個人隱私信息保護數(shù)據(jù)主權(quán)協(xié)議鑒于一方（以下簡稱“信息處理者”）因提供特定產(chǎn)品或服務而需要處理另一方的個人隱私信息（以下簡稱“個人隱私信息”），另一方（以下簡稱“數(shù)據(jù)主體”）希望其個人隱私信息得到合法、安全、公平的處理，并充分行使其數(shù)據(jù)主權(quán)所賦予的各項權(quán)利，雙方依據(jù)《中華人民共和國個人信息保護法》及相關(guān)法律法規(guī)，經(jīng)友好協(xié)商，達成如下協(xié)議：第一條定義與解釋1.1本協(xié)議所稱“個人”是指能夠被識別的自然人。1.2本協(xié)議所稱“個人隱私信息”是指以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。個人隱私信息包括但不限于：姓名、身份證號碼、出生日期、身份證件號碼、手機號碼、電子郵箱地址、住址、家庭住址、生物識別信息、健康生理信息、行蹤軌跡信息、財產(chǎn)信息、征信信息、個人賬戶信息、持有人或者使用人的身份識別碼、網(wǎng)絡賬號、社交媒體賬號、瀏覽記錄、搜索記錄、APP使用記錄、通話記錄、短信記錄、交易記錄、位置信息、設(shè)備信息、cookie信息等。1.3本協(xié)議所稱“數(shù)據(jù)主權(quán)”是指數(shù)據(jù)主體對其個人隱私信息依法享有的控制權(quán)，包括知情權(quán)、訪問權(quán)、更正權(quán)、刪除權(quán)、限制處理權(quán)、可攜帶權(quán)、拒絕自動化決策權(quán)、不受歧視權(quán)等。1.4本協(xié)議所稱“信息處理者”是指在協(xié)議約定范圍內(nèi)處理個人隱私信息的組織或者個人，包括但不限于數(shù)據(jù)控制者和數(shù)據(jù)處理者。1.5本協(xié)議所稱“信息處理活動”是指對個人隱私信息進行的收集、存儲、查詢、使用、分析、傳輸、提供、公開、刪除、匿名化等操作。1.6本協(xié)議所稱“目的限制”是指個人隱私信息的處理應當具有明確、合理的目的，并應當與處理目的直接相關(guān)，采取對個人隱私信息實現(xiàn)處理目的所必需的最小范圍。第二條數(shù)據(jù)主權(quán)的體現(xiàn)與個人權(quán)利2.1數(shù)據(jù)主體依法享有以下權(quán)利：(1)知情權(quán)：信息處理者有義務告知數(shù)據(jù)主體其個人隱私信息被處理的目的、方式、種類、范圍、存儲期限、存儲地點、安全保障措施、個人信息主體權(quán)利行使方式、接收個人信息主體權(quán)利行使請求的聯(lián)系人或者聯(lián)系方式、法律規(guī)定的個人信息保護義務履行情況等。(2)訪問權(quán)：數(shù)據(jù)主體有權(quán)訪問其個人隱私信息，信息處理者應當在接到數(shù)據(jù)主體訪問請求后合理期限內(nèi)提供訪問服務。(3)更正權(quán)：如果數(shù)據(jù)主體的個人隱私信息不準確或者不完整，數(shù)據(jù)主體有權(quán)請求信息處理者及時更正。(4)刪除權(quán)：在以下情形下，數(shù)據(jù)主體有權(quán)請求信息處理者刪除其個人隱私信息：a.信息處理者停止提供產(chǎn)品或者服務，或者保存期限已屆滿；b.信息處理者違反法律、行政法規(guī)或者本協(xié)議約定處理個人隱私信息；c.信息處理者利用個人隱私信息進行非法活動；d.信息處理者未經(jīng)同意處理敏感個人隱私信息；e.法律、行政法規(guī)規(guī)定的其他情形。(5)限制處理權(quán)：在以下情形下，數(shù)據(jù)主體有權(quán)請求信息處理者限制處理其個人隱私信息：a.數(shù)據(jù)主體認為信息處理者處理其個人隱私信息違反法律、行政法規(guī)或者本協(xié)議約定，要求信息處理者說明理由，信息處理者未能及時說明理由；b.信息處理者處理其個人隱私信息侵犯數(shù)據(jù)主體的合法權(quán)益，數(shù)據(jù)主體請求限制處理，且信息處理者未采取措施補救；c.法律、行政法規(guī)規(guī)定的其他情形。(6)可攜帶權(quán)：在以下情形下，數(shù)據(jù)主體有權(quán)請求信息處理者將其個人隱私信息以可讀格式提供給自己，或者直接提供給指定的第三方處理者：a.信息處理者基于同意處理個人隱私信息，且處理目的明確具體；b.數(shù)據(jù)主體撤回同意，且信息處理者不再具有其他處理依據(jù)；c.信息處理者停止提供產(chǎn)品或者服務，或者保存期限已屆滿，且無其他合法處理依據(jù)；d.法律、行政法規(guī)規(guī)定的其他情形。(7)拒絕自動化決策權(quán)：如果信息處理者利用自動化的方式對數(shù)據(jù)主體進行用戶畫像、信用評估、精準營銷等，并由此作出對數(shù)據(jù)主體具有重大利益影響的決定，數(shù)據(jù)主體有權(quán)拒絕，并要求信息處理者提供人工干預、解釋和質(zhì)疑的機會。(8)不受歧視權(quán)：信息處理者不得因數(shù)據(jù)主體行使權(quán)利而對其進行歧視。2.2數(shù)據(jù)主體行使上述權(quán)利時，應當提供其身份證明。信息處理者應當在接到數(shù)據(jù)主體行使權(quán)利的請求后三十日內(nèi)響應；法律、行政法規(guī)另有規(guī)定的，從其規(guī)定。2.3數(shù)據(jù)主體行使訪問權(quán)、更正權(quán)、刪除權(quán)、可攜帶權(quán)的，信息處理者不得收取超出成本的費用。但是，數(shù)據(jù)主體請求查閱原始記錄的，信息處理者可以收取合理的費用。2.4數(shù)據(jù)主體撤回同意的，信息處理者不得繼續(xù)處理基于該同意的個人隱私信息，但是有下列情形之一的除外：a.法律、行政法規(guī)另有規(guī)定的；b.信息處理者已經(jīng)采取必要措施保障個人隱私信息安全的；c.處理目的不能實現(xiàn)，但另一方同意的。第三條信息處理者的責任與義務3.1信息處理者處理個人隱私信息應當遵循合法、正當、必要、誠信的原則，以及目的限制、最小化處理、公開透明、確保安全、責任明確的原則。3.2信息處理者處理個人隱私信息應當具有明確、合理的目的，并應當與處理目的直接相關(guān)，采取對個人隱私信息實現(xiàn)處理目的所必需的最小范圍。3.3信息處理者處理個人隱私信息應當采取必要的技術(shù)和管理措施，保障個人隱私信息的安全，防止個人隱私信息泄露、篡改、丟失。3.4信息處理者應當制定并落實內(nèi)部管理制度，明確內(nèi)部各崗位人員的權(quán)限和責任，對處理個人隱私信息的人員進行培訓和考核，確保其具備相應的數(shù)據(jù)保護意識和能力。3.5信息處理者應當對委托處理個人隱私信息的第三方處理者進行嚴格的管理，確保其履行本協(xié)議約定的義務，并監(jiān)督其處理活動。3.6信息處理者應當在跨境傳輸個人隱私信息前，進行充分的風險評估，并采取必要的安全措施，確保個人隱私信息在境外得到充分保護。3.7信息處理者應當建立健全個人隱私信息保護事件應急預案，并定期進行演練，一旦發(fā)生個人隱私信息保護事件，應當立即啟動應急預案，采取補救措施，并按照法律法規(guī)的規(guī)定及時通知數(shù)據(jù)主體和履行報告義務。3.8信息處理者應當記錄并保存?zhèn)€人信息處理活動，保存期限不少于三年。保存期限自個人隱私信息處理活動結(jié)束之日起計算。3.9信息處理者應當指定一名數(shù)據(jù)保護官，負責處理個人隱私信息保護相關(guān)的咨詢、投訴和建議，并負責與監(jiān)管機構(gòu)的溝通。3.10信息處理者應當在協(xié)議顯著位置以及產(chǎn)品或服務中向數(shù)據(jù)主體提供本協(xié)議的副本或者鏈接，并確保數(shù)據(jù)主體能夠方便地查閱。第四條數(shù)據(jù)主體的同意與撤回4.1信息處理者處理個人隱私信息，應當取得數(shù)據(jù)主體的同意。4.2處理敏感個人隱私信息，應當取得數(shù)據(jù)主體的單獨同意。4.3數(shù)據(jù)主體有權(quán)撤回其同意，信息處理者應當立即停止處理基于該同意的個人隱私信息。第五條保密義務5.1信息處理者及其工作人員、代理人、第三方服務提供商應當對數(shù)據(jù)主體提供的個人隱私信息以及本協(xié)議的內(nèi)容保密，不得向任何第三方披露，但法律法規(guī)另有規(guī)定或者數(shù)據(jù)主體同意的除外。5.2信息處理者及其工作人員、代理人、第三方服務提供商應當采取必要措施，確保其對數(shù)據(jù)主體提供的個人隱私信息以及本協(xié)議的內(nèi)容保密。第六條數(shù)據(jù)主體權(quán)利的限制6.1數(shù)據(jù)主體行使權(quán)利可能對公共利益、他人合法權(quán)益造成重大損害的，信息處理者有權(quán)在法律、行政法規(guī)規(guī)定的范圍內(nèi)限制數(shù)據(jù)主體行使權(quán)利。6.2信息處理者對個人隱私信息的處理符合法律、行政法規(guī)的規(guī)定，并已采取必要的安全措施，數(shù)據(jù)主體無正當理由拒絕提供相關(guān)個人隱私信息的，信息處理者可以拒絕處理。第七條協(xié)議的期限與終止7.1本協(xié)議自雙方簽字或者蓋章之日起生效，有效期為[]年。7.2本協(xié)議在有效期內(nèi)自動續(xù)期，續(xù)期期限為[]年，除非任何一方提前[]個月書面通知對方終止本協(xié)議。7.3本協(xié)議終止時，信息處理者應當停止處理數(shù)據(jù)主體的個人隱私信息，并根據(jù)法律法規(guī)的規(guī)定或者本協(xié)議的約定刪除或者返還個人隱私信息。7.4本協(xié)議終止后，信息處理者仍然需要履行本協(xié)議約定的保密義務，以及對個人隱私信息的安全保護義務。第八條違約責任與救濟8.1信息處理者違反本協(xié)議約定的，應當承擔相應的違約責任。8.2信息處理者違反本協(xié)議約定，侵害數(shù)據(jù)主體合法權(quán)益的，數(shù)據(jù)主體有權(quán)要求信息處理者承擔賠償責任。8.3數(shù)據(jù)主體認為信息處理者違反本協(xié)議約定的，可以向信息處理者提出異議，信息處理者應當在接到異議后合理期限內(nèi)處理并答復數(shù)據(jù)主體。8.4數(shù)據(jù)主體認為信息處理者違反本協(xié)議約定的，可以向履行個人信息保護職責的部門投訴，或者向人民法院提起訴訟。第九條適用法律與爭議解決9.1本協(xié)議適用中華人民共和國法律。9.2因本協(xié)議引起的或者與本協(xié)議有關(guān)的任何爭議，雙方應當首先通過友好協(xié)商解決；協(xié)商不成的，任何一方有權(quán)向信息