医疗数据安全防护协议

医疗数据安全防护协议甲方：XX医疗机构统一社会信用代码：XXX地址：XXX乙方：XX数据安全服务有限公司统一社会信用代码：XXX地址：XXX鉴于1.甲方为依法设立的医疗机构，持有符合《医疗纠纷预防和处理条例》《个人信息保护法》规定的医疗数据（含患者个人信息、诊疗记录、影像数据等）；2.乙方具备医疗数据安全防护所需的技术能力、资质（如网络安全等级保护三级以上认证）及人员储备，双方就医疗数据安全防护合作达成一致，特订立本协议。一、定义1.医疗数据：指甲方在诊疗活动中收集、产生的患者个人信息及诊疗相关数据，包括但不限于患者姓名、身份证号、诊疗记录、医学影像、基因数据等，符合《个人信息保护法》关于“个人信息”及“敏感个人信息”的定义。2.敏感医疗数据：指包含基因信息、传染病史、精神病史、伤残等级等的医疗数据，属于高风险个人信息。3.数据处理活动：包括医疗数据的收集、存储、传输、使用、加工、提供、公开、删除、销毁等行为。4.数据安全事件（Breach）：指医疗数据被泄露、篡改、丢失、非法访问或使用的情形，包括但不限于黑客攻击、内部人员违规操作、物理介质丢失等。二、甲方权利义务1.数据合法性保障：向乙方提供的医疗数据需已取得患者或其法定代理人的书面知情同意（符合《个人信息保护法》第十七条要求），且数据来源、收集目的合法。2.明确处理要求：以书面形式明确告知乙方数据处理的具体目的、范围、期限（不得超出诊疗及合作所需），并对乙方的处理活动进行监督，每季度至少开展一次现场或远程检查。3.配合与告知：向乙方提供必要的业务说明及技术支持；若甲方调整数据处理要求，需提前15个工作日书面通知乙方。4.禁止违法要求：不得要求乙方从事违反《网络安全法》《数据安全法》等法律法规的医疗数据处理活动。三、乙方核心义务（数据安全防护）（一）资质与人员要求1.乙方需持有有效的网络安全等级保护三级以上认证、医疗行业数据安全服务资质，并向甲方提交资质复印件；2.参与数据安全防护的人员需通过背景审查（无违法犯罪记录），每年接受不少于40小时的医疗数据安全专项培训，留存培训记录至少3年。（二）技术防护措施1.加密防护：-传输加密：医疗数据传输采用TLS1.2以上协议，敏感医疗数据传输需额外采用国密算法（如SM2/SM4）；-存储加密：所有医疗数据存储需采用AES-256加密算法，敏感医疗数据需分层加密（数据字段+存储介质双重加密）；-脱敏处理：对非诊疗必要的个人信息（如手机号、住址）进行脱敏（如隐藏中间4位、模糊地址），仅在甲方书面授权下可恢复原始数据。2.访问控制：-实行最小权限原则：仅授予必要岗位人员访问权限，禁止跨岗位访问敏感医疗数据；-多因素认证：敏感医疗数据访问需通过“账号密码+生物特征（指纹/人脸）”双认证；-访问日志：留存所有访问记录（含操作人、时间、内容、IP地址），敏感医疗数据访问日志留存至少1年，普通医疗数据留存至少6个月。3.漏洞与审计：-每月开展1次漏洞扫描，每季度开展1次第三方渗透测试，发现高危漏洞需在48小时内修复，中低危漏洞在72小时内修复，留存修复记录；-每年开展1次第三方安全审计，提交审计报告给甲方，审计发现的问题需在15个工作日内整改完毕。4.备份与恢复：-每日增量备份医疗数据，每周全量备份，备份数据存储在异地机房（距离主机房≥50公里），备份介质加密；-每季度开展1次数据恢复演练，确保恢复成功率100%，留存演练记录。5.物理安全：-数据存储机房需符合等保三级要求（门禁、监控、消防、UPS不间断电源等），监控录像留存至少3个月。（三）管理防护措施1.制定《医疗数据安全管理制度》《数据安全事件应急预案》，报甲方备案；2.禁止乙方及员工将医疗数据存储在个人设备（手机、U盘等），禁止通过非授权渠道传输数据；3.数据处理活动不得超出甲方书面约定的范围、期限，不得向任何第三方提供医疗数据（甲方书面授权且符合法定要求除外）；4.终止合作后，需在10个工作日内按甲方要求删除或返还所有医疗数据，不得留存任何副本，留存删除记录（含删除方式、时间、见证人）。四、数据安全事件处理1.发现与通知：乙方发现数据安全事件后，需在24小时内书面通知甲方，同时按《网络安全法》要求向甲方所在地网信部门、卫生健康主管部门报告（若涉及500人以上患者信息或造成严重后果）；2.应急处置：立即采取隔离受影响系统、阻止数据扩散、恢复数据等措施，不得隐瞒或拖延；3.后续处理：-配合甲方向受影响患者告知（若需），承担通知费用（短信、公告等）；-15个工作日内提交《数据安全事件调查报告》（含原因、影响范围、整改措施）；-承担因事件导致的患者索赔、监管罚款、甲方声誉损失等全部责任。五、责任承担1.甲方违约：若甲方提供的数据来源不合法、未履行监督义务或要求乙方违法处理，导致数据安全事件或第三方索赔，甲方承担全部责任；2.乙方违约：若乙方违反本协议约定（如未落实防护措施、违规传输数据），导致数据安全事件，乙方需赔偿甲方及第三方的全部损失（包括直接损失、间接损失、声誉损失，声誉损失按实际影响由双方协商或法院裁定）；3.免责情形：因不可抗力（如地震、战争）导致数据安全事件，且乙方已证明尽到合理防护义务的，可免除部分责任；但乙方需在不可抗力发生后24小时内通知甲方并采取补救措施。六、保密条款双方对本协议内容、合作中知悉的医疗数据、商业秘密保密，保密期限为协议终止后3年。七、协议期限与终止1.协议自双方签字盖章之日起生效，有效期3年；期满后自动续期1年，除非一方提前30天书面通知终止；2.协议终止后，乙方需按本协议第三条（三）4款要求处理医疗数据。八、争议解决因本协议产生的争议，双方协商解决；协商不成的，向甲方所在地有管辖权的人民法院提起诉讼。九、其他1.本协议附件（《医疗数据安全防护清单》《数据安全事件应急预案模板》《乙方资质复印件》）为本协议组成部分，与本协议具有同