云網(wǎng)絡(luò)安全協(xié)議（2026年）本協(xié)議由以下雙方于2026年簽署：甲方（云服務(wù)提供商）：[CSP公司全名]，一家根據(jù)[注冊地國家/地區(qū)]法律注冊成立的實(shí)體，其注冊地址位于[公司注冊地址]。乙方（云客戶）：[用戶公司全名或個人姓名]，一家根據(jù)[注冊地國家/地區(qū)]法律注冊成立的實(shí)體（如適用）或個人，其地址位于[用戶地址]。（以下稱“雙方”）第一條定義與解釋除非本協(xié)議上下文另有明確說明，下列術(shù)語具有以下含義：1.1“云服務(wù)”是指由甲方通過其云平臺提供的計算、存儲、數(shù)據(jù)庫、網(wǎng)絡(luò)、軟件或其他類似服務(wù)，包括但不限于基礎(chǔ)設(shè)施即服務(wù)（IaaS）、平臺即服務(wù)（PaaS）和軟件即服務(wù)（SaaS）。1.2“云服務(wù)提供商（CSP）”是指提供云服務(wù)的甲方。1.3“云客戶（用戶）”是指使用云服務(wù)的乙方。1.4“數(shù)據(jù)”是指任何形式的信息，無論其格式如何，包括電子、物理或口頭形式，存儲在、傳輸?shù)交蚴褂眉追降脑品?wù)中的個人數(shù)據(jù)、非個人數(shù)據(jù)、商業(yè)秘密、知識產(chǎn)權(quán)或其他任何信息。1.5“安全責(zé)任”是指雙方根據(jù)本協(xié)議和相關(guān)法律法規(guī)承擔(dān)的與云安全相關(guān)的義務(wù)。1.6“安全事件”是指任何可能或已經(jīng)導(dǎo)致數(shù)據(jù)泄露、系統(tǒng)破壞、服務(wù)中斷、數(shù)據(jù)丟失或違反安全政策的事件，包括但不限于惡意攻擊、病毒感染、內(nèi)部濫用、配置錯誤和自然災(zāi)害。1.7“合規(guī)性”是指遵守適用于云服務(wù)提供和數(shù)據(jù)處理的相關(guān)法律法規(guī)、行業(yè)標(biāo)準(zhǔn)和最佳實(shí)踐，包括但不限于《通用數(shù)據(jù)保護(hù)條例》（GDPR）、《加州消費(fèi)者隱私法案》（CCPA）、《中華人民共和國網(wǎng)絡(luò)安全法》以及ISO27001、NISTCSF等。1.8“基礎(chǔ)設(shè)施”是指提供云服務(wù)的物理和虛擬資源，包括但不限于網(wǎng)絡(luò)設(shè)備、服務(wù)器、存儲設(shè)備、數(shù)據(jù)中心、軟件框架和虛擬化層。1.9“業(yè)務(wù)連續(xù)性”是指在面對中斷時，維持或快速恢復(fù)關(guān)鍵業(yè)務(wù)流程的能力。1.10“災(zāi)難恢復(fù)”是指在一個區(qū)域發(fā)生災(zāi)難時，將業(yè)務(wù)運(yùn)營轉(zhuǎn)移到備用區(qū)域的能力。第二條安全責(zé)任分配雙方同意基于共享責(zé)任模型劃分安全責(zé)任，具體如下：2.1“甲方（CSP）責(zé)任”：a.負(fù)責(zé)保護(hù)其云基礎(chǔ)設(shè)施（包括網(wǎng)絡(luò)、硬件、虛擬化層、宿主機(jī)）的安全，實(shí)施和維護(hù)基礎(chǔ)安全控制措施，如防火墻、入侵檢測/防御系統(tǒng)、防病毒軟件、操作系統(tǒng)和基礎(chǔ)軟件的補(bǔ)丁管理。b.提供安全、穩(wěn)定的云平臺和API接口，確保其設(shè)計、部署和運(yùn)營符合行業(yè)安全最佳實(shí)踐。c.負(fù)責(zé)云平臺層面的身份和訪問管理（IAM）框架的建立和運(yùn)營，包括提供身份驗(yàn)證機(jī)制。d.實(shí)施和保護(hù)傳輸中數(shù)據(jù)及靜態(tài)數(shù)據(jù)的加密，根據(jù)協(xié)議約定管理加密密鑰。e.確保物理數(shù)據(jù)中心符合相關(guān)的物理安全標(biāo)準(zhǔn)。f.遵守所有適用的數(shù)據(jù)保護(hù)和網(wǎng)絡(luò)安全法律法規(guī)。g.向用戶提供必要的安全日志和監(jiān)控工具，并確保其能夠記錄關(guān)鍵安全事件。h.定期對其安全措施進(jìn)行內(nèi)部和外部審計，并提供審計報告的訪問權(quán)限。i.建立并維護(hù)一個安全事件響應(yīng)計劃，并及時通知用戶發(fā)生重大安全事件。2.2“乙方（用戶）責(zé)任”：a.負(fù)責(zé)保護(hù)其賬戶的登錄憑證（包括密碼、密鑰等），并遵循安全的認(rèn)證實(shí)踐。b.根據(jù)其角色和職責(zé)，合理配置和管理工作和環(huán)境中的訪問權(quán)限，實(shí)施最小權(quán)限原則。c.對其上傳到云中的數(shù)據(jù)負(fù)責(zé)，包括確保數(shù)據(jù)的合規(guī)性、選擇合適的加密方法、實(shí)施數(shù)據(jù)訪問控制和安全策略。d.保護(hù)其自定義的應(yīng)用程序、中間件和操作系統(tǒng)，負(fù)責(zé)其安全配置、更新和補(bǔ)丁管理。e.配置和管理其云資源的安全設(shè)置，如安全組、網(wǎng)絡(luò)訪問控制列表（ACL）等。f.監(jiān)控其云資源和應(yīng)用的異?；顒?，并采取適當(dāng)?shù)捻憫?yīng)措施。g.確保其使用云服務(wù)的方式符合所有適用的數(shù)據(jù)保護(hù)和網(wǎng)絡(luò)安全法律法規(guī)。h.制定并執(zhí)行適用于其數(shù)據(jù)的特定安全策略和事件響應(yīng)計劃。i.在發(fā)生可能影響其數(shù)據(jù)安全的事件時，及時通知甲方。第三條合規(guī)性保證3.1甲方同意提供符合本協(xié)議約定合規(guī)性要求的云服務(wù)。甲方應(yīng)持有并保持與提供云服務(wù)相關(guān)的必要安全認(rèn)證，如ISO27001認(rèn)證，并將根據(jù)乙方要求向其提供相關(guān)認(rèn)證信息的訪問權(quán)限。3.2甲方應(yīng)定期（不晚于每年[具體日期或月份]）向乙方提供合規(guī)性報告，證明其云服務(wù)在上一報告期內(nèi)持續(xù)符合本協(xié)議約定的合規(guī)性要求，包括但不限于提及的法律法規(guī)和行業(yè)標(biāo)準(zhǔn)。3.3乙方同意，在使用云服務(wù)時，其數(shù)據(jù)處理活動應(yīng)符合適用的數(shù)據(jù)保護(hù)和隱私法律法規(guī)。甲方在處理乙方數(shù)據(jù)時，應(yīng)僅為實(shí)現(xiàn)提供云服務(wù)所必需，并遵守乙方的指示。3.4雙方均有權(quán)對其在協(xié)議履行過程中提供的、與安全或合規(guī)性相關(guān)的信息進(jìn)行保密，除非法律法規(guī)另有規(guī)定或獲得對方書面同意。第四條數(shù)據(jù)保護(hù)與隱私4.1數(shù)據(jù)加密：甲方應(yīng)在其控制下對傳輸中的數(shù)據(jù)（如通過傳輸層安全協(xié)議TLS）和靜態(tài)數(shù)據(jù)（如使用加密算法AES等）實(shí)施加密保護(hù)。甲方應(yīng)負(fù)責(zé)管理底層基礎(chǔ)設(shè)施的加密，乙方負(fù)責(zé)管理其應(yīng)用層或數(shù)據(jù)層的加密密鑰（如適用）。4.2數(shù)據(jù)處理：甲方僅應(yīng)處理為提供本協(xié)議項(xiàng)下云服務(wù)所必需的用戶數(shù)據(jù)，并應(yīng)遵守乙方的指示處理數(shù)據(jù)。4.3數(shù)據(jù)駐留：如乙方有特定數(shù)據(jù)駐留要求，應(yīng)在簽署本協(xié)議時告知甲方，甲方應(yīng)盡力滿足該等要求，前提是不違反適用的法律法規(guī)。4.4數(shù)據(jù)訪問控制：乙方應(yīng)負(fù)責(zé)配置其賬戶和環(huán)境的訪問權(quán)限，確保只有授權(quán)人員才能訪問其數(shù)據(jù)和相關(guān)資源。甲方應(yīng)提供工具和功能支持乙方的訪問控制策略。4.5數(shù)據(jù)泄露通知：發(fā)生安全事件可能導(dǎo)致乙方數(shù)據(jù)泄露時，甲方應(yīng)在合理可行的范圍內(nèi)，在檢測到事件后[具體小時數(shù)，如24或48]小時內(nèi)通知乙方。通知應(yīng)包含事件的性質(zhì)、可能的影響、已采取或建議采取的緩解措施以及事件調(diào)查的進(jìn)展情況。乙方在發(fā)現(xiàn)可能影響其數(shù)據(jù)安全的事件時，也應(yīng)立即通知甲方。4.6數(shù)據(jù)銷毀：在服務(wù)終止或根據(jù)本協(xié)議約定進(jìn)行數(shù)據(jù)刪除請求時，甲方應(yīng)在收到有效請求后[具體天數(shù)，如30]日內(nèi)，根據(jù)乙方指示安全地銷毀或返回乙方數(shù)據(jù)，并證明已執(zhí)行銷毀。4.7隱私政策：甲方應(yīng)提供其處理個人數(shù)據(jù)的隱私政策，并在乙方請求時提供訪問權(quán)限。第五條安全事件響應(yīng)與通知5.1雙方同意建立合作的安全事件響應(yīng)機(jī)制。發(fā)生安全事件時，雙方應(yīng)啟動各自的事件響應(yīng)計劃，并相互通報事件情況，協(xié)同進(jìn)行事件處理。5.2甲方應(yīng)在其安全事件響應(yīng)計劃中包含針對乙方通知的流程，并確保其人員了解如何識別、評估和響應(yīng)可能影響乙方的事件。5.3乙方應(yīng)在其安全事件響應(yīng)計劃中包含通知甲方的流程，并確保其人員了解在發(fā)生安全事件時及時通知甲方的義務(wù)。5.4雙方均應(yīng)努力在安全事件發(fā)生后，根據(jù)事件的性質(zhì)和嚴(yán)重程度，通過協(xié)商確定與對方共享信息的范圍和方式，以促進(jìn)有效的事件響應(yīng)。第六條安全審計與評估6.1甲方應(yīng)允許乙方或其指定的第三方審計者，在合理的時間內(nèi)、以甲方同意的方式進(jìn)行審計，以評估甲方履行本協(xié)議安全責(zé)任的情況。審計范圍可包括但不限于物理環(huán)境、安全控制措施、配置管理、事件響應(yīng)能力和合規(guī)性記錄。甲方應(yīng)提供必要的配合與協(xié)助。6.2甲方應(yīng)定期（如每年）對其安全措施和流程進(jìn)行內(nèi)部評估，并向乙方提供評估報告的摘要或關(guān)鍵發(fā)現(xiàn)。6.3乙方應(yīng)確保其自身的安全措施和流程與其在云中的數(shù)據(jù)處理活動相稱，并定期進(jìn)行自我評估。第七條安全保證與服務(wù)水平協(xié)議（SLA）7.1甲方應(yīng)提供其云服務(wù)的SLA，其中包含與安全相關(guān)的承諾和指標(biāo)，例如系統(tǒng)的可用性目標(biāo)、重大安全事件的平均響應(yīng)時間承諾等。SLA是本協(xié)議不可分割的一部分。7.2如甲方未能達(dá)到SLA中約定的安全相關(guān)承諾，乙方有權(quán)根據(jù)SLA的規(guī)定收取服務(wù)費(fèi)減免、服務(wù)信用額度或其他補(bǔ)償。具體補(bǔ)償方式見SLA。7.3除非本協(xié)議另有明確規(guī)定，甲方的賠償責(zé)任應(yīng)以直接、可預(yù)見損失為限，且甲方對任何單一事件的賠償責(zé)任不超過本協(xié)議期限內(nèi)乙方累計支付的服務(wù)費(fèi)用的[具體百分比，如百分比]%或[具體金額]，以較高者為準(zhǔn)。第八條免責(zé)聲明與責(zé)任限制8.1除非本協(xié)議明確約定，甲方不對因乙方及其用戶的錯誤配置、不當(dāng)使用、疏忽、故意行為或第三方攻擊導(dǎo)致的安全問題或數(shù)據(jù)損失承擔(dān)責(zé)任。8.2甲方不對因不可抗力（如自然災(zāi)害、戰(zhàn)爭、政府行為等）導(dǎo)致的服務(wù)中斷或未能履行其義務(wù)承擔(dān)責(zé)任，但甲方應(yīng)在合理范圍內(nèi)采取補(bǔ)救措施。8.3甲方不對任何間接、特殊、后果性或懲罰性損害承擔(dān)責(zé)任，包括但不限于利潤損失、業(yè)務(wù)中斷、數(shù)據(jù)丟失或聲譽(yù)損害，即使甲方已被告知可能發(fā)生此類損害。8.4本協(xié)議中關(guān)于責(zé)任限制的條款不影響用戶根據(jù)適用法律享有的個人責(zé)任或權(quán)利，也不妨礙用戶就甲方故意或重大過失造成的損害尋求救濟(jì)。第九條爭議解決9.1雙方應(yīng)首先通過友好協(xié)商解決本協(xié)議引起的或與本協(xié)議有關(guān)的任何爭議或分歧。9.2如果協(xié)商在[具體時間，如30]日內(nèi)未能解決爭議，雙方同意將爭議提交至[選擇仲裁或訴訟，如：位于[地點(diǎn)]的[仲裁機(jī)構(gòu)名稱]按照其屆時有效的仲裁規(guī)則進(jìn)行仲裁]，或提交至[地點(diǎn)]有管轄權(quán)的法院按照[國家/地區(qū)]法律進(jìn)行訴訟。仲裁裁決是終局的，對雙方均有約束力，且可在中國內(nèi)地法院強(qiáng)制執(zhí)行（如選擇中國內(nèi)地仲裁）。第十條協(xié)議期限與終止10.1本協(xié)議自雙方授權(quán)代表簽字并加蓋公章（如適用）之日起生效，有效期為[具體年限，如三年或五年]。10.2協(xié)議期滿前[具體時間，如三個月]，如雙方均未提出書面終止請求，本協(xié)議將自動續(xù)展[具體年限]，續(xù)展次數(shù)不限（或規(guī)定續(xù)展次數(shù)）。10.3任何一方可在協(xié)議有效期內(nèi)，通過向另一方發(fā)出書面通知提前[具體時間，如30]日終止本協(xié)議。提前終止應(yīng)考慮已產(chǎn)生的費(fèi)用和責(zé)任。10.4在發(fā)生以下情況時，守約方有權(quán)立即終止本協(xié)議：另一方嚴(yán)重違反本協(xié)議且在收到書面通知后[具體時間，如30]日內(nèi)未能糾正。10.5協(xié)議終止時，關(guān)于保密、知識產(chǎn)權(quán)、責(zé)任限制、法律適用和爭議解決的條款仍然有效。第十一條修訂與變更11.1對本協(xié)議的任何修訂或變更，均需經(jīng)雙方授權(quán)代表簽署書面文件方能生效。11.2所有書面修訂或變更應(yīng)成為本協(xié)議不可分割的一部分，與本協(xié)議原始文本具有同等法律效力。第十二條法律適用與管轄12.1本協(xié)議的訂立、效力、解釋、履行及爭議解決均適用中華人民共和國法律（為本協(xié)議之目的，不包括香港特別行政區(qū)、澳門特別行政區(qū)和臺灣地區(qū)法律）。12.2本協(xié)議的任何一方在簽署本協(xié)議時均為合法存續(xù)的法人或具備完全民事行為能力的自然人，并有權(quán)簽署本協(xié)議。第十三條完整協(xié)議13.1本協(xié)議構(gòu)成雙方就本協(xié)議主題達(dá)成的完整協(xié)議，取代雙方此前就該主題進(jìn)行的所有口頭或書面溝通、陳述、諒解或協(xié)議。13.2對本協(xié)議的任何背離均需以書面形式作出并經(jīng)雙方授權(quán)代表簽署。第十四條轉(zhuǎn)讓14.1未經(jīng)另一方事先書面同意，任何一方不得將其在本協(xié)議項(xiàng)下的權(quán)利或義務(wù)部分或全部轉(zhuǎn)讓給任何第三方。第十五條可分割性15.1如果本協(xié)議的任何條款被有管轄權(quán)的法院或仲裁機(jī)構(gòu)判定為無效、非法或不可執(zhí)行，該條款應(yīng)被視為從本協(xié)