云數(shù)據(jù)合規(guī)審查協(xié)議（2025版）鑒于雙方（以下簡稱“用戶”和“服務(wù)商”）認(rèn)識到數(shù)據(jù)合規(guī)的重要性，并基于平等、自愿、公平和誠實信用的原則，就用戶委托服務(wù)商對其在服務(wù)商云平臺處理的云數(shù)據(jù)進(jìn)行合規(guī)性審查事宜，達(dá)成如下協(xié)議：第一條定義除非本協(xié)議上下文另有解釋，下列詞語具有以下含義：1.1云服務(wù)：指服務(wù)商向用戶提供的存儲、計算、分析或其他處理功能的云服務(wù)。1.2數(shù)據(jù)處理活動：指用戶授權(quán)服務(wù)商在云服務(wù)中對其數(shù)據(jù)執(zhí)行的所有操作，包括但不限于收集、存儲、使用、加工、傳輸、提供、刪除等。1.3數(shù)據(jù)：指用戶在云服務(wù)中處理的所有信息，無論其形式如何，包括但不限于個人信息、個人信息處理者、個人敏感信息、商業(yè)秘密等。1.4合規(guī)要求：指適用于用戶數(shù)據(jù)處理活動的所有適用法律、法規(guī)、規(guī)章、標(biāo)準(zhǔn)和其他具有法律約束力的規(guī)范文件，包括但不限于《中華人民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國數(shù)據(jù)安全法》、《中華人民共和國個人信息保護(hù)法》、歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）、美國加州《消費(fèi)者隱私法案》（CCPA）以及其他雙方書面約定的特定行業(yè)法規(guī)或標(biāo)準(zhǔn)。1.5云數(shù)據(jù)合規(guī)審查：指服務(wù)商根據(jù)本協(xié)議約定，對用戶數(shù)據(jù)處理活動是否符合合規(guī)要求所進(jìn)行的評估、審計、測試、評估或其他類似活動。1.6保密信息：指一方（披露方）以書面、口頭、電子或其他形式向另一方（接收方）披露的，標(biāo)明為“保密”或根據(jù)其性質(zhì)應(yīng)合理理解為保密的所有信息，包括但不限于技術(shù)信息、商業(yè)計劃、用戶數(shù)據(jù)、服務(wù)配置、合規(guī)報告、運(yùn)營細(xì)節(jié)以及本協(xié)議的內(nèi)容本身。1.7適用日期：本協(xié)議旨在符合截至2025年有效的相關(guān)法律法規(guī)和標(biāo)準(zhǔn)要求。第二條云數(shù)據(jù)合規(guī)審查范圍與目的2.1服務(wù)商同意根據(jù)本協(xié)議約定及用戶授權(quán)，對用戶在云服務(wù)中處理的數(shù)據(jù)（以下簡稱“目標(biāo)數(shù)據(jù)”）的處理活動進(jìn)行合規(guī)審查。2.2合規(guī)審查的范圍包括但不限于用戶數(shù)據(jù)處理政策的制定與執(zhí)行、數(shù)據(jù)主體權(quán)利響應(yīng)機(jī)制、數(shù)據(jù)安全措施（如加密、訪問控制、日志記錄）、數(shù)據(jù)跨境傳輸機(jī)制（如適用）、數(shù)據(jù)處理者管理、合規(guī)性培訓(xùn)記錄以及服務(wù)商提供的與用戶數(shù)據(jù)處理相關(guān)的云服務(wù)功能配置。2.3合規(guī)審查的目的是評估用戶數(shù)據(jù)處理活動在當(dāng)前環(huán)境下是否符合約定的合規(guī)要求，并識別潛在的不合規(guī)風(fēng)險或已發(fā)生的不合規(guī)情況。第三條雙方權(quán)利與義務(wù)3.1用戶的權(quán)利與義務(wù)：3.1.1用戶保證其基于本協(xié)議進(jìn)行的數(shù)據(jù)處理活動具有合法依據(jù)，并符合其適用的合規(guī)要求。3.1.2用戶應(yīng)向服務(wù)商提供必要的背景信息，包括數(shù)據(jù)處理目的、法律依據(jù)、數(shù)據(jù)分類、適用的特定合規(guī)要求等，以支持服務(wù)商有效開展合規(guī)審查。3.1.3用戶應(yīng)根據(jù)服務(wù)商的要求，配合提供相關(guān)的文檔、記錄、配置信息以及必要的系統(tǒng)訪問權(quán)限，以供服務(wù)商進(jìn)行合規(guī)審查。3.1.4用戶應(yīng)確保其指定的聯(lián)系人能夠配合服務(wù)商就合規(guī)審查事宜進(jìn)行溝通和訪談。3.1.5用戶應(yīng)對其數(shù)據(jù)主體依據(jù)適用法律提出的請求（如訪問、更正、刪除其個人數(shù)據(jù)）負(fù)首要責(zé)任，并應(yīng)服務(wù)商合理請求，協(xié)助處理此類請求，以支持審查。3.1.6用戶應(yīng)承擔(dān)因自身數(shù)據(jù)處理活動不合規(guī)而產(chǎn)生的全部法律責(zé)任，服務(wù)商因用戶原因?qū)е碌牟缓弦?guī)風(fēng)險或責(zé)任，不承擔(dān)賠償責(zé)任。3.1.7用戶應(yīng)遵守本協(xié)議項下的保密義務(wù)。3.2服務(wù)商的權(quán)利與義務(wù)：3.2.1服務(wù)商應(yīng)基于用戶授權(quán)和本協(xié)議約定，使用專業(yè)的方法和工具對目標(biāo)數(shù)據(jù)的處理活動進(jìn)行合規(guī)審查。3.2.2服務(wù)商應(yīng)確保其進(jìn)行合規(guī)審查的人員具備相應(yīng)的專業(yè)知識和能力。3.2.3服務(wù)商應(yīng)采取不低于行業(yè)內(nèi)良好實踐的保密措施，保護(hù)在合規(guī)審查過程中接觸到的用戶數(shù)據(jù)、系統(tǒng)信息及其他保密信息。3.2.4服務(wù)商應(yīng)按照本協(xié)議約定的頻次、范圍和方法開展合規(guī)審查，并在完成審查后及時向用戶提交合規(guī)審查報告。3.2.5合規(guī)審查報告應(yīng)客觀反映審查情況，包括審查范圍、方法、主要發(fā)現(xiàn)（包括識別出的不合規(guī)風(fēng)險或不合規(guī)問題）、風(fēng)險評估以及改進(jìn)建議。3.2.6如果在合規(guī)審查過程中識別出顯著的不合規(guī)風(fēng)險或已發(fā)生的不合規(guī)情況，服務(wù)商應(yīng)及時通知用戶，并協(xié)助用戶分析原因。3.2.7根據(jù)用戶的要求和本協(xié)議約定，服務(wù)商可以提供關(guān)于改進(jìn)數(shù)據(jù)合規(guī)性的建議和支持。3.2.8服務(wù)商應(yīng)遵守本協(xié)議項下的保密義務(wù)。3.2.9服務(wù)商應(yīng)保證其提供的云服務(wù)符合適用的安全性和合規(guī)性標(biāo)準(zhǔn)，但用戶的數(shù)據(jù)處理活動合規(guī)性最終由用戶負(fù)責(zé)。第四條合規(guī)審查的實施4.1合規(guī)審查的啟動：本協(xié)議生效后[例如：三十（30）]日內(nèi)，服務(wù)商應(yīng)啟動首次合規(guī)審查。后續(xù)審查的頻次由雙方根據(jù)需要協(xié)商確定，或按照本協(xié)議約定的周期進(jìn)行[例如：每年一次]。4.2審查方法：服務(wù)商可采取但不限于文檔審閱、配置核查、技術(shù)測試、抽樣檢查、人員訪談、數(shù)據(jù)分析等方法進(jìn)行合規(guī)審查。4.3用戶配合：用戶應(yīng)根據(jù)服務(wù)商的合理請求，在約定的時間內(nèi)提供必要的文檔、記錄、系統(tǒng)訪問權(quán)限，并安排相關(guān)人員配合訪談。用戶的延遲或拒絕配合不應(yīng)被視為授權(quán)服務(wù)商擴(kuò)大審查范圍或簡化審查程序。4.4審查時間：服務(wù)商應(yīng)提前[例如：十五（15）]日通知用戶本次合規(guī)審查的大致時間安排，以便用戶做好準(zhǔn)備。合規(guī)審查的具體執(zhí)行時間可與用戶協(xié)商確定。4.5跨境審查：如數(shù)據(jù)處理涉及跨境傳輸，服務(wù)商在審查時應(yīng)關(guān)注并評估相關(guān)的跨境傳輸機(jī)制是否符合適用法律法規(guī)的要求。第五條合規(guī)審查報告5.1報告內(nèi)容：服務(wù)商應(yīng)在每次合規(guī)審查完成后[例如：三十（30）]日內(nèi)，向用戶提供書面合規(guī)審查報告。報告應(yīng)詳細(xì)說明審查依據(jù)、范圍、方法、主要發(fā)現(xiàn)、風(fēng)險評估以及針對發(fā)現(xiàn)問題的改進(jìn)建議。5.2報告確認(rèn)：用戶應(yīng)在收到報告后[例如：十五（15）]日內(nèi)進(jìn)行審閱，如有異議，應(yīng)及時以書面形式向服務(wù)商提出。無異議或未在規(guī)定期限內(nèi)提出異議的，視為用戶對報告內(nèi)容的初步確認(rèn)。5.3報告分發(fā)：除用戶明確授權(quán)外，服務(wù)商不得將合規(guī)審查報告向任何第三方披露。第六條保密義務(wù)6.1雙方應(yīng)對本協(xié)議、履行本協(xié)議過程中獲悉的對方的以及用戶的保密信息承擔(dān)保密義務(wù)。6.2未經(jīng)披露方事先書面同意，接收方不得向任何第三方披露保密信息，但下列情況除外：a)接收方需要向其雇員、顧問、代理人披露以履行其在本協(xié)議下的義務(wù)，且該等人員已同意承擔(dān)不低于接收方標(biāo)準(zhǔn)的保密義務(wù)；b)接收方依據(jù)適用的法律法規(guī)或有權(quán)司法或行政機(jī)構(gòu)的要求披露，且已盡合理努力通知披露方該等要求；c)該保密信息已非因接收方違反保密義務(wù)而為第三方所公開。6.3本保密義務(wù)不因本協(xié)議的終止而失效，持續(xù)有效期限為本協(xié)議終止后[例如：五（5）]年。6.4任何一方因履行本協(xié)議需要而披露保密信息給其關(guān)聯(lián)方的，應(yīng)確保該關(guān)聯(lián)方遵守不低于本協(xié)議的保密義務(wù)。第七條責(zé)任與救濟(jì)7.1服務(wù)商責(zé)任：服務(wù)商因違反本協(xié)議約定，未能按照本協(xié)議要求進(jìn)行合規(guī)審查或提供必要支持，給用戶造成損失的，應(yīng)承擔(dān)相應(yīng)的賠償責(zé)任，但賠償責(zé)任以用戶因此實際遭受的直接損失為限。7.2用戶責(zé)任：用戶因違反本協(xié)議約定，導(dǎo)致其數(shù)據(jù)處理活動不合規(guī)，應(yīng)自行承擔(dān)全部法律責(zé)任。服務(wù)商不因用戶的不合規(guī)行為而向第三方承擔(dān)責(zé)任，但用戶應(yīng)賠償服務(wù)商因此遭受的直接損失。7.3不合規(guī)處理：如合規(guī)審查發(fā)現(xiàn)用戶存在不合規(guī)問題，用戶應(yīng)在收到報告后[例如：六十（60）]日內(nèi)制定并提交整改計劃，并按照計劃完成整改。服務(wù)商有權(quán)要求用戶定期匯報整改進(jìn)展，并有權(quán)對整改效果進(jìn)行復(fù)核。第八條期限、變更與終止8.1協(xié)議期限：本協(xié)議自雙方授權(quán)代表簽字蓋章之日起生效，有效期為[例如：一年（12個月）]。期滿前[例如：三十（30）]日，如雙方無書面異議，本協(xié)議自動續(xù)展[例如：一年（12個月）]，續(xù)展次數(shù)不限/最多續(xù)展[數(shù)字]次。任何一方可在有效期內(nèi)提前[例如：三十（30）]日書面通知對方終止本協(xié)議。8.2變更：對本協(xié)議的任何修改或補(bǔ)充，均須經(jīng)雙方書面同意。8.3終止后果：本協(xié)議終止后，雙方在本協(xié)議下的權(quán)利義務(wù)除保密義務(wù)、爭議解決條款以及根據(jù)其性質(zhì)應(yīng)繼續(xù)執(zhí)行的條款外均終止。用戶的數(shù)據(jù)及其處理活動應(yīng)按照雙方事先約定的方式處理（如數(shù)據(jù)遷移、刪除），具體執(zhí)行由用戶負(fù)責(zé)或雙方協(xié)商確定。第九條法律適用與爭議解決9.1法律適用：本協(xié)議的訂立、效力、解釋、履行及爭議解決均適用中華人民共和國法律。9.2爭議解決：因本協(xié)議引起的或與本協(xié)議有關(guān)的任何爭議，雙方應(yīng)首先通過友好協(xié)商解決。協(xié)商不成的，任何一方均有權(quán)將爭議提交至[選擇一種并明確]：a)有管轄權(quán)的人民法院訴訟解決；或b)[明確仲裁機(jī)構(gòu)名稱，如：中國國際經(jīng)濟(jì)貿(mào)易仲裁委員會]按照其屆時有效的仲裁規(guī)則進(jìn)行仲裁。仲裁地點(diǎn)為[明確城市]，仲裁語言為中文。仲裁裁決是終局的，對雙方均有約束力。第十條其他條款10.1通知：與本協(xié)議有關(guān)的任何通知或通訊應(yīng)以書面形式，通過書面信函、傳真、電子郵件或雙方事先書面指定的其他方式發(fā)送至本協(xié)議首部列明的地址或郵箱。10.2完整協(xié)議：本協(xié)議構(gòu)成雙方就本協(xié)議主題達(dá)成的完整協(xié)議，取代雙方此前就此達(dá)成的所有口頭或書面協(xié)議、諒解或安排。10.3可分割性：如果本協(xié)議任何條款被認(rèn)定為無效、非法或不可執(zhí)行，該條款應(yīng)被視為從本協(xié)議中刪除，但本協(xié)議的其他條款應(yīng)繼續(xù)完全有效。10.4轉(zhuǎn)讓：未經(jīng)對方事先書面同意，任何一方不得將其在本協(xié)議項下的權(quán)利