院。诉讼过程中，双方应遵守法院的传唤和判决，并承担相应的诉讼费用。诉讼期间，除争议事项外，双方应继续履行本协议其他未受争议影响的条款。

（五）争议解决原则：双方在争议解决过程中应本着诚实信用原则，寻求公平合理的解决方案，避免不必要的诉讼或仲裁，优先保护数据安全和业务连续性。所有争议解决活动不应影响本协议其他条款的继续有效履行。

第九条其他条款

（一）通知：本协议项下的所有通知、请求、要求或其他通信，均应以书面形式作出，并通过专人递送、挂号信、传真、电子邮件或双方确认的电子数据交换系统发送至本协议首页载明的地址或联系方式。以专人递送方式发送的，送达当日视为送达；以挂号信方式发送的，寄出后第七日视为送达；以传真或电子邮件方式发送的，发送成功当日视为送达。任何一方变更联系方式，应至少提前十日书面通知另一方。

（二）完整协议：本协议及其附件构成双方就本协议标的达成的完整协议，取代双方此前就此达成的所有口头或书面协议、谅解或安排。本协议的任何修改、补充均应以书面形式作出，并经双方授权代表签字盖章后方能生效。

（三）可分割性：若本协议任何条款被有管辖权的法院或仲裁机构认定无效或不可执行，该条款的无效或不可执行不影响本协议其他条款的效力。双方应协商替换为内容最接近、合法有效的条款，以取代原无效条款。

（四）可转让性：未经另一方事先书面同意，任何一方不得将其在本协议项下的权利或义务部分或全部转让给任何第三方。任何转让均应遵守本协议其他条款的规定，且受让方不得自动取得原协议中不适用于其的情况下