數(shù)據(jù)安全責任書鑒于各方在數(shù)據(jù)處理活動中需要承擔相應的數(shù)據(jù)安全保護責任，依據(jù)《中華人民共和國網(wǎng)絡安全法》、《中華人民共和國數(shù)據(jù)安全法》、《中華人民共和國個人信息保護法》等相關法律法規(guī)，經友好協(xié)商，達成以下數(shù)據(jù)安全責任書：第一條引言各方確認數(shù)據(jù)安全對于維護國家安全、社會公共利益和自身合法權益至關重要。為保障數(shù)據(jù)處理活動的安全，預防數(shù)據(jù)安全事件發(fā)生，特依據(jù)相關法律法規(guī)及內部管理要求，制定本責任書，明確各方在數(shù)據(jù)安全保護方面的責任。第二條定義在本責任書中，除非另有明確約定，下列術語具有以下含義：數(shù)據(jù)：指任何以電子或者其他方式記錄的與自然人均有關或者可能影響自然人權利和自由的信息，包括個人信息和敏感個人信息。個人信息：指以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息。敏感個人信息：指一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。數(shù)據(jù)控制者：指確定數(shù)據(jù)處理目的、方式，并承擔數(shù)據(jù)安全首要責任的主體。數(shù)據(jù)處理者：指根據(jù)數(shù)據(jù)控制者的指示處理個人數(shù)據(jù)的主體，或為了自身目的處理個人數(shù)據(jù)的主體。數(shù)據(jù)安全事件：指因意外、不可抗力或人為因素導致的數(shù)據(jù)泄露、篡改、丟失、非法訪問、非法披露或使用等情形。安全措施：指為保障數(shù)據(jù)安全而采取的技術措施、管理措施和物理措施。技術措施：包括但不限于數(shù)據(jù)加密、訪問控制、安全審計、入侵檢測/防御、數(shù)據(jù)備份與恢復、漏洞管理等。管理措施：包括但不限于制定數(shù)據(jù)安全策略和操作規(guī)程、定期進行安全風險評估和合規(guī)審計、數(shù)據(jù)分類分級管理、員工背景調查和保密協(xié)議、數(shù)據(jù)安全事件應急預案和演練、數(shù)據(jù)主體權利響應流程等。物理措施：包括但不限于數(shù)據(jù)中心物理訪問控制、環(huán)境監(jiān)控、設備安全管理等。通知：指按照本責任書及相關法律法規(guī)和合同約定，及時向相關方傳遞信息的行為。第三條數(shù)據(jù)安全基本原則各方在數(shù)據(jù)處理活動中應遵循以下基本原則：（一）合法、正當、必要原則：處理數(shù)據(jù)必須符合法律法規(guī)要求，具有明確、合理的目的，并限于實現(xiàn)目的所必需的最小范圍。（二）目的限制原則：數(shù)據(jù)處理活動不得超出事先聲明的目的，不得將個人數(shù)據(jù)用于與初始處理目的無關的其他用途。（三）安全保障原則：各方應采取必要的技術和管理措施，保障數(shù)據(jù)的安全，防止數(shù)據(jù)泄露、篡改、丟失。（四）數(shù)據(jù)質量原則：確保所處理數(shù)據(jù)的準確性、完整性和時效性。（五）透明原則：以清晰、易懂的方式向數(shù)據(jù)主體告知數(shù)據(jù)處理規(guī)則，包括收集、使用、存儲、共享、刪除等。（六）責任明確原則：明確各方在數(shù)據(jù)安全保護方面的責任，并確保責任得到有效落實。第四條數(shù)據(jù)安全責任分配各方應根據(jù)自身角色和職責，承擔以下數(shù)據(jù)安全責任：（一）數(shù)據(jù)控制者的責任：1.確定數(shù)據(jù)處理的目的和方式，并確保其合法性、正當性、必要性。2.評估數(shù)據(jù)處理活動的風險，并根據(jù)風險評估結果，采取適當?shù)陌踩胧?，包括制定并實施?shù)據(jù)安全策略和操作規(guī)程。3.簽訂與數(shù)據(jù)處理者等的合同或協(xié)議，明確數(shù)據(jù)處理者的責任和義務，并確保其履行。4.對數(shù)據(jù)處理者的數(shù)據(jù)處理活動進行監(jiān)督和審計，確保其符合法律法規(guī)及本責任書約定。5.依法履行數(shù)據(jù)主體權利響應義務，及時處理數(shù)據(jù)主體的訪問、更正、刪除等請求。6.建立數(shù)據(jù)安全事件應急預案，并定期組織演練，確保在發(fā)生數(shù)據(jù)安全事件時能夠及時有效地進行處置。7.對員工進行數(shù)據(jù)安全培訓和意識提升，確保員工了解并遵守數(shù)據(jù)安全政策和流程。8.依法履行數(shù)據(jù)出境安全評估義務，并采取必要措施保障數(shù)據(jù)出境安全。（二）數(shù)據(jù)處理者的責任：1.嚴格遵守數(shù)據(jù)控制者的指示和本責任書約定，按照約定目的和方式處理數(shù)據(jù)。2.采取符合行業(yè)標準或合同約定的技術和管理安全措施，保障數(shù)據(jù)的安全。3.確保只有經過授權的人員才能訪問數(shù)據(jù)，并建立嚴格的訪問控制機制。4.妥善保管數(shù)據(jù)，防止數(shù)據(jù)泄露、篡改、丟失，并在發(fā)生數(shù)據(jù)安全事件時，立即通知數(shù)據(jù)控制者。5.協(xié)助數(shù)據(jù)控制者進行風險評估、合規(guī)審計和數(shù)據(jù)安全事件處置。6.按照數(shù)據(jù)控制者的要求，及時銷毀或返還數(shù)據(jù)。7.對其員工進行數(shù)據(jù)安全培訓和意識提升，確保員工了解并遵守數(shù)據(jù)安全政策和流程。8.確保其供應商等第三方處理個人數(shù)據(jù)的行為符合法律法規(guī)及本責任書約定。（三）員工的職責：1.遵守公司的數(shù)據(jù)安全政策和流程，以及本責任書的相關約定。2.保護其工作接觸到的數(shù)據(jù)和系統(tǒng)安全，不得泄露、濫用或非法訪問數(shù)據(jù)。3.及時報告可疑的安全風險或事件，以及違反數(shù)據(jù)安全政策的行為。4.使用強密碼，并定期更換密碼。5.遵守關于數(shù)據(jù)攜帶和遠程工作的規(guī)定，確保遠程訪問數(shù)據(jù)的安全性。6.簽訂并遵守保密協(xié)議，對工作中知悉的保密信息承擔保密義務。第五條數(shù)據(jù)安全措施各方應采取以下類別的安全措施，保障數(shù)據(jù)安全：（一）技術措施：包括但不限于數(shù)據(jù)加密（傳輸中和存儲中）、訪問控制（身份認證、權限管理）、安全審計、入侵檢測/防御、數(shù)據(jù)備份與恢復、漏洞管理等。（二）管理措施：包括但不限于制定數(shù)據(jù)安全策略和操作規(guī)程、定期進行安全風險評估和合規(guī)審計、數(shù)據(jù)分類分級管理、員工背景調查和保密協(xié)議、數(shù)據(jù)安全事件應急預案和演練、數(shù)據(jù)主體權利響應流程等。（三）物理措施：包括但不限于數(shù)據(jù)中心物理訪問控制、環(huán)境監(jiān)控、設備安全管理等。第六條數(shù)據(jù)安全事件響應與報告各方應按照以下要求，處理數(shù)據(jù)安全事件：（一）事件識別與評估：及時識別并初步評估數(shù)據(jù)安全事件的影響范圍和嚴重程度。（二）內部報告：觸發(fā)內部報告的條件、報告的路徑和時限要求。數(shù)據(jù)處理者發(fā)現(xiàn)數(shù)據(jù)安全事件的，應當立即通知數(shù)據(jù)控制者；數(shù)據(jù)控制者應當立即采取補救措施，并按照法律法規(guī)和合同約定，及時通知相關方。（三）外部報告：根據(jù)相關法律法規(guī)和合同約定，及時向監(jiān)管機構、受影響的數(shù)據(jù)主體或合同另一方報告數(shù)據(jù)安全事件。（四）事件處置：采取必要的措施，如阻止數(shù)據(jù)泄露、評估損失、通知用戶、采取法律補救等。（五）事后改進：對數(shù)據(jù)安全事件進行調查，分析根因，并采取措施防止類似事件再次發(fā)生。第七條數(shù)據(jù)主體權利響應各方應建立并完善數(shù)據(jù)主體權利響應機制，及時響應數(shù)據(jù)主體的訪問、更正、刪除、撤回同意、可攜帶等權利請求，并按照法律法規(guī)和合同約定的流程、時限進行處理。第八條數(shù)據(jù)傳輸與跨境傳輸如涉及數(shù)據(jù)傳輸，特別是跨境傳輸，各方應確保遵守相關法律法規(guī)，如需滿足的條件下進行傳輸，并采取必要措施保障數(shù)據(jù)傳輸安全。數(shù)據(jù)控制者進行跨境傳輸前，應進行安全評估，并采取標準合同條款（SCCs）、充分性認定等保障措施。第九條數(shù)據(jù)保留與銷毀各方應根據(jù)法律法規(guī)和業(yè)務需要，確定數(shù)據(jù)的保留期限，并在數(shù)據(jù)不再需要時，安全地銷毀或匿名化處理，確保數(shù)據(jù)不被用于原始目的。第十條監(jiān)督、審計與合規(guī)數(shù)據(jù)控制者有權對數(shù)據(jù)處理者的數(shù)據(jù)安全實踐進行監(jiān)督和審計。各方承諾遵守所有適用的數(shù)據(jù)保護法律法規(guī)，并配合監(jiān)管機構的監(jiān)督檢查。第十一條違約責任任何一方違反本責任書約定，給另一方或第三方造成損失的，應承擔相應的賠償責任。違約方還應根據(jù)違約程度，承擔相應的違約金或其他法律責任。第十二條爭議解決因本責任書引起的或與本責任書有關的任何爭議，各方應首先通過友好協(xié)商解決；協(xié)商不成的，任何一方均可向數(shù)據(jù)控制者所在地有管轄權的人民法院提起訴訟。第十三條生效、變更與終止本責