2025年智能仓储系统数据安全协议（医药监管）.docxVIP

2025年智能仓储系统数据安全协议（医药监管）

鉴于甲方（用户方）因运营医药仓储业务需要，拟使用乙方（服务提供商）提供的“智能仓储系统”（以下简称“系统”）进行仓储管理及相关数据存储、处理与应用；鉴于甲乙双方在平等、自愿、公平和诚实信用的基础上，根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《中华人民共和国药品管理法》及药品经营质量管理规范（GSP）等相关法律法规的规定，经友好协商，就系统相关的数据安全保障事宜达成以下协议，以资共同遵守：

第一条定义与范围

1.1除非本协议上下文另有解释，下列词语具有以下含义：

（1）“系统”指由乙方开发、部署、维护并提供服务的智能仓储系统，包括但不限于硬件设备（含传感器、终端、服务器等）、软件平台（含数据库、应用程序、管理界面等）及其产生的数据。

（2）“数据”指在系统运行过程中直接或间接产生的各类信息，包括但不限于药品基本信息（名称、规格、批号、生产日期、有效期、生产厂家等）、库存数量与位置、出入库记录、温湿度监控数据、设备运行状态、操作人员信息、用户登录与操作日志、系统配置参数、通过系统交互产生的其他业务数据以及任何个人信息。

（3）“核心数据”指直接关系药品质量安全、追溯、库存管理的关键数据，如药品电子监管码信息、批号、有效期、出入库时间、精确温湿度记录、操作人员及时间戳等。

（4）“个人信息”指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

（5）“保密信息”指本协议项下由一方（披露方）向另一方（接收方）披露的、标有“保密”字样或根据其性质应被合理认定为保密的所有技术信息、商业信息、经营信息、用户数据等。

（6）“医药监管要求”指国家及地方药品监督管理部门发布的关于药品生产、流通、追溯、仓储管理等环节的所有现行有效的法律法规、规章、标准和技术规范。

1.2本协议的“范围”包括但不限于系统所处理、存储、传输的所有数据，以及为保障数据安全所采取的技术措施、管理措施和物理防护措施。本协议适用于系统从设计、开发、部署、运营到终止的整个生命周期，以及所有参与系统使用、管理、维护的相关人员。

第二条数据安全责任划分

2.1乙方责任：

（1）确保系统的设计、开发、测试符合国家网络安全、数据安全及个人信息保护的相关法律法规和标准，具备合理的安全防护能力，能够抵御常见的网络攻击。

（2）采取必要的技术措施保障系统及数据的安全，包括但不限于：网络边界防护、入侵检测与防御、系统漏洞扫描与修复、数据传输加密、数据存储加密（特别是核心数据和敏感个人信息）、访问控制（基于角色的最小权限原则、多因素认证）、安全审计日志（记录关键操作和访问行为）等。

（3）负责对部署系统运行环境的物理安全，保障机房等设施符合安全标准，防止未经授权的物理访问、破坏或自然灾害影响。

（4）建立并维护数据备份与恢复机制，确保在发生故障或灾难时能够及时恢复数据，并定期进行备份有效性测试。

（5）确保系统具备支持药品电子监管码合规赋码、存储、查询及与国家或地方药品追溯体系对接的功能，并保障该功能的稳定运行和数据准确性。

（6）负责监控系统安全状况，定期进行安全评估和渗透测试，及时发现并处置安全风险。

（7）遵守医药监管要求，确保系统设计支持相关记录的电子化、可追溯、可查询，并满足GSP等规范对仓储管理数据的要求。

（8）在发生数据安全事件时，按照约定及时通知甲方，并配合甲方进行应急处置和调查。

2.2甲方责任：

（1）遵守国家法律法规及医药监管要求，合法合规地使用系统及处理数据，确保所有操作符合GSP等规范。

（2）建立并完善内部数据安全管理制度和操作规程，明确数据访问、使用、存储、传输、删除等环节的要求，并对相关人员进行培训和管理。

（3）负责管理用户账号，遵循最小权限原则分配访问权限，定期更换密码，并确保用户知晓并遵守保密义务。

（4）如需通过外部接口（如API）连接其他系统，负责确保接口调用的安全性，防止数据泄露或滥用。

（5）配合乙方进行系统维护、升级和安全审计，提供必要的信息和访问权限。

（6）在发生可能影响系统安全或违反本协议的行为时，及时通知乙方。

（7）负责管理涉及甲方的个人信息，确保获取必要的用户授权，并按照法律法规要求处理个人信息。

（8）在发生数据安全事件时，按照约定及时采取应对措施，通知乙方，并向相关监管机构报告。

第三条数据访问与使用控制

3.1乙方仅能根据甲方的合法授权和指令，在为甲方提供系统服务所必需的范围内访问甲方数据。乙方