（1）数据授权同意的例外 。《安全指南》明确了四种可以使用或披露相应个人健康医疗数据的授权同意例外情形 ， 具体为：1)向主体提供其本人健康医疗数据；2)治疗、支付或保健护理；3)涉及公共利益或法律法规要求；4)受限制数据集用于科学研究、医学/健康教育、公共卫生目的 。并指出控制者可依靠法律法规要求、职业道德、伦理和专业判断来确定哪些个人健康医疗数据允许被使用或披露 。

其中 ， 受限制数据集是指“经过部分去标识化处理 ， 但仍可识别相应个人并因此需要保护的个人健康医疗数据集” 。《民法典》规定经过加工无法识别特定个人且不能复原的个人信息才可向他人提供 ， 《个人信息安全规范》中规定在个人信息控制者为学术研究机构 ， 出于公共利益开展统计或学术研究所必要 ， 且其对外提供学术研究或描述的结果时 ， 对结果中所包含的个人信息进行去标识化处理的 ， 才可不必征得主体的授权同意 。《安全指南》将可识别相应个人的受限数据集用于科学研究、医学/健康教育、公共卫生目的作为授权同意的例外 ， 可以看出是在健康医疗数据的可用性与公共利益保护之间寻求平衡 。此外 ， 《安全指南》指出控制者可依靠法律法规要求、职业道德、伦理和专业判断来确定哪些个人健康医疗数据允许被使用或披露 ， 提出了一种具有一定操作性的豁免同意的实现路径 ， 但鉴于健康医疗数据本身的复杂性、敏感性 ， 依靠职业道德、伦理等判断是否可在未取得个人授权同意的情况下使用或披露存在较大不确定性 ， 也有可能被司法、行政机关认定为非法提供数据行为而具有一定风险 。因此 ， 稳妥的做法仍然是遵照现有生效法律法规要求 。

（2）限制使用或披露的主体权利 。对于数据主体要求控制者限制使用或披露、限制向相关人员披露数据 ， 《安全指南》明确控制者没有义务同意该限制请求 ， 但一旦同意 ， 除非法律法规要求以及医疗紧急情况下 ， 控制者宜遵守约定的限制 。《民法典》《网络安全法》《个人信息安全规范》等并未明确规定主体要求控制者限制使用、披露的权利 ， 但主体有权撤回授权同意 ， 控制者应提供撤回授权同意的方法并对主体提出的请求及时响应 。《安全指南》规定控制者可以不响应数据主体的限制请求 ， 很可能是基于健康医疗数据个体性与群体性相结合的特殊之处 ， 出于维护公共安全、公共卫生等公共利益的考量 ， 但结合现有规定 ， 建议控制者在不同意主体限制请求时同时说明理由 ， 且该理由应出于维护国家利益、公共利益等的需要 。

（3）历史回溯查询的主体权利 。《安全指南》规定 ， 主体有权对控制者或处理者使用或披露数据的情况进行历史回溯查询 ， 最短回溯期为6年 。《民法典》《个人信息安全规范》等并未对主体的历史回溯查询的权利进行明确规定 ， 且在《安全指南》中历史回溯查询的权利并不同于访问的权利 。此外 ， 最短回溯期的时间也不完全等同于数据存储时间 ， 《个人信息安全规范》明确个人信息存储期限应为实现个人信息主体授权使用的目的所必需的最短时间 ， 但回溯期则要求了最短时限 ， 并未限制健康医疗机构可存储数据的最长期限 。主体可查询历史数据主要是基于对既往病史等健康医疗信息了解的需要 ， 值得注意的是 ， 《电子病历应用管理规范（试行）》规定门（急）诊电子病历保存时间自患者最后一次就诊之日起不少于15年 ， 住院电子病历保存时间自患者最后一次出院之日起不少于30年 。针对不同规定中的不同时限要求 ， 建议在实际操作中同时结合现有法律法规的规定予以执行 。

• 幽默段子：悲剧
• 元宵节|元宵节可以去医院看病吗
• 孩子|孩子出生医院会打乙肝疫苗吗
• 医院实习工作总结如何写？
• 医院运动会广播稿怎么写？
• 总务科工作计划怎么写？
• 红十字医院控烟工作计划怎么写？
• 医院实习介绍信如何写？
• 医院离职证明如何写？
• 医院护士个人述职报告如何写？