醫(yī)用耗材采購合同2025年數(shù)據(jù)安全協(xié)議本協(xié)議由以下雙方于____年____月____日簽署：采購方（以下簡(jiǎn)稱“甲方”）：名稱：________________________法定代表人/授權(quán)代表：__________地址：________________________聯(lián)系方式：____________________供應(yīng)方（以下簡(jiǎn)稱“乙方”）：名稱：________________________法定代表人/授權(quán)代表：__________地址：________________________聯(lián)系方式：____________________鑒于甲方需要采購乙方提供的醫(yī)用耗材，雙方在簽訂《醫(yī)用耗材采購合同》（以下簡(jiǎn)稱“主合同”）的同時(shí)，為保障在履行主合同過程中涉及的數(shù)據(jù)安全，達(dá)成如下協(xié)議：第一條適用范圍與定義1.1本協(xié)議適用于主合同項(xiàng)下，雙方在采購、存儲(chǔ)、運(yùn)輸、使用、管理醫(yī)用耗材及相關(guān)服務(wù)過程中產(chǎn)生的所有數(shù)據(jù)的處理活動(dòng)。1.2適用范圍包括但不限于：采購申請(qǐng)與審批數(shù)據(jù)、電子目錄數(shù)據(jù)、訂單信息、庫存數(shù)據(jù)、物流配送信息、賬務(wù)與發(fā)票信息、質(zhì)量追溯信息、系統(tǒng)用戶及權(quán)限數(shù)據(jù)、雙方溝通中涉及的數(shù)據(jù)等。1.3除非本協(xié)議另有定義，術(shù)語定義應(yīng)與本合同主合同及相關(guān)法律法規(guī)的規(guī)定一致。1.4數(shù)據(jù)是指任何形式存在的，與主合同履行相關(guān)的信息，包括個(gè)人信息、商業(yè)秘密、運(yùn)營數(shù)據(jù)等。1.5個(gè)人信息是指以電子或其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息。1.6敏感個(gè)人信息是指一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個(gè)人信息。1.7商業(yè)秘密是指不為公眾所知悉、具有商業(yè)價(jià)值并經(jīng)權(quán)利人采取相應(yīng)保密措施的技術(shù)信息和經(jīng)營信息。1.8數(shù)據(jù)處理是指對(duì)數(shù)據(jù)進(jìn)行收集、存儲(chǔ)、使用、加工、傳輸、提供、公開、刪除等操作。1.9數(shù)據(jù)控制者是指確定數(shù)據(jù)處理目的、方式和規(guī)則的主體。1.10數(shù)據(jù)處理器是指為數(shù)據(jù)控制者處理數(shù)據(jù)，并受其指令行動(dòng)的主體。第二條數(shù)據(jù)安全責(zé)任劃分2.1甲方（數(shù)據(jù)控制者）責(zé)任：(1)確定數(shù)據(jù)處理的目的和方式，確保處理活動(dòng)的合法性、正當(dāng)性、必要性。(2)采取必要措施，確保乙方（數(shù)據(jù)處理器）具備履行本協(xié)議的數(shù)據(jù)安全能力和資質(zhì)。(3)制定并實(shí)施符合國家法律法規(guī)及行業(yè)規(guī)范的數(shù)據(jù)安全管理制度和操作規(guī)程。(4)對(duì)甲方內(nèi)部接觸數(shù)據(jù)的員工進(jìn)行數(shù)據(jù)安全培訓(xùn)和保密教育。(5)對(duì)關(guān)鍵數(shù)據(jù)（特別是敏感個(gè)人信息和商業(yè)秘密）實(shí)施分級(jí)分類管理。(6)監(jiān)督、審計(jì)乙方數(shù)據(jù)處理活動(dòng)，確保其符合本協(xié)議及主合同要求。(7)保障數(shù)據(jù)主體依法享有的知情權(quán)、訪問權(quán)、更正權(quán)、刪除權(quán)等權(quán)利。(8)發(fā)生數(shù)據(jù)安全事件時(shí)，負(fù)責(zé)啟動(dòng)應(yīng)急響應(yīng)，并及時(shí)通知乙方。(9)對(duì)因乙方原因?qū)е碌臄?shù)據(jù)安全風(fēng)險(xiǎn)承擔(dān)相應(yīng)的管理責(zé)任。2.2乙方（數(shù)據(jù)處理器）責(zé)任：(1)嚴(yán)格遵守主合同及本協(xié)議關(guān)于數(shù)據(jù)安全的要求，僅按照甲方指示處理數(shù)據(jù)。(2)建立完善的數(shù)據(jù)安全管理體系和技術(shù)防護(hù)措施，保障數(shù)據(jù)處理的機(jī)密性、完整性和可用性。措施應(yīng)包括但不限于：a.訪問控制：實(shí)施嚴(yán)格的身份認(rèn)證和權(quán)限管理，遵循“最小必要”原則。b.數(shù)據(jù)加密：對(duì)傳輸中和靜態(tài)存儲(chǔ)的數(shù)據(jù)進(jìn)行加密處理。c.安全審計(jì)：記錄關(guān)鍵操作日志，并定期進(jìn)行安全審計(jì)。d.系統(tǒng)漏洞管理：及時(shí)修補(bǔ)系統(tǒng)漏洞，進(jìn)行安全漏洞掃描。e.災(zāi)難恢復(fù)與備份：建立數(shù)據(jù)備份和災(zāi)難恢復(fù)機(jī)制。f.物理安全：保障服務(wù)器、存儲(chǔ)設(shè)備等物理環(huán)境的安全。(3)確保其員工以及被授權(quán)接觸數(shù)據(jù)的第三方（如物流服務(wù)商）均遵守?cái)?shù)據(jù)安全規(guī)定，并對(duì)其行為負(fù)責(zé)。(4)對(duì)甲方提供必要的技術(shù)支持和配合，協(xié)助甲方進(jìn)行數(shù)據(jù)安全監(jiān)督和事件處理。(5)在發(fā)生數(shù)據(jù)安全事件時(shí)，立即按照預(yù)定程序響應(yīng)，通知甲方，并配合甲方進(jìn)行調(diào)查和處理。(6)處理完畢或本協(xié)議終止后，根據(jù)甲方要求，安全地刪除或返回所有包含其處理的個(gè)人信息和商業(yè)秘密。第三條數(shù)據(jù)處理活動(dòng)規(guī)范3.1數(shù)據(jù)收集：僅收集與主合同履行直接相關(guān)的、最少必要的數(shù)據(jù)。明確告知數(shù)據(jù)收集的目的、依據(jù)及數(shù)據(jù)主體的權(quán)利。3.2數(shù)據(jù)存儲(chǔ)：數(shù)據(jù)存儲(chǔ)應(yīng)在中國境內(nèi)進(jìn)行，并采取加密、訪問控制等技術(shù)措施。明確數(shù)據(jù)存儲(chǔ)的期限，超過期限后應(yīng)按約定進(jìn)行刪除或匿名化處理。3.3數(shù)據(jù)傳輸：跨區(qū)域或跨境傳輸數(shù)據(jù)前，應(yīng)進(jìn)行安全風(fēng)險(xiǎn)評(píng)估，并采取有效的傳輸保護(hù)措施。遵守相關(guān)跨境數(shù)據(jù)傳輸?shù)姆煞ㄒ?guī)要求。3.4數(shù)據(jù)使用：嚴(yán)格限制數(shù)據(jù)使用范圍，僅用于主合同約定的采購、履約、結(jié)算等目的。3.5數(shù)據(jù)共享與披露：未經(jīng)甲方書面同意，乙方不得將涉及甲方及/或其客戶的個(gè)人信息和商業(yè)秘密共享或披露給任何第三方。為履行主合同所必需的共享需事先獲得甲方明確授權(quán)，并要求第三方簽署保密協(xié)議。3.6數(shù)據(jù)銷毀：本協(xié)議終止或數(shù)據(jù)處理任務(wù)完成后，雙方應(yīng)按照約定方式安全銷毀所有相關(guān)數(shù)據(jù)，確保數(shù)據(jù)無法被恢復(fù)讀取。應(yīng)提供銷毀證明。第四條數(shù)據(jù)主體權(quán)利保障甲方應(yīng)建立機(jī)制，保障數(shù)據(jù)主體依法享有的知情權(quán)、訪問權(quán)、更正權(quán)、刪除權(quán)、限制或拒絕處理權(quán)、撤回同意權(quán)、可攜帶權(quán)以及投訴舉報(bào)權(quán)等。乙方應(yīng)配合甲方履行這些義務(wù)。第五條數(shù)據(jù)安全事件與通知5.1事件定義：指因人為原因、技術(shù)故障、自然災(zāi)害、外部攻擊等導(dǎo)致數(shù)據(jù)泄露、篡改、丟失、毀損或未經(jīng)授權(quán)訪問等，可能或已經(jīng)對(duì)數(shù)據(jù)安全造成影響的事件。5.2應(yīng)急響應(yīng)：雙方應(yīng)制定數(shù)據(jù)安全事件應(yīng)急預(yù)案，明確事件報(bào)告、評(píng)估、處置流程。5.3通知義務(wù)：(1)乙方在發(fā)現(xiàn)或懷疑發(fā)生數(shù)據(jù)安全事件后，應(yīng)在四小時(shí)內(nèi)通知甲方，并持續(xù)通報(bào)事件處理進(jìn)展。(2)甲方在確認(rèn)或懷疑發(fā)生涉及其客戶個(gè)人信息或重要商業(yè)秘密的數(shù)據(jù)安全事件后，應(yīng)在六小時(shí)內(nèi)通知乙方。(3)通知內(nèi)容應(yīng)包括事件的基本情況、可能的影響、已采取或擬采取的補(bǔ)救措施等。第六條合規(guī)性要求雙方均應(yīng)遵守中華人民共和國及地方有關(guān)數(shù)據(jù)安全、個(gè)人信息保護(hù)、網(wǎng)絡(luò)安全等方面的法律法規(guī)（如《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》等）。本協(xié)議的條款應(yīng)不低于適用的法律法規(guī)要求。第七條數(shù)據(jù)安全審計(jì)與評(píng)估雙方同意，可以互相或委托第三方對(duì)對(duì)方的數(shù)據(jù)安全措施和數(shù)據(jù)處理活動(dòng)進(jìn)行審計(jì)和評(píng)估。被審計(jì)方應(yīng)提供必要的配合。第八條保密義務(wù)雙方對(duì)在履行主合同及本協(xié)議過程中獲知的對(duì)方商業(yè)秘密、技術(shù)信息以及其他未公開信息承擔(dān)保密義務(wù)。此保密義務(wù)不因本協(xié)議的終止而解除，持續(xù)有效五年。第九條協(xié)議期限與終止9.1本協(xié)議自雙方授權(quán)代表簽字蓋章之日起生效，有效期限為主合同有效期內(nèi)或雙方另有約定的期限。9.2本協(xié)議的終止不影響主合同的效力。本協(xié)議終止后，雙方在本協(xié)議項(xiàng)下的數(shù)據(jù)安全責(zé)任和義務(wù)應(yīng)持續(xù)到數(shù)據(jù)處理完成、數(shù)據(jù)安全刪除/返回并經(jīng)對(duì)方確認(rèn)，以及保密義務(wù)履行完畢時(shí)為止。第十條法律適用與爭(zhēng)議解決因本協(xié)議引起的或與本協(xié)議有關(guān)的任何爭(zhēng)議，雙方應(yīng)首先通過友好協(xié)商解決；協(xié)商不成的，任何一方均有權(quán)向甲方所在地有管轄權(quán)的人民法院提起訴訟。第十一條其他11.1本協(xié)議是主合同不可分割的一部分，與主合同具有同等法律效力。本協(xié)議未約定的事項(xiàng)，遵照主合同及相關(guān)法律法規(guī)執(zhí)行。11.2對(duì)本協(xié)議的任何修改或補(bǔ)充，均應(yīng)以書面形式作出，并經(jīng)雙方授權(quán)代表簽字蓋章后生效。11.3本協(xié)議一式肆份，甲方執(zhí)貳份，乙方執(zhí)貳份，