工業(yè)互聯(lián)網(wǎng)平臺(tái)接入合同協(xié)議2025年安全規(guī)范鑒于甲方（以下簡(jiǎn)稱(chēng)“平臺(tái)方”）擁有并運(yùn)營(yíng)工業(yè)互聯(lián)網(wǎng)平臺(tái)（以下簡(jiǎn)稱(chēng)“平臺(tái)”），該平臺(tái)旨在提供數(shù)據(jù)采集、存儲(chǔ)、分析、應(yīng)用開(kāi)發(fā)等工業(yè)互聯(lián)網(wǎng)服務(wù)；乙方（以下簡(jiǎn)稱(chēng)“用戶(hù)方”）希望將其擁有的工業(yè)設(shè)備、系統(tǒng)或數(shù)據(jù)接入平臺(tái)以獲取相關(guān)服務(wù)。根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、《中華人民共和國(guó)數(shù)據(jù)安全法》、《中華人民共和國(guó)個(gè)人信息保護(hù)法》及相關(guān)法律法規(guī)和國(guó)家、行業(yè)安全標(biāo)準(zhǔn)，甲乙雙方在平等、自愿、公平和誠(chéng)實(shí)信用的基礎(chǔ)上，經(jīng)友好協(xié)商，就乙方接入平臺(tái)的相關(guān)事宜，達(dá)成以下協(xié)議，以資共同遵守。第一條定義與解釋除非本協(xié)議上下文另有明確說(shuō)明，下列術(shù)語(yǔ)具有以下含義：1.1平臺(tái)：指由平臺(tái)方建設(shè)和運(yùn)營(yíng)，提供工業(yè)互聯(lián)網(wǎng)相關(guān)服務(wù)的計(jì)算機(jī)系統(tǒng)及其網(wǎng)絡(luò)環(huán)境。1.2用戶(hù)方：指接入平臺(tái)的工業(yè)設(shè)備、系統(tǒng)或數(shù)據(jù)所有者或運(yùn)營(yíng)者。1.3接入設(shè)備/系統(tǒng)：指由用戶(hù)方擁有或控制，并計(jì)劃接入平臺(tái)的工業(yè)設(shè)備、工業(yè)控制系統(tǒng)、信息系統(tǒng)等。1.4數(shù)據(jù)：指在接入平臺(tái)過(guò)程中產(chǎn)生的、傳輸?shù)?、存?chǔ)的各類(lèi)信息，包括但不限于生產(chǎn)數(shù)據(jù)、運(yùn)營(yíng)數(shù)據(jù)、設(shè)備狀態(tài)數(shù)據(jù)、配置數(shù)據(jù)、日志數(shù)據(jù)等。1.5網(wǎng)絡(luò)安全：指保護(hù)網(wǎng)絡(luò)系統(tǒng)、硬件、軟件及其運(yùn)行環(huán)境免受病毒、黑客、攻擊、非法侵入及其他威脅，保證網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行和數(shù)據(jù)安全的技術(shù)和管理措施。1.6信息安全：指保護(hù)信息在采集、傳輸、存儲(chǔ)、處理、使用等生命周期內(nèi)的保密性、完整性和可用性。1.7數(shù)據(jù)安全：指采取技術(shù)和管理措施，確保數(shù)據(jù)在存儲(chǔ)、使用、傳輸?shù)冗^(guò)程中的保密性、完整性、可用性和合規(guī)性。1.8隱私保護(hù)：指對(duì)個(gè)人信息的保護(hù)，確保個(gè)人信息處理符合法律法規(guī)要求，尊重個(gè)人信息權(quán)利。1.9平臺(tái)服務(wù)：指平臺(tái)方根據(jù)本協(xié)議約定向用戶(hù)方提供的工業(yè)互聯(lián)網(wǎng)服務(wù)，包括但不限于設(shè)備接入管理、數(shù)據(jù)采集與存儲(chǔ)、數(shù)據(jù)分析與可視化、應(yīng)用開(kāi)發(fā)與部署、運(yùn)行監(jiān)控等。1.10服務(wù)水平協(xié)議（SLA）：指甲乙雙方約定的關(guān)于平臺(tái)服務(wù)可用性、性能、事件響應(yīng)時(shí)間等方面的量化承諾。1.11安全事件：指任何可能導(dǎo)致或?qū)嶋H導(dǎo)致平臺(tái)、用戶(hù)方接入設(shè)備/系統(tǒng)、數(shù)據(jù)遭受破壞、丟失、泄露或無(wú)法正常使用的網(wǎng)絡(luò)安全事件或信息安全事件。1.12安全審計(jì)：指對(duì)平臺(tái)或用戶(hù)方接入設(shè)備/系統(tǒng)的安全措施、安全管理體系、安全事件處理過(guò)程等進(jìn)行檢查和評(píng)估的活動(dòng)。1.13不可抗力：指不能預(yù)見(jiàn)、不能避免并不能克服的客觀情況，包括但不限于自然災(zāi)害、戰(zhàn)爭(zhēng)、政府行為、流行病疫情等。第二條適用范圍與接入條件2.1本協(xié)議適用于用戶(hù)方將其接入設(shè)備/系統(tǒng)或數(shù)據(jù)用于平臺(tái)服務(wù)的所有活動(dòng)。2.2乙方接入平臺(tái)應(yīng)遵守國(guó)家及行業(yè)相關(guān)法律法規(guī)、安全標(biāo)準(zhǔn)和本協(xié)議約定。2.3乙方承諾其接入的設(shè)備/系統(tǒng)符合平臺(tái)方發(fā)布的技術(shù)接入規(guī)范和安全基線(xiàn)要求，至少包括但不限于：2.3.1操作系統(tǒng)或固件版本滿(mǎn)足平臺(tái)要求，并保持及時(shí)更新安全補(bǔ)??；2.3.2具備必要的安全防護(hù)措施，如防火墻配置、訪問(wèn)控制策略等；2.3.3能夠支持必要的數(shù)據(jù)加密傳輸；2.3.4符合平臺(tái)方關(guān)于身份認(rèn)證和訪問(wèn)控制的要求。2.4乙方應(yīng)向平臺(tái)方提供為完成接入和提供服務(wù)所必需的身份驗(yàn)證信息、授權(quán)信息及其他平臺(tái)方要求的資料。第三條安全要求3.1用戶(hù)方安全責(zé)任3.1.1設(shè)備安全:乙方負(fù)責(zé)保障接入平臺(tái)的設(shè)備/系統(tǒng)的物理安全和網(wǎng)絡(luò)安全，進(jìn)行必要的安全加固，及時(shí)更新設(shè)備/系統(tǒng)上的安全補(bǔ)丁和固件，配置合理的訪問(wèn)控制策略，并根據(jù)需要部署入侵檢測(cè)/防御系統(tǒng)等安全措施。3.1.2數(shù)據(jù)安全:乙方應(yīng)對(duì)其接入平臺(tái)的數(shù)據(jù)負(fù)責(zé)，確保數(shù)據(jù)在傳輸過(guò)程中使用不低于TLS1.2或更高版本的加密協(xié)議；根據(jù)數(shù)據(jù)敏感性對(duì)存儲(chǔ)在平臺(tái)上的數(shù)據(jù)進(jìn)行加密或脫敏處理；建立數(shù)據(jù)備份和恢復(fù)機(jī)制，確保在發(fā)生數(shù)據(jù)丟失時(shí)能夠及時(shí)恢復(fù)。3.1.3身份與訪問(wèn)管理:乙方應(yīng)實(shí)施強(qiáng)密碼策略，要求用戶(hù)使用符合安全標(biāo)準(zhǔn)的密碼；建立基于角色的訪問(wèn)控制機(jī)制，為平臺(tái)服務(wù)人員分配最小必要權(quán)限；定期（至少每年一次）審查與平臺(tái)相關(guān)的賬戶(hù)及其權(quán)限。3.1.4安全配置與管理:乙方應(yīng)遵循平臺(tái)方推薦的安全配置基線(xiàn)對(duì)設(shè)備/系統(tǒng)進(jìn)行配置；建立安全日志記錄機(jī)制，記錄與平臺(tái)交互相關(guān)的關(guān)鍵操作和安全事件；定期（至少每半年一次）對(duì)設(shè)備/系統(tǒng)進(jìn)行安全自查和風(fēng)險(xiǎn)評(píng)估。3.1.5供應(yīng)鏈安全:乙方應(yīng)對(duì)引入的第三方軟件、硬件進(jìn)行安全評(píng)估，避免使用存在已知嚴(yán)重漏洞或安全風(fēng)險(xiǎn)的產(chǎn)品。3.1.6安全意識(shí)與培訓(xùn):乙方應(yīng)對(duì)其接觸平臺(tái)的相關(guān)人員進(jìn)行必要的安全意識(shí)培訓(xùn)。3.2平臺(tái)方安全責(zé)任3.2.1平臺(tái)基礎(chǔ)設(shè)施安全:平臺(tái)方負(fù)責(zé)保障平臺(tái)本身的安全，包括但不限于平臺(tái)的網(wǎng)絡(luò)邊界防護(hù)、服務(wù)器、操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用軟件的安全防護(hù)，以及數(shù)據(jù)中心的物理和環(huán)境安全措施。3.2.2平臺(tái)數(shù)據(jù)安全:平臺(tái)方應(yīng)對(duì)存儲(chǔ)在平臺(tái)上的用戶(hù)數(shù)據(jù)（不包括用戶(hù)明確標(biāo)識(shí)為個(gè)人信息的特定數(shù)據(jù)，其保護(hù)按第十二條執(zhí)行）采取加密存儲(chǔ)、訪問(wèn)控制等措施，確保數(shù)據(jù)的機(jī)密性和完整性；平臺(tái)方應(yīng)保護(hù)用戶(hù)數(shù)據(jù)不被未經(jīng)授權(quán)的訪問(wèn)、使用或泄露。3.2.3接口安全:平臺(tái)方應(yīng)提供安全的API接口供乙方接入，接口應(yīng)支持加密傳輸（如TLS），并具備身份認(rèn)證和訪問(wèn)控制機(jī)制，同時(shí)實(shí)施合理的速率限制等防攻擊措施。3.2.4安全監(jiān)控與響應(yīng):平臺(tái)方應(yīng)建立平臺(tái)級(jí)的網(wǎng)絡(luò)安全監(jiān)控和入侵檢測(cè)機(jī)制，以及安全事件應(yīng)急響應(yīng)流程，能夠及時(shí)發(fā)現(xiàn)、分析和處置安全事件，并按約定向乙方通報(bào)重大安全事件。3.2.5漏洞管理與補(bǔ)丁更新:平臺(tái)方應(yīng)建立常態(tài)化的漏洞掃描、風(fēng)險(xiǎn)評(píng)估和補(bǔ)丁管理流程，及時(shí)修復(fù)平臺(tái)自身存在的安全漏洞。3.2.6安全認(rèn)證與合規(guī):平臺(tái)方應(yīng)確保平臺(tái)符合國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)相關(guān)要求，并持有有效的第三方安全認(rèn)證（如ISO27001,CSASTAR等），并持續(xù)保持合規(guī)狀態(tài)。3.2.7訪問(wèn)控制:平臺(tái)方應(yīng)實(shí)施嚴(yán)格的內(nèi)部訪問(wèn)控制策略，確保只有授權(quán)人員才能訪問(wèn)用戶(hù)數(shù)據(jù)和平臺(tái)配置。第四條合規(guī)性與法律法規(guī)4.1甲乙雙方均應(yīng)遵守與工業(yè)互聯(lián)網(wǎng)及數(shù)據(jù)相關(guān)的所有適用中國(guó)法律、法規(guī)及國(guó)家、行業(yè)安全標(biāo)準(zhǔn)，包括但不限于《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、《中華人民共和國(guó)數(shù)據(jù)安全法》、《中華人民共和國(guó)個(gè)人信息保護(hù)法》、《工業(yè)互聯(lián)網(wǎng)安全標(biāo)準(zhǔn)體系》等。4.2乙方在接入平臺(tái)時(shí)及使用平臺(tái)服務(wù)過(guò)程中，應(yīng)確保其行為符合特定行業(yè)的安全監(jiān)管要求（如適用）。4.3如國(guó)家或地方法律法規(guī)對(duì)數(shù)據(jù)跨境傳輸有特殊規(guī)定的，乙方在將數(shù)據(jù)傳輸至平臺(tái)前應(yīng)確保符合相關(guān)規(guī)定，并告知平臺(tái)方；平臺(tái)方在收到通知后應(yīng)采取必要措施確保合規(guī)。4.4平臺(tái)方在處理可能包含個(gè)人信息的數(shù)據(jù)時(shí)，應(yīng)遵守《中華人民共和國(guó)個(gè)人信息保護(hù)法》等相關(guān)法律法規(guī)，并確保獲得必要的授權(quán)（如需）。第五條數(shù)據(jù)管理與隱私保護(hù)5.1除非獲得乙方明確書(shū)面同意，平臺(tái)方僅可為提供平臺(tái)服務(wù)所必需的目的使用乙方數(shù)據(jù)，不得將其用于任何其他商業(yè)目的或與第三方共享。5.2平臺(tái)方應(yīng)對(duì)其收集和處理的個(gè)人信息進(jìn)行分類(lèi)分級(jí)管理，采取嚴(yán)格的安全保護(hù)措施，防止個(gè)人信息泄露、篡改或丟失。5.3乙方對(duì)其接入平臺(tái)的數(shù)據(jù)中的個(gè)人信息負(fù)有安全保護(hù)責(zé)任，應(yīng)采取技術(shù)和管理措施保障個(gè)人信息安全，并承擔(dān)因個(gè)人信息處理不符合法律法規(guī)要求而產(chǎn)生的法律責(zé)任。5.4乙方有權(quán)依法訪問(wèn)、更正、刪除其接入平臺(tái)中的個(gè)人信息，并有權(quán)要求平臺(tái)方停止處理其個(gè)人信息。平臺(tái)方應(yīng)在收到合理請(qǐng)求后及時(shí)響應(yīng)。5.5甲乙雙方均有義務(wù)對(duì)在合作過(guò)程中獲悉的對(duì)方商業(yè)秘密和技術(shù)信息承擔(dān)保密義務(wù)，未經(jīng)對(duì)方書(shū)面同意，不得向任何第三方泄露、使用或允許他人使用。第六條安全事件響應(yīng)與協(xié)作6.1甲乙雙方同意建立安全事件溝通與協(xié)作機(jī)制。6.2發(fā)生或疑似發(fā)生安全事件時(shí)，相關(guān)方應(yīng)立即啟動(dòng)應(yīng)急響應(yīng)措施，并按照事先約定的流程或行業(yè)標(biāo)準(zhǔn)進(jìn)行處置。6.3平臺(tái)方應(yīng)在安全事件發(fā)生后，根據(jù)事件的嚴(yán)重程度和影響，及時(shí)通知乙方（具體時(shí)限按SLA約定）。6.4乙方應(yīng)在收到安全事件通知后，積極配合平臺(tái)方進(jìn)行事件調(diào)查、分析和處置，提供必要的日志、配置信息等支持。6.5甲乙雙方應(yīng)共同參與安全事件的恢復(fù)工作，并采取措施防止類(lèi)似事件再次發(fā)生。第七條安全審計(jì)與評(píng)估7.1平臺(tái)方應(yīng)定期（建議每年一次）對(duì)其平臺(tái)的安全狀況進(jìn)行內(nèi)部或委托第三方進(jìn)行安全審計(jì)，并將審計(jì)結(jié)果告知乙方。7.2平臺(tái)方有權(quán)在提前通知乙方并說(shuō)明理由的情況下，對(duì)乙方的接入設(shè)備/系統(tǒng)進(jìn)行安全評(píng)估或檢查，以驗(yàn)證其符合本協(xié)議約定的安全要求。乙方應(yīng)予以配合。7.3審計(jì)或評(píng)估發(fā)現(xiàn)的安全問(wèn)題，乙方應(yīng)在平臺(tái)方要求的期限內(nèi)完成整改。平臺(tái)方可根據(jù)需要復(fù)驗(yàn)。7.4雙方同意，審計(jì)和評(píng)估結(jié)果可作為本協(xié)議執(zhí)行情況的一部分，并在發(fā)生爭(zhēng)議時(shí)作為證據(jù)參考。第八條服務(wù)水平協(xié)議（SLA）中的安全指標(biāo)8.1甲乙雙方可在另行簽訂的SLA中，就平臺(tái)服務(wù)的可用性、安全事件響應(yīng)時(shí)間、漏洞修復(fù)時(shí)間、數(shù)據(jù)加密率等與安全相關(guān)的指標(biāo)做出具體承諾。8.2平臺(tái)方應(yīng)致力于達(dá)到約定的安全指標(biāo)，若未能達(dá)到，應(yīng)根據(jù)SLA的約定承擔(dān)相應(yīng)責(zé)任。第九條違約責(zé)任與救濟(jì)措施9.1任何一方違反本協(xié)議約定，給對(duì)方造成損失的，應(yīng)承擔(dān)賠償責(zé)任。賠償責(zé)任的范圍包括直接損失，但不包括間接損失、預(yù)期利益損失和懲罰性賠償，除非違約方明知或應(yīng)知其行為會(huì)導(dǎo)致?lián)p失發(fā)生。9.2若乙方未能履行第三條規(guī)定的安全責(zé)任，導(dǎo)致平臺(tái)或第三方遭受損失，或違反第四條、第五條關(guān)于合規(guī)和隱私保護(hù)的規(guī)定，平臺(tái)方有權(quán)要求乙方立即糾正，并可根據(jù)情節(jié)嚴(yán)重程度采取暫停服務(wù)、終止協(xié)議等措施，并要求乙方承擔(dān)相應(yīng)的賠償責(zé)任。9.3若平臺(tái)方未能履行第三條規(guī)定的安全責(zé)任，導(dǎo)致乙方或第三方遭受損失，平臺(tái)方應(yīng)承擔(dān)相應(yīng)的賠償責(zé)任，并根據(jù)損失情況，可能包括但不限于服務(wù)降級(jí)、賠償損失等。9.4若發(fā)生一方違約，守約方有權(quán)要求違約方在其合理期限內(nèi)糾正違約行為。若違約方在合理期限內(nèi)未能糾正，或違約行為已實(shí)質(zhì)性影響協(xié)議目的實(shí)現(xiàn)，守約方有權(quán)解除本協(xié)議，并要求違約方承擔(dān)賠償責(zé)任。第十條保密條款10.1甲乙雙方應(yīng)對(duì)本協(xié)議內(nèi)容及在履行本協(xié)議過(guò)程中獲悉的對(duì)方的商業(yè)秘密（包括但不限于技術(shù)信息、經(jīng)營(yíng)信息、客戶(hù)信息、安全配置等）承擔(dān)保密義務(wù)。10.2保密信息不包括已公開(kāi)的信息、已進(jìn)入公共領(lǐng)域的信息，或非因一方過(guò)錯(cuò)而獲知的第三方信息。10.3除非法律法規(guī)要求或有權(quán)機(jī)關(guān)強(qiáng)制，任何一方不得向任何第三方泄露、使用或允許他人使用保密信息。10.4本保密義務(wù)不因本協(xié)議的終止而失效，持續(xù)有效期限為本協(xié)議終止后三年，或根據(jù)保密信息性質(zhì)確定更長(zhǎng)的期限。10.5任何一方違反本保密條款，應(yīng)承擔(dān)相應(yīng)的法律責(zé)任。第十一條協(xié)議期限、變更與終止11.1本協(xié)議有效期自雙方簽字蓋章之日起生效，為期[]年。期滿(mǎn)前[]個(gè)月，如雙方無(wú)書(shū)面異議，本協(xié)議自動(dòng)續(xù)展[]年，續(xù)展次數(shù)不限/有限制[]次。11.2經(jīng)雙方協(xié)商一致，可以書(shū)面形式變更本協(xié)議內(nèi)容。變更內(nèi)容成為本協(xié)議不可分割的一部分。11.3發(fā)生下列情形之一，守約方有權(quán)書(shū)面通知違約方終止本協(xié)議：11.3.1違約方嚴(yán)重違反本協(xié)議約定，且在收到守約方書(shū)面通知后[]日內(nèi)未能糾正；11.3.2違約方進(jìn)入破產(chǎn)、清算或解散程序；11.3.3因違約方的行為導(dǎo)致本協(xié)議目的無(wú)法實(shí)現(xiàn)。11.4如因不可抗力導(dǎo)致本協(xié)議無(wú)法繼續(xù)履行，雙方應(yīng)立即通知對(duì)方，并在合理期限內(nèi)提供證明。不可抗力影響消除后，雙方應(yīng)協(xié)商決定是否繼續(xù)履行本協(xié)議或解除本協(xié)議。11.5協(xié)議終止時(shí)，乙方應(yīng)按照平臺(tái)方的要求，停止使用平臺(tái)服務(wù)，并安全地移除或返回其接入平臺(tái)的設(shè)備/系統(tǒng)或相關(guān)憑證，停止向平臺(tái)傳輸數(shù)據(jù)。平臺(tái)方有權(quán)在合理范圍內(nèi)保留乙方數(shù)據(jù)[]日作為存檔或法律合規(guī)需要，之后應(yīng)根據(jù)乙方要求或約定進(jìn)行刪除或返還。11.6協(xié)議終止后，本協(xié)議的保密條款、知識(shí)產(chǎn)權(quán)條款（如有）、爭(zhēng)議解決條款及法律適用條款仍然有效。第十二條法律適用與爭(zhēng)議解決12.1本協(xié)議的訂立、效力、解釋、履行及爭(zhēng)議解決均適用中華人民共和國(guó)法律。12.2因本協(xié)議引起的或與本協(xié)議有關(guān)的任何爭(zhēng)議，雙方應(yīng)首先通過(guò)友好協(xié)商解決。協(xié)商不成的，任何一方均有權(quán)將爭(zhēng)議提交至[選擇：甲方所在地/乙方所在地/協(xié)議簽訂地]有管轄權(quán)的人民法院訴訟解決/提交[仲裁委員會(huì)名稱(chēng)]按其屆時(shí)有效的仲裁規(guī)則進(jìn)行仲裁。仲裁裁