跨境数据合规承诺书
甲方(平台方):深圳上喻有单互联网信息科技有限公司 (3Eeye平台)
乙方(卖家):____________________
统一社会信用代码:____________________
签署日期:____________________
一、数据收集与使用合规
1. 合法性原则
- 乙方承诺仅收集与跨境交易直接相关的数据(如订单信息、物流跟踪号),且事先通过平台隐私政策向买家明示收集目的、范围及使用方式。
- 禁止收集政治倾向、宗教信仰、生物识别等敏感个人信息,除非取得买家单独书面同意并完成数据保护影响评估(DPIA)。
2. 数据最小化
- 乙方存储的买家数据不得超过完成交易及履行售后服务所需的最短期限(默认2年),超期后需彻底删除或匿名化处理。
二、数据安全措施
1. 技术保障
- 数据传输采用SSL/TLS 1.3加密协议,存储采用 AES-256加密算法。
- 乙方需部署防火墙、入侵检测系统(IDS),并每季度提交安全漏洞扫描报告。
2. 访问控制
- 设置基于角色的访问权限(RBAC),仅授权员工可接触买家数据,且操作日志保留 6个月。
- 跨境数据传输前需通过国家 “数据出境安全自评估”系统 审核。
三、数据跨境传输合规
1. 法律合规
- 向欧盟传输数据时,乙方需确保接收方签署标准合同条款(SCCs)或通过充分性认定。
- 向美国传输数据前,需确认接收方加入《欧美隐私盾》替代框架(如Trans-Atlantic Data Privacy Framework)。
2. 备案与申报
- 涉及超过100万人个人信息 或10万条敏感信息的跨境传输,需向中国网信部门申报数据出境安全评估。
四、数据主体权利保障
1. 权利响应
- 收到买家行使访问权、更正权、删除权请求后,乙方需在7个工作日内通过平台工单系统处理完毕。
- 若买家要求数据可移植(GDPR Article 20),乙方需提供结构化、通用的格式(如CSV、JSON)。
五、安全事件与应急响应
1. 事件通报
- 发生数据泄露后,乙方需在24小时内通过平台安全中心提交事件报告,包括影响范围、补救措施及后续预案。
- 若影响欧盟用户,需在72小时内向监管机构(如爱尔兰DPC)报告。
六、违约责任
1. 违约金标准
- 违规收集或传输数据,按交易额10%或最低50万元支付违约金。
- 因数据泄露导致平台被处罚,乙方需全额承担罚款及诉讼费用。
2. 账户处置
- 累计3次违规或单次重大违规(如向伊朗传输数据),平台有权永久封禁账户并移交执法机关。
七、附则
1. 法律适用
- 本承诺书受中国法律管辖,跨境争议可提交香港国际仲裁中心(HKIAC)仲裁。
2. 动态更新
- 平台有权根据《数据出境安全评估办法》等法规更新合规要求,乙方需在30日内签署补充协议。
乙方签署:__________________________
(公章)
法定代表人签字:____________________
日期:____________________
