2025年医疗数据隐私保护协议

2025年医疗数据隐私保护协议鉴于甲方希望其医疗数据得到符合2025年及以后适用法律法规要求的保护，乙方作为医疗数据的控制者或处理者，承诺遵守相关法律法规，妥善处理甲方的医疗数据，双方经友好协商，达成协议如下：第一条定义除非本协议另有明确约定，下列术语具有以下含义：医疗数据，是指以电子或者其他方式记录的，与甲方的健康生理状况相关，能够单独或者与其他信息结合识别甲方的个人生理、病理、心理、遗传、传染性疾病、残疾、伤害、既往病史、健康检查、医疗诊断、医疗保健、医疗费用或者医疗用品等有关的各类信息，不包括匿名化处理后的信息。个人信息，是指能够单独或者与其他信息结合识别特定自然人的各种信息，医疗数据属于个人信息的一种。数据主体，是指医疗数据的来源，即甲方或其授权代表。数据控制者，是指确定医疗数据处理目的、方式和范围的乙方。数据处理者，是指在数据控制者的授权下处理医疗数据的主体。同意，是指甲方在充分知情的情况下，自愿做出明确意思表示，同意乙方处理其医疗数据。安全保障措施，是指乙方为保护医疗数据安全所采取的技术和管理措施。第二条遵守法律法规乙方同意并承诺，在处理甲方的医疗数据时，严格遵守中华人民共和国现行以及2025年及以后适用的有关个人信息保护和医疗数据隐私保护的法律、法规和规章，包括但不限于《个人信息保护法》、《网络安全法》、《数据安全法》及其相关司法解释、部门规章，以及其他国家或地区（如适用）的数据保护法律要求。第三条医疗数据处理目的与方式1.乙方处理甲方的医疗数据仅限于以下经甲方明确同意或法律法规规定允许的目的：（1）提供和维持甲方所需的医疗诊断、治疗、康复、保健服务；（2）进行与甲方健康相关的健康管理、健康咨询、健康评估；（3）开展以改善人类健康为目的的医学研究、临床试验，前提是已获得甲方特定的、额外的书面同意；（4）为乙方或第三方进行疾病预防、公共卫生监测；（5）处理与医疗服务相关的医疗保险理赔、费用结算；（6）其他甲方面前已被告知并获得同意的目的。2.乙方处理甲方的医疗数据的方式包括但不限于：收集、存储、访问、查询、使用、分析、统计、报告、共享、传输、提供API接口等。乙方将采取对实现处理目的必要且对甲方权益影响最小的方式处理医疗数据。第四条对数据主体的告知乙方应在收集甲方医疗数据前，通过清晰、易懂的方式向甲方告知以下信息：（1）乙方的身份信息；（2）处理甲方的医疗数据的种类和范围；（3）处理医疗数据的目的；（4）处理医疗数据的方式和范围；（5）医疗数据的存储期限；（6）甲方享有的数据主体权利及行使方式；（7）数据安全保护措施；（8）数据跨境传输（如发生）的情况；（9）法律法规要求告知的其他事项。第五条数据安全保障义务乙方承担保护甲方医疗数据安全的责任，必须采取与其风险等级相适应的、充分的技术和管理措施，包括但不限于：（1）建立访问控制机制，确保只有授权人员才能访问医疗数据；（2）对存储和传输中的医疗数据进行加密处理；（3）定期进行安全漏洞扫描和风险评估，及时修补漏洞；（4）实施严格的内部管理制度和操作规程，对接触医疗数据的员工进行保密和合规培训；（5）建立数据备份和灾难恢复机制，确保数据的持续可用性；（6）对医疗数据进行匿名化或去标识化处理，在可能的情况下减少直接敏感信息的使用；（7）监测和记录对医疗数据的访问和操作，并定期进行审计。第六条数据主体权利行使甲方依法享有查阅、复制其医疗数据，要求更正、删除其不准确或不完整医疗数据，撤回同意（如处理基于同意），以及反对对其医疗数据进行自动化决策（如适用）等权利。甲方行使上述权利时，应向乙方指定的人工处理渠道或已公示的联系方式提出请求，并提供能够证明其身份的有效信息。乙方应在法律法规规定的期限内（通常为收到请求后三十日内，特殊情况可延长）对甲方的请求进行响应，并说明理由。乙方响应请求时，可能收取合理的、事先告知的费用。第七条第三方共享与数据传输未经甲方事先明确同意，乙方不得将甲方的医疗数据共享给任何第三方或用于本协议约定的目的之外的活动。如因提供医疗服务、履行研究协议、法律法规要求等原因需要将医疗数据共享给第三方或传输至境外，乙方必须：（1）提前将共享或传输的目的、方式、范围、接收方信息以及接收方的数据保护水平等告知甲方，并获得甲方的书面同意；（2）确保接收方符合相应的数据保护要求，例如，接收方所在国家或地区提供了充分的数据保护水平，或乙方已与接收方签订有效的数据保护协议（DPA），明确接收方的责任和义务，并要求其采取不低于乙方标准的安全保护措施。第八条数据泄露通知乙方发生或可能发生医疗数据泄露、篡改、丢失等安全事件时，应立即启动应急预案，采取补救措施，防止损害扩大，并按照以下规定履行通知义务：（1）内部报告：立即向乙方的数据保护官或相关负责部门报告。（2）通知甲方：在确定泄露可能对甲方权益造成损害时，或在法律法规规定的其他情况下，及时通知甲方。通知内容应包括泄露事件的基本情况、可能造成的影响、已采取或将要采取的补救措施以及甲方可采取的减轻风险的建议等。（3）通知监管机构：在发生数据泄露事件后，按照相关法律法规的要求，在规定时限内向所在地监管机构报告。第九条协议期限与终止本协议自双方签字或盖章之日起生效，有效期为[具体年限]年。协议期满前[具体时间]，如双方无书面异议，本协议自动续展[具体年限]年，续展次数不限/续展次数为[具体次数]次。协议在任何一方违约导致协议目的无法实现，或双方协商一致，或因不可抗力导致协议无法继续履行时，可以提前终止。协议终止时，乙方应按照法律法规要求及本协议约定，安全地处理并删除或匿名化处理甲方的医疗数据，或根据甲方要求返还，除非法律法规另有规定或另有约定。乙方对医疗数据的处理，特别是因法律法规要求或为履行法定义务所需的处理，不受协议终止的影响。第十条法律责任若乙方违反本协议约定或相关法律法规的规定，导致甲方权益受到损害，乙方应依法承担相应的赔偿责任。甲方有权要求乙方采取补救措施，并有权向有关部门投诉或提起诉讼。第十一条法律适用与争议解决本协议的订立、效力、解释、履行及争议解决均适用中华人民共和国法律。因本协议引起的或与本协议有关的任何争议，双方应首先通过友好协商解决；协商不成的，任何一方均有权将争议提交至[选择一种：乙方所在地有管辖权的人民法院诉讼解决/协议签订地有管辖权的人民法院诉讼解决/指定的仲裁委员会仲裁解决，并明确仲裁规则和机构名称]。第十二条保密双方对于因签署和履行本协议而获悉的对方的商业秘密、技术信息、医疗数据以及其他未公开信息（以下简称“保密信息”）承担保密义务。未经对方书面同意，任何一方不得向任何第三方泄露、使用或允许他人使用保密信息，但法律法规另有规定或监管机构要求的除外。本保密义务在本协议终止后[具体年限]年内仍然有效。第十三条可分割性本协议任何条款的无效或不可执行，不影响其他条款的效力。若本协议任何条款被有权机关认定无效或不可执行，双方应协商替换为内容最接近、合法有效的条款。第十四条协议修订对本协议的任何修订或补充，均须经双方协商一致并签署书面文件后生效。修订内容成为本协议不可分割的一部分。第十五条完整协议本协议构成双方就本协议主题达成的完整协议，取代双方此前就该主题达成的所有口头或书面的协议、谅解和承诺。第十六条通知双方就本协议相关事宜进行的所有通知、请求或文件，均应以书面形式，通过书面信函、传真、电子邮件或双方同意的其他可靠方式发送至本协议首页载明的地址或联系方式。第十七条其他（1）若本协议中任何一方为法人或