2026年患者信息隱私保護合同甲方（信息處理者）：[醫(yī)療機構(gòu)/醫(yī)療科技公司/健康管理平臺等全稱]統(tǒng)一社會信用代碼：[]地址：[]法定代表人/負責人：[]聯(lián)系方式：[]乙方（信息主體/患者）：[姓名]身份證號碼：[]聯(lián)系方式：[]住址：[]甲乙雙方根據(jù)《中華人民共和國個人信息保護法》《基本醫(yī)療衛(wèi)生與健康促進法》等法律法規(guī)，就患者信息隱私保護事宜，本著平等自愿、誠實信用原則，達成如下合同：####一、定義與解釋1.患者信息：指在醫(yī)療服務(wù)、健康管理、科研等活動中產(chǎn)生的，與乙方個人身份、健康狀況、診療行為等相關(guān)的各類信息，包括但不限于：（1）個人身份信息：姓名、身份證號、聯(lián)系方式、住址、醫(yī)?？ㄌ柕?；（2）健康醫(yī)療信息：病歷資料、診斷結(jié)果、檢查檢驗報告、治療方案、用藥記錄、手術(shù)記錄、疫苗接種記錄、既往病史、家族病史、過敏史等；（3）生物識別信息：指紋、人臉、聲紋、基因信息、醫(yī)療影像特征等；（4）其他相關(guān)信息：就診記錄、醫(yī)保結(jié)算信息、商業(yè)保險理賠信息、乙方授權(quán)甲方收集的第三方信息等。2.敏感個人信息：指一旦泄露或非法使用，可能導致乙方的人格尊嚴受到侵害或人身、財產(chǎn)安全受到危害的信息，包括健康醫(yī)療信息、生物識別信息、身份證號等。3.信息處理：包括信息的收集、存儲、使用、加工、傳輸、提供、公開等。4.去標識化處理：指在信息處理中，對個人信息進行技術(shù)處理，使其在不借助額外信息的情況下，無法識別特定自然人的處理方式。5.匿名化處理：指個人信息經(jīng)過處理無法識別特定自然人且不能復原的處理方式。####二、患者信息的收集1.收集原則：甲方收集患者信息應(yīng)遵循合法、正當、必要、最小化原則，僅收集與醫(yī)療服務(wù)、健康管理、科研直接相關(guān)的信息，不得過度收集。2.收集范圍與目的：（1）診療服務(wù)：為提供診斷、治療、處方、手術(shù)等醫(yī)療服務(wù)，收集乙方的基本身份信息、健康醫(yī)療信息；（2）健康管理：為術(shù)后隨訪、慢病管理、體檢報告解讀等，收集乙方的生活方式、用藥依從性、康復進展等信息（需乙方額外同意）；（3）科研教學：為醫(yī)學研究、臨床教學、新藥研發(fā)等使用乙方信息時，需單獨獲得乙方書面同意，且僅收集科研所需的最少信息；（4）法律法規(guī)要求：如傳染病報告、醫(yī)保結(jié)算等，依據(jù)法律法規(guī)或行政機關(guān)要求收集的信息，無需乙方額外同意，但需告知收集目的和范圍。3.收集方式：（1）主動提供：乙方通過線上平臺、線下窗口填寫問卷、簽署知情同意書等方式提供；（2）自動采集：通過醫(yī)療設(shè)備、智能終端自動采集診療數(shù)據(jù)（需提前告知采集類型和目的）；（3）授權(quán)獲取：經(jīng)乙方書面同意，從其他醫(yī)療機構(gòu)、保險公司等第三方獲取乙方信息（需明確告知信息來源和用途）。4.告知與同意：甲方在收集信息前，需通過書面、線上彈窗、語音播報等清晰易懂的方式，向乙方告知：（1）收集信息的目的、方式、范圍；（2）信息存儲期限；（3）信息可能接收的第三方；（4）乙方的權(quán)利（查閱、復制、更正、刪除、撤回同意等）；（5）不提供信息的后果。收集敏感個人信息時，需獲得乙方的單獨書面同意；涉及跨境傳輸?shù)?，需單獨告知并取得明確同意。####三、患者信息的使用1.使用原則：甲方使用患者信息應(yīng)限于收集時聲明的目的，不得超出原目的使用；如需用于新目的，應(yīng)重新獲得乙方同意。2.使用場景：（1）診療服務(wù)：為乙方提供連續(xù)性醫(yī)療服務(wù)，如調(diào)閱歷史病歷、跨科室會診、制定個性化治療方案等；（2）內(nèi)部管理：醫(yī)院質(zhì)量改進、醫(yī)療差錯分析、醫(yī)護人員績效考核（需去標識化處理）；（3）共享與轉(zhuǎn)讓：-向關(guān)聯(lián)醫(yī)療機構(gòu)共享乙方信息用于診療協(xié)作時，需告知乙方并獲得同意；-向非關(guān)聯(lián)第三方共享信息時，必須獲得乙方書面明確同意，且第三方需具備相應(yīng)的信息保護能力；-禁止向無關(guān)第三方出售或交換乙方信息；（4）公開披露：除法律法規(guī)要求外，不得公開披露乙方信息；如需公開用于公益宣傳，需進行匿名化處理并獲得乙方書面同意。3.禁止行為：（1）不得用于商業(yè)營銷（除非乙方明確同意）；（2）不得用于自動化決策（需結(jié)合人工判斷）；（3）不得利用乙方信息進行人臉識別、信用評分等與診療無關(guān)的活動，除非乙方單獨同意。####四、患者信息的存儲與安全1.存儲期限：（1）診療信息：門診病歷保存不少于15年，住院病歷保存不少于30年；（2）健康管理信息：在服務(wù)關(guān)系結(jié)束后保存5年；（3）科研信息：科研項目結(jié)束后保存10年（需去標識化處理）；（4）超出存儲期限的信息，甲方應(yīng)刪除或匿名化處理（法律法規(guī)另有規(guī)定的除外）。2.存儲方式：（1）本地存儲：符合國家信息安全等級保護標準（如三級等保），設(shè)置訪問權(quán)限、加密存儲、安全審計日志；（2）云存儲：選擇具備國家認證資質(zhì)的服務(wù)商，簽訂數(shù)據(jù)處理協(xié)議，明確雙方安全責任；（3）備份與恢復：定期進行異地備份（如每月一次），制定數(shù)據(jù)恢復預案。3.安全保障措施：（1）技術(shù)措施：①訪問控制：根據(jù)崗位設(shè)置最小權(quán)限，僅相關(guān)人員因工作需要訪問信息，操作全程留痕；②加密技術(shù)：對傳輸中和存儲的信息采用國家認可的加密算法（如AES-256）；③安全審計：定期檢查信息訪問日志（如每季度一次），發(fā)現(xiàn)異常立即預警并核查；④漏洞修復：及時更新服務(wù)器、應(yīng)用程序的安全補丁。（2）管理措施：①制定《患者信息分類分級管理制度》《安全事件應(yīng)急預案》等內(nèi)部制度；②對接觸患者信息的員工每年進行不少于2次隱私保護培訓；③與員工簽訂保密協(xié)議，明確泄露信息的法律責任。4.安全事件處理：（1）發(fā)生信息泄露、篡改、丟失等安全事件，甲方應(yīng)立即啟動應(yīng)急預案，在24小時內(nèi)告知乙方，72小時內(nèi)向?qū)俚鼐W(wǎng)信部門、衛(wèi)生健康部門報告；（2）采取補救措施（如封存漏洞、通知受影響用戶、提供身份監(jiān)測服務(wù)等），減少損失；（3）事后對事件原因進行復盤，整改安全隱患并向監(jiān)管部門提交整改報告。####五、患者的權(quán)利與義務(wù)1.患者權(quán)利：（1）查閱、復制權(quán)：乙方有權(quán)查閱、復制本人信息，甲方應(yīng)在收到申請后5個工作日內(nèi)提供（可收取合理成本費）；（2）更正、補充權(quán)：如發(fā)現(xiàn)信息有誤，乙方有權(quán)要求更正或補充，甲方核實后應(yīng)在3個工作日內(nèi)處理；（3）刪除權(quán)：在下列情形下，乙方有權(quán)要求甲方刪除信息：①收集、使用信息的目的已實現(xiàn)或無法實現(xiàn)；②甲方停止提供醫(yī)療服務(wù)且無需繼續(xù)存儲信息；③乙方撤回同意；④法律法規(guī)規(guī)定的其他情形。如因法律法規(guī)要求需保留信息，甲方應(yīng)告知乙方并停止除存儲和必要安全保護措施之外的處理；（4）撤回同意權(quán)：乙方有權(quán)撤回之前對收集、使用、共享信息的同意，撤回后甲方應(yīng)停止相關(guān)處理，不影響撤回前基于同意已進行的合法處理；（5）解釋說明權(quán)：乙方有權(quán)要求甲方說明信息處理規(guī)則，甲方應(yīng)提供清晰、易懂的解釋；（6）獲取副本權(quán)：乙方有權(quán)要求獲取個人信息的副本，甲方應(yīng)提供兼容通用格式的數(shù)據(jù)。2.患者義務(wù)：（1）提供真實、準確的信息，因提供虛假信息導致的診療風險或法律責任，由乙方自行承擔；（2）妥善保管個人賬號密碼，因密碼泄露導致信息泄露的，甲方不承擔責任（除非甲方存在安全漏洞）；（3）行使權(quán)利時應(yīng)遵守法律法規(guī)，不得濫用權(quán)利（如頻繁無理要求刪除信息、干擾甲方正常運營）。####六、信息處理者的義務(wù)1.嚴格遵守《個保法》《基本醫(yī)療衛(wèi)生與健康促進法》等法律法規(guī)，制定內(nèi)部隱私保護政策，設(shè)立個人信息保護負責人，定期開展合規(guī)審計（每年至少一次）；2.通過線上平臺、院內(nèi)公示等方式公開隱私政策、聯(lián)系方式、權(quán)利行使流程，確保乙方便捷獲取信息；3.對乙方提出的權(quán)利請求，應(yīng)在15個工作日內(nèi)響應(yīng)并處理（復雜情況可延長，但需告知乙方）；4.配合網(wǎng)信、衛(wèi)生健康等部門的監(jiān)督檢查，提供相關(guān)信息和文檔；5.不得利用乙方信息從事違法違規(guī)活動，不得強迫乙方同意非必要的信息收集（如“不授權(quán)就無法掛號”等捆綁行為）。####七、違約責任1.甲方違約責任：（1）未履行告知義務(wù)、未獲得單獨同意或超范圍收集、使用信息的，乙方有權(quán)要求甲方刪除信息、賠禮道歉，并賠償直接損失；（2）未采取安全措施導致信息泄露、篡改、丟失的，應(yīng)承擔民事賠償責任（包括醫(yī)療費、誤工費、精神損害撫慰金等），衛(wèi)生健康部門可處以10萬元至100萬元罰款，對直接負責的主管人員和其他直接責任人員處以1萬元至10萬元罰款；（3）拒絕或拖延響應(yīng)乙方權(quán)利請求的，由衛(wèi)生健康部門責令改正，給予警告；情節(jié)嚴重的，處以罰款。2.乙方違約責任：（1）偽造、篡改本人信息或冒用他人身份信息的，甲方有權(quán)終止服務(wù)，并保留追究法律責任的權(quán)利；（2）濫用權(quán)利（如惡意投訴、干擾甲方正常運營）的，應(yīng)賠償甲方因此遭受的損失。####八、合同期限與終止1.合同期限：自雙方簽字蓋章之日起生效，至甲方停止向乙方提供醫(yī)療服務(wù)且信息存儲期限屆滿時終止。2.合同終止后的處理：甲方應(yīng)在合同終止后30日內(nèi)刪除乙方的患者信息（法律法規(guī)要求保留的除外），或進行匿名化處理；如因科研、司法等原因需繼續(xù)保留信息，甲方應(yīng)停止除存儲和必要安全保護措施之外的處理，并書面告知乙方。####九、法律適用與爭議解決1.法律適用：本合同適用中華人民共和國法律（不包括港澳臺地區(qū)法律）。2.爭議解決：雙方因履行本合同發(fā)生爭議，應(yīng)首先通過協(xié)商解決；協(xié)商不成的，任何一方均可向甲方所在地有管轄權(quán)的人民法院提起訴訟。####十、其他條款1.不