2026年生物識別數(shù)據(jù)保護合同本合同由以下雙方于[日期]在[地點]簽訂：甲方（數(shù)據(jù)控制者）：[甲方名稱]注冊地址：[甲方注冊地址]聯(lián)系人：[甲方聯(lián)系人]聯(lián)系方式：[甲方聯(lián)系方式]乙方（數(shù)據(jù)處理者）：[乙方名稱]注冊地址：[乙方注冊地址]聯(lián)系人：[乙方聯(lián)系人]聯(lián)系方式：[乙方聯(lián)系方式]（以下簡稱“雙方”）鑒于：（a）雙方希望利用乙方提供的服務(wù)處理甲方的生物識別數(shù)據(jù)；（b）雙方認識到生物識別數(shù)據(jù)具有高度敏感性，并需按照適用的數(shù)據(jù)保護法律（包括但不限于《2026年通用數(shù)據(jù)保護條例》及屆時有效的其他相關(guān)法律）進行特殊保護；（c）甲方是生物識別數(shù)據(jù)的控制者，負責(zé)確定處理的目的和方式；（d）乙方是數(shù)據(jù)處理者，將在甲方的指示下處理生物識別數(shù)據(jù)；（e）雙方希望明確在處理生物識別數(shù)據(jù)過程中的權(quán)利、義務(wù)和責(zé)任。雙方經(jīng)友好協(xié)商，達成如下協(xié)議，以資共同遵守：第一條定義與解釋1.1在本合同中，除非上下文另有明確說明，下列術(shù)語具有以下含義：1.1.1“生物識別數(shù)據(jù)”是指通過分析個人生理或行為特征（如指紋、面部幾何、虹膜、聲紋、步態(tài)等）進行識別的個人數(shù)據(jù)，包括生成生物識別模板所使用的生物樣本。1.1.2“數(shù)據(jù)主體”是指能夠被識別，無論是直接還是間接，特別是通過參考一個標識符或一個或多個與該個人可識別的屬性相關(guān)聯(lián)的標識符的個人。1.1.3“數(shù)據(jù)控制者”是指確定處理生物識別數(shù)據(jù)的目的和方式的組織或個人。1.1.4“數(shù)據(jù)處理者”是指在數(shù)據(jù)控制者的指示下處理個人數(shù)據(jù)的組織或個人。1.1.5“數(shù)據(jù)保護影響評估”（DPIA）是指為評估處理活動對個人權(quán)利和自由（特別是生物識別數(shù)據(jù)）的潛在風(fēng)險而進行的評估。1.1.6“法律依據(jù)”是指處理個人數(shù)據(jù)所依據(jù)的法律基礎(chǔ)，如數(shù)據(jù)主體的同意、履行合同所必需、法律義務(wù)、公共利益、合法利益或數(shù)據(jù)主體的授權(quán)。1.1.7“安全措施”是指為保護生物識別數(shù)據(jù)而采取的技術(shù)和組織措施，包括加密、訪問控制、入侵檢測、去標識化、安全策略和培訓(xùn)等。1.1.8“數(shù)據(jù)泄露”是指未經(jīng)授權(quán)的訪問、披露、丟失、篡改或破壞個人數(shù)據(jù)的事件。1.1.9“監(jiān)管機構(gòu)”是指負責(zé)監(jiān)督和執(zhí)行數(shù)據(jù)保護法律的政府機構(gòu)。1.1.10“關(guān)聯(lián)方”是指直接或間接控制一方或多方、或能對一方的控制或管理產(chǎn)生重大影響的組織或個人。1.2本合同應(yīng)依據(jù)適用的數(shù)據(jù)保護法律進行解釋。如果本合同中的任何條款與適用的法律相沖突，則該條款應(yīng)按照適用法律進行修改或替換，以符合適用法律的要求。第二條數(shù)據(jù)處理范圍與目的2.1乙方的義務(wù)限于根據(jù)甲方的明確指示處理生物識別數(shù)據(jù)。2.2甲方詳細說明本合同項下授權(quán)乙方處理的生物識別數(shù)據(jù)的具體類型（例如，指紋、面部圖像、虹膜掃描等）。2.3甲方詳細說明處理生物識別數(shù)據(jù)的目的。處理目的應(yīng)具有合法性、特定性、直接相關(guān)性和相稱性。未經(jīng)甲方書面同意，乙方不得超出授權(quán)范圍處理數(shù)據(jù)。2.4乙方應(yīng)僅為了實現(xiàn)約定的處理目的而處理數(shù)據(jù)，并應(yīng)采取必要的措施防止數(shù)據(jù)用于其他目的。第三條數(shù)據(jù)主體的權(quán)利保障3.1甲方應(yīng)確保其履行適用的數(shù)據(jù)保護法律規(guī)定的、與生物識別數(shù)據(jù)相關(guān)的數(shù)據(jù)主體權(quán)利，包括但不限于：3.1.1訪問其生物識別數(shù)據(jù)的權(quán)利；3.1.2獲取其生物識別數(shù)據(jù)副本的權(quán)利；3.1.3要求更正不準確或不完整的生物識別數(shù)據(jù)的權(quán)利；3.1.4要求限制或反對處理其生物識別數(shù)據(jù)的權(quán)利，特別是當處理基于合法利益時；3.1.5要求刪除其生物識別數(shù)據(jù)（被遺忘權(quán)）的權(quán)利，除非存在法律規(guī)定的例外情況；3.1.6要求數(shù)據(jù)可攜帶的權(quán)利，以特定格式接收其生物識別數(shù)據(jù)并傳輸給另一控制者的權(quán)利；3.1.7要求不對其生物識別數(shù)據(jù)進行自動化決策（包括profilering）的權(quán)利。3.2乙方應(yīng)向甲方提供必要的協(xié)助，以使甲方能夠有效地響應(yīng)數(shù)據(jù)主體的權(quán)利請求。乙方應(yīng)在收到甲方合理請求時，及時提供所需的信息和采取必要的措施。3.3甲方應(yīng)告知數(shù)據(jù)主體其生物識別數(shù)據(jù)正在被處理，處理的目的，數(shù)據(jù)的接收者，數(shù)據(jù)存儲期限，數(shù)據(jù)主體的權(quán)利以及數(shù)據(jù)主體行使權(quán)利的聯(lián)系方式。第四條法律依據(jù)與同意管理4.1甲方應(yīng)確保處理生物識別數(shù)據(jù)具有合法依據(jù)。處理目的涉及對數(shù)據(jù)主體產(chǎn)生重大影響的活動（特別是遠程、無感或大規(guī)模生物識別數(shù)據(jù)處理），其法律依據(jù)通常是數(shù)據(jù)主體的明確同意。4.2甲方負責(zé)獲取、記錄、存儲和定期審查數(shù)據(jù)主體同意。同意應(yīng)具體、清晰，并易于撤回。甲方應(yīng)提供簡單易行的方式供數(shù)據(jù)主體撤回其同意。4.3除非獲得數(shù)據(jù)主體的明確同意，否則不得處理旨在識別數(shù)據(jù)主體的生物識別數(shù)據(jù)，除非處理是履行合同所必需的，或者是為了保護數(shù)據(jù)主體或他人的重大利益所必需的，或者是為了公共利益或行使官方權(quán)力所必需的，并且該處理符合適用法律的嚴格條件。4.4乙方應(yīng)僅在獲得甲方提供的、有效的法律依據(jù)時才處理生物識別數(shù)據(jù)。第五條數(shù)據(jù)保護影響評估（DPIA）5.1對于本合同項下任何可能對個人權(quán)利和自由（特別是生物識別數(shù)據(jù)）產(chǎn)生高風(fēng)險的處理活動，甲方必須進行數(shù)據(jù)保護影響評估。5.2甲方應(yīng)在啟動處理活動前至少提前[具體時間，例如：30]天通知乙方，并告知進行DPIA的必要性。5.3乙方應(yīng)在收到甲方的通知后，根據(jù)其專業(yè)知識，向甲方提供關(guān)于進行DPIA所需信息、潛在風(fēng)險以及減輕風(fēng)險措施的協(xié)助和建議。5.4DPIA的結(jié)果應(yīng)記錄在案，并采取適當?shù)木徑獯胧┮越档妥R別風(fēng)險。5.5甲方應(yīng)在DPIA完成后[具體時間，例如：10]天內(nèi)，將DPIA報告的副本提供給乙方以及[如適用]相關(guān)的監(jiān)管機構(gòu)。第六條數(shù)據(jù)安全措施6.1乙方應(yīng)采取充分的技術(shù)和組織措施，確保生物識別數(shù)據(jù)的安全，保護其免受未經(jīng)授權(quán)或非法的處理、意外丟失、毀損或破壞，以及未經(jīng)授權(quán)的訪問，包括對數(shù)據(jù)的安全傳輸和存儲。6.2安全措施應(yīng)至少包括：6.2.1采取加密措施，對傳輸中和靜態(tài)存儲的生物識別數(shù)據(jù)進行加密。6.2.2實施嚴格訪問控制，確保只有經(jīng)過授權(quán)的人員才能訪問生物識別數(shù)據(jù)，并遵循最小權(quán)限原則。6.2.3定期進行安全審計和風(fēng)險評估。6.2.4部署入侵檢測和防御系統(tǒng)。6.2.5對接觸生物識別數(shù)據(jù)的員工進行數(shù)據(jù)保護意識和安全培訓(xùn)。6.2.6制定并實施數(shù)據(jù)泄露應(yīng)急響應(yīng)計劃。6.2.7對生物識別數(shù)據(jù)進行去標識化或假名化處理，除非處理目的需要識別該個人。6.2.8確保物理環(huán)境的安全，防止未經(jīng)授權(quán)的物理訪問。6.3乙方應(yīng)定期（至少每年一次）審核其數(shù)據(jù)安全措施的有效性，并根據(jù)最新的技術(shù)和法律要求進行更新。6.4如果乙方使用子處理者處理生物識別數(shù)據(jù)，乙方應(yīng)確保該子處理者也遵守本合同規(guī)定的安全要求和數(shù)據(jù)保護義務(wù)，并應(yīng)向甲方通報子處理者的名稱和聯(lián)系方式，以及處理活動的性質(zhì)和范圍。第七條數(shù)據(jù)傳輸與跨境傳輸7.1除非獲得甲方事先的書面同意，否則乙方不得將生物識別數(shù)據(jù)傳輸?shù)奖O(jiān)管司法管轄區(qū)，除非該司法管轄區(qū)提供了與甲方所在司法管轄區(qū)相當?shù)臄?shù)據(jù)保護水平，或者甲方已與乙方協(xié)商并采取了適當?shù)谋Ｕ洗胧ㄈ鐦藴屎贤瑮l款、具有約束力的公司規(guī)則、行為準則或認證機制）。7.2乙方在跨境傳輸生物識別數(shù)據(jù)前，應(yīng)向甲方提供相關(guān)司法管轄區(qū)法律和保護的評估報告，并說明擬采取的保障措施。第八條數(shù)據(jù)存儲期限與刪除8.1甲方應(yīng)確定并記錄處理生物識別數(shù)據(jù)的存儲期限。存儲期限應(yīng)盡可能短，僅限于實現(xiàn)處理目的所必需的最短時間。8.2除非法律要求或甲方有合法理由需要保留，一旦達到存儲目的或數(shù)據(jù)主體行使刪除權(quán)，甲方應(yīng)要求乙方刪除或返回所有相關(guān)的生物識別數(shù)據(jù)及其衍生信息。8.3乙方應(yīng)在收到甲方的刪除要求后，根據(jù)甲方的指示和適用的法律要求，安全地刪除或返回數(shù)據(jù)，并證明已采取行動。8.4甲方應(yīng)確保在合同終止后，根據(jù)本合同規(guī)定，其要求乙方刪除數(shù)據(jù)的義務(wù)得到履行。第九條數(shù)據(jù)控制者與處理者的責(zé)任與義務(wù)9.1甲方的責(zé)任：9.1.1確保處理生物識別數(shù)據(jù)的合法性、合規(guī)性和目的相稱性。9.1.2決定處理的目的和方式。9.1.3履行數(shù)據(jù)主體關(guān)于生物識別數(shù)據(jù)的權(quán)利請求。9.1.4進行必要的數(shù)據(jù)保護影響評估。9.1.5任命數(shù)據(jù)保護官（如適用）。9.1.6監(jiān)督乙方對其指示的處理活動的合規(guī)性。9.1.7確保乙方遵守本合同項下的安全要求和數(shù)據(jù)保護義務(wù)。9.2乙方的責(zé)任：9.2.1僅根據(jù)甲方的指示處理生物識別數(shù)據(jù)。9.2.2確保處理活動符合本合同約定和適用的數(shù)據(jù)保護法律。9.2.3采取充分的安全措施保護生物識別數(shù)據(jù)。9.2.4協(xié)助甲方履行其數(shù)據(jù)保護義務(wù)，包括進行DPIA、響應(yīng)數(shù)據(jù)主體的權(quán)利請求、參與審計等。9.2.5在發(fā)生數(shù)據(jù)泄露時，立即通知甲方，并協(xié)助甲方采取補救措施和履行通知監(jiān)管機構(gòu)和數(shù)據(jù)主體的義務(wù)。9.2.6維護生物識別數(shù)據(jù)的機密性。9.2.7不將生物識別數(shù)據(jù)用于任何與甲方指示無關(guān)的目的。9.2.8確保其員工了解并遵守本合同項下的數(shù)據(jù)保護義務(wù)。第十條數(shù)據(jù)泄露通知10.1乙方一旦發(fā)現(xiàn)或合理懷疑發(fā)生涉及生物識別數(shù)據(jù)的數(shù)據(jù)泄露，應(yīng)立即通知甲方。通知應(yīng)包括數(shù)據(jù)泄露的概述、可能的影響、已采取或?qū)⒁扇〉拇胧┮约耙曳降穆?lián)系信息。10.2甲方應(yīng)在知曉數(shù)據(jù)泄露后，根據(jù)適用的數(shù)據(jù)保護法律規(guī)定的時限內(nèi)，通知相關(guān)的監(jiān)管機構(gòu)（如有必要）和數(shù)據(jù)主體（如適用）。通知內(nèi)容應(yīng)包括數(shù)據(jù)泄露的性質(zhì)和范圍、可能的風(fēng)險、已采取或?qū)⒁扇〉拇胧┮约氨O(jiān)管機構(gòu)和數(shù)據(jù)主體的聯(lián)系方式。10.3雙方應(yīng)合作，共同響應(yīng)數(shù)據(jù)泄露事件，并采取必要的措施減輕其不利影響。第十一條計費與審計11.1乙方的服務(wù)費用應(yīng)根據(jù)雙方另行商定的價格清單確定。該價格清單可包括處理生物識別數(shù)據(jù)的安全措施費用。11.2甲方有權(quán)對乙方的數(shù)據(jù)處理活動進行審計，以驗證乙方是否遵守了本合同的規(guī)定以及適用的數(shù)據(jù)保護法律。甲方應(yīng)在進行審計前[具體時間，例如：30]天通知乙方。11.3乙方應(yīng)提供必要的合作，以使甲方能夠順利進行審計。乙方應(yīng)提供所有相關(guān)的記錄和文檔，并回答甲方提出的合理問題。11.4審計費用由[約定承擔(dān)方，例如：甲方]承擔(dān)，但如果審計發(fā)現(xiàn)乙方違反了本合同或適用法律，則審計費用應(yīng)由乙方承擔(dān)。第十二條違約責(zé)任與救濟12.1如果任何一方違反本合同的規(guī)定，另一方有權(quán)要求違約方立即糾正違約行為。12.2如果違約方未能糾正違約行為，或其違約行為構(gòu)成嚴重違約（如違反安全措施、數(shù)據(jù)主體權(quán)利、法律義務(wù)等），守約方有權(quán)采取以下一項或多項救濟措施：12.2.1要求違約方支付違約金，違約金金額為[具體金額或計算方式，例如：因違約行為給守約方造成的直接損失的倍數(shù)]倍的合同總價。12.2.2中止本合同的履行。12.2.3解除本合同。12.3如果乙方違反其安全措施義務(wù)，導(dǎo)致生物識別數(shù)據(jù)泄露，乙方應(yīng)承擔(dān)全部責(zé)任，并賠償甲方因此遭受的直接和間接損失（包括但不限于損害賠償、監(jiān)管罰款、聲譽損失等）。12.4本合同中的違約金條款是補充性的，不影響守約方尋求其他法律救濟的權(quán)利。第十三條合同期限、終止與終止后義務(wù)13.1本合同自雙方簽字蓋章之日起生效，有效期為[具體年限，例如：三年]。期滿后，本合同自動續(xù)展[具體年限，例如：一年]，除非任何一方提前[具體時間，例如：三個月]書面通知另一方終止本合同。13.2任何一方可在以下情況下書面通知另一方終止本合同：13.2.1另一方發(fā)生嚴重違約，且在收到通知后[具體時間，例如：30]天內(nèi)未能糾正。13.2.2另一方進入破產(chǎn)、清算或解散程序。13.2.3適用法律發(fā)生重大變化，導(dǎo)致本合同無法履行。13.3在本合同終止時，乙方應(yīng)：13.3.1立即停止所有與生物識別數(shù)據(jù)相關(guān)的處理活動，除非本合同另有約定或法律要求。13.3.2根據(jù)甲方的指示，刪除或返回所有相關(guān)的生物識別數(shù)據(jù)及其衍生信息，并證明已采取行動。13.3.3保存必要的處理記錄，以滿足適用的法律和監(jiān)管要求，保存期限為[具體年限，例如：五年]，之后應(yīng)安全刪除。13.3.4對其在處理生物識別數(shù)據(jù)過程中知悉的甲方商業(yè)秘密承擔(dān)保密義務(wù)，該義務(wù)在本合同終止后持續(xù)有效。13.4即使本合同終止，雙方在本合同項下關(guān)于保密、數(shù)據(jù)泄露通知、責(zé)任、法律適用和爭議解決的約定仍然有效。第十四條保密義務(wù)14.1雙方應(yīng)對在本合同履行過程中獲知的對方的商業(yè)秘密和機密信息承擔(dān)保密義務(wù)。該保密義務(wù)不因本合同的終止而解除。14.2未經(jīng)對方書面同意，任何一方不得向任何第三方披露該保密信息，但為履行本合同或法律要求而必須披露的除外。在披露給第三方時，應(yīng)要求該第三方承擔(dān)同等的保密義務(wù)。14.3本條所稱“保密信息”不包括：一方在披露前已公開的信息；一方從有權(quán)披露的第三方合法獲得的信息；該信息已進入公共領(lǐng)域；該信息是其員工或前員工在披露前已知曉且無保密義務(wù)的情況下合法知曉的。第十五條免責(zé)聲明與不可抗力15.1任何一方不對因第三方行為、數(shù)據(jù)主體過錯、不可抗力或適用法律的規(guī)定而造成的損失負責(zé)。15.2“不可抗力”是指雙方不能合理控制、不可預(yù)見且無法避免的事件，包括但不限于自然災(zāi)害、戰(zhàn)爭、恐怖襲擊、政府行為、法律變化等。15.3遭遇不可抗力的一方應(yīng)立即通知另一方，并提供相關(guān)證明。雙方應(yīng)協(xié)商決定是否暫?；蚪K止本合同。因不可抗力導(dǎo)致本合同無法履行的一方，不承擔(dān)違約責(zé)任。第十六條法律適用與爭議解決16.1本合同的訂立、效力、解釋、履行及爭議解決均適用[選擇特定國家或地區(qū)，例如：歐盟]法律。16.2因本合同引起的或與本合同有關(guān)的任何爭議，雙方應(yīng)首先通過友好協(xié)商解決。協(xié)商不成的，任何一方均有權(quán)將爭議提交至[選擇仲裁機構(gòu)，例如：位于[地點]的[仲裁機構(gòu)名稱]]，按照該仲裁機構(gòu)的屆時有效的仲裁規(guī)則進行仲裁。仲裁裁決是終局的，對雙方均有約束力。16.3仲裁地點為[仲裁地點]。仲裁語言為[仲裁語言]。（或者，如果選擇訴訟：16.2因本合同引起的或與本合同有關(guān)的任何爭議，雙方應(yīng)首先通過友好協(xié)商解決