云計(jì)算服務(wù)安全協(xié)議（2026年）本協(xié)議由以下雙方于2026年簽署：甲方（云服務(wù)用戶）：[用戶公司全稱]法定地址：[用戶公司地址]統(tǒng)一社會(huì)信用代碼：[用戶公司統(tǒng)一社會(huì)信用代碼]乙方（云服務(wù)提供商）：[服務(wù)商公司全稱]法定地址：[服務(wù)商公司地址]統(tǒng)一社會(huì)信用代碼：[服務(wù)商公司統(tǒng)一社會(huì)信用代碼]（以下簡(jiǎn)稱“甲方”和“乙方”）鑒于：（a）乙方提供云計(jì)算服務(wù)（以下簡(jiǎn)稱“云服務(wù)”），包括但不限于計(jì)算資源、存儲(chǔ)空間、數(shù)據(jù)庫(kù)服務(wù)、網(wǎng)絡(luò)服務(wù)及應(yīng)用平臺(tái)等；（b）甲方希望使用乙方的云服務(wù)，并要求乙方采取合理的措施保護(hù)甲方在使用云服務(wù)過(guò)程中處理、存儲(chǔ)或傳輸?shù)臄?shù)據(jù)（以下簡(jiǎn)稱“用戶數(shù)據(jù)”）及其他相關(guān)資產(chǎn)的安全；（c）雙方希望明確在保障云服務(wù)安全方面各自的權(quán)利和義務(wù)。根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、《中華人民共和國(guó)數(shù)據(jù)安全法》、《中華人民共和國(guó)個(gè)人信息保護(hù)法》及相關(guān)法律法規(guī)，本著平等互利、誠(chéng)實(shí)信用的原則，雙方經(jīng)友好協(xié)商，達(dá)成如下協(xié)議，以資共同遵守。第一條定義與解釋除非本協(xié)議上下文另有解釋，下列術(shù)語(yǔ)具有以下含義：1.1“云服務(wù)”是指乙方提供給甲方的基于云計(jì)算技術(shù)的各類服務(wù)，包括但不限于基礎(chǔ)設(shè)施即服務(wù)（IaaS）、平臺(tái)即服務(wù)（PaaS）和軟件即服務(wù)（SaaS）。1.2“用戶數(shù)據(jù)”是指甲方在使用云服務(wù)過(guò)程中通過(guò)云服務(wù)處理、傳輸、存儲(chǔ)或生成的任何形式的數(shù)據(jù)，包括但不限于個(gè)人信息、商業(yè)秘密、知識(shí)產(chǎn)權(quán)及其他非公開(kāi)信息。1.3“安全事件”是指任何可能導(dǎo)致用戶數(shù)據(jù)泄露、丟失、損壞，或影響云服務(wù)可用性、完整性的安全相關(guān)事件，包括但不限于未經(jīng)授權(quán)的訪問(wèn)、惡意攻擊、系統(tǒng)漏洞、自然災(zāi)害等。1.4“可用性”是指云服務(wù)按照約定水平正常運(yùn)行的能力。1.5“完整性”是指用戶數(shù)據(jù)未經(jīng)授權(quán)不被修改或破壞。1.6“保密信息”是指一方（披露方）向另一方（接收方）披露的、未公開(kāi)的、與披露方業(yè)務(wù)或技術(shù)相關(guān)的任何信息，包括但不限于用戶數(shù)據(jù)、技術(shù)秘密、經(jīng)營(yíng)信息、安全策略、客戶名單等。1.7“安全配置基線”是指乙方為保障云平臺(tái)安全而制定的、推薦或強(qiáng)制執(zhí)行的安全配置標(biāo)準(zhǔn)和實(shí)踐集合。1.8“安全審計(jì)”是指對(duì)安全措施、流程和控制的有效性進(jìn)行的檢查和評(píng)估。1.9“業(yè)務(wù)影響事件”是指因安全事件或其他原因?qū)е聵I(yè)務(wù)運(yùn)營(yíng)中斷或受損的事件。第二條適用范圍與責(zé)任劃分2.1乙方責(zé)任：2.1.1基礎(chǔ)設(shè)施安全：乙方負(fù)責(zé)保障其數(shù)據(jù)中心、網(wǎng)絡(luò)設(shè)施、硬件設(shè)備、基礎(chǔ)軟件（如操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)）等的物理安全、網(wǎng)絡(luò)安全和運(yùn)行安全，符合國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)要求及行業(yè)最佳實(shí)踐標(biāo)準(zhǔn)（如ISO27001）。2.1.2平臺(tái)安全：乙方負(fù)責(zé)持續(xù)監(jiān)控、維護(hù)和更新其提供的云平臺(tái)軟件、中間件及虛擬化環(huán)境，及時(shí)應(yīng)用安全補(bǔ)丁，定期進(jìn)行漏洞掃描和滲透測(cè)試，并對(duì)外披露重大漏洞信息。2.1.3數(shù)據(jù)傳輸與存儲(chǔ)安全：乙方承諾使用行業(yè)標(biāo)準(zhǔn)的強(qiáng)加密協(xié)議（如TLS1.3）保護(hù)用戶數(shù)據(jù)在傳輸過(guò)程中的安全。對(duì)于用戶數(shù)據(jù)的存儲(chǔ)，乙方應(yīng)根據(jù)甲方的選擇或服務(wù)類型，提供加密存儲(chǔ)選項(xiàng)；若采用默認(rèn)加密，則應(yīng)明確加密算法和密鑰管理責(zé)任。乙方應(yīng)采取合理措施防止數(shù)據(jù)在存儲(chǔ)過(guò)程中被未授權(quán)訪問(wèn)或泄露。2.1.4訪問(wèn)控制：乙方應(yīng)實(shí)施嚴(yán)格的身份和訪問(wèn)管理機(jī)制，包括但不限于多因素認(rèn)證（MFA）、基于角色的訪問(wèn)控制（RBAC）、特權(quán)訪問(wèn)管理（PAM）等，確保只有授權(quán)用戶才能訪問(wèn)其授權(quán)的云資源。2.1.5安全監(jiān)控與事件響應(yīng)：乙方應(yīng)部署和維護(hù)安全信息和事件管理（SIEM）系統(tǒng)，對(duì)云環(huán)境進(jìn)行持續(xù)的安全監(jiān)控和日志記錄。乙方應(yīng)制定并演練安全事件響應(yīng)計(jì)劃，在發(fā)生安全事件時(shí)，及時(shí)采取補(bǔ)救措施，并按照本協(xié)議約定及時(shí)通知甲方。2.1.6合規(guī)性：乙方應(yīng)遵守所有適用于其運(yùn)營(yíng)所在地的中國(guó)及甲方法定管轄地的網(wǎng)絡(luò)安全、數(shù)據(jù)保護(hù)、個(gè)人信息保護(hù)等相關(guān)法律法規(guī)和行業(yè)標(biāo)準(zhǔn)。乙方應(yīng)向甲方提供其遵守相關(guān)合規(guī)要求的證明文件或報(bào)告（如適用）。2.1.7安全評(píng)估與報(bào)告：乙方應(yīng)定期（例如每年）接受第三方獨(dú)立安全審計(jì)，并向甲方提供審計(jì)報(bào)告。乙方應(yīng)配合甲方進(jìn)行合理范圍內(nèi)的安全審計(jì)。2.1.8免責(zé)聲明：乙方不對(duì)因甲方原因（包括但不限于未遵守本協(xié)議約定、用戶數(shù)據(jù)本身的性質(zhì)、用戶自行實(shí)施的非標(biāo)準(zhǔn)配置）、第三方攻擊（包括惡意軟件、網(wǎng)絡(luò)釣魚(yú)、拒絕服務(wù)攻擊等）、不可抗力或法律法規(guī)變化而導(dǎo)致的安全問(wèn)題或損失承擔(dān)責(zé)任。2.2甲方責(zé)任：2.2.1數(shù)據(jù)分類與保護(hù)：甲方負(fù)責(zé)對(duì)其上載至云服務(wù)的用戶數(shù)據(jù)進(jìn)行分類，并根據(jù)數(shù)據(jù)的敏感性、重要性和合規(guī)要求，采取必要的加密、脫敏、訪問(wèn)控制等措施保護(hù)數(shù)據(jù)安全。2.2.2身份與訪問(wèn)管理：甲方負(fù)責(zé)創(chuàng)建、管理和保護(hù)其用戶賬戶的登錄憑證（包括用戶名和密碼、密鑰等）。甲方應(yīng)確保只有經(jīng)過(guò)授權(quán)的人員才能訪問(wèn)其使用的云資源，并定期審查和撤銷不再需要的訪問(wèn)權(quán)限。2.2.3安全配置：甲方負(fù)責(zé)根據(jù)其自身安全策略，對(duì)其使用的云服務(wù)組件（如虛擬機(jī)、數(shù)據(jù)庫(kù)實(shí)例、存儲(chǔ)卷、負(fù)載均衡器等）進(jìn)行安全配置，并確保配置符合安全最佳實(shí)踐，避免已知的安全漏洞和配置缺陷。2.2.4安全意識(shí)與培訓(xùn)：甲方應(yīng)確保其接觸云服務(wù)的員工接受必要的安全意識(shí)培訓(xùn)，了解相關(guān)的安全政策、操作規(guī)程以及如何防范常見(jiàn)的安全威脅。2.2.5數(shù)據(jù)備份與恢復(fù)：甲方應(yīng)負(fù)責(zé)執(zhí)行其數(shù)據(jù)備份策略，并定期測(cè)試備份數(shù)據(jù)的完整性和可恢復(fù)性。乙方應(yīng)提供支持甲方備份需求的工具或服務(wù)，甲方需負(fù)責(zé)使用這些工具或服務(wù)完成備份操作。2.2.6遵守協(xié)議：甲方應(yīng)遵守本協(xié)議的各項(xiàng)條款以及乙方發(fā)布的服務(wù)條款、使用政策及安全指南。2.2.7保密：甲方應(yīng)對(duì)其提供的保密信息以及從乙方獲取的保密信息（包括用戶數(shù)據(jù)）承擔(dān)保密義務(wù)，未經(jīng)乙方書(shū)面同意，不得向任何第三方披露，除非法律法規(guī)要求或有權(quán)機(jī)關(guān)依法調(diào)取。第三條安全措施與管理3.1乙方應(yīng)實(shí)施包括但不限于以下安全措施：3.1.1物理安全：保障數(shù)據(jù)中心具備嚴(yán)格的物理訪問(wèn)控制、環(huán)境監(jiān)控（溫濕度、電力、消防）、視頻監(jiān)控及災(zāi)難恢復(fù)能力。3.1.2網(wǎng)絡(luò)安全：部署防火墻、入侵檢測(cè)/防御系統(tǒng)（IDS/IPS）、DDoS攻擊防護(hù)措施，并進(jìn)行網(wǎng)絡(luò)區(qū)域劃分和隔離（如VPC/VNet）。3.1.3應(yīng)用安全：提供或建議使用Web應(yīng)用防火墻（WAF）等應(yīng)用層安全防護(hù)措施。3.1.4數(shù)據(jù)加密：提供支持用戶選擇的數(shù)據(jù)傳輸加密（如TLS）和數(shù)據(jù)存儲(chǔ)加密服務(wù)。3.1.5密鑰管理：提供安全可靠的密鑰管理服務(wù)（如云KMS），支持用戶創(chuàng)建、存儲(chǔ)、輪換、使用和銷毀加密密鑰。明確密鑰管理的責(zé)任主體（如用戶管理、乙方管理或混合模式）。3.1.6安全審計(jì)與日志：記錄與安全相關(guān)的操作日志和事件日志（如登錄日志、訪問(wèn)日志、操作日志、安全事件日志等），日志保留期限不少于[例如：滿足合規(guī)要求的最長(zhǎng)期限]，并提供接口供甲方訪問(wèn)或配合甲方審計(jì)。確保日志的完整性和不可否認(rèn)性。3.1.7配置管理：實(shí)施配置管理流程，跟蹤安全配置基線，管理變更請(qǐng)求，確保持續(xù)符合安全要求。3.2甲方在使用云服務(wù)時(shí)應(yīng)實(shí)施以下安全管理措施：3.2.1訪問(wèn)控制：嚴(yán)格執(zhí)行最小權(quán)限原則，為不同用戶分配恰當(dāng)?shù)脑L問(wèn)權(quán)限。3.2.2安全配置：根據(jù)業(yè)務(wù)需求和安全要求，配置其使用的云資源，并定期進(jìn)行安全檢查。3.2.3安全監(jiān)控：利用乙方提供的監(jiān)控工具或自行部署監(jiān)控手段，監(jiān)控其云資源的安全狀態(tài)。第四條安全事件響應(yīng)與通知4.1雙方同意，在發(fā)生或懷疑發(fā)生安全事件時(shí)，應(yīng)立即啟動(dòng)應(yīng)急響應(yīng)流程。4.2事件響應(yīng)流程應(yīng)包括但不限于：初步遏制、分析評(píng)估、根除影響、恢復(fù)服務(wù)、事后總結(jié)和改進(jìn)。4.3乙方承諾，在確認(rèn)發(fā)生或可能發(fā)生影響甲方用戶數(shù)據(jù)安全的安全事件后，將在[例如：事件發(fā)生后的4小時(shí)]內(nèi)（或根據(jù)事件嚴(yán)重程度約定更短時(shí)限）通知甲方，通知內(nèi)容應(yīng)包括事件的基本情況、可能的影響范圍、已采取或擬采取的應(yīng)對(duì)措施以及建議甲方應(yīng)采取的配合措施等。4.4雙方承諾在事件響應(yīng)過(guò)程中進(jìn)行緊密協(xié)作，共享必要的信息，共同應(yīng)對(duì)安全威脅。4.5甲方在發(fā)現(xiàn)任何安全事件或可疑活動(dòng)時(shí)，應(yīng)立即通知乙方，并配合乙方進(jìn)行調(diào)查和處理。第五條合規(guī)性與數(shù)據(jù)主權(quán)5.1雙方確認(rèn)并同意，乙方應(yīng)遵守所有適用于其運(yùn)營(yíng)和向甲方提供服務(wù)活動(dòng)的中國(guó)及甲方法定管轄地的網(wǎng)絡(luò)安全、數(shù)據(jù)保護(hù)、個(gè)人信息保護(hù)等相關(guān)法律法規(guī)及行業(yè)標(biāo)準(zhǔn)。5.2乙方應(yīng)確保甲方數(shù)據(jù)的存儲(chǔ)地點(diǎn)符合甲方關(guān)于數(shù)據(jù)存儲(chǔ)地理位置的要求（如適用），并應(yīng)向甲方聲明數(shù)據(jù)存儲(chǔ)的具體區(qū)域或可用區(qū)。5.3乙方應(yīng)向甲方提供其遵守關(guān)鍵合規(guī)性要求的證明文件或報(bào)告，例如ISO27001認(rèn)證證書(shū)、網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)報(bào)告等，并承諾在協(xié)議有效期內(nèi)持續(xù)保持相應(yīng)的合規(guī)狀態(tài)。第六條安全評(píng)估與審計(jì)6.1乙方應(yīng)定期（例如每年一次）委托獨(dú)立的第三方安全服務(wù)機(jī)構(gòu)對(duì)乙方提供的云服務(wù)進(jìn)行安全審計(jì)，并向甲方提供審計(jì)報(bào)告。甲方應(yīng)在收到乙方通知后[例如：15個(gè)工作日]內(nèi)安排對(duì)審計(jì)報(bào)告進(jìn)行審閱。若甲方需要進(jìn)一步審計(jì)，應(yīng)提前[例如：30天]書(shū)面通知乙方，雙方應(yīng)協(xié)商確定審計(jì)范圍、時(shí)間和方式。6.2在出現(xiàn)以下情況時(shí)，甲方有權(quán)對(duì)甲方使用的云環(huán)境進(jìn)行審計(jì)，乙方應(yīng)提供必要的配合：6.2.1甲方有合理理由懷疑乙方未能履行本協(xié)議項(xiàng)下的安全義務(wù)；6.2.2甲方需要驗(yàn)證乙方實(shí)施的安全措施是否符合約定的標(biāo)準(zhǔn)或本協(xié)議的要求；6.2.3發(fā)生重大安全事件后，甲方需要評(píng)估乙方的事件響應(yīng)效果。6.3雙方均有權(quán)在符合法律法規(guī)及本協(xié)議約定的條件下，查閱、復(fù)制或獲取與履行本協(xié)議相關(guān)的另一方文檔、記錄或信息，以評(píng)估對(duì)方的履約情況。第七條用戶數(shù)據(jù)與系統(tǒng)訪問(wèn)7.1用戶數(shù)據(jù)的所有權(quán)完全屬于甲方。甲方對(duì)用戶數(shù)據(jù)擁有合法的控制權(quán)，包括決定數(shù)據(jù)的存儲(chǔ)、使用、傳輸、刪除等。7.2乙方僅根據(jù)甲方的授權(quán)，在提供服務(wù)所必需的范圍內(nèi)訪問(wèn)甲方數(shù)據(jù)。乙方的員工或授權(quán)代表在提供服務(wù)、進(jìn)行維護(hù)、故障排除或響應(yīng)安全事件時(shí)，如確需訪問(wèn)甲方數(shù)據(jù)，應(yīng)事先獲得甲方的明確書(shū)面授權(quán)，并應(yīng)采取不低于甲方自身標(biāo)準(zhǔn)的保密措施。乙方應(yīng)對(duì)其員工或授權(quán)代表的任何違反此約定的行為承擔(dān)全部責(zé)任。7.3甲方應(yīng)對(duì)其用戶賬戶和憑據(jù)的安全負(fù)全部責(zé)任，并應(yīng)采取適當(dāng)措施保護(hù)這些憑據(jù)不被泄露或未經(jīng)授權(quán)使用。第八條免責(zé)聲明與責(zé)任限制8.1乙方不對(duì)因甲方原因、用戶數(shù)據(jù)本身的性質(zhì)、甲方自行實(shí)施的非標(biāo)準(zhǔn)配置、第三方攻擊、不可抗力或法律法規(guī)變化等導(dǎo)致的安全問(wèn)題、數(shù)據(jù)丟失、業(yè)務(wù)中斷或任何直接、間接、特殊、后果性或懲罰性損害承擔(dān)責(zé)任。8.2除非甲方違反本協(xié)議項(xiàng)下的明確安全義務(wù)（如甲方未能遵守訪問(wèn)控制要求、未能及時(shí)通知安全事件等），否則乙方不對(duì)甲方因使用云服務(wù)而遭受的任何損失承擔(dān)責(zé)任。8.3在任何情況下，乙方對(duì)甲方因安全事件直接造成的財(cái)產(chǎn)損失的責(zé)任限額不超過(guò)本協(xié)議項(xiàng)下約定的金額[例如：甲方在本協(xié)議項(xiàng)下累計(jì)應(yīng)支付給乙方服務(wù)費(fèi)用的[例如：兩倍]]或具體金額[例如：人民幣XX萬(wàn)元]，且甲方應(yīng)事先書(shū)面通知乙方該損失金額。此限制不適用于因乙方違反本協(xié)議明確的安全責(zé)任或存在故意或重大過(guò)失而造成的損失。8.4本協(xié)議中的責(zé)任限制條款適用于本協(xié)議所有條款，包括但不限于賠償、保證和侵權(quán)救濟(jì)。第九條法律適用與爭(zhēng)議解決9.1本協(xié)議的訂立、效力、解釋、履行及爭(zhēng)議解決均適用中華人民共和國(guó)法律（為免疑義，不包括香港、澳門特別行政區(qū)及臺(tái)灣地區(qū)法律）。9.2因本協(xié)議引起的或與本協(xié)議有關(guān)的任何爭(zhēng)議，雙方應(yīng)首先通過(guò)友好協(xié)商解決。協(xié)商不成的，任何一方均有權(quán)將爭(zhēng)議提交至[選擇一項(xiàng)：乙方所在地有管轄權(quán)的人民法院訴訟解決/提交[具體仲裁機(jī)構(gòu)名稱，例如：中國(guó)國(guó)際經(jīng)濟(jì)貿(mào)易仲裁委員會(huì)]按照其屆時(shí)有效的仲裁規(guī)則在北京/上海/深圳進(jìn)行仲裁。仲裁裁決是終局的，對(duì)雙方均有約束力]。第十條協(xié)議期限、終止與退出10.1本協(xié)議自雙方授權(quán)代表簽字并加蓋公章（或合同專用章）之日起生效，有效期為[例如：一年/雙方協(xié)商確定的其他期限]。期滿前[例如：一個(gè)月]，如雙方均未提出書(shū)面終止要求，本協(xié)議自動(dòng)續(xù)展[例如：一年]，續(xù)展次數(shù)不限/續(xù)展次數(shù)為[具體次數(shù)]次，每次續(xù)展期限同初約期限。10.2發(fā)生下列任一情況，本協(xié)議可提前終止：10.2.1雙方協(xié)商一致同意終止；10.2.2一方嚴(yán)重違反本協(xié)議項(xiàng)下的義務(wù)，經(jīng)另一方書(shū)面通知后[例如：30日]內(nèi)仍未糾正；10.2.3一方進(jìn)入破產(chǎn)、清算、解散或停業(yè)程序；10.2.4乙方無(wú)法繼續(xù)提供服務(wù)，且無(wú)法在合理期限內(nèi)找到替代服務(wù)；10.2.5因不可抗力導(dǎo)致本協(xié)議無(wú)法履行，且該狀態(tài)持續(xù)超過(guò)[例如：60日]。10.3協(xié)議終止時(shí)，甲方的權(quán)利和義務(wù)：10.3.1甲方應(yīng)按照乙方的要求，在協(xié)議終止后的[例如：30日]內(nèi)，以雙方協(xié)商一致或乙方指定的安全方式，將甲方數(shù)據(jù)從云服務(wù)中導(dǎo)出并取回。10.3.2甲方應(yīng)支付截至協(xié)議終止之日所有未付款項(xiàng)。10.3.3甲方應(yīng)確保其不再使用云服務(wù)，并遵循乙方的指導(dǎo)完成賬戶關(guān)閉或資源釋放等退出操作。10.3.4乙方應(yīng)提供必要的支持以協(xié)助甲方完成數(shù)據(jù)導(dǎo)出和資源釋放。10.4協(xié)議終止時(shí)，乙方的權(quán)利和義務(wù)：10.4.1乙方應(yīng)確保在甲方完成數(shù)據(jù)導(dǎo)出后，根據(jù)甲方要求，安全地刪除或銷毀甲方數(shù)據(jù)（甲方應(yīng)提供書(shū)面清單）。乙方對(duì)已刪除或銷毀的數(shù)據(jù)不再承擔(dān)任何責(zé)任。10.4.2乙方應(yīng)按照約定收取協(xié)議終止前甲方已使用的云服務(wù)的費(fèi)用。10.4.3乙方應(yīng)配合甲方進(jìn)行安全退出，并可根據(jù)法律法規(guī)要求保留必要的操作日志用于合規(guī)審計(jì)。10.5退出機(jī)制：在任何情況下，雙方均有權(quán)在提前[例如：30日]書(shū)面通知對(duì)方的前提下，單方面終止本協(xié)議。終止后的數(shù)據(jù)導(dǎo)出、費(fèi)用結(jié)算、責(zé)任處理等按照本條10.3和10.4款執(zhí)行。第十一條保密條款11.1甲乙雙方應(yīng)對(duì)在履行本協(xié)議過(guò)程中獲知的對(duì)方商業(yè)秘密、技術(shù)信息、用戶數(shù)據(jù)以及其他未公開(kāi)信息（以下簡(jiǎn)稱“保密信息”）承擔(dān)保密義務(wù)。11.2未經(jīng)披露方書(shū)面同意，接收方不得向任何第三方披露保密信息，但以下情況除外：11.2.1接收方根據(jù)法律法規(guī)或有權(quán)機(jī)關(guān)的要求披露；11.2.2接收方已經(jīng)合法持有該保密信息，且非通過(guò)違反本協(xié)議而獲得；11.2.3接收方的員工或代理人因履行本協(xié)議需要而知悉，且已對(duì)該員工或代理人施加與本協(xié)議同等的保密義務(wù)。11.3雙方應(yīng)采取不低于保護(hù)自身同類保密信息的謹(jǐn)慎程度，以防止保密信息泄露。但無(wú)論如何，雙方均無(wú)義務(wù)對(duì)任何第三方獲取或無(wú)法獲取保密信息承擔(dān)責(zé)任。11.4本保密義務(wù)不