东盟跨境数据合规协议(2025 年执行版)
甲方:[数据控制者/处理者名称],注册地:[注册地址],以下简称“甲方”;
乙方:[数据主体姓名],身份证号/护照号:[证件号码],住所/经常居住地:[
地址],以下简称“乙方”。
鉴于:
1.甲方在业务活动中需要处理乙方的个人数据;
2.甲方承诺遵守《东盟跨境数据合规协议(2025 年执行版)》(以下简称“协
议”)及相关法律法规的要求;
3.乙方同意其个人数据在甲方的控制或处理下,按照协议约定的目的和方式被
处理。
甲乙双方本着平等、自愿、公平和诚实信用的原则,经友好协商,就乙方个人
数据的处理及相关权利义务达成如下协议:
第一条定义
除非上下文另有解释,本协议中使用的关键术语定义如下:
(1)“个人数据”是指能够识别或可识别特定自然人的任何信息,包括直接或间
接识别;
(2)“数据控制者”是指决定个人数据处理目的和方式的个人或组织;
(3)“数据处理者”是指为数据控制者处理个人数据的个人或组织;
(4)“数据主体”是指个人数据的所有人;
(5)“跨境数据传输”是指将个人数据从一国传输至另一国或国际组织;
(6)“协议”指《东盟跨境数据合规协议(2025 年执行版)》;
(7)“数据保护官(DPO)”是指负责监督数据保护合规、与监管机构沟通以及
向数据主体提供咨询的人员;
(8)“数据保护影响评估(DPIA)”是指评估处理活动对个人权利和自由可能带
来的风险的分析过程;
(9)“标准合同条款(SCCs)”是指经东盟相关机构批准的、用于规范跨境数据
传输的合同条款。
第二条个人数据的处理
甲方同意仅在实现协议约定的以下目的时处理乙方的个人数据:
(1)[具体目的一,例如:提供商品或服务];
(2)[具体目的二,例如:履行合同义务];
(3)[具体目的三,例如:进行市场营销和客户分析,需获得乙方明确同意];
(4)法律法规规定的其他合法目的。
甲方处理乙方的个人数据必须遵循合法、公平、透明、目的限制、数据最
小化、准确性、存储限制、完整性和保密性等原则。
甲方处理乙方个人数据的方式包括但不限于:
(1)[方式一,例如:收集];
(2)[方式二,例如:存储];
(3)[方式三,例如:使用];
(4)[方式四,例如:传输,仅限于具有充分性认定或符合协议规定的保障措施
的国家/地区];
(5)[方式五,例如:删除];
(6)[方式六,例如:披露给第三方,仅限于为实现约定目的且符合协议要求的
第三方]。
如需将乙方的个人数据传输至协议规定的非充分性国家或地区,甲方必须
采用协议认可的保障措施,并事先通知乙方。乙方有权要求甲方暂停或终止该传输
,除非甲方证明该传输具有法律依据且对乙方权益至关重要。
第三条数据主体的权利
乙方依据协议及相关法律法规,享有以下权利:
(1)访问权:有权查阅甲方持有的其个人数据,了解处理目的、方式、存储期
限等;
(2)更正权:有权要求甲方更正其不准确或不完整的个人数据;
(3)删除权(被遗忘权):在特定情况下(如数据不再需要、乙方撤回同意等
),有权要求甲方删除其个人数据;
(4)限制处理权:在特定情况下(如乙方数据准确性争议、处理目的限制等)
,有权要求甲方限制对其个人数据的处理;
(5)数据可携权:在特定条件下,有权要求甲方以结构化格式提供其个人数据
,并传输给另一数据处理者;
(6)反对权:有权反对甲方基于合法利益或公共利益处理其个人数据,或反对
自动化决策;
(7)拒绝自动化决策权:有权对仅基于其个人数据作出的、对其产生法律效力
或类似重大影响的自动化决策提出人类干预、表达意见或解释。
甲方承诺建立有效机制,在收到乙方的权利请求后,按照协议规定的时限
内响应并处理。
第四条跨境数据传输
甲方承诺,所有涉及乙方的跨境数据传输均遵守协议关于充分性认定和保
障措施的规定。
甲方在进行跨境传输前,如需采用 SCCs 等保障措施,将确保所选择的
SCCs 符合协议要求,并可能将副本提供给乙方。
甲方应记录所有跨境数据传输活动,并定期向其所在地的监管机构报告。
第五条数据安全
甲方应采取适当的技术和组织措施,确保乙方个人数据在存储、处理和传
输过程中的安全,防止数据泄露、丢失、损坏或被未经授权的访问。
具体安全措施包括但不限于:[列举具体措施,例如:加密、访问控制、安
全审计、员工培训等]。
第六条数据保护影响评估
对于预期会对乙方个人权利和自由带来高风险的处理活动,甲方应进行数
据保护影响评估,并采取缓解措施。
第七条数据泄露通知
发生个人数据泄露时,甲方应在协议规定的时限内,立即评估泄露的严重
性,并:
(1)及时通知乙方,告知泄露的基本情况、可能造成的风险以及甲方采取的补
救措施;
(2)如涉及第三方,及时通知可能受影响的第三方;
(3)根据法律法规和协议要求,及时向相关监管机构报告。
第八条数据保护官(DPO)
如甲方处理乙方个人数据的规模或性质需要,甲方已任命数据保护官,其
联系信息为:[DPO 姓名],[邮箱],[电话]。
第九条合作与监督
甲方应配合甲方所在地的监管机构及协议相关监管机构的数据保护执法活
动,并提供必要的信息和资料。
甲方应与协议各成员国的监管机构保持沟通,并在必要时进行跨境监管合
作。
第十条计费与支付(如适用)
[关于处理个人数据的费用条款,如适用。例如:甲方处理乙方个人数据
可能产生费用,具体标准为……,乙方应在……前支付。]
第十一条期限
本协议自双方签字或盖章之日起生效,有效期为[年限或条件],除非提前
终止。
第十二条终止
任何一方可在提前[通知期限]日书面通知对方终止本协议。
在协议终止后,甲方仍需按照协议规定及适用的法律法规要求,处理乙方
的个人数据,直至履行完毕相关义务(如删除或提供个人数据等),但甲方不再具
有处理该数据的合法依据时除外。
第十三条保密
甲乙双方应对在本协议履行过程中获知的对方商业秘密和个人数据保密,
未经对方书面同意,不得向任何第三方披露。此保密义务不因本协议的终止而失效
。
第十四条法律适用与争议解决
本协议的订立、效力、解释、履行及争议解决均适用东盟相关法律。
因本协议引起的或与本协议有关的任何争议,双方应首先通过友好协商解
决。协商不成的,任何一方有权将争议提交至[选择一种方式:甲方所在地有管辖
权的人民法院诉讼解决/协议约定的仲裁机构仲裁解决]。
第十五条其他
本协议构成双方就个人数据处理达成的完整协议,取代之前所有口头或书
面的约定。
对本协议的任何修改或补充,均需以书面形式作出,并经双方签字或盖章
后方能生效。
如本协议任何条款被认定为无效或不可执行,不影响其他条款的效力。
(以下无正文)
甲方(盖章/签字):
授权代表(签字):
日期:年月日
乙方(签字):
日期:年月日
