企業(yè)年金管理合同（受托人服務(wù)）2025年數(shù)據(jù)安全甲方：[委托人名稱或企業(yè)年金理事會名稱]，以下簡稱“委托人”；住所地：[委托人住所地]；統(tǒng)一社會信用代碼/注冊號：[委托人統(tǒng)一社會信用代碼/注冊號]。乙方：[受托人名稱]，以下簡稱“受托人”；住所地：[受托人住所地]；統(tǒng)一社會信用代碼/注冊號：[受托人統(tǒng)一社會信用代碼/注冊號]。鑒于：1.甲方根據(jù)自身發(fā)展需要，設(shè)立/管理著企業(yè)年金計劃（以下簡稱“計劃”），并委托受托人作為該計劃的服務(wù)受托人提供年金管理服務(wù)；2.甲方和受托人依據(jù)《企業(yè)年金基金管理辦法》、《企業(yè)年金基金合同》、《企業(yè)年金受托人服務(wù)合同》（以下簡稱“原合同”）等相關(guān)法律法規(guī)，設(shè)立本合同，以明確雙方在數(shù)據(jù)安全方面的權(quán)利、義務(wù)和責(zé)任。根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國數(shù)據(jù)安全法》、《中華人民共和國個人信息保護法》及其他相關(guān)法律法規(guī)，經(jīng)雙方友好協(xié)商，達成如下協(xié)議，以資共同遵守：第一條定義除原合同已有定義外，本合同下列詞語具有以下含義：1.1數(shù)據(jù)：指在計劃管理過程中產(chǎn)生、獲取、處理、傳輸、存儲、使用的各類信息，包括但不限于參與人個人信息、參與人身份信息、財務(wù)信息、健康信息（如涉及）、計劃運營信息、商業(yè)秘密、受托人內(nèi)部管理信息以及與計劃管理相關(guān)的其他各類電子數(shù)據(jù)和紙質(zhì)文件。1.2個人信息：指以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。1.3非公開信息：指根據(jù)法律法規(guī)、監(jiān)管規(guī)定、合同約定或商業(yè)習(xí)慣，未經(jīng)授權(quán)不得對外披露的計劃信息、參與人信息及其他商業(yè)敏感信息。1.4數(shù)據(jù)安全事件：指因意外、惡意攻擊、系統(tǒng)故障、人為操作失誤等原因?qū)е聰?shù)據(jù)泄露、丟失、篡改、毀損或非法訪問等，可能或已經(jīng)對數(shù)據(jù)安全造成危害的事件。1.5合規(guī)：指遵守所有適用于數(shù)據(jù)安全、網(wǎng)絡(luò)安全和個人信息保護的中國及境外法律法規(guī)、監(jiān)管規(guī)定和合同約定。第二條保密義務(wù)2.1乙方承認、同意并承諾，對于在履行本合同及相關(guān)計劃管理職責(zé)過程中接觸、知悉或獲取的甲方信息、計劃信息、參與人信息、其他服務(wù)機構(gòu)信息以及乙方自身商業(yè)秘密和內(nèi)部管理信息（以下統(tǒng)稱“保密信息”）均負有嚴格的保密義務(wù)。2.2乙方及其員工、代理人不得以任何方式泄露、披露、使用或允許任何第三方接觸、使用保密信息，但以下情況除外：(a)經(jīng)甲方書面同意；(b)依據(jù)法律法規(guī)、監(jiān)管規(guī)定或司法強制要求進行披露；(c)保密信息已非因乙方原因而進入公有領(lǐng)域；(d)乙方能夠證明在泄露或使用前已合法持有該信息。2.3乙方的保密義務(wù)不因本合同的終止而終止，持續(xù)有效期限為本合同終止后[五]年。2.4乙方應(yīng)建立完善的內(nèi)部管理制度和流程，確保其員工、代理人理解并遵守本條保密義務(wù)，并對違反保密義務(wù)的行為進行嚴肅處理。2.5乙方應(yīng)采取不低于行業(yè)內(nèi)合理且充分的技術(shù)和管理措施，保護保密信息的安全，防止未經(jīng)授權(quán)的訪問、使用、復(fù)制、修改、傳輸或泄露。2.6因履行本合同需要，甲方授權(quán)乙方處理參與人個人信息時，乙方應(yīng)在處理目的、方式、范圍等方面嚴格遵守法律法規(guī)及本合同約定，并承擔相應(yīng)的數(shù)據(jù)安全保護責(zé)任。第三條數(shù)據(jù)安全責(zé)任與措施3.1乙方同意并承諾，將按照不低于中國相關(guān)法律法規(guī)、監(jiān)管規(guī)定及行業(yè)最佳實踐的要求，建立、實施并持續(xù)維護一套合理且充分的、覆蓋數(shù)據(jù)全生命周期的數(shù)據(jù)安全管理體系，以保護計劃數(shù)據(jù)的安全。3.2乙方應(yīng)履行的具體數(shù)據(jù)安全措施包括但不限于：(a)建立健全的數(shù)據(jù)安全管理制度和操作規(guī)程，明確數(shù)據(jù)分類分級、訪問權(quán)限控制、數(shù)據(jù)安全事件應(yīng)急響應(yīng)等要求；(b)對接觸或處理保密信息及個人信息的員工、代理人進行崗前背景調(diào)查和定期的保密及數(shù)據(jù)安全培訓(xùn)；(c)實施嚴格的訪問控制策略，遵循“最小必要”原則，確保任何人員只能訪問其履行職責(zé)所必需的數(shù)據(jù)；(d)對存儲、處理和傳輸?shù)臄?shù)據(jù)（特別是個人信息和非公開計劃數(shù)據(jù)）采取加密等措施，保障數(shù)據(jù)在靜態(tài)和動態(tài)狀態(tài)下的安全；(e)部署并維護必要的技術(shù)防護設(shè)施，如防火墻、入侵檢測/防御系統(tǒng)、安全審計系統(tǒng)等，定期進行安全風(fēng)險評估和漏洞掃描，及時修復(fù)發(fā)現(xiàn)的安全隱患；(f)建立數(shù)據(jù)備份和恢復(fù)機制，確保在發(fā)生數(shù)據(jù)丟失或系統(tǒng)故障時能夠及時恢復(fù)；(g)制定詳細的數(shù)據(jù)安全事件應(yīng)急預(yù)案，并定期組織演練，確保在事件發(fā)生時能夠有效響應(yīng)和處置；(h)對第三方服務(wù)提供商（如IT系統(tǒng)供應(yīng)商、數(shù)據(jù)處理商等）進行嚴格的選擇和資質(zhì)審查，并在合同中明確其在數(shù)據(jù)安全方面的責(zé)任，同時對其數(shù)據(jù)處理活動進行持續(xù)的監(jiān)督和管理。3.3乙方應(yīng)確保其數(shù)據(jù)處理活動、信息系統(tǒng)和安全管理措施持續(xù)符合《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個人信息保護法》等相關(guān)法律法規(guī)及監(jiān)管機構(gòu)的要求。第四條數(shù)據(jù)處理與傳輸4.1乙方在處理個人信息時，應(yīng)遵循合法、正當、必要、誠信原則，明確處理目的、方式、范圍，并取得必要的個人同意（如適用）。4.2乙方在處理數(shù)據(jù)時，應(yīng)采取必要的技術(shù)和管理措施，保障數(shù)據(jù)處理的準確性、完整性和安全性。4.3如因計劃管理需要，必須將數(shù)據(jù)傳輸至境外服務(wù)器或由境外服務(wù)商處理時，乙方應(yīng)事先取得甲方的書面同意，并確保：(a)傳輸或處理所涉及的國家或地區(qū)提供與其數(shù)據(jù)處理活動相關(guān)的充分的數(shù)據(jù)保護水平；或(b)與境外接收方或處理方簽訂包含嚴格數(shù)據(jù)安全保護條款的法律文件（如標準合同條款、具有法律約束力的保證書等），確保其數(shù)據(jù)處理活動符合中國相關(guān)法律法規(guī)要求。乙方應(yīng)將采取的保障措施及相關(guān)證明文件報甲方備案。4.4乙方應(yīng)避免過度收集、長時間存儲個人數(shù)據(jù)，并在達成處理目的、數(shù)據(jù)保存期限屆滿、取得個人同意撤銷或法律規(guī)定的其他情形下，及時刪除或匿名化處理個人信息。第五條數(shù)據(jù)主體權(quán)利響應(yīng)5.1乙方應(yīng)建立暢通的渠道，接收并處理參與人關(guān)于其個人信息的查詢、訪問、更正、刪除等請求。5.2對于參與人的權(quán)利請求，乙方應(yīng)在法律法規(guī)規(guī)定的時限內(nèi)（通常為收到請求后[三十]個工作日內(nèi)），進行核實，并按請求內(nèi)容進行處理或告知理由。5.3乙方在響應(yīng)參與人權(quán)利請求時，應(yīng)確保內(nèi)部相關(guān)部門（如計劃服務(wù)部門、信息技術(shù)部門、法律合規(guī)部門等）有效協(xié)同，并可能需要與其他服務(wù)機構(gòu)（如托管人、投資管理人）協(xié)調(diào)。第六條數(shù)據(jù)安全事件通知6.1乙方應(yīng)建立數(shù)據(jù)安全事件監(jiān)測、評估、響應(yīng)和通知機制。6.2發(fā)生或可能發(fā)生數(shù)據(jù)安全事件時，乙方應(yīng)立即啟動應(yīng)急預(yù)案，采取控制措施，防止事件影響范圍擴大或損害擴大。6.3在確定發(fā)生數(shù)據(jù)安全事件后，乙方應(yīng)在[四十八]小時內(nèi)通知甲方（或其指定的聯(lián)絡(luò)人），并在[十]個工作日內(nèi)提交事件初步報告（包括事件概述、影響評估、已采取措施等）。6.4如事件屬于《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個人信息保護法》等法律法規(guī)規(guī)定的重大數(shù)據(jù)安全事件，乙方應(yīng)按照相關(guān)要求，在規(guī)定時限內(nèi)向中國證監(jiān)會及相關(guān)監(jiān)管部門報告。6.5乙方應(yīng)配合甲方、監(jiān)管部門及任何有權(quán)機構(gòu)對數(shù)據(jù)安全事件的調(diào)查，并根據(jù)要求提供相關(guān)證據(jù)材料和說明。第七條合規(guī)性要求7.1乙方確認并承諾，其在本合同項下的所有數(shù)據(jù)處理活動均應(yīng)嚴格遵守中國及計劃所在地（如適用）的所有適用的數(shù)據(jù)安全、網(wǎng)絡(luò)安全和個人信息保護法律法規(guī)及監(jiān)管規(guī)定。7.2乙方應(yīng)接受并配合甲方的合規(guī)審查或第三方審計機構(gòu)對其數(shù)據(jù)安全管理體系和數(shù)據(jù)處理活動的審計，并按要求提供相關(guān)信息和資料。第八條終止與數(shù)據(jù)處置8.1本合同終止時，乙方應(yīng)立即停止所有與計劃相關(guān)的數(shù)據(jù)處理活動。8.2對于在本合同終止時乙方持有的參與人個人信息及其他保密信息，乙方應(yīng)根據(jù)甲方的書面要求，在[十]個工作日內(nèi)完成以下一項或兩項操作：(a)將相關(guān)數(shù)據(jù)安全返回給甲方指定的人員或系統(tǒng)；(b)按照甲方的要求進行銷毀處理，確保數(shù)據(jù)被永久刪除且無法恢復(fù)或重新識別。8.3乙方在執(zhí)行數(shù)據(jù)刪除或銷毀操作后，應(yīng)向甲方提供書面確認文件。第九條違約責(zé)任9.1任何一方違反本合同項下的保密義務(wù)，給對方造成損失的，應(yīng)承擔賠償責(zé)任。9.2乙方未能履行本合同第三條、第四條、第五條、第六條關(guān)于數(shù)據(jù)安全保護的責(zé)任和義務(wù)，或未能遵守相關(guān)法律法規(guī)及監(jiān)管規(guī)定的，甲方有權(quán)要求乙方立即糾正，并可根據(jù)情節(jié)嚴重程度，要求乙方承擔違約責(zé)任，包括但不限于支付違約金、賠償損失等。違約金的計算方式為[具體違約金計算標準，如：違約行為發(fā)生時計劃資產(chǎn)規(guī)模的萬分之X]，但累計違約金不超過計劃資產(chǎn)規(guī)模的[百分比]%。若乙方違約行為導(dǎo)致甲方或參與人遭受監(jiān)管處罰或聲譽損失的，乙方應(yīng)承擔全部賠償責(zé)任。9.3因乙方原因?qū)е聰?shù)據(jù)安全事件，并給甲方或參與人造成損失的，乙方應(yīng)承擔相應(yīng)的賠償責(zé)任。第十條爭議解決本合同項下發(fā)生的任何爭議，雙方應(yīng)首先通過友好協(xié)商解決；協(xié)商不成的，任何一方均有權(quán)向[甲方所在地/合同履行地]有管轄權(quán)的人民法院提起訴訟。第十一條通知與送達與本合同有關(guān)的所有通知、請求、文件等均應(yīng)以書面形式，通過專人遞送、掛號信、傳真、電子郵件等方式送達至本合同首部載明的地址或雙方另行書面指定的地址。以專人遞送方式發(fā)出的，簽收日為送達日；以掛號信方式發(fā)出的，寄出后[七]天為送達日；以傳真或電子郵件方式發(fā)出的，發(fā)出當日為送達日。任何一方變更聯(lián)系方式，應(yīng)提前[五]日書面通知對方。第十二條其他12.1本合同構(gòu)成雙方關(guān)于數(shù)據(jù)安全事宜的完整協(xié)議