医用耗材采购合同2025年数据安全协议

医用耗材采购合同2025年数据安全协议本协议由以下双方于____年____月____日签署：采购方（以下简称“甲方”）：名称：________________________法定代表人/授权代表：__________地址：________________________联系方式：____________________供应方（以下简称“乙方”）：名称：________________________法定代表人/授权代表：__________地址：________________________联系方式：____________________鉴于甲方需要采购乙方提供的医用耗材，双方在签订《医用耗材采购合同》（以下简称“主合同”）的同时，为保障在履行主合同过程中涉及的数据安全，达成如下协议：第一条适用范围与定义1.1本协议适用于主合同项下，双方在采购、存储、运输、使用、管理医用耗材及相关服务过程中产生的所有数据的处理活动。1.2适用范围包括但不限于：采购申请与审批数据、电子目录数据、订单信息、库存数据、物流配送信息、账务与发票信息、质量追溯信息、系统用户及权限数据、双方沟通中涉及的数据等。1.3除非本协议另有定义，术语定义应与本合同主合同及相关法律法规的规定一致。1.4数据是指任何形式存在的，与主合同履行相关的信息，包括个人信息、商业秘密、运营数据等。1.5个人信息是指以电子或其他方式记录的与已识别或者可识别的自然人有关的各种信息。1.6敏感个人信息是指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。1.7商业秘密是指不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息和经营信息。1.8数据处理是指对数据进行收集、存储、使用、加工、传输、提供、公开、删除等操作。1.9数据控制者是指确定数据处理目的、方式和规则的主体。1.10数据处理器是指为数据控制者处理数据，并受其指令行动的主体。第二条数据安全责任划分2.1甲方（数据控制者）责任：(1)确定数据处理的目的和方式，确保处理活动的合法性、正当性、必要性。(2)采取必要措施，确保乙方（数据处理器）具备履行本协议的数据安全能力和资质。(3)制定并实施符合国家法律法规及行业规范的数据安全管理制度和操作规程。(4)对甲方内部接触数据的员工进行数据安全培训和保密教育。(5)对关键数据（特别是敏感个人信息和商业秘密）实施分级分类管理。(6)监督、审计乙方数据处理活动，确保其符合本协议及主合同要求。(7)保障数据主体依法享有的知情权、访问权、更正权、删除权等权利。(8)发生数据安全事件时，负责启动应急响应，并及时通知乙方。(9)对因乙方原因导致的数据安全风险承担相应的管理责任。2.2乙方（数据处理器）责任：(1)严格遵守主合同及本协议关于数据安全的要求，仅按照甲方指示处理数据。(2)建立完善的数据安全管理体系和技术防护措施，保障数据处理的机密性、完整性和可用性。措施应包括但不限于：a.访问控制：实施严格的身份认证和权限管理，遵循“最小必要”原则。b.数据加密：对传输中和静态存储的数据进行加密处理。c.安全审计：记录关键操作日志，并定期进行安全审计。d.系统漏洞管理：及时修补系统漏洞，进行安全漏洞扫描。e.灾难恢复与备份：建立数据备份和灾难恢复机制。f.物理安全：保障服务器、存储设备等物理环境的安全。(3)确保其员工以及被授权接触数据的第三方（如物流服务商）均遵守数据安全规定，并对其行为负责。(4)对甲方提供必要的技术支持和配合，协助甲方进行数据安全监督和事件处理。(5)在发生数据安全事件时，立即按照预定程序响应，通知甲方，并配合甲方进行调查和处理。(6)处理完毕或本协议终止后，根据甲方要求，安全地删除或返回所有包含其处理的个人信息和商业秘密。第三条数据处理活动规范3.1数据收集：仅收集与主合同履行直接相关的、最少必要的数据。明确告知数据收集的目的、依据及数据主体的权利。3.2数据存储：数据存储应在中国境内进行，并采取加密、访问控制等技术措施。明确数据存储的期限，超过期限后应按约定进行删除或匿名化处理。3.3数据传输：跨区域或跨境传输数据前，应进行安全风险评估，并采取有效的传输保护措施。遵守相关跨境数据传输的法律法规要求。3.4数据使用：严格限制数据使用范围，仅用于主合同约定的采购、履约、结算等目的。3.5数据共享与披露：未经甲方书面同意，乙方不得将涉及甲方及/或其客户的个人信息和商业秘密共享或披露给任何第三方。为履行主合同所必需的共享需事先获得甲方明确授权，并要求第三方签署保密协议。3.6数据销毁：本协议终止或数据处理任务完成后，双方应按照约定方式安全销毁所有相关数据，确保数据无法被恢复读取。应提供销毁证明。第四条数据主体权利保障甲方应建立机制，保障数据主体依法享有的知情权、访问权、更正权、删除权、限制或拒绝处理权、撤回同意权、可携带权以及投诉举报权等。乙方应配合甲方履行这些义务。第五条数据安全事件与通知5.1事件定义：指因人为原因、技术故障、自然灾害、外部攻击等导致数据泄露、篡改、丢失、毁损或未经授权访问等，可能或已经对数据安全造成影响的事件。5.2应急响应：双方应制定数据安全事件应急预案，明确事件报告、评估、处置流程。5.3通知义务：(1)乙方在发现或怀疑发生数据安全事件后，应在四小时内通知甲方，并持续通报事件处理进展。(2)甲方在确认或怀疑发生涉及其客户个人信息或重要商业秘密的数据安全事件后，应在六小时内通知乙方。(3)通知内容应包括事件的基本情况、可能的影响、已采取或拟采取的补救措施等。第六条合规性要求双方均应遵守中华人民共和国及地方有关数据安全、个人信息保护、网络安全等方面的法律法规（如《网络安全法》、《数据安全法》、《个人信息保护法》等）。本协议的条款应不低于适用的法律法规要求。第七条数据安全审计与评估双方同意，可以互相或委托第三方对对方的数据安全措施和数据处理活动进行审计和评估。被审计方应提供必要的配合。第八条保密义务双方对在履行主合同及本协议过程中获知的对方商业秘密、技术信息以及其他未公开信息承担保密义务。此保密义务不因本协议的终止而解除，持续有效五年。第九条协议期限与终止9.1本协议自双方授权代表签字盖章之日起生效，有效期限为主合同有效期内或双方另有约定的期限。9.2本协议的终止不影响主合同的效力。本协议终止后，双方在本协议项下的数据安全责任和义务应持续到数据处理完成、数据安全删除/返回并经对方确认，以及保密义务履行完毕时为止。第十条法律适用与争议解决因本协议引起的或与本协议有关的任何争议，双方应首先通过友好协商解决；协商不成的，任何一方均有权向甲方所在地有管辖权的人民法院提起诉讼。第十一条其他11.1本协议是主合同不可分割的一部分，与主合同具有同等法律效力。本协议未约定的事项，遵照主合同及相关法律法规执行。11.2对本协议的任何修改或补充，均应以书面形式作出，并经双方授权代表签字盖章后生效。11.3本协议一式肆份，甲方执贰份，乙方执贰份，