個(gè)人信息安全自律公約

個(gè)人信息安全自律公約合同目錄第一章總則1.1定義1.2適用范圍1.3原則1.4法律依據(jù)第二章個(gè)人信息保護(hù)責(zé)任2.1個(gè)人信息保護(hù)義務(wù)2.2個(gè)人信息處理原則2.3個(gè)人信息保護(hù)措施2.4個(gè)人信息安全培訓(xùn)與宣傳第三章個(gè)人信息收集與使用3.1個(gè)人信息收集目的與范圍3.2個(gè)人信息收集方式3.3個(gè)人信息使用原則3.4個(gè)人信息使用限制第四章個(gè)人信息存儲(chǔ)與傳輸4.1個(gè)人信息存儲(chǔ)期限4.2個(gè)人信息傳輸安全4.3數(shù)據(jù)備份與恢復(fù)4.4跨境傳輸個(gè)人信息的規(guī)定第五章個(gè)人信息訪(fǎng)問(wèn)與更正5.1個(gè)人信息訪(fǎng)問(wèn)權(quán)5.2個(gè)人信息更正權(quán)5.3個(gè)人信息訪(fǎng)問(wèn)與更正的程序5.4個(gè)人信息訪(fǎng)問(wèn)與更正的限制第六章個(gè)人信息刪除與處理6.1個(gè)人信息刪除條件6.2個(gè)人信息處理方式6.3個(gè)人信息刪除與處理的程序6.4個(gè)人信息刪除與處理的例外情況第七章個(gè)人信息保護(hù)違規(guī)處理7.1個(gè)人信息保護(hù)違規(guī)情形7.2個(gè)人信息保護(hù)違規(guī)處理措施7.3個(gè)人信息保護(hù)違規(guī)的責(zé)任承擔(dān)7.4個(gè)人信息保護(hù)違規(guī)處理的程序第八章個(gè)人信息保護(hù)技術(shù)措施8.1加密技術(shù)應(yīng)用8.2訪(fǎng)問(wèn)控制與身份驗(yàn)證8.3網(wǎng)絡(luò)安全防護(hù)8.4個(gè)人信息保護(hù)技術(shù)更新與維護(hù)第九章個(gè)人信息保護(hù)制度與流程9.1個(gè)人信息保護(hù)制度的制定與更新9.2個(gè)人信息保護(hù)流程的建立與執(zhí)行9.3個(gè)人信息保護(hù)制度與流程的培訓(xùn)與監(jiān)督9.4個(gè)人信息保護(hù)制度與流程的評(píng)估與改進(jìn)第十章合作方管理10.1合作方選擇標(biāo)準(zhǔn)10.2合作方協(xié)議簽訂10.3合作方個(gè)人信息保護(hù)義務(wù)10.4合作方違規(guī)處理第十一章用戶(hù)權(quán)益保護(hù)與投訴處理11.1用戶(hù)權(quán)益保護(hù)措施11.2用戶(hù)投訴渠道與方式11.3投訴處理程序與期限11.4投訴處理結(jié)果反饋第十二章違規(guī)責(zé)任與賠償12.1違規(guī)行為認(rèn)定12.2違規(guī)責(zé)任承擔(dān)12.3賠償范圍與計(jì)算方式12.4賠償程序與執(zhí)行第十三章合同的生效、變更與終止13.1合同生效條件13.2合同變更程序13.3合同終止條件13.4合同終止后的處理第十四章?tīng)?zhēng)議解決與法律適用14.1爭(zhēng)議解決方式14.2法律適用14.3訴訟管轄14.4法律法規(guī)變化處理合同目錄結(jié)束合同編號(hào)_________第一章總則1.1定義1.1.1本合同是指甲乙雙方在平等、自愿、公平、誠(chéng)信的原則下，為保護(hù)個(gè)人信息安全，規(guī)范個(gè)人信息處理行為，共同遵守的自律公約。1.1.2個(gè)人信息是指能夠單獨(dú)或結(jié)合其他信息識(shí)別特定自然人的各種信息，包括但不限于姓名、身份證號(hào)、住址、電話(huà)號(hào)碼、電子郵箱、肖像等。1.2適用范圍1.2.1本合同適用于甲乙雙方在業(yè)務(wù)合作過(guò)程中涉及個(gè)人信息處理的所有活動(dòng)。1.3原則1.3.1甲乙雙方應(yīng)遵守國(guó)家有關(guān)個(gè)人信息保護(hù)的法律法規(guī)，尊重個(gè)人信息主體的合法權(quán)益。1.4法律依據(jù)1.4.1本合同的制定和執(zhí)行，遵守《中華人民共和國(guó)合同法》、《中華人民共和國(guó)個(gè)人信息保護(hù)法》等相關(guān)法律法規(guī)的規(guī)定。第二章個(gè)人信息保護(hù)責(zé)任2.1個(gè)人信息保護(hù)義務(wù)2.1.1甲乙雙方應(yīng)對(duì)個(gè)人信息處理活動(dòng)承擔(dān)相應(yīng)的保護(hù)義務(wù)，確保個(gè)人信息安全。2.1.2甲乙雙方應(yīng)采取適當(dāng)?shù)募夹g(shù)和管理措施，降低個(gè)人信息泄露、損毀、篡改、濫用等風(fēng)險(xiǎn)。2.2個(gè)人信息處理原則2.2.1甲乙雙方處理個(gè)人信息時(shí)，應(yīng)遵循合法、正當(dāng)、必要的原則。2.2.2甲乙雙方不得過(guò)度收集、使用個(gè)人信息，不得損害個(gè)人信息主體的合法權(quán)益。2.3個(gè)人信息保護(hù)措施2.3.1甲乙雙方應(yīng)制定并執(zhí)行個(gè)人信息保護(hù)措施，包括但不限于信息加密、訪(fǎng)問(wèn)控制、身份驗(yàn)證等。2.3.2甲乙雙方應(yīng)定期對(duì)個(gè)人信息保護(hù)措施進(jìn)行評(píng)估、更新，確保其有效性和適用性。2.4個(gè)人信息安全培訓(xùn)與宣傳2.4.1甲乙雙方應(yīng)定期組織個(gè)人信息保護(hù)培訓(xùn)，提高員工對(duì)個(gè)人信息保護(hù)的認(rèn)識(shí)和意識(shí)。2.4.2甲乙雙方應(yīng)通過(guò)各種渠道宣傳個(gè)人信息保護(hù)知識(shí)，提高公眾的個(gè)人信息保護(hù)意識(shí)。第三章個(gè)人信息收集與使用3.1個(gè)人信息收集目的與范圍3.1.1甲乙雙方收集個(gè)人信息的目的，應(yīng)僅限于與業(yè)務(wù)合作直接相關(guān)的事項(xiàng)。3.1.2甲乙雙方收集個(gè)人信息的范圍，應(yīng)限于實(shí)現(xiàn)業(yè)務(wù)目的所必需的信息。3.2個(gè)人信息收集方式3.2.1甲乙雙方應(yīng)通過(guò)合法、正當(dāng)?shù)姆绞绞占瘋€(gè)人信息。3.2.2甲乙雙方在收集個(gè)人信息時(shí)，應(yīng)向個(gè)人信息主體明示收集目的、范圍、方式等信息。3.3個(gè)人信息使用原則3.3.1甲乙雙方在使用個(gè)人信息時(shí)，應(yīng)遵循合法、正當(dāng)、必要的原則。3.3.2甲乙雙方不得將個(gè)人信息用于與業(yè)務(wù)合作無(wú)關(guān)的其他事項(xiàng)。3.4個(gè)人信息使用限制3.4.1甲乙雙方在使用個(gè)人信息時(shí)，不得違反國(guó)家法律法規(guī)的規(guī)定。3.4.2甲乙雙方不得將個(gè)人信息泄露、出售、出租給第三方。第四章個(gè)人信息存儲(chǔ)與傳輸4.1個(gè)人信息存儲(chǔ)期限4.1.1甲乙雙方應(yīng)根據(jù)國(guó)家法律法規(guī)的規(guī)定，確定個(gè)人信息的存儲(chǔ)期限。4.1.2個(gè)人信息存儲(chǔ)期限屆滿(mǎn)后，甲乙雙方應(yīng)采取措施及時(shí)刪除個(gè)人信息。4.2個(gè)人信息傳輸安全4.2.1甲乙雙方應(yīng)在傳輸個(gè)人信息時(shí)，采取加密等安全措施，保障個(gè)人信息的安全。4.2.2甲乙雙方不得通過(guò)未加密或不可信的渠道傳輸個(gè)人信息。4.3數(shù)據(jù)備份與恢復(fù)4.3.1甲乙雙方應(yīng)定期對(duì)個(gè)人信息進(jìn)行備份，確保個(gè)人信息在丟失或損毀時(shí)能夠及時(shí)恢復(fù)。4.3.2甲乙雙方應(yīng)在發(fā)生個(gè)人信息泄露、損毀等情況時(shí)，立即采取措施進(jìn)行恢復(fù)。4.4跨境傳輸個(gè)人信息的規(guī)定4.4.1甲乙雙方在跨境傳輸個(gè)人信息時(shí)，應(yīng)遵守國(guó)家有關(guān)跨境數(shù)據(jù)傳輸?shù)姆煞ㄒ?guī)。4.4.2甲乙雙方應(yīng)確?？缇硞鬏?shù)膫€(gè)人信息安全，防止個(gè)人信息被非法獲取和使用。第五章個(gè)人信息訪(fǎng)問(wèn)與更正5.1個(gè)人信息訪(fǎng)問(wèn)權(quán)5.1.1個(gè)人信息主體有權(quán)要求甲乙雙方提供收集和使用其個(gè)人信息的情況。5.1.2甲乙雙方應(yīng)在合理時(shí)間內(nèi)回復(fù)個(gè)人信息主體的查詢(xún)請(qǐng)求。5.2個(gè)人信息更正權(quán)5.2.1個(gè)人信息主體有權(quán)要求甲乙雙方更正、刪除其個(gè)人信息。第八章個(gè)人信息保護(hù)技術(shù)措施8.1加密技術(shù)應(yīng)用8.1.1甲乙雙方應(yīng)采用先進(jìn)的加密算法，對(duì)個(gè)人信息進(jìn)行加密存儲(chǔ)和傳輸。8.1.2甲乙雙方應(yīng)定期更新加密密鑰，確保加密措施的有效性。8.2訪(fǎng)問(wèn)控制與身份驗(yàn)證8.2.1甲乙雙方應(yīng)建立訪(fǎng)問(wèn)控制機(jī)制，限制對(duì)個(gè)人信息的訪(fǎng)問(wèn)權(quán)限。8.2.2甲乙雙方應(yīng)實(shí)施身份驗(yàn)證措施，確保只有授權(quán)人員才能訪(fǎng)問(wèn)個(gè)人信息。8.3網(wǎng)絡(luò)安全防護(hù)8.3.1甲乙雙方應(yīng)采取網(wǎng)絡(luò)安全措施，防止個(gè)人信息遭受網(wǎng)絡(luò)攻擊和非法入侵。8.3.2甲乙雙方應(yīng)定期進(jìn)行網(wǎng)絡(luò)安全檢查和漏洞掃描，及時(shí)修復(fù)安全漏洞。8.4個(gè)人信息保護(hù)技術(shù)更新與維護(hù)8.4.1甲乙雙方應(yīng)關(guān)注個(gè)人信息保護(hù)技術(shù)的最新發(fā)展，及時(shí)更新和升級(jí)相關(guān)技術(shù)。8.4.2甲乙雙方應(yīng)定期對(duì)個(gè)人信息保護(hù)措施進(jìn)行維護(hù)和評(píng)估，確保其有效性。第九章個(gè)人信息保護(hù)制度與流程9.1個(gè)人信息保護(hù)制度的制定與更新9.1.1甲乙雙方應(yīng)制定個(gè)人信息保護(hù)制度，明確個(gè)人信息處理的各個(gè)環(huán)節(jié)和責(zé)任主體。9.1.2甲乙雙方應(yīng)根據(jù)法律法規(guī)的變化和業(yè)務(wù)需要，定期更新個(gè)人信息保護(hù)制度。9.2個(gè)人信息保護(hù)流程的建立與執(zhí)行9.2.1甲乙雙方應(yīng)建立個(gè)人信息保護(hù)流程，規(guī)范個(gè)人信息處理的各個(gè)步驟。9.2.2甲乙雙方應(yīng)嚴(yán)格執(zhí)行個(gè)人信息保護(hù)流程，確保個(gè)人信息安全。9.3個(gè)人信息保護(hù)制度與流程的培訓(xùn)與監(jiān)督9.3.1甲乙雙方應(yīng)定期組織個(gè)人信息保護(hù)制度與流程的培訓(xùn)，提高員工的認(rèn)識(shí)和遵守程度。9.3.2甲乙雙方應(yīng)設(shè)立監(jiān)督機(jī)構(gòu)，對(duì)個(gè)人信息保護(hù)制度與流程的執(zhí)行情況進(jìn)行監(jiān)督。9.4個(gè)人信息保護(hù)制度與流程的評(píng)估與改進(jìn)9.4.1甲乙雙方應(yīng)定期對(duì)個(gè)人信息保護(hù)制度與流程進(jìn)行評(píng)估，檢查其有效性和適用性。9.4.2甲乙雙方應(yīng)根據(jù)評(píng)估結(jié)果，及時(shí)改進(jìn)和完善個(gè)人信息保護(hù)制度與流程。第十章合作方管理10.1合作方選擇標(biāo)準(zhǔn)10.1.1甲乙雙方在選擇合作方時(shí)，應(yīng)要求其符合國(guó)家關(guān)于個(gè)人信息保護(hù)的要求。10.1.2甲乙雙方應(yīng)與符合國(guó)家標(biāo)準(zhǔn)的合作方簽訂個(gè)人信息保護(hù)協(xié)議。10.2合作方協(xié)議簽訂10.2.1甲乙雙方與合作方簽訂的協(xié)議中，應(yīng)明確合作方的個(gè)人信息保護(hù)義務(wù)。10.2.2甲乙雙方應(yīng)確保合作方遵守協(xié)議約定，對(duì)合作方的個(gè)人信息處理行為進(jìn)行監(jiān)督。10.3合作方個(gè)人信息保護(hù)義務(wù)10.3.1合作方在處理個(gè)人信息時(shí)，應(yīng)遵守國(guó)家法律法規(guī)和雙方簽訂的協(xié)議。10.3.2合作方應(yīng)采取必要措施，確保個(gè)人信息的安全和合法使用。10.4合作方違規(guī)處理10.4.1合作方違反個(gè)人信息保護(hù)義務(wù)的，甲乙雙方應(yīng)采取措施制止并及時(shí)改正。10.4.2合作方造成個(gè)人信息泄露、損毀等后果的，甲乙雙方應(yīng)依法追究其責(zé)任。第十一章用戶(hù)權(quán)益保護(hù)與投訴處理11.1用戶(hù)權(quán)益保護(hù)措施11.1.1甲乙雙方應(yīng)采取措施，保障用戶(hù)的個(gè)人信息安全權(quán)益。11.1.2甲乙雙方應(yīng)在官方網(wǎng)站和顯著位置設(shè)置個(gè)人信息保護(hù)政策和用戶(hù)權(quán)益說(shuō)明。11.2用戶(hù)投訴渠道與方式11.2.1甲乙雙方應(yīng)設(shè)立用戶(hù)投訴渠道，便于用戶(hù)提出個(gè)人信息保護(hù)方面的投訴。11.2.2甲乙雙方應(yīng)提供線(xiàn)上和線(xiàn)下等多種投訴方式，方便用戶(hù)選擇。11.3投訴處理程序與期限11.3.1甲乙雙方應(yīng)對(duì)用戶(hù)投訴進(jìn)行編號(hào)，并詳細(xì)記錄投訴內(nèi)容。11.3.2甲乙雙方應(yīng)在一個(gè)工作日內(nèi)決定是否受理投訴，并在規(guī)定期限內(nèi)作出答復(fù)。11.4投訴處理結(jié)果反饋11.4.1甲乙雙方應(yīng)對(duì)投訴處理結(jié)果進(jìn)行反饋，告知用戶(hù)投訴的處理結(jié)果。11.4.2甲乙雙方應(yīng)根據(jù)用戶(hù)投訴，及時(shí)改進(jìn)個(gè)人信息保護(hù)措施。第十二章違規(guī)責(zé)任與賠償多方為主導(dǎo)時(shí)的，附件條款及說(shuō)明當(dāng)甲方為主導(dǎo)時(shí)，增加的多項(xiàng)條款及說(shuō)明：1.甲方主導(dǎo)的附加條款一：個(gè)人信息處理合規(guī)性保證1.1甲方應(yīng)確保其處理個(gè)人信息的行為符合國(guó)家法律法規(guī)的要求，不得違反相關(guān)法律法規(guī)的規(guī)定。1.2甲方應(yīng)負(fù)責(zé)對(duì)個(gè)人信息處理活動(dòng)的合法性進(jìn)行評(píng)估，并確保其處理個(gè)人信息的活動(dòng)不侵犯他人的合法權(quán)益。2.甲方主導(dǎo)的附加條款二：個(gè)人信息安全防護(hù)措施2.1甲方應(yīng)采取先進(jìn)的技術(shù)措施和其他必要措施，確保個(gè)人信息的安全，防止個(gè)人信息被未授權(quán)訪(fǎng)問(wèn)、披露、損壞或丟失。2.2甲方應(yīng)定期對(duì)個(gè)人信息安全防護(hù)措施進(jìn)行評(píng)估和更新，以應(yīng)對(duì)新的安全威脅和漏洞。3.甲方主導(dǎo)的附加條款三：個(gè)人信息保護(hù)培訓(xùn)與教育3.1甲方應(yīng)對(duì)其員工進(jìn)行定期的個(gè)人信息保護(hù)培訓(xùn)和教育，提高員工對(duì)個(gè)人信息保護(hù)的認(rèn)識(shí)和意識(shí)。3.2甲方應(yīng)確保其員工了解并遵守個(gè)人信息保護(hù)的相關(guān)法律法規(guī)和內(nèi)部規(guī)章制度。當(dāng)乙方為主導(dǎo)時(shí)，增加的多項(xiàng)條款及說(shuō)明：1.乙方主導(dǎo)的附加條款一：個(gè)人信息使用限制1.1乙方應(yīng)嚴(yán)格按照甲方的授權(quán)和約定使用個(gè)人信息，不得將個(gè)人信息用于授權(quán)范圍之外的其他目的。1.2乙方應(yīng)確保個(gè)人信息的使用不違反國(guó)家法律法規(guī)的要求，不得侵犯他人的合法權(quán)益。2.乙方主導(dǎo)的附加條款二：個(gè)人信息安全保護(hù)責(zé)任2.1乙方應(yīng)承擔(dān)個(gè)人信息安全保護(hù)的相應(yīng)責(zé)任，采取必要的安全措施保護(hù)個(gè)人信息的安全。2.2乙方應(yīng)在發(fā)生個(gè)人信息安全事件時(shí)立即通知甲方，并采取措施減輕損害。3.乙方主導(dǎo)的附加條款三：個(gè)人信息處理合規(guī)性檢查3.1乙方應(yīng)定期進(jìn)行個(gè)人信息處理活動(dòng)的合規(guī)性檢查，確保其處理個(gè)人信息的行為符合國(guó)家法律法規(guī)的要求。3.2乙方應(yīng)主動(dòng)向甲方報(bào)告其個(gè)人信息處理活動(dòng)的合規(guī)性檢查結(jié)果，并接受甲方的監(jiān)督。當(dāng)有第三方中介時(shí)，增加的多項(xiàng)條款及說(shuō)明：1.第三方中介的附加條款一：中介義務(wù)和責(zé)任1.1第三方中介應(yīng)按照甲乙雙方的約定，協(xié)助甲乙雙方處理個(gè)人信息相關(guān)事務(wù)。1.2第三方中介應(yīng)對(duì)個(gè)人信息的安全和合法性承擔(dān)相應(yīng)的義務(wù)和責(zé)任。2.第三方中介的附加條款二：中介的選擇和評(píng)估2.1甲乙雙方應(yīng)選擇具備良好信譽(yù)和專(zhuān)業(yè)能力的第三方中介，并與之簽訂書(shū)面協(xié)議。2.2甲乙雙方應(yīng)定期對(duì)第三方中介的個(gè)人信息處理活動(dòng)進(jìn)行評(píng)估，確保其符合法律法規(guī)的要求。3.第三方中介的附加條款三：個(gè)人信息的跨境傳輸3.1第三方中介在協(xié)助甲乙雙方進(jìn)行個(gè)人信息的跨境傳輸時(shí)，應(yīng)遵守國(guó)家關(guān)于跨境數(shù)據(jù)傳輸?shù)姆煞ㄒ?guī)。3.2第三方中介應(yīng)確保個(gè)人信息的跨境傳輸安全，防止個(gè)人信息被非法獲取和使用。附件及其他補(bǔ)充說(shuō)明一、附件列表：1.個(gè)人信息保護(hù)制度及流程手冊(cè)2.個(gè)人信息安全培訓(xùn)記錄3.個(gè)人信息收集與使用授權(quán)書(shū)4.個(gè)人信息存儲(chǔ)與傳輸安全措施文檔5.個(gè)人信息處理合規(guī)性檢查報(bào)告6.第三方中介合作協(xié)議7.個(gè)人信息保護(hù)合規(guī)性評(píng)估報(bào)告8.個(gè)人信息安全事件應(yīng)急預(yù)案9.個(gè)人信息保護(hù)技術(shù)措施更新記錄10.個(gè)人信息處理活動(dòng)監(jiān)督記錄二、違約行為及認(rèn)定：1.違反個(gè)人信息處理原則的違約行為，如未合法、正當(dāng)、必要地處理個(gè)人信息。2.未采取適當(dāng)?shù)膫€(gè)人信息保護(hù)措施，導(dǎo)致個(gè)人信息泄露、損毀、篡改、濫用等后果。3.未經(jīng)授權(quán)或超出授權(quán)范圍使用個(gè)人信息。4.未在規(guī)定期限內(nèi)回復(fù)個(gè)人信息主體的查詢(xún)或更正請(qǐng)求。5.未及時(shí)刪除過(guò)期的個(gè)人信息。6.未按規(guī)定進(jìn)行個(gè)人信息安全培訓(xùn)和教育。三、法律名詞及解釋?zhuān)?.個(gè)人信息：指能夠單獨(dú)或結(jié)合其他信息識(shí)別特定自然人的各種信息，包括但不限于姓名、身份證號(hào)、住址、電話(huà)號(hào)碼、電子郵箱、肖像等。2.個(gè)人信息處理：指對(duì)個(gè)人信息的收集、存儲(chǔ)、使用、傳輸、刪除等行為。3.個(gè)人信息保護(hù)：指采取技術(shù)和管理措施，保護(hù)個(gè)人信息的安全，防止個(gè)人信息泄露、損毀、篡改、濫用等風(fēng)險(xiǎn)。4.個(gè)人信息主體：指?jìng)€(gè)人