2025年生物識(shí)別技術(shù)安全協(xié)議合同本協(xié)議由以下雙方于2025年[具體日期]在[具體地點(diǎn)]簽訂：甲方（服務(wù)提供方）：[服務(wù)提供方公司全稱]法定代表人：[法定代表人姓名]注冊(cè)地址：[注冊(cè)地址]統(tǒng)一社會(huì)信用代碼：[統(tǒng)一社會(huì)信用代碼]乙方（服務(wù)使用方）：[服務(wù)使用方公司全稱]法定代表人：[法定代表人姓名]注冊(cè)地址：[注冊(cè)地址]統(tǒng)一社會(huì)信用代碼：[統(tǒng)一社會(huì)信用代碼]（以下簡(jiǎn)稱“甲方”和“乙方”）鑒于：1.甲方擁有或控制生物識(shí)別技術(shù)及相關(guān)系統(tǒng)（以下簡(jiǎn)稱“生物識(shí)別系統(tǒng)”），能夠收集、處理、存儲(chǔ)、分析和應(yīng)用個(gè)人生物識(shí)別信息；2.乙方希望使用甲方的生物識(shí)別系統(tǒng)來(lái)提供[具體服務(wù)內(nèi)容，例如：門禁管理、身份驗(yàn)證、考勤打卡等]服務(wù)；3.甲乙雙方在平等、自愿、公平和誠(chéng)實(shí)信用的基礎(chǔ)上，依據(jù)適用的法律法規(guī)，就生物識(shí)別系統(tǒng)的安全使用及相關(guān)數(shù)據(jù)處理事宜，達(dá)成如下協(xié)議，以資共同遵守。第一條定義與術(shù)語(yǔ)1.1生物識(shí)別信息：指通過(guò)分析個(gè)人生理、行為或心理特征獲得的信息，可用于識(shí)別特定個(gè)人的各種數(shù)據(jù)，包括但不限于人臉圖像、指紋圖像、聲紋樣本、虹膜圖像、步態(tài)特征數(shù)據(jù)、DNA等及其衍生的生物識(shí)別模板。1.2生物識(shí)別模板：指從生物識(shí)別信息中提取、轉(zhuǎn)換生成的具有唯一性的、用于識(shí)別個(gè)人身份的數(shù)據(jù)表示。1.3個(gè)人信息主體：指其生物識(shí)別信息被甲方收集、處理或使用的自然人。1.4安全措施：指為保障生物識(shí)別信息安全所采取的技術(shù)措施和管理措施，包括但不限于加密存儲(chǔ)與傳輸、訪問(wèn)控制、安全審計(jì)、入侵檢測(cè)、漏洞管理、數(shù)據(jù)脫敏、物理安全、應(yīng)急預(yù)案、人員安全管理等。1.5數(shù)據(jù)泄露：指未經(jīng)授權(quán)或違反法律法規(guī)、約定，導(dǎo)致生物識(shí)別信息被非法獲取、泄露、篡改或丟失。1.6監(jiān)管機(jī)構(gòu)：指根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、《中華人民共和國(guó)數(shù)據(jù)安全法》、《中華人民共和國(guó)個(gè)人信息保護(hù)法》等相關(guān)法律法規(guī)負(fù)責(zé)監(jiān)督個(gè)人信息保護(hù)和數(shù)據(jù)安全的政府機(jī)構(gòu)或監(jiān)管組織。第二條服務(wù)內(nèi)容與目的2.1甲方同意向乙方提供[具體服務(wù)內(nèi)容，例如：基于人臉識(shí)別的門禁驗(yàn)證服務(wù)]，服務(wù)范圍包括[具體服務(wù)區(qū)域或?qū)ο竺枋鯹。2.2乙方同意在[具體業(yè)務(wù)場(chǎng)景，例如：?jiǎn)T工考勤、訪客登記](méi)中使用甲方的生物識(shí)別系統(tǒng)。2.3本協(xié)議約定的生物識(shí)別信息處理活動(dòng)僅限于實(shí)現(xiàn)上述服務(wù)內(nèi)容所必需，不得用于任何其他未經(jīng)雙方明確書面約定的目的。第三條數(shù)據(jù)收集的安全規(guī)范3.1甲方在收集任何個(gè)人的生物識(shí)別信息前，必須獲得該個(gè)人明確、單獨(dú)、知情的書面或電子形式同意。同意書中應(yīng)充分告知：(a)收集的生物識(shí)別信息類型；(b)收集、處理、存儲(chǔ)和傳輸?shù)哪康?、方式、范圍?c)生物識(shí)別信息的存儲(chǔ)期限；(d)甲方為保障生物識(shí)別信息安全所采取的安全措施；(e)個(gè)人信息主體的權(quán)利（查閱、復(fù)制、更正、刪除、撤回同意等）及行使方式；(f)發(fā)生數(shù)據(jù)泄露時(shí)的處理流程和通知義務(wù)；(g)法律法規(guī)規(guī)定的其他需要告知的事項(xiàng)。3.2甲方承諾僅為履行本協(xié)議約定的服務(wù)目的，收集實(shí)現(xiàn)該目的所必需的最少量的生物識(shí)別信息。3.3乙方在需要收集個(gè)人生物識(shí)別信息時(shí)，應(yīng)確保已獲得個(gè)人信息主體的上述知情同意，并告知信息主體其信息將交由甲方處理，甲方需遵守本協(xié)議約定的安全要求和處理目的。第四條數(shù)據(jù)存儲(chǔ)與安全4.1甲方承諾對(duì)存儲(chǔ)在生物識(shí)別系統(tǒng)中的個(gè)人生物識(shí)別信息（尤其是生物識(shí)別模板）進(jìn)行強(qiáng)加密存儲(chǔ)。數(shù)據(jù)庫(kù)或存儲(chǔ)系統(tǒng)應(yīng)部署在具備適當(dāng)物理安全防護(hù)和網(wǎng)絡(luò)安全防護(hù)措施的環(huán)境中，包括但不限于防火墻、入侵檢測(cè)/防御系統(tǒng)、網(wǎng)絡(luò)隔離、訪問(wèn)控制等。4.2甲方必須實(shí)施嚴(yán)格的訪問(wèn)控制機(jī)制，僅授權(quán)必要的人員在履行職責(zé)的需要下訪問(wèn)個(gè)人生物識(shí)別信息，并對(duì)所有訪問(wèn)行為進(jìn)行記錄和審計(jì)。4.3對(duì)于傳輸過(guò)程中的生物識(shí)別信息，甲方必須使用行業(yè)認(rèn)可的加密協(xié)議（如TLS1.3及以上版本）進(jìn)行傳輸加密。4.4甲方應(yīng)定期（至少每年一次）對(duì)生物識(shí)別系統(tǒng)的安全性進(jìn)行內(nèi)部或委托第三方進(jìn)行安全評(píng)估和滲透測(cè)試，并將評(píng)估報(bào)告或測(cè)試結(jié)果抄送乙方。4.5甲方應(yīng)制定并實(shí)施生物識(shí)別信息安全事件應(yīng)急預(yù)案，包括事件識(shí)別、評(píng)估、響應(yīng)、處置和恢復(fù)等流程，確保在發(fā)生數(shù)據(jù)泄露或其他安全事件時(shí)能夠及時(shí)有效地進(jìn)行處置，并在事件發(fā)生后[例如：72小時(shí)]內(nèi)通知乙方。4.6乙方應(yīng)確保其自身系統(tǒng)與甲方生物識(shí)別系統(tǒng)對(duì)接的部分符合基本的安全要求，防止因乙方系統(tǒng)安全漏洞導(dǎo)致甲方生物識(shí)別信息泄露。第五條數(shù)據(jù)處理與傳輸?shù)陌踩?.1甲方處理個(gè)人生物識(shí)別信息的行為必須符合本協(xié)議約定及適用的法律法規(guī)。除為履行本協(xié)議服務(wù)所必需的外，甲方不得將個(gè)人生物識(shí)別信息用于任何其他目的。5.2如甲方需要委托第三方處理個(gè)人生物識(shí)別信息（包括但不限于系統(tǒng)開發(fā)、維護(hù)、數(shù)據(jù)標(biāo)注、技術(shù)支持等），甲方必須事先獲得乙方的書面同意，并確保該第三方同意遵守不低于本協(xié)議約定的安全標(biāo)準(zhǔn)和保密義務(wù)，并對(duì)該第三方的處理行為承擔(dān)連帶責(zé)任。5.3未經(jīng)乙方事先書面同意，甲方不得將包含個(gè)人生物識(shí)別信息的任何數(shù)據(jù)傳輸至乙方指定范圍之外的國(guó)家或地區(qū)。如涉及跨境傳輸，甲方需確保該傳輸符合《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》及相關(guān)國(guó)家或地區(qū)法律法規(guī)的要求，并事先取得乙方的書面同意。第六條數(shù)據(jù)生命周期管理6.1甲方應(yīng)僅在實(shí)現(xiàn)本協(xié)議約定服務(wù)目的所需的時(shí)間內(nèi)存儲(chǔ)個(gè)人生物識(shí)別信息。達(dá)到目的后或超過(guò)約定存儲(chǔ)期限后，甲方必須按照適用的法律法規(guī)和本協(xié)議約定，安全地刪除或銷毀個(gè)人生物識(shí)別信息，確保信息無(wú)法被恢復(fù)。刪除或銷毀前，應(yīng)確保已采取必要的安全措施。6.2個(gè)人信息主體有權(quán)要求甲方更正其提供的錯(cuò)誤或不完整的生物識(shí)別信息。甲方應(yīng)及時(shí)響應(yīng)并處理此類請(qǐng)求。6.3在法律法規(guī)允許或要求的情況下，或根據(jù)個(gè)人信息主體的請(qǐng)求（如其撤回同意），甲方應(yīng)采取安全措施，刪除或停止處理相關(guān)個(gè)人的生物識(shí)別信息。第七條用戶權(quán)利保障7.1甲方應(yīng)建立并公布處理個(gè)人生物識(shí)別信息的規(guī)則，并確保個(gè)人信息主體能夠便捷地行使下列權(quán)利：(a)查詢其個(gè)人生物識(shí)別信息被收集、處理、存儲(chǔ)、使用和傳輸?shù)那闆r；(b)獲取其個(gè)人生物識(shí)別信息的副本；(c)要求更正其個(gè)人生物識(shí)別信息；(d)要求刪除其個(gè)人生物識(shí)別信息；(e)撤回其同意處理其個(gè)人生物識(shí)別信息，并要求甲方停止處理；(f)對(duì)甲方處理其個(gè)人生物識(shí)別信息的方式提出異議；(g)就其權(quán)利受到侵害向監(jiān)管機(jī)構(gòu)投訴或提起訴訟。7.2甲方應(yīng)在收到個(gè)人信息主體行使上述權(quán)利的請(qǐng)求后，按照法律法規(guī)規(guī)定的時(shí)限和程序予以處理，并告知乙方相關(guān)處理情況。第八條合規(guī)性與審計(jì)8.1甲乙雙方均承諾遵守所有適用于生物識(shí)別信息處理活動(dòng)的中國(guó)及境外相關(guān)法律法規(guī)，包括但不限于《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》、《生物識(shí)別信息處理活動(dòng)管理暫行規(guī)定》（如有發(fā)布）以及GDPR、CCPA等。8.2甲方應(yīng)接受乙方或雙方約定的第三方對(duì)其生物識(shí)別信息安全措施和數(shù)據(jù)處理活動(dòng)的合規(guī)性審計(jì)。甲方應(yīng)在收到審計(jì)通知后[例如：30日]內(nèi)提供必要的配合。8.3如因甲方原因?qū)е乱曳竭`反相關(guān)法律法規(guī)，甲方應(yīng)承擔(dān)相應(yīng)的法律責(zé)任，并賠償乙方因此遭受的損失。第九條責(zé)任與賠償9.1甲方應(yīng)確保其提供的生物識(shí)別系統(tǒng)及數(shù)據(jù)處理活動(dòng)符合本協(xié)議約定的安全標(biāo)準(zhǔn)。如因甲方原因（包括但不限于系統(tǒng)安全漏洞、違反本協(xié)議安全約定、數(shù)據(jù)泄露等）導(dǎo)致乙方或通過(guò)乙方服務(wù)的個(gè)人信息主體遭受任何損失（包括直接經(jīng)濟(jì)損失、間接經(jīng)濟(jì)損失、商譽(yù)損失、行政處罰、訴訟費(fèi)用等），甲方應(yīng)承擔(dān)賠償責(zé)任。9.2除非是由于不可抗力、監(jiān)管機(jī)構(gòu)的行為、第三方過(guò)錯(cuò)或乙方未按約定使用系統(tǒng)等原因造成的，甲方應(yīng)對(duì)其賠償責(zé)任承擔(dān)[例如：無(wú)限]責(zé)任。對(duì)于因個(gè)人信息主體的故意或重大過(guò)失造成的損失，甲方不承擔(dān)責(zé)任。9.3乙方應(yīng)在收到甲方通知后積極配合甲方進(jìn)行損失控制和調(diào)查處理。因乙方原因?qū)е碌陌踩珕?wèn)題，甲方不承擔(dān)責(zé)任，但甲方應(yīng)盡到合理提醒和協(xié)助義務(wù)。第十條保密義務(wù)10.1甲乙雙方應(yīng)對(duì)在本協(xié)議履行過(guò)程中獲知的對(duì)方的商業(yè)秘密、技術(shù)信息以及個(gè)人信息主體的生物識(shí)別信息等保密信息承擔(dān)保密義務(wù)。10.2未經(jīng)對(duì)方書面同意，任何一方不得向任何第三方披露保密信息，但法律法規(guī)另有規(guī)定或監(jiān)管機(jī)構(gòu)要求的除外。在法律法規(guī)要求披露時(shí)，應(yīng)盡力避免披露超出必要范圍的信息，并提前通知對(duì)方。10.3本保密義務(wù)不因本協(xié)議的終止而終止，持續(xù)有效期限為本協(xié)議終止后[例如：五]年。第十一條協(xié)議的變更、終止與解除11.1本協(xié)議的任何變更，須經(jīng)甲乙雙方協(xié)商一致，并簽署書面補(bǔ)充協(xié)議。補(bǔ)充協(xié)議與本協(xié)議具有同等法律效力。11.2除本協(xié)議另有約定外，任何一方有權(quán)在提前[例如：三十]日書面通知對(duì)方的情況下終止本協(xié)議。11.3出現(xiàn)以下情況之一，守約方有權(quán)立即解除本協(xié)議：(a)一方嚴(yán)重違反本協(xié)議約定，且在收到守約方書面通知后[例如：三十]日內(nèi)未能糾正；(b)一方進(jìn)入破產(chǎn)、清算或解散程序；(c)一方提供的相關(guān)資質(zhì)文件或證明材料虛假。11.4協(xié)議終止或解除后，關(guān)于保密、責(zé)任承擔(dān)、爭(zhēng)議解決、法律適用和文本等條款仍然有效。甲方仍有義務(wù)按照法律法規(guī)要求，安全刪除或返還其所持有的個(gè)人信息主體的生物識(shí)別信息。第十二條不可抗力12.1“不可抗力”是指雙方不能合理控制、不可預(yù)見或即使預(yù)見亦無(wú)法避免的事件，該事件妨礙、影響或延誤任何一方根據(jù)本協(xié)議履行其全部或部分義務(wù)，包括但不限于自然災(zāi)害（如地震、洪水、臺(tái)風(fēng)）、戰(zhàn)爭(zhēng)、恐怖襲擊、法律法規(guī)的重大變化、政府行為、流行病疫情、網(wǎng)絡(luò)攻擊等。12.2遭遇不可抗力的一方應(yīng)在事件發(fā)生后[例如：七]日內(nèi)書面通知另一方，并提供相關(guān)證明。雙方應(yīng)根據(jù)事件影響，協(xié)商決定是否延遲履行、部分履行或終止本協(xié)議。因不可抗力導(dǎo)致的履行延遲或不能履行，受影響方不承擔(dān)違約責(zé)任。第十三條法律適用與爭(zhēng)議解決13.1本協(xié)議的訂立、效力、解釋、履行及爭(zhēng)議解決均適用中華人民共和國(guó)法律。13.2因本協(xié)議引起的或與本協(xié)議有關(guān)的任何爭(zhēng)議，雙方應(yīng)首先通過(guò)友好協(xié)商解決。協(xié)商不成的，任何一方均有權(quán)將爭(zhēng)議提交[選擇以下之一：(a)乙方所在地有管轄權(quán)的人民法院訴訟解決；(b)甲方所在地有管轄權(quán)的人民法院訴訟解決；(c)[指定仲裁委員會(huì)名稱]按照其屆時(shí)有效的仲裁規(guī)則進(jìn)行仲裁，