上篇，我们介绍了。医疗数据包括个人属性数据、健康情况数据、医疗应用数据、医疗支付数据、卫生资源数据及公共卫生数据等。其中医疗支付数据主要涉及医疗保险、商业保险的交易和支付，卫生资源数据反映的是医疗机构自身的运营情况，公共卫生数据多数由卫生行政主任部门直接掌握。本文主要探讨医疗机构对个人医疗健康信息的保护，故以医疗数据中的个人属性数据、健康情况数据、医疗应用数据为合规要点。

　　鉴于文章篇幅，我们增加了中篇来探讨医疗机构对个人医疗健康信息的使用、披露合规要求。

　　医疗数据的使用是指数据控制者¹通过对所采集的数据来进行脱敏、整合、分析，充分分析与挖掘数据内在价值的过程。除了普适性的医疗数据使用合规要求外，针对特殊的医疗数据，如个人属性数据、人类遗传资源信息有着特殊规定，对此，我们整理归纳了医疗机构在对个人医疗健康信息使用的过程中应关注的合规要点：

　　医疗数据的披露主要是将数据向特定个人或组织进行转让、共享，以及向不特定个人、组织或社会公开发布的行为。《信息安全技术健康医疗数据安全指南》根据自己健康医疗数据的重要程度、风险级别以及对主体会造成的损害和影响，将个人健康医疗数据从低到高分为五级，其中第一级数据可完全公开，第五级仅在极小范围且在严格限制条件下使用。以下是我们归纳的医疗机构在对个人医疗健康信息公开披露过程中应关注的合规要点：

　　除了上述医疗数据的使用、披露合规要求外，一些特殊场景中医疗数据的使用和披露尤其需要引起重视。

　　[1] 本文所提及的“数据主体”指医疗数据所标识的自然人（文中简称“主体”）。

　　“数据控制者”指能够决定健康医疗数据处理目的、方式及范围等的组织或个人。包括提供健康医疗服务的组织、健康医疗科学研究机构、个体诊所等（文中简称“控制者”）。

　　“数据处理者”指代表控制者采集、传输、存储、使用、处理或披露其掌握的医疗数据，或为控制者提供涉及健康医疗数据的使用、处理或者披露服务的相关组织或个人。常见的数据处理者有：健康医疗信息系统供应商、健康医疗数据分析公司、辅助诊疗解决方案供应商等（文中简称“处理者”）。

　　“数据使用者”指针对特定数据的特定场景，不属于数据主体，也不属于数据控制者和数据处理者，但对健康医疗数据来进行利用的相关组织或个人（文中简称“使用者”）。

　　下篇预告：在下篇中，我们将从医疗机构对个人医疗健康信息的传输角度进行合规指引，为医疗机构提供合规建议参考。

　　中国政法大学中欧法学院双硕士，拥有医学学士学位。曾在马德里自治大学学习，拥有中国律师执业证书。执业方向为生物医疗与健康养老、投资并购、招标投标与政府采购以及一般公司事务等。曾任职于北京德恒律师事务所，担任多家企业和事业单位及政府法律顾问，在担任生物医疗与健康养老领域企业法律顾问期间，全程参与其公司的设立、项目的设计、股权架构的搭建；负责合同的起草审核修改，出具律师函、法律意见书等文书，为其进行劳动法业务法律知识培训，提供日常法律咨询。