2025年医疗信息化数据安全合同（医院用）.docxVIP

2025年医疗信息化数据安全合同（医院用）

甲方（委托方/服务接受方）：[医院全称]

法定代表人/授权代表：[姓名]

地址：[医院地址]

统一社会信用代码：[医院代码]

联系方式：[电话、邮箱]

乙方（服务提供方/义务承担方）：[技术服务公司全称]

法定代表人/授权代表：[姓名]

地址：[公司地址]

统一社会信用代码：[公司代码]

联系方式：[电话、邮箱]

鉴于甲方拥有或控制医疗信息化数据（以下简称“数据”），并委托乙方提供医疗信息化相关的产品、服务及解决方案；鉴于乙方具备提供相关服务的能力和资质；鉴于甲乙双方希望在符合国家及地方法律法规（特别是2025年及以后实行的医疗信息化及数据安全相关法律法规，包括但不限于《网络安全法》、《数据安全法》、《个人信息保护法》及其修订或解释）的前提下，明确双方在数据安全保护方面的权利和义务；

根据《中华人民共和国民法典》及相关法律法规，经双方友好协商，达成如下协议，以资共同遵守。

第一条服务内容与范围

1.1乙方根据甲方的需求及本协议约定，向甲方提供以下服务（包括但不限于）：

（1）医疗信息系统的设计、开发、部署、集成与定制；

（2）甲方现有数据迁移、数据清洗、数据标准化服务；

（3）甲方医疗信息系统的系统运维、技术支持、版本升级服务；

（4）基于甲方授权数据的分析、报表服务等；

（5）为甲方提供的数据安全咨询、风险评估、安全加固服务；

（6）双方约定的其他服务。

1.2本协议所涵盖的数据范围包括但不限于在履行本协议服务过程中，由乙方接触、处理、存储的甲方拥有的或控制的医疗数据，具体包括：

（1）患者个人信息，如姓名、身份证号码、手机号码、电子邮箱地址、住址等；

（2）患者健康信息，如诊断记录、病史资料、检查检验结果、影像资料、治疗方案、医疗费用信息等；

（3）医疗机构的运营数据、管理数据；

（4）其他与甲方医疗信息化系统相关的数据。

1.3除非本协议另有约定或法律法规另有规定，乙方不得处理本协议范围之外的数据，不得将包含敏感个人信息的医疗数据用于本协议约定的服务目的之外，亦不得向任何第三方提供（除非获得甲方事先的书面同意或法律法规要求）。

第二条数据安全责任与措施

2.1双方确认，甲方作为数据控制者，对数据的合法合规使用负最终责任。乙方作为数据处理者及服务提供者，在服务过程中对所处理的数据承担直接的安全保护责任，应采取必要的技术和管理措施，确保数据的安全。

2.2乙方应遵守国家及地方法律法规及行业标准关于数据安全的各项要求，建立健全的数据安全管理制度，并确保甲方数据的机密性、完整性、可用性。

2.3乙方应采取以下至少一项或多项技术措施保障数据安全：

（1）对传输中的数据进行加密，例如使用TLS/SSL等安全协议；

（2）对存储的数据进行加密，包括数据库加密、文件加密等；

（3）实施严格的访问控制策略，采用基于角色的访问控制机制，遵循最小权限原则，对用户进行身份认证（宜采用多因素认证），并定期进行权限审计；

（4）建立完善的安全审计机制，记录数据访问、系统操作及安全事件，并实施监控告警；

（5）定期进行安全漏洞扫描和风险评估，及时修复已知漏洞，并保持系统和安全设备的更新；

（6）实施可靠的数据备份和恢复机制，明确备份频率、存储方式、存储位置、保留期限，并定期进行恢复测试；

（7）配置和维护网络安全设备，如防火墙、入侵检测/防御系统，划分网络区域并实施隔离；

（8）在涉及开发、测试、数据分析等场景，按照甲方要求或行业标准对涉及个人信息的敏感数据进行脱敏处理。

2.4乙方应采取以下管理措施保障数据安全：

（1）制定并实施覆盖数据全生命周期的安全管理制度和操作规程；

（2）对接触或可能接触敏感数据的乙方人员进行背景审查（如适用）、签署保密协议、进行必要的安全意识培训和定期考核；

（3）若需使用第三方服务或产品涉及甲方数据，应要求第三方承担不低于本协议要求的数据安全责任，并接受乙方的监督；

（4）建立并完善数据安全事件应急预案，明确事件的报告、处置流程和协作机制；

（5）确保数据处理活动符合国家关于数据分类分级保护的要求，并根据甲方要求或评估结果，对重要数据实施更高级别的保护。

2.5甲方应配合乙方履行数据安全保护义务，提供必要的技术接口和管理支持，并对其自身的数据安全管理体系负责。

第三条数据保密

3.1甲乙双方应对在本协议履行过程中获知的对方的商业秘密、技术信息以及甲方的医疗数据等未公开信息（以下简称“保密信息”）承担保密义务。

3.2保密信息包括但不限于本协议内容、甲方的组织架构、运营模