跨境數(shù)據(jù)跨境監(jiān)管協(xié)議（2025年香港版本）本協(xié)議由以下雙方于2025年1月1日簽訂：甲方：[在此處插入甲方全稱]，一家根據(jù)[在此處插入甲方注冊(cè)地法律]成立并有效存續(xù)的公司，其注冊(cè)地址位于[在此處插入甲方注冊(cè)地址]，以下簡(jiǎn)稱“甲方”。乙方：[在此處插入乙方全稱]，一家根據(jù)[在此處插入乙方注冊(cè)地法律]成立并有效存續(xù)的公司，其注冊(cè)地址位于[在此處插入乙方注冊(cè)地址]，以下簡(jiǎn)稱“乙方”。鑒于：a)甲方為處理個(gè)人資料的目的在香港運(yùn)營(yíng)，并控制著名為“個(gè)人資料清單”的數(shù)據(jù)集（以下稱“數(shù)據(jù)”），該數(shù)據(jù)集包含個(gè)人資料主體的個(gè)人資料；b)乙方為處理個(gè)人資料的目的在全球范圍內(nèi)運(yùn)營(yíng)，并希望從甲方接收并處理前述數(shù)據(jù)；c)甲方和乙方均希望確保數(shù)據(jù)跨境傳輸活動(dòng)符合香港《個(gè)人資料（私隱）條例》（以下簡(jiǎn)稱“PDPO”）以及任何適用于該等傳輸?shù)南愀畚磥?lái)法律、法規(guī)和指引的要求，并可能包括與中華人民共和國(guó)中央政府及內(nèi)地相關(guān)數(shù)據(jù)保護(hù)、數(shù)據(jù)安全和數(shù)據(jù)跨境流動(dòng)法律法規(guī)的適用要求；d)雙方希望根據(jù)本協(xié)議約定，設(shè)定標(biāo)準(zhǔn)和條件，以規(guī)范個(gè)人資料從甲方控制或處理的區(qū)域傳輸至乙方控制或處理的區(qū)域（以下簡(jiǎn)稱“數(shù)據(jù)跨境傳輸”）。據(jù)此，雙方達(dá)成協(xié)議如下：第一條定義除非上下文另有要求，本協(xié)議中使用的術(shù)語(yǔ)應(yīng)具有以下含義：1.1“個(gè)人資料”系指根據(jù)PDPO及相關(guān)法律定義，指可識(shí)別或可識(shí)別出特定個(gè)人（數(shù)據(jù)主體）的個(gè)人資料，無(wú)論其是否為電子記錄。1.2“數(shù)據(jù)跨境傳輸”系指將個(gè)人資料傳輸、傳送、提供或以其他方式提供給位于香港以外司法管轄區(qū)（包括但不限于中華人民共和國(guó)內(nèi)地）的個(gè)人、組織、實(shí)體或處所。1.3“數(shù)據(jù)主體”系指根據(jù)PDPO及相關(guān)法律定義的個(gè)人資料所指向的個(gè)人。1.4“數(shù)據(jù)控制者”系指根據(jù)PDPO及相關(guān)法律定義，能夠決定個(gè)人資料處理目的和方式的個(gè)人資料控制者。1.5“數(shù)據(jù)處理者”系指根據(jù)PDPO及相關(guān)法律定義，代表數(shù)據(jù)控制者處理個(gè)人資料的實(shí)體。1.6“香港監(jiān)管機(jī)構(gòu)”系指根據(jù)PDPO及相關(guān)法律有權(quán)監(jiān)督其適用的數(shù)據(jù)保護(hù)法律實(shí)施的香港機(jī)構(gòu)。1.7“傳輸目的地”系指數(shù)據(jù)跨境傳輸所指向的香港以外司法管轄區(qū)或?qū)嶓w。1.8“合法利益”系指根據(jù)PDPO及相關(guān)法律，數(shù)據(jù)控制者或數(shù)據(jù)處理者處理個(gè)人資料所依據(jù)的合法利益。1.9“充分性認(rèn)定”系指香港監(jiān)管機(jī)構(gòu)或任何其他有權(quán)機(jī)構(gòu)認(rèn)定傳輸目的地提供了與香港相當(dāng)?shù)膫€(gè)人資料保護(hù)水平的認(rèn)定。1.10“標(biāo)準(zhǔn)合同條款（SCCs）”系指由歐盟委員會(huì)批準(zhǔn)，并在特定情況下被用于作為補(bǔ)充保護(hù)措施的通用合同條款。1.11“技術(shù)和組織措施（TOMs）”系指為保障個(gè)人資料安全而采取的加密、假名化、訪問(wèn)控制等技術(shù)性和組織性措施。1.12“數(shù)據(jù)保護(hù)原則”系指PDPO及相關(guān)法律所規(guī)定的個(gè)人資料處理應(yīng)遵循的基本原則，包括合法性、公平性、透明度、目的限制、數(shù)據(jù)最小化、準(zhǔn)確性、存儲(chǔ)限制、完整性和保密性。第二條數(shù)據(jù)跨境傳輸?shù)脑瓌t和條件2.1任何數(shù)據(jù)跨境傳輸均應(yīng)遵守本協(xié)議及適用的香港法律、法規(guī)和指引，并確保數(shù)據(jù)在傳輸和處理的整個(gè)生命周期內(nèi)均符合PDPO所規(guī)定的數(shù)據(jù)保護(hù)原則。2.2數(shù)據(jù)跨境傳輸應(yīng)僅限于為實(shí)現(xiàn)事先聲明的、合法的處理目的而進(jìn)行，且處理活動(dòng)應(yīng)與該等目的相符。2.3除非獲得數(shù)據(jù)主體的有效同意，或存在適用的法律授權(quán)，或基于合法利益且該等利益不低于數(shù)據(jù)主體的權(quán)利和自由，否則不得將個(gè)人資料傳輸至傳輸目的地。2.4在傳輸至未獲得充分性認(rèn)定的傳輸目的地時(shí)，數(shù)據(jù)跨境傳輸必須滿足以下一項(xiàng)或多項(xiàng)條件：a)獲得數(shù)據(jù)主體明確、具體、知情且不可撤銷的同意；b)數(shù)據(jù)控制者能夠證明不存在更少侵入性的替代方案；c)使用經(jīng)香港監(jiān)管機(jī)構(gòu)批準(zhǔn)或認(rèn)可的SCCs或其他補(bǔ)充保護(hù)措施；d)數(shù)據(jù)控制者能夠證明，由于合同履行需要，向該傳輸目的地提供個(gè)人資料對(duì)其至關(guān)重要，且不存在更少侵入性的替代方案，且已向數(shù)據(jù)主體充分說(shuō)明理由。2.5在處理涉及中華人民共和國(guó)內(nèi)地的個(gè)人資料時(shí)，數(shù)據(jù)跨境傳輸還應(yīng)遵守《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、《中華人民共和國(guó)數(shù)據(jù)安全法》、《中華人民共和國(guó)個(gè)人信息保護(hù)法》以及相關(guān)的數(shù)據(jù)跨境傳輸機(jī)制和規(guī)定，包括但不限于通過(guò)國(guó)家網(wǎng)信部門組織的安全評(píng)估、獲得認(rèn)證、依據(jù)標(biāo)準(zhǔn)合同條款等。雙方應(yīng)確保所有傳輸活動(dòng)均符合內(nèi)地法律法規(guī)的要求。2.6雙方應(yīng)確保在數(shù)據(jù)跨境傳輸前，采取充分的技術(shù)和組織措施（TOMs），以降低數(shù)據(jù)在傳輸和存儲(chǔ)期間面臨的風(fēng)險(xiǎn)，保障個(gè)人資料的安全，防止未經(jīng)授權(quán)的訪問(wèn)、泄露、篡改或丟失。第三條數(shù)據(jù)控制者與數(shù)據(jù)處理者的責(zé)任3.1甲方作為數(shù)據(jù)控制者，對(duì)數(shù)據(jù)跨境傳輸?shù)暮戏ㄐ浴⒄?dāng)性和必要性負(fù)首要責(zé)任。甲方應(yīng)確保已向數(shù)據(jù)主體充分披露數(shù)據(jù)傳輸?shù)哪康摹鬏斈康牡?、處理者的身份以及?shù)據(jù)主體的權(quán)利等信息，并已獲得必要的授權(quán)（如適用）。3.2乙方作為數(shù)據(jù)處理者，應(yīng)根據(jù)甲方的指示處理個(gè)人資料，并應(yīng)采取嚴(yán)格的技術(shù)和組織措施保護(hù)個(gè)人資料安全。乙方應(yīng)僅按甲方指示的目的和范圍處理個(gè)人資料，不得超出授權(quán)范圍。3.3雙方均有責(zé)任確保數(shù)據(jù)主體能夠行使其根據(jù)PDPO及相關(guān)法律享有的權(quán)利，包括訪問(wèn)權(quán)、更正權(quán)、刪除權(quán)、限制處理權(quán)、數(shù)據(jù)可攜帶權(quán)等。甲方應(yīng)建立有效的機(jī)制，以便在數(shù)據(jù)位于乙方控制或處理時(shí)，響應(yīng)用戶權(quán)利請(qǐng)求，乙方應(yīng)提供必要的協(xié)助。3.4雙方應(yīng)合作應(yīng)對(duì)數(shù)據(jù)泄露事件。發(fā)生或懷疑發(fā)生個(gè)人資料泄露時(shí)，應(yīng)立即采取補(bǔ)救措施，評(píng)估泄露影響，并按照適用的法律法規(guī)要求，及時(shí)通知香港監(jiān)管機(jī)構(gòu)及受影響的數(shù)據(jù)主體。第四條數(shù)據(jù)安全要求4.1雙方承諾在數(shù)據(jù)跨境傳輸期間及在數(shù)據(jù)位于傳輸目的地期間，始終采取與其預(yù)期風(fēng)險(xiǎn)相稱的、合理的、充分的技術(shù)和組織措施，保障個(gè)人資料的安全。這些措施應(yīng)至少包括：a)采取加密措施保護(hù)傳輸中的個(gè)人資料；b)對(duì)存儲(chǔ)的個(gè)人資料進(jìn)行加密或假名化處理；c)實(shí)施嚴(yán)格的訪問(wèn)控制，僅授權(quán)人員才能訪問(wèn)個(gè)人資料；d)定期進(jìn)行安全審計(jì)和風(fēng)險(xiǎn)評(píng)估；e)對(duì)處理個(gè)人資料的人員進(jìn)行數(shù)據(jù)保護(hù)培訓(xùn)；f)建立應(yīng)急響應(yīng)計(jì)劃以應(yīng)對(duì)安全事件。4.2雙方應(yīng)確保傳輸目的地（包括乙方及其服務(wù)提供商）遵守不低于香港PDPO要求的個(gè)人資料保護(hù)標(biāo)準(zhǔn)。第五條數(shù)據(jù)主體的權(quán)利5.1雙方應(yīng)確保數(shù)據(jù)主體能夠根據(jù)PDPO及相關(guān)法律行使其權(quán)利。甲方應(yīng)負(fù)責(zé)建立并維護(hù)處理數(shù)據(jù)主體權(quán)利請(qǐng)求的流程，包括收集請(qǐng)求信息、評(píng)估請(qǐng)求的合法性、執(zhí)行請(qǐng)求（如訪問(wèn)、刪除數(shù)據(jù)）并通知乙方。乙方應(yīng)協(xié)助甲方執(zhí)行這些請(qǐng)求，除非法律禁止或限制。5.2甲方應(yīng)在收集個(gè)人資料時(shí)，根據(jù)PDPO要求，以清晰、易懂的語(yǔ)言向數(shù)據(jù)主體說(shuō)明其權(quán)利。第六條監(jiān)管機(jī)構(gòu)合作與合規(guī)審查6.1雙方應(yīng)各自遵守適用于其數(shù)據(jù)跨境傳輸活動(dòng)的所有法律法規(guī)，并應(yīng)配合香港監(jiān)管機(jī)構(gòu)及傳輸目的地監(jiān)管機(jī)構(gòu)依法進(jìn)行的監(jiān)督檢查、調(diào)查取證等工作。6.2雙方應(yīng)向?qū)Ψ郊皶r(shí)通報(bào)任何可能影響本協(xié)議履行或?qū)е路娠L(fēng)險(xiǎn)的監(jiān)管變化。第七條協(xié)議期限與終止7.1本協(xié)議自雙方授權(quán)代表簽字之日起生效，有效期為[在此處插入年限，例如：三年]。期滿前[在此處插入時(shí)間，例如：三個(gè)月]，如雙方無(wú)書(shū)面異議，本協(xié)議自動(dòng)續(xù)展[在此處插入續(xù)展年限，例如：一年]，續(xù)展次數(shù)不限/或直至終止。7.2任何一方可在協(xié)議有效期內(nèi)，提前[在此處插入時(shí)間，例如：三十日]以書(shū)面通知另一方終止本協(xié)議。終止時(shí)，雙方應(yīng)立即停止所有數(shù)據(jù)跨境傳輸活動(dòng)，并按照適用的法律法規(guī)及本協(xié)議約定處理已傳輸至傳輸目的地的個(gè)人資料（如刪除或返回）。7.3協(xié)議終止后，關(guān)于數(shù)據(jù)安全、數(shù)據(jù)主體權(quán)利、保密義務(wù)以及法律法規(guī)規(guī)定的通知義務(wù)等，在本協(xié)議約定的期限內(nèi)或法律法規(guī)規(guī)定的更長(zhǎng)期限內(nèi)仍然有效。第八條保密義務(wù)8.1雙方應(yīng)對(duì)在履行本協(xié)議過(guò)程中獲知的對(duì)方商業(yè)秘密、技術(shù)信息以及個(gè)人資料等保密信息承擔(dān)保密義務(wù)，不得向任何第三方披露（除非為履行本協(xié)議所必需，或法律要求），且僅可為此目的使用該等保密信息。8.2本保密義務(wù)不因本協(xié)議的終止而失效。第九條違約責(zé)任9.1若任何一方違反本協(xié)議的約定，特別是違反關(guān)于數(shù)據(jù)保護(hù)、數(shù)據(jù)安全、傳輸條件或法律合規(guī)的約定，應(yīng)承擔(dān)違約責(zé)任，并賠償因此給對(duì)方及/或第三方造成的直接損失。9.2雙方同意，任何一方未能履行本協(xié)議項(xiàng)下的數(shù)據(jù)保護(hù)義務(wù)，可能導(dǎo)致香港監(jiān)管機(jī)構(gòu)對(duì)其處以罰款或其他行政處罰，由此產(chǎn)生的全部責(zé)任和費(fèi)用由違約方承擔(dān)。第十條不可抗力10.1若因地震、臺(tái)風(fēng)、洪水、火災(zāi)、戰(zhàn)爭(zhēng)、罷工、政府行為、法律變化或其他不可預(yù)見(jiàn)、不能避免且不能克服的不可抗力事件，導(dǎo)致任何一方無(wú)法履行本協(xié)議的部分或全部義務(wù)，該等義務(wù)的履行在不可抗力影響期間應(yīng)予中止。10.2遭遇不可抗力的一方應(yīng)在事件發(fā)生后[在此處插入時(shí)間，例如：十日]內(nèi)書(shū)面通知另一方，說(shuō)明事件詳情及預(yù)期影響。雙方應(yīng)盡合理努力減輕不可抗力的影響，并在事件消除后盡快恢復(fù)履行本協(xié)議。第十一條法律適用與爭(zhēng)議解決11.1本協(xié)議的訂立、效力、解釋、履行及爭(zhēng)議解決均適用中華人民共和國(guó)香港特別行政區(qū)法律。11.2因本協(xié)議引起的或與本協(xié)議有關(guān)的任何爭(zhēng)議，雙方應(yīng)首先通過(guò)友好協(xié)商解決。協(xié)商不成的，任何一方均有權(quán)將爭(zhēng)議提交至[在此處選擇仲裁機(jī)構(gòu)，例如：香港國(guó)際仲裁中心]，按照申請(qǐng)仲裁時(shí)該會(huì)現(xiàn)行有效的仲裁規(guī)則進(jìn)行仲裁。仲裁裁決是終局的，對(duì)雙方均有約束力。/或提交至有管轄權(quán)的人民法院訴訟解決。第十二條其他12.1對(duì)本協(xié)議的任何