個(gè)人生物識(shí)別數(shù)據(jù)合同個(gè)人生物識(shí)別數(shù)據(jù)收集處理授權(quán)及權(quán)利義務(wù)協(xié)議第一條定義與解釋本協(xié)議中，除非上下文另有明確說(shuō)明：“生物識(shí)別數(shù)據(jù)”指能夠識(shí)別或者可識(shí)別特定自然人的各種生物生理特征信息，包括但不限于指紋、面部圖像、虹膜圖像、聲紋、靜脈信息、步態(tài)、DNA等及其組合；“數(shù)據(jù)主體”是指提供其生物識(shí)別數(shù)據(jù)的個(gè)人；“數(shù)據(jù)控制者”是指確定生物識(shí)別數(shù)據(jù)收集目的和方式，并負(fù)責(zé)監(jiān)督數(shù)據(jù)處理的個(gè)人或組織；“數(shù)據(jù)處理者”是指接受數(shù)據(jù)控制者的委托，處理生物識(shí)別數(shù)據(jù)的個(gè)人或組織；“收集”是指通過(guò)可識(shí)別技術(shù)手段獲取生物識(shí)別數(shù)據(jù)的行為；“處理”是指對(duì)生物識(shí)別數(shù)據(jù)進(jìn)行任何操作，包括收集、存儲(chǔ)、使用、分析、傳輸、提供、刪除等；“告知”是指數(shù)據(jù)控制者向數(shù)據(jù)主體說(shuō)明本協(xié)議約定的其處理生物識(shí)別數(shù)據(jù)的相關(guān)事項(xiàng)；“同意”是指數(shù)據(jù)主體在充分了解本協(xié)議內(nèi)容后，以書面、電子簽名或其他可證明的方式明確表示接受其處理生物識(shí)別數(shù)據(jù)的意愿；“刪除”是指使生物識(shí)別數(shù)據(jù)不被識(shí)別或無(wú)法識(shí)別特定自然人的處理方式。第二條數(shù)據(jù)收集與處理目的數(shù)據(jù)控制者因以下具體目的需要收集和處理數(shù)據(jù)主體的生物識(shí)別數(shù)據(jù)：（一）提供基于生物識(shí)別的身份識(shí)別服務(wù)，例如但不限于用戶登錄、身份驗(yàn)證、門禁控制；（二）提供個(gè)性化服務(wù)或產(chǎn)品，例如但不限于個(gè)性化推薦、定制化體驗(yàn)；（三）維護(hù)安全秩序，例如但不限于防范欺詐、打擊犯罪；（四）法律法規(guī)規(guī)定的其他合法目的。數(shù)據(jù)控制者僅將收集的生物識(shí)別數(shù)據(jù)用于實(shí)現(xiàn)上述已明確告知的目的，除非獲得數(shù)據(jù)主體再次明確同意或法律法規(guī)另有規(guī)定。第三條數(shù)據(jù)收集方式與范圍數(shù)據(jù)控制者將通過(guò)以下方式收集數(shù)據(jù)主體的生物識(shí)別數(shù)據(jù)：（一）數(shù)據(jù)主體主動(dòng)授權(quán)的采集，例如但不限于通過(guò)專用設(shè)備進(jìn)行現(xiàn)場(chǎng)采集、通過(guò)應(yīng)用程序進(jìn)行圖像或聲紋采集；（二）數(shù)據(jù)主體使用數(shù)據(jù)控制者提供的服務(wù)或產(chǎn)品時(shí)，在可識(shí)別范圍內(nèi)的自動(dòng)采集。數(shù)據(jù)控制者將僅收集為實(shí)現(xiàn)約定目的所必需的最少種類和數(shù)量的生物識(shí)別數(shù)據(jù)。第四條數(shù)據(jù)主體的權(quán)利與行使數(shù)據(jù)主體依法享有以下權(quán)利，并有權(quán)按以下方式向數(shù)據(jù)控制者或其指定人員提出請(qǐng)求：（一）知情權(quán)：要求數(shù)據(jù)控制者以清晰、易懂的方式獲取其生物識(shí)別數(shù)據(jù)的處理規(guī)則說(shuō)明，包括本協(xié)議約定的內(nèi)容；（二）查閱權(quán)：要求查閱其被處理的生物識(shí)別數(shù)據(jù)；（三）更正權(quán)：要求更正其被處理的生物識(shí)別數(shù)據(jù)中存在錯(cuò)誤或不準(zhǔn)確的信息；（四）刪除權(quán)：在以下情形下，有權(quán)要求刪除其生物識(shí)別數(shù)據(jù)：1.數(shù)據(jù)控制者停止提供其預(yù)訂的服務(wù)或產(chǎn)品，且該數(shù)據(jù)不再需要用于履行合同；2.數(shù)據(jù)主體撤回同意處理其生物識(shí)別數(shù)據(jù)的決定；3.收集和處理其生物識(shí)別數(shù)據(jù)的目的已實(shí)現(xiàn)；4.其生物識(shí)別數(shù)據(jù)已被錯(cuò)誤處理；5.數(shù)據(jù)控制者違反法律法規(guī)或本協(xié)議約定處理其生物識(shí)別數(shù)據(jù)；6.法律法規(guī)規(guī)定的其他可以刪除的情形。（五）限制或反對(duì)權(quán)：在以下情形下，有權(quán)要求限制或反對(duì)數(shù)據(jù)控制者處理其生物識(shí)別數(shù)據(jù)：1.數(shù)據(jù)控制者利用自動(dòng)化決策方式（包括但不限于基于生物特征的分析）對(duì)數(shù)據(jù)主體進(jìn)行用戶畫像，并由此對(duì)數(shù)據(jù)主體在交易價(jià)格等交易條件上產(chǎn)生不利影響；2.數(shù)據(jù)主體有充分理由懷疑數(shù)據(jù)控制者處理其生物識(shí)別數(shù)據(jù)不符合法律法規(guī)或本協(xié)議約定；（六）撤回同意權(quán)：對(duì)于基于同意的處理方式，數(shù)據(jù)主體有權(quán)隨時(shí)撤回其同意。數(shù)據(jù)主體撤回同意的，不影響撤回前基于同意已進(jìn)行的處理的效力，但數(shù)據(jù)控制者應(yīng)停止繼續(xù)處理，并視情況刪除或返還數(shù)據(jù)。數(shù)據(jù)控制者不得因數(shù)據(jù)主體撤回同意而拒絕提供已包含生物識(shí)別數(shù)據(jù)的基礎(chǔ)服務(wù)或產(chǎn)品，但基于該基礎(chǔ)服務(wù)或產(chǎn)品的其他非生物識(shí)別數(shù)據(jù)服務(wù)不受影響。（七）可攜帶權(quán)：在特定條件下，數(shù)據(jù)主體有權(quán)要求數(shù)據(jù)控制者以可讀取的、結(jié)構(gòu)化的形式獲取其生物識(shí)別數(shù)據(jù)，并要求將其傳輸給另一數(shù)據(jù)控制者。（八）不受自動(dòng)決策影響權(quán)：若數(shù)據(jù)控制者利用自動(dòng)化決策方式（包括但不限于基于生物特征的分析）對(duì)數(shù)據(jù)主體進(jìn)行用戶畫像，并由此對(duì)數(shù)據(jù)主體的權(quán)益產(chǎn)生法律上或類似法律上的重大影響，數(shù)據(jù)主體有權(quán)要求數(shù)據(jù)控制者提供人工干預(yù)的機(jī)會(huì)、獲得對(duì)其個(gè)人情況的相關(guān)解釋，并有權(quán)提出申訴。（九）投訴舉報(bào)權(quán)：有權(quán)向有關(guān)監(jiān)管部門投訴或舉報(bào)數(shù)據(jù)控制者違反法律法規(guī)或本協(xié)議約定的行為。數(shù)據(jù)主體行使前款所列權(quán)利的，應(yīng)當(dāng)通過(guò)書面、電子郵件、客服電話或數(shù)據(jù)控制者提供的其他指定途徑提出，并說(shuō)明請(qǐng)求事項(xiàng)。數(shù)據(jù)控制者應(yīng)當(dāng)在收到請(qǐng)求后合理期限內(nèi)響應(yīng)，并告知處理結(jié)果。第五條數(shù)據(jù)控制者的義務(wù)（一）合法性原則：數(shù)據(jù)控制者處理生物識(shí)別數(shù)據(jù)必須有明確、合法的目的，并符合法律法規(guī)的規(guī)定。（二）目的限制原則：數(shù)據(jù)控制者處理生物識(shí)別數(shù)據(jù)不得超出本協(xié)議約定的目的范圍。（三）最小必要原則：數(shù)據(jù)控制者處理生物識(shí)別數(shù)據(jù)應(yīng)限于實(shí)現(xiàn)約定目的所必需的最小范圍。（四）數(shù)據(jù)質(zhì)量原則：確保所處理的生物識(shí)別數(shù)據(jù)的準(zhǔn)確性、完整性和時(shí)效性。（五）存儲(chǔ)限制原則：對(duì)生物識(shí)別數(shù)據(jù)的存儲(chǔ)期限作出明確約定，除法律法規(guī)另有規(guī)定或?yàn)榱藢?shí)現(xiàn)處理目的所必需外，存儲(chǔ)期限自數(shù)據(jù)主體提供數(shù)據(jù)之日起最長(zhǎng)不超過(guò)（根據(jù)業(yè)務(wù)需求填寫具體年限，例如三年或五年）年；對(duì)于有持續(xù)使用必要的（如門禁系統(tǒng)），應(yīng)設(shè)定定期重新確認(rèn)同意或停止使用的機(jī)制。存儲(chǔ)期限屆滿后，數(shù)據(jù)控制者應(yīng)當(dāng)刪除或進(jìn)行不可逆的匿名化處理。（六）安全保障義務(wù)：采取嚴(yán)格的技術(shù)和管理措施，保障生物識(shí)別數(shù)據(jù)的安全，防止生物識(shí)別數(shù)據(jù)未經(jīng)授權(quán)的訪問(wèn)、泄露、篡改、丟失或被非法使用。具體措施包括但不限于：1.對(duì)生物識(shí)別數(shù)據(jù)進(jìn)行加密存儲(chǔ)和傳輸；2.嚴(yán)格限制對(duì)生物識(shí)別數(shù)據(jù)的訪問(wèn)權(quán)限，實(shí)行基于角色的訪問(wèn)控制；3.定期進(jìn)行安全風(fēng)險(xiǎn)評(píng)估和漏洞掃描；4.對(duì)接觸生物識(shí)別數(shù)據(jù)的員工進(jìn)行保密教育和背景審查，并簽訂保密協(xié)議；5.建立生物識(shí)別數(shù)據(jù)安全事件應(yīng)急預(yù)案。（七）透明度義務(wù)：以清晰、易懂的方式向數(shù)據(jù)主體告知本協(xié)議約定的數(shù)據(jù)處理規(guī)則，并在數(shù)據(jù)處理規(guī)則發(fā)生變更時(shí)，提前通知數(shù)據(jù)主體，并征得其同意。（八）數(shù)據(jù)主體權(quán)利響應(yīng)義務(wù)：建立并公布處理生物識(shí)別數(shù)據(jù)的聯(lián)系人信息，及時(shí)響應(yīng)數(shù)據(jù)主體的權(quán)利請(qǐng)求，并根據(jù)法律法規(guī)和本協(xié)議約定進(jìn)行處理。（九）數(shù)據(jù)泄露通知義務(wù)：在發(fā)生或可能發(fā)生生物識(shí)別數(shù)據(jù)泄露、丟失或被篡改時(shí)，立即啟動(dòng)應(yīng)急預(yù)案，采取補(bǔ)救措施，并在發(fā)現(xiàn)泄露事件后的（根據(jù)法律法規(guī)要求填寫具體時(shí)限，例如二十四、四十八或七十二）小時(shí)內(nèi)通知數(shù)據(jù)控制者，數(shù)據(jù)控制者應(yīng)在接到通知后（根據(jù)法律法規(guī)要求填寫具體時(shí)限，例如七十二）小時(shí)內(nèi)通知數(shù)據(jù)主體。同時(shí)，按照法律法規(guī)要求向監(jiān)管部門報(bào)告。（十）數(shù)據(jù)跨境傳輸義務(wù)：若需將生物識(shí)別數(shù)據(jù)傳輸至中華人民共和國(guó)境外，數(shù)據(jù)控制者應(yīng)確保接收方所在國(guó)家或地區(qū)提供與中華人民共和國(guó)法律、行政法規(guī)具有同等保護(hù)生物識(shí)別數(shù)據(jù)的人格權(quán)和個(gè)人信息權(quán)益水平的保護(hù)措施，并已采取必要措施（如簽訂標(biāo)準(zhǔn)合同條款、具有約束力的公司規(guī)則等），確保數(shù)據(jù)主體的合法權(quán)益得到充分保護(hù)。數(shù)據(jù)控制者應(yīng)在傳輸前將傳輸?shù)哪康牡亍鬏敺绞?、接收方的名稱和聯(lián)系方式、所采取的保護(hù)措施等信息告知數(shù)據(jù)主體。（十一）安全保障能力持續(xù)改進(jìn)義務(wù)：持續(xù)投入資源，提升生物識(shí)別數(shù)據(jù)的安全保護(hù)能力。第六條數(shù)據(jù)處理者的義務(wù)（一）履行指示義務(wù)：數(shù)據(jù)處理者應(yīng)當(dāng)嚴(yán)格按照數(shù)據(jù)控制者的指示處理生物識(shí)別數(shù)據(jù)，不得超出授權(quán)范圍或擅自改變處理目的。（二）安全保障義務(wù)：數(shù)據(jù)處理者應(yīng)遵守?cái)?shù)據(jù)控制者制定的安全管理規(guī)范，并自行采取必要的技術(shù)和管理措施，保障生物識(shí)別數(shù)據(jù)的安全。數(shù)據(jù)處理者應(yīng)在其業(yè)務(wù)場(chǎng)所、信息系統(tǒng)及相關(guān)設(shè)備中部署不低于數(shù)據(jù)控制者內(nèi)部同等安全級(jí)別的安全防護(hù)措施。（三）協(xié)助數(shù)據(jù)主體權(quán)利行使義務(wù)：在數(shù)據(jù)控制者的授權(quán)范圍內(nèi)，協(xié)助數(shù)據(jù)主體行使其對(duì)生物識(shí)別數(shù)據(jù)的訪問(wèn)、更正、刪除等權(quán)利。（四）數(shù)據(jù)泄露通知義務(wù)：在發(fā)現(xiàn)或被告知發(fā)生生物識(shí)別數(shù)據(jù)泄露事件時(shí)，應(yīng)立即通知數(shù)據(jù)控制者，并協(xié)助數(shù)據(jù)控制者采取補(bǔ)救措施和履行通知義務(wù)。（五）數(shù)據(jù)返還或刪除義務(wù)：數(shù)據(jù)處理者在終止與數(shù)據(jù)控制者的處理合同后，應(yīng)根據(jù)數(shù)據(jù)控制者的要求，將存儲(chǔ)在數(shù)據(jù)處理者處、已處理的生物識(shí)別數(shù)據(jù)返還給數(shù)據(jù)控制者，或進(jìn)行刪除，并確保數(shù)據(jù)無(wú)法被復(fù)原。（六）保密義務(wù)：數(shù)據(jù)處理者及其工作人員應(yīng)對(duì)所接觸到的生物識(shí)別數(shù)據(jù)予以保密，不得以任何方式向任何第三方披露，不得將生物識(shí)別數(shù)據(jù)用于處理合同約定外的目的。（七）配合審計(jì)義務(wù)：應(yīng)數(shù)據(jù)控制者的要求，并根據(jù)法律法規(guī)的規(guī)定，配合數(shù)據(jù)控制者或監(jiān)管部門對(duì)其處理生物識(shí)別數(shù)據(jù)的方式和情況進(jìn)行的審計(jì)或檢查。第七條數(shù)據(jù)使用范圍與限制數(shù)據(jù)控制者及數(shù)據(jù)處理者僅能將生物識(shí)別數(shù)據(jù)用于本協(xié)議明確約定的目的，不得將生物識(shí)別數(shù)據(jù)用于以下用途：（一）超出約定目的范圍的任何使用；（二）對(duì)數(shù)據(jù)主體進(jìn)行用戶畫像、行為分析，除非數(shù)據(jù)主體明確同意且用途明確告知；（三）提供、出租或出售給任何第三方，但法律法規(guī)另有規(guī)定或數(shù)據(jù)主體明確同意的除外；（四）用于任何形式的自動(dòng)化決策，除非數(shù)據(jù)主體明確同意或法律法規(guī)另有規(guī)定且對(duì)數(shù)據(jù)主體權(quán)益不產(chǎn)生重大不利影響；（五）用于與其他個(gè)人或組織的生物識(shí)別數(shù)據(jù)進(jìn)行比對(duì)或關(guān)聯(lián)，除非數(shù)據(jù)主體明確同意且用途明確告知；（六）法律法規(guī)禁止的其他用途。第八條數(shù)據(jù)共享與轉(zhuǎn)讓數(shù)據(jù)控制者未經(jīng)數(shù)據(jù)主體事先明確同意，不得將其收集的生物識(shí)別數(shù)據(jù)與任何第三方共享或轉(zhuǎn)讓，但以下情況除外：（一）為提供本協(xié)議約定的服務(wù)所必需，且已將共享情況明確告知數(shù)據(jù)主體；（二）與履行合同相關(guān)的輔助性服務(wù)，且已將共享情況明確告知數(shù)據(jù)主體；（三）為維護(hù)國(guó)家安全、公共安全、經(jīng)濟(jì)安全、社會(huì)公共利益或保護(hù)個(gè)人重大利益所必需，且已采取嚴(yán)格措施保障數(shù)據(jù)安全和數(shù)據(jù)主體權(quán)益；（四）法律法規(guī)規(guī)定的其他可以共享或轉(zhuǎn)讓的情形。若因前款第一、二項(xiàng)原因需要共享數(shù)據(jù)，數(shù)據(jù)控制者應(yīng)確保共享第三方也遵守不低于本協(xié)議約定的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)和義務(wù)。若因前款第三、四項(xiàng)原因需要共享或轉(zhuǎn)讓數(shù)據(jù)，數(shù)據(jù)控制者應(yīng)采取嚴(yán)格措施保障數(shù)據(jù)安全和數(shù)據(jù)主體權(quán)益，并在可能的情況下征得數(shù)據(jù)主體的同意或提供相應(yīng)的選擇權(quán)。第九條責(zé)任與賠償（一）數(shù)據(jù)控制者及其授權(quán)的數(shù)據(jù)處理者應(yīng)對(duì)其合法處理生物識(shí)別數(shù)據(jù)的行為承擔(dān)責(zé)任。因違反本協(xié)議約定或相關(guān)法律法規(guī)，導(dǎo)致數(shù)據(jù)主體權(quán)益受到損害的，數(shù)據(jù)控制者應(yīng)承擔(dān)相應(yīng)的賠償責(zé)任。（二）數(shù)據(jù)控制者和數(shù)據(jù)處理者的賠償責(zé)任，應(yīng)限于因違約行為直接導(dǎo)致的、可證明的損失，包括直接經(jīng)濟(jì)損失和合同約定的違約金（如有）。對(duì)于數(shù)據(jù)主體的精神損害賠償?shù)乳g接損失，雙方根據(jù)法律規(guī)定和實(shí)際情況協(xié)商處理，但數(shù)據(jù)控制者應(yīng)以合理方式采取措施減輕對(duì)數(shù)據(jù)主體的損害。（三）數(shù)據(jù)處理者因其過(guò)錯(cuò)導(dǎo)致生物識(shí)別數(shù)據(jù)泄露、丟失、被篡改或被非法使用，給數(shù)據(jù)控制者或數(shù)據(jù)主體造成損失的，應(yīng)當(dāng)承擔(dān)賠償責(zé)任。（四）雙方互不承擔(dān)因?qū)Ψ皆驅(qū)е碌臄?shù)據(jù)主體權(quán)益受損的賠償責(zé)任，但有過(guò)錯(cuò)的方應(yīng)當(dāng)采取補(bǔ)救措施，并協(xié)助對(duì)方履行賠償責(zé)任。第十條期限與終止本協(xié)議自雙方簽字或蓋章之日起生效，有效期為（根據(jù)業(yè)務(wù)需求填寫具體年限，例如一年或三年）。協(xié)議期滿前，若雙方均未提出終止，則本協(xié)議自動(dòng)續(xù)展（根據(jù)業(yè)務(wù)需求填寫具體年限，例如一年），續(xù)展次數(shù)不限/最多續(xù)展次數(shù)為（根據(jù)業(yè)務(wù)需求填寫具體次數(shù)）次。數(shù)據(jù)主體有權(quán)隨時(shí)通知數(shù)據(jù)控制者終止本協(xié)議。數(shù)據(jù)控制者因故需要終止本協(xié)議的，應(yīng)提前（根據(jù)業(yè)務(wù)需求填寫具體時(shí)限，例如三十）日通知數(shù)據(jù)主體，并征得數(shù)據(jù)主體的同意（除非終止是基于法律規(guī)定或雙方另有約定）。本協(xié)議終止或解除時(shí)，數(shù)據(jù)控制者或數(shù)據(jù)處理者仍應(yīng)根據(jù)法律法規(guī)和本協(xié)議約定，對(duì)生物識(shí)別數(shù)據(jù)進(jìn)行安全處理，并在規(guī)定期限內(nèi)刪除或返還數(shù)據(jù)，或進(jìn)行不可逆的匿名化處理。雙方在本協(xié)議終止或解除后，仍應(yīng)遵守保密義務(wù)。第十一條適用法律與爭(zhēng)議解決本協(xié)議的訂立、效力、解釋、履行及爭(zhēng)議解決均適用中華人民共和國(guó)法律。因本協(xié)議引起的或與本協(xié)議有關(guān)的任何爭(zhēng)議，雙方應(yīng)首先通過(guò)友好協(xié)商解決；協(xié)商不成的，任何一方均有權(quán)向數(shù)據(jù)控制者所在地有管轄權(quán)的人民法院提起訴訟。第十二條其他（一）通知條款：雙方就本協(xié)議相關(guān)事宜進(jìn)行的任何通知或通訊，均應(yīng)采用書面形式，并通過(guò)專人遞送、掛號(hào)信、傳真、電子郵件等方式送達(dá)至本協(xié)議首頁(yè)載明的地址或聯(lián)系方式。一方變更聯(lián)系方式，應(yīng)提前（根據(jù)業(yè)務(wù)需求填寫具體時(shí)限，例如七）日書面通知另一方。（二）完整協(xié)議條款：本協(xié)議及其附件（如有）構(gòu)成雙方就本協(xié)議主題達(dá)成的完整協(xié)議，取代雙方此前就此達(dá)成的所有口頭或書面協(xié)議、諒解或安排。對(duì)本協(xié)議的任何修改或補(bǔ)充，均應(yīng)以書面形式作出，并經(jīng)雙方授權(quán)代表簽字或蓋章后方能生效。（三）可分割性條款：若本協(xié)議任何條款被認(rèn)定為無(wú)效、非法或不可執(zhí)行，該條款應(yīng)被視為從本協(xié)議中刪除，但本協(xié)議的其他條款應(yīng)繼續(xù)保持完全有效。（四）修訂條款：對(duì)本協(xié)議的任何修訂，均須