2025年滲透測試服務(wù)數(shù)據(jù)協(xié)議引言與背景鑒于滲透測試服務(wù)提供方（以下簡稱“服務(wù)商”）將接受委托方（以下簡稱“委托方”）的委托，對委托方指定的信息系統(tǒng)進(jìn)行安全性評估（以下簡稱“滲透測試服務(wù)”），該服務(wù)過程涉及對委托方信息系統(tǒng)的訪問和數(shù)據(jù)收集，可能觸及委托方的商業(yè)秘密、技術(shù)秘密以及個(gè)人信息等數(shù)據(jù)。為明確雙方在數(shù)據(jù)處理過程中的權(quán)利與義務(wù)，確保數(shù)據(jù)處理活動的合法合規(guī)性、安全性，并有效保護(hù)委托方的合法權(quán)益，根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國數(shù)據(jù)安全法》、《中華人民共和國個(gè)人信息保護(hù)法》等相關(guān)法律法規(guī)，雙方經(jīng)友好協(xié)商，達(dá)成如下協(xié)議：第一部分定義1.滲透測試：指服務(wù)商模擬黑客攻擊行為，對委托方指定的信息系統(tǒng)（包括但不限于網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)庫等）的安全性進(jìn)行評估，以發(fā)現(xiàn)其中存在的安全漏洞并提供修復(fù)建議的服務(wù)活動。2.數(shù)據(jù)：指任何以電子或者其他方式記錄的與自然人身相關(guān)或者反映自然個(gè)人信息的社會信用等個(gè)人識別信息，以及不直接識別特定個(gè)人但與已識別或者可識別的自然人有關(guān)聯(lián)，結(jié)合其他資料足以識別特定自然人的信息（敏感個(gè)人信息）、重要數(shù)據(jù)、個(gè)人信息等。具體包括但不限于：*委托方信息：公司名稱、地址、聯(lián)系方式、組織架構(gòu)、業(yè)務(wù)流程、安全策略等非敏感經(jīng)營信息，以及可能間接識別委托方的技術(shù)信息。*系統(tǒng)信息：網(wǎng)絡(luò)拓?fù)?、IP地址、操作系統(tǒng)版本、中間件版本、應(yīng)用框架、數(shù)據(jù)庫類型、配置信息等。*漏洞信息：發(fā)現(xiàn)的漏洞名稱、描述、危害等級、存在位置、復(fù)現(xiàn)步驟、修復(fù)建議等。*個(gè)人信息：在測試過程中可能無意間捕獲或間接關(guān)聯(lián)到的用戶信息、員工信息等（如用戶名、郵箱、IP訪問日志中的個(gè)人信息片段等）。*測試過程數(shù)據(jù)：測試工具日志、掃描記錄、操作記錄、臨時(shí)文件等。3.服務(wù)商：指接受委托方委托，提供滲透測試服務(wù)的專業(yè)技術(shù)公司。4.委托方：指接受服務(wù)商提供的滲透測試服務(wù)，并委托其進(jìn)行信息系統(tǒng)安全評估的企業(yè)或組織。5.數(shù)據(jù)處理：包括數(shù)據(jù)的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。6.個(gè)人信息處理：指在滲透測試服務(wù)過程中對個(gè)人信息進(jìn)行的收集、存儲、使用、加工、傳輸、提供、公開、刪除等處理活動。7.非敏感信息：指經(jīng)過處理無法識別特定自然人，或者識別特定自然人無實(shí)質(zhì)意義的信息。8.安全事件：指因意外、人為因素或技術(shù)漏洞等原因?qū)е聰?shù)據(jù)泄露、丟失、被篡改或非法訪問、使用等事件。第二部分?jǐn)?shù)據(jù)處理原則服務(wù)商處理委托方數(shù)據(jù)及個(gè)人信息，應(yīng)遵循以下原則：1.合法、正當(dāng)、必要、誠信：數(shù)據(jù)處理活動必須有明確的法律依據(jù)，符合國家法律法規(guī)和本協(xié)議約定，采取對委托方權(quán)益影響最小的方式。2.目的明確、最小必要：數(shù)據(jù)處理目的限于完成滲透測試服務(wù)，不得超出該范圍使用數(shù)據(jù)；獲取的數(shù)據(jù)類型應(yīng)是實(shí)現(xiàn)測試目的所必需的。3.確保安全：采取必要的技術(shù)和管理措施，保障數(shù)據(jù)處理過程中的數(shù)據(jù)安全，防止數(shù)據(jù)泄露、篡改、丟失。4.公開透明：本協(xié)議內(nèi)容應(yīng)向委托方清晰說明數(shù)據(jù)處理的方式、目的、范圍等。5.責(zé)任明確：明確服務(wù)商和委托方在數(shù)據(jù)處理中的權(quán)利和義務(wù)。第三部分?jǐn)?shù)據(jù)收集與提供1.委托方提供數(shù)據(jù)：委托方應(yīng)根據(jù)服務(wù)商的要求，真實(shí)、準(zhǔn)確、完整地提供開展?jié)B透測試所必需的基礎(chǔ)信息、系統(tǒng)信息等非敏感數(shù)據(jù)，并對數(shù)據(jù)的真實(shí)性負(fù)責(zé)。委托方有義務(wù)向服務(wù)商明確告知其系統(tǒng)或應(yīng)用中可能包含的個(gè)人信息的范圍。2.服務(wù)商獲取數(shù)據(jù)：服務(wù)商在執(zhí)行測試過程中，將根據(jù)測試需要，訪問和獲取委托方信息系統(tǒng)中的相關(guān)數(shù)據(jù)。服務(wù)商應(yīng)僅獲取與測試目的直接相關(guān)且最小必要的數(shù)據(jù)。服務(wù)商應(yīng)避免在測試過程中收集、處理委托方或用戶的個(gè)人信息，除非為完成測試所必需且無法避免；如不可避免，委托方應(yīng)確保已充分告知并采取必要措施保護(hù)。第四部分?jǐn)?shù)據(jù)使用1.測試目的使用：服務(wù)商使用委托方數(shù)據(jù)僅限于：*執(zhí)行滲透測試任務(wù)，發(fā)現(xiàn)系統(tǒng)漏洞。*分析測試結(jié)果，生成測試報(bào)告。*指導(dǎo)漏洞修復(fù)和制定安全加固建議。*內(nèi)部質(zhì)量控制和專業(yè)研究（不用于對外宣傳或提供給第三方，除非獲得委托方書面同意）。2.禁止使用：服務(wù)商不得將委托方數(shù)據(jù)用于本協(xié)議約定之外的任何目的，不得泄露給任何第三方（法律法規(guī)另有規(guī)定或本協(xié)議另有約定的除外），不得利用測試獲取的信息對委托方進(jìn)行騷擾或進(jìn)行其他惡意活動。第五部分?jǐn)?shù)據(jù)存儲與安全1.存儲地點(diǎn)：服務(wù)商應(yīng)將處理委托方數(shù)據(jù)的服務(wù)器和相關(guān)存儲設(shè)備放置于其在中國境內(nèi)合法設(shè)立的數(shù)據(jù)中心，并確保存儲設(shè)施符合國家關(guān)于網(wǎng)絡(luò)安全和數(shù)據(jù)安全的要求。2.存儲期限：服務(wù)商僅在提供服務(wù)及生成最終測試報(bào)告后，根據(jù)完成項(xiàng)目所需合理期限（例如，完成項(xiàng)目后6個(gè)月或1年）內(nèi)存儲必要的數(shù)據(jù)（如測試日志、報(bào)告草稿等），用于后續(xù)項(xiàng)目參考或合規(guī)審計(jì)。涉及個(gè)人信息的，其存儲期限應(yīng)嚴(yán)格遵守《個(gè)人信息保護(hù)法》等相關(guān)規(guī)定。3.安全措施：服務(wù)商應(yīng)采取包括但不限于以下技術(shù)和管理措施保障數(shù)據(jù)安全：*訪問控制：實(shí)施嚴(yán)格的身份驗(yàn)證和授權(quán)機(jī)制，確保只有授權(quán)人員才能訪問相關(guān)數(shù)據(jù)。*加密存儲與傳輸：對存儲和傳輸中的敏感數(shù)據(jù)進(jìn)行加密處理。*漏洞管理：定期對存儲系統(tǒng)進(jìn)行漏洞掃描和修復(fù)。*安全審計(jì)：定期進(jìn)行安全審計(jì)和日志監(jiān)控。*物理安全：保障數(shù)據(jù)中心等物理環(huán)境的安全。*人員管理：對接觸數(shù)據(jù)的員工進(jìn)行保密和合規(guī)培訓(xùn)。第六部分?jǐn)?shù)據(jù)傳輸1.境內(nèi)傳輸：所有涉及委托方數(shù)據(jù)的傳輸應(yīng)在中國境內(nèi)進(jìn)行。2.跨境傳輸（如有）：如因服務(wù)性質(zhì)或法律法規(guī)要求確需將數(shù)據(jù)傳輸至中國境外，服務(wù)商必須事先獲得委托方的書面同意，并確保：*接收方所在地法律允許數(shù)據(jù)傳輸。*接收方能夠提供與我國個(gè)人信息保護(hù)法律相兼容的保障措施（如通過認(rèn)證、簽訂標(biāo)準(zhǔn)合同等）。*委托方有權(quán)了解數(shù)據(jù)跨境傳輸?shù)木唧w情況。*跨境傳輸應(yīng)采用加密等安全方式。第七部分個(gè)人信息處理1.最小化處理：服務(wù)商在滲透測試過程中應(yīng)特別注意避免收集、處理委托方或用戶的個(gè)人信息，除非為完成測試所必需且無法避免。2.識別與分離：如不可避免地接觸到個(gè)人信息，服務(wù)商應(yīng)努力識別并嘗試在處理過程中進(jìn)行匿名化或去標(biāo)識化處理，或?qū)⑵渑c測試無關(guān)的其他數(shù)據(jù)分離存儲。3.委托方協(xié)助：委托方有義務(wù)向服務(wù)商提供其系統(tǒng)或應(yīng)用中包含的個(gè)人信息的類型、處理目的等信息，并指導(dǎo)服務(wù)商在測試中注意保護(hù)。4.個(gè)人信息主體權(quán)利：如服務(wù)商因測試活動處理了個(gè)人信息，委托方應(yīng)根據(jù)《個(gè)人信息保護(hù)法》等規(guī)定，在收到個(gè)人信息主體相關(guān)請求時(shí)，協(xié)助其行使其查閱、復(fù)制、更正、刪除等權(quán)利，或根據(jù)委托行使其權(quán)利。第八部分?jǐn)?shù)據(jù)泄露與通知1.事件響應(yīng)：服務(wù)商一旦發(fā)現(xiàn)或懷疑發(fā)生數(shù)據(jù)泄露、丟失或被非法訪問、使用等安全事件，應(yīng)立即啟動應(yīng)急預(yù)案，采取補(bǔ)救措施，防止損害擴(kuò)大，并應(yīng)盡快評估事件影響。2.通知義務(wù)：服務(wù)商應(yīng)在安全事件發(fā)生后（例如，在知曉事件后的規(guī)定時(shí)限內(nèi)，如24或48小時(shí)內(nèi)）通知委托方。通知內(nèi)容應(yīng)包括事件的基本情況、影響范圍、已采取或擬采取的措施等。委托方應(yīng)根據(jù)自身情況，依法履行相應(yīng)的通知義務(wù)（例如，通知用戶）。第九條數(shù)據(jù)銷毀1.服務(wù)結(jié)束后銷毀：滲透測試項(xiàng)目結(jié)束后，或在雙方約定的其他時(shí)間點(diǎn)，服務(wù)商應(yīng)根據(jù)委托方的要求或本協(xié)議約定，徹底銷毀所有與該項(xiàng)目相關(guān)的原始數(shù)據(jù)、測試記錄、臨時(shí)文件、備份等，并應(yīng)向委托方提供銷毀證明。2.不可恢復(fù)性：服務(wù)商應(yīng)確保數(shù)據(jù)銷毀是徹底的、不可恢復(fù)的。第十條數(shù)據(jù)訪問與審計(jì)1.委托方訪問權(quán)：委托方有權(quán)按照本協(xié)議約定，對服務(wù)商處理其數(shù)據(jù)的情況進(jìn)行監(jiān)督和審計(jì)，包括查閱服務(wù)商采取的安全措施、數(shù)據(jù)處理記錄、相關(guān)合同文件等。服務(wù)商應(yīng)予以配合，提供必要的便利。2.服務(wù)商審計(jì)：服務(wù)商保留對委托方遵守本協(xié)議數(shù)據(jù)管理要求情況進(jìn)行審計(jì)的權(quán)利。第十一條委托方的權(quán)利與義務(wù)1.提供必要信息：及時(shí)、準(zhǔn)確、完整地提供服務(wù)商開展測試所需的非敏感信息和必要的配合。2.明確告知：向服務(wù)商明確告知其系統(tǒng)或應(yīng)用中涉及的個(gè)人信息類型、處理目的，并配合服務(wù)商處理個(gè)人信息主體的權(quán)利請求。3.保障配合：確保測試環(huán)境的安全，為服務(wù)商提供必要的測試訪問權(quán)限，并配合服務(wù)商采取必要的測試措施。4.遵守保密義務(wù)：對服務(wù)商在測試過程中獲取的非公開信息（即使非敏感）承擔(dān)保密義務(wù)。5.配合安全事件：及時(shí)響應(yīng)服務(wù)商就數(shù)據(jù)安全事件的通知，并配合采取應(yīng)對措施。6.使用服務(wù)商交付成果：按照約定使用服務(wù)商提供的滲透測試報(bào)告及建議。第十二條服務(wù)商的權(quán)利與義務(wù)1.專業(yè)服務(wù)：按照約定提供專業(yè)的滲透測試服務(wù)，確保測試質(zhì)量，并按時(shí)提交測試報(bào)告。2.保密義務(wù)：對委托方提供的信息以及測試過程中了解到的委托方商業(yè)秘密、技術(shù)秘密等承擔(dān)嚴(yán)格的保密義務(wù)，除非法律法規(guī)要求或獲得委托方書面同意。3.安全保障：嚴(yán)格遵守?cái)?shù)據(jù)安全規(guī)范，采取有效措施保護(hù)委托方數(shù)據(jù)不被泄露、濫用。4.合規(guī)處理：確保數(shù)據(jù)處理活動符合中國法律法規(guī)要求。5.報(bào)告義務(wù)：按時(shí)提交測試報(bào)告，并就報(bào)告內(nèi)容進(jìn)行說明和解釋。6.配合審計(jì)：配合委托方的數(shù)據(jù)訪問和審計(jì)。7.遵守測試規(guī)范：在測試過程中遵守相關(guān)法律法規(guī)和行業(yè)規(guī)范，避免對委托方業(yè)務(wù)造成不必要的影響。第十三條違約責(zé)任1.服務(wù)商違約：若服務(wù)商違反本協(xié)議關(guān)于數(shù)據(jù)處理的規(guī)定，如未經(jīng)授權(quán)泄露、濫用委托方數(shù)據(jù)，或未能采取充分的安全措施導(dǎo)致數(shù)據(jù)安全事件，或未能按時(shí)交付合格的服務(wù)成果，應(yīng)承擔(dān)相應(yīng)的法律責(zé)任，包括但不限于賠償委托方因此遭受的直接經(jīng)濟(jì)損失，并可能承擔(dān)行政罰款等法律責(zé)任。2.委托方違約：若委托方未能履行其在本協(xié)議下的義務(wù)，如未能提供必要信息、未能配合測試或安全事件處理，導(dǎo)致服務(wù)商無法正常提供服務(wù)或造成損失，委托方應(yīng)承擔(dān)相應(yīng)責(zé)任。3.不可抗力導(dǎo)致的違約：因不可抗力導(dǎo)致任何一方無法履行本協(xié)議義務(wù)的，不承擔(dān)違約責(zé)任，但應(yīng)在不可抗力發(fā)生后及時(shí)通知對方，并提供相關(guān)證明。第十四條法律適用與爭議解決1.法律適用：本協(xié)議的訂立、效力、解釋、履行及爭議解決均適用中華人民共和國法律。2.爭議解決：因本協(xié)議引起的或與本協(xié)議有關(guān)的任何爭議，雙方應(yīng)首先通過友好協(xié)商解決；協(xié)商不成的，任何一方均有權(quán)將爭議提交[選擇一種：委托方所在地/服務(wù)商所在地/合同簽訂地]有管轄權(quán)的人民法院訴訟解決。第十五條不可抗力1.定義：不可抗力是指不能預(yù)見、不能避免并不能克服的客觀情況，包括但不限于自然災(zāi)害（如地震、洪水）、戰(zhàn)爭、罷工、政府行為、法律政策變化等。2.影響：因不可抗力導(dǎo)致任何一方無法履行本協(xié)議義務(wù)的，不承擔(dān)違約責(zé)任，但應(yīng)在不可抗力發(fā)生后及時(shí)通知對方，并提供相關(guān)證明。雙方應(yīng)根據(jù)不可抗力的影響，協(xié)商決定是否延期履行、部分履行或解除協(xié)議。第十六條協(xié)議期限與終止1.有效期：本協(xié)議自雙方簽字蓋章之日起生效，滲透測試服務(wù)期自服務(wù)商開始測試之日起至服務(wù)完成報(bào)告交付之日止。但數(shù)據(jù)安全責(zé)任和相關(guān)條款（如保密、數(shù)據(jù)銷毀、審計(jì)權(quán)利等）在本協(xié)議終止后持續(xù)有效，直至相關(guān)數(shù)據(jù)被安全銷毀且雙方無爭議。2.終止條件：協(xié)議可在以下情況下終止：*雙方協(xié)商一致終止。*一方嚴(yán)重違約，守約方根據(jù)本協(xié)議約定或法律規(guī)定解除協(xié)議。*服務(wù)商完成約定服務(wù)內(nèi)容并交付最終報(bào)告。*出現(xiàn)不可抗力，且不可抗力影響持續(xù)一定期限。第十七條保密條款1.本協(xié)議中約定的保密信息（包括但不限于雙方提供的非公開信息、測試數(shù)據(jù)、報(bào)告內(nèi)容、個(gè)人信息等）應(yīng)受到雙方的嚴(yán)格保密。2.未經(jīng)對方書面同意，任何一方不得向任何第三方（為履行本協(xié)議目的而需要知曉的必要人員除外）披露保密信息。3.保密義務(wù)不因本協(xié)議的終止而解除，持續(xù)有效至保密信息公開或法律要求披露為止。第十八條其他1.完整協(xié)議：本協(xié)議構(gòu)成雙方就數(shù)據(jù)處理事項(xiàng)達(dá)成的完整協(xié)議，取代此前任何