2025年医疗信息化数据安全合同（医院用）

2025年医疗信息化数据安全合同（医院用）甲方（委托方/服务接受方）：[医院全称]法定代表人/授权代表：[姓名]地址：[医院地址]统一社会信用代码：[医院代码]联系方式：[电话、邮箱]乙方（服务提供方/义务承担方）：[技术服务公司全称]法定代表人/授权代表：[姓名]地址：[公司地址]统一社会信用代码：[公司代码]联系方式：[电话、邮箱]鉴于甲方拥有或控制医疗信息化数据（以下简称“数据”），并委托乙方提供医疗信息化相关的产品、服务及解决方案；鉴于乙方具备提供相关服务的能力和资质；鉴于甲乙双方希望在符合国家及地方法律法规（特别是2025年及以后实行的医疗信息化及数据安全相关法律法规，包括但不限于《网络安全法》、《数据安全法》、《个人信息保护法》及其修订或解释）的前提下，明确双方在数据安全保护方面的权利和义务；根据《中华人民共和国民法典》及相关法律法规，经双方友好协商，达成如下协议，以资共同遵守。第一条服务内容与范围1.1乙方根据甲方的需求及本协议约定，向甲方提供以下服务（包括但不限于）：（1）医疗信息系统的设计、开发、部署、集成与定制；（2）甲方现有数据迁移、数据清洗、数据标准化服务；（3）甲方医疗信息系统的系统运维、技术支持、版本升级服务；（4）基于甲方授权数据的分析、报表服务等；（5）为甲方提供的数据安全咨询、风险评估、安全加固服务；（6）双方约定的其他服务。1.2本协议所涵盖的数据范围包括但不限于在履行本协议服务过程中，由乙方接触、处理、存储的甲方拥有的或控制的医疗数据，具体包括：（1）患者个人信息，如姓名、身份证号码、手机号码、电子邮箱地址、住址等；（2）患者健康信息，如诊断记录、病史资料、检查检验结果、影像资料、治疗方案、医疗费用信息等；（3）医疗机构的运营数据、管理数据；（4）其他与甲方医疗信息化系统相关的数据。1.3除非本协议另有约定或法律法规另有规定，乙方不得处理本协议范围之外的数据，不得将包含敏感个人信息的医疗数据用于本协议约定的服务目的之外，亦不得向任何第三方提供（除非获得甲方事先的书面同意或法律法规要求）。第二条数据安全责任与措施2.1双方确认，甲方作为数据控制者，对数据的合法合规使用负最终责任。乙方作为数据处理者及服务提供者，在服务过程中对所处理的数据承担直接的安全保护责任，应采取必要的技术和管理措施，确保数据的安全。2.2乙方应遵守国家及地方法律法规及行业标准关于数据安全的各项要求，建立健全的数据安全管理制度，并确保甲方数据的机密性、完整性、可用性。2.3乙方应采取以下至少一项或多项技术措施保障数据安全：（1）对传输中的数据进行加密，例如使用TLS/SSL等安全协议；（2）对存储的数据进行加密，包括数据库加密、文件加密等；（3）实施严格的访问控制策略，采用基于角色的访问控制机制，遵循最小权限原则，对用户进行身份认证（宜采用多因素认证），并定期进行权限审计；（4）建立完善的安全审计机制，记录数据访问、系统操作及安全事件，并实施监控告警；（5）定期进行安全漏洞扫描和风险评估，及时修复已知漏洞，并保持系统和安全设备的更新；（6）实施可靠的数据备份和恢复机制，明确备份频率、存储方式、存储位置、保留期限，并定期进行恢复测试；（7）配置和维护网络安全设备，如防火墙、入侵检测/防御系统，划分网络区域并实施隔离；（8）在涉及开发、测试、数据分析等场景，按照甲方要求或行业标准对涉及个人信息的敏感数据进行脱敏处理。2.4乙方应采取以下管理措施保障数据安全：（1）制定并实施覆盖数据全生命周期的安全管理制度和操作规程；（2）对接触或可能接触敏感数据的乙方人员进行背景审查（如适用）、签署保密协议、进行必要的安全意识培训和定期考核；（3）若需使用第三方服务或产品涉及甲方数据，应要求第三方承担不低于本协议要求的数据安全责任，并接受乙方的监督；（4）建立并完善数据安全事件应急预案，明确事件的报告、处置流程和协作机制；（5）确保数据处理活动符合国家关于数据分类分级保护的要求，并根据甲方要求或评估结果，对重要数据实施更高级别的保护。2.5甲方应配合乙方履行数据安全保护义务，提供必要的技术接口和管理支持，并对其自身的数据安全管理体系负责。第三条数据保密3.1甲乙双方应对在本协议履行过程中获知的对方的商业秘密、技术信息以及甲方的医疗数据等未公开信息（以下简称“保密信息”）承担保密义务。3.2保密信息包括但不限于本协议内容、甲方的组织架构、运营模式、患者数据、系统架构、技术参数、安全策略、用户名、密码等。3.3除非法律规定或有权机关要求，任何一方不得向任何第三方泄露、披露或使用保密信息，但为履行本协议目的，或根据法律法规或有权机关要求，或事先获得对方书面同意的情况除外。3.4本保密义务不因本协议的终止而失效，双方应在本协议终止后【五】年内继续有效。对于涉及核心技术和重要数据的保密信息，保密期限应持续到该信息公开为止。3.5乙方应对其员工、独立承包商、顾问等可能接触保密信息的第三方承担保密义务，并确保其遵守本协议的保密要求。第四条数据安全事件响应4.1乙方应建立有效的数据安全事件监测、预警、分析、响应和处置机制。4.2乙方在发现或怀疑发生可能影响甲方或公众的数据安全事件（包括但不限于数据泄露、篡改、丢失、系统被非法访问或破坏等）后，应在【四】小时内通知甲方指定的紧急联系人，并按照约定方式提交书面事件报告。4.3乙方应积极配合甲方及相关部门对数据安全事件的调查、处置和补救工作，共同采取措施防止事件扩大或再次发生。4.4乙方应根据国家法律法规及本协议约定，在必要时向相关监管部门及受影响个人（如适用）履行通知义务，并应及时将相关情况告知甲方。第五条双方权利与义务5.1甲方的权利与义务：（1）有权要求乙方按照本协议约定提供服务，并监督乙方履行数据安全保护义务；（2）按照本协议约定及时向乙方支付服务费用；（3）向乙方提供履行本协议服务所必需的数据接入环境、系统接口和技术文档等支持；（4）指定接口人负责与乙方沟通协调，并配合乙方完成相关工作；（5）建立健全自身的数据安全管理制度，并对自身数据的合规使用负责；（6）按照法律法规及本协议约定，履行数据安全事件报告义务。5.2乙方的权利与义务：（1）按照本协议约定，在保证数据安全的前提下，向甲方提供合格的服务；（2）严格履行本协议第二条约定的数据安全保护责任和措施；（3）对甲方提供的数据及在服务过程中获知的甲方商业秘密、医疗数据等承担保密义务；（4）接受甲方的合理监督和必要的审计（费用由甲方承担），并按要求提供相关资料；（5）及时通知甲方发生或可能发生的数据安全事件，并按甲方要求及本协议约定进行处理；（6）确保提供的服务符合国家及地方法律法规和行业标准的要求。第六条违约责任6.1任何一方违反本协议约定，均应承担相应的违约责任。6.2若乙方未能履行本协议第二条约定的数据安全保护义务，导致甲方数据泄露、损毁或遭受其他损失，乙方应承担赔偿责任。赔偿金额应包括但不限于甲方因此遭受的直接经济损失、间接经济损失，以及为调查损失、采取补救措施所支付的合理费用。若损失难以计算，可由双方协商确定，或依法由人民法院判决。6.3若乙方违反本协议第三条约定的保密义务，给甲方造成损失的，应赔偿甲方的直接经济损失。6.4若乙方违反本协议第四条约定的数据安全事件报告义务，导致甲方或第三方遭受损失的，乙方应承担相应的赔偿责任。6.5若甲方未能按时支付服务费用，每逾期一日，应按逾期支付金额的【千分之零点五】向乙方支付违约金。逾期超过【三十】日，乙方有权暂停服务或解除本协议，并要求甲方支付全部应付费用及违约金。6.6除本协议另有约定外，任何一方违约给对方造成其他损失的，应予以赔偿。第七条合同期限与终止7.1本协议自双方授权代表签字并加盖公章（或合同专用章）之日起生效，有效期为【壹】年，自【起始日期】至【终止日期】。7.2协议期满前【壹】个月，如双方均有意继续合作，应另行协商签订续约协议。若双方未达成续约协议，本协议到期自动终止。7.3发生下列情形之一，守约方有权书面通知违约方解除本协议：（1）一方严重违反本协议约定，经守约方书面催告后【拾】日内仍未纠正的；（2）乙方泄露甲方重要医疗数据或造成重大安全事故的；（3）乙方破产、解散或进入清算程序的；（4）法律法规规定的其他可解除合同的情形。7.4本协议终止或提前解除的，双方应在协议终止后【拾】日内完成以下工作：（1）乙方应将包含甲方数据的所有物理和电子形式的存储介质、备份、源代码、文档等全部返还给甲方，或按照甲方要求在监督下安全销毁，并出具书面证明；（2）乙方应停止对甲方数据的任何访问和处理，除根据法律法规或本协议约定外，不得以任何形式保留或使用甲方数据；（3）双方应结清所有未付款项；（4）保密条款、争议解决条款、法律适用与管辖条款在本协议终止后继续有效。第八条不可抗力8.1“不可抗力”是指双方不能合理控制、不可预见或即使预见亦无法避免的事件，该事件妨碍、影响或延误任何一方根据本协议履行其全部或部分义务，包括但不限于自然灾害（如地震、洪水、台风）、战争、动乱、政府行为、法律政策变化、疫情等。8.2遭遇不可抗力的一方应在事件发生后【七】日内书面通知另一方，并提供相关证明文件。双方应根据不可抗力的影响，协商决定是否延迟履行、部分履行或解除本协议。因不可抗力导致的履行延迟或不能履行，受影响方不承担违约责任。第九条争议解决9.1因本协议引起的或与本协议有关的任何争议，双方应首先通过友好协商解决。9.2协商不成的，任何一方均有权将争议提交【乙方所在地有管辖权的人民法院】通过诉讼方式解决。第十条法律适用10.1本协议的订立、效力、解释、履行及争议解决均适用中华人民共和国法律（为免歧义，不包括香港、澳门特别行政区及台湾地区法律）。第十一条其他11.1本协议构成双方关于本协议标的的完整协议，