健康医疗数据主体，即个人健康医疗数据所标识的自然人。

健康医疗数据控制者，即能够决定健康医疗数据处理目的、方式以及范围等的组织或个人。例如：提供健康医疗服务的组织、医保机构、政府机构、健康医疗科学研究机构、个体诊所等。

健康医疗数据处理者，即代表控制者采集、传输、存储、使用、处理或披露其掌握的健康医疗数据，或为控制者提供涉及健康医疗数据的使用、处理或者披露服务的相关组织或个人。常见的处理者有：健康医疗信息系统供应商、健康医疗数据分析公司、辅助诊疗解决方案供应商等。

健康医疗数据使用者，即针对特定数据的特定场景，不属于主体，也不属于控制者和处理者，但对健康医疗数据进行利用的相关组织和个人。

（1）

该项健康医疗数据处理行为是否属于该组织或个人履行某项法律法规所必需；

（2）

该项健康医疗数据处理行为是否为该组织或个人行使其公共职能所必需；

（3）

该项健康医疗数据处理行为是否由该组织或个人自行或与其他组织或个人共同决定；

（4）

该项健康医疗数据处理行为是否由相关个人或者政府授权该组织或个人。

a）

主体—控制者之间的数据流通使用；

b）

控制者—主体之间的数据流通使用；

c）

控制者内部之间的数据流通使用；

d）

控制者—处理者之间的数据流通使用；

e）

控制者之间的数据流通使用；

f ）

控制者—使用者之间的数据流通使用。

（1）

告知与授权：

控制者在使用或披露¹个人健康医疗数据时，需告知主体并获得主体的授权(以下(2)中情况除外)。所有告知使用通俗易懂的语言，并包含以下内容：

• 要披露或使用的数据内容；

• 数据的接收方；

• 数据的用途以及使用方式；

• 数据使用期限；

• 数据主体权利；

• 控制者采取的保护措施等。

使用或披露个人健康医疗数据不能超出个人授权范围。因业务需要，确需超出范围使用或披露的，需再次征得主体同意。

（2）

除外情况：

控制者没有获得主体的授权，在以下情况仍可使用或披露相应个人健康医疗数据：

• 向主体提供其本人健康医疗数据时；

• 治疗、支付或保健护理时；

• 涉及公共利益或法律法规要求时；

• 受限制数据集用于科学研究、医学/健康教育、公共卫生目的时；

在上述情况下，控制者可依靠法律法规要求、职业道德、伦理和专业判断来确定哪些个人健康医疗数据允许被使用或披露。

（3）

市场营销的独立授权：

控制者获得主体授权才能使用或披露个人健康医疗数据进行市场营销活动，但控制者与主体之间进行面对面的营销沟通除外。用于市场营销活动的授权需以合理方式提示主体，并让其充分知悉，明确、自主作出同意。该授权应是独立的，不能作为主体获得任何公共服务、医疗服务的前置条件或者捆绑于其他服务条款之中。控制者在取得授权的同时，书面告知主体其有权随时撤销该授权。

（4）

主体的权利：

• 访问权：主体(或其授权代表)有权访问其个人健康医疗数据或要求披露其数据，控制者宜按其要求披露相应个人健康医疗数据。
• 索取副本权：主体有权复查并获得其个人健康资料数据的副本，控制者宜提供，例如通过文件共享或者在线查询方式提供。
• 更正补充权：主体发现控制者所持有的该主体的个人健康医疗数据不准确或不完整时，控制者需为其提供请求更正或补充信息的方法。
• 回溯查询权：主体有权对控制者或其处理者使用或披露数据的情况进行历史回溯查询，最短回溯期为六年。
• 额外限制权：主体有权要求控制者在诊断、治疗、支付、健康服务等过程中限制使用或披露其个人健康医疗数据，以及限制向相关人员披露信息，控制者没有义务同意上述限制请求；但一旦同意，除非法律法规要求以及医疗紧急情况下，控制者应遵守约定的限制。

过程中限制使用或披露其个人健康医疗数据，以及限制向相关人员披露信息，控制者没有义务同意上述限制请求；但一旦同意，除非法律法规要求以及医疗紧急情况下，控制者应遵守约定的限制。

（5）

治疗笔记的使用：

控制者可以使用治疗笔记用于治疗，在进行必要的去标识化处理后，可以在未经个人授权的情况下使用或披露治疗笔记进行内部培训和学术研讨。治疗笔记是指健康医疗专业人员在提供健康医疗服务过程中记录的观察、思考、方案探讨、结论等内容。治疗笔记具有知识产权属性，其知识产权归健康医疗专业人员和/或其单位所有。

（6）

最低限度原则：

控制者需制定、实施合理的策略与流程，将使用和披露限制在最低限度。

（7）

汇聚分析处理后的数据：

如果控制者针对个人健康医疗数据汇聚分析处理之后得到了不能识别个人的健康医疗相关数据，该数据不再属于个人信息，但其使用和披露宜遵守国家其他相关法规要求。

（8）

数据分析平台：

控制者对外进行数据合作开发利用时，宜采用“数据分析平台”开放形式，对数据使用披露进行严格管控。

（1）

处理者能力管控：

控制者需确认处理者的安全能力满足安全要求。

（2）

签署数据处理协议：

控制者应与处理者签署数据处理协议，且协议签署后才能让处理者为其进行数据处理，处理者宜按照控制者的要求处理数据。

（3）

不得转委托或分包：

未经控制者许可，处理者不能引入第三方协助处理数据。

（1）

政府授权的第三方控制者：

控制者向政府授权的第三方控制者提供数据前，需获得加盖政府公章的相关文件。数据提供后，数据安全责任以及传输通道的安全责任由第三方控制者承担。

（1）

使用者能力管控：

控制者需确认数据使用的合法性、正当性和必要性，并确认使用者具备相应数据安全能力。

（2）

签署数据处理协议：

控制者应与使用者签订数据使用协议，使用者承诺保护受限制数据集中的个人健康医疗数据后，可将受限制数据集用于科学研究、医学保健业务、公共卫生等目的。受限制数据集是指经过部分去标识化处理，但仍可识别相应个人并因此需要保护的个人健康医疗数据集。例如：从健康医疗数据中删除与个人及其家属、家庭成员和雇主直接相关的标识。受限制数据集可在未经个人授权的情形下用于科学研究、医学/健康教育、公共卫生目的等。

（3）

使用者责任：

使用者只能在协议约定的范围内使用数据并承担数据安全责任，在使用数据完成后，应按照控制者要求归还、彻底销毁或者进行其他处理。未经控制者许可，使用者不能将数据披露给第三方。

（1）

学术研讨的跨境转移：

控制者因为学术研讨需要，需要向境外提供相应数据的，在进行必要的去标识化处理后，经过数据安全委员会讨论审批同意，数量在250条以内的非涉密非重要数据可以提供，否则需提请相关部门审批。

（2）

其他数据的跨境转移：

不涉及国家秘密、重要数据或者其他禁止或限制向境外提供的数据，经主体授权同意，并经数据安全委员会讨论审批同意，控制者可向境外目的地提供个人健康医疗数据，累计数据量应控制在250条以内，否则需提请相关部门审批。

（3）

服务器在境内：

控制者不能将健康医疗数据在境外的服务器中存储，不托管、租赁在境外的服务器。