數(shù)據(jù)災(zāi)備加密協(xié)議本協(xié)議由以下雙方于______年____月____日簽訂：甲方（數(shù)據(jù)災(zāi)備服務(wù)接受方）：________________________法定代表人/授權(quán)代表：________________________注冊(cè)地址：____________________________________聯(lián)系地址：___________________________________聯(lián)系人：____________________________________聯(lián)系電話：__________________________________電子郵箱：__________________________________乙方（數(shù)據(jù)災(zāi)備服務(wù)提供方）：________________________法定代表人/授權(quán)代表：________________________注冊(cè)地址：____________________________________聯(lián)系地址：___________________________________聯(lián)系人：____________________________________聯(lián)系電話：__________________________________電子郵箱：__________________________________（以下簡(jiǎn)稱“服務(wù)商”和“客戶”）鑒于：1.客戶需要服務(wù)商提供數(shù)據(jù)災(zāi)備服務(wù)，以保障客戶關(guān)鍵業(yè)務(wù)數(shù)據(jù)的持續(xù)可用性和安全性；2.客戶高度重視其數(shù)據(jù)在災(zāi)備過程中的機(jī)密性和安全性，要求服務(wù)商在數(shù)據(jù)傳輸和存儲(chǔ)過程中采取加密措施；3.服務(wù)商擁有提供數(shù)據(jù)災(zāi)備服務(wù)及相應(yīng)加密技術(shù)的能力和資質(zhì)；4.雙方本著平等互利、協(xié)商一致的原則，就服務(wù)商為客戶提供建立在加密基礎(chǔ)上的數(shù)據(jù)災(zāi)備服務(wù)相關(guān)事宜，達(dá)成如下協(xié)議，以資共同遵守。第一條服務(wù)范圍與數(shù)據(jù)范圍1.1服務(wù)商同意根據(jù)客戶需求及雙方協(xié)商結(jié)果，向客戶提供數(shù)據(jù)災(zāi)備服務(wù)，具體服務(wù)內(nèi)容包括但不限于數(shù)據(jù)備份、數(shù)據(jù)同步或數(shù)據(jù)異步復(fù)制，服務(wù)級(jí)別目標(biāo)（RPO/RTO）為：________________________。1.2本協(xié)議項(xiàng)下的加密保護(hù)適用于客戶方指定需要進(jìn)行加密的數(shù)據(jù)，包括：a)數(shù)據(jù)在通過網(wǎng)絡(luò)傳輸（In-transitData）從客戶端傳輸至服務(wù)商災(zāi)備端，以及從服務(wù)商災(zāi)備端傳輸回客戶端（如需恢復(fù)）過程中的數(shù)據(jù)；b)數(shù)據(jù)在存儲(chǔ)于服務(wù)商災(zāi)備端存儲(chǔ)介質(zhì)上時(shí)處于非活動(dòng)狀態(tài)（StaticData）的數(shù)據(jù)；c)雙方約定的其他需要加密的數(shù)據(jù)類型或場(chǎng)景。1.3客戶應(yīng)通過書面清單或其他雙方認(rèn)可的方式，明確界定需要加密的數(shù)據(jù)范圍或標(biāo)識(shí)符（如數(shù)據(jù)庫(kù)名稱、文件路徑、數(shù)據(jù)分類標(biāo)簽等），并在需要變更時(shí)及時(shí)通知服務(wù)商。第二條加密要求與標(biāo)準(zhǔn)2.1加密方法/算法：服務(wù)商對(duì)加密傳輸中的數(shù)據(jù)及存儲(chǔ)的靜態(tài)數(shù)據(jù)，將采用對(duì)稱加密算法AES-256進(jìn)行加密。數(shù)據(jù)在傳輸前，將使用TLS1.2或更高版本協(xié)議進(jìn)行傳輸通道加密。2.2密鑰管理：a)加密密鑰（以下簡(jiǎn)稱“服務(wù)密鑰”）將由客戶負(fù)責(zé)生成，其強(qiáng)度應(yīng)不低于256位?？蛻魬?yīng)在協(xié)議簽訂后______日內(nèi)將生成的服務(wù)密鑰安全地分發(fā)給服務(wù)商，或按照雙方另行約定的安全方式交付?？蛻魬?yīng)自行保管其生成的服務(wù)密鑰，并對(duì)其安全性負(fù)首要責(zé)任。b)服務(wù)商將建立符合行業(yè)標(biāo)準(zhǔn)的安全存儲(chǔ)措施，用于保管客戶交付的服務(wù)密鑰，確保密鑰的機(jī)密性、完整性和可用性。服務(wù)商不得自行生成用于加密客戶數(shù)據(jù)的密鑰，除非獲得客戶的明確書面授權(quán)。c)服務(wù)密鑰的輪換周期由雙方協(xié)商確定，初始周期為______個(gè)月。客戶需提前至少______日通知服務(wù)商進(jìn)行密鑰輪換，并提供新密鑰。服務(wù)商將根據(jù)客戶指示進(jìn)行密鑰更新，并確保舊密鑰在輪換生效前安全廢棄。d)在本協(xié)議終止或雙方協(xié)商一致的情況下，客戶有權(quán)要求服務(wù)商返還其保管的服務(wù)密鑰，或指導(dǎo)服務(wù)商將其安全銷毀。服務(wù)商應(yīng)根據(jù)客戶要求執(zhí)行。e)對(duì)于傳輸過程中的會(huì)話密鑰（如TLS密鑰），將遵循TLS協(xié)議的標(biāo)準(zhǔn)生成、交換和更新機(jī)制。2.3加密強(qiáng)度：所有加密措施的實(shí)施，其加密強(qiáng)度不得低于本協(xié)議約定的標(biāo)準(zhǔn)（AES-256,TLS1.2+)。第三條雙方義務(wù)3.1客戶義務(wù)：a)向服務(wù)商提供清晰、準(zhǔn)確的數(shù)據(jù)加密需求說明，包括需要加密的數(shù)據(jù)范圍及密鑰管理要求。b)負(fù)責(zé)生成、保管、分發(fā)、輪換和銷毀其負(fù)責(zé)管理的服務(wù)密鑰，并對(duì)服務(wù)密鑰的安全性負(fù)全部責(zé)任?？蛻魬?yīng)確保其密鑰管理流程符合安全最佳實(shí)踐。c)配合服務(wù)商進(jìn)行必要的加密配置和測(cè)試工作，按照約定提供必要的信息和權(quán)限。d)確保其自身的系統(tǒng)安全措施（如訪問控制、身份認(rèn)證）支持服務(wù)商加密措施的落地。e)及時(shí)通知服務(wù)商任何可能影響加密服務(wù)有效性的重大變化，包括但不限于客戶方安全策略變更、密鑰保管環(huán)境變化等。f)遵守本協(xié)議約定的與密鑰管理和加密操作相關(guān)的所有流程和指令。3.2服務(wù)商義務(wù)：a)嚴(yán)格按照本協(xié)議約定，對(duì)客戶指定的數(shù)據(jù)進(jìn)行加密處理，確保數(shù)據(jù)在傳輸和存儲(chǔ)的各環(huán)節(jié)均處于加密狀態(tài)。b)建立并維護(hù)安全、可靠、符合行業(yè)標(biāo)準(zhǔn)的密鑰存儲(chǔ)和管理系統(tǒng)，對(duì)客戶密鑰采取嚴(yán)格的訪問控制和保護(hù)措施。c)采取必要的技術(shù)和管理措施，防止服務(wù)密鑰泄露、濫用或失效，確保加密服務(wù)的持續(xù)有效性。d)確保加密措施覆蓋數(shù)據(jù)傳輸、靜態(tài)存儲(chǔ)以及數(shù)據(jù)恢復(fù)過程中的相關(guān)環(huán)節(jié)。e)定期（至少每年一次）對(duì)加密措施的有效性、安全性進(jìn)行內(nèi)部評(píng)估或測(cè)試，并將評(píng)估或測(cè)試結(jié)果書面告知客戶。f)對(duì)所有參與密鑰管理、加密操作及相關(guān)的服務(wù)人員，進(jìn)行必要的安全意識(shí)和技術(shù)培訓(xùn)。g)在發(fā)生任何可能導(dǎo)致加密措施失效或存在安全風(fēng)險(xiǎn)的事件時(shí)，立即啟動(dòng)應(yīng)急響應(yīng)，并第一時(shí)間通知客戶。第四條數(shù)據(jù)主體與權(quán)利4.1客戶作為其提供的數(shù)據(jù)的擁有者，對(duì)其數(shù)據(jù)擁有最終解釋權(quán)。客戶保留對(duì)其數(shù)據(jù)的所有權(quán)利，包括在服務(wù)商提供的服務(wù)范圍內(nèi)，對(duì)數(shù)據(jù)加密方式和密鑰管理的控制權(quán)（特別是密鑰的生成和最終控制權(quán)）。4.2服務(wù)商僅根據(jù)客戶授權(quán)和本協(xié)議約定，在提供數(shù)據(jù)災(zāi)備服務(wù)過程中使用客戶數(shù)據(jù)，并負(fù)有保護(hù)數(shù)據(jù)機(jī)密性、完整性的義務(wù)。服務(wù)商不得未經(jīng)客戶事先書面同意，使用或披露客戶數(shù)據(jù)用于協(xié)議目的之外的其他任何目的。第五條責(zé)任與賠償5.1若因服務(wù)商原因?qū)е缕湮茨芡耆男斜緟f(xié)議約定的加密義務(wù)，例如加密措施失效、密鑰管理不當(dāng)導(dǎo)致密鑰泄露，并由此直接導(dǎo)致客戶數(shù)據(jù)泄露、篡改或丟失，服務(wù)商應(yīng)承擔(dān)相應(yīng)的賠償責(zé)任。5.2賠償范圍應(yīng)包括但不限于客戶因此遭受的直接經(jīng)濟(jì)損失、合理的調(diào)查費(fèi)用、律師費(fèi)等。賠償金額原則上不超過客戶因該次事件直接遭受的經(jīng)濟(jì)損失，但具體金額以雙方協(xié)商或法律判決為準(zhǔn)。5.3服務(wù)商對(duì)因客戶原因（如客戶保管的服務(wù)密鑰泄露、客戶數(shù)據(jù)本身存在安全漏洞未告知服務(wù)商等）導(dǎo)致的損失不承擔(dān)賠償責(zé)任。5.4雙方同意，任何一方就本協(xié)議項(xiàng)下的索賠或抗辯，應(yīng)首先通過友好協(xié)商解決。協(xié)商不成的，任何一方均有權(quán)將爭(zhēng)議提交至甲方所在地有管轄權(quán)的人民法院訴訟解決。第六條安全事件與通知6.1“安全事件”在本協(xié)議語(yǔ)境下，指與服務(wù)商提供的加密數(shù)據(jù)災(zāi)備服務(wù)相關(guān)的任何安全違規(guī)事件、未授權(quán)訪問嘗試、加密失敗、密鑰丟失風(fēng)險(xiǎn)、系統(tǒng)安全漏洞等。6.2發(fā)生或發(fā)現(xiàn)安全事件時(shí)，相關(guān)方（指發(fā)現(xiàn)事件方或事件影響方）應(yīng)在合理期限內(nèi)，即不超過______小時(shí)，通知另一方。通知應(yīng)包含事件的基本情況、可能的影響、已采取或建議采取的措施等信息。6.3雙方同意在發(fā)生安全事件后，應(yīng)立即或根據(jù)事件性質(zhì)在合理時(shí)間內(nèi)，成立聯(lián)合或各自的技術(shù)小組，協(xié)同進(jìn)行事件響應(yīng)、調(diào)查、處置和恢復(fù)工作，并共享必要的信息（以不違反保密義務(wù)為前提）。第七條合同期限、終止與續(xù)約7.1本協(xié)議自雙方授權(quán)代表簽字并加蓋公章（或合同專用章）之日起生效，有效期為______年，自______年____月____日至______年____月____日止。7.2協(xié)議期滿前______日，如雙方均有意繼續(xù)合作，應(yīng)另行協(xié)商簽訂續(xù)約協(xié)議。若期滿未續(xù)簽，本協(xié)議自動(dòng)終止。7.3發(fā)生以下情況之一，本協(xié)議可提前終止：a)雙方協(xié)商一致同意終止。b)一方嚴(yán)重違反本協(xié)議約定，經(jīng)另一方書面通知后______日內(nèi)未能糾正。c)一方進(jìn)入破產(chǎn)、清算或解散程序。d)因不可抗力導(dǎo)致協(xié)議目的無法實(shí)現(xiàn)，且不可抗力影響持續(xù)超過______日的。7.4協(xié)議終止時(shí)，雙方應(yīng)在______日內(nèi)完成以下工作：a)服務(wù)商應(yīng)按照客戶要求，安全地返還客戶的服務(wù)密鑰，或提供客戶指導(dǎo)完成密鑰的安全銷毀。b)服務(wù)商應(yīng)停止提供加密數(shù)據(jù)災(zāi)備服務(wù)，并確?？蛻魯?shù)據(jù)的加密狀態(tài)根據(jù)客戶指示維持或解除，直至客戶書面確認(rèn)。c)雙方應(yīng)就終止事宜進(jìn)行結(jié)算，并處理未盡事宜。第八條法律適用與爭(zhēng)議解決8.1本協(xié)議的訂立、效力、解釋、履行及爭(zhēng)議解決，均適用中華人民共和國(guó)大陸地區(qū)法律。8.2因本協(xié)議引起的或與本協(xié)議有關(guān)的任何爭(zhēng)議，雙方應(yīng)首先通過友好協(xié)商解決。協(xié)商不成的，任何一方均有權(quán)將爭(zhēng)議提交至甲方所在地有管轄權(quán)的人民法院訴訟解決。第九條保密條款9.1除非獲得對(duì)方事先書面同意，任何一方不得向任何第三方（包括關(guān)聯(lián)公司，但為履行本協(xié)議目的而有必要知悉的員工除外）披露本協(xié)議的存在、內(nèi)容以及在本協(xié)議履行過程中獲悉的對(duì)方的商業(yè)秘密、技術(shù)信息、客戶數(shù)據(jù)等任何未公開信息（以下簡(jiǎn)稱“保密信息”）。9.2本保密義務(wù)不因本協(xié)議的終止而失效。雙方應(yīng)對(duì)本協(xié)議項(xiàng)下的保密信息承擔(dān)至少______年的保密義務(wù)，自協(xié)議簽訂之日起計(jì)算。9.3以下信息不屬于保密信息：a)已公開或進(jìn)入公共領(lǐng)域的信息；b)一方在協(xié)議簽訂前已合法持有的信息；c)一方從有權(quán)披露的第三方合法獲得且無保密義務(wù)的信息；d)一方依據(jù)法律法規(guī)或法院、政府機(jī)構(gòu)要求披露的信息，但應(yīng)在該等情況下盡可能提前通知對(duì)方并盡力尋求對(duì)披露范圍進(jìn)行限制。第十條其他條款10.1完整協(xié)議：本協(xié)議構(gòu)成雙方就本協(xié)議標(biāo)的事項(xiàng)達(dá)成的完整協(xié)議，取代雙方此前就此達(dá)成的所有口頭或書面的協(xié)議、諒解或安排。10.2修訂與變更：對(duì)本協(xié)議的任何修改或補(bǔ)充，均須經(jīng)雙方授權(quán)代表書面簽署后方能生效。10.3通知：雙方就本協(xié)議項(xiàng)下的任何通知或通訊，均應(yīng)發(fā)送至本協(xié)議首頁(yè)載明的地址、傳真或電子郵箱。以電子郵件方式發(fā)送的，發(fā)出時(shí)視為送達(dá)；以傳真方式發(fā)送的，發(fā)送成功時(shí)視為送達(dá)；以郵寄方式發(fā)送的，寄出后______日視為送達(dá)。10.4可分割性：若本協(xié)議任何條款被有管轄權(quán)的法院或仲裁機(jī)構(gòu)認(rèn)定無效、非法或不可執(zhí)行，該條款應(yīng)被視為從本協(xié)議中刪除，但本協(xié)議的