2026年医疗信息安全保障协议

2026年医疗信息安全保障协议第一章总则第一条协议目的与背景为保障医疗信息在处理过程中的安全，防止医疗信息泄露、篡改、损毁，满足《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》以及医疗行业相关法律法规及标准的要求，维护医疗秩序和公民、法人和其他组织的合法权益，甲乙双方在平等、自愿、公平和诚实信用的基础上，经友好协商，就医疗信息安全保障事宜达成一致，特订立本协议。第二条适用范围本协议适用于甲方委托乙方处理的医疗信息，包括但不限于患者基本信息、诊疗记录、影像资料、病理资料、遗传信息、健康档案等。本协议涵盖的医疗信息系统包括甲方使用的[具体系统名称]系统及乙方提供的[具体服务名称]服务。本协议的地域范围限于中华人民共和国境内。第三条法律依据本协议的订立、效力、解释、履行及争议解决均适用中华人民共和国法律。双方应遵守国家关于网络安全、数据安全、个人信息保护以及医疗信息管理的所有现行有效法律法规和行业标准。第四条定义与术语（一）医疗信息：指在医疗健康服务活动中产生的，以电子或者其他方式记录的，与公民个人健康相关的各种信息，包括个人身份信息和非个人身份信息。（二）个人信息：指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。（三）敏感个人信息：指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。（四）数据控制者：指在医疗信息处理活动中作出决策，决定医疗信息的处理目的、处理方式等的组织或个人。（五）数据处理者：指接受数据控制者委托，处理医疗信息的组织或个人。（六）关键信息基础设施：指在中华人民共和国境内运营，网络与信息安全受国家法律、行政法规保护，对国家网络安全、国家安全、社会稳定和公共利益有重要影响的医疗信息基础设施。（七）安全事件：指因意外、人为攻击、系统故障等原因，导致医疗信息泄露、毁损、丢失或者被篡改，可能影响医疗信息系统正常运行、医疗信息安全或者公民、法人或者其他组织合法权益的事件。（八）服务水平协议（SLA）：指双方约定的关于服务性能、可用性、响应时间等方面的具体指标和承诺。第二章双方权利与义务第五条甲方的权利与义务（一）甲方作为数据控制者，保证其提供用于处理活动的医疗信息来源合法，并已取得必要的授权（如适用）。（二）甲方有权对乙方的医疗信息安全保障措施、数据处理活动进行监督、检查，乙方应予以配合，并提供必要的资料。（三）甲方应建立医疗信息安全管理制度，明确内部人员的管理职责，并对参与处理活动的人员进行保密教育和培训。（四）甲方应指定专门的联系人，负责与乙方就医疗信息安全保障事宜进行沟通协调。（五）发生或可能发生医疗信息泄露、毁损、丢失或被篡改等安全事件时，甲方应立即通知乙方，并采取必要的补救措施。（六）甲方应按照国家有关规定，履行对医疗信息主体的告知、同意、查询、更正、删除等权利响应义务。（七）甲方应确保其内部员工、代理人或其他与其合作的服务提供商，在处理医疗信息时遵守本协议的约定及国家相关法律法规。第六条乙方的权利与义务（一）乙方作为数据处理者，应严格遵守国家关于网络安全、数据安全、个人信息保护的法律法规及医疗行业相关标准，建立健全医疗信息安全保障体系。（二）乙方应按照甲方的指示和本协议的约定，安全地收集、存储、使用、加工、传输、提供、公开、删除医疗信息，确保医疗信息的机密性、完整性和可用性。（三）乙方应采取必要的技术和管理措施，包括但不限于访问控制、加密、安全审计、漏洞扫描、入侵检测、数据备份与恢复、安全事件应急响应等，防止安全事件的发生。（四）乙方应建立并维护医疗信息安全事件应急预案，在发生安全事件时，应立即启动应急预案，采取补救措施，并按照本协议约定及时通知甲方。（五）乙方应对其员工、代理人或分包商进行保密教育和培训，确保其遵守本协议的约定及国家相关法律法规，并对其进行必要的监督和管理。（六）乙方应建立医疗信息安全审计机制，定期对其医疗信息安全保障措施进行内部审计，并根据甲方的要求提供审计报告。（七）乙方应配合甲方及监管机构的监督检查，并根据要求提供相关资料。（八）乙方应按照甲方的请求，提供医疗信息处理活动的相关日志和记录。（九）乙方应按照甲方的指示，对医疗信息进行处理，包括数据迁移、数据备份、数据销毁等。（十）乙方应履行对医疗信息主体的相关权利响应义务。（十一）未经甲方书面同意，乙方不得将处理甲方的医疗信息的服务委托给第三方处理。第三章医疗信息安全保障措施第七条管理措施（一）乙方应设立专门的信息安全管理部门或岗位，配备具有相应资质的安全管理人员。（二）乙方应制定并实施医疗信息安全管理制度，包括但不限于安全策略、组织机构与职责、访问控制、密码管理、安全事件管理、应急响应、安全运维、安全培训与意识教育等。（三）乙方应定期对其员工、代理人或分包商进行医疗信息安全意识和技能培训，并记录培训情况。（四）乙方应建立职责分离机制，确保关键岗位的人员分离。（五）乙方应制定并实施医疗信息安全事件应急预案，并定期进行演练。第八条技术措施（一）乙方应部署防火墙、入侵检测/防御系统等技术设备，对网络进行边界防护和入侵检测。（二）乙方应对其管理的医疗信息系统进行安全加固，包括操作系统、数据库、应用软件等的安全配置和漏洞修复。（三）乙方应对存储、传输中的医疗信息进行加密处理，确保数据的机密性。（四）乙方应建立完善的数据备份与恢复机制，定期对医疗信息进行备份，并确保能够及时恢复。（五）乙方应建立安全审计系统，记录医疗信息系统的操作日志和安全日志，并定期进行安全审计。（六）乙方应部署终端安全管理措施，包括防病毒软件、补丁管理等，防止终端安全风险。（七）乙方应采用强密码策略、多因素认证等技术手段，加强用户身份认证。第九条物理与环境安全（一）乙方应确保其数据中心、服务器机房等物理环境符合相关安全标准，包括但不限于门禁控制、视频监控、温湿度控制、消防系统、电力保障等。（二）乙方应制定并实施物理环境安全管理措施，防止未经授权的物理访问。（三）乙方应确保医疗信息存储介质的安全管理，包括硬盘、U盘、光盘等。第四章数据生命周期管理第十条数据收集（一）甲方在收集医疗信息时，应明确收集的目的、范围和方式，并确保符合国家有关法律法规和本协议的约定。（二）甲方在收集敏感个人信息时，应取得医疗信息主体的单独同意。第十一条数据存储（一）乙方应将甲方提供的医疗信息存储在符合国家有关安全标准的场所，并采取必要的安全措施保护存储介质的安全。（二）乙方应按照甲方的指示，对医疗信息进行分类分级存储，并采取相应的安全保护措施。（三）乙方应定期对存储的医疗信息进行安全检查，确保数据的安全。第十二条数据处理与使用（一）乙方应按照甲方的指示和本协议的约定，对医疗信息进行处理，不得超出约定范围使用。（二）乙方应采取必要的技术和管理措施，控制对医疗信息的访问权限，确保只有授权人员才能访问。（三）乙方应对其处理医疗信息的行为进行记录，并按照甲方的指示提供相关记录。第十三条数据传输（一）乙方在传输甲方提供的医疗信息时，应采取必要的安全措施，包括但不限于加密传输、安全通道等，确保传输过程的安全。（二）乙方不得将医疗信息传输至协议约定之外的第三方或地域。第十四条数据共享与提供（一）未经甲方书面同意，乙方不得将甲方提供的医疗信息共享或提供给任何第三方。（二）如需与第三方共享或提供医疗信息，乙方应确保第三方遵守本协议的约定及国家相关法律法规，并对第三方的行为承担连带责任。第十五条数据跨境传输（一）如需将甲方提供的医疗信息传输至中华人民共和国境外，乙方应遵守国家有关数据跨境传输的法律法规，并取得必要的批准或认证。（二）乙方应采取必要的安全措施，确保跨境传输过程中医疗信息的安全。第十六条数据销毁（一）医疗信息达到存储期限或不再需要时，乙方应按照甲方的指示，对医疗信息进行安全销毁。（二）乙方应采用无法恢复的安全销毁方法，包括但不限于物理销毁、软件清除等，并确保销毁过程的安全可靠。（三）乙方应向甲方提供数据销毁证明，并妥善保管销毁记录。第五章安全事件与应急管理第十七条事件定义与分类（一）安全事件是指因意外、人为攻击、系统故障等原因，导致医疗信息泄露、毁损、丢失或者被篡改，可能影响医疗信息系统正常运行、医疗信息安全或者公民、法人或者其他组织合法权益的事件。（二）安全事件按照严重程度分为一般安全事件、重大安全事件和特别重大安全事件。第十八条报告义务（一）发生或可能发生安全事件时，乙方应在[具体时间，例如：小时内]向甲方报告，并立即采取必要的补救措施。（二）安全事件的报告内容应包括事件发生的时间、地点、原因、影响范围、已采取的措施等。第十九条应急响应（一）乙方应建立医疗信息安全事件应急预案，并定期进行演练。（二）发生安全事件时，乙方应立即启动应急预案，采取补救措施，包括但不限于隔离受影响的系统、清除恶意软件、恢复数据、修补漏洞等。（三）乙方应与甲方保持密切沟通，及时报告事件处理进展。第二十条事件调查与改进（一）安全事件处理完毕后，乙方应进行事件调查，分析事件原因，并采取措施防止类似事件再次发生。（二）乙方应将事件调查报告和改进措施报告给甲方。第六章合规性与审计第二十一条合规性要求（一）双方应遵守国家关于网络安全、数据安全、个人信息保护以及医疗信息管理的所有现行有效法律法规和行业标准。（二）乙方应确保其医疗信息安全保障措施符合国家有关法律法规和行业标准的要求。第二十二条审计权利（一）甲方有权对乙方的医疗信息安全保障措施、数据处理活动进行定期或不定期的审计，包括但不限于查阅资料、现场检查、人员访谈等。（二）乙方应积极配合甲方的审计，并根据要求提供相关资料。第二十三条审计结果（一）乙方应根据甲方提出的审计发现的问题，制定并实施整改计划，并在[具体时间，例如：个月内]完成整改。（二）乙方应向甲方报告整改情况，并接受甲方的验收。第二十四条认证与合规证明（一）乙方应向甲方提供其已获得的相关安全认证的证明文件，并保持认证的有效性。（二）乙方应向甲方提供其遵守国家有关法律法规和行业标准的合规证明文件。第七章数据主体权利响应第二十五条响应义务（一）乙方应根据甲方的指示，以及国家有关法律法规的规定，响应医疗信息主体的查询、更正、删除、撤回同意、可携带其个人信息等请求。（二）乙方应在收到请求后[具体时间，例如：个工作日]内，对请求进行审核，并告知甲方审核结果。（三）乙方应按照甲方的指示，以及国家有关法律法规的规定，处理医疗信息主体的请求。第八章保密条款第二十六条保密信息定义（一）保密信息是指本协议项下任何一方披露给对方的，未公开的，与医疗信息安全保障相关的所有信息，包括但不限于技术信息、经营信息、管理信息、客户信息、医疗信息等。（二）保密信息包括但不限于本协议的条款、条件、规格、参数、设计、流程、方法、程序、软件、数据、列表、记录、报告、标记、符号、设计图纸、模型、样本、样机、知道或应当知道的技术秘密和其他商业秘密。第二十七条保密义务（一）甲乙双方及其员工、代理人或分包商应对保密信息承担保密义务，未经对方书面同意，不得向任何第三方披露、使用或允许他人使用。（二）甲乙双方应采取必要的措施，防止保密信息的泄露。（三）本保密义务不因本协议的终止而失效。第二十八条保密期限（一）本保密义务自本协议签订之日起生效，至保密信息公开之日止。（二）对于未公开的保密信息，保密期限为本协议终止后[具体年限，例如：五]年。第二十九条例外情况（一）根据法律法规或有权机关的要求，必须披露保密信息的，披露方应尽力避免披露超过必要的范围。（二）已经公开或无法控制其披露的保密信息，不适用本保密条款。第九章协议期限与终止第三十条协议期限本协议的有效期为[具体年限，例如：三]年，自双方授权代表签字并加盖公章（或合同专用章）之日起生效。第三十一条续签（一）本协议期满前[具体时间，例如：一个月]，如双方均有续签意愿，应另行签订续签协议。（二）续签协议的条款和条件由双方另行协商确定。第三十二条提前终止（一）发生以下情况之一时，任一方有权书面通知对方终止本协议：1.一方严重违反本协议，经另一方书面通知后[具体时间，例如：三十]日内仍未纠正的；2.一方进入破产、清算或解散程序的；3.发生不可抗力事件，影响本协议履行，且在[具体时间，例如：六十]日内无法消除的；4.法律法规或政策变化，导致本协议无法履行的；5.双方协商一致同意终止本协议的。（二）提前终止时，双方应妥善处理善后事宜，包括医疗信息的返还或销毁、保密信息的保护等。第三十三条终止后的安排（一）本协议终止或提前解除后，乙方应按照甲方的指示，停止处理医疗信息，并按照约定返还甲方所有或部分医疗信息，或进行安全销毁。（二）乙方应在[具体时间，例如：十五]日内向甲方提供医疗信息返还或销毁证明。（三）本协议终止或提前解除后，双方在本协议项下的权利和义务仍然有效，直至本协议约定的保密义务、责任承担等条款履行完毕。第十章数据返还或销毁第三十四条数据返还或销毁（一）本协议终止或提前解除时，乙方应根据甲方的指示，将甲方提供的医疗信息返还给甲方，或按照约定进行安全销毁。（二）乙方应采用无法恢复的安全销毁方法，确保销毁过程的安全可靠。（三）乙方应向甲方提供数据返还或销毁证明，并妥善保管相关记录。第十一章责任与赔偿第三十五条责任范围（一）甲乙双方应各自对因其过错造成的损失承担赔偿责任。（二）乙方应按照本协议的约定，承担医疗信息安全保障责任。第三十六条赔偿限制（一）乙方在本协议项下的累计赔偿总额不超过本协议总金额的[具体比例，例如：百分之百]。（二）本协议不对因不可抗力、第三方原因、政府行为等造成的损失承担赔偿责任。第三十七条违约责任（一）任何一方违反本协议的约定，应承担违约责任，并赔偿由此给对方造成的损失。（二）乙方违反本协议关于医疗信息安全保障的约定，应向甲方支付违约金[具体金额或计算方式]。第三十八条不可抗力（一）不可抗力是指不能预见、不能避免并不能克服的客观情况，包括但不限于自然灾害、战争、动乱、政府行为、法律政策变化等。（二）发生不可抗力事件时，双方应根据事件影响，协商决定是否延期履行、部分履行或终止本协议。（三）发生不可抗力事件的一方应立即通知对方，并提供相关证明文件。第十二章法律适用与争议解决第三十九条法律适用本协议的订立、效力、解释、履行及争议解决均适用中华人民共和国法律。第四十条争议解决因本协