2025年AI医疗信息安全合同协议

2025年AI医疗信息安全合同协议鉴于甲方拥有或开发AI医疗信息产品（以下简称“AI产品”），该产品在医疗健康领域应用涉及对医疗信息和个人信息的处理；乙方拟使用AI产品进行医疗健康相关活动。为明确双方在AI产品使用过程中的权利、义务和责任，保障医疗信息安全和个人信息权益，依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》及2025年及相关法律法规、国家标准和行业规范，双方经友好协商，达成如下协议：第一条定义与解释在本协议中，除非上下文另有解释，下列词语具有以下含义：“AI医疗信息产品”指应用人工智能技术，处理、分析或生成医疗健康数据的软件、硬件、模型、算法或服务，包括但不限于智能诊断系统、影像识别工具、健康风险评估模型、个性化治疗方案推荐系统等。“医疗信息”指在医疗健康服务活动中产生、获取、处理或存储的，能够识别或可识别特定自然人的健康生理信息、心理健康信息、遗传信息、病理资料、影像资料、生理指标、诊断结论、治疗方案、医疗费用等数据。“个人信息”指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。“敏感个人信息”指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，具体包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等。“数据安全”指采取必要的技术和管理措施，确保数据处于完整、机密、可用、可控的状态。“数据泄露/安全事件”指因人为原因、技术原因或其他不可抗力导致未经授权的访问、泄露、篡改、丢失或毁损医疗信息或个人信息的事件。“监管机构”指国家及地方负责数据安全、个人信息保护、卫生健康管理等事务的相关政府部门及其授权机构。“标准合同条款”指根据相关法律法规要求必须包含在合同中的最低保障条款。第二条合同标的与目的本协议标的为甲方提供的AI产品。本协议签订目的在于规范AI产品的安全使用，保护患者及相关人员的医疗信息安全与个人隐私，确保AI产品符合国家法律法规及行业规范要求。第三条数据处理原则双方承诺在AI产品的数据处理活动中遵循以下原则：（一）合法、正当、必要原则：处理医疗信息和个人信息必须有明确、合法的目的，并仅限于实现该目的所必需的最小范围。（二）诚信原则：不得欺骗、误导个人信息主体。（三）最小必要原则：收集、使用医疗信息应限于实现约定目的的最小范围。（四）公开透明原则：应以清晰、易懂的方式告知乙方数据处理规则，并接受监管。（五）确保安全原则：采取必要措施保障数据安全。（六）目的限制原则：数据收集目的不得随意变更，若需变更需重新协商并签订补充协议。（七）责任承担原则：明确数据处理各方的安全责任。第四条数据主体权利与义务（一）乙方作为数据使用方，有权要求甲方：1.在收集、处理、使用其医疗信息/个人信息前，以显著方式、清晰易懂的语言真实、准确、完整地向其告知本协议约定的数据处理规则，包括处理目的、方式、种类、存储期限、安全保障措施、甲方联系方式、数据主体权利行使方式、投诉渠道等。2.保障其提供的医疗信息/个人信息的准确性，并及时更新。3.采取符合国家规定和行业标准的技术和管理措施，保障其医疗信息/个人信息的安全，防止数据泄露、篡改、丢失。4.未经其同意，不得向第三方提供其医疗信息/个人信息，法律法规另有规定的除外。5.按照法律法规及本协议约定，保障其享有查询、更正、删除、撤回同意、限制处理、可携权、拒绝自动化决策等权利。6.发生或可能发生数据泄露、安全事件时，及时通知其并采取补救措施。7.提供必要的技术支持，确保AI产品按照约定安全运行。（二）乙方在使用AI产品时，应履行以下义务：1.确保其合法拥有或有权使用用于训练、测试或运行AI产品的医疗信息/个人信息。2.严格按照约定目的和范围使用AI产品，不得非法复制、传播、滥用处理后的医疗信息/个人信息。3.建立内部管理制度，对接触医疗信息/个人信息的人员进行培训和管理。4.配合甲方进行数据安全评估、审计、合规检查等。5.发生数据安全事件时，立即通知甲方，并采取初步补救措施。第五条数据处理活动（一）数据收集与提供：1.明确甲方提供用于AI模型训练、测试或优化的医疗信息来源、范围及方式。2.明确乙方提供用于实际诊疗、管理等场景的医疗信息来源、范围及方式。3.约定数据提供方（甲方或乙方）在提供数据前，需对数据进行必要的脱敏、匿名化处理，除非法律或协议另有规定且已获得数据主体明确同意。（二）数据存储与备份：1.约定数据存储地点（境内/境外）、存储介质、存储期限。2.明确甲方的存储责任，要求其使用符合安全标准的云服务或本地存储设施，并定期进行数据备份。3.约定存储期限届满后的数据销毁规则和方式，确保不可恢复。（三）数据处理与使用：1.明确AI产品处理医疗信息和个人信息的具体方式（如分析、识别、预测、决策支持等）。2.约定处理活动的边界，强调不得超出约定目的。3.对于涉及深度合成、自动化决策等可能对个人权益产生重大影响的处理活动，应明确告知乙方并有相应的人类监督机制。（四）数据传输：1.如涉及跨境传输医疗信息/个人信息，必须符合国家相关法律法规要求，如通过安全评估、获得数据主体同意、与境外接收方签订标准合同条款等。（五）数据共享与披露：1.严格限制数据共享与披露。约定在特定情况下（如获得数据主体明确同意、履行法定义务、为公共利益等）可以进行共享或披露，并需承担相应责任。2.乙方在获得数据主体同意的情况下，可将脱敏后的、用于研究目的的医疗信息提供给甲方，需明确使用范围和保密义务。第六条数据安全责任与措施（一）甲方的安全责任（核心）：1.建立健全的数据安全管理制度和技术体系。2.采取加密存储、访问控制、安全审计、入侵检测/防御、漏洞扫描与修复、安全认证等措施。3.对接触敏感医疗信息/个人信息的员工进行背景审查和保密培训。4.制定数据泄露应急预案，并定期演练。5.对乙方（如需）提供必要的安全指导和支持。（二）乙方的安全责任：1.建立符合要求的内部数据安全环境。2.确保其员工遵守数据安全规定。3.管理好访问AI产品的账号和权限。4.配合甲方进行安全检查。第七条数据泄露事件应急处理（一）通知义务：明确甲乙双方在发生或可能发生数据泄露事件时的通知流程、时限和内容。通常要求甲方在发现后（如24/72小时内）通知乙方，并根据事件严重程度和法律要求通知监管机构及受影响的数据主体。（二）响应措施：约定双方的响应措施，如暂停服务、评估影响、采取补救措施、通知数据主体、配合调查等。（三）责任划分：明确因责任方未履行及时通知或补救义务可能产生的法律责任。第八条合规性与监管（一）法律法规遵循：双方承诺遵守2025年及以后所有适用的数据安全、个人信息保护、医疗管理等法律法规。（二）监管合作：双方同意配合监管机构的监督检查，提供所需的文件、记录和说明。（三）合规审计：可约定甲方需定期接受第三方或监管机构的合规审计，并向乙方提供报告。第九条数据生命周期管理（一）数据保留期：明确各类医疗信息和个人信息的法律或业务要求的最长存储期限。（二）数据删除/匿名化：约定存储期限届满后或根据法律法规要求、数据主体请求等方式，必须安全删除或进行彻底匿名化处理，确保数据无法被复原。第十条知识产权明确AI产品本身、相关算法、模型、软件代码等的知识产权归属。明确处理医疗信息产生的衍生数据或分析结果的归属和使用权限。第十一条责任限制通常会约定双方因履行本协议所承担的赔偿责任以实际损失为限，但可能排除因故意或重大过失造成的损失。需仔细审查此条款的公平性。第十二条保密义务约定双方对在合作中获知的对方商业秘密、技术秘密、医疗信息、个人信息等负有保密义务，未经对方书面同意不得泄露或用于约定目的之外。保密期限通常延续至合同终止后一定年限。第十三条合同期限与终止明确合同的生效条件、有效期。约定合同终止的情形（如一方违约、法律规定、双方协商一致等）。合同终止后的数据处理安排（如数据返还、销毁、转移等）是关键条款，需明确具体操作。第十四条违约责任详细列明双方可能发生的违约情形（如未履行数据安全义务、数据泄露、违反保密协议、超出授权使用数据等）及相应的处理方式（如警告、暂停服务、赔偿损失、合同解除等）。第十五条争议解决约定解决争议的方式，通常是协商、调解、仲裁或诉讼，并明确管辖法院或仲裁机构。选择对己方有利的管辖地。第十六条法律适用与文本约定合同适用的法律（通常是中华人民共和国法律）。约定合同的语言版本及生效条件。第十七条其他本协议构成双方就本协议标的事项达成的完整协议，取代此前所有口头或书面的约定、谅解和承诺。对本协议的任何修改或补充，均应以书面形式作出，并经双方授权代表签署后生效。第十八条通知双方之间的所有通知、请求、要求或其他通信均应以书面形式，通过本协议首页载明的地址、传真或电子邮件发送。任何一方变更联系方式，应提前书面通知对方。第十九条