2026年醫(yī)療信息安全保障協(xié)議合同編號：[]甲方（信息委托方）：名稱：________________________地址：________________________法定代表人/負(fù)責(zé)人：__________聯(lián)系方式：____________________統(tǒng)一社會信用代碼/身份證號：________________乙方（信息安全保障方）：名稱：________________________地址：________________________法定代表人：__________________聯(lián)系方式：____________________統(tǒng)一社會信用代碼：____________###鑒于條款1.甲方是依法設(shè)立并有效存續(xù)的醫(yī)療機(jī)構(gòu)/醫(yī)療數(shù)據(jù)處理者，在醫(yī)療業(yè)務(wù)活動中產(chǎn)生、收集、存儲、使用和傳輸大量醫(yī)療數(shù)據(jù)（包括但不限于患者個人信息、電子病歷、醫(yī)學(xué)影像、檢驗檢查結(jié)果、診療方案等，統(tǒng)稱“醫(yī)療數(shù)據(jù)”），對醫(yī)療數(shù)據(jù)的安全性、保密性和完整性具有法定和約定的責(zé)任。2.乙方是依法設(shè)立并有效存續(xù)的信息安全服務(wù)提供商，具備提供醫(yī)療信息安全保障服務(wù)的專業(yè)資質(zhì)和能力（包括但不限于通過ISO27001信息安全管理體系認(rèn)證、具備國家網(wǎng)絡(luò)安全等級保護(hù)測評資質(zhì)等），同意按照本協(xié)議約定為甲方提供醫(yī)療信息安全保障服務(wù)。3.雙方本著平等自愿、誠實信用、合法合規(guī)的原則，經(jīng)友好協(xié)商，就醫(yī)療信息安全保障事宜達(dá)成如下協(xié)議，以資共同遵守。###第一條定義1.1醫(yī)療數(shù)據(jù)：指甲方在醫(yī)療預(yù)防、診斷、治療、健康管理、醫(yī)學(xué)研究等活動中產(chǎn)生、收集、存儲、使用和傳輸?shù)臄?shù)據(jù)，包括但不限于：（1）患者個人信息：姓名、性別、出生日期、身份證號、聯(lián)系方式、住址、醫(yī)療史、家族病史等能夠識別個人身份的信息；（2）醫(yī)療記錄：電子病歷、紙質(zhì)病歷掃描件、病程記錄、醫(yī)囑、檢查檢驗報告、醫(yī)學(xué)影像資料（如CT、MRI、X光片等）、病理切片資料等；（3）醫(yī)療管理數(shù)據(jù)：醫(yī)療機(jī)構(gòu)運(yùn)營數(shù)據(jù)、醫(yī)護(hù)人員信息、醫(yī)療設(shè)備數(shù)據(jù)、藥品/耗材采購與使用數(shù)據(jù)等；（4）法律法規(guī)規(guī)定的其他與醫(yī)療相關(guān)的數(shù)據(jù)。1.2安全事件：指由于自然、人為或技術(shù)原因，導(dǎo)致醫(yī)療數(shù)據(jù)泄露、丟失、篡改、損壞、濫用或被未授權(quán)訪問、使用、披露的事件，包括但不限于數(shù)據(jù)泄露、系統(tǒng)漏洞攻擊、勒索病毒入侵、內(nèi)部人員違規(guī)操作、物理介質(zhì)丟失等。1.3保密信息：指一方在履行本協(xié)議過程中向?qū)Ψ脚兜?、?biāo)注或約定為保密的信息，包括但不限于醫(yī)療數(shù)據(jù)、技術(shù)文檔、服務(wù)方案、客戶信息、財務(wù)數(shù)據(jù)、商業(yè)秘密等。未標(biāo)注但根據(jù)其性質(zhì)和雙方的保密義務(wù)，應(yīng)當(dāng)視為保密信息的除外。1.4國家網(wǎng)絡(luò)安全等級保護(hù)（等保）：指按照《網(wǎng)絡(luò)安全法》《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》（GB/T22239-2019）等法律法規(guī)和標(biāo)準(zhǔn)，對網(wǎng)絡(luò)和信息系統(tǒng)實施分等級保護(hù)、監(jiān)督和管理的制度。1.5個人信息：指以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。醫(yī)療數(shù)據(jù)中的患者個人信息屬于《個人信息保護(hù)法》規(guī)定的“敏感個人信息”。###第二條服務(wù)內(nèi)容與范圍2.1安全保障目標(biāo)乙方應(yīng)為甲方提供醫(yī)療數(shù)據(jù)全生命周期的安全保障服務(wù)，確保醫(yī)療數(shù)據(jù)的：（1）保密性：防止未授權(quán)的個人、組織訪問和使用醫(yī)療數(shù)據(jù)；（2）完整性：防止醫(yī)療數(shù)據(jù)被未授權(quán)篡改、損壞或丟失；（3）可用性：確保授權(quán)用戶在需要時能夠及時、可靠地訪問和使用醫(yī)療數(shù)據(jù)；（4）合規(guī)性：符合《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護(hù)法》《醫(yī)療健康數(shù)據(jù)安全管理規(guī)范》（GB/T42430-2023）等法律法規(guī)及國家標(biāo)準(zhǔn)的要求。2.2具體服務(wù)內(nèi)容（1）安全管理制度建設(shè)協(xié)助甲方制定或完善醫(yī)療信息安全管理制度，包括但不限于：數(shù)據(jù)分類分級管理制度、訪問控制策略、數(shù)據(jù)備份與恢復(fù)制度、安全事件應(yīng)急預(yù)案、員工安全行為規(guī)范等。（2）技術(shù)安全保障措施①數(shù)據(jù)加密：對醫(yī)療數(shù)據(jù)在傳輸（如通過互聯(lián)網(wǎng)、內(nèi)部網(wǎng)絡(luò)傳輸）和存儲（如數(shù)據(jù)庫、服務(wù)器、終端設(shè)備存儲）過程中采用加密技術(shù)，確保數(shù)據(jù)內(nèi)容無法被未讀??；②訪問控制：實施基于角色的訪問控制（RBAC），嚴(yán)格限制用戶對醫(yī)療數(shù)據(jù)的訪問權(quán)限，確?！白钚”匾痹瓌t；對特權(quán)賬號（如管理員賬號）進(jìn)行嚴(yán)格管理和審計；③邊界防護(hù)：在甲方網(wǎng)絡(luò)邊界部署防火墻、入侵防御系統(tǒng)（IPS）、防病毒網(wǎng)關(guān)等設(shè)備，阻止未授權(quán)訪問和惡意攻擊；④安全審計：對醫(yī)療數(shù)據(jù)的訪問、操作、傳輸?shù)刃袨檫M(jìn)行日志記錄和審計，日志保存期限不少于6個月；⑤備份與恢復(fù)：制定醫(yī)療數(shù)據(jù)備份策略（如全量備份、增量備份），定期對核心醫(yī)療數(shù)據(jù)進(jìn)行備份（每日至少1次全量備份，每周至少1次異地備份），并定期測試備份數(shù)據(jù)的可用性和恢復(fù)能力；⑥漏洞管理：定期對甲方信息系統(tǒng)（包括服務(wù)器、終端設(shè)備、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)等）進(jìn)行漏洞掃描和滲透測試，及時修復(fù)發(fā)現(xiàn)的高危漏洞（高危漏洞修復(fù)時限不超過72小時，中危漏洞不超過7天，低危不超過30天）；⑦惡意代碼防范：在甲方終端設(shè)備、服務(wù)器上部署防病毒軟件，定期更新病毒庫，實時監(jiān)測和清除惡意代碼。（3）安全事件處置①建立安全事件應(yīng)急響應(yīng)機(jī)制，明確安全事件的報告流程、處置措施和責(zé)任分工；②若發(fā)生安全事件，乙方應(yīng)在接到甲方通知后1小時內(nèi)響應(yīng)，4小時內(nèi)到達(dá)現(xiàn)場（如為遠(yuǎn)程服務(wù)，應(yīng)在2小時內(nèi)啟動遠(yuǎn)程處置），24小時內(nèi)提交初步事件分析報告，7日內(nèi)提交詳細(xì)處置報告；③配合甲方進(jìn)行事件調(diào)查，采取技術(shù)措施防止事件擴(kuò)大（如隔離受感染設(shè)備、阻斷攻擊路徑、恢復(fù)被篡改數(shù)據(jù)等），并根據(jù)甲方要求向監(jiān)管部門報告（如適用）。（4）合規(guī)性保障協(xié)助甲方完成網(wǎng)絡(luò)安全等級保護(hù)測評（如甲方信息系統(tǒng)未達(dá)到等保三級，乙方應(yīng)提供整改建議并協(xié)助整改），確保甲方信息系統(tǒng)符合醫(yī)療行業(yè)安全合規(guī)要求；配合甲方應(yīng)對監(jiān)管部門的檢查、審計，提供必要的技術(shù)資料和說明。（5）人員安全培訓(xùn)每季度至少為甲方提供1次信息安全培訓(xùn)，內(nèi)容包括但不限于：醫(yī)療數(shù)據(jù)安全法律法規(guī)、安全操作規(guī)范、釣魚郵件識別、密碼安全、社會工程防范等，培訓(xùn)對象包括甲方管理人員、醫(yī)護(hù)人員、技術(shù)人員等。2.3服務(wù)范圍本協(xié)議服務(wù)范圍僅限于甲方擁有或合法控制的、用于醫(yī)療業(yè)務(wù)的信息系統(tǒng)（包括但不限于醫(yī)院信息系統(tǒng)HIS、實驗室信息系統(tǒng)LIS、影像歸檔和通信系統(tǒng)PACS、電子病歷系統(tǒng)EMR等）及相關(guān)醫(yī)療數(shù)據(jù)，不包括甲方委托第三方處理或存儲的醫(yī)療數(shù)據(jù)（除非雙方另行書面約定）。###第三條雙方的權(quán)利與義務(wù)3.1甲方的權(quán)利與義務(wù)（1）權(quán)利①要求乙方按照本協(xié)議約定提供安全保障服務(wù)，并對服務(wù)質(zhì)量進(jìn)行監(jiān)督；②獲取乙方提供的安全審計報告、漏洞掃描報告、備份驗證報告等技術(shù)文檔；③在發(fā)現(xiàn)安全事件或乙方服務(wù)存在瑕疵時，要求乙方及時整改并承擔(dān)相應(yīng)責(zé)任。（2）義務(wù)①向乙方提供真實、準(zhǔn)確的醫(yī)療數(shù)據(jù)及信息系統(tǒng)相關(guān)資料（包括網(wǎng)絡(luò)拓?fù)?、系統(tǒng)架構(gòu)、數(shù)據(jù)清單等），并配合乙方進(jìn)行安全評估、漏洞掃描、應(yīng)急演練等工作；②遵守醫(yī)療數(shù)據(jù)安全相關(guān)法律法規(guī)，對自身產(chǎn)生的醫(yī)療數(shù)據(jù)真實性、合法性負(fù)責(zé)；③未經(jīng)乙方書面同意，不得將乙方提供的安全技術(shù)方案、服務(wù)內(nèi)容等保密信息向第三方披露；④嚴(yán)格按照乙方制定的安全操作規(guī)范使用信息系統(tǒng)和醫(yī)療數(shù)據(jù)，避免因自身操作不當(dāng)導(dǎo)致安全事件；⑤及時向乙方報告安全事件（包括疑似安全事件），并提供必要的事件信息和配合調(diào)查。3.2乙方的權(quán)利與義務(wù)（1）權(quán)利①要求甲方提供必要的資料和配合，以便乙方履行本協(xié)議義務(wù)；②按照約定收取服務(wù)費用（如本協(xié)議約定服務(wù)費用）。（2）義務(wù)①保證其服務(wù)團(tuán)隊具備相應(yīng)的專業(yè)資質(zhì)和能力（如團(tuán)隊成員持有CISSP、CISP、ISO27001內(nèi)審員等證書），并確保人員穩(wěn)定，如需更換關(guān)鍵人員，應(yīng)提前15日書面通知甲方并經(jīng)甲方同意；②嚴(yán)格按照本協(xié)議約定提供安全保障服務(wù)，確保服務(wù)質(zhì)量符合國家及行業(yè)標(biāo)準(zhǔn)；③對在履行本協(xié)議過程中接觸到的甲方醫(yī)療數(shù)據(jù)、商業(yè)秘密等保密信息承擔(dān)嚴(yán)格保密義務(wù)，未經(jīng)甲方書面同意，不得向任何第三方披露、復(fù)制、使用或允許第三方使用；④定期向甲方提交服務(wù)報告（包括月度安全運(yùn)行報告、季度安全評估報告、年度安全總結(jié)報告），報告內(nèi)容包括安全事件統(tǒng)計、漏洞修復(fù)情況、備份驗證結(jié)果、合規(guī)性狀況等；⑤不得利用甲方醫(yī)療數(shù)據(jù)從事與履行本協(xié)議無關(guān)的活動，不得將甲方醫(yī)療數(shù)據(jù)用于訓(xùn)練人工智能模型、商業(yè)分析等（除非甲方書面同意）。###第四條數(shù)據(jù)安全與保密4.1數(shù)據(jù)分類分級雙方按照《數(shù)據(jù)安全法》及《醫(yī)療健康數(shù)據(jù)安全管理規(guī)范》（GB/T42430-2023）的要求，對甲方醫(yī)療數(shù)據(jù)進(jìn)行分類分級，劃分為核心數(shù)據(jù)、重要數(shù)據(jù)、一般數(shù)據(jù)三級，并采取差異化的安全保護(hù)措施（核心數(shù)據(jù)應(yīng)采用最高級別保護(hù)）。4.2數(shù)據(jù)處理規(guī)范（1）乙方處理醫(yī)療數(shù)據(jù)的目的應(yīng)限于履行本協(xié)議約定的安全保障服務(wù)，不得超出約定范圍；（2）乙方應(yīng)采取技術(shù)措施確保醫(yī)療數(shù)據(jù)在處理過程中的安全和保密，如需委托第三方協(xié)助處理數(shù)據(jù)，應(yīng)事先取得甲方書面同意，并對第三方的行為承擔(dān)連帶責(zé)任；（3）乙方應(yīng)在服務(wù)結(jié)束后或甲方提出要求時，立即刪除或銷毀甲方提供的醫(yī)療數(shù)據(jù)（法律法規(guī)另有規(guī)定的除外，如需留存，應(yīng)單獨簽訂數(shù)據(jù)留存協(xié)議并采取加密、訪問控制等措施）。4.3保密期限乙方的保密義務(wù)自本協(xié)議生效之日起生效，持續(xù)有效，直至本協(xié)議終止后[5]年。若法律法規(guī)對保密期限有更長的規(guī)定，從其規(guī)定。4.4涉密人員管理乙方應(yīng)對接觸甲方醫(yī)療數(shù)據(jù)的員工進(jìn)行背景審查，簽訂保密協(xié)議，并定期開展保密培訓(xùn)；對于離職員工，乙方應(yīng)及時收回其訪問權(quán)限和相關(guān)資料，并繼續(xù)承擔(dān)保密義務(wù)。###第五條服務(wù)期限與費用5.1服務(wù)期限本協(xié)議服務(wù)期限自[2026]年[1]月[1]日起至[2026]年[12]月[31]日止，共計1年。期滿前30日內(nèi)，雙方如無書面異議，本協(xié)議自動續(xù)展1年，續(xù)展次數(shù)不限。5.2服務(wù)費用（1）本協(xié)議項下服務(wù)費用為人民幣[]元/年（大寫：________________________），含稅。（2）支付方式：甲方應(yīng)于本協(xié)議生效后[10]日內(nèi)支付費用的50%，即[]元；服務(wù)期滿6個月后支付剩余50%，即[]元。（3）乙方收款賬戶信息：開戶名：________________________開戶行：________________________賬號：________________________###第六條違約責(zé)任6.1乙方違約責(zé)任（1）若乙方未按照本協(xié)議約定提供安全保障服務(wù)（如未定期進(jìn)行漏洞掃描、未及時修復(fù)漏洞、未按要求進(jìn)行數(shù)據(jù)備份等），甲方有權(quán)要求乙方限期整改，并每逾期1日按服務(wù)費用的0.5%支付違約金；逾期超過15日的，甲方有權(quán)單方解除本協(xié)議，乙方已收取的服務(wù)費用不予退還，并應(yīng)賠償甲方因此遭受的直接損失。（2）若因乙方原因（如技術(shù)措施不到位、操作失誤、保密不當(dāng)?shù)龋?dǎo)致醫(yī)療數(shù)據(jù)泄露、丟失、篡改或被未授權(quán)訪問的，乙方應(yīng)承擔(dān)全部責(zé)任，賠償甲方因此遭受的直接損失（包括但不限于數(shù)據(jù)恢復(fù)費用、患者賠償金、監(jiān)管罰款等）和間接損失（包括但不限于商譽(yù)損失、預(yù)期利益損失等）；若違約金不足以彌補(bǔ)損失的，乙方還應(yīng)補(bǔ)足差額。（3）若乙方違反本協(xié)議第4.3條保密義務(wù)，披露甲方保密信息的，乙方應(yīng)支付甲方違約金人民幣[]元（大寫：________________________），若違約金不足以彌補(bǔ)損失的，乙方還應(yīng)賠償全部損失。6.2甲方違約責(zé)任（1）若甲方未按照本協(xié)議約定支付服務(wù)費用，每逾期1日應(yīng)按應(yīng)付未付金額的0.5%支付違約金；逾期超過30日的，乙方有權(quán)暫停提供服務(wù)，直至甲方付清款項；逾期超過60日的，乙方有權(quán)單方解除本協(xié)議，甲方已支付的服務(wù)費用不予退還。（2）若甲方提供虛假資料或未配合乙方開展工作，導(dǎo)致乙方無法履行安全保障義務(wù)的，乙方不承擔(dān)由此產(chǎn)生的責(zé)任，甲方還應(yīng)賠償乙方因此遭受的損失。6.3責(zé)任限制除因乙方故意或重大過失導(dǎo)致醫(yī)療數(shù)據(jù)泄露、丟失等情形外，乙方對甲方的賠償責(zé)任總額不超過本協(xié)議項下服務(wù)費用的[2]倍（即人民幣[]元）。###第七條不可抗力7.1不可抗力是指雙方在簽訂合同時不能預(yù)見、對其發(fā)生和后果不能避免且不能克服的事件，包括但不限于自然災(zāi)害（如地震、洪水、臺風(fēng)等）、戰(zhàn)爭、政府行為（如征收、征用、禁令等）、罷工、疫情等。7.2若發(fā)生不可抗力事件，導(dǎo)致任何一方無法履行本協(xié)議義務(wù)的，受影響一方應(yīng)立即通知另一方，并在15日內(nèi)提供不可抗力詳情及證明文件。雙方應(yīng)根據(jù)不可抗力的影響程度，協(xié)商決定是否延遲履行、部分履行或解除本協(xié)議，因不可抗力造成的損失，雙方互不承擔(dān)責(zé)任。7.3若不可抗力事件持續(xù)超過30日，任何一方均有權(quán)單方解除本協(xié)議，互不承擔(dān)違約責(zé)任。###第八條協(xié)議的生效、變更與終止8.1生效本協(xié)議自雙方法定代表人/負(fù)責(zé)人或授權(quán)代表簽字并加蓋公章（或合同專用章）之日起生效。8.2變更本協(xié)議的任何變更應(yīng)經(jīng)雙方協(xié)商一致并簽訂書面補(bǔ)充協(xié)議，補(bǔ)充協(xié)議與本協(xié)議具有同等法律效力。8.3終止（1）本協(xié)議期滿自然終止；（2）雙方協(xié)商一致終止本協(xié)議；（3）一方嚴(yán)重違約，另一方根據(jù)本協(xié)議約定單方解除本協(xié)議；（4）不可抗力導(dǎo)致本協(xié)議無法履行，雙方解除本協(xié)議。8.4終止后的處理本協(xié)議終止后，雙方應(yīng)完成以下事項：（1）乙方停止所有安全保障服務(wù)，返還甲方提供的所有資料和設(shè)備（如有）；（2）乙方按照甲方要求刪除或銷毀甲方醫(yī)療數(shù)據(jù)（法律法規(guī)另有規(guī)