生物識(shí)別安全協(xié)議本協(xié)議由以下雙方于______年______月______日起簽訂：甲方（數(shù)據(jù)控制方/使用方）：[甲方全稱]注冊(cè)地址：[甲方注冊(cè)地址]統(tǒng)一社會(huì)信用代碼/身份證號(hào)：[甲方統(tǒng)一社會(huì)信用代碼/身份證號(hào)]乙方（技術(shù)提供方/服務(wù)方）：[乙方全稱]注冊(cè)地址：[乙方注冊(cè)地址]統(tǒng)一社會(huì)信用代碼/身份證號(hào)：[乙方統(tǒng)一社會(huì)信用代碼/身份證號(hào)]鑒于：1.甲方因業(yè)務(wù)需要，擬使用生物識(shí)別技術(shù)進(jìn)行[具體應(yīng)用場(chǎng)景，如：?jiǎn)T工身份驗(yàn)證、客戶身份核驗(yàn)等]；2.乙方擁有相關(guān)生物識(shí)別技術(shù)及系統(tǒng)，能夠?yàn)榧追教峁┥镒R(shí)別數(shù)據(jù)的采集、處理、存儲(chǔ)及相關(guān)服務(wù)；3.甲乙雙方經(jīng)友好協(xié)商，依據(jù)《中華人民共和國(guó)個(gè)人信息保護(hù)法》、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》等相關(guān)法律法規(guī)，就生物識(shí)別數(shù)據(jù)的安全處理事宜，達(dá)成如下協(xié)議，以資共同遵守。第一條定義1.1本協(xié)議所稱“生物識(shí)別數(shù)據(jù)”是指通過(guò)分析和比較人體生物特征進(jìn)行身份識(shí)別所獲取的數(shù)據(jù)，包括但不限于指紋、人臉、虹膜、視網(wǎng)膜、聲音、步態(tài)、靜脈等生物特征信息及其對(duì)應(yīng)的模板數(shù)據(jù)。具體數(shù)據(jù)類型包括：[列明具體數(shù)據(jù)類型，如：指紋圖像、人臉特征模板、聲紋樣本等]。1.2本協(xié)議所稱“數(shù)據(jù)主體”是指提供生物識(shí)別信息的個(gè)人。1.3本協(xié)議所稱“數(shù)據(jù)收集”是指通過(guò)可識(shí)別個(gè)人身份的技術(shù)手段獲取生物識(shí)別信息的行為。1.4本協(xié)議所稱“數(shù)據(jù)存儲(chǔ)”是指將生物識(shí)別數(shù)據(jù)記錄在某種媒介上并保存的行為。1.5本協(xié)議所稱“數(shù)據(jù)傳輸”是指將生物識(shí)別數(shù)據(jù)從一方傳輸至另一方或第三方的行為。1.6本協(xié)議所稱“安全措施”是指為保障生物識(shí)別數(shù)據(jù)安全所采取的技術(shù)和管理措施。第二條數(shù)據(jù)主體的權(quán)利與甲方義務(wù)2.1甲方應(yīng)向數(shù)據(jù)主體充分、清晰、具體地告知以下事項(xiàng)：(a)處理生物識(shí)別數(shù)據(jù)的目的是[明確具體處理目的]；(b)處理所依據(jù)的法律依據(jù)；(c)所處理的生物識(shí)別數(shù)據(jù)類型；(d)數(shù)據(jù)存儲(chǔ)的期限；(e)數(shù)據(jù)主體的權(quán)利以及行使權(quán)利的途徑；(f)第三方接收數(shù)據(jù)的情形（如適用）；(g)數(shù)據(jù)安全發(fā)生風(fēng)險(xiǎn)時(shí)甲方應(yīng)采取的補(bǔ)救措施；(h)其他法律法規(guī)要求告知的事項(xiàng)。2.2甲方在進(jìn)行數(shù)據(jù)收集前，應(yīng)取得數(shù)據(jù)主體的單獨(dú)同意。同意方式應(yīng)明確、易懂，并確保數(shù)據(jù)主體有充分的時(shí)間考慮。數(shù)據(jù)主體有權(quán)撤回其同意，甲方應(yīng)在收到撤回同意后，根據(jù)法律法規(guī)和本協(xié)議約定停止處理其生物識(shí)別數(shù)據(jù)，并采取必要的補(bǔ)救措施。2.3甲方應(yīng)采取必要措施，確保數(shù)據(jù)主體的生物識(shí)別數(shù)據(jù)在采集、傳輸、存儲(chǔ)和處理過(guò)程中的安全，防止數(shù)據(jù)泄露、篡改、丟失。甲方應(yīng)對(duì)接觸生物識(shí)別數(shù)據(jù)的員工進(jìn)行保密培訓(xùn)和管理。2.4甲方僅可將生物識(shí)別數(shù)據(jù)用于本協(xié)議約定的目的，不得用于其他用途，不得非法轉(zhuǎn)讓、出售或泄露給任何第三方，除非獲得數(shù)據(jù)主體的明確書面同意或法律法規(guī)要求。2.5甲方應(yīng)建立生物識(shí)別數(shù)據(jù)安全管理制度，定期進(jìn)行安全風(fēng)險(xiǎn)評(píng)估，并采取加密存儲(chǔ)、訪問(wèn)控制、安全審計(jì)等技術(shù)和管理措施，保障生物識(shí)別數(shù)據(jù)的安全。第三條數(shù)據(jù)收集與采集3.1甲方應(yīng)在獲得數(shù)據(jù)主體明確同意的前提下進(jìn)行生物識(shí)別數(shù)據(jù)的收集。3.2甲方應(yīng)使用符合國(guó)家相關(guān)標(biāo)準(zhǔn)、安全性可靠的采集設(shè)備進(jìn)行數(shù)據(jù)收集，確保采集過(guò)程的準(zhǔn)確性和安全性。3.3甲方應(yīng)設(shè)置清晰的提示信息，告知數(shù)據(jù)主體正在收集其生物識(shí)別數(shù)據(jù)，并確保數(shù)據(jù)主體在知曉的前提下配合采集。3.4采集設(shè)備應(yīng)具備防止錄音、錄像、拍照等附加采集功能，或在采集現(xiàn)場(chǎng)采取相應(yīng)措施防止無(wú)關(guān)人員窺視。第四條數(shù)據(jù)存儲(chǔ)與安全保護(hù)4.1甲方應(yīng)將生物識(shí)別數(shù)據(jù)存儲(chǔ)在具有足夠安全防護(hù)能力的環(huán)境中，并采取以下安全措施：(a)對(duì)生物識(shí)別數(shù)據(jù)進(jìn)行加密存儲(chǔ)，采用行業(yè)認(rèn)可的加密算法；(b)實(shí)施嚴(yán)格的訪問(wèn)控制，只有經(jīng)過(guò)授權(quán)的人員才能訪問(wèn)生物識(shí)別數(shù)據(jù)，并記錄所有訪問(wèn)日志；(c)定期對(duì)存儲(chǔ)系統(tǒng)和安全措施進(jìn)行漏洞掃描和風(fēng)險(xiǎn)評(píng)估；(d)根據(jù)業(yè)務(wù)需要和法律法規(guī)要求，對(duì)生物識(shí)別數(shù)據(jù)進(jìn)行匿名化或去標(biāo)識(shí)化處理。4.2甲方應(yīng)確定生物識(shí)別數(shù)據(jù)的存儲(chǔ)期限，存儲(chǔ)期限應(yīng)為實(shí)現(xiàn)處理目的所必需的最短時(shí)間。存儲(chǔ)期限屆滿后，甲方應(yīng)按照法律法規(guī)和本協(xié)議約定，安全刪除或匿名化處理生物識(shí)別數(shù)據(jù)，并確保無(wú)法復(fù)原。4.3如因業(yè)務(wù)需要或法律法規(guī)要求需將生物識(shí)別數(shù)據(jù)委托給第三方存儲(chǔ)或處理（以下簡(jiǎn)稱“數(shù)據(jù)處理方”），甲方應(yīng)事先獲得數(shù)據(jù)主體的單獨(dú)同意，并與數(shù)據(jù)處理方簽訂書面協(xié)議，明確數(shù)據(jù)處理方的責(zé)任和義務(wù)，確保數(shù)據(jù)處理方的安全保護(hù)水平不低于本協(xié)議要求。甲方對(duì)數(shù)據(jù)處理方仍負(fù)有監(jiān)督和管理責(zé)任。第五條數(shù)據(jù)處理與使用5.1甲方對(duì)生物識(shí)別數(shù)據(jù)的使用不得超出本協(xié)議約定的目的范圍。5.2甲方應(yīng)確保生物識(shí)別數(shù)據(jù)僅用于驗(yàn)證個(gè)人身份、授權(quán)訪問(wèn)、提供服務(wù)等特定目的。5.3未經(jīng)數(shù)據(jù)主體同意，甲方不得將生物識(shí)別數(shù)據(jù)與其他個(gè)人信息進(jìn)行關(guān)聯(lián)，或用于商業(yè)目的。第六條數(shù)據(jù)共享與披露6.1甲方原則上不得將生物識(shí)別數(shù)據(jù)共享或披露給任何第三方，除非：(a)獲得數(shù)據(jù)主體的明確書面同意；(b)為履行本協(xié)議約定而必須與第三方共享，且已確保該第三方遵守不低于本協(xié)議標(biāo)準(zhǔn)的安全和保護(hù)義務(wù)；(c)依據(jù)法律法規(guī)或國(guó)家有關(guān)規(guī)定需要披露。6.2在前款(b)情況下，甲方應(yīng)在共享前告知數(shù)據(jù)主體共享的目的、范圍、期限以及第三方的名稱和聯(lián)系方式。6.3甲方應(yīng)對(duì)任何接受其生物識(shí)別數(shù)據(jù)共享或披露的第三方承擔(dān)連帶責(zé)任。第七條數(shù)據(jù)傳輸（如適用）7.1如本協(xié)議項(xiàng)下涉及將生物識(shí)別數(shù)據(jù)傳輸至中華人民共和國(guó)境外，甲方應(yīng)確保：(a)該境外接收方所在國(guó)家或地區(qū)提供的數(shù)據(jù)保護(hù)水平充分，或已通過(guò)國(guó)家網(wǎng)信部門的安全評(píng)估，或已采取有效的合同約束措施（如簽訂標(biāo)準(zhǔn)合同條款或具有約束力的公司規(guī)則）；(b)傳輸行為符合《個(gè)人信息保護(hù)法》等法律法規(guī)關(guān)于數(shù)據(jù)出境的規(guī)定。7.2甲方應(yīng)在數(shù)據(jù)傳輸前進(jìn)行必要的風(fēng)險(xiǎn)評(píng)估，并采取加密、假名化等保護(hù)措施。第八條數(shù)據(jù)主體權(quán)利行使機(jī)制8.1數(shù)據(jù)主體可依法向甲方查詢其本人的生物識(shí)別數(shù)據(jù)，了解相關(guān)處理情況。8.2數(shù)據(jù)主體可依法要求甲方更正其生物識(shí)別數(shù)據(jù)中的錯(cuò)誤信息。8.3數(shù)據(jù)主體在符合法律法規(guī)規(guī)定情形下，可依法要求甲方刪除其生物識(shí)別數(shù)據(jù)。8.4甲方應(yīng)在收到數(shù)據(jù)主體行使權(quán)利的請(qǐng)求后，在法律法規(guī)規(guī)定的期限內(nèi)響應(yīng)并處理。甲方應(yīng)提供便捷的途徑供數(shù)據(jù)主體行使上述權(quán)利。第九條安全事件響應(yīng)與通知9.1甲方應(yīng)建立生物識(shí)別數(shù)據(jù)安全事件應(yīng)急預(yù)案，并在發(fā)生或可能發(fā)生數(shù)據(jù)泄露、篡改、丟失等安全事件時(shí)，立即啟動(dòng)應(yīng)急預(yù)案，采取補(bǔ)救措施，防止損害擴(kuò)大。9.2甲方應(yīng)在安全事件發(fā)生后[具體時(shí)限，如：72小時(shí)內(nèi)]向數(shù)據(jù)主體告知事件的基本情況、可能造成的影響以及采取的或擬采取的補(bǔ)救措施。如事件可能對(duì)數(shù)據(jù)主體的權(quán)益造成嚴(yán)重?fù)p害，甲方應(yīng)在評(píng)估后立即通知。9.3如發(fā)生安全事件，甲方應(yīng)在[具體時(shí)限，如：48小時(shí)內(nèi)]向其所在地的網(wǎng)信部門備案，并根據(jù)法律法規(guī)要求向相關(guān)部門報(bào)告。第十條合規(guī)與法律要求10.1甲乙雙方均應(yīng)遵守所有適用于本協(xié)議及其履行相關(guān)的法律、法規(guī)和標(biāo)準(zhǔn)，包括但不限于《中華人民共和國(guó)個(gè)人信息保護(hù)法》、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、《中華人民共和國(guó)數(shù)據(jù)安全法》等。10.2甲方應(yīng)確保其處理生物識(shí)別數(shù)據(jù)的行為符合相關(guān)法律法規(guī)的要求。第十一條責(zé)任與救濟(jì)11.1任何一方違反本協(xié)議約定，給對(duì)方造成損失的，應(yīng)承擔(dān)賠償責(zé)任。11.2如因甲方原因?qū)е律镒R(shí)別數(shù)據(jù)泄露、丟失或被濫用，給數(shù)據(jù)主體造成損失的，甲方應(yīng)依法承擔(dān)賠償責(zé)任。乙方在明知或應(yīng)知甲方存在前述違約行為的情況下，仍向甲方提供服務(wù)的，應(yīng)在合理范圍內(nèi)承擔(dān)連帶責(zé)任。11.3任何一方因不可抗力導(dǎo)致無(wú)法履行本協(xié)議的，不承擔(dān)違約責(zé)任，但應(yīng)在不可抗力消除后盡快通知對(duì)方，并采取補(bǔ)救措施。第十二條協(xié)議期限與終止12.1本協(xié)議有效期自雙方簽字或蓋章之日起生效，有效期為[年數(shù)]年。12.2協(xié)議期滿前[月數(shù)]個(gè)月，如雙方均有意續(xù)約，應(yīng)另行協(xié)商簽訂續(xù)約協(xié)議。12.3協(xié)議在下列情況下終止：(a)協(xié)議有效期屆滿，雙方未續(xù)簽；(b)雙方協(xié)商一致同意終止；(c)一方嚴(yán)重違約，另一方根據(jù)本協(xié)議約定解除協(xié)議；(d)因不可抗力導(dǎo)致協(xié)議無(wú)法繼續(xù)履行。12.4協(xié)議終止或解除后：(a)甲方仍有義務(wù)按照法律法規(guī)和本協(xié)議約定，對(duì)已收集的生物識(shí)別數(shù)據(jù)進(jìn)行安全存儲(chǔ)和保護(hù)，直至其存儲(chǔ)期限屆滿并完成刪除或匿名化處理；(b)甲方應(yīng)根據(jù)數(shù)據(jù)主體的要求，在其本人死亡后[年數(shù)]年內(nèi)，或直至其權(quán)利能力終止，根據(jù)法律法規(guī)和本協(xié)議約定，提供必要的協(xié)助，以使數(shù)據(jù)主體的繼承人或權(quán)利義務(wù)承繼人能夠行使數(shù)據(jù)主體的相關(guān)權(quán)利；(c)雙方應(yīng)結(jié)清所有未了結(jié)的款項(xiàng)和事務(wù)。第十三條保密條款13.1甲乙雙方應(yīng)對(duì)在本協(xié)議履行過(guò)程中獲知的對(duì)方的商業(yè)秘密、技術(shù)信息以及客戶的個(gè)人信息（包括生物識(shí)別數(shù)據(jù)）等保密信息承擔(dān)保密義務(wù)。13.2未經(jīng)對(duì)方書面同意，任何一方不得向任何第三方泄露、使用或允許他人使用保密信息，但法律法規(guī)另有規(guī)定或?yàn)槁男斜緟f(xié)議所必需的除外。13.3本保密義務(wù)不因本協(xié)議的終止而失效，持續(xù)有效[年數(shù)]年。第十四條知識(shí)產(chǎn)權(quán)14.1乙方為履行本協(xié)議而提供的軟件、系統(tǒng)或技術(shù)方案所涉及的知識(shí)產(chǎn)權(quán)，歸乙方所有。甲方僅獲得根據(jù)本協(xié)議約定的使用許可，不得超出許可范圍使用。14.2甲方自行開發(fā)或提供的與生物識(shí)別數(shù)據(jù)相關(guān)的系統(tǒng)或技術(shù)，其知識(shí)產(chǎn)權(quán)歸甲方所有。乙方不得未經(jīng)甲方許可，擅自使用或提供給第三方。第十五條完整協(xié)議15.1本協(xié)議構(gòu)成甲乙雙方就本協(xié)議標(biāo)的事項(xiàng)達(dá)成的完整協(xié)議，取代雙方此前就此達(dá)成的所有口頭或書面的協(xié)議、諒解或安排。15.2對(duì)本協(xié)議的任何修改或補(bǔ)充，均應(yīng)以書面形式作出，并經(jīng)雙方簽字或蓋章后生效。第十六條修訂16.1對(duì)本協(xié)議的修訂，需經(jīng)雙方協(xié)商一致，并以書面形式作出補(bǔ)充協(xié)議。補(bǔ)充協(xié)議與本協(xié)議具有同等法律效力。第十七條通知17.1雙方在本協(xié)議首頁(yè)載明的地址、聯(lián)系人及聯(lián)系方式為有效聯(lián)系方式。任何一方變更聯(lián)系方式，應(yīng)提前[日數(shù)]日書面通知對(duì)方。17.2雙方通過(guò)書面形式（包括但不限于專人遞送、掛號(hào)信、電子郵件、傳真等）發(fā)送給對(duì)方的任何通知，在送達(dá)時(shí)視為有效送達(dá)。第十八條法律適用與管轄18.1本協(xié)議的訂立、效力、解釋、履行及爭(zhēng)議解決，均適用中華人民共和國(guó)