医疗影像云存储协议

医疗影像云存储协议合同编号：__________

一、总则

1.1本协议由以下双方于____年____月____日在中国境内订立：

1.1.1甲方（服务提供方）：[此处填写甲方公司全称]

1.1.2乙方（服务接受方）：[此处填写乙方公司全称]

1.2本协议旨在明确双方在医疗影像云存储服务合作中的权利、义务及责任，确保医疗影像数据的安全、合规存储与高效利用。

1.3本协议依据《中华人民共和国合同法》《网络安全法》《医疗健康数据安全管理条例》等相关法律法规制定，适用中华人民共和国法律。

二、服务内容与范围

2.1甲方同意为乙方提供医疗影像云存储服务，包括但不限于：

2.1.1医疗影像数据的上传、存储、备份及归档；

2.1.2医疗影像数据的加密传输与加密存储；

2.1.3医疗影像数据的检索、调阅及导出功能；

2.1.4医疗影像数据的版本管理与历史记录查询。

2.2乙方同意按照本协议约定，将符合条件的医疗影像数据委托甲方进行存储与管理。

三、服务期限

3.1本协议服务期限自____年____月____日起至____年____月____日止，共____年。

3.2协议期满前____个月，双方可协商续签本协议。若未续签，本协议自动终止，甲方应按约定处理乙方数据。

四、数据安全与保密

4.1甲方承诺采取技术与管理措施，确保医疗影像数据存储的安全性，包括但不限于：

4.1.1数据传输过程中采用TLS1.2及以上加密协议；

4.1.2数据存储时采用AES-256位加密算法；

4.1.3配置多重访问权限控制，确保只有授权人员可访问数据。

4.2乙方承诺：

4.2.1仅上传符合国家法律法规及行业标准的医疗影像数据；

4.2.2对其上传的数据承担合法性责任，不得包含涉及患者隐私的敏感信息未脱敏处理；

4.2.3对甲方提供的服务账号及密码严格保密，因乙方原因导致的数据泄露，由乙方承担全部责任。

4.3双方同意，如因不可抗力导致数据泄露，双方应在____小时内通报对方，并采取措施减少损失，互不追究完全责任。

五、费用与支付

5.1甲方根据乙方存储数据量、存储时长及功能使用情况，向乙方收取服务费用，具体标准如下：

5.1.1基础存储费：每GB每月人民币____元；

5.1.2高频访问费：超出基础存储量____GB以上的部分，每GB每月人民币____元；

5.1.3备份与归档费：长期归档数据按基础存储费的____%收取。

5.2乙方应于每月____日前向甲方支付当月服务费用，逾期未支付超过____日，甲方有权暂停服务，直至乙方付清欠款。

5.3双方确认，所有费用均不含税费，如遇政府调整税费政策，双方应协商调整费用。

六、数据所有权与使用权

6.1医疗影像数据的所有权仍归乙方所有，甲方仅为乙方提供存储及管理服务。

6.2乙方有权在授权范围内使用存储的医疗影像数据，包括但不限于内部诊疗、科研分析及合规监管。

6.3甲方不得擅自使用或泄露乙方数据，如因甲方原因导致数据被非法使用，甲方应赔偿乙方全部损失。

七、违约责任

7.1若甲方未能按约定提供服务，导致乙方数据丢失或损坏，甲方应承担违约责任，赔偿乙方直接经济损失的____%。

7.2若乙方未按时支付费用，除按日支付滞纳金（年化____%）外，甲方还有权解除协议并要求乙方赔偿损失。

7.3任何一方违反保密义务，泄露对方商业秘密或敏感数据，应承担法律责任，赔偿对方全部损失。

八、争议解决

8.1本协议履行过程中发生争议，双方应友好协商解决；协商不成的，任何一方均可向甲方所在地人民法院提起诉讼。

8.2协议存续期间，任何一方不得就本协议内容进行仲裁或调解，但涉及第三方利益的除外。

九、协议终止

9.1本协议在以下情况下终止：

9.1.1双方协商一致解除；

9.1.2任何一方严重违约导致协议无法继续履行；

9.1.3乙方破产、清算或丧失法人资格。

9.2协议终止后，甲方应在____个月内完成乙方数据的归档或删除工作，并出具书面证明，乙方应配合提供必要凭证。

十、其他条款

10.1本协议未尽事宜，双方可签订补充协议，补充协议与本协议具有同等法律效力。

10.2本协议自双方签字盖章之日起生效，一式两份，甲乙双方各执一份。

10.3本协议中“不可抗力”指地震、洪水、战争等不能预见、不能避免且不能克服的客观情况。

（全文完）

一、场景一：三甲医院集团化运营的医疗影像数据集中管理

应用说明：大型医疗集团旗下多家分院需要统一管理患者跨院就诊的医疗影像数据，通过云平台实现影像归档和调阅。

条款注意点及修正：

1.增加第2.1.5条"支持HL7/FHIR标准接口，满足集团内不同系统对接需求"

2.修正第5.1.1条为"集团内首家分院基础存储费按标准____折优惠，新增分院按____折优惠"

3.增设第11条"集团内分院间影像调阅免收额外接口费，超出集团范围调阅按标准收费"

专业术语提示：需关注"跨机构数据共享协议"(CDA)相关标准

二、场景二：医联体下的基层医疗机构影像上传与转诊

应用说明：社区卫生服务中心将疑难病例影像上传至区域医疗中心进行会诊，需确保数据安全传输和合规使用。

条款注意点及修正：

1.修订第4.2.2条为"基层医疗机构上传影像必须完成患者知情同意书电子化，并标注转诊目的"

2.增设第6.1.1条"会诊用影像仅限授权专家在____小时内使用，自动作访问日志记录"

3.增加第9.1.4条"协议终止后，转诊影像需保留____年备查，具体年限按国家最新规定执行"

专业术语提示：需符合"分级诊疗信息系统技术规范"(GB/T36981-2018)

三、场景三：人工智能辅助诊断所需的脱敏数据训练

应用说明：医疗机构需将脱敏后的医疗影像数据提供给AI企业用于算法训练，涉及数据脱敏规则制定和使用权限制。

条款注意点及修正：

1.增设第4.1.3条"AI训练数据必须符合《医疗健康数据脱敏指南》三级脱敏标准，甲方需提供脱敏工具验证报告"

2.修订第6.2条为"AI算法开发方仅获得数据处理权，不得用于商业用途或转让第三方，训练效果由开发方承担法律责任"

3.增加第10.1.1条"脱敏数据使用范围需经乙方医疗伦理委员会批准，并签署专项授权协议"

专业术语提示：需关注"联邦学习隐私计算"技术规范

四、场景四：跨境医疗转诊的影像数据传输

应用说明：国际医疗中心为外籍患者提供远程会诊服务，需将影像数据传输至境外合作医院，涉及跨境数据安全监管。

条款注意点及修正：

1.增设第4.3条"跨境数据传输必须符合《通过公共网络传输敏感个人信息技术要求》(GB/T35273)，并取得国家卫健委备案"

2.修订第7.1条为"因境外传输导致数据泄露的，甲方赔偿上限不超过直接经济损失的____%，但不得低于____万元人民币"

3.增加第8条"争议解决约定修改为优先通过国际商事仲裁解决，适用新加坡仲裁法"

专业术语提示：需关注"健康医疗数据跨境传输指南"3.0版

五、场景五：公共卫生应急的影像数据共享

应用说明：传染病爆发期间，疾控中心临时调用医疗机构影像数据支持溯源工作，需建立紧急授权机制。

条款注意点及修正：

1.增设第12条"公共卫生应急情况下，双方可在政府卫生行政部门见证下签署临时授权书，授权期限不超过____个月"

2.修订第5.2条为"应急调用期间的服务费按原标准的____%收取，超出部分另行协商"

3.增加第13条"应急数据调用的操作必须通过国家卫健委授权的应急指挥平台进行，并全程录音录像"

专业术语提示：需符合"传染病疫情应急信息报告管理办法"

实际操作过程中常见问题及解决办法：

1.问题：医疗机构上传数据时出现格式不兼容

解决方法：

-在附件中增加《支持医疗影像格式清单》（见附件三），明确DICOM、JPEG2000等标准格式要求

-约定甲方提供格式转换工具（附件四），但转换产生的数据质量变化由上传方承担风险

2.问题：AI企业使用脱敏数据训练后出现偏差

解决方法：

-在第10.1.1条增加"算法偏差超过行业公允标准的，开发方需在____日内完成修正，逾期甲方可要求解除专项授权"

-配置附件五《算法效果验证标准》，明确准确率、召回率等量化指标

3.问题：集团内分院调阅影像被重复计费

解决方法：

-增设第11.1条"集团内影像调阅需通过中心平台统一调度，甲方不得对分院间调阅重复收费"

-配置附件六《集团内调阅日志模板》，要求双方定期核对访问记录

4.问题：跨境数据传输遇到监管政策变化

解决方法：

-在第4.3条增加"政策变更时，双方应在____日内协商调整传输方案，变更期间服务不中断"

-配置附件七《数据合规证明清单》，要求甲方每月提供最新政策符合性报告

原始合同所需附件清单：

附件一：《服务能力认证证书》（甲方需提供ISO27001、HIPAA认证等）

附件二：《应急响应预案》（包含数据恢复时间目标RTO指标）

附件三：《支持医疗影像格式清单》（DICOM、JPG、PNG等）

附件四：《格式转换工具使用手册》（包含转换参数说明）

附件五：《算法效果验证标准》（准确率≥95%，召回率≥85%等）

附件六：《集团内调阅日志模板》（包含IP地址、访问时间等）

附件七：《数据合规证明清单》（包含国家卫健委备案号等）

附件八：《患者授权委托书模板》（针对特定数据使用场景）

附件九：《第三方审计报告》（年度信息安全审计报告）

多方为主导时的，附件条款及说明

一、当甲方为主导时，增加的多项条款及说明

10.1甲方主导服务架构设计与升级

10.1.1甲方负责建立云存储平台的整体技术架构，包括但不限于硬件设施部署、网络架构规划、系统安全防护体系。甲方应确保其技术架构符合医疗行业最高安全标准，至少满足等保三级以上要求，并定期通过权威第三方机构进行安全测评。

10.1.2甲方应建立持续的技术迭代机制，每年投入不低于其年度技术服务收入的____%用于平台升级，包括但不限于性能优化、功能扩展（如AI辅助诊断接口）、加密算法更新等。重大技术升级前，甲方应提前____个月向乙方提供升级方案说明及影响评估报告，并征得乙方书面同意。

10.1.3甲方应设立专门的技术服务团队，团队规模不得少于____人，其中包含不少于____名具备五年以上医疗影像系统经验的资深工程师。技术支持响应时间应≤____小时（7×24小时），紧急故障修复时间目标（RTO）≤____小时。

10.1.4甲方负责维护数据中心的物理安全与网络通畅，包括但不限于机房环境监控、电力保障、消防系统、入侵检测等。甲方应提供年度运维报告，详细说明系统可用性指标（SLA≥99.9%）、数据备份策略（包括异地容灾方案）及安全事件处置记录。

10.1.5甲方承诺其平台支持符合DICOM3.0标准的多模态影像存储，并兼容主流PACS/RIS系统接口。对于新增的存储格式或接口标准，甲方应在技术可行范围内优先支持，并设定合理的开发周期（一般不超过____个月）。

10.2甲方主导数据治理与合规监督

10.2.1甲方应建立完善的数据治理框架，明确数据分类分级标准，针对不同敏感级别的医疗影像数据实施差异化保护措施。甲方需提供数据治理流程图及操作手册，并定期（至少每半年）向乙方展示数据质量报告。

10.2.2甲方应配置自动化合规检查工具，持续扫描平台是否存在配置漏洞、权限滥用等风险。发现合规问题时，应在____小时内通知乙方，并提供详细的整改建议。甲方需配合乙方完成监管机构的现场检查或审计，提供完整的日志记录及操作记录。

10.2.3甲方负责建立数据生命周期管理机制，包括数据归档策略、销毁流程及证据保全措施。对于超过存储期限的数据，甲方应采用符合国家保密标准的物理销毁或加密擦除方式处理，并出具不可恢复证明。乙方有权指定第三方见证销毁过程。

10.2.4甲方应支持医疗行业特有的监管要求，如电子病历系统应用水平分级评价（电子病历系统应用水平____级及以上）所需的数据接口规范、数据统计上报接口等。甲方需提供相关认证证明，并确保持续符合最新评级标准。

10.3甲方主导服务定价与资源调度

10.3.1甲方应建立透明化的资源计费模型，提供详细的用量统计报表（至少每日更新），包括存储容量、传输次数、计算资源使用量等。账单应包含服务明细、单价、总额及税费明细，并附有合规的发票。

10.3.2甲方应支持按需弹性伸缩的服务模式，允许乙方根据业务量波动调整存储容量或计算资源。对于突发性大流量访问（如公共卫生事件），甲方应承诺提供临时扩容支持，具体方案另行协商。

10.3.3甲方应建立公平的资源调度机制，确保乙方核心业务的服务质量。对于关键业务数据，甲方应提供优先访问通道或SLA保障（如核心数据访问延迟≤____毫秒）。甲方需定期公布资源使用排行及调度规则，接受乙方监督。

10.3.4甲方不得擅自调整收费标准，如遇成本变动确需调整，应至少提前____个月向乙方公示调整方案及理由，并给予乙方____个月的过渡期选择替代服务方案。

二、当乙方为主导时，增加的多项条款及说明

10.4乙方主导数据内容管理与质量控制

10.4.1乙方负责建立医疗影像数据的采集、审核、标注标准流程。上传前，乙方应对影像质量进行初步检查，确保满足诊断要求。对于不符合标准的影像，甲方应拒绝接收并通知乙方修正，修正费用由乙方承担。

10.4.2乙方应建立影像元数据管理规范，确保关键字段（如患者ID、科室、检查类型、医生姓名、上传时间等）的完整性和准确性。甲方有权抽查元数据质量，如发现重大错误，应要求乙方在____小时内修正，并可能影响服务评价。

10.4.3乙方应对敏感个人信息进行脱敏处理或取得合法授权，特别是涉及未成年人、精神障碍患者等特殊群体的影像。甲方发现未脱敏或授权不足的数据，应立即停止处理并要求乙方整改，由此产生的监管风险由乙方承担。

10.4.4乙方应建立影像使用审批机制，明确内部不同部门或人员对影像数据的访问权限。甲方应要求乙方提供访问权限矩阵及审批记录，作为合规审计的依据。

10.4.5乙方应指定专门的数据管家负责影像资产的管理，确保数据的完整性、准确性和时效性。数据管家需接受甲方的必要培训，配合完成数据迁移、备份验证等操作。

10.5乙方主导业务流程与合规监督

10.5.1乙方应建立影像数据全生命周期的业务流程，包括采集、存储、调阅、归档、销毁等环节的操作规程。甲方应要求乙方提供相关流程文件，并定期审核流程执行情况。

10.5.2乙方应建立内部合规监督机制，指定合规官负责对接监管要求，确保云存储使用符合《互联网诊疗管理办法》《医疗机构病历管理规定》等法规。乙方需配合甲方完成合规检查，并提供必要的内部审计报告。

10.5.3乙方应建立患者隐私保护制度，明确告知患者数据存储方式、使用范围及权利行使途径。甲方应要求乙方提供患者告知书模板及签署证明，作为合规性的证据。

10.5.4乙方应建立影像数据脱敏工具库，包含针对不同场景（如科研、AI训练、公共卫生）的脱敏方法及效果评估报告。甲方应要求乙方提供脱敏方案备案证明，确保脱敏效果达到国家要求。

10.5.5乙方应建立影像数据安全事件应急预案，明确报告流程、处置措施及责任划分。发生数据泄露等安全事件时，乙方应在____小时内通知甲方，并启动应急响应。双方应共同制定事件调查报告。

10.6乙方主导服务需求与优化

10.6.1乙方应建立服务需求管理机制，通过正式渠道提出功能需求、性能要求或服务变更。甲方应建立需求评估流程，明确需求的优先级、实现周期及影响范围，并定期（至少每季度）与乙方沟通需求计划。

10.6.2乙方应参与甲方平台的功能测试与验收，特别是涉及核心业务的功能模块。乙方应指定测试人员并配合提供测试数据，验收标准应基于双方约定的服务说明书（SOW）。

10.6.3乙方应建立服务满意度评价机制，定期对甲方服务进行评分，评分结果应作为服务改进的重要参考。甲方应提供季度服务报告，包含满意度调查结果及改进措施。

10.6.4乙方应提供临床应用场景反馈，特别是影像数据在辅助诊断、科研分析中的实际应用效果。甲方应建立应用反馈收集渠道，并将其纳入产品迭代的重要输入。

三、当有第三方中介时，增加的多项条款及说明

10.7第三方中介的定位与责任划分

10.7.1本协议中第三方中介（以下简称"中介方"）仅作为双方的服务对接方或交易促成方，不作为合同主体，不承担合同约定的权利义务。中介方的服务范围仅限于：

(1)协助双方进行技术对接、方案论证及需求沟通；

(2)协调双方服务费用结算或资源置换事宜；

(3)提供技术培训、操作指导或争议协调等增值服务（如有）。

10.7.2中介方不得擅自修改本协议内容，不得以任何方式影响甲乙双方的真实意思表示。中介方应对其提供的服务内容承担有限责任，如因中介方原因导致双方产生纠纷，中介方应在服务费用范围内承担赔偿责任。

10.7.3中介方应确保其提供的服务符合医疗行业相关法律法规，特别是数据安全和隐私保护要求。中介方应向甲方提供《营业执照》、相关资质证明及《反商业贿赂承诺书》。

10.7.4中介方应建立服务过程记录机制，包括但不限于沟通日志、会议纪要、交付凭证等，以备双方查验。如双方对中介服务存在异议，可要求中介方提供相关记录佐证。

10.7.5中介方不得同时为协议中的甲方或乙方提供具有竞争关系的服务，如需提供，应事先书面告知另一方并获得书面同意。

10.8第三方中介的服务管理与监督

10.8.1甲方或乙方选定中介方后，应向对方提供中介方