原创力文档- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
健康管理信息安全协议
健康管理信息安全协议
甲方(信息提供方/委托方):
统一社会信用代码:__________
地址:____________________
联系人:__________联系电话:__________
乙方(信息处理方/服务提供方):
统一社会信用代码:__________
地址:____________________
联系人:__________联系电话:__________
鉴于
1.甲方委托乙方提供健康管理服务(含健康评估、随访、咨询等,具体见《健康管理服务协议》),需向乙方提供相关健康管理信息;
2.健康管理信息包含个人敏感信息(如健康状况、医疗记录、生物识别特征等),受《中华人民共和国个人信息保护法》《网络安全法》《数据安全法》等法律法规严格保护;
3.双方为明确信息安全权责、保障信息主体合法权益,经平等协商达成本协议。
第一条术语定义
1.健康管理信息:指甲方为实现健康管理服务目的,向乙方提供的与个人健康相关的所有信息,包括但不限于:
-个人身份信息(姓名、身份证号、联系方式、生物识别信息);
-健康核心信息(体检报告、既往病史、用药记录、生活习惯、运动数据);
-服务过程信息(咨询记录、随访日志、干预方案)。
2.敏感个人信息:指一旦泄露或非法使用,可能导致个人名誉受损、健康权益受损或财产损失的信息,含本协议第一条第1款中所有健康核心信息及生物识别信息。
3.信息处理:包括收集、存储、使用、加工、传输、提供、公开、删除等行为。
第二条信息安全基本原则
双方应严格遵守:
1.合法正当必要:仅为实现健康管理服务目的处理信息,不超范围、超期限;
2.最小必要:仅收集、使用与服务直接相关的信息,不收集无关信息;
3.安全保障:采取与风险相匹配的技术和管理措施,防止信息泄露、篡改、丢失;
4.透明告知:甲方需提前向信息主体(个人用户)告知信息处理规则,乙方需向甲方确认信息主体已明确同意。
第三条信息处理范围与限制
1.处理目的:仅用于向甲方及信息主体提供约定的健康管理服务,不得用于广告营销、商业推广等其他目的(甲方书面授权除外);
2.处理范围:以《健康管理服务协议》约定的服务内容为限,不得擅自扩大;
3.处理方式:仅通过双方约定的系统(如甲方授权的健康管理平台)传输、存储,不得通过非加密渠道(如普通邮件、即时通讯工具)传输敏感信息。
第四条乙方信息安全义务(核心条款)
(一)技术安全措施
1.加密防护:
-敏感信息传输采用TLS1.2及以上加密协议,存储采用AES-256加密算法;
-生物识别信息需去标识化处理,不得存储原始模板。
2.访问控制:
-实行“最小权限原则”,仅授权乙方直接参与健康管理服务的员工访问,不同岗位权限不得交叉;
-所有信息访问需记录操作日志(含访问时间、操作内容、IP地址),日志留存不少于1年。
3.数据防护:
-定期(每季度)开展漏洞扫描、渗透测试,及时修复安全隐患;
-建立异地备份机制,备份数据加密存储,备份频率不低于每日1次,备份介质异地存放(与生产环境物理隔离)。
(二)管理安全措施
1.制度与培训:
-制定《健康管理信息安全管理制度》《员工信息安全操作规范》,明确岗位安全职责;
-对员工开展入职安全培训(含法律法规、操作流程)及年度复训,考核合格方可上岗,培训记录留存不少于2年。
2.第三方管控:
-如需委托第三方处理信息(如数据存储、分析),需经甲方书面同意,并与第三方签订《信息安全保密协议》,明确第三方安全责任,乙方承担连带责任;
-不得向任何未授权第三方提供信息(法律法规强制要求除外,需在24小时内书面通知甲方)。
3.应急响应:
-制定《信息安全事件应急预案》,明确泄露、篡改、丢失等事件的处置流程;
-发生安全事件后,立即启动预案,24小时内书面通知甲方及信息主体(符合《个人信息保护法》第五十七条要求),配合监管部门调查,采取补救措施(如停止服务、删除非法数据)。
(三)信息存储与删除
1.存储期限:信息存储期限与服务协议有效期一致,服务终止后15个工作日内完成删除;
2.删除方式:敏感信息需彻底删除(物理销毁存储介质或逻辑删除至无法恢复),删除记录需经甲方确认。
第五条甲方信息安全义务
1.确保向乙方提供的信息真实、准确,并已取得信息主体的单独书面同意(敏感信息需明确告知处理目的、范围、期限);
2.配合乙方落实安全措施(如提供授权、更新信息主体同意文件);
3.如信息主体提出查询、更正、删除信息的请求,甲方需及时通知乙方,乙方应在10个工作日内配合处理。
第六条违约责任
1.乙方违反本协议义务,导致信息泄露、篡改、丢失的:
-甲方有权要求乙方立即整改,逾期未整改的,甲方可解除服务协议;
-乙方需赔偿甲方及信息主体的全部损失(含直接损失、间接损失、行政罚款
文档评论(0)