2025版医疗机构隐私保密合同

2025版医疗机构隐私保密合同甲方：[医疗机构全称]统一社会信用代码：________________________医疗机构执业许可证编号：________________________住所地：________________________法定代表人/主要负责人：________________________联系电话：________________________乙方：（自然人填写）姓名：________________________身份证号：________________________岗位：________________________所属部门/派驻单位：________________________联系电话：________________________通讯地址：________________________（机构填写）单位全称：________________________统一社会信用代码：________________________住所地：________________________法定代表人：________________________联系电话：________________________为规范健康医疗信息管理，保护患者隐私及甲方涉密信息安全，根据《中华人民共和国个人信息保护法》《中华人民共和国基本医疗卫生与健康促进法》《中华人民共和国网络安全法》《医疗卫生机构网络安全管理办法》《医疗机构病历管理规定（2013年版）》《健康医疗大数据标准、安全和服务管理办法（试行）》等法律法规规定，甲乙双方本着平等自愿、权责清晰的原则，签署本保密合同，双方共同遵守。第一条适用范围1.1本合同适用于乙方在甲方履职/提供服务全周期内接触的所有涉密信息的管理，覆盖门诊诊疗、住院服务、体检中心、检验检测、影像诊断、公共卫生服务、互联网诊疗、科研合作、医保对接、信息系统运维、行政运营等全业务场景。1.2本合同约束主体包括但不限于甲方正式在编员工、合同制员工、劳务派遣人员、外包服务人员、进修生、实习生、规培生、志愿者、合作机构派驻人员，乙方属于上述任一主体的均需签署本合同。1.3本合同作为甲乙双方签署的劳动合同/服务合作合同的附件，与主合同具有同等法律效力，主合同终止、解除不影响本合同保密义务条款的持续效力。第二条保密信息界定2.1患者隐私及敏感健康信息2.1.1基础身份信息：姓名、居民身份证号、社会保障卡号码、手机号码、常住地址、出生日期、性别、民族、婚姻状况、职业、工作单位、紧急联系人及联系方式、生物识别信息（人脸、指纹、静脉特征等）。2.1.2核心诊疗信息：主诉、现病史、既往史、家族遗传病史、药物/食物过敏史、体格检查记录、检验报告、超声/CT/MRI等影像报告、病理诊断报告、门诊/住院诊断结论、处方信息、手术记录、麻醉记录、护理记录、出院小结、随访记录、疫苗接种记录、母婴保健记录、精神疾病诊疗记录、传染病诊疗记录、基因检测数据、生物样本关联信息、康复训练记录。2.1.3特殊敏感信息：涉及法定甲类/按甲类管理的乙类传染病、性病、精神障碍疾病、遗传性疾病、孕产妇流产/引产记录、未成年人诊疗信息、残障人士医疗信息、涉家暴/性侵害受害人诊疗信息、艾滋病毒感染信息，以及患者明确书面要求保密的其他个人信息。2.1.4财产关联信息：医保报销明细、自费支付记录、商业保险理赔对接信息、医疗费用结算单、大病救助申请材料。2.2甲方运营涉密信息2.2.1技术科研信息：未公开的临床医疗技术、临床试验原始数据、院内制剂配方、专利申请前置资料、在研科研项目核心数据、AI辅助诊疗模型训练未脱敏数据。2.2.2运营管理信息：未公开的年度门诊/住院人次统计、病种结构数据、财务收支数据、招投标底价信息、人事薪酬方案、医疗纠纷未公开处置方案、内部管理涉密制度、商业合作核心条款。2.2.3网络安全信息：甲方信息系统账号密码、数据库访问密钥、防火墙配置参数、数据灾备方案、网络安全应急处置预案、涉密信息系统拓扑图。2.3保密信息例外情形2.3.1已通过合法途径公开且公开未损害患者及甲方合法权益的信息。2.3.2乙方能够举证证明在接触甲方涉密信息前已经合法持有且无保密义务的信息。2.3.3有权国家机关（公安、检察、法院、卫生健康、医保等部门）依法依规要求披露的信息，但乙方需第一时间告知甲方，配合甲方履行核验程序，不得擅自扩大披露范围。第三条双方权利义务3.1甲方权利3.1.1有权对乙方的保密工作开展定期检查（每季度不少于1次）、不定期抽查（每月不少于2次），对发现的保密漏洞出具整改通知书，乙方需在3个工作日内提交整改方案并完成落地。3.1.2有权组织乙方开展年度不少于4次的保密专项培训、每季度不少于1次的保密考核，考核满分100分，80分以下为不合格，考核不合格的甲方有权暂停乙方涉密信息访问权限，直至补考合格后方可恢复。3.1.3发生涉密信息泄露事件时，有权要求乙方配合开展事件溯源、损失止损、监管上报、患者告知等工作，有权向乙方追偿因泄密造成的全部直接及间接损失。3.1.4有权根据国家法律法规更新、甲方业务调整需要，修订保密信息范围及管控要求，修订内容提前7个工作日书面告知乙方后生效。3.2甲方义务3.2.1建立健全院内涉密信息分级分类管理制度、操作规范、应急处置预案，为乙方提供必要的保密技术支持、操作指引、培训资源。3.2.2按照最小必要原则为乙方开通涉密信息访问权限，不得超岗位、超服务范围开通权限，权限调整需留存书面审批记录。3.2.3按照国家规定留存涉密信息访问日志、操作记录，其中普通涉密信息操作日志留存不少于10年，一级涉密信息操作日志永久留存，不得篡改、删除日志记录。3.2.4不得要求乙方违反本合同约定及法律法规规定泄露涉密信息，对乙方的合规保密履职行为提供保障。3.2.5发生涉密信息泄露事件时，立即启动应急预案，及时上报监管部门，不得故意隐瞒事件情况扩大损失。3.3乙方权利3.3.1有权要求甲方提供符合国家规范的保密培训、操作指引及技术防护工具。3.3.2有权拒绝甲方及任何第三方提出的违反保密规定的信息披露要求，且无需承担因此产生的责任。3.3.3发现涉密信息泄露风险、账号被盗、存储涉密信息的设备丢失等情况时，有权采取紧急止损措施并第一时间上报甲方。3.3.4有权对甲方的保密管理工作提出合理化建议，甲方需在7个工作日内予以回复。3.4乙方义务3.4.1权限管理义务：严格使用本人专属账号访问涉密信息，不得转借、出租、出卖账号密码，不得越权访问不属于自身岗位/服务范围的涉密信息；离岗/服务结束后24小时内配合甲方注销所有访问权限，移交所有存储的涉密信息，不得私自留存。3.4.2信息使用义务：所有涉密信息仅可用于履行岗位/服务合同约定的用途，不得擅自复制、存储、拍摄、录音、抄录涉密信息，不得将涉密信息用于个人牟利、未经审批的学术发表、内部闲聊、对外炫耀等任何非授权用途。3.4.3对外披露义务：不得向任何无关第三方（包括但不限于患者未授权的家属、媒体、同行业机构、社交平台用户）泄露涉密信息；确需对外披露的（如科研合作、医保上报、公共卫生上报、学术发表），需提交书面申请，经甲方信息管理部门、法务部门双重审批通过后方可执行，且需与信息接收方签署同等效力的保密合同。3.4.4场景管控义务：（1）常规诊疗场景：不得在电梯、食堂、楼道、院外公共区域等公开场所谈论患者隐私，不得将载有涉密信息的病历、U盘、工作笔记本带出指定诊疗区域；工作电脑设置不低于8位的复杂锁屏密码，离开工位超过1分钟必须锁屏。（2）互联网诊疗场景：严格使用甲方指定的互联网诊疗平台开展服务，不得使用私人微信、QQ、抖音等社交工具承接诊疗服务、传输患者健康信息，不得在私人手机、电脑等设备上存储任何患者涉密信息。（3）检验检测场景：检验报告、影像胶片仅可向患者本人或其书面授权的委托人交付，不得擅自向第三方提供；废弃的纸质报告、胶片、病理切片需统一交由行政部门粉碎/无害化销毁，不得私自丢弃。（4）科研及AI应用场景：使用涉密数据开展科研前需通过甲方伦理委员会审查，获取患者书面知情同意（符合法定豁免知情同意情形的需出具伦理委员会书面证明）；研究过程中对数据进行去标识化、脱敏处理，研究成果发布前需经甲方审核，不得泄露任何可识别到患者个人身份的信息；使用AI辅助诊疗系统时，不得上传非授权的患者信息，不得私自导出AI模型训练数据。（5）外包服务场景：信息系统运维人员操作数据库需全程录像留痕，不得擅自导出、拷贝数据库信息；医保对接人员仅可传输医保报销所需的最小必要信息，不得传输患者非医保相关的诊疗信息；物业、安保等后勤人员不得翻阅病历、查看诊疗系统信息，发现患者隐私信息泄露风险需第一时间上报。3.4.5社交平台管控义务：不得在微信朋友圈、微博、抖音、小红书、快手等任何公开或半公开社交平台发布涉及患者隐私的内容，包括但不限于患者照片、病历截图、诊疗细节，即使做打码处理也不得发布，除非获得患者书面同意及甲方行政部门审核通过。3.4.6事件上报义务：发现涉密信息泄露、账号被盗、存储涉密信息的设备丢失等风险事件时，需在1小时内上报甲方信息管理部门及法务部门，不得隐瞒、迟报、谎报，不得擅自删除相关操作日志、篡改证据。3.4.7终身保密义务：本合同终止/解除后，乙方仍需对在甲方接触到的所有涉密信息承担保密义务，直至相关信息法定解密或合法公开且不会损害相关方合法权益为止，不得因劳动关系/服务关系终止而免除保密责任。第四条涉密信息分级管控标准4.1一级涉密信息（极高风险）：包括特殊敏感健康信息、基因检测数据、生物样本关联信息、甲方核心科研数据、网络安全核心信息；管控要求：访问需部门负责人、信息管理部门双人审批，仅可在甲方指定的断网涉密终端访问，禁止下载、复制、导出，操作日志永久留存。4.2二级涉密信息（高风险）：普通患者诊疗记录、财产关联信息、甲方未公开运营管理信息；管控要求：访问需部门负责人审批，操作日志留存不少于10年，确需导出的需进行去标识化处理，禁止传输至任何私人设备。4.3三级涉密信息（中风险）：去标识化的业务统计数据、内部非核心涉密管理制度；管控要求：访问无需额外审批，但不得擅自对外披露，对外发布需经甲方行政部门审核。第五条违约责任5.1乙方违反本合同约定，未造成实际损失且未产生不良影响的，甲方有权对乙方处以当月薪酬/当月服务费用10%-30%的罚款，暂停涉密信息访问权限3-7天，要求乙方提交书面检讨书并在院内通报批评。5.2乙方违反本合同约定，造成涉密信息泄露但影响范围较小（涉及患者人数少于10人，未产生社会负面影响，未被监管部门立案调查）的，甲方有权对乙方处以当月薪酬/当月服务费用50%-100%的罚款，立即解除劳动关系/服务合作关系，要求乙方赔偿甲方因此产生的事件处置费用、对患者的赔偿费用等全部损失，损失金额不足5万元的按5万元计算。5.3乙方违反本合同约定，造成严重泄密事件（涉及患者人数10人及以上，或产生社会负面影响，或被监管部门立案处罚，或导致甲方被第三方起诉索赔）的，甲方有权立即解除劳动关系/服务合作关系，要求乙方赔偿全部经济损失（包括但不限于监管部门罚款、对患者的赔偿款、名誉损失费、律师费、诉讼费、公证费、鉴定费、舆情处置费用等），损失金额不足20万元的按20万元计算；同时甲方有权将乙方失信行为上报卫生健康主管部门、个人征信机构，纳入行业失信名单；涉及违法犯罪的，移送公安机关依法处理。5.4乙方因故意泄露涉密信息牟利的，除承担上述违约责任外，甲方有权没收全部违法所得，同时移送司法机关追究刑事责任。5.5若乙方为机构主体，乙方需对其派驻的所有人员的保密行为承担连带责任，其派驻人员违反本合同约定的，甲方有权按照上述条款向乙方主张违约责任。第六条免责条款6.1因不可抗力（包括但不限于地震、洪水、火灾、战争、国家政策法规重大调整）导致涉密信息泄露，乙方及时上报并采取必要止损措施的，不承担违约责任。6.2因甲方技术系统存在未知漏洞被黑客攻击导致涉密信息泄露，乙方无过错且及时上报的，不承担违约责任。6.3患者本人或其书面授权委托人主动要求披露相关信息，乙方核验授权文件无误并留存核验记录的，不承担违约责任。第七条争议解决7.1本合同履行过程中发生的争议，双方优先协商解决。7.2协商不成的，任何一方均有权向甲方住所地有管辖权的人民法院提起诉讼。第八条其他约定8.1本合同未尽事宜，按照国家及地方现行相关法律法规执行，法律法规有新修订的从其规定。8.2乙方确认：签署本合同前已充分阅读、理解所有条款内容，明确知晓自身的保密义务及违约责任，甲方已就所有限制责任、加重乙方义务的条款进行了充分的提示说明，乙