医疗机构与患者隐私保护合同协议.docx

医疗机构与患者隐私保护合同协议 本合同由以下双方于 ______ 年 ______ 月 ______ 日在 ______ 签订： 甲方（医疗机构）：__________（以下简称“机构”） 法定代表人/负责人：__________ 统一社会信用代码：__________ 乙方（患者）：__________（以下简称“患者”） 身份证号码/护照号码：__________ 一、鉴于机构依法设立并从事医疗服务，需在提供服务过程中收集、使用、处理乙方的个人健康信息及其他相关隐私信息；乙方作为患者，接受机构的医疗服务，并希望其隐私信息得到合法、合规、安全的保护。根据《中华人民共和国个人信息保护法》、《中华人民共和国网络安全法》等相关法律法规，甲乙双方在平等自愿、协商一致的基础上，达成如下协议，以资共同遵守。 二、本协议所称“隐私信息”是指机构在为乙方提供医疗服务或相关活动中收集、获取的，能够单独或者与其他信息结合识别乙方身份以及属于私密性质的个人健康信息和其他个人信息，具体包括但不限于：乙方的姓名、身份证号码、出生日期、性别、民族、职业、住址、联系方式（电话号码、电子邮箱地址等）、家庭状况、教育背景等个人身份信息；乙方的既往病史、生理特征、病理资料、化验数据、影像资料、健康检查结果、诊断结论、治疗方案、康复过程、医疗服务记录、基因遗传信息、精神健康信息、医疗费用支付信息等个人健康信息；以及乙方为获得医疗服务而向机构提供的其他与健康状况相关的个人信息。 三、机构处理乙方的隐私信息，应遵循合法、正当、必要、诚信、最小化处理、公开透明、确保安全的原则，不得违反法律法规的规定，不得损害乙方的合法权益。 四、机构在收集乙方隐私信息前或同时，应以清晰、易懂的方式向乙方告知本协议约定的隐私信息处理规则，包括收集、使用、存储、共享、披露、保留和删除等事项。告知方式包括但不限于在服务场所的公告、官方网站或移动应用程序的显著位置发布隐私政策、在挂号、登记或诊疗过程中口头告知并记录告知情况、提供书面隐私政策供乙方阅读后确认等。机构应确保乙方在提供信息前已充分理解告知内容。 五、机构收集乙方隐私信息的目的限于为乙方提供医疗卫生服务、维护和增进乙方健康、进行临床研究、医学教育、行政管理、医疗保险结算、法律法规规定的报告义务、以及乙方同意的其他目的。机构不得将收集的隐私信息用于本协议约定目的之外的其他用途，除非获得乙方另行明确的书面同意或法律法规另有规定。 六、机构应采取必要的技术和管理措施，保障乙方隐私信息的安全，包括但不限于：（一）建立访问控制机制，确保只有授权人员才能在必要时访问隐私信息；（二）采取加密等技术手段保护传输和存储中的隐私信息；（三）定期进行安全风险评估和漏洞扫描，采取修补措施；（四）对接触隐私信息的员工进行保密教育和培训，并签订保密协议；（五）制定并组织实施隐私信息安全事件应急预案；（六）确保信息系统符合国家安全标准，防止未经授权的访问、泄露、篡改、丢失。机构应定期评估和更新所采取的安全保护措施，以应对不断变化的安全风险。 七、乙方隐私信息的存储期限应根据法律法规的规定、医疗服务的实际需要以及保障患者健康权益的要求确定。对于诊疗记录等主要健康信息，机构应按照国家有关规定和行业规范确定并执行最低存储期限。存储期限届满后，机构应按照规定对隐私信息进行安全删除或进行匿名化处理，除非法律、法规或监管机构要求保留。 八、机构在以下情形下，可以与第三方共享或披露乙方的隐私信息：（一）获得乙方明确、单独的书面同意；（二）为完成乙方在接受机构服务的相关诊疗活动，需要与该机构内参与诊疗服务的其他部门或人员、或与乙方协商一致的其他医疗机构（包括但不限于转诊机构、会诊机构）共享必要信息；（三）基于公共利益、履行法定职责或行使法定权利的需要，如配合公共卫生调查、疾病预防控制、司法调查、行政监管等，且已尽到合理通知或说明义务；（四）为提供与医疗服务相关的辅助服务，如预约挂号系统、检验检查结果通知、医疗费用结算等，但服务提供方必须签订协议，承诺对获取的隐私信息承担保密义务，并仅用于提供约定的服务；（五）乙方去世后，为完成其遗愿、处理继承事务或进行医学研究（已获得伦理委员会批准且符合保密要求）等目的，需要向有权机构或人员披露其部分隐私信息。机构在共享或披露前，应采取严格措施，确保接收方能够妥善保护信息安全，并仅限于实现约定目的所必需的最小范围。 九、在法律法规规定或为履行诊疗义务所必需，且对乙方健康有利的前提下，机构在征得乙方明确同意或无特殊情况（如紧急情况）的前提下，可能需要将乙方的部分隐私信息披露给第三方，如保险机构、雇主（应基于乙方明确授权）等。机构应向乙方告知披露的对象、内容和目的，并征得乙方同意。 十、乙方依法享有访问、更正、删除、撤回授权、限制处理、可携带其隐私信息的权利。乙方行使权利时，应向机构指定部门或联系人提出书面申请，并提供身份证明。机构应在收到申请后，根据法律法规规定和本协议约定，在合理期限内响应，除有法定例外情形外，应满足乙方的合理请求。机构应提供便捷的方式供乙方查询其隐私信息的处理情况，并应在不损害公共利益、他人合法权益的前提下，以乙方可理解的方式提供其隐私信息的副本。 十一、乙方在提供医疗服务过程中，有义务向机构如实提供其已知悉的个人健康信息。乙方对于机构在服务过程中告知的涉及他人隐私的信息，或因参与诊疗活动而获取的其他患者的隐私信息，有义务承担保密责任，不得泄露、篡改或用于约定目的之外。 十二、若乙方授权机构使用其部分隐私信息（如参与临床试验、健康管理等），乙方有权撤回其授权，但撤回授权不影响在授权期间基于授权已进行的处理，且对于因撤回授权而产生的费用或对机构造成的损失，乙方应承担相应责任（若损失系因机构过错造成则除外）。 十三、因机构违反本协议约定或相关法律法规，造成乙方隐私信息泄露、篡改、丢失、被非法使用或披露，导致乙方人身、财产权益受到损害的，机构应依法承担相应的赔偿责任。赔偿范围包括但不限于医疗费、误工费、精神损害抚慰金等实际损失。机构应采取补救措施防止损害扩大。 十四、因第三方原因（如黑客攻击、系统故障、内部人员恶意泄露等）导致乙方隐私信息泄露或被非法使用的，在机构已采取行业标准安全措施但仍发生安全事件的，机构在承担与其过错程度相应的责任后，有权向该第三方追偿。机构应在安全事件发生后，及时采取补救措施，并告知乙方。 十五、本协议的任何变更，须经甲乙双方协商一致，并以书面形式作出补充协议。补充协议与本协议具有同等法律效力。任何一方不得单方面变更本协议内容。 十六、本协议未尽事宜，依照中华人民共和国相关法律法规执行。 十七、本协议自双方签字或盖章之日起生效。协议有效期内，如相关法律法规发生变更，双方应遵循新的法律法规规定。协议约定的隐私信息处理规则，在法律法规有更严格规定的，从其规定。 十八、本协议的争议解决方式：因本协议引起的或与本协议有关的任何争议，双方应首先通过友好协商解决；协商不成的，任何一方均有权向机构所在地有管辖权的人民法院提起诉讼。 十九、本协议一式两份，甲乙双方各执一份，具有同等法律效力。 甲方（盖章）：__________ 授权代表（签字）：__________ 日期：______年______月______日 乙方（签字或盖章）：__________ 日期：______年______月______日