数据处理协议DPA完全指南：PIPL合规必备的合同模板与条款

2026年1月，一家总部位于上海的SaaS企业收到了网信办的数据处理合规问询函。问询核心只有一个问题：你们与第三方数据处理商之间是否签署了符合《个人信息保护法》要求的数据处理协议（DPA）？ 这家公司使用了六家云服务商、三家AI分析工具、两家海外CDN——却没有一份正式的DPA。最终结果是限期整改通知和一笔六位数的罚款。

这不是个例。自2021年《个人信息保护法》（PIPL）正式实施以来，监管机构已对超过200家企业发出数据合规整改通知，其中缺失或不完善的数据处理协议是最常见的违规事由之一。

一份数据处理协议不需要花几天时间来准备。AiDocX让你从AI起草到签约，只需一杯咖啡的时间。

本指南将系统讲解DPA的法律基础、核心条款结构、各行业场景下的实操模板，并提供可直接复制使用的合同条款，帮助企业在最短时间内建立完善的数据处理合规体系。如果你还不了解PIPL的整体合规框架，建议先阅读我们的PIPL数据合规合同指南。

---

什么是数据处理协议（DPA）？

数据处理协议（Data Processing Agreement，简称DPA）是个人信息处理者与受托处理者之间签订的法律文件，明确约定受托方在处理个人信息时的权利、义务、处理目的、处理方式和安全保障措施。

PIPL中的法律基础

《个人信息保护法》第二十一条明确规定：

个人信息处理者委托处理个人信息的，应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等，并对受托人的个人信息处理活动进行监督。

这意味着，只要你将个人信息交给第三方处理——无论是云存储、数据分析、AI模型训练还是邮件发送——你都需要一份DPA。

DPA中的核心角色

角色	PIPL术语	GDPR对应术语	职责说明
委托方	个人信息处理者	Data Controller	决定处理目的和方式，承担主要合规责任
受托方	受托处理者	Data Processor	按委托方指令处理数据，不得超范围使用
共同处理者	共同处理者	Joint Controller	共同决定处理目的，各自承担对应责任

与GDPR不同，PIPL对受托处理者施加了更严格的限制：受托方不得在委托合同约定的目的、方式和期限之外处理个人信息（第二十一条第二款），且在委托合同不生效、被撤销或终止后，应当将个人信息返还或删除（第二十一条第三款）。

---

什么时候需要签署DPA？

很多企业误以为DPA只在处理大量敏感数据时才需要。事实上，以下场景都需要DPA：

业务场景	典型服务商	处理的个人信息类型	DPA紧迫度
SaaS订阅服务	CRM、ERP、OA系统	客户姓名、联系方式、交易记录	高
云计算/存储	阿里云、腾讯云、AWS	所有托管的个人信息	高
AI/机器学习	大模型API、数据标注平台	训练数据中的个人信息	极高
HR外包	薪酬代发、背调服务	员工身份证号、银行卡、薪资	极高
营销服务	广告投放、邮件营销	用户画像、行为数据、联系方式	高
支付处理	第三方支付、银行通道	交易信息、银行卡号	极高
客服外包	呼叫中心、在线客服	客户咨询记录、联系方式	中高
物流配送	快递公司、仓储服务	收件人姓名、地址、电话	中

判断标准很简单：只要第三方能接触到你收集的个人信息，就需要DPA。2025年国家网信办的执法案例中，一家电商平台因未与物流合作伙伴签署DPA，导致超过50万条收件人信息泄露，被处以营业额2%的罚款。

---

DPA与隐私政策、服务条款的区别

很多企业将DPA与隐私政策或服务条款混为一谈。这三者的法律性质和适用对象完全不同：

对比维度	数据处理协议（DPA）	隐私政策	服务条款
签署方	企业与数据处理商（B2B）	企业向用户公示（B2C）	企业与用户（B2C）
法律性质	双方合同	单方声明/告知义务	双方合同
核心内容	数据处理范围、安全措施、审计权	收集哪些数据、如何使用、用户权利	服务范围、费用、责任限制
PIPL依据	第21条（委托处理）	第17条（告知义务）	非PIPL直接要求
缺失后果	行政处罚+连带赔偿责任	行政处罚+处理行为无效	商业纠纷风险
更新频率	每次合作变更时更新	处理活动变化时更新	服务内容变化时更新

关键要点：隐私政策告知用户你如何处理数据，DPA约束你的服务商如何处理数据——两者不可替代。如果你对电子签名的法律效力有疑问，建议同步了解，确保DPA的签署方式本身也符合法律要求。

---

DPA核心条款与可复制模板

以下是一份完整DPA应包含的核心条款。每个条款都提供了可直接复制使用的模板文本，你可以根据实际业务场景进行调整。

第一条：数据处理范围与目的

这是DPA最基础也最重要的条款，必须清晰界定受托方的处理边界。

第X条 数据处理范围与目的

1.1 甲方委托乙方处理个人信息的目的为：[具体目的，如"为甲方提供客户关系管理SaaS服务，包括客户数据的存储、查询、统计分析"]。

1.2 乙方处理个人信息的方式包括：收集、存储、使用、加工、传输、提供、删除。乙方不得以超出本协议约定目的和方式的任何形式处理甲方委托的个人信息。

1.3 乙方不得将甲方委托的个人信息用于以下目的：（a）乙方自身的产品改进或研发；（b）向第三方提供、出售或许可；（c）用户画像或个性化推荐；（d）任何与本协议约定目的无关的其他目的。

1.4 委托处理期限为：自本协议生效之日起至[具体日期/甲乙双方主合同终止之日]止。

第二条：数据种类与数据主体

PIPL要求明确列出处理的个人信息种类。模糊的描述（如"业务相关数据"）在监管审查中不被接受。

第X条 数据种类与数据主体

2.1 本协议涉及的数据主体包括：[甲方的注册用户/甲方的员工/甲方的客户及潜在客户]。

2.2 本协议涉及的个人信息种类包括：

• 基本身份信息：姓名、手机号、电子邮箱地址
• 账户信息：用户ID、注册时间、登录记录
• 交易信息：订单编号、交易金额、支付方式
• [根据实际业务补充]

2.3 本协议涉及的敏感个人信息（如有）包括：[身份证号码/银行账户信息/生物识别信息/精确地理位置]。处理敏感个人信息应当遵循本协议第X条的额外安全要求。

2.4 预估数据规模：[日均处理量/总存储量]。

第三条：安全保障措施

安全条款是监管机构审查DPA时的重点关注对象。需要同时涵盖技术措施和组织管理措施。

第X条 安全保障措施

3.1 技术措施：乙方应当采取以下技术措施保护个人信息安全：

• （a）传输加密：采用TLS 1.2及以上协议对数据传输进行加密；
• （b）存储加密：采用AES-256标准对静态数据进行加密存储；
• （c）访问控制：实行基于角色的最小权限访问控制（RBAC），并启用多因素认证（MFA）；
• （d）日志审计：记录所有数据访问和操作日志，保留期限不少于六个月；
• （e）漏洞管理：至少每季度进行一次安全漏洞扫描，每年进行一次渗透测试。

3.2 组织管理措施：乙方应当采取以下组织管理措施：

• （a）指定数据保护负责人，联系方式为：[姓名/职务/邮箱]；
• （b）对接触个人信息的员工进行入职前背景调查和年度数据保护培训；
• （c）与接触个人信息的员工签署保密协议（如需NDA模板，可参考保密协议模板指南）；
• （d）建立数据分类分级管理制度，对敏感个人信息实施更严格的访问控制。

3.3 乙方的信息安全管理体系应当通过ISO 27001认证或等保三级及以上认证。乙方应在本协议签署后[30]日内向甲方提供相关认证证书副本。

第四条：次级处理商（Sub-processor）管理

在SaaS和云服务场景中，你的服务商往往还会使用其他服务商（如云基础设施）。PIPL要求对整条数据处理链路负责。

第X条 次级处理商管理

4.1 乙方在未经甲方事先书面同意的情况下，不得将本协议项下的个人信息处理活动转委托给任何第三方（以下称"次级处理商"）。

4.2 乙方应在本协议签署时向甲方提供现有次级处理商清单（见附件X），并在每次新增或更换次级处理商时提前[30]日以书面方式通知甲方。甲方有权在收到通知后[15]日内提出合理异议。

4.3 乙方应确保与每一位次级处理商签署不低于本协议安全保障水平的数据处理协议，并对次级处理商的数据处理行为承担连带责任。

4.4 当前已获批准的次级处理商清单：

• [服务商名称] — [处理目的] — [数据存储地点]
• [服务商名称] — [处理目的] — [数据存储地点]

第五条：跨境数据传输

如果你的数据处理商位于境外或使用境外服务器，跨境传输条款是必须包含的。详细的跨境合规指南请参考跨境合同管理指南。

第X条 跨境数据传输

5.1 乙方承诺，在未满足以下任一条件之前，不得将甲方委托的个人信息传输至中华人民共和国境外：

• （a）通过国家网信部门组织的安全评估（PIPL第四十条）；
• （b）经专业机构进行个人信息保护认证（PIPL第三十八条第一款第二项）；
• （c）与境外接收方签订国家网信部门制定的标准合同（PIPL第三十八条第一款第三项）。

5.2 如业务需要进行跨境数据传输，乙方应提前[60]日书面通知甲方，并配合甲方完成个人信息保护影响评估（PIA）。

5.3 处理100万人以上个人信息的，或累计向境外提供10万人个人信息、1万人敏感个人信息的，应当通过国家网信部门组织的安全评估（《数据出境安全评估办法》第四条）。

第六条：数据泄露通知

PIPL第五十七条要求发生数据泄露时立即采取补救措施并通知监管部门。DPA中应当明确通知时限和流程。

第X条 数据安全事件通知

6.1 乙方在发现或有合理理由怀疑发生个人信息泄露、篡改、丢失等安全事件时，应当在24小时内以书面方式（邮件+电话确认）通知甲方，通知内容应包括：

• （a）事件发生的时间、地点和经过；
• （b）受影响的个人信息种类和数量；
• （c）可能造成的影响和危害；
• （d）已采取的应急处置措施；
• （e）后续调查和整改计划。

6.2 乙方应在安全事件发生后48小时内向甲方提交详细的事件调查报告，并在72小时内配合甲方向履行个人信息保护职责的部门报告。

6.3 因乙方原因导致的数据安全事件，乙方应承担甲方因此产生的全部合理费用，包括但不限于通知成本、调查费用、法律咨询费用、监管罚款及对数据主体的赔偿。

第七条：数据保留与删除

第X条 数据保留与删除

7.1 委托处理期限届满或本协议因任何原因终止后，乙方应在**[30]日内**完成以下操作之一（由甲方书面指定）：

• （a）将所有个人信息及其副本以安全方式返还甲方；
• （b）对所有个人信息及其副本进行不可恢复的删除或匿名化处理。

7.2 乙方应在完成返还或删除后**[5]个工作日内**向甲方出具书面确认函，确认已按要求处理全部个人信息。

7.3 如法律法规要求乙方在协议终止后继续保留特定数据的，乙方应书面告知甲方保留的法律依据、数据范围和保留期限，并确保在保留期间内持续履行本协议约定的安全保障义务。

第八条：审计权

第X条 审计与检查

8.1 甲方有权每年对乙方的数据处理活动进行不超过[2]次的定期审计，并在发生数据安全事件时进行额外审计。

8.2 审计方式包括但不限于：书面问卷调查、远程技术审查、实地检查。甲方可自行或委托独立第三方审计机构执行审计。

8.3 乙方应积极配合审计工作，提供必要的文件、系统访问权限和人员支持。审计中发现的问题，乙方应在甲方指定的合理期限内完成整改。

8.4 审计费用由甲方承担；但如审计发现乙方存在违反本协议约定的情形，则该次审计费用由乙方承担。

---

行业特定的DPA注意事项

不同行业对DPA有不同的额外要求，以下是三个最常见行业的特殊考量。

SaaS行业

SaaS是DPA需求最集中的领域。除基础条款外，SaaS场景的DPA还需要关注：

• 多租户隔离：明确要求逻辑隔离或物理隔离，防止不同客户数据混淆
• 数据可移植性：约定客户有权以标准格式（CSV/JSON/API）导出全部数据
• 服务可用性SLA：数据处理的可用性承诺应与主服务协议一致
• 自动化决策：如涉及自动化推荐或决策，需说明算法逻辑并提供人工干预渠道

使用AI合同生成工具可以快速生成针对SaaS场景定制的DPA初稿，显著提升起草效率。

AI/机器学习行业

AI训练数据处理是2025-2026年监管关注的热点。《生成式人工智能服务管理暂行办法》第七条明确要求AI训练数据的来源合法性。DPA中需要特别约定：

• 训练数据禁令：明确禁止受托方将委托数据用于模型训练（除非另有书面约定）
• 模型输出归属：明确AI处理产生的衍生数据、分析结果的知识产权归属
• 算法透明度：要求受托方说明AI处理的基本逻辑，特别是涉及自动化决策时
• 偏见与歧视审查：要求受托方定期评估AI模型是否存在对特定群体的歧视性输出

医疗健康行业

医疗健康数据属于PIPL第二十八条规定的敏感个人信息，处理门槛更高：

• 单独同意：处理医疗健康信息需要数据主体的单独同意（不能捆绑在通用隐私政策中）
• 专人管理：必须指定专门的数据保护负责人
• 影响评估：处理前必须进行个人信息保护影响评估（PIA）
• 等保要求：医疗信息系统通常需要等保三级或以上

---

PIPL下的跨境数据传输机制

自2023年《个人信息出境标准合同办法》实施以来，跨境数据传输的合规路径已经明确。以下是三种主要路径的对比：

传输机制	适用条件	周期	成本	适用企业
安全评估	处理100万+人信息，或累计出境10万+人信息	3-6个月	高（含评估费）	大型企业、关键信息基础设施运营者
标准合同	非CIIO，处理不满100万人信息	1-2个月（备案）	中	中小企业（最常用）
保护认证	自愿申请	6-12个月	高（含认证费）	集团内跨境传输

实操建议：大多数中小企业选择标准合同备案路径。你需要与境外接收方签署国家网信部门制定的标准合同，并向所在地省级网信部门备案。备案需提交的材料包括：标准合同原件、个人信息保护影响评估报告、境外接收方的数据保护能力证明。

详细的跨境合同管理实操方法，请参阅跨境合同管理指南。

---

DPA起草中的常见错误

根据我们协助上千家企业起草DPA的经验，以下是最常见的八个错误：

错误一：处理目的描述过于笼统

错误示例："乙方为甲方提供数据服务。"

正确做法：具体列明每一项处理活动和对应目的，如"为甲方提供客户关系管理SaaS服务，具体包括客户联系信息的存储与检索、客户行为数据的统计分析、营销活动的触达执行"。

错误二：未列明次级处理商

很多企业签署了DPA却不知道受托方还将数据转给了第四方。必须要求完整的次级处理商清单并建立通知-异议机制。

错误三：泄露通知时限不明确

仅写"及时通知"在监管审查中不被认可。应当明确24小时/48小时/72小时的阶梯式通知时限。

错误四：缺失跨境传输条款

即使受托方声称数据不出境，也应在DPA中明确约定"未经事先书面同意不得跨境传输"，作为兜底保护。

错误五：未约定合同终止后的数据处理

"合同终止后数据怎么办"是最容易被遗忘的条款。必须约定返还、删除或匿名化的具体方式和时限。

错误六：安全措施仅定性不定量

"采取合理安全措施"这样的表述没有实际约束力。应当明确加密标准（AES-256）、认证要求（ISO 27001）、测试频率（每季度）等量化指标。

错误七：未考虑敏感个人信息的额外要求

如果处理范围包含身份证号、银行卡号、生物识别信息等敏感数据，需要在DPA中设置更高的安全标准和单独的处理流程。

错误八：DPA与主合同脱节

DPA应当与主服务协议（MSA）配套使用，在处理范围、服务期限、责任分配上保持一致。两份合同矛盾会在争议解决时产生重大风险。

---

常见问题（FAQ）

Q1：PIPL下不签DPA的法律后果是什么？

根据PIPL第六十六条，未履行委托处理合规义务的企业，可面临以下处罚：一般情节，责令改正并处100万元以下罚款，直接负责人处1万至10万元罚款；情节严重的，处5000万元以下或上一年度营业额5%以下罚款，并可责令暂停业务、吊销营业执照。2025年已有多家企业因DPA缺失被处以数百万元罚款。

Q2：已有服务条款或隐私政策，还需要单独签DPA吗？

需要。 服务条款约束的是你与用户之间的关系，隐私政策是对用户的告知义务，DPA约束的是你与数据处理商之间的关系。三者法律性质不同，不可互相替代。PIPL第二十一条明确要求"应当与受托人约定"——这是独立的法定义务。

Q3：DPA需要每年更新吗？

DPA本身没有强制年度更新要求，但以下情况应当及时修订：（1）处理的个人信息种类或范围发生变化；（2）次级处理商发生变更；（3）法律法规有新的要求（如标准合同办法更新）；（4）发生过数据安全事件后的整改。建议至少每年审查一次DPA的有效性和充分性。

Q4：与境外SaaS供应商（如AWS、Salesforce）签DPA，适用中国法还是外国法？

建议约定适用中国法。即使境外供应商提供了自己的DPA模板（通常适用GDPR或美国法律），你仍需确保其符合PIPL的要求。实操中可以采取"双层协议"方式：在供应商标准DPA基础上签署PIPL补充协议（PIPL Addendum），补充跨境传输、安全评估、审计权等中国法特有要求。

Q5：小微企业也需要签DPA吗？

需要。 PIPL没有设置适用门槛，无论企业规模大小，只要委托第三方处理个人信息就需要签署DPA。但小微企业可以使用更简化的版本——核心条款（处理目的、安全措施、泄露通知、删除义务）不可省略，附件和细节可以适当简化。

---

总结：用AI快速建立数据合规体系

数据处理协议不是可选项——它是PIPL时代企业开展业务的法律基础设施。无论你是将客户数据托管在云服务上，还是使用AI工具分析业务数据，一份结构完整、条款严密的DPA都是保护企业和用户的第一道防线。

回顾本指南的核心要点：

• 全面覆盖：DPA应包含处理范围、数据种类、安全措施、次级处理商管理、跨境传输、泄露通知、数据删除和审计权等核心条款
• 量化约束：安全标准、通知时限、删除期限都应当有明确的数字要求
• 链路管理：不仅管理直接服务商，还要管理整条数据处理链路上的次级处理商
• 动态更新：DPA不是签完就锁进抽屉的文件，需要随业务和法规变化持续更新

手动起草一份完整的DPA可能需要数天时间和专业法律知识。AiDocX的AI合同生成功能可以在几分钟内根据你的业务场景生成DPA初稿，涵盖PIPL要求的所有核心条款，并支持在线电子签名完成签署——从起草到签约，真正做到一杯咖啡的时间。

无论你在哪里创建、分享、追踪和签署文档，AiDocX都能让这一切更快完成。 立即免费试用 AiDocX →