数据委托处理协议
数据委托处理协议
甲方(委托方)
名称:
统一社会信用代码:
乙方(受托方)
名称:
统一社会信用代码:
本合同各方经平等自愿协商,根据《民法典》及相关法规,签订本合同以共同遵守。
1. 定义
1.1 “个人信息”是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
1.2 “处理”是指对个人信息等数据进行的任何操作或一系列操作,包括但不限于:访问、收集、存储、使用、加工、传输、提供、公开、删除。
1.3 “适用数据保护法律”主要是指本协议生效前和生效后中国不时颁布生效的个人信息保护、数据合规相关的法律和法规,包括但不限于《网络安全法》《消费者权益保护法》《数据安全法》《个人信息保护法》(仅为本协议之目的,为避免疑义,不包括香港特别行政区、澳门特别行政区及台湾地区的法律)。
1.4 “数据处理者”是指在个人信息等数据的处理活动中自主决定处理目的、处理方式的组织、个人。为避免歧义,本协议项下,甲方为数据处理者,即“数据提供方”。
1.5 “受托人”是指接受数据处理者委托,严格按照数据处理者的要求处理数据的组织或者个人。为避免歧义,本协议项下,乙方为受托人,即“数据接收方”。
1.6 “接收的数据”是指为履行本协议所必需的范围内,甲方向乙方提供的数据。
1.7 “生成的数据”是指在履行本协议过程中,乙方为履行本协议下的受托数据处理行为而生成的数据。接收的数据和生成的数据统合称为“委托数据”。
1.8 “处理目的”是指乙方从甲方处获得个人信息等数据,仅限用于双方在本协议附件一约定的服务目的。
2. 个人信息保护原则
双方均认可并同意,本协议项下个人信息处理应共同遵循以下原则,保障用户个人信息权益:
2.1 尊重用户的知情权。用简明易懂的语言,明确向用户告知采集、使用其个人信息的目的、方式、范围、用途等。不违法违规采集用户信息。
2.2 尊重用户的控制权。不强迫用户进行不合理的“一揽子授权”,依法向用户提供个人信息权利主张的途径。
2.3 尊重用户授权,强化自我约束。严格遵守与用户约定的授权范围,不采集与提供服务无关的信息。
2.4 保障用户的信息安全。采取充分有效的技术手段和管理措施,并对委托处理个人信息的第三方进行筛选,防止个人信息泄漏、毁损、丢失。
2.5 保障产品和服务的安全可信。不在产品和服务中设置隐蔽功能进行用户不知情的操作,发现安全缺陷、漏洞时,及时采取补救措施。
2.6 联合抵制黑色产业链。不采集通过非法渠道获取的信息,坚决杜绝与个人信息黑色产业链的任何交易及往来。
2.7 倡导行业自律。共同探索可推广、可复制并与国际接轨的个人信息保护最佳实践,带动和帮助行业整体水平提升。
2.8 接受社会监督。切实履行企业承诺,积极配合监管机构的监督检查,主动接受社会各方的监督。
3. 委托处理的目的、方式及数据范围
3.1 本协议项下,甲方委托乙方处理数据仅限于为履行双方合作之目的,乙方应当按照约定的范围和方式处理所接收的数据。
3.2 甲方依据本协议向乙方提供的个人信息等数据的范围、方式、处理目的等方面的指示,详见本协议附件一:委托数据明细清单。
4. 数据提供方权利和职责
4.1 数据提供方承诺,已按照适用数据保护法律开展收集、使用等数据处理行为。其提供委托数据给受托人的行为不违反数据保护规定,不违反与其他方的合同约定,或侵害第三方权益等。
4.2 数据提供方认为数据接收方数据安全能力与委托数据的敏感程度及数量不匹配时,有权向数据接收方发出问询。
5. 数据接收方权利和职责
5.1 数据接收方承诺,将按照本协议及适用数据保护法律的要求处理其从数据提供方接收的个人信息等数据。
5.2 受托人如需将委托数据转委托他人处理,需事先取得数据处理者同意,并在本协议附表二中进行列明。如需增加转委托范围,应以补充协议的方式进行约定。除非双方已书面约定的情形或为数据处理活动所必需,且符合适用数据保护法律的要求,否则受托人不得将全部或者任何部分的受托处理数据提供给任何第三方或者进行公开披露;以及
5.3 在任何情况下都不得以将导致数据提供方违反其在适用数据保护法律下的任何义务的方式处理委托数据。
5.4 数据接收方应当按照适用数据保护法律要求,建立相对应的数据安全能力,落实必要的管理和技术措施,为委托数据提供充分的安全保障,防止委托数据遭受未经授权的使用、泄漏、损毁、丢失。
5.5 数据安全保障措施应当考虑到现有技术水平,实施成本,处理的性质、范围、背景和目的,以及给个人信息主体的权利和自由造成损害的风险的可能性。包括但不限于:
5.5.1 场所及设施的权限控制。必须采取措施以防止对存放个人信息等数据的场所和设备未经授权的物理访问,例如权限控制系统,身份识别读卡器、磁卡及芯片卡,监控设备,设施出/入记录等。
5.5.2 访问限制。贯彻访问权限的人数最小化以及访问信息的数量最小化原则,仅供确有需要,且经授权的员工访问。未经授权的人员不得访问数据处理方获取的委托数据及其处理系统,无论是物理接触还是逻辑访问。
5.5.3 可用性控制。采取措施确保委托数据得到保护而不受意外破坏或丢失,至少应包括以下内容:确保已安装的系统在发生中断后能够恢复,确保系统正常运行并报告故障,确保储存的个人信息等数据不会因系统故障而被损坏,业务连续性程序,远程存储和防病毒/防火墙系统。
5.5.4 密码、加密和匿名化。数据处理方应采用合理的商业物理安全技术和电子安全技术来创建和保护密码,以及采取匿名化处理。如存储个人敏感信息、与关键信息基础设施有关的信息、重要数据,数据处理方应使用行业标准加密工具实施加密措施。
数据接收方应对技术和组织措施进行定期检查,以确保这些措施持续提供适当的安全水平。
5.6 数据接收方储存个人信息的期限应为实现其处理目的所需或适用数据保护法律所要求的最短时间,超出上述储存期限后,数据接收方应对个人信息(包括备份信息)进行删除或匿名化处理。
5.7 本协议本协议不生效、无效、被撤销或者终止的,数据接收方应当将委托数据返还给数据提供方并且删除和销毁委托处理的信息及所有副本/备份。
5.8 以下任一情形发生时,数据接收方应当立即停止使用接收的数据,并删除和销毁对应的委托数据及所有副本/备份,并向数据提供方提供书面确认:
5.8.1 收到数据提供方书面通知;
5.8.2 委托处理事项完成,委托处理事项无法实现或者为实现处理目的不再必要;
5.8.3 个人信息主体撤回同意;
5.8.4 甲方停止向个人信息主体提供服务,或者保存期限已届满;
5.8.5 其他不删除信息可能会导致违法违规的情形。
6. 安全事件处置
6.1 数据接收方应当落实必要的监测和响应措施,如果发生数据泄露事件,数据接收方应当本着及时、有效、诚信的原则采取行动及措施。
6.2 数据接收方在知晓安全事件时,数据接收方应当
6.2.1 毫不迟延地通知数据提供方并在数据提供方为履行适用数据保护法律下的安全事件上报义务而要求时向数据提供方提供所有该等及时的信息和合作;
6.2.2 按照适用数据保护法律的要求采取补救措施以降低安全事件的影响,且应当使数据提供方知晓与安全事件相关的进展;
6.2.3 根据适用数据保护法律通知个人信息主体,告知其可采取何种措施避免泄漏造成损害。如数据接收方采取的措施能够有效避免数据泄漏造成危害的,可不通知个人信息主体。以及
6.2.4 记录所有与数据泄漏相关的事实,包括其影响以及采取的任何补救措施,向监管报告的内容,并留存相应的记录,视情况按照数据提供方的需求向数据提供方提供该记录。
7. 配合义务及审计
7.1 数据接收方应当按照数据提供方的要求配合监管机关,并向数据提供方提供为了证明数据提供方遵守适用数据保护法律等相关目的而需要的必要信息。数据接收方应当将从监管机关收到的关于委托数据处理的任何要求、通知或其他通讯立即同步告知数据提供方,但法律法规有相反规定的除外。
7.2 数据接收方应当向数据提供方提供合理和及时的帮助以使数据提供方可以响应:
7.2.1 个人信息主体要求行使其在适用数据保护法律下的任何权利的请求;以及
7.2.2 从个人信息主体或者其他与委托数据处理相关的第三方处收到的任何其他通信、询问或者投诉。如果该等通信、询问或者投诉直接向数据接收方做出,数据接收方应当通知数据提供方并提供所有该等通信、询问或者投诉的细节。
7.3 经双方事先协商一致,数据接收方应当允许数据提供方或者数据提供方委派的第三方审计机构对数据接收方进行审计,以确认数据接收方处理委托数据是否符合适用数据保护法律和本协议的要求。
数据接收方应向数据提供方的授权代表或者数据提供方委托的第三方提供进行该等审计必要的协助。
8. 数据跨境传输
未经数据提供方书面同意,数据接收方不应将委托数据向中华人民共和国以外的国家和区域提供。为避免歧义,在本协议项下,向香港、澳门或台湾地区的组织或个人提供委托数据,亦视为本条约定下的跨境传输情形。
经数据提供方同意后,数据接收方向境外传输委托数据的,应当按照适用数据保护法律,以及双方之间的合同约定(如有),由数据接收方自行或指定部门,完成跨境安全评估后方可实施跨境传输。
9. 其他约定
9.1 不可抗力
9.1.1 不可抗力定义:指在本合同签署后发生的、本合同签署时不能预见的、其发生与后果是无法避免或克服的、妨碍任何一方全部或部分履约的所有事件。上述事件包括地震、台风、水灾、火灾、战争、国际或国内运输中断、流行病、罢工,以及根据中国法律或一般国际商业惯例认作不可抗力的其他事件。一方缺少资金非为不可抗力事件。
9.1.2 不可抗力的后果:
(1) 如果发生不可抗力事件,影响一方履行其在本合同项下的义务,则在不可抗力造成的延误期内中止履行,而不视为违约。
(2) 宣称发生不可抗力的一方应迅速书面通知其他各方,并在其后的十五(15)天内提供证明不可抗力发生及其持续时间的足够证据。
(3) 如果发生不可抗力事件,各方应立即互相协商,以找到公平的解决办法,并且应尽一切合理努力将不可抗力的影响减少到最低限度。
(4) 金钱债务的迟延责任不得因不可抗力而免除。
(5) 迟延履行期间发生的不可抗力不具有免责效力。
1.1 部分无效处理
如任何法院或有权机关认为本合同的任何部分无效、不合法或不可执行,则该部分不应被认为构成本合同的一部分,但不应影响本合同其余部分的合法有效性及可执行性。
2. 合同联系方式
2.1 为更好的履行本合同,双方提供如下联系方式:
(6) 甲方联系方式
联系人:
地址:
手机:
微信:
电子邮箱:
(7) 乙方联系方式
联系人:
地址:
手机:
微信:
电子邮箱:
1.1 通过电子邮箱及其它电子方式送达时,发出之日即视为有效送达。
1.2 通过快递等方式送达时,对方签收之日视为有效送达;对方拒收或退回的,视为签收。
1.3 上述联系方式同时作为有效司法送达地址。
1.4 一方变更联系方式,应以书面形式通知对方;否则,该联系方式仍视为有效,由未通知方承担由此而引起的相关责任。
1.5 本联系方式条款为独立条款,不受合同整体或其他条款的效力影响,始终有效。
2. 争议解决
因本合同以及本合同项下订单/附件/补充协议等(如有)引起或有关的任何争议,由合同各方协商解决,也可由有关部门调解。协商或调解不成的,应向 所在地有管辖权的人民法院起诉。
2. 法律适用
本合同的制定、解释及其在执行过程中出现的、或与本合同有关的纠纷之解决,受中华人民共和国(仅为本合同之目的,不包括香港特别行政区、澳门特别行政区和台湾地区)现行有效的法律的约束。
3. 附则
3.1 本合同一式二份,合同各方各执一份。各份合同文本具有同等法律效力。
3.2 本合同未尽事宜,各方应另行协商并签订补充协议。
3.3 本合同包含如下附件:《委托数据明细清单》
上述附件是本合同的一部分,具有与本合同同等的法律效力。
3.4 本合同经各方签名或盖章后生效。
(以下无合同正文)
签订时间: 年 月 日
甲方(盖章):
法定代表人或授权代表:
乙方(盖章):
法定代表人或授权代表:
附件一:委托数据明细清单
需求名称 | 处理数据类型 | 数据(信息)提供方 | 数据(信息)接收方 | 数据处理地域 | 传输入参数据字段 | 数据处理结果回传 | 数据传输方式 | 共享数据使用场景 | 共享数据使用目的 | 数据使用期限 | 到期处理方式 | |||||
公司名称 | 经营角色 | 数据角色 | 公司名称 | 经营角色 | 数据角色 | 出参数据字段 | 目的大类 | 具体目的 | | | ||||||
| 用户个人信息 | | | 委托方 | | | 受托方 | | | | | | | | | |
附件二:经数据提供方批准的分包商清单(如涉及)
分包商名称 | 地址 | 转委托事项描述 |
| | |
| | |
| | |