引言

一、现行法下健康医疗数据的概念

二、健康医疗数据的法律规制

三、重点关注问题

四、境内外典型案例分析

五、结语

近年来，随着《国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见》等政策的出台，“互联网+医疗健康”的概念的兴起，医疗健康大数据的使用、在线诊疗、互联网售药以及互联网医院的发展，极大地整合了现有的医疗资源。“互联网+医疗健康”不仅便利了患者就诊，也简化了医疗服务流程，提高了医疗服务的质量和效率。与此同时，“互联网+医疗健康”的发展推动了健康医疗数据的电子化，医疗行业经营者将面临着在数据安全合规与隐私保护方面的重大挑战。

因此，医疗行业经营者就数据的不同类型和不同处理阶段，厘清其在不同监管要求下的数据保护义务至关重要。本文将梳理散布在不同法律法规政策和行业标准中针对健康医疗数据在收集、使用、存储和跨境传输方面的相关规定，结合相关案例，对企业进行健康医疗数据合规治理建设提出建议。

医疗行业涉及数据纷繁复杂，不同法律文件中，有关健康医疗数据的法律术语不尽相同，亦被设定了诸多概念。为了降低合规风险，医疗行业经营者首先应当了解现行法下的健康医疗数据的内涵，从而针对健康医疗数据的不同类型以及其对应的监管规则，制定相应的合规方案。我国现行法下，健康医疗数据分为以下几种类别：

尤其值得注意的是，国家市场监督管理总局和国家标准化委员会联合颁布了《信息安全技-健康医疗数据安全指南》（“《健康医疗数据安全指南》”）将于2021年7月1日起实施，对健康医疗数据的内涵和分类进行了整合。根据《健康医疗数据安全指南》的规定，其规制的健康医疗数据系个人健康医疗数据以及由个人健康医疗数据加工处理之后得到的健康医疗相关电子数据。个人健康医疗数据的定义为单独或者与其他信息结合后能够识别特定自然人或者反映特定自然人生理或心理健康的相关电子数据。《健康医疗数据安全指南》对健康医疗数据的分类如下：

但《健康医疗数据安全指南》并不具有强制法律效力，医疗行业经营者可以在健康医疗数据生命周期合规方面，将其中关于健康医疗数据分类以及对应的保护义务的规定作为参考。

前文提到目前针对健康医疗数据的监管性规定分散在不同的法律法规及规范性文件中，且同一责任主体收集的健康医疗数据可能涉及到多种法规的监管，相关主体将面临极大的合规建设挑战。因此，医疗行业经营者不可忽视厘清不同类别健康医疗数据类型在信息收集、使用、存储以及跨境传输等方面的监管要求的重要性。

（一）健康医疗数据的收集

（1）人口健康信息

人口健康信息在数据的收集上要求做到“一数一源、最少够用”。“一数一源”是指相关责任单位在采集的人口信息时，应当保证其服务和管理对象在本单位信息系统中身份标识的唯一性，基本数据项的一致性。“最少够用“是指采集的数据不应当超范围采集，应当根据业务和管理要求所需要的最少且够用的标准进行，且严格实行信息复核程序，避免重复采集、多头采集。根据《信息安全技术-个人信息安全规范》的要求，收集个人信息时应获取被收集者的同意，遵守合法性和最小必要性原则。如以经营为目的收集个人敏感信息或重要数据，按照《数据安全管理办法（征求意见稿）》，应当向所在地网信部门备案，此外企业内部应当明确数据安全责任人，根据意见稿的内容可见，国家对个人信息数据安全日益重视。

（2）人类遗传资源信息

人类遗传信息包含临床数据，如人口学信息、一般实验室检查信息等；影像数据，如 B 超、CT、PET-CT、核磁共振、X 射线等；生物标志物数据，如诊断性生物标志物、监测性生物标志物、药效学/反应生物标志物、预测性生物标志物、预后生物标志物、安全性生物标志物、易感性/风险生物标志物；基因数据，如全基因组测序、外显子组测序、目标区域测序、人线粒体测序、全基因组甲基化测序、lnc RNA 测序、转录组测序、单细胞转录组测序、small RNA 测序等；蛋白质数据；代谢数据。

对于人类遗传资源信息的采集，如果涉及到中国境内的重要遗传资源、特定地区人类遗传资源和国务院科学技术行政部门规定种类、数量的人类遗传资源的采集，应当按照《人类遗传资源管理条例》、《人类遗传资源采集、收集、买卖、出口、出境审批行政许可事项服务指南》规定的流程和要求经有关部门批准后实施。同时规定，外国组织、个人及其设立或者实际控制的机构不得在我国境内采集我国人类遗传资源。即将生效的《生物安全法》也同样规定，境外组织、个人及其设立或者实际控制的机构不得在我国境内采集我国人类遗传资源；采集我国重要遗传家系、特定地区人类遗传资源或者采集国务院科学技术主管部门规定的种类、数量的人类遗传资源，应当经国务院科学技术主管部门批准。

具体采集或收集人类遗传资源要求目的明确，要有合理的采集或收集计划方案；要求采集或收集人类遗传资源必须具备要求的人员、场所、设施、设备等，且收集场所应满足较高的要求和标准。人类遗传资源及有关信息、资料，属于国家科学技术秘密的，必须遵守《科学技术保密规定》。

（3）病历信息

关于病历信息的采集，根据《电子病历应用管理规范（试行）》的规定，采集电子病历信息需要医疗机构具备专门的技术支持部门和人员，负责电子病历相关信息系统建设、运行和维护；具有专门的管理部门和人员，负责电子病历的业务监管。同时，需要具备对电子病历创建、修改、归档等操作的追溯能力，电子病历系统的操作人员必须具备专有的身份标识和识别手段，并设置相应权限。操作人员对本人身份标识的使用负责。医疗机构及其医务人员应当严格保护患者隐私，禁止以非医疗、教学、研究目的泄露患者的病历资料。

（4）健康医疗大数据

健康医疗大数据的采集一般是实时抽取PACS（影像归档与传输系统）、LIS（检验科信息管理系统）、CIS（临床信息管理系统）、EMR（电子病历系统）、PIMS（个人信息管理体系）等系统中的健康医疗数据，经异构数据融合、初步清洗转换后上传至健康医疗数据存储中心，从而实现各平台间的数据采集与交换及医疗部门之间的数据共享与业务协同的过程，该过程需要有实时的数据监管。同时大数据的采集要符合业务应用和管理要求。根据《国家健康医疗大数据标准、安全和服务管理办法（试行）》，责任单位采集健康医疗大数据，应当严格执行国家和行业相关标准和程序，符合业务应用技术标准和管理规范，做到标准统一、术语规范、内容准确，保证服务和管理对象在本单位信息系统中身份标识唯一、基本数据项一致，所采集的信息应当严格实行信息复核终审程序，做好数据质量管理。任何单位和个人不得擅自利用和发布未经授权或超出授权范围的健康医疗大数据，不得使用非法手段获取数据。

（二）健康医疗数据的存储

（1）人口健康信息

人口健康信息要求实行分级存储。同时，责任单位应实施痕迹管理制度，建立、修改和访问人口健康信息的用户，均应通过严格实名身份鉴别和授权控制，做到行为可管理、可控制、可追溯。

（2）人类遗传资源信息

《人类遗传资源管理条例》、《人类遗传资源采集、收集、买卖、出口、出境审批行政许可事项服务指南》、《生物安全法》对人类遗传资源信息保藏单位资质提出严格的要求，外国组织、个人及其设立或者实际控制的机构不得在我国境内保藏我国人类遗传资源。此外，《人类遗传资源管理条例》、《人类遗传资源采集、收集、买卖、出口、出境审批行政许可事项服务指南》也明确要求境内单位的保藏活动需要通过相关部门的批准。要求包括：具有法人资格；保藏目的明确、合法；通过伦理审查；具有负责人类遗传资源管理的部门和保藏管理制度；具有符合国家人类遗传资源保藏技术规范和要求的场所、设施、设备和人员等。同时应当采取安全措施，制定应急预案；保藏单位应当就本单位保藏人类遗传资源情况向国务院科学技术行政部门提交年度报告。

（3）病历信息

就病历数据来说，门诊病历原则上由患者保管，经患者或者其法定代理人同意，也可以由医疗机构负责保管。住院病历由医疗机构保管。对于电子病历的存储，根据《电子病历应用管理规范（试行）》的要求，电子病历数据存储在电子病历系统内，由专门的操作人员确保操作记录可查询、可追溯。门（急）诊电子病历由医疗机构保管的，保存时间自患者最后一次就诊之日起不少于15年；住院电子病历保存时间自患者最后一次出院之日起不少于30年。电子病历系统应当进行身份识别、保存历次操作痕迹、标记准确的操作时间和操作人信息。

（4）健康医疗大数据

针对健康医疗大数据的存储，根据《国家健康医疗大数据标准、安全和服务管理办法（试行）》的相关规定，医疗机构及相关单位应采取数据分类、重要数据备份、加密认证等措施，并进行电子实名认证和数据访问控制，严格规范不同等级用户的数据接入和使用权限。存储单位应当具备符合国家有关规定要求的数据存储、容灾备份和安全管理条件，加强对健康医疗大数据的存储管理。

（三）健康医疗数据的使用

（1）人口健康信息

2014年，《人口健康信息管理办法（试行）》确立了人口健康信息的“互联互通和共享利用”原则，对人口健康信息的利用提出了指导性的要求，即要求相关单位应当建立综合利用工作制度，并基于提高医学研究、科学决策和便民服务水平之目的授权利用有关信息，该等工作制度的具体内容还有待进一步规定。2016年国务院办公厅发布《关于促进和规范健康医疗大数据应用发展的指导意见》，确立要充分利用医疗大数据，培育新的业态，促进相关产业的升级。2019年国务院发布《人类遗传资源管理条例》，确立了“保护+利用”立法原则，倡导在可使用范围内，在保护个人信息、隐私权的基础上充分利用健康医疗数据。

（2）人类遗传资源信息

《人类遗传资源管理条例》规定“禁止买卖”人类遗传资源信息，但为科学研究依法提供或者使用人类遗传资源并支付或者收取合理成本费用的不视为买卖，使用信息应当遵守国务院科学技术行政部门制定的技术规范。此外，外国组织及外国机构（包括由外国组织、个人实际控制的机构）需要利用我国人类遗传资源开展科学研究活动的，应当采取与我国科研机构等中方单位合作的方式进行。为获得相关药品和医疗器械在我国上市许可利用我国人类遗传资源开展国际合作临床试验备案手续应由中国境内依法成立的法人单位办理，且不涉及人类遗传材料出境，由临床机构采集、检测、分析和剩余样本处理等。

《生物安全法》规定，境外组织、个人及其设立或者实际控制的机构获取和利用我国生物资源，应当依法取得批准。此外，利用我国人类遗传资源和生物资源开展国际科学研究合作，应当保证中方单位及其研究人员全过程、实质性地参与研究，依法分享相关权益。为了取得相关药品和医疗器械在我国上市许可，在临床试验机构利用我国人类遗传资源开展国际合作临床试验、不涉及人类遗传资源出境的，在开展临床试验前应当将拟使用的人类遗传资源种类、数量及用途向国务院科学技术主管部门备案。

（3）病历信息

《医疗机构病历管理规定》对病历的使用具有严格规定。病历资料的使用目的方面：要求医疗机构及医务人员不得以非医疗、教学、研究目的泄露患者病历资料；在查阅医疗病历的主体权限上：除为患者提供诊疗服务的医务人员，以及有关行政和管理部门的相关负责人员等与病历有关的人员外，其他任何机构和个人不得擅自查阅患者病历。

（4）健康医疗大数据

根据《国家健康医疗大数据标准、安全和服务管理办法（试行）》规定，责任单位应当建立严格的电子实名认证和数据访问控制，规范数据接入、使用和销毁过程的痕迹管理，确保健康医疗大数据访问行为可管、可控及服务管理全程留痕，可查询、可追溯，对任何数据泄密泄露事故及风险可追溯到相关责任单位和责任人。责任单位应当建立健全涉及国家秘密的健康医疗大数据管理与使用制度，对制作、审核、登记、拷贝、传输、销毁等环节进行严格管理，依法依规使用健康医疗大数据有关信息，提供安全的信息查询和复制渠道，确保公民隐私保护和数据安全。

（四）健康医疗数据的跨境传输

（1）人口健康信息

人口健康信息存在严格的本地化处理义务。《人口健康信息管理办法（试行）》对于人口健康信息的本地存储义务未规定任何的例外情景，明确要求“不得将人口健康信息存储于境外服务器，不得托管、租赁在境外的服务器”，换言之，一旦健康医疗数据属性上构成人口健康信息，其跨境传输活动将被严格禁止。值得医疗行业经营者高度关注的是，在整合医疗数据合规方案的时候，我们应该采用“就高不就低”的基本原则，例如，医院档案室中存放的患者X光片，其在法律意义上属于病历（《医疗机构病历管理条例》）、人类遗传资源（《人类遗传资源管理条例》）、人口健康信息（《人口健康信息管理办法（试行）》）、健康医疗大数据（《国家健康医疗大数据标准、安全和服务管理办法（试行）》）、个人（敏感）信息与重要数据（《网络安全法》）等多种法律定义，在考虑跨境传输需求时，原则上医院需要综合考虑多个法律法规及规范性文件中的要求，选择更为严格的选项，即《人口健康信息管理办法（试行）》中设定的数据本地化义务，不得跨境传输。对于医疗数据信息责任人，合规工作应该综合分析考虑最严格的要求以应对交叉监管。

（2）人类遗传资源信息

人类遗传资源原则上不可以跨境传输，在国际合作科学研究这种特定情形下可以出境传输。根据《人类遗传资源管理条例》，利用我国人类遗传资源开展国际合作科学研究，或者因其他特殊情况确需将我国人类遗传资源材料运送、邮寄、携带出境的，应符合特定条件，并取得人类遗传资源材料出口、出境证明。另外，将人类遗传资源信息向外国组织、个人及其设立或者实际控制的机构提供或开放使用的，例如论文、论著发表、信息平台共享、会议发布等，需由中方单位申请并经科技部审批备案。《生物安全法》规定，将我国人类遗传资源信息向境外组织、个人及其设立或者实际控制的机构提供或者开放使用的，应当向国务院科学技术主管部门事先报告并提交信息备份。

（3）病历信息

关于病历信息是否可以跨境传输，目前的法律法规还未有清晰的答复。根据《电子病历应用管理规范（试行）》的规定，在保障信息安全的前提下，促进电子病历信息有效共享。至于是否可以境内外共享，还未可知。我们认为在无特别禁止的情况下，一般应按《网络安全法》和《网络安全审查办法》进行数据出境评估和管理。

（4）健康医疗大数据

健康医疗大数据原则上应当存储于境内安全可信的服务器，因业务需要确需向境外提供的，应进行数据出境安全评估审核。

我国正通过立法不断强化和完善对健康医疗数据的保护和对相关责任主体的监管。除监管要求方面，实务中一些关于健康医疗数据的重点问题也受到广泛的关注，且与医疗机构和医药企业等责任主体使用、处理健康医疗数据息息相关。比如目前备受关注的互联网医院的发展，以及一些亟待厘清和解决的健康医疗数据问题，包括数据权属、数据分享障碍等。只有通过法律法规的不断规制和相关主体的自我完善，才能够推动健康医疗数据在“互联网+医疗”的大背景下合理有效地发挥出其巨大的数据价值。

（一）健康医疗数据权属纠纷

目前的法律法规不能很好地解释健康医疗数据的所有权等权属问题，导致实务中健康医疗数据的所有权属于患者个人还是医院有一定的争议。对于健康医疗数据来说，医院有保存义务和应用权限，患者有知情权和具体的使用权，更重要的是有隐私权。从实务的角度来看，健康医疗数据的权属问题应当分类讨论、针对性管理，而目前的立法中尚未形成相关的权属分类管理文件。关于具体的数据权属分类目前在学术界有两种声音可供参考：一种观点认为，医院和患者均参与到健康医疗数据的形成过程中，因此理论上两者对于健康健康医疗数据都具有所有权；另一种观点认为，根据《人类遗传资源管理条例》第12条规定了采集时需要事前告知，并以书面的形式征得提供者同意，这也从侧面证明了健康数据的所有权在于患者个人、但控制权在于医院、管理权在于政府，第三方机构需借助政府支持和医院配合才能对其进行商业化开发和利用。健康健康医疗数据权属的模糊性，一方面掣肘着健康健康医疗数据的授权使用，另一方面也给患者的个人信息权保护埋下了隐患。但无论医疗数据的权利主体是患者个人或是医疗机构组织，都应当尊重患者的个人隐私，这也是医疗伦理的内在之意。

同时，对于健康医疗数据权属的划分还应当充分考虑到健康医疗数据作为一种信息资产，如果医疗机构或经授权的第三方机构对数据进行了合法处理从而使其具备智力成果或经济价值，那么这类数据可以在知识产权或商业秘密的维度下受到保护，属于合法处理的一方。但是对于医疗机构和移动医疗经营商采集的与个人医疗健康相关的原始信息和数据，还是属于个人信息和隐私的范畴，可从人身权维度进行保护。

（二）健康医疗数据共享壁垒

国务院办公厅于2016年6月发布的《关于促进和规范健康医疗大数据应用发展的指导意见》提出将夯实健康医疗大数据应用基础作为重点任务和工程，要求建立跨部门密切配合、统一归口的健康医疗数据共享机制。此外，《“健康中国2030”规划纲要》也提到，要消除数据壁垒，建立跨部门跨领域密切配合、统一归口的健康医疗数据共享机制，实现公共卫生、计划生育、医疗服务、医疗保障、药品供应、综合管理等应用信息系统数据采集、集成共享和业务协同。

可见，未来在政府牵头和多部门协调配合下，医疗大数据的应用会进行系统性开发和建设，数据壁垒等问题有望进一步改善。市场已经充分认识到了健康医疗数据的广阔前景，大家都在抢占市场先机，但这也可能在某种程度加大数据壁垒并阻碍数据合法流通，因此可以预见未来相关健康医疗数据企业可能出现深度整合和集中活动。

（三） “互联网” 医院问题

为了降低疫情造成的线下就诊的交叉感染的风险，国家出台了鼓励互联网医院发展的相关政策。2020年2月，包括上海市儿童医院、上海市中心医院等多家实体医疗机构获批取得互联网医院牌照，意味着“互联网+”战略在医疗领域的进一步推进。互联网医院作为传统医疗实体与新兴技术结合的产物，往往面临着更多的数据合规问题。目前针对互联网医院数据合规的监管行规定主要有：《互联网医院管理办法（试行）》、《关于促进“互联网+医疗健康”发展的意见》、《关于深入推进“互联网+医疗健康”“五个一”服务行动的通知》，以及相应的地方性法规，如《上海市互联网医院管理办法》、《上海市医疗机构管理办法》等。

《互联网医院管理办法（试行）》要求互联网医院做到数据合规：应当严格执行信息安全和健康医疗数据保密，妥善保管患者信息，不得非法买卖、泄露患者信息。发生患者信息和健康医疗数据泄露时，医疗机构应当及时向主管的卫生健康行政部门报告，并立即采取有效应对措施。同时鼓励数据共享：城市三级医院通过互联网医院与偏远地区医疗机构、基层医疗卫生机构、全科医生与专科医生的数据资源共享和业务协同，促进优质医疗资源下沉。

目前，互联网医院数据合规具体在实务中仍然存在以下问题：一是收集数据过程中，未提供符合规定的隐私政策：未描述互联网医院主体情况与持牌主体不一致、业务功能与所收集个人信息类型不一致等问题；二是存储处理数据过程中，未对患者个人信息去标识化、进行加密；三是信息展示过程中，未对患者姓名、手机号等敏感信息进行去标识化；四是内部管理过程中，未采取严格的个人信息访问控制系统，未建立数据审批制度；五是对外提供过程中，未取得患者授权，未事先对数据接收方进行信息安全影响评估等。医疗领域数据合规，将是今年监管执法的重点。建议互联网医院应尽快根据上述法规的要求开展个人信息数据合规的专项整改工作。

尽管各国立法都对于健康医疗数据的收集、处理、保护提出了合规要求，但健康医疗数据泄漏等问题仍日益频发。随着医疗健康行业正越来越多地使用加密及云服务存储数据，因丢失/盗窃事件引发的数据泄露问题得到了控制。据公开报道，外部恶意攻击及内部人员非授权访问是健康医疗数据泄漏案件的主要诱因。

（一）Mayo Clinic数据泄露案

2020年10月，Mayo Clinic（“梅奥诊所”）发现，一名前员工在未经授权的情况下访问了1600名患者的医疗记录，并查看了患者姓名、人口统计数据、出生日期、医疗记录号、医疗图像和临床记录等信息。因前述数据泄露行为，患者对医疗服务提供者梅奥诊所提起多起集体诉讼，理由是该提供者未能保护他们的个人敏感数据。[1]

健康保险隐私及责任法案 (HIPAA) 要求所有 HIPAA 涵盖的实体实施保障措施，以确保受保护健康数据的隐私性、保密性和完整性，并限制在未取得病人许可时披露和使用健康数据。医疗机构的雇员被允许在其工作职责范围内访问受保护的健康信息，在本案中，梅奥诊所的前雇员没有合法的工作理由来查看医疗记录。未经授权的访问违反了HIPAA规则，但是HIPAA并沒有提供私人诉权，因此受违规行为影响的个人不能直接根据HIPAA提起诉讼。

在明尼苏达州法院的诉讼中，原告指控梅奥诊所违反了《明尼苏达州健康记录法案》（MHRA），该法案对明尼苏达州健康医疗数据的保护更加严格。MHRA适用于所有明尼苏达州持牌医生，并规定了私人诉权，因此患者可以基于其提供者违反MHRA而提起诉讼。

原告诉称梅奥诊所没有执行有效的系统或程序，确保原告及类似情况的个人健康记录受到保护，避免未经授权的访问，而且前雇员在没有首先获得原告同意的情况下访问了原告的医疗记录。根据MHRA，医疗服务提供者必须从病人或病人的监护人那里获得一份已签字并注明日期的同意书，授权公开他们的医疗记录，除非法律有明确的授权，或者有医疗服务提供者持有相关病人签名并注明日期的同意书，授权公开他们的医疗记录的陈述。

原告在诉讼中还提出了普通法上的侵犯隐私、过失造成精神损害和间接责任等侵权索赔。造成原告精神损害的一个主要因素是，前雇员可以获查阅的一些医疗图像包括患者在癌症治疗中拍摄的裸体照片。原告要求获得金钱赔偿和法院认为适当的其他救济。

毫无疑问，健康医疗数据中蕴含着丰富的信息，可能会被用于各种目的，相关地下产业链的规模，产值不断扩大。因此，可能接触和控制健康医疗数据的相关责任主体应建立完善数据保护机制，避免非法登录、越权访问、异常调阅、冒名查询、批量窃取等数据安全风险。健康医疗数据泄漏，不仅使得患者的个人数据受到侵害，相关医疗机构或数据服务提供商也会面临极大的名誉减损风险，如果存在过错的，可能还会面临诉讼以及监管部门的处罚。 

[1] https://www.hipaajournal.com/mayo-clinic-faces-multiple-lawsuits-over-insider-privacy-breach/

（二）于某非法获取患者信息案

2018年，于某某系奶粉销售人员，其在从事日常销售过程中与鞍山市三名医院的医生刘某、护士周某、护士任某相互勾结，将拍摄好的患者登记表发送给被告人于某某等方法多次非法购入了上述三家医院患者的公民个人信息1万余条，而后将非法购入的三家医院患者信息9000余条出售，以此非法获利人民币1万余元。

经审理，法院认为被告人于某某从医护人员手中非法获取涉及健康生理内容的公民个人信息并出售，情节特别严重，其行为已构成侵犯公民个人信息罪，应依法惩处。公诉机关指控的事实与罪名成立，应予支持。法院考虑到被告人坦白情节、系初犯以及愿意退赃等情节，依法判处：一、被告人于某某犯侵犯公民个人信息罪，判处有期徒刑三年，缓刑三年，并处罚金二万元。二、被告人于某某违法所得1万元依法追缴。

除了医疗机构，医疗研究机构、云服务等技术服务提供商都应该注重健康医疗数据的合规。如内部人员的权限管控制度不健全，非权限人员便可随意访问病患隐私信息，则存在极大的数据泄露风险。因此，医疗行业经营者应当在完善内部控制制度的同时，采取防止自身雇员或已经离职的雇员泄漏健康医疗数据的相应措施，比如加强员工合规培训、签订数据保密协议等。

数据融合与共享的潮流解将重塑整个医疗行业，“互联网+医疗”拟实现以全程电子化的方式进行数据的采集、记录、传输和存储。健康医疗数据中蕴含了大量的患者个人基本信息、隐私信息、处方信息，其商业价值日益凸显，健康医疗数据安全与患者生命安全、个人信息安全、社会公共利益甚至国家安全密切相连。因此，从立法层面来看，国家进一步加强对健康医疗数据的保护和监管是必然趋势，统一性的网络安全立法和针对不同健康医疗数据类型的特别立法双管齐下，从而加强对该领域的监管。《健康医疗数据安全指南》中也为医疗行业经营者在保护健康医疗数据时可采取的安全措施提供了指导。虽然《健康医疗数据安全指南》不能作为医疗健康、网络安全等监管机构执法的依据，但可以作为医疗行业经营者合规治理的参考。

前文提到，健康医疗数据可能与《网络安全法》、《民法典》等法律法规中“个人信息”、“重要数据”的范围产生重合，故医疗行业经营者在数据收集、存储、使用和跨境传输等过程中，应当遵守医疗健康相关的法律法规以及《网络安全法》体系的双重监管。因此，我们建议医疗行业的经营者应当主动梳理已经或者将来可能接触的数据类型，在收集、存储、使用和跨境传输等健康医疗数据生命周期各个阶段遵守相应的法律法规所提出的要求，并且充分考虑到多维度法律监管的情况，以合规要求更高的规定作为合规依据。

此外，对于可能接触和控制健康医疗数据的相关责任主体在进行与第三方的商业合作中，应注意对可能涉及健康医疗数据处理、共享环节的合规。首先，我们建议医疗行业经营者在开展具体商业合作前应对合作方进行必要的尽职调查，提前对合作方在数据安全保护方面的能力进行评估，以降低后续商业活动中的法律风险。其次，医疗行业经营者应注重合作时向第三方收集或提供用户数据是否合规，如数据共享之前需征得个人同意，未经授权不能变更数据使用的目的和范围等。最后，双方应注重具体的合同条款是否存在违反现行法下健康医疗数据合规监管要求的可能，要求合作方对可能存在的数据合规风险的节点承诺履行数据安全保护义务，避免触及红线，影响后续合作。