医美机构客户信息安全管理协议

医美机构客户信息安全管理协议甲方（医美机构）：全称：_________地址：_________法定代表人/负责人：_________联系人：_________联系电话：_________统一社会信用代码：_________乙方（信息处理/服务方）：全称：_________地址：_________法定代表人/负责人：_________联系人：_________联系电话：_________统一社会信用代码：_________鉴于甲方系依法设立的医美机构，需合法处理客户个人信息；乙方具备相应信息安全服务/处理能力，双方就客户信息安全管理事宜，依据《中华人民共和国个人信息保护法》《中华人民共和国网络安全法》《医疗纠纷预防和处理条例》等法律法规，经平等协商，达成如下协议：一、定义1.1客户信息：指甲方在提供医美服务过程中收集的客户个人信息，包括但不限于：（1）基本信息：姓名、性别、身份证号、联系方式、地址；（2）健康信息：病史、过敏史、手术记录、检查报告、用药记录；（3）敏感信息：隐私部位影像资料、手术前后对比照片、面部特征信息、遗传信息；（4）交易信息：服务项目、费用、支付记录。1.2个人敏感信息：指一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息，本协议中特指1.1条第（3）项内容。1.3信息处理：包括收集、存储、传输、加工、删除等涉及客户信息的行为。二、甲方权利义务2.1甲方应依法取得客户的知情同意，明确告知客户信息处理的目的、方式、范围、保存期限等，不得收集与服务无关的客户信息。2.2甲方仅向乙方提供经客户授权且符合本协议约定的客户信息，不得提供非法获取的信息。2.3甲方有权监督乙方的信息处理行为，发现乙方违反本协议或法律法规的，有权要求乙方立即整改；逾期未整改的，甲方有权解除本协议并追究违约责任。2.4甲方应建立内部客户信息安全管理制度，对员工进行信息安全培训，每季度开展一次安全检查。2.5甲方发生客户信息安全事件的，应立即采取补救措施，24小时内通知客户、卫生健康主管部门及网信部门，并配合调查。三、乙方权利义务3.1乙方仅可按照甲方书面授权的范围、目的、期限处理客户信息（授权书见附件1），不得超出授权范围使用。3.2乙方应建立符合国家相关标准的信息安全防护体系，包括但不限于：（1）采用国家认可的加密算法（如AES-256）对客户敏感信息进行加密存储和传输；（2）设置最小必要访问权限，仅授权乙方3名以内核心人员接触客户信息，记录所有访问日志（保存期限不少于1年）；（3）部署防火墙、入侵检测系统、病毒防护等技术措施，每月进行一次漏洞扫描，每半年开展一次安全评估；（4）建立异地备份机制，客户信息备份存储在异地机房，备份数据加密保存。3.3乙方不得泄露、篡改、毁损客户信息，不得未经甲方书面同意向任何第三方（包括乙方关联方）提供客户信息；法律法规要求披露的，应提前3个工作日通知甲方并提供相关文件。3.4乙方应制定客户信息安全事件应急预案，每半年组织一次演练；发生安全事件的，应2小时内通知甲方，采取应急措施防止损失扩大，并配合甲方及监管部门调查。3.5乙方应确保其员工遵守本协议及信息安全规定，与员工签订《保密协议》及《信息安全责任书》。3.6本协议终止或甲方终止授权后，乙方应在10个工作日内删除所有客户信息（包括备份），不得留存，并向甲方出具书面《客户信息删除确认书》（见附件2）。四、信息安全事件处理4.1安全事件：包括但不限于客户信息泄露、篡改、丢失、被非法获取等。4.2责任划分：（1）因甲方提供信息不合法、未履行告知义务等自身原因导致安全事件的，由甲方承担全部责任；（2）因乙方违反本协议或未履行安全防护义务导致安全事件的，由乙方承担全部责任；（3）因不可抗力导致的，双方互不承担责任，但应及时采取补救措施。4.3损失赔偿：（1）乙方导致安全事件的，应赔偿甲方因此遭受的全部损失，包括但不限于：客户索赔（含精神损害抚慰金）、监管罚款、律师费、诉讼费等；（2）甲方导致安全事件的，应赔偿乙方因此遭受的损失。五、保密条款5.1双方应对本协议内容及在合作中知悉的客户信息、对方商业秘密承担保密义务，保密期限为本协议终止后3年。5.2未经对方书面同意，任何一方不得向第三方披露保密信息；法律法规要求披露的，应提前3个工作日通知对方并提供相关文件。六、违约责任6.1甲方违约的，应向乙方支付违约金人民币5万元；造成损失的，还应赔偿损失。6.2乙方违约的，应向甲方支付违约金：（1）泄露客户敏感信息的，按每人次人民币1万元支付；（2）泄露非敏感信息的，按每人次人民币5000元支付；（3）逾期删除信息的，按日支付违约金人民币1000元。违约金不足以弥补损失的，乙方还应赔偿差额部分。6.3一方违约导致协议目的无法实现的，另一方有权解除本协议，违约方应承担相应责任。七、协议期限7.1本协议自双方签字盖章之日起生效，有效期为2年。7.2协议期满前30日，双方未书面提出终止的，自动续签一年，续签次数不限。八、争议解决8.1因本协议发生的争议，双方应协商解决；协商不成的，任何一方有权向甲方所在地有管辖权的人民法院提起诉讼。九、其他9.1本协议附件为本协议不可分割的组成部分，与本协议具有同等法律效力。9.2本协议一式两份，甲乙双方各执一份，具有同等法律效力。附件：1.《客户信息处理授权书》2.《客户信息删除确认书》甲方（盖章）：_________乙方（盖章）：___