保險(xiǎn)行業(yè)數(shù)據(jù)安全協(xié)議甲方（數(shù)據(jù)控制方）：[保險(xiǎn)公司全稱]住所地：[保險(xiǎn)公司注冊(cè)地址]統(tǒng)一社會(huì)信用代碼：[保險(xiǎn)公司統(tǒng)一社會(huì)信用代碼]乙方（數(shù)據(jù)處理方）：[服務(wù)提供商/合作伙伴全稱]住所地：[服務(wù)提供商/合作伙伴注冊(cè)地址]統(tǒng)一社會(huì)信用代碼：[服務(wù)提供商/合作伙伴統(tǒng)一社會(huì)信用代碼]鑒于甲方在保險(xiǎn)業(yè)務(wù)運(yùn)營(yíng)中收集、存儲(chǔ)、使用、處理和傳輸數(shù)據(jù)（以下簡(jiǎn)稱“數(shù)據(jù)”），并委托乙方提供相關(guān)的信息技術(shù)服務(wù)或業(yè)務(wù)合作，為保障數(shù)據(jù)安全，履行法定義務(wù)，維護(hù)雙方合法權(quán)益，根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、《中華人民共和國(guó)數(shù)據(jù)安全法》、《中華人民共和國(guó)個(gè)人信息保護(hù)法》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》及相關(guān)法律法規(guī)和監(jiān)管要求，雙方經(jīng)友好協(xié)商，達(dá)成以下協(xié)議：第一條數(shù)據(jù)定義與范圍1.1本協(xié)議所稱“數(shù)據(jù)”是指以電子或者其他方式記錄的，與已識(shí)別或者可識(shí)別的自然人有關(guān)的信息，以及法人、其他組織的商業(yè)秘密等信息。具體包括但不限于：（1）個(gè)人信息：包括但不限于姓名、身份證號(hào)碼、手機(jī)號(hào)碼、電子郵箱地址、住址、出生日期、生物識(shí)別信息、健康信息、保險(xiǎn)業(yè)務(wù)申請(qǐng)信息、理賠信息、客戶溝通記錄等；（2）商業(yè)秘密：包括但不限于保險(xiǎn)產(chǎn)品信息、費(fèi)率表、營(yíng)銷策略、客戶名單、風(fēng)險(xiǎn)評(píng)估模型、精算數(shù)據(jù)、財(cái)務(wù)數(shù)據(jù)、內(nèi)部管理信息、未公開(kāi)的運(yùn)營(yíng)數(shù)據(jù)等；（3）其他數(shù)據(jù)：根據(jù)業(yè)務(wù)場(chǎng)景涉及的其他敏感數(shù)據(jù)，如反洗錢信息、欺詐調(diào)查數(shù)據(jù)等。1.2本協(xié)議適用的數(shù)據(jù)處理活動(dòng)包括但不限于數(shù)據(jù)的收集、存儲(chǔ)、傳輸、使用、加工、提供、公開(kāi)、刪除等。數(shù)據(jù)處理活動(dòng)范圍限于為履行本協(xié)議之目的，由乙方為甲方提供[具體服務(wù)內(nèi)容，例如：信息系統(tǒng)托管、云計(jì)算服務(wù)、數(shù)據(jù)分析服務(wù)、營(yíng)銷活動(dòng)支持等]所必需的數(shù)據(jù)處理行為。第二條數(shù)據(jù)安全責(zé)任與義務(wù)2.1乙方同意并承諾，在履行本協(xié)議約定的數(shù)據(jù)處理活動(dòng)時(shí)，嚴(yán)格遵守國(guó)家有關(guān)數(shù)據(jù)安全、個(gè)人信息保護(hù)和網(wǎng)絡(luò)安全的規(guī)定，采取必要的技術(shù)和管理措施，確保數(shù)據(jù)的安全。2.2數(shù)據(jù)收集與傳輸安全：（1）乙方僅在獲得甲方明確授權(quán)或符合法律法規(guī)要求的情況下收集數(shù)據(jù)。（2）乙方在數(shù)據(jù)傳輸過(guò)程中，應(yīng)采用行業(yè)認(rèn)可的加密技術(shù)（如TLS/SSL等）或其他安全措施，確保數(shù)據(jù)傳輸?shù)臋C(jī)密性和完整性。2.3數(shù)據(jù)存儲(chǔ)安全：（1）乙方承諾將存儲(chǔ)甲方數(shù)據(jù)的設(shè)施和系統(tǒng)部署在符合國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)制度要求的級(jí)別[具體等級(jí)]的環(huán)境中。（2）乙方對(duì)存儲(chǔ)的數(shù)據(jù)采取嚴(yán)格的訪問(wèn)控制、加密（靜態(tài)加密）、備份和容災(zāi)措施，防止未經(jīng)授權(quán)的訪問(wèn)、泄露、篡改、破壞或丟失。（3）乙方應(yīng)按照甲方要求或相關(guān)法律法規(guī)規(guī)定，對(duì)數(shù)據(jù)的存儲(chǔ)期限進(jìn)行管理，并在期限屆滿后安全刪除或銷毀數(shù)據(jù)。2.4數(shù)據(jù)處理安全：（1）乙方僅授權(quán)甲方指定的員工訪問(wèn)其因履行本協(xié)議而需要處理的數(shù)據(jù)，并確保該等員工已簽署相關(guān)保密協(xié)議。（2）乙方對(duì)處理的數(shù)據(jù)采取必要的技術(shù)措施，如數(shù)據(jù)脫敏、匿名化等，以降低數(shù)據(jù)敏感性。（3）乙方應(yīng)記錄關(guān)鍵的數(shù)據(jù)處理活動(dòng)，并按照甲方要求提供訪問(wèn)日志。2.5數(shù)據(jù)共享與披露：（1）未經(jīng)甲方事先書(shū)面同意，乙方不得將甲方數(shù)據(jù)共享、轉(zhuǎn)讓或披露給任何第三方，包括但不限于乙方的關(guān)聯(lián)公司、子公司的員工、代理商、合作伙伴等。法律法規(guī)另有規(guī)定的除外。（2）如乙方需要委托第三方處理甲方數(shù)據(jù)（subprocessoring），必須事先獲得甲方的書(shū)面同意，并確保該第三方遵守本協(xié)議項(xiàng)下的同等數(shù)據(jù)安全義務(wù)。2.6數(shù)據(jù)銷毀安全：（1）當(dāng)本協(xié)議終止、數(shù)據(jù)存儲(chǔ)期限屆滿或甲方要求銷毀數(shù)據(jù)時(shí)，乙方應(yīng)按照甲方指示或其內(nèi)部既定安全流程，對(duì)數(shù)據(jù)執(zhí)行不可逆的銷毀操作。（2）乙方應(yīng)向甲方提供數(shù)據(jù)銷毀的證明文件。第三條訪問(wèn)控制與身份管理3.1乙方應(yīng)建立完善的身份識(shí)別和認(rèn)證機(jī)制，確保只有授權(quán)人員才能訪問(wèn)甲方數(shù)據(jù)。3.2乙方應(yīng)實(shí)施基于角色的訪問(wèn)控制，根據(jù)員工的職責(zé)分配其處理甲方數(shù)據(jù)的最低必要權(quán)限。3.3乙方應(yīng)強(qiáng)制要求其處理甲方數(shù)據(jù)的員工使用強(qiáng)密碼，并定期更換密碼。3.4乙方應(yīng)采用多因素認(rèn)證（MFA）技術(shù)保護(hù)對(duì)甲方數(shù)據(jù)具有高權(quán)限訪問(wèn)的賬戶。3.5乙方應(yīng)定期（至少每年一次）審查和更新對(duì)甲方數(shù)據(jù)的訪問(wèn)權(quán)限。第四條安全技術(shù)與措施4.1乙方應(yīng)在其處理甲方數(shù)據(jù)的系統(tǒng)和環(huán)境中部署必要的安全技術(shù)措施，包括但不限于：（1）防火墻、入侵檢測(cè)/防御系統(tǒng)（IDS/IPS）；（2）防病毒、反惡意軟件程序；（3）操作系統(tǒng)及應(yīng)用系統(tǒng)的漏洞掃描和及時(shí)補(bǔ)丁更新機(jī)制；（4）數(shù)據(jù)加密措施（傳輸加密和靜態(tài)加密）；（5）安全審計(jì)和監(jiān)控機(jī)制，記錄和監(jiān)控對(duì)甲方數(shù)據(jù)的訪問(wèn)和操作。4.2乙方應(yīng)建立并維護(hù)數(shù)據(jù)備份和災(zāi)難恢復(fù)計(jì)劃，確保在發(fā)生意外情況時(shí)能夠恢復(fù)甲方數(shù)據(jù)，并保障業(yè)務(wù)的連續(xù)性。第五條安全事件響應(yīng)與通知5.1雙方同意，在發(fā)生或可能發(fā)生影響甲方數(shù)據(jù)安全的任何安全事件（包括但不限于數(shù)據(jù)泄露、系統(tǒng)入侵、非授權(quán)訪問(wèn)、數(shù)據(jù)篡改、丟失等）時(shí)，應(yīng)立即啟動(dòng)應(yīng)急響應(yīng)機(jī)制。5.2乙方在確定或懷疑發(fā)生安全事件后，應(yīng)在[例如：24]小時(shí)內(nèi)通知甲方，并按照甲方要求或共同商定的方案，協(xié)同進(jìn)行事件響應(yīng)、調(diào)查、處置和補(bǔ)救。5.3乙方應(yīng)向甲方提供有關(guān)安全事件性質(zhì)、影響范圍、已采取措施和補(bǔ)救情況的詳細(xì)報(bào)告。如安全事件涉及個(gè)人信息泄露，乙方應(yīng)同時(shí)按照《個(gè)人信息保護(hù)法》等法律法規(guī)的要求，及時(shí)向相關(guān)監(jiān)管部門和受影響的個(gè)人履行通知義務(wù)。第六條監(jiān)督、審計(jì)與評(píng)估6.1甲方有權(quán)對(duì)乙方履行本協(xié)議及數(shù)據(jù)安全保護(hù)措施的情況進(jìn)行定期或不定期的審計(jì)、檢查。乙方應(yīng)配合甲方的審計(jì)工作，提供必要的資料和訪問(wèn)權(quán)限，審計(jì)費(fèi)用由[約定承擔(dān)方，通常為乙方]承擔(dān)。6.2乙方應(yīng)定期對(duì)其數(shù)據(jù)安全狀況進(jìn)行內(nèi)部評(píng)估，并向甲方匯報(bào)評(píng)估結(jié)果或接受甲方的相關(guān)評(píng)估。第七條數(shù)據(jù)主體權(quán)利保障如乙方處理個(gè)人信息，乙方同意協(xié)助甲方履行《個(gè)人信息保護(hù)法》等法律法規(guī)賦予數(shù)據(jù)主體的查詢、更正、刪除、撤回同意、可攜帶等權(quán)利請(qǐng)求，及時(shí)將相關(guān)請(qǐng)求轉(zhuǎn)達(dá)給甲方，并按照甲方的指示進(jìn)行處理。第八條違約責(zé)任與救濟(jì)8.1若任何一方違反本協(xié)議的約定，特別是違反數(shù)據(jù)安全保護(hù)義務(wù)，應(yīng)承擔(dān)相應(yīng)的違約責(zé)任。8.2因乙方原因?qū)е录追綌?shù)據(jù)泄露、丟失、被篡改，或未能按照本協(xié)議要求采取數(shù)據(jù)安全措施，給甲方造成損失的，乙方應(yīng)賠償甲方的直接經(jīng)濟(jì)損失，賠償金額不超過(guò)因該違約行為直接導(dǎo)致的甲方凈損失。8.3若乙方違約行為違反了相關(guān)法律法規(guī)，導(dǎo)致甲方受到行政處罰或承擔(dān)其他責(zé)任的，乙方應(yīng)承擔(dān)由此給甲方造成的一切不利后果。8.4在乙方發(fā)生違約行為時(shí)，甲方有權(quán)要求乙方立即采取補(bǔ)救措施，恢復(fù)數(shù)據(jù)安全；有權(quán)暫?；蚪K止本協(xié)議；有權(quán)要求乙方支付違約金[可約定具體金額或計(jì)算方式]。第九條法律適用與爭(zhēng)議解決9.1本協(xié)議的訂立、效力、解釋、履行及爭(zhēng)議解決均適用中華人民共和國(guó)法律。9.2因本協(xié)議引起的或與本協(xié)議有關(guān)的任何爭(zhēng)議，雙方應(yīng)首先通過(guò)友好協(xié)商解決。協(xié)商不成的，任何一方均有權(quán)將爭(zhēng)議提交[選擇仲裁或訴訟，例如：甲方所在地有管轄權(quán)的人民法院訴訟解決/提交[具體仲裁委員會(huì)名稱]按照其屆時(shí)有效的仲裁規(guī)則進(jìn)行仲裁，仲裁裁決是終局的，對(duì)雙方均有約束力]。第十條協(xié)議期限與終止10.1本協(xié)議自雙方授權(quán)代表簽字并加蓋公章（或合同專用章）之日起生效，有效期為[例如：三]年。期滿前[例如：一個(gè)月]，如雙方無(wú)書(shū)面異議，本協(xié)議自動(dòng)續(xù)展[例如：一]年，續(xù)展次數(shù)不限/續(xù)展次數(shù)不超過(guò)[例如：兩]次。10.2除本協(xié)議另有約定外，任何一方有權(quán)在提前[例如：三十]日書(shū)面通知對(duì)方的情況下終止本協(xié)議。發(fā)生以下情況時(shí)，守約方有權(quán)立即終止本協(xié)議：（1）一方嚴(yán)重違反本協(xié)議約定，經(jīng)守約方書(shū)面催告后[例如：十五]日內(nèi)仍未糾正的；（2）一方進(jìn)入破產(chǎn)、清算、解散程序的；（3）提供虛假信息或隱瞞重要事實(shí)，嚴(yán)重影響數(shù)據(jù)安全的。10.3本協(xié)議終止時(shí)，雙方應(yīng)按照本協(xié)議約定及適用的法律法規(guī)，處理并完成以下事項(xiàng)：（1）乙方停止一切與甲方數(shù)據(jù)相關(guān)的處理活動(dòng)，并按照甲方要求安全刪除或返還甲方數(shù)據(jù)；（2）乙方繼續(xù)履行保密義務(wù)，不得泄露任何在合作期間知悉的甲方數(shù)據(jù)或商業(yè)秘密；（3）雙方就未盡事宜進(jìn)行結(jié)算。第十一條保密條款11.1甲乙雙方應(yīng)對(duì)在本協(xié)議履行過(guò)程中獲知的對(duì)方的商業(yè)秘密、技術(shù)信息、數(shù)據(jù)等保密信息承擔(dān)保密義務(wù)。未經(jīng)對(duì)方書(shū)面同意，不得以任何方式向任何第三方披露、使用或允許他人使用該等保密信息。11.2本保密義務(wù)不因本協(xié)議的終止而失效，持續(xù)有效期限為本協(xié)議終止后[例如：五]年。11.3以下信息不屬于保密信息：一方在簽訂本協(xié)議前已合法知悉的信息；一方獨(dú)立開(kāi)發(fā)且未使用對(duì)方保密信息的信息；已進(jìn)入公共領(lǐng)域的信息；根據(jù)法律法規(guī)或有權(quán)機(jī)關(guān)要求披露的信息。11.4任何一方因法律規(guī)定或有權(quán)機(jī)關(guān)要求而需要披露保密信息的，應(yīng)在披露前書(shū)面通知對(duì)方，并在可能的情況下取得對(duì)方同意。第十二條其他條款12.1可分割性：本協(xié)議任何一條款的部分無(wú)效，不影響其他條款的效力。12.2完整協(xié)議：本協(xié)議構(gòu)成雙方就本協(xié)議主題達(dá)成的完整協(xié)議，取代此前所有口頭或書(shū)面的約定、諒解。12.3修訂：對(duì)本協(xié)議的任何修改或補(bǔ)充，均須經(jīng)雙方書(shū)面同意并簽署補(bǔ)充協(xié)議，補(bǔ)充協(xié)議與本協(xié)議具有同等法律效力。12.4不轉(zhuǎn)讓：未經(jīng)甲方事先書(shū)面同意，乙方不得將本協(xié)議項(xiàng)下的權(quán)利或義務(wù)部分或全部轉(zhuǎn)讓給任何第三方。12.5通知：雙方之間的所有通知、請(qǐng)求或其他通信均應(yīng)以書(shū)面形式，通過(guò)本協(xié)議首頁(yè)載明的地址、傳真或電子郵件發(fā)送。以電子郵件方式發(fā)送的，發(fā)出時(shí)視為送達(dá)；以傳真方式發(fā)送的，發(fā)送成功時(shí)視為送達(dá)；以郵寄方式發(fā)送的，寄出后[例如：三]日視為送達(dá)。12.6適用法律：本協(xié)議的訂立、效力、解釋、履行及爭(zhēng)議解決均適用中華