2026年個人數(shù)據(jù)委托處理協(xié)議協(xié)議編號：[協(xié)議編號]簽訂日期：[簽訂日期]簽訂地點：[簽訂地點]數(shù)據(jù)控制者（以下簡稱“委托方”）：法定代表人/授權(quán)代表：[姓名]職務(wù)：[職務(wù)]注冊地址：[注冊地址]聯(lián)系方式：[聯(lián)系方式]數(shù)據(jù)處理者（以下簡稱“處理方”）：法定代表人/授權(quán)代表：[姓名]職務(wù)：[職務(wù)]注冊地址：[注冊地址]聯(lián)系方式：[聯(lián)系方式]鑒于：1.委托方因業(yè)務(wù)需要，希望委托處理方處理其控制的個人數(shù)據(jù)；2.處理方具備處理個人數(shù)據(jù)所需的技術(shù)能力、組織架構(gòu)和安全措施，同意接受委托方的委托；3.雙方希望依據(jù)適用的數(shù)據(jù)保護法律和法規(guī)，特別是[請?zhí)顚戇m用的主要法規(guī)，如歐盟通用數(shù)據(jù)保護條例（GDPR）、中國《個人信息保護法》等]，明確雙方在個人數(shù)據(jù)處理活動中的權(quán)利和義務(wù)。根據(jù)《中華人民共和國民法典》、《中華人民共和國個人信息保護法》及[請?zhí)顚戇m用的其他主要法規(guī)]等相關(guān)法律法規(guī)的規(guī)定，雙方經(jīng)友好協(xié)商，達成如下協(xié)議，以資共同遵守：第一條定義與解釋除非本協(xié)議上下文另有明確說明，下列術(shù)語具有以下含義：1.1個人數(shù)據(jù)是指任何與已識別或可識別的自然人有關(guān)的信息，即可識別的自然人，是指通過自然人的姓名、出生日期或者身份證件號碼等單獨或者與其他信息結(jié)合能夠識別特定自然人的信息。1.2數(shù)據(jù)處理是指對個人數(shù)據(jù)進行收集、存儲、使用、加工、傳輸、提供、公開、刪除等操作。1.3數(shù)據(jù)控制者是指確定個人數(shù)據(jù)處理目的和方式的自然人、法人或者其他組織。1.4數(shù)據(jù)處理者是指根據(jù)數(shù)據(jù)控制者的指示處理個人數(shù)據(jù)的自然人、法人或者其他組織。1.5數(shù)據(jù)主體是指個人數(shù)據(jù)的控制者或處理者所處理的、能夠識別特定自然人的個人數(shù)據(jù)所關(guān)聯(lián)的自然人。1.6子處理者是指處理方委托處理部分或全部個人數(shù)據(jù)給第三方處理者，該第三方為受托處理者。1.7數(shù)據(jù)安全是指采取必要的技術(shù)和管理措施，確保個人數(shù)據(jù)在存儲、使用、傳輸、刪除等處理過程中保持安全，防止數(shù)據(jù)泄露、丟失、被篡改或未經(jīng)授權(quán)訪問。1.8數(shù)據(jù)泄露是指未經(jīng)授權(quán)的訪問、披露、丟失、篡改或未經(jīng)授權(quán)的獲取個人數(shù)據(jù)的事件。第二條協(xié)議主體與范圍2.1本協(xié)議由委托方和處理方共同簽訂。2.2委托方是本協(xié)議項下個人數(shù)據(jù)的控制者。2.3處理方是本協(xié)議項下個人數(shù)據(jù)的處理者，并根據(jù)本協(xié)議約定和處理方的指示處理個人數(shù)據(jù)。2.4本協(xié)議適用的個人數(shù)據(jù)處理范圍包括但不限于：2.4.1處理的個人數(shù)據(jù)類型：[請具體列明，例如：姓名、身份證號碼、聯(lián)系方式、電子郵箱地址、地址等]2.4.2處理的目的：[請具體列明，例如：履行與委托方簽訂的[合同名稱]合同、客戶關(guān)系管理、市場營銷、風險控制等]2.4.3處理的方式：[請具體列明，例如：收集、存儲、查詢、修改、刪除、傳輸、提供等]2.4.4涉及的個人主體地域范圍：[請明確，例如：僅限于中國境內(nèi)、或特定國家/地區(qū)]第三條委托處理基礎(chǔ)與目的3.1委托方保證其處理個人數(shù)據(jù)的法律依據(jù)為[請選擇并填寫，例如：本人的同意、履行雙方簽訂的[合同名稱]合同所必需、為履行法律規(guī)定的義務(wù)、為保護本人或其他自然人的重大利益、為公共利益或行使官方權(quán)力所必需、基于委托方的合法利益且本人不同意則無法實現(xiàn)該利益]。3.2處理方僅能根據(jù)委托方的指示處理個人數(shù)據(jù)，處理活動不得超出委托方聲明的處理目的范圍。第四條數(shù)據(jù)控制者與數(shù)據(jù)處理者的職責劃分4.1委托方的責任：4.1.1確定個人數(shù)據(jù)的處理目的、方式和范圍，并確保處理目的的合法性。4.1.2確保其指定的處理活動的處理基礎(chǔ)具有法律依據(jù)。4.1.3提供必要的個人數(shù)據(jù)信息、處理目的說明以及相關(guān)法律法規(guī)要求的說明，以便處理方履行處理職責。4.1.4指示處理方處理個人數(shù)據(jù)，并監(jiān)督處理方的處理活動是否按照本協(xié)議約定進行。4.1.5采取必要措施保障其控制的個人數(shù)據(jù)的安全。4.1.6根據(jù)法律法規(guī)要求及本協(xié)議約定，履行對數(shù)據(jù)主體的通知、刪除、限制處理等義務(wù)。4.1.7在發(fā)生或可能發(fā)生個人數(shù)據(jù)泄露時，及時通知處理方。4.1.8對處理方的處理活動進行監(jiān)督和審計，并要求處理方配合。4.2處理方的責任：4.2.1僅按照委托方的指示處理個人數(shù)據(jù)，不得擅自變更處理目的或方式。4.2.2確保處理活動的處理基礎(chǔ)符合委托方的合法基礎(chǔ)。4.2.3采取符合本協(xié)議約定及適用法律法規(guī)要求的技術(shù)和管理措施，保障個人數(shù)據(jù)的安全。4.2.4除本協(xié)議另有約定或法律法規(guī)要求外，未經(jīng)委托方書面同意，不得將委托處理的個人數(shù)據(jù)用于任何其他目的，不得將個人數(shù)據(jù)傳輸至委托方未書面同意的國家或地區(qū)。4.2.5根據(jù)委托方的指示，協(xié)助委托方履行對數(shù)據(jù)主體的通知、刪除、限制處理等義務(wù)。4.2.6在發(fā)生或懷疑發(fā)生個人數(shù)據(jù)泄露時，立即通知委托方，并協(xié)助委托方進行調(diào)查、評估和補救。4.2.7應(yīng)委托方的要求，提供必要的記錄和證據(jù)，以證明其履行了本協(xié)議項下的處理義務(wù)和安全保障義務(wù)。4.2.8允許委托方或其指定的第三方對其處理個人數(shù)據(jù)的活動進行審計，并提供必要的協(xié)助。4.2.9對在處理過程中獲取的委托方及個人的商業(yè)秘密和個人數(shù)據(jù)信息承擔保密義務(wù)。4.2.10委托方授權(quán)處理方使用其名義處理個人數(shù)據(jù)所必需的委托方標識，處理方不得將其自身或子處理者的標識用于超出授權(quán)范圍的個人數(shù)據(jù)處理活動。第五條數(shù)據(jù)處理者的義務(wù)5.1按指示處理：處理方必須嚴格遵守委托方的指示進行個人數(shù)據(jù)處理，任何與指示不符的處理活動需事先獲得委托方的書面同意。5.2數(shù)據(jù)安全：處理方應(yīng)實施并保持充分的技術(shù)和組織措施，包括但不限于：5.2.1采取加密、訪問控制、安全審計等技術(shù)措施保護個人數(shù)據(jù)；5.2.2建立數(shù)據(jù)備份和恢復機制；5.2.3對接觸個人數(shù)據(jù)的員工進行數(shù)據(jù)保護培訓和保密教育；5.2.4定期對其數(shù)據(jù)安全措施的有效性進行評估和測試。5.2.5確保其子處理者也遵守相應(yīng)的數(shù)據(jù)安全要求。5.3數(shù)據(jù)主體權(quán)利響應(yīng)：處理方應(yīng)根據(jù)委托方的授權(quán)和指示，協(xié)助委托方處理數(shù)據(jù)主體關(guān)于其個人數(shù)據(jù)的訪問請求、更正請求、刪除請求、限制處理請求、數(shù)據(jù)可攜帶請求、反對自動化決策請求等，并及時向委托方反饋處理結(jié)果。5.4數(shù)據(jù)泄露通知：一旦發(fā)生個人數(shù)據(jù)泄露事件，處理方應(yīng)在事件發(fā)生后[例如：72]小時內(nèi)通知委托方，并告知泄露的相關(guān)情況（如泄露原因、影響范圍、已采取措施等）。處理方應(yīng)配合委托方進行調(diào)查、補救和通知數(shù)據(jù)主體及監(jiān)管機構(gòu)（如適用）。5.5協(xié)助審計：在收到委托方或其授權(quán)第三方的審計通知后，處理方應(yīng)在[例如：30]日內(nèi)提供必要的文檔、記錄和系統(tǒng)訪問權(quán)限，以供審計。5.6保密義務(wù)：處理方及其員工、代理人、顧問等任何接觸個人數(shù)據(jù)的人員，均有義務(wù)對在履行本協(xié)議過程中獲知的委托方及個人的商業(yè)秘密和個人數(shù)據(jù)信息承擔保密義務(wù)，該保密義務(wù)不因本協(xié)議的終止而終止。5.7數(shù)據(jù)轉(zhuǎn)移限制：處理方承諾，未經(jīng)委托方事先書面同意，不得將委托處理的個人數(shù)據(jù)用于與約定目的不符的其他用途，不得將個人數(shù)據(jù)傳輸至數(shù)據(jù)控制者未事先書面同意的國家或地區(qū)。如需傳輸，處理方應(yīng)確保采取適當?shù)谋Ｕ洗胧ㄈ绔@得充分性認定、使用標準合同條款、獲得數(shù)據(jù)主體的明確同意等）。5.8子處理者：5.8.1任何情況下，處理方在委托處理部分或全部個人數(shù)據(jù)給子處理者前，應(yīng)事先獲得委托方的書面同意。5.8.2處理方對子處理者的行為及其違反本協(xié)議的行為承擔連帶責任。5.8.3處理方應(yīng)要求子處理者遵守不低于本協(xié)議規(guī)定的數(shù)據(jù)安全要求和保密義務(wù)，并監(jiān)督其合規(guī)性。5.8.4處理方應(yīng)向委托方提供其子處理者的信息清單，包括子處理者的名稱、地址、處理活動類型、與委托方及處理方的關(guān)系、以及處理個人數(shù)據(jù)的依據(jù)等。第六條數(shù)據(jù)安全要求6.1處理方承諾采取并持續(xù)維護不低于行業(yè)標準且符合適用法律法規(guī)要求的數(shù)據(jù)安全措施，以保護個人數(shù)據(jù)免遭未經(jīng)授權(quán)或非法的處理，包括但不限于防止數(shù)據(jù)泄露、丟失、篡改或未經(jīng)授權(quán)訪問。6.2具體安全措施包括但不限于：物理安全環(huán)境、網(wǎng)絡(luò)安全防護、數(shù)據(jù)訪問權(quán)限控制、數(shù)據(jù)加密（傳輸中和靜態(tài)存儲）、安全事件監(jiān)控與日志記錄、數(shù)據(jù)脫敏（如適用）、定期安全風險評估等。6.3處理方應(yīng)每年或根據(jù)委托方的要求，提交其數(shù)據(jù)安全措施的有效性評估報告。第七條數(shù)據(jù)主體權(quán)利履行7.1委托方負責建立并維護處理個人數(shù)據(jù)所必需的記錄，以證明其處理活動的合法性、目的、方式等。7.2處理方應(yīng)建立內(nèi)部流程，根據(jù)委托方的指示響應(yīng)數(shù)據(jù)主體的訪問、更正、刪除等請求，并將處理結(jié)果及時告知委托方，由委托方向數(shù)據(jù)主體作出響應(yīng)。7.3處理方應(yīng)協(xié)助委托方進行數(shù)據(jù)主體權(quán)利影響評估，并根據(jù)委托方的指示采取措施。第八條數(shù)據(jù)泄露事件處理8.1發(fā)生或懷疑發(fā)生個人數(shù)據(jù)泄露事件時，處理方應(yīng)立即啟動應(yīng)急響應(yīng)預案。8.2處理方應(yīng)在事件發(fā)生后[例如：72]小時內(nèi)，以書面形式通知委托方，報告事件的基本情況、影響范圍、已采取或擬采取的補救措施等。8.3雙方應(yīng)合作開展事件調(diào)查，評估事件影響，并采取必要的補救措施，包括通知數(shù)據(jù)主體、向監(jiān)管機構(gòu)報告等。處理方應(yīng)配合委托方履行相關(guān)義務(wù)。第九條數(shù)據(jù)傳輸與跨境處理9.1如本協(xié)議項下的個人數(shù)據(jù)處理涉及跨境傳輸，處理方應(yīng)確保遵守所有適用的法律法規(guī)要求?？缇硞鬏攽?yīng)基于[請選擇并填寫，例如：適用的充分性認定、經(jīng)委托方書面同意、采用標準合同條款、采用具有約束力的公司規(guī)則等]。9.2處理方應(yīng)將采取的跨境傳輸保障措施告知委托方，并接受委托方的監(jiān)督。第十條數(shù)據(jù)返還或銷毀10.1本協(xié)議終止時，或委托方要求提前終止時，處理方應(yīng)根據(jù)委托方的書面指示，在終止后[例如：15]日內(nèi)完成以下一項或兩項操作：10.1.1將委托處理的個人數(shù)據(jù)安全地返還給委托方。10.1.2在委托方書面指示下，安全刪除相關(guān)個人數(shù)據(jù)，并應(yīng)委托方要求提供刪除證明。10.2處理方在返還或刪除數(shù)據(jù)后，應(yīng)根據(jù)委托方的指示，銷毀所有與該等個人數(shù)據(jù)相關(guān)的其他記錄和副本，除非法律法規(guī)另有規(guī)定。10.3如因法律規(guī)定要求處理方保留個人數(shù)據(jù)，處理方應(yīng)及時通知委托方，并僅在法律要求期間內(nèi)保留該等數(shù)據(jù)。第十一條責任與賠償11.1處理方對因違反本協(xié)議約定（特別是違反數(shù)據(jù)安全義務(wù)和指示處理義務(wù)）而導致委托方或數(shù)據(jù)主體遭受的直接損失承擔責任，但處理方的賠償責任在任何情況下均不超過因該違約行為直接導致的、在簽訂本協(xié)議時可預見的損失總額。11.2處理方的賠償責任以[例如：人民幣[金額]元]為上限。此上限不適用于因處理方故意或重大過失導致的數(shù)據(jù)泄露，或因處理方違反保密義務(wù)導致委托方商業(yè)秘密泄露的情形。11.3委托方對因其自身原因、指示或違反其自身義務(wù)所造成的損失，自行承擔責任。11.4雙方同意，任何一方根據(jù)本協(xié)議請求另一方承擔賠償責任時，應(yīng)給予對方合理的準備時間，以便對方處理相關(guān)事宜。在訴訟或仲裁期間，非敗訴方應(yīng)承擔勝訴方為實現(xiàn)訴訟或仲裁目的所支出的合理費用（包括但不限于律師費、訴訟費、仲裁費）。11.5本協(xié)議中關(guān)于責任限制的條款不影響委托方根據(jù)法律法規(guī)直接享有的權(quán)利。第十二條協(xié)議期限與終止12.1本協(xié)議自雙方授權(quán)代表簽字并加蓋公章（或合同專用章）之日起生效，有效期為[例如：一年/具體年限]。12.2協(xié)議期滿前[例如：一個月]，如雙方均未提出書面異議，本協(xié)議自動續(xù)展[例如：一年]，續(xù)展次數(shù)不限/或約定續(xù)展次數(shù)。12.3任何一方可在協(xié)議有效期內(nèi)，提前[例如：30]日以書面形式通知對方終止本協(xié)議。提前終止不影響通知方根據(jù)本協(xié)議已產(chǎn)生的權(quán)利和義務(wù)。12.4發(fā)生以下情況之一，守約方有權(quán)立即終止本協(xié)議，并要求違約方承擔違約責任：12.4.1一方嚴重違反本協(xié)議約定，且在收到守約方書面通知后[例如：15]日內(nèi)未能糾正；12.4.2一方進入破產(chǎn)、清算或解散程序；12.4.3一方違反其在本協(xié)議項下的保密義務(wù)，給對方造成重大損失。12.5無論因何種原因終止本協(xié)議，第第五條（數(shù)據(jù)處理者的義務(wù)）、第第六條（數(shù)據(jù)安全要求）、第第十條（數(shù)據(jù)返還或銷毀）、第十一條（責任與賠償）、第十三條（保密）、第十四條（法律適用與爭議解決）、第十五條（通知）、第十六條（完整協(xié)議與修訂）、第十七條（可分割性）和第十八條（適用法律與爭議解決）的規(guī)定在本協(xié)議終止后繼續(xù)有效。第十三條保密條款13.1雙方同意對在履行本協(xié)議過程中獲知的對方的商業(yè)秘密（包括但不限于技術(shù)信息、經(jīng)營信息、客戶信息等）和個人數(shù)據(jù)信息承擔嚴格的保密義務(wù)。13.2未經(jīng)對方事先書面同意，任何一方不得向任何第三方披露該等保密信息，但法律法規(guī)要求披露或已公開的信息、或已從公開渠道合法獲取的信息、或已為該方合法持有的信息除外。13.3本保密義務(wù)不因本協(xié)議的終止而終止，持續(xù)有效期限為本協(xié)議終止后[例如：五]年。第十四條法律適用與爭議解決14.1本協(xié)議的訂立、效力、解釋、履行及爭議解決均適用中華人民共和國法律。14.2因本協(xié)議引起的或與本協(xié)議有關(guān)的任何爭議，雙方應(yīng)首先通過友好協(xié)商解決。協(xié)商不成的，任何一方均有權(quán)向[請選擇并明確：委托方所在地有管轄權(quán)的人民法院提起訴訟或提交[仲裁委員會名稱]按照其屆時有效的仲裁規(guī)則進行仲裁]。第十五條通知15.1與本協(xié)