半岛电子本文试从《指南》概览、分级分类建议及应用场景建议等方面，对《指南》进行简要分析。

　　正如引言中指出，随着健康医疗数据的应用、“互联网+医疗健康”和智慧医疗的发展，健康医疗数据从存储到应用的各个阶段都在发生新的变化，遭遇新的问题和挑战。目前对健康医疗数据的监管已经无法适应时代的要求。此次《指南》的发布，也是为了解决健康医疗数据的融合共享和开放应用半岛电子，让数据在为个人及国家利益服务的同时，也保证个人信息的安全和国家公共利益的需要。

　　《指南》全文共11个部分，详细规定了医疗数据的分类体系、使用披露原则、安全措施、安全管理指南、安全技术指南等。《指南》的第11部分对8个代表性场景的数据安全进行分析，包括在数据应用中最常出现问题的临床研究数据、健康数据、移动应用数据及医疗器械数据等，具有很强的实操性。

　　《指南》的适用对象为健康医疗数据控制者，即“能够决定健康医疗数据处理的目的、方式及范围等的组织或个人”。如果两方或多方可以共同决定数据使用处理的目、方式及范围，则为共同控制者。除了控制者外，第6.3条还规定了处理者和使用者。常见的处理者包括：健康医疗信息系统供应商、健康医疗数据分析公司、辅助诊疗解决方案供应商等。

　　《指南》第6部分结合数据本身的性质及其所反映的内容，将健康医疗数据分为6个类别，并且在每个类别下给出了具体范围，对于医疗机构细化数据提供了参考。《指南》提出的具体类别与范围如下图：

　　同时，《指南》还与现有的数据分级要求相呼应，根据数据的重要程度、风险级别以及对数据主体可能造成的损害和影响的级别分为5个级别。相关级别的举例及使用范围总结如下：

　　此外，《指南》第8.1条及8.3 条还根据不同的数据特点及适用场合提出了安全措施建议。健康医疗数据控制者及处理者也可以针对自身的处理使用场景进行参考，达到更好的合规效果。

　　本文开头提出过，《指南》作为推荐性标准，在针对控制者提出授权、披露、使用原则的规定中，《指南》使用的表述均为“宜”。比如，“宜告知并获得主体的授权”“宜使用通俗易懂的语言”“超出范围使用或披露的，宜在此征得主体同意”。而相比之下，《个人信息安全规范》《人口健康信息管理办法（试行）》等中，都是使用“应”进行表述，语气较为强烈。由此可见，《指南》虽可以为医疗数据的合规提供参考思路，但仍无法作为企业及执法部门依照遵循的坚实法律依据。

　　在授权同意方面，《指南》针对医疗数据给出了使用或披露时，可以不获得主体授权的例外情形。其中包括“向主体提供其本人健康医疗数据”“治疗、支付或保健护理时”“涉及公共利益或法律法规要求时”及“受限制数据集用于科学研究、医学/健康教育、公共卫生目的时”。各控制者仍然需要谨慎地适用例外情形，并且需要注意结合相关法规及标准中更严格的要求。

　　根据目前实际情况中，许多医疗机构会聘请第三方服务商提供数据相关服务的情况，《指南》针对医疗机构作为控制者需要与使用者、处理者共同处理数据的情况给出了参考意见。举例来说，作为控制者宜确认所聘用的处理者的安全能力是否满足要求，并且需要与处理者签署数据处理协议。《指南》在附录中提供了可供参考的数据处理使用协议模板。另外，未经控制者许可，处理者不能再引入其他第三方协助处理数据。

　　除了引入服务商的情形，另一较为常见的情形是控制者向政府授权的第三方控制者提供数据医疗健康。此种情形下，《指南》建议原控制者审核加盖政府公章的相关文件以增加保险系数。并且，原控制者按要求提供数据后，相关数据的安全责任将由第三方控制者承担。

　　《指南》建议，如果出于科学研究、医疗保健业务、公共卫生等目的，控制者可将特定受限制数据集用于上述目的。控制者需要先确认数据使用的合法性、正当性和必要性，并确认使用者具备相应数据安全能力，能够确保数据在后续使用及保存中的相关安全要求。同样地，控制者需要与使用者签订数据使用协议，对于数据保护作出承诺。

　　《指南》的一大亮点，是针对8个具有代表性的场景的数据安全进行了建议。详细给出了重点安全措施、数据分级、数据采集、数据传输、存储、使用等跨越数据生命全周期的建议。8个场景所涉及的具体情况概括如下：

　　4）第三方政府部们或企业等，出于非营利性目的申请对健康医疗数据进行二次利用，也就是和收集时目的并不相同的利用的场景；

　　5）通过健康触感器采集与被采集者健康状况相关的数据，应用于医疗服务和健康生活的场景；

　　以第6类“通过网络为个人提供在线健康医疗服务或数据服务的移动应用程序”的场景为例，《指南》对于此类应用发布者提供了建议。比如，在数据采集时，需要明示信息并征得用户同意。在访问控制时，需要对访问权限进行一系列的限制。在数据存储时，需要定期备份应用程序数据，并且如果使用可移动介质存储数据和个人身份标识信息，则宜对存储在介质上的数据进行加密。

　　近年来，医疗行业发展迅速，与数据相关的各种服务也是层出不穷。其中涉及的数据具有敏感度高，流通频繁等特点。在需求与挑战共存的当下，无论是数据的控制者，还是数据的处理者和使用者半岛电子，都应该针对自身的实际情况，结合已经出台的法规及标准进行参考，将数据安全合规贯彻得更彻底。

　　以上所刊登的文章仅代表作者本人观点，不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。