数据共享与跨境传输协议
甲方(数据输出方)
名称:
统一社会信用代码:
乙方(数据接收方)
名称:
统一社会信用代码:
定义条款
受控数据:指本协议项下传输的包含个人数据、重要数据、商业秘密的数据集合,具体范围见附件一《数据分类分级清单》。
个人数据:
含可直接
/
间接识别自然人的信息(如设备
ID
、生物特征),特殊类别数据(健康、种族、性取向等)单独标注;
重要数据:符合《数据出境安全评估办法》第二条定义的国民经济、公共安全相关数据;
衍生数据:经算法加工产生的预测模型、用户画像标签,权属归甲方所有。
数据处理场景:明确区分控制者
-
处理者(
C2P
)与控制者
-
控制者(
C2C
)关系,适用不同合
规
义务。
接收方:指根据本协议接收数据的乙方及其关联公司。
GDPR
适用场景:数据主体为欧盟居民,或数据处理行为发生在欧盟境内时的合
规
要求。
数据使用限制
乙方承诺:
仅将受控数据用于附件二《授权用途清单》载明的
“
客户画像分析
”
及
“
产品故障诊断
”
场景;
未经甲方书面同意
,不得将数据二次传输至第三方国家
/
地区,中国、欧盟成员国除外;
跨境传输前
72
小时向甲方提交《数据传输影响评估报告》。
使用范围:
地域限制:乙方服务器部署限于中国、德国法兰克福数据中心(欧盟
GDPR
合
规
区域);
用途限制:禁止将数据用于训练通用
AI
模型、反欺诈以外的场景。
最小必要原则:
乙方需每季度提交《数据字段使用合理性报告》,证明所调用字段与授权用途的直接关联性。
跨境传输机制
欧盟方向:
采用
SCCs 2021
版模块
一
(
C2C
),并嵌入补充条款:
(
1
)数据主体可直接向乙方主张
GDPR
第三章权利;
(
2
)争议解决法院为欧盟成员国法院,与主协议仲裁条款并行。
其他地区:
向美国传输需增加
HIPAA
合
规
附录;
向东南亚传输采用
APEC CBPR
认证体系,数据本地化存储不低于
6
个月。
法律工具选择:
欧盟方向传输采用
2021
版标准
合同条款(
SCCs
),作为本协议附件三;
其他地区传输采用甲方集团
BCRs
(绑定性企业规则)
2
。
补充义务:
乙方需在数据接收国设立数据保护官(
DPO
),并于签约后
30
日内提供联系方式;
对加密数据的秘
钥
实施中国境内独立存储,技术方案见附件四。
安全技术标准
传输加密:
使用
TLS 1.3
协议加密传输通道,密钥长度
≥256
位;
静态数据采用中国商用密码
SM4
算法加密,密钥由甲方硬件
加密机
托管。
访问控
数据共享与跨境传输协议.docx