零售餐饮服务业预付卡数据安全保护协议.docx

零售餐饮服务业预付卡数据安全保护协议 甲方（发卡方）：[发卡方全称] 法定代表人/负责人：[姓名] 注册地址：[地址] 统一社会信用代码：[代码] 乙方（受理方）：[受理方全称] 法定代表人/负责人：[姓名] 经营地址：[地址] 统一社会信用代码/营业执照号：[号码] 根据《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》、《中华人民共和国数据安全法》及相关法律法规，甲乙双方本着平等、自愿、公平和诚实信用的原则，就乙方受理甲方发行的预付卡（以下简称“预付卡”）相关的数据安全保护事宜，经友好协商，达成如下协议： 第一条 定义与适用范围 1.1 本协议所称“预付卡数据”是指在与预付卡发行、使用、管理相关的活动中，收集、存储、使用、传输、删除等处理过程中，能够单独或者与其他信息结合识别预付卡持有人个人身份的各种信息，包括但不限于：预付卡持有人姓名、身份证号码、联系方式（手机号码、电子邮件地址等）、住址、预付卡卡号、密码（或动态验证码）、账户余额、交易记录、消费行为、营销偏好、受理方为提供服务等目的而收集的其他信息。 1.2 本协议适用于甲方发行的预付卡在乙方经营场所或通过乙方系统受理、处理及管理过程中的数据安全保护活动，以及乙方根据甲方要求或业务需要对接的、与预付卡数据相关的处理行为。 1.3 甲乙双方均应遵守国家关于数据安全和个人信息保护的法律、法规和规章。 第二条 数据安全基本原则 2.1 甲乙双方处理预付卡数据应当遵循合法、正当、必要、诚信原则。 2.2 甲乙双方处理预付卡数据应当具有明确、合理的目的，并仅限于实现该目的所必需的最小范围。 2.3 甲乙双方处理预付卡数据应当确保数据质量，保证数据的准确性、完整性和更新。 2.4 甲乙双方处理预付卡数据应当公开透明，明确告知预付卡持有人个人信息的处理规则。 2.5 甲乙双方应当采取必要的技术和管理措施，保障预付卡数据的安全，防止数据泄露、篡改、丢失。 第三条 数据安全责任划分 3.1 甲方作为预付卡数据的主要控制者/处理者，承担预付卡数据安全的总体责任，包括但不限于： (1) 制定并实施覆盖预付卡数据全生命周期的安全管理制度和技术规范。 (2) 建立安全的预付卡发行、交易处理系统，采取加密、访问控制等技术措施保障系统安全。 (3) 负责收集、存储、使用预付卡持有人个人信息的合法性、正当性，并确保采取符合国家要求的存储和安全保护措施。 (4) 建立预付卡数据安全事件应急预案，并定期组织演练。 (5) 定期对自身及乙方（如需）的数据处理活动进行安全评估和审计。 (6) 确保向乙方提供的数据接口和系统符合数据安全要求。 (7) 依据法律法规及本协议约定，处理预付卡持有人的数据主体权利请求。 (8) 发生数据安全事件时，按照约定及时通知乙方和受影响的预付卡持有人，并配合相关部门调查。 3.2 乙方作为预付卡数据的处理者，应在甲方指导下，遵守国家法律法规及本协议约定，履行以下数据安全保护义务： (1) 严格遵守甲方关于预付卡数据安全的管理规定和技术要求。 (2) 在其经营场所或系统中，采取必要的技术和管理措施（如防火墙、入侵检测、数据加密等）保障接入的预付卡数据安全。 (3) 严格限制内部员工对预付卡数据的访问权限，遵循最小必要访问原则，并进行定期权限审查。 (4) 确保其员工了解并遵守甲方及本协议的数据安全要求，对违反规定的行为进行内部处理，并配合甲方调查。 (5) 保护通过其系统传输的预付卡数据安全，使用加密等可靠传输方式。 (6) 发生或发现数据安全事件时，立即通知甲方，并配合甲方采取应急措施。 (7) 根据甲方要求或本协议约定，提供必要的数据处理日志、记录等，配合甲方进行审计。 (8) 不得将预付卡数据用于协议约定之外的目的，或非法向第三方提供、披露。 第四条 数据收集与处理 4.1 甲方负责收集预付卡持有人为实现预付卡发行、交易、结算等必要目的所需的个人信息，并告知收集信息的目的、方式、范围等。 4.2 乙方在为预付卡持有人提供商品或服务的过程中，应根据甲方要求或业务需要，收集预付卡交易必要信息，并仅用于完成交易、提供相关服务或甲方为管理预付卡而设定的其他目的。 4.3 乙方处理预付卡数据应遵循甲方的指示，并确保处理活动符合本协议及国家法律法规的要求。 4.4 任何一方不得非法收集、使用预付卡持有人敏感个人信息。确因业务需要收集的，应取得预付卡持有人单独同意。 4.5 甲乙双方应确保预付卡数据的存储、传输、使用等环节采取加密、去标识化等安全技术措施，保障数据安全。 第五条 数据安全措施 5.1 甲方应建立并维护一套完善的数据安全管理体系，包括但不限于： (1) 网络安全防护措施，防止未经授权的访问、攻击和破坏。 (2) 数据加密措施，对存储和传输中的预付卡数据（特别是个人身份信息、密码等敏感信息）进行加密。 (3) 访问控制措施，建立严格的身份认证和权限管理机制。 (4) 数据备份与恢复机制，确保数据的可用性。 (5) 安全审计机制，记录关键操作和数据访问日志。 (6) 定期进行安全漏洞扫描和风险评估。 5.2 乙方应采取以下数据安全措施： (1) 严格遵守甲方设定的数据访问权限和操作规程。 (2) 对接触预付卡数据的员工进行背景审查和定期安全培训。 (3) 对存储、处理预付卡数据的终端和系统进行安全配置和防护。 (4) 确保与甲方对接的数据接口传输过程安全可靠。 (5) 甲方有权对乙方的数据安全措施进行监督和检查，乙方应予以配合。 第六条 数据主体权利保障 6.1 甲方负责建立渠道，供预付卡持有人行使个人信息相关的权利，包括访问、更正、删除其个人信息等。甲方应将乙方的联系方式作为受理渠道之一，并确保乙方及时将收到的权利请求转达给甲方。 6.2 乙方在经营活动中收集、处理预付卡持有人个人信息时，如需让预付卡持有人行使权利，应引导其联系甲方。 6.3 预付卡持有人依据法律法规行使权利的，甲乙双方应依法配合提供所需信息或采取相应处理措施，并承担由此产生的合理费用。 第七条 数据安全事件响应与报告 7.1 甲乙双方均应制定数据安全事件应急预案，明确事件响应流程、负责人及联系方式。 7.2 发生或可能发生预付卡数据泄露、篡改、丢失等安全事件时，相关方应立即启动应急预案，采取控制措施，防止事件扩大。 7.3 乙方在发生或发现数据安全事件时，应在[ ]小时内通知甲方，并按甲方要求提供事件相关情况说明、证据材料等。 7.4 甲方在发生需向监管部门报告或通知预付卡持有人的数据安全事件时，应根据法律法规规定及本协议约定，及时履行相关义务，并通知乙方配合。 第八条 合规与审计 8.1 甲乙双方均有义务遵守所有适用于预付卡数据处理的法律法规。 8.2 甲方有权对乙方处理预付卡数据的合规性、安全性进行定期或不定期的审计、检查。乙方应提供必要的配合与协助，不得拒绝或阻挠。 第九条 协议期限、终止与数据销毁 9.1 本协议有效期自双方签字盖章之日起生效，至预付卡服务终止且所有相关数据按照本协议约定处理完毕之日止。 9.2 协议终止或提前解除时，乙方应： (1) 停止一切与预付卡数据相关的处理活动。 (2) 根据甲方要求或本协议约定，将存储在乙方系统中的预付卡数据（包括个人数据）全部返还给甲方，或进行安全删除（无法返还的），并出具书面证明。 (3) 确保在返还或删除前，已对相关数据进行脱敏处理（如适用），并采取必要措施防止数据泄露。 (4) 不得保留任何与已终止协议相关的预付卡数据副本或备份。 9.3 双方均应确保在协议终止后，按照法律法规及本协议约定，对不再需要的、或协议终止前已通知甲方删除的预付卡数据，采取有效措施进行安全销毁，确保数据无法恢复。 第十条 违约责任 10.1 任何一方违反本协议约定，给对方造成损失的，应承担赔偿责任。 10.2 若因甲方原因导致数据安全事件，给乙方或预付卡持有人造成损失的，甲方应承担相应责任。 10.3 若因乙方原因违反数据安全保护义务，导致数据泄露、篡改、丢失，或给甲方、预付卡持有人造成损失的，乙方应承担赔偿责任，并可能被甲方暂停服务或解除协议。 10.4 若违约行为构成犯罪的，相关方应承担刑事责任。 第十一条 争议解决 11.1 因本协议引起的或与本协议有关的任何争议，双方应首先通过友好协商解决。 11.2 协商不成的，任何一方均有权向[甲方/乙方]所在地有管辖权的人民法院提起诉讼。 第十二条 保密 12.1 甲乙双方对于在本协议履行过程中知悉的对方的商业秘密、技术信息以及预付卡持有人个人信息等，无论协议是否终止，均负有保密义务，不得向任何第三方泄露、披露或用于本协议约定目的之外，但法律法规另有规定或双方另有约定的除外。 12.2 本保密义务不因本协议的终止而失效。 第十三条 不可抗力 13.1 因地震、台风、洪水、火灾、战争、政策变化、法律修订等不可抗力因素导致本协议无法履行或延迟履行的，遭遇不可抗力的一方应立即通知对方，并在合理期限内提供证明文件。 13.2 因不可抗力影响，双方可协商暂时中止履行或终止本协议，互不承担违约责任。 第十四条 其他 14.1 本协议构成双方就预付卡数据安全保护达成的完整协议，取代此前任何口头或书面的约定。 14.2 对本协议的任何修改或补充，均须经双方书面同意。 14.3 本协议未尽事宜，遵照国家有关法律法规执行。 14.4 本协议一式[ ]份，甲方执[ ]份，乙方执[ ]份，具有同等法律效力。 甲方（盖章）：[发卡方公章] 法定代表人/授权代表（签字）： 日期： 年 月 日 乙方（盖章）：[受理方公章] 法定代表人/授权代表（签字）： 日期： 年 月 日