百度统计突然强行要求用户签署《数据安全与保密协议》

数据安全与保密协议

本保密协议（“本协议”）由百度统计的版权人百度网讯科技有限公司（“甲方”）与贵司（“乙方”）订立，为签署合同的讨论中、在签署特定合同性安排及商业谈判中、 为建立业务关系进行前期磋商和评估中及合同的实际履行中，约束乙方严格保密其从甲方获取的本协议第一条所指数据。乙方点击“我同意”，即表示贵司已仔细阅读本协议全部条款并自愿受其约束。 就前述内容，双方达成如下协议：

鉴于，甲乙双方就 百度统计服务 项目（以下简称“项目”）， 在为签署合同的讨论中、在签署特定合同性安排及商业谈判中、为建立业务关系进行前期磋商和评估中及合同的实际履行中， 双方需要彼此披露本协议第一条所指数据。因此，双方同意遵守下列各项制约条款。

第一条 定义

关联企业就任何一方而言，系指直接或间接拥有或控制该特定一方、或被该特定一方拥有或控制、或与该特定一方处于同一控制之下的任何其他主体。 在本定义中，对任何一个主体的控制（包括控制、被控制和处于同一控制之下等相关含义） 系指通过合同安排或任何其他方式直接或间接地拥有选举该等主体的至少半数董事或代表的权力或拥有该等实体至少50%的表决权。
数据：双方确认，为推进拟定项目，一方或者其代表（包括但不限于该方的控股公司、附属公司和关联公司以及该方的雇员、高级管理人员，董事、代理、财务或法律顾问、审计师及其他咨询顾问） 向另一方或其代表（包括但不限于该方的控股公司、附属公司和关联公司以及该方的雇员、高级管理人员，董事、代理、财务或法律顾问、审计师及其他咨询顾问） 提供或披露的所有有关该方或该方代表、或与拟定项目相关的信息均为本协议所称数据，包括但不限于用户信息数据（包括与用户有关的任何信息，包括但不限于用户个人信息）、 业务数据（指业务、产品、服务开展过程所需和所产生的数据，如技术，业务、财务和法律计划、建议和预测，以及概念，技术，流程，方法，系统，设计，程序，代码，公式，研究， 技术，技术特征、客户或潜在客户、供应商或潜在供应商的信息、关于项目人员的非公开信息等）、公司数据（与公司财务、管理、运营、风控等经营情况相关的数据及公司的服务、 内部系统、软件等产生的数据）。
数据主体：自然人身份数据或者反映特定自然人活动情况的数据可识别出的对应的自然人。
第二条 保密义务

双方严格按照百度隐私政策（https://www.baidu.com/duty/yinsiquan-policy.html） 的范围和目的使用个人信息，并对个人信息承担不低于百度隐私政策标准的承诺和保护义务。
双方应当采取措施保证所取得数据的保密性。双方同意本协议第一条中的数据只可以给予或传授给因推进项目所需必须了解该等数据的雇员， 同时双方应确保获得数据的雇员对数据承担与本协议下同样的保密义务。双方应妥善保存包含数据的文件和记录， 任何以电子方式存储于电脑的数据应有效地防范任何未经授权的、直接或间接通过网络进行的入侵或使用。
协议双方均承诺数据的使用仅限于为优化站长平台建设之用，不得用于任何其他用途。如一方为履行本合同需要向第三方披露数据， 必须事先获得另一方书面许可，同时须与第三方按照本协议格式签署保密协议。
若一方与第三方合并、被第三方兼并或被第三方直接或间接控制，该方不得向该第三方披露任何提另一方的数据，应立即将保密资料归还， 或根据对方要求予以销毁；但如事先获得对方书面同意，该方可继续使用该数据。
如果一方被要求向政府部门、法院或其他有权部门提供数据，应立即向另一方予以通报，并且应尽量使用所有合法的程序来保护该数据。
在一方委托另一方进行数据处理的情况下，数据处理完毕之后受托方应按照委托方要求，退回所有传输的数据和副本或者应销毁所有数据并向委托方证明其已销毁， 除非相关法律规定其不得退回或销毁数据。在法律规定不得退回或销毁数据的情况下，受托方应承担数据保密义务并且保证不会再处理或以任何形式使用、接触数据。
第三条 数据安全保障义务

协议双方应遵守所在国相关法律法规，确保服务过程不存在已知安全隐患或问题，保障网络免受干扰、破坏或者未经授权的访问。
协议双方应遵守所适用的关于保护个人数据和隐私、通信自由及保障网络安全运行等方面的法律法规。协议双方的网络产品、服务具有收集和分享用户信息功能的，其提供者应当向用户明示并取得同意。
协议双方应严格遵从双方的约定、对方及/或数据主体的指示进行个人数据处理、转移及其他相关业务，采取数据分类、重要数据备份和加密等措施，防止网络数据泄露或者被窃取、篡改。
双方提供的产品若具有存储或传送数据的功能，则双方须对产品的口令、敏感个人数据（如银行帐号等）的存储和传送过程进行加密。传输的口令不得含有硬编码，若无须还原口令， 则须使用不可逆算法存储口令。不得攻击、破坏对方或数据主体的网络、不得窃取对方或数据主体网络中的任何数据或信息、不得破解对方或数据主体的账户密码。
未经一方及/或数据主体书面授权，另一方不得使用非授权账号或他人账号登录设备进行操作或账号和密码与他人共享。在产品进入商用或转入维护阶段后，不得保留或使用管理员账号或其它非授权账号。
未经一方书面许可，不得使用个人便携设备、存储介质接入该方网络。未经一方及/或数据主体书面授权，不得访问该方及/或数据主体系统或收集、持有、处理、修改、泄漏、 传播数据主体网络中的任何数据和信息。
双方须建立安全应急响应机制，对产品及/或服务的安全问题（含安全漏洞）及问题的解决方案（含安全补丁），通过邮件、传真或其他书面方式向对方进行通报。
当双方对外发布产品及/或服务的安全问题（含安全漏洞）时，须提前72小时通过邮件、传真或其他书面方式通知对方，并将问题的解决方案（含安全补丁）通过正式版本发布渠道通知对方。
双方应对关键安全岗位员工进行安全管理，包括但不限于与员工安全协议签署、进行安全培训、对员工遵守安全规范的情况进行审核及改善通过审核发现的问题。
双方应在研发、生产制造、物流和采购等环节建立详细的安全过程记录，以确保过程的可追溯性。若双方的产品及/或服务含有日志，则日志应有访问控制，并按照规定留存相关的网络日志不少于六个月。
双方在存储、使用数据过程中，应使用符合业界标准并与数据处理风险特点、数据性质相称的安全防护措施保护数据同时定期开展风险评估，防止数据遭到未经授权访问、 公开披露、使用、修改、损坏或丢失。
如一方接受另一方委托处理数据，未经委托方书面同意，受托方不得转委托；若委托方同意转委托，原受托方必须与最终受托方签署书面协议， 该协议应规定最终受托方应承担与本协议条款下原受托方同等的义务和赔偿责任，如最终受托方行为违反本协议约定，原受托方应向委托方和数据主体承担连带责任。
数据共享方/转让方/数据处理委托方有权对数据接收方/数据处理受托方对数据的使用、处理行为进行监督管理， 并可通过自行或委托第三方审计的方式对数据接收方/数据处理受托方履行本协议及相关合作协议（如有）的情况进行监督。

第四条 非权利授予

任何数据的获得并不意味着一方授予另一方任何有关专利权、著作权、商标权以及任何的知识产权，也不意味着一方授予另一方除按照本协议约定方式处理、使用数据之外对数据的任何权利。
第五条 无商业合作关系

一方按照本协议对数据的提供不构成该方（或其任何代理）拟定项目或任何商业或者投资关系的邀请或承诺。如果双方希望推进拟定项目或者进行任何商业或者投资机会，双方应另行签署书面协议。
第六条 知识产权

因对本协议所指数据的使用而直接或间接产生的知识产权方面的权利由双方当事人协商决定归属。
第七条 违约和赔偿

任何一方有违反本协议的情形，无论故意与过失，应当立即停止侵害，并在第一时间采取一切必要措施防止数据的扩散，尽最大可能消除影响。
一方违反本协议的规定，应承担违约责任，违约方应向守约方赔偿全部损失（包括但不限于诉讼费、律师费、公证费等合理支出费用以及因违约方违约行为造成的损害等）。 如违约行为给数据主体造成实际损失，违约方应向数据主体进行赔偿。
双方承认如有违本协议，对另一方造成的损失将难以估量；同时双方承诺：任何一方均可以向法院或有关的部门申请保护措施，来维护自身正当权利， 该等权利的行使不影响其继续享有和行使其他权利和补偿权。
第八条 保密文件的归还

在收到一方提出的书面要求的三十（30）日内，另一方应（并应确保其雇员或代理）按照对方的要求返还或销毁其持有的数据以及载有数据的各种媒体。 除了按照适用法律法规强制性规定进行的备份以外，任何一方不得保留任何复件。双方本协议下的保密义务在返还或销毁数据以后，本协议期限内仍然有效。

第九条 协议生效及保密期限

本协议自签署之日起生效并持续有效；除一方书面同意提前免除另一方保密义务外，双方的保密义务从收到数据起至数据以合法途径进入公众领域。
本协议提前终止，不影响双方于本协议终止日前已经依据本协议取得的权利义务。
第十条 适用法律及争议解决

本协议将适用【中华人民共和国】的管辖及解释。
由本协议引起或与本协议有关的一切争议，包括有关其有效性或终止的任何问题，应由双方通过协商解决，协商不成，任何一方可将争议提交给【北京市海淀区人民法院】进行诉讼解决。 正在进行诉讼时，除争议的事项外，双方仍应继续行使各自在本协议项下的其他权利并履行各自在本协议项下的其他义务。
未经一方的事先书面同意，另一方不得向任何第三方披露：(i) 本协议的存在和目的；(ii) 本协议的条款和条件；(iii) 双方对拟定项目和数据进行商讨的事实，或 (iv) 双方对数据进行分享的事实，除双方另外书面同意外， 或者除了根据适用法律法规、股票交易规则、或任何政府部门或法院的命令而须进行的披露外， 但条件是需要履行披露义务的一方应把要求披露的情况事先通知另一方且仅在被要求披露的范围内进行披露。
一方无义务保证向另一方所披露数据的准确性与完整性，也无义务承担所披露的信息所造成的任何特殊的、偶然的、后续的、间接的损害或损失。
本协议的任何修订均须以书面形式作出并经双方签署方为有效。