2025年医美客户隐私合同协议

2025年医美客户隐私合同协议合同编号：[由机构填写]甲方（医美机构）：[机构法定全称]法定代表人/负责人：[姓名]统一社会信用代码：[代码]注册地址：[地址]联系电话：[电话]电子邮箱：[邮箱]乙方（患者）：姓名：[患者姓名]身份证号码/护照号码：[号码]联系地址：[地址]联系电话：[电话]电子邮箱：[邮箱]（若乙方由授权代签人签署，则需注明：本协议由乙方授权代签人[姓名]代为签署，代签人身份证号码[号码]，代签依据乙方出具的授权委托书[编号或日期]。）鉴于甲方为提供医美服务而需要收集、使用和传输乙方的个人信息，依据《中华人民共和国个人信息保护法》及2025年生效的其他相关法律法规，甲乙双方在平等、自愿、公平和诚实信用的基础上，经友好协商，就乙方接受甲方提供的医美服务过程中涉及的个人隐私信息处理事宜，达成如下协议，以资共同遵守。第一条定义在本协议中，除非上下文另有明确说明，下列词语具有以下含义：（一）隐私信息是指以电子或者其他方式记录的与乙个人有关，能够单独或者与其他信息结合识别特定个人的各种信息，包括但不限于：1.个人身份信息，如姓名、身份证号码、护照号码、手机号码、电子邮箱地址、住址、肖像（含照片）、指纹、虹膜等生物识别信息；2.个人健康信息，如既往病史、过敏史、遗传信息、生理指标、诊断结果、治疗方案、用药记录等；3.个人财务信息，如支付方式、账户信息等；4.与乙方就诊、治疗、护理相关的其他信息，如咨询记录、预约信息、沟通内容、参与的临床试验信息等。（二）敏感个人信息是指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。本协议所称隐私信息包含敏感个人信息。（三）处理是指对个人信息进行收集、存储、使用、加工、传输、提供、公开、删除等操作。（四）收集是指通过访谈、问卷、监测、购买、接收、自动采集等方式获取个人信息。（五）存储是指保存个人信息。（六）使用是指为特定目的采取查阅、复制、分析、加工等操作个人信息。（七）传输是指将个人信息转移至境内或境外。（八）公开是指向不确定的第三方提供个人信息。（九）个人信息处理者是指在个人信息处理活动中自主决定处理目的、处理方式的组织或者个人。本协议中，甲方作为乙方接受医美服务的服务机构，是乙方的个人信息处理者。第二条个人信息的收集与存储（一）甲方将在提供服务前或服务过程中，根据提供服务所必需的最少范围原则收集乙方的隐私信息。甲方将通过以下方式收集乙方信息：1.乙方主动提供，包括但不限于填写登记表格、健康问卷、在线注册、与工作人员沟通告知等；2.甲方在提供服务过程中为诊疗需要而获取；3.乙方授权甲方从第三方渠道获取（如合作医疗机构、互联网平台等，获取前需获得乙方明确同意）。（二）甲方仅因履行本协议约定、提供和完成约定的医美服务、保障乙方安全、履行法定义务等必要目的，才处理乙方的隐私信息。甲方处理信息的目的包括但不限于：1.预约、安排和提供医美服务；2.进行医学评估、诊断和制定治疗方案；3.实施医疗服务过程中的必要操作和护理；4.存储和保管医疗记录以供查阅、追溯和责任认定；5.进行患者管理、随访和满意度调查；6.处理支付事务；7.依据法律法规或监管要求进行报告；8.获得乙方明确同意的其他合法目的。（三）甲方将采取符合国家有关法律法规和标准的技术和管理措施，保障乙方隐私信息的安全，包括但不限于：1.采用加密技术保护传输和存储中的个人信息；2.设置访问权限，确保只有授权人员才能访问个人信息；3.定期进行安全风险评估和漏洞修复；4.对工作人员进行个人信息保护培训和管理；5.建立数据备份和恢复机制；6.采取严格的物理安全措施保护纸质文档。（四）甲方将仅在为履行本协议约定所必需的合理期限内存储乙方的隐私信息，或根据法律法规规定、合同约定以及乙方的授权更长时间存储。对于已过服务期限但需为履行医疗责任（如医疗事故处理、医保结算追溯等）而保留的信息，甲方将采取去标识化或匿名化处理，并严格遵守相关法律法规关于信息保留期限的规定。第三条个人信息的处理方式与原则（一）甲方处理乙方的隐私信息将遵循合法、正当、必要、诚信原则，遵循目的明确、最小化收集、知情同意、公开透明、确保安全、质量保证、责任明确的原则。（二）甲方处理敏感个人信息，除法律法规另有规定外，必须取得乙方的单独同意。（三）甲方在处理个人信息前，将以清晰、易懂的方式向乙方告知本协议约定的信息处理规则，包括处理目的、处理方式、信息种类、存储期限、乙方权利行使方式、投诉渠道、法律责任等。（四）甲方将按照本协议约定以及法律法规要求，在实现处理目的所必需的范围内处理乙方信息，不得过度处理。（五）甲方在处理个人信息时，应确保个人信息处理活动符合法律法规的规定，并履行告知、同意等法定义务。第四条甲方的权利与义务（一）甲方的权利：1.有权要求乙方提供准确、完整的个人信息，以便完成服务。2.有权根据法律法规和本协议约定，以及为履行合同所必需，处理乙方的隐私信息。3.有权拒绝处理不符合法律法规或本协议约定的请求。4.有权在法律法规允许的范围内，将乙方的非敏感个人信息用于机构内部管理、服务改进、市场推广等，但应另行获得乙方同意。5.有权在发生安全事件时，根据法律法规和协议约定采取补救措施，并通知相关方。（二）甲方的义务：1.严格遵守《中华人民共和国个人信息保护法》及2025年生效的其他相关法律法规、行业规范和标准，合法合规处理乙方隐私信息。2.明确内部处理个人信息的人员及其权限，并对其进行持续的个人信息保护培训。3.建立健全个人信息保护管理制度，包括数据分类分级、数据全生命周期管理、安全事件应急预案等。4.采取必要措施，确保个人信息处理活动安全，防止未经授权的访问、泄露、篡改、丢失。5.保障乙方的个人信息权益，按照法律法规和本协议约定，保障乙方的知情权、访问权、更正权、删除权、限制处理权、撤回同意权、可携带权、拒绝自动化决策权等权利。6.在法律法规要求或本协议约定的情况下，及时通知乙方发生或可能发生的信息安全事件。7.建立畅通的沟通渠道，接受乙方的咨询、建议和投诉，并按照约定予以处理。8.履行法律、行政法规规定的其他个人信息保护义务。第五条乙方的权利与义务（一）乙方的权利：1.知情权：有权获取甲方处理其个人信息的规则，以及关于其信息被如何处理的清晰说明。2.决定权：对于甲方处理其个人信息的请求，乙方有权自主决定同意或拒绝（但拒绝可能影响乙方获得某些服务）。3.访问权：有权访问甲方处理其个人信息的记录，并要求甲方提供其个人信息的副本。4.更正权：有权要求甲方更正其提供的不准确个人信息。5.删除权（被遗忘权）：在满足特定条件（如服务完成后、信息不再需要、撤回同意且无其他处理依据等）下，有权要求甲方删除其个人信息。6.限制处理权：在特定情形下（如甲方处理信息依据法定义务、处理目的已实现、处理行为违法等），有权要求甲方限制对其个人信息的处理。7.可携带权：有权以结构化、通用的格式获取其个人信息，并要求甲方将其转移给其他提供者。8.撤回同意权：对于基于同意处理的个人信息，乙方有权撤回其同意。撤回同意不影响撤回前基于同意已进行的处理，且甲方应在合理范围内保障已处理信息的存储安全，直至达到处理目的或法律规定的保存期限。9.拒绝自动化决策权：有权拒绝甲方仅通过自动化决策方式作出的对其具有重大影响的行为。10.投诉权：如认为甲方的个人信息处理行为侵害其合法权益，有权向甲方投诉，或向有关部门、机构举报。11.安全保障权：有权要求甲方保障其个人信息的安全。（二）乙方的义务：1.如实、准确、完整地向甲方提供其个人信息，并对信息的真实性负责。如信息不实，应及时更正。2.理解并同意本协议约定的信息处理目的、方式和相关条款。3.配合甲方完成必要的健康告知、检查和风险评估。4.妥善保管涉及个人身份信息和财务信息的资料，并对因保管不善导致的信息泄露承担责任。5.如需授权他人代为接受服务或行使权利，应向甲方提供合法有效的授权文件。6.遵守甲方制定的相关就诊、服务规定，配合甲方的合理管理。第六条个人信息的共享与披露（一）甲方在获得乙方明确、单独的书面同意后，方可将乙方的部分隐私信息共享或披露给第三方，包括但不限于：1.为完成乙方委托的特定医美服务而合作的医疗机构、医生、检验机构、设备供应商、药品供应商等；2.支付服务提供商（如银行、第三方支付平台）；3.保险公司（如乙方要求理赔）；4.法律法规规定的其他义务履行对象；5.为提供营销、客户服务、市场调研等目的，经乙方同意而合作的第三方（如医疗机构管理公司、市场调研公司等）。（二）甲方仅向上述第三方提供乙方明确同意共享或披露的信息，且仅限于履行乙方委托的特定任务或达到约定的共享目的，并要求该第三方对所获信息承担保密义务，采取不低于甲方标准的安全保护措施，不得超出约定范围使用。（三）除前款所述情况及法律法规另有规定外，未经乙方同意，甲方不得将其隐私信息向任何其他第三方共享、提供或披露，包括甲方的关联公司、母公司、子公司、分支机构、员工、合作伙伴等非直接提供服务或处理的单位。（四）如遇法律法规要求甲方披露乙方信息，或为维护国家利益、社会公共利益或保护本人或他人重大利益而必需披露的，甲方应在法律允许的范围内，事先通知乙方（如通知可能对乙方造成损害或法律禁止通知的除外），并采取合理措施保障乙方的合法权益。第七条患者权利行使与投诉（一）乙方行使访问权、更正权、删除权、限制处理权、撤回同意权、可携带权等权利的，应通过甲方指定的联系方式（见本协议首部）提出书面请求，并提供身份证明。甲方将在收到请求后合理期限内（通常不超过三十日，如情况复杂可延长，并应提前告知乙方）对请求进行处理并答复乙方。（二）如乙方对甲方处理其个人信息有异议或投诉，可先向甲方客服部门或指定的隐私保护负责人反映，甲方将及时处理并告知结果。乙方对甲方处理结果仍有异议的，可向中华人民共和国境内依法负责个人信息保护的监督管理部门投诉。（三）甲方应在其官方网站、APP或其他服务渠道公布处理个人信息投诉的联系方式。第八条安全措施与责任（一）甲方承诺采取业界认可的、符合法律法规要求的、足够的技术和管理措施，包括但不限于：网络与系统安全防护、访问权限控制、数据加密存储与传输、安全审计、应急预案与响应、员工保密教育与监督等，以保护乙方的隐私信息不被未经授权的访问、泄露、篡改、丢失或滥用。（二）甲方将定期评估其个人信息处理活动的安全性，并根据评估结果采取改进措施。（三）若因甲方及其工作人员的过错、疏忽或违反本协议约定，导致乙方隐私信息泄露、丢失、被篡改或被非法使用，给乙方造成损失的，甲方应依法承担赔偿责任。甲方将根据其过错程度、损害后果及法律法规规定，确定赔偿责任范围。甲方可能依据法律规定或协议约定设定赔偿责任上限。（四）甲方应建立并完善信息安全事件应急预案，一旦发生或发现信息安全事件，应立即启动应急预案，采取补救措施，并按照法律法规和本协议约定及时通知乙方和相关部门。第九条法律适用与争议解决（一）本协议的订立、效力、解释、履行及争议解决，均适用中华人民共和国大陆地区（不包括香港、澳门、台湾地区）的法律，并特别以2025年12月31日以前施行的《中华人民共和国个人信息保护法》及相关法律法规为准。（二）因本协议引起的或与本协议有关的任何争议，双方应首先通过友好协商解决。协商不成的，任何一方均有权向甲方所在地有管辖权的人民法院提起诉讼。第十条协议效力与变更（一）本协议自双方签字或盖章之日起生效，有效期为自乙方接受甲方提供的服务开始，至服务关系终止且甲方完成相关信息的处理或存储保留义务为止。对于为履行医疗责任所需长期保存的个人信息，其处理受相关法律法规规定的保留期限约束。（二）甲方有权根据法律法规的更新、监管要求的变化以及业务发展的需要，对本协议相关条款进行修订。修订后的协议将在甲方通过官方网站、APP公告、邮件通知等方式向乙方公示，并自公示之日起生效。若乙方对修订内容有异议，应在公示之日起三十日内以书面形式向甲方提出，否则视为乙方接受修订。若乙方不接受修订，则有权选择停止接受甲方的服务。第十一条不可抗力（一）不可抗力是指不能预见、不能避免并不能克服的客观情况，包括但不限于自然灾害（如地震、洪水、台风）、战争、罢工、政府行为、法律政策重大调整、网络攻击、系统故障等。（二）因不可抗力导致本协议无法履行或延迟履行，遭遇不可抗力的一方不承担违约责任，但应及时通知对方，并在合理期限内提供不可抗力证明，以便双方根据情况协商决定是否延迟履行、部分履行或解除协议。第十二条其他（一）本协议构成甲乙双方就乙方隐私信息处理事宜的完整协议，取代双方此前就此达成的任何口头或