企业 2025 数据隐私协议评估
本协议由以下双方于[日期]签订:
甲方(数据处理者):[公司名称],注册地址:[公司注册地址],统一社会信
用代码:[统一社会信用代码],以下简称“甲方”。
乙方(数据主体):[用户姓名/企业名称],注册地址/住址:[用户地址],身份
证号/统一社会信用代码:[用户标识],以下简称“乙方”。
鉴于:
1.甲方在提供[服务名称/产品名称]服务/产品过程中,可能需要收集、处理和/
或传输乙方的个人数据;
2.甲方承诺遵守所有适用于其数据处理活动的数据保护法律和法规,包括但不
限于欧盟(欧盟)的一般数据保护条例(GDPR)、欧盟(欧盟)关于在司法管辖
区之间以及从欧盟(欧盟)向第三国转移个人数据的充分性决定的第 2016/679 号
条例(GDPR)、加利福尼亚州消费者隐私法案(CCPA/CPRA)、中国《个人信
息保护法》以及其他甲方运营所在地的相关数据隐私法律(以下简称“适用法律”)
;
3.乙方希望了解其个人数据将如何被处理,并同意在甲方遵守适用法律的前提
下,授权甲方处理其个人数据。
根据适用法律及双方意愿,达成协议如下:
第一条数据处理目的
甲方仅在以下一个或多个明确、具体、合法的目的范围内处理乙方的个人
数据:
(a)提供和维持所承诺的[服务名称/产品名称]服务/产品,包括但不限于用户注
册、账户管理、服务交付、技术支持;
(b)与乙方沟通,包括但不限于发送服务通知、更新信息、营销推广(在乙方
同意的情况下)、客户服务;
(c)账户结算和发票处理;
(d)遵守适用的法律、法规、命令或法律程序,包括响应法院传票、调查或诉
讼;
(e)保护甲方的合法权益,包括防范欺诈、安全审计和调查内部违规行为;
(f)改进产品、服务、用户体验和分析。
第二条个人数据处理种类
甲方可能处理的个人数据类型包括但不限于:
(a)个人身份信息:姓名、性别、出生日期、国籍、身份证号、护照号、联系
方式(电话号码、电子邮件地址、邮寄地址);
(b)账户信息:用户名、密码(加密处理)、安全问题和答案;
(c)支付信息:信用卡号、银行账户信息(通过安全第三方处理);
(d)使用信息:登录时间、访问的页面、浏览历史、点击流数据、设备信息(
如 IP 地址、浏览器类型、操作系统)、地理位置信息(如 IP 地址推断、经用户同
意的 GPS);
(e)偏好设置:用户选择的服务、语言偏好;
(f)委托处理信息:如乙方代表他人处理数据;
(g)其他为履行上述目的所必需或用户自愿提供的信息。
第三条乙方的权利与义务
乙方作为数据主体,依法享有以下权利:
(a)获取权:有权访问甲方持有的其个人数据,了解处理目的、方式、存储期
限、接收者等信息;
(b)更正权:有权要求甲方更正其不准确或不完整的个人数据;
(c)删除权/被遗忘权:在特定情况下(如服务终止、数据不再需要、撤回同意
等),有权要求甲方删除其个人数据;
(d)限制处理权:在特定情况下(如数据准确性争议、反对处理等),有权要
求甲方限制对其个人数据的处理;
(e)可携带权:在特定情况下,有权要求甲方以结构化、通用的格式获取其个
人数据,并将其传输给另一控制者;
(f)反对自动化决策权:有权反对甲方仅基于其个人数据进行自动化决策(包
括 profilering),并要求人工干预;
(g)拒绝同意权:对于基于同意的处理,有权随时撤回同意,撤回不影响撤回
前处理的合法性;
(h)不被歧视权:有权不被基于其个人数据进行的不公平或歧视性处理。
乙方应保证其提供给甲方的个人数据是真实、准确、完整的,并对数据的
真实性负责。如需更新个人数据,应及时通知甲方。
乙方应通过[提供联系方式,如邮箱、客服电话]向甲方行使其在本协议项
下的权利。
第四条甲方对乙方权利的履行
甲方承诺建立合理的流程,确保在收到乙方行使权利的请求后,按照适用
法律规定的时限(通常是个月内)响应。
甲方将提供便捷的途径供乙方访问其个人数据,并以清晰易懂的方式提供
信息。
对于乙方的更正请求,甲方将在合理时间内进行更正。
对于乙方的删除请求,甲方将在符合适用法律条件下执行删除操作,并通
知相关接收者。
对于乙方的限制处理请求,甲方将暂停或限制相关处理活动。
对于乙方的可携带请求,甲方将在合理时间内提供数据。
对于乙方的反对请求,甲方将停止自动化决策处理,并解释原因。
第五条数据处理方式与透明度
甲方处理乙方的个人数据将遵循合法、公平、透明、目的限制、数据最小
化、准确性、存储限制、完整性和保密性原则。
甲方仅在实现本协议第一条约定的目的,或获得乙方明确同意,或为履行
法律法规规定的义务,或为保护甲方或他人的重大利益,或应司法管辖区要求时,
才处理乙方的个人数据。
甲方不会将乙方的个人数据用于与最初收集目的不符的其他目的,除非获
得乙方另行明确的同意,或适用法律允许。
甲方将采取技术上和组织上必要的措施,确保其处理活动对数据主体的隐
私权具有合理的保障水平。
第六条数据安全
甲方认识到保护乙方个人数据的重要性,并承诺采取包括但不限于以下措
施保障数据安全:
(a)采用密码学、访问控制、防火墙等技术措施保护个人数据;
(b)对处理人员进行数据保护培训;
(c)建立内部数据处理规则和流程;
(d)定期进行安全评估和风险评估;
(e)实施数据备份和灾难恢复计划;
(f)对可能遭受安全事件的人员进行背景调查。
尽管采取了安全措施,但甲方无法保证个人数据不会因不可抗力、系统故
障、内部人员疏忽或恶意行为、或第三方攻击等原因而遭受未经授权的访问、使用
、修改、披露或丢失。在任何情况下,甲方将尽力采取合理措施减轻损失。
第七条第三方披露
甲方仅在为实现本协议第一条约定的目的所必需时,才将乙方的个人数据
披露给以下类型的第三方:
(a)甲方履行职责所必需的子公司、关联公司、母公司;
(b)为甲方提供技术支持、维护、运营服务、市场营销、客户服务等服务的第
三方服务提供商(如云服务提供商、支付处理商、市场调研公司),这些第三方在
协议中承诺遵守不低于适用法律要求的保护标准,并对甲方负责;
(c)法律法规要求或司法/行政机构命令要求披露的第三方。
甲方将确保与任何接收乙方个人数据的第三方签订书面协议(如适用法律
要求,则为数据处理协议 DPA),明确其数据保护责任,并要求其仅为约定的目
的处理数据,并采取适当的安全措施。
未经乙方事先明确同意(根据适用法律,某些披露可能无需同意),甲方
不会将乙方的个人数据用于直接营销目的。
第八条数据跨境传输
如甲方将乙方的个人数据传输至适用法律所定义的境外(包括欧盟成员国
外、美国、中国境外等),甲方承诺:
(a)仅在适用法律允许的范围内进行;
(b)采用适用法律认可的机制,如欧盟委员会批准的充分性认定、与境外接收
者签订的标准合同条款(SCCs)、具有约束力的公司规则(BCRs)或确保提供同
等的保护水平的其他合法机制;
(c)确保跨境传输符合适用法律的所有要求,包括获取必要的用户同意(如适
用)。
第九条儿童与未成年人保护
甲方仅收集、处理和传输符合适用法律关于儿童和未成年人权利规定的个
人数据。甲方不会主动从欧盟境内的 13 岁以下或美国加州的 16 岁以下(或根据其
他地区法律规定的年龄)的儿童或未成年人收集个人数据,除非获得其监护人或法
定代表的明确同意。
如乙方声称代表儿童或未成年人,甲方有权要求其提供监护身份证明,并
仅在获得有效证明或获得儿童/未成年人本人同意(如其已达到法定同意年龄)时
处理数据。监护人有权访问、更正、删除其代表的儿童或未成年人的个人数据。
第十条数据保留期限
甲方将仅在实现本协议第一条约定的目的,或遵守适用法律的保存义务,
或为甲方合法利益所必需的合理期限内保留乙方的个人数据。
在期限届满后,甲方将根据适用的法律和内部政策安全地删除或匿名化处
理乙方的个人数据,除非需要为履行法律法规规定的长期保存义务或解决潜在的法
律诉讼而保留。
第十一条数据泄露通知
在发生或合理怀疑发生影响个人数据安全的个人数据泄露事件时,甲方将
:
(a)立即启动应急响应程序,评估事件影响,并采取补救措施;
(b)如适用法律要求,将在规定时限内(例如,72 小时内)通知相关的数据保
护监管机构;
(c)如对乙方权益构成高风险,将在规定时限内(例如,72 小时内)通知乙方
,除非法律允许延迟通知或通知会带来更大的风险。通知内容将包括泄露概要、可
能的影响、建议的补救措施等。
第十二条协议的变更与终止
甲方有权在符合适用法律的前提下,修订本协议。甲方将在重大修订发生
前至少 30 日通过[通知方式,如邮件、公告]通知乙方。除非乙方在收到通知后 15
日内以书面形式提出反对,否则该修订将在通知发出后 30 日生效。如乙方反对,
双方应协商解决;协商不成的,乙方有权选择终止本协议。
乙方可在任何时候通过书面通知甲方的方式终止本协议。乙方终止本协议
不影响其在本协议项下的权利,也不影响甲方根据适用法律已进行的合法处理。
甲方可在符合适用法律并提前通知乙方的条件下终止本协议。甲方在终止
后将继续履行其在本协议下的义务,特别是关于数据保护的责任,直至适用法律规
定的期限届满或义务完成。
第十三条责任限制
除非因甲方故意或重大过失、违反甲方对乙方的明确承诺、或明知其行为
可能导致损害而发生损害,甲方不对因处理个人数据而产生的任何直接损害承担责
任。
在任何情况下,无论何种原因,甲方对乙方的总责任以[金额或条款,如
适用法律规定的上限]为限。此限制不适用于因甲方违反适用法律而导致的责任。
第十四条争议解决
因本协议引起的或与本协议有关的任何争议,双方应首先通过友好协商解
决。
如果协商不成,任何一方均有权将争议提交至[选择一种方式:甲方所在
地有管辖权的人民法院诉讼解决/提交[仲裁委员会名称]按其届时有效的仲裁规则进
行仲裁,仲裁地点为[地点],仲裁语言为中文]。
第十五条数据保护官(DPO)
甲方已根据适用法律的要求指定了数据保护官(DPO)。DPO 的联系方
式如下:
姓名:[DPO 姓名]
职务:[DPO 职务]
邮箱:[DPO 邮箱]
电话:[DPO 电话]
乙方在涉及个人数据保护事宜时,可以随时联系甲方 DPO。
第十六条法律适用与完整协议
本协议的订立、效力、解释、履行及争议解决均适用中华人民共和国法律
(为本协议之目的,不包括香港、澳门特别行政区及台湾地区法律)。
本协议构成双方就本协议主题达成的完整协议,取代双方此前就此达成的
所有口头或书面的协议、谅解和承诺。对本协议的任何修改或补充均应以书面形式
作出并经双方签署方生效。
第十七条其他
本协议自双方签署之日起生效。
本协议构成双方之间的合同关系,并对双方具有法律约束力。
如本协议任何条款被认定为无效或不可执行,不影响其他条款的效力。双
方应协商替换为内容最接近、合法有效的条款。
(以下无正文)
甲方(盖章):
授权代表(签字):
日期:年月日
乙方(签字/盖章):
日期:年月日
