數(shù)據(jù)隱私安全評(píng)估書鑒于一方（以下簡稱“評(píng)估方”）擁有評(píng)估數(shù)據(jù)隱私安全狀況的專業(yè)能力和資質(zhì)，另一方（以下簡稱“委托方”）希望委托評(píng)估方對(duì)其指定的系統(tǒng)、流程或數(shù)據(jù)處理活動(dòng)（以下簡稱“評(píng)估對(duì)象”）進(jìn)行數(shù)據(jù)隱私安全評(píng)估，雙方根據(jù)《中華人民共和國民法典》、《中華人民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國數(shù)據(jù)安全法》、《中華人民共和國個(gè)人信息保護(hù)法》及相關(guān)法律法規(guī)、政策要求，經(jīng)友好協(xié)商，達(dá)成如下協(xié)議：第一條評(píng)估目的與范圍1.1評(píng)估目的評(píng)估方旨在通過專業(yè)評(píng)估，全面審視委托方在處理個(gè)人信息和敏感數(shù)據(jù)過程中所采取的隱私保護(hù)措施和安全防護(hù)機(jī)制，判斷其是否符合國家法律法規(guī)及行業(yè)相關(guān)標(biāo)準(zhǔn)的要求，識(shí)別存在的風(fēng)險(xiǎn)與不足，并提出改進(jìn)建議，以幫助委托方提升數(shù)據(jù)隱私安全管理水平，降低合規(guī)風(fēng)險(xiǎn)。1.2評(píng)估范圍本次評(píng)估的范圍包括但不限于委托方指定的【詳細(xì)說明評(píng)估對(duì)象，例如：XX公司用戶數(shù)據(jù)管理平臺(tái)、XX業(yè)務(wù)數(shù)據(jù)處理流程、XX移動(dòng)應(yīng)用程序的數(shù)據(jù)處理活動(dòng)】。具體涵蓋：（1）涉及的數(shù)據(jù)類型：主要評(píng)估【詳細(xì)說明涉及的個(gè)人數(shù)據(jù)及敏感個(gè)人數(shù)據(jù)類型，例如：用戶的姓名、身份證號(hào)、手機(jī)號(hào)碼、電子郵箱、地理位置信息等敏感個(gè)人信息】的處理活動(dòng)。（2）數(shù)據(jù)處理活動(dòng)：包括數(shù)據(jù)的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開、刪除等全生命周期環(huán)節(jié)。（3）相關(guān)系統(tǒng)與流程：評(píng)估與數(shù)據(jù)處理活動(dòng)相關(guān)的IT系統(tǒng)、網(wǎng)絡(luò)環(huán)境、物理環(huán)境以及內(nèi)部管理流程。（4）第三方參與：若涉及數(shù)據(jù)處理外包或數(shù)據(jù)共享，則評(píng)估委托方對(duì)第三方的管理措施。（5）所依據(jù)的法律法規(guī)與標(biāo)準(zhǔn)：評(píng)估符合《個(gè)人信息保護(hù)法》、《數(shù)據(jù)安全法》及相關(guān)法律法規(guī)、政策（如網(wǎng)絡(luò)安全等級(jí)保護(hù)要求、行業(yè)規(guī)范等）的合規(guī)性。第二條評(píng)估依據(jù)2.1法律法規(guī)依據(jù)本次評(píng)估主要依據(jù)以下中國現(xiàn)行有效法律法規(guī)及政策要求：（1）《中華人民共和國網(wǎng)絡(luò)安全法》（2）《中華人民共和國數(shù)據(jù)安全法》（3）《中華人民共和國個(gè)人信息保護(hù)法》（4）《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T22239）（5）國家網(wǎng)信部門、工信部、公安部等發(fā)布的關(guān)于數(shù)據(jù)安全和個(gè)人信息保護(hù)的指引、規(guī)定等。（6）其他適用的地方法規(guī)或行業(yè)特定要求（如有，請列明）。2.2評(píng)估方法論評(píng)估方將采用綜合評(píng)估方法，可能包括但不限于：文檔審閱、人員訪談、系統(tǒng)配置檢查、功能測試、模擬攻擊測試（如適用）、現(xiàn)場勘查等方式收集信息，并進(jìn)行分析和評(píng)估。第三條評(píng)估過程與時(shí)間安排3.1評(píng)估階段本次評(píng)估分為以下階段：（1）準(zhǔn)備階段：評(píng)估方與委托方確認(rèn)評(píng)估范圍細(xì)節(jié)，準(zhǔn)備評(píng)估所需資料清單；委托方根據(jù)要求提供相關(guān)文檔和數(shù)據(jù)樣本（在保密前提下）。（2）盡職調(diào)查階段：評(píng)估方通過訪談、文檔審閱、技術(shù)測試等方法對(duì)評(píng)估對(duì)象進(jìn)行深入調(diào)查。（3）分析評(píng)估階段：評(píng)估方對(duì)收集的信息進(jìn)行分析，識(shí)別合規(guī)性問題與安全風(fēng)險(xiǎn)，進(jìn)行風(fēng)險(xiǎn)評(píng)估。（4）報(bào)告撰寫階段：評(píng)估方根據(jù)分析結(jié)果撰寫《數(shù)據(jù)隱私安全評(píng)估報(bào)告》。（5）報(bào)告交付與溝通階段：評(píng)估方向委托方交付評(píng)估報(bào)告，并就報(bào)告核心內(nèi)容進(jìn)行溝通解釋。3.2時(shí)間安排（1）準(zhǔn)備階段：自本協(xié)議生效之日起【X】個(gè)工作日內(nèi)完成。（2）盡職調(diào)查階段：預(yù)計(jì)【X】個(gè)工作日。（3）分析評(píng)估與報(bào)告撰寫階段：預(yù)計(jì)【X】個(gè)工作日。（4）報(bào)告交付與溝通階段：預(yù)計(jì)【X】個(gè)工作日內(nèi)。上述時(shí)間為預(yù)估，具體時(shí)間可能根據(jù)實(shí)際情況調(diào)整，雙方應(yīng)予以配合。總評(píng)估周期預(yù)計(jì)為【總時(shí)長】個(gè)工作日。第四條委托方權(quán)利與義務(wù)4.1委托方權(quán)利（1）有權(quán)要求評(píng)估方按照協(xié)議約定及專業(yè)標(biāo)準(zhǔn)開展評(píng)估工作。（2）有權(quán)了解評(píng)估的進(jìn)展情況，并要求評(píng)估方對(duì)評(píng)估過程中涉及的商業(yè)秘密予以保密。（3）有權(quán)獲得評(píng)估方出具的《數(shù)據(jù)隱私安全評(píng)估報(bào)告》。（4）有權(quán)就評(píng)估報(bào)告的內(nèi)容向評(píng)估方提出疑問，并要求解釋。4.2委托方義務(wù)（1）向評(píng)估方提供開展評(píng)估工作所必需的資料、信息、環(huán)境訪問權(quán)限，并保證所提供資料的真實(shí)性、準(zhǔn)確性、完整性。必要時(shí)，指定專人配合評(píng)估方的訪談、測試等工作。（2）確保評(píng)估過程中評(píng)估方接觸到的委托方及其合作伙伴的商業(yè)秘密、技術(shù)秘密等信息得到妥善保護(hù)。（3）配合評(píng)估方根據(jù)評(píng)估需要，對(duì)部分?jǐn)?shù)據(jù)進(jìn)行脫敏處理或提供有限訪問權(quán)限。（4）按照約定支付評(píng)估費(fèi)用。（5）遵守與本協(xié)議相關(guān)的保密義務(wù)。第五條評(píng)估方權(quán)利與義務(wù)5.1評(píng)估方權(quán)利（1）有權(quán)要求委托方提供本協(xié)議約定的評(píng)估所需資料、信息及必要的配合。（2）有權(quán)按照約定收取評(píng)估費(fèi)用。（3）對(duì)評(píng)估過程中知悉的委托方商業(yè)秘密和技術(shù)秘密承擔(dān)保密義務(wù)。（4）對(duì)評(píng)估結(jié)果的準(zhǔn)確性基于盡職調(diào)查和專業(yè)知識(shí)負(fù)責(zé)，但不對(duì)委托方因報(bào)告內(nèi)容采取行動(dòng)后產(chǎn)生的后果承擔(dān)責(zé)任。5.2評(píng)估方義務(wù)（1）按照本協(xié)議約定的范圍、方法和時(shí)間安排，勤勉、專業(yè)地開展評(píng)估工作。（2）確保評(píng)估過程及結(jié)果的專業(yè)性和客觀性，評(píng)估報(bào)告應(yīng)基于事實(shí)和依據(jù)。（3）對(duì)在評(píng)估過程中接觸、知悉的委托方商業(yè)秘密、技術(shù)秘密、個(gè)人信息等承擔(dān)嚴(yán)格的保密義務(wù)，未經(jīng)委托方書面同意，不得向任何第三方泄露。（4）按時(shí)提交符合要求的《數(shù)據(jù)隱私安全評(píng)估報(bào)告》。（5）根據(jù)委托方要求，在合理范圍內(nèi)就評(píng)估報(bào)告內(nèi)容進(jìn)行溝通和解釋。第六條評(píng)估報(bào)告6.1報(bào)告內(nèi)容《數(shù)據(jù)隱私安全評(píng)估報(bào)告》應(yīng)至少包括以下內(nèi)容：（1）引言與評(píng)估背景（目的、范圍、依據(jù)、方法）。（2）評(píng)估對(duì)象概述（系統(tǒng)、流程、數(shù)據(jù)處理活動(dòng)）。（3）合規(guī)性評(píng)估結(jié)果（與法律法規(guī)、內(nèi)部政策的符合性分析）。（4）數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估結(jié)果（識(shí)別的風(fēng)險(xiǎn)、評(píng)估等級(jí)、優(yōu)先級(jí)）。（5）現(xiàn)有控制措施評(píng)估（措施描述、有效性分析）。（6）總體評(píng)估結(jié)論與主要發(fā)現(xiàn)。（7）改進(jìn)建議（短期修復(fù)、長期改進(jìn)、優(yōu)先級(jí)）。（8）評(píng)估方的聲明（如適用）。6.2報(bào)告形式評(píng)估報(bào)告以書面形式呈現(xiàn)，可采用電子版或紙質(zhì)版，具體由雙方協(xié)商確定。報(bào)告的最終解釋權(quán)歸評(píng)估方所有，但其結(jié)論應(yīng)基于客觀事實(shí)和評(píng)估依據(jù)。第七條費(fèi)用與支付7.1費(fèi)用構(gòu)成本次評(píng)估費(fèi)用總額為人民幣【金額】元（大寫：【大寫金額】）。費(fèi)用包含評(píng)估過程中產(chǎn)生的合理成本，具體可能涵蓋：評(píng)估人員勞務(wù)費(fèi)、差旅費(fèi)、必要的技術(shù)測試工具或服務(wù)費(fèi)等。7.2支付方式委托方應(yīng)在本協(xié)議生效后【X】個(gè)工作日內(nèi)，向評(píng)估方支付總費(fèi)用的【%】%，即人民幣【金額】元（大寫：【大寫金額】）；剩余【%】%，即人民幣【金額】元（大寫：【大寫金額】），在評(píng)估方提交《數(shù)據(jù)隱私安全評(píng)估報(bào)告》并經(jīng)委托方確認(rèn)后【X】個(gè)工作日內(nèi)支付。支付方式為銀行轉(zhuǎn)賬，賬戶信息如下：賬戶名稱：【評(píng)估方賬戶名】開戶銀行：【評(píng)估方開戶行】銀行賬號(hào)：【評(píng)估方銀行賬號(hào)】7.3不可抗力調(diào)整如因增加評(píng)估范圍、工作量或因委托方原因?qū)е略u(píng)估時(shí)間顯著延長，評(píng)估方有權(quán)與委托方協(xié)商調(diào)整評(píng)估費(fèi)用，并簽訂補(bǔ)充協(xié)議確認(rèn)。第八條保密條款8.1保密信息定義在本協(xié)議及評(píng)估過程中，以下信息構(gòu)成保密信息：（1）雙方交換的文件、資料、數(shù)據(jù)、報(bào)告等書面或電子形式的信息。（2）雙方在訪談、溝通中獲悉的商業(yè)秘密、技術(shù)秘密、經(jīng)營信息、個(gè)人信息處理活動(dòng)細(xì)節(jié)等。（3）評(píng)估方為開展評(píng)估工作而開發(fā)或使用的專有方法、工具、模型等。（4）本協(xié)議的內(nèi)容本身。（5）根據(jù)法律法規(guī)或監(jiān)管要求需要披露的信息除外，但披露前應(yīng)通知對(duì)方并盡可能采取限制性措施。8.2保密義務(wù)（1）雙方及其授權(quán)代表應(yīng)對(duì)保密信息承擔(dān)不低于對(duì)自身最嚴(yán)格保密義務(wù)的責(zé)任，僅為履行本協(xié)議之目的使用保密信息，不得用于任何其他用途，不得向任何第三方泄露（法律要求或獲得對(duì)方書面同意的除外）。（2）涉及第三方信息的保密，委托方應(yīng)確保該第三方亦遵守相應(yīng)的保密義務(wù)。（3）本保密義務(wù)不因本協(xié)議的終止而失效，持續(xù)有效期限為本協(xié)議終止后【年數(shù)】年。第九條違約責(zé)任9.1委托方違約若委托方未能按時(shí)支付評(píng)估費(fèi)用，每逾期一日，應(yīng)按逾期支付金額的【%】向評(píng)估方支付違約金，逾期超過【X】日，評(píng)估方有權(quán)暫?；蚪K止評(píng)估工作，并要求委托方支付已完成工作的費(fèi)用及違約金。若委托方未能提供必要的資料、信息或配合，導(dǎo)致評(píng)估工作無法順利進(jìn)行或延遲完成，委托方應(yīng)承擔(dān)相應(yīng)責(zé)任，評(píng)估時(shí)間相應(yīng)順延，評(píng)估費(fèi)用不予減免。9.2評(píng)估方違約若評(píng)估方未能按時(shí)交付評(píng)估報(bào)告，每逾期一日，應(yīng)按評(píng)估總費(fèi)用的【%】向委托方支付違約金，逾期超過【X】日，委托方有權(quán)解除本協(xié)議，并要求評(píng)估方退還已支付費(fèi)用并支付違約金。但若延誤是由于不可抗力或委托方原因造成的，評(píng)估方不承擔(dān)違約責(zé)任。若評(píng)估方在評(píng)估過程中違反保密義務(wù)，給委托方造成損失的，應(yīng)承擔(dān)賠償責(zé)任。第十條不可抗力10.1定義不可抗力是指不能預(yù)見、不能避免并不能克服的客觀情況，包括但不限于自然災(zāi)害（如地震、洪水、臺(tái)風(fēng)）、戰(zhàn)爭、恐怖襲擊、罷工、政府行為、法律法規(guī)重大變化、網(wǎng)絡(luò)攻擊中斷等。10.2后果因不可抗力導(dǎo)致任何一方無法履行或無法完全履行本協(xié)議義務(wù)的，不承擔(dān)違約責(zé)任。受影響方應(yīng)立即通知對(duì)方，并在合理期限內(nèi)提供不可抗力證明。雙方應(yīng)根據(jù)不可抗力影響程度，協(xié)商決定是否延期履行、部分履行或解除本協(xié)議。第十一條法律適用與爭議解決11.1法律適用本協(xié)議的訂立、效力、解釋、履行及爭議解決均適用中華人民共和國法律。11.2爭議解決因本協(xié)議引起的或與本協(xié)議有關(guān)的任何爭議，雙方應(yīng)首先通過友好協(xié)商解決；協(xié)商不成的，任何一方均有權(quán)向【評(píng)估方所在地/委托方所在地/約定仲裁機(jī)構(gòu)】有管轄權(quán)的人民法院提起訴訟/申請仲裁【選擇一種】。第十二條協(xié)議的變更與解除12.1變更對(duì)本協(xié)議的任何修改或補(bǔ)充，均須經(jīng)雙方協(xié)商一致，并簽署書面補(bǔ)充協(xié)議方為有效。補(bǔ)充協(xié)議與本協(xié)議具有同等法律效力。12.2解除除本協(xié)議另有約定外，發(fā)生以下情況之一，守約方有權(quán)書面通知違約方解除本協(xié)議：（1）一方嚴(yán)重違反本協(xié)議約定，經(jīng)守約方書面催告后【X】日內(nèi)仍未糾正的。（2）一方進(jìn)入破產(chǎn)、清算程序的。（3）因不可抗力導(dǎo)致本協(xié)議目的無法實(shí)現(xiàn)的。協(xié)議解除后，雙方應(yīng)結(jié)清相關(guān)費(fèi)用，并按照保密條款履行義務(wù)。第十三條其他13.1通知與本協(xié)議有關(guān)的任何通知或通訊，應(yīng)采用書面形式（包括傳真、電子郵件、快遞服務(wù)或掛號(hào)信），發(fā)送至本協(xié)議首部列明的地址或郵箱。以電子郵件方式發(fā)送的，發(fā)出時(shí)視為送達(dá)；以快遞或掛號(hào)信方式發(fā)送的，寄出后【X】日視為送達(dá)。13.2完整協(xié)議本協(xié)議及其附件（如有）構(gòu)成雙方就本協(xié)議標(biāo)的達(dá)成的完整協(xié)議，取代雙方此前就此達(dá)成的所有口頭或書面協(xié)議、諒解。13.3可分割性本協(xié)議任何條款的無效或不可執(zhí)行，不影響其他條款的效力。雙方應(yīng)協(xié)商替換為內(nèi)容最接近、合法有效的條款。13.4轉(zhuǎn)讓未經(jīng)對(duì)方事先書