2025年文具企業(yè)集采數(shù)據(jù)安全合同協(xié)議鑒于甲方擬開(kāi)展2025年度文具企業(yè)集中采購(gòu)活動(dòng)（以下簡(jiǎn)稱“集采活動(dòng)”），需要處理相關(guān)數(shù)據(jù)，并委托乙方提供相關(guān)服務(wù)（如數(shù)據(jù)接入、處理、存儲(chǔ)、分析等），為明確雙方在數(shù)據(jù)處理活動(dòng)中的權(quán)利與義務(wù)，保障數(shù)據(jù)安全，根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、《中華人民共和國(guó)數(shù)據(jù)安全法》、《中華人民共和國(guó)個(gè)人信息保護(hù)法》等相關(guān)法律法規(guī)，雙方經(jīng)友好協(xié)商，達(dá)成如下協(xié)議：第一條數(shù)據(jù)定義與范圍1.1本協(xié)議所稱“數(shù)據(jù)”是指任何以電子或者其他方式記錄的與集采活動(dòng)相關(guān)的信息，包括但不限于：(1)供應(yīng)商信息：供應(yīng)商的名稱、地址、聯(lián)系方式、統(tǒng)一社會(huì)信用代碼、營(yíng)業(yè)執(zhí)照、行業(yè)資質(zhì)、銀行賬戶信息、產(chǎn)品目錄、報(bào)價(jià)信息、履約能力證明等；(2)產(chǎn)品信息：文具產(chǎn)品的名稱、規(guī)格型號(hào)、材質(zhì)、生產(chǎn)工藝、技術(shù)參數(shù)、質(zhì)量標(biāo)準(zhǔn)、價(jià)格、庫(kù)存量等；(3)訂單信息：采購(gòu)訂單號(hào)、采購(gòu)產(chǎn)品、數(shù)量、單價(jià)、總價(jià)、交付時(shí)間、交付地址、收貨人信息等；(4)交易記錄：歷史采購(gòu)訂單、合同簽訂、履行、付款等記錄；(5)合同文本：與供應(yīng)商簽訂的采購(gòu)合同、保密協(xié)議等；(6)內(nèi)部數(shù)據(jù)：甲方及其員工在開(kāi)展集采活動(dòng)中產(chǎn)生的內(nèi)部管理信息，如用戶名、密碼（加密存儲(chǔ)）、權(quán)限設(shè)置、審批記錄等；(7)敏感個(gè)人信息：在數(shù)據(jù)處理過(guò)程中可能接觸到的供應(yīng)商人員或甲方員工的姓名、身份證號(hào)碼、手機(jī)號(hào)碼、郵箱地址等敏感個(gè)人信息；(8)其他數(shù)據(jù)：在集采活動(dòng)過(guò)程中產(chǎn)生的其他各類數(shù)據(jù)，包括但不限于日志數(shù)據(jù)、分析數(shù)據(jù)、統(tǒng)計(jì)數(shù)據(jù)等。1.2雙方確認(rèn)，本協(xié)議所指數(shù)據(jù)包含經(jīng)營(yíng)數(shù)據(jù)、交易數(shù)據(jù)、供應(yīng)商數(shù)據(jù)、內(nèi)部數(shù)據(jù)等，并根據(jù)數(shù)據(jù)處理的目的和風(fēng)險(xiǎn)等級(jí)進(jìn)行分類分級(jí)管理。其中，涉及敏感個(gè)人信息和重要數(shù)據(jù)的，應(yīng)采取更高級(jí)別的安全保護(hù)措施。第二條數(shù)據(jù)安全基本原則2.1甲方和乙方在數(shù)據(jù)處理活動(dòng)中均應(yīng)遵循合法、正當(dāng)、必要、誠(chéng)信、公開(kāi)透明的原則。2.2數(shù)據(jù)處理活動(dòng)應(yīng)遵循目的限制原則，數(shù)據(jù)處理的目的應(yīng)與約定目的一致，不得超出約定范圍使用數(shù)據(jù)。2.3數(shù)據(jù)處理活動(dòng)應(yīng)遵循最小必要原則，僅收集和處理為達(dá)成約定目的所必需的數(shù)據(jù)。2.4雙方應(yīng)采取必要的技術(shù)和管理措施，確保數(shù)據(jù)的安全，防止數(shù)據(jù)泄露、篡改、丟失或被非法使用。2.5雙方應(yīng)確保數(shù)據(jù)的準(zhǔn)確性、完整性和時(shí)效性，并根據(jù)實(shí)際情況進(jìn)行更新和維護(hù)。第三條甲乙雙方數(shù)據(jù)安全責(zé)任3.1甲方的責(zé)任：(1)甲方對(duì)自身處理的數(shù)據(jù)安全負(fù)總責(zé)，建立健全數(shù)據(jù)安全管理制度和操作規(guī)程，并根據(jù)數(shù)據(jù)分類分級(jí)制定相應(yīng)的安全策略。(2)甲方負(fù)責(zé)對(duì)其收集、存儲(chǔ)、使用的數(shù)據(jù)進(jìn)行分類分級(jí)，并采取相應(yīng)的安全保護(hù)措施。(3)甲方負(fù)責(zé)對(duì)乙方及其人員進(jìn)行數(shù)據(jù)處理活動(dòng)的授權(quán)管理，明確乙方及其人員的訪問(wèn)權(quán)限和數(shù)據(jù)使用范圍，并定期進(jìn)行審查。(4)甲方向乙方提供數(shù)據(jù)前，應(yīng)確保數(shù)據(jù)的合法性，并明確告知乙方數(shù)據(jù)的使用目的、范圍和方式。(5)甲方有權(quán)對(duì)乙方數(shù)據(jù)處理活動(dòng)進(jìn)行監(jiān)督、檢查和審計(jì)，乙方應(yīng)予以配合，并提供必要的協(xié)助。(6)發(fā)生或可能發(fā)生數(shù)據(jù)泄露、篡改、丟失等安全事件時(shí)，甲方有權(quán)立即要求乙方采取應(yīng)急處置措施，并有權(quán)要求乙方告知相關(guān)情況。(7)甲方應(yīng)根據(jù)法律法規(guī)要求及本協(xié)議約定，履行數(shù)據(jù)出境安全評(píng)估、個(gè)人信息保護(hù)影響評(píng)估等相關(guān)義務(wù)。3.2乙方的責(zé)任：(1)乙方應(yīng)嚴(yán)格履行本協(xié)議約定，按照甲方的明確指示處理數(shù)據(jù)，并僅用于本協(xié)議約定的目的。(2)乙方對(duì)獲取的甲方數(shù)據(jù)、商業(yè)秘密等承擔(dān)嚴(yán)格的保密義務(wù)，不得以任何方式泄露、篡改、毀損或用于本協(xié)議約定外的目的。(3)乙方應(yīng)采取與數(shù)據(jù)安全風(fēng)險(xiǎn)相匹配的技術(shù)和管理措施，保障數(shù)據(jù)安全，包括但不限于：(a)對(duì)傳輸和存儲(chǔ)的數(shù)據(jù)進(jìn)行加密處理；(b)實(shí)施嚴(yán)格的訪問(wèn)控制，遵循“最小權(quán)限”原則，對(duì)乙方及其人員進(jìn)行身份認(rèn)證和權(quán)限管理；(c)定期進(jìn)行安全漏洞掃描、風(fēng)險(xiǎn)評(píng)估和修復(fù)，部署防火墻、入侵檢測(cè)等安全設(shè)備；(d)保障服務(wù)器、存儲(chǔ)設(shè)備等物理環(huán)境的安全；(e)制定并執(zhí)行數(shù)據(jù)處理操作規(guī)范，防止數(shù)據(jù)交叉污染；(f)記錄數(shù)據(jù)處理活動(dòng)日志，便于追溯；(g)建立數(shù)據(jù)備份和恢復(fù)機(jī)制，確保數(shù)據(jù)的可用性。(4)乙方應(yīng)確保其提供的數(shù)據(jù)處理系統(tǒng)符合約定的安全標(biāo)準(zhǔn)，并保持系統(tǒng)的穩(wěn)定性、可用性。(5)若乙方需要委托第三方處理數(shù)據(jù)，應(yīng)事先取得甲方的書面同意，并要求該第三方簽訂數(shù)據(jù)處理協(xié)議，確保該第三方履行不低于本協(xié)議約定要求的安全義務(wù)。(6)乙方應(yīng)確保其數(shù)據(jù)處理活動(dòng)符合中國(guó)相關(guān)法律法規(guī)的要求，并應(yīng)甲方要求提供相關(guān)合規(guī)證明。(7)發(fā)生或可能發(fā)生數(shù)據(jù)泄露、篡改、丟失等安全事件時(shí)，乙方應(yīng)立即通知甲方，并積極配合甲方進(jìn)行應(yīng)急處置和調(diào)查。(8)協(xié)議終止或服務(wù)結(jié)束后，乙方應(yīng)按照甲方要求返還所有包含甲方數(shù)據(jù)的載體，或在甲方監(jiān)督下安全銷毀甲方數(shù)據(jù)，并可能需要提供銷毀證明。第四條數(shù)據(jù)處理活動(dòng)規(guī)范4.1乙方對(duì)甲方的數(shù)據(jù)訪問(wèn)和操作權(quán)限，由甲方根據(jù)業(yè)務(wù)需要明確授權(quán)，乙方應(yīng)嚴(yán)格限制在授權(quán)范圍內(nèi)使用數(shù)據(jù)。4.2乙方處理甲方數(shù)據(jù)僅限于支持甲方開(kāi)展集采活動(dòng)的約定目的，不得超出約定目的范圍使用數(shù)據(jù)。4.3甲方和乙方約定數(shù)據(jù)傳輸必須使用加密通道（如SSL/TLS），并明確數(shù)據(jù)傳輸?shù)穆窂胶头绞健?.4甲方和乙方約定數(shù)據(jù)存儲(chǔ)應(yīng)在中國(guó)境內(nèi)進(jìn)行，并采取相應(yīng)的安全保護(hù)措施。如確需將數(shù)據(jù)傳輸至境外，應(yīng)事先取得甲方的書面同意，并確保符合《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》等關(guān)于數(shù)據(jù)出境的法律法規(guī)要求，并按照規(guī)定進(jìn)行安全評(píng)估、獲得認(rèn)證或訂立標(biāo)準(zhǔn)合同等。4.5未經(jīng)甲方書面同意，乙方不得向任何第三方共享或提供甲方數(shù)據(jù)，除非法律法規(guī)另有規(guī)定或獲得甲方明確授權(quán)。4.6雙方應(yīng)建立數(shù)據(jù)訪問(wèn)和操作的審計(jì)機(jī)制，記錄關(guān)鍵數(shù)據(jù)訪問(wèn)和操作日志，并保留一定期限。第五條數(shù)據(jù)安全事件與應(yīng)急響應(yīng)5.1雙方同意，本協(xié)議所稱數(shù)據(jù)安全事件是指因自然災(zāi)害、事故、人為攻擊、系統(tǒng)故障等原因?qū)е碌臄?shù)據(jù)泄露、篡改、丟失、被非法使用等事件。5.2發(fā)生數(shù)據(jù)安全事件時(shí)，乙方應(yīng)在知曉事件后四小時(shí)內(nèi)通知甲方，并立即采取應(yīng)急處置措施，防止事件擴(kuò)大。5.3雙方應(yīng)建立數(shù)據(jù)安全事件應(yīng)急響應(yīng)機(jī)制，明確事件報(bào)告、處置、調(diào)查、補(bǔ)救等流程，并定期進(jìn)行演練。5.4雙方應(yīng)積極協(xié)作，共同配合監(jiān)管機(jī)構(gòu)進(jìn)行調(diào)查，并根據(jù)調(diào)查結(jié)果采取進(jìn)一步措施。第六條數(shù)據(jù)生命周期管理6.1數(shù)據(jù)收集：乙方在收集甲方數(shù)據(jù)時(shí)，應(yīng)遵循合法、正當(dāng)、必要原則，并明確告知數(shù)據(jù)收集的目的、方式、范圍等。6.2數(shù)據(jù)使用：乙方應(yīng)根據(jù)本協(xié)議約定和甲方授權(quán)，在約定目的范圍內(nèi)使用數(shù)據(jù)，并不得將數(shù)據(jù)用于任何與集采活動(dòng)無(wú)關(guān)的目的。6.3數(shù)據(jù)存儲(chǔ)：甲方和乙方應(yīng)約定數(shù)據(jù)存儲(chǔ)的期限，并采取相應(yīng)的安全保護(hù)措施。對(duì)于不再需要存儲(chǔ)的數(shù)據(jù)，應(yīng)及時(shí)刪除或銷毀。6.4數(shù)據(jù)共享/轉(zhuǎn)讓：除本協(xié)議另有約定外，未經(jīng)甲方書面同意，乙方不得向任何第三方共享或轉(zhuǎn)讓甲方數(shù)據(jù)。6.5數(shù)據(jù)刪除/銷毀：協(xié)議終止或服務(wù)結(jié)束后，乙方應(yīng)根據(jù)甲方要求，及時(shí)刪除或銷毀所有包含甲方數(shù)據(jù)的載體，并可能需要提供銷毀證明。第七條訪問(wèn)控制與身份認(rèn)證7.1乙方應(yīng)建立嚴(yán)格的用戶身份認(rèn)證機(jī)制，確保只有授權(quán)人員才能訪問(wèn)甲方數(shù)據(jù)。7.2乙方應(yīng)實(shí)施基于角色的訪問(wèn)控制（RBAC），遵循“最小權(quán)限”原則，為乙方及其授權(quán)人員分配必要的訪問(wèn)權(quán)限。7.3乙方應(yīng)定期（至少每年一次）審查訪問(wèn)權(quán)限，及時(shí)撤銷不再需要的訪問(wèn)權(quán)限。7.4乙方應(yīng)記錄關(guān)鍵數(shù)據(jù)訪問(wèn)和操作日志，并保留至少六個(gè)月。第八條監(jiān)督、審計(jì)與合規(guī)8.1甲方有權(quán)對(duì)乙方的數(shù)據(jù)安全措施、數(shù)據(jù)處理活動(dòng)進(jìn)行監(jiān)督、檢查和審計(jì)（包括現(xiàn)場(chǎng)或遠(yuǎn)程審計(jì)、查閱記錄等），乙方應(yīng)予以配合，并提供必要的協(xié)助。8.2乙方應(yīng)定期（至少每年一次）向甲方聲明其遵守本協(xié)議及中國(guó)數(shù)據(jù)安全與個(gè)人信息保護(hù)相關(guān)法律法規(guī)的情況。8.3雙方可約定在協(xié)議履行過(guò)程中或定期進(jìn)行合規(guī)性審查，以確保雙方的數(shù)據(jù)處理活動(dòng)符合法律法規(guī)要求。第九條違約責(zé)任9.1任何一方違反本協(xié)議約定，給對(duì)方造成損失的，應(yīng)承擔(dān)賠償責(zé)任，包括直接損失和間接損失。9.2若因乙方原因?qū)е录追綌?shù)據(jù)泄露、丟失或被非法使用，乙方應(yīng)承擔(dān)相應(yīng)的違約責(zé)任，并賠償甲方因此遭受的損失。9.3若乙方違反保密義務(wù)，泄露甲方商業(yè)秘密，應(yīng)承擔(dān)相應(yīng)的違約責(zé)任，并賠償甲方因此遭受的損失。9.4若乙方違反數(shù)據(jù)出境安全評(píng)估、個(gè)人信息保護(hù)影響評(píng)估等相關(guān)義務(wù)，應(yīng)承擔(dān)相應(yīng)的違約責(zé)任，并賠償甲方因此遭受的損失。9.5若甲方違反本協(xié)議約定，給乙方造成損失的，甲方應(yīng)承擔(dān)相應(yīng)的賠償責(zé)任。9.6若一方嚴(yán)重違反本協(xié)議約定，另一方有權(quán)立即終止本協(xié)議，并要求違約方賠償損失。第十條保密義務(wù)10.1甲乙雙方應(yīng)對(duì)本協(xié)議內(nèi)容以及因本協(xié)議而知悉的對(duì)方的商業(yè)秘密、技術(shù)信息、數(shù)據(jù)等承擔(dān)終身保密義務(wù)。10.2保密義務(wù)的例外情況包括：(1)法律法規(guī)要求披露；(2)已公開(kāi)信息；(3)為履行本協(xié)議所必需（并告知對(duì)方）；(4)由對(duì)方書面同意。第十一條協(xié)議期限與終止11.1本協(xié)議有效期為自雙方簽字蓋章之日起至2025年12月31日止。11.2協(xié)議期滿，如雙方均有意繼續(xù)合作，應(yīng)在協(xié)議期滿前一個(gè)月內(nèi)協(xié)商續(xù)簽事宜。11.3發(fā)生下列情形之一，本協(xié)議可提前終止：(1)雙方協(xié)商一致同意終止；(2)一方嚴(yán)重違反本協(xié)議約定，另一方根據(jù)本協(xié)議約定行使了終止權(quán)；(3)一方進(jìn)入破產(chǎn)、清算程序；(4)出現(xiàn)不可抗力事件，且該事件持續(xù)超過(guò)三十天。11.4協(xié)議終止后，雙方應(yīng)在各自系統(tǒng)中刪除或銷毀對(duì)方數(shù)據(jù)，并按照約定返還或銷毀包含對(duì)方數(shù)據(jù)的載體。保密義務(wù)、爭(zhēng)議解決等條款在本協(xié)議終止后仍然有效。第十二條不可抗力12.1本協(xié)議所稱不可抗力是指不能預(yù)見(jiàn)、不能避免并不能克服的客觀情況，包括但不限于自然災(zāi)害、戰(zhàn)爭(zhēng)、政府行為、法律政策變化等。12.2遭遇不可抗力的一方應(yīng)立即通知對(duì)方，并在合理期限內(nèi)提供不可抗力證明。12.3因不可抗力導(dǎo)致本協(xié)議無(wú)法履行的，雙方應(yīng)根據(jù)不可抗力的影響，部分或全部免除責(zé)任，并協(xié)商是否繼續(xù)履行本協(xié)議。第十三條法律適用與爭(zhēng)議解決13.1本協(xié)議的訂立、效力、解釋、履行及爭(zhēng)議解決均適用中華人民共和國(guó)法律。13.2因本協(xié)議引起的或與本協(xié)議有關(guān)的任何爭(zhēng)議，雙方應(yīng)首先通過(guò)友好協(xié)商解決。13.3協(xié)商不成的，任何一方均有權(quán)將爭(zhēng)議提交至甲方所在地有管轄權(quán)的人民法院訴訟解決。第十四條其他條款14.1本協(xié)議構(gòu)成雙方就數(shù)據(jù)安全合作達(dá)成的完整協(xié)議，取代之前的任何口頭或書面約定。14.2對(duì)本協(xié)議的任何修改或補(bǔ)充，均應(yīng)以書面形式作出，并經(jīng)雙方簽字蓋章后生效。14.3若本協(xié)議某條款無(wú)效，不影響其他條款的效力。14.4本協(xié)議未盡事宜，由雙方另行協(xié)商解決。14.5本協(xié)議一式兩份，甲乙雙方各執(zhí)一份，具有同等法律