2025年次季度事業(yè)單位醫(yī)療數(shù)據(jù)跨境傳輸保密條款

2025事業(yè)單位醫(yī)療數(shù)據(jù)跨境傳輸保密條款?本合同共二部分組成，僅供學(xué)習(xí)使用，第一部分如下：鑒于甲方（數(shù)據(jù)提供方）為依法設(shè)立的事業(yè)單位，注冊(cè)地址位于_________【省/市/自治區(qū)】_________【區(qū)/縣】_________【街道/鎮(zhèn)】_________【具體門牌號(hào)】，統(tǒng)一社會(huì)信用代碼為_________；乙方（數(shù)據(jù)接收方）為注冊(cè)于_________【國家/地區(qū)】_________【州/省】_________【城市】_________【具體地址】的法人實(shí)體，業(yè)務(wù)范圍為_________。為規(guī)范醫(yī)療數(shù)據(jù)跨境傳輸行為，保障數(shù)據(jù)安全與個(gè)人信息權(quán)益，依據(jù)《中華人民共和國個(gè)人信息保護(hù)法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國網(wǎng)絡(luò)安全法》及相關(guān)法律法規(guī)，雙方達(dá)成如下協(xié)議：第一條定義條款1.1“醫(yī)療數(shù)據(jù)”指甲方在履行公共醫(yī)療服務(wù)職責(zé)過程中收集、的與個(gè)人健康相關(guān)的數(shù)據(jù)，包括但不限于病歷記錄、診斷結(jié)果、檢驗(yàn)報(bào)告、影像資料、基因信息及生物識(shí)別信息。1.2“跨境傳輸”指將醫(yī)療數(shù)據(jù)從中華人民共和國境內(nèi)傳輸至境外機(jī)構(gòu)、組織或個(gè)人的行為。1.3“數(shù)據(jù)處理活動(dòng)”包括數(shù)據(jù)的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開、刪除等全生命周期操作。第二條數(shù)據(jù)范圍與分類2.1甲方擬向乙方傳輸?shù)尼t(yī)療數(shù)據(jù)類別為_________，具體字段包括_________。2.2數(shù)據(jù)分類級(jí)別為_________（如一般數(shù)據(jù)、重要數(shù)據(jù)、核心數(shù)據(jù)），依據(jù)_________【具體標(biāo)準(zhǔn)或文件名稱】確定。第三條傳輸目的與合法性基礎(chǔ)3.1傳輸目的限定為_________，未經(jīng)甲方書面同意，乙方不得將數(shù)據(jù)用于其他用途。3.2合法性基礎(chǔ)包括：（1）已取得數(shù)據(jù)主體的明示同意，同意書包含_________【具體內(nèi)容】；（2）為履行法定職責(zé)或法定義務(wù)所必需；（3）其他合法情形：_________。第四條數(shù)據(jù)傳輸授權(quán)4.1甲方授權(quán)乙方在_________【期限】?jī)?nèi)接收并處理本協(xié)議約定的醫(yī)療數(shù)據(jù)。4.2乙方不得將數(shù)據(jù)二次傳輸至第三方，除非獲得甲方及_________【主管部門名稱】的書面批準(zhǔn)。第五條數(shù)據(jù)安全義務(wù)（1）加密傳輸：使用_________【算法類型】加密技術(shù)，密鑰管理方案為_________；（2）存儲(chǔ)保護(hù)：數(shù)據(jù)保存于_________【國家/地區(qū)】的服務(wù)器，符合_________【安全認(rèn)證標(biāo)準(zhǔn)】；（3）訪問控制：實(shí)行_________【如多因素認(rèn)證、權(quán)限分級(jí)】機(jī)制。5.2乙方應(yīng)每_________【時(shí)間單位】開展一次數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估，并向甲方提交報(bào)告。第六條保密義務(wù)6.1乙方及其關(guān)聯(lián)方、雇員、代理人應(yīng)對(duì)醫(yī)療數(shù)據(jù)嚴(yán)格保密，保密期限為自數(shù)據(jù)傳輸之日起_________年。（1）該信息已合法公開；（2）依法應(yīng)司法機(jī)關(guān)或監(jiān)管部門要求披露。第七條數(shù)據(jù)主體權(quán)利7.1乙方應(yīng)建立機(jī)制協(xié)助甲方響應(yīng)數(shù)據(jù)主體的查詢、復(fù)制、更正、刪除等請(qǐng)求，響應(yīng)時(shí)限不超過_________個(gè)工作日。7.2數(shù)據(jù)主體行使刪除權(quán)時(shí)，乙方須在_________日內(nèi)徹底銷毀相關(guān)數(shù)據(jù)并提供書面證明。第八條數(shù)據(jù)本地化要求8.1乙方須在中華人民共和國境內(nèi)設(shè)立數(shù)據(jù)存儲(chǔ)節(jié)點(diǎn)，境外服務(wù)器僅可存儲(chǔ)_________【數(shù)據(jù)類型】的_________【如匿名化數(shù)據(jù)】。8.2數(shù)據(jù)備份周期為_________，備份保留期限為_________年。第九條安全事件應(yīng)對(duì)9.1發(fā)生數(shù)據(jù)泄露、篡改、丟失等事件時(shí)，乙方須在_________小時(shí)內(nèi)通知甲方及_________【監(jiān)管部門名稱】，并提交事件報(bào)告與補(bǔ)救方案。9.2因乙方過錯(cuò)導(dǎo)致安全事件的，其應(yīng)承擔(dān)_________【如賠償金額計(jì)算方式】的賠償責(zé)任。第十條合規(guī)審計(jì)10.1甲方有權(quán)委托_________【審計(jì)機(jī)構(gòu)名稱】對(duì)乙方的數(shù)據(jù)處理活動(dòng)進(jìn)行審計(jì)，頻次為每年不超過_________次。10.2審計(jì)費(fèi)用由_________方承擔(dān)，乙方應(yīng)配合提供必要文件與訪問權(quán)限。第十一條合同變更與終止11.1任何條款修改須經(jīng)雙方書面同意，并報(bào)_________【審批機(jī)關(guān)名稱】備案。（1）乙方違反保密義務(wù)或安全義務(wù)且未在_________日內(nèi)補(bǔ)救；（2）乙方所在國家/地區(qū)法律變更導(dǎo)致數(shù)據(jù)保護(hù)水平低于中國要求。第十二條違約責(zé)任12.1乙方違約導(dǎo)致甲方遭受損失的，賠償范圍包括直接損失、合理維權(quán)費(fèi)用及_________【其他約定】。12.2違約金計(jì)算方式為_________，最高不超過合同總金額的_________%。第十三條不可抗力13.1因戰(zhàn)爭(zhēng)、自然災(zāi)害、流行病等不可抗力導(dǎo)致無法履行合同的，受影響方應(yīng)在_________日內(nèi)提交證明文件。13.2不可抗力持續(xù)超過_________日的，雙方可協(xié)商解除合同。第十四條法律適用與爭(zhēng)議解決14.1本合同適用_________【法律名稱】，爭(zhēng)議提交_________【仲裁機(jī)構(gòu)/法院名稱】解決。14.2訴訟/仲裁期間，非爭(zhēng)議條款仍須履行。第十五條知識(shí)產(chǎn)權(quán)15.1醫(yī)療數(shù)據(jù)的所有權(quán)、衍生數(shù)據(jù)知識(shí)產(chǎn)權(quán)歸屬_________方。15.2乙方利用數(shù)據(jù)形成的成果需用于_________【特定用途】，且須標(biāo)注數(shù)據(jù)來源。第十六條第三方責(zé)任16.1乙方委托的第三方處理機(jī)構(gòu)須符合_________【資質(zhì)要求】，且與乙方承擔(dān)連帶責(zé)任。16.2第三方合同副本須于簽訂后_________日內(nèi)提交甲方備案。第十七條通知與送達(dá)17.1雙方通訊地址為_________（甲方）、_________（乙方），書面通知須經(jīng)簽收生效。17.2電子送達(dá)方式為_________，視為有效送達(dá)條件包括_________。第十八條合同效力18.1本合同自_________【生效條件】起生效，有效期_________年。18.2合同正本一式_________份，雙方各執(zhí)_________份，具有同等法律效力。第十九條其他約定19.1未盡事宜由雙方另行簽訂補(bǔ)充協(xié)議，補(bǔ)充協(xié)議與本合同沖突時(shí)以_________為準(zhǔn)。19.2合同條款部分無效不影響其他條款的效力。第二部分：第三方介入后的修正第二十條第三方定義與類型（1）數(shù)據(jù)中介服務(wù)方：為甲乙雙方提供數(shù)據(jù)傳輸通道、技術(shù)支持或合規(guī)咨詢的獨(dú)立機(jī)構(gòu)；（2）數(shù)據(jù)處理受托方：受乙方委托對(duì)醫(yī)療數(shù)據(jù)進(jìn)行清洗、分析或匿名化處理的實(shí)體；（3）技術(shù)提供方：為數(shù)據(jù)存儲(chǔ)、加密或訪問控制提供基礎(chǔ)設(shè)施的供應(yīng)商。20.2第三方不得為甲方或乙方的關(guān)聯(lián)企業(yè)，且須獨(dú)立承擔(dān)與本協(xié)議相關(guān)的法律責(zé)任。第二十一條第三方準(zhǔn)入條件（1）第三方的合法注冊(cè)證明及業(yè)務(wù)資質(zhì)文件；（2）第三方數(shù)據(jù)處理能力說明及安全認(rèn)證證書（如_________【ISO27001、HIPAA】）；（3）第三方所在國家/地區(qū)的數(shù)據(jù)保護(hù)法律文本及與中國的合規(guī)性對(duì)比報(bào)告。21.2甲方有權(quán)在收到材料后_________個(gè)工作日內(nèi)提出異議，未書面反對(duì)的視為同意。第二十二條第三方責(zé)任劃分（1）第三方數(shù)據(jù)處理范圍及限制；（2）第三方保密義務(wù)的履行標(biāo)準(zhǔn)；（3）第三方違約時(shí)的賠償機(jī)制及追責(zé)路徑。22.2第三方因故意或重大過失導(dǎo)致數(shù)據(jù)泄露的，乙方與第三方承擔(dān)連帶賠償責(zé)任。第二十三條數(shù)據(jù)再傳輸限制23.1未經(jīng)甲方書面許可，第三方不得將醫(yī)療數(shù)據(jù)再次傳輸至第四方。23.2第三方需在_________【國家/地區(qū)】境內(nèi)完成數(shù)據(jù)處理，境外操作僅允許用于_________【特定環(huán)節(jié)】且數(shù)據(jù)留存時(shí)間不得超過_________日。第二十四條第三方安全義務(wù)24.1第三方須實(shí)施與乙方同等或更高標(biāo)準(zhǔn)的安全措施，包括：（1）數(shù)據(jù)分類存儲(chǔ)：敏感數(shù)據(jù)與一般數(shù)據(jù)隔離存儲(chǔ)于_________【物理/邏輯】獨(dú)立區(qū)域；（2）日志留存：操作日志完整記錄并保存至少_________年，日志內(nèi)容包括_________【訪問時(shí)間、操作人員、數(shù)據(jù)類型】；（3）漏洞修復(fù)：發(fā)現(xiàn)系統(tǒng)漏洞后應(yīng)在_________小時(shí)內(nèi)啟動(dòng)修復(fù)并通知甲乙雙方。24.2第三方須每_________個(gè)月接受一次甲方或甲方指定機(jī)構(gòu)的滲透測(cè)試。第二十五條第三方人員管理25.1第三方接觸醫(yī)療數(shù)據(jù)的員工須簽署保密協(xié)議，保密期限不因勞動(dòng)關(guān)系終止而失效。25.2第三方須對(duì)核心崗位人員（如數(shù)據(jù)庫管理員、系統(tǒng)架構(gòu)師）進(jìn)行背景調(diào)查，調(diào)查范圍包括_________【犯罪記錄、職業(yè)信用】。第二十六條第三方變更與退出（1）股權(quán)結(jié)構(gòu)變更導(dǎo)致實(shí)際控制人變化；（2）主營業(yè)務(wù)調(diào)整影響數(shù)據(jù)處理能力；（3）被監(jiān)管機(jī)構(gòu)列入黑名單或處罰。26.2第三方退出項(xiàng)目時(shí)，須在_________日內(nèi)移交全部數(shù)據(jù)并銷毀副本，移交過程由_________【獨(dú)立機(jī)構(gòu)名稱】監(jiān)督。第二十七條第三方審計(jì)與監(jiān)管（1）數(shù)據(jù)安全管理制度及執(zhí)行記錄；（2）員工保密培訓(xùn)檔案；（3）近三年安全事件處理報(bào)告。27.2第三方所在司法管轄區(qū)的監(jiān)管部門調(diào)取醫(yī)療數(shù)據(jù)時(shí)，第三方須立即通知乙方，并由乙方在_________小時(shí)內(nèi)向甲方報(bào)備。第二十八條第三方違約責(zé)任（1）擅自將數(shù)據(jù)用于本協(xié)議外的用途；（2）未履行安全措施導(dǎo)致數(shù)據(jù)大規(guī)模泄露；（3）拒絕配合甲方或乙方的合規(guī)檢查。28.2違約處理方式包括：（1）支付合同總金額_________%的違約金；（2）承擔(dān)甲方因維權(quán)產(chǎn)生的訴訟費(fèi)、鑒定費(fèi)；（3）甲方有權(quán)直接終止乙方與第三方的合作。第二十九條第三方知識(shí)產(chǎn)權(quán)歸屬29.1第三方在履行協(xié)議過程中產(chǎn)生的技術(shù)成果（如算法模型、分析報(bào)告），知識(shí)產(chǎn)權(quán)歸屬_________方，使用權(quán)分配方式為_________。29.2第三方不得對(duì)醫(yī)療數(shù)據(jù)進(jìn)行反向工程或提取未授權(quán)的特征信息。第三十條第三方費(fèi)用承擔(dān)30.1乙方與第三方的合作費(fèi)用由_________方承擔(dān)，甲方不因此增加任何支付義務(wù)。30.2因第三方原因?qū)е潞贤男谐杀驹黾拥?，超額部分由_________方承擔(dān)。第三十一條爭(zhēng)議解決擴(kuò)展31.1涉及第三方的爭(zhēng)議，優(yōu)先適用_________【法律名稱】，若第三方法律與主合同沖突，以_________為準(zhǔn)。31.2第三方須書面同意接受_________【仲裁機(jī)構(gòu)/法院】的管轄，不得以主權(quán)豁免為由抗辯。第三十二條合同效力銜接32.1本部分條款為原合同的補(bǔ)充，與原合同具有同等效力，沖突時(shí)以本部分為準(zhǔn)。32.2第三方簽署本協(xié)議附件《第三方承諾函》后，方具備參與項(xiàng)目的資格。甲方（數(shù)據(jù)提供方）：名稱：_________注冊(cè)地址：_________統(tǒng)一社會(huì)信用代碼：_________法定代表人（簽字）：______