2025年生物識別技術安全協(xié)議本協(xié)議由以下雙方于______年____月____日簽署：甲方（控制者/處理者）：[甲方全稱]注冊地址：[甲方注冊地址]統(tǒng)一社會信用代碼/營業(yè)執(zhí)照號碼：[甲方統(tǒng)一社會信用代碼/營業(yè)執(zhí)照號碼]乙方（數(shù)據(jù)主體/用戶）：[乙方姓名/用戶名]身份證號碼/用戶賬號：[乙方身份證號碼/用戶賬號]聯(lián)系地址：[乙方聯(lián)系地址]聯(lián)系電話：[乙方聯(lián)系電話]鑒于：（1）甲方在業(yè)務活動中需要使用生物識別技術進行個人身份識別或驗證；（2）乙方同意在甲方提供的生物識別系統(tǒng)中提供其生物識別信息，并授權甲方按照本協(xié)議約定處理其生物識別信息；（3）甲方承諾將采取嚴格的安全措施保護乙方的生物識別信息，并遵守所有適用的法律法規(guī)。雙方經友好協(xié)商，就生物識別信息處理事宜達成如下協(xié)議，以資共同遵守。第一條定義與解釋1.1本協(xié)議中，“生物識別信息”指通過指紋、面部、虹膜、聲紋或其他生理、行為特征，能夠唯一識別乙方的信息及其模板。1.2“生物識別系統(tǒng)”指用于采集、存儲、處理、使用、傳輸或刪除生物識別信息的任何硬件、軟件或組合。1.3“控制者”指決定生物識別信息處理目的和方式的甲方。1.4“處理者”指在控制者的授權或指示下處理乙方生物識別信息的任何自然人、法人或其他組織（如適用）。1.5“數(shù)據(jù)主體”指乙方。1.6“個人信息保護法”指《中華人民共和國個人信息保護法》及中國境內其他相關法律法規(guī)。第二條適用范圍2.1本協(xié)議適用于甲方因[請?zhí)顚懢唧w業(yè)務場景，例如：員工考勤管理、門禁控制、金融交易驗證等]而處理乙方的生物識別信息的行為。2.2本協(xié)議涵蓋乙方生物識別信息的采集、存儲、傳輸、使用、刪除等所有處理活動。2.3本協(xié)議適用于所有授權或要求乙方提供生物識別信息以進行身份識別或驗證的場景。第三條生物識別信息的采集3.1甲方僅在獲得乙方明確同意的情況下采集乙方的生物識別信息。3.2甲方應在采集前以清晰、易懂的語言向乙方充分說明：（a）采集生物識別信息的目的；（b）所采集的生物識別信息類型；（c）生物識別信息的存儲期限、使用范圍及方式；（d）乙方生物識別信息可能面臨的安全風險；（e）乙方的權利（包括訪問、更正、刪除等）及行使方式；（f）發(fā)生數(shù)據(jù)泄露時的處理及通知流程；（g）甲方及處理者的聯(lián)系方式。3.3乙方確認已充分理解上述說明，并自愿同意甲方采集其生物識別信息。3.4甲方應確保采集過程符合個人信息保護法的規(guī)定，采取必要的安全措施防止信息在采集過程中泄露或被篡改。3.5甲方僅采集實現(xiàn)約定目的所必需的最少生物識別信息。第四條生物識別信息的處理與使用4.1甲方處理乙方生物識別信息的目的限于本協(xié)議第二條約定的[請?zhí)顚懢唧w業(yè)務場景]。4.2甲方不得將乙方的生物識別信息用于本協(xié)議約定目的之外的其他任何用途，除非獲得乙方再次明確的書面同意。4.3甲方應采取加密、去標識化、訪問控制等嚴格的技術和管理措施，確保生物識別信息在處理過程中的安全。4.4處理乙方生物識別信息的任何第三方（如技術人員、供應商等）均須遵守本協(xié)議項下的安全義務和數(shù)據(jù)保護要求，并簽訂單獨的安全協(xié)議。4.5當本協(xié)議約定的處理目的達成或期限屆滿后，甲方應按照約定或法律規(guī)定刪除或進行匿名化處理乙方的生物識別信息，除非法律要求或另有約定需要保留。第五條生物識別信息的安全保障措施5.1甲方承諾采取并持續(xù)維護以下安全措施以保護乙方的生物識別信息：（a）采用行業(yè)認可的強加密算法對存儲和傳輸中的生物識別信息進行加密；（b）對生物識別信息進行去標識化或匿名化處理，在可能的情況下降低其可識別性；（c）建立嚴格的訪問控制機制，僅授權必要人員訪問生物識別信息，并記錄訪問日志；（d）定期對生物識別系統(tǒng)進行安全評估和漏洞掃描，及時修補安全漏洞；（e）部署防火墻、入侵檢測/防御系統(tǒng)等網(wǎng)絡安全設備，防止未經授權的訪問；（f）對接觸生物識別信息的員工進行保密和信息安全培訓，并簽訂保密協(xié)議；（g）確保生物識別信息存儲服務器和傳輸網(wǎng)絡的安全，防止物理和網(wǎng)絡安全事件；（h）制定詳細的安全管理制度和操作規(guī)程，明確數(shù)據(jù)處理的安全要求；（i）定期進行安全審計，評估安全措施的有效性。第六條生物識別信息的存儲與保留期限6.1乙方的生物識別信息將存儲在甲方在中國境內符合國家信息安全標準的[請?zhí)顚懢唧w存儲地點，例如：數(shù)據(jù)中心]。6.2除非法律要求或本協(xié)議另有約定，甲方對乙方生物識別信息的保留期限自采集之日起不超過[請?zhí)顚懢唧w期限，例如：三年/五年]，或直至完成本協(xié)議約定的處理目的為止。6.3保留期限屆滿后，甲方將按照技術可行性和法律規(guī)定，安全刪除乙方的生物識別信息，或將其轉換為不可識別個人身份的形式。第七條生物識別信息的傳輸7.1甲方在向關聯(lián)公司、服務提供商或乙方指定的第三方傳輸乙方的生物識別信息時，將采取不低于對內處理標準的安全措施，并確保接收方承擔與本協(xié)議同等的保護責任。7.2所有跨地區(qū)傳輸乙方的生物識別信息，均須符合個人信息保護法關于跨境傳輸?shù)囊?guī)定，并事先獲得乙方的明確同意或取得必要的認證或許可。第八條數(shù)據(jù)主體的權利8.1乙方有權訪問其被甲方處理的生物識別信息，了解其收集、存儲、使用和共享情況。8.2乙方有權要求甲方更正其不準確或不完整的生物識別信息。8.3乙方有權要求甲方刪除其不再需要的或處理目的已實現(xiàn)的生物識別信息，或要求甲方停止對其生物識別信息的處理。8.4乙方有權撤回其同意處理生物識別信息的決定，甲方應在收到撤回請求后，除非已采取必要措施，應立即停止處理，并刪除或匿名化處理已處理的信息。8.5乙方有權就甲方違反本協(xié)議或侵犯其生物識別信息權益的行為，向甲方提出異議，并有權向個人信息保護主管部門投訴或提起訴訟。8.6乙方行使前述權利時，應通過書面形式（如郵件、掛號信）向甲方指定聯(lián)系人提出。第九條數(shù)據(jù)泄露通知9.1甲方已制定生物識別信息安全事件應急預案，并在發(fā)生或可能發(fā)生影響乙方生物識別信息安全的事件時，立即啟動應急響應程序。9.2發(fā)生以下情形之一時，甲方應在事件發(fā)生后[請?zhí)顚懢唧w時限，例如：三十日]內通知乙方：（a）未經授權的訪問、披露或篡改乙方生物識別信息；（b）存儲或傳輸乙方生物識別信息的系統(tǒng)發(fā)生安全事件；（c）其他可能導致乙方生物識別信息泄露、丟失或被篡改的重大安全事件。9.3甲方通知乙方時，應包含事件的基本情況、可能造成的影響、已采取或擬采取的補救措施以及乙方可采取的減輕風險的建議等信息。9.4同時，根據(jù)個人信息保護法的規(guī)定，甲方應在確定發(fā)生數(shù)據(jù)泄露事件后[請?zhí)顚懢唧w時限，例如：七十日]內，向個人信息保護主管部門報告。第十條第三方責任10.1任何代表甲方處理乙方生物識別信息的第三方（包括但不限于服務提供商、合作伙伴、技術人員）均被視為本協(xié)議的關聯(lián)方，并負有為保護乙方生物識別信息安全而采取必要措施的義務。10.2甲方對第三方的行為及其造成的后果承擔連帶責任。甲方有權要求第三方對其違反本協(xié)議的行為進行賠償。10.3甲方應確保所有處理乙方生物識別信息的第三方均遵守不低于本協(xié)議約定的安全標準和數(shù)據(jù)保護要求，并與其簽訂書面的數(shù)據(jù)處理協(xié)議，明確其責任和義務。第十一條違約責任與救濟11.1若任何一方違反本協(xié)議的約定，應承擔違約責任，并賠償因此給對方造成的直接經濟損失和間接經濟損失（包括但不限于利潤損失、商譽損失等）。11.2若甲方未能履行其在本協(xié)議項下的安全保護義務，導致乙方生物識別信息泄露、丟失、被篡改或不當使用，甲方應承擔相應的賠償責任。乙方有權要求甲方采取補救措施，并可根據(jù)情況解除本協(xié)議。11.3若乙方違反本協(xié)議約定（例如，未履行配合甲方進行必要信息采集的義務），甲方有權暫?；蚪K止相關服務，并保留要求乙方賠償損失的權利。第十二條法律適用與爭議解決12.1本協(xié)議的訂立、效力、解釋、履行及爭議解決均適用中華人民共和國法律（為本協(xié)議之目的，不包括香港特別行政區(qū)、澳門特別行政區(qū)和臺灣地區(qū)法律）。12.2因本協(xié)議引起的或與本協(xié)議有關的任何爭議，雙方應首先通過友好協(xié)商解決。協(xié)商不成的，任何一方均有權將爭議提交至[請選擇仲裁或訴訟，并填寫具體機構，例如：甲方所在地有管轄權的人民法院訴訟解決/中國國際經濟貿易仲裁委員會，按照申請仲裁時該會現(xiàn)行有效的仲裁規(guī)則進行仲裁]。第十三條協(xié)議的生效、變更與終止13.1本協(xié)議自雙方簽字（或蓋章）之日起生效。13.2任何一方欲變更本協(xié)議內容，應提前[請?zhí)顚懢唧w時限，例如：十五日]以書面形式通知對方。變更內容經對方書面確認后生效。13.3本協(xié)議在以下情況下終止：（a）本協(xié)議約定的處理目的已經實現(xiàn)；（b）甲乙雙方協(xié)商一致同意終止；（c）一方嚴重違反本協(xié)議約定，經另一方書面通知后[請?zhí)顚懢唧w時限，例如：三十日]內仍未糾正；（d）因不可抗力導致本協(xié)議無法繼續(xù)履行，且不可抗力影響持續(xù)超過[請?zhí)顚懢唧w時限，例如：三十日]；（e）一方進入破產、清算程序。13.4本協(xié)議終止后，甲方仍有義務按照法律規(guī)定和本協(xié)議約定，處理和刪除或匿名化乙方已提供的生物識別信息，并承擔相應的安全保護責任。第十四條其他14.1本協(xié)議構成雙方就本協(xié)議主題達成的完整協(xié)議，取代此前所有口頭或書面的約定、諒解和承諾。14