跨境數(shù)據(jù)合規(guī)治理協(xié)議2025鑒于雙方（以下簡稱“甲方”和“乙方”）有意進行跨境數(shù)據(jù)傳輸和處理活動，以符合2025年及以后適用的數(shù)據(jù)保護法規(guī)和最佳實踐，雙方本著平等互利、誠實信用的原則，經(jīng)友好協(xié)商，達成如下協(xié)議：第一條定義與解釋1.1除非本協(xié)議另有明確界定，以下術(shù)語具有以下含義：“數(shù)據(jù)”是指任何與已識別或可識別的自然人（“數(shù)據(jù)主體”）相關(guān)的個人數(shù)據(jù)，以及符合《通用數(shù)據(jù)保護條例》（GDPR）第4條第1款第a項定義的非個人數(shù)據(jù)?！翱缇硵?shù)據(jù)傳輸”是指將數(shù)據(jù)從一方所在國家或地區(qū)傳輸至另一方所在國家或地區(qū)。“數(shù)據(jù)處理”是指對數(shù)據(jù)進行任何操作，包括收集、存儲、訪問、使用、修改、合并、刪除、披露或傳輸?！皵?shù)據(jù)主體”是指根據(jù)適用的數(shù)據(jù)保護法規(guī)，其個人數(shù)據(jù)被處理的自然人?！皵?shù)據(jù)控制者”是指決定數(shù)據(jù)處理目的和方式的個人或組織?！皵?shù)據(jù)處理者”是指代表數(shù)據(jù)控制者處理個人數(shù)據(jù)的個人或組織?！皵?shù)據(jù)保護影響評估”（DPIA）是指評估數(shù)據(jù)處理活動對個人權(quán)益和自由可能產(chǎn)生的風險，并采取措施減輕這些風險的系統(tǒng)化過程?！皹藴屎贤瑮l款”（SCCs）是指由歐盟委員會批準的，用于規(guī)范歐盟數(shù)據(jù)控制者向歐洲經(jīng)濟區(qū)（EEA）以外的國家或地區(qū)傳輸個人數(shù)據(jù)的法律文件?！俺浞中哉J定”是指監(jiān)管機構(gòu)認定某個國家或地區(qū)的數(shù)據(jù)保護水平與數(shù)據(jù)提供方所在國家或地區(qū)相當?！熬哂屑s束力的公司規(guī)則”（BCRs）是指跨國公司內(nèi)部制定并經(jīng)監(jiān)管機構(gòu)批準的，用于規(guī)范個人數(shù)據(jù)跨境傳輸?shù)囊?guī)則。“行為準則和認證機制”是指經(jīng)監(jiān)管機構(gòu)認可的，旨在確保數(shù)據(jù)傳輸符合數(shù)據(jù)保護法規(guī)的行業(yè)行為準則或數(shù)據(jù)保護認證。“臨時傳輸機制”是指在特定條件下，例如數(shù)據(jù)主體明確同意或數(shù)據(jù)在傳輸過程中被加密，可以進行跨境數(shù)據(jù)傳輸?shù)臋C制。1.2本協(xié)議的訂立、效力、解釋、履行及爭議解決均適用中華人民共和國法律。第二條數(shù)據(jù)保護原則2.1雙方在跨境數(shù)據(jù)傳輸和處理活動中應(yīng)遵循以下數(shù)據(jù)保護原則：（1）合法、正當、必要原則：數(shù)據(jù)處理活動必須基于合法的基礎(chǔ)，并以實現(xiàn)特定、合法的目的為前提，且處理方式對數(shù)據(jù)主體權(quán)益的影響與其所追求的目的相稱。（2）目的限制原則：數(shù)據(jù)處理必須具有明確、合法的目的，并且不得以與該目的不相符的方式進一步處理數(shù)據(jù)。（3）數(shù)據(jù)質(zhì)量原則：數(shù)據(jù)控制者應(yīng)采取合理措施確保數(shù)據(jù)的準確性、完整性和及時更新。（4）存儲限制原則：數(shù)據(jù)的存儲時間不應(yīng)超過實現(xiàn)處理目的所需的時間。（5）完整性和保密性原則：雙方必須采取適當?shù)募夹g(shù)和管理措施，確保數(shù)據(jù)的機密性、完整性和可用性，防止數(shù)據(jù)泄露、丟失或被未經(jīng)授權(quán)訪問。第三條跨境數(shù)據(jù)傳輸3.1雙方同意，跨境數(shù)據(jù)傳輸應(yīng)遵循以下機制：（1）如果數(shù)據(jù)接收方所在國家或地區(qū)已被歐盟委員會認定為提供充分的數(shù)據(jù)保護水平，則可以采用充分性認定機制進行數(shù)據(jù)傳輸。（2）如果數(shù)據(jù)接收方所在國家或地區(qū)未獲得充分性認定，則可以采用標準合同條款（SCCs）進行數(shù)據(jù)傳輸。雙方應(yīng)在數(shù)據(jù)處理開始前簽署并適用雙方認可的SCCs版本。（3）如果數(shù)據(jù)傳輸是在跨國公司內(nèi)部進行的，則可以采用具有約束力的公司規(guī)則（BCRs）進行數(shù)據(jù)傳輸。BCRs應(yīng)已獲得相關(guān)監(jiān)管機構(gòu)的批準。（4）如果數(shù)據(jù)傳輸符合特定的行為準則或數(shù)據(jù)保護認證的要求，則可以采用行為準則和認證機制進行數(shù)據(jù)傳輸。（5）在特定情況下，例如數(shù)據(jù)主體明確同意或數(shù)據(jù)在傳輸過程中被加密，可以采用臨時傳輸機制進行數(shù)據(jù)傳輸。3.2雙方應(yīng)采取適當?shù)募夹g(shù)和管理安全措施，例如數(shù)據(jù)加密、傳輸通道安全等，確保數(shù)據(jù)在跨境傳輸過程中的安全。3.3乙方作為數(shù)據(jù)處理者，應(yīng)遵守數(shù)據(jù)控制者（甲方）的指示，并承擔以下責任：（1）僅按照甲方的指示處理數(shù)據(jù)，不得擅自改變處理目的或方式。（2）采取與數(shù)據(jù)保護要求相匹配的技術(shù)和管理措施，保護數(shù)據(jù)的安全，防止數(shù)據(jù)泄露、丟失或被未經(jīng)授權(quán)訪問。（3）協(xié)助甲方履行其數(shù)據(jù)保護責任，包括進行數(shù)據(jù)保護影響評估、通知數(shù)據(jù)泄露等。（4）在發(fā)生數(shù)據(jù)泄露時，應(yīng)立即通知甲方，并協(xié)助甲方采取補救措施。（5）任命數(shù)據(jù)保護官（DPO），并確保其與甲方的DPO進行有效溝通。第四條數(shù)據(jù)主體權(quán)利4.1甲方作為數(shù)據(jù)控制者，應(yīng)保障數(shù)據(jù)主體的以下權(quán)利：（1）信息披露權(quán)：甲方應(yīng)向數(shù)據(jù)主體披露其處理個人數(shù)據(jù)的詳細信息，包括處理目的、數(shù)據(jù)類型、數(shù)據(jù)接收方、數(shù)據(jù)存儲期限等。（2）訪問權(quán)：數(shù)據(jù)主體有權(quán)訪問其個人數(shù)據(jù)，并獲取數(shù)據(jù)副本。甲方應(yīng)在收到請求后合理期限內(nèi)響應(yīng)，并提供數(shù)據(jù)副本。（3）更正權(quán)：數(shù)據(jù)主體有權(quán)更正其不準確或不完整的個人數(shù)據(jù)。甲方應(yīng)及時更正數(shù)據(jù)。（4）刪除權(quán)（被遺忘權(quán)）：在特定情況下，例如數(shù)據(jù)主體撤回同意、數(shù)據(jù)不再需要實現(xiàn)處理目的等，數(shù)據(jù)主體有權(quán)要求甲方刪除其個人數(shù)據(jù)。甲方應(yīng)在收到請求后合理期限內(nèi)響應(yīng)，并刪除數(shù)據(jù)。（5）限制處理權(quán)：在特定情況下，例如數(shù)據(jù)主體對數(shù)據(jù)處理提出異議、數(shù)據(jù)準確性有疑問等，數(shù)據(jù)主體有權(quán)要求甲方限制對其個人數(shù)據(jù)的處理。甲方應(yīng)在收到請求后合理期限內(nèi)評估，并限制處理。（6）數(shù)據(jù)可攜帶權(quán)：在特定情況下，數(shù)據(jù)主體有權(quán)要求甲方將其個人數(shù)據(jù)傳輸給另一家數(shù)據(jù)控制者。甲方應(yīng)在收到請求后合理期限內(nèi)響應(yīng)，并傳輸數(shù)據(jù)。（7）反對權(quán)：數(shù)據(jù)主體有權(quán)反對甲方對其個人數(shù)據(jù)進行處理。甲方應(yīng)在收到請求后合理期限內(nèi)評估，并停止處理。（8）撤回同意權(quán)：如果數(shù)據(jù)處理基于數(shù)據(jù)主體的同意，數(shù)據(jù)主體有權(quán)撤回其同意。甲方應(yīng)在收到撤回同意的通知后停止處理。4.2甲方應(yīng)建立機制，協(xié)助數(shù)據(jù)主體行使上述權(quán)利。乙方應(yīng)配合甲方履行上述義務(wù)。第五條數(shù)據(jù)保護責任與義務(wù)5.1甲方作為數(shù)據(jù)控制者，應(yīng)履行以下責任和義務(wù)：（1）確定數(shù)據(jù)處理活動的合法性、合理性和目的限制性。（2）在處理敏感數(shù)據(jù)或進行高風險處理活動前，進行數(shù)據(jù)保護影響評估（DPIA）。（3）建立數(shù)據(jù)泄露通知機制，在發(fā)生數(shù)據(jù)泄露時，及時通知監(jiān)管機構(gòu)和受影響的數(shù)據(jù)主體。（4）建立機制，協(xié)助數(shù)據(jù)主體行使數(shù)據(jù)主體權(quán)利。（5）根據(jù)適用的法律法規(guī)，任命數(shù)據(jù)保護官（DPO）。5.2乙方作為數(shù)據(jù)處理者，應(yīng)履行以下責任和義務(wù)：（1）僅按照甲方的指示處理數(shù)據(jù)，并遵守甲方的數(shù)據(jù)處理指令。（2）采取與數(shù)據(jù)保護要求相匹配的技術(shù)和管理措施，保護數(shù)據(jù)的安全，防止數(shù)據(jù)泄露、丟失或被未經(jīng)授權(quán)訪問。（3）幫助甲方履行其數(shù)據(jù)保護責任，例如進行數(shù)據(jù)保護影響評估、通知數(shù)據(jù)泄露等。（4）在發(fā)生數(shù)據(jù)泄露時，應(yīng)立即通知甲方，并協(xié)助甲方采取補救措施。（5）根據(jù)適用的法律法規(guī)，任命數(shù)據(jù)保護官（DPO）。第六條數(shù)據(jù)保護影響評估（DPIA）6.1雙方同意，在處理數(shù)據(jù)可能對數(shù)據(jù)主體的權(quán)益和自由帶來高風險時，應(yīng)進行數(shù)據(jù)保護影響評估（DPIA）。6.2觸發(fā)DPIA的情形包括但不限于：（1）處理敏感數(shù)據(jù)。（2）進行大規(guī)模數(shù)據(jù)自動化決策，例如對個人進行畫像或決策。（3）應(yīng)用新技術(shù)，例如人工智能、大數(shù)據(jù)分析等。（4）跨境數(shù)據(jù)傳輸。6.3DPIA應(yīng)評估數(shù)據(jù)處理活動對個人權(quán)益和自由的風險，并提出減輕風險的措施。DPIA應(yīng)由甲方的DPO或其指定的人員負責，并應(yīng)征求乙方的意見。6.4雙方應(yīng)采取措施，將DPIA的結(jié)果應(yīng)用于實際的數(shù)據(jù)處理活動中，以降低風險。第七條數(shù)據(jù)泄露7.1雙方應(yīng)建立數(shù)據(jù)泄露通知機制。在發(fā)生數(shù)據(jù)泄露時，應(yīng)按照以下時限和方式通知相關(guān)方：（1）甲方應(yīng)立即通知乙方法律法規(guī)要求的通知時限。（2）乙方應(yīng)在發(fā)現(xiàn)數(shù)據(jù)泄露后立即通知甲方，并協(xié)助甲方進行評估和響應(yīng)。（3）如果數(shù)據(jù)泄露對數(shù)據(jù)主體的權(quán)益和自由造成或可能造成高風險，甲方和乙方應(yīng)按照適用的法律法規(guī)，及時通知受影響的數(shù)據(jù)主體。7.2雙方應(yīng)在發(fā)生數(shù)據(jù)泄露時，采取以下響應(yīng)措施：（1）調(diào)查數(shù)據(jù)泄露的原因和范圍。（2）采取措施阻止數(shù)據(jù)泄露的進一步發(fā)生。（3）評估數(shù)據(jù)泄露對數(shù)據(jù)主體權(quán)益和自由的影響。（4）根據(jù)適用法律法規(guī)的要求，通知監(jiān)管機構(gòu)和受影響的數(shù)據(jù)主體。第八條審計與合規(guī)8.1雙方應(yīng)定期進行內(nèi)部審計，以評估其是否符合本協(xié)議要求以及適用的數(shù)據(jù)保護法規(guī)。8.2雙方可以約定由第三方機構(gòu)進行外部審計，以評估其數(shù)據(jù)保護措施的有效性。8.3雙方應(yīng)定期向?qū)Ψ教峤缓弦?guī)報告，報告其數(shù)據(jù)保護合規(guī)情況。報告內(nèi)容應(yīng)包括數(shù)據(jù)處理活動、采取的安全措施、進行的數(shù)據(jù)保護影響評估、發(fā)生的數(shù)據(jù)泄露事件等。第九條爭議解決9.1雙方應(yīng)首先通過友好協(xié)商解決本協(xié)議引起的或與本協(xié)議有關(guān)的任何爭議。9.2如果協(xié)商不成，雙方可以提交指定地點的調(diào)解機構(gòu)進行調(diào)解。調(diào)解應(yīng)遵循調(diào)解機構(gòu)的規(guī)則和程序。9.3如果調(diào)解不成，雙方應(yīng)將爭議提交至甲方所在地有管轄權(quán)的人民法院訴訟解決。第十條協(xié)議的生效、變更和終止10.1本協(xié)議自雙方簽字蓋章之日起生效。10.2本協(xié)議的任何變更或補充，均需經(jīng)雙方書面同意。10.3本協(xié)議在以下情況下終止：（1）雙方協(xié)商一致終止。（2）本協(xié)議約定的數(shù)據(jù)處理活動結(jié)束。（3）一方違反本協(xié)議，導(dǎo)致另一方有權(quán)終止本協(xié)議。10.4本協(xié)議終止后，雙方仍應(yīng)履行本協(xié)議中關(guān)于數(shù)據(jù)保護的責任和義務(wù)，包括數(shù)據(jù)刪除、數(shù)據(jù)保密等義務(wù)，直至這些義務(wù)履行完畢。第十一條保密條款11.1雙方應(yīng)對本協(xié)議的內(nèi)容以及在本協(xié)議履行過程中獲取的對方的商業(yè)秘密和技術(shù)信息承擔保密義務(wù)。11.2未經(jīng)對方書面同意，任何一方不得向任何第三方披露本協(xié)議的內(nèi)容以及在本協(xié)議履行過程中獲取的對方的商業(yè)秘密和技術(shù)信息。11.3本保密義務(wù)不因本協(xié)議的終止而失效。第十二條不可抗力條款12.1“不可抗力”是指雙方不能預(yù)見、不能避免并不能克服的客觀情況，包括但不限于自然災(zāi)害、戰(zhàn)爭、政府行為、流行病等。12.2如果發(fā)生不可抗力事件，雙方應(yīng)立即采取措施減輕損失，并通知對方。12.3如果不可抗力事件持續(xù)超過三十天，雙方可以協(xié)商解除本協(xié)議。第十三條法律適用和管轄13.1本協(xié)議的訂立、效力、解釋、履行及爭議解決均適用中華人民共和國法律。13.2本協(xié)議的解釋和適用應(yīng)遵循中華人民共和國法律的規(guī)定。第十四條通知14.1雙方之間的所有通知應(yīng)以書面形式，并通過書面信函、傳真、電子郵件