生成符合数据隐私法规的第三方数据共享协议,内容清晰精确。
以下为第三方数据共享协议(初稿)及配套材料,用于组织在与第三方供应商共享个人数据时建立合规控制。文本参考GDPR(含第28条与跨境传输要求)、CCPA/CPRA的服务提供商/承包商条款、通用数据安全实践与隐私影响评估要求。请结合业务场景与法域差异由法律顾问审阅后再行签署与实施。 第三方数据共享协议(初稿) 0. 协议概述与适用范围(不可变) - 本协议适用于甲方(数据提供方)向乙方(第三方供应商)共享含个人数据或其他受监管数据的情形,覆盖处理者场景(乙方作为GDPR意义上的处理者/CPRA意义上的服务提供商或承包商)及可选的独立控制者场景。 - 协议旨在明确共享目的、数据类别、处理边界、安全措施、跨境传输合规、数据主体权利保障、审计与监督、终止与删除要求。 - 若存在业务需求与本协议冲突,以满足适用数据保护法律为最高优先;任何与适用法律不一致的约定无效。 1. 定义与角色(不可变) - 个人数据:与可识别自然人相关的任何信息(GDPR第4条)。 - 处理、处理者、控制者:依GDPR第4条定义。 - 服务提供商/承包商、出售(sell)、共享(share)、敏感个人信息(SPI):依CCPA/CPRA及加州法规定义(含“跨环境行为广告”概念)。 - 子处理者:乙方委托进一步处理个人数据的第三方。 - 跨境传输:个人数据从欧盟/英国/其他法域向境外传输。 - 数据泄露:导致个人数据遭未授权访问、披露、丢失、破坏或不可用的安全事件。 2. 目的、范围与数据最小化(不可变) - 明确目的:乙方仅为以下明确且具体目的处理数据(示例): - 提供[具体服务功能]; - 运维与故障排查; - 安全监测与防欺诈; - 合规审计与报告(在法律允许范围内)。 - 数据类别与数据主体:详见附录A。仅共享为实现目的所必要的最小范围数据;不得处理超出约定目的的数据。 - 禁止用途:乙方不得将数据用于画像、再营销、训练通用模型、推断敏感属性或任何与目的无关的用途;不得向第三方出售或共享(见第5条)。 3. 法律基础与合规框架(不可变) - GDPR:甲方作为控制者负责确定合法处理依据;乙方作为处理者仅按甲方书面指示处理(GDPR第28条、32条、33条、35条、44-49条)。 - CCPA/CPRA:若涉及加州消费者个人信息,乙方作为服务提供商/承包商不得出售或共享个人信息,不得用于“跨环境行为广告”或合同外目的;须协助甲方履行消费者权利请求与识别GPC信号(见第5条与第9条)。 - 其他法域:如适用巴西LGPD、加拿大PIPEDA、英国UK GDPR、澳大利亚隐私法等,乙方应在接收数据法域可执行的范围内履行等效义务,并在附录C中列明适用的传输保障工具。 4. 处理者义务(GDPR第28条要求)(不可变) - 指示与合规:乙方仅按甲方书面指示处理数据;如乙方认为指示不合规,应立即告知甲方并暂停执行。 - 保密性:确保所有有权访问数据的人员承担保密义务。 - 安全:实施适当的技术与组织措施(详见第8条与附录B),以确保符合GDPR第32条。 - 子处理者:未经甲方事先书面批准不得聘用子处理者;应与子处理者签订等效合同并对其进行尽职管理(见第16条)。 - 协助义务:协助甲方履行数据主体权利请求、数据泄露响应、DPIA与监管机构咨询。 - 数据归还/删除:协议终止或目的完成后,按甲方选择删除或返还所有个人数据及副本(不含法律保留)。 - 审计与信息提供:向甲方提供合规证明并配合审计(见第11条)。 5. CPRA服务提供商/承包商条款(不可变) - 使用限制:乙方不得出售或共享个人信息;不得将个人信息用于合同以外的目的或超出甲方与乙方的直接业务关系范围。 - 组合限制:不得将甲方个人信息与来自其他业务的个人信息合并使用,除非为提供合同项下服务的必要且符合CPRA允许的合并场景(如欺诈防控),并在附录A标注。 - 消费者权利与信号:乙方须识别并尊重“禁止出售/共享”选择与通用隐私控制(GPC)信号,确保在其系统层面不触发出售/共享行为。 - 下游约束:乙方向允许范围内的第三方披露个人信息时,须以书面合同施加等效限制。 - 合规声明与通知:乙方应书面声明具备履约能力;如无法遵守本条款,应立即通知甲方并接受甲方采取补救措施,包括暂停数据共享。 6. 独立控制者数据共享(可选,仅在乙方为独立控制者时适用) - 角色确认:如乙方对共享数据独立决定目的与方式,则为独立控制者。双方应签订控制者间数据共享附件,明确各自的合法依据、透明度义务与权利请求分工。 - 透明度与合法性:乙方应在其隐私声明中披露处理目的、合法依据、保留期限、权利行使渠道;不得与甲方声明相冲突。 - DSR分工:双方约定接收与转发权利请求的机制与期限,避免重复响应或遗漏。 - 责任划分:各自对自身处理活动的合规与安全负责;就联合处理场景应另行签订联合控制者安排(GDPR第26条)。 7. 跨境数据传输(不可变) - 传输机制:涉及欧盟/英国数据跨境传输时,应采用欧盟标准合同条款(SCCs)、英国国际数据传输附加文本(UK IDTA)或经批准的充分性机制;详见附录C。 - 传输影响评估(TIA):乙方须提供合理协助,包括所在地法律环境评估、政府访问风险、技术与组织补救措施(如加密、分片、最小化)。 - 政府访问与透明度:在法律允许范围内,乙方应就政府数据访问请求进行通知、质询与挑战,并记录披露的法律依据与范围。 8. 安全措施(不可变) - 基线要求: - 加密:静态与传输中采用行业标准加密(如AES-256、TLS 1.2+)。 - 访问控制:最小权限、强认证、定期审核、分离职责。 - 保护设计:数据最小化、假名化/分片、环境隔离。 - 监控与日志:集中化日志、完整性保护、可追溯性,保留策略与审计。 - 漏洞与补丁:安全开发生命周期、代码审计、渗透测试、漏洞修复SLA。 - 备份与恢复:加密备份、演练与RTO/RPO目标。 - 事件响应:明确流程与通报通讯录(见附录E)。 - 可选增强: - 认证与证明(可选):ISO/IEC 27001、SOC 2 Type II、PCI DSS(如适用)。 - 客户托管密钥(可选):KMS与密钥轮换策略。 - 数据脱敏策略(可选):差分隐私、合成数据用于测试。 9. 数据主体请求与偏好信号(不可变) - 支持时限:乙方在收到甲方转发的请求后应在10个工作日内提供所需支持,确保甲方在GDPR 1个月与CCPA/CPRA 45天的法定期限内完成响应。 - 请求类型:访问、更正、删除、限制、可携带、反对、禁止出售/共享、撤回同意等。 - 偏好信号:识别并执行GPC与“Do Not Sell/Share”设置,记录执行证据。 10. 数据泄露与通知(不可变) - 发现与通报:乙方一旦发现涉及甲方数据的安全事件,应在不延误且不超过24小时内通知甲方,说明事件性质、受影响数据类别与规模、已采取/拟采取的补救措施。 - 协助与取证:乙方应保留日志与证据,协助根因分析与监管申报;未经甲方同意不得直接向数据主体或媒体披露(法律强制除外)。 11. 记录、报告与审计(不可变) - 记录:乙方应维护处理活动记录、数据流图、子处理者名单、跨境传输清单与安全控制证明。 - 审计:甲方可每12个月进行一次审计或在重大事件后进行专项审计;乙方应提供合理协助。审计不得不合理干扰乙方运营,双方可约定范围与保密措施。 - 纠正措施:对审计发现的缺陷,乙方应在约定期限内完成整改并提交证明。 12. 保密与知识产权(不可变) - 保密义务:双方对因本协议获知的机密信息承担保密义务,限用途使用。 - 知识产权:除非另有约定,数据及其衍生统计成果的权利归甲方或数据主体所有;乙方不得主张超出合同目的的权利。 13. 保留期限与删除(不可变) - 保留政策:乙方应制定并执行与目的相匹配的保留期限。期限届满或协议终止后,按甲方指示删除或返还数据,并删除备份(在技术可行且法律允许范围内)。 - 删除证明:乙方应提供删除完成的书面确认与证据(如安全擦除报告)。 14. 期限、终止与暂停(不可变) - 期限:协议自签署之日起生效,至目的完成或终止为止。 - 终止:甲方可在乙方严重违反本协议或法律义务时即时终止;乙方无法遵守适用法律时应主动通知并接受暂停数据共享。 - 暂停:为防止风险,甲方可在调查期间暂时停止共享。 15. 责任与赔偿(可选) - 责任限制(可选):双方可约定责任上限,但不适用于故意不当行为、重大过失、数据泄露导致的直接合规成本(如通知、补救、审计)。 - 监管成本与第三方索赔(可选):乙方因违反本协议导致的监管调查、合理律师费与直接补救成本,由乙方承担。就行政罚款的赔偿分配需遵守适用法域的可约定性限制。 16. 子处理者管理(不可变) - 批准机制:乙方拟新增或更换子处理者须提前书面告知并获得甲方批准;甲方可基于风险合理拒绝。 - 等效条款:乙方须与子处理者签订等效保护条款,并监督其履约。 - 清单与通知:子处理者清单见附录D并保持更新;重大变更应至少提前30天通知甲方。 17. 特殊类别与敏感信息(不可变) - 特殊类别(GDPR第9条)与敏感个人信息(CPRA):仅在必要且具有额外合法基础与保护措施时处理;采用更高等级的访问控制、加密与审计;不得用于画像或广告用途,除非法律明确允许且取得适当同意。 18. 变更管理与版本控制(不可变) - 变更流程:协议或附录的重大变更须经双方书面同意并记录于变更日志;合规框架更新(如法规变动)应在合理期限内完成修订。 - 生效与存档:每次变更应标注版本号、生效日期、修订范围与原因,并保留历史版本。 19. 适用法律与争议解决(可选) - 适用法律(可选):在不削弱适用数据保护法律强制效力的前提下,约定合同法域(例如英格兰与威尔士法律或甲方注册地法律)。 - 争议解决(可选):先协商,后仲裁或法院诉讼;不限制双方依法向监管机构求助。 附录A:数据类别与处理目的(示例) - 数据主体:客户、潜在客户、网站访客、终端用户、员工(如适用)。 - 数据类别:识别信息(姓名、邮箱、手机号)、账户标识、设备与网络标识(IP、Cookie、MAID)、交易/使用日志、支持工单、偏好信号(GPC)、敏感个人信息(如精准地理位置、生物识别数据;仅在必要时)。 - 目的映射:明确每类数据与第2条约定目的的对应关系,并标注是否涉及跨境传输与子处理者参与。 附录B:安全控制清单(示例) - 组织:安全负责人与角色分离、背景审查、隐私培训、访问审批流程。 - 技术:加密、密钥管理、端点加固、网络分段、WAF/IDS/IPS、DLP(如适用)。 - 开发:安全编码、依赖库管理、CI/CD安全门、漏洞管理SLA(如高危漏洞在14天内修复)。 - 运维:日志集中与保留策略、备份演练季度化、灾备与高可用。 - 第三方:安全评估、合同审查、持续监测与年审。 - 隐私:数据映射、DPIA模板、去标识/假名化策略、数据最小化。 附录C:跨境传输保障(示例) - 欧盟数据:采用SCCs(模块二/三),并完成TIA;必要时采用补充措施(端到端加密、不可逆假名化)。 - 英国数据:采用UK IDTA或SCC+UK Addendum。 - 其他法域:列明充分性决定或当地批准的转移机制。 - 记录:传输路径、接收地、法律评估结论与补救措施。 附录D:子处理者清单(示例) - 名称、所在地、服务内容、接收数据类别、安全认证与审计周期。 - 更新机制与通知窗口。 附录E:事件通报模板(示例) - 事件时间线、检测方式、影响范围、数据类别、潜在风险、已采取措施、后续计划、联系人与响应团队信息。 不可变与可选条款标识 - 不可变条款:第0-5条、第7-11条、第12-14条、第16-18条、第17条以及附录A/B/C/D/E的基线要求。 - 可选条款:第6条(独立控制者场景)、第8条中的增强措施、 第15条(责任与赔偿具体上限与分配)、第19条(适用法律与争议解决)及附录中认证与工具的选择性项。 合规清单(签署前与运行中) - 签署前: - 明确角色(处理者/服务提供商/承包商/独立控制者)。 - 完成数据映射与最小化评估,填写附录A。 - 完成DPIA(如存在高风险处理),记录风险与缓解措施。 - 审核安全控制(附录B)与证据(渗透测试报告、认证证明)。 - 跨境传输评估与SCC/UK Addendum签署,完成TIA(附录C)。 - 子处理者尽职调查与批准(附录D)。 - CPRA合同条款核验:禁止出售/共享、组合限制、GPC支持、监控权。 - 运行中: - DSAR支持SLA与工单流转机制;记录执行证据。 - 事件响应演练与通报流程校验(附录E)。 - 子处理者清单季度核对与变更通知。 - 漏洞管理与补丁SLA追踪;年度渗透测试。 - 保留与删除审计;终止时删除证明。 - 监管变更监测:GDPR/CPRA更新与合同条款同步修订。 - 记录保存:处理活动记录、日志与审计报告。 变更记录(模板) - 版本:v1.0 - 生效日期:YYYY-MM-DD - 变更范围:初稿发布,建立不可变与可选条款框架,附录A-E模板加载。 - 变更原因:建立第三方数据共享的合规基础。 - 责任人:数据保护官(DPO)/法务负责人 - 审批:甲方法务、乙方法务 - 备注:后续根据业务与法域实况更新。 使用说明 - 本初稿为通用模板,需根据实际共享目的、数据类别、法域与行业要求进行细化与本地化。建议由DPO与外部法律顾问共同审阅,并在实施前完成DPIA与TIA。
Cross-Border Third-Party Data Sharing: Risk Identification, Safeguards, Transfer Addendum, Notification Process, and Audit Evidence Package 1. Purpose and Scope This document provides: - A risk register for cross-border sharing of personal data with third-party vendors. - Required safeguards aligned with GDPR, UK GDPR, CCPA/CPRA, and other commonly applicable regimes. - A Data Transfer Addendum (DTA) template that incorporates the EU Standard Contractual Clauses (SCCs) and jurisdictional addenda. - A notice and escalation process covering privacy notices, regulatory/individual notifications, incidents, and vendor change events. - An audit evidence and record-keeping framework to demonstrate compliance. This material is designed for controller-to-processor, processor-to-processor, and controller-to-controller transfers. Tailor role allocation and annexes to your actual processing model. 2. Risk Identification (Cross-Border Third-Party Sharing) 2.1 Jurisdictional and legal risk - Inadequate legal framework in destination country; access to data by public authorities without redress. - Conflicts of law impacting SCCs or contractual commitments. - Data localization or filing requirements (e.g., China PIPL, sectoral rules). 2.2 Transfer mechanism sufficiency - Absence of a valid mechanism (e.g., SCCs, EU-US DPF certification, UK IDTA/Addendum, BCRs). - Incomplete Transfer Impact Assessment (TIA) or DPIA for high-risk processing. 2.3 Technical and organizational security risk - Weak encryption or key management; lack of pseudonymization. - Insufficient access controls, monitoring, vulnerability management, and segregation of duties. - Inadequate incident response and business continuity. 2.4 Purpose limitation and use controls - Vendor use beyond instructions (profiling, advertising, model training). - Onward transfers to sub-processors without equivalent protections. 2.5 Data subject rights and transparency - Inability to honor access, deletion, correction, portability, and objection. - Lack of clarity in privacy notices regarding cross-border transfers. 2.6 Data minimization, retention, and deletion - Excessive collection or retention beyond necessity. - Incomplete return/deletion at contract termination. 2.7 Special categories and children’s data - Sensitive data or children’s data requiring enhanced controls or explicit consent. 2.8 CCPA/CPRA-specific risk - Relationships misclassified (third party vs service provider/contractor) leading to “sale”/“sharing” exposure. - Missing required CPRA contractual terms and opt-out mechanisms. 2.9 Operational risks - Vendor insolvency or acquisition changing risk posture. - Insufficient change notification (e.g., new hosting region, new subprocessor). - Ineffective training and oversight. 3. Safeguards and Control Framework 3.1 Legal and governance - Execute a DPA under GDPR Article 28 (if processor involved) or a controller-to-controller agreement with privacy commitments. - Implement a transfer mechanism for each cross-border flow: - EU/EEA and UK: SCCs (appropriate module 1/2/3) plus TIA; UK Addendum/IDTA and Swiss Addendum as applicable. - EU-US DPF/UK Extension/Swiss-US DPF: may be used where recipient is certified; consider SCCs fallback where prudent. - BCRs if applicable. Document scope and coverage. - If China PIPL applies: conduct PIPIA; obtain separate consent for export; use CAC security assessment where thresholds are met; or PRC Standard Contract plus filing; or accredited certification. Ensure flow-down obligations. - Maintain data maps and Records of Processing (GDPR Art. 30). - Perform and document TIAs and DPIAs for high-risk processing. 3.2 Contractual controls (flow down to all subprocessors and onward recipients) - Purpose limitation; processing only on documented instructions. - Prohibition on selling or sharing personal information; ban on combining data except as permitted (CPRA). - No advertising or training of models using customer data without explicit written permission. - Subprocessor approval and notice; ensure SCCs or equivalent for onward transfers. - Security, confidentiality, breach notification (within 24–48 hours; GDPR authority notification within 72 hours by the controller). - Audit and monitoring rights; remediation timelines; suspension/termination for cause. - Return/deletion upon termination; certificates of destruction. - Government access: notify, challenge, minimize, and keep transparency logs. - Data subject rights assistance; cooperation on regulatory inquiries and DPIAs. - Indemnities, liability caps consistent with risk. 3.3 Technical safeguards (examples; tailor to risk) - Encryption in transit (TLS 1.2/1.3) and at rest (AES-256 or equivalent). Strong key management using HSM/KMS; keys logically or physically segregated; customer-managed keys where feasible. - Pseudonymization/anonymization where possible; minimize direct identifiers in transfers. - Access controls: least privilege, MFA, fine-grained RBAC/ABAC; quarterly access reviews. - Network security: segmentation, WAF, IDS/IPS, hardening benchmarks (CIS), secure configuration baselines. - Secure development and change management; code review, SAST/DAST, SBOM; third-party library management. - Vulnerability management: timely patching; quarterly scanning and at least annual penetration testing. - Logging and monitoring: immutable logs; centralized SIEM; alerting on anomalous access and exfiltration; audit trails for administrative actions. - Data Loss Prevention and egress controls for exports and downloads. - Backup, DR, and tested restoration; RTO/RPO targets per criticality. 3.4 Organizational safeguards - Security policies, secure coding standards, and privacy by design procedures. - Training on privacy/security; role-based training for admins and engineers. - Incident response playbooks and tabletop exercises. - Vendor management lifecycle: onboarding diligence, periodic reassessments, and contractual updates. 4. Data Transfer Addendum (Template) Use this addendum in addition to your Master Services Agreement and DPA. Complete Annexes with data details. 4.1 Parties and roles - Exporter: [Legal name], role: [Controller/Processor] - Importer: [Legal name], role: [Processor/Sub-processor/Controller] - Affiliates: [Included/Excluded] under this DTA. 4.2 Incorporation of transfer mechanisms - EU/EEA transfers: The European Commission Standard Contractual Clauses (2021/914) are incorporated by reference, with the module selected per Annex I: - Module 1: Controller to Controller - Module 2: Controller to Processor - Module 3: Processor to Processor - UK transfers: The UK Information Commissioner’s Office Addendum to the EU SCCs (or UK IDTA) is incorporated for UK-origin transfers. - Switzerland: Swiss Addendum applies for Swiss-origin transfers. - Where the Importer maintains a valid certification under the EU-US DPF (and relevant UK/Swiss extensions), the Parties may rely on that certification for eligible data. If certification lapses or scope is insufficient, SCCs remain the default mechanism. - If China PIPL applies: Parties will, where required, execute the PRC Standard Contract for personal information export and file with competent authority; or complete a CAC security assessment or certification, as applicable. The terms of such instruments prevail for Chinese-origin data where stricter. 4.3 Supplementary measures (Schrems II) - The Importer implements the technical, organizational, and contractual safeguards in Annex II. - The Importer has not created backdoors or lawful access interfaces and will not intentionally weaken or subvert encryption. - The Importer will promptly notify the Exporter of government access requests (unless legally prohibited), will challenge unlawful or overbroad requests, and will disclose only the minimum required. The Importer will publish annual transparency reports where legally permissible. - The Parties have completed a TIA covering laws and practices in the destination country and will review it upon material change. 4.4 Processing instructions and limitations - The Importer will process personal data solely for the purposes described in Annex I and in accordance with Exporter’s documented instructions. - No selling or sharing of personal information (as defined by CPRA). No profiling, advertising, or model training using the data without prior written authorization. 4.5 Subprocessors and onward transfers - The Importer shall obtain the Exporter’s prior written authorization for subprocessors listed in Annex III and provide at least [15] days’ prior notice for changes. The Exporter may reasonably object. - The Importer shall flow down equivalent protections, including SCCs or other valid mechanisms for further cross-border transfers. 4.6 Security and confidentiality - The Importer maintains TOMs in Annex II appropriate to the risk (GDPR Art. 32). - Personnel are bound by confidentiality obligations and receive appropriate training. 4.7 Incident response and breach notification - The Importer shall notify the Exporter without undue delay and no later than [24–48] hours after becoming aware of a security incident affecting the personal data, providing details sufficient for the Exporter’s assessment and regulatory notifications under GDPR Articles 33/34 and applicable laws. - The Importer will cooperate to remediate and to support notifications to authorities and individuals. 4.8 Assistance with data subject and regulator requests - The Importer shall promptly forward and assist with data subject requests and regulator inquiries related to the data; no responses will be made without the Exporter’s instruction unless legally required. 4.9 Audits and compliance verification - Upon reasonable notice, the Exporter or an independent auditor may audit Importer’s relevant facilities, systems, and records, or rely on recent third-party assessments (e.g., ISO 27001, SOC 2 Type II) plus a questionnaire, where sufficient. - Material nonconformities must be remediated on a defined timeline; the Exporter may suspend transfers if unresolved. 4.10 Retention, return, and deletion - Data will be retained only as necessary for agreed purposes and legal obligations. Upon termination or upon request, the Importer will return and then securely delete personal data, confirming deletion in writing. 4.11 Records, TIAs, DPIAs - The Importer maintains records of processing, access logs, subprocessor lists, and government request logs. - The Exporter maintains TIAs and DPIAs where required and may request evidence supporting the Importer’s safeguards. 4.12 Liability, suspension, and termination - Either party may suspend data transfers or terminate the DTA if the Importer is unable to comply. - Liability is allocated per the main agreement, except where mandatory SCC provisions prevail. 4.13 Order of precedence - In case of conflict: SCCs (and applicable addenda) prevail; then this DTA; then the main agreement. Annex I: Data Processing and Transfer Details - Subject matter and duration: [Describe service and term] - Nature and purpose: [e.g., hosting, support, analytics] - Categories of personal data: [e.g., customer contact details, usage data, payment tokens] - Special categories: [If any; specify or state none] - Vulnerable groups/children’s data: [If any] - Categories of data subjects: [e.g., customers, end users, employees] - Frequency and volume: [continuous/batch; approximate volumes] - Locations of processing and storage: [countries/regions] - Roles and selected SCC Module(s): [Module 1/2/3] - Transfer mechanism(s) in scope: [SCCs, DPF certification ID, BCRs, etc.] - Retention periods: [per category] Annex II: Technical and Organizational Measures (TOMs) - Information security management: policy suite; risk assessments; ISO 27001 or equivalent framework. - Asset management: inventories; data classification; least privilege; MFA; PAM for administrative access. - Cryptography: TLS 1.2/1.3; AES-256 at rest; HSM/KMS with key rotation and split duties; customer-managed keys when feasible. - Application security: SDLC with SAST/DAST; code review; dependency scanning; SBOM; change control; secrets management. - Infrastructure security: hardening baselines; segmentation; WAF; IDS/IPS; anti-malware; EDR; secure logging. - Monitoring and logging: centralized SIEM; immutable logs; time sync; alerting on anomalies and exfiltration; retention period [e.g., 12–24 months]. - Vulnerability and patch management: scanning cadence; risk-based patch SLAs (e.g., critical: 7 days). - Data protection: minimization; pseudonymization; DLP; egress restrictions; secure deletion standards (e.g., NIST SP 800-88). - Business continuity: backups with encryption; DR testing; documented RTO/RPO. - Incident response: playbooks; roles; notification matrix; forensics readiness. - Vendor and subprocessor management: vetting; contractual controls; ongoing monitoring. - Privacy by design: DPIA/PbD checklists; change reviews; data lifecycle management. Annex III: Authorized Subprocessors - List legal names, services, locations, transfer mechanisms, and security attestations (e.g., SOC 2, ISO 27001). - Provide URL for dynamic list and subscription to change notifications. Jurisdictional Annexes (as applicable) - UK: Complete ICO Addendum Tables 1–4 or adopt the UK IDTA. Identify chosen approach. - Switzerland: Specify that references to EU GDPR include Swiss FADP, with adaptations (e.g., definitions, governing law). - China PIPL: Attach PRC Standard Contract and evidence of filing where required; include PIPIA summary and separate consent capture. Note any CAC security assessment or certification outcome. Signatures - Authorized signatory for Exporter: [Name, Title, Date] - Authorized signatory for Importer: [Name, Title, Date] 5. Notification and Escalation Process 5.1 Pre-transfer transparency and notices - Privacy notice: Update to include categories of personal data, purposes, categories of recipients (including cross-border), transfer mechanisms (e.g., SCCs/DPF), retention, and rights. Provide jurisdiction-specific disclosures (e.g., CCPA categories, sensitive PI). - Consent: Obtain consent where required (e.g., cookies/ePrivacy; explicit consent for special categories; separate consent for PIPL cross-border exports). - Records: Update ROPA and data maps to reflect cross-border flows. 5.2 Regulatory consultations - DPIA: Conduct for high-risk processing; if residual high risk remains, consult supervisory authority (GDPR Art. 36). - China PIPL: Where thresholds are met, complete CAC security assessment; file PRC Standard Contract within required timeframe (currently 10 working days from effectiveness). 5.3 Vendor change and subprocessor notifications - Vendor must provide at least [15] days’ notice of new/changed subprocessors, material changes in hosting locations, or material security changes. The controller may object and, if unresolved, suspend transfers. 5.4 Security incident notifications - Vendor to notify within [24–48] hours with: incident summary, systems/data affected, number and types of data subjects, preliminary impact, containment actions, and contact point. - Controller assesses GDPR Article 33/34 triggers and other jurisdictional triggers, and issues notifications within deadlines (e.g., GDPR 72 hours to authority; prompt notice to individuals if high risk). 5.5 CCPA/CPRA notices and opt-outs - If data is disclosed to a service provider/contractor: ensure contract contains CPRA-required terms and confirm no “sale”/“sharing.” - If disclosed to a third party: provide “Do Not Sell or Share” mechanism; honor global privacy control (GPC); include children’s data rules (opt-in for under 16). 5.6 Government access requests - Vendor will notify and challenge overbroad requests; maintain a government request log; provide de-identified transparency reports where permissible. - Escalate to Exporter DPO/Counsel within [24] hours of receipt. 5.7 Internal escalation and RACI - DPO/Privacy: lead on legal assessments (DPIA/TIA, notices). - Security: lead on incident containment, forensics, and evidence preservation. - Procurement/Vendor Mgmt: ensure contract compliance and change tracking. - Communications/PR: manage public statements if needed. - Executive sponsor: approve risk acceptance or suspension decisions. 6. Audit Evidence and Record-Keeping Framework 6.1 Evidence to collect and maintain - Governance: ROPA entries; data flow diagrams; DPIAs; TIAs; privacy notices; consent records; policy approvals. - Contracts: executed DPA, DTA/SCCs and annexes; CPRA service provider/contractor addendum; PRC Standard Contract and filing evidence (if applicable); subprocessor list approvals. - Security: ISO 27001/SOC 2 reports; pen test reports and remediation plans; vulnerability scans; access review attestations; encryption and key management procedures; backup/DR test results; change control tickets. - Operations: incident logs and post-incident reports; government request logs; subprocessors change notifications; training attendance; DSR logs and response evidence; deletion/return certificates upon termination. - CCPA/CPRA: notice at collection; sale/share opt-out logs; GPC handling; annual audits where required by risk profile. - China PIPL (if applicable): PIPIA; consent records; export logs; CAC filings; periodic reassessments. 6.2 Retention periods - Contracts and TIAs/DPIAs: term plus 6 years or per statutory limit, whichever is longer. - Security logs: minimum 12 months; longer where required by sector or risk. - Incident and DSR records: at least 3 years (longer for material incidents). - PIPL export logs and contracts: per regulatory requirement (keep accessible for audits). 6.3 Storage and integrity controls - Central evidence repository with access control, versioning, and immutable audit trails. - Evidence indexing by vendor, dataset, jurisdiction, and control domain. - Quarterly evidence refresh and annual comprehensive review. 7. Vendor Onboarding and Reassessment Workflow - Intake: define roles, purposes, data categories, destinations, and lawful bases. - Risk screening: inherent risk rating (data sensitivity, volumes, special categories, children, regulated data). - Diligence: security/privacy questionnaire, certifications, pen test summary, subprocessor map, breach history. - Legal instruments: MSA, DPA, DTA (SCCs and addenda), CPRA terms; PIPL contractual steps if applicable. - Assessments: DPIA and TIA; remediation plan; risk acceptance/suspension decision. - Go-live controls: configure encryption, access, logging, DLP; deploy keys; validate data minimization. - Monitoring: SLA reviews; subprocessor changes; vulnerability management; annual/trigger-based reassessment. - Offboarding: data return/deletion; certificate of destruction; revoke access; archive evidence. 8. CPRA Service Provider/Contractor Required Terms (Include in DPA/DTA where applicable) - Process personal information only for the limited and specified business purposes. - Comply with applicable sections of CPRA and provide the same level of privacy protection. - Grant the business rights to take reasonable steps to ensure compliance, including audits. - Notify the business if unable to comply; allow the business to stop and remediate unauthorized use. - Prohibit selling or sharing personal information; prohibit combining personal information received from different sources except as permitted by CPRA. - Flow down obligations to subprocessors via written contract. - Assist the business with consumer requests and deletion upon instruction. 9. China PIPL Cross-Border Overlay (If Applicable) - Conduct a PIPIA addressing purpose necessity, impact on rights, security risks, and foreign legal environment. - Obtain separate consent for export; present recipient identity, contact, purpose, categories, and methods of processing, storage location, retention, and how rights are exercised overseas. - Choose export pathway: - CAC security assessment if thresholds or important data apply; or - PRC Standard Contract with overseas recipient and file within required timelines; or - Accredited certification; or - Other lawful mechanisms recognized by regulators. - Maintain export logs, contracts, and filing evidence; re-evaluate upon material changes. 10. Appendices: Checklists and Templates 10.1 TIA checklist (summary) - Data, purposes, and necessity. - Recipient’s role, TOMs, certifications. - Destination country laws and practices on government access and redress. - Risk of onward transfers; encryption feasibility; key control. - Residual risk rating and supplementary measures. - Review cadence and triggers for re-assessment. 10.2 DPIA triggers (examples) - Large-scale processing of sensitive categories. - Systematic monitoring/profiling with significant effects. - Processing of children’s data. - Innovative technologies or AI with significant risks. 10.3 Government request log fields - Requesting authority, legal basis, scope, date, data sought, notification feasibility, challenge outcome, data disclosed (if any). 10.4 Data subject request log fields - Request type, identity verification, systems and vendors involved, response actions, completion date. How to Use This Package - Complete Annexes I–III and jurisdictional addenda for each vendor transfer. - Run the TIA and DPIA, document decisions, and store all evidence. - Implement the notification process and RACI, and test incident drills. - Schedule periodic reassessments and evidence updates. Note: This template is intended to operationalize compliance and should be reviewed and adapted by qualified counsel to reflect your industry, jurisdictions, and specific processing activities.
第三方数据共享与处理协议(供应商版) 本协议用于引入新供应商时之数据共享与处理安排,确保各方遵守适用数据保护法规(包括但不限于GDPR、UK GDPR、CCPA/CPRA、LGPD等),明确数据范围、保留期限与责任分工,并设立加速条款以提升条款对齐与签约效率。 一、定义与适用范围 1. 甲方:数据控制者(Business/Controller)。 2. 乙方:供应商,作为数据处理者(Processor)及/或服务提供商/承包商(Service Provider/Contractor)。 3. 个人数据:可识别自然人的任何信息(包括CPRA下的“敏感个人信息”)。 4. 处理:对个人数据进行的任何操作(收集、存储、使用、传输、披露、销毁等)。 5. 子处理者:受乙方委托参与数据处理的第三方。 6. 适用法规:GDPR及UK GDPR第28条及相关条款,CCPA/CPRA的服务提供商/承包商合同要求,以及其他适用的隐私与数据安全法律。 二、合同目的与处理范围 1. 目的:乙方仅为履行本合同项下之服务[填写服务名称/模块]而处理甲方共享的数据,不得用于任何未授权目的。 2. 范围:数据共享与处理的场景、系统接口、频次与处理活动详见附录A(数据清单与共享矩阵)。 3. 禁止用途:乙方不得为自身或第三方的独立目的使用数据;不得进行出售或共享(CPRA意义上的“跨情境行为广告”)或建立独立档案;不得将数据与来自其他来源的数据进行不当合并以改变用途或合法性基础。 三、角色与合规框架 1. 角色:甲方为数据控制者,乙方为数据处理者。在CCPA/CPRA下,乙方为服务提供商/承包商。 2. 合规义务:本协议条款满足GDPR第28条之最低合同要求,并满足CCPA/CPRA对服务提供商/承包商的合同义务,包括:不出售/共享个人信息、仅依据合同目的处理、协助履行消费者请求、允许合理审计与证明合规。 四、数据范围与分类(详见附录A) 1. 数据类别示例: - 基本标识:姓名、职位、公司、联系方式(电话、邮箱)。 - 账号信息:用户ID、角色、权限、认证日志。 - 交易/业务数据:订单、发票、合同元数据。 - 技术与设备数据:IP地址、设备标识、Cookie/SDK事件、日志。 - 风险与合规数据:欺诈信号、风控标签、访问审计日志。 - 敏感个人信息(如适用且经授权):政府证件号、地理精确位置、财务账号、健康/生物识别数据。敏感信息需最小化与增强保护。 2. 数据来源:甲方系统与用户接口;乙方不得从非授权渠道获取或补充数据。 3. 数据最小化:仅处理达成本合同目的所必需的最少数据与最短时间。 五、合法性基础与透明度 1. 甲方负责确定并记录处理的合法性基础(同意、合同履行、合法权益等),并向数据主体提供适当的隐私通知。 2. 乙方仅依据甲方的书面处理指令行事;如指令可能违反适用法律,乙方应及时书面告知并暂停执行。 六、保留期限与数据删除(详见附录E) 1. 保留原则:遵循存储限制与目的限制。各数据集的具体保留期限见附录E。 2. 删除要求: - 正常到期删除:乙方应在保留期届满后30日内完成安全删除并出具删除证明。 - 终止时数据返还与删除:合同终止后,乙方应在30日内向甲方返还所有个人数据及派生数据(不含乙方独立知识产权),随后在60日内完成不可逆删除(含备份与日志体系),并出具证明。 - 备份与冗余:删除将覆盖所有线上与离线副本;归档/备份中的删除可在技术上以定期循环覆盖方式执行,但不得超过90日。 - 例外情形:法律留存或审计需要的保留应最小化并隔离存放;解除原因后立即删除。 七、处理指令与变更管理 1. 指令形式:经甲方授权的书面指令(合同、附录、邮件、工单系统)为准。 2. 变更控制:对数据范围、传输目的、子处理者或安全措施的重大变更需经甲方书面批准。 3. 合法性提醒:乙方若发现指令可能导致合规风险,应立即书面通知甲方并提出替代方案。 八、安全措施(详见附录B) 1. 乙方须建立与维护适当的技术与组织安全措施,包括但不限于:加密(传输与静态)、访问控制与最小权限、身份鉴别与多因素认证、漏洞管理与渗透测试、安全开发生命周期、日志与监控、网络分段与防火墙、密钥与秘密管理、数据脱敏/伪匿名化、备份与灾难恢复(含RTO/RPO目标)、员工背景审查与隐私安全培训。 2. 合规证明:乙方应提供有效的合规证明(如ISO/IEC 27001、SOC 2 Type II或等效),以及年度安全评估报告。 九、保密与人员管理 1. 保密义务:乙方及其人员(含承包商)对甲方数据与信息负有保密义务,仅在履约必要范围内访问。 2. 人员访问:实施基于角色的访问控制与审批流程;离职或角色变更应在24小时内收回权限。 十、子处理者管理(详见附录F) 1. 事先授权:乙方须获得甲方书面同意方可委托子处理者,并向甲方提供清单、处理目的与安全评估。 2. 异议权:甲方可在收到新增子处理者通知后10个工作日内提出合理异议;若无法解决,甲方可暂停相关处理或终止本协议的相关部分。 3. 传递义务:乙方须确保与子处理者签订等效数据保护条款并监督其履行。 十一、数据主体权利协助 1. GDPR权利:访问、更正、删除、限制、数据可携、反对等,乙方须在收到甲方指示后合理期间内协助完成(一般不超过15个工作日)。 2. CCPA/CPRA权利:知情、删除、更正、限制敏感信息使用、选择退出分享/定向广告,乙方作为服务提供商/承包商须: - 不出售或共享个人信息; - 不将个人信息用于跨情境行为广告; - 仅根据合同目的与甲方指示处理; - 协助甲方响应消费者请求并实施GPC(全球隐私控制)信号的效力(由甲方触发、乙方配合技术屏蔽/不共享)。 3. 请求通道:乙方应设立并公布处理数据主体请求的联络点,且不得直接对数据主体作出实质决定,除非甲方书面授权。 十二、数据泄露与事件响应(详见附录C) 1. 通报义务:乙方在知悉影响甲方数据的安全事件后,应在不迟于24小时内初始通报甲方,并在72小时内提供详细报告(包含事件类型、影响范围、受影响数据类别、初步原因、已采取与拟采取的措施)。 2. 协同处置:乙方须配合甲方进行调查、遏制、修复、监管通报与数据主体通知。乙方不得未经甲方同意对外披露事件信息(法律强制除外)。 3. 事后改进:乙方应在事件关闭后15个工作日内提交根因分析与改进计划,并在约定期限内落地。 十三、跨境传输与传输机制(详见附录D) 1. 跨境限制:任何将个人数据传输至欧盟/英国以外或其他受限司法辖区的安排须经甲方书面批准。 2. 传输机制: - 欧盟数据:采用欧盟委员会标准合同条款(SCC 2021/914,模块2/3视角色而定)并进行传输影响评估(TIA),部署补充措施(如强加密、访问限制)。 - 英国数据:采用UK IDTA或欧盟SCC的英国国际数据传输附加条款(UK Addendum)。 - 其他地区:使用当地监管认可的机制或数据本地化策略。 3. 美国接收方:如适用,乙方可在满足条件时依托EU-U.S. Data Privacy Framework(仅作为传输机制之一),但仍需评估并适配补充措施。 十四、审计与合规证明 1. 文档与记录:乙方须维护GDPR第30条要求的处理活动记录,提供安全政策、风险评估与第三方审计报告。 2. 审计权:甲方可在提前30日书面通知后进行合理的远程或现场审计(每年不超过一次,紧急事件除外),乙方应配合并在不影响正常运营与安全前提下提供必要信息。审计双方各自承担成本,除非发现重大不合规由乙方承担整改成本。 十五、隐私影响评估与合规协作 1. DPIA/PIA:乙方应在甲方开展隐私影响评估时提供必要的处理信息、风险与缓解措施,并支持监管咨询与问询。 2. 合同变更与新功能:乙方在引入新处理活动或功能前应开展隐私与安全评估并向甲方提交影响说明。 十六、业务连续性与灾难恢复 1. 连续性目标:乙方应制定并测试业务连续性与灾难恢复计划,明确RTO/RPO目标,并至少每年演练一次。 2. 备份保护:备份数据须加密与访问隔离,防止勒索与供应链攻击。 十七、责任分工 1. 甲方责任: - 确定合法性基础并发布隐私通知; - 向乙方提供准确且必要的数据及处理指令; - 统筹数据主体请求与监管沟通; - 决定跨境传输策略与批准子处理者。 2. 乙方责任: - 遵循甲方指令与本协议条款; - 实施与维护适当的安全与合规措施; - 及时通报安全事件与合规风险; - 管理子处理者并传递等效义务; - 履行保留与删除。 3. 共同责任:在事件响应、DPIA与跨境评估方面的协作与证据保存。 十八、加速条款对齐与签约 1. 时间界限: - 条款审阅:双方在收到对方红线/修改建议后5个工作日内完成审阅并反馈。 - 争议项清单:将分歧条款汇总至问题清单,设立技术与法务联合评审,最长不超过10个工作日。 2. 预设基线: - 对数据处理、子处理者、保留与删除、审计、安全事件响应、跨境传输(采用SCC/IDTA)等关键条款采用行业基线文本;无法达成一致时,以附录D之标准机制与补充措施为默认落地方案。 3. 升级机制: - 若在预设期限内仍有重大分歧,升级至双方指定高管(含隐私/安全负责人)在5个工作日内决策。 4. 签约与生效: - 双方同意使用电子签名;在所有关键条款对齐后2个工作日内完成签署。以签署日为生效日或双方另行约定。 十九、终止与退出协助 1. 终止条件:违约、合规风险不可控、监管要求或业务终止。 2. 退出协助:乙方在终止后提供合理的交接与数据返还支持,不得超过约定费用范围。 3. 暂停权:甲方可在发现重大安全或合规风险时暂停数据传输与处理。 二十、责任、赔偿与限制 1. 赔偿:乙方因违反本协议或适用数据保护法规导致甲方发生直接损失(含合理的调查、整改、通知与法律费用)应予以赔偿。 2. 责任限制:除故意不当行为、重大过失、保密义务及数据保护违约、知识产权侵权外,双方累计责任以过去12个月乙方就本服务向甲方收取的费用为上限。 3. 监管罚款:如因乙方过错导致监管罚款,乙方应在法律允许范围内承担相应责任。 二十一、通知与联络 1. 隐私联络:各方指定隐私/数据保护联系人与安全事件通报联系人(姓名、邮箱、电话)。 2. 通知方式:以书面形式(电子邮件或合同系统)发送,重要事件应电话与邮件双渠道通知。 二十二、适用法律与争议解决 1. 适用法律:以甲方注册地之适用法律为准,且不影响适用的数据保护强制性规定。 2. 争议解决:友好协商不成,提交[约定仲裁机构或法院]解决。 签署 甲方(数据控制者):___________________ 日期:______ 乙方(供应商/处理者):___________________ 日期:______ 附录A:数据清单与共享矩阵 - 数据集与字段:列示各数据类别与具体字段(示例:姓名、邮箱、用户ID、IP、交易ID、事件时间戳等)。 - 处理目的:账户管理、计费、支持服务、分析(限合同目的)、安全监控、欺诈防控。 - 共享频次与方式:API/批量文件/SDK事件;传输协议与加密(TLS1.2+)。 - 接收系统:乙方服务模块、数据仓库(如适用)、日志平台(访问受限)。 - 保留期限:见附录E。 附录B:技术与组织安全措施 - 加密:静态加密(AES-256或等效)、传输加密(TLS1.2+),密钥管理(HSM或等效)。 - 身份与访问:MFA、最小权限、定期访问审计、特权账户管理、会话控制。 - 网络与主机:分段、WAF、端点保护、漏洞扫描与补丁窗口。 - 开发与发布:安全编码规范、依赖库审计、CI/CD合规门禁、渗透测试至少每年一次。 - 日志与监控:集中式日志、不可篡改存储、异常告警、保留与访问控制。 - 数据治理:分类分级、脱敏/伪匿名化、DLP策略。 - 供应链与第三方:安全评估与合同义务传递,安全事件通报。 - 培训与意识:年度隐私与安全培训、专项演练。 - 业务连续性:BCP/DR计划、RTO/RPO指标与测试记录。 附录C:安全事件通报与应急流程 - 通报时间线:初报≤24小时;详报≤72小时。 - 通报内容:事件类型、时间线、影响评估、数据类别、可能风险、措施与改进计划。 - 指挥与协同:甲方主责外部沟通与监管通报;乙方提供技术与证据支持。 - 外部披露:未经甲方书面同意不得对外发布事件信息(法律强制除外)。 附录D:跨境传输与标准合同条款(SCC/IDTA) - 欧盟SCC:采用2021/914标准条款,模块2(控制者→处理者)或模块3(处理者→处理者),并完成TIA与补充措施。 - 英国传输:采用UK IDTA或欧盟SCC英国附加条款(UK Addendum)。 - 额外控制:端到端加密、访问最小化、司法请求透明度与挑战机制。 - 传输登记:记录数据流向、接收方、法律依据、保护措施与定期复核。 附录E:保留与删除计划 - 一般数据:保留不超过合同目的所需期限,默认不超过24个月;到期删除。 - 安全日志:为审计与安全目的保留不超过12个月(事件调查例外)。 - 计费与合同记录:按法律与财务要求保留(通常7年或当地法规要求),个人数据最小化处理。 - 备份删除:不超过90日循环覆盖。 - 删除证明:含数据集、删除方式与时间戳。 附录F:子处理者清单与管理流程 - 现有清单:列示名称、国家/地区、处理目的、安全资质。 - 准入评估:安全与隐私尽职调查、合同条款传递、跨境机制合规。 - 变更通知:新增或变更至少提前10个工作日通知甲方。 说明 - 本协议为模板,需根据具体服务、数据类型与司法辖区进行定制。 - 所有时间线与阈值可根据风险评估与业务要求调整,但不得低于适用法规要求。
快速生成协议初稿并匹配适用法规;输出不可变与可选条款,提升谈判效率;生成合规清单与变更记录,缩短审阅周期。
进行风险识别与保障措施补齐;生成跨境传输所需附录与通知流程;形成审计证据与留档材料,便于监管检查。
引入新供应商时一键生成共享协议;明确数据范围、保留期限与责任分工;加速条款对齐与签约推进。
为新功能或合作制定共享规则;设置撤回与纠错流程,减少上线阻力;与法务快速对齐,压缩内审时间。
与广告平台、分析工具合作时生成合规协议;确保用户同意与退出路径可落地;降低投放与归因相关的合规风险。
在缺乏专职法务时获得结构化合规文本;多语言版本支持海外伙伴;减少外部咨询成本并提升成交效率。
面向企业与机构在“第三方数据共享”场景下,快速生成严谨、易谈判、可落地的《数据共享协议》初稿或定制文本。以隐私顾问视角输出合规要点与条款结构,覆盖常见法规要求(如欧洲与加州隐私规则)、多语言交付与业务目的个性化,让法务、合规、采购与业务团队在更短时间内,拿到可直接进入谈判的高质量文档,降低法律与合规风险,提升签约与供应商上线效率。
将模板生成的提示词复制粘贴到您常用的 Chat 应用(如 ChatGPT、Claude 等),即可直接对话使用,无需额外开发。适合个人快速体验和轻量使用场景。
把提示词模板转化为 API,您的程序可任意修改模板参数,通过接口直接调用,轻松实现自动化与批量处理。适合开发者集成与业务系统嵌入。
在 MCP client 中配置对应的 server 地址,让您的 AI 应用自动调用提示词模板。适合高级用户和团队协作,让提示词在不同 AI 工具间无缝衔接。
免费获取高级提示词-优惠即将到期
