2025年醫(yī)療信息化數(shù)據(jù)安全合同（醫(yī)院用）甲方（委托方/服務(wù)接受方）：[醫(yī)院全稱]法定代表人/授權(quán)代表：[姓名]地址：[醫(yī)院地址]統(tǒng)一社會(huì)信用代碼：[醫(yī)院代碼]聯(lián)系方式：[電話、郵箱]乙方（服務(wù)提供方/義務(wù)承擔(dān)方）：[技術(shù)服務(wù)公司全稱]法定代表人/授權(quán)代表：[姓名]地址：[公司地址]統(tǒng)一社會(huì)信用代碼：[公司代碼]聯(lián)系方式：[電話、郵箱]鑒于甲方擁有或控制醫(yī)療信息化數(shù)據(jù)（以下簡(jiǎn)稱“數(shù)據(jù)”），并委托乙方提供醫(yī)療信息化相關(guān)的產(chǎn)品、服務(wù)及解決方案；鑒于乙方具備提供相關(guān)服務(wù)的能力和資質(zhì)；鑒于甲乙雙方希望在符合國(guó)家及地方法律法規(guī)（特別是2025年及以后實(shí)行的醫(yī)療信息化及數(shù)據(jù)安全相關(guān)法律法規(guī)，包括但不限于《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》及其修訂或解釋）的前提下，明確雙方在數(shù)據(jù)安全保護(hù)方面的權(quán)利和義務(wù)；根據(jù)《中華人民共和國(guó)民法典》及相關(guān)法律法規(guī)，經(jīng)雙方友好協(xié)商，達(dá)成如下協(xié)議，以資共同遵守。第一條服務(wù)內(nèi)容與范圍1.1乙方根據(jù)甲方的需求及本協(xié)議約定，向甲方提供以下服務(wù)（包括但不限于）：（1）醫(yī)療信息系統(tǒng)的設(shè)計(jì)、開發(fā)、部署、集成與定制；（2）甲方現(xiàn)有數(shù)據(jù)遷移、數(shù)據(jù)清洗、數(shù)據(jù)標(biāo)準(zhǔn)化服務(wù)；（3）甲方醫(yī)療信息系統(tǒng)的系統(tǒng)運(yùn)維、技術(shù)支持、版本升級(jí)服務(wù)；（4）基于甲方授權(quán)數(shù)據(jù)的分析、報(bào)表服務(wù)等；（5）為甲方提供的數(shù)據(jù)安全咨詢、風(fēng)險(xiǎn)評(píng)估、安全加固服務(wù)；（6）雙方約定的其他服務(wù)。1.2本協(xié)議所涵蓋的數(shù)據(jù)范圍包括但不限于在履行本協(xié)議服務(wù)過程中，由乙方接觸、處理、存儲(chǔ)的甲方擁有的或控制的醫(yī)療數(shù)據(jù)，具體包括：（1）患者個(gè)人信息，如姓名、身份證號(hào)碼、手機(jī)號(hào)碼、電子郵箱地址、住址等；（2）患者健康信息，如診斷記錄、病史資料、檢查檢驗(yàn)結(jié)果、影像資料、治療方案、醫(yī)療費(fèi)用信息等；（3）醫(yī)療機(jī)構(gòu)的運(yùn)營(yíng)數(shù)據(jù)、管理數(shù)據(jù)；（4）其他與甲方醫(yī)療信息化系統(tǒng)相關(guān)的數(shù)據(jù)。1.3除非本協(xié)議另有約定或法律法規(guī)另有規(guī)定，乙方不得處理本協(xié)議范圍之外的數(shù)據(jù)，不得將包含敏感個(gè)人信息的醫(yī)療數(shù)據(jù)用于本協(xié)議約定的服務(wù)目的之外，亦不得向任何第三方提供（除非獲得甲方事先的書面同意或法律法規(guī)要求）。第二條數(shù)據(jù)安全責(zé)任與措施2.1雙方確認(rèn)，甲方作為數(shù)據(jù)控制者，對(duì)數(shù)據(jù)的合法合規(guī)使用負(fù)最終責(zé)任。乙方作為數(shù)據(jù)處理者及服務(wù)提供者，在服務(wù)過程中對(duì)所處理的數(shù)據(jù)承擔(dān)直接的安全保護(hù)責(zé)任，應(yīng)采取必要的技術(shù)和管理措施，確保數(shù)據(jù)的安全。2.2乙方應(yīng)遵守國(guó)家及地方法律法規(guī)及行業(yè)標(biāo)準(zhǔn)關(guān)于數(shù)據(jù)安全的各項(xiàng)要求，建立健全的數(shù)據(jù)安全管理制度，并確保甲方數(shù)據(jù)的機(jī)密性、完整性、可用性。2.3乙方應(yīng)采取以下至少一項(xiàng)或多項(xiàng)技術(shù)措施保障數(shù)據(jù)安全：（1）對(duì)傳輸中的數(shù)據(jù)進(jìn)行加密，例如使用TLS/SSL等安全協(xié)議；（2）對(duì)存儲(chǔ)的數(shù)據(jù)進(jìn)行加密，包括數(shù)據(jù)庫加密、文件加密等；（3）實(shí)施嚴(yán)格的訪問控制策略，采用基于角色的訪問控制機(jī)制，遵循最小權(quán)限原則，對(duì)用戶進(jìn)行身份認(rèn)證（宜采用多因素認(rèn)證），并定期進(jìn)行權(quán)限審計(jì)；（4）建立完善的安全審計(jì)機(jī)制，記錄數(shù)據(jù)訪問、系統(tǒng)操作及安全事件，并實(shí)施監(jiān)控告警；（5）定期進(jìn)行安全漏洞掃描和風(fēng)險(xiǎn)評(píng)估，及時(shí)修復(fù)已知漏洞，并保持系統(tǒng)和安全設(shè)備的更新；（6）實(shí)施可靠的數(shù)據(jù)備份和恢復(fù)機(jī)制，明確備份頻率、存儲(chǔ)方式、存儲(chǔ)位置、保留期限，并定期進(jìn)行恢復(fù)測(cè)試；（7）配置和維護(hù)網(wǎng)絡(luò)安全設(shè)備，如防火墻、入侵檢測(cè)/防御系統(tǒng)，劃分網(wǎng)絡(luò)區(qū)域并實(shí)施隔離；（8）在涉及開發(fā)、測(cè)試、數(shù)據(jù)分析等場(chǎng)景，按照甲方要求或行業(yè)標(biāo)準(zhǔn)對(duì)涉及個(gè)人信息的敏感數(shù)據(jù)進(jìn)行脫敏處理。2.4乙方應(yīng)采取以下管理措施保障數(shù)據(jù)安全：（1）制定并實(shí)施覆蓋數(shù)據(jù)全生命周期的安全管理制度和操作規(guī)程；（2）對(duì)接觸或可能接觸敏感數(shù)據(jù)的乙方人員進(jìn)行背景審查（如適用）、簽署保密協(xié)議、進(jìn)行必要的安全意識(shí)培訓(xùn)和定期考核；（3）若需使用第三方服務(wù)或產(chǎn)品涉及甲方數(shù)據(jù)，應(yīng)要求第三方承擔(dān)不低于本協(xié)議要求的數(shù)據(jù)安全責(zé)任，并接受乙方的監(jiān)督；（4）建立并完善數(shù)據(jù)安全事件應(yīng)急預(yù)案，明確事件的報(bào)告、處置流程和協(xié)作機(jī)制；（5）確保數(shù)據(jù)處理活動(dòng)符合國(guó)家關(guān)于數(shù)據(jù)分類分級(jí)保護(hù)的要求，并根據(jù)甲方要求或評(píng)估結(jié)果，對(duì)重要數(shù)據(jù)實(shí)施更高級(jí)別的保護(hù)。2.5甲方應(yīng)配合乙方履行數(shù)據(jù)安全保護(hù)義務(wù)，提供必要的技術(shù)接口和管理支持，并對(duì)其自身的數(shù)據(jù)安全管理體系負(fù)責(zé)。第三條數(shù)據(jù)保密3.1甲乙雙方應(yīng)對(duì)在本協(xié)議履行過程中獲知的對(duì)方的商業(yè)秘密、技術(shù)信息以及甲方的醫(yī)療數(shù)據(jù)等未公開信息（以下簡(jiǎn)稱“保密信息”）承擔(dān)保密義務(wù)。3.2保密信息包括但不限于本協(xié)議內(nèi)容、甲方的組織架構(gòu)、運(yùn)營(yíng)模式、患者數(shù)據(jù)、系統(tǒng)架構(gòu)、技術(shù)參數(shù)、安全策略、用戶名、密碼等。3.3除非法律規(guī)定或有權(quán)機(jī)關(guān)要求，任何一方不得向任何第三方泄露、披露或使用保密信息，但為履行本協(xié)議目的，或根據(jù)法律法規(guī)或有權(quán)機(jī)關(guān)要求，或事先獲得對(duì)方書面同意的情況除外。3.4本保密義務(wù)不因本協(xié)議的終止而失效，雙方應(yīng)在本協(xié)議終止后【五】年內(nèi)繼續(xù)有效。對(duì)于涉及核心技術(shù)和重要數(shù)據(jù)的保密信息，保密期限應(yīng)持續(xù)到該信息公開為止。3.5乙方應(yīng)對(duì)其員工、獨(dú)立承包商、顧問等可能接觸保密信息的第三方承擔(dān)保密義務(wù)，并確保其遵守本協(xié)議的保密要求。第四條數(shù)據(jù)安全事件響應(yīng)4.1乙方應(yīng)建立有效的數(shù)據(jù)安全事件監(jiān)測(cè)、預(yù)警、分析、響應(yīng)和處置機(jī)制。4.2乙方在發(fā)現(xiàn)或懷疑發(fā)生可能影響甲方或公眾的數(shù)據(jù)安全事件（包括但不限于數(shù)據(jù)泄露、篡改、丟失、系統(tǒng)被非法訪問或破壞等）后，應(yīng)在【四】小時(shí)內(nèi)通知甲方指定的緊急聯(lián)系人，并按照約定方式提交書面事件報(bào)告。4.3乙方應(yīng)積極配合甲方及相關(guān)部門對(duì)數(shù)據(jù)安全事件的調(diào)查、處置和補(bǔ)救工作，共同采取措施防止事件擴(kuò)大或再次發(fā)生。4.4乙方應(yīng)根據(jù)國(guó)家法律法規(guī)及本協(xié)議約定，在必要時(shí)向相關(guān)監(jiān)管部門及受影響個(gè)人（如適用）履行通知義務(wù)，并應(yīng)及時(shí)將相關(guān)情況告知甲方。第五條雙方權(quán)利與義務(wù)5.1甲方的權(quán)利與義務(wù)：（1）有權(quán)要求乙方按照本協(xié)議約定提供服務(wù)，并監(jiān)督乙方履行數(shù)據(jù)安全保護(hù)義務(wù)；（2）按照本協(xié)議約定及時(shí)向乙方支付服務(wù)費(fèi)用；（3）向乙方提供履行本協(xié)議服務(wù)所必需的數(shù)據(jù)接入環(huán)境、系統(tǒng)接口和技術(shù)文檔等支持；（4）指定接口人負(fù)責(zé)與乙方溝通協(xié)調(diào)，并配合乙方完成相關(guān)工作；（5）建立健全自身的數(shù)據(jù)安全管理制度，并對(duì)自身數(shù)據(jù)的合規(guī)使用負(fù)責(zé)；（6）按照法律法規(guī)及本協(xié)議約定，履行數(shù)據(jù)安全事件報(bào)告義務(wù)。5.2乙方的權(quán)利與義務(wù)：（1）按照本協(xié)議約定，在保證數(shù)據(jù)安全的前提下，向甲方提供合格的服務(wù)；（2）嚴(yán)格履行本協(xié)議第二條約定的數(shù)據(jù)安全保護(hù)責(zé)任和措施；（3）對(duì)甲方提供的數(shù)據(jù)及在服務(wù)過程中獲知的甲方商業(yè)秘密、醫(yī)療數(shù)據(jù)等承擔(dān)保密義務(wù)；（4）接受甲方的合理監(jiān)督和必要的審計(jì)（費(fèi)用由甲方承擔(dān)），并按要求提供相關(guān)資料；（5）及時(shí)通知甲方發(fā)生或可能發(fā)生的數(shù)據(jù)安全事件，并按甲方要求及本協(xié)議約定進(jìn)行處理；（6）確保提供的服務(wù)符合國(guó)家及地方法律法規(guī)和行業(yè)標(biāo)準(zhǔn)的要求。第六條違約責(zé)任6.1任何一方違反本協(xié)議約定，均應(yīng)承擔(dān)相應(yīng)的違約責(zé)任。6.2若乙方未能履行本協(xié)議第二條約定的數(shù)據(jù)安全保護(hù)義務(wù)，導(dǎo)致甲方數(shù)據(jù)泄露、損毀或遭受其他損失，乙方應(yīng)承擔(dān)賠償責(zé)任。賠償金額應(yīng)包括但不限于甲方因此遭受的直接經(jīng)濟(jì)損失、間接經(jīng)濟(jì)損失，以及為調(diào)查損失、采取補(bǔ)救措施所支付的合理費(fèi)用。若損失難以計(jì)算，可由雙方協(xié)商確定，或依法由人民法院判決。6.3若乙方違反本協(xié)議第三條約定的保密義務(wù)，給甲方造成損失的，應(yīng)賠償甲方的直接經(jīng)濟(jì)損失。6.4若乙方違反本協(xié)議第四條約定的數(shù)據(jù)安全事件報(bào)告義務(wù)，導(dǎo)致甲方或第三方遭受損失的，乙方應(yīng)承擔(dān)相應(yīng)的賠償責(zé)任。6.5若甲方未能按時(shí)支付服務(wù)費(fèi)用，每逾期一日，應(yīng)按逾期支付金額的【千分之零點(diǎn)五】向乙方支付違約金。逾期超過【三十】日，乙方有權(quán)暫停服務(wù)或解除本協(xié)議，并要求甲方支付全部應(yīng)付費(fèi)用及違約金。6.6除本協(xié)議另有約定外，任何一方違約給對(duì)方造成其他損失的，應(yīng)予以賠償。第七條合同期限與終止7.1本協(xié)議自雙方授權(quán)代表簽字并加蓋公章（或合同專用章）之日起生效，有效期為【壹】年，自【起始日期】至【終止日期】。7.2協(xié)議期滿前【壹】個(gè)月，如雙方均有意繼續(xù)合作，應(yīng)另行協(xié)商簽訂續(xù)約協(xié)議。若雙方未達(dá)成續(xù)約協(xié)議，本協(xié)議到期自動(dòng)終止。7.3發(fā)生下列情形之一，守約方有權(quán)書面通知違約方解除本協(xié)議：（1）一方嚴(yán)重違反本協(xié)議約定，經(jīng)守約方書面催告后【拾】日內(nèi)仍未糾正的；（2）乙方泄露甲方重要醫(yī)療數(shù)據(jù)或造成重大安全事故的；（3）乙方破產(chǎn)、解散或進(jìn)入清算程序的；（4）法律法規(guī)規(guī)定的其他可解除合同的情形。7.4本協(xié)議終止或提前解除的，雙方應(yīng)在協(xié)議終止后【拾】日內(nèi)完成以下工作：（1）乙方應(yīng)將包含甲方數(shù)據(jù)的所有物理和電子形式的存儲(chǔ)介質(zhì)、備份、源代碼、文檔等全部返還給甲方，或按照甲方要求在監(jiān)督下安全銷毀，并出具書面證明；（2）乙方應(yīng)停止對(duì)甲方數(shù)據(jù)的任何訪問和處理，除根據(jù)法律法規(guī)或本協(xié)議約定外，不得以任何形式保留或使用甲方數(shù)據(jù)；（3）雙方應(yīng)結(jié)清所有未付款項(xiàng)；（4）保密條款、爭(zhēng)議解決條款、法律適用與管轄條款在本協(xié)議終止后繼續(xù)有效。第八條不可抗力8.1“不可抗力”是指雙方不能合理控制、不可預(yù)見或即使預(yù)見亦無法避免的事件，該事件妨礙、影響或延誤任何一方根據(jù)本協(xié)議履行其全部或部分義務(wù)，包括但不限于自然災(zāi)害（如地震、洪水、臺(tái)風(fēng)）、戰(zhàn)爭(zhēng)、動(dòng)亂、政府行為、法律政策變化、疫情等。8.2遭遇不可抗力的一方應(yīng)在事件發(fā)生后【七】日內(nèi)書面通知另一方，并提供相關(guān)證明文件。雙方應(yīng)根據(jù)不可抗力的影響，協(xié)商決定是否延遲履行、部分履行或解除本協(xié)議。因不可抗力導(dǎo)致的履行延遲或不能履行，受影響方不承擔(dān)違約責(zé)任。第九條爭(zhēng)議解決9.1因本協(xié)議引起的或與本協(xié)議有關(guān)的任何爭(zhēng)議，雙方應(yīng)首先通過友好協(xié)商解決。9.2協(xié)商不成的，任何一方均有權(quán)將爭(zhēng)議提交【乙方所在地有管轄權(quán)的人民法院】通過訴訟方式解決。第十條法律適用10.1本協(xié)議的訂立、效力、解釋、履行及爭(zhēng)議解決均適用中華人民共和國(guó)法律（為免歧義，不包括香港、澳門特別行政區(qū)及臺(tái)灣地區(qū)法律）。第十一條其他11.1本協(xié)議構(gòu)成雙方關(guān)于本協(xié)議標(biāo)的的完整協(xié)議，