個人信息保護(hù)協(xié)議書第一章總則第一條合同編號本個人信息保護(hù)協(xié)議書編號為_______。第二條定義1.1個人信息：指自然人的姓名、出生日期、身份證號碼、生物識別信息、住址、電話號碼、電子郵箱、財務(wù)信息、醫(yī)療信息、行蹤信息等與個人相關(guān)聯(lián)的任何信息。1.2信息控制者：指依法收集、使用、加工、傳輸、存儲、刪除個人信息的組織或個人。1.3信息處理者：指根據(jù)信息控制者的指示，對個人信息進(jìn)行收集、使用、加工、傳輸、存儲、刪除等活動的組織或個人。1.4信息主體：指個人信息權(quán)利人。第三條適用范圍3.1本協(xié)議適用于信息控制者與信息處理者之間關(guān)于個人信息的收集、使用、加工、傳輸、存儲、刪除等活動。3.2本協(xié)議適用于本協(xié)議簽訂之后發(fā)生的個人信息處理活動。第四條義務(wù)和責(zé)任4.1信息控制者的義務(wù)：（1）依法收集、使用個人信息；（2）采取必要的技術(shù)和管理措施，保證個人信息的安全；（3）告知信息主體其個人信息的用途和目的；（4）對個人信息進(jìn)行分類管理，不得超出目的和范圍使用；（5）依法向信息主體公開其個人信息的使用情況；（6）及時響應(yīng)信息主體的權(quán)利請求。4.2信息處理者的義務(wù)：（1）嚴(yán)格按照信息控制者的指示處理個人信息；（2）采取必要的技術(shù)和管理措施，保證個人信息的安全；（3）不得泄露、篡改個人信息；（4）在信息控制者授權(quán)范圍內(nèi)使用個人信息；（5）依法向信息主體公開其個人信息的使用情況；（6）及時響應(yīng)信息主體的權(quán)利請求。第五條信息主體的權(quán)利5.1信息主體有權(quán)了解其個人信息的使用目的、方式、范圍、存儲期限等情況。5.2信息主體有權(quán)要求信息控制者和信息處理者更正其錯誤的個人信息。5.3信息主體有權(quán)要求信息控制者和信息處理者刪除其個人信息。5.4信息主體有權(quán)要求信息控制者和信息處理者限制其個人信息的使用和傳輸。5.5信息主體有權(quán)要求信息控制者和信息處理者提供其個人信息的使用情況和相關(guān)個人信息。5.6信息主體有權(quán)向信息控制者和信息處理者提出投訴和舉報。第六條信息安全6.1信息控制者和信息處理者應(yīng)采取必要的技術(shù)和管理措施，保證個人信息的安全。6.2信息控制者和信息處理者應(yīng)建立和完善信息安全管理制度，明確信息安全責(zé)任。6.3信息控制者和信息處理者應(yīng)定期對個人信息安全進(jìn)行檢查和評估，及時發(fā)覺和糾正安全隱患。6.4信息控制者和信息處理者應(yīng)加強(qiáng)對員工的培訓(xùn)，提高其信息安全意識。第七條法律責(zé)任7.1違反本協(xié)議的，信息控制者和信息處理者應(yīng)承擔(dān)相應(yīng)的法律責(zé)任。7.2因信息控制者和信息處理者的過錯，導(dǎo)致個人信息泄露、篡改、損毀、丟失的，應(yīng)承擔(dān)相應(yīng)的法律責(zé)任。第八條協(xié)議的生效、變更和終止8.1本協(xié)議自雙方簽字蓋章之日起生效。8.2本協(xié)議的任何變更，需經(jīng)雙方協(xié)商一致，并以書面形式作出。8.3本協(xié)議在下列情形下終止：（1）協(xié)議約定的終止條件成就；（2）協(xié)議到期；（3）法律法規(guī)規(guī)定的其他情形。第九條其他9.1本協(xié)議未盡事宜，雙方可另行協(xié)商解決。9.2本協(xié)議的解釋權(quán)歸信息控制者所有。甲方（信息控制者）名稱：_______乙方（信息處理者）名稱：_______甲方（信息控制者）地址：_______乙方（信息處理者）地址：_______甲方（信息控制者）聯(lián)系人：_______乙方（信息處理者）聯(lián)系人：_______甲方（信息控制者）電話：_______乙方（信息處理者）電話：_______甲方（信息控制者）電子郵箱：_______乙方（信息處理者）電子郵箱：_______第六章個人信息收集與使用第六條信息收集原則6.1信息控制者收集個人信息時，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，不得收集與處理目的無關(guān)的個人信息。6.2信息收集前，信息控制者應(yīng)當(dāng)明確告知信息主體收集個人信息的范圍、目的、使用方式、存儲期限等事項。6.3信息控制者不得通過誤導(dǎo)、欺騙等方式收集個人信息。第七條信息使用規(guī)則7.1信息控制者使用個人信息時，應(yīng)當(dāng)符合收集時所告知的目的，不得超出目的范圍使用。7.2信息控制者不得將個人信息用于未經(jīng)信息主體同意的其他目的。7.3信息控制者應(yīng)當(dāng)對個人信息進(jìn)行分類管理，保證不同類別的個人信息得到相應(yīng)保護(hù)。第八條信息主體同意8.1信息控制者收集和使用個人信息前，應(yīng)當(dāng)取得信息主體的明確同意。8.2信息主體同意的方式可以是書面形式、電子形式或其他能夠證明同意的方式。8.3信息主體有權(quán)隨時撤回其同意，撤回同意不影響已經(jīng)收集和處理個人信息的合法性。第九條信息存儲與保護(hù)9.1信息控制者應(yīng)當(dāng)采取必要措施，保證個人信息的安全，防止信息泄露、損毀、丟失。9.2信息控制者應(yīng)當(dāng)制定個人信息安全事件應(yīng)急預(yù)案，及時處理個人信息安全事件。9.3信息控制者應(yīng)當(dāng)對存儲的個人信息進(jìn)行定期檢查和維護(hù)，保證信息的準(zhǔn)確性。第十條信息共享與公開10.1信息控制者未經(jīng)信息主體同意，不得向任何第三方共享個人信息。10.2信息控制者因業(yè)務(wù)需要向第三方提供個人信息時，應(yīng)當(dāng)保證第三方具備相應(yīng)的信息安全保護(hù)能力。10.3信息控制者應(yīng)當(dāng)公開其個人信息保護(hù)政策，接受社會監(jiān)督。第十一章個人信息訪問與更正第十一條信息主體訪問權(quán)利11.1信息主體有權(quán)訪問其個人信息，包括但不限于個人信息的收集目的、使用方式、存儲期限等。11.2信息控制者應(yīng)當(dāng)在收到信息主體訪問請求后，及時提供相關(guān)信息。第十二條信息主體更正權(quán)利12.1信息主體發(fā)覺其個人信息不準(zhǔn)確或遺漏時，有權(quán)要求信息控制者更正。12.2信息控制者應(yīng)當(dāng)在收到信息主體更正請求后，及時核實并作出更正。第十三條信息主體刪除權(quán)利13.1信息主體有權(quán)要求信息控制者刪除其個人信息，但以下情況除外：（1）法律、行政法規(guī)規(guī)定必須保存的；（2）信息控制者有合法理由需要保留的。13.2信息控制者應(yīng)當(dāng)在收到信息主體刪除請求后，及時核實并作出刪除。第十四條信息主體查詢權(quán)利14.1信息主體有權(quán)查詢其個人信息的使用情況，包括但不限于個人信息的使用目的、方式、范圍等。14.2信息控制者應(yīng)當(dāng)在收到信息主體查詢請求后，及時提供相關(guān)信息。第十五章個人信息跨境傳輸?shù)谑鍡l跨境傳輸原則15.1信息控制者將個人信息跨境傳輸至境外時，應(yīng)當(dāng)保證境外接收方具備相應(yīng)的信息安全保護(hù)能力。15.2信息控制者應(yīng)當(dāng)遵守國家關(guān)于個人信息跨境傳輸?shù)姆煞ㄒ?guī)。第十六條跨境傳輸同意16.1信息控制者跨境傳輸個人信息前，應(yīng)當(dāng)取得信息主體的明確同意。16.2信息主體有權(quán)拒絕其個人信息被跨境傳輸。第十七條跨境傳輸記錄17.1信息控制者應(yīng)當(dāng)記錄個人信息跨境傳輸?shù)那闆r，包括傳輸目的、接收方信息、傳輸時間等。17.2信息控制者應(yīng)當(dāng)定期審查跨境傳輸記錄，保證記錄的完整性和準(zhǔn)確性。第十一章個人信息訪問與更正第十一條信息主體訪問權(quán)利11.1信息主體有權(quán)訪問其個人信息，包括但不限于個人信息的收集目的、使用方式、存儲期限等。11.2信息控制者應(yīng)當(dāng)在收到信息主體訪問請求后的合理時間內(nèi)，提供以下信息：（1）個人信息收集的目的和依據(jù)；（2）個人信息的使用方式和范圍；（3）個人信息的存儲期限；（4）個人信息的安全性保護(hù)措施；（5）信息主體享有的權(quán)利及行使方式。第十二條信息主體更正權(quán)利12.1信息主體發(fā)覺其個人信息不準(zhǔn)確或遺漏時，有權(quán)要求信息控制者更正。12.2信息控制者應(yīng)當(dāng)在收到信息主體更正請求后的合理時間內(nèi)，采取以下措施：（1）核實信息主體的身份；（2）調(diào)查并確認(rèn)個人信息的不準(zhǔn)確或遺漏；（3）如確認(rèn)不準(zhǔn)確或遺漏，及時更正個人信息；（4）將更正結(jié)果通知信息主體。第十三條信息主體刪除權(quán)利13.1信息主體有權(quán)要求信息控制者刪除其個人信息，但以下情況除外：（1）法律、行政法規(guī)規(guī)定必須保存的；（2）信息控制者有合法理由需要保留的，如合同履行、法律訴訟等。13.2信息控制者應(yīng)當(dāng)在收到信息主體刪除請求后的合理時間內(nèi)，采取以下措施：（1）核實信息主體的身份；（2）調(diào)查并確認(rèn)信息主體刪除請求的合法性；（3）如確認(rèn)合法，及時刪除個人信息；（4）將刪除結(jié)果通知信息主體。第十四章個人信息查詢第十四條信息主體查詢權(quán)利14.1信息主體有權(quán)查詢其個人信息的使用情況，包括但不限于個人信息的使用目的、方式、范圍等。14.2信息控制者應(yīng)當(dāng)在收到信息主體查詢請求后的合理時間內(nèi)，提供以下信息：（1）個人信息的使用目的和依據(jù)；（2）個人信息的使用方式和范圍；（3）個人信息的使用期限；（4）個人信息的安全性保護(hù)措施。第十五章個人信息保護(hù)管理第十五條信息安全責(zé)任15.1信息控制者作為信息處理者，對個人信息的安全承擔(dān)全面責(zé)任。15.2信息控制者應(yīng)當(dāng)建立健全個人信息保護(hù)制度，包括但不限于：（1）制定個人信息保護(hù)政策；（2）實施技術(shù)和管理措施，保證個人信息安全；（3）定期進(jìn)行個人信息安全風(fēng)險評估；（4）對員工進(jìn)行個人信息保護(hù)培訓(xùn)。第十六條信息安全事件處理16.1信息控制者應(yīng)當(dāng)制定信息安全事件應(yīng)急預(yù)案，包括但不限于：（1）信息安全事件分類；（2）信息安全事件報告流程；（3）信息安全事件處理措施；（4）信息安全事件后續(xù)調(diào)查。第十七條信息安全監(jiān)督與評估17.1信息控制者應(yīng)當(dāng)接受國家有關(guān)個人信息保護(hù)監(jiān)督管理部門的監(jiān)督。17.2信息控制者應(yīng)當(dāng)定期進(jìn)行個人信息保護(hù)工作評估，保證個人信息保護(hù)措施的有效性。甲方（信息控制者）名稱：_______乙方（