健康管理信息安全協(xié)議健康管理信息安全協(xié)議甲方（信息提供方/委托方）：統(tǒng)一社會信用代碼：__________地址：____________________聯(lián)系人：__________聯(lián)系電話：__________乙方（信息處理方/服務(wù)提供方）：統(tǒng)一社會信用代碼：__________地址：____________________聯(lián)系人：__________聯(lián)系電話：__________鑒于1.甲方委托乙方提供健康管理服務(wù)（含健康評估、隨訪、咨詢等，具體見《健康管理服務(wù)協(xié)議》），需向乙方提供相關(guān)健康管理信息；2.健康管理信息包含個人敏感信息（如健康狀況、醫(yī)療記錄、生物識別特征等），受《中華人民共和國個人信息保護(hù)法》《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》等法律法規(guī)嚴(yán)格保護(hù)；3.雙方為明確信息安全權(quán)責(zé)、保障信息主體合法權(quán)益，經(jīng)平等協(xié)商達(dá)成本協(xié)議。第一條術(shù)語定義1.健康管理信息：指甲方為實(shí)現(xiàn)健康管理服務(wù)目的，向乙方提供的與個人健康相關(guān)的所有信息，包括但不限于：-個人身份信息（姓名、身份證號、聯(lián)系方式、生物識別信息）；-健康核心信息（體檢報(bào)告、既往病史、用藥記錄、生活習(xí)慣、運(yùn)動數(shù)據(jù)）；-服務(wù)過程信息（咨詢記錄、隨訪日志、干預(yù)方案）。2.敏感個人信息：指一旦泄露或非法使用，可能導(dǎo)致個人名譽(yù)受損、健康權(quán)益受損或財(cái)產(chǎn)損失的信息，含本協(xié)議第一條第1款中所有健康核心信息及生物識別信息。3.信息處理：包括收集、存儲、使用、加工、傳輸、提供、公開、刪除等行為。第二條信息安全基本原則雙方應(yīng)嚴(yán)格遵守：1.合法正當(dāng)必要：僅為實(shí)現(xiàn)健康管理服務(wù)目的處理信息，不超范圍、超期限；2.最小必要：僅收集、使用與服務(wù)直接相關(guān)的信息，不收集無關(guān)信息；3.安全保障：采取與風(fēng)險(xiǎn)相匹配的技術(shù)和管理措施，防止信息泄露、篡改、丟失；4.透明告知：甲方需提前向信息主體（個人用戶）告知信息處理規(guī)則，乙方需向甲方確認(rèn)信息主體已明確同意。第三條信息處理范圍與限制1.處理目的：僅用于向甲方及信息主體提供約定的健康管理服務(wù)，不得用于廣告營銷、商業(yè)推廣等其他目的（甲方書面授權(quán)除外）；2.處理范圍：以《健康管理服務(wù)協(xié)議》約定的服務(wù)內(nèi)容為限，不得擅自擴(kuò)大；3.處理方式：僅通過雙方約定的系統(tǒng)（如甲方授權(quán)的健康管理平臺）傳輸、存儲，不得通過非加密渠道（如普通郵件、即時(shí)通訊工具）傳輸敏感信息。第四條乙方信息安全義務(wù)（核心條款）（一）技術(shù)安全措施1.加密防護(hù)：-敏感信息傳輸采用TLS1.2及以上加密協(xié)議，存儲采用AES-256加密算法；-生物識別信息需去標(biāo)識化處理，不得存儲原始模板。2.訪問控制：-實(shí)行“最小權(quán)限原則”，僅授權(quán)乙方直接參與健康管理服務(wù)的員工訪問，不同崗位權(quán)限不得交叉；-所有信息訪問需記錄操作日志（含訪問時(shí)間、操作內(nèi)容、IP地址），日志留存不少于1年。3.數(shù)據(jù)防護(hù)：-定期（每季度）開展漏洞掃描、滲透測試，及時(shí)修復(fù)安全隱患；-建立異地備份機(jī)制，備份數(shù)據(jù)加密存儲，備份頻率不低于每日1次，備份介質(zhì)異地存放（與生產(chǎn)環(huán)境物理隔離）。（二）管理安全措施1.制度與培訓(xùn)：-制定《健康管理信息安全管理制度》《員工信息安全操作規(guī)范》，明確崗位安全職責(zé)；-對員工開展入職安全培訓(xùn)（含法律法規(guī)、操作流程）及年度復(fù)訓(xùn)，考核合格方可上崗，培訓(xùn)記錄留存不少于2年。2.第三方管控：-如需委托第三方處理信息（如數(shù)據(jù)存儲、分析），需經(jīng)甲方書面同意，并與第三方簽訂《信息安全保密協(xié)議》，明確第三方安全責(zé)任，乙方承擔(dān)連帶責(zé)任；-不得向任何未授權(quán)第三方提供信息（法律法規(guī)強(qiáng)制要求除外，需在24小時(shí)內(nèi)書面通知甲方）。3.應(yīng)急響應(yīng)：-制定《信息安全事件應(yīng)急預(yù)案》，明確泄露、篡改、丟失等事件的處置流程；-發(fā)生安全事件后，立即啟動預(yù)案，24小時(shí)內(nèi)書面通知甲方及信息主體（符合《個人信息保護(hù)法》第五十七條要求），配合監(jiān)管部門調(diào)查，采取補(bǔ)救措施（如停止服務(wù)、刪除非法數(shù)據(jù)）。（三）信息存儲與刪除1.存儲期限：信息存儲期限與服務(wù)協(xié)議有效期一致，服務(wù)終止后15個工作日內(nèi)完成刪除；2.刪除方式：敏感信息需徹底刪除（物理銷毀存儲介質(zhì)或邏輯刪除至無法恢復(fù)），刪除記錄需經(jīng)甲方確認(rèn)。第五條甲方信息安全義務(wù)1.確保向乙方提供的信息真實(shí)、準(zhǔn)確，并已取得信息主體的單獨(dú)書面同意（敏感信息需明確告知處理目的、范圍、期限）；2.配合乙方落實(shí)安全措施（如提供授權(quán)、更新信息主體同意文件）；3.如信息主體提出查詢、更正、刪除信息的請求，甲方需及時(shí)通知乙方，乙方應(yīng)在10個工作日內(nèi)配合處理。第六條違約責(zé)任1.乙方違反本協(xié)議義務(wù)，導(dǎo)致信息泄露、篡改、丟失的：-甲方有權(quán)要求乙方立即整改，逾期未整改的，甲方可解除服務(wù)協(xié)議；-乙方需賠償甲方及信息主體的全部損失（含直接損失、間接損失、行政罰款、聲譽(yù)損失等）；-若違反法律法規(guī)，乙方承擔(dān)全部法律責(zé)任（含行政處罰、刑事責(zé)任）。2.甲方提供虛假信息或未取得信息主體同意，導(dǎo)致乙方損失的，甲方需賠償乙方全部損失。第七條爭議解決因本協(xié)議產(chǎn)生的爭議，雙方協(xié)商解決；協(xié)商不成的，提交甲方所在地有管轄權(quán)的人民法院訴訟解決。第八條協(xié)議效力1.本協(xié)議為《健康管理服務(wù)協(xié)議》的附件，與主協(xié)議具有同等法律效力；2.本協(xié)議自雙方簽字蓋章之日起生效，有效期與主協(xié)議一致，服務(wù)終止后信息安全義務(wù)持