2026年跨境網(wǎng)絡(luò)信息安全協(xié)議當(dāng)事人信息甲方：[甲方法定全稱]法定代表人/授權(quán)代表：[姓名]注冊(cè)地址：[甲方注冊(cè)地址]聯(lián)系地址：[甲方聯(lián)系地址]聯(lián)系方式：[甲方聯(lián)系電話]電子郵箱：[甲方電子郵箱]乙方：[乙方法定全稱]法定代表人/授權(quán)代表：[姓名]注冊(cè)地址：[乙方注冊(cè)地址]聯(lián)系地址：[乙方聯(lián)系地址]聯(lián)系方式：[乙方聯(lián)系電話]電子郵箱：[乙方電子郵箱]鑒于：1.甲方擬在業(yè)務(wù)活動(dòng)中處理和傳輸數(shù)據(jù)（包括個(gè)人信息和非個(gè)人信息），部分?jǐn)?shù)據(jù)需跨境傳輸至乙方處理或存儲(chǔ)；2.乙方將根據(jù)甲方的授權(quán)，提供數(shù)據(jù)處理服務(wù)，包括存儲(chǔ)、處理、傳輸?shù)然顒?dòng)；3.甲乙雙方均重視網(wǎng)絡(luò)信息安全，并承諾遵守相關(guān)法律法規(guī)，采取合理措施保護(hù)數(shù)據(jù)安全；4.為明確雙方在跨境網(wǎng)絡(luò)信息安全方面的權(quán)利與義務(wù)，保障數(shù)據(jù)處理活動(dòng)的安全合規(guī)，經(jīng)友好協(xié)商，達(dá)成協(xié)議如下：第一條定義與解釋除非上下文另有明確說(shuō)明，本協(xié)議中使用以下術(shù)語(yǔ)具有以下含義：1.1“個(gè)人信息”指根據(jù)適用的數(shù)據(jù)保護(hù)法律（如歐盟GDPR、中國(guó)《個(gè)人信息保護(hù)法》等）被定義為個(gè)人信息的任何信息，無(wú)論其是否與已識(shí)別或可識(shí)別的自然人直接或間接關(guān)聯(lián)。1.2“非個(gè)人信息”指不屬于個(gè)人信息的任何數(shù)據(jù)。1.3“數(shù)據(jù)處理者”指代表甲方處理個(gè)人信息的乙方，或受乙方委托處理個(gè)人信息的第三方。1.4“數(shù)據(jù)控制者”指決定個(gè)人信息處理目的和方式的甲方。1.5“跨境傳輸”指將個(gè)人信息從位于一個(gè)國(guó)家或地區(qū)的企業(yè)傳輸至位于另一個(gè)國(guó)家或地區(qū)的企業(yè)的行為。1.6“網(wǎng)絡(luò)信息安全”指保護(hù)網(wǎng)絡(luò)系統(tǒng)、設(shè)備、軟件和應(yīng)用免受未經(jīng)授權(quán)的訪問(wèn)、使用、披露、破壞、修改或破壞，以及確保數(shù)據(jù)的機(jī)密性、完整性和可用性。1.7“安全事件”指可能導(dǎo)致或涉及個(gè)人信息泄露、丟失、損壞或未經(jīng)授權(quán)訪問(wèn)的安全漏洞、惡意軟件感染、黑客攻擊、系統(tǒng)故障或其他類似情況。1.8“安全措施”指為保護(hù)個(gè)人信息而采取的技術(shù)和組織措施，包括但不限于加密、訪問(wèn)控制、安全審計(jì)、入侵檢測(cè)、數(shù)據(jù)脫敏、安全策略和培訓(xùn)等。1.9“標(biāo)準(zhǔn)合同條款（SCCs）”指由歐盟委員會(huì)批準(zhǔn)的，作為歐盟GDPR框架下跨境傳輸個(gè)人信息的合法機(jī)制之一的標(biāo)準(zhǔn)合同條款。1.10“保密信息”指一方（披露方）向另一方（接收方）披露的、與本協(xié)議主題相關(guān)的、未公開的、具有商業(yè)價(jià)值或秘密性質(zhì)的信息，無(wú)論其形式如何，包括但不限于技術(shù)信息、商業(yè)計(jì)劃、客戶名單、財(cái)務(wù)數(shù)據(jù)和個(gè)人信息。1.11“適用法律法規(guī)”指所有適用的國(guó)家、地區(qū)或國(guó)際層面的網(wǎng)絡(luò)安全、數(shù)據(jù)保護(hù)和隱私法律、法規(guī)和標(biāo)準(zhǔn)，包括但不限于中國(guó)的《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》，歐盟的GDPR，美國(guó)的COPPA等。第二條適用范圍與目的2.1本協(xié)議適用于甲方委托乙方處理的所有數(shù)據(jù)，特別是涉及跨境傳輸?shù)膫€(gè)人信息。2.2本協(xié)議的目的是明確甲乙雙方在跨境數(shù)據(jù)處理活動(dòng)中的網(wǎng)絡(luò)信息安全責(zé)任，確保數(shù)據(jù)處理的合規(guī)性、安全性和保密性，防范和應(yīng)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。2.3本協(xié)議的適用范圍包括但不限于乙方為履行本協(xié)議而進(jìn)行的數(shù)據(jù)存儲(chǔ)、處理、傳輸、備份、恢復(fù)等活動(dòng)所涉及的硬件、軟件、網(wǎng)絡(luò)和系統(tǒng)。第三條雙方權(quán)利與義務(wù)3.1甲方的權(quán)利與義務(wù)：3.1.1甲方作為數(shù)據(jù)控制者，對(duì)所處理的個(gè)人信息具有最終決定權(quán)，并負(fù)責(zé)確保其處理活動(dòng)的合法性、正當(dāng)性和必要性。3.1.2甲方應(yīng)事先明確告知數(shù)據(jù)主體其個(gè)人信息的處理目的、方式、傳輸目的地、保存期限等，并獲取必要的法律基礎(chǔ)（如同意）。3.1.3甲方應(yīng)確保乙方在處理個(gè)人信息前，已獲得甲方授權(quán)或符合適用的法律要求。3.1.4甲方應(yīng)向乙方提供必要的、準(zhǔn)確的數(shù)據(jù)處理指令，并明確相關(guān)安全要求和合規(guī)標(biāo)準(zhǔn)。3.1.5甲方應(yīng)負(fù)責(zé)履行數(shù)據(jù)主體的權(quán)利請(qǐng)求（如訪問(wèn)、更正、刪除），并協(xié)調(diào)乙方配合。3.1.6甲方應(yīng)采取合理措施，在其境內(nèi)保護(hù)數(shù)據(jù)安全，并監(jiān)督乙方的數(shù)據(jù)處理活動(dòng)。3.1.7甲方應(yīng)在發(fā)現(xiàn)或懷疑發(fā)生安全事件時(shí)，及時(shí)通知乙方。3.1.8甲方應(yīng)與其境內(nèi)外的其他相關(guān)方（如數(shù)據(jù)傳輸接收方）簽訂必要的協(xié)議，確保整個(gè)數(shù)據(jù)處理鏈條的安全合規(guī)。3.1.9甲方應(yīng)遵守所有適用的保密義務(wù)。3.2乙方的權(quán)利與義務(wù)：3.2.1乙方作為數(shù)據(jù)處理者，應(yīng)僅根據(jù)甲方的授權(quán)和指示處理個(gè)人信息，并遵守甲方的數(shù)據(jù)處理指令。3.2.2乙方應(yīng)將個(gè)人信息處理視為其自身的業(yè)務(wù)，并采取符合本協(xié)議約定及適用法律法規(guī)要求的安全措施，保障個(gè)人信息的機(jī)密性、完整性和可用性。3.2.3乙方應(yīng)建立和維護(hù)適當(dāng)?shù)陌踩芾眢w系和流程，包括但不限于訪問(wèn)控制、加密、監(jiān)控、審計(jì)、漏洞管理和應(yīng)急響應(yīng)機(jī)制。3.2.4乙方應(yīng)僅使用甲方提供的、經(jīng)甲方授權(quán)的系統(tǒng)和設(shè)施來(lái)處理個(gè)人信息，除非獲得甲方的明確書面同意。3.2.5乙方應(yīng)在其業(yè)務(wù)范圍內(nèi)，確保第三方（如員工、承包商、顧問(wèn)）遵守與個(gè)人信息處理相關(guān)的安全要求和保密義務(wù)。3.2.6乙方應(yīng)協(xié)助甲方履行其數(shù)據(jù)保護(hù)義務(wù)，包括但不限于協(xié)助進(jìn)行數(shù)據(jù)主體權(quán)利請(qǐng)求的響應(yīng)、參與安全事件調(diào)查和應(yīng)對(duì)。3.2.7乙方應(yīng)在發(fā)生或懷疑發(fā)生安全事件時(shí)，立即通知甲方，并按照甲方的指示采取補(bǔ)救措施。3.2.8乙方應(yīng)在甲方要求時(shí)，提供其采取了合理安全措施的證據(jù)，并接受甲方的合理審計(jì)。3.2.9乙方應(yīng)遵守所有適用的保密義務(wù)，對(duì)在履行本協(xié)議過(guò)程中獲取的甲方和其客戶的保密信息承擔(dān)嚴(yán)格保密責(zé)任。第四條數(shù)據(jù)安全要求4.1乙方應(yīng)采取包括但不限于以下技術(shù)措施和管理措施，以應(yīng)對(duì)合理預(yù)期到的安全威脅，并保障個(gè)人信息和處理活動(dòng)的安全：4.1.1實(shí)施訪問(wèn)控制機(jī)制，確保只有授權(quán)人員才能訪問(wèn)個(gè)人信息，并根據(jù)“最小權(quán)限”原則分配訪問(wèn)權(quán)限。4.1.2對(duì)傳輸中的個(gè)人信息進(jìn)行加密，使用行業(yè)認(rèn)可的加密標(biāo)準(zhǔn)（如TLS/SSL）。4.1.3對(duì)存儲(chǔ)的個(gè)人信息進(jìn)行加密，確保即使數(shù)據(jù)存儲(chǔ)介質(zhì)被盜或丟失，信息也無(wú)法被輕易讀取。4.1.4實(shí)施數(shù)據(jù)脫敏或匿名化措施，在可能的情況下減少個(gè)人信息的敏感性。4.1.5部署和維護(hù)入侵檢測(cè)和防御系統(tǒng)，監(jiān)控和防范網(wǎng)絡(luò)攻擊。4.1.6定期進(jìn)行安全漏洞掃描和風(fēng)險(xiǎn)評(píng)估，并及時(shí)修補(bǔ)漏洞。4.1.7記錄和保存相關(guān)的安全審計(jì)日志，以便追蹤個(gè)人信息的訪問(wèn)和處理活動(dòng)。4.1.8建立和測(cè)試數(shù)據(jù)備份和災(zāi)難恢復(fù)計(jì)劃，確保在發(fā)生系統(tǒng)故障或其他意外情況時(shí)能夠恢復(fù)數(shù)據(jù)。4.1.9定期對(duì)員工進(jìn)行網(wǎng)絡(luò)信息安全意識(shí)和技能培訓(xùn)。4.1.10制定并執(zhí)行內(nèi)部安全策略和操作規(guī)程。4.2甲方應(yīng)確保其境內(nèi)數(shù)據(jù)處理活動(dòng)也符合本協(xié)議約定的安全要求，并承擔(dān)相應(yīng)責(zé)任。第五條跨境數(shù)據(jù)傳輸機(jī)制5.1甲方同意，僅在符合適用法律法規(guī)要求的前提下進(jìn)行個(gè)人信息的跨境傳輸。5.2對(duì)于傳輸至歐盟或其成員國(guó)的個(gè)人信息，甲方應(yīng)確保采用歐盟委員會(huì)批準(zhǔn)的標(biāo)準(zhǔn)合同條款（SCCs）或其他合法機(jī)制（如具有約束力的公司規(guī)則、充分性認(rèn)定等）作為傳輸?shù)姆苫A(chǔ)。5.3對(duì)于傳輸至其他國(guó)家或地區(qū)的個(gè)人信息，甲方應(yīng)確保該接收國(guó)提供與歐盟GDPR具有充分性認(rèn)定，或者采用經(jīng)甲方批準(zhǔn)的其他合法機(jī)制（如補(bǔ)充協(xié)議、認(rèn)證機(jī)制等）作為傳輸?shù)姆苫A(chǔ)。5.4乙方在處理跨境傳輸?shù)膫€(gè)人信息時(shí)，應(yīng)遵守本協(xié)議第四條規(guī)定的安全要求，并確保傳輸過(guò)程符合所采用的法律基礎(chǔ)的要求。5.5甲方應(yīng)負(fù)責(zé)評(píng)估和管理跨境傳輸?shù)姆娠L(fēng)險(xiǎn)，并確保乙方配合其進(jìn)行必要的合規(guī)審查。5.6雙方同意，在簽訂本協(xié)議時(shí)，雙方均已了解并初步評(píng)估了相關(guān)的跨境傳輸法律要求。雙方均有義務(wù)及時(shí)通知對(duì)方任何可能影響跨境傳輸合規(guī)性的重大變化，并協(xié)商采取必要的應(yīng)對(duì)措施。第六條數(shù)據(jù)主體權(quán)利保障6.1甲方應(yīng)建立有效的流程，接收、處理和響應(yīng)數(shù)據(jù)主體的訪問(wèn)、更正、刪除、限制處理、數(shù)據(jù)可攜權(quán)等權(quán)利請(qǐng)求。6.2甲方應(yīng)在收到數(shù)據(jù)主體的權(quán)利請(qǐng)求后，及時(shí)通知乙方，并提供必要的個(gè)人信息和處理活動(dòng)相關(guān)信息，以便乙方協(xié)助甲方履行相關(guān)義務(wù)。6.3乙方應(yīng)在其處理活動(dòng)中，協(xié)助甲方響應(yīng)數(shù)據(jù)主體的權(quán)利請(qǐng)求，并確保響應(yīng)符合適用的法律法規(guī)要求。第七條安全事件響應(yīng)與通知7.1雙方同意，在發(fā)生或懷疑發(fā)生安全事件（根據(jù)第三條第4.1款定義）時(shí)，應(yīng)立即啟動(dòng)應(yīng)急響應(yīng)程序。7.2乙方應(yīng)立即采取合理的措施，限制事件的影響范圍，防止事件進(jìn)一步擴(kuò)大，并盡最大努力恢復(fù)受影響的系統(tǒng)和數(shù)據(jù)。7.3乙方應(yīng)在安全事件發(fā)生后[例如：48小時(shí)]內(nèi)（或根據(jù)適用法律法規(guī)的更短時(shí)限），通知甲方安全事件的基本情況，包括事件類型、發(fā)生時(shí)間、可能的影響范圍、已采取的措施等。7.4對(duì)于嚴(yán)重安全事件（如可能導(dǎo)致個(gè)人信息大規(guī)模泄露或喪失），乙方應(yīng)在識(shí)別到事件后的[例如：24小時(shí)]內(nèi)（或根據(jù)適用法律法規(guī)的更短時(shí)限）通知甲方。7.5甲方應(yīng)在收到乙方安全事件通知后，根據(jù)其自身義務(wù)和適用法律法規(guī)的要求，及時(shí)向監(jiān)管機(jī)構(gòu)報(bào)告，并通知受影響的個(gè)人（如適用）。7.6雙方應(yīng)在安全事件發(fā)生后，協(xié)同進(jìn)行事件調(diào)查，分析事件原因，并共同制定和實(shí)施補(bǔ)救和改進(jìn)措施。7.7雙方應(yīng)保留安全事件相關(guān)的記錄，并按照適用法律法規(guī)的要求進(jìn)行存儲(chǔ)。第八條保密義務(wù)8.1甲乙雙方對(duì)本協(xié)議的條款、內(nèi)容以及因履行本協(xié)議而獲悉的對(duì)方的商業(yè)秘密、技術(shù)信息、客戶信息和個(gè)人信息等保密信息，均負(fù)有保密義務(wù)。8.2未經(jīng)披露方的書面同意，任何一方不得向任何第三方（包括關(guān)聯(lián)公司，除非為履行本協(xié)議所必需）披露披露方的保密信息。8.3本保密義務(wù)不因本協(xié)議的終止而失效，持續(xù)有效期限為本協(xié)議終止后[例如：五]年。8.4雙方應(yīng)采取不低于保護(hù)自身同類保密信息的謹(jǐn)慎程度來(lái)保護(hù)對(duì)方的保密信息，但無(wú)論如何，均不得以任何方式泄露給任何第三方。8.5如法律要求或監(jiān)管機(jī)構(gòu)強(qiáng)制要求披露保密信息，披露方應(yīng)在法律允許的范圍內(nèi)，事先通知接收方，并僅在法律或監(jiān)管機(jī)構(gòu)要求的范圍內(nèi)進(jìn)行披露。第九條合規(guī)性要求9.1雙方均有義務(wù)遵守所有適用的網(wǎng)絡(luò)信息安全、數(shù)據(jù)保護(hù)和隱私法律、法規(guī)和標(biāo)準(zhǔn)。9.2甲方應(yīng)確保其數(shù)據(jù)處理活動(dòng)符合其境內(nèi)外的所有適用法律法規(guī)要求。9.3乙方應(yīng)確保其提供的處理服務(wù)符合本協(xié)議約定的安全要求，并遵守其運(yùn)營(yíng)所在地的適用法律法規(guī)要求。9.4雙方同意，在發(fā)生與適用法律法規(guī)相關(guān)的合規(guī)問(wèn)題或爭(zhēng)議時(shí)，應(yīng)通過(guò)友好協(xié)商解決；必要時(shí)，應(yīng)尋求法律顧問(wèn)的建議。第十條審計(jì)與監(jiān)督10.1甲方有權(quán)在合理的時(shí)間和地點(diǎn)，對(duì)乙方的數(shù)據(jù)處理活動(dòng)（包括物理設(shè)施、系統(tǒng)、文檔和人員）進(jìn)行審計(jì)，以評(píng)估乙方履行本協(xié)議（特別是第四條、第五條和第三條第3.2款）的合規(guī)性和有效性。10.2乙方應(yīng)配合甲方的審計(jì)活動(dòng)，提供必要的訪問(wèn)權(quán)限、文檔和信息，并不得無(wú)理拒絕或拖延。10.3乙方也有權(quán)對(duì)甲方的數(shù)據(jù)處理活動(dòng)（特別是其境內(nèi)數(shù)據(jù)處理活動(dòng)）進(jìn)行審計(jì)，甲方應(yīng)予以配合。10.4雙方同意，審計(jì)結(jié)果應(yīng)形成書面報(bào)告，并由雙方代表簽字確認(rèn)。如雙方對(duì)審計(jì)結(jié)果有異議，應(yīng)通過(guò)協(xié)商解決。第十一條責(zé)任限制11.1在本協(xié)議有效期內(nèi)，除非因甲方或其直接雇員、代理人的故意行為或重大過(guò)失直接導(dǎo)致個(gè)人信息泄露、丟失或損壞，或因乙方或其直接雇員、代理人的故意行為或重大過(guò)失直接導(dǎo)致乙方違反本協(xié)議第四條關(guān)于安全措施的核心承諾，否則乙方不對(duì)甲方承擔(dān)任何賠償責(zé)任。11.2乙方在其過(guò)錯(cuò)范圍內(nèi)對(duì)甲方承擔(dān)的責(zé)任，以其因違反本協(xié)議而獲得的甲方支付的費(fèi)用為限，且總額不超過(guò)本協(xié)議簽訂前[例如：一]年內(nèi)甲方支付給乙方的服務(wù)費(fèi)用的[例如：一]倍。11.3本責(zé)任限制不適用于因乙方違反個(gè)人信息處理指令、違反數(shù)據(jù)控制者授權(quán)范圍或違反適用法律法規(guī)而導(dǎo)致的直接損失或罰款。11.4甲方應(yīng)對(duì)其境內(nèi)數(shù)據(jù)處理活動(dòng)及未能履行其自身義務(wù)（包括但不限于未能提供清晰的指令、未能確保合法基礎(chǔ)）而產(chǎn)生的責(zé)任獨(dú)立承擔(dān)責(zé)任。第十二條期限與終止12.1本協(xié)議自雙方授權(quán)代表簽字并加蓋公章（或合同專用章）之日起生效，有效期為[例如：三]年。期滿前[例如：一個(gè)月]，如雙方均未提出書面異議，本協(xié)議自動(dòng)續(xù)展[例如：一]年，續(xù)展次數(shù)不限。12.2任何一方可在有效期內(nèi)，提前[例如：三十]日向另一方發(fā)出書面通知，說(shuō)明終止理由，經(jīng)另一方同意后，本協(xié)議可以提前終止。12.3如發(fā)生以下情況之一，守約方有權(quán)立即書面通知違約方終止本協(xié)議：a)一方嚴(yán)重違反本協(xié)議，且在收到守約方書面通知后[例如：三十]日內(nèi)未能糾正；b)一方進(jìn)入破產(chǎn)、清算或解散程序；c)一方被監(jiān)管機(jī)構(gòu)吊銷相關(guān)業(yè)務(wù)許可或采取禁止性措施，導(dǎo)致其無(wú)法履行本協(xié)議。12.4本協(xié)議終止時(shí)，乙方應(yīng)：a)立即停止所有數(shù)據(jù)處理活動(dòng)，并按照甲方指示安全地刪除或返還甲方提供的個(gè)人信息副本；b)保存必要的處理記錄，以滿足適用法律法規(guī)的保存期限要求；c)根據(jù)適用法律法規(guī)和雙方約定，處理未完成的、與甲方授權(quán)范圍相關(guān)的個(gè)人處理活動(dòng)。12.5協(xié)議終止不影響雙方在本協(xié)議終止前產(chǎn)生的權(quán)利和義務(wù)，以及保密義務(wù)、責(zé)任限制等條款的效力。第十三條法律適用與爭(zhēng)議解決13.1本協(xié)議的訂立、效力、解釋、履行及爭(zhēng)議解決均適用中華人民共和國(guó)法律（為本協(xié)議之目的，不包括香港特別行政區(qū)、澳門特別行政區(qū)和臺(tái)灣地區(qū)法律）。13.2因本協(xié)議引起的或與本協(xié)議有關(guān)的任何爭(zhēng)議，雙方應(yīng)首先通過(guò)友好協(xié)商解決。協(xié)商不成的，任何一方有權(quán)將爭(zhēng)議提交[例如：甲方所在地有管轄權(quán)的人民法院]通過(guò)訴訟解決；或提交[例如：指定仲裁機(jī)構(gòu)名稱，如中