前言

    個人資料保護法於99年修正公布後，於101年10月1日正式開始施行，隨著近年來病患自主意識之提升，具有自主兼隱私權保護之病患資訊管理議題也備受重視。而此次個資法修正主要係參考經濟合作發展組織(Organization for Economic Co-operation and Development,OECD)指令中所揭示之九大原則 [1] 、德國聯邦個資法及奧地利聯邦個資法等等。由此可見我國個人資料保護已浮現共通之主流價值與全球化之趨勢。

-------------------------------------------------

 

一、現行個資法對於病歷資料保全之規定

    目前個資法關於病歷與個人醫療資訊之規定，整理如下：

(一)設立了特種個人資料之規定於個資法第六條 [2] ：

    有關醫療、基因、性生活、健康檢查及犯罪前科之個人資料，不得蒐集、處理或利用。但有下列情形之一者，不在此限：

1.法律明文規定。

2.公務機關執行法定職務或非公務機關履行法定義務所必要，且有適當安全維護措施。

3.當事人自行公開或其他已合法公開之個人資料。

4.公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的，為統計或學術研究而有必要，且經一定程序所為蒐集、處理或利用之個人資料。

 

(二)排除條款：

    無論公務機關或非公務機關，應有特定目的，始得對個人資料為蒐集或處理，規範如下：

1.第15條：

公務機關對個人資料之蒐集或處理，除第六條第一項所規定資料外，應有特定目的，並符合下列情形之一者：

一、執行法定職務必要範圍內。

二、經當事人書面同意。

三、對當事人權益無侵害。

2.第16條：

公務機關對個人資料之利用，除第六條第一項所規定資料外，應於執行法定職務必要範圍內為之，並與蒐集之特定目的相符。但有下列情形之一者，得為特定目的外之利用：

一、法律明文規定。

二、為維護國家安全或增進公共利益。

三、為免除當事人之生命、身體、自由或財產上之危險。

四、為防止他人權益之重大危害。

五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要，且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。

六、有利於當事人權益。

七、經當事人書面同意。

    公務機關對個人資料為目的外之利用，本屬例外，因此公務機關遇此情形時，應負有事前審查義務 [3] ，須合乎個資法所規定之例外條款，以保護資料當事人權利及防止個人資料之竊取、竄改或洩漏等等。

 

二、個資法與醫療法目前規定之比較

    現行醫事法規對於病歷及各種醫療資訊的管制，多以行政法規規範醫療機構之責任，較少從病患之角度，去建構一個完整保障病患資訊主體地位之法制環境。

    個資法與專門處理病患醫療資訊之醫療法，兩者之關係係為普通法與特別法之關係。因此，當醫療法有規定時，無論個資法有無對應之規定，皆應優先適用醫療法；當面臨醫療法無規定時，才回歸個資法之一般規定適用。為了更清楚分析個案醫療活動之法律關係，以下就兩法規對於醫療資訊管理作相互對照整理，歸納出三種情況：

(一)兩者皆有之規定：

1.病歷資料應確實、完整(醫療法第67條1項、個資法第11條前段)

2.醫療機構應依病患要求提供病歷複本(醫療法第71條、個資法第10條、14條)

3.醫療機構之保密義務(醫療法第72條、個資法第5條)

 

(二)僅醫療法有規定：

1.製作病歷方法、時限、記載內容(醫療法第68條)

2.製作儲存病歷之要式(醫療法第69條)

3.保管病歷方式、年限、銷毀(醫療法第70條)

4.依病患要求，醫療機構應提供中文病歷(醫療法第71條)

 

(三)僅個資法規定之部分

1.對個人資料得請求閱覽、查詢、更正(個資法第3條)

2.直接、間接蒐集個人資料之告知義務(個資法第8、9條)

3.維護資料正確、更正資料之義務(個資法第11條)

4.資料竊取、洩漏等侵害之告知義務(個資法第12條)

5.採行適當安全措施之義務(個資法第18、27條)

    綜上歸納可知，醫療法與個資法兩者目前仍有許多不一致之部分，而個資法針對特種個人資訊之部分 [4] ，其蒐集、處理、利用之程序細節，未在條文中作明確之規定，反而以空白授權之方式，委由主管機關另訂參考辦法。此種方式不僅使得醫療機構於詳細參考辦法出爐前無所適從，亦無法確保日後制定之辦法能有效符合母法之保護意旨 [5] 。

    再者，本次個資法修正原意係為了更周全的保護，但基於醫療相關法規(例：醫療法、人體研究法)為特別法，優先於個資法之適用，若特別法不隨之修正，實際適用上仍以其為準，就此，個資法恐有被架空之虞。

 

三、新修正個資法衍生之疑慮及未解決之問題

    新修正之個資法對於蒐集、處理、利用之行為階段分類、以及規範對象各階段應遵循的行為準則 [6] 且根據上述醫療法與個資法之比較可以看出，於醫療法中病患有向醫療機構請求複製本或中文摘要，但根據個資法，病患除得請求全本病歷外，還賦予對醫療機構請求補充、更正、刪除資訊之權利。此為個資法之一大突破。

    惟新法仍存在許多疑慮，目前主要之批評如下：

(一) 對於個人特種資料之保護強度不足，創設過多例外

    個資法雖將個人特種敏感資訊做了特殊規定，但於第六條亦設了但書之規定，再加上賦予學術機構過多特權，舉例來說，第六條但書第四款，公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的，為統計或學術研究而有必要，且經一定程序所為蒐集、處理或利用之個人資料。即為一例外之規定，而醫療資訊的利用通常就是學術研究或者基於醫療衛生之目的，故此款之限制反而等同無任何限制 [7] 。導致原本應特別受保護的資訊反倒容易受到侵害，表面上提高了特種個人資料之保護，但實行起來卻可能徒具形式。

 

(二) 當事人之同意權被架空

    個資法有規定，蒐集病患個人資料時，應向病患告知機關名稱、蒐集目的、資料類別與資料利用時間等等 [8] ，然而實務運作之情形下，由於醫師之業務為診察與診治病患，基於工作需求向病患蒐集資料，符合個資法第8條第2項2款之規定，屬於個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務 所必要。得免除告知義務。

    除了蒐集資料之階段外，病歷資料之處理與利用之階段，基本上醫療機構之行為皆會符合公共利益、學術研究之目的，而免為告知 [9] 。亦即，醫療行為流程中所有需要告知同意之情況，由於制度開放了過多例外事項，實踐起來根本無法發揮屏障效用 [10] 。

 

(三) 個資法面對電子病歷系統可能發生之難題

    我國衛生署目前也在積極推動電子病歷的實施，基於降低醫療成本的無紙化理想，病歷電子化應為近幾年醫療政策之趨勢 [11] 。行政院衛生署中程施政計畫（99至102年度）中亦提到，推動電子病歷可免印紙本，符合節能減碳之環保意識。與其他國家衛生單位進行合作交流或相互認證，有助於法規國際化及開拓我國製藥產業之外銷市場 [12] 。

    因此，我國未來病歷資料之形式，極可能係以雲端技術打造電子病歷系統，不再以紙本形式，而是只要連上系統，就能新增、修改與刪除資訊。故目前個資法針對取得資訊須透過「分享」、「提供」之規定，可能不夠全面，應可再針對電子病歷之部分修法改善，確保病患資料安全無虞。

 

(四)針對個資法修正草案之評析

    目前個資法第六條尚未施行，主要原因為有關特種資料蒐集處理利用要件規定過於嚴格，貿然施行衝擊太大。針對第六條，目前研擬中的修正草案 [13] 針對以下幾個方向作出修正：

1.增設病歷為特種資料列舉事項。由於病歷乃屬醫療個人資料內涵之一，為免爭議，爰增列如第一項本文。此見解值得贊同，惟醫療實務上屬於病患隱私資訊不一定會記錄在病歷中，就此，應再對病歷加以定義，並於其他專業法律中立法對於其他醫療資訊，配合新修正個資法意旨，加以修正。

2.將第四款修改為：公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的，為統計或學術研究而有必要，且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。其理由在於：公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的，為統計或學術研究必要，經常會蒐集、處理或利用第一項之特種資料，如當事人資料經過匿名化處理，或其公布揭露方式無從再識別特定當事人者，應無侵害個人隱私權益之虞，基於資料之合理利用，促進學術研究發展，自得允許之。

 

3.於但書增列第五、六款。對此同前所述，創設過多例外，修正草案說明雖提到：「若無維護公益之條款，將無法適時提供上開資料，反使公眾權益受到影響。」，惟公益本身屬一不確定法律概念，且過於抽象。為落實高度保護敏感性資料之立法意旨，並非由個資法制定一過於廣泛之例外，而應由各該專業法律作具體規定，方屬適當。

 

(五)新修正個資法施行後，衛生署原有之行政函釋是否應隨同修正？

    在個資法修正前，衛署醫字第 0960046106 號要旨：「有關醫院電腦處理個人資料登記管理辦法之僅以醫院為規範對象，故診所或其他醫療機構對於健康保險資料之保密，仍應符合醫療法相關規定」，由於修正前之個資法第三條(電腦處理個人資料保護法)及醫療法第12條第1項、第67條之規定可知：「醫院電腦處理個人資料登記管理辦法」之規範機構僅為醫院，至診所及其他醫療機構則不在本辦法之適用範圍。惟前述醫療機構所製作並保存之健檢資料仍屬醫療法所規範之病歷範疇，爰醫療機構及其人員於處理是類資料之保密、保存與釋出，均需符合醫療法之相關規定。

    然，新修正之個資法第二條針對非公務機關之定義，已作出修正，目前不論醫院抑或診所、其他醫療機構皆屬個資法之適用範圍之內。故本函釋應有修正之必要 [14] 。

 

四、結論

    新修正之個資法以人格權保護為最高指導原則。觀察其規範架構，係希望透過程序保障及提高管制密度，來實踐保障個人資訊自主與資訊隱私之核心。惟綜觀目前台灣醫療法制，尚未針對新興科技如：電子病歷、雲端科技、遠距醫療等訂定完備之規範，立法落後於科技之情形下，往往無法切中實際管制需求。

故衛生主管機關應早日依個資法授權，訂立醫療資訊具體蒐集、處理、利用辦法，醫療法亦可針對上述個資法之缺失作修正，以確保病患之權益、加強醫療機構資訊安全保護。

 

---

[1] 此九大原則分別為：(1)限制蒐集原則；(2)資訊內容完整正確原則；(3)目的明確化原則；(4)限制利用原則；(5)安全保護原則；(6)公開原則；(7)個人參加原則；(8)責任原則；(9)國際傳輸基本原則。

[2] 目前個資法第六條尚未施行，其正式施行日期由行政院另行定之。其理由為：

[3] 呂丁旺，淺析修正「個人資料保護法」，月旦法學雜誌，2010年8月，第183期，138頁。

[4] 如個資法第6條第2項。

[5] 陳鋕雄、劉庭妤，從「個人資料保護法」看病患資訊自主權與資訊隱私權之保護，月旦民商法雜誌，34期，2011年12月，54頁。

[6] 同前註5

[7] 同前註5，47.48頁。

[8] 參個資法第8條。

[9] 參個資法第9條第2項、第16條、第20條等規定。

[10] 同前註5，50頁。

[11] 程法彰，美國電子病歷機制的實施與我國的省思，醫事法學，17卷1期，2010年6月，10頁。

[12] 行政院衛生署99-102年中程施政計畫，https://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&ved=0CDIQFjAA&url=http%3A%2F%2Fwww.doh.gov.tw%2Fufile%2Fdoc%2F%25E8%25A1%259B%25E7%2594%259F%25E7%25BD%25B299-102%25E5%25B9%25B4%25E4%25B8%25AD%25E7%25A8%258B%25E6%2596%25BD%25E6%2594%25BF%25E8%25A8%2588%25E7%2595%25AB.doc&ei=MYLqUPjsFcbpkAWr1YGYDw&usg=AFQjCNFNMItFstmySFQBmSSd5khwPc7fow&sig2 =

wIrg9XHhwdp5G6yOapMi0Q&bvm=bv.1355534169,d.dGY。

[13] 修正草案第六條：有關病歷 、醫療、基因、性生活、健康檢查及犯罪前科之個人資料，不得蒐集、處理或利用。但有下列情形之一者，不在此限：

一、法律明文規定。

二、公務機關執行法定職務或非公務機關履行法定義務所必要，且有適當安全維護措施。

三、當事人自行公開或其他已合法公開之個人資料。

四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的，為統計或學術研究而有必要，且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人 。

五、為維護公共利益所必要。

六、經當事人書面同意。

　　依前項但書規定蒐集、處理或利用個人資料，準用第八條、第九條規定；其中第六款之書面同意，並準用第七條規定。

 

[14] 另外相關之行政函釋如：衛署醫字第 88052640 號，其要旨為：「非公務機關於網站公布醫師資料、健保局違規案例、法院醫療過失判例等資料提供查詢，應不適用電腦處理個人資料保護法管制範圍，亦無違反醫療衛生法規」。並於說明中指出，中華民國醫療人權促進會非屬電腦處理個人資料保護法規範之非公務機關，故似難以電腦處理個人資料保護法加以規範。