2026年数据安全合作协议书

2026年数据安全合作协议书鉴于双方（以下简称“甲方”和“乙方”）将在2026年期间就特定项目（以下简称“合作项目”）进行合作，涉及处理和传输个人数据及/或商业秘密等敏感信息，为明确双方在数据安全方面的权利、义务和责任，依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》以及中华人民共和国缔结或参加的国际条约所规定的义务（以下统称“适用法律法规”），双方经友好协商，达成如下协议，以资共同遵守。第一条数据定义与范围1.1除非本协议另有约定，下列术语具有以下含义：(1)“个人数据”是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。(2)“敏感个人信息”是指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，具体包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。(3)“商业秘密”是指不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息。(4)“数据处理”是指对个人信息和商业秘密进行收集、存储、使用、加工、传输、提供、公开、删除等操作。(5)“数据安全”是指采取技术和其他必要措施，确保个人信息和商业秘密的安全，防止其遭到未经授权的泄露、篡改、破坏或者丢失。1.2双方同意，在合作项目进行过程中，根据各自承担的角色，可能需要处理以下类型的数据：(1)甲方提供的与项目相关的个人数据/商业秘密（以下简称“来源数据”）。(2)在合作过程中产生或获取的、由乙方处理的其他个人数据/商业秘密（以下简称“处理数据”）。(3)双方共同掌握的其他需要保密的信息。1.3双方应仅为本协议约定的合作项目目的处理本协议项下涉及的来源数据和处理数据，不得超出约定范围。第二条数据安全义务2.1双方应共同遵守适用法律法规及本协议关于数据安全的各项规定，采取充分的技术措施和管理措施，保障来源数据和处理数据的安全。2.2甲方义务：(1)确保其提供的来源数据符合适用法律法规的要求，并在提供前已获得必要的个人授权（如适用）。(2)指定数据安全负责人，负责监督甲方在合作项目中的数据处理活动。(3)对其员工进行数据安全意识培训，确保其了解并遵守数据安全要求。(4)对存储其自身或共享基础设施上来源数据的系统进行安全防护。(5)根据本协议约定，及时通知乙方个人数据泄露事件。2.3乙方义务：(1)仅在为履行本协议约定而必需的范围内处理来源数据和处理数据，并确保处理活动符合适用法律法规及本协议要求。(2)指定数据安全负责人，并建立完善的数据安全管理制度和操作规程。(3)采取必要的技术措施，包括但不限于数据加密（传输中与存储时）、访问控制（基于最小权限原则）、安全审计、漏洞扫描和补丁管理等，防止数据泄露、篡改、丢失。(4)对接触来源数据和处理数据的员工进行背景审查、保密协议签署和数据安全培训，并对其行为进行监督。(5)建立数据泄露应急响应机制，一旦发生数据泄露事件，立即采取措施控制损失，并在规定时限内（不超过24小时）通知甲方；根据甲方的指示和适用法律法规要求，配合进行后续处理。(6)确保其使用的第三方服务提供商（如云服务提供商、软件供应商等）也遵守不低于本协议要求的数据安全标准，并承担相应的监督责任。(7)根据本协议约定，及时通知甲方个人数据泄露事件。第三条数据主体权利履行3.1双方确认，各自在处理个人数据时，承担相应的数据控制者或处理者的法律责任。3.2任何一方在接到数据主体关于其个人数据访问、更正、删除等行权请求时，应根据适用法律法规的规定以及本协议约定，及时、准确地响应请求，并相互协作，确保请求得到妥善处理。3.3双方应建立畅通的渠道，供数据主体联系请求其个人数据权利的履行。第四条数据传输与跨境4.1双方同意，任何一方在将本协议项下处理的个人数据或商业秘密传输至本协议主体以外的第三方（包括境外）时，应事先获得另一方的事先书面同意。4.2数据传输至境外的，应确保接收方所在国家或地区提供与中华人民共和国个人信息保护法、数据安全法等法律法规相兼容的个人信息保护水平。接收方应承担与其处理行为相关的数据安全保护责任。4.3为履行本协议目的，如需将数据传输至境外且未获另一方事先同意的，应确保：(1)已采用有效的合同约束措施，如具有法律约束力的标准合同条款（SCCs）或经认证的保障措施；(2)获得数据主体明确、单独的同意；(3)符合适用法律法规规定的其他条件。4.4双方应相互告知其计划进行的、可能涉及跨境传输数据的重大活动，并确保该等传输活动符合本协议及适用法律法规的要求。第五条数据泄露通知5.1任何一方在发现或怀疑发生影响个人数据安全的事件（包括但不限于数据泄露、丢失、篡改、未经授权访问等）时，应立即启动应急响应机制，采取补救措施，防止损害扩大。5.2发生或可能发生个人信息泄露、篡改、丢失的，通知方应在事件发生后二十四小时内（以实际发生时间为准）通知另一方，通知内容应包括事件的基本情况（如时间、地点、涉及的数据类型和范围、初步原因分析、已采取或拟采取的措施等）。5.3如根据适用法律法规的要求需要向监管机构或受影响个人通知数据泄露事件的，相关方应按照法律法规规定执行，并及时告知另一方。第六条审计与合规6.1双方同意，在履行本协议过程中，应遵守所有适用的数据保护、网络安全和商业秘密保护的法律、法规、规章及标准。6.2甲方有权对乙方的数据处理活动（包括数据安全措施、合规流程等）进行审计，审计范围和频次应合理，并应提前十日书面通知乙方。乙方应配合甲方进行审计，提供必要的文件、记录和访问权限，不得无理拒绝或拖延。6.3乙方有权对甲方的数据处理活动（特别是涉及乙方处理的数据）进行审计，审计安排参照前款执行。如甲方拒绝或拖延审计，乙方有权暂停相关数据传输或处理活动，直至甲方提供合理解释并采取补救措施。第七条责任与赔偿7.1双方应各自对因违反本协议约定（尤其是违反数据安全义务）而直接导致的损失承担责任。7.2因一方违反本协议约定导致另一方或第三方遭受损失的，违约方应在其违约行为造成的损失范围内承担赔偿责任。7.3任何一方根据适用法律法规或本协议约定承担赔偿责任，不免除其因违反适用法律法规而应向监管机构缴纳的罚款或其他行政处罚。7.4本协议约定的赔偿责任上限为违约方在违反该具体条款前十二个月内因处理相关数据而产生的年收入总额的百分之十。对于因故意或重大过失导致的损失，或因违反保密义务、违反个人信息处理目的等造成的损失，此上限不适用。双方可在签署本协议时协商提高特定条款的赔偿上限，但不得超过适用法律法规允许的上限。第八条保密条款8.1除非事先获得对方书面同意，任何一方不得向任何第三方（包括关联公司，但为履行本协议目的所必需的人员除外）披露本协议的全部或部分内容，以及在本协议履行过程中获悉的对方的商业秘密、技术信息、个人数据（以与处理目的相关且必要的最小范围提供）、商业计划等非公开信息。8.2保密信息不包括：(1)披露时已为公众所知的信息；(2)披露后非因一方过错而为公众所知的信息；(3)从有权披露的第三方合法获得的信息。8.3双方及其员工、代理人、顾问等均应遵守本保密义务，并确保其相关人员同样遵守。保密义务不因本协议的终止而终止，对于商业秘密和涉及个人数据的保密信息，保密义务应持续有效五年，或直至该信息成为公开信息，以较长者为准。第九条协议期限与终止9.1本协议自双方授权代表签字盖章之日起生效，有效期为三年，自2026年[具体日期]起至[具体日期]止。9.2协议期限届满前[具体期限，如三个月]，如双方均有意继续合作，应另行签署续期协议。9.3任何一方可在协议有效期内，提前[具体期限，如一个月]以书面形式通知另一方终止本协议。提前终止不影响通知方根据本协议及适用法律法规应享有的权利和承担的义务。9.4在本协议终止时或根据本协议终止后，双方应：(1)立即停止处理所有个人数据，除非本协议另有约定或适用法律法规要求继续处理。(2)在终止后[具体天数，如三十日]内，根据另一方书面要求，删除或返还其持有的所有来源数据和已处理但归甲方所有的处理数据；如需更长时间，应经另一方书面同意。(3)不得因本协议的终止而泄露或使用在合作期间获悉的对方的保密信息。第十条其他条款10.1完整协议：本协议构成双方就本协议标的事项达成的完整协议，取代双方此前就此达成的所有口头或书面协议、谅解或安排。10.2修订：对本协议的任何修改或补充，均应以书面形式作出，并经双方授权代表签字盖章后生效。10.3可分割性：本协议任何条款的无效或不可执行，不影响其他条款的效力。10.4转让：未经另一方事先书面同意，任何一方不得将其在本协议项下的权利或义务部分或全部转让给任何第三方。10.5通知：与本协议有关的任何通知或通讯应以书面形式按本协议首页所示地址或双方后续书面指定的地址发送，以邮戳日或电子邮件发送确认日为准。10.6法律适用与争议解决：本协议的订立、效力、解释、履行及争议解决均适用中华人民共和国法律。因本协议引起的或与本协议有关的任何争议，双方应首先通过友好协商解决；协商不成的，任何一方均有权将争议提交[指定仲裁机构，如中国国际经济贸易仲裁委员会]，按照申请仲裁时该会现行有效的仲裁规则进行仲裁。仲裁裁决是终局的，对双方均有约束力。仲裁地点为[指定城市]。如在