2025年智能倉(cāng)儲(chǔ)機(jī)器人數(shù)據(jù)安全協(xié)議鑒于一方（下稱“供應(yīng)商”）擁有或控制智能倉(cāng)儲(chǔ)機(jī)器人（下稱“機(jī)器人”）及相關(guān)軟件系統(tǒng)（下稱“系統(tǒng)”）的權(quán)利，另一方（下稱“用戶”）希望采購(gòu)并使用該機(jī)器人及系統(tǒng)用于其倉(cāng)庫(kù)運(yùn)營(yíng)（下稱“部署環(huán)境”），雙方根據(jù)《中華人民共和國(guó)民法典》、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、《中華人民共和國(guó)數(shù)據(jù)安全法》、《中華人民共和國(guó)個(gè)人信息保護(hù)法》及其他相關(guān)法律法規(guī)，經(jīng)友好協(xié)商，達(dá)成協(xié)議如下：第一條定義與解釋除非本協(xié)議上下文另有明確解釋，下列術(shù)語(yǔ)具有以下含義：1.1“數(shù)據(jù)處理”是指對(duì)個(gè)人信息和業(yè)務(wù)數(shù)據(jù)進(jìn)行收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)、刪除等操作。1.2“個(gè)人信息”是指以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。1.3“業(yè)務(wù)數(shù)據(jù)”是指除個(gè)人信息外的，與智能倉(cāng)儲(chǔ)機(jī)器人運(yùn)行、管理、維護(hù)相關(guān)的各類數(shù)據(jù)，包括但不限于機(jī)器人運(yùn)行狀態(tài)、位置信息、路徑規(guī)劃、任務(wù)日志、系統(tǒng)性能數(shù)據(jù)、環(huán)境數(shù)據(jù)、設(shè)備管理數(shù)據(jù)等。1.4“數(shù)據(jù)安全事件”是指因意外、惡意行為或不可抗力導(dǎo)致個(gè)人信息或業(yè)務(wù)數(shù)據(jù)泄露、篡改、丟失、被非法獲取或使用的情形。1.5“保密信息”是指一方（以下簡(jiǎn)稱“披露方”）以書面、口頭、電子或其他形式向另一方（以下簡(jiǎn)稱“接收方”）披露的，標(biāo)有“保密”字樣或根據(jù)其性質(zhì)應(yīng)合理認(rèn)定為保密的所有技術(shù)信息、商業(yè)信息、個(gè)人信息、業(yè)務(wù)數(shù)據(jù)以及本協(xié)議的內(nèi)容等。1.6“安全措施”是指為保護(hù)數(shù)據(jù)安全所采取的技術(shù)性手段和管理性措施，包括但不限于訪問(wèn)控制、加密、安全審計(jì)、入侵檢測(cè)、數(shù)據(jù)備份、安全培訓(xùn)、應(yīng)急預(yù)案等。1.7“協(xié)議生效日”是指本協(xié)議經(jīng)雙方授權(quán)代表簽字并加蓋公章（或合同專用章）之日。1.8雙方在本協(xié)議中的法律地位平等，本協(xié)議所稱“一方”包括供應(yīng)商和用戶，“另一方”則指甲方或乙方。第二條數(shù)據(jù)處理活動(dòng)描述2.1供應(yīng)商負(fù)責(zé)提供機(jī)器人及系統(tǒng)的硬件、軟件及安裝部署服務(wù)。2.2在部署環(huán)境和系統(tǒng)運(yùn)行過(guò)程中，可能處理以下類型的數(shù)據(jù)：a)用戶方的業(yè)務(wù)數(shù)據(jù)，包括但不限于倉(cāng)庫(kù)布局信息、貨位信息、庫(kù)存數(shù)據(jù)、出入庫(kù)指令、物流單據(jù)信息等。b)個(gè)人信息，若系統(tǒng)涉及用戶方員工對(duì)機(jī)器人進(jìn)行管理或操作，可能收集到員工的基本身份信息、聯(lián)系方式等，其處理需遵循個(gè)人信息保護(hù)相關(guān)法律法規(guī)及用戶方內(nèi)部規(guī)定。c)機(jī)器人運(yùn)行產(chǎn)生的業(yè)務(wù)數(shù)據(jù)，包括但不限于機(jī)器人實(shí)時(shí)位置、速度、行駛路徑、載重信息、任務(wù)完成狀態(tài)、系統(tǒng)故障代碼、傳感器檢測(cè)數(shù)據(jù)（如環(huán)境數(shù)據(jù)、障礙物信息）等。d)系統(tǒng)運(yùn)維數(shù)據(jù)，包括但不限于系統(tǒng)登錄日志、操作日志、性能監(jiān)控?cái)?shù)據(jù)、安全事件日志等。2.3雙方確認(rèn)，將僅為實(shí)現(xiàn)本協(xié)議目的（即完成機(jī)器人的銷售、部署、集成、運(yùn)行、維護(hù)、管理）以及保障系統(tǒng)安全穩(wěn)定運(yùn)行而進(jìn)行數(shù)據(jù)處理。第三條數(shù)據(jù)安全責(zé)任劃分3.1供應(yīng)商責(zé)任：a)供應(yīng)商應(yīng)確保機(jī)器人及系統(tǒng)的設(shè)計(jì)、開(kāi)發(fā)、測(cè)試符合國(guó)家關(guān)于網(wǎng)絡(luò)安全、數(shù)據(jù)安全和個(gè)人信息保護(hù)的相關(guān)要求，遵循安全設(shè)計(jì)原則。b)供應(yīng)商應(yīng)提供具有適當(dāng)安全功能的機(jī)器人及系統(tǒng)，包括但不限于用戶身份認(rèn)證、基于角色的訪問(wèn)控制、傳輸和存儲(chǔ)加密、安全審計(jì)日志、遠(yuǎn)程管理安全認(rèn)證、安全漏洞更新機(jī)制等。默認(rèn)配置應(yīng)確保最小功能開(kāi)啟和最高安全級(jí)別。c)供應(yīng)商應(yīng)向用戶提供必要的安全文檔和操作指南，并對(duì)用戶方人員進(jìn)行基礎(chǔ)安全操作培訓(xùn)。d)供應(yīng)商應(yīng)對(duì)其員工接觸到的用戶數(shù)據(jù)承擔(dān)保密義務(wù)，并確保其分包商或服務(wù)提供商（如有）也遵守不低于本協(xié)議要求的數(shù)據(jù)安全責(zé)任。e)供應(yīng)商應(yīng)建立安全事件監(jiān)控和響應(yīng)機(jī)制，并在發(fā)生可能影響用戶數(shù)據(jù)安全的重大安全事件時(shí)，及時(shí)通知用戶。f)供應(yīng)商應(yīng)定期對(duì)其產(chǎn)品進(jìn)行安全評(píng)估和加固，并根據(jù)評(píng)估結(jié)果發(fā)布安全補(bǔ)丁或版本更新，用戶應(yīng)及時(shí)按照供應(yīng)商指引進(jìn)行應(yīng)用。3.2用戶責(zé)任：a)用戶應(yīng)在其部署環(huán)境中，采取必要的技術(shù)和管理措施，保障機(jī)器人及系統(tǒng)的安全運(yùn)行，包括但不限于網(wǎng)絡(luò)隔離、訪問(wèn)控制、防火墻配置、入侵檢測(cè)部署等，符合其內(nèi)部安全策略和外部網(wǎng)絡(luò)環(huán)境要求。b)用戶應(yīng)負(fù)責(zé)用戶方員工的培訓(xùn)，使其了解并遵守?cái)?shù)據(jù)安全要求和本協(xié)議的規(guī)定。c)用戶應(yīng)建立或指定負(fù)責(zé)數(shù)據(jù)安全管理的部門和人員，監(jiān)督數(shù)據(jù)處理活動(dòng)，并配合供應(yīng)商進(jìn)行安全評(píng)估和審計(jì)。d)用戶應(yīng)僅授權(quán)給必要人員訪問(wèn)機(jī)器人管理系統(tǒng)和用戶數(shù)據(jù)，并確保對(duì)敏感數(shù)據(jù)和功能的訪問(wèn)受到嚴(yán)格限制。e)用戶應(yīng)負(fù)責(zé)管理其網(wǎng)絡(luò)環(huán)境的安全，確保連接到系統(tǒng)的網(wǎng)絡(luò)符合雙方約定的安全標(biāo)準(zhǔn)。f)用戶應(yīng)按照本協(xié)議約定及法律法規(guī)要求，履行個(gè)人信息處理者的義務(wù)，特別是涉及個(gè)人信息處理時(shí)，應(yīng)保障數(shù)據(jù)主體的合法權(quán)益。g)用戶應(yīng)在發(fā)生或懷疑發(fā)生數(shù)據(jù)安全事件時(shí)，按照本協(xié)議約定及時(shí)通知供應(yīng)商，并啟動(dòng)應(yīng)急響應(yīng)程序。第四條數(shù)據(jù)處理原則與限制4.1雙方的數(shù)據(jù)處理活動(dòng)應(yīng)遵循合法、正當(dāng)、必要、誠(chéng)信、目的限制、最小化、準(zhǔn)確性、存儲(chǔ)限制、完整性和保密原則。4.2任何一方處理個(gè)人信息，應(yīng)具有明確、合理的目的，并僅限于實(shí)現(xiàn)目的所必需的范圍；不得過(guò)度處理。4.3處理個(gè)人信息時(shí)，應(yīng)確保所處理的個(gè)人信息是完整、準(zhǔn)確、最新的。4.4處理個(gè)人信息存儲(chǔ)時(shí)，應(yīng)設(shè)定存儲(chǔ)期限，保證存儲(chǔ)期限不超過(guò)實(shí)現(xiàn)處理目的所需的最短時(shí)間；除非法律另有規(guī)定或獲得個(gè)人同意，不得存儲(chǔ)超期個(gè)人信息。4.5處理個(gè)人信息時(shí)，應(yīng)采取必要措施保障其安全，防止未經(jīng)授權(quán)的泄露、篡改、丟失；采取的技術(shù)措施和管理措施應(yīng)具有相應(yīng)安全性，并根據(jù)數(shù)據(jù)敏感性級(jí)別和風(fēng)險(xiǎn)評(píng)估結(jié)果進(jìn)行調(diào)整和更新。4.6當(dāng)法律法規(guī)要求或?yàn)槁男斜緟f(xié)議約定，需要向第三方提供數(shù)據(jù)的，應(yīng)事先獲得用戶（如涉及個(gè)人信息）的明確同意或基于合法基礎(chǔ)，并確保接收方承擔(dān)不低于本協(xié)議規(guī)定的同等數(shù)據(jù)安全責(zé)任。4.7任何一方不得將本協(xié)議項(xiàng)下的數(shù)據(jù)處理活動(dòng)轉(zhuǎn)讓給任何第三方，除非獲得另一方的事先書面同意。第五條數(shù)據(jù)安全措施5.1技術(shù)措施：a)供應(yīng)商應(yīng)提供支持傳輸層安全協(xié)議（如TLS）等加密技術(shù)的接口和功能，用于敏感數(shù)據(jù)的傳輸。b)供應(yīng)商應(yīng)提供數(shù)據(jù)存儲(chǔ)加密功能，對(duì)關(guān)鍵業(yè)務(wù)數(shù)據(jù)和敏感信息進(jìn)行加密存儲(chǔ)。c)系統(tǒng)應(yīng)具備用戶身份認(rèn)證機(jī)制，對(duì)不同級(jí)別的用戶權(quán)限進(jìn)行控制。d)系統(tǒng)應(yīng)記錄關(guān)鍵操作和安全事件日志，日志應(yīng)包含操作人、操作時(shí)間、操作內(nèi)容、IP地址等信息，并存儲(chǔ)在安全的環(huán)境中，保存期限不少于六個(gè)月。e)供應(yīng)商應(yīng)提供安全漏洞管理和補(bǔ)丁更新機(jī)制，及時(shí)修復(fù)已知安全漏洞。f)用戶應(yīng)在其網(wǎng)絡(luò)環(huán)境中部署防火墻等安全設(shè)備，并根據(jù)需要配置訪問(wèn)控制策略，限制對(duì)機(jī)器人管理系統(tǒng)的訪問(wèn)。g)雙方應(yīng)根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果，共同或單獨(dú)實(shí)施其他必要的技術(shù)安全措施，如入侵檢測(cè)/防御系統(tǒng)、終端安全防護(hù)等。5.2管理措施：a)用戶應(yīng)制定并實(shí)施符合本協(xié)議要求的數(shù)據(jù)安全管理制度和操作規(guī)程。b)雙方應(yīng)定期（至少每年一次）對(duì)數(shù)據(jù)處理活動(dòng)及安全措施進(jìn)行內(nèi)部評(píng)估或聯(lián)合評(píng)估，識(shí)別風(fēng)險(xiǎn)并采取改進(jìn)措施。c)雙方應(yīng)定期對(duì)涉及數(shù)據(jù)安全管理和操作的人員進(jìn)行數(shù)據(jù)安全意識(shí)和技能培訓(xùn)。d)雙方應(yīng)共同制定或各自制定數(shù)據(jù)安全事件應(yīng)急預(yù)案，并定期進(jìn)行演練。e)用戶應(yīng)對(duì)接觸用戶數(shù)據(jù)的員工進(jìn)行背景調(diào)查（如適用），并與其簽訂保密協(xié)議或勞動(dòng)合同，明確其保密義務(wù)和違約責(zé)任。第六條數(shù)據(jù)共享與披露6.1未經(jīng)另一方事先書面同意，任何一方不得將其在本協(xié)議項(xiàng)下獲得的、或因履行本協(xié)議而處理的數(shù)據(jù)（包括個(gè)人信息和業(yè)務(wù)數(shù)據(jù)）向任何第三方共享、轉(zhuǎn)讓或許可使用，但法律法規(guī)另有規(guī)定或獲得數(shù)據(jù)主體同意的情形除外。6.2為履行本協(xié)議目的所必需的共享，例如：a)向用戶提供必要的技術(shù)支持或維護(hù)服務(wù)，需共享部分?jǐn)?shù)據(jù)給供應(yīng)商的技術(shù)人員，但技術(shù)人員僅能在其職責(zé)范圍內(nèi)訪問(wèn)必要數(shù)據(jù)，并承擔(dān)保密義務(wù)。b)供應(yīng)商因履行其義務(wù)需要與第三方服務(wù)提供商（如云服務(wù)提供商、軟件供應(yīng)商）合作，需共享非核心、非敏感的業(yè)務(wù)數(shù)據(jù)，供應(yīng)商應(yīng)確保該第三方承擔(dān)不低于本協(xié)議規(guī)定的同等數(shù)據(jù)安全責(zé)任，并事先通知用戶并征得其同意。6.3因履行法律法規(guī)或監(jiān)管機(jī)構(gòu)的要求，需要披露數(shù)據(jù)的，相關(guān)披露方應(yīng)在法律允許的范圍內(nèi)，僅披露必要的數(shù)據(jù)，并立即通知另一方。6.4供應(yīng)商為改進(jìn)其產(chǎn)品和服務(wù)，可能需要使用匿名的、聚合的或去標(biāo)識(shí)化的數(shù)據(jù)進(jìn)行分析，此類數(shù)據(jù)處理方式不受本條限制，但不得識(shí)別或推斷出任何個(gè)人的具體信息。第七條數(shù)據(jù)泄露通知7.1雙方同意，“數(shù)據(jù)安全事件”是指任何可能導(dǎo)致或?qū)嶋H導(dǎo)致個(gè)人信息或核心業(yè)務(wù)數(shù)據(jù)泄露、毀損、丟失或被非法獲取、使用的情形。7.2發(fā)生或發(fā)現(xiàn)數(shù)據(jù)安全事件的，相關(guān)方應(yīng)立即啟動(dòng)應(yīng)急預(yù)案，采取補(bǔ)救措施，防止事件擴(kuò)大或損害擴(kuò)大。7.3發(fā)生或發(fā)現(xiàn)數(shù)據(jù)安全事件的，事件發(fā)生方應(yīng)在事件發(fā)生后三十（30）小時(shí)內(nèi)向另一方提供初步通知，通知內(nèi)容應(yīng)包括事件發(fā)生的時(shí)間、地點(diǎn)、初步原因、已采取措施、可能的影響范圍等。7.4在初步通知后，事件發(fā)生方應(yīng)在七（7）日內(nèi)提供詳細(xì)的事件報(bào)告，包括事件詳細(xì)情況、影響評(píng)估、補(bǔ)救措施、改進(jìn)計(jì)劃等。7.5如果事件可能對(duì)數(shù)據(jù)主體權(quán)益或業(yè)務(wù)運(yùn)營(yíng)造成嚴(yán)重?fù)p害，根據(jù)相關(guān)法律法規(guī)或監(jiān)管機(jī)構(gòu)要求，需要向監(jiān)管機(jī)構(gòu)報(bào)告或通知受影響個(gè)人的，相關(guān)方應(yīng)依法履行報(bào)告或通知義務(wù)，并及時(shí)通知另一方。7.6雙方均有義務(wù)根據(jù)本協(xié)議約定及法律法規(guī)要求，相互配合處理數(shù)據(jù)安全事件。第八條保密義務(wù)8.1雙方的員工、代理人及其他接觸保密信息的人員（以下簡(jiǎn)稱“接觸方”）應(yīng)嚴(yán)格保守在履行本協(xié)議過(guò)程中獲悉或獲取的任何一方披露的保密信息，并以不低于保護(hù)自身同類保密信息的注意程度，采取合理的措施防止泄露、使用或披露給任何第三方。8.2接觸方僅能為了履行本協(xié)議之目的使用保密信息，不得用于任何其他用途。8.3以下信息不屬于保密信息：a)披露時(shí)已為公眾所知的信息；b)披露后非因接觸方違反本協(xié)議而為公眾所知的信息；c)接觸方從無(wú)保密義務(wù)的第三方合法獲得的信息；d)接觸方能夠證明在披露前已知悉且非通過(guò)違反本協(xié)議獲得的信息。8.4本協(xié)議約定的保密義務(wù)不因本協(xié)議的終止而終止，接觸方在離職后仍應(yīng)繼續(xù)履行保密義務(wù)，保密期限為本協(xié)議終止后五（5）年。8.5任何一方有權(quán)要求另一方對(duì)其披露的保密信息承擔(dān)保密義務(wù)，并應(yīng)確保其合作伙伴、分包商等第三方也遵守同等保密義務(wù)。第九條數(shù)據(jù)生命周期管理9.1雙方應(yīng)根據(jù)業(yè)務(wù)需求和法律法規(guī)要求，對(duì)處理的數(shù)據(jù)設(shè)定合理的存儲(chǔ)期限。9.2當(dāng)數(shù)據(jù)不再需要用于本協(xié)議約定的目的，或者存儲(chǔ)期限已屆滿，或者用戶要求刪除，或者發(fā)生協(xié)議終止等情形時(shí)，雙方應(yīng)根據(jù)數(shù)據(jù)類型和性質(zhì)，安全地刪除或匿名化處理該數(shù)據(jù)。9.3對(duì)于需要?jiǎng)h除或匿名化的數(shù)據(jù)，應(yīng)采取有效措施確保數(shù)據(jù)無(wú)法被恢復(fù)或識(shí)別，并記錄刪除或匿名化操作。9.4雙方應(yīng)制定數(shù)據(jù)備份和恢復(fù)策略，定期對(duì)關(guān)鍵數(shù)據(jù)進(jìn)行備份，并確保在發(fā)生數(shù)據(jù)丟失或損壞時(shí)能夠及時(shí)恢復(fù)。第十條合規(guī)性、審計(jì)與評(píng)估10.1雙方均有義務(wù)遵守所有適用于其數(shù)據(jù)處理活動(dòng)的中國(guó)及所在地法律法規(guī)。10.2用戶有權(quán)根據(jù)協(xié)議目的，對(duì)供應(yīng)商提供的服務(wù)、部署的系統(tǒng)和數(shù)據(jù)處理活動(dòng)進(jìn)行審計(jì)或評(píng)估，以驗(yàn)證其是否符合本協(xié)議約定和法律法規(guī)要求。審計(jì)或評(píng)估應(yīng)在不影響系統(tǒng)正常運(yùn)行的前提下進(jìn)行，具體時(shí)間和范圍由用戶提前十（10）日書面通知供應(yīng)商，供應(yīng)商應(yīng)予以配合。10.3供應(yīng)商也有權(quán)對(duì)用戶的數(shù)據(jù)處理環(huán)境和管理措施進(jìn)行審計(jì)或評(píng)估，以驗(yàn)證其是否履行了本協(xié)議項(xiàng)下的責(zé)任。審計(jì)或評(píng)估的具體時(shí)間和范圍應(yīng)提前十（10）日書面通知用戶，用戶應(yīng)予以配合。10.4雙方應(yīng)就審計(jì)或評(píng)估結(jié)果進(jìn)行溝通，對(duì)于發(fā)現(xiàn)的問(wèn)題，雙方應(yīng)共同制定整改計(jì)劃并落實(shí)。第十一條協(xié)議期限、變更與終止11.1本協(xié)議自協(xié)議生效日起生效，有效期為三（3）年，除非雙方提前書面同意終止或續(xù)約。11.2本協(xié)議在有效期內(nèi)自動(dòng)續(xù)展，每期一（1）年，除非一方在每期結(jié)束前三十（30）日書面通知另一方不續(xù)展。11.3任何一方有權(quán)在滿足以下條件時(shí)書面通知另一方終止本協(xié)議：a)另一方發(fā)生重大違約行為，在收到書面通知后三十（30）日內(nèi)未能糾正；b)另一方進(jìn)入破產(chǎn)、清算或解散程序；c)因不可抗力導(dǎo)致協(xié)議目的無(wú)法實(shí)現(xiàn)，且該狀態(tài)持續(xù)超過(guò)六十（60）日。11.4協(xié)議終止時(shí)，雙方應(yīng)：a)停止一切基于本協(xié)議的數(shù)據(jù)處理活動(dòng)。b)根據(jù)法律法規(guī)要求和個(gè)人同意情況，刪除或返還用戶數(shù)據(jù)，或按用戶要求提供數(shù)據(jù)脫敏處理。c)按照約定結(jié)算費(fèi)用，處理未完成的服務(wù)。d)繼續(xù)履行保密義務(wù)及其他根據(jù)其性質(zhì)應(yīng)在終止后繼續(xù)履行的義務(wù)。第十二條違約責(zé)任與救濟(jì)12.1若一方違反本協(xié)議約定，應(yīng)承擔(dān)違約責(zé)任，賠償因其違約行為給另一方造成的直接經(jīng)濟(jì)損失和可預(yù)見(jiàn)的間接經(jīng)濟(jì)損失。12.2若供應(yīng)商未能按照本協(xié)議約定提供符合安全要求的機(jī)器人或系統(tǒng)，或未能履行其數(shù)據(jù)安全責(zé)任，用戶有權(quán)要求供應(yīng)商采取補(bǔ)救措施，并可根據(jù)情況要求減少支付的服務(wù)費(fèi)用或賠償損失。12.3若用戶未能按照本協(xié)議約定履行其數(shù)據(jù)安全責(zé)任，供應(yīng)商有權(quán)要求用戶采取補(bǔ)救措施，并可根據(jù)情況要求減少支付的服務(wù)費(fèi)用或賠償損失。12.4任何一方違約時(shí)，守約方有權(quán)要求違約方停止違約行為、采取補(bǔ)救措施、賠償損失。若違約行為嚴(yán)重影響協(xié)議目的實(shí)現(xiàn)，守約方有權(quán)解除本協(xié)議。第十三條法律適用與爭(zhēng)議解決13.1本協(xié)議的訂立、效力、解釋、履行及爭(zhēng)議解決均適用中華人民共和國(guó)法律。13.2因本協(xié)議引起的或與本協(xié)議有關(guān)的任何爭(zhēng)議，雙方應(yīng)首先通過(guò)友好協(xié)商解決。協(xié)商不成的，任