2026年云計(jì)算服務(wù)數(shù)據(jù)安全協(xié)議甲方（客戶）：[客戶公司全稱]地址：[客戶公司地址]聯(lián)系方式：[客戶聯(lián)系人及電話/郵箱]乙方（云服務(wù)提供商）：[云服務(wù)提供商公司全稱]地址：[云服務(wù)提供商地址]聯(lián)系方式：[云服務(wù)提供商聯(lián)系人及電話/郵箱]鑒于甲方希望使用乙方提供的云計(jì)算服務(wù)，并希望乙方在提供服務(wù)過程中采取嚴(yán)格的安全措施保護(hù)甲方數(shù)據(jù)；鑒于乙方同意向甲方提供約定的云計(jì)算服務(wù)，并承諾履行相應(yīng)的數(shù)據(jù)安全責(zé)任。雙方根據(jù)《中華人民共和國(guó)民法典》及相關(guān)法律法規(guī)，經(jīng)友好協(xié)商，達(dá)成協(xié)議如下：第一條服務(wù)范圍1.1乙方同意向甲方提供位于[服務(wù)地域，可具體或概括]的云計(jì)算服務(wù)，服務(wù)類型包括但不限于[具體服務(wù)類型，如基礎(chǔ)設(shè)施即服務(wù)（IaaS）、平臺(tái)即服務(wù)（PaaS）、軟件即服務(wù)（SaaS）等]。1.2具體的服務(wù)細(xì)節(jié)、功能特性及服務(wù)級(jí)別協(xié)議（SLA）以雙方另行簽署或確認(rèn)的文件為準(zhǔn)。第二條數(shù)據(jù)定義2.1“甲方數(shù)據(jù)”指甲方在使用乙方提供的云計(jì)算服務(wù)過程中，通過上傳、創(chuàng)建或以其他方式引入至乙方運(yùn)營(yíng)的云環(huán)境中的所有數(shù)據(jù)，包括但不限于文本、圖片、音頻、視頻、數(shù)據(jù)庫、應(yīng)用程序以及任何與甲方業(yè)務(wù)相關(guān)的信息。2.2除非本協(xié)議另有約定，甲方數(shù)據(jù)的所有權(quán)仍歸甲方所有，但甲方授予乙方為提供和支撐云計(jì)算服務(wù)所必需的、臨時(shí)性的、不可轉(zhuǎn)讓的使用權(quán)。第三條數(shù)據(jù)安全責(zé)任3.1乙方責(zé)任：a.對(duì)其提供的云計(jì)算基礎(chǔ)設(shè)施（包括網(wǎng)絡(luò)、服務(wù)器、存儲(chǔ)設(shè)備、供電、冷卻等物理環(huán)境）的安全運(yùn)行負(fù)責(zé)，實(shí)施不低于行業(yè)標(biāo)準(zhǔn)的物理和邏輯安全防護(hù)措施。b.對(duì)其提供的云計(jì)算平臺(tái)或服務(wù)組件（如操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件等）的安全負(fù)責(zé)，包括進(jìn)行必要的安全配置、定期更新和修補(bǔ)已知漏洞。c.為甲方數(shù)據(jù)的傳輸提供不低于TLS1.2或更高版本加密的標(biāo)準(zhǔn)連接。甲方如需更高安全級(jí)別的傳輸加密，應(yīng)自行實(shí)施或在乙方支持下實(shí)施。d.實(shí)施嚴(yán)格的訪問控制機(jī)制，包括但限于用戶身份認(rèn)證（推薦使用多因素認(rèn)證）和基于角色的訪問授權(quán)，確保只有授權(quán)人員才能訪問特定的數(shù)據(jù)和系統(tǒng)資源。e.對(duì)其監(jiān)控系統(tǒng)日志和事件，并實(shí)施適當(dāng)?shù)陌踩录z測(cè)和響應(yīng)機(jī)制。乙方應(yīng)定期（至少每年一次）對(duì)其安全措施進(jìn)行評(píng)估，并可進(jìn)行漏洞掃描和滲透測(cè)試（具體安排可協(xié)商）。f.遵守適用于其所運(yùn)營(yíng)地點(diǎn)的網(wǎng)絡(luò)安全、數(shù)據(jù)保護(hù)及隱私相關(guān)法律法規(guī)（如中國(guó)的《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》、歐盟的GDPR、美國(guó)的CCPA等），并確保其數(shù)據(jù)處理活動(dòng)符合法律要求。乙方應(yīng)向甲方提供其遵守相關(guān)合規(guī)性的說明或證明（如適用）。g.在發(fā)生可能影響甲方數(shù)據(jù)的重大安全事件（如未經(jīng)授權(quán)的訪問、數(shù)據(jù)泄露、系統(tǒng)重大故障等）時(shí)，應(yīng)在事件發(fā)生后[具體時(shí)限，如24或48]小時(shí)內(nèi)通知甲方，并按照協(xié)議約定或雙方協(xié)商提供事件詳情、影響評(píng)估及處置進(jìn)展。3.2甲方責(zé)任：a.負(fù)責(zé)對(duì)其上傳至云環(huán)境的甲方數(shù)據(jù)進(jìn)行分類分級(jí)，并對(duì)包含個(gè)人身份信息（PII）或其他敏感數(shù)據(jù)的進(jìn)行明確標(biāo)記。b.負(fù)責(zé)管理其云服務(wù)賬戶的訪問權(quán)限，遵循最小權(quán)限原則，定期審查和撤銷不再需要的訪問權(quán)限。甲方應(yīng)確保只有授權(quán)人員才能訪問其數(shù)據(jù)。c.對(duì)于存儲(chǔ)在云中的甲方敏感數(shù)據(jù)，甲方應(yīng)自行決定是否進(jìn)行加密，如需加密，甲方負(fù)責(zé)管理加密密鑰，并確保加密措施的有效性。乙方可提供加密工具或服務(wù)，但密鑰管理的主要責(zé)任在甲方。d.負(fù)責(zé)配置和管理其云環(huán)境中的應(yīng)用程序和服務(wù)設(shè)置，確保符合本協(xié)議的安全要求。e.負(fù)責(zé)對(duì)其員工進(jìn)行必要的安全意識(shí)培訓(xùn)，確保員工了解并遵守?cái)?shù)據(jù)安全政策和本協(xié)議的相關(guān)規(guī)定。f.如甲方自行在其云環(huán)境中運(yùn)行應(yīng)用程序或存儲(chǔ)數(shù)據(jù)，甲方應(yīng)自行負(fù)責(zé)其環(huán)境的安全配置和保護(hù)。g.遵守本協(xié)議的各項(xiàng)條款，特別是關(guān)于數(shù)據(jù)使用、處理和傳輸?shù)南拗菩砸?guī)定。第四條數(shù)據(jù)處理與傳輸4.1乙方處理甲方數(shù)據(jù)的唯一目的是履行本協(xié)議約定的服務(wù)義務(wù)。4.2甲方數(shù)據(jù)存儲(chǔ)地點(diǎn)原則上位于[再次確認(rèn)或細(xì)化服務(wù)地域]。如因服務(wù)運(yùn)營(yíng)需要或雙方約定，數(shù)據(jù)可能存儲(chǔ)在乙方的其他合規(guī)數(shù)據(jù)中心。任何跨地域傳輸甲方數(shù)據(jù)，均應(yīng)遵守相關(guān)法律法規(guī)的要求，并事先獲得甲方的書面同意或遵循約定的傳輸機(jī)制。4.3未經(jīng)甲方明確授權(quán)，乙方不得訪問、使用或披露任何不屬于甲方的數(shù)據(jù)。乙方的員工、代理人或授權(quán)服務(wù)提供商在提供服務(wù)所必需的范圍內(nèi)訪問甲方數(shù)據(jù)時(shí)，應(yīng)受到保密義務(wù)的約束。第五條訪問控制5.1乙方應(yīng)提供安全的身份驗(yàn)證機(jī)制，包括但不限于用戶名/密碼、多因素認(rèn)證（MFA）等。甲方應(yīng)要求其用戶啟用MFA。5.2乙方應(yīng)支持基于角色的訪問控制（RBAC），允許甲方管理其用戶對(duì)不同資源和數(shù)據(jù)的訪問權(quán)限。5.3乙方應(yīng)提供會(huì)話管理功能，如會(huì)話超時(shí)設(shè)置。5.4甲方應(yīng)負(fù)責(zé)管理其API密鑰或訪問令牌，確保其安全性，并限制其使用范圍。第六條安全事件響應(yīng)與通知6.1雙方同意建立安全事件響應(yīng)合作機(jī)制。6.2發(fā)生本協(xié)議第三條第3.1g款所述的重大安全事件時(shí)，乙方應(yīng)在事件發(fā)現(xiàn)后[例如，24]小時(shí)內(nèi)通知甲方。后續(xù)應(yīng)定期（例如，每日或根據(jù)事件進(jìn)展）向甲方通報(bào)事件調(diào)查進(jìn)展、影響評(píng)估和已采取及計(jì)劃采取的補(bǔ)救措施。6.3甲方應(yīng)在收到乙方通知后，積極配合乙方進(jìn)行事件調(diào)查和處置，并提供甲方掌握的相關(guān)信息。第七條數(shù)據(jù)備份與恢復(fù)7.1[根據(jù)協(xié)商結(jié)果明確：a.乙方作為服務(wù)的一部分，按照約定的頻率和保留期為甲方數(shù)據(jù)提供備份服務(wù)，并負(fù)責(zé)備份數(shù)據(jù)的安全存儲(chǔ)。甲方需定期確認(rèn)備份效果。b.或甲方自行負(fù)責(zé)其數(shù)據(jù)的備份，乙方提供相應(yīng)的備份工具或存儲(chǔ)空間，但不承擔(dān)備份的完整性和可用性責(zé)任。c.或雙方共同定義備份責(zé)任和流程。]7.2[根據(jù)協(xié)商結(jié)果明確：a.乙方應(yīng)保證其備份系統(tǒng)可用，并支持甲方的數(shù)據(jù)恢復(fù)請(qǐng)求。b.或甲方自行負(fù)責(zé)執(zhí)行數(shù)據(jù)恢復(fù)操作，乙方提供必要的技術(shù)支持。]第八條數(shù)據(jù)保密8.1雙方應(yīng)對(duì)在本協(xié)議履行過程中獲知的對(duì)方的商業(yè)秘密、技術(shù)信息以及甲方數(shù)據(jù)的保密內(nèi)容承擔(dān)保密義務(wù)。此保密義務(wù)不因本協(xié)議的終止而解除。8.2保密信息不包括：(a)已公開的信息；(b)雙方事先書面同意披露的信息；(c)第三方合法獲得且未違反保密義務(wù)的信息；(d)根據(jù)法律法規(guī)或有權(quán)機(jī)關(guān)要求披露的信息，但披露前應(yīng)盡力通知對(duì)方。8.3雙方應(yīng)采取合理的措施保護(hù)保密信息，防止其被未經(jīng)授權(quán)的第三方獲取、使用或泄露。第九條合規(guī)性9.1本協(xié)議的訂立、效力、解釋、履行及爭(zhēng)議解決均適用中華人民共和國(guó)法律。9.2雙方均有義務(wù)遵守適用于數(shù)據(jù)存儲(chǔ)地和傳輸?shù)兀ㄈ邕m用）的網(wǎng)絡(luò)安全、數(shù)據(jù)保護(hù)及隱私相關(guān)法律法規(guī)。乙方應(yīng)確保其服務(wù)運(yùn)營(yíng)符合主要相關(guān)法律法規(guī)的要求，并應(yīng)甲方要求提供合規(guī)性相關(guān)的信息或證明。9.3雙方同意，若任何一方因未能遵守適用法律法規(guī)而承擔(dān)任何罰款、制裁或訴訟費(fèi)用，另一方應(yīng)根據(jù)實(shí)際情況，在合理范圍內(nèi)向該違約方提供協(xié)助，具體協(xié)助方式和范圍由雙方協(xié)商確定。第十條審計(jì)10.1在本協(xié)議有效期內(nèi)，乙方有權(quán)在提前[例如，十四（14)]天通知甲方，并選擇合理時(shí)間窗口，派遣授權(quán)審計(jì)人員對(duì)甲方使用云服務(wù)的環(huán)境及其數(shù)據(jù)處理活動(dòng)（包括安全控制措施、數(shù)據(jù)處理合規(guī)性等）進(jìn)行審計(jì)。審計(jì)范圍和方式應(yīng)與甲方協(xié)商確定，并應(yīng)考慮甲方的業(yè)務(wù)運(yùn)營(yíng)影響。10.2甲方應(yīng)配合乙方的審計(jì)活動(dòng)，提供必要的設(shè)施、人員配合和資料，但甲方有權(quán)指派一名授權(quán)代表全程在場(chǎng)監(jiān)督審計(jì)過程，審計(jì)費(fèi)用（若產(chǎn)生）由[雙方協(xié)商確定，如乙方承擔(dān)，或根據(jù)審計(jì)范圍分?jǐn)俔。第十一條合同期限、終止與數(shù)據(jù)銷毀11.1本協(xié)議自[具體生效日期，如2026年X月X日]起生效，有效期為[例如，一年/三年/或其他約定期限]。期滿前[例如，三十（30)]天，如雙方無書面異議，本協(xié)議自動(dòng)續(xù)展[例如，一年]。11.2任何一方可在提前[例如，九十（90)]天書面通知對(duì)方的情況下終止本協(xié)議。11.3發(fā)生以下情況之一，守約方有權(quán)立即終止本協(xié)議：(a)一方嚴(yán)重違反本協(xié)議約定，且在收到守約方書面通知后[例如，三十（30)]日內(nèi)未能糾正；(b)一方進(jìn)入破產(chǎn)、清算或解散程序。11.4協(xié)議終止或甲方申請(qǐng)刪除/銷毀數(shù)據(jù)時(shí)，甲方有權(quán)要求乙方在協(xié)議終止后[例如，九十（90)]日內(nèi)，根據(jù)甲方的指示或基于協(xié)議約定，將甲方數(shù)據(jù)從乙方的所有系統(tǒng)、存儲(chǔ)介質(zhì)中徹底刪除或匿名化處理，并應(yīng)甲方要求提供書面銷毀證明。乙方在完成銷毀前，應(yīng)確保該數(shù)據(jù)不會(huì)被未經(jīng)授權(quán)訪問。11.5協(xié)議終止后，本協(xié)議中關(guān)于保密、知識(shí)產(chǎn)權(quán)、責(zé)任承擔(dān)、法律適用、爭(zhēng)議解決、數(shù)據(jù)安全合規(guī)要求（如適用）以及通知、審計(jì)等條款仍然有效。第十二條違約責(zé)任與賠償12.1若任何一方違反本協(xié)議約定，應(yīng)承擔(dān)違約責(zé)任，并賠償因此給對(duì)方造成的直接經(jīng)濟(jì)損失。違約方應(yīng)根據(jù)違約情況，采取補(bǔ)救措施，使對(duì)方利益恢復(fù)到未違約狀態(tài)。12.2因一方違反本協(xié)議導(dǎo)致甲方數(shù)據(jù)泄露、丟失或損壞，除乙方已投保相關(guān)責(zé)任險(xiǎn)外，乙方應(yīng)在合理范圍內(nèi)承擔(dān)相應(yīng)的賠償責(zé)任，但賠償總額不超過本協(xié)議年度服務(wù)費(fèi)的[例如，十（10)]倍，且單次事件賠償不超過[例如，一百（100)]萬元人民幣。此賠償上限不適用于因乙方故意或重大過失造成的損失，或因甲方違反自身數(shù)據(jù)安全責(zé)任導(dǎo)致的損失。12.3任何一方均不應(yīng)因?qū)Ψ降倪`約行為而遭受超過其實(shí)際損失的賠償責(zé)任。第十三條不可抗力13.1若本協(xié)議任何一方因不可抗力（指不能預(yù)見、不能避免并不能克服的客觀情況，包括但不限于自然災(zāi)害、戰(zhàn)爭(zhēng)、動(dòng)亂、政府行為、流行病疫情等）導(dǎo)致無法履行或無法完全履行本協(xié)議義務(wù)，受影響方應(yīng)在不可抗力發(fā)生后[例如，七（7)]日內(nèi)書面通知另一方，并提供相關(guān)證明。13.2因不可抗力導(dǎo)致協(xié)議義務(wù)無法履行的，受影響方不承擔(dān)違約責(zé)任，雙方應(yīng)根據(jù)不可抗力的影響，協(xié)商決定是否延期履行、部分履行或終止協(xié)議。因不可抗力造成的損失，雙方各自承擔(dān)。第十四條爭(zhēng)議解決14.1因本協(xié)議引起的或與本協(xié)議有關(guān)的任何爭(zhēng)議，雙方應(yīng)首先通過友好協(xié)商解決。14.2協(xié)商不成的，任何一方均有權(quán)將爭(zhēng)議提交至[選擇一種：a.乙方所在地有管轄權(quán)的人民法院訴訟解決；b.甲方所在地有管轄權(quán)的人民法院訴訟解決；c.協(xié)議簽訂地有管轄權(quán)的人民法院訴訟解決；d.[指定具體的仲裁委員會(huì)名稱，如中國(guó)國(guó)際經(jīng)濟(jì)貿(mào)易仲裁委員會(huì)]按照其屆時(shí)有效的仲裁規(guī)則進(jìn)行仲裁，仲裁地為[指定城市]，仲裁裁決是終局的，對(duì)雙方均有約束力]。第十五條其他15.1本協(xié)議構(gòu)成雙方關(guān)于本協(xié)議主題事項(xiàng)的完整協(xié)議，取代此前所有口頭或書面的協(xié)議、諒解或承諾。15.2對(duì)本協(xié)議的任何修改或補(bǔ)充，均需以書面形式作出，并經(jīng)雙方授權(quán)代表簽字蓋章后生效。15.3若