医疗数据保密协议2025年实施版

医疗数据保密协议2025年实施版甲方（以下简称“控制者”）：[甲方名称]，地址：[甲方地址]，统一社会信用代码：[甲方代码]乙方（以下简称“接收者”）：[乙方名称]，地址：[乙方地址]，统一社会信用代码：[乙方代码]鉴于甲方是[描述甲方性质，如：某医疗机构或其关联公司]（以下简称“甲方实体”），控制并可能处理医疗数据（以下简称“医疗数据”），且甲方实体希望委托或授权乙方处理部分或全部甲方医疗数据用于[具体说明目的，如：特定项目、研究、服务提供等]（以下简称“约定目的”）；鉴于乙方是[描述乙方性质，如：某技术服务公司或研究机构]（以下简称“乙方实体”），具备处理医疗数据的能力和资质，并同意根据本协议约定接受甲方的委托或授权，处理甲方医疗数据；基于上述背景，甲乙双方本着平等自愿、诚实信用的原则，依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》及其他相关法律法规，经友好协商，达成以下协议，以资共同遵守。第一条定义与解释1.1本协议中，除非上下文另有明确说明，下列词语具有以下含义：1.1.1“医疗数据”是指在医疗卫生服务活动中产生的，以电子或者其他方式记录的，包含患者个人身份信息以及健康生理信息等的敏感个人信息，具体包括但不限于姓名、身份证件号码、出生日期、性别、民族、职业、住址、联系方式、既往病史、家族病史、生理特征、诊断结果、治疗方案、用药记录、医疗费用、健康检查结果、影像资料、基因遗传信息、生物识别信息等。1.1.2“保密信息”是指本协议约定由一方（披露方）向另一方（接收方）披露的，与医疗数据处理活动相关的，未公开的，具有商业价值或隐私价值，需要保密的信息，包括但不限于本协议项下的医疗数据、为处理医疗数据而设计或使用的系统、软件、流程、规范、策略、接触到医疗数据的员工名单及联系方式、以及双方讨论的关于医疗数据处理的目标、限制、安全措施等。1.1.3“数据主体”是指其个人医疗数据被处理的自然人。1.1.4“控制者”是指确定医疗数据处理目的、方式、范围，并承担数据处理责任的主体，在本协议中通常为甲方或其授权的实体。1.1.5“处理者”是指为控制者处理医疗数据的主体，在本协议中为乙方。1.1.6“数据泄露”是指未经授权的访问、披露、丢失、篡改、破坏或未经授权的获取医疗数据。1.1.7“安全措施”是指为保护医疗数据安全所采取的技术和管理措施，包括但不限于加密、访问控制（身份认证、权限管理）、数据脱敏、安全审计、漏洞扫描、入侵检测、应急预案、人员安全培训、物理环境安全等。1.1.8“合理期限”是指根据法律法规规定或本协议约定，保密信息需要保密的期限。1.2除非本协议另有约定，否则《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》以及中国证监会、国家卫生健康委员会、国家药品监督管理局等监管机构制定并发布的与医疗数据处理相关的现行有效的法律法规、规章、标准等，均为本协议的组成部分。第二条保密义务2.1接收者同意并承诺，将以不低于保护自身处理同类高度敏感个人信息所采用的安全级别的标准，且在任何情况下均不低于法律法规规定的标准，采取充分的安全措施，严格保密甲方向其披露的保密信息，并确保其员工、代理人、顾问等知悉并遵守本协议项下的保密义务。2.2接收者仅能为了实现本协议约定的“约定目的”，在为履行本协议所必需的范围内使用保密信息，不得将保密信息用于任何其他目的，包括但不限于披露给任何第三方、与第三方共享、进行反向工程、反编译或试图获取源代码等。2.3接收者应建立并维持有效的内部控制制度和安全管理流程，确保仅授权人员能够访问保密信息，并对接触保密信息的员工进行保密培训，确保其理解保密义务的重要性并采取必要的保护措施。2.4接收者应采取必要的技术和管理措施（包括但不限于实体安全、网络安全、应用安全、数据安全等措施）来保护保密信息，防止发生数据泄露、丢失、篡改或被未经授权访问，并定期审阅和更新这些措施以确保其有效性。2.5接收者同意，未经甲方事先书面同意，不得将保密信息的任何部分或全部，以任何形式（口头、书面、电子等）披露、提供、转让、许可或与其他第三方共享给任何第三方。接收者同意对因其违反本条约定而导致的任何第三方获得保密信息承担责任。2.6接收者同意，仅在法律规定或有权机关要求披露保密信息的情形下，且在向甲方提供合理通知并取得甲方书面同意（或法律规定不允许通知甲方）的前提下，才能披露保密信息。接收者应尽可能采取措施限制披露范围，并仅披露最低限度必要的保密信息。第三条数据处理与使用限制3.1乙方（接收者）处理甲方（控制者）的医疗数据，必须具有明确、合法的目的，并符合最小必要原则，仅限于为实现本协议约定的“约定目的”所必需的处理活动。3.2乙方同意严格遵守甲方提出的关于医疗数据处理的具体要求和技术规范（如有）。3.3乙方在处理医疗数据时，应保障数据主体的合法权益，并应甲方（控制者）的要求，协助甲方履行向数据主体提供其医疗数据查询、更正、删除等权利相关的通知、联系、操作等义务。第四条数据传输与跨境传输4.1双方确认，本协议项下的医疗数据传输活动发生在中华人民共和国境内。如因履行本协议需要将医疗数据传输至中华人民共和国境外，任何一方不得进行跨境传输，除非满足以下条件：4.1.1接收方所在地国家或地区提供与中华人民共和国法律、行政法规规定的保护水平相当的个人信息保护水平；或4.1.2接收方已向甲方承诺采取有效的技术措施和其他保障措施（如通过签订标准合同、获得认证等），以确保境外接收方的数据接收行为符合中国法律法规的要求；或4.1.3获得数据主体本人的明确书面同意。4.1.4在进行跨境传输前，进行必要的数据安全风险评估，并采取相应的传输安全保障措施。4.2如需进行跨境传输，负责传输的一方（若为接收方，则需甲方书面同意；若为甲方，则需甲方确保接收方满足条件）应事先将跨境传输的方案报甲方（控制者）备案，并接受甲方的监督。接收方应向甲方提供其处理医疗数据的规则、安全保护措施证明文件等必要信息。第五条数据安全事件响应5.1乙方（接收者）应建立数据安全事件应急预案，并采取技术和管理措施，努力预防、发现、评估和响应数据安全事件。5.2一旦发生或发现可能发生医疗数据泄露、丢失、篡改、被非法访问等安全事件，乙方（接收者）应立即采取合理的补救措施，防止事件扩大，并应在事件发生后[例如：四小时]内通知甲方（控制者）。5.3乙方（接收者）应向甲方（控制者）提供关于数据安全事件的详细报告，包括但不限于事件发生的时间、地点、原因、涉及的数据范围、已经采取或建议采取的补救措施、对数据主体和甲方可能造成的影响评估等。5.4乙方（接收者）应配合甲方（控制者）以及中国境内相关监管机构对数据安全事件的调查和处理。第六条期限与终止6.1本协议自双方授权代表签字并加盖公章（或合同专用章）之日起生效，有效期为[例如：三]年。有效期满前[例如：一个月]，如双方均未提出书面终止请求，本协议自动续展[例如：一]年，续展次数不限/最多续展[例如：两]次。6.2在本协议有效期内，任何一方可以通过书面通知另一方终止本协议。提前终止的，应当由提出终止的一方承担因其终止行为给另一方造成的损失。6.3本协议终止或提前解除，不影响本协议保密条款、违约责任条款、法律适用与争议解决条款以及根据法律法规规定应当继续有效的条款的效力。保密信息的保密期限在本协议终止后继续有效，直至保密期限届满。6.4协议终止时，乙方（接收者）应立即停止处理所有医疗数据，并根据甲方（控制者）的书面要求，在[例如：十五]日内将全部包含保密信息的电子数据和纸质文档返还给甲方，或以甲方认可的方式销毁，并应甲方要求提供书面销毁证明。乙方（接收者）不得以任何形式保留、复制或以其他方式使用任何保密信息。第七条违约责任7.1若任何一方违反本协议项下的保密义务或其他任何约定，应承担违约责任。7.2因违约行为给守约方造成损失的，违约方应赔偿守约方因此遭受的直接经济损失。损失难以计算的，违约方应按照本协议约定支付违约金。违约金不足以弥补守约方损失的，守约方有权请求违约方补足差额。7.3若乙方（接收者）违反本协议约定，导致发生数据泄露、丢失、被滥用等事件，给甲方（控制者）造成损失的，乙方（接收者）应承担全部赔偿责任，并可能被甲方解除本协议。7.4若甲方（控制者）违反本协议约定，要求乙方（接收者）承担超出其处理行为范围或因不可抗力造成的损失的赔偿责任，乙方（接收者）有权拒绝。第八条法律适用与争议解决8.1本协议的订立、效力、解释、履行及争议解决均适用中华人民共和国法律。8.2因本协议引起的或与本协议有关的任何争议，双方应首先通过友好协商解决。协商不成的，任何一方均有权将争议提交[选择：甲方所在地有管辖权的人民法院诉讼解决/提交[指定仲裁委员会名称，如：中国国际经济贸易仲裁委员会]按照其届时有效的仲裁规则进行仲裁，仲裁裁决是终局的，对双方均有约束力]。第九条其他条款9.1完整协议：本协议构成甲乙双方就本协议主题达成的完整协议，取代双方此前就该主题进行的所有口头或书面的沟通、陈述、协议及谅解。本协议的任何修改或补充，均须经双方授权代表书面签署后方能生效。9.2可分割性：若本协议任何条款被有管辖权的法院或仲裁机构认定为无效、非法或不可执行，该条款的无效、非法或不可执行不应影响本协议其他条款的效力。双方应协商替换为内容最接近、合法有效的条款。9.3转让：未经另一方事先书面同意，任何一方不得将其在本协议项下的权利或义务部分或全部转让给任何第三方。9.4通知：与本协议有关的任何通知或通讯，均应以书面形式按本协议首页所示地址或双方后续书面变更的地址发送。通知在送达后即刻生效。9.5适用性：若本协议的任何条款因违反中国法律、行政法规而无法执行，该条款应被视为被删除，但不影响其他条款的效力。双方应尽合理努力协商一