2025年醫(yī)療數(shù)據(jù)安全合同協(xié)議鑒于雙方（以下簡(jiǎn)稱“甲方”和“乙方”）在醫(yī)療數(shù)據(jù)安全領(lǐng)域的合作需求，依據(jù)《中華人民共和國(guó)個(gè)人信息保護(hù)法》、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》及相關(guān)法律法規(guī)，經(jīng)友好協(xié)商，達(dá)成以下協(xié)議：第一條定義與解釋在本協(xié)議中，除非上下文另有明確說(shuō)明，下列詞語(yǔ)具有以下含義：“醫(yī)療數(shù)據(jù)”指在醫(yī)療健康服務(wù)活動(dòng)中產(chǎn)生的，與自然人的健康、健康史、醫(yī)療服務(wù)、健康保險(xiǎn)等相關(guān)的各類信息，包括但不限于個(gè)人信息和敏感個(gè)人信息?！皞€(gè)人信息”是指以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息?！懊舾袀€(gè)人信息”是指一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個(gè)人信息，包括生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個(gè)人信息?！皵?shù)據(jù)控制者”是指確定醫(yī)療數(shù)據(jù)處理目的、處理方式，并決定所處理的醫(yī)療數(shù)據(jù)的個(gè)人或組織?！皵?shù)據(jù)處理者”是指為數(shù)據(jù)控制者處理醫(yī)療數(shù)據(jù)，并可能被授權(quán)決定或影響處理目的、方式的個(gè)人或組織?！皵?shù)據(jù)主體”是指其個(gè)人信息均為醫(yī)療數(shù)據(jù)的自然人與其監(jiān)護(hù)人?！鞍踩胧笔侵笧楸Ｕ厢t(yī)療數(shù)據(jù)安全所采取的技術(shù)和管理措施?！昂弦?guī)性”是指遵守適用法律、法規(guī)、政策及本協(xié)議約定的要求?！氨Ｃ芰x務(wù)”是指雙方對(duì)醫(yī)療數(shù)據(jù)及本協(xié)議內(nèi)容予以保密的義務(wù)。本協(xié)議所稱適用法律為中華人民共和國(guó)法律。本協(xié)議的訂立、效力、解釋、履行及爭(zhēng)議解決均適用中華人民共和國(guó)法律。第二條數(shù)據(jù)處理目的與范圍2.1甲方是本協(xié)議項(xiàng)下醫(yī)療數(shù)據(jù)的控制者，乙方是數(shù)據(jù)處理者。雙方同意根據(jù)甲方授權(quán)，共同致力于確保醫(yī)療數(shù)據(jù)處理的合規(guī)性和安全性。2.2本協(xié)議項(xiàng)下處理醫(yī)療數(shù)據(jù)的目的是：【請(qǐng)根據(jù)實(shí)際情況填寫具體目的，例如：為患者提供診療服務(wù)、進(jìn)行臨床研究、管理醫(yī)療服務(wù)體系、滿足監(jiān)管要求等】。2.3雙方同意，僅在實(shí)現(xiàn)上述目的所必需的范圍內(nèi)處理醫(yī)療數(shù)據(jù)，并遵循合法、正當(dāng)、必要、誠(chéng)信原則。2.4本協(xié)議項(xiàng)下處理的醫(yī)療數(shù)據(jù)范圍包括但不限于：【請(qǐng)根據(jù)實(shí)際情況列舉具體數(shù)據(jù)類型，例如：患者基本信息（姓名、性別、出生日期、身份證號(hào)等）、診斷信息、治療方案、用藥記錄、檢查檢驗(yàn)結(jié)果、影像資料、遺傳信息、醫(yī)療費(fèi)用信息、患者與醫(yī)療機(jī)構(gòu)溝通記錄等】。第三條數(shù)據(jù)安全要求3.1乙方同意，在處理醫(yī)療數(shù)據(jù)的全過(guò)程中，采取與其處理醫(yī)療數(shù)據(jù)的規(guī)模和風(fēng)險(xiǎn)相適應(yīng)的技術(shù)和管理措施，確保醫(yī)療數(shù)據(jù)的安全。3.2乙方應(yīng)實(shí)施以下安全措施，以保障醫(yī)療數(shù)據(jù)的安全：(1)建立健全的數(shù)據(jù)安全管理制度和操作規(guī)程；(2)對(duì)接觸醫(yī)療數(shù)據(jù)的員工進(jìn)行數(shù)據(jù)安全和隱私保護(hù)培訓(xùn)；(3)實(shí)施嚴(yán)格的訪問(wèn)控制措施，包括身份認(rèn)證、權(quán)限管理等，確保只有授權(quán)人員才能訪問(wèn)相應(yīng)的醫(yī)療數(shù)據(jù)；(4)對(duì)傳輸中的醫(yī)療數(shù)據(jù)進(jìn)行加密保護(hù)，例如使用TLS/SSL等加密協(xié)議；(5)對(duì)存儲(chǔ)的醫(yī)療數(shù)據(jù)進(jìn)行加密保護(hù)，例如對(duì)數(shù)據(jù)庫(kù)、文件進(jìn)行加密；(6)建立安全審計(jì)機(jī)制，記錄關(guān)鍵操作和訪問(wèn)日志，并定期進(jìn)行審計(jì)；(7)定期對(duì)系統(tǒng)和應(yīng)用進(jìn)行漏洞掃描和補(bǔ)丁更新，及時(shí)修復(fù)安全漏洞；(8)建立數(shù)據(jù)備份和恢復(fù)機(jī)制，確保在發(fā)生故障時(shí)能夠及時(shí)恢復(fù)數(shù)據(jù)；(9)制定并演練數(shù)據(jù)安全事件應(yīng)急預(yù)案，以應(yīng)對(duì)可能發(fā)生的數(shù)據(jù)安全事件；(10)對(duì)第三方供應(yīng)商進(jìn)行安全評(píng)估和管理，確保其具備必要的安全措施；(11)【根據(jù)實(shí)際情況補(bǔ)充其他必要的安全措施】。3.3乙方應(yīng)確保其采取的安全措施符合國(guó)家相關(guān)法律法規(guī)的要求，并達(dá)到行業(yè)普遍接受的安全標(biāo)準(zhǔn)。3.4甲方應(yīng)確保其授權(quán)的數(shù)據(jù)處理活動(dòng)符合法律法規(guī)及本協(xié)議約定，并對(duì)數(shù)據(jù)處理者的選擇和監(jiān)督承擔(dān)管理責(zé)任。第四條數(shù)據(jù)共享與披露4.1未經(jīng)甲方事先書面同意，乙方不得將醫(yī)療數(shù)據(jù)共享、披露或提供給任何第三方。4.2乙方僅在以下情況下可以披露醫(yī)療數(shù)據(jù)：(1)依據(jù)法律法規(guī)或有權(quán)機(jī)關(guān)的要求進(jìn)行披露；(2)為履行甲方交付的具體指令所必需，且僅限于指令范圍內(nèi)；(3)為保護(hù)甲方、乙方或第三方的重大利益所必需，且已盡到合理的通知義務(wù)或無(wú)法避免；(4)【根據(jù)實(shí)際情況補(bǔ)充其他必要情況】。4.3在前款第（1）項(xiàng)情況下，乙方應(yīng)在披露前將披露的事由、范圍和接收方告知甲方；在前款第（2）項(xiàng)和第（3）項(xiàng)情況下，乙方應(yīng)在披露后及時(shí)通知甲方。4.4乙方應(yīng)對(duì)其披露給第三方的醫(yī)療數(shù)據(jù)承擔(dān)同等的安全保護(hù)義務(wù)，并確保第三方遵守本協(xié)議的保密義務(wù)和數(shù)據(jù)安全要求。第五條數(shù)據(jù)傳輸（跨境傳輸）5.1如涉及將醫(yī)療數(shù)據(jù)傳輸至中華人民共和國(guó)境外，雙方應(yīng)確保遵守《個(gè)人信息保護(hù)法》等相關(guān)法律法規(guī)關(guān)于跨境傳輸?shù)囊?guī)定。5.2跨境傳輸醫(yī)療數(shù)據(jù)的合法性基礎(chǔ)包括但不限于：已取得數(shù)據(jù)主體的明確書面同意；已采用標(biāo)準(zhǔn)合同條款；已獲得相關(guān)國(guó)家或地區(qū)的數(shù)據(jù)保護(hù)機(jī)構(gòu)的數(shù)據(jù)保護(hù)認(rèn)定；已采取其他符合法律法規(guī)要求的保護(hù)措施。5.3雙方應(yīng)確保在跨境傳輸過(guò)程中采取必要的安全措施，防止醫(yī)療數(shù)據(jù)泄露、篡改或丟失。5.4甲方在授權(quán)跨境傳輸前，應(yīng)確保已就相關(guān)情況充分告知數(shù)據(jù)主體并取得其同意（如適用）。第六條計(jì)費(fèi)與審計(jì)6.1【如涉及費(fèi)用，請(qǐng)?jiān)诖藯l款詳細(xì)約定計(jì)費(fèi)方式、周期、支付條款等；如不涉及費(fèi)用，則可刪除本條款或改為：“雙方合作基于服務(wù)性質(zhì)，不涉及費(fèi)用結(jié)算。”】6.2甲方有權(quán)對(duì)乙方的數(shù)據(jù)處理活動(dòng)進(jìn)行審計(jì)，以評(píng)估乙方履行本協(xié)議的情況。甲方應(yīng)在進(jìn)行審計(jì)前至少【例如：三十（30）】日書面通知乙方審計(jì)的時(shí)間、范圍和方式，乙方應(yīng)予以配合。第七條數(shù)據(jù)安全事件響應(yīng)7.1雙方同意，在發(fā)生或發(fā)現(xiàn)醫(yī)療數(shù)據(jù)安全事件時(shí)，應(yīng)立即啟動(dòng)應(yīng)急響應(yīng)機(jī)制。7.2乙方在發(fā)生或發(fā)現(xiàn)醫(yī)療數(shù)據(jù)安全事件后，應(yīng)在【例如：四十八（48）】小時(shí)內(nèi)通知甲方，并按照約定提供事件的初步評(píng)估報(bào)告和后續(xù)處理計(jì)劃。7.3甲方應(yīng)在收到乙方通知后，根據(jù)法律法規(guī)和本協(xié)議約定進(jìn)行處理，包括但不限于評(píng)估事件影響、通知數(shù)據(jù)主體、向監(jiān)管部門報(bào)告等。7.4雙方應(yīng)就數(shù)據(jù)安全事件的處理進(jìn)行緊密合作，共同采取措施控制損害、調(diào)查原因、修復(fù)漏洞。第八條數(shù)據(jù)保留與銷毀8.1甲方應(yīng)明確不同類型醫(yī)療數(shù)據(jù)的法定或約定保留期限。8.2醫(yī)療數(shù)據(jù)的保留期限屆滿或不再需要時(shí)，乙方應(yīng)根據(jù)甲方的指示，在【例如：七（7）】日內(nèi)采用安全、不可逆的方式刪除或銷毀相關(guān)醫(yī)療數(shù)據(jù)，并應(yīng)甲方要求提供銷毀證明。8.3在數(shù)據(jù)保留期間，乙方應(yīng)確保數(shù)據(jù)的安全，防止未經(jīng)授權(quán)的訪問(wèn)、使用或泄露。第九條保密義務(wù)9.1雙方應(yīng)對(duì)從對(duì)方獲取的、或因履行本協(xié)議而接觸到的醫(yī)療數(shù)據(jù)、技術(shù)信息、商業(yè)秘密以及其他未公開(kāi)信息（以下簡(jiǎn)稱“保密信息”）承擔(dān)保密義務(wù)。9.2雙方應(yīng)僅將保密信息用于本協(xié)議約定的目的，不得以任何方式泄露、披露或提供給任何第三方，也不得用于本協(xié)議約定之外的任何目的。9.3本協(xié)議項(xiàng)下的保密義務(wù)不因本協(xié)議的終止而終止，持續(xù)有效期限為本協(xié)議終止后【例如：五（5）】年。9.4法律法規(guī)強(qiáng)制要求披露或信息已公開(kāi)（非因違反本協(xié)議）的，不適用本條保密義務(wù)。第十條責(zé)任與賠償10.1因乙方違反本協(xié)議約定，導(dǎo)致醫(yī)療數(shù)據(jù)泄露、篡改、丟失、被非法使用或披露，給甲方或第三方造成損失的，乙方應(yīng)承擔(dān)賠償責(zé)任。10.2乙方承擔(dān)的賠償責(zé)任上限為【請(qǐng)根據(jù)實(shí)際情況約定，例如：本協(xié)議總金額的【百分比】倍或具體金額】，但此限制不適用于因乙方故意或重大過(guò)失造成的損失。10.3【根據(jù)實(shí)際情況，可增加關(guān)于甲方責(zé)任的條款】。第十一條合同期限與終止11.1本協(xié)議自雙方授權(quán)代表簽字蓋章之日起生效，有效期為【例如：三（3）】年。11.2本協(xié)議有效期屆滿前【例如：三十（30）】日，如雙方均未提出書面終止意向，本協(xié)議自動(dòng)續(xù)展【例如：一（1）】年，續(xù)展次數(shù)不限/最多續(xù)展【次數(shù)】次。11.3除本協(xié)議另有約定外，任何一方可在提前【例如：六十（60）】日書面通知對(duì)方的情況下終止本協(xié)議。11.4發(fā)生以下情況之一時(shí)，守約方有權(quán)立即書面通知違約方終止本協(xié)議：(1)違約方嚴(yán)重違反本協(xié)議約定，且在收到守約方書面糾正通知后【例如：三十（30）】日內(nèi)未能糾正；(2)違約方進(jìn)入破產(chǎn)、清算或解散程序；(3)因不可抗力導(dǎo)致本協(xié)議無(wú)法繼續(xù)履行。11.5本協(xié)議終止后，雙方應(yīng)在【例如：十五（15）】日內(nèi)完成以下工作：(1)乙方應(yīng)停止處理所有醫(yī)療數(shù)據(jù)，并根據(jù)甲方指示返還或銷毀相關(guān)醫(yī)療數(shù)據(jù)及備份；(2)乙方應(yīng)根據(jù)甲方要求提供最終的數(shù)據(jù)處理報(bào)告和銷毀證明；(3)雙方應(yīng)對(duì)在本協(xié)議履行期間產(chǎn)生的權(quán)利義務(wù)進(jìn)行結(jié)算；(4)保密義務(wù)、爭(zhēng)議解決、法律適用等條款在本協(xié)議終止后仍然有效。第十二條違約與救濟(jì)12.1任何一方違反本協(xié)議約定，構(gòu)成違約。12.2發(fā)生違約時(shí)，守約方有權(quán)要求違約方立即糾正違約行為，并賠償因此造成的全部損失。12.3如違約行為導(dǎo)致本協(xié)議無(wú)法繼續(xù)履行，守約方有權(quán)根據(jù)本協(xié)議第11.4條的規(guī)定終止本協(xié)議，并要求違約方賠償損失。第十三條不可抗力13.1“不可抗力”是指不能預(yù)見(jiàn)、不能避免并不能克服的客觀情況，包括但不限于自然災(zāi)害（如地震、洪水、臺(tái)風(fēng)等）、戰(zhàn)爭(zhēng)、恐怖襲擊、罷工、政府行為、法律政策變化、嚴(yán)重疫情等。13.2任何一方因不可抗力導(dǎo)致無(wú)法履行本協(xié)議部分或全部義務(wù)的，不承擔(dān)違約責(zé)任，但應(yīng)在不可抗力發(fā)生后【例如：七（7）】日內(nèi)書面通知對(duì)方，并提供相關(guān)證明。13.3雙方應(yīng)在不可抗力消除后，盡快恢復(fù)履行本協(xié)議。如不可抗力影響持續(xù)超過(guò)【例如：六十（60）】日，任何一方均有權(quán)單方面解除本協(xié)議。第十四條法律適用與爭(zhēng)議解決14.1本協(xié)議的訂立、效力、解釋、履行及爭(zhēng)議解決均適用中華人民共和國(guó)法律。14.2因本協(xié)議引起的或與本協(xié)議有關(guān)的任何爭(zhēng)議，雙方應(yīng)首先通過(guò)友好協(xié)商解決。協(xié)商不成的，任何一方均有權(quán)將爭(zhēng)議提交【請(qǐng)選擇仲裁或訴訟，并明確具體仲裁機(jī)構(gòu)或法院】解決。第十五條其他條款15.1本協(xié)議構(gòu)成雙方就本協(xié)議主題達(dá)成的完整協(xié)議，取代雙方此前就該主題達(dá)成的所有口頭或書面協(xié)議、諒解和承諾。15.2對(duì)本協(xié)議的任何修改或補(bǔ)充，均應(yīng)以書面形式作出，并經(jīng)雙方授權(quán)代表簽字蓋章后生效。15.3任何一方不得將其在本協(xié)議下的權(quán)利或義務(wù)部