跨國企業(yè)集團數(shù)據(jù)跨境傳輸協(xié)議【中國境內(nèi)XX有限責任公司】（以下簡稱“甲方”）與【境外XX股份有限公司】（以下簡稱“乙方”），雙方均為XX跨國企業(yè)集團成員（直接/間接持有對方50%以上股權或控制權），基于集團統(tǒng)一業(yè)務運營需要，就甲方合法控制的數(shù)據(jù)跨境傳輸至乙方事宜，經(jīng)平等協(xié)商達成如下協(xié)議：第一條定義1.數(shù)據(jù)：指甲方依法收集、存儲的，需跨境傳輸至乙方的信息，包括但不限于：（1）個人信息：用戶姓名、聯(lián)系方式、交易記錄（非敏感個人信息，敏感個人信息需單獨授權）；（2）企業(yè)數(shù)據(jù)：甲方經(jīng)營數(shù)據(jù)、財務報表（不含國家秘密、商業(yè)秘密中需特殊保護的內(nèi)容）；（3）技術數(shù)據(jù)：集團共享的產(chǎn)品設計文檔（經(jīng)甲方內(nèi)部安全審核通過）。2.跨境傳輸：將數(shù)據(jù)從中國境內(nèi)服務器/存儲介質(zhì)傳輸至乙方所在國家/地區(qū)的合法存儲系統(tǒng)。3.數(shù)據(jù)泄露：指數(shù)據(jù)被未經(jīng)授權訪問、篡改、丟失、泄露或非法使用的情形。第二條傳輸目的與范圍1.傳輸目的：僅用于集團內(nèi)部必要業(yè)務協(xié)作，包括：（1）集團統(tǒng)一財務核算與年度審計；（2）跨區(qū)域供應鏈協(xié)同（訂單處理、庫存調(diào)度）；（3）全球客戶服務支持（非敏感咨詢響應）；（4）符合安全要求的產(chǎn)品技術共享。2.范圍限制：（1）僅傳輸實現(xiàn)上述目的的最小必要數(shù)據(jù)，不得傳輸超出約定范圍的信息；（2）排除國家秘密、個人敏感信息（如生物識別、健康醫(yī)療數(shù)據(jù)），除非甲方已依法取得單獨授權并完成合規(guī)評估。第三條合規(guī)義務甲方義務1.事前完成數(shù)據(jù)跨境傳輸安全評估：符合中國《數(shù)據(jù)出境安全評估辦法》，若需向監(jiān)管部門申報則按規(guī)定執(zhí)行；2.個人信息合規(guī)：已取得信息主體的單獨同意或其他法定許可（如適用）；3.數(shù)據(jù)分級分類：對傳輸數(shù)據(jù)完成內(nèi)部分級，僅傳輸非核心敏感級別的數(shù)據(jù)；4.信息披露：向乙方明確傳輸數(shù)據(jù)的類型、用途、存儲期限，不得隱瞞關鍵合規(guī)要求。乙方義務1.遵守所在國法規(guī)：符合當?shù)財?shù)據(jù)保護法律（如歐盟GDPR、美國CCPA等）；2.安全承諾：建立與甲方同等或更高水平的防護措施，不得將數(shù)據(jù)再傳輸至第三方（經(jīng)甲方書面同意且合規(guī)除外）；3.合規(guī)配合：配合甲方完成安全評估、監(jiān)管檢查，提供必要的安全審計報告。第四條數(shù)據(jù)安全防護措施1.傳輸安全：采用AES-256加密算法，通過專用VPN/專線傳輸，禁止未加密數(shù)據(jù)傳輸；2.存儲安全：乙方需將數(shù)據(jù)存儲在符合ISO27001認證的服務器，設置“最小權限”訪問控制（僅授權業(yè)務人員可訪問），定期備份（每月1次，備份數(shù)據(jù)加密存儲）；3.泄露應對：（1）乙方發(fā)現(xiàn)泄露后24小時內(nèi)通知甲方，甲方需按中國法規(guī)向監(jiān)管部門報告（若涉及個人信息）；（2）雙方共同采取補救措施（如暫停傳輸、修復漏洞），防止損失擴大；4.定期審計：每年度聯(lián)合開展1次數(shù)據(jù)安全審計，或委托第三方機構(gòu)審計，審計報告留存3年備查。第五條數(shù)據(jù)使用與留存1.使用限制：乙方僅可在本協(xié)議第二條約定的目的范圍內(nèi)使用數(shù)據(jù)，不得用于營銷、轉(zhuǎn)售等其他用途；2.留存期限：自傳輸完成之日起，至業(yè)務目的結(jié)束后6個月內(nèi)，乙方需刪除所有數(shù)據(jù)（含備份），或按甲方要求返回至中國境內(nèi)；3.銷毀要求：銷毀需采用不可恢復方式（如物理銷毀存儲介質(zhì)、數(shù)據(jù)擦除工具），并向甲方出具《數(shù)據(jù)銷毀證明》。第六條權責劃分與賠償1.甲方責任：若因未完成安全評估、未取得個人同意導致?lián)p失，承擔全部賠償責任（含第三方索賠、監(jiān)管罰款）；2.乙方責任：若因未履行安全防護義務導致數(shù)據(jù)泄露、濫用，承擔全部賠償責任（含甲方因此產(chǎn)生的律師費、訴訟費）；3.不可抗力：因戰(zhàn)爭、自然災害、政府合法指令導致的損失，雙方互不擔責，但需及時通知并采取補救措施。第七條協(xié)議變更與終止1.變更：需雙方書面同意，且變更內(nèi)容符合雙方所在地法規(guī)；2.終止情形：（1）雙方業(yè)務合作終止；（2）一方違約且30日內(nèi)未糾正；（3）法規(guī)變化導致協(xié)議無法履行；3.終止后義務：乙方需在終止后30日內(nèi)完成數(shù)據(jù)刪除/返回，甲方確認后出具《數(shù)據(jù)處理完畢確認書》。第八條爭議解決因本協(xié)議引起的爭議，雙方先協(xié)商；協(xié)商不成的，提交中國國際經(jīng)濟貿(mào)易仲裁委員會（CIETAC），按其屆時規(guī)則仲裁，仲裁地北京，裁決終局。第九條其他1.本協(xié)議自雙方簽字蓋章之日起生效；2.附件（《數(shù)據(jù)傳輸清單》《安全評估報告摘要》）為本協(xié)議