医疗健康服务合作合同协议（2025年隐私保护）

医疗健康服务合作合同协议（2025年隐私保护）医疗健康服务合作合同协议第一条定义与解释除非本协议上下文另有明确说明，下列术语具有以下含义：1.1“个人健康信息”（PHI）是指在任何介质中存储的、与已识别或可识别的自然人健康状况相关的信息，包括生理、心理、遗传、病理、诊断、治疗、康复、健康检查、流行病学、残疾、死亡等，以及提供此类信息的目的所必需的标识信息。1.2“数据处理”是指对个人健康信息进行收集、存储、使用、加工、传输、提供、公开、删除等操作。1.3“数据控制者”是指决定个人健康信息处理目的和方式的组织或个人。1.4“数据处理者”是指为数据控制者处理个人健康信息的组织或个人，但不包括仅以披露为任务而处理个人健康信息的个人。1.5“保密信息”是指本协议项下由一方（披露方）向另一方（接收方）披露的、与披露方业务、财务、技术、客户信息、个人健康信息等相关的、未公开的、具有商业价值或保密性质的所有信息，包括但不限于商业计划、技术秘密、经营数据、客户名单、PHI、合同条款等。本定义不因本协议的终止而失效。1.6“安全事件”是指导致或可能导致个人健康信息泄露、丢失、被篡改或未经授权访问的事件。1.7“子处理者”是指数据处理者委托处理个人健康信息的第三方。1.8“隐私保护影响评估”（PIA）是指评估处理活动对个人隐私所造成的风险，并采取必要措施来减轻这些风险的系统化过程。1.9“监管机构”是指根据数据主体所在地或处理活动发生地法律负责监督个人信息保护的机构。第二条合作目的与范围2.1双方同意基于本协议条款，就【请在此处明确具体的医疗健康服务合作内容，例如：远程医疗服务平台的开发与运营、特定疾病患者数据的联合分析研究、医疗信息系统集成等】进行合作。2.2合作范围包括但不限于【请在此处列举具体合作活动，例如：技术开发、数据共享与分析、服务提供、市场推广等】，并可能涉及对个人健康信息的处理。2.3双方均有义务确保合作及其相关数据处理活动符合所有适用的法律法规，特别是关于个人健康信息保护的法律法规。第三条隐私保护原则与总体义务3.1双方同意在本协议项下的所有活动均应遵循合法、正当、必要、诚信原则，并遵守最小化收集、目的限制、确保安全、公开透明、个人参与等适用的隐私保护原则。3.2数据控制者对在本协议下处理的个人健康信息承担主要责任，并应确保其处理活动符合本协议约定及适用的法律法规。3.3数据处理者应仅根据数据控制者的授权，并以为实现本协议约定的合作目的所必需的方式处理个人健康信息，并承担相应的安全保护义务。3.4双方均有义务保护在合作中获取的对方的保密信息以及任何第三方的个人健康信息（如患者信息），承担严格的保密义务。未经对方书面同意，不得向任何第三方披露（法律要求除外或为履行本协议所必需且已告知对方）。3.5双方应各自负责建立并维护必要的机制，保障数据主体的权利，包括但不限于访问权、更正权、删除权等。数据控制者应提供相应的支持以协助数据主体行使其权利。第四条数据处理与安全4.1数据处理应严格限定在为实现本协议约定的合作目的所必需的范围内。4.2数据控制者应对其确定的处理目的负责。数据处理者应根据数据控制者的指示处理个人健康信息，并遵守数据控制者的要求。4.3双方同意采取充分的技术和组织措施（包括但不限于加密、访问控制、安全审计、漏洞管理等）来保护个人健康信息，防止未经授权的访问、使用、泄露、丢失或损坏。安全措施应至少符合行业普遍接受的最佳实践标准。4.4双方应确保处理个人健康信息的系统和服务提供商同样采取不低于本协议要求的安全保护措施。4.5如需使用子处理者处理个人健康信息，数据控制者（委托方）应事先获得数据处理者（委托方）的书面同意，并确保对子处理者进行充分的监督和管理，要求其遵守不低于本协议要求的隐私和安全标准，并对子处理者的行为承担责任。数据处理者（接收方）应向数据控制者（委托方）提供子处理者的必要信息，并协助其履行监督职责。4.6如涉及将个人健康信息传输至本协议签订地以外的国家或地区，双方应确保该传输符合适用的法律法规要求，例如通过有效的传输机制（如标准合同条款、具有约束力的公司规则、充分性认定等）或获得数据主体的明确同意，并确保接收方能提供充分的数据保护水平。第五条隐私影响评估与合规审计5.1对于本协议项下可能对个人隐私产生高风险的处理活动，数据控制者应进行隐私保护影响评估（PIA），并在必要时向数据处理者提供评估报告或关键结论。5.2数据处理者应配合数据控制者（或其指定的第三方）对其数据处理活动的合规性进行审计。数据处理者应提供必要的文档、访问权限，并就审计中发现的问题进行整改。5.3双方均有义务遵守数据主体所在地及处理活动发生地关于个人健康信息保护的所有法律法规，并及时响应监管机构的要求。第六条责任、赔偿与救济6.1双方应对其违反本协议约定（特别是违反保密义务和安全保护义务）给对方或任何第三方造成的直接损失承担赔偿责任。6.2数据处理者同意，若因其在处理个人健康信息时的行为或不为，导致数据控制者违反适用的个人健康信息保护法律法规而受到监管机构处罚或第三方索赔，数据处理者应在合理范围内协助数据控制者应对，并承担相应的份额。6.3发生安全事件时，数据处理者应在发现或合理怀疑发生安全事件后【例如：二十四（24）】小时内通知数据控制者，并双方应立即合作采取措施，减轻事件可能造成的损害。根据法律法规要求，双方应协商确定是否以及如何通知监管机构和受影响的个人。第七条合同期限、终止与后续义务7.1本协议自双方授权代表签字盖章之日起生效，有效期为【例如：三（3）】年，除非提前终止。期满前【例如：三十（30）】日，如双方无书面异议，本协议自动续展【例如：一（1）】年，续展次数不限/最多续展【例如：两（2）】次。7.2任何一方可在提前【例如：六十（60）】日向另一方发出书面通知后终止本协议。提前终止不影响通知发出前已产生的权利和义务。7.3无论本协议因何种原因终止，双方在本协议项下的保密义务、知识产权条款、责任条款、以及关于安全事件通知和合规义务的条款均持续有效。7.4终止时，数据处理者应立即停止所有与个人健康信息相关的处理活动，并根据数据控制者的书面指示，在【例如：十五（15）】日内将所有个人健康信息（包括所有副本）返还给数据控制者，或根据数据控制者的书面要求安全销毁，并应书面确认已按要求处理。数据处理者不得因终止而要求任何费用，除非其未完成返还或销毁义务。7.5双方同意，在本协议终止后【例如：五（5）】年内，双方均不得利用在合作期间从对方获取的保密信息，除非该信息已因公开或其他合法原因非因一方过错而成为公开信息。第八条争议解决8.1因本协议引起的或与本协议有关的任何争议，双方应首先通过友好协商解决。8.2如果协商在【例如：三十（30）】日内未能解决争议，任何一方均有权将争议提交至【请选择：A.有管辖权的人民法院诉讼解决；B.【指定仲裁机构名称，例如：中国国际经济贸易仲裁委员会】按照其届时有效的仲裁规则在北京/上海/其他指定地点进行仲裁。仲裁裁决是终局的，对双方均有约束力】。第九条其他条款9.1本协议构成双方就本协议标的事项达成的完整协议，取代之前所有的口头或书面沟通、陈述或协议。9.2对本协议的任何修改或补充，均需以书面形式作出，并经双方授权代表签字盖章后方能生效。9.3如果本协议任何条款被认定为无效、非法或不可执行，不影响其他条款的效力。双方应协商替换为内容最接近且合法有效的条款。9.4本协议的任何一方均不得将其在本协议项下的权利或义务部分或全部转让给第三方，除非获得另一方事先书面同意