数据处理协议起草助手

数据处理协议（DPA）

本数据处理协议由以下双方签署并生效：

• 甲方（数据控制者）：[公司名称]，地址：[地址]，联系人：[姓名/职位]，邮箱：[邮箱]
• 乙方（数据处理者）：[公司名称]，地址：[地址]，联系人：[姓名/职位]，邮箱：[邮箱]

一、定义与适用范围

• 个人数据/个人信息：指与已识别或可识别的自然人相关的任何信息，依据适用的数据保护法律（包括但不限于GDPR、CCPA/CPRA等）。
• 处理：指对个人数据进行的任何操作，如收集、存储、访问、使用、传输、删除等。
• 适用法律：指适用于双方的所有隐私与数据保护法律法规，包括欧盟《通用数据保护条例》（GDPR）、加州消费者隐私法（CCPA/CPRA）、以及其他适用司法辖区的相关法律。
• 次级处理者：乙方委托的为履行本协议而处理个人数据的第三方。

二、主题与期限

• 主题：乙方受甲方委托，提供托管客户合同与支持工单服务，包括存储合同附件、与客户交付及售后支持相关的邮箱和电话信息，并根据甲方指示进行处理。
• 期限：自本协议生效日起至主服务合同终止且完成本协议下的删除/返还义务为止。

三、处理性质、目的、数据类别与数据主体

• 性质与目的：
  • 性质：存储、检索、访问、传输（在必要范围内）、备份与删除。
  • 目的：用于合同交付与售后支持，包括支持工单管理、客户沟通与问题解决。
• 个人数据类别：
  • 联系信息：邮箱地址、电话号码。
  • 合同附件：可能包含客户联系人姓名、职务、签名图像、公司名称与地址、合同相关往来记录、订单信息及与支持需求直接相关的技术文档；如包含其他个人数据，乙方仅在甲方指示下处理。
  • 支持工单数据：工单内容及元数据（提交时间、责任人、状态），如工单中出现个人数据，仅限为履行支持目的处理。
  • 乙方不应主动收集或处理特殊类别个人数据（如健康、宗教、生物识别等），除非甲方书面指示且法律允许。
• 数据主体：
  • 甲方之客户联系人/员工（B2B场景）。
  • 在售后支持场景中与工单相关的其他终端用户或联系人（如有）。
• 数据位置与传输：
  • 主要处理地点：[国家/地区]。如存在境外传输，乙方应遵循第九条的国际传输要求。

四、甲方（控制者）责任

• 提供符合适用法律的处理指示，并确保有合法处理依据（如合同履行、合法利益或取得同意等）。
• 通知乙方任何与处理目的、数据类别或保留期限的变更，并承担对数据主体的透明度义务（隐私声明）。
• 对乙方提出的指示负责，并在要求乙方采取特定技术或组织措施时，提供必要的资源或批准。

五、乙方（处理者）义务

• 仅按甲方书面且可记录的指示处理个人数据；如乙方认为某一指示违反适用法律，应立即通知甲方并暂停执行。
• 保密：确保所有获准访问个人数据的人员负有保密义务并接受隐私与安全培训。
• 安全：实施并维持本协议附件二列明的技术与组织措施（TOMs），以确保个人数据的机密性、完整性与可用性。
• 次级处理者：仅在符合第八条的条件下使用，确保与次级处理者签署满足GDPR第28条与CCPA/CPRA要求的合同。
• 协助：在合理范围内协助甲方履行数据主体权利请求（访问、更正、删除、限制、可携带、反对等）以及安全事件响应、数据保护影响评估（DPIA）与与监管机构沟通。
• 记录：维护处理活动记录以满足GDPR第30条（2）的要求，并在甲方合理请求下提供。
• 通知：如发生个人数据泄露或可能影响数据安全的事件，乙方应不迟于知悉后24小时通知甲方，提供事件性质、影响范围、涉及数据类别、已采取或拟采取的补救措施以及联系点。
• 删除与返还：在本协议第十条约定的保留期届满或甲方书面要求时，删除或返还所有个人数据（除非适用法律要求继续保存），并提供删除完成的书面确认。

六、保留期限

• 乙方应严格遵循以下保留期限：自相关客户合同期满起计算90天内保留（合同期满+90天），到期后执行删除或返还。
• 在保留期内仅为履行交付与售后支持之目的访问与处理数据，不得改变目的或延长保留。
• 删除范围包括生产数据与可访问备份/快照；对于周期性轮转的归档/备份介质，乙方应确保在其正常轮转与生命周期内移除相关数据并使其不可恢复。

七、审计与合规证明

• 甲方有权通过书面问卷、远程审阅或现场审计（需提前至少15个工作日通知，且每12个月不超过一次，紧急安全事件除外）评估乙方对本协议与附件二措施的遵循情况。
• 乙方可通过提供第三方审计报告或认证（如ISO/IEC 27001、SOC 2 Type II等）、渗透测试摘要与整改计划等材料满足审计请求。

八、次级处理者管理

• 乙方使用次级处理者前，应：
  • 对其进行尽职调查，确保其具备相当的技术与组织安全能力；
  • 与其签署包含与本协议等同的数据保护义务的合同，特别是保密、安全、删除、协助与国际传输要求；
  • 通过书面方式向甲方告知次级处理者名称与处理活动，甲方可在合理期限内提出异议；如无法解决异议，甲方可终止相应服务。
• 乙方对次级处理者的行为承担连带责任。

九、国际数据传输

• 若个人数据自欧盟/欧洲经济区或英国传输至不受充分性决定覆盖的第三国，双方应：
  • 签署并附加欧盟标准合同条款（SCCs，委员会决议2021/914）及必要的补充措施；
  • 对英国传输使用IDTA或SCC+UK Addendum；
  • 完成并维护传输影响评估（TIA），根据风险采取加密、访问限制、透明度与挑战政府访问请求等补充措施。
• 对于跨境传输，乙方不得改变目的或对数据进行不兼容使用。

十、CCPA/CPRA服务提供者/承包商条款（如适用加州法）

• 乙方作为服务提供者/承包商承诺：
  • 不出售或分享（用于跨情境行为广告）个人信息；
  • 不将个人信息用于或披露于本协议明确业务目的之外的用途；
  • 不将个人信息与从其他来源获得的个人信息进行跨业务线的合并，除非为履行业务目的且不导致超出本协议的使用；
  • 确保次级处理者受等同条款约束；
  • 协助甲方回应消费者请求（访问、删除、纠正、限制使用敏感个人信息、选择退出出售/分享等）。
• 如法律要求，乙方应在合理时间内配合甲方提供数据处理实践的相关信息以支持甲方履行披露义务。

十一、数据主体权利与请求处理

• 乙方在收到数据主体请求（直接向乙方提出）时，应在不迟延的前提下将请求转交甲方，并仅在甲方指示下采取行动。
• 乙方应提供必要的技术手段（检索、导出、屏蔽、删除）以支持甲方于法定期限内完成请求（GDPR通常为1个月，可延长至2个月；CCPA通常为45天，可延长至90天）。

十二、保密与数据分离

• 乙方应确保个人数据与其他客户数据逻辑分离或物理分离，防止交叉访问与数据混淆。
• 除非为履行本协议或法律要求，乙方不得向第三方披露个人数据。

十三、责任与违约

• 若乙方违反本协议导致监管处罚、索赔或损害，乙方应在其可归责的范围内承担相应责任。双方的责任限制与赔偿机制依主服务合同约定执行。
• 不可抗力事件不构成违约，但乙方应采取合理措施降低影响并及时通知甲方。

十四、终止与数据返还/删除

• 本协议因主合同终止或法律原因退出时，乙方应在甲方指示下：
  • 返还所有个人数据至甲方指定位置与格式，或
  • 安全删除所有个人数据并提供删除证明。
• 法律强制保留的情形下，乙方仅为履行法律义务继续保留，并在义务期限届满后立即删除。

十五、争议与适用法律

• 适用法律与争议解决机制以主合同约定为准；如涉及GDPR合规事项，以适用管辖的欧盟成员国法律解释；涉及CCPA/CPRA事项，以加州法律解释。

十六、其他

• 本协议构成双方就数据处理的完整约定，如与主合同或采购条款不一致，以本协议在数据保护方面的约定为准。
• 未经对方书面同意，本协议不得转让。
• 如适用法律变化或监管指引更新，双方应本着合理原则协商更新本协议及其附件。

附录一：处理活动说明

• 服务名称：托管客户合同与支持工单
• 处理操作：存储、检索、访问、备份、传输（必要时）、删除与返还
• 目的：合同交付与售后支持
• 数据类别：邮箱、电话、合同附件（包含合同相关个人数据）、支持工单内容与元数据
• 数据主体：客户联系人/员工、相关终端用户
• 保留期限：合同期满+90天
• 处理地点与数据驻留：[国家/地区]
• 接收方类别（如有）：次级处理者（见附录三）
• 特殊类别数据：不应处理，除非甲方书面指示且符合法律

附录二：技术与组织措施（TOMs）

• 治理与人员
  • 隐私与信息安全政策；定期培训与保密协议；明确的角色与最小化权限原则（RBAC）。
• 访问控制
  • 强认证（MFA）、密码策略与会话管理；基于工单与任务的审批流程；访问日志与定期审计。
• 加密
  • 传输中TLS 1.2或更高版本；静态数据采用行业标准加密（如AES-256）或等效方案；密钥管理（分离存储、轮换与访问控制）。
• 数据最小化与分离
  • 为实现交付与支持目的仅处理必要数据；客户数据逻辑分隔（租户隔离）；测试与开发环境使用伪数据或脱敏数据。
• 监控与日志
  • 安全日志、访问与变更审计；异常检测与告警；保留周期与完整性保护。
• 漏洞管理与安全开发
  • 定期扫描与渗透测试；补丁管理；安全编码与依赖供应链管理（SBOM/签名验证）。
• 备份与恢复
  • 定期备份与加密；恢复演练；备份访问受控；删除时在轮转周期内移除并不可恢复。
• 事件响应
  • 事件分级、处置流程、沟通机制；在24小时内通知甲方并提供持续更新直至关闭。
• 物理与云安全
  • 数据中心或云平台符合行业标准（如ISO 27001、SOC 1/2）；物理访问控制；网络分段与防火墙。
• 第三方管理
  • 次级处理者评估与合同控制；数据处理清单与持续监督。
• 数据传输与跨境
  • 采用SCC/UK IDTA与补充措施；最小化跨境路径；政府访问请求评估与挑战流程。
• 隐私设计与影响评估支持
  • 在引入新功能或变更处理时进行风险评估；支持甲方完成DPIA。
• 数据擦除
  • 符合行业标准的删除与介质销毁流程；对存储卷、对象存储、索引与缓存进行一致性清理。

附录三：次级处理者清单（示例占位，由乙方维护与更新）

• 云基础设施与存储提供商：[名称，国家/地区，服务说明]
• 邮件与通信服务提供商：[名称，国家/地区，服务说明]
• 工单系统/支持平台提供商：[名称，国家/地区，服务说明]

签署

• 甲方（控制者）代表签名：________ 日期：______
• 乙方（处理者）代表签名：________ 日期：______

数据处理协议（DPA）

一、协议双方与适用范围

• 甲方：数据控制者（例如：委托方/客户），负责决定个人数据处理目的和方式，并确定合法性基础。
• 乙方：数据处理者（例如：服务提供商/技术运营方），依据甲方的书面指示开展处理活动。
• 本协议适用于乙方为甲方提供的产品数据流转处理活动，具体见附件1。协议旨在确保处理活动符合适用的数据保护法律法规，包括但不限于欧盟通用数据保护条例（GDPR）与加州消费者隐私法（CCPA/CPRA）。

二、术语定义

• 个人数据：可识别自然人的任何信息（GDPR第4条）。本协议下包括登录IP地址、设备标识及页面点击事件中可关联至自然人的数据。
• 处理：对个人数据进行的任何操作，包括收集、存储、检索、使用、披露、删除等。
• 匿名化：经技术与组织措施处理后，使数据不可再识别到自然人（不可逆）；匿名化数据不再属于GDPR意义下的个人数据。
• 伪匿名化（去标识化/脱敏的一种）：通过替换标识符降低可识别性但仍可能重识别；伪匿名化数据仍属个人数据。
• 次处理者：由乙方委托的第三方处理者。
• 数据泄露：导致个人数据意外或非法毁损、丢失、变更、未经授权披露或访问的安全事件。
• 服务提供商（CCPA定义）：受限于“不得出售/共享个人信息”的合同义务，仅为业务目的处理个人信息。

三、处理主题、期限、性质与目的

• 主题：产品运行与安全所需的事件数据处理。
• 期限：自服务开始之日起生效，直至双方服务终止且数据按第九条完成删除或返还。
• 性质与目的：
  1. 安全与访问控制：用于登录安全审计、异常检测、访问授权策略执行（角色授权）。
  2. 服务运行：用于故障排查、质量保障（QA）、用户行为路径分析以优化页面性能与稳定性。
  3. 绩效分析：在完成匿名化后，用于汇总的性能指标分析。
• 保留期：具可识别性的原始事件数据保留不超过30天；期满删除或经匿名化后保留用于绩效分析（详见附件1与附件2）。

四、数据主体类别与个人数据类型

• 数据主体：甲方产品的最终用户与经授权访问的运营人员（如适用）。
• 数据类型（最小化原则）：
  1. 登录IP地址（含时间戳、认证结果）。
  2. 设备标识（例如设备生成的持久标识符或装置指纹的派生值，限定为服务所必需）。
  3. 页面点击事件（页面路径、事件类型、时间戳、客户端技术元数据如浏览器类型/版本；不采集内容字段及非必要敏感信息）。
• 不采集特殊类别数据（GDPR第9条）或儿童数据，除非甲方另行书面指示并履行相应法定要求。

五、处理者（乙方）义务

• 仅按甲方的书面指示处理个人数据，不得超出本协议与附件约定的范围与目的；不得将个人数据用于营销或画像等二次用途。
• 保密与访问控制：确保经授权人员受保密义务约束，实施基于角色的访问控制（RBAC）、最小权限、定期权限审查与访问审计（详见附件2）。
• 安全措施：实施适当的技术与组织措施，确保数据的机密性、完整性与可用性（详见附件2）。
• 次处理者：引入次处理者前以书面形式通知甲方并取得批准；与次处理者订立具有等同保护水平的合同并监督其合规；承担连带合规责任。
• 跨境传输：如涉及从欧洲经济区向第三国传输，乙方仅在存在充分性决定或签署欧盟标准合同条款（SCC）并配套补充措施的前提下进行；向甲方提供相关传输机制与风险评估信息。
• 协助甲方履职：协助甲方处理数据主体请求（访问、更正、删除、限制、可携带等）、安全评估与隐私影响评估（DPIA），并提供必要的处理记录与技术说明。
• 安全事件通知：一旦知悉数据泄露或可能影响个人数据的安全事件，乙方应在不无故拖延且不超过24小时内通知甲方，并提供事件性质、影响范围、受影响数据类型、已采取或拟采取措施的资料；全力配合甲方向监管机构与数据主体的法定通报。
• 保留与删除：按约定保留期处理；期满后删除或匿名化。除非适用法律要求保留，乙方不得延长期限。删除与匿名化过程须记录并可供甲方审计。
• 审计与证明：乙方应提供合规证明（如独立审计报告摘要、认证证书或安全控制说明），并接受甲方合理范围内的合规审计（每年不超过一次，提前30天书面通知，且不妨碍运营与安全）。
• 政府访问请求：如收到政府或执法机构的数据访问要求，乙方应在法律允许范围内及时通知甲方，并仅在依法必须时提供最小范围的数据。

六、甲方（控制者）义务

• 负责确定每项处理活动的合法性基础（例如履行合同、合法利益或法定义务），并向数据主体提供透明通知；在需要时取得同意。
• 不得指示乙方进行不合规的处理；及时提供处理指令与访问授权清单，并进行角色授权的定期审查。
• 负责评估与决定跨境传输机制；在需要时主导开展DPIA并征询监管机构。
• 处理数据主体请求的最终响应与对监管机构的法定通报。

七、CCPA/CPRA特定条款（如涉及加州消费者个人信息）

• 乙方作为服务提供商，仅为甲方的业务目的处理个人信息；不得“出售”或“共享”个人信息（包括跨环境广告）；不得将个人信息用于或向第三方披露用于非合同目的。
• 乙方不得将个人信息与来自其他来源的个人信息进行合并用于跨客户画像，除非为防欺诈或安全目的且经甲方书面允许。
• 乙方将协助甲方履行消费者请求（访问、删除、纠正、限制使用敏感个人信息等）。
• 保留限制：遵守30天保留与后续匿名化的要求；匿名化数据应满足不可合理识别或链接到消费者的标准。

八、责任与赔偿

• 双方各自承担因违反本协议与适用法律导致的责任。乙方因违反安全措施或超范围处理导致的损害，承担相应赔偿与整改义务。
• 责任限额与例外条款（如适用）由主服务协议约定；对于故意不当行为或重大过失不适用限额。

九、数据返还与删除

• 合同终止或甲方书面要求后，乙方应在30天内返还甲方要求的个人数据副本（安全传输），并在完成返还后删除所有个人数据及其副本，除非适用法律要求保留。
• 匿名化保留：仅限不可逆匿名化数据用于绩效分析；禁止任何形式的再识别或与其他数据集联结以推断个体。

十、协议的优先级与变更

• 如与主服务协议发生冲突，以本DPA的隐私与数据保护条款为准。
• 法律变更导致本协议需要更新时，双方将友好协商并以书面形式修订。

附件1：处理活动说明（产品数据流转）

• 数据来源
  1. 客户端SDK与Web前端：登录与交互事件。
  2. 服务端认证与网关：登录IP与会话信息。
• 采集字段（最小化）
  1. 登录IP地址（IPv4/IPv6，时间戳，登录结果/错误码）。
  2. 设备标识：客户端生成或系统提供的持久标识符的派生值（采用不可逆派生或短期令牌；避免采集原始设备硬件序列号），采集目的仅限安全与反滥用。
  3. 页面点击事件：页面路径或组件ID、事件类型（点击/停留/加载）、时间戳、基础技术元数据（浏览器类型/版本、OS类型）；不记录页面内的用户输入内容、敏感字段或自由文本。
• 角色授权访问（RBAC）
  1. 访问角色：运维与安全审计角色（只读）、支持与问题定位角色（受限视图）、数据工程角色（仅对匿名化后数据）。
  2. 授权流程：由甲方指定的审批人进行授予；乙方实施最小权限原则与季度复审；所有访问均记录审计日志且可供甲方检视。
• 处理目的与法律基础
  1. 安全与防欺诈、访问控制：通常基于甲方的合法利益或履行合同。
  2. 性能与稳定性分析：在匿名化后进行；匿名化数据不再属于个人数据范围。
  3. 合规审计与事件响应：满足法定义务。 注：法律基础由甲方确定并在其隐私通知中披露。
• 保留与删除
  1. 原始可识别事件数据：保留不超过30天。
  2. 期满处理：删除或匿名化；匿名化数据可用于汇总性能分析与报表。
• 匿名化/脱敏要求
  1. 匿名化目标：不可逆，不能合理地识别到单个自然人或与个体建立可链接性。
  2. 方法示例：移除IP与设备标识符；仅保留聚合指标（如每页面每时间窗口的点击量、平均响应时间、错误率）；采用分组与阈值（例如对每个桶设置最小群体大小k，避免孤立记录）；防止少量维度联合导致再识别；禁止保留可追溯的事件级唯一ID。
  3. 伪匿名化用于运营故障定位时，仍视为个人数据，受30天保留与访问限制约束，不得进入长期分析仓。
• 数据共享与披露
  1. 不向第三方披露个人数据，除非为履行本服务必要且经甲方批准的次处理者。
  2. 法律要求披露时，最小化披露并事先通知甲方（法律允许范围内）。
• 日志与审计
  1. 访问与变更日志保留至少180天，用于审计与安全调查；日志不包含内容数据或敏感信息。
  2. 审计报告与安全事件记录可供甲方按需查阅。

附件2：技术与组织措施（TOMs）

• 身份与访问管理
  1. RBAC、最小权限、岗位分离；强制多因素认证（MFA）。
  2. 定期权限复审与即时撤销离职或角色变更的访问。
  3. 细粒度访问控制列表（ACL）与数据域隔离。
• 加密与密钥管理
  1. 传输加密：TLS 1.2或更高。
  2. 静态加密：AES-256或同等强度；密钥独立托管，定期轮换。
  3. 严禁明文存储设备标识或凭据。
• 网络与基础设施安全
  1. 网络分段、防火墙与入侵检测/防御（IDS/IPS）。
  2. 漏洞管理：周期性扫描、补丁更新与配置基线控制（CIS基线或同等）。
  3. 安全日志集中化与告警；时间同步与不可抵赖审计。
• 应用与数据安全
  1. 安全开发生命周期（SDL），代码审计与SAST/DAST。
  2. 秘密管理（KMS/Secrets Vault），防止硬编码凭据。
  3. 输入校验与速率限制，防止滥用与注入攻击。
• 数据最小化与质量
  1. 仅收集用途所必需字段；默认不记录内容和敏感字段。
  2. IP与设备标识仅用于安全目的且不进入长期分析仓。
• 备份与业务连续性
  1. 备份加密与访问控制；定义RPO/RTO并演练恢复。
  2. 灾难恢复与冗余设计，防止单点故障。
• 匿名化与再识别防控
  1. 明确匿名化标准与测试，进行再识别风险评估。
  2. 对聚合报表设定最小群体大小与噪声控制（如必要时引入统计扰动）。
  3. 禁止与外部数据集联结导致再识别；设技控与流程控双层防护。
• 事件响应与通报
  1. 24/7监控与分级响应流程；明确工单与升级路径。
  2. 事件演练与事后复盘，改进控制措施。
• 员工与供应商管理
  1. 隐私与安全培训入职与年度必修。
  2. 供应商风险评估与合同管控（含数据保护条款与审计权）。
• 合规与记录
  1. 处理活动记录（GDPR第30条）与数据传输登记。
  2. 定期内部合规审查与外部审计支持。

附件3：次处理者清单与变更通知（模板）

• 名称、角色、处理目的、数据类别、数据位置、传输机制（如适用SCC）、安全与合规证明（如ISO 27001/SOC 2）。
• 变更流程：至少提前30天通知甲方，甲方有拒绝权或提出条件。

签署页

• 双方授权代表签字与日期。
• 主服务协议编号与本DPA的生效日期。

注：本模板为通用DPA框架。实际实施时，甲方需在其隐私声明中向数据主体披露数据类别、目的、保留期限、跨境传输机制及数据主体权利，并根据管辖地法规对合法性基础与通知/同意要求进行确认。乙方需将附件2的安全控制落实到具体系统与流程，并在审计中提供证据。