2025年健康數(shù)據(jù)隱私保護(hù)協(xié)議鑒于鑒于各方在處理健康數(shù)據(jù)過程中需要遵循相關(guān)法律法規(guī)，保護(hù)數(shù)據(jù)主體的合法權(quán)益，依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國個人信息保護(hù)法》及2025年適用的其他相關(guān)法律、法規(guī)和規(guī)章，經(jīng)友好協(xié)商，各方達(dá)成如下協(xié)議：第一條數(shù)據(jù)主體的權(quán)利與義務(wù)1.1數(shù)據(jù)主體對其提供的健康數(shù)據(jù)享有依法享有的各項(xiàng)權(quán)利，包括訪問權(quán)、更正權(quán)、刪除權(quán)、限制處理權(quán)、數(shù)據(jù)可攜帶權(quán)、拒絕自動化決策權(quán)以及撤回同意權(quán)（如適用）。數(shù)據(jù)主體可通過約定的途徑行使上述權(quán)利。1.2數(shù)據(jù)主體應(yīng)確保其提供的健康數(shù)據(jù)的真實(shí)性、準(zhǔn)確性，并對因提供虛假或不準(zhǔn)確數(shù)據(jù)而導(dǎo)致的后果承擔(dān)責(zé)任。1.3數(shù)據(jù)主體應(yīng)配合數(shù)據(jù)控制者或數(shù)據(jù)處理者依法依規(guī)進(jìn)行健康數(shù)據(jù)的處理活動。第二條健康數(shù)據(jù)的定義與范圍2.1本協(xié)議所稱健康數(shù)據(jù)是指以電子或者其他方式記錄的與自然人的健康生理狀況相關(guān)的各種信息，包括但不限于個人身份信息與健康狀況的關(guān)聯(lián)信息、健康狀況信息（如疾病診斷、病情發(fā)展、醫(yī)療記錄、遺傳信息、健康結(jié)果等）、提供健康數(shù)據(jù)的方式以及可能間接推斷出健康狀況的個人信息。2.2數(shù)據(jù)控制者或數(shù)據(jù)處理者僅收集和處理為實(shí)現(xiàn)協(xié)議約定目的所必需的健康數(shù)據(jù)。第三條數(shù)據(jù)處理目的與法律依據(jù)3.1數(shù)據(jù)控制者收集、處理健康數(shù)據(jù)的目的包括但不限于：提供醫(yī)療服務(wù)或健康咨詢、進(jìn)行醫(yī)療研究或臨床試驗(yàn)、開發(fā)和改進(jìn)健康產(chǎn)品或服務(wù)、進(jìn)行健康風(fēng)險評估或疾病預(yù)測、用戶同意的其他目的。3.2數(shù)據(jù)控制者處理健康數(shù)據(jù)的法律依據(jù)包括但不限于數(shù)據(jù)主體的同意、履行與數(shù)據(jù)主體的合同或法律義務(wù)、維護(hù)公共利益或行使公共權(quán)力、以及數(shù)據(jù)控制者或數(shù)據(jù)處理者的合法權(quán)益。第四條數(shù)據(jù)處理原則數(shù)據(jù)處理應(yīng)遵循合法性、正當(dāng)性、必要性、目的限制、最小化、準(zhǔn)確性、存儲限制、完整性和保密性以及透明原則。第五條數(shù)據(jù)安全措施5.1數(shù)據(jù)控制者及數(shù)據(jù)處理者應(yīng)采取必要的技術(shù)和管理措施，保障健康數(shù)據(jù)的機(jī)密性、完整性和可用性，防止未經(jīng)授權(quán)的訪問、泄露、修改、破壞或丟失。安全措施包括但不限于：a.采用加密技術(shù)對傳輸中和存儲中的數(shù)據(jù)進(jìn)行保護(hù)；b.實(shí)施嚴(yán)格的訪問控制策略，遵循最小權(quán)限原則；c.定期進(jìn)行安全風(fēng)險評估和滲透測試，及時修復(fù)安全漏洞；d.建立數(shù)據(jù)備份和恢復(fù)機(jī)制；e.對接觸健康數(shù)據(jù)的員工進(jìn)行保密和數(shù)據(jù)處理培訓(xùn)；f.對系統(tǒng)進(jìn)行安全審計(jì)，記錄關(guān)鍵操作日志。5.2發(fā)生或可能發(fā)生健康數(shù)據(jù)泄露、丟失、篡改或毀壞的，數(shù)據(jù)控制者或數(shù)據(jù)處理者應(yīng)立即啟動應(yīng)急預(yù)案，采取補(bǔ)救措施，并按照法律法規(guī)和協(xié)議約定及時通知數(shù)據(jù)主體和相關(guān)監(jiān)管機(jī)構(gòu)。第六條數(shù)據(jù)主體的權(quán)利行使6.1數(shù)據(jù)控制者應(yīng)建立便捷的渠道，供數(shù)據(jù)主體行使訪問權(quán)、更正權(quán)、刪除權(quán)、限制處理權(quán)、數(shù)據(jù)可攜帶權(quán)、撤回同意權(quán)（如適用）等權(quán)利。6.2數(shù)據(jù)控制者應(yīng)在收到數(shù)據(jù)主體行使權(quán)利的請求后，在法律法規(guī)規(guī)定的期限內(nèi)響應(yīng)并處理。處理結(jié)果應(yīng)告知數(shù)據(jù)主體。第七條數(shù)據(jù)共享與披露7.1未經(jīng)數(shù)據(jù)主體明確同意，數(shù)據(jù)控制者不得將健康數(shù)據(jù)共享或披露給任何第三方。7.2在獲得數(shù)據(jù)主體明確同意或?yàn)槁男袇f(xié)議約定目的所必需的情況下，數(shù)據(jù)控制者可以將健康數(shù)據(jù)披露給履行特定服務(wù)所必需的第三方合作伙伴（如云服務(wù)提供商、數(shù)據(jù)分析公司等），并要求該第三方合作伙伴對健康數(shù)據(jù)承擔(dān)與數(shù)據(jù)控制者同等的安全保護(hù)義務(wù)，并僅用于約定的目的。第八條數(shù)據(jù)保留期限8.1數(shù)據(jù)控制者及數(shù)據(jù)處理者僅保留為實(shí)現(xiàn)處理目的所必需的健康數(shù)據(jù)，并遵守相關(guān)法律法規(guī)對數(shù)據(jù)保留期限的要求。8.2達(dá)到保留期限或協(xié)議終止后，除法律法規(guī)要求或另有約定外，雙方應(yīng)刪除或進(jìn)行不可逆的匿名化處理不再保留原始健康數(shù)據(jù)。第九條數(shù)據(jù)跨境傳輸如需將健康數(shù)據(jù)傳輸至中華人民共和國境外，數(shù)據(jù)控制者或數(shù)據(jù)處理者應(yīng)確保：9.1接收國提供了充分的數(shù)據(jù)保護(hù)水平，或已采取有效的措施（如簽訂標(biāo)準(zhǔn)合同條款、具有約束力的公司規(guī)則等）確保境外接收方能提供與境內(nèi)相當(dāng)?shù)臄?shù)據(jù)保護(hù)水平。9.2傳輸行為符合《中華人民共和國個人信息保護(hù)法》及相關(guān)法律法規(guī)關(guān)于數(shù)據(jù)跨境傳輸?shù)囊?guī)定。9.3在進(jìn)行跨境傳輸前，已獲得數(shù)據(jù)主體的明確同意（如適用）。第十條責(zé)任與義務(wù)10.1數(shù)據(jù)控制者：是健康數(shù)據(jù)處理活動的責(zé)任人，負(fù)責(zé)決定處理目的、方式等，并確保處理活動符合法律法規(guī)要求。應(yīng)指定數(shù)據(jù)保護(hù)官（如有必要），建立內(nèi)部管理制度，定期進(jìn)行合規(guī)審計(jì)，并對數(shù)據(jù)泄露承擔(dān)首要責(zé)任。10.2數(shù)據(jù)處理者：按照數(shù)據(jù)控制者的指示處理健康數(shù)據(jù)，不得超出指示范圍。應(yīng)采取不低于協(xié)議約定的安全措施，履行保密義務(wù)，協(xié)助數(shù)據(jù)控制者履行監(jiān)管機(jī)構(gòu)的義務(wù)，對因違反指示或自身過錯導(dǎo)致的數(shù)據(jù)損害承擔(dān)責(zé)任。10.3雙方均有義務(wù)對因違反本協(xié)議而導(dǎo)致的任何索賠、損失、費(fèi)用（包括但不限于律師費(fèi)、訴訟費(fèi)、罰款等）承擔(dān)相互追償權(quán)。第十一條監(jiān)督與合規(guī)11.1數(shù)據(jù)控制者應(yīng)設(shè)立數(shù)據(jù)保護(hù)官或指定相應(yīng)團(tuán)隊(duì)，負(fù)責(zé)監(jiān)督健康數(shù)據(jù)處理的合規(guī)性，并接受監(jiān)管機(jī)構(gòu)的監(jiān)督檢查。11.2數(shù)據(jù)控制者及數(shù)據(jù)處理者應(yīng)定期對其健康數(shù)據(jù)處理活動進(jìn)行合規(guī)性評估，并根據(jù)法律法規(guī)變化和業(yè)務(wù)發(fā)展情況及時更新數(shù)據(jù)處理措施和協(xié)議內(nèi)容。第十二條協(xié)議的變更、終止與續(xù)訂12.1對本協(xié)議的任何修改或補(bǔ)充，均需經(jīng)雙方協(xié)商一致并簽署書面文件方可生效。12.2本協(xié)議在下列情況下終止：a.雙方約定的協(xié)議期限屆滿，且未續(xù)訂；b.雙方協(xié)商一致同意終止；c.因不可抗力導(dǎo)致協(xié)議目的無法實(shí)現(xiàn)；d.一方嚴(yán)重違反本協(xié)議，經(jīng)另一方書面催告后仍未在合理期限內(nèi)糾正。12.3協(xié)議終止時，雙方應(yīng)按照法律法規(guī)規(guī)定和協(xié)議約定，對健康數(shù)據(jù)進(jìn)行安全處理（如刪除或返還），并確認(rèn)已履行各自義務(wù)。終止后的數(shù)據(jù)保留義務(wù)及數(shù)據(jù)主體權(quán)利行使等事宜，應(yīng)繼續(xù)有效。第十三條法律適用與爭議解決13.1本協(xié)議的訂立、效力、解釋、履行及爭議解決均適用中華人民共和國法律。13.2因本協(xié)議引起的或與本協(xié)議有關(guān)的任何爭議，雙方應(yīng)首先通過友好協(xié)商解決。協(xié)商不成的，任何一方均有權(quán)向數(shù)據(jù)控制者所在地有管轄權(quán)的人民法院提起訴訟。第十四條保密義務(wù)雙方應(yīng)對在本協(xié)議簽訂及履行過程中知悉的對方的商業(yè)秘密、技術(shù)信息以及數(shù)據(jù)主體的健康數(shù)據(jù)等信息承擔(dān)保密義務(wù)，未經(jīng)對方書面同意，不得向任何第三方泄露。此保密義務(wù)不因本協(xié)議的終止而解除。第十五條不轉(zhuǎn)讓未經(jīng)對方事先書面同意，任何一方不得將其在本協(xié)議項(xiàng)下的權(quán)利或義務(wù)部分或全部轉(zhuǎn)讓給任何第三方。第十六條完整協(xié)議本協(xié)議構(gòu)成雙方就健康數(shù)據(jù)隱私保護(hù)達(dá)成的完整協(xié)議，取代此前所有口頭或書面的溝通、陳述、協(xié)議或諒解。任何對本協(xié)議的補(bǔ)充或修改均需以書面形式作出并經(jīng)雙方簽字蓋章。第十七條通知雙方就本協(xié)議項(xiàng)下的任何事項(xiàng)進(jìn)行的任何通知或通訊，均應(yīng)采用書面形式，并通過協(xié)議載明的地址、傳真、電子郵件等送達(dá)。以電子郵件方式發(fā)送的，發(fā)出時視為送達(dá)；以快遞或掛號信方式發(fā)送的，寄出后三（3）日視為送達(dá)。第十八條可分割性如果本協(xié)議任何條款被有管轄權(quán)的法院或仲裁機(jī)構(gòu)認(rèn)定無效、非法或不可執(zhí)行，該條款應(yīng)被視為從本協(xié)議中刪除，但本協(xié)議的其他條款應(yīng)繼