企業(yè)年金管理合同（受托人服務(wù)）2026年數(shù)據(jù)安全協(xié)議本協(xié)議由以下雙方于2026年[具體日期]在[地點]簽署：甲方：[委托人/企業(yè)年金理事會全稱]，以下簡稱“甲方”，地址：[甲方地址]，統(tǒng)一社會信用代碼：[甲方代碼]。乙方：[受托人全稱]，以下簡稱“乙方”，地址：[乙方地址]，統(tǒng)一社會信用代碼：[乙方代碼]。鑒于甲方委托乙方提供企業(yè)年金計劃（以下簡稱“計劃”）的受托人服務(wù)；鑒于數(shù)據(jù)安全對于保護(hù)計劃參與者個人信息、企業(yè)信息以及計劃穩(wěn)健運行至關(guān)重要；鑒于雙方希望明確在數(shù)據(jù)處理活動中關(guān)于數(shù)據(jù)安全的權(quán)利、義務(wù)和責(zé)任，以符合相關(guān)法律法規(guī)的要求。第一條數(shù)據(jù)安全基本原則雙方確認(rèn)，在履行各自職責(zé)過程中涉及計劃相關(guān)數(shù)據(jù)的處理，均應(yīng)遵循以下基本原則：1.1合法、正當(dāng)、必要原則：數(shù)據(jù)處理活動必須有明確的法律依據(jù)或本協(xié)議約定，且目的限于履行各自職責(zé)所必需。1.2目的限制原則：數(shù)據(jù)收集和使用不得超出本協(xié)議明確聲明的目的范圍。1.3最小化原則：僅收集和處理履行職責(zé)所必需的最少數(shù)據(jù)。1.4公開透明原則：甲方應(yīng)向參與者提供清晰的隱私政策，告知數(shù)據(jù)處理的規(guī)則和方式；乙方應(yīng)在其服務(wù)條款或相關(guān)文件中體現(xiàn)數(shù)據(jù)安全承諾。1.5確保安全原則：采取必要的技術(shù)和管理措施，保障數(shù)據(jù)安全，防止數(shù)據(jù)泄露、篡改、丟失。1.6責(zé)任明確原則：明確雙方在數(shù)據(jù)安全方面的責(zé)任。第二條乙方的數(shù)據(jù)安全責(zé)任作為計劃的受托人，乙方在處理計劃相關(guān)數(shù)據(jù)時，應(yīng)承擔(dān)以下數(shù)據(jù)安全責(zé)任：2.1制度與策略：乙方應(yīng)建立并維護(hù)健全的數(shù)據(jù)安全管理制度、操作規(guī)程和應(yīng)急預(yù)案，包括但不限于數(shù)據(jù)分類分級、訪問控制、安全審計、事件響應(yīng)等。2.2技術(shù)保障措施：2.2.1對在傳輸過程中涉及的個人敏感數(shù)據(jù)（如使用電子表格、郵件等方式傳輸時）應(yīng)進(jìn)行加密處理。2.2.2實施嚴(yán)格的訪問控制策略，采用身份認(rèn)證（如多因素認(rèn)證）和授權(quán)機制，確保只有經(jīng)過授權(quán)的人員才能訪問特定數(shù)據(jù)，并遵循“按需知密”原則。2.2.3確保存儲和處理計劃數(shù)據(jù)的系統(tǒng)具備必要的安全防護(hù)措施，包括但不限于防火墻、入侵檢測/防御系統(tǒng)、防病毒/惡意軟件保護(hù)、系統(tǒng)漏洞掃描和修復(fù)機制。2.2.4建立并執(zhí)行數(shù)據(jù)備份與恢復(fù)機制，定期進(jìn)行備份，并測試恢復(fù)流程的有效性，確保在發(fā)生硬件故障、系統(tǒng)故障或災(zāi)難時能及時恢復(fù)數(shù)據(jù)。2.2.5記錄和監(jiān)控對敏感數(shù)據(jù)的訪問和操作日志，并定期進(jìn)行安全審計。2.3人員管理：2.3.1對接觸計劃敏感數(shù)據(jù)的乙方員工進(jìn)行必要的數(shù)據(jù)安全意識培訓(xùn)和背景審查。2.3.2要求接觸敏感數(shù)據(jù)的乙方員工簽訂保密協(xié)議，明確其在數(shù)據(jù)安全方面的責(zé)任和義務(wù)。2.3.3嚴(yán)格控制內(nèi)部人員對數(shù)據(jù)的訪問權(quán)限，權(quán)限設(shè)置應(yīng)基于其工作職責(zé)的最低需求。2.4第三方風(fēng)險管理：2.4.1若乙方委托第三方服務(wù)商（包括但不限于托管人、技術(shù)供應(yīng)商、律師事務(wù)所、會計師事務(wù)所等）處理個人數(shù)據(jù)或提供與數(shù)據(jù)處理相關(guān)的服務(wù)，乙方應(yīng)事先對第三方進(jìn)行盡職調(diào)查，確保其具備相應(yīng)的能力和措施來保護(hù)數(shù)據(jù)安全。2.4.2乙方應(yīng)與所有處理個人數(shù)據(jù)的第三方服務(wù)商簽訂書面協(xié)議，明確其數(shù)據(jù)安全責(zé)任，并要求其遵守不低于本協(xié)議規(guī)定的數(shù)據(jù)安全標(biāo)準(zhǔn)和適用的法律法規(guī)要求。2.4.3乙方應(yīng)監(jiān)督第三方服務(wù)商的數(shù)據(jù)處理活動，并定期評估其合規(guī)性。2.5數(shù)據(jù)主體權(quán)利響應(yīng)：乙方應(yīng)建立并維護(hù)處理流程，以響應(yīng)數(shù)據(jù)主體（如計劃參與者）依據(jù)相關(guān)法律法規(guī)提出的訪問其個人數(shù)據(jù)、更正其個人數(shù)據(jù)、刪除其個人數(shù)據(jù)等請求，并及時響應(yīng)。2.6合規(guī)與報告：2.6.1乙方應(yīng)遵守所有適用于其數(shù)據(jù)處理活動的中國數(shù)據(jù)保護(hù)法律法規(guī)，包括但不限于《中華人民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國數(shù)據(jù)安全法》、《中華人民共和國個人信息保護(hù)法》以及國家金融監(jiān)督管理總局關(guān)于企業(yè)年金基金管理的相關(guān)規(guī)定。2.6.2在發(fā)生或懷疑發(fā)生計劃相關(guān)數(shù)據(jù)泄露事件時，乙方應(yīng)立即啟動應(yīng)急預(yù)案，進(jìn)行內(nèi)部調(diào)查評估，并在規(guī)定時限內(nèi)通知甲方，并根據(jù)法律法規(guī)和監(jiān)管要求，及時通知監(jiān)管機構(gòu)以及可能受影響的個人。乙方應(yīng)向甲方提供事件調(diào)查報告和處理情況的說明。2.7物理安全：乙方應(yīng)保障其數(shù)據(jù)中心、辦公場所等存放或處理個人數(shù)據(jù)的物理環(huán)境的物理安全，防止未經(jīng)授權(quán)的物理訪問、破壞或災(zāi)害影響。2.8保密義務(wù)：乙方對其在履行本協(xié)議過程中獲知的甲方的商業(yè)秘密、參與者的個人信息以及計劃運營信息等負(fù)有保密義務(wù)。未經(jīng)甲方事先書面同意，乙方不得向任何第三方披露上述信息，且即使在協(xié)議終止后，該保密義務(wù)仍然有效。第三條甲方的責(zé)任甲方應(yīng)履行以下與數(shù)據(jù)安全相關(guān)的責(zé)任：3.1提供必要的計劃信息和管理要求，并確保其提供給參與者的信息（如通過隱私政策）符合相關(guān)數(shù)據(jù)保護(hù)法律法規(guī)的要求。3.2配合乙方進(jìn)行數(shù)據(jù)安全管理和合規(guī)性檢查。3.3在發(fā)生數(shù)據(jù)安全事件時，根據(jù)乙方通知和自身情況，采取必要的應(yīng)對措施，并配合乙方及監(jiān)管機構(gòu)的調(diào)查。3.4確保其指定的聯(lián)絡(luò)人能夠及時接收乙方關(guān)于數(shù)據(jù)安全事件的通知和其他重要信息。第四條數(shù)據(jù)處理活動在履行受托人服務(wù)職責(zé)過程中，乙方可能涉及以下類型的數(shù)據(jù)處理活動：4.1收集計劃參與者、企業(yè)等提供的信息，包括但不限于個人信息（如姓名、身份證號、聯(lián)系方式、銀行賬戶信息等）和計劃運營信息。4.2存儲上述數(shù)據(jù)在安全可控的環(huán)境中。4.3處理數(shù)據(jù)以進(jìn)行賬戶管理、計算年金收益、管理投資、生成報告、進(jìn)行合規(guī)性檢查、履行監(jiān)管要求等。4.4在獲得甲方或數(shù)據(jù)主體的適當(dāng)授權(quán)后，向管理人、托管人、稅務(wù)機構(gòu)、社會保險經(jīng)辦機構(gòu)、司法機關(guān)、監(jiān)管機構(gòu)或其他為提供與受托人服務(wù)相關(guān)的服務(wù)而必要的第三方傳輸數(shù)據(jù)。4.5向計劃參與者提供其賬戶信息、結(jié)算通知、隱私政策等。4.6在數(shù)據(jù)不再需要為實現(xiàn)處理目的、數(shù)據(jù)主體請求刪除、法律法規(guī)要求刪除或協(xié)議終止后，安全地刪除或返回個人數(shù)據(jù)。第五條數(shù)據(jù)安全事件與響應(yīng)5.1事件定義：本協(xié)議所稱數(shù)據(jù)安全事件是指因意外、技術(shù)故障、人為操作失誤、惡意攻擊等原因?qū)е聜€人數(shù)據(jù)泄露、篡改、丟失或被未經(jīng)授權(quán)訪問的事件。5.2內(nèi)部報告與調(diào)查：乙方發(fā)現(xiàn)或接到關(guān)于數(shù)據(jù)安全事件的報告后，應(yīng)立即啟動內(nèi)部應(yīng)急響應(yīng)機制，指定專人負(fù)責(zé)，迅速評估事件影響，進(jìn)行內(nèi)部調(diào)查，并按本協(xié)議約定及時向甲方報告。5.3外部通知：發(fā)生或可能發(fā)生數(shù)據(jù)泄露事件時，乙方應(yīng)在法律法規(guī)或監(jiān)管機構(gòu)要求的時間內(nèi)，以及與甲方協(xié)商后，通知甲方。根據(jù)事件的嚴(yán)重程度和法律法規(guī)要求，乙方可能需要直接向監(jiān)管機構(gòu)報告或向受影響的個人通知。乙方應(yīng)向甲方提供事件報告，包括事件概述、影響評估、已采取和擬采取的措施等。第六條數(shù)據(jù)跨境傳輸如需將計劃相關(guān)數(shù)據(jù)傳輸至中國境外，乙方應(yīng)確保：6.1遵守《中華人民共和國數(shù)據(jù)安全法》、《中華人民共和國個人信息保護(hù)法》等關(guān)于數(shù)據(jù)跨境傳輸?shù)姆煞ㄒ?guī)要求。6.2采取有效的技術(shù)措施和管理措施，如通過簽訂標(biāo)準(zhǔn)合同條款、具有約束力的公司規(guī)則、獲得數(shù)據(jù)主體同意（如適用）等，確保境外接收者的數(shù)據(jù)安全保護(hù)水平不低于中國境內(nèi)。6.3事先向甲方進(jìn)行通報，并提供必要的盡職調(diào)查材料和措施說明。第七條合規(guī)性與監(jiān)管7.1雙方均應(yīng)遵守所有適用的數(shù)據(jù)保護(hù)法律、法規(guī)和監(jiān)管要求。7.2乙方應(yīng)配合甲方、監(jiān)管機構(gòu)或其他有權(quán)機構(gòu)就數(shù)據(jù)處理活動進(jìn)行監(jiān)督檢查，如實提供相關(guān)資料。第八條協(xié)議期限與終止8.1本協(xié)議自雙方簽字蓋章之日起生效，有效期限與主企業(yè)年金管理合同期限一致，或根據(jù)雙方書面協(xié)議另行約定。8.2協(xié)議終止時，乙方仍應(yīng)履行本協(xié)議項下的數(shù)據(jù)安全義務(wù)，特別是關(guān)于數(shù)據(jù)刪除或返還、保密義務(wù)以及數(shù)據(jù)泄露通知的義務(wù)。乙方應(yīng)在協(xié)議終止后[具體期限，如30]日內(nèi)，根據(jù)甲方要求，刪除或返還其所持有的甲方的以及計劃參與者的個人數(shù)據(jù)，并采取必要措施確保數(shù)據(jù)無法被復(fù)原訪問。第九條保密義務(wù)9.1除非事先獲得對方書面同意，任何一方不得向任何第三方（包括關(guān)聯(lián)公司，但為履行本協(xié)議目的而確有必要知悉的員工除外）披露在本協(xié)議履行過程中獲知的對方的商業(yè)秘密、技術(shù)信息以及計劃參與者的個人信息。9.2保密義務(wù)不因本協(xié)議的終止而終止，持續(xù)有效。第十條違約責(zé)任與救濟(jì)10.1任何一方違反本協(xié)議項下的數(shù)據(jù)安全責(zé)任或義務(wù)，應(yīng)承擔(dān)相應(yīng)的法律責(zé)任，包括但不限于賠償因此給對方造成的直接經(jīng)濟(jì)損失和間接經(jīng)濟(jì)損失。10.2若乙方違反數(shù)據(jù)安全義務(wù)導(dǎo)致甲方或計劃參與者遭受損失的，甲方有權(quán)要求乙方承擔(dān)賠償責(zé)任，并可根據(jù)情況解除本協(xié)議及主企業(yè)年金管理合同。10.3甲方在認(rèn)為乙方未能履行其數(shù)據(jù)安全責(zé)任時，有權(quán)要求乙方限期整改，并有權(quán)根據(jù)整改情況采取進(jìn)一步措施，包括但不限于要求提供整改報告、暫停相關(guān)服務(wù)、更換服務(wù)提供商等。第十一條爭議解決因本協(xié)議引起的或與本協(xié)議有關(guān)的任何爭議，雙方應(yīng)首先通過友好協(xié)商解決；協(xié)商不成的，任何一方均有權(quán)將爭議提交至[選擇一種方式：甲方所在地有管轄權(quán)的人民法院訴訟解決/提交至[具體仲裁委員會名稱]按照其屆時有效的仲裁規(guī)則進(jìn)行仲裁]。第十二條其他12.1完整協(xié)議：本協(xié)議構(gòu)成雙方就數(shù)據(jù)安全合作事宜達(dá)成的完整協(xié)議，取代雙方此前就此事項進(jìn)行的任何口頭或書面溝通、陳述或協(xié)議。12.2可分割性：若本協(xié)議某條款被認(rèn)定為無效或不可執(zhí)行，不影響其他條款的效力。12.3修訂：對本協(xié)議的任