2026年医疗隐私保护合同

2026年医疗隐私保护合同鉴于双方在医疗健康领域开展业务活动，为保护数据主体的医疗隐私权利，确保医疗健康信息的合法、合规处理，依据《中华人民共和国个人信息保护法》及相关法律法规，经友好协商，达成以下协议：第一条定义在本协议中，除非上下文另有解释，下列词语具有以下含义：1.1医疗健康信息：指以电子或者其他方式记录的，与公民个人健康状况相关的各种信息，包括但不限于个人身份信息、健康生理信息、心理健康信息、遗传信息、病理资料、诊断结果、医疗记录、健康检查结果、疾病诊断和治疗相关资料、健康保险相关资料、以及与其他个人或群体健康相关的各种信息。1.2数据处理者：指处理医疗健康信息的组织或者个人。1.3数据控制器：指确定并实现处理目的的个人或者组织。1.4数据主体：指医疗健康信息的个人权益所有者。1.5直接治疗目的：指为提供、维护、监督、评估直接相关的医疗服务而处理医疗健康信息的目的。1.6个人信息处理：指对医疗健康信息进行收集、存储、使用、加工、传输、提供、公开、删除等操作。1.7关联方：指与数据处理者或数据控制器具有股权关系、管理关系或其他法律、经济关联，可能访问或获取医疗健康信息的实体。1.8标准合同条款（SCCs）：指欧盟通用数据保护条例（GDPR）等法律规定的，可作为国际数据传输机制的标准合同模板。1.9具有约束力的公司规则（BCRs）：指欧盟通用数据保护条例（GDPR）等法律规定的，由数据出口国控制器制定的，旨在确保从欧盟向非欧盟国家转移个人数据时提供充分保护的法律文件。第二条隐私原则2.1数据处理者承诺在处理医疗健康信息时，遵循合法、正当、必要、诚信的原则，以实现约定的处理目的。2.2数据处理者的所有处理活动均应具有明确、合法的目的，并仅限于实现该目的所必需的医疗健康信息。2.3数据处理者应确保所处理的医疗健康信息的准确性，并采取必要措施及时更新或更正。2.4数据处理者应仅保留实现处理目的所需的、与处理目的相关的、合理的医疗健康信息。2.5数据处理者应采取严格的技术和管理措施，确保医疗健康信息的保密性、完整性和可用性。2.6数据处理者应对其处理医疗健康信息的活动负责，并能够证明其合规性。第三条数据主体的权利3.1数据主体有权访问其医疗健康信息，了解其被处理的情况。3.2数据主体有权复制其医疗健康信息。3.3数据主体有权要求更正其不准确或不完整的医疗健康信息。3.4在特定条件下，数据主体有权要求删除其医疗健康信息（被遗忘权）。3.5数据主体有权限制对其医疗健康信息的处理。3.6数据主体有权拒绝基于其医疗健康信息进行自动化决策，或要求人工干预。3.7数据主体有权撤回其同意处理医疗健康信息的决定（如处理基于同意）。3.8数据主体有权要求将其医疗健康信息传输给另一组织。3.9数据主体有权就其医疗健康信息的处理向数据处理者提出质询，并要求获得答复。3.10数据主体有权就其医疗健康信息的处理向有关主管部门投诉。第四条信息收集、使用与披露4.1数据处理者仅在为实现特定目的、并已获得数据主体明确同意或具备法律规定的其他正当理由时，才收集其医疗健康信息。4.2数据处理者仅将医疗健康信息用于收集时所声明的目的，或为实现与该目的直接相关的、在特定情况下不可或缺的其他合法目的。4.3数据处理者仅在符合以下条件之一时，披露或共享医疗健康信息：a)已获得数据主体明确同意；b)为履行与医疗健康信息处理者签订的合同所必需，且所涉及信息仅为履行合同所必需；c)为提供直接治疗目的所必需，且披露给需要了解该信息的、在提供直接治疗服务方面具有合法利益的其他医疗机构或人员；d)为法律所规定或主管当局所要求；e)为保护数据主体或其他个人的生命健康、财产或其他重大合法权益所必需；f)数据主体去世后，为处理其遗产或履行其法律义务所必需；g)为进行医学研究、学术研究或统计目的所必需，且已采取充分措施保护数据主体的权利和自由。4.4数据处理者在披露或共享医疗健康信息时，应确保接收方遵守本协议规定的隐私保护义务。4.5除非法律要求或获得数据主体的明确同意，数据处理者不会将医疗健康信息出售或用于商业目的。第五条数据安全与保护措施5.1数据处理者应采取符合国家有关法律法规要求的技术和管理措施，保障医疗健康信息的安全，防止未经授权的访问、泄露、篡改、丢失或破坏。5.2数据安全措施应至少包括但不限于：a)建立访问控制机制，确保只有授权人员才能访问医疗健康信息；b)对存储和传输中的医疗健康信息进行加密；c)定期进行安全风险评估和渗透测试；d)对员工进行隐私保护和数据安全培训；e)建立并测试数据泄露应急响应预案；f)对处理医疗健康信息的系统进行物理和网络安全防护；g)对医疗健康信息进行定期备份和恢复演练。5.3数据处理者应与其服务的关联方或第三方供应商签订协议，确保他们也采取充分的安全措施保护医疗健康信息。5.4数据处理者应定期审查和更新其数据安全措施，以应对新的威胁和风险。第六条数据传输与跨境流动6.1数据处理者在跨境传输医疗健康信息时，应遵守所有适用的数据保护法律法规。6.2若跨境传输涉及欧盟的个人数据，数据处理者应确保所采取的措施（如通过SCCs、BCRs或适用国家/地区的充分性认定）能够提供与欧盟GDPR同等水平的个人数据保护。6.3若跨境传输涉及中国的个人数据，数据处理者应确保所采取的措施符合中国《个人信息保护法》等相关规定，如通过SCCs、BCRs、认证机制或获得数据主体的明确同意等。6.4数据处理者应向数据主体提供其医疗健康信息被传输至何国以及传输目的的清晰说明，并告知数据主体其享有的权利和寻求救济的途径。6.5数据处理者应确保在境外接收方处，数据主体的权利得到充分保障。第七条数据保留与删除7.1数据处理者应仅在实现处理目的、法律要求或履行合同所必需的时间内保留医疗健康信息。7.2对于不再需要用于原定目的、超过法定保留期限或数据主体要求删除的医疗健康信息，数据处理者应安全地删除或进行匿名化处理。7.3数据处理者应建立信息生命周期管理机制，明确各类医疗健康信息的保留期限和删除流程。7.4数据主体有权要求数据处理者删除其医疗健康信息，数据处理者应响应其请求。第八条通知与审计8.1发生或可能发生医疗健康信息安全事件（如数据泄露）时，数据处理者应在法律规定的时限内，并尽快通知数据主体和有关主管部门。8.2数据处理者应向数据主体提供其医疗健康信息被处理情况的清晰、透明、平实的说明。8.3数据处理者应接受有关主管部门对其处理医疗健康信息活动的监督检查。8.4在本协议约定的范围内，数据主体或其授权代表有权对数据处理者的数据处理活动进行审计，以评估其是否符合本协议及适用的法律法规。第九条责任与赔偿9.1数据处理者应对其处理医疗健康信息的行为承担责任，并确保其处理活动符合本协议约定和适用的法律法规。9.2因数据处理者违反本协议或相关法律法规，导致数据主体权利受到侵害的，数据处理者应承担赔偿责任。9.3数据处理者不对因数据主体原因、不可抗力、数据处理者已采取合理措施仍无法避免的事件等导致的任何损失承担责任。9.4数据处理者的赔偿责任上限由双方事先约定，但该约定不得违反法律法规对最低责任承担的要求。9.5双方同意，因违反本协议而承担的赔偿责任，应以实际损失为限，包括直接损失和间接损失，但间接损失以不超过合同总价款的[具体百分比或金额]为限。第十条合规性10.1双方确认并同意，将遵守所有适用于其处理医疗健康信息活动的、有关个人信息保护和数据安全的现行法律法规。10.2双方应各自负责遵守其所在地的法律法规，并确保对方的处理活动符合其在对方所在地的法律义务。10.3任何一方均不应因另一方处理医疗健康信息的行为而承担法律责任，除非该一方明知或应知另一方违反法律法规或本协议，且未及时采取补救措施。第十一条违约与终止11.1若任何一方违反本协议约定，给对方造成损失的，应承担赔偿责任。11.2若一方发生严重违约，或持续违反本协议且未在收到对方书面通知后[具体天数]内纠正的，守约方有权单方面解除本协议。11.3本协议的终止不影响守约方根据本协议及法律法规已获得的权利和救济。11.4本协议终止后，双方仍应按照法律法规要求，对医疗健康信息承担保护义务，直至该信息被安全删除或匿名化处理。第十二条不可抗力12.1若因战争、自然灾害、政府行为等不可抗力因素导致本协议无法履行，双方均不承担违约责任。12.2遭遇不可抗力的一方应在事件发生后[具体天数]内通知对方，并提供相关证明。双方应根据不可抗力的影响，协商决定是否延迟履行、部分履行或解除本协议。第十三条法律适用与争议解决13.1本协议的订立、效力、解释、履行及争议解决均适用中华人民共和国法律。13.2因本协议引起的或与本协议有关的任何争议，双方应首先通过友好协商解决。协商不成的，任何一方均有权将争议提交至[选择仲裁或诉讼，如：XX仲裁委员会，按照其仲裁规则进行仲裁；或：XX人民法院]解决。仲裁裁决是终局的，对双方均有约束力。诉讼管辖法院为[具体法院名称]。第十四条其他14.1本协议构成双方就医疗隐私保护达成的完整协议，取代双方此前就此达成的所有口头或书面协议、谅解或安排。14.2对本协议的任何修改或补充，均应以书面形式作出，并经双方授权代表签署后生效。14.3若本协议的任何条款被认定为无效或不可执行，不影响其他条款的效力。双方应协商替换为内容最接近、合法有效的条款。14.4本协议自双方授权代表签字并加盖公章（或合同专用章）之日起生效。14.5本协议一式[具体份数]份，双方各执[具体份数]份，具有同等法律效力。（以下无正文）甲方（数据处理者/数据控制器）：名称/姓名：________________________地址：________________________授权代表：________________________职务：________________________签字：__________