2025年5G醫(yī)療信息安全合同協(xié)議甲方（服務(wù)提供方/數(shù)據(jù)處理方）：[填寫甲方全稱]法定代表人：[填寫]注冊地址：[填寫]統(tǒng)一社會信用代碼：[填寫]乙方（服務(wù)接受方/數(shù)據(jù)控制方）：[填寫乙方全稱]法定代表人：[填寫]注冊地址：[填寫]統(tǒng)一社會信用代碼：[填寫]鑒于：1.甲方擁有或控制與5G醫(yī)療信息技術(shù)相關(guān)的設(shè)施、設(shè)備、軟件及服務(wù)能力；2.乙方需要利用甲方提供的5G醫(yī)療信息相關(guān)服務(wù)，以實現(xiàn)[填寫具體醫(yī)療應(yīng)用場景，例如：遠程診斷、移動醫(yī)療監(jiān)護等]；3.雙方經(jīng)友好協(xié)商，就利用5G技術(shù)進行醫(yī)療信息處理及相關(guān)安全保障事宜，達成以下協(xié)議，以資共同遵守。第一條定義1.1醫(yī)療信息：指在醫(yī)療健康服務(wù)活動中產(chǎn)生、獲取、處理或使用的，能夠識別或可識別特定自然人的健康生理信息、診斷信息、醫(yī)療保健信息等數(shù)據(jù)。1.2個人健康信息：指直接識別個人身份或者推斷出個人身份的醫(yī)療信息。1.3敏感個人信息：指一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴受到侵害或者人身、財產(chǎn)安全受到危害的個人信息，具體包括醫(yī)療健康信息、個人生物識別信息、特定身份信息等。1.4數(shù)據(jù)處理：指對醫(yī)療信息進行收集、存儲、使用、加工、傳輸、提供、公開、刪除等操作。1.5數(shù)據(jù)控制者：指確定醫(yī)療信息的處理目的、處理方式，并決定對醫(yī)療信息進行處理的組織或個人。1.6數(shù)據(jù)處理者：指為數(shù)據(jù)控制者處理醫(yī)療信息，并按照數(shù)據(jù)控制者的要求進行處理的組織或個人。1.75G網(wǎng)絡(luò)：指基于第五代移動通信技術(shù)標準（5G）構(gòu)建的通信網(wǎng)絡(luò)，包括但不限于核心網(wǎng)、傳輸網(wǎng)、接入網(wǎng)及相關(guān)基礎(chǔ)設(shè)施。1.8安全措施：指為保障醫(yī)療信息安全所采取的技術(shù)和管理措施，包括但不限于加密、訪問控制、安全審計、入侵檢測、數(shù)據(jù)備份、應(yīng)急預(yù)案等。第二條合作范圍與內(nèi)容2.1本協(xié)議合作范圍包括但不限于[詳細列出服務(wù)內(nèi)容，例如：基于5G網(wǎng)絡(luò)的遠程患者監(jiān)護數(shù)據(jù)傳輸服務(wù)、5G支持下的遠程手術(shù)引導(dǎo)信息交互服務(wù)、使用5G技術(shù)進行醫(yī)療影像的快速安全傳輸?shù)萞。2.2乙方是本協(xié)議項下醫(yī)療信息的控制者，甲方作為數(shù)據(jù)處理者，根據(jù)乙方的指示和本協(xié)議約定，在5G網(wǎng)絡(luò)環(huán)境下處理乙方提供的醫(yī)療信息。2.3甲方承諾按照乙方的指示，利用其5G醫(yī)療信息處理能力，為乙方提供安全、穩(wěn)定、高效的服務(wù)。第三條數(shù)據(jù)安全責任與義務(wù)3.1甲方的安全責任與義務(wù)：3.1.1甲方應(yīng)建立并維護符合國家法律法規(guī)及行業(yè)標準的醫(yī)療信息安全管理體系，確保其5G網(wǎng)絡(luò)及數(shù)據(jù)處理系統(tǒng)具備相應(yīng)的安全防護能力。3.1.2在數(shù)據(jù)收集環(huán)節(jié)，甲方應(yīng)采取必要措施，確保收集的醫(yī)療信息來源合法，并遵循最小必要原則。3.1.3在數(shù)據(jù)傳輸環(huán)節(jié)，甲方必須采用強加密技術(shù)（例如：TLS1.2以上版本加密協(xié)議，或雙方約定的其他同等強度的加密方式）對傳輸中的醫(yī)療信息進行保護，防止數(shù)據(jù)在傳輸過程中被竊聽或篡改。利用5G網(wǎng)絡(luò)特性，應(yīng)確保端到端或符合約定安全要求的安全傳輸。3.1.4在數(shù)據(jù)存儲環(huán)節(jié)，甲方應(yīng)對存儲在自身系統(tǒng)中的醫(yī)療信息進行加密存儲，并根據(jù)數(shù)據(jù)敏感程度實施分類分級存儲策略。應(yīng)建立訪問控制機制，確保只有授權(quán)人員能在授權(quán)范圍內(nèi)訪問數(shù)據(jù)。3.1.5甲方應(yīng)部署必要的安全防護措施，包括但不限于防火墻、入侵檢測/防御系統(tǒng)、安全審計系統(tǒng)等，防范網(wǎng)絡(luò)攻擊、病毒入侵等安全風險。3.1.6甲方應(yīng)采取措施保障5G網(wǎng)絡(luò)切片的安全隔離，確保不同用戶或應(yīng)用的數(shù)據(jù)傳輸路徑和資源隔離，防止交叉污染。3.1.7甲方應(yīng)建立并完善醫(yī)療信息安全事件應(yīng)急預(yù)案，明確事件報告、處置流程和響應(yīng)時間要求。發(fā)生安全事件時，應(yīng)立即啟動應(yīng)急預(yù)案，采取補救措施，并按照法律法規(guī)及本協(xié)議約定及時通知乙方。3.1.8甲方應(yīng)對其員工進行安全意識培訓(xùn)和考核，確保員工了解并遵守相關(guān)的安全制度和操作規(guī)程。任何因甲方員工原因?qū)е碌陌踩珕栴}，甲方應(yīng)承擔相應(yīng)責任。3.1.9若因甲方的原因?qū)е箩t(yī)療信息泄露、丟失、被篡改或非法使用，給乙方或患者造成損失的，甲方應(yīng)承擔賠償責任，賠償責任上限不超過因該違約行為直接造成的損失，且甲方在特定情形下（如故意或重大過失）可能被要求承擔更高比例的賠償責任。3.1.10甲方同意接受乙方的合理安全審計，并配合提供必要的審計材料。審計發(fā)現(xiàn)的問題，甲方應(yīng)在乙方提出的合理期限內(nèi)完成整改。3.2乙方的安全責任與義務(wù)：3.2.1乙方負責確定醫(yī)療信息的處理目的和方式，并對處理活動的合規(guī)性負責。3.2.2乙方應(yīng)根據(jù)需要向甲方提供處理醫(yī)療信息所必需的明確指示，并確保其提供的指示合法、合規(guī)。3.2.3乙方應(yīng)對其控制的醫(yī)療信息進行分類分級管理，并采取相應(yīng)的安全保護措施。3.2.4乙方應(yīng)建立內(nèi)部管理制度，規(guī)范醫(yī)療信息的訪問、使用和共享，確保僅授權(quán)人員能夠訪問和處理數(shù)據(jù)。3.2.5乙方應(yīng)對其員工、代理人或合作伙伴處理其提供的醫(yī)療信息的行為進行管理和監(jiān)督，確保其遵守本協(xié)議及適用的法律法規(guī)。3.2.6乙方在發(fā)生或預(yù)見到可能影響醫(yī)療信息安全的重大安全事件時，應(yīng)立即通知甲方，并積極配合甲方的應(yīng)急處置工作。3.2.7乙方應(yīng)對其控制的醫(yī)療信息的安全負責，若因乙方自身原因?qū)е掳踩珕栴}的，乙方應(yīng)自行承擔責任。第四條數(shù)據(jù)共享與使用限制4.1未經(jīng)乙方書面同意，甲方不得將乙方提供的醫(yī)療信息用于本協(xié)議約定范圍之外的目的。4.2甲方在處理醫(yī)療信息時，不得超出乙方授權(quán)的范圍，不得向任何第三方提供或披露醫(yī)療信息，但以下情況除外：4.2.1事先獲得乙方的書面同意；4.2.2依據(jù)法律法規(guī)或有權(quán)機關(guān)的要求；4.2.3為履行本協(xié)議約定而有必要，且甲方已采取嚴格的安全措施保護數(shù)據(jù)；4.2.4與乙方共同合作開發(fā)的第三方平臺或服務(wù)提供者，前提是該第三方同意承擔與甲方同等的安全責任，并受到乙方的書面約束。4.3甲方應(yīng)對任何接受其提供的醫(yī)療信息的第三方（如應(yīng)用開發(fā)方、系統(tǒng)集成商等）提出明確的安全要求，并確保該第三方遵守不低于本協(xié)議約定的安全標準。第五條數(shù)據(jù)生命周期管理5.1甲方應(yīng)根據(jù)乙方的指示或法律法規(guī)要求，安全地存儲醫(yī)療信息。5.2醫(yī)療信息的使用和存儲期限應(yīng)遵循相關(guān)法律法規(guī)的規(guī)定以及乙方的指示。存儲期限屆滿或不再需要時，甲方應(yīng)按照乙方的指示，在確保數(shù)據(jù)無法恢復(fù)的前提下，安全地刪除或銷毀醫(yī)療信息，并應(yīng)向乙方提供銷毀證明。第六條合規(guī)性6.1雙方均應(yīng)遵守中華人民共和國關(guān)于網(wǎng)絡(luò)安全、數(shù)據(jù)安全、個人信息保護以及醫(yī)療健康信息化的相關(guān)法律法規(guī)和標準（包括但不限于《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個人信息保護法》、國家衛(wèi)健委發(fā)布的醫(yī)療健康信息化相關(guān)標準等）。6.2雙方應(yīng)相互配合，確保本協(xié)議項下的數(shù)據(jù)處理活動符合上述法律法規(guī)和標準的要求。任何一方違反合規(guī)性要求，應(yīng)承擔相應(yīng)責任。第七條保密義務(wù)7.1甲乙雙方應(yīng)對在合作過程中獲知的對方的商業(yè)秘密、技術(shù)秘密以及通過處理醫(yī)療信息而了解到的患者個人信息、敏感個人信息等承擔保密義務(wù)。7.2保密義務(wù)不因本協(xié)議的終止而解除，保密期限為本協(xié)議終止后[例如：三]年。7.3任何一方不得為任何目的（除非法律規(guī)定或本協(xié)議約定）向任何第三方披露該等保密信息，但可向有合法權(quán)利知悉該等信息的雇員、代理人、顧問披露，并確保該等人員承擔不低于本協(xié)議約定的保密義務(wù)。7.4以下情況不屬于泄露保密信息：①該信息在披露前已為公眾所知；②該信息非因違反本協(xié)議而由掌握該信息的不負有保密義務(wù)的第三方合法獲得；③該信息已為披露方合法擁有。第八條知識產(chǎn)權(quán)8.1雙方各自擁有的知識產(chǎn)權(quán)仍歸各自所有。8.2在本協(xié)議履行過程中，雙方合作開發(fā)的軟硬件產(chǎn)品、技術(shù)方案等的知識產(chǎn)權(quán)歸屬，由雙方另行簽訂補充協(xié)議約定；如無約定，則根據(jù)貢獻大小及法律規(guī)定確定。第九條合同期限、變更與終止9.1本協(xié)議有效期為[例如：壹]年，自雙方授權(quán)代表簽字蓋章之日起生效。期滿前[例如：叁]個月，如雙方無書面異議，本協(xié)議自動續(xù)展[例如：壹]年，續(xù)展次數(shù)不限/最多續(xù)展[例如：叁]次。9.2任何一方可在本協(xié)議有效期內(nèi)，提前[例如：三十]日書面通知對方終止本協(xié)議。提前終止的，雙方應(yīng)結(jié)清所有款項，并按照本協(xié)議約定處理醫(yī)療信息及未盡事宜。9.3出現(xiàn)以下情況，守約方有權(quán)書面通知違約方立即終止本協(xié)議：①違約方嚴重違反本協(xié)議約定，且在收到守約方書面通知后[例如：十五]日內(nèi)未能糾正；②違約方進入破產(chǎn)、清算或解散程序。9.4本協(xié)議終止或解除時，乙方應(yīng)立即停止使用甲方提供的服務(wù)，并根據(jù)本協(xié)議約定返還或銷毀所有存儲在甲方處的醫(yī)療信息，并出具書面證明。甲方在收到乙方返還或銷毀證明后，相關(guān)權(quán)利義務(wù)終止。第十條責任與賠償10.1除本協(xié)議另有約定外，任何一方因違反本協(xié)議約定而給對方造成損失的，應(yīng)承擔賠償責任。10.2若甲方違反本協(xié)議關(guān)于數(shù)據(jù)安全的約定，導(dǎo)致醫(yī)療信息泄露、丟失、被篡改或非法使用，應(yīng)根據(jù)泄露、丟失、被篡改或非法使用的具體情形、影響范圍及造成的損失，承擔相應(yīng)的賠償責任。10.3乙方的賠償責任，以乙方因甲方違約行為直接遭受的損失為限。第十一條通知與送達11.1本協(xié)議項下的所有通知、請求、文件等均應(yīng)以書面形式（包括但不限于專人遞送、掛號信、傳真、電子郵件）發(fā)送至本協(xié)議首頁載明的地址或郵箱。11.2任何一方變更聯(lián)系方式，應(yīng)提前[例如：七]日書面通知對方。否則，向原地址或郵箱發(fā)送的通知視為有效送達。第十二條爭議解決12.1因本協(xié)議引起的或與本協(xié)議有關(guān)的任何爭議，雙方應(yīng)首先通過友好協(xié)商解決。12.2協(xié)商不成的，任何一方均有權(quán)向[選擇仲裁或訴訟，例如：甲方所在地有管轄權(quán)的人民法院]提起訴訟。第十三條法律適用13.1本協(xié)議的訂立、效力、解釋、履行及爭議解決均適用中華人民共和國法律。第十四條其他14.1本協(xié)議構(gòu)