2025年醫(yī)美客戶隱私合同協(xié)議合同編號：[由機(jī)構(gòu)填寫]甲方（醫(yī)美機(jī)構(gòu)）：[機(jī)構(gòu)法定全稱]法定代表人/負(fù)責(zé)人：[姓名]統(tǒng)一社會信用代碼：[代碼]注冊地址：[地址]聯(lián)系電話：[電話]電子郵箱：[郵箱]乙方（患者）：姓名：[患者姓名]身份證號碼/護(hù)照號碼：[號碼]聯(lián)系地址：[地址]聯(lián)系電話：[電話]電子郵箱：[郵箱]（若乙方由授權(quán)代簽人簽署，則需注明：本協(xié)議由乙方授權(quán)代簽人[姓名]代為簽署，代簽人身份證號碼[號碼]，代簽依據(jù)乙方出具的授權(quán)委托書[編號或日期]。）鑒于甲方為提供醫(yī)美服務(wù)而需要收集、使用和傳輸乙方的個人信息，依據(jù)《中華人民共和國個人信息保護(hù)法》及2025年生效的其他相關(guān)法律法規(guī)，甲乙雙方在平等、自愿、公平和誠實信用的基礎(chǔ)上，經(jīng)友好協(xié)商，就乙方接受甲方提供的醫(yī)美服務(wù)過程中涉及的個人隱私信息處理事宜，達(dá)成如下協(xié)議，以資共同遵守。第一條定義在本協(xié)議中，除非上下文另有明確說明，下列詞語具有以下含義：（一）隱私信息是指以電子或者其他方式記錄的與乙個人有關(guān)，能夠單獨或者與其他信息結(jié)合識別特定個人的各種信息，包括但不限于：1.個人身份信息，如姓名、身份證號碼、護(hù)照號碼、手機(jī)號碼、電子郵箱地址、住址、肖像（含照片）、指紋、虹膜等生物識別信息；2.個人健康信息，如既往病史、過敏史、遺傳信息、生理指標(biāo)、診斷結(jié)果、治療方案、用藥記錄等；3.個人財務(wù)信息，如支付方式、賬戶信息等；4.與乙方就診、治療、護(hù)理相關(guān)的其他信息，如咨詢記錄、預(yù)約信息、溝通內(nèi)容、參與的臨床試驗信息等。（二）敏感個人信息是指一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財產(chǎn)安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。本協(xié)議所稱隱私信息包含敏感個人信息。（三）處理是指對個人信息進(jìn)行收集、存儲、使用、加工、傳輸、提供、公開、刪除等操作。（四）收集是指通過訪談、問卷、監(jiān)測、購買、接收、自動采集等方式獲取個人信息。（五）存儲是指保存?zhèn)€人信息。（六）使用是指為特定目的采取查閱、復(fù)制、分析、加工等操作個人信息。（七）傳輸是指將個人信息轉(zhuǎn)移至境內(nèi)或境外。（八）公開是指向不確定的第三方提供個人信息。（九）個人信息處理者是指在個人信息處理活動中自主決定處理目的、處理方式的組織或者個人。本協(xié)議中，甲方作為乙方接受醫(yī)美服務(wù)的服務(wù)機(jī)構(gòu)，是乙方的個人信息處理者。第二條個人信息的收集與存儲（一）甲方將在提供服務(wù)前或服務(wù)過程中，根據(jù)提供服務(wù)所必需的最少范圍原則收集乙方的隱私信息。甲方將通過以下方式收集乙方信息：1.乙方主動提供，包括但不限于填寫登記表格、健康問卷、在線注冊、與工作人員溝通告知等；2.甲方在提供服務(wù)過程中為診療需要而獲??；3.乙方授權(quán)甲方從第三方渠道獲?。ㄈ绾献麽t(yī)療機(jī)構(gòu)、互聯(lián)網(wǎng)平臺等，獲取前需獲得乙方明確同意）。（二）甲方僅因履行本協(xié)議約定、提供和完成約定的醫(yī)美服務(wù)、保障乙方安全、履行法定義務(wù)等必要目的，才處理乙方的隱私信息。甲方處理信息的目的包括但不限于：1.預(yù)約、安排和提供醫(yī)美服務(wù)；2.進(jìn)行醫(yī)學(xué)評估、診斷和制定治療方案；3.實施醫(yī)療服務(wù)過程中的必要操作和護(hù)理；4.存儲和保管醫(yī)療記錄以供查閱、追溯和責(zé)任認(rèn)定；5.進(jìn)行患者管理、隨訪和滿意度調(diào)查；6.處理支付事務(wù)；7.依據(jù)法律法規(guī)或監(jiān)管要求進(jìn)行報告；8.獲得乙方明確同意的其他合法目的。（三）甲方將采取符合國家有關(guān)法律法規(guī)和標(biāo)準(zhǔn)的技術(shù)和管理措施，保障乙方隱私信息的安全，包括但不限于：1.采用加密技術(shù)保護(hù)傳輸和存儲中的個人信息；2.設(shè)置訪問權(quán)限，確保只有授權(quán)人員才能訪問個人信息；3.定期進(jìn)行安全風(fēng)險評估和漏洞修復(fù)；4.對工作人員進(jìn)行個人信息保護(hù)培訓(xùn)和管理；5.建立數(shù)據(jù)備份和恢復(fù)機(jī)制；6.采取嚴(yán)格的物理安全措施保護(hù)紙質(zhì)文檔。（四）甲方將僅在為履行本協(xié)議約定所必需的合理期限內(nèi)存儲乙方的隱私信息，或根據(jù)法律法規(guī)規(guī)定、合同約定以及乙方的授權(quán)更長時間存儲。對于已過服務(wù)期限但需為履行醫(yī)療責(zé)任（如醫(yī)療事故處理、醫(yī)保結(jié)算追溯等）而保留的信息，甲方將采取去標(biāo)識化或匿名化處理，并嚴(yán)格遵守相關(guān)法律法規(guī)關(guān)于信息保留期限的規(guī)定。第三條個人信息的處理方式與原則（一）甲方處理乙方的隱私信息將遵循合法、正當(dāng)、必要、誠信原則，遵循目的明確、最小化收集、知情同意、公開透明、確保安全、質(zhì)量保證、責(zé)任明確的原則。（二）甲方處理敏感個人信息，除法律法規(guī)另有規(guī)定外，必須取得乙方的單獨同意。（三）甲方在處理個人信息前，將以清晰、易懂的方式向乙方告知本協(xié)議約定的信息處理規(guī)則，包括處理目的、處理方式、信息種類、存儲期限、乙方權(quán)利行使方式、投訴渠道、法律責(zé)任等。（四）甲方將按照本協(xié)議約定以及法律法規(guī)要求，在實現(xiàn)處理目的所必需的范圍內(nèi)處理乙方信息，不得過度處理。（五）甲方在處理個人信息時，應(yīng)確保個人信息處理活動符合法律法規(guī)的規(guī)定，并履行告知、同意等法定義務(wù)。第四條甲方的權(quán)利與義務(wù)（一）甲方的權(quán)利：1.有權(quán)要求乙方提供準(zhǔn)確、完整的個人信息，以便完成服務(wù)。2.有權(quán)根據(jù)法律法規(guī)和本協(xié)議約定，以及為履行合同所必需，處理乙方的隱私信息。3.有權(quán)拒絕處理不符合法律法規(guī)或本協(xié)議約定的請求。4.有權(quán)在法律法規(guī)允許的范圍內(nèi)，將乙方的非敏感個人信息用于機(jī)構(gòu)內(nèi)部管理、服務(wù)改進(jìn)、市場推廣等，但應(yīng)另行獲得乙方同意。5.有權(quán)在發(fā)生安全事件時，根據(jù)法律法規(guī)和協(xié)議約定采取補(bǔ)救措施，并通知相關(guān)方。（二）甲方的義務(wù)：1.嚴(yán)格遵守《中華人民共和國個人信息保護(hù)法》及2025年生效的其他相關(guān)法律法規(guī)、行業(yè)規(guī)范和標(biāo)準(zhǔn)，合法合規(guī)處理乙方隱私信息。2.明確內(nèi)部處理個人信息的人員及其權(quán)限，并對其進(jìn)行持續(xù)的個人信息保護(hù)培訓(xùn)。3.建立健全個人信息保護(hù)管理制度，包括數(shù)據(jù)分類分級、數(shù)據(jù)全生命周期管理、安全事件應(yīng)急預(yù)案等。4.采取必要措施，確保個人信息處理活動安全，防止未經(jīng)授權(quán)的訪問、泄露、篡改、丟失。5.保障乙方的個人信息權(quán)益，按照法律法規(guī)和本協(xié)議約定，保障乙方的知情權(quán)、訪問權(quán)、更正權(quán)、刪除權(quán)、限制處理權(quán)、撤回同意權(quán)、可攜帶權(quán)、拒絕自動化決策權(quán)等權(quán)利。6.在法律法規(guī)要求或本協(xié)議約定的情況下，及時通知乙方發(fā)生或可能發(fā)生的信息安全事件。7.建立暢通的溝通渠道，接受乙方的咨詢、建議和投訴，并按照約定予以處理。8.履行法律、行政法規(guī)規(guī)定的其他個人信息保護(hù)義務(wù)。第五條乙方的權(quán)利與義務(wù)（一）乙方的權(quán)利：1.知情權(quán)：有權(quán)獲取甲方處理其個人信息的規(guī)則，以及關(guān)于其信息被如何處理的清晰說明。2.決定權(quán)：對于甲方處理其個人信息的請求，乙方有權(quán)自主決定同意或拒絕（但拒絕可能影響乙方獲得某些服務(wù)）。3.訪問權(quán)：有權(quán)訪問甲方處理其個人信息的記錄，并要求甲方提供其個人信息的副本。4.更正權(quán)：有權(quán)要求甲方更正其提供的不準(zhǔn)確個人信息。5.刪除權(quán)（被遺忘權(quán)）：在滿足特定條件（如服務(wù)完成后、信息不再需要、撤回同意且無其他處理依據(jù)等）下，有權(quán)要求甲方刪除其個人信息。6.限制處理權(quán)：在特定情形下（如甲方處理信息依據(jù)法定義務(wù)、處理目的已實現(xiàn)、處理行為違法等），有權(quán)要求甲方限制對其個人信息的處理。7.可攜帶權(quán)：有權(quán)以結(jié)構(gòu)化、通用的格式獲取其個人信息，并要求甲方將其轉(zhuǎn)移給其他提供者。8.撤回同意權(quán)：對于基于同意處理的個人信息，乙方有權(quán)撤回其同意。撤回同意不影響撤回前基于同意已進(jìn)行的處理，且甲方應(yīng)在合理范圍內(nèi)保障已處理信息的存儲安全，直至達(dá)到處理目的或法律規(guī)定的保存期限。9.拒絕自動化決策權(quán)：有權(quán)拒絕甲方僅通過自動化決策方式作出的對其具有重大影響的行為。10.投訴權(quán)：如認(rèn)為甲方的個人信息處理行為侵害其合法權(quán)益，有權(quán)向甲方投訴，或向有關(guān)部門、機(jī)構(gòu)舉報。11.安全保障權(quán)：有權(quán)要求甲方保障其個人信息的安全。（二）乙方的義務(wù)：1.如實、準(zhǔn)確、完整地向甲方提供其個人信息，并對信息的真實性負(fù)責(zé)。如信息不實，應(yīng)及時更正。2.理解并同意本協(xié)議約定的信息處理目的、方式和相關(guān)條款。3.配合甲方完成必要的健康告知、檢查和風(fēng)險評估。4.妥善保管涉及個人身份信息和財務(wù)信息的資料，并對因保管不善導(dǎo)致的信息泄露承擔(dān)責(zé)任。5.如需授權(quán)他人代為接受服務(wù)或行使權(quán)利，應(yīng)向甲方提供合法有效的授權(quán)文件。6.遵守甲方制定的相關(guān)就診、服務(wù)規(guī)定，配合甲方的合理管理。第六條個人信息的共享與披露（一）甲方在獲得乙方明確、單獨的書面同意后，方可將乙方的部分隱私信息共享或披露給第三方，包括但不限于：1.為完成乙方委托的特定醫(yī)美服務(wù)而合作的醫(yī)療機(jī)構(gòu)、醫(yī)生、檢驗機(jī)構(gòu)、設(shè)備供應(yīng)商、藥品供應(yīng)商等；2.支付服務(wù)提供商（如銀行、第三方支付平臺）；3.保險公司（如乙方要求理賠）；4.法律法規(guī)規(guī)定的其他義務(wù)履行對象；5.為提供營銷、客戶服務(wù)、市場調(diào)研等目的，經(jīng)乙方同意而合作的第三方（如醫(yī)療機(jī)構(gòu)管理公司、市場調(diào)研公司等）。（二）甲方僅向上述第三方提供乙方明確同意共享或披露的信息，且僅限于履行乙方委托的特定任務(wù)或達(dá)到約定的共享目的，并要求該第三方對所獲信息承擔(dān)保密義務(wù)，采取不低于甲方標(biāo)準(zhǔn)的安全保護(hù)措施，不得超出約定范圍使用。（三）除前款所述情況及法律法規(guī)另有規(guī)定外，未經(jīng)乙方同意，甲方不得將其隱私信息向任何其他第三方共享、提供或披露，包括甲方的關(guān)聯(lián)公司、母公司、子公司、分支機(jī)構(gòu)、員工、合作伙伴等非直接提供服務(wù)或處理的單位。（四）如遇法律法規(guī)要求甲方披露乙方信息，或為維護(hù)國家利益、社會公共利益或保護(hù)本人或他人重大利益而必需披露的，甲方應(yīng)在法律允許的范圍內(nèi)，事先通知乙方（如通知可能對乙方造成損害或法律禁止通知的除外），并采取合理措施保障乙方的合法權(quán)益。第七條患者權(quán)利行使與投訴（一）乙方行使訪問權(quán)、更正權(quán)、刪除權(quán)、限制處理權(quán)、撤回同意權(quán)、可攜帶權(quán)等權(quán)利的，應(yīng)通過甲方指定的聯(lián)系方式（見本協(xié)議首部）提出書面請求，并提供身份證明。甲方將在收到請求后合理期限內(nèi)（通常不超過三十日，如情況復(fù)雜可延長，并應(yīng)提前告知乙方）對請求進(jìn)行處理并答復(fù)乙方。（二）如乙方對甲方處理其個人信息有異議或投訴，可先向甲方客服部門或指定的隱私保護(hù)負(fù)責(zé)人反映，甲方將及時處理并告知結(jié)果。乙方對甲方處理結(jié)果仍有異議的，可向中華人民共和國境內(nèi)依法負(fù)責(zé)個人信息保護(hù)的監(jiān)督管理部門投訴。（三）甲方應(yīng)在其官方網(wǎng)站、APP或其他服務(wù)渠道公布處理個人信息投訴的聯(lián)系方式。第八條安全措施與責(zé)任（一）甲方承諾采取業(yè)界認(rèn)可的、符合法律法規(guī)要求的、足夠的技術(shù)和管理措施，包括但不限于：網(wǎng)絡(luò)與系統(tǒng)安全防護(hù)、訪問權(quán)限控制、數(shù)據(jù)加密存儲與傳輸、安全審計、應(yīng)急預(yù)案與響應(yīng)、員工保密教育與監(jiān)督等，以保護(hù)乙方的隱私信息不被未經(jīng)授權(quán)的訪問、泄露、篡改、丟失或濫用。（二）甲方將定期評估其個人信息處理活動的安全性，并根據(jù)評估結(jié)果采取改進(jìn)措施。（三）若因甲方及其工作人員的過錯、疏忽或違反本協(xié)議約定，導(dǎo)致乙方隱私信息泄露、丟失、被篡改或被非法使用，給乙方造成損失的，甲方應(yīng)依法承擔(dān)賠償責(zé)任。甲方將根據(jù)其過錯程度、損害后果及法律法規(guī)規(guī)定，確定賠償責(zé)任范圍。甲方可能依據(jù)法律規(guī)定或協(xié)議約定設(shè)定賠償責(zé)任上限。（四）甲方應(yīng)建立并完善信息安全事件應(yīng)急預(yù)案，一旦發(fā)生或發(fā)現(xiàn)信息安全事件，應(yīng)立即啟動應(yīng)急預(yù)案，采取補(bǔ)救措施，并按照法律法規(guī)和本協(xié)議約定及時通知乙方和相關(guān)部門。第九條法律適用與爭議解決（一）本協(xié)議的訂立、效力、解釋、履行及爭議解決，均適用中華人民共和國大陸地區(qū)（不包括香港、澳門、臺灣地區(qū)）的法律，并特別以2025年12月31日以前施行的《中華人民共和國個人信息保護(hù)法》及相關(guān)法律法規(guī)為準(zhǔn)。（二）因本協(xié)議引起的或與本協(xié)議有關(guān)的任何爭議，雙方應(yīng)首先通過友好協(xié)商解決。協(xié)商不成的，任何一方均有權(quán)向甲方所在地有管轄權(quán)的人民法院提起訴訟。第十條協(xié)議效力與變更（一）本協(xié)議自雙方簽字或蓋章之日起生效，有效期為自乙方接受甲方提供的服務(wù)開始，至服務(wù)關(guān)系終止且甲方完成相關(guān)信息的處理或存儲保留義務(wù)為止。對于為履行醫(yī)療責(zé)任所需長期保存的個人信息，其處理受相關(guān)法律法規(guī)規(guī)定的保留期限約束。（二）甲方有權(quán)根據(jù)法律法規(guī)的更新、監(jiān)管要求的變化以及業(yè)務(wù)發(fā)展的需要，對本協(xié)議相關(guān)條款進(jìn)行修訂。修訂后的協(xié)議將在甲方通過官方網(wǎng)站、APP公告、郵件通知等方式向乙方公示，并自公示之日起生效。若乙方對修訂內(nèi)容有異議，應(yīng)在公示之日起三十日內(nèi)以書面形式向甲方提出，否則視為乙方接受修訂。若乙方不接受修訂，則有權(quán)選擇停止接受甲方的服務(wù)。第十一條不可抗力（一）不可抗力是指不能預(yù)見、不能避免并不能克服的客觀情況，包括但不限于自然災(zāi)害（如地震、洪水、臺風(fēng)）、戰(zhàn)爭、罷工、政府行為、法律政策重大調(diào)整、網(wǎng)絡(luò)攻擊、系統(tǒng)故障等。（二）因不可抗力導(dǎo)致本協(xié)議無法履行或延遲履行，遭遇不可抗力的一方不承擔(dān)違約責(zé)任，但應(yīng)及時通知對方，并在合理期限內(nèi)提供不可抗力證明，以便雙方根據(jù)情況協(xié)商決定是否延遲履行、部分履行或解除協(xié)議。第十二條其他（一）本協(xié)議構(gòu)成甲乙雙方就乙方隱私信息處理事宜的完整協(xié)議，取代雙方此前就此達(dá)成的任何口頭或