數(shù)據(jù)跨境流動(dòng)合同協(xié)議合同鑒于雙方（以下簡稱“數(shù)據(jù)出口方”和“數(shù)據(jù)進(jìn)口方”）希望依據(jù)中華人民共和國相關(guān)法律法規(guī)（包括《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》）及其他適用法律，規(guī)范個(gè)人數(shù)據(jù)的跨境傳輸和處理活動(dòng)，經(jīng)友好協(xié)商，達(dá)成以下協(xié)議：第一條定義與解釋除非上下文另有明確說明，本協(xié)議中使用術(shù)語定義如下：1.1“個(gè)人數(shù)據(jù)”是指以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。1.2“重要數(shù)據(jù)”是指涉及國家安全、公共安全、經(jīng)濟(jì)運(yùn)行、社會(huì)穩(wěn)定的特定數(shù)據(jù)類別。1.3“數(shù)據(jù)處理”是指對(duì)個(gè)人數(shù)據(jù)進(jìn)行收集、存儲(chǔ)、使用、加工、傳輸、提供、公開、刪除等操作。1.4“數(shù)據(jù)傳輸”是指?jìng)€(gè)人數(shù)據(jù)從一方控制或處理的境內(nèi)轉(zhuǎn)移到另一方控制或處理的境外的行為。1.5“數(shù)據(jù)主體”是指?jìng)€(gè)人信息主體。1.6“數(shù)據(jù)出口方”是指將個(gè)人數(shù)據(jù)傳輸至境外的自然人、法人或者其他組織。1.7“數(shù)據(jù)進(jìn)口方”是指從境外接收個(gè)人數(shù)據(jù)的自然人、法人或者其他組織。1.8“標(biāo)準(zhǔn)合同條款（SCCs）”是指由數(shù)據(jù)保護(hù)局（例如歐盟GDPR規(guī)定機(jī)構(gòu)）批準(zhǔn)的、適用于跨國數(shù)據(jù)傳輸?shù)暮贤０濉?.9“有約束力的公司規(guī)則（BCRs）”是指跨國集團(tuán)內(nèi)部制定的、經(jīng)數(shù)據(jù)保護(hù)局批準(zhǔn)的、用于在集團(tuán)成員間傳輸個(gè)人數(shù)據(jù)的規(guī)則。1.10“數(shù)據(jù)保護(hù)影響評(píng)估（DPIA）”是指評(píng)估處理活動(dòng)對(duì)個(gè)人數(shù)據(jù)保護(hù)可能產(chǎn)生風(fēng)險(xiǎn)，并采取必要措施的流程。1.11“不可抗力”是指不能預(yù)見、不能避免并不能克服的客觀情況。第二條適用范圍與數(shù)據(jù)描述2.1本協(xié)議適用于數(shù)據(jù)出口方為【說明具體業(yè)務(wù)場(chǎng)景，例如：提供XX服務(wù)、履行XX合同】而處理個(gè)人數(shù)據(jù)，并將該等個(gè)人數(shù)據(jù)傳輸至數(shù)據(jù)進(jìn)口方進(jìn)行存儲(chǔ)或處理的活動(dòng)。2.2所傳輸?shù)膫€(gè)人數(shù)據(jù)包括但不限于：【描述數(shù)據(jù)類型，例如：姓名、身份證號(hào)碼、聯(lián)系方式、賬戶信息、交易記錄等】，其中可能包含【說明敏感數(shù)據(jù)類型，例如：生物識(shí)別信息、醫(yī)療健康信息等】。2.3數(shù)據(jù)傳輸?shù)哪康牡貫椤久鞔_列出數(shù)據(jù)進(jìn)口方所在地國家或地區(qū)，例如：美國、香港特別行政區(qū)等】。第三條數(shù)據(jù)跨境流動(dòng)的目的與法律依據(jù)3.1數(shù)據(jù)出口方將個(gè)人數(shù)據(jù)傳輸至數(shù)據(jù)進(jìn)口方的目的是為了【重申或細(xì)化第二條約定的目的，例如：支持用戶使用XX功能、完成訂單處理、進(jìn)行市場(chǎng)分析等】。3.2數(shù)據(jù)出口方進(jìn)行數(shù)據(jù)傳輸?shù)姆梢罁?jù)為：3.2.1【選擇并詳細(xì)說明法律依據(jù)，例如：基于數(shù)據(jù)主體的明確同意，該同意已通過【說明獲取方式，例如：清晰易懂的界面提示、單獨(dú)的同意書等】獲取】；3.2.2【或：為履行與數(shù)據(jù)主體訂立的【具體合同名稱或類型】所必需，且該處理符合相關(guān)法律要求】；3.2.3【或：依據(jù)【相關(guān)法律法規(guī)名稱】第【XX】條規(guī)定的公共利益或履行公共管理職責(zé)所必需】；3.2.4【或：為保護(hù)數(shù)據(jù)主體的生命權(quán)、健康或重大利益所必需】；3.2.5【或：基于數(shù)據(jù)出口方的合法利益，且該利益與數(shù)據(jù)主體的權(quán)益相比處于優(yōu)勢(shì)地位，且已采取有效措施保護(hù)數(shù)據(jù)主體權(quán)益，例如已進(jìn)行DPIA并采取SCCs】；3.2.6【若適用，說明所依據(jù)的具體跨境傳輸機(jī)制，例如：依據(jù)【數(shù)據(jù)進(jìn)口方所在國家或地區(qū)數(shù)據(jù)保護(hù)機(jī)構(gòu)名稱】的充分性認(rèn)定；或雙方已訂立具有約束力的公司規(guī)則BCRs編號(hào)【規(guī)則編號(hào)】；或采用【批準(zhǔn)的SCCs編號(hào)】】。第四條數(shù)據(jù)出口方與數(shù)據(jù)進(jìn)口方的責(zé)任與義務(wù)4.1數(shù)據(jù)出口方的責(zé)任與義務(wù)：4.1.1確保其擁有合法處理個(gè)人數(shù)據(jù)的權(quán)限，并已取得必要的授權(quán)。4.1.2對(duì)傳輸?shù)膫€(gè)人數(shù)據(jù)進(jìn)行必要的保護(hù)，并在傳輸前采取加密等技術(shù)措施。4.1.3確保數(shù)據(jù)進(jìn)口方已書面同意接收并按照本協(xié)議約定處理數(shù)據(jù)（如適用）。4.1.4進(jìn)行必要的數(shù)據(jù)保護(hù)影響評(píng)估（如法律法規(guī)要求或風(fēng)險(xiǎn)評(píng)估后認(rèn)為必要），并采取相應(yīng)保護(hù)措施。4.1.5按照約定將個(gè)人數(shù)據(jù)安全地傳輸至數(shù)據(jù)進(jìn)口方。4.1.6監(jiān)督數(shù)據(jù)進(jìn)口方的數(shù)據(jù)處理活動(dòng)，確保其履行本協(xié)議項(xiàng)下的義務(wù)。4.1.7在發(fā)生個(gè)人數(shù)據(jù)泄露事件時(shí)，應(yīng)在事件發(fā)生后【例如：48小時(shí)】內(nèi)通知數(shù)據(jù)進(jìn)口方，并協(xié)助采取補(bǔ)救措施。4.1.8根據(jù)數(shù)據(jù)主體的請(qǐng)求，協(xié)助數(shù)據(jù)進(jìn)口方處理數(shù)據(jù)主體的訪問、更正、刪除等權(quán)利請(qǐng)求。4.2數(shù)據(jù)進(jìn)口方的責(zé)任與義務(wù)：4.2.1作為數(shù)據(jù)處理者，僅按照數(shù)據(jù)出口方的明確指示處理個(gè)人數(shù)據(jù)，不得超出本協(xié)議約定的目的和范圍。4.2.2確保其具備處理個(gè)人數(shù)據(jù)的合法授權(quán)（如適用）。4.2.3承擔(dān)與數(shù)據(jù)出口方約定的數(shù)據(jù)處理責(zé)任，并確保數(shù)據(jù)處理活動(dòng)符合數(shù)據(jù)出口方所在地的法律法規(guī)及本協(xié)議要求。4.2.4實(shí)施充分的技術(shù)和管理措施保障個(gè)人數(shù)據(jù)的安全，包括但不限于【舉例：采用加密技術(shù)、訪問控制、安全審計(jì)、制定應(yīng)急預(yù)案等】。4.2.5在發(fā)生個(gè)人數(shù)據(jù)泄露事件時(shí)，應(yīng)在事件發(fā)生后【例如：48小時(shí)】內(nèi)通知數(shù)據(jù)出口方，并采取一切必要措施限制損害擴(kuò)大。4.2.6根據(jù)數(shù)據(jù)出口方的要求，協(xié)助數(shù)據(jù)主體行使其訪問、更正、刪除等權(quán)利。4.2.7遵守?cái)?shù)據(jù)進(jìn)口方所在地的法律法規(guī)，不得要求數(shù)據(jù)出口方或數(shù)據(jù)主體提供其不應(yīng)提供的或超出法律法規(guī)要求的個(gè)人信息。4.2.8未經(jīng)數(shù)據(jù)出口方事先書面同意，不得將個(gè)人數(shù)據(jù)傳輸至數(shù)據(jù)出口方以外的任何第三方或第三國/地區(qū)，但為履行本協(xié)議約定或法律法規(guī)要求而必要的傳輸除外。第五條數(shù)據(jù)保護(hù)措施與標(biāo)準(zhǔn)5.1數(shù)據(jù)進(jìn)口方承諾采取不低于數(shù)據(jù)出口方實(shí)施的標(biāo)準(zhǔn)的技術(shù)和管理措施來保護(hù)個(gè)人數(shù)據(jù)的安全，具體措施包括但不限于：5.1.1對(duì)傳輸中的個(gè)人數(shù)據(jù)進(jìn)行【說明加密方式，例如：傳輸層安全（TLS）加密】。5.1.2對(duì)存儲(chǔ)的個(gè)人數(shù)據(jù)進(jìn)行【說明加密方式或安全措施，例如：磁盤加密、數(shù)據(jù)庫安全防護(hù)】。5.1.3實(shí)施嚴(yán)格的訪問控制，確保只有授權(quán)人員才能訪問個(gè)人數(shù)據(jù)。5.1.4定期進(jìn)行安全審計(jì)和風(fēng)險(xiǎn)評(píng)估，并保存相關(guān)記錄。5.1.5建立完善的個(gè)人數(shù)據(jù)安全管理制度和操作規(guī)程。5.1.6對(duì)接觸個(gè)人數(shù)據(jù)的員工進(jìn)行數(shù)據(jù)保護(hù)培訓(xùn)和保密義務(wù)約束。第六條數(shù)據(jù)主體的權(quán)利保障6.1數(shù)據(jù)出口方負(fù)責(zé)接收和處理數(shù)據(jù)主體依據(jù)相關(guān)法律法規(guī)提出的訪問其個(gè)人數(shù)據(jù)、獲取副本、更正、刪除、限制處理、撤回同意（如適用）、可攜帶等權(quán)利請(qǐng)求。6.2數(shù)據(jù)出口方將在收到數(shù)據(jù)主體的請(qǐng)求后【例如：30日】內(nèi)響應(yīng)，并在必要時(shí)，按照本協(xié)議約定，協(xié)調(diào)數(shù)據(jù)進(jìn)口方協(xié)助完成相關(guān)請(qǐng)求的處理，確保數(shù)據(jù)主體的權(quán)利得到保障。第七條數(shù)據(jù)泄露通知機(jī)制7.1數(shù)據(jù)進(jìn)口方在發(fā)現(xiàn)或懷疑發(fā)生個(gè)人數(shù)據(jù)泄露事件時(shí)，應(yīng)在事件發(fā)生后【例如：48小時(shí)】內(nèi)（或按照數(shù)據(jù)進(jìn)口方所在地法律要求的更短時(shí)限）通知數(shù)據(jù)出口方。7.2通知內(nèi)容應(yīng)包括但不限于：泄露事件的基本情況、涉及的個(gè)人數(shù)據(jù)類型和數(shù)量、可能造成的影響、已采取或擬采取的補(bǔ)救措施等。7.3雙方應(yīng)根據(jù)各自所在地法律法規(guī)的要求，及時(shí)通知相關(guān)數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)和受影響的數(shù)據(jù)主體（如適用）。第八條合同期限與終止8.1本協(xié)議自雙方授權(quán)代表簽字并加蓋公章（如適用）之日起生效，有效期為【例如：三年】。8.2除本協(xié)議另有約定外，任何一方可在有效期內(nèi)提前【例如：三十日】書面通知對(duì)方終止本協(xié)議。8.3終止后的數(shù)據(jù)處理：8.3.1數(shù)據(jù)進(jìn)口方應(yīng)在收到數(shù)據(jù)出口方終止通知后【例如：30日】內(nèi)，根據(jù)數(shù)據(jù)出口方的書面指示，停止處理所有個(gè)人數(shù)據(jù)。8.3.2數(shù)據(jù)進(jìn)口方應(yīng)根據(jù)數(shù)據(jù)出口方的指示，將所有包含個(gè)人數(shù)據(jù)的副本（無論以何種形式）安全地刪除，或返還給數(shù)據(jù)出口方。8.3.3未經(jīng)數(shù)據(jù)出口方事先書面同意，數(shù)據(jù)進(jìn)口方不得保留任何個(gè)人數(shù)據(jù)的副本。8.3.4數(shù)據(jù)進(jìn)口方應(yīng)承擔(dān)履行終止義務(wù)所需的一切費(fèi)用，包括但不限于數(shù)據(jù)刪除或返還的費(fèi)用。8.4本協(xié)議終止不影響雙方在本協(xié)議終止前已產(chǎn)生的權(quán)利和義務(wù)，以及根據(jù)相關(guān)法律法規(guī)應(yīng)當(dāng)繼續(xù)承擔(dān)的責(zé)任。第九條數(shù)據(jù)回流或轉(zhuǎn)移的限制9.1未經(jīng)數(shù)據(jù)出口方事先書面同意，數(shù)據(jù)進(jìn)口方不得將個(gè)人數(shù)據(jù)轉(zhuǎn)移至數(shù)據(jù)出口方以外的任何第三方或第三國/地區(qū)，或建立跨境數(shù)據(jù)鏈接。9.2如因履行本協(xié)議約定或法律法規(guī)要求而確需將個(gè)人數(shù)據(jù)傳輸至數(shù)據(jù)出口方以外的第三方或地區(qū)，數(shù)據(jù)進(jìn)口方應(yīng)確保：9.2.1該第三方同意受本協(xié)議項(xiàng)下與數(shù)據(jù)處理相關(guān)的所有義務(wù)約束。9.2.2該第三方能夠提供與數(shù)據(jù)出口方相當(dāng)?shù)臄?shù)據(jù)保護(hù)水平，或已與該第三方訂立符合適用法律法規(guī)要求的約束性協(xié)議（如SCCs、BCRs等）。第十條合規(guī)性保證與審計(jì)權(quán)利10.1數(shù)據(jù)進(jìn)口方保證其在本協(xié)議下的數(shù)據(jù)處理活動(dòng)將始終符合中國及數(shù)據(jù)進(jìn)口方所在地關(guān)于個(gè)人數(shù)據(jù)保護(hù)的所有適用法律法規(guī)，并符合本協(xié)議的約定。10.2數(shù)據(jù)出口方有權(quán)對(duì)數(shù)據(jù)進(jìn)口方履行本協(xié)議項(xiàng)下的責(zé)任和義務(wù)情況進(jìn)行審計(jì)或檢查，數(shù)據(jù)進(jìn)口方應(yīng)提供必要的協(xié)助與配合。第十一條保密義務(wù)11.1雙方應(yīng)對(duì)在本協(xié)議簽訂及履行過程中獲知的對(duì)方的商業(yè)秘密、技術(shù)信息、個(gè)人數(shù)據(jù)以及其他未公開信息承擔(dān)保密義務(wù)。11.2除非法律規(guī)定或有權(quán)機(jī)關(guān)要求，未經(jīng)對(duì)方書面同意，任何一方不得向任何第三方披露該等信息。11.3本保密義務(wù)不因本協(xié)議的終止而失效。第十二條違約責(zé)任與救濟(jì)措施12.1若一方違反本協(xié)議項(xiàng)下的任何約定，應(yīng)承擔(dān)相應(yīng)的違約責(zé)任，并賠償因此給對(duì)方造成的直接經(jīng)濟(jì)損失。12.2若數(shù)據(jù)進(jìn)口方未能履行其在本協(xié)議下的義務(wù)，導(dǎo)致數(shù)據(jù)出口方或數(shù)據(jù)主體權(quán)益受損，數(shù)據(jù)出口方有權(quán)要求數(shù)據(jù)進(jìn)口方采取補(bǔ)救措施，并有權(quán)根據(jù)受損情況要求賠償。12.3發(fā)生違約情況時(shí)，守約方有權(quán)要求違約方停止違約行為、采取補(bǔ)救措施，并有權(quán)根據(jù)違約的嚴(yán)重程度，單方面解除本協(xié)議。第十三條不可抗力13.1若任何一方因不可抗力事件（包括但不限于地震、臺(tái)風(fēng)、洪水、戰(zhàn)爭(zhēng)、罷工、政府行為等）導(dǎo)致無法履行本協(xié)議項(xiàng)下的全部或部分義務(wù)，該方不應(yīng)被視為違約。13.2遭遇不可抗力的一方應(yīng)在事件發(fā)生后【例如：7日】內(nèi)通知另一方，并提供相關(guān)證明文件。雙方應(yīng)根據(jù)不可抗力的影響，協(xié)商決定是否延期履行、部分履行或解除本協(xié)議。第十四條通知與送達(dá)14.1與本協(xié)議有關(guān)的任何通知或通訊應(yīng)以書面形式，通過本協(xié)議首頁載明的地址、傳真號(hào)碼或電子郵件地址發(fā)送。14.2通知在以下時(shí)間視為送達(dá)：14.2.1專人遞送的，在交付時(shí)；14.2.2通過掛號(hào)信或特快專遞發(fā)送的，在寄出后【例如：三日】；14.2.3通過傳真發(fā)送的，在成功發(fā)送并收到確認(rèn)回執(zhí)時(shí)；14.2.4通過電子郵件發(fā)送的，在郵件進(jìn)入收件人指定的電子郵件系統(tǒng)時(shí)。14.3任何一方變更聯(lián)系方式，應(yīng)提前【例如：7日】書面通知對(duì)方。第十五條轉(zhuǎn)讓15.1未經(jīng)另一方事先書面同意，任何一方不得將其在本協(xié)議下的全部或部分權(quán)利或義務(wù)轉(zhuǎn)讓給任何第三方。第十六條