2024年3月份临床试验合同台账受试者隐私保护方案

2025年临床试验合同台账受试者隐私保护方案本合同共二部分组成，仅供学习使用，第一部分如下：第一条定义与解释1.1“受试者隐私信息”指试验过程中收集的与受试者身份、健康状况、生物样本、遗传信息等相关的所有数据，包括但不限于_________。1.2“数据处理”包括信息的收集、存储、使用、加工、传输、提供、公开、删除等行为。1.3“第三方”指除申办方、研究机构及直接参与试验的_________（如检测机构、数据管理公司）外的其他主体。第二条隐私保护原则2.1合法性原则：所有数据处理行为应符合现行法律法规及伦理审查要求。2.2最小必要原则：仅收集与试验目的直接相关且最低限度的隐私信息。2.3保密性原则：未经受试者明示同意或法律授权，不得向任何第三方披露隐私信息。第三条数据收集规范3.1研究机构应通过_________（如电子病历系统、纸质表格）收集受试者隐私信息，并确保信息采集环境符合_________（如独立房间、加密网络）。3.2收集前需向受试者提供书面知情同意书，明确告知信息用途、保存期限及权利行使方式，同意书模板见附件_________。第四条数据存储与安全4.1电子数据应存储于_________（如本地服务器、云平台），并采取_________（如防火墙、访问日志）技术措施。4.2纸质资料应存放于_________（如上锁文件柜、专人管理区域），存取记录保留至试验结束后_________年。4.3存储期限为试验结束后_________年，超期后应按_________（如粉碎、格式化）方式销毁。第五条数据使用限制5.1隐私信息仅限用于_________（如安全性评估、疗效分析），不得用于商业推广或其他非试验目的。5.2如需将数据用于附加研究，应重新获得受试者书面同意，并报_________（如伦理委员会、监管部门）备案。第六条数据共享与传输6.1向第三方共享数据前，需签订保密协议并明确_________（如数据范围、使用限制）。6.2跨境传输数据应通过_________（如安全认证协议、本地化存储）满足中国法律法规要求。第七条受试者权利保障7.1受试者有权通过_________（如电话、书面申请）查询、复制、更正或删除其隐私信息。7.2研究机构应在收到请求后_________个工作日内响应，并告知处理结果及依据。第八条人员管理与培训8.1接触隐私信息的人员须签署保密承诺书，并接受每年不少于_________小时的隐私保护培训。8.2培训内容应包括_________（如数据泄露应急预案、法律法规更新）。第九条安全事件处理9.1发生数据泄露时，责任方应立即启动应急预案，并于_________小时内向受试者及_________（如监管部门、伦理委员会）报告。9.2事件处理结束后_________日内提交详细分析报告，包括_________（如影响范围、整改措施）。第十条审计与监督10.1申办方有权每_________个月对研究机构的数据管理进行审计，审计范围包括_________。10.2审计结果不合格时，研究机构应在_________日内提交整改计划并落实。第十一条违约责任11.1任何一方违反本协议导致受试者隐私泄露，应承担_________（如赔偿损失、支付违约金）。11.2违约方还需承担由此引发的_________（如行政处罚、诉讼费用）。第十二条争议解决12.1因本协议产生的争议，双方应优先通过_________（如协商、调解）解决。12.2协商不成时，提交_________（如仲裁机构、人民法院）管辖。第十三条协议变更13.1协议修订需双方书面同意，并重新提交_________（如伦理委员会、受试者）审批。13.2修订内容不得降低原有隐私保护标准。第十四条不可抗力14.1因战争、自然灾害等不可抗力导致数据泄露，受影响方应在_________日内提供证明文件。14.2双方可协商终止或部分免除责任，但需优先保障受试者权益。第十五条保密义务15.1协议内容及履行过程中知悉的未公开信息，双方均负有永久保密义务。15.2保密义务不因协议终止而失效。第十六条通知与送达16.1一方发送通知应采用_________（如挂号信、电子邮件）方式，送达地址为_________。16.2地址变更需提前_________日书面告知对方。第十七条协议效力17.1本协议自双方签字盖章之日起生效，有效期至试验项目结题后_________年。17.2协议终止后，不影响保密条款及争议解决条款的效力。第十八条其他约定18.1未尽事宜由双方另行签订补充协议，补充协议与本协议具有同等效力。18.2本协议一式_________份，双方各执_________份，其余用于_________（如备案、存档）。第十九条附件清单19.1附件一：《受试者知情同意书模板》19.2附件二：《数据安全技术规范》19.3附件三：《第三方保密协议范本》第二部分：第三方介入后的修正第二十条第三方定义与范围扩展20.1本协议中“第三方”指除申办方、研究机构外，基于试验项目需求参与数据处理、分析、存储或监管的独立主体，包括但不限于_________（如检测实验室、数据统计公司、独立监察委员会、跨境合作机构），其具体名单及职责见附件四《第三方清单》。20.2第三方分为“直接关联方”与“间接关联方”：（1）直接关联方：与试验项目核心数据操作直接相关且需接触受试者隐私信息的第三方，须经_________（如伦理委员会、申办方）书面批准；（2）间接关联方：仅提供技术支持或辅助服务（如设备维护、场地租赁）的第三方，不得接触原始隐私信息。第二十一条第三方准入条件（1）具备与数据处理相关的_________（如ISO27001认证、GLP资质）；（2）与申办方或研究机构签订《第三方保密及责任协议》（范本见附件三），明确其义务与责任边界；（3）通过申办方组织的_________（如数据安全评估、背景调查）。21.2第三方须指定至少一名专职人员作为数据安全责任人，其姓名及职务应于介入前_________日报备研究机构。第二十二条第三方数据操作限制（1）数据访问范围限于_________（如特定字段、脱敏后数据集）；（2）禁止将数据用于_________（如二次分析、商业合作）等超出协议授权的用途；（3）跨境传输前需完成_________（如国家网信部门安全评估、本地化服务器部署）。22.2间接关联方不得留存任何可识别受试者身份的数据副本，操作记录应于服务结束后_________日内移交研究机构并销毁原始载体。第二十三条第三方保密义务23.1第三方须承担与申办方、研究机构同等的保密义务，包括：（1）对其员工、代理人开展年度保密培训，培训记录留存至少_________年；（2）未经授权不得将数据转委托给其他次级第三方；（3）在协议终止后_________日内彻底删除或返还所有受试者隐私信息。23.2第三方发生股权变更、破产重组等可能影响保密义务的情形时，应立即通知申办方并暂停数据处理。第二十四条第三方监督与追责（1）数据操作日志及访问记录；（2）内部审计报告及漏洞修复证明；（3）与受试者隐私相关的投诉处理档案。（1）第三方直接向受试者承担赔偿；（2）第三方无力赔偿时，由_________（如申办方、研究机构）先行赔付后向其追偿；（3）涉及多方过错的，按责任比例分担损失。第二十五条第三方退出机制（1）提前_________日提出书面申请并经申办方批准；（2）丧失相关资质或违反保密义务被强制终止合作；（3）因不可抗力无法继续履行协议。（1）移交全部数据及衍果，并签署《数据移交确认书》；（2）销毁自有系统内的隐私信息，并提供第三方独立机构出具的_________（如数据清除证明、销毁录像）；第二十六条跨境第三方特别条款26.1境外第三方介入须额外满足：（1）在中国境内设立_________（如分支机构、数据中心）或委托本地第三方代理数据操作；（2）遵守《个人信息出境标准合同》并完成_________（如网信部门备案、安全认证）；（3）指定境内联系人处理受试者行权请求及监管问询。26.2跨境数据传输的加密标准不得低于_________（如AES256、国密SM4），且密钥管理权归属于_________。第二十七条第三方与受试者的关系27.1第三方不得直接接触受试者，特殊情况下需开展_________（如随访调查、样本复测）的，应通过研究机构进行且全程受其监督。27.2受试者有权拒绝特定第三方处理其隐私信息，拒绝时应由_________（如申办方、研究机构）提供替代方案。第二十八条费用与报酬分配28.1第三方服务费用由_________（如申办方、研究机构）支付，支付前提为第三方通过_________（如中期评估、数据验收）。28.2因第三方超范围使用数据所获收益，应全额返还至_________（如受试者补偿基金、研究机构）。第二十九条争议解决扩展条款29.1涉及第三方的争议，优先由_________（如三方协商、共同指定的调解机构）处理。29.2诉讼或仲裁地原则上为_________（如研究机构所在地、合同签订地），但跨境第三方可约定适用_________（如第三国法律、国际仲裁规则）。第三十条协议衔接与效力优先30.1本修正条款与主协议冲突时，以本部分内容为准；本部分未约定事项仍适用主协议。30.2第三方签署附件三《第三方保密及责任协议》后，视为自动接受主协议及本修正条款约束。甲方（申办方）：公司名称：___________________________法定代表人（签字）：___________________________签署日期：_________年_________月_________日（盖章处）乙方（研究机构）：机构名称：_____________